Requisitos do sistema para Skype for Business Server 2019
Resumo: Prepare-se para instalar Skype for Business Server 2019 com a ajuda deste artigo. Hardware, SO, software, bancos de dados, certificados, Active Directory, DNS e fileshares são abordados aqui. Todos os requisitos e recomendações do sistema estão aqui para ajudar a garantir uma instalação e implantação bem-sucedidas do seu farm de servidores.
Como era de se esperar, há alguns preparativos a serem preparados antes de começar a implantar Skype for Business Server 2019. Este artigo orienta você no planejamento para:
Hardware para Skype for Business Server 2019
Depois que você tiver sua topologia estabelecida (e se não o fizer, poderá marcar o tópico Topologia Básica para Skype for Business Server 2019), é hora de pensar nos servidores. Skype for Business Server servidor 2019 requer hardware de 64 bits. Nossas recomendações para hardware estão listadas nas tabelas a seguir. Não são requisitos, mas refletem os requisitos necessários para o desempenho ideal. Temos uma documentação de planejamento de capacidade que ajuda você a determinar se você precisa de mais do que esses requisitos, dependendo de suas circunstâncias.
Hardware recomendado para servidores Standard Edition
| Componente de hardware | Recomendado |
|---|---|
| CPU | Processador duplo Intel Xeon E5-2673 v3, 6 núcleos, 2,4 gigahertz (GHz) ou superior. Não há suporte para processadores Intel Itanium para Skype for Business Server funções de 2019. |
| Memória | 32 gigabytes (GB). |
| Disco | UMA DESTAS OPÇÕES: • Oito ou mais unidades de disco rígido de 10.000 RPM com pelo menos 72 GB de espaço em disco livre (dois discos usando RAID 1 e 6 usando RAID 10). OR • SSDs (unidades de estado sólido) capazes de fornecer o mesmo espaço livre e desempenho semelhante a oito unidades de disco mecânico de 10.000 RPM. |
| Rede | Um adaptador de rede de porta dupla, 1 Gbps ou superior (dois adaptadores de rede podem ser usados, mas eles precisam ser combinados com um único endereço MAC e um único endereço IP). Configurações duplas ou multilocatários não têm suporte para servidores front-end, servidores back-end e servidores Standard Edition. Você pode ter sistemas de gerenciamento fora de banda, como DRAC ou ILO, desde que eles não sejam expostos ao sistema operacional e sejam usados para monitorar e gerenciar o hardware do servidor. Esse cenário não constitui um servidor multilocatário e tem suporte. |
Hardware recomendado para servidores front-end e back-end
| Componente de hardware | Recomendado |
|---|---|
| CPU | Processador duplo Intel Xeon E5-2673 v3, 6 núcleos, 2,4 gigahertz (GHz) ou superior. Não há suporte para processadores Intel Itanium para Skype for Business Server funções de 2019. |
| Memória | 64 gigabytes (GB). |
| Disco | UMA DESTAS OPÇÕES: • Oito ou mais unidades de disco rígido de 10.000 RPM com pelo menos 72 GB de espaço em disco livre (dois discos usando RAID 1 e 6 usando RAID 10). OR • SSDs (unidades de estado sólido) capazes de fornecer o mesmo espaço livre e desempenho semelhante a oito unidades de disco mecânico de 10.000 RPM. |
| Rede | Um adaptador de rede de porta dupla, 1 Gbps ou superior (dois adaptadores de rede podem ser usados, mas eles precisam ser combinados com um único endereço MAC e um único endereço IP). Configurações duplas ou multilocatários não têm suporte para servidores front-end, servidores back-end e servidores Standard Edition. Você pode ter sistemas de gerenciamento fora de banda, como DRAC ou ILO, desde que eles não sejam expostos ao sistema operacional e sejam usados para monitorar e gerenciar o hardware do servidor. Esse cenário não constitui um servidor multilocatário e tem suporte. |
Hardware recomendado para Servidores do Edge, Servidores de Mediação autônomos e Diretores
| Componente de hardware | Recomendado |
|---|---|
| CPU | Processador duplo Intel Xeon E5-2673 v3, 6 núcleos, 2,4 gigahertz (GHz) ou superior. Não há suporte para processadores Intel Itanium para Skype for Business Server funções de 2019. |
| Memória | 32 gigabytes. |
| Disco | UMA DESTAS OPÇÕES: • Quatro ou mais unidades de disco rígido de 10.000 RPM com pelo menos 72 GB de espaço em disco livre (os discos devem estar em uma configuração raid 1 2x). OR • SSDs (unidades de estado sólido) capazes de fornecer o mesmo espaço livre e desempenho semelhante a quatro unidades de disco mecânico de 10.000 RPM. |
| Rede | Um adaptador de rede de porta dupla, 1 Gbps ou superior (dois adaptadores de rede podem ser usados, mas eles precisam ser combinados com um único endereço MAC e um único endereço IP). Configurações duplas ou multilocatários não têm suporte para Servidores e Diretores de Interoperabilidade de Vídeo. Os servidores edge exigem duas interfaces de rede que são adaptadores de rede de portas duplas, 1 Gbps ou maior (ou dois adaptadores de rede emparelhados, para um total de quatro, cada par que é combinado com um único endereço MAC e um único endereço IP, para um total de dois pares). Em Servidores de Mediação autônomos, há suporte para a instalação de NICs (cartões de interface de rede) adicionais para permitir a configuração de um endereço IP PSTN específico. |
Nota
Independentemente da função de servidor, também recomendamos as seguintes configurações de hardware para Skype for Business Server 2019 (as configurações podem variar dependendo da marca de hardware que você comprou, portanto, consulte a documentação do fabricante para especificações):
- Configuração bios - deve ser definida como FLAT de NUMA.
- Habilitar o Hiperthreading.
- A configuração de fila do RSS deve ser definida como 8 fila.
Sistemas operacionais para Skype for Business Server 2019
Depois de ter o conjunto de hardware, você precisará instalar o sistema operacional (sistema operacional) que permite instalar e usar com êxito Skype for Business Server 2019:
- Windows Server 2022
- Windows Server 2019
- Windows Server 2016
Qualquer coisa diferente dos sistemas operacionais listados aqui não funcionará corretamente. Não tente usar mais nada para instalações do Skype for Business Server 2019. Por exemplo, a opção Server Core não está listada. Portanto, não há suporte.
Nota
O Windows Server 2022 se qualifica apenas com Skype for Business Server 2019 para a Atualização Cumulativa 7 e versões posteriores (número mínimo de build 2046.524).
Não há suporte para uma atualização local do sistema operacional. Você deve implantar um pool separado que está executando um sistema operacional diferente e migrar usuários para o novo pool. Todos os servidores dentro de um pool devem ter a mesma versão do sistema operacional.
Se você estiver instalando Windows Admin Center 2019 em seu computador Windows Server 2019, o programa solicitará que você ouça uma porta. Há uma probabilidade de você escolher a porta 443. No entanto, se esse computador tiver Skype for Business Server 2019 instalado ou tiver Skype for Business Server 2019 instalado, você deverá escolher um número de porta diferente.
Porque? Se Windows Admin Center 2019 estiver em execução na porta 443, você não poderá se conectar ao servidor usando o Skype for Business Painel de Controle, nem poderá se conectar a qualquer serviço Web interno em execução no servidor (Serviço Web do Catálogo de Endereços, Serviço de Autodiscover, Serviço WebTicket e assim por diante). Na verdade, você não poderá se conectar a nenhuma URL do Serviço Web Interno. Caso você precise ou queira colocar Windows Admin Center 2019 em um servidor que tenha Skype for Business Server 2019, escolha uma porta diferente.
Software que deve ser instalado antes de uma implantação Skype for Business Server 2019
Nota
Como pré-requisito para instalar o Skype for Business Server 2019, ao usar o Windows Server 2022, você deve executar o script de compatibilidade do Windows Server 2022.
Há algumas coisas que você deve instalar ou configurar para qualquer servidor que esteja executando Skype for Business Server 2019. Essas coisas estão listadas nas tabelas a seguir, seguidas por requisitos adicionais para funções específicas do servidor.
Importante
O Skype For Business 2019 dá suporte ao .Net Framework 4.8. e .Net Framework 4.8.1
Todos os servidores
| Software/função | Detalhes |
|---|---|
| Windows PowerShell 3.0 | Todos os servidores Skype for Business Server devem ter Windows PowerShell 3.0 instalados. • O PowerShell 3.0 deve ser instalado por padrão com Windows Server 2016. |
| Microsoft .NET Framework | Os serviços WCF são um recurso instalado como um recurso do Windows em Gerenciador do Servidor. Inicialmente, não são necessários downloads. • Quando você instalar esse recurso ou se ele já estiver instalado e estiver verificando- o, verifique se a opção Ativação HTTP também está selecionada e instalada da seguinte maneira.  Não se preocupe se você receber outra janela pop-up que afirma que algumas outras coisas precisam ser instaladas para que a Ativação HTTP seja instalada. Isso é normal. Selecione OK e continue. Se você não conseguir essa janela pop-up, pode assumir que essas coisas já estão instaladas. O Microsoft .NET Framework é instalado quando Windows Server 2016 é instalado. Skype for Business Server requer a Microsoft .NET Framework 4.7, 4.8 ou 4.8.1, então você provavelmente teria que atualizá-lo. Você pode encontrar a atualização aqui |
| Media Foundation | Para Windows Server 2016, o Windows Media Format Runtime é instalado com o Microsoft Media Foundation. Todos os servidores Front End Servers e Standard Edition usados para conferência exigem que o Windows Media Format Runtime execute os arquivos do Windows Media Audio (.wma) que os aplicativos Call Park, Announcement e Response Group reproduzam para anúncios e músicas. |
| Windows Identity Foundation | Precisamos do Windows Identity Foundation 3.5 para dar suporte a cenários de autenticação servidor a servidor para Skype for Business Server 2019. • Para Windows Server 2016, não é necessário baixar nada. Abra o Gerenciador do Servidor e vá para o Assistente de Adição de Funções e Recursos. O Windows Identity Foundation 3.5 está listado na seção Recursos. Se ele estiver selecionado, tudo definido. Caso contrário, selecione-o e selecione Avançar para acessar o botão Instalar . |
| AD DS and AD LDS ToolsFerramentas de Administração de Servidor Remoto | Ferramentas de Administração de Funções: ferramentas do AD DS e AD LDS |
Servidores front-end e servidor Standard Edition
| Software/função | Detalhes |
|---|---|
| IIS (Serviços de Informações da Internet) | O IIS é necessário em todos os servidores front-end e em todos os servidores Standard Edition, com os seguintes módulos selecionados: • Recursos HTTP comuns: documento padrão, erros HTTP, conteúdo estático • Integridade e diagnóstico: log HTTP, ferramentas de log, rastreamento • Desempenho: Compactação de conteúdo estático, compactação dinâmica de conteúdo • Segurança: Filtragem de Solicitações, Autenticação de Mapeamento de Certificado do Cliente, Autenticação do Windows • Desenvolvimento de Aplicativos: Extensibilidade .NET 3.5, Extensibilidade .NET 4.5, ASP.NET 3.5, ASP.NET 4.5, Extensões ISAPI, Filtros ISAPI • Ferramentas de Gerenciamento: Console de Gerenciamento do IIS, Scripts e Ferramentas de Gerenciamento do IIS O Acesso Anônimo também é necessário, mas você obtém isso quando instala o IIS, para que não tenha um lugar para selecioná-lo na lista. |
| Tempo de Execução do Windows Media Format | Para Windows Server 2016, você precisa instalar o recurso do Media Foundation no Gerenciador do Servidor. Na verdade, você pode iniciar sua instalação Skype for Business Server 2019 sem esse recurso. No entanto, você é solicitado a instalá-lo e, em seguida, reiniciar o servidor antes que a instalação do Skype for Business Server 2019 possa continuar. É melhor fazer isso com antecedência. |
| Silverlight | Você pode instalar a versão mais recente do Silverlight aqui. |
| Para usuários na região da China | Execute o script do PowerShell depois de atualizar o servidor para o número mínimo de build Skype for Business Server Atualização Cumulativa 7 Hotfix 1 de 2019 (2046.524). |
Para ajudá-lo, aqui está um script de exemplo do PowerShell que você pode executar para automatizar esse processo:
Add-WindowsFeature RSAT-ADDS, Web-Server, Web-Static-Content, Web-Default-Doc, Web-Http-Errors, Web-Asp-Net, Web-Net-Ext, Web-ISAPI-Ext, Web-ISAPI-Filter, Web-Http-Logging, Web-Log-Libraries, Web-Request-Monitor, Web-Http-Tracing, Web-Basic-Auth, Web-Windows-Auth, Web-Client-Auth, Web-Filtering, Web-Stat-Compression, Web-Dyn-Compression, NET-WCF-HTTP-Activation45, Web-Asp-Net45, Web-Mgmt-Tools, Web-Scripting-Tools, Web-Mgmt-Compat, Windows-Identity-Foundation, Server-Media-Foundation, Telnet-Client, BITS, ManagementOData, Web-Mgmt-Console, Web-Metabase, Web-Lgcy-Mgmt-Console, Web-Lgcy-Scripting, Web-WMI, Web-Scripting-Tools, Web-Mgmt-Service
Os diretores também precisam:
IIS, com os seguintes módulos selecionados:
Recursos HTTP Comuns
Documento padrão
Erros HTTP
Conteúdo estático
Integridade e Diagnósticos
Log HTTP
Ferramentas de log
Rastreamento
Desempenho
- Compressão de conteúdo estático
Segurança
Requisição de filtro
Autenticação de mapeamento de certificado de cliente
Autenticação do Windows
Desenvolvimento do aplicativo
Extensibilidade .NET 3.5
Extensibilidade .NET 4.5
ASP.NET 3.5
ASP.NET 4.5
Extensão ISAPI
Filtros ISAPI
(Caso esteja se perguntando, ele é o mesmo conjunto de módulos que os servidores Front End Servers e Standard Edition, sem incluir as Ferramentas de Gerenciamento e Compactação de Conteúdo Dinâmico.)
E também temos um código do PowerShell para este processo:
Add-WindowsFeature RSAT-ADDS, Web-Server, Web-Static-Content, Web-Default-Doc, Web-Http-Errors, Web-Asp-Net, Web-Net-Ext, Web-ISAPI-Ext, Web-ISAPI-Filter, Web-Http-Logging, Web-Log-Libraries, Web-Request-Monitor, Web-Http-Tracing, Web-Basic-Auth, Web-Windows-Auth, Web-Client-Auth, Web-Filtering, Web-Stat-Compression, NET-WCF-HTTP-Activation45, Web-Asp-Net45, Web-Scripting-Tools, Web-Mgmt-Compat, Server-Media-Foundation, Telnet-Client
Instalação do script de compatibilidade para o Windows Server 2022
Ao configurar o Skype for Business Server para Windows Server 2022, você deve executar o seguinte script para garantir a compatibilidade com o Windows Server 2022:
$providerName = "AesProvider"
$keyContainerName = "iisCustomConfigurationKey"
$exe = Get-ChildItem -Path "$env:SystemRoot\Microsoft.NET\Framework64" -Filter "aspnet_regiis.exe" -Recurse -ErrorAction SilentlyContinue | Select-Object -First 1
if ($exe -eq $null) {
Write-Error "aspnet_regiis.exe not found. Exiting";
Exit
}
$existingProvider = Get-WebConfiguration -PSPath 'MACHINE/WEBROOT/APPHOST' -Filter "configProtectedData/providers/add[@name='$providerName']"
if ($null -ne $existingProvider) { # Provider already exists
Write-Host "Script has already run. $providerName already exists. Exiting"
Exit 0
}
& $exe.FullName -pc $keyContainerName -exp
& $exe.FullName -pa $keyContainerName "BUILTIN\IIS_IUSRS"
& $exe.FullName -pa $keyContainerName "NT SERVICE\WMSVC"
Add-WebConfigurationProperty -PSPath 'MACHINE/WEBROOT/APPHOST' -Filter "configProtectedData/providers" -Name "." -Value @{name="$providerName";type='System.Configuration.RsaProtectedConfigurationProvider,System.Configuration, Version=4.0.0.0, Culture=neutral, PublicKeyToken=b03f5f7f11d50a3a'}
$applicationHostConfigPath = "$env:SystemRoot\System32\inetsrv\config\applicationHost.config"
[xml] $applicationHostConfigFile = Get-Content $applicationHostConfigPath
foreach ($ele in $applicationHostConfigFile.configuration.configProtectedData.providers.add) {
if ($ele.name -eq $providerName) {
$ele.SetAttribute("keyContainerName", $keyContainerName)
$ele.SetAttribute("useMachineContainer", "true")
$ele.SetAttribute("useOAEP", "false")
$ele.SetAttribute("useFIPS", "true")
}
}
$applicationHostConfigFile.Save($applicationHostConfigPath)
Write-Host "Script ran successfully. Key container $keyContainerName created. Provider $providerName added."
Bancos de dados de back-end que funcionam com Skype for Business Server 2019
Quando você instala Skype for Business Server Standard Edition 2019, SQL Server Express 2016 (edição de 64 bits) também é instalado.
Skype for Business Server 2019 Edição Enterprise requer a versão completa do SQL Server, conforme indicado aqui (apenas edição de 64 bits; não use edições de 32 bits):
- Microsoft SQL Server 2019 (edição de 64 bits) – deve ser executado junto com as atualizações mais recentes
- O Microsoft SQL Server 2017 (edição de 64 bits) – deve ser executado junto com as atualizações mais recentes
- O Microsoft SQL Server 2016 (edição de 64 bits) – deve ser executado junto com as atualizações mais recentes
Se você não vir a SQL Server edição que deseja usar listada aqui, não poderá usá-la.
Nota
Você também deve instalar SQL Server Reporting Services para a função de Servidor de Monitoramento.
Clustering de SQL e Always On DE SQL
Há suporte para clustering de SQL com Skype for Business Server 2019. Se você quiser configurar o Clustering sql, isso é feito em SQL Server.
Verifique se você tem uma configuração ativa/passiva para clustering SQL, com suporte. Não compartilhe o nó passivo com nenhuma outra instância do SQL.
Para clustering de failover, você pode ter:
Dois nós:
- Microsoft SQL Server 2019 Standard (edição de 64 bits) e recomendamos executar com o pacote de serviços mais recente.
- Microsoft SQL Server 2017 Standard (edição de 64 bits) e recomendamos executar com o pacote de serviços mais recente.
- Microsoft SQL Server 2016 Standard (edição de 64 bits) e recomendamos executar com o pacote de serviços mais recente.
Dezesseis nós:
- Microsoft SQL Server Enterprise 2019 (edição de 64 bits) e recomendamos executar com o pacote de serviços mais recente.
- Microsoft SQL Server 2017 Enterprise (edição de 64 bits) e recomendamos executar com o pacote de serviços mais recente.
- Microsoft SQL Server 2016 Enterprise (edição de 64 bits) e recomendamos executar com o pacote de serviços mais recente.
Há suporte para o SQL Always On e você pode ler mais sobre isso no Back End Server de alta disponibilidade no Skype for Business Server 2019.
Recomendações adicionais de instalação do servidor
Não instale nenhum software cliente do SERVIDOR ISA (Segurança e Aceleração da Internet) da Microsoft ou qualquer outro software LSP (provedores de serviços em camadas do Winsock) (quaisquer firewalls de terceiros ou software de inspeção de rede antivírus seriam incluídos aqui) em qualquer um de seus servidores front-end ou servidores de mediação autônomos. O baixo desempenho do tráfego de mídia foi visto quando esse software é instalado.
Active Directory
Embora grande parte dos dados de configuração para servidores e serviços seja armazenada no Skype for Business Server repositório gerenciamento central de 2019, algumas coisas ainda são armazenadas no Active Directory.
| Objetos do Active Directory | Tipos de objeto |
|---|---|
| Extensões de esquema | Extensões de objetos de usuário |
| Extensões para Skype for Business Server 2015 e Lync Server 2013, para manter a compatibilidade com as versões anteriores com suporte | |
| Dados | URI do SIP do usuário e outras configurações de usuário |
| Contatar objetos para aplicativos (como o aplicativo Grupo de Resposta e o aplicativo Atendedor de Conferência) | |
| Dados publicados para compatibilidade com versões anteriores | |
| Um SCP (ponto de controle de serviço) para o repositório de Gerenciamento Central | |
| Conta de Autenticação Kerberos (um objeto de computador opcional) |
OS para controladores de domínio
Os seguintes sistemas operacionais do Controlador de Domínio podem ser usados:
- Windows Server 2022
- Windows Server 2019
- Windows Server 2016
- Windows Server 2012 R2
- Windows Server 2012
O nível funcional de domínio de qualquer domínio no qual você implanta Skype for Business Server 2019 e o nível funcional da floresta em que você implanta Skype for Business Server 2019 devem ser um dos seguintes:
- Windows Server 2016
- Windows Server 2012 R2
- Windows Server 2012
É possível ter controladores de domínio somente leitura nesses ambientes? Sim, você pode – desde que os controladores de domínio graváveis também estejam disponíveis.
É importante saber que Skype for Business Server 2019 não dá suporte a domínios com rótulo único. O que são esses? Se você tiver um domínio raiz rotulado como "contoso.local", isso funcionará. Se você tiver um domínio raiz chamado "local", isso não funcionará e ele não terá suporte. Para obter mais informações, consulte Implantação e operação de domínios do Active Directory configurados usando nomes DNS de rótulo único.
Skype for Business Server 2019 também não dá suporte à renomeação de domínios. Se você precisar renomear seu domínio, precisará desinstalar Skype for Business Server 2019, fazer o renomeamento de domínio e reinstalar Skype for Business Server 2019.
Por fim, você pode estar lidando com um domínio que tem um ambiente AD DS bloqueado e isso é aceitável. Temos mais informações sobre como implantar Skype for Business Server 2019 em um ambiente AD DS bloqueado na documentação de implantação.
Topologias do AD
As topologias com suporte no Skype for Business Server 2019 são as seguintes:
Floresta única com domínio único
Floresta única com uma única árvore e vários domínios
Floresta única com várias árvores e namespaces não contíguos
Várias florestas em uma topologia de floresta central
Várias florestas em uma topologia de floresta de recursos
Várias florestas em uma topologia de floresta de recursos do Skype for Business com o Exchange Online
Várias florestas em uma topologia de floresta de recursos com Skype for Business Online e Microsoft Entra Connect
Temos diagramas e descrições para ajudá-lo a determinar qual topologia você tem em seu ambiente ou o que você pode ter que configurar antes de instalar Skype for Business Server 2019. Para mantê-lo simples, também estamos incluindo uma chave:
Floresta única com domínio único
Não fica mais fácil do que isso. É uma única floresta de domínio, uma topologia comum.
Floresta única com uma única árvore e vários domínios
Este diagrama mostra uma única floresta, novamente, mas também tem um ou mais domínios filho (há três neste exemplo específico). S,o domínio no qual os usuários são criados pode ser diferente do domínio para o qual o Skype for Business Server 2019 está implantado. Por que se preocupar com essa situação? É importante lembrar que quando você implanta um pool de front-end Skype for Business Server, todos os servidores nesse pool precisam estar em um único domínio. Você pode ter administração entre domínios por meio Skype for Business Server suporte de grupos de administradores universais do Windows.
No diagrama anterior, você pode ver que usuários de um domínio podem acessar pools Skype for Business Server do mesmo domínio ou de domínios diferentes, mesmo que esses usuários estejam em um domínio filho.
Floresta única com várias árvores e namespaces não contíguos
Você pode ter uma topologia semelhante a este diagrama, em que você tem uma floresta, mas dentro dessa floresta há vários domínios, com namespaces do AD separados. Nesse caso, esse diagrama é uma boa ilustração, pois inclui usuários em três domínios diferentes acessando Skype for Business Server 2019. Linhas sólidas indicam que estão acessando um pool de Skype for Business Server em seu próprio domínio, enquanto uma linha tracejada indica que eles estão indo para um pool em uma árvore completamente diferente.
Como você pode ver, os usuários no mesmo domínio, na mesma árvore ou até mesmo em uma árvore diferente podem acessar pools com êxito.
Várias florestas em uma topologia de floresta central
Skype for Business Server 2019 dá suporte a várias florestas configuradas em uma topologia de floresta central. Se você não tiver certeza de que é isso que você tem, a floresta central na topologia usa objetos nela para representar usuários nas outras florestas e hospeda contas de usuário para todos os usuários na floresta.
Como isso funciona? Um produto de sincronização de diretório (como Forefront Identity Manager ou FIM) gerencia as contas de usuário da sua organização ao longo de sua existência. Quando uma conta é criada ou excluída de uma floresta, essa mudança é sincronizada até o contato correspondente na floresta central.
Claramente, se sua infraestrutura do AD estiver em vigor, mudar para essa topologia pode não ser fácil, mas se você já estiver lá ou ainda planejando sua infraestrutura florestal, essa pode ser uma boa escolha. Você pode centralizar sua implantação Skype for Business Server 2019 em uma única floresta, enquanto os usuários podem pesquisar, se comunicar e exibir a presença de outros usuários em qualquer floresta. Todas as atualizações de contato são feitas automaticamente com o software de sincronização.
Várias florestas em uma topologia de floresta de recursos do Skype for Business
Também há suporte para uma topologia de floresta de recursos; é onde uma floresta é dedicada à execução de seus aplicativos de servidor, como Microsoft Exchange Server e Skype for Business Server 2019. Essas florestas de recursos também hospedam uma representação sincronizada de objetos de usuário ativo, mas não contas de usuário habilitadas para logon. Portanto, a floresta de recursos é um ambiente de serviços compartilhados para outras florestas nas quais os objetos de usuários residem, e que têm uma relação de confiança no nível de floresta com a floresta de recursos.
Exchange Server pode ser implantado na mesma floresta de recursos que Skype for Business Server ou em uma floresta diferente.
Para implantar Skype for Business Server 2019 nesse tipo de topologia, você criaria um objeto de usuário desabilitado na floresta de recursos para cada conta de usuário nas florestas de usuário (se Microsoft Exchange Server já estiver no ambiente, essa ação poderá ser feita para você). Em seguida, você precisa de uma ferramenta de sincronização de diretório (como Forefront Identity Manager ou FIM) para gerenciar contas de usuário durante seu ciclo de vida.
Várias florestas em uma topologia de floresta de recursos do Skype for Business com o Exchange Online
Esta topologia é similar à topologia descrita em Várias florestas em uma topologia de floresta de recursos do Skype for Business.
Nesta topologia, há uma ou mais florestas de usuário e Skype for Business Server é implantada em uma floresta de recursos dedicada. Exchange Server podem ser implantados localmente na mesma floresta de recursos ou em uma floresta diferente e configurados para híbridos com Exchange Online ou serviços de email podem ser fornecidos exclusivamente por Exchange Online para as contas locais. Não há um diagrama disponível para esta topologia.
Várias florestas em uma topologia de floresta de recursos com Skype for Business Online e Microsoft Entra Connect
Neste cenário há várias florestas locais, com uma topologia de floresta de recursos. Há um relacionamento de total confiança entre as florestas do Active Directory. A ferramenta Microsoft Entra Connect é usada para sincronizar contas entre as florestas de usuário locais e o Microsoft 365 ou Office 365.
A organização também tem o Microsoft 365 ou Office 365 e usa Microsoft Entra Connect para sincronizar suas contas locais com o Microsoft 365 ou Office 365. Os usuários habilitados para Skype for Business estão habilitados por meio do Microsoft 365 ou Office 365 e Skype for Business Online. Skype for Business Server não é implantado localmente.
A autenticação de logon único é fornecida por um farm Serviços de Federação do Active Directory (AD FS) localizado na floresta de usuários.
Nesse cenário, há suporte para implantar o Exchange local, Exchange Online, uma solução híbrida do Exchange ou não ter o Exchange implantado. O diagrama mostra somente o Exchange no Local, mas as outras soluções do Exchange são totalmente aceitas.
Várias florestas em uma topologia de floresta de recursos com o Skype for Business híbrido
Nesse cenário, há uma ou mais florestas de usuário locais e Skype for Business é implantada em uma floresta de recursos dedicada e é configurada para o modo híbrido com Skype for Business Online. Exchange Server podem ser implantados localmente na mesma floresta de recursos ou em uma floresta diferente e podem ser configurados para híbridos com Exchange Online. Como alternativa, os serviços de email podem ser fornecidos exclusivamente por Exchange Online para as contas locais.
Para obter mais informações, consulte Configurar um ambiente de várias florestas para Skype for Business híbrida.
Sistema de Nomes de Domínio (DNS)
Skype for Business Server 2019 requer DNS pelos seguintes motivos:
O DNS permite que Skype for Business Server 2019 descubram servidores ou pools internos, permitindo comunicações servidor a servidor.
O DNS permite que os computadores cliente descubram o pool front-end ou o servidor Standard Edition usado para transações SIP.
Ele associa URLs simples para conferências aos servidores que as hospedam.
O DNS permite que usuários externos e computadores cliente se conectem aos servidores do Edge, ou ao proxy reverso HTTP, para mensagens instantâneas (IM) ou conferência.
Ele permite que dispositivos UC (comunicações unificadas) que não estão conectados descubram o pool do Front End ou o servidor Standard Edition que está executando o serviço Web de Atualização de Dispositivo para obter atualizações e enviar logs.
O uso do DNS permite que clientes móveis descubram automaticamente os recursos dos serviços Web sem que os usuários tenham que inserir URLs manualmente em suas configurações do dispositivo.
É usado no balanceamento de carga DNS.
É importante observar que Skype for Business Server 2019 não dá suporte a IDNs (nomes de domínio internacionalizados).
E é extremamente importante lembrar que qualquer nome no DNS é idêntico ao nome do computador configurado em qualquer servidor usado pelo Skype for Business Server 2019. Especificamente, não podemos ter nomes curtos no ambiente e devemos ter FQDNs para Construtor de Topologia.
Isso parece que seria lógico para qualquer computador já ingressado em um domínio. Mas se você tiver um Servidor do Edge que não esteja ingressado em seu domínio, por padrão, ele poderá ter um nome curto sem um sufixo de domínio. Verifique se esse não é o caso, seja no DNS ou no Servidor de Borda ou em qualquer servidor ou pool Skype for Business Server 2019.
Definitivamente não use caracteres Unicode ou sublinhados em nomes de domínio. Caracteres padrão (que são A-Z, a-z, 0-9 e hifens) têm suporte por DNS externos e autoridades públicas de certificado (você tem que atribuir FQDNs ao SN no certificado, é importante lembrar). Portanto, você se poupará de muitos problemas se mantiver essa regra em mente desde o início.
Para obter mais informações sobre os requisitos de DNS para Rede, marcar a seção Rede de nossa documentação de planejamento.
Certificados
Uma das coisas mais importantes que você pode fazer antes de implantar é garantir que você tenha seus certificados em ordem. Skype for Business Server 2019 precisa de uma PKI (infraestrutura de chave pública) para conexões TLS (segurança de camada de transporte) e MTLS (segurança de camada de transporte mútua). Basicamente, para se comunicar com segurança de forma padronizada, Skype for Business Server usa certificados emitidos pelas Autoridades de Certificado (CAs).
Estas são algumas das coisas que Skype for Business Server 2019 usa certificados para:
Conexões TLS entre clientes e servidores
Conexões MTLS entre servidores
Federação usando a descoberta automática de DNS de parceiros
Acesso de usuários remotos a IM (mensagens instantâneas)
Acesso de usuário externo a sessões de A/V (áudio/vídeo), compartilhamento de aplicativos e conferência
Conversando com aplicativos Web e o Outlook Web Access (OWA)
Portanto, o planejamento de certificados é obrigatório. Agora, vamos examinar uma lista de algumas das coisas que você precisa ter em mente ao solicitar certificados:
Todos os certificados de servidor devem oferecer suporte à autorização de servidor (EKU de servidor).
Todos os certificados de servidor devem conter um CDP (Ponto de Distribuição de CRL).
Todos os certificados devem ser assinados usando um algoritmo de assinatura que seja compatível com o sistema operacional. Skype for Business Server 2019 dá suporte ao pacote SHA-1 e SHA-2 de tamanhos de digestão (224 bits, 256 bits, 384 bits e 512 bits) e atende ou excede os requisitos do sistema operacional.
Há suporte para o registro automático para servidores internos que executam Skype for Business Server 2019.
O registro automático não tem suporte para Skype for Business Server Servidores de Borda 2019.
Nota
O uso do algoritmo de assinatura RSASSA-PSS não tem suporte e pode causar erros em problemas de logon e encaminhamento de chamadas, entre outros problemas.
Os comprimentos de chave de criptografia de 1024, 2048 e 4096 são suportados. Comprimentos de pelo menos 2048 são recomendados.
O algoritmo de hash de assinatura ou sumário padrão é RSA. Os algoritmos ECDH_P256, ECDH_P384 e ECDH_P521 também têm suporte.
Isso é muito para pensar, e há vários níveis de conforto para solicitar certificados de uma AC. Forneceremos algumas diretrizes adicionais nas seções a seguir para tornar seu planejamento o mais indolor possível.
Certificados para seus servidores internos
Você precisa de certificados para a maioria dos servidores internos e, provavelmente, você os receberá de uma AC interna (que é uma AC localizada em seu domínio). Se desejar, você pode solicitar esses certificados de uma AC externa (um localizado na Internet). Se você estiver se perguntando para qual AC pública você deve ir, poderá marcar a lista de parceiros de certificado de Comunicações Unificadas.
Você também precisará de certificados quando Skype for Business Server 2019 se comunicar com outros aplicativos e servidores, como Microsoft Exchange Server. Isso, obviamente, terá que ser um certificado que esses outros aplicativos e servidores podem usar de forma compatível. Skype for Business Server 2019 e outros produtos da Microsoft dão suporte ao protocolo OAuth (Autorização Aberta) para autenticação e autorização de servidor para servidor. Se você estiver interessado, teremos um artigo de planejamento adicional para OAuth e Skype for Business Server 2019.
Skype for Business Server 2019 também inclui suporte para certificados (sem necessidade) assinados usando a função de hash criptográfica SHA-256. Para oferecer suporte ao acesso externo usando SHA-256, o certificado externo é emitido por uma AC pública usando SHA-256.
Para manter as coisas simples, colocamos os requisitos de certificado para servidores Standard Edition, pools front-end e outras funções nas tabelas a seguir, e usamos o contoso.com fictício para exemplos (provavelmente você estará usando outra coisa para seu ambiente). Todos esses são certificados do servidor Web padrão, com chaves privadas que não são exportáveis. Outras observações:
O Uso Avançado de Chave (EKU) no servidor é automaticamente configurado quando o assistente de certificado é usado para solicitar certificados.
Cada nome amigável do certificado deve ser exclusivo no repositório do computador.
De acordo com os nomes de exemplo a seguir, se você tiver configurado sipinternal.contoso.com ou sipexternal.contoso.com em seu DNS, eles precisarão ser adicionados ao SAN (Nome Alternativo de Assunto) do certificado.
Certificados para servidores Standard Edition
| Certificado | Nome do assunto/nome comum | Nome alternativo de entidade | Exemplo | Comentários |
|---|---|---|---|---|
| Padrão | FQDN do pool | FQDN do pool e FQDN do servidor Se você tiver vários domínios SIP e tiver habilitado a configuração automática do cliente, o assistente de certificados detectará e adicionará os FQDNs de cada domínio SIP aceito. Se esse pool for o servidor de logon automático para clientes e a correspondência estrita do DNS (Sistema de Nomes de Domínio) for necessária na política de grupo, você também precisará de entradas para sip.sipdomain (para cada domínio SIP que você tem). |
SN=se01.contoso.com; SAN=se01.contoso.com Se esse pool for o servidor de logon automático para clientes, e se a combinação estrita de DNS for exigida na política do grupo, também serão necessários: SAN=sip.contoso.com; SAN=sip.fabrikam.com |
Em servidores Standard Edition, o FQDN do servidor é o mesmo que o FQDN do pool. O assistente detecta quaisquer domínios SIP especificados durante a instalação e os adiciona automaticamente ao nome alternativo para a entidade. Você também utiliza este certificado para Autenticação de Servidor para Servidor. |
| Web interna | FQDN do servidor | Cada um dos seguintes: • FQDN web interno (que é o mesmo que o FQDN do servidor) AND • Atender a URLs simples • URL simples de discagem • Administração URL simples OR • Uma entrada curinga para as URLs simples |
SN=se01.contoso.com; SAN=se01.contoso.com; SAN=meet.contoso.com; SAN=meet.fabrikam.com; SAN=dialin.contoso.com; SAN=admin.contoso.com Como usar um certificado curinga: SN=se01.contoso.com; SAN=se01.contoso.com; SAN=*.contoso.com |
Você não pode substituir o FQDN web interno no Construtor de Topologia. Se você tiver várias URLs simples do Meet, deverá incluir todas elas como SANs. As entradas curinga são suportadas pelas entradas de URL simples. |
| Web externa | FQDN do servidor | Cada um dos seguintes: • FQDN web externo AND • URL simples de discagem • Atender a URLs simples por domínio SIP OR • Uma entrada curinga para as URLs simples |
SN=se01.contoso.com; SAN=webcon01.contoso.com; SAN=meet.contoso.com; SAN=meet.fabrikam.com; SAN=dialin.contoso.com Como usar um certificado curinga: SN=se01.contoso.com; SAN=webcon01.contoso.com; SAN=*.contoso.com |
Se você tiver várias URLs simples do Meet, deverá incluir todas elas como nomes alternativos de assunto. As entradas curinga são suportadas pelas entradas de URL simples. |
Certificados para servidores front-end em um pool de Front-End
| Certificado | Nome do assunto/nome comum | Nome alternativo de entidade | Exemplo | Comentários |
|---|---|---|---|---|
| Padrão | FQDN do pool | FQDN do pool e FQDN do servidor Se você tiver vários domínios SIP e tiver habilitado a configuração automática do cliente, o assistente de certificados detectará e adicionará os FQDNs de cada domínio SIP aceito. Se esse pool for o servidor de logon automático para clientes e a correspondência estrita do DNS (Sistema de Nomes de Domínio) for necessária na política de grupo, você também precisará de entradas para sip.sipdomain (para cada domínio SIP que você tem). |
SN=eepool.contoso.com; SAN=eepool.contoso.com; SAN=ee01.contoso.com Se esse pool for o servidor de logon automático para clientes, e se a combinação estrita de DNS for exigida na política do grupo, também serão necessários: SAN=sip.contoso.com; SAN=sip.fabrikam.com |
O assistente detecta quaisquer domínios SIP especificados durante a instalação e os adiciona automaticamente ao nome alternativo para a entidade. Você também utiliza este certificado para Autenticação de Servidor para Servidor. |
| Web interna | FQDN do pool | Cada um dos seguintes: • FQDN web interno (que NÃO é o mesmo que o FQDN do servidor) • Servidor FQDN • Skype for Business pool FQDN AND • Atender a URLs simples • URL simples de discagem • Administração URL simples OR • Uma entrada curinga para as URLs simples |
SN=ee01.contoso.com; SAN=ee01.contoso.com; SAN=meet.contoso.com; SAN=meet.fabrikam.com; SAN=dialin.contoso.com; SAN=admin.contoso.com Como usar um certificado curinga: SN=ee01.contoso.com; SAN=ee01.contoso.com; SAN=*.contoso.com |
Se você tiver várias URLs simples do Meet, deverá incluir todas elas como nomes alternativos de assunto. As entradas curinga são suportadas pelas entradas de URL simples. |
| Web externa | FQDN do pool | Cada um dos seguintes: • FQDN web externo AND • URL simples de discagem • Administração URL simples OR • Uma entrada curinga para as URLs simples |
SN=ee01.contoso.com; SAN=webcon01.contoso.com; SAN=meet.contoso.com; SAN=meet.fabrikam.com; SAN=dialin.contoso.com Como usar um certificado curinga: SN=ee01.contoso.com; SAN=webcon01.contoso.com; SAN=*.contoso.com |
Se você tiver várias URLs simples do Meet, deverá incluir todas elas como nomes alternativos de assunto. As entradas curinga são suportadas pelas entradas de URL simples. |
Certificados para o Diretor
| Certificado | Nome do assunto/nome comum | Nome alternativo de entidade | Exemplo |
|---|---|---|---|
| Padrão | Pool de diretores | FQDN do Director, FQDN do pool director. Se esse pool for o servidor de logon automático para clientes e a correspondência estrita de DNS for necessária na política de grupo, você também precisará de entradas para sip.sipdomain (para cada domínio SIP que você tem). |
pool.contoso.com; SAN=dir01.contoso.com Se esse pool de diretores for o servidor de logon automático para clientes e a correspondência estrita de DNS for necessária na política de grupo, você também precisará de SAN=sip.contoso.com; SAN=sip.fabrikam.com |
| Web interna | FQDN do servidor | Cada um dos seguintes: • FQDN web interno (que é o mesmo que o FQDN do servidor) • Servidor FQDN • Skype for Business pool FQDN AND • Atender a URLs simples • URL simples de discagem • Administração URL simples OR • Uma entrada curinga para as URLs simples |
SN=dir01.contoso.com; SAN=dir01.contoso.com; SAN=meet.contoso.com; SAN=meet.fabrikam.com; SAN=dialin.contoso.com; SAN=admin.contoso.com Como usar um certificado curinga: SN=dir01.contoso.com; SAN=dir01.contoso.com SAN=*.contoso.com |
| Web externa | FQDN do servidor | Cada um dos seguintes: • FQDN web externo AND • Atender a URLs simples por domínio SIP • URL simples de discagem OR • Uma entrada curinga para as URLs simples |
O FQDN da Web externa do Diretor deve ser diferente do pool de Front-End ou do Front End Server. SN=dir01.contoso.com; SAN=directorwebcon01.contoso.com SAN=meet.contoso.com; SAN=meet.fabrikam.com; SAN=dialin.contoso.com Como usar um certificado curinga: SN=dir01.contoso.com; SAN=directorwebcon01.contoso.com SAN=*.contoso.com |
Certificados para Servidor de Mediação Autônomo
| Certificado | Nome do assunto/nome comum | Nome alternativo de entidade | Exemplo |
|---|---|---|---|
| Padrão | FQDN do pool | FQDN do pool FQDN do servidor membro do pool |
SN=medsvr-pool.contoso.net; SAN=medsvr-pool.contoso.net; SAN=medsvr01.contoso.net |
Certificados para o dispositivo branch de sobrevivência (especificamente, dispositivo de ramificação de sobrevivência 2015 para Skype for Business Server 2019)
| Certificado | Nome do assunto/nome comum | Nome alternativo de entidade | Exemplo |
|---|---|---|---|
| Padrão | FQDN do aplicativo | SIP.<sipdomain> (você precisa apenas de uma entrada por domínio SIP) | SN=sba01.contoso.net; SAN=sip.contoso.com; SAN=sip.fabrikam.com |
Certificados para acesso de usuário externo (Borda)
Skype for Business Server 2019 dá suporte ao uso de um único certificado público para interfaces externas do Edge de acesso e conferência web, além do serviço de Autenticação A/V, que é fornecido por meio do Edge Server(s). Sua interface interna do Edge usa um certificado privado emitido por sua AC interna, mas, se preferir, você pode usar um certificado público para isso também, se for de uma AC confiável.
Seu proxy reverso (RP) também usará um certificado público e criptografa a comunicação de seu RP para clientes e o RP para servidores internos usando HTTP (ou, mais precisamente, TLS por HTTP).
Certificados para mobilidade
Se você estiver implantando a mobilidade e estiver dando suporte à descoberta automática para clientes móveis, precisará incluir algumas entradas de nome alternativos de assunto adicionais em seus certificados para dar suporte às conexões seguras dos clientes móveis.
Você precisa de nomes SAN para descoberta automática nos seguintes certificados:
Pool de diretores
Pool de Front-Ends
Proxy reverso
As especificações são listadas nas tabelas a seguir.
É aqui que um pouco de pré-planejamento é bom. Mas, às vezes, você implantou Skype for Business Server 2019 sem a intenção de implantar a mobilidade, e isso aparece mais tarde quando você já tem certificados em seu ambiente. Relançar os certificados por meio de uma AC interna normalmente é muito fácil. Mas para certificados públicos de uma AC pública, isso pode ser um pouco mais caro.
Se essa for a situação que você está olhando e se você tiver muitos domínios SIP (o que tornaria a adição de SANS mais cara), você pode configurar seu proxy reverso para usar HTTP para a solicitação inicial do Serviço de Descoberta Automática em vez de usar HTTPS (a configuração padrão). Para obter mais informações, consulte Planejar mobilidade.
Requisitos do pool de diretores e do certificado de pool do Front End
| Descrição | Entrada do SAN |
|---|---|
| URL interna do serviço de Descoberta Automática | SAN=lyncdiscoverinternal.<sipdomain> |
| URL externa do serviço de Descoberta Automática | SAN=lyncdiscover.<sipdomain> |
Como alternativa, você pode usar SAN=*.<sipdomain>
Requisitos de certificado de Proxy Reverso (AC Pública)
| Descrição | Entrada do SAN |
|---|---|
| URL externa do serviço de Descoberta Automática | SAN=lyncdiscover.<sipdomain> |
Essa SAN deve ser atribuída ao certificado atribuído ao Ouvinte SSL em seu proxy reverso.
Nota
Seu ouvinte de proxy reverso terá SANs para suas URLs externas dos Serviços Web. Alguns exemplos seriam SAN=skypewebextpool01.contoso.com e dirwebexternal.contoso.com, se você tiver implantado o Director (opcional).
Compartilhamento de arquivos
Skype for Business Server 2019 pode usar o mesmo compartilhamento de arquivos para todo o armazenamento de arquivos. Você deve ter o seguinte em mente:
Um compartilhamento de arquivo deve estar no DAS (armazenamento anexado direto) ou em uma SAN (rede de área de armazenamento). Esse requisito inclui o DFS (Sistema de Arquivos Distribuídos) e também uma matriz redundante de discos independentes (RAID) para armazenamentos de arquivos. Para obter mais informações sobre o DFS para Windows Server 2012, consulte Visão geral de Namespaces do DFS e de Replicação do DFS.
Recomendamos que você use um cluster compartilhado para o compartilhamento de arquivos. Se você já estiver usando um, deverá agrupar Windows Server 2012 ou versões posteriores.
Nota
Por que o Windows mais recente? Versões anteriores podem não ter as permissões certas para habilitar todos os recursos. Você pode usar o Administrador de Cluster para criar os compartilhamentos de arquivo. Para obter mais informações, consulte Como criar compartilhamentos de arquivos em um cluster.
Cuidado
Você deve saber que não há suporte para usar o NAS (armazenamento anexado à rede) como um compartilhamento de arquivos. Portanto, use uma das opções listadas aqui. Essa limitação de suporte é causada pelo design variável de dispositivos NAS que precisam fornecer adaptabilidade do sistema de arquivos ao computador baseado no Windows Server que acessa o sistema de arquivos compartilhado dos dispositivos.