Implantar uma topologia de floresta de recursos

  • Artigo

Importante

Skype for Business Online operado pela 21Vianet na China será desativado em 1º de outubro de 2023. Se você ainda não tiver atualizado seus usuários do Skype for Business Online, eles serão agendados automaticamente para uma atualização assistida. Se você quiser atualizar sua organização para o Teams por conta própria, recomendamos que você comece a planejar seu caminho de atualização hoje. Lembre-se de que uma atualização bem-sucedida alinha a preparação técnica e do usuário, portanto, aproveite nossas diretrizes de atualização à medida que você navega até o Teams.

Skype for Business Online, excluindo o serviço operado pela 21Vianet na China, foi desativado em 31 de julho de 2021.

As seções a seguir descrevem como configurar um ambiente que tem várias florestas em um modelo de floresta de recursos/usuário para fornecer funcionalidade em um cenário híbrido.

Ambiente de várias florestas para híbridos.

Requisitos de topologia

Há compatibilidade para múltiplas florestas de usuários. Considere o seguinte:

  • Para versões com suporte do Lync Server e Skype for Business Server em uma configuração híbrida, consulte Planejar conectividade híbrida.

  • Exchange Server pode ser implantado em uma ou mais florestas, que podem ou não incluir a floresta que contém Skype for Business Server. Verifique se você aplicou a atualização cumulativa mais recente.

  • Para obter detalhes sobre a coexistência com o Exchange Server, incluindo os critérios e as limitações de suporte em várias combinações de local e online, consulte Suporte aos recursos em Plan to integrate Skype for Business and Exchange.

Considerações de hospedagem do usuário

Skype for Business usuários hospedados no local podem ter o Exchange hospedado no local ou online. Os usuários do Teams devem usar Exchange Online para uma experiência ideal; no entanto, isso não é necessário. O Exchange local não é necessário para implementar Skype for Business em ambos os casos.

Configurar trusts florestais

Em uma topologia de floresta de recursos, as florestas de recursos que hospedam Skype for Business Server devem confiar em cada floresta de conta que contém as contas dos usuários que a acessarão.

Se você tiver várias florestas de usuário, para habilitar a autenticação entre florestas, é importante que o Roteamento de Sufixo de Nome esteja habilitado para cada uma dessas confianças florestais. Para obter instruções, consulte Gerenciando confianças florestais.

Se você tiver Exchange Server implantado em outra floresta e o Exchange fornecer funcionalidade para usuários Skype for Business, o Exchange de hospedagem florestal deverá confiar na Skype for Business Server de hospedagem da floresta. Por exemplo, se o Exchange tiver sido implantado na floresta de contas, será necessária uma confiança bidirecional entre a conta e as florestas de Skype for Business.

Sincronizar contas no Skype for Business de hospedagem da floresta

Suponha que Skype for Business Server seja implantado em uma floresta (uma floresta de recursos), mas forneça funcionalidade aos usuários em uma ou mais florestas (florestas de conta). Nesse caso, os usuários nas outras florestas devem ser representados como objetos de usuário desabilitados na floresta em que Skype for Business Server é implantado.

Você precisa usar um produto de gerenciamento de identidade, como Microsoft Identity Manager, para provisionar e sincronizar os usuários das florestas de conta na floresta onde Skype for Business Server é implantado. Os usuários devem ser sincronizados na floresta que hospeda Skype for Business Server como objetos de usuário desabilitados. Os usuários não podem ser sincronizados como objetos de contato do Active Directory, pois Microsoft Entra Connect não sincronizará corretamente os contatos em Microsoft Entra ID para uso com o Skype.

Independentemente de qualquer configuração de várias florestas, o Skype for Business Server de hospedagem da floresta também pode fornecer funcionalidade para todos os usuários habilitados que existem na mesma floresta.

Para obter a sincronização de identidades, os seguintes atributos precisam ser sincronizados:

Florestas de usuário Florestas de recursos
atributo de link da conta escolhida
 atributo de link da conta escolhida
email
email
ProxyAddresses
 ProxyAddresses
ObjectSID
 msRTCSIP-OriginatorSID

O atributo de link de conta escolhido será usado como âncora de origem. Se você tiver um atributo diferente e imutável que prefere usar, poderá fazê-lo; basta editar a regra de declarações do AD FS e selecionar o atributo durante a configuração do Microsoft Entra Connect.

Não sincronize as UPNs entre as florestas. Você precisa usar um UPN exclusivo para cada floresta de usuário, pois não é possível usar o mesmo UPN em várias florestas. Como resultado, há duas possibilidades: sincronizar o UPN ou não sincronizar.

  • Se o UPN exclusivo de cada floresta de usuário não fosse sincronizado com o objeto desabilitado associado na floresta de recursos, o SSO (logon único) seria quebrado para pelo menos a tentativa de entrada inicial (supondo que o usuário tenha selecionado a opção de salvar a senha). No Skype for Business cliente, supomos que os valores SIP/UPN sejam os mesmos. Como o endereço SIP nesse cenário é user@company.com, mas o UPN do objeto habilitado na floresta de usuário é de fato user@contoso.company.com, a tentativa de logon inicial falharia e o usuário seria solicitado a inserir credenciais. Ao inserir o UPN correto, a solicitação de autenticação seria concluída em relação aos controladores de domínio na floresta de usuário e a entrada seria bem-sucedida.

  • Se o UPN exclusivo de cada floresta de usuário foi sincronizado com o objeto desabilitado associado na floresta de recursos, a autenticação do AD FS falhará. A regra correspondente encontrará o UPN do objeto na floresta de recurso, que foi desabilitado e não pode ser utilizado para a autenticação.

Criar uma organização do Microsoft 365

Você precisará provisionar uma organização do Microsoft 365 para usar com sua implantação. Para obter mais informações, consulte Assinaturas, licenças, contas e locatários para ofertas de nuvem da Microsoft.

Configurar Serviços de Federação do Active Directory (AD FS)

Depois de ter um locatário, você precisará configurar Serviços de Federação do Active Directory (AD FS) (AD FS) em cada uma das florestas de usuário. Isto assume que você tem um SIP e endereço SMTP exclusivos, além de um UPN (nome principal de usuário) para cada floresta. O AD FS é opcional e é usado aqui para obter o SSO (logon único). O DirSync com sincronização de senha também é suportado e também pode ser usado no lugar do AD FS.

Testamos somente implantações com SIP, SMPT e UPNs correspondentes. Não ter SIP/SMTP/UPNs correspondentes pode resultar em funcionalidades reduzidas, como problemas com a integração do Exchange e o SSO.

A menos que você use um SIP/SMTP/UPN exclusivo para usuários de cada floresta, você ainda pode encontrar problemas de SSO, independentemente de onde o AD FS está implantado:

  • Relações de uma ou duas vias entre florestas de recursos/usuários com o farm AD FS implantado em cada floresta de usuário, todos os usuários compartilham um domínio SIP/SMTP mas, o UPN é exclusivo para cada floresta de usuário.

  • Relações de duas vias entre florestas de recursos/usuários com o farm AD FS implantado somente na floresta de recurso, todos os usuários compartilham um domínio SIP/SMTP mas, o UPN é exclusivo para cada floresta de usuário.

Solucionamos os dois problemas ao usar um farm AD FS em cada floresta de usuário e um SIP/SMTP/UPN exclusivo para cada floresta. Apenas as contas dessa floresta de usuário específico poderiam ser pesquisadas e pareadas durante as tentativas de autenticação. Isso ajudará a oferecer um processo de autenticação mais contínuo.

Essa implantação será uma implantação padrão do Windows Server 2012 R2 AD FS e deve estar funcionando antes de continuar. Para obter instruções, consulte Como instalar o AD FS 2012 R2 para Microsoft 365.

Depois de implantado, você precisa editar a regra de declarações para corresponder à Âncora de Origem selecionada anteriormente. No MMC do AD FS, em Trusts de Parte Confiável, clique com o botão direito do mouse em Plataforma de Identidade do Microsoft 365 ou Microsoft Office 365 Plataforma de Identidade e selecione Editar Regras de Declaração. Edite a primeira regra e altere ObjectSID para employeeNumber.

Tela de regras de edição de várias florestas.

Configurar Microsoft Entra Connect

Em topologias de floresta de recursos, é necessário que os atributos de usuário da floresta de recursos e de todas as florestas de conta sejam sincronizados em Microsoft Entra ID. A Microsoft recomenda que Microsoft Entra Conectar sincronizar e mesclar identidades de usuário de todas as florestas que habilitaram contas de usuário e a floresta que contém Skype for Business. Para obter detalhes, confira Configurar Microsoft Entra Conectar para Skype for Business e Teams.

Observe que Microsoft Entra Connect não fornece sincronização no local entre a conta e as florestas de recursos. Isso deve ser configurado usando Microsoft Identity Manager ou um produto semelhante, conforme descrito anteriormente.

Quando concluído e Microsoft Entra Connect estiver se mesclando, se você olhar para um objeto no metaverso, verá algo semelhante ao seguinte:

Tela de objeto metaverso de várias florestas.

Os atributos realçados verdes foram mesclados do Microsoft 365, os amarelos são da floresta de usuários e os azuis são da floresta de recursos.

Neste exemplo, Microsoft Entra Connect identificou o sourceAnchor e o cloudSourceAnchor do usuário e os objetos de floresta de recursos do Microsoft 365, nesse caso 1101 -- o funcionárioNumber selecionado anteriormente. Microsoft Entra Connect foi capaz de mesclar esse objeto no que você vê acima.

Para obter mais informações, consulte Integrar seus diretórios locais com Microsoft Entra ID.

Microsoft Entra Connect deve ser instalado usando os padrões, exceto para as seguintes situações:

  1. Entrada única – com o AD FS já implantado e funcionando: Selecione Não configurar.

  2. Conectar seus diretórios: adicione todos os domínios.

  3. Identificar usuários em diretórios locais: selecione Identidades de usuário existem em vários diretórios e selecione os atributos ObjectSID e msExchangeMasterAccountSID .

  4. Identificar usuários em Microsoft Entra ID: Âncora de origem: selecione o atributo que você escolheu depois de ler Selecionar um bom atributo sourceAnchor, Nome da Entidade de Usuário – userPrincipalName.

  5. Recursos opcionais: selecione se você tem o Exchange híbrido implantado.

    Nota

    Se você tiver somente o Exchange Online, pode haver um problema com falhas de OAuth durante a descoberta automática devido ao redirecionamento de CNAME. Para corrigir isso, você precisará definir a URL de Descoberta Automática do Exchange executando o seguinte cmdlet do Shell de Gerenciamento de Skype for Business Server:

    Set-CsOAuthConfiguration -ExchangeAutoDiscoverURL https://autodiscover-s.outlook.com/autodiscover/autodiscover.svc

  6. Farm AD FS: selecione Usar um farm do AD FS do Windows Server 2012 R2 existente e insira o nome do servidor do AD FS.

  7. Conclua o assistente e realize as validações necessárias.

Configurar a conectividade híbrida para Skype for Business Server

Siga as melhores práticas para configurar Skype for Business híbrido. Para obter mais informações, confira Planejar conectividade híbrida e Configurar conectividade híbrida.

Configurar a conectividade híbrida para Exchange Server

Se necessário, siga as práticas recomendadas para configuração híbrida do Exchange. Para obter mais informações, consulte Exchange Server Implantações Híbridas.