Развертывание топологии леса ресурсовDeploy a resource forest topology

В следующих разделах приведены указания по настройке среды с несколькими лесами в модели леса ресурсов и пользователей для предоставления функциональных возможностей Skype для бизнеса в гибридном сценарии.The following sections provide guidance on how to configure an environment that has multiple forests in a resource/user forest model to provide Skype for Business functionality in a hybrid scenario.

Среда с несколькими лесами для гибридного развертывания

Требования к топологииTopology requirements

Поддерживается несколько лесов пользователей.Multiple user forests are supported. Учитывайте следующее:Keep the following in mind:

Рекомендации по поддержке пользователейUser homing considerations

Пользователи Skype для бизнеса, размещенные в локальной организации, могут использовать локальное или сетевое подключение Exchange.Skype for Business users homed on premises can have Exchange homed on premises or online. Пользователям Skype для бизнеса Online рекомендуется использовать Exchange Online для оптимальной работы; Однако это не обязательно.Skype for Business Online users should use Exchange Online for an optimal experience; however, this is not required. Локальная служба Exchange не требуется для реализации Skype для бизнеса в обоих случаях.Exchange on premises is not required to implement Skype for Business in either case.

Настройка доверий лесовConfigure forest trusts

В топологии с лесом ресурсов для лесов ресурсов, использующих Skype для бизнеса Server, необходимо доверять каждому лесу учетных записей, содержащему учетные записи пользователей, которые будут иметь к нему доступ.In a resource forest topology, the resource forests hosting Skype for Business Server must trust each account forest that contains users' accounts that will access it. Если у вас есть несколько лесов пользователей, для включения проверки подлинности между лесами важно, чтобы Маршрутизация суффиксов имен включалась для каждого из этих доверий лесов.If you have multiple user forests, to enable cross-forest authentication it is important that Name Suffix Routing is enabled for each of these forest trusts. Инструкции см в разделе Управление довериями лесов.For instructions, see Managing Forest Trusts. Если сервер Exchange Server развернут в другом лесу и предоставляет функциональные возможности для пользователей Skype для бизнеса, то Exchange с размещением в лесу должен доверять лесу, на котором размещается Skype для бизнеса Server.If you have Exchange Server deployed in an another forest and it provides functionality for Skype for Business users, the forest hosting Exchange must trust the forest hosting Skype for Business Server. Например, если Exchange был развернут в лесу учетных записей, это будет эффективно приводилось к двум сторонам доверия между учетными записями и лесами Skype для бизнеса в этой конфигурации.For example, if Exchange were deployed in the account forest, this would effectively mean a two-way trust between account and Skype for Business forests is required in that configuration.

Синхронизация учетных записей в лесу, в котором размещается Skype для бизнесаSynchronize accounts into the forest hosting Skype for Business

При развертывании Skype для бизнеса Server в одном лесу (лесу ресурсов), но предоставляет функциональные возможности пользователям в одном или нескольких других лесах (лесах учетных записей), пользователи в других лесах должны быть представлены как отключенные объекты пользователей в лесу, где Skype для Развернут бизнес-сервер.When Skype for Business Server is deployed in one forest (a resource forest), but provides functionality to users in one or more other forests (account forests), users in the other forests must be represented as disabled user objects in the forest where Skype for Business Server is deployed. Продукт управления удостоверениями, такой как Microsoft Identity Manager, должен быть развернут и настроен для подготовки и синхронизации пользователей из лесов с учетными записями в лесу, в котором развернута служба Skype для бизнеса Server.An identity management product, such as Microsoft Identity Manager, needs to be deployed and configured to provision and synchronize the users from the account forests into the forest where Skype for Business Server is deployed. Пользователи должны синхронизироваться с лесом, на котором размещается Skype для бизнеса Server, как отключенные объекты пользователя.Users must be synchronized into the forest hosting Skype for Business Server as disabled user objects. Пользователи не могут синхронизироваться как объекты контактов Active Directory, так как Azure Active Directory Connect не будет правильно синхронизировать контакты в Azure AD для использования в Skype.Users cannot be synchronized as Active Directory contact objects, because Azure Active Directory Connect will not properly synchronize contacts into Azure AD for use with Skype.

Независимо от конфигурации с несколькими лесами, в лесу, где размещается Skype для бизнеса Server, также могут предоставляться функциональные возможности для всех включенных пользователей, которые находятся в том же лесу.Regardless of any multi-forest configuration, the forest hosting Skype for Business Server can also provide functionality for any enabled users that exist in the same forest.

Чтобы обеспечить правильную синхронизацию удостоверений, необходимо синхронизировать следующие атрибуты:To get proper identity synchronization, the following attributes need to be synchronized:

Леса пользователяUser forests Леса ресурсовResource forests
атрибут ссылки на выбранную учетную записьchosen account link attribute
атрибут ссылки на выбранную учетную записьchosen account link attribute
mailmail
mailmail
ProxyAddressesProxyAddresses
ProxyAddressesProxyAddresses
ObjectSIDObjectSID
msRTCSIP — ОригинаторсидmsRTCSIP-OriginatorSID

Выбранный атрибут связи с учетной записью будет использоваться в качестве привязки источника.The chosen account link attribute will be used as the Source Anchor. Если вы предпочитаете использовать другой и неизменяемый атрибут, вы можете сделать это. обязательно измените правило утверждений AD FS и выберите атрибут во время настройки подключения AAD.If you have a different and immutable attribute that you would prefer to use, you may do so; just be sure to edit the AD FS claims rule and select the attribute during the AAD Connect configuration.

Не синхронизируйте UPN между лесами.Do not sync the UPNs between the forests. Во время тестирования мы обнаружили, что нам требовалось использовать уникальное имя участника-пользователя для каждого леса пользователя, так как вы не можете использовать одно и то же имя участника-пользователя в нескольких лесах.We found during testing that we needed to use a unique UPN for each user forest, as you cannot use the same UPN across multiple forests. В результате мы предоставим две возможности для синхронизации имени участника-пользователя или не синхронизации.As a result, we were presented with two possibilities, to synchronize the UPN or to not synchronize.

  • Если уникальное имя участника-пользователя из каждого леса пользователя не было синхронизировано со связанным отключенным объектом в лесу ресурсов, единый вход (SSO) будет прерван по крайней мере при первой попытке входа (предполагая, что пользователь выбрал параметр для сохранения пароля).If the unique UPN from each user forest was not synchronized to the associated disabled object in the resource forest, single sign-on (SSO) would be broken for at least the initial sign-in attempt (assuming the user selected the option to save password). В клиенте Skype для бизнеса предполагается, что значения SIP/UPN одинаковы.In the Skype for Business client, we assume that the SIP/UPN values are the same. Так как SIP-адрес в этом сценарии является user@company.com, но имя участника-пользователя включенного объекта в лесу пользователя находится в самом деле user@contoso.company.com, при первоначальном входе в систему произойдет сбой, а пользователю будет предложено ввести учетные данные.Since the SIP address in this scenario is user@company.com, but the UPN of the enabled object in the user forest is in fact user@contoso.company.com, the initial login attempt would fail and the user would be prompted to enter credentials. После ввода правильного или фактического имени участника-пользователя запрос на проверку подлинности будет выполнен для контроллеров домена в лесу пользователя, и вход будет успешным.Upon entering their correct/actual UPN, the authentication request would be completed against the domain controllers in the user forest, and sign-in would be successful.

  • Если уникальное имя участника-пользователя из каждого леса пользователя синхронизировано со связанным отключенным объектом в лесу ресурсов, проверка подлинности AD FS завершится неуспешно.If the unique UPN from each user forest was synchronized to the associated disabled object in the resource forest, AD FS authentication would fail. Правило сравнения будет искать имя участника-пользователя для объекта в лесу ресурсов, который был отключен и не может использоваться для проверки подлинности.The matching rule would find the UPN on the object in the resource forest, which was disabled and could not be used for authentication.

Создание клиента Office 365Create an Office 365 tenant

После этого потребуется подготовить клиент Office 365 для использования в развертывании.You will next need to provision an Office 365 tenant to use with your deployment. Дополнительные сведения см. в разделе подписки, лицензии, учетные записи и клиенты для облачных услуг Майкрософт.For more information, please see Subscriptions, licenses, accounts, and tenants for Microsoft's cloud offerings.

Настройка служб федерации Active DirectoryConfigure Active Directory Federation Services

После получения клиента вам потребуется настроить службы федерации Active Directory (AD FS) в каждом из лесов пользователя.Once you have a tenant, you will need to configure Active Directory Federation Services (AD FS) in each of the user forests. Предполагается, что у вас есть уникальный SIP и SMTP-адрес и имя участника-пользователя (UPN) для каждого леса.This assumes you have a unique SIP and SMTP address and User Principal Name (UPN) for each forest. AD FS является необязательным и используется здесь для получения единого входа (SSO).AD FS is optional and is used here to get single sign-on (SSO). Кроме того, поддерживаются DirSync с синхронизацией паролей, которые также можно использовать вместо AD FS.DirSync with Password Sync is also supported and can also be used in place of AD FS.

Тестировались только развертывания с соответствующими SIP/SMTP и UPN.Only deployments with matching SIP/SMTP and UPNs were tested. Отсутствие совпадения SIP/SMTP/UPN может привести к снижению функциональных возможностей, таких как проблемы с интеграцией Exchange и единым входом.Not having matching SIP/SMTP/UPNs may result in reduced functionality, such as problems with Exchange integration and SSO.

Если вы не используете уникальный SIP/SMTP/UPN для пользователей из каждого леса, вы по-прежнему можете запускать проблемы единого входа независимо от того, где развернута служба AD FS:Unless you use a unique SIP/SMTP/UPN for users from each forest, you can still run into SSO problems, regardless of where AD FS is deployed:

  • Односторонние или двусторонние отношения доверия между лесами ресурсов и пользователей с фермой AD FS, развернутой в каждом лесе пользователя, все пользователи совместно используют общий домен SIP/SMTP, но уникальный UPN для каждого леса пользователей.One-way or two-way trusts between resource/user forests with AD FS farm deployed in each user forest, all users share common SIP/SMTP domain but unique UPN for each user forest.

  • Двусторонние отношения доверия между лесами ресурсов и пользователей с фермой AD FS, развернутыми только в лесу ресурсов, все пользователи совместно используют общий домен SIP/SMTP, но уникальный UPN для каждого леса пользователей.Two-way trusts between resource/user forests with AD FS farm deployed only in resource forest, all users share common SIP/SMTP domain but unique UPN for each user forest.

Поместив ферму AD FS в каждом лесу пользователей и используя уникальный SIP/SMTP/UPN для каждого леса, мы решаем обе проблемы.By placing an AD FS farm in each user forest and using a unique SIP/SMTP/UPN for each forest, we resolve both issues. При попытке проверки подлинности будет выполняться поиск только учетных записей в определенном лесе пользователя.Only the accounts in that specific user forest would be searched and matched during authentication attempts. Это обеспечивает более гладкую процедуру проверки подлинности.This will help provide a more seamless authentication process.

Это будет стандартное развертывание Windows Server 2012 R2 AD FS, которое должно работать перед продолжением работы.This will be a standard deployment of the Windows Server 2012 R2 AD FS and should be working before continuing. Инструкции по установке AD FS 2012 R2 для Office 365.For instructions, see How To Install AD FS 2012 R2 For Office 365.

После развертывания необходимо изменить правило утверждений в отношении исходной привязки, выбранной ранее.Once deployed, you then have to edit the claims rule to match the Source Anchor selected earlier. В консоли управления (MMC) AD FS в разделе отношения доверия с проверяющей стороной щелкните правой кнопкой мыши элемент платформа удостоверений Microsoft Office 365и выберите команду изменить правила утверждений.In the AD FS MMC, under Relying Party Trusts, right-click Microsoft Office 365 Identity Platform, and then click Edit Claim Rules. Измените первое правило и замените ObjectSID на емплойинумбер.Edit the first rule, and change ObjectSID to employeeNumber.

Экран правил изменения нескольких лесов

Настройка подключения AADConfigure AAD Connect

В топологии лесов ресурсов необходимо, чтобы атрибуты пользователя из леса ресурсов и из всех лесов учетных записей синхронизировались в Azure AD.In resource forest topologies, it’s required that user attributes from both the resource forest and any account forests(s) are synchronized into Azure AD. Самый простой и рекомендуемый способ сделать это — использовать Azure AD Connect для синхронизации и объединения удостоверений пользователей из всех лесов с включенными учетными записями пользователей и лесом, содержащим Skype для бизнеса.The simplest and recommended way to do this is to have Azure AD Connect synchronize and merge user identities from all forests that have enabled user accounts and the forest that contains Skype for Business. Дополнительные сведения см. в статье Настройка Azure AD Connect для Skype для бизнеса и Teams.For details see, Configure Azure AD Connect for Skype for Business and Teams.

Обратите внимание, что AAD Connect не обеспечивает локальную синхронизацию между лесами учетных записей и ресурсов.Note that AAD Connect does not provide synchronization on premises between the account and resource forests. Необходимо настроить отдельно с помощью Microsoft Identity Manager или аналогичного продукта, как описано выше.That must be separately configured using Microsoft Identity Manager or similar product, as described earlier.

После завершения слияния и объединения с AAD Connect, если взглянуть на объект в метавселенной, вы увидите нечто подобное:When finished and AAD Connect is merging, if you look at an object in the metaverse, you should see something similar to this:

Экран объекта метавселенной с несколькими лесами

Выделенные зеленые атрибуты были объединены в Office 365, желтые — из леса пользователя, а синие — из леса ресурсов.The green highlighted attributes were merged from Office 365, the yellow are from the user forest, and the blue are from the resource forest.

Это тестовый пользователь, и вы можете видеть, что приложение AAD Connect определило Саурцеанчор и Клаудсаурцеанчор от пользователей и объектов леса ресурсов из Office 365, в нашем случае 1101, который выбран ранее Емплойинумбер.This is a test user, and you can see that AAD Connect has identified the sourceAnchor and the cloudSourceAnchor from the user and the resource forest objects from Office 365, in our case 1101, which is the employeeNumber selected earlier. Затем он мог объединить этот объект со сведениями, приведенными выше.It then was able to merge this object into what you see above.

Дополнительные сведения см. в статье интеграция локальных каталогов с Azure Active Directory.For more information, see Integrate your on-premises directories with Azure Active Directory.

Подключение AAD следует устанавливать с использованием параметров по умолчанию, за исключением следующих:AAD Connect should be installed using the defaults, except for the following:

  1. Единый вход: с развернутым и работающим AD FS: выберите не настраивать.Single sign-in - with AD FS already deployed and working: Select Do not configure.

  2. Подключите каталоги: Добавьте все домены.Connect your directories: Add all of the domains.

  3. Идентификация пользователей в локальных каталогах: выберите удостоверения пользователей существуют в нескольких каталогахи выберите атрибуты ObjectSID и msexchangemasteraccountsid. .Identify users in on-premises directories: Select User identities exist across multiple directories, and select the ObjectSID and msExchangeMasterAccountSID attributes.

  4. Идентификация пользователей в Azure AD: источник привязки: выберите атрибут, который вы выбрали после чтения, выбрав хороший атрибут саурцеанчор, имя участника пользователя — userPrincipalName.Identify users in Azure AD: Source Anchor: Select the attribute you've chosen after reading Selecting a good sourceAnchor attribute, User Principal Name - userPrincipalName.

  5. Необязательные функции: выберите, развернута ли гибридная среда Exchange.Optional features: Select whether you have Exchange hybrid deployed.

    Примечание

    Если у вас только Exchange Online, возможны проблемы с ошибками OAuth во время автообнаружения из-за перенаправления CNAME.If you have only Exchange Online, there could be an issue with OAuth failures during autodiscover because of CNAME redirection. Чтобы исправить это, необходимо задать URL-адрес автообнаружения Exchange, выполнив следующий командлет в командной консоли Skype для бизнеса Server:To correct this, you will need to set the Exchange Autodiscover URL by running the following cmdlet from the Skype for Business Server Management Shell:

    Set – CsOAuthConfiguration — Ексчанжеаутодисковерурл https://Autodiscover-s.Outlook.com/Autodiscover/Autodiscover.svcSet-CsOAuthConfiguration -ExchangeAutoDiscoverURL https://autodiscover-s.outlook.com/autodiscover/autodiscover.svc

  6. Ферма AD FS: выберите использовать существующую ферму AD FS Windows Server 2012 R2 и введите имя сервера AD FS.AD FS Farm: Select Use an existing Windows Server 2012 R2 AD FS farm and enter the name of the AD FS server.

  7. Завершите работу мастера и выполните необходимые проверки.Finish the wizard and perform the necessary validations.

Настройка гибридного подключения для Skype для бизнеса ServerConfigure hybrid connectivity for Skype for Business Server

Следуйте рекомендациям по настройке гибридной среды Skype для бизнеса.Follow the best practices for configuring Skype for Business hybrid. Для получения дополнительных сведений ознакомьтесь со статьей планирование гибридного подключения и Настройка гибридного подключения.For more information information, see Plan hybrid connectivity and Configure hybrid connectivity.

Настройка гибридного подключения для Exchange ServerConfigure hybrid connectivity for Exchange Server

При необходимости следуйте рекомендациям по настройке гибридной среды Exchange.If necessary, follow the best practices for configuring Exchange hybrid. Для получения дополнительных сведений обратитесь к разделу Гибридные развертывания Exchange Server.For more information, see Exchange Server Hybrid Deployments.