Настройка гибридной среды в Skype для бизнеса Server 2015Configure a hybrid environment in Skype for Business Server 2015

Сводка: Настройка Скайп для Business Server 2015 в гибридной среде.Summary: Configure Skype for Business Server 2015 in a hybrid environment.

В гибридной конфигурации некоторые пользователи размещаются в локальной установки Скайп для Business Server 2015 в то время как другие пользователи размещаются в версии Office 365 Скайп для Business Server.In a hybrid configuration, some of your users are homed on an on-premises installation of Skype for Business Server 2015 while other users are homed on the Office 365 version of Skype for Business Server. Чтобы настроить проверку подлинности сервер сервер в гибридной среде, необходимо настроить своей локальной установки Скайп для 2015 Business Server для доверия серверу авторизации Office 365.In order to configure server-to-server authentication in a hybrid environment, you must first configure your on-premises installation of Skype for Business Server 2015 to trust the Office 365 authorization server. Первым шагом этот процесс может быть выполнено, выполнив следующие Скайп для скрипта консоли Business Server:The initial step in this process can be carried out by running the following Skype for Business Server Management Shell script:

$TenantID = (Get-CsTenant -Filter {DisplayName -eq "Fabrikam.com"}).TenantId

$sts = Get-CsOAuthServer microsoft.sts -ErrorAction SilentlyContinue

   if ($sts -eq $null)
      {
         New-CsOAuthServer microsoft.sts -MetadataUrl "https://accounts.accesscontrol.windows.net/$TenantId/metadata/json/1"
      }
   else
      {
         if ($sts.MetadataUrl -ne  "https://accounts.accesscontrol.windows.net/$TenantId/metadata/json/1")
            {
               Remove-CsOAuthServer microsoft.sts
               New-CsOAuthServer microsoft.sts -MetadataUrl "https://accounts.accesscontrol.windows.net/$TenantId/metadata/json/1"
            }
        }

$exch = Get-CsPartnerApplication microsoft.exchange -ErrorAction SilentlyContinue

if ($exch -eq $null)
   {
      New-CsPartnerApplication -Identity microsoft.exchange -ApplicationIdentifier 00000002-0000-0ff1-ce00-000000000000 -ApplicationTrustLevel Full -UseOAuthServer
    }
else
    {
       if ($exch.ApplicationIdentifier -ne "00000002-0000-0ff1-ce00-000000000000")
          {
             Remove-CsPartnerApplication microsoft.exchange
             New-CsPartnerApplication -Identity microsoft.exchange -ApplicationIdentifier 00000002-0000-0ff1-ce00-000000000000 -ApplicationTrustLevel Full -UseOAuthServer 
          }
       else
          {
             Set-CsPartnerApplication -Identity microsoft.exchange -ApplicationTrustLevel Full -UseOAuthServer
          }
   }

Set-CsOAuthConfiguration -ServiceName 00000004-0000-0ff1-ce00-000000000000

Помните о том, что имя области для клиента обычно отличается от имени организации; на деле имя области почти всегда совпадает с идентификатором клиента. Поэтому первая строка скрипта используется для получения значения свойства TenantId для заданного клиента (в данном случае это fabrikam.com) и последующего назначения этого имени переменной $TenantId:Keep in mind that the realm name for a tenant is typically different than the organization name; in fact, the realm name is almost always the same as the tenant ID. Because of that, the first line in the script is used to return the value of the TenantId property for the specified tenant (in this case, fabrikam.com) and then assign that name to the variable $TenantId:

$TenantID = (Get-CsTenant -DisplayName "Fabrikam.com").TenantId

После выполнения скрипта необходимо настроить отношения доверия между Скайп для Business Server 2015 и сервера авторизации и второй отношения доверия между Exchange 2013 и сервера авторизации.After the script completes, you must then configure a trust relationship between Skype for Business Server 2015 and the authorization server, and a second trust relationship between Exchange 2013 and the authorization server. Это возможно только с помощью командлетов Microsoft Online Services.This can only be done by using the Microsoft Online Services cmdlets.

Примечание

Если командлеты Microsoft Online Services не установлены, потребуется выполнить две операции перед тем, как продолжить.If you have not installed the Microsoft Online Services cmdlets, you will need to do two things before proceeding. Во-первых, скачайте и установите 64-разрядную версию помощника по входу в Microsoft Online Services.First, download and install the 64-bit version of the Microsoft Online Services Sign-in Assistant. После завершения установки, загрузите и установите 64-разрядная версия Microsoft Online Services модуль для Windows PowerShell.After installation is complete, download and install the 64-bit version of the Microsoft Online Services Module for Windows PowerShell. Подробные сведения по установке и использованию модуль Microsoft Online Services можно найти на веб-сайте Office 365.Detailed information for installing and using the Microsoft Online Services Module can be found on the Office 365 web site. Эти инструкции также можно узнать, как настроить единый вход, федерации и синхронизации между Office 365 и Active Directory.These instructions will also tell you how to configure single sign-on, federation, and synchronization between Office 365 and Active Directory.

Если вы не выполнили установку этих командлетов, то произойдет сбой вашего сценария, так как командлет Get-CsTenant будет недоступен.If you have not installed these cmdlets your script will fail because the Get-CsTenant cmdlet will not be available.

После настройки Office 365, и после создания Office 365 субъектов-служб для Скайп Business Server 2015 и Exchange 2013, затем нужно зарегистрировать свои учетные данные в этих субъектов-служб.After you have configured Office 365, and after you have created Office 365 service principals for Skype for Business Server 2015 and Exchange 2013, you will then need to register your credentials with these service principals. Для этого необходимо сначала получить X.509 Base64 в виде файла CER.In order to do this, you must first obtain an X.509 Base64 saved as a .CER file. Этот сертификат затем будет применяться к участников службы Office 365.This certificate will then be applied to the Office 365 service principals.

После получения сертификата X.509, начать модуль Microsoft Online Services (нажмите кнопку Пуск, последовательно выберите пункты Все программы, щелкните Microsoft Online Servicesи нажмите кнопку Microsoft Online Services модуль для Windows PowerShell).When you have obtained the X.509 certificate, start the Microsoft Online Services Module (click Start, click All Programs, click Microsoft Online Services, and then click Microsoft Online Services Module for Windows PowerShell). После открытия модуля службы, введите следующие действия, чтобы импортировать модуль Microsoft Online Windows PowerShell, содержащий командлетов, которые можно использовать для управления субъектов-служб:After the Services Module opens, type the following to import the Microsoft Online Windows PowerShell module containing the cmdlets that can be used to manage service principals:

Import-Module MSOnlineExtended

По завершении импорта модуля введите следующую команду и нажмите клавишу ВВОД для подключения к Office 365:When the module has been imported, type the following command and then press ENTER in order to connect to Office 365:

Connect-MsolService

При нажатии клавиши Enter отображается диалоговое окно учетных данных.After you press ENTER, a credentials dialog box will appear. В диалоговом окне введите имя пользователя Office 365 и пароль и нажмите кнопку ОК.Enter your Office 365 user name and password in the dialog box, and then click OK.

Как только вы подключены к Office 365, можно затем выполните следующую команду для получения информации о субъектах:As soon as you are connected to Office 365, you can then run the following command in order to return information about your service principals:

Get-MsolServicePrincipal

Команда возвращает для всех субъектов-служб сведения, похожие на следующие:You should get back information similar to this for all your service principals:

ExtensionData        : System.Runtime.Serialization.ExtensionDataObject
AccountEnabled       : True
Addresses            : {}
AppPrincipalId       : 00000004-0000-0ff1-ce00-000000000000
DisplayName          : Skype for Business Server
ObjectId             : aada5fbd-c0ae-442a-8c0b-36fec40602e2
ServicePrincipalName : SkypeForBusinessServer/litwareinc.com
TrustedForDelegation : True

На следующем шаге выполняется импорт, кодирование и назначение сертификата X.509.The next step is to import, encode, and assign the X.509 certificate. Импорт и кодирования сертификат, используйте следующие команды Windows PowerShell, убедитесь указать полный путь к вашей. Файл CER при вызове метода импорта:To import and encode the certificate, use the following Windows PowerShell commands, being sure to specify the complete file path to your .CER file when you call the Import method:

$certificate = New-Object System.Security.Cryptography.X509Certificates.X509Certificate
$certificate.Import("C:\Certificates\Office365.cer")
$binaryValue = $certificate.GetRawCertData()
$credentialsValue = [System.Convert]::ToBase64String($binaryValue)

После того как сертификат был импортирован и кодировке, затем можно назначить сертификат для субъектов-служб Office 365.After the certificate has been imported and encoded, you can then assign the certificate to your Office 365 service principals. Для этого сначала командлет Get-MsolServicePrincipal для получения значение свойства AppPrincipalId для Скайп для Business Server и участников службы Microsoft Exchange; значение свойства AppPrincipalId будет использоваться для идентификации участников-служб, назначаемое сертификат.To do that, first use the Get-MsolServicePrincipal to retrieve the value of the AppPrincipalId property for both the Skype for Business Server and the Microsoft Exchange service principals; the value of the AppPrincipalId property will be used to identify the service principal being assigned the certificate. С помощью AppPrincipalId свойство руку значение для Скайп Business Server 2015, назначение сертификата до версии Office 365 Скайп для Business Server используйте следующую команду:With the AppPrincipalId property value for Skype for Business Server 2015 in hand, use the following command to assign the certificate to the Office 365 version of Skype for Business Server:

New-MsolServicePrincipalCredential -AppPrincipalId 00000004-0000-0ff1-ce00-000000000000 -Type Asymmetric -Usage Verify -Value $credentialsValue 

Необходимо повторно выполнить команду, это время с помощью значение свойства AppPrincipalId для Exchange 2013.You should then repeat the command, this time using the AppPrincipalId property value for Exchange 2013.

Если позднее вам потребуется удалить этот сертификат, сначала вам потребуется получить для него значение KeyId:If you later need to delete that certificate, you can do so by first retrieving the KeyId for the certificate:

Get-MsolServicePrincipalCredential -AppPrincipalId 00000004-0000-0ff1-ce00-000000000000

Эта команда возвращает следующие данные:That command will return data like this one:

Type      : Asymmetric
Value     : 
KeyId     : bc2795f3-2387-4543-a95d-f92c85c7a1b0
StartDate : 6/1/2012 8:00:00 AM
EndDate   : 5/31/2013 8:00:00 AM
Usage     : Verify

После этого вы можете удалить сертификат с помощью следующей команды:You can then delete the certificate by using a command similar to this:

Remove-MsolServicePrincipalCredential -AppPrincipalId 00000004-0000-0ff1-ce00-000000000000 -KeyId bc2795f3-2387-4543-a95d-f92c85c7a1b0

В дополнение к назначения сертификата, который необходимо настроить Exchange Online участников-служб и настройка локальной версии Скайп для Business Server 2015 внешние Web services URL-адреса в качестве участника-службы Office 365.In addition to assigning a certificate, you must also configure the Exchange Online Service Principal and configure your on-premises version of Skype for Business Server 2015 external Web services URLs as an Office 365 service principal. Для этого можно выполнить две следующие команды:That can be done by carrying out the following two commands.

В следующем примере lync.contoso.com является внешним Web services URL-адрес Скайп для пула Business Server.In the following example, lync.contoso.com is the external Web services URL for the Skype for Business Server pool. Следует повторите эти действия, чтобы добавить всех внешних Web services URL-адреса в развертывании.You should repeat these steps to add all the external Web services URLs in the deployment.

Set-MSOLServicePrincipal -AppPrincipalID 00000002-0000-0ff1-ce00-000000000000 -AccountEnabled $true

$lyncSP = Get-MSOLServicePrincipal -AppPrincipalID 00000004-0000-0ff1-ce00-000000000000
$lyncSP.ServicePrincipalNames.Add("00000004-0000-0ff1-ce00-000000000000/lync.contoso.com")
Set-MSOLServicePrincipal -AppPrincipalID 00000004-0000-0ff1-ce00-000000000000 -ServicePrincipalNames $lyncSP.ServicePrincipalNames