Требования к окружающей среде для Skype для бизнеса Server 2015Environmental requirements for Skype for Business Server 2015

Сводка: Настройка не серверных требований для Skype для бизнеса Server 2015.Summary: Configure your non-server requirements for Skype for Business Server 2015. Перед развертыванием необходимо настроить множество вещей, в том числе Active Directory, DNS, Certs и Fileshares.There are a variety of things you'll want configured before doing your deployment, including Active Directory, DNS, Certs and Fileshares.

Какие требования к среде предъявляются к Skype для бизнеса Server 2015?What is an environmental requirement for Skype for Business Server 2015? Ну, мы поместили в эту тему все, что непосредственно не связано с сервером, поэтому вам не нужно так много щелкнуть.Well, we've put everything that's not directly server related into this topic, so you don't have to do as much clicking around. Если вы ищете предпосылки сервера, вы можете проверить требования к Серверу для doc Skype для бизнеса Server 2015. Планирование сетей также задокументировано отдельно. If you're looking for Server Prerequisites, you can check out the Server requirements for Skype for Business Server 2015 doc. Networking Planning is also documented separately. В противном случае, это то, что мы получили в этой статье:Otherwise, this is what we've got in this article:

Active DirectoryActive Directory

Несмотря на то, что большое количество данных о конфигурации серверов и служб хранится в магазине Центра управления Skype для бизнеса Server 2015, в Active Directory по-прежнему хранятся некоторые вещи:While a lot of configuration data for servers and services is stored in Skype for Business Server 2015's Central Management store, there are some things still stored in Active Directory:

Объекты Active DirectoryActive Directory objects Типы объектовObject types
Расширения схемыSchema extensions
Расширения объекта пользователяUser object extensions
Расширения для Lync Server 2013 и Lync Server 2010 для поддержания обратной совместимости с предыдущими поддерживаемыми версиями.Extensions for Lync Server 2013 and Lync Server 2010, to maintain backward compatibility with the previous supported versions.
ДанныеData
URI SIP пользователя и другие пользовательские параметрыUser SIP URI and other user settings
Контактные объекты для приложений (например, приложение Группы отклика и приложение Conferencing Attendant).Contact objects for applications (like the Response Group application and the Conferencing Attendant application).
Данные, опубликованные для обратной совместимости.Data published for backward compatibility.
Пункт управления службами (SCP) для центра управления магазином.A service control point (SCP) for the Central Management store.
Учетная запись проверки подлинности Kerberos (необязательный объект компьютера).Kerberos Authentication Account (an optional computer object).

ОС для контроллеров доменаOS for Domain Controllers

Итак, какую ОС контроллера домена можно использовать?So, what Domain Controller OS can be used? У нас есть следующий список:We have the following list:

  • Windows Server 2019 (необходимо иметь накопительное обновление Skype для бизнеса Server 2015 5 или более позднее)Windows Server 2019 (You must have Skype for Business Server 2015 Cumulative Update 5 or later)

  • Windows Server 2016Windows Server 2016

  • Windows Server 2012 R2Windows Server 2012 R2

  • Windows Server 2012Windows Server 2012

  • Windows Server 2008 R2Windows Server 2008 R2

  • Windows Server 2008Windows Server 2008

Теперь функциональный уровень домена любого домена, в который вы развертываете Skype для бизнеса Server 2015, и функциональный уровень леса любого леса, в который развертывается Skype для бизнеса Server 2015, должен быть одним из следующих:Now, the domain functional level of any domain you deploy Skype for Business Server 2015 into, and the forest functional level of any forest you deploy Skype for Business Server 2015 into, have to be one of the following:

  • Windows Server 2019 (необходимо иметь накопительное обновление Skype для бизнеса Server 2015 5 или более позднее)Windows Server 2019 (You must have Skype for Business Server 2015 Cumulative Update 5 or later)

  • Windows Server 2016Windows Server 2016

  • Windows Server 2012 R2Windows Server 2012 R2

  • Windows Server 2012Windows Server 2012

  • Windows Server 2008 R2Windows Server 2008 R2

  • Windows Server 2008Windows Server 2008

  • Windows Server 2003Windows Server 2003

Можно ли использовать контроллеры домена только для чтения в этих средах?Can you have read-only domain controllers in these environments? Конечно, пока на том же сайте, что и Skype для бизнеса Server, доступны также контроллеры домена.Sure, as long as there are also writable domain controllers available at the same site as the Skype for Business Server.

Теперь важно знать, что Skype для бизнеса Server 2015 не поддерживает домены с одними метами.Now, it's important to know that Skype for Business Server 2015 doesn't support single-labeled domains. Что это такое?What are they? Если у вас есть корневой домен с меткой contoso.local, это будет нормально.If you have a root domain labeled contoso.local, that's going to be fine. Если у вас есть корневой домен с только что названным локальным, он не будет работать и в результате не поддерживается.If you have a root domain that's just named local, that's not going to work, and it's not supported as a result. Немного больше об этом было написано в этой статье Базы знаний.A little more about this has been written in this Knowledge Base article.

Skype для бизнеса Server 2015 также не поддерживает переименование доменов.Skype for Business Server 2015 also doesn't support renaming domains. Если это действительно нужно сделать, вам потребуется удалить Skype для бизнеса Server 2015, переименовать домен и переустановить Skype для бизнеса Server 2015.If you've really got to do that, then you'll need to uninstall Skype for Business Server 2015, do the domain rename, and then reinstall Skype for Business Server 2015.

Наконец, вы можете иметь дело с доменом с заблокированной средой AD DS, и все в порядке.Finally, you may be dealing with a domain with a locked-down AD DS environment, and that's all right. У нас есть дополнительные сведения о развертывании Skype для бизнеса Server 2015 в такой среде в документы развертывания.We have more information on how to deploy Skype for Business Server 2015 into that sort of environment in the Deployment docs.

AD TopologiesAD Topologies

Поддерживаемые topologies Skype для бизнеса Server 2015:Skype for Business Server 2015's supported topologies are:

  • один лес с одним доменом;Single forest with single domain

  • один лес с одним деревом и несколькими доменами;Single forest with a single tree and multiple domains

  • один лес с несколькими деревьями и несвязанными пространствами имен;Single forest with multiple trees and disjoint namespaces

  • несколько лесов в топологии с центральным лесом;Multiple forests in a central forest topology

  • несколько лесов в топологии с лесом ресурсов.Multiple forests in a resource forest topology

  • Несколько лесов в топологии лесных ресурсов Skype для бизнеса с Exchange OnlineMultiple forests in a Skype for Business resource forest topology with Exchange Online

  • Несколько лесов в топологии леса ресурсов с помощью Skype для бизнеса Online и Azure Active Directory ConnectMultiple forests in a resource forest topology with Skype for Business Online and Azure Active Directory Connect

У нас есть схемы и описания, которые помогут определить топологию, которая имеется в среде, или то, что необходимо настроить до установки Skype для бизнеса Server 2015.We have diagrams and descriptions to help you determine what topology you have in your environment, or what you may need to set up prior to installing Skype for Business Server 2015. Чтобы все было просто, мы также включаем клавишу:To keep it simple, we're also including a key:

Ключ к значкам, используемым для топологии Skype для бизнеса

один лес с одним доменом;Single forest with single domain

Схема единого леса Active Directory с одним доменом

Это не становится проще, чем это, это один лес домена, это распространенная топология.It doesn't get easier than this, it's a single domain forest, this is a common topology.

один лес с одним деревом и несколькими доменами;Single forest with a single tree and multiple domains

Диаграмма единого леса, единого дерева и mutiple доменов

На этой схеме снова показан один лес, но в нем также есть один или несколько детских доменов (в этом конкретном примере три).This diagram shows a single forest, again, but it has one or more child domains as well (there are three in this specific example). Таким образом, созданный пользователями домен может отличается от развернутого домена Skype для бизнеса Server 2015.So the domain the users are created in might be different from the domain Skype for Business Server 2015 is deployed to. Зачем беспокоиться об этом?Why worry about this? Важно помнить, что при развертывании пула переднего конца Skype для бизнес-сервера все серверы в этом пуле должны быть в одном домене.It's important to remember that when you deploy a Skype for Business Server Front End pool, all the servers in that pool need to be in a single domain. Администрирование между доменами можно использовать при поддержке Skype для бизнеса Server для универсальных групп администраторов Windows.You can have cross-domain administration via Skype for Business Server's support of Windows universal administrator groups.

На приведенной выше схеме видно, что пользователи из одного домена могут получать доступ к пулам Skype для бизнеса Server из одного домена или из разных доменов, даже если они находятся в детском домене.Back to the diagram above, you can see that users from one domain are able to access Skype for Business Server pools from the same domain or from different domains, even if those users are in a child domain.

один лес с несколькими деревьями и несвязанными пространствами имен;Single forest with multiple trees and disjoint namespaces

Один лес, несколько деревьев и схема разных пространств имен

Возможно, у вас есть топология, похожая на эту схему, где у вас есть один лес, но в этом лесу находятся несколько доменов с отдельными пространствами имен AD.It may be that you've got a topology similar to this diagram, where you have one forest, but within that forest are multiple domains, with separate AD namespaces. В этом случае эта схема является хорошей иллюстрацией, так как у нас есть пользователи в трех различных доменах, которые имеют доступ к Skype для бизнеса Server 2015.If that's the case, this diagram's a good illustration, as we have users in three different domains accessing Skype for Business Server 2015. Сплошные строки указывают, что они имеют доступ к пулу Skype для бизнеса Server в собственном домене, а пунктирная строка указывает, что они собираются в пул в другом дереве вообще.Solid lines indicate they're accessing a Skype for Business Server pool in their own domain, while a dashed line indicates they're going to a pool in a different tree altogether.

Как видите, пользователи одного домена, одного дерева или даже другого дерева могут успешно получать доступ к пулам.As you can see, users in the same domain, the same tree, or even a different tree are able to access pools successfully.

несколько лесов в топологии с центральным лесом;Multiple forests in a central forest topology

Несколько лесов на схеме топологии центрального леса

Skype for Business Server 2015 поддерживает несколько лесов, настроенных в центральной топологии леса.Skype for Business Server 2015 does support multiple forests configured in a central forest topology. Если вы не уверены, что это то, что у вас есть, центральный лес в топологии использует объекты в нем, чтобы представлять пользователей в других лесах, и размещены учетные записи пользователей для всех пользователей в лесу.If you're not sure that's what you have, the central forest in the topology uses objects in it to represent users in the other forests, and hosts user accounts for any users in the forest.

Как это работает?How does this work? Продукт синхронизации каталогов (например, Forefront Identity Manager или FIM) управляет учетной записью пользователей организации на протяжении всего их существования.Well, a directory synchronization product (such as Forefront Identity Manager, or FIM) manages your organization's user accounts throughout their existence. Когда учетная запись создается или удаляется из леса, это изменение синхронизируется до соответствующего контакта в центральном лесу.When an account is created or deleted from a forest, that change is synched up to the corresponding contact in the central forest.

Очевидно, что если инфраструктура AD на месте переехав в эту топологию, может оказаться непростой задачей, но если вы уже там или все еще планируете свою лесную инфраструктуру, это может быть хорошим выбором.Clearly, if your AD infrastructure is in-place moving to this topology might not be easy, but if you're already there, or still planning out your forest infrastructure, this can be a good choice. Вы можете централизовать развертывание Skype для бизнеса Server 2015 в одном лесу, а пользователи могут искать, общаться и просматривать присутствие других пользователей в любом лесу.You can centralize your Skype for Business Server 2015 deployment within a single forest, while users can search, communicate, and view the presence of other users in any forest. Все обновления контактов пользователей обрабатываются автоматически с помощью программного обеспечения синхронизации.All user contact updates are handled automatically with synchronization software.

Несколько лесов в топологии лесных ресурсов Skype для бизнесаMultiple forests in a Skype for Business resource forest topology

Несколько лесов на схеме топологии леса ресурсов

Также поддерживается топология лесных ресурсов; здесь лес предназначен для запуска серверных приложений, таких как Microsoft Exchange Server Skype для бизнеса Server 2015.A resource forest topology is also supported; it's where a forest is dedicated to running your server applications, like Microsoft Exchange Server and Skype for Business Server 2015. В этом лесу ресурсов также размещено синхронизированное представление объектов активных пользователей, но нет учетных записей пользователей с поддержкой логотипа.This resource forests also hosts a synchronized representation of active user objects, but no logon-enabled user accounts. Таким образом, лес ресурсов — это среда общих служб для других лесов, в которых находятся объекты пользователей, и они имеют отношение доверия уровня леса к лесу ресурсов.So the resource forest is a shared services environment for other forests in which user objects reside, and they have a forest-level trust relationship with the resource forest.

Обратите внимание, Exchange Server можно развернуть в том же лесу ресурсов, что и Skype для бизнеса Server или в другом лесу.Note that Exchange Server can be deployed in the same resource forest as Skype for Business Server or in a different forest.

Чтобы развернуть Skype для бизнеса Server 2015 в этом типе топологии, необходимо создать один отключенный объект пользователя в лесу ресурсов для каждой учетной записи пользователя в лесах пользователей (если Microsoft Exchange Server уже находится в среде, это может быть сделано для вас).To deploy Skype for Business Server 2015 in this type of topology, you'd create one disabled user object in the resource forest for each user account in the user forests (if Microsoft Exchange Server is already in the environment, this might be done for you). Затем вам потребуется средство синхронизации каталогов (например, Forefront Identity Manager или FIM) для управления учетной записью пользователей в течение жизненного цикла.Then you'll need a directory synchronization tool (like Forefront Identity Manager, or FIM) to manage user accounts through their life cycle.

Несколько лесов в топологии лесных ресурсов Skype для бизнеса с Exchange OnlineMultiple forests in a Skype for Business resource forest topology with Exchange Online

Эта топология похожа на топологию, описанную в нескольких лесах в топологии лесных ресурсов Skype для бизнеса.This topology is similar to the topology described in Multiple forests in a Skype for Business resource forest topology.

В этой топологии существует один или несколько лесов пользователей, а Skype для бизнеса Server развертывается в выделенном лесу ресурсов.In this topology, there are one or more user forests, and Skype for Business Server is deployed in a dedicated resource forest. Exchange Server можно развертывать локально в одном лесу ресурсов или другом лесу и настраиваться для гибридного использования с Exchange Online, или службы электронной почты могут предоставляться исключительно exchange Online для учетных записей на локальной основе.Exchange Server can be deployed on-premises in the same resource forest or a different forest and configured for hybrid with Exchange Online, or email services may be provided exclusively by Exchange Online for the on-premises accounts. Диаграмма для этой топологии отсутствует.There is no diagram available for this topology.

Несколько лесов в топологии леса ресурсов с помощью Skype для бизнеса Online и Azure Active Directory ConnectMultiple forests in a resource forest topology with Skype for Business Online and Azure Active Directory Connect

Показаны два леса AD, один пользовательский лес и один лес ресурсов.

В этом сценарии существует несколько лесных массивов с топологией леса ресурсов.With this scenario, there are multiple forests on-premises, with a resource forest topology. Между лесами Active Directory существует полное отношение доверия.There is a full trust relationship between the Active Directory forests. Средство Azure Active Directory Connect используется для синхронизации учетных записей между лесами локального пользователя и Microsoft 365 или Office 365.The Azure Active Directory Connect tool is used to synchronize accounts between the on-premises user forests and Microsoft 365 or Office 365.

Организация также имеет Microsoft 365 или Office 365 и использует Azure Active Directory Connect для синхронизации собственных учетных записей с Microsoft 365 или Office 365.The organization also has Microsoft 365 or Office 365, and uses Azure Active Directory Connect to synchronize their on-premises accounts with Microsoft 365 or Office 365. Пользователи, которые включены для Skype для бизнеса, включены через Microsoft 365 или Office 365 и Skype для бизнеса Online.Users who are enabled for Skype for Business are enabled via Microsoft 365 or Office 365 and Skype for Business Online. Skype для бизнеса Server не развертывается на локальном сервере.Skype for Business Server is not deployed on-premises.

Проверка подлинности с одним входом обеспечивается фермой служб Федерации Active Directory, расположенной в лесу пользователей.Single sign-on authentication is provided by an Active Directory Federation Services farm located in the user forest.

В этом сценарии поддерживается развертывание локального решения Exchange, Exchange Online , гибридного решения Exchange или вообще не развертывание Exchange.In this scenario, it is supported to deploy Exchange on-premises, Exchange Online, a hybrid Exchange solution, or to not have Exchange deployed at all. (На схеме показаны только локальное решение Exchange, но другие решения Exchange также полностью поддерживаются.)(The diagram shows only Exchange on-premises, but the other Exchange solutions are also fully supported.)

Несколько лесов в топологии леса ресурсов с гибридной Skype для бизнесаMultiple forests in a resource forest topology with hybrid Skype for Business

В этом сценарии существует один или несколько пользовательских лесов, и Skype для бизнеса развертывается в выделенном лесу ресурсов и настроен для гибридного режима с Помощью Skype для бизнеса Online.In this scenario, there are one or more on-premises user forests, and Skype for Business is deployed in a dedicated resource forest and is configured for hybrid mode with Skype for Business Online. Exchange Server можно развернуть локально в одном лесу ресурсов или в другом лесу и настроить на гибридную версию с Exchange Online.Exchange Server can be deployed on-premises in the same resource forest or a different forest and may be configured for hybrid with Exchange Online. Кроме того, службы электронной почты могут предоставляться исключительно exchange Online для локальной учетной записи.Alternatively, email services may be provided exclusively by Exchange Online for the on-premises accounts.

Дополнительные сведения см. в дополнительных сведениях: Настройка многолесной среды для гибридного Skype для бизнеса.For more information, see Configure a multi-forest environment for hybrid Skype for Business.

Система доменных имен (DNS)Domain Name System (DNS)

Skype для бизнеса Server 2015 требует DNS по следующим причинам:Skype for Business Server 2015 requires DNS, for the following reasons:

  • DNS позволяет Skype для бизнеса Server 2015 открывать внутренние серверы или пулы, что позволяет использовать связь между серверами и серверами.DNS enables Skype for Business Server 2015 to discover internal servers or pools, allowing for server-to-server communications.

  • DNS позволяет клиентские машины обнаружить пул переднего конца или сервер Standard Edition, используемый для SIP-транзакций.DNS allows client machines to discover the Front End pool or Standard Edition server being used for SIP transactions.

  • Он связывает простые URL-адреса для конференций с серверами, на которые размещены эти конференции.It associates simple URLs for conferences with the servers hosting those conferences.

  • DNS позволяет внешним пользователям и клиентских машинам подключаться к вашим edge Servers или обратному прокси-серверу HTTP для обмена мгновенными сообщениями (IM) или конференциинга.DNS allows external users and client machines to connect to your Edge Servers, or the HTTP reverse proxy, for instant messaging (IM) or conferencing.

  • Он позволяет устройствам единой связи (UC), которые не вошли в систему, обнаружить пул передней части или сервер Standard Edition, на которых работает веб-служба Обновления устройств, для получения обновлений и отправки журналов.It lets unified communications (UC) devices that aren't logged in discover the Front End pool or Standard Edition server that's running the Device Update web service to get updates and send logs.

  • Использование DNS позволяет мобильным клиентам автоматически открывать ресурсы веб-служб без необходимости вручную вводить URL-адреса в настройках устройств.Using DNS allows mobile clients to automatically discover web services resources without requiring users to manually enter URLs in their device settings.

  • Он используется для балансировки нагрузки DNS.And it's used in DNS load balancing.

Важно отметить, что Skype for Business Server 2015 не поддерживает интернационализированные доменные имена (IDNs).It's important to note that Skype for Business Server 2015 doesn't support internationalized domain names (IDNs).

И очень важно помнить, что любое имя в DNS идентично имени компьютера, настроенного на любом сервере, используемом Skype для бизнеса Server 2015.And it's extremely important to remember that any name in DNS be identical to the computer name configured on any server being used by Skype for Business Server 2015. В частности, мы не можем иметь короткие имена в среде и должны иметь FQDNs для Topology Builder.Specifically, we can't have any short-names in the environment, and must have FQDNs for Topology Builder.

Это кажется логичным для любого компьютера, уже присоединились к домену, но если у вас есть edge Server, который не присоединился к вашему домену, он может иметь по умолчанию короткое имя, без суффикса домена.This seems like it would be logical for any computer already joined to a domain, but if you have an Edge Server that's not joined to your domain, it may have a default of a short name, with no domain suffix. Убедитесь, что это не так, как в DNS или на edge Server, или любой сервер Или пул Skype для бизнеса Server 2015, если на то пошло.Make sure that's not the case, either in DNS or on the Edge Server, or any Skype for Business Server 2015 server or pool, for that matter.

И определенно не используйте символы Юникод или подчеркивает.And definitely don't use Unicode characters or underscores. Стандартные символы (это A-Z, a-z, 0-9 и дефис) — это те, которые будут поддерживаться внешними службами DNS и общедоступными сертификатами (вам потребуется назначить FQDN SN в сертификате, не забывайте), поэтому вы пощадите себя, если назовете это в виду.Standard characters (which are A-Z, a-z, 0-9, and hyphens) are the ones that are going to be supported by external DNS and public Certificate Authorities (you'll need to assign FQDNs to the SN in the certificate, don't forget), so you'll spare yourself a lot of grief if you name with this in mind.

Дополнительные статьи о требованиях DNS к сетевой сети можно узнать в разделе Networking документации по планированию.For further reading on DNS requirements for Networking, check out the Networking section of our Planning documentation.

СертификатыCertificates

Одна из самых важных вещей, которые вы можете сделать перед развертывание, это убедиться, что у вас есть сертификаты в порядке.One of the most important things you can do before deploying is make sure you have your certificates in order. Skype for Business Server 2015 нуждается в инфраструктуре общедоступных ключей (PKI) для обеспечения безопасности транспортных слоев (TLS) и обеспечения безопасности на уровне взаимного транспорта (MTLS).Skype for Business Server 2015 needs a public key infrastructure (PKI) for transport layer security (TLS) and mutual transport layer security (MTLS) connections. В принципе, для безопасного обмена данными стандартизированным способом Skype для бизнеса Server использует сертификаты, выдавлимые органами сертификации (CAs).Basically, to communicate securely in a standardized way, Skype for Business Server uses certificates issued by Certificate Authorities (CAs).

Вот некоторые из вещей, которые Skype для бизнеса Server 2015 использует сертификаты для:These are some of the things that Skype for Business Server 2015 uses certificates for:

  • TLS-подключения между клиентами и серверамиTLS connections between clients and servers

  • для подключений MTLS между серверами;MTLS connections between servers

  • для федерации с использованием автоматического обнаружения DNS партнеров;Federation using automatic DNS discovery of partners

  • для доступа удаленных пользователей к обмену мгновенными сообщениями;Remote user access for instant messaging (IM)

  • Внешний доступ пользователей к сеансам аудио- и видеосвязи, совместному доступу к приложениям и конференциямExternal user access to audio/video (AV) sessions, application sharing, and conferencing

  • Беседа с веб-приложениями и Веб-доступ Outlook (OWA)Talking to web applications and Outlook Web Access (OWA)

Поэтому планирование сертификатов является обязательным.So certificate planning's a must. Теперь давайте рассмотрим список некоторых вещей, которые необходимо иметь в виду при запросе сертификатов:Now, let's look at a list of some of the things you need to keep in mind when requesting certificates:

  • Все сертификаты серверов должны поддерживать авторизацию сервера (EKU сервера).All server certificates must support server authorization (Server EKU).

  • Все сертификаты серверов должны содержать точку распространения списка отзыва сертификатов (CDP).All server certificates must contain a CRL Distribution Point (CDP).

  • Все сертификаты должны подписываться с помощью алгоритма подписи, поддерживаемых операционной системой.All certificates must be signed using a signing algorithm supported by the operating system. Skype для бизнеса Server 2015 поддерживает наборы пакетов дайджестов SHA-1 и SHA-2 (224, 256, 384 и 512-бит) и отвечает требованиям операционной системы или превышает их.Skype for Business Server 2015 supports the SHA-1 and SHA-2 suite of digest sizes (224, 256, 384 and 512-bit), and meets or exceeds the operating system requirements.

  • Автозарегистра поддерживается для внутренних серверов, работающих в Skype для бизнеса Server 2015.Auto-enrollment is supported for internal servers running Skype for Business Server 2015.

  • Автоматическая регистрация не поддерживается для серверов Skype для бизнеса Server 2015 Edge Server.Auto-enrollment is not supported for Skype for Business Server 2015 Edge Servers.

  • Запрос на сертификат через Интернет в центр сертификации Windows Server 2003 необходимо подавать с компьютера, работающего под управлением либо Windows Server 2003 с пакетом обновления 2 (SP2), либо Windows XP.When you submit a web-based certificate request to a Windows Server 2003 CA, you must submit it from a computer running either Windows Server 2003 with SP2 or Windows XP.

Примечание

Хотя KB922706 поддерживает решение проблем с регистрацией веб-сертификатов для веб-регистрации служб сертификатов Windows Server 2003, это не позволяет использовать Windows Server 2008, Windows Vista или Windows 7 для запроса сертификата в ЦС Windows Server 2003.Although KB922706 provides support for resolving issues with enrolling web certificates against a Windows Server 2003 Certificate Services web enrollment, it does not make it possible to use Windows Server 2008, Windows Vista, or Windows 7 to request a certificate from a Windows Server 2003 CA.

Примечание

Использование алгоритма подписи RSASSA-PSS неподтверждется и может привести к ошибкам при входе в систему и проблемам с переадпортом вызовов.Using the RSASSA-PSS signature algorithm is unsupported, and may lead to errors on login and call forwarding issues, among other problems.

Примечание

Skype для бизнеса Server 2015 не поддерживает сертификаты CNG.Skype for Business Server 2015 does not support CNG certificates.

  • Поддерживаются длины ключей шифрования 1024, 2048 и 4096.Encryption key lengths of 1024, 2048, and 4096 are supported. Рекомендуется использовать длины ключей 2048 и более.Key lengths of 2048 and greater are recommended.

  • Дайджест по умолчанию или подписание хаша — алгоритм RSA.The default digest, or hash signing, algorithm is RSA. Поддерживаются ECDH_P256, ECDH_P384 и ECDH_P521 алгоритмы.The ECDH_P256, ECDH_P384, and ECDH_P521 algorithms are also supported.

Так что много думать, и, безусловно, существует множество уровней комфорта с запросом сертификатов из ЦС.So that's a lot to think about, and definitely, there's a variety of comfort levels with requesting certificates from a CA. Ниже приведены дополнительные рекомендации, которые сделают планирование максимально безболезненно.We'll give you some further guidance below to make your planning as painless as possible.

Сертификаты для внутренних серверовCertificates for your internal servers

Вам потребуется сертификаты для большинства внутренних серверов, и, скорее всего, вы получите их из внутреннего ЦС (это один из них, расположенный в вашем домене).You'll need certificates for most of your internal servers, and most likely, you'll get them from an internal CA (that's one located in your domain). Если вы хотите, вы можете запросить эти сертификаты из внешнего ЦС (один из них расположен в Интернете).If you want to, you can request these certificates from an external CA (one located on the internet). Если вам интересно, в какой общедоступный ЦС следует перейти, вы можете проверить список партнеров сертификата единой связи.If you're wondering what public CA you should go to, you can check out the Unified Communications certificate partners list.

Кроме того, вам будут нужны сертификаты, когда Skype для бизнеса Server 2015 взаимодействует с другими приложениями и серверами, такими как Microsoft Exchange Server.You're also going to need certificates when Skype for Business Server 2015 communicates with other applications and servers, such as Microsoft Exchange Server. Очевидно, что это должен быть сертификат, который эти другие приложения и серверы могут использовать с поддержкой.This will, obviously, need to be a certificate these other apps and servers can use in a supported way. Skype для бизнеса Server 2015 и другие продукты Майкрософт поддерживают протокол Open Authorization (OAuth) для проверки подлинности и авторизации от сервера к серверу.Skype for Business Server 2015 and other Microsoft products support the Open Authorization (OAuth) protocol for server-to-server authentication and authorization. Если вы заинтересованы в этом, у нас есть дополнительная статья планирования для OAuth и Skype для бизнеса Server 2015.If you're interested in this, we have an additional planning article for OAuth and Skype for Business Server 2015.

Skype for Business Server 2015 также включает поддержку (без необходимости) сертификатов, подписанных с помощью функции криптографического хаша SHA-256.Skype for Business Server 2015 also includes support for (without requiring) certificates signed using the SHA-256 cryptographic hash function. Для поддержки внешнего доступа с помощью SHA-256 внешний сертификат должен быть выдан общедоступным ЦС с помощью SHA-256.To support external access using SHA-256, the external certificate needs to be issued by a public CA using SHA-256.

Чтобы попытаться сохранить все просто, мы поместили требования к сертификатам для серверов Standard Edition, пулов переднего плана и других ролей в следующие таблицы, в примере используются вымышленные contoso.com (возможно, вы будете использовать что-то другое для вашей среды).To try and keep things straightforward, we've put the certificate requirements for Standard Edition servers, Front End pools, and other roles, into the following tables, with the fictional contoso.com being used for examples (you'll probably be using something else for your environment). Это все стандартные сертификаты веб-сервера с закрытыми ключами, которые не экспортируются.These are all standard web server certificates, with private keys that are non-exportable. Некоторые дополнительные вещи, которые следует отметить:Some additional things to note:

  • Использование расширенного ключа сервера (EKU) автоматически настраивается при использовании мастера сертификатов для запроса сертификатов.Server enhanced key usage (EKU) is automatically configured when you use the certificate wizard to request certificates.

  • Каждое удобное имя сертификата должно быть уникальным в магазине компьютера.Each certificate friendly name has to be unique in the computer store.

  • В примере имен ниже, если вы sipinternal.contoso.com или sipexternal.contoso.com в DNS, они должны быть добавлены в альтернативное имя субъекта сертификата (SAN).As per the sample names below, if you've configured sipinternal.contoso.com or sipexternal.contoso.com in your DNS, they need to be added to the certificate's Subject Alternative Name (SAN).

Сертификаты для серверов standard Edition:Certificates for Standard Edition servers:

СертификатCertificate Имя субъекта/общее имяSubject name/Common name Альтернативное имя субъектаSubject alternative name ПримерExample CommentsComments
По умолчаниюDefault
Полное доменное имя пулаFQDN of the pool
FQDN пула и FQDN сервераFQDN of the pool and FQDN of the server
Если существует несколько доменов SIP и включена автоматическая настройка клиента, мастер сертификатов обнаруживает все поддерживаемые полные доменные имена SIP.If you have multiple SIP domains and have enabled automatic client configuration, the certificate wizard detects and adds each supported SIP domain FQDNs.
Если этот пул является сервером для автоматического входа клиентов и для групповой политики требуется строгое сопоставление DNS-имен, также необходимы записи для sip.sipdomain (для каждого домена SIP).If this pool is the auto-logon server for clients and strict Domain Name System (DNS) matching is required in group policy, you also need entries for sip.sipdomain (for each SIP domain you have).
SN=se01.contoso.com; SAN=se01.contoso.comSN=se01.contoso.com; SAN=se01.contoso.com
Если этот пул предназначен для сервера автоматического входа для клиентов, а в групповой политике требуется строгое сопоставление DNS, необходимо также добавить строки SAN=contoso.com SIP; SAN=fabrikam.com SIP.If this pool is the auto-logon server for clients and strict DNS matching is required in group policy, you also need SAN=sip.contoso.com; SAN=sip.fabrikam.com
На сервере Standard Edition полное доменное имя сервера совпадает с полным доменным именем пула.On Standard Edition server, the server FQDN is the same as the pool FQDN.
Мастер обнаруживает домены SIP, указанные во время установки, и автоматически добавляет их в качестве альтернативных имен субъекта.The wizard detects any SIP domains you specified during setup and automatically adds them as subject alternative names.
Вы также можете использовать этот сертификат для проверки подлинности между серверами.You can also use this certificate for Server-to-Server Authentication.
Внутренняя сетьWeb internal
Полное доменное имя сервераFQDN of the server
Каждое из следующих:Each of the following:
• Внутренний веб-FQDN (то же самое, что и FQDN сервера)• Internal web FQDN (which is the same as the FQDN of the server)
ИAND
• Встреча с простыми URL-адресами• Meet simple URLs
• Простой URL-адрес с диалогом• Dial-in simple URL
• Простой URL-адрес администратора• Admin simple URL
ИЛИOR
• Запись под диктовки для простых URL-адресов• A wildcard entry for the simple URLs
SN=se01.contoso.com; SAN=se01.contoso.com; SAN=meet.contoso.com; SAN=meet.fabrikam.com; SAN=dialin.contoso.com; SAN=admin.contoso.comSN=se01.contoso.com; SAN=se01.contoso.com; SAN=meet.contoso.com; SAN=meet.fabrikam.com; SAN=dialin.contoso.com; SAN=admin.contoso.com
Использование групповых сертификатов:Using a wildcard certificate:
SN=se01.contoso.com; SAN=se01.contoso.com; SAN= * .contoso.comSN=se01.contoso.com; SAN=se01.contoso.com; SAN=*.contoso.com
Нельзя переопределять внутренний веб-FQDN в Topology Builder.You can't override the Internal web FQDN in Topology Builder.
Если у вас есть несколько простых URL-адресов Meet, необходимо включить все их в качестве SANs.If you have multiple Meet simple URLs, you've got to include all of them as SANs.
Для простых URL-адресов поддерживаются подстановочные записи.Wildcard entries are supported for the simple URL entries.
Внешняя сетьWeb external
Полное доменное имя сервераFQDN of the server
Каждое из следующих:Each of the following:
• Внешний веб-FQDN• External web FQDN
ИAND
• Простой URL-адрес с диалогом• Dial-in simple URL
• Встреча простых URL-адресов в домене SIP• Meet simple URLs per SIP domain
ИЛИOR
• Запись под диктовки для простых URL-адресов• A wildcard entry for the simple URLs
SN=se01.contoso.com; SAN=webcon01.contoso.com; SAN=meet.contoso.com; SAN=meet.fabrikam.com; SAN=dialin.contoso.comSN=se01.contoso.com; SAN=webcon01.contoso.com; SAN=meet.contoso.com; SAN=meet.fabrikam.com; SAN=dialin.contoso.com
Использование групповых сертификатов:Using a wildcard certificate:
SN=se01.contoso.com; SAN=webcon01.contoso.com; SAN= * .contoso.comSN=se01.contoso.com; SAN=webcon01.contoso.com; SAN=*.contoso.com
Если у вас есть несколько простых URL-адресов Meet, необходимо включить их в качестве альтернативных имен субъекта.If you have multiple Meet simple URLs, you've got to include all of them as subject alternative names.
Для простых URL-адресов поддерживаются подстановочные записи.Wildcard entries are supported for the simple URL entries.

Сертификаты для серверов переднего конца в пуле переднего конца enterprise Edition:Certificates for Front End Servers in an Enterprise Edition Front End pool:

СертификатCertificate Имя субъекта/общее имяSubject name/Common name Альтернативное имя субъектаSubject alternative name ПримерExample CommentsComments
По умолчаниюDefault
Полное доменное имя пулаFQDN of the pool
FQDN пула и FQDN сервераFQDN of the pool and FQDN of the server
Если существует несколько доменов SIP и включена автоматическая настройка клиента, мастер сертификатов обнаруживает все поддерживаемые полные доменные имена SIP.If you have multiple SIP domains and have enabled automatic client configuration, the certificate wizard detects and adds each supported SIP domain FQDNs.
Если этот пул является сервером для автоматического входа клиентов и для групповой политики требуется строгое сопоставление DNS-имен, также необходимы записи для sip.sipdomain (для каждого домена SIP).If this pool is the auto-logon server for clients and strict Domain Name System (DNS) matching is required in group policy, you also need entries for sip.sipdomain (for each SIP domain you have).
SN=eepool.contoso.com; SAN=eepool.contoso.com; SAN=ee01.contoso.comSN=eepool.contoso.com; SAN=eepool.contoso.com; SAN=ee01.contoso.com
Если этот пул предназначен для сервера автоматического входа для клиентов, а в групповой политике требуется строгое сопоставление DNS, необходимо также добавить строки SAN=contoso.com SIP; SAN=fabrikam.com SIP.If this pool is the auto-logon server for clients and strict DNS matching is required in group policy, you also need SAN=sip.contoso.com; SAN=sip.fabrikam.com
Мастер обнаруживает все домены SIP, указанные вами во время установки, и автоматически добавляет их в альтернативное имя субъекта.The wizard detects any SIP domains you specified during setup and automatically adds them to the subject alternative name.
Вы также можете использовать этот сертификат для проверки подлинности между серверами.You can also use this certificate for Server-to-Server Authentication.
Внутренняя сетьWeb internal
Полное доменное имя пулаFQDN of the pool
Каждое из следующих:Each of the following:
• Внутренний веб-FQDN (который не то же самое, что и FQDN сервера)• Internal web FQDN (which is NOT the same as the FQDN of the server)
• Сервер FQDN• Server FQDN
• FQDN пула Skype для бизнеса• Skype for Business pool FQDN
ИAND
• Встреча с простыми URL-адресами• Meet simple URLs
• Простой URL-адрес с диалогом• Dial-in simple URL
• Простой URL-адрес администратора• Admin simple URL
ИЛИOR
• Запись под диктовки для простых URL-адресов• A wildcard entry for the simple URLs
SN=ee01.contoso.com; SAN=ee01.contoso.com; SAN=meet.contoso.com; SAN=meet.fabrikam.com; SAN=dialin.contoso.com; SAN=admin.contoso.comSN=ee01.contoso.com; SAN=ee01.contoso.com; SAN=meet.contoso.com; SAN=meet.fabrikam.com; SAN=dialin.contoso.com; SAN=admin.contoso.com
Использование групповых сертификатов:Using a wildcard certificate:
SN=ee01.contoso.com; SAN=ee01.contoso.com; SAN= * .contoso.comSN=ee01.contoso.com; SAN=ee01.contoso.com; SAN=*.contoso.com
Если у вас есть несколько простых URL-адресов Meet, необходимо включить их в качестве альтернативных имен субъекта.If you have multiple Meet simple URLs, you've got to include all of them as subject alternative names.
Для простых URL-адресов поддерживаются подстановочные записи.Wildcard entries are supported for the simple URL entries.
Внешняя сетьWeb external
Полное доменное имя пулаFQDN of the pool
Каждое из следующих:Each of the following:
• Внешний веб-FQDN• External web FQDN
ИAND
• Простой URL-адрес с диалогом• Dial-in simple URL
• Простой URL-адрес администратора• Admin simple URL
ИЛИOR
• Запись под диктовки для простых URL-адресов• A wildcard entry for the simple URLs
SN=ee01.contoso.com; SAN=webcon01.contoso.com; SAN=meet.contoso.com; SAN=meet.fabrikam.com; SAN=dialin.contoso.comSN=ee01.contoso.com; SAN=webcon01.contoso.com; SAN=meet.contoso.com; SAN=meet.fabrikam.com; SAN=dialin.contoso.com
Использование групповых сертификатов:Using a wildcard certificate:
SN=ee01.contoso.com; SAN=webcon01.contoso.com; SAN= * .contoso.comSN=ee01.contoso.com; SAN=webcon01.contoso.com; SAN=*.contoso.com
Если у вас есть несколько простых URL-адресов Meet, необходимо включить их в качестве альтернативных имен субъекта.If you have multiple Meet simple URLs, you've got to include all of them as subject alternative names.
Для простых URL-адресов поддерживаются подстановочные записи.Wildcard entries are supported for the simple URL entries.

Сертификаты для директора:Certificates for the Director:

СертификатCertificate Имя субъекта/общее имяSubject name/Common name Альтернативное имя субъектаSubject alternative name ПримерExample
По умолчаниюDefault
Пул директоровDirector pool
FQDN директора, FQDN пула Директора.FQDN of the Director, FQDN of the Director pool.
Если этот пул является автоматическим сервером для клиентов и строгим соответствием DNS в групповой политике, вам также потребуются записи для sip.sipdomain (для каждого домена SIP у вас есть).If this pool is the auto-logon server for clients and strict DNS matching's required in group policy, you'll also need entries for sip.sipdomain (for each SIP domain you have).
pool.contoso.com; SAN=dir01.contoso.compool.contoso.com; SAN=dir01.contoso.com
Если этот пул Директоров предназначен для сервера автоматического входа для клиентов, а в групповой политике требуется строгое сопоставление DNS, необходимо также добавить строки SAN=contoso.com SIP; SAN=fabrikam.com SIP.If this Director pool is the auto-logon server for clients and strict DNS matching is required in group policy, you also need SAN=sip.contoso.com; SAN=sip.fabrikam.com
Внутренняя сетьWeb internal
Полное доменное имя сервераFQDN of the server
Каждое из следующих:Each of the following:
• Внутренний веб-FQDN (то же самое, что и FQDN сервера)• Internal web FQDN (which is the same as the FQDN of the server)
• Сервер FQDN• Server FQDN
• FQDN пула Skype для бизнеса• Skype for Business pool FQDN
ИAND
• Встреча с простыми URL-адресами• Meet simple URLs
• Простой URL-адрес с диалогом• Dial-in simple URL
• Простой URL-адрес администратора• Admin simple URL
ИЛИOR
• Запись под диктовки для простых URL-адресов• A wildcard entry for the simple URLs
SN=dir01.contoso.com; SAN=dir01.contoso.com; SAN=meet.contoso.com; SAN=meet.fabrikam.com; SAN=dialin.contoso.com; SAN=admin.contoso.comSN=dir01.contoso.com; SAN=dir01.contoso.com; SAN=meet.contoso.com; SAN=meet.fabrikam.com; SAN=dialin.contoso.com; SAN=admin.contoso.com
Использование групповых сертификатов:Using a wildcard certificate:
SN=dir01.contoso.com; SAN=dir01.contoso.com SAN= * .contoso.comSN=dir01.contoso.com; SAN=dir01.contoso.com SAN=*.contoso.com
Внешняя сетьWeb external
Полное доменное имя сервераFQDN of the server
Каждое из следующих:Each of the following:
• Внешний веб-FQDN• External web FQDN
ИAND
• Встреча простых URL-адресов в домене SIP• Meet simple URLs per SIP domain
• Простой URL-адрес с диалогом• Dial-in simple URL
ИЛИOR
• Запись под диктовки для простых URL-адресов• A wildcard entry for the simple URLs
Внешний веб-FQDN Director должен быть отличается от пула переднего конца или переднего end Server.The Director external web FQDN must be different from the Front End pool or Front End Server.
SN=dir01.contoso.com; SAN=directorwebcon01.contoso.com SAN=meet.contoso.com; SAN=meet.fabrikam.com; SAN=dialin.contoso.comSN=dir01.contoso.com; SAN=directorwebcon01.contoso.com SAN=meet.contoso.com; SAN=meet.fabrikam.com; SAN=dialin.contoso.com
Использование групповых сертификатов:Using a wildcard certificate:
SN=dir01.contoso.com; SAN=directorwebcon01.contoso.com SAN= * .contoso.comSN=dir01.contoso.com; SAN=directorwebcon01.contoso.com SAN=*.contoso.com

Сертификаты для отдельного сервера-посредника:Certificates for Stand-alone Mediation Server:

СертификатCertificate Имя субъекта/общее имяSubject name/Common name Альтернативное имя субъектаSubject alternative name ПримерExample
По умолчаниюDefault
Полное доменное имя пулаFQDN of the pool
Полное доменное имя пулаFQDN of the pool
FQDN сервера участника пулаFQDN of the pool member server
SN=medsvr-pool.contoso.net; SAN=medsvr-pool.contoso.net; SAN=medsvr01.contoso.netSN=medsvr-pool.contoso.net; SAN=medsvr-pool.contoso.net; SAN=medsvr01.contoso.net

Сертификаты для устройства для сохранившихся филиалов:Certificates for Survivable Branch Appliance:

СертификатCertificate Имя субъекта/общее имяSubject name/Common name Альтернативное имя субъектаSubject alternative name ПримерExample
По умолчаниюDefault
Полное доменное имя устройстваFQDN of the appliance
SIP.<sipdomain>SIP.<sipdomain> (для одного домена SIP требуется только одна запись)(you need only one entry per SIP domain)
SN=sba01.contoso.net; SAN=sip.contoso.com; SAN=sip.fabrikam.comSN=sba01.contoso.net; SAN=sip.contoso.com; SAN=sip.fabrikam.com

Сертификаты для сервера сохраняемой беседыCertificates for your Persistent Chat Server

При установке постоянного сервера чата потребуется сертификат, выданный тем же ЦС, что и внутренний сервер Skype для бизнеса Server 2015.When installing your Persistent Chat Server, you're going to need a certificate that's issued by the same CA as the one used by your Skype for Business Server 2015 internal servers. Это необходимо сделать для каждого сервера с постоянными веб-службами чата для загрузки и загрузки файлов.This needs to be done for each server running Persistent Chat Web Services for File Upload/Download. Мы настоятельно рекомендуем вам иметь необходимый сертификат (s) перед началом установки стойких чатов, и если ваш ЦС является внешним, тем более (эти вещи могут занять немного времени, чтобы быть выданы).We highly recommend you have the required certificate(s) before you start your Persistent Chat installation, and if your CA is external, even more so (these things can take a little time to be issued).

Сертификаты для внешнего доступа к пользователю (Edge)Certificates for external user access (Edge)

Skype for Business Server 2015 поддерживает использование единого открытого сертификата для внешних интерфейсов edge доступа и веб-конференций, а также службы проверки подлинности A/V, которая предоставляется через edge Server (s).Skype for Business Server 2015 supports the use of a single public certificate for access and web conferencing Edge external interfaces, plus the A/V Authentication service, which is all provided via the Edge Server(s). Внутренний интерфейс Edge обычно использует частный сертификат, выданный внутренним ЦС, но если вы хотите, для этого можно использовать и общедоступный сертификат, если он из доверенного ЦС.Your Edge internal interface will typically use a private certificate issued by your internal CA, but if you'd prefer, you can use a public certificate for this as well, if it's from a trusted CA.

Обратный прокси-сервер (RP) также будет использовать общедоступный сертификат, который шифрует сообщение от RP до клиентов и RP на внутренние серверы с помощью HTTP (точнее, TLS над HTTP).Your reverse proxy (RP) is also going to use a public certificate, and it encrypts the communication from your RP to clients, and the RP to internal servers by using HTTP (or more precisely, TLS over HTTP).

Сертификаты для мобильностиCertificates for mobility

Если вы развертываете мобильность и поддерживаете автоматическое обнаружение для мобильных клиентов, вам потребуется включить дополнительные записи альтернативных имен субъекта в сертификаты для поддержки безопасных подключений от мобильных клиентов.If you're deploying mobility and you're supporting automatic discovery for mobile clients, you're going to need to include some additional subject alternate name entries on your certificates to support the secure connections from the mobile clients.

Какие сертификаты?Which certs? Для автоматического обнаружения в сертификатах здесь нужны имена SAN:You'll need SAN names for automatic discovery on the certificates here:

  • Пул директоровDirector pool

  • Интерфейсный пулFront End pool

  • Обратный прокси-серверReverse Proxy

Ниже мы перечислим конкретные особенности в каждой таблице.We'll list the specifics in each table below.

В этом случае немного лучше предварительного планирования, но иногда вы развернули Skype для бизнеса Server 2015, не намереваясь развернуть мобильность, и это происходит в строке, когда у вас уже есть сертификаты в среде.Now, this is where a little pre-planning is good, but sometimes you've deployed Skype for Business Server 2015 without intending to deploy mobility, and that comes up down the line when you already have certificates in your environment. Переиздание их через внутренний ЦС обычно довольно просто, но с общедоступными сертификатами из общедоступных ЦС это может быть немного дороже.Reissuing them via an internal CA is typically pretty easy, but with public certificates from a public CA, that can be a little more expensive.

Если это то, что вы ищете, и если у вас много доменов SIP (что сделает добавление SANS более дорогим), вы можете настроить обратный прокси для использования HTTP для первоначального запроса службы автообнаружания, а не с помощью HTTPS (это конфигурация по умолчанию).If that's what you're looking at, and if you have a lot of SIP domains (which would make adding SANS more expensive), you can configure your reverse proxy to use HTTP for the initial Autodiscover Service request, instead of using HTTPS (which is the default configuration). В разделе Планирование мобильности дополнительные сведения по этому вопросу.The Planning for Mobility topic has more info on this.

Требования к пулу директоров и сертификату переднего конечных пула:Director pool and Front End pool certificate requirements:

ОписаниеDescription Запись SANSAN entry
URL-адрес внутренней службы автооткрытияInternal Autodiscover service URL
SAN=lyncdiscoverinternal.<sipdomain>SAN=lyncdiscoverinternal.<sipdomain>
URL-адрес службы внешней автооткрытияExternal Autodiscover service URL
SAN=lyncdiscover.<sipdomain>SAN=lyncdiscover.<sipdomain>

Можно также использовать SAN= * .<sipdomain>You can alternatively use SAN=*.<sipdomain>

Требования к сертификату обратного прокси-сервера (public CA):Reverse Proxy (Public CA) certificate requirements:

ОписаниеDescription Запись SANSAN entry
URL-адрес службы внешней автооткрытияExternal Autodiscover service URL
SAN=lyncdiscover.<sipdomain>SAN=lyncdiscover.<sipdomain>

Этот SAN должен быть назначен сертификату, назначенного прослушивательу SSL на обратном прокси-сервере.This SAN needs to be assigned to the certificate that's assigned to the SSL Listener on your reverse proxy.

Примечание

Обратный прокси-прослушиватель будет иметь SANs для внешнего URL-адреса веб-служб(ы).Your reverse proxy listener's going to have SANs for your external Web Services URL(s). В качестве некоторых примеров можно привести SAN=skypewebextpool01.contoso.com и dirwebexternal.contoso.com, если вы развернули director (это необязательно).Some examples would be SAN=skypewebextpool01.contoso.com and dirwebexternal.contoso.com, if you've deployed the Director, (which is optional).

Файловый ресурсFile Share

Skype для бизнеса Server 2015 может использовать один и тот же файл для всего хранилища файлов.Skype for Business Server 2015 is able to use the same file share for all file storage. Необходимо помнить следующее:You do need to keep the following in mind:

  • Доля файлов должна быть на непосредственном присоединенном хранилище (DAS) или сети области хранения (SAN), и это включает распределенную файловую систему (DFS), а также избыточный массив независимых дисков (RAID) для файловых магазинов.A file share needs to be on either direct attached storage (DAS) or a storage area network (SAN), and this includes the Distributed File System (DFS) as well as a redundant array of independent disks (RAID) for file stores. Дополнительные книги по DFS для Windows Server 2012 можно узнать на этой странице DFS.For further reading on DFS for Windows Server 2012, check out this DFS page.

  • Рекомендуется общий кластер для общего файла.We recommend a shared cluster for the file share. Если вы используете его, необходимо кластеризация Windows Server 2012 или Windows Server 2012 R2.If you're using one, you should cluster Windows Server 2012 or Windows Server 2012 R2. Windows Server 2008 R2 допустимо.Windows Server 2008 R2 is acceptable as well. Почему последняя Windows?Why the latest Windows? Более старые версии могут не иметь нужных разрешений, чтобы включить все функции.Older versions may not have the right permissions to enable all features. Для создания файловой доли можно использовать администратора кластера, и это поможет вам в создании файлов в статье кластера.You can use Cluster Administrator to create the file shares, and this How to create file shares on a cluster article will help you with those details.

Внимание!

Вы должны знать, что использование сетевого подключенного хранилища (NAS) в качестве файла не поддерживается, поэтому используйте один из перечисленных выше вариантов.You should know that using network attached storage (NAS) as a file share isn't supported, so use one of the options listed above.