Требования к окружающей среде для Skype для бизнеса Server 2015Environmental requirements for Skype for Business Server 2015

Сводка: Настройка требований, не относящихся к серверу, для Skype для бизнеса Server 2015.Summary: Configure your non-server requirements for Skype for Business Server 2015. Прежде чем выполнять развертывание, в том числе Active Directory, DNS, certs и Филешарес, вы можете настроить все необходимые компоненты.There are a variety of things you'll want configured before doing your deployment, including Active Directory, DNS, Certs and Fileshares.

Каковы требования к окружающей среде для Skype для бизнеса Server 2015?What is an environmental requirement for Skype for Business Server 2015? Кроме того, мы поместили все, что не является напрямую сервером, связанным с этим разделом, поэтому вам не нужно делать это.Well, we've put everything that's not directly server related into this topic, so you don't have to do as much clicking around. Если вы ищете необходимые компоненты для серверов, вы можете ознакомиться с требованиями к серверу для Skype для бизнеса server 2015 doc.планирование сети также задокументировано отдельно.If you're looking for Server Prerequisites, you can check out the Server requirements for Skype for Business Server 2015 doc.Networking Planning is also documented separately. В противном случае мы приступили к этой статье:Otherwise, this is what we've got in this article:

Active DirectoryActive Directory

Несмотря на то, что большой объем данных конфигурации серверов и служб хранится в центральном хранилище управления Skype для бизнеса Server 2015, в Active Directory все еще хранятся некоторые компоненты:While a lot of configuration data for servers and services is stored in Skype for Business Server 2015's Central Management store, there are some things still stored in Active Directory:

Объекты Active DirectoryActive Directory objects Типы объектовObject types
Расширения схемыSchema extensions
Расширения объекта пользователяUser object extensions
Расширения для Lync Server 2013 и Lync Server 2010 для обеспечения обратной совместимости с предыдущими поддерживаемыми версиями.Extensions for Lync Server 2013 and Lync Server 2010, to maintain backward compatibility with the previous supported versions.
ДанныеData
URI SIP пользователя и другие пользовательские параметрыUser SIP URI and other user settings
Объекты контактов для приложений (таких как приложение группы ответа и приложение для конференц-связи).Contact objects for applications (like the Response Group application and the Conferencing Attendant application).
Данные, опубликованные для обратной совместимости.Data published for backward compatibility.
Точка управления службой (SCP) для центрального хранилища управления.A service control point (SCP) for the Central Management store.
Учетная запись проверки подлинности Kerberos (необязательный объект компьютера).Kerberos Authentication Account (an optional computer object).

ОС для контроллеров доменаOS for Domain Controllers

Итак, какую операционную систему контроллера домена можно использовать?So, what Domain Controller OS can be used? У нас есть следующий список:We have the following list:

  • Windows Server 2019 (необходимо наличие накопительного пакета обновления 5 или более поздней версии для Skype для бизнеса Server 2015)Windows Server 2019 (You must have Skype for Business Server 2015 Cumulative Update 5 or later)

  • Windows Server 2016Windows Server 2016

  • Windows Server 2012 R2Windows Server 2012 R2

  • Windows Server 2012Windows Server 2012

  • Windows Server 2008 R2Windows Server 2008 R2

  • Windows Server 2008Windows Server 2008

Теперь режим работы домена, на котором развернут Skype для бизнеса Server 2015, и режим работы леса для любого леса, на который вы развертываете Skype для бизнеса Server 2015, должны быть одним из следующих:Now, the domain functional level of any domain you deploy Skype for Business Server 2015 into, and the forest functional level of any forest you deploy Skype for Business Server 2015 into, have to be one of the following:

  • Windows Server 2019 (необходимо наличие накопительного пакета обновления 5 или более поздней версии для Skype для бизнеса Server 2015)Windows Server 2019 (You must have Skype for Business Server 2015 Cumulative Update 5 or later)

  • Windows Server 2016Windows Server 2016

  • Windows Server 2012 R2Windows Server 2012 R2

  • Windows Server 2012Windows Server 2012

  • Windows Server 2008 R2Windows Server 2008 R2

  • Windows Server 2008Windows Server 2008

  • Windows Server 2003Windows Server 2003

Есть ли в этих средах контроллеры домена, доступные только для чтения?Can you have read-only domain controllers in these environments? Конечно, при наличии доступных для записи контроллеров домена, доступных на том же сайте, что и Skype для бизнеса Server.Sure, as long as there are also writable domain controllers available at the same site as the Skype for Business Server.

Теперь важно знать, что Skype для бизнеса Server 2015 не поддерживает домены с одной меткой.Now, it's important to know that Skype for Business Server 2015 doesn't support single-labeled domains. Что это?What are they? Если у вас есть корневой домен с меткой contoso. local, он будет хорошо.If you have a root domain labeled contoso.local, that's going to be fine. Если у вас есть корневой домен с именем local, он не будет работать, и в результате он не будет поддерживаться.If you have a root domain that's just named local, that's not going to work, and it's not supported as a result. Немного больше об этом рассказывается в этой статье базы знаний.A little more about this has been written in this Knowledge Base article.

Skype для бизнеса Server 2015 также не поддерживает переименование доменов.Skype for Business Server 2015 also doesn't support renaming domains. Если вы действительно хотите сделать это, необходимо удалить Skype для бизнеса Server 2015, выполнить переименование домена, а затем повторно установить Skype для бизнеса Server 2015.If you've really got to do that, then you'll need to uninstall Skype for Business Server 2015, do the domain rename, and then reinstall Skype for Business Server 2015.

Наконец, вы можете работать с доменом с заблокированной средой AD DS, и все это верно.Finally, you may be dealing with a domain with a locked-down AD DS environment, and that's all right. Дополнительные сведения о развертывании Skype для бизнеса Server 2015 в этой среде в документах по развертыванию.We have more information on how to deploy Skype for Business Server 2015 into that sort of environment in the Deployment docs.

Топологии ADAD Topologies

Поддерживаемые топологии Skype для бизнеса Server 2015:Skype for Business Server 2015's supported topologies are:

  • один лес с одним доменом;Single forest with single domain

  • один лес с одним деревом и несколькими доменами;Single forest with a single tree and multiple domains

  • один лес с несколькими деревьями и несвязанными пространствами имен;Single forest with multiple trees and disjoint namespaces

  • несколько лесов в топологии с центральным лесом;Multiple forests in a central forest topology

  • несколько лесов в топологии с лесом ресурсов.Multiple forests in a resource forest topology

  • Несколько лесов в топологии леса ресурсов Skype для бизнеса с Exchange OnlineMultiple forests in a Skype for Business resource forest topology with Exchange Online

  • Несколько лесов в топологии с лесом ресурсов со Skype для бизнеса Online и Azure Active Directory ConnectMultiple forests in a resource forest topology with Skype for Business Online and Azure Active Directory Connect

У нас есть схемы и описания, которые помогут определить, какая топология находится в вашей среде, или что вам может потребоваться настроить перед установкой Skype для бизнеса Server 2015.We have diagrams and descriptions to help you determine what topology you have in your environment, or what you may need to set up prior to installing Skype for Business Server 2015. Для простоты мы также используем ключ:To keep it simple, we're also including a key:

Ключ для значков, используемых для диаграмм топологии Skype для бизнеса

один лес с одним доменом;Single forest with single domain

Схема единого леса Active Directory с одним доменом

Это не так, как в случае с одним доменом леса, это общая топология.It doesn't get easier than this, it's a single domain forest, this is a common topology.

один лес с одним деревом и несколькими доменами;Single forest with a single tree and multiple domains

Схема с одним лесом, одним деревом и доменом нескольких

На этом рисунке показан один лес, который также содержит один или несколько дочерних доменов (в этом конкретном примере есть три).This diagram shows a single forest, again, but it has one or more child domains as well (there are three in this specific example). Так как домен, в котором создаются пользователи, может отличаться от домена Skype для бизнеса Server 2015, на котором развернута.So the domain the users are created in might be different from the domain Skype for Business Server 2015 is deployed to. Зачем это делать?Why worry about this? Важно помнить, что при развертывании пула переднего плана Skype для бизнеса Server все серверы в этом пуле должны находиться в отдельном домене.It's important to remember that when you deploy a Skype for Business Server Front End pool, all the servers in that pool need to be in a single domain. Можно выполнить администрирование между доменами с помощью поддержки групп универсальных администраторов Windows в Skype для бизнеса Server.You can have cross-domain administration via Skype for Business Server's support of Windows universal administrator groups.

Вернитесь к схеме выше, вы увидите, что пользователи из одного домена могут получать доступ к пулам Skype для бизнеса Server из одного и того же домена или из разных доменов, даже если эти пользователи находятся в дочернем домене.Back to the diagram above, you can see that users from one domain are able to access Skype for Business Server pools from the same domain or from different domains, even if those users are in a child domain.

один лес с несколькими деревьями и несвязанными пространствами имен;Single forest with multiple trees and disjoint namespaces

Схема с одним лесом, несколькими деревьями и несвязанными пространствами имен

Возможно, у вас есть топология, похожая на схему, где есть один лес, но в пределах этого леса несколько доменов с отдельными пространствами имен AD.It may be that you've got a topology similar to this diagram, where you have one forest, but within that forest are multiple domains, with separate AD namespaces. Если это так, эта схема является хорошей иллюстрацией, так как у нас есть пользователи из трех разных доменов, обращающихся к Skype для бизнеса Server 2015.If that's the case, this diagram's a good illustration, as we have users in three different domains accessing Skype for Business Server 2015. Чистые линии указывают на то, что они обращаются к пулу Skype для бизнеса Server в своем домене, а пунктирная линия указывает на то, что они полностью передаются в пул в другом дереве.Solid lines indicate they're accessing a Skype for Business Server pool in their own domain, while a dashed line indicates they're going to a pool in a different tree altogether.

Как видите, пользователи в одном и том же домене, одно и то же дерево или даже другое дерево могут успешно получить доступ к пулам.As you can see, users in the same domain, the same tree, or even a different tree are able to access pools successfully.

несколько лесов в топологии с центральным лесом;Multiple forests in a central forest topology

Несколько лесов в схеме топологии с центральным лесом

Skype для бизнеса Server 2015 поддерживает несколько лесов, настроенных в топологии с центральным лесом.Skype for Business Server 2015 does support multiple forests configured in a central forest topology. Если вы не уверены, что это такое, в центральном лесу в топологии используются объекты для представления пользователей в других лесах и учетные записи пользователей для всех пользователей в лесу.If you're not sure that's what you have, the central forest in the topology uses objects in it to represent users in the other forests, and hosts user accounts for any users in the forest.

Как это работает?How does this work? Кроме того, продукт синхронизации каталогов (например, Forefront Identity Manager или FIM) управляет учетными записями пользователей организации в течение их существования.Well, a directory synchronization product (such as Forefront Identity Manager, or FIM) manages your organization's user accounts throughout their existence. При создании или удалении учетной записи из леса это изменение синхронизируется с соответствующим контактом в центральном лесу.When an account is created or deleted from a forest, that change is synched up to the corresponding contact in the central forest.

Очевидно, что если ваша инфраструктура AD находится на месте, эта топология может быть непростой, но если у вас уже есть такая же учетная возможность или вы еще не планируете инфраструктуру леса, это может быть хорошим выбором.Clearly, if your AD infrastructure is in-place moving to this topology might not be easy, but if you're already there, or still planning out your forest infrastructure, this can be a good choice. Вы можете централизовать развертывание Skype для бизнеса Server 2015 в пределах одного леса, в то время как пользователи могут выполнять поиск, Обмен информацией и Просмотр сведений о присутствии других пользователей в любом лесу.You can centralize your Skype for Business Server 2015 deployment within a single forest, while users can search, communicate, and view the presence of other users in any forest. Все обновления контактов пользователей автоматически обрабатываются с помощью программного обеспечения для синхронизации.All user contact updates are handled automatically with synchronization software.

Несколько лесов в топологии леса ресурсов Skype для бизнесаMultiple forests in a Skype for Business resource forest topology

Несколько лесов в схеме топологии леса ресурсов

Топология с лесом ресурсов также поддерживается; в этом случае лес предназначен для запуска серверных приложений, например Microsoft Exchange Server и Skype для бизнеса Server 2015.A resource forest topology is also supported; it's where a forest is dedicated to running your server applications, like Microsoft Exchange Server and Skype for Business Server 2015. В этом лесу ресурсов также размещается синхронизированное представление активных объектов пользователя, но нет учетных записей пользователей с включенным входом.This resource forests also hosts a synchronized representation of active user objects, but no logon-enabled user accounts. Таким образом, лес ресурсов является общедоступной средой служб для других лесов, в которых располагаются объекты пользователя, и у них есть отношение доверия с лесом ресурсов на уровне леса.So the resource forest is a shared services environment for other forests in which user objects reside, and they have a forest-level trust relationship with the resource forest.

Обратите внимание, что Exchange Server можно развернуть в том же лесу ресурсов, что и Skype для бизнеса Server, или в другом лесу.Note that Exchange Server can be deployed in the same resource forest as Skype for Business Server or in a different forest.

Для развертывания Skype для бизнеса Server 2015 в этом типе топологии вы создадите один отключенный объект пользователя в лесу ресурсов для каждой учетной записи пользователя в лесах пользователя (если сервер Microsoft Exchange Server уже находится в среде, это может быть сделано).To deploy Skype for Business Server 2015 in this type of topology, you'd create one disabled user object in the resource forest for each user account in the user forests (if Microsoft Exchange Server is already in the environment, this might be done for you). Затем вам потребуется средство синхронизации каталогов (например, Forefront Identity Manager или FIM) для управления учетными записями пользователей с помощью своего жизненного цикла.Then you'll need a directory synchronization tool (like Forefront Identity Manager, or FIM) to manage user accounts through their life cycle.

Несколько лесов в топологии леса ресурсов Skype для бизнеса с Exchange OnlineMultiple forests in a Skype for Business resource forest topology with Exchange Online

Эта топология аналогична топологии, описанной в нескольких лесах в топологии леса ресурсов Skype для бизнеса.This topology is similar to the topology described in Multiple forests in a Skype for Business resource forest topology.

В этой топологии существует один или несколько лесов пользователя, а Skype для бизнеса Server развернут в выделенном лесу ресурсов.In this topology, there are one or more user forests, and Skype for Business Server is deployed in a dedicated resource forest. Exchange Server может быть развернут локально в том же лесу ресурсов или в другом лесу, настроенном для гибридной среды с Exchange Online, либо почтовые службы могут предоставляться только Exchange Online для локальных учетных записей.Exchange Server can be deployed on-premises in the same resource forest or a different forest and configured for hybrid with Exchange Online, or email services may be provided exclusively by Exchange Online for the on-premises accounts. Для этой топологии нет доступных схем.There is no diagram available for this topology.

Несколько лесов в топологии с лесом ресурсов со Skype для бизнеса Online и Azure Active Directory ConnectMultiple forests in a resource forest topology with Skype for Business Online and Azure Active Directory Connect

Показывает два леса Active Directory, один лес пользователей и один лес ресурсов.

В этом сценарии существует несколько локальных лесов с топологией леса ресурсов.With this scenario, there are multiple forests on-premises, with a resource forest topology. Существует полное отношение доверия между лесами Active Directory.There is a full trust relationship between the Active Directory forests. Средство Azure Active Directory Connect используется для синхронизации учетных записей между лесами локального пользователя и Microsoft 365 или Office 365.The Azure Active Directory Connect tool is used to synchronize accounts between the on-premises user forests and Microsoft 365 or Office 365.

В организации также имеется Microsoft 365 или Office 365, и используется Azure Active Directory Connect для синхронизации локальных учетных записей с Microsoft 365 или Office 365.The organization also has Microsoft 365 or Office 365, and uses Azure Active Directory Connect to synchronize their on-premises accounts with Microsoft 365 or Office 365. Пользователи, для которых включена поддержка Skype для бизнеса, включены через Microsoft 365 или Office 365 и Skype для бизнеса Online.Users who are enabled for Skype for Business are enabled via Microsoft 365 or Office 365 and Skype for Business Online. Skype для бизнеса Server не развернут локально.Skype for Business Server is not deployed on-premises.

Проверка подлинности с единым входом обеспечивается фермой служб федерации Active Directory, расположенной в лесу пользователя.Single sign-on authentication is provided by an Active Directory Federation Services farm located in the user forest.

В этом сценарии поддерживается развертывание локальной сети Exchange, Exchange Online, гибридного решения Exchange или без развертывания Exchange.In this scenario, it is supported to deploy Exchange on-premises, Exchange Online, a hybrid Exchange solution, or to not have Exchange deployed at all. (На схеме показан только локальный сервер Exchange, но другие решения Exchange также полностью поддерживаются.)(The diagram shows only Exchange on-premises, but the other Exchange solutions are also fully supported.)

Несколько лесов в топологии с лесом ресурсов с гибридной службой Skype для бизнесаMultiple forests in a resource forest topology with hybrid Skype for Business

В этом сценарии существует один или несколько локальных лесов пользователей, а Skype для бизнеса развернут в выделенном лесу ресурсов и настроен для гибридного режима со Skype для бизнеса Online.In this scenario, there are one or more on-premises user forests, and Skype for Business is deployed in a dedicated resource forest and is configured for hybrid mode with Skype for Business Online. Exchange Server может быть развернут локально в том же лесу ресурсов или другом лесу и может быть настроен для гибридной среды с Exchange Online.Exchange Server can be deployed on-premises in the same resource forest or a different forest and may be configured for hybrid with Exchange Online. Кроме того, службы электронной почты могут быть предоставлены только Exchange Online для локальных учетных записей.Alternatively, email services may be provided exclusively by Exchange Online for the on-premises accounts.

Дополнительную информацию можно узнать в статье Настройка среды с несколькими лесами для гибридной среды Skype для бизнеса.For more information, see Configure a multi-forest environment for hybrid Skype for Business.

Система доменных имен (DNS)Domain Name System (DNS)

Для работы с Skype для бизнеса Server 2015 требуется DNS по следующим причинам:Skype for Business Server 2015 requires DNS, for the following reasons:

  • DNS позволяет Skype для бизнеса Server 2015 обнаруживать внутренние серверы или пулы, обеспечивая межсерверную связь.DNS enables Skype for Business Server 2015 to discover internal servers or pools, allowing for server-to-server communications.

  • DNS позволяет клиентским компьютерам обнаруживать интерфейсный пул или сервер Standard Edition, используемый для транзакций SIP.DNS allows client machines to discover the Front End pool or Standard Edition server being used for SIP transactions.

  • Он связывает простые URL-адреса для конференций с серверами, на которых размещаются эти конференции.It associates simple URLs for conferences with the servers hosting those conferences.

  • DNS позволяет внешним пользователям и клиентским компьютерам подключаться к пограничным серверам или обратному прокси-серверу HTTP для обмена мгновенными сообщениями или конференц-связи.DNS allows external users and client machines to connect to your Edge Servers, or the HTTP reverse proxy, for instant messaging (IM) or conferencing.

  • Он позволяет устройствам Объединенных коммуникаций (UC), которые не вошли в систему, обнаруживать интерфейсный пул или сервер Standard Edition, на котором работает веб-служба обновления устройств, чтобы получать обновления и отправлять журналы.It lets unified communications (UC) devices that aren't logged in discover the Front End pool or Standard Edition server that's running the Device Update web service to get updates and send logs.

  • Использование DNS позволяет мобильным клиентам автоматически обнаруживать ресурсы веб-служб, не требуя, чтобы пользователи вручную вводили URL-адреса в своих параметрах устройства.Using DNS allows mobile clients to automatically discover web services resources without requiring users to manually enter URLs in their device settings.

  • Он используется в балансировке нагрузки на DNS.And it's used in DNS load balancing.

Важно отметить, что Skype для бизнеса Server 2015 не поддерживает международные доменные имена (IDN).It's important to note that Skype for Business Server 2015 doesn't support internationalized domain names (IDNs).

Очень важно помнить, что любое имя в DNS должно совпадать с именем компьютера, настроенным на любом сервере, используемом Skype для бизнеса Server 2015.And it's extremely important to remember that any name in DNS be identical to the computer name configured on any server being used by Skype for Business Server 2015. В частности, у нас не может быть коротких имен в среде и у них должно быть FQDN для построителя топологий.Specifically, we can't have any short-names in the environment, and must have FQDNs for Topology Builder.

Кажется, что он будет логическим для любого компьютера, уже присоединенного к домену, но если у вас есть пограничный сервер, который не присоединен к домену, для него может быть задано короткое имя без суффикса домена.This seems like it would be logical for any computer already joined to a domain, but if you have an Edge Server that's not joined to your domain, it may have a default of a short name, with no domain suffix. Убедитесь, что это не так, как в DNS или на пограничном сервере или на любом сервере или в любом сервере Skype для бизнеса Server 2015.Make sure that's not the case, either in DNS or on the Edge Server, or any Skype for Business Server 2015 server or pool, for that matter.

И в определенном случае не следует использовать символы Юникода или символы подчеркивания.And definitely don't use Unicode characters or underscores. Стандартные символы (A-Z, a-z, 0-9 и дефисы) — это те, которые будут поддерживаться внешними DNS и общедоступными центрами сертификации (вам потребуется назначить полные доменные имена для SN в сертификате, а не забыть), поэтому вы можете создать множество гриеф, если присвоить ему имя с учетом этого.Standard characters (which are A-Z, a-z, 0-9, and hyphens) are the ones that are going to be supported by external DNS and public Certificate Authorities (you'll need to assign FQDNs to the SN in the certificate, don't forget), so you'll spare yourself a lot of grief if you name with this in mind.

Для дальнейшего ознакомления с требованиями к DNS для работы в сети ознакомьтесь с разделом " сети " документации по планированию.For further reading on DNS requirements for Networking, check out the Networking section of our Planning documentation.

СертификатыCertificates

Один из важнейших моментов, которые можно выполнить перед развертыванием, заключается в том, что у вас есть сертификаты по порядку.One of the most important things you can do before deploying is make sure you have your certificates in order. В Skype для бизнеса Server 2015 требуется инфраструктура открытых ключей (PKI) для подключений по протоколу TLS и взаимного подключения безопасности на уровне транспорта (MTLS).Skype for Business Server 2015 needs a public key infrastructure (PKI) for transport layer security (TLS) and mutual transport layer security (MTLS) connections. Для безопасного обмена сообщениями в стандартном случае Skype для бизнеса Server использует сертификаты, выданные центрами сертификации (CA).Basically, to communicate securely in a standardized way, Skype for Business Server uses certificates issued by Certificate Authorities (CAs).

Ниже приведены некоторые из возможностей, которые Skype для бизнеса Server 2015 использует сертификаты для:These are some of the things that Skype for Business Server 2015 uses certificates for:

  • Подключения TLS между клиентами и серверамиTLS connections between clients and servers

  • для подключений MTLS между серверами;MTLS connections between servers

  • Усин Федерации автоматическое обнаружение DNS партнеровFederation usin automatic DNS discovery of partners

  • для доступа удаленных пользователей к обмену мгновенными сообщениями;Remote user access for instant messaging (IM)

  • Доступ внешних пользователей к сеансам аудио-и видеосвязи (AV), совместному использованию приложений и конференц-связиExternal user access to audio/video (AV) sessions, application sharing, and conferencing

  • Беседы с веб-приложениями и Outlook Web Access (OWA)Talking to web applications and Outlook Web Access (OWA)

Это необходимо для планирования сертификатов.So certificate planning's a must. Теперь рассмотрим список некоторых вещей, которые необходимо иметь в виду при запросе сертификатов.Now, let's look at a list of some of the things you need to keep in mind when requesting certificates:

  • Все сертификаты серверов должны поддерживать авторизацию сервера (EKU сервера).All server certificates must support server authorization (Server EKU).

  • Все сертификаты серверов должны содержать точку распространения списка отзыва сертификатов (CDP).All server certificates must contain a CRL Distribution Point (CDP).

  • Все сертификаты должны быть подписаны с помощью алгоритма подписи, поддерживаемого операционной системой.All certificates must be signed using a signing algorithm supported by the operating system. Skype для бизнеса Server 2015 поддерживает набор размеров дайджеста SHA-1 и SHA-2 (224, 256, 384 и 512), а также соответствует требованиям к операционной системе или превышает их.Skype for Business Server 2015 supports the SHA-1 and SHA-2 suite of digest sizes (224, 256, 384 and 512-bit), and meets or exceeds the operating system requirements.

  • Автоматическая регистрация поддерживается для внутренних серверов, на которых работает Skype для бизнеса Server 2015.Auto-enrollment is supported for internal servers running Skype for Business Server 2015.

  • Автоматическая регистрация не поддерживается для пограничных серверов Skype для бизнеса Server 2015.Auto-enrollment is not supported for Skype for Business Server 2015 Edge Servers.

  • Запрос на сертификат через Интернет в центр сертификации Windows Server 2003 необходимо подавать с компьютера, работающего под управлением либо Windows Server 2003 с пакетом обновления 2 (SP2), либо Windows XP.When you submit a web-based certificate request to a Windows Server 2003 CA, you must submit it from a computer running either Windows Server 2003 with SP2 or Windows XP.

Примечание

Несмотря на то, что KB922706 поддерживает устранение неполадок, связанных с регистрацией веб-сертификатов на веб-сайте службы сертификации Windows Server 2003, он не позволяет использовать Windows Server 2008, Windows Vista или Windows 7 для запроса сертификата из центра сертификации Windows Server 2003.Although KB922706 provides support for resolving issues with enrolling web certificates against a Windows Server 2003 Certificate Services web enrollment, it does not make it possible to use Windows Server 2008, Windows Vista, or Windows 7 to request a certificate from a Windows Server 2003 CA.

Примечание

Использование алгоритма подписи RSASSA-PSS не поддерживается и может привести к ошибкам при входе в систему и переадресации вызовов, среди прочих проблем.Using the RSASSA-PSS signature algorithm is unsupported, and may lead to errors on login and call forwarding issues, among other problems.

Примечание

Skype для бизнеса Server 2015 не поддерживает сертификаты CNG.Skype for Business Server 2015 does not support CNG certificates.

  • Поддерживаются длины ключей шифрования 1024, 2048 и 4096.Encryption key lengths of 1024, 2048, and 4096 are supported. Рекомендуется использовать ключи длиной 2048 и выше.Key lengths of 2048 and greater are recommended.

  • Для дайджеста по умолчанию или хэш-подписи используется алгоритм RSA.The default digest, or hash signing, algorithm is RSA. Также поддерживаются алгоритмы ECDH_P256, ECDH_P384 и ECDH_P521.The ECDH_P256, ECDH_P384, and ECDH_P521 algorithms are also supported.

Поэтому очень важно думать о самых разных уровнях, которые запрашивают сертификаты из центра сертификации.So that's a lot to think about, and definitely, there's a variety of comfort levels with requesting certificates from a CA. Ниже приведено несколько дальнейших рекомендаций по планированию как можно более безболезненных.We'll give you some further guidance below to make your planning as painless as possible.

Сертификаты для внутренних серверовCertificates for your internal servers

Вам потребуются сертификаты для большинства внутренних серверов, и, скорее всего, они будут получены из внутреннего ЦС (который один в вашем домене).You'll need certificates for most of your internal servers, and most likely, you'll get them from an internal CA (that's one located in your domain). При желании вы можете запросить эти сертификаты из внешнего центра сертификации (который расположен в Интернете).If you want to, you can request these certificates from an external CA (one located on the internet). Если вы не хотите, чтобы получить доступ к общедоступному центру сертификации, вы можете ознакомиться со списком партнеров единой системы обмена сообщениями .If you're wondering what public CA you should go to, you can check out the Unified Communications certificate partners list.

Кроме того, вам потребуется использовать сертификаты, когда Skype для бизнеса Server 2015 обменивается данными с другими приложениями и серверами, такими как Microsoft Exchange Server.You're also going to need certificates when Skype for Business Server 2015 communicates with other applications and servers, such as Microsoft Exchange Server. Это, конечно же, должен быть сертификатом, который могут использовать другие приложения и серверы.This will, obviously, need to be a certificate these other apps and servers can use in a supported way. Skype для бизнеса Server 2015 и другие продукты Майкрософт поддерживают протокол Open Authorization (OAuth) для проверки подлинности и авторизации "сервер-сервер".Skype for Business Server 2015 and other Microsoft products support the Open Authorization (OAuth) protocol for server-to-server authentication and authorization. Если вы заинтересованы в этом, у нас есть дополнительная статья по планированию для OAuth и Skype для бизнеса Server 2015.If you're interested in this, we have an additional planning article for OAuth and Skype for Business Server 2015.

Skype для бизнеса Server 2015 также включает поддержку сертификатов (без необходимости), подписанных с помощью криптографического хэш-функции SHA-256.Skype for Business Server 2015 also includes support for (without requiring) certificates signed using the SHA-256 cryptographic hash function. Для поддержки внешнего доступа с помощью SHA – 256 внешний сертификат должен быть выдан общедоступным центром сертификации с помощью SHA – 256.To support external access using SHA-256, the external certificate needs to be issued by a public CA using SHA-256.

Для простоты и сохранения простоты мы предоставили требования к сертификатам для серверов Standard Edition, интерфейсных пулов и других ролей в приведенных ниже таблицах с вымышленными contoso.com, которые используются в примерах (вероятно, для вашей среды используется другой способ).To try and keep things straightforward, we've put the certificate requirements for Standard Edition servers, Front End pools, and other roles, into the following tables, with the fictional contoso.com being used for examples (you'll probably be using something else for your environment). Все стандартные сертификаты веб-сервера с закрытыми ключами, которые не могут быть экспортированы.These are all standard web server certificates, with private keys that are non-exportable. Обратите внимание на некоторые дополнительные моменты.Some additional things to note:

  • Расширенное использование ключа (EKU) сервера автоматически настраивается при использовании мастера сертификатов для запроса сертификатов.Server enhanced key usage (EKU) is automatically configured when you use the certificate wizard to request certificates.

  • Каждое понятное имя сертификата должно быть уникальным в хранилище компьютера.Each certificate friendly name has to be unique in the computer store.

  • Как и в приведенных ниже примерах, если вы настроили sipinternal.contoso.com или sipexternal.contoso.com в службе DNS, их необходимо добавить в альтернативное имя субъекта сертификата (SAN).As per the sample names below, if you've configured sipinternal.contoso.com or sipexternal.contoso.com in your DNS, they need to be added to the certificate's Subject Alternative Name (SAN).

Сертификаты для серверов Standard Edition:Certificates for Standard Edition servers:

СертификатCertificate Имя субъекта/общее имяSubject name/Common name Альтернативное имя субъектаSubject alternative name ПримерExample CommentsComments
По умолчаниюDefault
Полное доменное имя пулаFQDN of the pool
Полное доменное имя пула и полного доменного имени сервераFQDN of the pool and FQDN of the server
Если существует несколько доменов SIP и включена автоматическая настройка клиента, мастер сертификатов обнаруживает все поддерживаемые полные доменные имена SIP.If you have multiple SIP domains and have enabled automatic client configuration, the certificate wizard detects and adds each supported SIP domain FQDNs.
Если этот пул является сервером для автоматического входа клиентов и для групповой политики требуется строгое сопоставление DNS-имен, также необходимы записи для sip.sipdomain (для каждого домена SIP).If this pool is the auto-logon server for clients and strict Domain Name System (DNS) matching is required in group policy, you also need entries for sip.sipdomain (for each SIP domain you have).
SN = se01. contoso. com; SAN = se01. contoso. comSN=se01.contoso.com; SAN=se01.contoso.com
Если этот пул предназначен для сервера автоматического входа для клиентов, а в групповой политике требуется строгое сопоставление DNS, необходимо также добавить строки SAN=contoso.com SIP; SAN=fabrikam.com SIP.If this pool is the auto-logon server for clients and strict DNS matching is required in group policy, you also need SAN=sip.contoso.com; SAN=sip.fabrikam.com
На серверах Standard Edition Server Standard Edition полное доменное имя сервера совпадает с полным доменным именем пула.On Standard Edition servers Standard Edition server, the server FQDN is the same as the pool FQDN.
Мастер обнаруживает все домены SIP, указанные вами во время установки, и автоматически добавляет их в альтернативное имя субъекта.The wizard detects any SIP domains you specified during setup and automatically adds them to the subject alternative name.
Вы также можете использовать этот сертификат для проверки подлинности между серверами.You can also use this certificate for Server-to-Server Authentication.
Внутренняя сетьWeb internal
Полное доменное имя сервераFQDN of the server
Каждое из следующих:Each of the following:
• Полное доменное имя внутреннего веб-сайта (то же, что и полное доменное имя сервера);• Internal web FQDN (which is the same as the FQDN of the server)
ИAND
• Для соответствия простым URL-адресам• Meet simple URLs
• Простой URL-адрес для телефонного подключения• Dial-in simple URL
• Простой URL-адрес администратора• Admin simple URL
OROR
• Подстановочный знак для простых URL-адресов• A wildcard entry for the simple URLs
SN = se01. contoso. com; SAN = se01. contoso. com; SAN = встреча. contoso. com; SAN = соответствует. fabrikam. com; SAN = Dialin. contoso. com; SAN = admin. contoso. comSN=se01.contoso.com; SAN=se01.contoso.com; SAN=meet.contoso.com; SAN=meet.fabrikam.com; SAN=dialin.contoso.com; SAN=admin.contoso.com
Использование групповых сертификатов:Using a wildcard certificate:
SN = se01. contoso. com; SAN = se01. contoso. com; SAN = * . contoso.comSN=se01.contoso.com; SAN=se01.contoso.com; SAN=*.contoso.com
Вы не можете переопределить полное доменное имя внутреннего веб-сервера в построителе топологий.You can't override the Internal web FQDN in Topology Builder.
Если у вас есть несколько простых URL-адресов, вы можете включить их все как San.If you have multiple Meet simple URLs, you've got to include all of them as SANs.
Для простых URL-адресов поддерживаются подстановочные записи.Wildcard entries are supported for the simple URL entries.
Внешняя сетьWeb external
Полное доменное имя сервераFQDN of the server
Каждое из следующих:Each of the following:
• Внешнее полное доменное имя веб-сайта• External web FQDN
ИAND
• Простой URL-адрес для телефонного подключения• Dial-in simple URL
• Соответствие простых URL-адресов для каждого домена SIP• Meet simple URLs per SIP domain
OROR
• Подстановочный знак для простых URL-адресов• A wildcard entry for the simple URLs
SN = se01. contoso. com; SAN = webcon01. contoso. com; SAN = встреча. contoso. com; SAN = соответствует. fabrikam. com; SAN = Dialin. contoso. comSN=se01.contoso.com; SAN=webcon01.contoso.com; SAN=meet.contoso.com; SAN=meet.fabrikam.com; SAN=dialin.contoso.com
Использование групповых сертификатов:Using a wildcard certificate:
SN = se01. contoso. com; SAN = webcon01. contoso. com; SAN = * . contoso.comSN=se01.contoso.com; SAN=webcon01.contoso.com; SAN=*.contoso.com
Если у вас есть несколько простых URL-адресов, вы можете включить их все как альтернативные имена субъектов.If you have multiple Meet simple URLs, you've got to include all of them as subject alternative names.
Для простых URL-адресов поддерживаются подстановочные записи.Wildcard entries are supported for the simple URL entries.

Сертификаты для серверов переднего плана в интерфейсном пуле:Certificates for Front End Servers in a Front End pool:

СертификатCertificate Имя субъекта/общее имяSubject name/Common name Альтернативное имя субъектаSubject alternative name ПримерExample CommentsComments
По умолчаниюDefault
Полное доменное имя пулаFQDN of the pool
Полное доменное имя пула и полного доменного имени сервераFQDN of the pool and FQDN of the server
Если существует несколько доменов SIP и включена автоматическая настройка клиента, мастер сертификатов обнаруживает все поддерживаемые полные доменные имена SIP.If you have multiple SIP domains and have enabled automatic client configuration, the certificate wizard detects and adds each supported SIP domain FQDNs.
Если этот пул является сервером для автоматического входа клиентов и для групповой политики требуется строгое сопоставление DNS-имен, также необходимы записи для sip.sipdomain (для каждого домена SIP).If this pool is the auto-logon server for clients and strict Domain Name System (DNS) matching is required in group policy, you also need entries for sip.sipdomain (for each SIP domain you have).
SN = ипул. contoso. com; SAN = ипул. contoso. com; SAN = ee01. contoso. comSN=eepool.contoso.com; SAN=eepool.contoso.com; SAN=ee01.contoso.com
Если этот пул предназначен для сервера автоматического входа для клиентов, а в групповой политике требуется строгое сопоставление DNS, необходимо также добавить строки SAN=contoso.com SIP; SAN=fabrikam.com SIP.If this pool is the auto-logon server for clients and strict DNS matching is required in group policy, you also need SAN=sip.contoso.com; SAN=sip.fabrikam.com
Мастер обнаруживает все домены SIP, указанные вами во время установки, и автоматически добавляет их в альтернативное имя субъекта.The wizard detects any SIP domains you specified during setup and automatically adds them to the subject alternative name.
Вы также можете использовать этот сертификат для проверки подлинности между серверами.You can also use this certificate for Server-to-Server Authentication.
Внутренняя сетьWeb internal
Полное доменное имя пулаFQDN of the pool
Каждое из следующих:Each of the following:
• Внутреннее полное доменное имя (не совпадает с полным доменным именем сервера)• Internal web FQDN (which is NOT the same as the FQDN of the server)
• Полное доменное имя сервера• Server FQDN
• Полное доменное имя пула Skype для бизнеса• Skype for Business pool FQDN
ИAND
• Для соответствия простым URL-адресам• Meet simple URLs
• Простой URL-адрес для телефонного подключения• Dial-in simple URL
• Простой URL-адрес администратора• Admin simple URL
OROR
• Подстановочный знак для простых URL-адресов• A wildcard entry for the simple URLs
SN = ee01. contoso. com; SAN = ee01. contoso. com; SAN = встреча. contoso. com; SAN = соответствует. fabrikam. com; SAN = Dialin. contoso. com; SAN = admin. contoso. comSN=ee01.contoso.com; SAN=ee01.contoso.com; SAN=meet.contoso.com; SAN=meet.fabrikam.com; SAN=dialin.contoso.com; SAN=admin.contoso.com
Использование групповых сертификатов:Using a wildcard certificate:
SN = ee01. contoso. com; SAN = ee01. contoso. com; SAN = * . contoso.comSN=ee01.contoso.com; SAN=ee01.contoso.com; SAN=*.contoso.com
Если у вас есть несколько простых URL-адресов, вы можете включить их все как альтернативные имена субъектов.If you have multiple Meet simple URLs, you've got to include all of them as subject alternative names.
Для простых URL-адресов поддерживаются подстановочные записи.Wildcard entries are supported for the simple URL entries.
Внешняя сетьWeb external
Полное доменное имя пулаFQDN of the pool
Каждое из следующих:Each of the following:
• Внешнее полное доменное имя веб-сайта• External web FQDN
ИAND
• Простой URL-адрес для телефонного подключения• Dial-in simple URL
• Простой URL-адрес администратора• Admin simple URL
OROR
• Подстановочный знак для простых URL-адресов• A wildcard entry for the simple URLs
SN = ee01. contoso. com; SAN = webcon01. contoso. com; SAN = встреча. contoso. com; SAN = соответствует. fabrikam. com; SAN = Dialin. contoso. comSN=ee01.contoso.com; SAN=webcon01.contoso.com; SAN=meet.contoso.com; SAN=meet.fabrikam.com; SAN=dialin.contoso.com
Использование групповых сертификатов:Using a wildcard certificate:
SN = ee01. contoso. com; SAN = webcon01. contoso. com; SAN = * . contoso.comSN=ee01.contoso.com; SAN=webcon01.contoso.com; SAN=*.contoso.com
Если у вас есть несколько простых URL-адресов, вы можете включить их все как альтернативные имена субъектов.If you have multiple Meet simple URLs, you've got to include all of them as subject alternative names.
Для простых URL-адресов поддерживаются подстановочные записи.Wildcard entries are supported for the simple URL entries.

Сертификаты для директора:Certificates for the Director:

СертификатCertificate Имя субъекта/общее имяSubject name/Common name Альтернативное имя субъектаSubject alternative name ПримерExample
По умолчаниюDefault
Пул директоровDirector pool
Полное доменное имя директора пула директоров в полном доменном имени.FQDN of the Director, FQDN of the Director pool.
Если этот пул является сервером автоматического входа для клиентов и в групповой политике требуется жесткое совпадение DNS, вам также понадобятся записи для SIP. sipdomain (для каждого домена SIP).If this pool is the auto-logon server for clients and strict DNS matching's required in group policy, you'll also need entries for sip.sipdomain (for each SIP domain you have).
pool.contoso.com; SAN = dir01. contoso. compool.contoso.com; SAN=dir01.contoso.com
Если этот пул Директоров предназначен для сервера автоматического входа для клиентов, а в групповой политике требуется строгое сопоставление DNS, необходимо также добавить строки SAN=contoso.com SIP; SAN=fabrikam.com SIP.If this Director pool is the auto-logon server for clients and strict DNS matching is required in group policy, you also need SAN=sip.contoso.com; SAN=sip.fabrikam.com
Внутренняя сетьWeb internal
Полное доменное имя сервераFQDN of the server
Каждое из следующих:Each of the following:
• Полное доменное имя внутреннего веб-сайта (то же, что и полное доменное имя сервера);• Internal web FQDN (which is the same as the FQDN of the server)
• Полное доменное имя сервера• Server FQDN
• Полное доменное имя пула Skype для бизнеса• Skype for Business pool FQDN
ИAND
• Для соответствия простым URL-адресам• Meet simple URLs
• Простой URL-адрес для телефонного подключения• Dial-in simple URL
• Простой URL-адрес администратора• Admin simple URL
OROR
• Подстановочный знак для простых URL-адресов• A wildcard entry for the simple URLs
SN = dir01. contoso. com; SAN = dir01. contoso. com; SAN = встреча. contoso. com; SAN = соответствует. fabrikam. com; SAN = Dialin. contoso. com; SAN = admin. contoso. comSN=dir01.contoso.com; SAN=dir01.contoso.com; SAN=meet.contoso.com; SAN=meet.fabrikam.com; SAN=dialin.contoso.com; SAN=admin.contoso.com
Использование групповых сертификатов:Using a wildcard certificate:
SN = dir01. contoso. com; SAN = dir01. contoso. com SAN = * . contoso.comSN=dir01.contoso.com; SAN=dir01.contoso.com SAN=*.contoso.com
Внешняя сетьWeb external
Полное доменное имя сервераFQDN of the server
Каждое из следующих:Each of the following:
• Внешнее полное доменное имя веб-сайта• External web FQDN
ИAND
• Соответствие простых URL-адресов для каждого домена SIP• Meet simple URLs per SIP domain
• Простой URL-адрес для телефонного подключения• Dial-in simple URL
OROR
• Подстановочный знак для простых URL-адресов• A wildcard entry for the simple URLs
Полное доменное имя внешнего веб-сайта директора должно отличаться от внешнего интерфейса пула или сервера переднего плана.The Director external web FQDN must be different from the Front End pool or Front End Server.
SN = dir01. contoso. com; SAN = directorwebcon01. contoso. com SAN = встретиться. contoso. com; SAN = соответствует. fabrikam. com; SAN = Dialin. contoso. comSN=dir01.contoso.com; SAN=directorwebcon01.contoso.com SAN=meet.contoso.com; SAN=meet.fabrikam.com; SAN=dialin.contoso.com
Использование групповых сертификатов:Using a wildcard certificate:
SN = dir01. contoso. com; SAN = directorwebcon01. contoso. com SAN = * . contoso.comSN=dir01.contoso.com; SAN=directorwebcon01.contoso.com SAN=*.contoso.com

Сертификаты для изолированного сервера-посредника:Certificates for Stand-alone Mediation Server:

СертификатCertificate Имя субъекта/общее имяSubject name/Common name Альтернативное имя субъектаSubject alternative name ПримерExample
По умолчаниюDefault
Полное доменное имя пулаFQDN of the pool
Полное доменное имя пулаFQDN of the pool
Полное доменное имя сервера участника пулаFQDN of the pool member server
SN = медсвр — pool.contoso.net; SAN = медсвр pool.contoso.net; SAN = medsvr01. contoso. NETSN=medsvr-pool.contoso.net; SAN=medsvr-pool.contoso.net; SAN=medsvr01.contoso.net

Сертификаты для устройства для обеспечения связи в филиалах:Certificates for Survivable Branch Appliance:

СертификатCertificate Имя субъекта/общее имяSubject name/Common name Альтернативное имя субъектаSubject alternative name ПримерExample
По умолчаниюDefault
Полное доменное имя устройстваFQDN of the appliance
SIP. < sipdomain > (требуется только одна запись для каждого домена SIP)SIP.<sipdomain> (you need only one entry per SIP domain)
SN = sba01. contoso. NET; SAN = SIP. contoso. com; SAN = SIP. fabrikam. comSN=sba01.contoso.net; SAN=sip.contoso.com; SAN=sip.fabrikam.com

Сертификаты для сервера сохраняемого чатаCertificates for your Persistent Chat Server

При установке сервера сохраняемого чата необходимо получить сертификат, выданный тем же ЦС, который используется для внутренних серверов Skype для бизнеса Server 2015.When installing your Persistent Chat Server, you're going to need a certificate that's issued by the same CA as the one used by your Skype for Business Server 2015 internal servers. Это необходимо сделать для каждого сервера, на котором запущены веб-службы сохраняемого чата для отправки и загрузки файлов.This needs to be done for each server running the Persistent Chat Web Services for File Upload/Download. Прежде чем приступить к установке сохраняемого чата, настоятельно рекомендуем установить нужные сертификаты, а если ваш ЦС является внешним, еще больше (это может занять некоторое время).We highly recommend you have the required certificate(s) before you start your Persistent Chat installation, and if your CA is external, even more so (these things can take a little time to be issued).

Сертификаты для доступа внешних пользователей (пограничный сервер)Certificates for external user access (Edge)

Skype для бизнеса Server 2015 поддерживает использование одного общедоступного сертификата для внешнего интерфейса пограничного сервера Access и веб-конференций, а также службы проверки подлинности (a/V), которая предоставляется через пограничные серверы.Skype for Business Server 2015 supports the use of a single public certificate for access and web conferencing Edge external interfaces, plus the A/V Authentication service, which is all provided via the Edge Server(s). Для внутреннего внутреннего интерфейса, как правило, используется частный сертификат, выданный внутренним ЦС, но при желании вы также можете использовать общедоступный сертификат, если он выдан доверенным центром сертификации.Your Edge internal interface will typically use a private certificate issued by your internal CA, but if you'd prefer, you can use a public certificate for this as well, if it's from a trusted CA.

В обратном прокси-сервере также используется общедоступный сертификат, который шифрует обмен данными между RP и клиентами, а также на внутренние серверы с помощью протокола HTTP (или точнее, TLS/HTTP).Your reverse proxy (RP) is also going to use a public certificate, and it encrypts the communication from your RP to clients, and the RP to internal servers by using HTTP (or more precisely, TLS over HTTP).

Сертификаты для мобильной работыCertificates for mobility

При развертывании мобильности и поддержке автоматического обнаружения для мобильных клиентов необходимо включить в сертификаты дополнительные записи альтернативного имени субъекта для поддержки безопасных подключений мобильных клиентов.If you're deploying mobility and you're supporting automatic discovery for mobile clients, you're going to need to include some additional subject alternate name entries on your certificates to support the secure connections from the mobile clients.

Какие сертификаты?Which certs? Вам потребуется использовать имена SAN для автоматического обнаружения сертификатов здесь:You'll need SAN names for automatic discovery on the certificates here:

  • Пул директоровDirector pool

  • Интерфейсный пулFront End pool

  • Обратный прокси-серверReverse Proxy

В каждой таблице ниже перечислены конкретные особенности.We'll list the specifics in each table below.

Теперь это небольшое предварительное планирование, но иногда вы развернули Skype для бизнеса Server 2015, не выполняя развертывание мобильных устройств, и что приводит к переходу на эту строку, если у вас уже есть сертификаты в вашей среде.Now, this is where a little pre-planning is good, but sometimes you've deployed Skype for Business Server 2015 without intending to deploy mobility, and that comes up down the line when you already have certificates in your environment. Их повторное выдача с помощью внутреннего ЦС, как правило, довольно прост, но с общедоступными сертификатами из общедоступного центра сертификации, которые могут быть немного более затраты.Reissuing them via an internal CA is typically pretty easy, but with public certificates from a public CA, that can be a little more pricy.

Если вы видите, что вы видите, и если у вас много доменов SIP (что сделает добавление сети SAN более дорогим), можно настроить обратный прокси для использования протокола HTTP для первоначального запроса службы автообнаружения вместо использования HTTPS (это конфигурация по умолчанию).If that's what you're looking at, and if you have a lot of SIP domains (which would make adding SANS more expensive), you can configure your reverse proxy to use HTTP for the initial Autodiscover Service request, instead of using HTTPS (which is the default configuration). Раздел Планирование для мобильных устройств содержит более подробную информацию.The Planning for Mobility topic has more info on this.

Требования к сертификатам пула директоров и внешнего пула:Director pool and Front End pool certificate requirements:

ОписаниеDescription Запись SANSAN entry
Внутренний URL-адрес службы автообнаруженияInternal Autodiscover service URL
SAN = lyncdiscoverinternal. < sipdomain>SAN=lyncdiscoverinternal.<sipdomain>
Внешний URL-адрес службы автообнаруженияExternal Autodiscover service URL
SAN = lyncdiscover. < sipdomain>SAN=lyncdiscover.<sipdomain>

Вы также можете использовать сеть SAN = * . < sipdomain>You can alternatively use SAN=*.<sipdomain>

Требования к сертификатам обратного прокси-сервера (общедоступного ЦС):Reverse Proxy (Public CA) certificate requirements:

ОписаниеDescription Запись SANSAN entry
Внешний URL-адрес службы автообнаруженияExternal Autodiscover service URL
SAN = lyncdiscover. < sipdomain>SAN=lyncdiscover.<sipdomain>

Эта сеть хранения данных должна быть назначена сертификату, назначенному прослушивателю SSL на обратном прокси-сервере.This SAN needs to be assigned to the certificate that's assigned to the SSL Listener on your reverse proxy.

Примечание

Прослушиватель обратного прокси-сервера будет иметь San для URL-адресов внешних веб-служб.Your reverse proxy listener's going to have SANs for your external Web Services URL(s). Некоторые примеры: SAN = skypewebextpool01. contoso. com и dirwebexternal.contoso.com, если вы развернули директорию (необязательно).Some examples would be SAN=skypewebextpool01.contoso.com and dirwebexternal.contoso.com, if you've deployed the Director, (which is optional).

Файловый ресурсFile Share

Skype для бизнеса Server 2015 может использовать один общий файловый ресурс для всех хранилищ файлов.Skype for Business Server 2015 is able to use the same file share for all file storage. Необходимо учитывать следующее:You do need to keep the following in mind:

  • Файловый ресурс должен находиться в либо непосредственно подключенном хранилище (DAS), либо в сети хранения данных (SAN), и это включает в себя распределенную файловую систему (DFS), а также избыточный массив независимых дисков (RAID) для хранения файлов.A file share needs to be on either direct attached storage (DAS) or a storage area network (SAN), and this includes the Distributed File System (DFS) as well as a redundant array of independent disks (RAID) for file stores. Чтобы получить дополнительные сведения о DFS для Windows Server 2012, изучите эту страницу DFS.For further reading on DFS for Windows Server 2012, check out this DFS page.

  • Рекомендуется использовать общий кластер для общего файлового ресурса.We recommend a shared cluster for the file share. Если вы используете один из них, следует использовать Cluster Windows Server 2012 или Windows Server 2012 R2.If you're using one, you should cluster Windows Server 2012 or Windows Server 2012 R2. Windows Server 2008 R2 также приемлем.Windows Server 2008 R2 is acceptable as well. Зачем нужна последняя версия Windows?Why the latest Windows? В более ранних версиях могут отсутствовать права на включение всех компонентов.Older versions may not have the right permissions to enable all features. Вы можете использовать администратор кластеров для создания общих файловых ресурсов, а также как создать общие файловые ресурсы в этой статье, чтобы получить эти сведения.You can use Cluster Administrator to create the file shares, and this How to create file shares on a cluster article will help you with those details.

Внимание!

Вы должны знать, что использование подключенного к сети хранилища (NAS) в качестве общего файлового ресурса не поддерживается, поэтому используйте один из перечисленных выше вариантов.You should know that using network attached storage (NAS) as a file share isn't supported, so use one of the options listed above.