Environmental requirements for Skype for Business Server 2015Environmental requirements for Skype for Business Server 2015

Сводка: Настройте требования, не относящиеся к серверу, для Skype для бизнеса Server 2015.Summary: Configure your non-server requirements for Skype for Business Server 2015. Перед развертыванием вам потребуется настроить множество компонентов, включая Active Directory, DNS, сертификаты и файловые ресурсы.There are a variety of things you'll want configured before doing your deployment, including Active Directory, DNS, Certs and Fileshares.

Каковы требования к окружающей среде для Skype для бизнеса Server 2015?What is an environmental requirement for Skype for Business Server 2015? Мы разработали не тот сервер, который не связан с этим разделом, поэтому вам не нужно делать всего лишь нажатием кнопки.Well, we've put everything that's not directly server related into this topic, so you don't have to do as much clicking around. Если вы ищете необходимые компоненты сервера, вы можете ознакомиться с требованиями к серверу в Skype для бизнеса server 2015 doc.Планирование сетей также задокументировано отдельно.If you're looking for Server Prerequisites, you can check out the Server requirements for Skype for Business Server 2015 doc.Networking Planning is also documented separately. В противном случае вот что мы можем сделать в этой статье:Otherwise, this is what we've got in this article:

Active DirectoryActive Directory

Несмотря на то, что большое количество данных конфигурации для серверов и служб хранится в центре администрирования Skype для бизнеса Server 2015, существует ряд вещей, которые по-прежнему хранятся в службе каталогов Active Directory.While a lot of configuration data for servers and services is stored in Skype for Business Server 2015's Central Management store, there are some things still stored in Active Directory:

Объекты Active DirectoryActive Directory objects Типы объектовObject types
Расширения схемыSchema extensions
Расширения объекта пользователяUser object extensions
Расширения для Lync Server 2013 и Lync Server 2010 для обеспечения обратной совместимости с предыдущими поддерживаемыми версиями.Extensions for Lync Server 2013 and Lync Server 2010, to maintain backward compatibility with the previous supported versions.
ДанныеData
URI SIP пользователя и другие пользовательские параметрыUser SIP URI and other user settings
Объекты контактов для приложений (например, приложение группы ответа и приложение для конференц-связи).Contact objects for applications (like the Response Group application and the Conferencing Attendant application).
Данные, опубликованные для совместимости с предыдущими версиями.Data published for backward compatibility.
Точка управления службой (SCP) для хранилища центрального управления.A service control point (SCP) for the Central Management store.
Учетная запись Kerberos для проверки подлинности (необязательный объект-компьютер).Kerberos Authentication Account (an optional computer object).

ОС для контроллеров доменовOS for Domain Controllers

Ниже приведен список допустимых ОС для контроллеров доменов:So, what Domain Controller OS can be used? We have the following list:

  • Windows Server 2019 (у вас должен быть накопительный пакет обновления 5 (SP5) для Skype для бизнеса Server 2015 или более поздней версии)Windows Server 2019 (You must have Skype for Business Server 2015 Cumulative Update 5 or later)

  • Windows Server 2016Windows Server 2016

  • Windows Server 2012 R2Windows Server 2012 R2

  • Windows Server 2012Windows Server 2012

  • Windows Server 2008 R2Windows Server 2008 R2

  • Windows Server 2008Windows Server 2008

Теперь функциональный уровень домена, в котором вы разворачиваете Skype для бизнеса Server 2015, а также режим работы леса для любого леса, на который вы разворачиваете Skype для бизнеса Server 2015, должен быть одним из следующих:Now, the domain functional level of any domain you deploy Skype for Business Server 2015 into, and the forest functional level of any forest you deploy Skype for Business Server 2015 into, have to be one of the following:

  • Windows Server 2019 (у вас должен быть накопительный пакет обновления 5 (SP5) для Skype для бизнеса Server 2015 или более поздней версии)Windows Server 2019 (You must have Skype for Business Server 2015 Cumulative Update 5 or later)

  • Windows Server 2016Windows Server 2016

  • Windows Server 2012 R2Windows Server 2012 R2

  • Windows Server 2012Windows Server 2012

  • Windows Server 2008 R2Windows Server 2008 R2

  • Windows Server 2008Windows Server 2008

  • Windows Server 2003Windows Server 2003

Допускается наличие в этих средах контроллеров доменов, доступных только для чтения.Can you have read-only domain controllers in these environments? Однако необходимым условием является наличие контроллеров доменов, доступных для записи.Sure, as long as there are also writable domain controller available.

Теперь важно знать, что в Skype для бизнеса Server 2015 не поддерживаются домены с одной меткой.Now, it's important to know that Skype for Business Server 2015 doesn't support single-labeled domains. Что это такое?What are they? Если у вас есть корневой домен с меткой contoso. local, это будет неплохо.If you have a root domain labeled contoso.local, that's going to be fine. Если у вас есть корневой домен с именем local, это не будет работать, и в результате это не поддерживается.If you have a root domain that's just named local, that's not going to work, and it's not supported as a result. Некоторые дополнительные сведения об этом описаны в этой статье базы знаний.A little more about this has been written in this Knowledge Base article.

Skype для бизнеса Server 2015 также не поддерживает переименование доменов.Skype for Business Server 2015 also doesn't support renaming domains. Если вы действительно хотите сделать это, необходимо удалить Skype для бизнеса Server 2015, выполнить переименование домена, а затем повторно установить Skype для Business Server 2015.If you've really got to do that, then you'll need to uninstall Skype for Business Server 2015, do the domain rename, and then reinstall Skype for Business Server 2015.

Наконец, вы можете работать с доменом с заблокированной средой доменных служб Active Directory, и все это верно.Finally, you may be dealing with a domain with a locked-down AD DS environment, and that's all right. Дополнительные сведения о том, как развернуть Skype для бизнеса Server 2015 в этой среде, можно получить в документах по развертыванию.We have more information on how to deploy Skype for Business Server 2015 into that sort of environment in the Deployment docs.

Топологии ADAD Topologies

Топологии, поддерживаемые Skype для бизнеса Server 2015:Skype for Business Server 2015's supported topologies are:

  • Один лес с одним доменомSingle forest with single domain

  • Один лес с одним деревом и несколькими доменамиSingle forest with a single tree and multiple domains

  • Один лес с несколькими деревьями и несвязанными пространствами именSingle forest with multiple trees and disjoint namespaces

  • Несколько лесов в топологии с центральным лесомMultiple forests in a central forest topology

  • Несколько лесов в топологии с лесом ресурсовMultiple forests in a resource forest topology

  • Несколько лесов в топологии с лесом ресурсов Skype для бизнеса с Exchange OnlineMultiple forests in a Skype for Business resource forest topology with Exchange Online

  • Несколько лесов в топологии с лесом ресурсов с Skype для бизнеса Online и Azure Active Directory ConnectMultiple forests in a resource forest topology with Skype for Business Online and Azure Active Directory Connect

У нас есть схемы и описания, с помощью которых можно определить, какая топология находится в вашей среде, или что может потребоваться для настройки до установки Skype для бизнеса Server 2015.We have diagrams and descriptions to help you determine what topology you have in your environment, or what you may need to set up prior to installing Skype for Business Server 2015. Для простоты мы также используем ключ:To keep it simple, we're also including a key:

Клавиша для значков, используемых в схемах топологии Skype для бизнеса

Один лес с одним доменомSingle forest with single domain

Схема одного леса Active Directory с одним доменом

Это не так просто, как один лес домена, это общая топология.It doesn't get easier than this, it's a single domain forest, this is a common topology.

Один лес с одним деревом и несколькими доменамиSingle forest with a single tree and multiple domains

Схема одного леса, одного дерева и нескольких доменов

На схеме показан один лес с одним или несколькими дочерними доменами (в данном примере с тремя).This diagram shows a single forest, again, but it has one or more child domains as well (there are three in this specific example). Домен, в котором создаются пользователи, может отличаться от домена Skype для бизнеса Server 2015, на котором развернута.So the domain the users are created in might be different from the domain Skype for Business Server 2015 is deployed to. Это не препятствует нормальной работе.Why worry about this? Важно помнить, что при развертывании пула переднего плана в Skype для бизнеса Server все серверы в пуле должны находиться в одном домене.It's important to remember that when you deploy a Skype for Business Server Front End pool, all the servers in that pool need to be in a single domain. Вы можете использовать междоменное администрирование через Skype для бизнеса Server в рамках поддержки групп Windows Universal Administrators.You can have cross-domain administration via Skype for Business Server's support of Windows universal administrator groups.

Вернитесь к схеме выше, вы увидите, что пользователи из одного домена могут получить доступ к пулам Skype для бизнеса Server из того же домена или из других доменов, даже если они находятся в дочернем домене.Back to the diagram above, you can see that users from one domain are able to access Skype for Business Server pools from the same domain or from different domains, even if those users are in a child domain.

Один лес с несколькими деревьями и несвязанными пространствами именSingle forest with multiple trees and disjoint namespaces

Схема одного леса, нескольких деревьев и несвязанных пространств имен

Возможно, у вас есть топология, схожая с диаграммой, в которой есть один лес, но в рамках этого леса есть несколько доменов с отдельными пространствами имен AD.It may be that you've got a topology similar to this diagram, where you have one forest, but within that forest are multiple domains, with separate AD namespaces. Если это так, эта схема является хорошим иллюстрацией, так как у нас есть пользователи в трех разных доменах, которые обращаются к Skype для бизнеса Server 2015.If that's the case, this diagram's a good illustration, as we have users in three different domains accessing Skype for Business Server 2015. Сплошная линия указывает на то, что у них есть доступ к пулам серверов Skype для бизнеса в своем домене, а пунктирная линия указывает на то, что они полностью находятся в разных деревьях.Solid lines indicate they're accessing a Skype for Business Server pool in their own domain, while a dashed line indicates they're going to a pool in a different tree altogether.

Как показано на схеме, пулы доступны пользователям из того же домена, из того же дерева и даже из других деревьев.As you can see, users in the same domain, the same tree, or even a different tree are able to access pools successfully.

Несколько лесов в топологии с центральным лесомMultiple forests in a central forest topology

Схема нескольких лесов в центральной топологии леса

Skype для бизнеса Server 2015 поддерживает несколько лесов, настроенных в топологии центрального леса.Skype for Business Server 2015 does support multiple forests configured in a central forest topology. Если вы не уверены в том, что это такое, Центральный лес в топологии использует объекты в нем для представления пользователей в других лесах и группирует учетные записи пользователей в лесу.If you're not sure that's what you have, the central forest in the topology uses objects in it to represent users in the other forests, and hosts user accounts for any users in the forest.

Эта топология функционирует следующим образом.How does this work? Кроме того, продукт для синхронизации каталогов (например, Диспетчер удостоверений или FIM) управляет учетными записями пользователей вашей организации в течение их существования.Well, a directory synchronization product (such as Forefront Identity Manager, or FIM) manages your organization's user accounts throughout their existence. При создании или удалении учетной записи в лесу это изменение синхронизируется с соответствующим контактом в центральном лесу.When an account is created or deleted from a forest, that change is synched up to the corresponding contact in the central forest.

Очевидно, если ваша инфраструктура рекламы находится на месте, она может быть непростой, но если у вас уже есть или вы еще не настроили инфраструктуру леса, это может быть хорошим вариантом.Clearly, if your AD infrastructure is in-place moving to this topology might not be easy, but if you're already there, or still planning out your forest infrastructure, this can be a good choice. Вы можете централизовать развертывание Skype для бизнеса Server 2015 в одном лесе, в то время как пользователи могут выполнять поиск, общаться и просматривать сведения о присутствии других пользователей в любом лесе.You can centralize your Skype for Business Server 2015 deployment within a single forest, while users can search, communicate, and view the presence of other users in any forest. Обновление всех контактов пользователей выполняются автоматически с помощью программного обеспечения синхронизации.All user contact updates are handled automatically with synchronization software.

Несколько лесов в топологии с лесом ресурсов Skype для бизнесаMultiple forests in a Skype for Business resource forest topology

Схема нескольких лесов в топологии с лесом ресурсов

Также поддерживается топология с лесом ресурсов. для работы с серверными приложениями, например Microsoft Exchange Server и Skype для бизнеса Server 2015, выделяется лес.A resource forest topology is also supported; it's where a forest is dedicated to running your server applications, like Microsoft Exchange Server and Skype for Business Server 2015. В таких лесах ресурсов размещается также синхронизированное представление активных объектов-пользователей, но не могут размещаться учетные записи пользователей, по которым возможен вход в систему.This resource forests also hosts a synchronized representation of active user objects, but no logon-enabled user accounts. Таким образом, лес ресурсов представляет собой среду общих служб для других лесов, в которых расположены объекты-пользователи; при этом на уровне лесов поддерживаются отношения доверия с лесом ресурсов.So the resource forest is a shared services environment for other forests in which user objects reside, and they have a forest-level trust relationship with the resource forest.

Обратите внимание, что Exchange Server можно развернуть в том же лесе ресурсов, что и Skype для бизнеса Server, или в другом лесе.Note that Exchange Server can be deployed in the same resource forest as Skype for Business Server or in a different forest.

Для развертывания Skype для бизнеса Server 2015 в этом типе топологии вы создадите один отключенный объект пользователя в лесу ресурсов для каждой учетной записи пользователя в лесах пользователя (если сервер Microsoft Exchange Server уже находится в среде, это может быть сделано).To deploy Skype for Business Server 2015 in this type of topology, you'd create one disabled user object in the resource forest for each user account in the user forests (if Microsoft Exchange Server is already in the environment, this might be done for you). Затем для управления учетными записями пользователей в течение жизненного цикла вам понадобится средство синхронизации каталогов (например, диспетчер Forefront Identity Manager или FIM).Then you'll need a directory synchronization tool (like Forefront Identity Manager, or FIM) to manage user accounts through their life cycle.

Несколько лесов в топологии с лесом ресурсов Skype для бизнеса с Exchange OnlineMultiple forests in a Skype for Business resource forest topology with Exchange Online

Эта топология аналогична топологии, описанной в разделе Несколько лесов в топологии Skype для бизнеса с лесом ресурсов (Multiple forests in a Skype for Business resource forest topology).This topology is similar to the topology described in Multiple forests in a Skype for Business resource forest topology.

В этой топологии есть один или несколько лесов пользователей, а Skype для бизнеса Server развернут в выделенном лесе ресурсов.In this topology, there are one or more user forests, and Skype for Business Server is deployed in a dedicated resource forest. Exchange Server можно разворачивать локально в том же лесе ресурсов или другом лесе и настраивать для гибридного использования в Exchange Online, либо службы электронной почты могут предоставляться исключительно в Exchange Online для локальных учетных записей.Exchange Server can be deployed on-premises in the same resource forest or a different forest and configured for hybrid with Exchange Online, or email services may be provided exclusively by Exchange Online for the on-premises accounts. Схема для этой топологии недоступна.There is no diagram available for this topology.

Несколько лесов в топологии с лесом ресурсов с Skype для бизнеса Online и Azure Active Directory ConnectMultiple forests in a resource forest topology with Skype for Business Online and Azure Active Directory Connect

Показывает два леса AD, один лес пользователей и один лес ресурсов. Два леса имеют доверительные отношения. Они синхронизируются с Office 365 посредством Azure AD Connect. Все пользователи смогут использовать Skype для бизнеса через Office 365.

При данном сценарии несколько лесов расположены локально с топологией с лесом ресурсов, что является отношением полного доверия между лесами Active Directory. Служба Azure Active Directory Connect используется для синхронизации учетных записей между локальными лесами пользователей и Office 365.With this scenario, there are multiple forests on-premises, with a resource forest topology. There is a full trust relationship between the Active Directory forests. The Azure Active Directory Connect tool is used to synchronize accounts between the on-premises user forests and Office 365.

В организации также установлено приложение Office 365 и используется служба Azure Active Directory Connect для синхронизации локальных учетных записей с Office 365.The organization also has Office 365, and uses Azure Active Directory Connect to synchronize their on-premises accounts with Office 365. Пользователи, которым разрешено пользоваться Skype для бизнеса, включены через Office 365 и Skype для бизнеса Online.Users who are enabled for Skype for Business are enabled via Office 365 and Skype for Business Online. Skype для бизнеса Server не развернут локально.Skype for Business Server is not deployed on-premises.

Проверка подлинности с единым входом обеспечивается фермой служб федерации Active Directory, которая находится в лесу пользователей.Single sign-on authentication is provided by an Active Directory Federation Services farm located in the user forest.

В этом сценарии поддерживается развертывание локального сервера Exchange, Exchange Online, гибридного решения Exchange или не развернут Exchange.In this scenario, it is supported to deploy Exchange on-premises, Exchange Online, a hybrid Exchange solution, or to not have Exchange deployed at all. (На схеме изображены только локальные службы Exchange, однако другие решения Exchange также полностью поддерживаются.)(The diagram shows only Exchange on-premises, but the other Exchange solutions are also fully supported.)

Несколько лесов в топологии с лесом ресурсов с гибридным развертыванием Skype для бизнеса и Azure Active Directory Connect Multiple forests in a resource forest topology with hybrid Skype for Business

В этом сценарии есть один или несколько локальных лесов пользователей, а Skype для бизнеса развернут в лесу выделенных ресурсов и настроен для гибридного режима в Skype для бизнеса Online.In this scenario, there are one or more on-premises user forests, and Skype for Business is deployed in a dedicated resource forest and is configured for hybrid mode with Skype for Business Online. Сервер Exchange Server может быть развернут локально в том же лесе ресурсов или другом лесе, и его можно настроить для гибридного развертывания с помощью Exchange Online.Exchange Server can be deployed on-premises in the same resource forest or a different forest and may be configured for hybrid with Exchange Online. Кроме того, службы электронной почты могут предоставляться исключительно в Exchange Online для локальных учетных записей.Alternatively, email services may be provided exclusively by Exchange Online for the on-premises accounts.

Дополнительные сведения можно найти в разделе Настройка среды с несколькими лесами для гибридной работы в Skype для бизнеса.For more information, see Configure a multi-forest environment for hybrid Skype for Business.

Служба доменных имен (DNS)Domain Name System (DNS)

Для использования Skype для бизнеса Server 2015 требуется DNS по следующим причинам:Skype for Business Server 2015 requires DNS, for the following reasons:

  • DNS позволяет Skype для бизнеса Server 2015 распознавать внутренние серверы и пулы, обеспечивая взаимодействие между серверами.DNS enables Skype for Business Server 2015 to discover internal servers or pools, allowing for server-to-server communications.

  • DNS позволяет клиентским компьютерам найти пул переднего плана или сервер Standard Edition, используемые для транзакций SIP.DNS allows client machines to discover the Front End pool or Standard Edition server being used for SIP transactions.

  • Она обеспечивает связывание простых URL‑адресов для конференций с серверами, на которых размещаются эти конференции.It associates simple URLs for conferences with the servers hosting those conferences.

  • DNS позволяет внешним пользователям и клиентским компьютерам подключаться к пограничным серверам или обратно прокси-серверу HTTP для обмена мгновенными сообщениями или конференц-связи.DNS allows external users and client machines to connect to your Edge Servers, or the HTTP reverse proxy, for instant messaging (IM) or conferencing.

  • Это позволяет устройствам Объединенных коммуникаций (UC), не вошедшим в систему, найти интерфейс пула или сервер Standard Edition, на котором работает веб-служба обновления устройства, чтобы получать обновления и отправлять журналы.It lets unified communications (UC) devices that aren't logged in discover the Front End pool or Standard Edition server that's running the Device Update web service to get updates and send logs.

  • На мобильных клиентах служба доменных имен обеспечивает автоматическое обнаружение ресурсов веб-служб без ввода URL‑адресов вручную в разделе параметров устройства.Using DNS allows mobile clients to automatically discover web services resources without requiring users to manually enter URLs in their device settings.

  • Балансировка нагрузки также может выполняться средствами службы доменных имен.And it's used in DNS load balancing.

Важно отметить, что в Skype для бизнеса Server 2015 не поддерживаются международные доменные имена (Иднс).It's important to note that Skype for Business Server 2015 doesn't support internationalized domain names (IDNs).

Очень важно помнить, что любое имя в DNS должно совпадать с именем компьютера, настроенным на любом сервере, который используется в Skype для бизнеса Server 2015.And it's extremely important to remember that any name in DNS be identical to the computer name configured on any server being used by Skype for Business Server 2015. В частности, у нас не может быть коротких имен в среде, и они должны иметь полные доменные имена для построителя топологии.Specifically, we can't have any short-names in the environment, and must have FQDNs for Topology Builder.

Это кажется логическим для любого компьютера, уже подключенного к домену, но если у вас есть пограничный сервер, который не присоединен к домену, возможно, у него по умолчанию используется краткое имя без суффикса домена.This seems like it would be logical for any computer already joined to a domain, but if you have an Edge Server that's not joined to your domain, it may have a default of a short name, with no domain suffix. Убедитесь в том, что в DNS или на пограничном сервере, а также на каком-либо сервере Skype для бизнеса Server 2015 или в пуле.Make sure that's not the case, either in DNS or on the Edge Server, or any Skype for Business Server 2015 server or pool, for that matter.

И определенно не используйте символы Юникода и знаки подчеркивания.And definitely don't use Unicode characters or underscores. Стандартные символы (A-Z, a-z, 0-9 и дефисы) — это те, которые будут поддерживаться внешними DNS и общедоступными центрами сертификации (вам потребуется назначать полные доменные имена для SN в сертификате, а не забыть), чтобы вы могли пополнить себя гриеф, если Это имя нужно учитывать.Standard characters (which are A-Z, a-z, 0-9, and hyphens) are the ones that are going to be supported by external DNS and public Certificate Authorities (you'll need to assign FQDNs to the SN in the certificate, don't forget), so you'll spare yourself a lot of grief if you name with this in mind.

Дополнительные сведения о требованиях к службе доменных имен для сетей см. в разделе Networking документации по планированию.For further reading on DNS requirements for Networking, check out the Networking section of our Planning documentation.

СертификатыCertificates

Одним из важнейших этапов, предшествующих развертыванию, является подготовка сертификатов.One of the most important things you can do before deploying is make sure you have your certificates in order. В Skype для бизнеса Server 2015 требуется инфраструктура открытых ключей (PKI) для подключений к TLS и протоколу обеспечения взаимного транспортного уровня (MTLS).Skype for Business Server 2015 needs a public key infrastructure (PKI) for transport layer security (TLS) and mutual transport layer security (MTLS) connections. В основном для безопасного общения в Skype для бизнеса Server используются сертификаты, выданные центрами сертификации (ЦС).Basically, to communicate securely in a standardized way, Skype for Business Server uses certificates issued by Certificate Authorities (CAs).

Ниже перечислены некоторые моменты, на которых в Skype для бизнеса Server 2015 используются сертификаты.These are some of the things that Skype for Business Server 2015 uses certificates for:

  • для установления соединений между клиентами и серверами по протоколу TLS ;TLS connections between clients and servers

  • для подключений MTLS между серверами;MTLS connections between servers

  • для федерации с автоматическим распознаванием закономерностей с помощью службы доменных имен;Federation usin automatic DNS discovery of partners

  • для доступа удаленных пользователей к обмену мгновенными сообщениями;Remote user access for instant messaging (IM)

  • для доступа внешних пользователей к сеансам аудио- или видеосвязи, функциям обмена приложениями и конференц-связи;External user access to audio/video (AV) sessions, application sharing, and conferencing

  • Беседы с веб-приложениями и Outlook Web Access (OWA)Talking to web applications and Outlook Web Access (OWA)

Это необходимо для планирования сертификатов.So certificate planning's a must. Теперь рассмотрим список некоторых вещей, которые необходимо учитывать при запросе сертификатов.Now, let's look at a list of some of the things you need to keep in mind when requesting certificates:

  • Все сертификаты серверов должны поддерживать авторизацию сервера (EKU сервера).All server certificates must support server authorization (Server EKU).

  • Все сертификаты серверов должны содержать точку распространения списка отзыва сертификатов (CDP).All server certificates must contain a CRL Distribution Point (CDP).

  • Все сертификаты должны быть подписаны с помощью алгоритма подписывания, поддерживаемого операционной системой.All certificates must be signed using a signing algorithm supported by the operating system. Skype для бизнеса Server 2015 поддерживает набор (224, 256, 384 и 512) уровней дайджеста, удовлетворяющий требованиям операционной системы или превышающий их.Skype for Business Server 2015 supports the SHA-1 and SHA-2 suite of digest sizes (224, 256, 384 and 512-bit), and meets or exceeds the operating system requirements.

  • Автоматическая регистрация поддерживается для внутренних серверов, использующих Skype для бизнеса Server 2015.Auto-enrollment is supported for internal servers running Skype for Business Server 2015.

  • Автоматическая подача заявки не поддерживается для серверов пограничного сервера Skype для бизнеса Server 2015.Auto-enrollment is not supported for Skype for Business Server 2015 Edge Servers.

  • Когда вы отправляете запрос на веб-сертификат в центр сертификации Windows Server 2003, вы должны отправить его с компьютера под управлением Windows Server 2003 с пакетом обновления 2 (SP2) или Windows XP.When you submit a web-based certificate request to a Windows Server 2003 CA, you must submit it from a computer running either Windows Server 2003 with SP2 or Windows XP.

Примечание

В статье базы знаний KB922706 приведены рекомендации по устранению неполадок, связанных с регистрацией веб-сертификатов с помощью служб сертификатов Windows Server 2003; но запросить сертификат из центра сертификации Windows Server 2003 посредством Windows Server 2008, Windows Vista или Windows 7 невозможно.Although KB922706 provides support for resolving issues with enrolling web certificates against a Windows Server 2003 Certificate Services web enrollment, it does not make it possible to use Windows Server 2008, Windows Vista, or Windows 7 to request a certificate from a Windows Server 2003 CA.

Примечание

Использование алгоритма подписи RSASSA-PSS не поддерживается и может привести к ошибкам при входе в систему, проблемам с переадресацией звонков и другим неполадкам. Using the RSASSA-PSS signature algorithm is unsupported, and may lead to errors on login and call forwarding issues, among other problems.

  • Поддерживается длина ключей шифрования в 1024, 2048 и 4096 бит. Рекомендуется использовать ключи не короче 2048 бит.Encryption key lengths of 1024, 2048, and 4096 are supported. Key lengths of 2048 and greater are recommended.

  • По умолчанию используется дайджест-алгоритм (алгоритм хэширования и подписывания) RSA. Также поддерживаются алгоритмы ECDH_P256, ECDH_P384 и ECDH_P521.The default digest, or hash signing, algorithm is RSA. The ECDH_P256, ECDH_P384, and ECDH_P521 algorithms are also supported.

Так что это очень важно, и, несомненно, есть множество удобных и запросов сертификатов из центра сертификации.So that's a lot to think about, and definitely, there's a variety of comfort levels with requesting certificates from a CA. Ниже приведены дополнительные инструкции по планированию, чтобы сделать его более невероятным.We'll give you some further guidance below to make your planning as painless as possible.

Сертификаты для внутренних серверовCertificates for your internal servers

Вам понадобятся сертификаты для большинства внутренних серверов и, скорее всего, они будут доступны из внутреннего ЦС (это один из доменов, размещенных в вашем домене).You'll need certificates for most of your internal servers, and most likely, you'll get them from an internal CA (that's one located in your domain). При желании вы можете запросить эти сертификаты из внешнего ЦС (который находится в Интернете).If you want to, you can request these certificates from an external CA (one located on the internet). Если вы не хотите, чтобы найти общедоступный центр сертификации, вы можете просмотреть список партнеров по сертификации Объединенных коммуникаций .If you're wondering what public CA you should go to, you can check out the Unified Communications certificate partners list.

Кроме того, при взаимодействии в Skype для бизнеса Server 2015 с другими приложениями и серверами, например с Microsoft Exchange Server, вы будете нуждаться в использовании сертификатов.You're also going to need certificates when Skype for Business Server 2015 communicates with other applications and servers, such as Microsoft Exchange Server. В этом случае сертификаты должны поддерживаться другими приложениями и службами.This will, obviously, need to be a certificate these other apps and servers can use in a supported way. Skype для бизнеса Server 2015 и другие продукты Майкрософт поддерживают протокол Open Authorization (OAuth) для проверки подлинности и авторизации сервера и сервера.Skype for Business Server 2015 and other Microsoft products support the Open Authorization (OAuth) protocol for server-to-server authentication and authorization. Если вы заинтересованы в этом, у нас есть дополнительная статья по планированию для OAuth и Skype для бизнеса Server 2015.If you're interested in this, we have an additional planning article for OAuth and Skype for Business Server 2015.

Skype для бизнеса Server 2015 также включает поддержку сертификатов (без необходимости), подписанных с помощью криптографической хэш-функции SHA-256.Skype for Business Server 2015 also includes support for (without requiring) certificates signed using the SHA-256 cryptographic hash function. Внешний доступ посредством SHA-256 поддерживается при условии, что внешний сертификат выпущен общедоступным центром сертификации с применением SHA-256.To support external access using SHA-256, the external certificate needs to be issued by a public CA using SHA-256.

Чтобы попытаться легко и своевременно применять требования к сертификатам для серверов стандартных выпусков, пулов интерфейсов и других ролей, в приведенных ниже таблицах, в которых используются вымышленные contoso.com для примеров (скорее всего, вы будете использовать что-то...). другие для вашей среды).To try and keep things straightforward, we've put the certificate requirements for Standard Edition servers, Front End pools, and other roles, into the following tables, with the fictional contoso.com being used for examples (you'll probably be using something else for your environment). Все сертификаты являются стандартными сертификатами веб-сервера с закрытыми ключами, не подлежащими экспорту.These are all standard web server certificates, with private keys that are non-exportable. Отметим еще некоторые особенности.Some additional things to note:

  • При запросе сертификатов с помощью мастера сертификатов автоматически настраивается расширенное использование ключа (EKU) сервера.Server enhanced key usage (EKU) is automatically configured when you use the certificate wizard to request certificates.

  • Понятные имена сертификатов не должны повторятся в пределах хранилища компьютера.Each certificate friendly name has to be unique in the computer store.

  • Как и в случае с приведенными ниже примерами, если вы настроили sipinternal.contoso.com или sipexternal.contoso.com в DNS, они должны быть добавлены к альтернативному имени субъекта сертификата (SAN).As per the sample names below, if you've configured sipinternal.contoso.com or sipexternal.contoso.com in your DNS, they need to be added to the certificate's Subject Alternative Name (SAN).

Сертификаты для серверов стандартных выпусков:Certificates for Standard Edition servers:

СертификатCertificate Имя субъекта / общее имяSubject name/Common name Альтернативное имя субъектаSubject alternative name ПримерExample КомментарииComments
"Default" (По умолчанию)Default
Полное доменное имя пулаFQDN of the pool
Полные доменные имена пула и сервераFQDN of the pool and FQDN of the server
Если существует несколько доменов SIP и включена автоматическая настройка клиента, мастер сертификатов обнаруживает все поддерживаемые полные доменные имена SIP.If you have multiple SIP domains and have enabled automatic client configuration, the certificate wizard detects and adds each supported SIP domain FQDNs.
Если этот пул является сервером для автоматического входа клиентов и для групповой политики требуется строгое сопоставление DNS-имен, также необходимы записи для sip.sipdomain (для каждого домена SIP).If this pool is the auto-logon server for clients and strict Domain Name System (DNS) matching is required in group policy, you also need entries for sip.sipdomain (for each SIP domain you have).
SN=se01.contoso.com; SAN=se01.contoso.comSN=se01.contoso.com; SAN=se01.contoso.com
Если этот пул предназначен для сервера автоматического входа для клиентов, а в групповой политике требуется строгое сопоставление DNS, необходимо также добавить строки SAN=sip.contoso.com; SAN=sip.fabrikam.comIf this pool is the auto-logon server for clients and strict DNS matching is required in group policy, you also need SAN=sip.contoso.com; SAN=sip.fabrikam.com
На сервере Standard выпуска Standard Edition, которое совпадает с полным доменным именем пула, является полное доменное имя сервера.On Standard Edition servers Standard Edition server, the server FQDN is the same as the pool FQDN.
Мастер обнаруживает все домены SIP, указанные вами во время установки, и автоматически добавляет их в альтернативное имя субъекта.The wizard detects any SIP domains you specified during setup and automatically adds them to the subject alternative name.
Вы также можете использовать этот сертификат для проверки подлинности между серверами.You can also use this certificate for Server-to-Server Authentication.
Внутренняя сетьWeb internal
Полное доменное имя сервераFQDN of the server
Каждое из следующих:Each of the following:
• Внутреннее ДОМЕНное имя сайта (такое же, как полное доменное имя сервера).• Internal web FQDN (which is the same as the FQDN of the server)
ИAND
• Отвечать простым URL-адресам• Meet simple URLs
• Простой URL-адрес для телефонного подключения• Dial-in simple URL
• Простой URL-адрес администратора• Admin simple URL
ИЛИOR
• Подстановочный элемент для простых URL-адресов• A wildcard entry for the simple URLs
SN=se01.contoso.com; SAN=se01.contoso.com; SAN=meet.contoso.com; SAN=meet.fabrikam.com; SAN=dialin.contoso.com; SAN=admin.contoso.comSN=se01.contoso.com; SAN=se01.contoso.com; SAN=meet.contoso.com; SAN=meet.fabrikam.com; SAN=dialin.contoso.com; SAN=admin.contoso.com
Использование групповых сертификатов:Using a wildcard certificate:
SN = se01. contoso. com; SAN = se01. contoso. com; SAN =*. contoso.comSN=se01.contoso.com; SAN=se01.contoso.com; SAN=*.contoso.com
Внутреннее ДОМЕНное имя веб-сайта нельзя переопределить в построителе топологии.You can't override the Internal web FQDN in Topology Builder.
При наличии нескольких простых URL-адресов собраний необходимо задать все эти адреса в качестве альтернативных имен субъектов.If you have multiple Meet simple URLs, you've got to include all of them as SANs.
Для простых URL-адресов поддерживаются подстановочные записи.Wildcard entries are supported for the simple URL entries.
Внешняя сетьWeb external
Полное доменное имя сервераFQDN of the server
Каждое из следующих:Each of the following:
• Внешнее полное доменное имя веб-сайта• External web FQDN
ИAND
• Простой URL-адрес для телефонного подключения• Dial-in simple URL
• Простое соответствие URL-адресам для каждого домена SIP• Meet simple URLs per SIP domain
ИЛИOR
• Подстановочный элемент для простых URL-адресов• A wildcard entry for the simple URLs
SN=se01.contoso.com; SAN=webcon01.contoso.com; SAN=meet.contoso.com; SAN=meet.fabrikam.com; SAN=dialin.contoso.comSN=se01.contoso.com; SAN=webcon01.contoso.com; SAN=meet.contoso.com; SAN=meet.fabrikam.com; SAN=dialin.contoso.com
Использование групповых сертификатов:Using a wildcard certificate:
SN = se01. contoso. com; SAN = webcon01. contoso. com; SAN =*. contoso.comSN=se01.contoso.com; SAN=webcon01.contoso.com; SAN=*.contoso.com
Если у вас есть несколько однозначных URL-адресов, вы можете включить все их в качестве альтернативных имен субъектов.If you have multiple Meet simple URLs, you've got to include all of them as subject alternative names.
Для простых URL-адресов поддерживаются подстановочные записи.Wildcard entries are supported for the simple URL entries.

Сертификаты для серверов переднего плана в пуле внешних интерфейсов:Certificates for Front End Servers in a Front End pool:

СертификатCertificate Имя субъекта / общее имяSubject name/Common name Альтернативное имя субъектаSubject alternative name ПримерExample КомментарииComments
"Default" (По умолчанию)Default
Полное доменное имя пулаFQDN of the pool
Полные доменные имена пула и сервераFQDN of the pool and FQDN of the server
Если существует несколько доменов SIP и включена автоматическая настройка клиента, мастер сертификатов обнаруживает все поддерживаемые полные доменные имена SIP.If you have multiple SIP domains and have enabled automatic client configuration, the certificate wizard detects and adds each supported SIP domain FQDNs.
Если этот пул является сервером для автоматического входа клиентов и для групповой политики требуется строгое сопоставление DNS-имен, также необходимы записи для sip.sipdomain (для каждого домена SIP).If this pool is the auto-logon server for clients and strict Domain Name System (DNS) matching is required in group policy, you also need entries for sip.sipdomain (for each SIP domain you have).
SN=eepool.contoso.com; SAN=eepool.contoso.com; SAN=ee01.contoso.com SN=eepool.contoso.com; SAN=eepool.contoso.com; SAN=ee01.contoso.com
Если этот пул предназначен для сервера автоматического входа для клиентов, а в групповой политике требуется строгое сопоставление DNS, необходимо также добавить строки SAN=sip.contoso.com; SAN=sip.fabrikam.comIf this pool is the auto-logon server for clients and strict DNS matching is required in group policy, you also need SAN=sip.contoso.com; SAN=sip.fabrikam.com
Мастер обнаруживает все домены SIP, указанные вами во время установки, и автоматически добавляет их в альтернативное имя субъекта.The wizard detects any SIP domains you specified during setup and automatically adds them to the subject alternative name.
Вы также можете использовать этот сертификат для проверки подлинности между серверами.You can also use this certificate for Server-to-Server Authentication.
Внутренняя сетьWeb internal
Полное доменное имя пулаFQDN of the pool
Каждое из следующих:Each of the following:
• Внутреннее ДОМЕНное имя внутренней сети (это не то же самое, что полное доменное имя сервера).• Internal web FQDN (which is NOT the same as the FQDN of the server)
• Полное доменное имя сервера• Server FQDN
• Полное доменное имя пула Skype для бизнеса• Skype for Business pool FQDN
ИAND
• Отвечать простым URL-адресам• Meet simple URLs
• Простой URL-адрес для телефонного подключения• Dial-in simple URL
• Простой URL-адрес администратора• Admin simple URL
ИЛИOR
• Подстановочный элемент для простых URL-адресов• A wildcard entry for the simple URLs
SN=ee01.contoso.com; SAN=ee01.contoso.com; SAN=meet.contoso.com; SAN=meet.fabrikam.com; SAN=dialin.contoso.com; SAN=admin.contoso.comSN=ee01.contoso.com; SAN=ee01.contoso.com; SAN=meet.contoso.com; SAN=meet.fabrikam.com; SAN=dialin.contoso.com; SAN=admin.contoso.com
Использование групповых сертификатов:Using a wildcard certificate:
SN = ee01. contoso. com; SAN = ee01. contoso. com; SAN =*. contoso.comSN=ee01.contoso.com; SAN=ee01.contoso.com; SAN=*.contoso.com
Если у вас есть несколько однозначных URL-адресов, вы можете включить все их в качестве альтернативных имен субъектов.If you have multiple Meet simple URLs, you've got to include all of them as subject alternative names.
Для простых URL-адресов поддерживаются подстановочные записи.Wildcard entries are supported for the simple URL entries.
Внешняя сетьWeb external
Полное доменное имя пулаFQDN of the pool
Каждое из следующих:Each of the following:
• Внешнее полное доменное имя веб-сайта• External web FQDN
ИAND
• Простой URL-адрес для телефонного подключения• Dial-in simple URL
• Простой URL-адрес администратора• Admin simple URL
ИЛИOR
• Подстановочный элемент для простых URL-адресов• A wildcard entry for the simple URLs
SN=ee01.contoso.com; SAN=webcon01.contoso.com; SAN=meet.contoso.com; SAN=meet.fabrikam.com; SAN=dialin.contoso.comSN=ee01.contoso.com; SAN=webcon01.contoso.com; SAN=meet.contoso.com; SAN=meet.fabrikam.com; SAN=dialin.contoso.com
Использование групповых сертификатов:Using a wildcard certificate:
SN = ee01. contoso. com; SAN = webcon01. contoso. com; SAN =*. contoso.comSN=ee01.contoso.com; SAN=webcon01.contoso.com; SAN=*.contoso.com
Если у вас есть несколько однозначных URL-адресов, вы можете включить все их в качестве альтернативных имен субъектов.If you have multiple Meet simple URLs, you've got to include all of them as subject alternative names.
Для простых URL-адресов поддерживаются подстановочные записи.Wildcard entries are supported for the simple URL entries.

Сертификаты для режиссера:Certificates for the Director:

СертификатCertificate Имя субъекта / общее имяSubject name/Common name Альтернативное имя субъектаSubject alternative name ПримерExample
По умолчаниюDefault
директоровDirector pool
Полное доменное имя режиссера в качестве полного доменного имени директора пула.FQDN of the Director, FQDN of the Director pool.
Если этот пул является сервером автоматического входа для клиентов и в групповой политике требуется строгое сопоставление DNS, вам также понадобятся элементы SIP. сипдомаин (для каждого домена SIP).If this pool is the auto-logon server for clients and strict DNS matching's required in group policy, you'll also need entries for sip.sipdomain (for each SIP domain you have).
pool.contoso.com; SAN=dir01.contoso.com pool.contoso.com; SAN=dir01.contoso.com
Если этот начальник пула является сервером автоматического входа для клиентов и в групповой политике требуется строгое сопоставление DNS, вам также потребуется SAN = SIP. contoso. com; SAN = SIP. fabrikam. comIf this Director pool is the auto-logon server for clients and strict DNS matching is required in group policy, you also need SAN=sip.contoso.com; SAN=sip.fabrikam.com
Внутренняя сетьWeb internal
Полное доменное имя сервераFQDN of the server
Каждое из следующих:Each of the following:
• Внутреннее ДОМЕНное имя сайта (такое же, как полное доменное имя сервера).• Internal web FQDN (which is the same as the FQDN of the server)
• Полное доменное имя сервера• Server FQDN
• Полное доменное имя пула Skype для бизнеса• Skype for Business pool FQDN
ИAND
• Отвечать простым URL-адресам• Meet simple URLs
• Простой URL-адрес для телефонного подключения• Dial-in simple URL
• Простой URL-адрес администратора• Admin simple URL
ИЛИOR
• Подстановочный элемент для простых URL-адресов• A wildcard entry for the simple URLs
SN=dir01.contoso.com; SAN=dir01.contoso.com; SAN=meet.contoso.com; SAN=meet.fabrikam.com; SAN=dialin.contoso.com; SAN=admin.contoso.comSN=dir01.contoso.com; SAN=dir01.contoso.com; SAN=meet.contoso.com; SAN=meet.fabrikam.com; SAN=dialin.contoso.com; SAN=admin.contoso.com
Использование групповых сертификатов:Using a wildcard certificate:
SN = dir01. contoso. com; SAN = dir01. contoso. com SAN =*. contoso.comSN=dir01.contoso.com; SAN=dir01.contoso.com SAN=*.contoso.com
Внешняя сетьWeb external
Полное доменное имя сервераFQDN of the server
Каждое из следующих:Each of the following:
• Внешнее полное доменное имя веб-сайта• External web FQDN
ИAND
• Простое соответствие URL-адресам для каждого домена SIP• Meet simple URLs per SIP domain
• Простой URL-адрес для телефонного подключения• Dial-in simple URL
ИЛИOR
• Подстановочный элемент для простых URL-адресов• A wildcard entry for the simple URLs
Полное доменное имя внешнего веб-сайта должно отличаться от пула переднего плана или сервера переднего плана.The Director external web FQDN must be different from the Front End pool or Front End Server.
SN=dir01.contoso.com; SAN=directorwebcon01.contoso.com SAN=meet.contoso.com; SAN=meet.fabrikam.com; SAN=dialin.contoso.comSN=dir01.contoso.com; SAN=directorwebcon01.contoso.com SAN=meet.contoso.com; SAN=meet.fabrikam.com; SAN=dialin.contoso.com
Использование групповых сертификатов:Using a wildcard certificate:
SN = dir01. contoso. com; SAN = directorwebcon01. contoso. com SAN =*. contoso.comSN=dir01.contoso.com; SAN=directorwebcon01.contoso.com SAN=*.contoso.com

Сертификаты для сервера с изолированными серверами-посредниками:Certificates for Stand-alone Mediation Server:

СертификатCertificate Имя субъекта / общее имяSubject name/Common name Альтернативное имя субъектаSubject alternative name ПримерExample
По умолчаниюDefault
Полное доменное имя пулаFQDN of the pool
Полное доменное имя пулаFQDN of the pool
Полное доменное имя сервера, входящего в пулFQDN of the pool member server
SN=medsvr-pool.contoso.net; SAN=medsvr-pool.contoso.net; SAN=medsvr01.contoso.netSN=medsvr-pool.contoso.net; SAN=medsvr-pool.contoso.net; SAN=medsvr01.contoso.net

Сертификаты для устройства с бесперебойной подразделением:Certificates for Survivable Branch Appliance:

СертификатCertificate Имя субъекта / общее имяSubject name/Common name Альтернативное имя субъектаSubject alternative name ПримерExample
"Default" (По умолчанию)Default
Полное доменное имя устройстваFQDN of the appliance
Установка. <сипдомаин> (для каждого домена SIP требуется только одна запись)SIP.<sipdomain> (you need only one entry per SIP domain)
SN=sba01.contoso.net; SAN=sip.contoso.com; SAN=sip.fabrikam.comSN=sba01.contoso.net; SAN=sip.contoso.com; SAN=sip.fabrikam.com

Сертификаты для сервера сохраняемого чатаCertificates for your Persistent Chat Server

При установке сервера сохраняемого чата вам понадобятся сертификаты, выданные тем же центром сертификации, что и у того, который используется для внутренних серверов в Skype для бизнеса Server 2015.When installing your Persistent Chat Server, you're going to need a certificate that's issued by the same CA as the one used by your Skype for Business Server 2015 internal servers. Это необходимо сделать для каждого сервера, на котором запущены веб-службы сохраняемого чата для отправки и загрузки файлов.This needs to be done for each server running the Persistent Chat Web Services for File Upload/Download. Прежде чем приступить к установке сохраняемого чата, мы настоятельно рекомендуем вам установить необходимые сертификаты, а если ваш центр сертификации является внешним, еще больше (это может занять некоторое время).We highly recommend you have the required certificate(s) before you start your Persistent Chat installation, and if your CA is external, even more so (these things can take a little time to be issued).

Сертификаты для доступа внешних пользователей (пограничные)Certificates for external user access (Edge)

Skype для бизнеса Server 2015 поддерживает использование единого общедоступного сертификата для доступа к внешним интерфейсам Access и веб-конференций EDGE, а также службы для проверки подлинности, которая предоставляется через пограничный сервер (и т. п.).Skype for Business Server 2015 supports the use of a single public certificate for access and web conferencing Edge external interfaces, plus the A/V Authentication service, which is all provided via the Edge Server(s). Внутренний интерфейс EDGE обычно использует частный сертификат, выданный внутренним центром сертификации, но при желании вы можете использовать общедоступный сертификат, если он открыт в доверенном центре сертификации.Your Edge internal interface will typically use a private certificate issued by your internal CA, but if you'd prefer, you can use a public certificate for this as well, if it's from a trusted CA.

Общий сертификат требуется также для обратного прокси-сервера (RP); данные, передаваемые между обратным прокси-сервером и клиентами и внутренними серверами, шифруются по протоколу HTTP (точнее, по протоколу TLS на базе HTTP).Your reverse proxy (RP) is also going to use a public certificate, and it encrypts the communication from your RP to clients, and the RP to internal servers by using HTTP (or more precisely, TLS over HTTP).

Сертификаты для мобильной работыCertificates for mobility

Если вы разрабатываете мобильное устройство и поддерживаете автоматическое обнаружение для мобильных клиентов, вам нужно будет включить некоторые дополнительные записи имен альтернативных субъектов в сертификаты для поддержки безопасных подключений из мобильных клиентов.If you're deploying mobility and you're supporting automatic discovery for mobile clients, you're going to need to include some additional subject alternate name entries on your certificates to support the secure connections from the mobile clients.

Какие сертификаты?Which certs? Вы должны иметь имена SAN для автоматического обнаружения сертификатов сюда:You'll need SAN names for automatic discovery on the certificates here:

  • директоровDirector pool

  • переднего планаFront End pool

  • Обратный прокси-серверReverse Proxy

Конкретная информация приведена в соответствующих таблицах ниже.We'll list the specifics in each table below.

Теперь вы можете использовать небольшое предварительное планирование, но иногда вы разработали Skype для бизнеса Server 2015, не выполняя развертывание мобильных устройств, и они появятся на линии, когда сертификаты уже есть в вашей среде.Now, this is where a little pre-planning is good, but sometimes you've deployed Skype for Business Server 2015 without intending to deploy mobility, and that comes up down the line when you already have certificates in your environment. Запрос повторного выпуска сертификатов внутренним центром сертификации не представляет труда, но в случае общих сертификатов требуются дополнительные затраты.Reissuing them via an internal CA is typically pretty easy, but with public certificates from a public CA, that can be a little more pricy.

Если вы видите, что вы ищете, и, если у вас много доменов SIP (это может добавить не более ресурсоемких), вы можете настроить обратный прокси так, чтобы он использовал HTTP для первоначального запроса на обслуживание автообнаружения, вместо использования HTTPS (который является значением по умолчанию. Настройка).If that's what you're looking at, and if you have a lot of SIP domains (which would make adding SANS more expensive), you can configure your reverse proxy to use HTTP for the initial Autodiscover Service request, instead of using HTTPS (which is the default configuration). Дополнительные сведения см. в разделе "Планирование мобильной работы".The Planning for Mobility topic has more info on this.

Требования к каталогу пула и внешнему интерфейсу пула:Director pool and Front End pool certificate requirements:

ОписаниеDescription Запись SANSAN entry
URL-адрес внутренней службы автоматического обнаруженияInternal Autodiscover service URL
SAN = линкдисковеринтернал. <сипдомаин>SAN=lyncdiscoverinternal.<sipdomain>
URL-адрес внешней службы автоматического обнаруженияExternal Autodiscover service URL
SAN = lyncdiscover. <сипдомаин>SAN=lyncdiscover.<sipdomain>

Вы также можете использовать сеть SAN*=. <сипдомаин>You can alternatively use SAN=*.<sipdomain>

Требования к сертификатам для обратного прокси-сервера (общедоступный центр сертификации)Reverse Proxy (Public CA) certificate requirements:

ОписаниеDescription Запись SANSAN entry
URL-адрес внешней службы автоматического обнаруженияExternal Autodiscover service URL
SAN = lyncdiscover. <сипдомаин>SAN=lyncdiscover.<sipdomain>

SAN необходимо связать с сертификатом, назначенным прослушивателю SSL на обратном прокси-сервере.This SAN needs to be assigned to the certificate that's assigned to the SSL Listener on your reverse proxy.

Примечание

У слушателей обратного прокси-сервера должны быть сети SAN для URL-адресов внешних веб-служб.Your reverse proxy listener's going to have SANs for your external Web Services URL(s). Вот некоторые примеры: SAN = skypewebextpool01. contoso. com и dirwebexternal.contoso.com, если вы развернули режиссер (это необязательно).Some examples would be SAN=skypewebextpool01.contoso.com and dirwebexternal.contoso.com, if you've deployed the Director, (which is optional).

Файловый ресурсFile Share

Skype для бизнеса Server 2015 может использовать одну и ту же общую папке для хранения файлов.Skype for Business Server 2015 is able to use the same file share for all file storage. Необходимо иметь в виду следующее.You do need to keep the following in mind:

  • Общий файловый ресурс должен находиться в непосредственно подключенном хранилище (DAS) или в сети хранения данных (SAN); для хранения файлов необходимы распределенная файловая система (DFS) и RAID.A file share needs to be on either direct attached storage (DAS) or a storage area network (SAN), and this includes the Distributed File System (DFS) as well as a redundant array of independent disks (RAID) for file stores. Дополнительные сведения о DFS для Windows Server 2012 можно найти на этой странице DFS.For further reading on DFS for Windows Server 2012, check out this DFS page.

  • Мы рекомендуем использовать общий кластер для общего доступа к файлам.We recommend a shared cluster for the file share. Если вы используете одну из них, следует использовать Cluster для Windows Server 2012 или Windows Server 2012 R2.If you're using one, you should cluster Windows Server 2012 or Windows Server 2012 R2. Windows Server 2008 R2 является приемлемым и.Windows Server 2008 R2 is acceptable as well. Зачем нужна новейшая версия Windows?Why the latest Windows? В более ранних версиях могут отсутствовать разрешения, необходимые для включения всех функций.Older versions may not have the right permissions to enable all features. Вы можете использовать администратор кластеров для создания общих файловых ресурсов, и это поможет вам получить эти сведения в разделе Создание общих файловых ресурсов .You can use Cluster Administrator to create the file shares, and this How to create file shares on a cluster article will help you with those details.

Внимание!

Обратите внимание, что использование сетевого хранилища (NAS) не поддерживается в качестве общего файлового ресурса, поэтому следует использовать один из перечисленных ниже вариантов.You should know that using network attached storage (NAS) as a file share isn't supported, so use one of the options listed above.