Skype for Business Server 2019 的系统要求
总结:借助本文准备安装 Skype for Business Server 2019。 此处介绍了硬件、OS、软件、数据库、证书、Active Directory、DNS 和文件共享。 此处提供了所有系统要求和建议,以帮助确保成功安装和部署服务器场。
如预期的那样,在开始部署 Skype for Business Server 2019 之前,需要做一些准备。 本文将指导你完成规划:
适用于 Skype for Business Server 2019 的硬件
(建立拓扑后,如果没有,可以检查Skype for Business Server 2019 年拓扑基础知识主题) ,是时候考虑服务器了。 Skype for Business Server 2019 服务器需要 64 位硬件。 下表中列出了我们的硬件建议。 这些并非强制要求,但它反映了实现最优性能所需要满足的要求。 我们提供了容量规划文档,可帮助你根据情况确定是否需要超过这些要求。
Standard Edition 服务器的建议硬件
| 硬件组件 | 推荐 |
|---|---|
| CPU | Intel Xeon E5-2673 v3 双处理器、6 核、2.4 千兆赫 (GHz) 或更高版本。 Skype for Business Server 2019 角色不支持 Intel Itanium 处理器。 |
| 内存 | 32 GB。 |
| 磁盘 | 以下之一: • 8 个或更多具有至少 72 GB 可用磁盘空间的 10,000 RPM 硬盘驱动器 (使用 RAID 1 的两个磁盘,6 个磁盘使用 RAID 10) 。 或 • 固态硬盘 (SSD) 能够提供与 8 个 10,000 RPM 机械磁盘驱动器相同的可用空间和类似的性能。 |
| 网络 | 可以使用一个双端口网络适配器、1 Gbps 或更大 (两个网络适配器,但它们必须与单个 MAC 地址和单个 IP 地址) 组合。 前端服务器、后端服务器和标准版服务器不支持双宿主或多宿主配置。 你可以拥有带外管理系统(如 DRAC 或 ILO),只要它们不公开到操作系统,并用于监视和管理服务器硬件。 此方案不构成多宿主服务器,并且受支持。 |
前端和后端服务器的建议硬件
| 硬件组件 | 推荐 |
|---|---|
| CPU | Intel Xeon E5-2673 v3 双处理器、6 核、2.4 千兆赫 (GHz) 或更高版本。 Skype for Business Server 2019 角色不支持 Intel Itanium 处理器。 |
| 内存 | 64 GB。 |
| 磁盘 | 以下之一: • 8 个或更多具有至少 72 GB 可用磁盘空间的 10,000 RPM 硬盘驱动器 (使用 RAID 1 的两个磁盘,6 个磁盘使用 RAID 10) 。 或 • 固态硬盘 (SSD) 能够提供与 8 个 10,000 RPM 机械磁盘驱动器相同的可用空间和类似的性能。 |
| 网络 | 可以使用一个双端口网络适配器、1 Gbps 或更大 (两个网络适配器,但它们必须与单个 MAC 地址和单个 IP 地址) 组合。 前端服务器、后端服务器和标准版服务器不支持双宿主或多宿主配置。 你可以拥有带外管理系统(如 DRAC 或 ILO),只要它们不公开到操作系统,并用于监视和管理服务器硬件。 此方案不构成多宿主服务器,并且受支持。 |
边缘服务器、独立中介服务器和控制器的建议硬件
| 硬件组件 | 推荐 |
|---|---|
| CPU | Intel Xeon E5-2673 v3 双处理器、6 核、2.4 千兆赫 (GHz) 或更高版本。 Skype for Business Server 2019 角色不支持 Intel Itanium 处理器。 |
| 内存 | 32 GB。 |
| 磁盘 | 以下之一: • 具有至少 72 GB 可用磁盘空间的 4 个或更多 10,000 RPM 硬盘驱动器 (磁盘应采用 2x RAID 1 配置) 。 或 • 固态硬盘 (SSD) 能够提供与四个 10,000 RPM 机械磁盘驱动器相同的可用空间和性能。 |
| 网络 | 可以使用一个双端口网络适配器、1 Gbps 或更大 (两个网络适配器,但它们必须与单个 MAC 地址和单个 IP 地址) 组合。 视频互操作服务器和控制器不支持双宿主或多宿主配置。 边缘服务器需要两个网络接口,即双端口网络适配器、1 Gbps 或更高 (或两个配对网络适配器,总共需要 4 个,每对与单个 MAC 地址和单个 IP 地址组合在一起,总共两对) 。 在独立中介服务器上,支持安装额外的网络接口卡 (NIC) 以允许配置特定的 PSTN IP 地址。 |
注意
无论服务器角色如何,我们还建议针对 Skype for Business Server 2019 使用以下硬件设置, (设置可能因你购买的硬件品牌而异,因此请参阅制造商文档了解具体) :
- BIOS 配置 - 应该从 NUMA 设置为 FLAT。
- 启用超线程。
- RSS 队列设置应设为 8 队列。
适用于 Skype for Business Server 2019 的操作系统
设置硬件后,必须安装操作系统 (OS) ,以便安装和成功使用 Skype for Business Server 2019:
- Windows Server 2022
- Windows Server 2019
- Windows Server 2016
此处列出的操作系统以外的任何内容都无法正常工作。 请勿尝试将任何其他内容用于 2019 Skype for Business Server 安装。 例如,未列出“服务器核心”选项。 因此,不支持它。
注意
Windows Server 2022 仅适用于 Skype for Business Server 2019,适用于累积更新 7 及更高版本 (最低内部版本号 2046.524) 。
不支持就地升级 OS。 必须部署运行不同 OS 的单独池,然后将用户迁移到新池。 池中的所有服务器必须具有相同的 OS 版本。
如果要在 Windows Server 2019 计算机上安装 Windows Admin Center 2019,则程序会提示你输入要侦听的端口。 你可能会选择端口 443。 但是,如果该计算机已安装 Skype for Business Server 2019,或者将安装 Skype for Business Server 2019,则必须选择其他端口号。
为什么? 如果 Windows Admin Center 2019 在端口 443 上运行,则无法使用 Skype for Business 控制面板 连接到服务器,也无法连接到服务器上运行的任何内部 Web 服务, (通讯簿 Web 服务、自动发现服务、WebTicket 服务等) 。 事实上,你无法连接到任何内部 Web 服务 URL。 如果需要或想要将 Windows Admin Center 2019 放在具有 Skype for Business Server 2019 的服务器上,请选择其他端口。
应在 Skype for Business Server 2019 部署之前安装的软件
注意
作为安装 Skype for Business Server 2019 的先决条件,在使用 Windows Server 2022 时,必须运行适用于 Windows Server 2022 的兼容性脚本。
对于运行 Skype for Business Server 2019 的任何服务器,必须安装或配置某些内容。 下表中列出了这些内容,后跟特定服务器角色的其他要求。
重要
Skype For Business 2019 支持 .Net Framework 4.8。 和 .Net Framework 4.8.1
所有服务器
| 软件/角色 | 详细信息 |
|---|---|
| Windows PowerShell 3.0 | 所有Skype for Business Server服务器都必须安装 Windows PowerShell 3.0。 • 默认情况下,应使用 Windows Server 2016 安装 PowerShell 3.0。 |
| Microsoft .NET Framework | WCF 服务是在 服务器管理器 下作为 Windows 功能安装的一项功能。 最初,不需要下载。 • 安装此功能时,或者如果已安装并正在检查此功能,必须确保也选中并安装 HTTP 激活 选项,如下所示。  如果收到另一个弹出窗口,指出必须安装其他一些内容才能安装 HTTP 激活,请不要担心。 这是正常的。 选择“确定”并继续。 如果未显示此弹出窗口,可以假定已安装这些内容。 安装 Windows Server 2016 时会安装 Microsoft .NET Framework。 不过,Skype for Business Server需要 Microsoft .NET Framework 4.7、4.8 或 4.8.1,因此可能需要更新它。 可在此处查找更新 |
| 媒体基础 | 对于 Windows Server 2016,请使用 Microsoft 媒体基础安装 Windows Media Format Runtime。 所有用于会议的前端服务器和标准版服务器都需要 Windows Media Format Runtime 来运行 Windows Media Audio (.wma) 文件,呼叫寄存、公告和响应组应用程序将通过该文件来播放公告和音乐。 |
| Windows Identity Foundation | 我们需要 Windows Identity Foundation 3.5 来支持 Skype for Business Server 2019 的服务器到服务器身份验证情景。 • 对于 Windows Server 2016,不需要下载任何内容。 打开服务器管理器,转到添加角色和功能向导。 Windows Identity Foundation 3.5 在功能部分列出。 如果已选中,则全部设置。 否则,请选择它,然后选择“ 下一步 ”以访问 “安装 ”按钮。 |
| 远程服务器管理工具 | 角色管理工具:AD DS 和 AD LDS 工具 |
前端服务器和 Standard Edition 服务器
| 软件/角色 | 详细信息 |
|---|---|
| Internet 信息服务 (IIS) | 所有前端服务器和所有 Standard Edition 服务器上都需要 IIS,并且选择了以下模块: • 常用 HTTP 功能:默认文档、HTTP 错误、静态内容 • 运行状况和诊断:HTTP 日志记录、日志记录工具、跟踪 • 性能:静态内容压缩、动态内容压缩 • 安全性:请求筛选、客户端证书映射身份验证、Windows 身份验证 • 应用程序开发:.NET Extensibility 3.5、.NET Extensibility 4.5、ASP.NET 3.5、ASP.NET 4.5、ISAPI 扩展、ISAPI 筛选器 • 管理工具:IIS 管理控制台、IIS 管理脚本和工具 还需要匿名访问,但在安装 IIS 时会获得该访问,因此在列表中没有选择它的位置。 |
| Windows Media Format Runtime | 对于Windows Server 2016,必须在 服务器管理器 中安装 Media Foundation 功能。 实际上,无需此功能即可启动 Skype for Business Server 2019 安装。 但是,系统会提示安装它,然后重启服务器,然后才能继续安装 Skype for Business Server 2019。 因此最好提前安装。 |
| Silverlight | 你可以从此处安装最新版本的 Silverlight。 |
| 对于中国区域的用户 | 将服务器更新到 2019 年累积更新 7 修补程序 1 Skype for Business Server (2046.524) 的最小内部版本号后,运行 PowerShell 脚本。 |
为了帮助你解决问题,下面是一个示例 PowerShell 脚本,可以运行该脚本来自动执行此过程:
Add-WindowsFeature RSAT-ADDS, Web-Server, Web-Static-Content, Web-Default-Doc, Web-Http-Errors, Web-Asp-Net, Web-Net-Ext, Web-ISAPI-Ext, Web-ISAPI-Filter, Web-Http-Logging, Web-Log-Libraries, Web-Request-Monitor, Web-Http-Tracing, Web-Basic-Auth, Web-Windows-Auth, Web-Client-Auth, Web-Filtering, Web-Stat-Compression, Web-Dyn-Compression, NET-WCF-HTTP-Activation45, Web-Asp-Net45, Web-Mgmt-Tools, Web-Scripting-Tools, Web-Mgmt-Compat, Windows-Identity-Foundation, Server-Media-Foundation, Telnet-Client, BITS, ManagementOData, Web-Mgmt-Console, Web-Metabase, Web-Lgcy-Mgmt-Console, Web-Lgcy-Scripting, Web-WMI, Web-Scripting-Tools, Web-Mgmt-Service
控制器还需要:
IIS,选择以下模块:
常见的 HTTP 功能
默认文档
HTTP 错误
静态内容
运行状况和诊断
HTTP 日志记录
日志记录工具
跟踪
性能
- 静态内容压缩
安全性
请求筛选
客户端证书映射身份验证
Windows 身份验证
应用程序开发
.NET Extensibility 3.5
.NET Extensibility 4.5
ASP.NET 3.5
ASP.NET 4.5
ISAPI 扩展
ISAPI 筛选器
(如果你想知道,它是与前端服务器和标准版服务器相同的模块集,不包括动态内容压缩和管理工具。)
此外,我们还提供了一些适用于此过程的 PowerShell 代码:
Add-WindowsFeature RSAT-ADDS, Web-Server, Web-Static-Content, Web-Default-Doc, Web-Http-Errors, Web-Asp-Net, Web-Net-Ext, Web-ISAPI-Ext, Web-ISAPI-Filter, Web-Http-Logging, Web-Log-Libraries, Web-Request-Monitor, Web-Http-Tracing, Web-Basic-Auth, Web-Windows-Auth, Web-Client-Auth, Web-Filtering, Web-Stat-Compression, NET-WCF-HTTP-Activation45, Web-Asp-Net45, Web-Scripting-Tools, Web-Mgmt-Compat, Server-Media-Foundation, Telnet-Client
安装适用于 Windows Server 2022 的兼容性脚本
为 Windows Server 2022 设置Skype for Business Server时,必须运行以下脚本以确保与 Windows Server 2022 的兼容性:
$providerName = "AesProvider"
$keyContainerName = "iisCustomConfigurationKey"
$exe = Get-ChildItem -Path "$env:SystemRoot\Microsoft.NET\Framework64" -Filter "aspnet_regiis.exe" -Recurse -ErrorAction SilentlyContinue | Select-Object -First 1
if ($exe -eq $null) {
Write-Error "aspnet_regiis.exe not found. Exiting";
Exit
}
$existingProvider = Get-WebConfiguration -PSPath 'MACHINE/WEBROOT/APPHOST' -Filter "configProtectedData/providers/add[@name='$providerName']"
if ($null -ne $existingProvider) { # Provider already exists
Write-Host "Script has already run. $providerName already exists. Exiting"
Exit 0
}
& $exe.FullName -pc $keyContainerName -exp
& $exe.FullName -pa $keyContainerName "BUILTIN\IIS_IUSRS"
& $exe.FullName -pa $keyContainerName "NT SERVICE\WMSVC"
Add-WebConfigurationProperty -PSPath 'MACHINE/WEBROOT/APPHOST' -Filter "configProtectedData/providers" -Name "." -Value @{name="$providerName";type='System.Configuration.RsaProtectedConfigurationProvider,System.Configuration, Version=4.0.0.0, Culture=neutral, PublicKeyToken=b03f5f7f11d50a3a'}
$applicationHostConfigPath = "$env:SystemRoot\System32\inetsrv\config\applicationHost.config"
[xml] $applicationHostConfigFile = Get-Content $applicationHostConfigPath
foreach ($ele in $applicationHostConfigFile.configuration.configProtectedData.providers.add) {
if ($ele.name -eq $providerName) {
$ele.SetAttribute("keyContainerName", $keyContainerName)
$ele.SetAttribute("useMachineContainer", "true")
$ele.SetAttribute("useOAEP", "false")
$ele.SetAttribute("useFIPS", "true")
}
}
$applicationHostConfigFile.Save($applicationHostConfigPath)
Write-Host "Script ran successfully. Key container $keyContainerName created. Provider $providerName added."
适用于 2019 Skype for Business Server 的后端数据库
安装 Skype for Business Server 2019 Standard Edition 时,还会安装 SQL Server 2016 Express (64 位版本) 。
Skype for Business Server 2019 Enterprise Edition 需要完整版本的SQL Server,此处仅 (64 位版本;请勿使用 32 位版本) :
- Microsoft SQL Server 2019 (64 位版本) - 必须与最新更新一起运行
- Microsoft SQL Server 2017 (64 位版本) - 必须与最新更新一起运行
- Microsoft SQL Server 2016 (64 位版本) - 必须与最新更新一起运行
如果此处未列出要使用的 SQL Server 版本,则不能使用它。
注意
还必须为监视服务器角色安装SQL Server Reporting Services。
SQL 群集和 SQL Always On
支持将 SQL 群集与 Skype for Business Server 2019 结合使用。 如果想要设置 SQL 群集,可在 SQL Server 中完成。
确保具有 SQL 群集的主动/被动配置,该配置受支持。 请勿与任何其他 SQL 实例共享被动节点。
对于故障转移聚类分析,可以:
双节点:
- Microsoft SQL Server 2019 标准版(64 位版本),建议运行最新的 Service Pack。
- Microsoft SQL Server 2017 Standard(64 位版),建议运行最新 Service Pack。
- Microsoft SQL Server 2016 标准版(64 位版本),建议运行最新的 Service Pack。
16 节点:
- Microsoft SQL Server 2019 企业版(64 位版本),建议运行最新的 Service Pack。
- Microsoft SQL Server 2017 Enterprise(64 位版),建议运行最新 Service Pack。
- Microsoft SQL Server 2016 企业版(64 位版本),建议运行最新的 Service Pack。
支持 SQL Always On,你可以在 Skype for Business Server 2019 中的后端服务器高可用性中了解更多相关信息。
其他服务器安装建议
请勿安装任何 Microsoft Internet Security and Acceleration (ISA) Server 客户端软件,或任何其他 Winsock 分层服务提供商 (LSP) 软件 (此处将包含任何第三方防火墙或防病毒网络检查软件) 在任何前端服务器或独立中介服务器上。 我们注意到安装此类软件会导致媒体流性能低下。
Active Directory
尽管服务器和服务的大部分配置数据存储在 Skype for Business Server 2019 中央管理存储中,但某些内容仍存储在 Active Directory 中。
| Active Directory 对象 | 对象类型 |
|---|---|
| 架构扩展 | 用户对象扩展 |
| 用于 Skype for Business Server 2015 和 Lync Server 2013 的扩展,旨在保持与先前受支持版本的向后兼容性 | |
| Data | 用户 SIP URI 和其他用户设置 |
| 应用程序的联系对象(如响应组应用程序和会议助理应用程序) | |
| 为实现向后兼容而发布的数据 | |
| 中央管理存储的服务控制点 (SCP) | |
| Kerberos 身份验证帐户(可选计算机对象) |
域控制器的操作系统
可使用以下域控制器操作系统:
- Windows Server 2022
- Windows Server 2019
- Windows Server 2016
- Windows Server 2012 R2
- Windows Server 2012
2019 Skype for Business Server部署到的任何域的域功能级别,以及 2019 Skype for Business Server部署到的任何林的林功能级别必须为以下其中一种:
- Windows Server 2016
- Windows Server 2012 R2
- Windows Server 2012
这些环境中能否有只读域控制器? 可以,只要可写域控制器也可用,就可以了。
请务必知悉,Skype for Business Server 2019 不支持单标签域。 这些是什么? 如果你有一个标记为“contoso.local”的根域,这将正常工作。 如果你有名为“local”的根域,则不起作用,并且不受支持。 有关详细信息,请参阅 使用单标签 DNS 名称配置的 Active Directory 域的部署和操作。
Skype for Business Server 2019 也不支持重命名域。 如果必须重命名域,则必须卸载 Skype for Business Server 2019,进行域重命名,然后重新安装 Skype for Business Server 2019。
最后,你可能正在处理具有锁定的 AD DS 环境的域,这是可以接受的。 在部署文档中,我们提供了有关如何将 Skype for Business Server 2019 部署到锁定的 AD DS 环境中的详细信息。
AD 拓扑
2019 Skype for Business Server支持的拓扑如下所示:
具有单个域的单林
具有单个树和多个域的单林
具有多个树和互不连接的命名空间的单林
中央林拓扑中的多林
资源林拓扑中的多林
具有 Exchange Online 的 Skype for Business 资源林拓扑中的多个林
具有 Skype for Business Online 和 Microsoft Entra Connect 的资源林拓扑中的多个林
我们提供图表和说明,可帮助你确定环境中具有的拓扑,或者在安装 Skype for Business Server 2019 之前可能需要设置哪些拓扑。 为简单起见,我们还提供了密钥:
具有单个域的单林
这不会比这容易。 它是一个单域林,一个通用拓扑。
具有单个树和多个域的单林
此图再次显示了一个林,但它也有一个或多个子域, (此特定示例中有三个) 。 S,o 创建用户的域可能与 2019 Skype for Business Server部署到的域不同。 为什么要担心这种情况? 请牢记,在部署 Skype for Business Server 前端池时,池中的所有服务器都必须位于单个域中。 你可以通过 Skype for Business Server 对 Windows 通用管理员组的支持实现跨域管理。
在上图中,可以看到来自一个域的用户能够从同一域或不同域访问Skype for Business Server池,即使这些用户位于子域中也是如此。
具有多个树和互不连接的命名空间的单林
你可能拥有类似于此图表所示的拓扑,包括一个林,但在该林内有多个域,而且使用不同的 AD 命名空间。 如果是这样,那么这个图表就是很好的演示,因为其中有三个不同域中的用户在访问 Skype for Business Server 2019。 实线表示他们访问的是自身所在域中的 Skype for Business Server 池,虚线表示他们在访问不同树中的池。
你可以看到,相同域、相同树甚至不同树中的用户都能成功访问池。
中央林拓扑中的多林
Skype for Business Server 2019 支持在中央林拓扑中配置的多个林。 如果你不确定自己的拓扑结构,请注意拓扑中的中央林使用自身内部的对象表示其他林中的用户,并承载此林中任意用户的用户帐户。
其工作方式如何? 目录同步产品(例如 Forefront Identity Manager,即 FIM)管理组织用户帐户的整个生命周期。 在林中创建或删除帐户时,更改将同步到中央林中的对应联系人。
显而易见,将 AD 基础结构就地迁移到这种拓扑可能并不容易,但如果你已经采用了这种拓扑,或者仍在规划林基础结构,那么这这种拓扑可能就是理想的选择。 你可以将 Skype for Business Server 2019 部署集中到一个林中,用户可以搜索任何林中的其他用户,并且与之沟通并查看其状态。 所有用户联系人更新都会通过同步软件自动得到处理。
Skype for Business 资源林拓扑中的多个林
同样支持资源林拓扑,在这种拓扑中,一个林专门用于运行服务器应用程序,例如 Microsoft Exchange Server 和 Skype for Business Server 2019。 此资源林还承载着活动用户对象的同步表示形式,但不包含启用了登录的用户帐户。 因此资源林用作用户对象所驻留的其他林的共享服务环境,这些林与资源林之间存在林级信任关系。
Exchange Server可以部署在与 Skype for Business Server 相同的资源林中,也可以部署在不同的林中。
若要在此类型的拓扑中部署 Skype for Business Server 2019,请在资源林中为用户林中的每个用户帐户创建一个禁用的用户对象, (如果环境中已有Microsoft Exchange Server,则可以) 执行此操作。 随后需要一种目录同步工具(例如 Forefront Identity Manager,即 FIM)来管理用户帐户的生命周期。
具有 Exchange Online 的 Skype for Business 资源林拓扑中的多个林
此拓扑与 Skype for Business 资源林拓扑中的多个林中所述的拓扑类似。
在该拓扑中,存在一个或多个用户林,且 Skype for Business Server 部署在专用资源林中。 Exchange Server 可以部署在本地的相同资源林中,也可以部署在不同资源林中,且可配置为与 Exchange Online 混合使用,或者可以由 Exchange Online 专门为本地帐户提供电子邮件服务。 目前没有该拓扑的示意图。
具有 Skype for Business Online 和 Microsoft Entra Connect 的资源林拓扑中的多个林
在此方案中,一个资源林拓扑中有多个本地林。 Active Directory 林之间为完全信任关系。 Microsoft Entra Connect 工具用于在本地用户林与 Microsoft 365 或 Office 365 之间同步帐户。
该组织还具有 Microsoft 365 或 Office 365,并使用 Microsoft Entra Connect 将其本地帐户与 Microsoft 365 或 Office 365 同步。 启用Skype for Business的用户通过 Microsoft 365 或 Office 365 和 Skype for Business Online 启用。 Skype for Business Server 不部署在本地。
单一登录身份验证由位于用户林中的 Active Directory 联合身份验证服务场提供。
在此方案中,支持部署本地 Exchange、Exchange Online 或 Exchange 混合解决方案,或者根本不部署 Exchange。 (图中只显示了本地 Exchange,但是也完全支持其他 Exchange 解决方案。)
有混合 Skype for Business 的资源林拓扑中的多个林
在该方案中,存在一个或多个本地用户林,Skype for Business 部署在专用资源林中并配置为用于与 Skype for Business Online 的混合模式。 Exchange Server 可以部署在本地的相同资源林中,也可以部署在不同资源林中,且可配置为与 Exchange Online 混合使用。 或者可以由 Exchange Online 专门为本地帐户提供电子邮件服务。
有关详细信息,请参阅配置适用于混合 Skype for Business 的多林环境。
域名系统 (DNS)
Skype for Business Server 2019 需要 DNS,原因如下:
DNS 支持 Skype for Business Server 2019 发现内部服务器或池,以实现服务器至服务器的通信。
DNS 允许客户端计算机发现用于 SIP 事务的前端池或 Standard Edition 服务器。
它会将会议的简单 URL 与托管这些会议的服务器相关联。
DNS 允许外部用户和客户端计算机连接到边缘服务器或 HTTP 反向代理,以便即时消息 (即时消息) 或会议。
它使未登录的统一通信 (UC) 设备可以发现运行设备更新 Web 服务的前端池或标准版服务器,以获取更新和发送日志。
使用 DNS 使移动客户端可以自动发现 Web 服务资源,而无需用户在设备设置中手动输入 URL。
DNS 还用于 DNS 负载平衡。
请注意,Skype for Business Server 2019 不支持国际化域名 (IDN)。
请务必记住,DNS 中的任何名称都与 Skype for Business Server 2019 使用的任何服务器上配置的计算机名称相同,这一点非常重要。 具体来说,不能在这种环境中使用短名称,必须为拓扑生成器使用 FQDN。
对于已加入域的任何计算机来说,这似乎是合乎逻辑的。 但是,如果边缘服务器未加入域,则默认情况下,它的短名称可能没有域后缀。 请确保在 DNS 或边缘服务器或任何Skype for Business Server 2019 服务器或池中不是这种情况。
绝对不要在域名中使用 Unicode 字符或下划线。 外部 DNS 和公共证书颁发机构支持标准字符 (A-Z、a-z、0-9 和连字符) , (你必须将 FQDN 分配给证书中的 SN,请务必记住) 。 因此,如果你从一开始就记住此规则,你会避免很多麻烦。
有关网络的 DNS 要求的详细信息,检查规划文档的网络部分。
证书
在部署之前,可以做的最重要的事情之一是确保证书按顺序排列。 Skype for Business Server 2019 需要公钥基础结构 (PKI) 来支持传输层安全性 (TLS) 连接和相互传输层安全性 (MTLS) 连接。 基本上,为了以标准化方式进行安全通信,Skype for Business Server使用证书颁发机构颁发的证书 (CA) 。
Skype for Business Server 2019 使用证书的部分用途包括:
客户端与服务器之间的 TLS 连接
服务器之间的 MTLS 连接
使用自动发现伙伴 DNS 的联盟
远程用户访问即时消息 (IM)
外部用户访问音频/视频 (AV) 会话、应用程序共享和会议
与 Web 应用程序和 Outlook Web Access (OWA) 通信
因此,必须进行证书规划。 现在,我们来看看在请求证书时需要牢记的一些事情:
所有服务器证书都必须支持服务器授权(服务器 EKU)。
所有服务器证书都必须包含一个 CRL 分发点 (CDP)。
所有证书必须使用操作系统支持的签名算法进行签名。 Skype for Business Server 2019 支持 (224 位、256 位、384 位和 512 位) 的 SHA-1 和 SHA-2 摘要大小套件,并且满足或超过操作系统要求。
运行 Skype for Business Server 2019 的内部服务器支持自动注册。
Skype for Business Server 2019 边缘服务器不支持自动注册。
注意
不支持使用 RSASSA-PSS 签名算法,可能会导致登录错误和呼叫转接问题以及其他问题。
加密密钥长度为 1024、2048 和 4096。 建议使用密钥长度 2048 和更大值。
默认的摘要式或哈希签名算法是 RSA。 还支持 ECDH_P256、ECDH_P384 和 ECDH_P521 算法。
这需要考虑很多,并且从 CA 请求证书有各种舒适级别。 我们将在以下部分为你提供一些进一步指导,使你的规划尽可能轻松。
内部服务器的证书
大多数内部服务器都需要证书,并且很可能从位于域) 中的 CA 的内部 CA (获取证书。 如果需要,可以从位于 Internet) 的外部 CA (请求这些证书。 如果想知道应转到哪个公共 CA,可以检查统一通信证书合作伙伴列表。
Skype for Business Server 2019 与其他应用程序和服务器(例如Microsoft Exchange Server)通信时,还需要证书。 显然,这必须是一个证书,这些其他应用和服务器可以支持的方式使用。 Skype for Business Server 2019 和其他 Microsoft 产品支持使用开放式授权 (OAuth) 协议进行服务器到服务器的身份验证和授权。 如果你感兴趣,我们还有一篇针对 OAuth 和 Skype for Business Server 2019 的规划文章。
Skype for Business Server 2019 还支持(但并非必要)使用 SHA-256 加密哈希函数签署的证书。 要支持使用 SHA-256 进行外部访问,外部证书需要由公共 CA 使用 SHA-256 颁发。
为了简单明了,我们已将 Standard Edition 服务器、前端池和其他角色的证书要求放入下表中,并使用了虚构 contoso.com 作为示例, (你可能会将其他内容用于你的环境) 。 这些均为标准 Web 服务器证书,使用不可导出的私钥。 此外还应注意:
使用证书向导请求证书时会自动配置服务器增强型密钥使用 (EKU)。
每个证书友好名称在计算机存储中均必须是唯一的。
根据以下示例名称,如果在 DNS 中配置了 sipinternal.contoso.com 或 sipexternal.contoso.com,则必须将其添加到证书的使用者可选名称 (SAN) 。
Standard Edition 服务器的证书
| 证书 | 使用者名称/公用名 | 使用者替代名称 | 示例 | 备注 |
|---|---|---|---|---|
| 默认 | 池的 FQDN | 池的 FQDN 和服务器的 FQDN 如果具有多个 SIP 域并已启用自动客户端配置,则证书向导会检测并添加所有受支持的 SIP 域 FQDN。 如果此池是客户端的自动登录服务器,并且组策略中需要严格的域名系统 (DNS) 匹配,则你还需要) 的每个 SIP 域的 sip.sipdomain (条目。 |
SN=se01.contoso.com; SAN=se01.contoso.com 如果此池是客户端的自动登录服务器,而且组策略要求执行严格的 DNS 匹配,则还需要 SAN=sip.contoso.com; SAN=sip.fabrikam.com。 |
对于标准版服务器,服务器 FQDN 与池 FQDN 相同。 证书向导会检测您在安装过程中所指定的任何 SIP 域,然后自动将它们添加到使用者可选名称中。 也可将此证书用于服务器到服务器身份验证。 |
| Web 内部 | 服务器的 FQDN | 以下各项: • 内部 Web FQDN(与服务器的 FQDN 相同) 和 • 会议简单 URL • 拨入简单 URL • 管理简单 URL 或 • 简单 URL 的通配符条目 |
SN=se01.contoso.com; SAN=se01.contoso.com; SAN=meet.contoso.com; SAN=meet.fabrikam.com; SAN=dialin.contoso.com; SAN=admin.contoso.com 使用通配符证书: SN=se01.contoso.com; SAN=se01.contoso.com; SAN=*.contoso.com |
你无法在拓扑生成器中覆盖内部 Web FQDN。 如果你有多个会议简单 URL,则必须将其全部包含为 SAN。 简单 URL 条目支持通配符条目。 |
| Web 外部 | 服务器的 FQDN | 以下各项: • 外部 Web FQDN 和 • 拨入简单 URL • 每个 SIP 域的会议简单 URL 或 • 简单 URL 的通配符条目 |
SN=se01.contoso.com; SAN=webcon01.contoso.com; SAN=meet.contoso.com; SAN=meet.fabrikam.com; SAN=dialin.contoso.com 使用通配符证书: SN=se01.contoso.com; SAN=webcon01.contoso.com; SAN=*.contoso.com |
如果您有多个会议简单 URL,则必须将它们作为使用者可选名称全部添加。 简单 URL 条目支持通配符条目。 |
前端池中前端服务器的证书
| 证书 | 使用者名称/公用名 | 使用者替代名称 | 示例 | 备注 |
|---|---|---|---|---|
| 默认 | 池的 FQDN | 池的 FQDN 和服务器的 FQDN 如果具有多个 SIP 域并已启用自动客户端配置,则证书向导会检测并添加所有受支持的 SIP 域 FQDN。 如果此池是客户端的自动登录服务器,并且组策略中需要严格的域名系统 (DNS) 匹配,则你还需要) 的每个 SIP 域的 sip.sipdomain (条目。 |
SN=eepool.contoso.com; SAN=eepool.contoso.com; SAN=ee01.contoso.com 如果此池是客户端的自动登录服务器,而且组策略要求执行严格的 DNS 匹配,则还需要 SAN=sip.contoso.com; SAN=sip.fabrikam.com。 |
证书向导会检测您在安装过程中所指定的任何 SIP 域,然后自动将它们添加到使用者可选名称中。 也可将此证书用于服务器到服务器身份验证。 |
| Web 内部 | 池的 FQDN | 以下各项: • 内部 Web FQDN(与服务器的 FQDN 不同) • 服务器 FQDN • Skype for Business 池 FQDN 和 • 会议简单 URL • 拨入简单 URL • 管理简单 URL 或 • 简单 URL 的通配符条目 |
SN=ee01.contoso.com; SAN=ee01.contoso.com; SAN=meet.contoso.com; SAN=meet.fabrikam.com; SAN=dialin.contoso.com; SAN=admin.contoso.com 使用通配符证书: SN=ee01.contoso.com; SAN=ee01.contoso.com; SAN=*.contoso.com |
如果您有多个会议简单 URL,则必须将它们作为使用者可选名称全部添加。 简单 URL 条目支持通配符条目。 |
| Web 外部 | 池的 FQDN | 以下各项: • 外部 Web FQDN 和 • 拨入简单 URL • 管理简单 URL 或 • 简单 URL 的通配符条目 |
SN=ee01.contoso.com; SAN=webcon01.contoso.com; SAN=meet.contoso.com; SAN=meet.fabrikam.com; SAN=dialin.contoso.com 使用通配符证书: SN=ee01.contoso.com; SAN=webcon01.contoso.com; SAN=*.contoso.com |
如果您有多个会议简单 URL,则必须将它们作为使用者可选名称全部添加。 简单 URL 条目支持通配符条目。 |
控制器证书
| 证书 | 使用者名称/公用名 | 使用者替代名称 | 示例 |
|---|---|---|---|
| 默认 | 控制器池 | 控制器的 FQDN 和控制器池的 FQDN。 如果此池是客户端的自动登录服务器,并且组策略中要求进行严格的 DNS 匹配,则你还需要) 的每个 SIP 域的 sip.sipdomain (条目。 |
pool.contoso.com; SAN=dir01.contoso.com 如果此控制器池是客户端的自动登录服务器,而且组策略要求执行严格的 DNS 匹配,那么还需要 SAN=sip.contoso.com; SAN=sip.fabrikam.com。 |
| Web 内部 | 服务器的 FQDN | 以下各项: • 内部 Web FQDN(与服务器的 FQDN 相同) • 服务器 FQDN • Skype for Business 池 FQDN 和 • 会议简单 URL • 拨入简单 URL • 管理简单 URL 或 • 简单 URL 的通配符条目 |
SN=dir01.contoso.com; SAN=dir01.contoso.com; SAN=meet.contoso.com; SAN=meet.fabrikam.com; SAN=dialin.contoso.com; SAN=admin.contoso.com 使用通配符证书: SN=dir01.contoso.com; SAN=dir01.contoso.com SAN=*.contoso.com |
| Web 外部 | 服务器的 FQDN | 以下各项: • 外部 Web FQDN 和 • 每个 SIP 域的会议简单 URL • 拨入简单 URL 或 • 简单 URL 的通配符条目 |
控制器外部 Web FQDN 必须不同于前端池或前端服务器。 SN=dir01.contoso.com; SAN=directorwebcon01.contoso.com SAN=meet.contoso.com; SAN=meet.fabrikam.com; SAN=dialin.contoso.com 使用通配符证书: SN=dir01.contoso.com; SAN=directorwebcon01.contoso.com SAN=*.contoso.com |
独立中介服务器的证书
| 证书 | 使用者名称/公用名 | 使用者替代名称 | 示例 |
|---|---|---|---|
| 默认 | 池的 FQDN | 池的 FQDN 池成员服务器的 FQDN |
SN=medsvr-pool.contoso.net; SAN=medsvr-pool.contoso.net; SAN=medsvr01.contoso.net |
Survivable Branch Appliance (特别是 Survivable Branch Appliance 2015 for Skype for Business Server 2019)
| 证书 | 使用者名称/公用名 | 使用者替代名称 | 示例 |
|---|---|---|---|
| 默认 | 设备的 FQDN | SIP.<sipdomain>(每个 SIP 域仅需要一个条目) | SN=sba01.contoso.net; SAN=sip.contoso.com; SAN=sip.fabrikam.com |
外部用户访问(边缘)的证书
Skype for Business Server 2019 支持为访问和 Web 会议边缘外部接口外加 A/V 身份验证服务使用单个公共证书,这一切均通过边缘服务器提供。 Edge 内部接口使用内部 CA 颁发的专用证书,但如果你愿意,还可以使用来自受信任 CA 的公共证书。
反向代理 (RP) 也将使用公共证书,它通过使用 HTTP (或更确切地说,使用 TLS over HTTP) 加密从 RP 到客户端和 RP 到内部服务器的通信。
移动证书
如果要部署移动性并支持移动客户端的自动发现,则必须在证书中包含一些额外的使用者备用名称条目,以支持来自移动客户端的安全连接。
需要 SAN 名称才能自动发现以下证书:
控制器池
前端池
反向代理
具体内容在以下表中列出。
这是一点预先规划是好的。 但有时,你部署了 Skype for Business Server 2019,而不打算部署移动性,稍后会在环境中已有证书时出现。 通过内部 CA 重新颁发证书通常非常简单。 但对于来自公共 CA 的公共证书,可能更贵一点。
如果你正在查看这种情况,并且有很多 SIP 域 (这会使添加 SANS) 开销更高,则可以将反向代理配置为将 HTTP 用于初始自动发现服务请求,而不是使用 HTTPS (默认配置) 。 有关详细信息,请参阅 规划移动性。
控制器池和前端池证书要求
| 说明 | SAN 条目 |
|---|---|
| 内部自动发现服务 URL | SAN=lyncdiscoverinternal.<sipdomain> |
| 外部自动发现服务 URL | SAN=lyncdiscover.<sipdomain> |
或者,可以使用 SAN=*。<sipdomain>
反向代理 (公共 CA) 证书要求
| 说明 | SAN 条目 |
|---|---|
| 外部自动发现服务 URL | SAN=lyncdiscover.<sipdomain> |
必须将此 SAN 分配给反向代理上分配给 SSL 侦听器的证书。
注意
反向代理侦听器将具有外部 Web 服务 URL 的 SAN () 。 如果已部署控制器 (可选) ,则例如 SAN=skypewebextpool01.contoso.com 和 dirwebexternal.contoso.com。
文件共享
Skype for Business Server 2019 可以对所有文件存储使用相同的文件共享。 应记住以下几点:
文件共享必须位于直接连接的存储 (DAS) 或存储区域网络 (SAN) 。 此要求包括分布式文件系统 (DFS) ,以及用于文件存储 (RAID) 的独立磁盘的冗余阵列。 有关 DFS for Windows Server 2012的详细信息,请参阅 DFS 命名空间和 DFS 复制概述。
建议对文件共享使用共享群集。 如果已在使用,则应群集Windows Server 2012或更高版本。
注意
为什么要使用最新的 Windows? 早期版本可能没有启用所有功能的适当权限。 你可以使用群集管理器创建文件共享。 有关详细信息,请参阅 如何在群集上创建文件共享。
谨慎
你应该知道,不支持使用网络连接存储 (NAS) 作为文件共享。 因此,请使用此处列出的选项之一。 此支持限制是由 NAS 设备的可变设计所致,这些设备必须向访问设备共享文件系统的基于 Windows Server 的计算机提供文件系统适应性。