部署資源樹系拓撲
重要
由中國 21Vianet 營運的 商務用 Skype Online 將於 2023 年 10 月 1 日淘汰。 如果您尚未升級 商務用 Skype 在線用戶,系統會自動排程他們進行協助升級。 如果您想要將組織自行升級至 Teams,我們強烈建議您立即開始規劃升級路徑。 請記住,成功升級會使技術和使用者整備一致,因此請務必在您流覽 Teams 旅程時運用我們的 升級指導方針 。
商務用 Skype Online 已在 2021 年 7 月 31 日淘汰,但不包括由中國 21Vianet 所營運的服務。
下列各節說明如何設定資源/使用者森林模型中有多個森林的環境,以在混合式案例中提供功能。
拓撲需求
支援多個使用者森林。 請記住下列事項:
如需 Lync Server 的支援版本,以及混合式組態中 商務用 Skype Server,請參閱規劃混合式連線能力。
Exchange Server 可以部署在一或多個森林中,可能包含或不包含包含 商務用 Skype Server 的森林。 請確定您已套用最新的累積更新。
如需與 Exchange Server 共存的詳細數據,包括內部部署和在線各種組合的支援準則和限制,請參閱規劃中整合 商務用 Skype 和 Exchange 的功能支援。
用戶考慮
商務用 Skype 內部部署的使用者可以在內部部署或在線擁有 Exchange 首頁。 Teams 用戶應該使用 Exchange Online 以獲得最佳體驗;不過,這並非必要。 無論哪種情況,都不需要內部部署 Exchange 來實作 商務用 Skype。
設定森林信任
在資源森林拓撲中,主控 商務用 Skype Server的資源林必須信任每個包含用戶帳戶且可存取之帳戶的帳戶森林。
如果您有多個使用者森林,若要啟用跨森林驗證,請務必針對這些森林信任的每個專案啟用名稱後綴路由。 如需相關指示,請 參閱管理森林信任。
如果您已將 Exchange Server 部署在另一片森林中,而 Exchange 為 商務用 Skype 使用者提供功能,則森林主機服務 Exchange 必須信任森林主機 商務用 Skype Server。 例如,如果 Exchange 部署在帳戶森林中,則帳戶與 商務用 Skype 林之間需要雙向信任。
將帳戶同步處理到森林主機 商務用 Skype
假設 商務用 Skype Server 是部署在一個森林 (資源林) ,但提供功能給一或多個其他森林的使用者, (帳戶森林) 。 在此情況下,在部署 商務用 Skype Server 之森林中,其他森林中的用戶必須以已停用的用戶物件表示。
您必須使用身分識別管理產品,例如 Microsoft Identity Manager,將帳戶森林中的使用者布建及同步處理至部署 商務用 Skype Server 的森林。 用戶必須同步處理至森林主機 商務用 Skype Server 為已停用的用戶物件。 用戶無法同步處理為 Active Directory 聯繫人對象,因為 Microsoft Entra Connect 無法正確地將聯繫人同步處理至 Microsoft Entra ID,以搭配 Skype 使用。
無論任何多林設定為何,森林主控 商務用 Skype Server 也可以為存在於相同森林中的任何啟用使用者提供功能。
若要取得適當的身分識別同步處理,必須同步處理下列屬性:
| 使用者森林 | 資源林 |
|---|---|
| 選擇的帳戶連結屬性 |
選擇的帳戶連結屬性 |
| 郵件 |
郵件 |
| ProxyAddresses |
ProxyAddresses |
| ObjectSID |
msRTCSIP-OriginatorSID |
所 選的帳戶連結屬性 將用來做為來源錨點。 如果您想要使用不同且不可跬的屬性,您可以這麼做;請務必編輯 AD FS 宣告規則,並在 Microsoft Entra 連線設定期間選取屬性。
不要在森林之間同步處理UPN。 您必須為每個使用者森林使用唯一的UPN,因為您無法跨多個樹系使用相同的UPN。 因此,有兩種可能性:同步處理UPN或不同步處理。
如果每個使用者森林中的唯一 UPN 未同步處理至資源樹系中相關聯的停用物件,則單一登錄 (SSO) 至少會在初始登入嘗試 (假設使用者選取了儲存密碼) 選項時中斷。 在 商務用 Skype 用戶端中,我們假設 SIP/UPN 值是相同的。 因為此案例中的 SIP 位址是 user@company.com,但使用者森林中啟用之物件的 UPN 事實上 user@contoso.company.com是,初始登入嘗試會失敗,系統會提示使用者輸入認證。 輸入正確的 UPN 時,系統會針對使用者森林中的域控制器完成驗證要求,並成功登入。
如果每個使用者森林中的唯一 UPN 同步處理到資源樹系中相關聯的停用物件,AD FS 驗證將會失敗。 相符規則會在資源林中的物件上找到UPN,該物件已停用且無法用於驗證。
建立 Microsoft 365 組織
您必須布建 Microsoft 365 組織,才能與您的部署搭配使用。 如需詳細資訊,請參閱 Microsoft 雲端產品的訂閱、授權、帳戶和租使用者。
設定 Active Directory 同盟服務
一旦您有租使用者,您必須在每個使用者的森林中設定 Active Directory 同盟服務 (AD FS) 。 這假設您在每個樹系都有唯一的 SIP 和 SMTP 位址以及用戶主體名稱 (UPN) 。 AD FS 是選用的,用於取得單一登錄 (SSO) 。 我們也支援使用密碼同步處理的 DirSync,也可以取代 AD FS。
僅測試了具有相符 SIP/SMTP 和 UPN 的部署。 沒有相符的SIP/SMTP/UPN 可能會導致功能減少,例如 Exchange 整合和 SSO 的問題。
除非您為每一片森林中的使用者使用唯一的 SIP/SMTP/UPN,否則無論部署 AD FS 的位置為何,您仍然可以遇到 SSO 問題:
在資源/使用者樹系之間使用部署在每個使用者樹系中的 AD FS 伺服器陣列,以單向或雙向信任,所有使用者都會共用常見的 SIP/SMTP 網域,但每個使用者樹系的唯一 UPN。
在資源/使用者樹系之間雙向信任,且 AD FS 伺服器陣列只部署在資源樹系中,所有使用者都會共用常見的 SIP/SMTP 網域,但每個使用者樹系的唯一 UPN。
藉由將AD FS 伺服器數位置於每個使用者的森林中,並為每一種森林使用唯一的S/SMTP/UPN,我們就能解決這兩個問題。 在嘗試驗證期間,只會搜尋和比對該特定使用者森林中的帳戶。 這有助於提供更順暢的驗證程式。
此部署是 Windows Server 2012 R2 AD FS 的標準部署,應該先運作再繼續。 如需相關指示,請參閱 如何安裝 Microsoft 365 的 AD FS 2012 R2。
部署后,您需要編輯宣告規則,以符合先前選取的來源錨點。 在 AD FS MMC 的 [仰賴方信任] 底下,以滑鼠右鍵按兩下 [Microsoft 365 身分識別平臺] 或 [Microsoft Office 365 身分識別平臺],然後選取 [編輯宣告規則]。 編輯第一個規則,並將 ObjectSID 變更為 員工編號。
設定連線 Microsoft Entra
在資源林目錄中,必須將資源林和任何帳戶森林 () 的使用者屬性同步處理至 Microsoft Entra ID。 Microsoft 建議 Microsoft Entra 聯機會同步處理及合併所有已啟用使用者帳戶之森林以及包含 商務用 Skype 之森林的使用者身分識別。 如需詳細數據,請參閱設定 Microsoft Entra 連線 商務用 Skype 和 Teams。
請注意,Microsoft Entra Connect 不會在帳戶和資源林之間提供內部部署同步處理。 這必須使用 Microsoft Identity Manager 或類似產品進行設定,如先前所述。
完成並 Microsoft Entra 連線合併後,如果您在元函數中查看物件,您應該會看到類似下列專案:
綠色醒目提示的屬性是從 Microsoft 365 合併而來,黃色則來自使用者森林,藍色則來自資源林。
在此範例中,Microsoft Entra Connect 已從用戶識別 sourceAnchor 和 cloudSourceAnchor,以及來自 Microsoft 365 的資源森林物件,在此案例中為 1101 --先前選取的員工編號。 Microsoft Entra 連線],他們能將此物件合併到您上面看到的內容。
如需詳細資訊,請參閱整合內部部署目錄與 Microsoft Entra ID。
Microsoft Entra 連線應該使用預設值安裝,但下列情況除外:
單一登入 - 已部署並運作 AD FS:選取 [ 不設定]。
連接您的目錄:新增所有網域。
識別內部部署目錄中的用戶:選取 多個目錄中都存在使用者身分識別,然後選取 ObjectSID 和 msExchangeMasterAccountSID 屬性。
在 Microsoft Entra ID 中識別使用者:來源錨點:選取您在讀取好來源Anchor 屬性、用戶主體名稱 - userPrincipalName 后選擇的屬性。
選用功能:選取您是否已部署 Exchange 混合式。
注意事項
如果您只有 Exchange Online,可能是因為 CNAME 重新導向,造成自動探索期間發生 OAuth 失敗的問題。 若要修正此問題,您必須從 商務用 Skype Server 管理命令介面執行下列 Cmdlet 來設定 Exchange 自動探索 URL:
Set-CsOAuthConfiguration -ExchangeAutoDiscoverURL https://autodiscover-s.outlook.com/autodiscover/autodiscover.svcAD FS 伺服器陣列:選取 [使用現有的 Windows Server 2012 R2 AD FS 伺服器陣列,然後輸入 AD FS 伺服器的名稱。
完成精靈並執行必要的驗證。
設定 商務用 Skype Server的混合式連線能力
請遵循設定 商務用 Skype 混合式的最佳做法。 如需詳細資訊,請參閱 規劃混合式連線 和 設定混合式連線。
設定 Exchange Server的混合式連線能力
如有需要,請遵循設定 Exchange 混合式的最佳做法。 如需詳細資訊,請參閱 Exchange Server 混合式部署。