Konfigurieren von Microsoft Lync Server 2013 in einer standortübergreifenden Umgebung

Thema Letzte Änderung: 21.02.2017

In einer standortübergreifenden Konfiguration werden einige Ihrer Benutzer in einer lokalen Installation von Microsoft Lync Server 2013 verwaltet, während andere Benutzer auf der Microsoft 365- oder Office 365-Version von Lync Server verwaltet werden. Um die Server-zu-Server-Authentifizierung in einer standortübergreifenden Umgebung zu konfigurieren, müssen Sie zuerst Ihre lokale Installation von Lync Server 2013 so konfigurieren, dass sie dem Microsoft 365-Autorisierungsserver vertraut. Der erste Schritt in diesem Prozess kann durch Ausführen des folgenden Lync Server-Verwaltungsshell-Skripts ausgeführt werden:

$TenantID = (Get-CsTenant -Filter {DisplayName -eq "Fabrikam.com"}).TenantId

$sts = Get-CsOAuthServer microsoft.sts -ErrorAction SilentlyContinue
        
   if ($sts -eq $null)
      {
         New-CsOAuthServer microsoft.sts -MetadataUrl "https://accounts.accesscontrol.windows.net/$TenantId/metadata/json/1"
      }
   else
      {
         if ($sts.MetadataUrl -ne  "https://accounts.accesscontrol.windows.net/$TenantId/metadata/json/1")
            {
               Remove-CsOAuthServer microsoft.sts
               New-CsOAuthServer microsoft.sts -MetadataUrl "https://accounts.accesscontrol.windows.net/$TenantId/metadata/json/1"
            }
        }

$exch = Get-CsPartnerApplication microsoft.exchange -ErrorAction SilentlyContinue
        
if ($exch -eq $null)
   {
      New-CsPartnerApplication -Identity microsoft.exchange -ApplicationIdentifier 00000002-0000-0ff1-ce00-000000000000 -ApplicationTrustLevel Full -UseOAuthServer
    }
else
    {
       if ($exch.ApplicationIdentifier -ne "00000002-0000-0ff1-ce00-000000000000")
          {
             Remove-CsPartnerApplication microsoft.exchange
             New-CsPartnerApplication -Identity microsoft.exchange -ApplicationIdentifier 00000002-0000-0ff1-ce00-000000000000 -ApplicationTrustLevel Full -UseOAuthServer 
          }
       else
          {
             Set-CsPartnerApplication -Identity microsoft.exchange -ApplicationTrustLevel Full -UseOAuthServer
          }
   }

Set-CsOAuthConfiguration -ServiceName 00000004-0000-0ff1-ce00-000000000000

Beachten Sie, dass sich der Bereichsname für einen Mandanten in der Regel vom Namen der Organisation unterscheidet. Tatsächlich ist der Bereichsname fast immer mit der Mandanten-ID identisch. Aus diesem Grund wird die erste Zeile im Skript verwendet, um den Wert der TenantId-Eigenschaft für den angegebenen Mandanten zurückzugeben (in diesem Fall fabrikam.com) und diesen Namen dann der Variablen $TenantId:

$TenantID = (Get-CsTenant -DisplayName "Fabrikam.com").TenantId

Nach Abschluss des Skripts müssen Sie eine Vertrauensstellung zwischen Lync Server 2013 und dem Autorisierungsserver und eine zweite Vertrauensstellung zwischen Exchange 2013 und dem Autorisierungsserver konfigurieren. Das ist nur mithilfe der Microsoft Online Services-Cmdlets möglich.

Nachdem Sie Microsoft 365 konfiguriert haben und nachdem Sie Microsoft 365- oder Office 365-Dienstprinzipale für Lync Server 2013 und Exchange 2013 erstellt haben, müssen Sie Ihre Anmeldeinformationen bei diesen Dienstprinzipalen registrieren. Zu diesem Zweck müssen Sie zunächst ein Base64-kodiertes X.509-Zertifikat anfordern, das als CER-Datei gespeichert wird. Dieses Zertifikat wird dann auf die Microsoft 365- oder Office 365-Dienstprinzipale angewendet.

Wenn Sie das X.509-Zertifikat erhalten haben, starten Sie das Microsoft Online Services-Modul (klicken Sie auf "Start", klicken Sie auf "Alle Programme", klicken Sie auf "Microsoft Onlinedienste", und klicken Sie dann auf "Microsoft Online Services-Modul" für Windows PowerShell). Geben Sie nach dem Öffnen des Dienstmoduls Folgendes ein, um das Microsoft Online Windows PowerShell-Modul mit den Cmdlets zu importieren, die zum Verwalten von Dienstprinzipalen verwendet werden können:

Import-Module MSOnlineExtended

Wenn das Modul importiert wurde, geben Sie den folgenden Befehl ein, und drücken Sie dann die EINGABETASTE, um eine Verbindung mit Microsoft 365 herzustellen:

Connect-MsolService

Nach Drücken der EINGABETASTE wird ein Dialogfeld zur Eingabe Ihrer Anmeldeinformationen angezeigt. Geben Sie Ihren Microsoft 365- oder Office 365 Benutzernamen und das Kennwort in das Dialogfeld ein, und klicken Sie dann auf "OK".

Sobald Sie mit Microsoft 365 verbunden sind, können Sie den folgenden Befehl ausführen, um Informationen zu Ihren Dienstprinzipalen zurückzugeben:

Get-MsolServicePrincipal

Sie sollten ähnliche Informationen wie die folgenden für alle Ihre Dienstprinzipale erhalten:

ExtensionData        : System.Runtime.Serialization.ExtensionDataObject
AccountEnabled       : True
Addresses            : {}
AppPrincipalId       : 00000004-0000-0ff1-ce00-000000000000
DisplayName          : Microsoft Lync Server
ObjectId             : aada5fbd-c0ae-442a-8c0b-36fec40602e2
ServicePrincipalName : LyncServer/litwareinc.com
TrustedForDelegation : True

Der nächste Schritt besteht darin, das X.509-Zertifikat zu importieren, zu codieren und zuzuweisen. Verwenden Sie zum Importieren und Codieren des Zertifikats die folgenden Windows PowerShell Befehle, wobei Sie den vollständigen Dateipfad zu Ihrem angeben. CER-Datei beim Aufrufen der Import-Methode:

$certificate = New-Object System.Security.Cryptography.X509Certificates.X509Certificate
$certificate.Import("C:\Certificates\Office365.cer")
$binaryValue = $certificate.GetRawCertData()
$credentialsValue = [System.Convert]::ToBase64String($binaryValue)

Nachdem das Zertifikat importiert und codiert wurde, können Sie das Zertifikat Ihren Microsoft 365-Dienstprinzipalen zuweisen. Verwenden Sie dazu zuerst die Get-MsolServicePrincipal, um den Wert der AppPrincipalId-Eigenschaft sowohl für den Lync Server als auch für die Microsoft Exchange-Dienstprinzipale abzurufen. Der Wert der AppPrincipalId-Eigenschaft wird verwendet, um den Dienstprinzipal zu identifizieren, dem das Zertifikat zugewiesen wird. Wenn der AppPrincipalId-Eigenschaftswert für Lync Server 2013 in der Hand ist, verwenden Sie den folgenden Befehl, um das Zertifikat der Microsoft 365-Version von Lync Server zuzuweisen (die StartDate- und EndDate-Eigenschaften sollten dem Gültigkeitszeitraum für das Zertifikat entsprechen):

New-MsolServicePrincipalCredential -AppPrincipalId 00000004-0000-0ff1-ce00-000000000000 -Type Asymmetric -Usage Verify -Value $credentialsValue -StartDate 6/1/2012 -EndDate 5/31/2013

Wiederholen Sie dann den Befehl, diesmal mithilfe des AppPrincipalId-Eigenschaftswerts für Exchange 2013.

Falls Sie das Zertifikat zu einem späteren Zeitpunkt löschen müssen, rufen Sie dazu zunächst die KeyID für das Zertifikat ab:

Get-MsolServicePrincipalCredential -AppPrincipalId 00000004-0000-0ff1-ce00-000000000000

Der entsprechende Befehl gibt in etwa folgende Daten zurück:

Type      : Asymmetric
Value     : 
KeyId     : bc2795f3-2387-4543-a95d-f92c85c7a1b0
StartDate : 6/1/2012 8:00:00 AM
EndDate   : 5/31/2013 8:00:00 AM
Usage     : Verify

Sie können das Zertifikat mit einem ähnlichen Befehl wie diesem löschen:

Remove-MsolServicePrincipalCredential -AppPrincipalId 00000004-0000-0ff1-ce00-000000000000 -KeyId bc2795f3-2387-4543-a95d-f92c85c7a1b0

Zusätzlich zum Zuweisen eines Zertifikats müssen Sie auch den Microsoft 365-Dienstprinzipal für Exchange Online konfigurieren, indem Sie den Serverprinzipalnamen für Ihre lokale Version von Lync Server 2013 hinzufügen. Dazu führen Sie die folgenden vier Zeilen in einer Microsoft Online Services PowerShell-Sitzung aus:

Set-MSOLServicePrincipal -AppPrincipalID 00000002-0000-0ff1-ce00-000000000000 -AccountEnabled $true

$lyncSP = Get-MSOLServicePrincipal -AppPrincipalID 00000004-0000-0ff1-ce00-000000000000
$lyncSP.ServicePrincipalNames.Add("00000004-0000-0ff1-ce00-000000000000/lync.contoso.com")
Set-MSOLServicePrincipal -AppPrincipalID 00000004-0000-0ff1-ce00-000000000000 -ServicePrincipalNames $lyncSP.ServicePrincipalNames