Подготовка Active Directory Domain Services

Skype for business Server, как и многие продукты MS, перед своей установкой расширяет схему, и подготавливает AD.
При этом не важно какую топологию мы собираемся развёртывать, Standard или Enterprise, - подготовка AD требуется в любом случае.

Взаимодействие SfB и AD

• После установки SfB, у пользователей появятся дополнительные атрибуты. Это требует расширения класса пользователя, т.е. перед установкой SfB, классу User будут добавлены дополнительные атрибуты. Примеры таких атрибутов: SIP URI, номер телефона и др.
• Также при расширении схемы создаются объекты для обратной совместимости с предыдущими редакциями SfB - Lynk Server.
• Некоторые приложения SfB создают в AD свои объекты. Например приложения Response Group и Conferencing Attendant создают свои контакты.
• Также мы обнаружим появление большое количества дополнительных групп безопасности. Эти группы создаются для делегирования полномочий на доступ к SfB. Часть групп используются в работе SfB и называются служебными.
• В AD создаётся объект SCP, который содержит ссылку на Central Management Store. Central Management Store - это база данных конфигураций Skype for business Server. Ссылка нужна для того, чтобы сервера знали, где находится топология Skype for business
• Также создаются учетные записи Computer для аутентификации Skype for business своих серверов.

Процесс подготовки Active Directory Domain Services

1. Поскольку при подготовке будет меняться Schema, для нас должен быть доступен контроллер домена с ролью Schema Master.
2. Учетная запись, под которой мы будем подготавливать AD, должны быть членом группы Schema Admins и Enterprise Admins.
3. Если мы будем осуществлять подготовку с сервера SfB, учетная запись также должна быть членом группы Local Admins на этом сервере.
   Также сам сервер должен находиться в одном AD Site с контроллером с ролью Schema Master.
4. На сервере SfB устанавливаем Skype for Business Core Components (Visual C++ Redistributable и Shel Skype for Business)
5. Установить Active Directory Tools (Install-WindowsFeature RSAT-ADDS)
6. Начинаем собственно подготовку AD. Первым этапом мы расширяем схему:
   Запускаем Install-CSAdServerSchema
   При расширении схемы происходит импорт файлов схемы (.ldf) из дистрибутива.
7. После расширения схемы переходит к этапу подготовки леса.
   Запускаем Enable-CsAdForest
   после выполнения этого этапа у нас появятся группы безопасности, которые необходимы для работы SfB
8. Третьим этапом будет установка необходимых разрешений для созданных групп безопасности.
   Запускаем Enable-CsAdDomain

Процесс подготовки Active Directory Domain Services. Практика

Подготавливать AD мы будем на сервере srv-sfb-std1.

1. Для подготовки AD мы будем использовать специальную учетную запись, которую мы создадим.
   • Создаём в корне OU "Service Accounts". В ней мы будем хранить административные и сервисные учетные записи.
     
   • Создаём пользователя для подготовки схемы
     
     
     lyncadmin/12345678zZ
   • У пользователя должны быть права
     - Enterprise Admin
     - Schema Admin
     - Local Admin на srv-sfb-std1
     

     После установки SfB у данной учетки можно будет забрать права Enterprise Admin и Schema Admin

     Также включим данного юзера в группу Administrators на srv-sfb-std1:
     

2. Логинимся на srv-sfb-std1 под ciscomaster.ru\lyncadmin
3. Устанавливаем на srv-sfb-std1 необходимые оснастки управления AD:
   Server Manager - Manage - Add Roles and Features
   

   

   

   

4. Проверка того, что AD ещё не подготовлена

   Способ 1

   • Открываем ADUC
   • В Контейнере Users отсутствуют группы Skype for Business.
     

   Способ 2

   • Открываем ADSI Edit, подключаемся к разделу Schema
   • В классах отсутствуют классы с именем RTC (RealTime Communication)
     

5. Запускаем Процесс подготовки Active Directory Domain Services

   Перед запуском необходимо обновить:
   - Microsoft Dot. NET Framework
   ndp48-web

   Как уже упоминалось, подготавливать AD мы будем на сервере srv-sfb-std1.
   - Подключаем DVD к вирталке srv-sfb-std1.
   SW_DVD5_SfB_Server_2019_64Bit_English_MLF_X21-89201

   Для того, чтобы выполнить подготовку AD, нам понадобится дистрибутив SfB, и установить Core Components.
   В Core components входят остастки, включая Shell, а также Visual C++
   - Запускаем
   

   

   Откроется Deployment Wizard.
   

   Подготовку AD можно проводить из этого Deployment Wizard, а также из Power Shell.

   Запустим shell:
   Запускать под админом!
   

   cd c:\

   Проверим, готова ли Active Directory. Это можно проверить несколькими командами:
   - Проверяем, готова ли Schema

   Get-CsAdServerSchema

   
   Если мы видим "SCHEMA_VERSION_STATE_MISSING" - значит Schema не подготовлена
   - То же самое нам подскажет Deployment Wizard, в разделе схемы не будет отметки что Chema готова:
   

   Запускаем подготовку Schema, либо кнпкой RUN:

   Install-CsAdServerSchema

   

6. Проверка после подготовки Schema

   Заново проверяем подготовку Schema:
   

   Проверяем ADSI Edit, и видим множество классов с именем RTC (RealTime Communication):
   

   Смотрим Deployment Wizard:
   

7. Проверка подготовки леса

   Get-CsAdForest

   
   Команда возвращает "LC_FORESTSETTINGS_STATE_NOTREADY"

8. Запускаем подготовку леса

   Enable-CsAdForest

9. Проверка подготовки леса

   - После успешной подготовки у нас появится множество групп:
   

   - Также Deployment Wizard покажет что Prepare current Forest complete:
   

   - Команда Get-CsAdForest возвратит состояние
   LC_FORESTSETTINGS_STATE_READY
   

10. Подготовка домена

    В этом шаге происходит установка необходимых разрешений для созданных групп безопасности.

    Перед запуском проверяем подготовку домена.

    Get-CsAdDomain

    Ответом будет The domain is not ready.
    

    Запускаем подготовку домена

    Enable-CsAdDomain

    Проверка успешности подготовки домена:
    - Команда Get-CsAdDomain возвратит состояние LC_DOMAINSETTINGS_STATE_READY

    Get-CsAdDomain

    
    - Также Deployment Wizard покажет что Prepare current Domain complete:
    

11. Делаем необходимые разрешения для учетной записи lyncadmin, которая будет использоваться для администрирования Skype for Business
    - Поскольку подготовка AD завершена, учетной записи уже не нужны права Enterprise Admins и Schema Admins.
    - Для администрирования SfB необходимо включить пользователя в группу CSAdministrator. Группа CSAdministrator даёт полные права на будущую систему SfB.