Lync Server邊緣服務器的部署 （無反向代理）

 

Lync Server邊緣服務器的部署 （無反向代理）

首先，和前面一樣讓我們回顧一下我們的環境，文章將要用到的Lync Server 2010部署拓撲圖，由於本系列內容可能比較多，所以用到的拓撲圖也會隨着文章的進程而逐漸添加相應的角色，所有拓撲圖也會做相應的改變。本次拓撲圖在原來的基礎上添加了邊緣服務器角色。邊緣服務器的部署有多種方案，這里我們按照是否在外圍網絡中有方向代理服務器分為兩種主要方案：一種是沒有在外圍網絡中沒有方向代理服務器（ISA/TMG）也就是本篇要介紹的拓撲，建議在此種部署方案中在邊緣路由器添加防火牆硬件模塊以提高安全性，因為本方案沒有軟件防火牆（ISA/TMG）;另外一種是在外圍網絡中有反向代理服務器的拓撲（下篇進行介紹）。另外，根據邊緣服務器外網口上的IP地址是否為靜態NAT還可以分兩種方案，關於此靜態NAT的部署方案將在后面系列文章中介紹。

注意：Lync邊緣服務器不支持和其他任何Lync服務器角色並置部署也不支持和反向代理服務器（如ISA和TMG）並置部署，另外，也不支持邊緣服務器的邊緣角色（訪問邊緣服務、A/V邊緣服務、web會議邊緣服務）分開部署，這和之前的ocs有很大的區別。那么下面就讓我們來介紹一下我們今天的部署環境吧！

Lync部署拓撲圖 :

網絡環境：

從上面的拓撲中可以看出，在該測試環境中我們分為3個部分：第一是拓撲最左邊部分的Internet用到的模擬公網IP為202.100.100.0/24,在Internet上的用戶有企業的遠程用戶，聯盟用戶，和公共IM（測試時，由於環境限制我們只測試遠程用戶）。第二部分是lync邊緣服務器，這台服務器都有兩個網卡。一個是用來連接Internet的外網卡（這里為了讓遠程用戶可以和邊緣服務器外網卡可以通信，我們用同一子網的IP202.100.100.1進行模擬。如果是真實環境的話，只要確認公網上的IP可以路由到該外網卡的公網IP即可）；一個是連接到內部網絡(10.0.0.0/16)。第三部分是拓撲中最右邊部分，也就是我們之前講的內部網絡，用到的內網是A類私有網絡10.0.0,子網掩碼為255.255.0.0，DNS和DHCP服務器都為10.0.0.1。

AD環境：

在本環境中有一個站點：beijing site和一個域：test.com。

其中bj-dc-01是域中的一台DC另外此台DC上面承載了CA(證書頒發機構)、DNS（域名服務）、DHCP（動態主機配置協議）的角色。

bj-lync-besql：后端數據庫服務器，監控服務器，存檔服務器。

bj-lync-fe：lync前端服務器，承載的角色有中介服務器、AV服務器、會議服務器、web服務器。

bj-client-win7：內部客戶端，將安裝lync 2010客戶端軟件。

Lync邊緣服務器:

bj-lync-edge：Lync邊緣服務器（本文章的重點）

服務器IP配置：

bj-dc-01:10.0.0.1/16

bj-lync-be:10.0.0.21/16

bj-lync-fe:10.0.0.22/16

bj-client-win7:DHCP動態獲取

bj-lync-edge：

內網卡：10.0.0.23/16

外網卡：202.100.100.1/24

邊緣服務器支持的外部用戶：

Lync Server支持的外部用戶包括：

• 遠程用戶 - 組織的內部用戶但在組織防火牆外工作。
• 聯盟用戶 - 與貴組織建立聯盟關系的其他組織中的用戶。
• 匿名用戶 - 組織外部應您的某個用戶邀請而加入特定會議的用戶。
• 公共 IM 服務用戶 - 使用 MSN Internet 服務網絡、Yahoo! 和 AOL 提供的公共 IM 服務的用戶。公共 IM 連接需要使用單獨的許可證。

遠程用戶在您的防火牆外工作時，也可以從 Lync Server 的大多數功能受益。聯盟用戶可與貴組織的用戶共享 IM 和狀態數據。所有這些類型的外部用戶均可參加內部會議、進行數據協作，以及通過貴組織的防火牆中繼音頻和視頻。

為允許外部用戶訪問，Lync Server 提供了邊緣服務器角色。邊緣服務器在外圍網絡中運行，可將您的部署與外部用戶聯系起來。此外，HTTP 反向代理不是 Lync Server角色，但可用於對使用 Lync Web App 的外部用戶進行身份驗證。提供以下各項時必須使用 HTTP 反向代理：

• 對通訊簿信息的外部訪問
• 擴展通訊組中成員身份的能力
• 對 Web 會議的會議內容的訪問（白板，PPT文件上傳）
• 向遠程用戶提供設備更新服務

邊緣服務器角色：

在 Lync Server 2010中，每台邊緣服務器都運行三種服務：訪問邊緣服務、Web 會議邊緣服務和 A/V 邊緣服務。

1.訪問邊緣服務

訪問邊緣服務負責處理通過企業防火牆的所有 SIP 流量。訪問邊緣服務僅處理建立和驗證連接所需的 SIP 流量。它並不處理數據傳輸，也不對用戶進行身份驗證。對入站流量的身份驗證由控制器或前端服務器執行。控制器是 Office Communications Server 2007 R2 Standard Edition Server 或企業版池，它位於組織防火牆之內，但不承載用戶。控制器並非必需，但強烈建議您使用它。如果未部署控制器，則在指定的池或 Standard Edition Server 上的前端服務器中執行此身份驗證。（執行身份驗證必須訪問 Active Directory 域服務，即 AD DS，但邊緣服務器不具有該訪問權限，因為它們部署在 AD DS 之外的外圍網絡中。）訪問邊緣服務對於所有外部用戶方案（包括會議、遠程用戶訪問、聯盟和公共 IM 連接）都必不可少。

2.Web 會議邊緣服務

Web 會議邊緣服務負責代理 Web 會議服務器與外部客戶端之間的持續性共享對象模型 (PSOM) 流量。外部會議流量必須經過 Web 會議邊緣服務授權，才能轉發到 Web 會議服務器。Web 會議邊緣服務要求外部客戶端使用 TLS 連接並獲得會議會話密鑰。

3.A/V 邊緣服務

A/V 邊緣服務提供一個可信的連接點，入站和出站媒體流量（包括應用程序共享流量）通過它能夠安全地穿越網絡地址轉換 (NAT) 和防火牆。多媒體穿越防火牆的行業標准解決方案是互動式連接建立 (ICE)，它基於“NAT 下的簡單穿越”(STUN) 和“使用中繼 NAT 進行穿越”(TURN) 協議。A/V 邊緣服務是一種 TURN/STUN 服務器。所有用戶都要經過身份驗證，以確保以安全方式訪問企業以及使用 A/V 邊緣服務提供的防火牆穿越服務。若要在企業內部發送媒體，外部用戶必須經過身份驗證，而且必須有經過身份驗證的內部用戶同意與之通過 A/V 邊緣服務進行通信。

安裝前的准備

安裝邊緣服務器的軟件要求：
系統：Windows Server 2008 SP2或Windows Server 2008 R2
組件：

Microsoft .Net 3.5 SP1
PowerShell v2（2008R2已經內置）
Visual C++ ()（可在安裝Lync Server時安裝）

DNS配置要求：
外部DNS配置：
主機記錄：DNS A記錄；外圍網絡中每台反向代理服務器的反向代理外部接口的DNS A 記錄
SRV記錄：_sip._tls.<domain>（Port：443）； _sipfederationtls._tcp.<domain> （Port：5061）

內部DNS配置
主機記錄：所有內部服務器的DNS 記錄；邊緣服務器的邊緣內部接口的DNS A 記錄
SRV記錄： _sipinternaltls._tcp. <domain>（Port：5061）

外部和內部硬件防火牆配置要求（根據實際情況而定，如果企業只有外部硬件防火牆那么久參考下圖的外部防火牆部分配置相應端口；如果企業只有內部硬件防火牆那么就根據下圖配置內部防火牆相應端口；如果有內外防火牆那么就安裝下圖都配置）：

邊緣服務器部署步驟：

1. 安裝系統必備軟件。
2. 建立邊緣拓撲結構。
3. 將導出的拓撲配置文件傳輸到每台邊緣服務器。
4. 配置邊緣服務器（配置網卡IP和DNS后綴等）。
5. 在邊緣服務器上安裝Lync Server 2010 軟件。
6. 安裝本地存儲和相應組件。
7. 為邊緣服務器請求並安裝證書。
8. 啟動邊緣服務器服務。
9. 設置外部用戶訪問的支持。

安裝系統必備軟件

建立邊緣拓撲結構

1.啟動拓撲生成器：依次單擊“開始”、“所有程序”和“Microsoft Lync Server 2010”，然后單擊“Lync Server 拓撲生成器”。

2.選擇從現有部署中下載拓撲，如下圖：

3.選擇存儲拓撲的位置

4.在控制台樹中，展開要在其中部署邊緣服務器的站點。右鍵單擊“邊緣池”，然后單擊“新建邊緣池”。

5.在“定義新的邊緣池”中，單擊“下一步”。

6.在“定義邊緣池 FQDN”中，執行以下操作：

• 在“池 FQDN”中，鍵入邊緣服務器內部接口的完全限定域名 (FQDN)。
• 單擊“單個計算機池”，然后單擊“下一步”。

7.在“選擇功能”中，執行下列操作：

1. 如果您計划將單個 FQDN 和 IP 地址用於 SIP 訪問服務、Lync Server Web 會議服務和 A/V 邊緣服務，請選中“使用單個 FQDN 和 IP 地址”復選框。
2. 如果您計划啟用聯盟，請選中“啟用聯盟(端口 5061)”復選框。
3. 如果您計划將網絡地址轉換 (NAT) 用於公共 IP 地址，請選中“邊緣池的外部 IP 地址由 NAT 轉換”復選框。

這里我們選中前兩個選項：

8.在“外部 FQDN”中，由於我們在“選擇功能”中選擇將單個 FQDN 和 IP 地址用於 SIP 訪問、Web 會議服務和 A/V 邊緣服務，在“SIP 訪問”中鍵入外部 FQDN：sip.test.com,在端口中分別輸入5061、444、442

注意：

如果選擇此選項，則必須為每個邊緣服務指定不同的端口號（推薦的端口設置為：訪問邊緣服務為 5061，Web 會議邊緣服務為 444，A/V 邊緣服務為 443）。選擇此選項可幫助防止潛在的連接問題並簡化配置，因為可以將同一端口號（例如，443）同時用於所有這三種服務。

單擊“下一步”。

9.在“定義內部 IP 地址”的“內部 IP 地址”中，鍵入邊緣服務器的 IP 地址，然后單擊“下一步”。

10.在“定義外部 IP 地址”中，在“SIP 訪問”中鍵入邊緣服務器的外部 IP 地址：202.100.100.1，然后單擊“下一步”。

11.在“定義下一個躍點”的“下一個躍點池”中，選擇內部池的名稱，該池可以是前端池，也可以是 Standard Edition 池。

注意：如果部署包括控制器，則鍵入控制器的名稱。然后單擊“下一步”。

12.在“關聯前端池”中，通過選擇將該邊緣服務器用於與支持的外部用戶通信的內部池名稱，來指定要與該邊緣服務器關聯的一個或多個內部池，其中可包括前端池和 Standard Edition Server。

注意：

只能將一個負載平衡邊緣池或單台邊緣服務器與 A/V 流量的每個內部池關聯。如果您已將內部池與邊緣池或邊緣服務器關聯，則會顯示警告，指出該內部池已與邊緣池或邊緣服務器關聯。如果選擇已與其他邊緣服務器關聯的池，則會更改關聯。

單擊“完成”。

可以查看已經定義的邊緣服務器：

發布拓撲

每次使用拓撲生成器生成拓撲時，必須將拓撲發布到中央管理存儲中的數據庫，以便該數據可用於部署 Lync Server 2010。請使用以下過程發布拓撲。

1.在拓撲生成器的控制台樹中，右鍵單擊“Lync Server 2010”，然后單擊“發布拓撲”。

2.在向導的“發布拓撲”頁上，單擊“下一步”。

3.在“發布向導已完成”頁上，單擊“完成”。

在前端服務器導出拓撲文件

使用 Lync Server 命令行管理程序導出拓撲文件使拓撲數據在邊緣服務器上可用啟動 Lync Server 命令行管理程序：依次單擊“開始”、“所有程序”和“Microsoft Lync Server 2010”，然后單擊“Lync Server 命令行管理程序”。

2.在 Lync Server 命令行管理程序中，運行以下 cmdlet：

1. Export-CsConfiguration -FileName <ConfigurationFilePath.zip>

3.將導出的文件復制到外部介質（例如，在部署過程中可從邊緣服務器訪問的 USB 驅動器或網絡共享）。

配置邊緣服務器（配置網卡IP和DNS后綴等）

修改邊緣服務器上的DNS后綴

配置邊緣服務器的網絡（很簡單，這里就不講了）

邊緣服務器上安裝Lync Server 2010 軟件。

安裝本地存儲和相應組件

1. 以本地 Administrators 組成員的身份或使用具有等效用戶權限的帳戶登錄到要安裝邊緣服務器的計算機。

2. 請確保使用拓撲生成器創建、然后導出並復制到外部媒體的拓撲配置文件在邊緣服務器上可用（例如，在邊緣服務器上，連接拓撲配置文件復制到的 USB 驅動器，或驗證能否訪問文件復制到的網絡共享）。

3. 啟動部署向導。

4. 在部署向導中，單擊“安裝或更新 Lync Server 系統”。

向導確定部署狀態后，對於“步驟 1. 安裝本地配置存儲”，單擊“運行”，然后執行以下操作：

在“配置中央管理存儲的本地副本”對話框中，單擊“從文件導入(建議用於邊緣服務器)”，轉到拓撲配置文件導出到的位置，選擇 LyncConfig.zip 文件，單擊“打開”，然后單擊“下一步”。

“執行命令”過程完成后，

單擊“完成”。

在部署向導中，單擊“步驟 2: 安裝或刪除 Lync Server 組件”安裝本地計算機上存儲的 XML 配置文件中指定的 Lync Server 邊緣組件

單擊”完成“完成組件的安裝。

 

為邊緣服務器請求並安裝證書

安裝完成后，在啟動服務前使用”設置邊緣證書“中的信息安裝並分配所需證書。

單擊”步驟3“右邊的運行

打開”證書向導“對話框，選中邊緣內部，為邊緣服務器內部接口請求證書，單擊”請求”

單擊“下一步”

選擇如下的脫機請求

選擇證書請求文件的存儲路徑和文件名

單擊下一步

在輸入好友名稱便於辨認

輸入組織信息

輸入地理信息

單擊下一步

在配置其他使用者替代名稱中可以輸入估計要用到的FQDN(可選)

單擊“下一步”

“下一步”

單擊“查看”

ctrl+A全選，ctrl+C復制選擇的信息

打開瀏覽器，輸入http://CA的名稱/certsrv,在彈出的對話框中輸入如下憑據

選擇第一項：“request a certificate”（請求一張證書）

選擇第二個鏈接“advanced certificate request”高級證書申請

選擇第二個鏈接

把剛才復制的信息粘貼在saved request的文本框中，在“certificate template”證書模板中選擇“web server”

選擇下載證書

保持下載的證書待導入用

單擊證書向導中的“導入證書”把剛才申請的內部端口證書進行導入

導入剛才申請的證書，如果沒有私鑰的話，可以把“證書文件包含證書的私鑰”的勾去掉

單擊“下一步”

單擊“下一步”

單擊”完成“完成證書的導入

同理為邊緣服務器的外部接口請求和導入外部證書

注意，此步驟非常重要，在”配置其他使用者替代名稱“中一定要輸入一下3條記錄：

dialin.test.com

meet.test.com

sip.test.com

如果輸入其他名稱的話，那么邊客戶端和緣服務器將不能正常連接，所以必須添加上面的3條記錄。

單擊”下一步“

下一步

下載CA證書：

保存備用

在運行對話框輸入”MMC“

打開管理單元並添加計算機賬戶證書管理單元，

選擇信任的根證書節點，如下 導入CA證書

完成CA證書的導入。

分配證書

單擊”證書向導“中的”分配“按鈕打開如下的”證書分配“對話框

先分配內部接口的證書

完成內部接口證書的分配。

同理分配外部接口的證書

到此，證書的請求和分配就完成了。

啟動邊緣服務器服務

如下所示，服務已經正常啟動。

到前端服務器啟用外部用戶訪問

同樣啟用訪問邊緣配置。

測試外部用戶訪問

登錄到客戶機

配置模擬的公網IP

在如下路徑下的hosts文件添加相應的記錄

ping邊緣服務器外部FQDN能夠ping通。

用戶登錄成功！

按住ctrl鍵，鼠標右擊任務欄的Lync圖標，在彈出的對話框中，單擊配置信息。從配置信息中可以看出，客戶端已經連接到了邊緣服務器。

到此，我們就完成了Lync邊緣服務器的部署和配置了。下一篇中我們將繼續介紹包含外圍網絡的反向代理服務器的Lync邊緣服務器部署和配置。