Lync Server边缘服务器的部署 （无反向代理）

http://www.cnblogs.com/LanceLiu/archive/2011/12/27/LanceLiu.html

Lync Server边缘服务器的部署 （无反向代理）

首先，和前面一样让我们回顾一下我们的环境，文章将要用到的Lync Server 2010部署拓扑图，由于本系列内容可能比较多，所以用到的拓扑图也会随着文章的进程而逐渐添加相应的角色，所有拓扑图也会做相应的改变。本次拓扑图在原来的基础上添加了边缘服务器角色。边缘服务器的部署有多种方案，这里我们按照是否在外围网络中有方向代理服务器分为两种主要方案：一种是没有在外围网络中没有方向代理服务器（ISA/TMG）也就是本篇要介绍的拓扑，建议在此种部署方案中在边缘路由器添加防火墙硬件模块以提高安全性，因为本方案没有软件防火墙（ISA/TMG）;另外一种是在外围网络中有反向代理服务器的拓扑（下篇进行介绍）。另外，根据边缘服务器外网口上的IP地址是否为静态NAT还可以分两种方案，关于此静态NAT的部署方案将在后面系列文章中介绍。

注意：Lync边缘服务器不支持和其他任何Lync服务器角色并置部署也不支持和反向代理服务器（如ISA和TMG）并置部署，另外，也不支持边缘服务器的边缘角色（访问边缘服务、A/V边缘服务、web会议边缘服务）分开部署，这和之前的ocs有很大的区别。那么下面就让我们来介绍一下我们今天的部署环境吧！

Lync部署拓扑图 :

网络环境：

从上面的拓扑中可以看出，在该测试环境中我们分为3个部分：第一是拓扑最左边部分的Internet用到的模拟公网IP为202.100.100.0/24,在Internet上的用户有企业的远程用户，联盟用户，和公共IM（测试时，由于环境限制我们只测试远程用户）。第二部分是lync边缘服务器，这台服务器都有两个网卡。一个是用来连接Internet的外网卡（这里为了让远程用户可以和边缘服务器外网卡可以通信，我们用同一子网的IP202.100.100.1进行模拟。如果是真实环境的话，只要确认公网上的IP可以路由到该外网卡的公网IP即可）；一个是连接到内部网络(10.0.0.0/16)。第三部分是拓扑中最右边部分，也就是我们之前讲的内部网络，用到的内网是A类私有网络10.0.0,子网掩码为255.255.0.0，DNS和DHCP服务器都为10.0.0.1。

AD环境：

在本环境中有一个站点：beijing site和一个域：test.com。

其中bj-dc-01是域中的一台DC另外此台DC上面承载了CA(证书颁发机构)、DNS（域名服务）、DHCP（动态主机配置协议）的角色。

bj-lync-besql：后端数据库服务器，监控服务器，存档服务器。

bj-lync-fe：lync前端服务器，承载的角色有中介服务器、AV服务器、会议服务器、web服务器。

bj-client-win7：内部客户端，将安装lync 2010客户端软件。

Lync边缘服务器:

bj-lync-edge：Lync边缘服务器（本文章的重点）

服务器IP配置：

bj-dc-01:10.0.0.1/16

bj-lync-be:10.0.0.21/16

bj-lync-fe:10.0.0.22/16

bj-client-win7:DHCP动态获取

bj-lync-edge：

内网卡：10.0.0.23/16

外网卡：202.100.100.1/24

边缘服务器支持的外部用户：

Lync Server支持的外部用户包括：

• 远程用户 - 组织的内部用户但在组织防火墙外工作。
• 联盟用户 - 与贵组织建立联盟关系的其他组织中的用户。
• 匿名用户 - 组织外部应您的某个用户邀请而加入特定会议的用户。
• 公共 IM 服务用户 - 使用 MSN Internet 服务网络、Yahoo! 和 AOL 提供的公共 IM 服务的用户。公共 IM 连接需要使用单独的许可证。

远程用户在您的防火墙外工作时，也可以从 Lync Server 的大多数功能受益。联盟用户可与贵组织的用户共享 IM 和状态数据。所有这些类型的外部用户均可参加内部会议、进行数据协作，以及通过贵组织的防火墙中继音频和视频。

为允许外部用户访问，Lync Server 提供了边缘服务器角色。边缘服务器在外围网络中运行，可将您的部署与外部用户联系起来。此外，HTTP 反向代理不是 Lync Server角色，但可用于对使用 Lync Web App 的外部用户进行身份验证。提供以下各项时必须使用 HTTP 反向代理：

• 对通讯簿信息的外部访问
• 扩展通讯组中成员身份的能力
• 对 Web 会议的会议内容的访问（白板，PPT文件上传）
• 向远程用户提供设备更新服务

边缘服务器角色：

在 Lync Server 2010中，每台边缘服务器都运行三种服务：访问边缘服务、Web 会议边缘服务和 A/V 边缘服务。

1.访问边缘服务

访问边缘服务负责处理通过企业防火墙的所有 SIP 流量。访问边缘服务仅处理建立和验证连接所需的 SIP 流量。它并不处理数据传输，也不对用户进行身份验证。对入站流量的身份验证由控制器或前端服务器执行。控制器是 Office Communications Server 2007 R2 Standard Edition Server 或企业版池，它位于组织防火墙之内，但不承载用户。控制器并非必需，但强烈建议您使用它。如果未部署控制器，则在指定的池或 Standard Edition Server 上的前端服务器中执行此身份验证。（执行身份验证必须访问 Active Directory 域服务，即 AD DS，但边缘服务器不具有该访问权限，因为它们部署在 AD DS 之外的外围网络中。）访问边缘服务对于所有外部用户方案（包括会议、远程用户访问、联盟和公共 IM 连接）都必不可少。

2.Web 会议边缘服务

Web 会议边缘服务负责代理 Web 会议服务器与外部客户端之间的持续性共享对象模型 (PSOM) 流量。外部会议流量必须经过 Web 会议边缘服务授权，才能转发到 Web 会议服务器。Web 会议边缘服务要求外部客户端使用 TLS 连接并获得会议会话密钥。

3.A/V 边缘服务

A/V 边缘服务提供一个可信的连接点，入站和出站媒体流量（包括应用程序共享流量）通过它能够安全地穿越网络地址转换 (NAT) 和防火墙。多媒体穿越防火墙的行业标准解决方案是互动式连接建立 (ICE)，它基于“NAT 下的简单穿越”(STUN) 和“使用中继 NAT 进行穿越”(TURN) 协议。A/V 边缘服务是一种 TURN/STUN 服务器。所有用户都要经过身份验证，以确保以安全方式访问企业以及使用 A/V 边缘服务提供的防火墙穿越服务。若要在企业内部发送媒体，外部用户必须经过身份验证，而且必须有经过身份验证的内部用户同意与之通过 A/V 边缘服务进行通信。

安装前的准备

安装边缘服务器的软件要求：
系统：Windows Server 2008 SP2或Windows Server 2008 R2
组件：

Microsoft .Net 3.5 SP1
PowerShell v2（2008R2已经内置）
Visual C++ ()（可在安装Lync Server时安装）

DNS配置要求：
外部DNS配置：
主机记录：DNS A记录；外围网络中每台反向代理服务器的反向代理外部接口的DNS A 记录
SRV记录：_sip._tls.<domain>（Port：443）； _sipfederationtls._tcp.<domain> （Port：5061）

内部DNS配置
主机记录：所有内部服务器的DNS 记录；边缘服务器的边缘内部接口的DNS A 记录
SRV记录： _sipinternaltls._tcp. <domain>（Port：5061）

外部和内部硬件防火墙配置要求（根据实际情况而定，如果企业只有外部硬件防火墙那么久参考下图的外部防火墙部分配置相应端口；如果企业只有内部硬件防火墙那么就根据下图配置内部防火墙相应端口；如果有内外防火墙那么就安装下图都配置）：

边缘服务器部署步骤：

1. 安装系统必备软件。
2. 建立边缘拓扑结构。
3. 将导出的拓扑配置文件传输到每台边缘服务器。
4. 配置边缘服务器（配置网卡IP和DNS后缀等）。
5. 在边缘服务器上安装Lync Server 2010 软件。
6. 安装本地存储和相应组件。
7. 为边缘服务器请求并安装证书。
8. 启动边缘服务器服务。
9. 设置外部用户访问的支持。

安装系统必备软件

建立边缘拓扑结构

1.启动拓扑生成器：依次单击“开始”、“所有程序”和“Microsoft Lync Server 2010”，然后单击“Lync Server 拓扑生成器”。

2.选择从现有部署中下载拓扑，如下图：

3.选择存储拓扑的位置

4.在控制台树中，展开要在其中部署边缘服务器的站点。右键单击“边缘池”，然后单击“新建边缘池”。

5.在“定义新的边缘池”中，单击“下一步”。

6.在“定义边缘池 FQDN”中，执行以下操作：

• 在“池 FQDN”中，键入边缘服务器内部接口的完全限定域名 (FQDN)。
• 单击“单个计算机池”，然后单击“下一步”。

7.在“选择功能”中，执行下列操作：

1. 如果您计划将单个 FQDN 和 IP 地址用于 SIP 访问服务、Lync Server Web 会议服务和 A/V 边缘服务，请选中“使用单个 FQDN 和 IP 地址”复选框。
2. 如果您计划启用联盟，请选中“启用联盟(端口 5061)”复选框。
3. 如果您计划将网络地址转换 (NAT) 用于公共 IP 地址，请选中“边缘池的外部 IP 地址由 NAT 转换”复选框。

这里我们选中前两个选项：

8.在“外部 FQDN”中，由于我们在“选择功能”中选择将单个 FQDN 和 IP 地址用于 SIP 访问、Web 会议服务和 A/V 边缘服务，在“SIP 访问”中键入外部 FQDN：sip.test.com,在端口中分别输入5061、444、442

注意：

如果选择此选项，则必须为每个边缘服务指定不同的端口号（推荐的端口设置为：访问边缘服务为 5061，Web 会议边缘服务为 444，A/V 边缘服务为 443）。选择此选项可帮助防止潜在的连接问题并简化配置，因为可以将同一端口号（例如，443）同时用于所有这三种服务。

单击“下一步”。

9.在“定义内部 IP 地址”的“内部 IP 地址”中，键入边缘服务器的 IP 地址，然后单击“下一步”。

10.在“定义外部 IP 地址”中，在“SIP 访问”中键入边缘服务器的外部 IP 地址：202.100.100.1，然后单击“下一步”。

11.在“定义下一个跃点”的“下一个跃点池”中，选择内部池的名称，该池可以是前端池，也可以是 Standard Edition 池。

注意：如果部署包括控制器，则键入控制器的名称。然后单击“下一步”。

12.在“关联前端池”中，通过选择将该边缘服务器用于与支持的外部用户通信的内部池名称，来指定要与该边缘服务器关联的一个或多个内部池，其中可包括前端池和 Standard Edition Server。

注意：

只能将一个负载平衡边缘池或单台边缘服务器与 A/V 流量的每个内部池关联。如果您已将内部池与边缘池或边缘服务器关联，则会显示警告，指出该内部池已与边缘池或边缘服务器关联。如果选择已与其他边缘服务器关联的池，则会更改关联。

单击“完成”。

可以查看已经定义的边缘服务器：

发布拓扑

每次使用拓扑生成器生成拓扑时，必须将拓扑发布到中央管理存储中的数据库，以便该数据可用于部署 Lync Server 2010。请使用以下过程发布拓扑。

1.在拓扑生成器的控制台树中，右键单击“Lync Server 2010”，然后单击“发布拓扑”。

2.在向导的“发布拓扑”页上，单击“下一步”。

3.在“发布向导已完成”页上，单击“完成”。

在前端服务器导出拓扑文件

使用 Lync Server 命令行管理程序导出拓扑文件使拓扑数据在边缘服务器上可用启动 Lync Server 命令行管理程序：依次单击“开始”、“所有程序”和“Microsoft Lync Server 2010”，然后单击“Lync Server 命令行管理程序”。

2.在 Lync Server 命令行管理程序中，运行以下 cmdlet：

1. Export-CsConfiguration -FileName <ConfigurationFilePath.zip>

3.将导出的文件复制到外部介质（例如，在部署过程中可从边缘服务器访问的 USB 驱动器或网络共享）。

配置边缘服务器（配置网卡IP和DNS后缀等）

修改边缘服务器上的DNS后缀

配置边缘服务器的网络（很简单，这里就不讲了）

边缘服务器上安装Lync Server 2010 软件。

安装本地存储和相应组件

1. 以本地 Administrators 组成员的身份或使用具有等效用户权限的帐户登录到要安装边缘服务器的计算机。

2. 请确保使用拓扑生成器创建、然后导出并复制到外部媒体的拓扑配置文件在边缘服务器上可用（例如，在边缘服务器上，连接拓扑配置文件复制到的 USB 驱动器，或验证能否访问文件复制到的网络共享）。

3. 启动部署向导。

4. 在部署向导中，单击“安装或更新 Lync Server 系统”。

向导确定部署状态后，对于“步骤 1. 安装本地配置存储”，单击“运行”，然后执行以下操作：

在“配置中央管理存储的本地副本”对话框中，单击“从文件导入(建议用于边缘服务器)”，转到拓扑配置文件导出到的位置，选择 LyncConfig.zip 文件，单击“打开”，然后单击“下一步”。

“执行命令”过程完成后，

单击“完成”。

在部署向导中，单击“步骤 2: 安装或删除 Lync Server 组件”安装本地计算机上存储的 XML 配置文件中指定的 Lync Server 边缘组件

单击”完成“完成组件的安装。

 

为边缘服务器请求并安装证书

安装完成后，在启动服务前使用”设置边缘证书“中的信息安装并分配所需证书。

单击”步骤3“右边的运行

打开”证书向导“对话框，选中边缘内部，为边缘服务器内部接口请求证书，单击”请求”

单击“下一步”

选择如下的脱机请求

选择证书请求文件的存储路径和文件名

单击下一步

在输入好友名称便于辨认

输入组织信息

输入地理信息

单击下一步

在配置其他使用者替代名称中可以输入估计要用到的FQDN(可选)

单击“下一步”

“下一步”

单击“查看”

ctrl+A全选，ctrl+C复制选择的信息

打开浏览器，输入http://CA的名称/certsrv,在弹出的对话框中输入如下凭据

选择第一项：“request a certificate”（请求一张证书）

选择第二个链接“advanced certificate request”高级证书申请

选择第二个链接

把刚才复制的信息粘贴在saved request的文本框中，在“certificate template”证书模板中选择“web server”

选择下载证书

保持下载的证书待导入用

单击证书向导中的“导入证书”把刚才申请的内部端口证书进行导入

导入刚才申请的证书，如果没有私钥的话，可以把“证书文件包含证书的私钥”的勾去掉

单击“下一步”

单击“下一步”

单击”完成“完成证书的导入

同理为边缘服务器的外部接口请求和导入外部证书

注意，此步骤非常重要，在”配置其他使用者替代名称“中一定要输入一下3条记录：

dialin.test.com

meet.test.com

sip.test.com

如果输入其他名称的话，那么边客户端和缘服务器将不能正常连接，所以必须添加上面的3条记录。

单击”下一步“

下一步

下载CA证书：

保存备用

在运行对话框输入”MMC“

打开管理单元并添加计算机账户证书管理单元，

选择信任的根证书节点，如下 导入CA证书

完成CA证书的导入。

分配证书

单击”证书向导“中的”分配“按钮打开如下的”证书分配“对话框

先分配内部接口的证书

完成内部接口证书的分配。

同理分配外部接口的证书

到此，证书的请求和分配就完成了。

启动边缘服务器服务

如下所示，服务已经正常启动。

到前端服务器启用外部用户访问

同样启用访问边缘配置。

测试外部用户访问

登录到客户机

配置模拟的公网IP

在如下路径下的hosts文件添加相应的记录

ping边缘服务器外部FQDN能够ping通。

用户登录成功！

按住ctrl键，鼠标右击任务栏的Lync图标，在弹出的对话框中，单击配置信息。从配置信息中可以看出，客户端已经连接到了边缘服务器。

到此，我们就完成了Lync边缘服务器的部署和配置了。下一篇中我们将继续介绍包含外围网络的反向代理服务器的Lync边缘服务器部署和配置。

转载于:https://blog.51cto.com/2770859/833184