Skype for Business Server 2015完整部署,实现内外网/移动端客户端登录。


此次部署未部署Office Web Apps Server 和持久聊天。

一、资源

1、内外域名:yangqs.com

2、服务器共4台,使用Hyper-v虚拟化服务器

(1)域/证书/DNS一体服务器 S4BDC01.yangqs.com ,1块内部网卡(内网IP)

(2)标准版前端服务器 S4BFE01.yangqs.com , 1块内部网卡(内网IP),加域

(3)边缘服务器 S4BAE01.yangqs.com ,1块内部网卡(此次未使用DMZ区网卡,少一些开放内部端口步骤),1块外部网卡,不加域(添加域名后缀)

(4)IIS ARR反向代理服务器ARR.yangqs.com,1块内部网卡(此次未使用DMZ区网卡,少一些开放内部端口步骤),1块外部网卡,不加域(添加域名后缀)


3、公网IP,2个

4、边缘外部防火墙开放端口

开通互联网访问端口:442、443(TCP)、444、3478(UDP)、5061(TCP)、5269(TCP)、50000-59999(TCP|UDP)

开通访问互联网端口:53(TCP|UDP)、80(TCP)、443(TCP)、3478(UDP)、5061(TCP)、5269(TCP)、50000-59999(TCP|UDP)

5、操作系统使用Windows Server 2012 R2

6、标准版前端服务器安装必备组件

标准版前端服务器

Add-WindowsFeature NET-Framework-Core, RSAT-ADDS, Windows-Identity-Foundation, Web-Server, Web-Static-Content, Web-Default-Doc, Web-Http-Errors, Web-Dir-Browsing, Web-Asp-Net, Web-Net-Ext, Web-ISAPI-Ext, Web-ISAPI-Filter, Web-Http-Logging, Web-Log-Libraries, Web-Request-Monitor, Web-Http-Tracing, Web-Basic-Auth, Web-Windows-Auth, Web-Client-Auth, Web-Filtering, Web-Stat-Compression, Web-Dyn-Compression, NET-WCF-HTTP-Activation45, Web-Asp-Net45, Web-Mgmt-Tools, Web-Scripting-Tools, Web-Mgmt-Compat, Server-Media-Foundation, BITS -Source D:\sources\sxs

7、边缘服务器安装必备组件

Add-WindowsFeature NET-Framework-Core, RSAT-ADDS, Windows-Identity-Foundation, BITS -Source D:\sources\sxs

8、IIS ARR反向代理服务器安装ARR3.0

https://www.microsoft.com/web/gallery/install.aspx?appid=ARRv3_0 

9、公网免费证书申请

http://www.wosign.com/DVSSL/DV_KuaiSSL_Free.htm 

沃通免费SSL证书,可以申请5个域名的免费SSL证书,基本满足Lync/S4B外网部署需求

申请后按照要求导入边缘服务器/IIS ARR反向代理服务器

10、边缘服务器/IIS ARR反向代理服务器,导入内部CA颁发的根证书至“受信任的根证书颁发机构”


二、标准版前端服务器/边缘服务器安装,拓扑规划过程略过

wKioL1bWRjqSTiFdAACN9aDq4lw588.png

wKiom1bWRcLB9-WMAACrRJ4HjN4959.png

wKioL1bWRjqQstGhAADE8XUZnWQ525.png

wKioL1bWRjuAL-SHAAA8lIuEEF8572.png


三、外网域名配置,yangqs.com万网域名(阿里域名),添加解析记录

wKioL1bWR37g1IZBAAD2rDKy8xk652.png

四、IIS ARR反向代理服务器配置


(1)外部DNS,上图已经完成

(2)内部DNS

wKioL1bWSUCCrc4mAAAQLxk2VZI933.png

wKiom1bWSMixIVQSAAAQ9GJyCl8521.png

(3)IIS ARR反向代理服务器本地hosts文件添加静态解析记录

wKiom1bWSX6DywV4AABSFNeOSkw650.png

(4)ARR3.0安装后,SSL公网证书绑定

wKiom1bWSybSmKYcAAEHGnXgDVI906.png

(5)添加dialin、meet、lyncweb、lyncdiscover服务器场,Server Farms-Create Server Farms

wKiom1bWTSnymyqVAAA4VnPI6Jg512.png

wKioL1bWTaGCtyt-AABOLBvo3bM685.png

wKiom1bWTSqxtzRYAAAYKp3ZJLk468.png


同样操作,添加剩下的meet、lyncweb、lyncdiscover


(6)添加Server Farms 后,全部要配置如下项,并“应用”

wKioL1bWTfzgNGm1AABB3Wu96Qs775.png

wKioL1bWTfzz7P9WAAAg2oejNfg282.png

wKiom1bWTYSjhszIAAA42yP_dZs814.png

(7)URL重写,删除http://项

wKiom1bWTl2QQzdyAAEcFC0s4sU793.png

(8)编辑入站规则,添加{HTTP_HOST}记录,meet.*,dialin.*,lyncweb.*,lyncdiscover.*

wKioL1bWUCmxDuYWAAB6l9YSObM896.png


五、开启外网用户登录,核实移动策略启用“移动性”,启用移动端手机信息推送

wKiom1bWUvWRWRaKAABhaYgZjcw010.png

wKioL1bWU26xKm_EAABngH6mmIg095.png

wKiom1bWUvbST3OqAABPQEJc-f0681.png

wKioL1bWU27yizd4AABPUGmBWXw026.png



总结:


边缘服务器,通过开放外部防火墙端口和内部防火墙(如果处在DMZ区);IIS ARR反向代理通过域名不同进来对端口进行转换。


特别说明,Skype for Business Server 2015移动端无需特别配置,默认开启。