Skype for business 2015 綜合部署系列七:配置 Skype 邊緣傳輸服務器
本篇博文進入Skype for business 2015 綜合部署系列的第七部分:配置Skype for business Server 2015 邊緣傳輸服務器 。首先詳細介紹了在前端服務器lync.itwish.cn部署邊緣池並發布拓撲相關過程,其次介紹了在lyncedge.itwish.cn 部署邊緣傳輸服務器準備事項(包括導出拓撲文件、添加相關DNS記錄,導出AD域證書鏈及邊緣計算機準備事項),然後介紹了邊緣傳輸服務器的部署安裝 ,最後對邊緣服務器進行驗證部署。對於該文章不完善之處,望在評論區指正,萬分感謝 。
定義邊緣池並發布拓撲
登錄到 Skype for Business Server 2015 前端服務器 lync.itwish.cn ,打開 Skype for Business Server 2015 拓撲生成器 。
在控制臺樹中,展開要在其中部署邊緣服務器的站點。
右鍵單擊“ 邊緣池 ”,然後單擊“ 新建邊緣池 ”。
在“ 定義新的邊緣池 ”屏幕上,單擊“ 下一步 ”。
在“ 定義邊緣池 FQDN ”屏幕上,鍵入要使用的邊緣服務器的完全限定域名 (FQDN),然後選擇“ 此池具有多個服務器 ”,完成後單擊“ 下一步 ”。
計劃啟用聯盟,請選中“為此邊緣池啟用聯盟(端口 5061) ”復選框。
在“ 選擇功能 ”屏幕上,選擇 “使用一個FQDN 和 IP地址”。
單擊“下一步 ”後,你將進入“ IP 選項 ”屏幕。勾選“在內部接口啟用IPV4”“在外部接口啟用IPV4”,此外選中“ 此邊緣池的外部 IP 地址是由 NAT 轉換的 ”復選框可以執行此配置。完成後,單擊“ 下一步 ”。
在“外部 FQDN”屏幕上,需要在“SIP 訪問 ”框中輸入單個外部 FQDN。然後,需要為每個邊緣服務輸入不同的端口號,以允許它們全都能獨立連接。我們建議 SIP 訪問 邊緣服務使用 5061, Web 會議 邊緣服務使用 444, A/V 邊緣服務使用 442。完成後單擊“ 下一步 ”。
現在進入了“ 內部FQDN 和 IP 地址 ”屏幕。在“ 內部 IPv4 地址 ”和“內部FQDN”文本框中輸入邊緣服務器的 IP 地址 和FQDN 名稱。完成後單擊“ 下一步 ”。
在“ 定義外部 IP 地址 ”屏幕上,請在“SIP 訪問 ”文本框中鍵入外部 IPv4 ,然後單擊“ 下一步 ”。
進入屏幕“ 定義公用 IP 地址 ”文本框。你需要輸入為 A/V 邊緣服務設置的 IPv4 和/或 IPv6 地址,這些地址將由 NAT 轉換。然後單擊“完成”。
接下來的屏幕是“ 定義下一躍點 ”。在“ 下一個躍點池 ”框中,選擇內部池的名稱,內部池可以是前端池或獨立池。如果環境中有控制器,則應選擇控制器。然後單擊“ 下一步 ”。
在“ 關聯前端池 ”屏幕上,需要指定一個或多個要與此邊緣服務器關聯的內部池,包括前端池和 Standard Edition 服務器。只選擇你所要的,使用此邊緣服務器來與受支持的外部用戶通信的內部池的名稱。單擊“ 下一步 ”。
在下一個屏幕上單擊“ 完成 ”。
現在你就能發布這一更新的拓撲,從這裏按照在 Skype for Business Server 2015 中部署邊緣服務器中的說明,部署到邊緣服務器中。
導出拓撲文件
為了成功部署,Skype for Business Server 2015 部署向導需要訪問中央管理存儲數據。邊緣服務器位於域的外部,因此有必要手動將拓撲文件導出到邊緣服務器位置,通常借助物理介質。這樣的導出通過 PowerShell 執行:
啟動 Skype for Business Server 管理程序 。
在 Skype for Business Server 管理程序 中,運行以下命令:
把導出文件通過物理介質放置轉移到邊緣服務器端
Export-CsConfiguration -FileName <ConfigurationFilePath.zip>
添加DNS記錄並導出AD域證書鏈
登錄server.itwish.cn 域控制器
添加 DNS相關A記錄,為配置邊緣部署做準備工作
下載或導出CA證書鏈(通過IE訪問獲取或通過mmc證書機構導出)
登錄網址http://server.itwish.cn/certsrv ,在發證 CA 的 certsrv 網頁上,在“ 選擇任務”下,單擊“ 下載 CA 證書、證書鏈或 CRL ”。
在“ 下載 CA 證書、證書鏈或 CRL ”下,單擊“下載 CA 證書鏈 ”。
保存到共享路徑\\server.itwish.cn\Share\Certnew.p7b ,然後將其復制到邊緣服務器的文件夾中。
在 Skype for Business Server 2015 中部署邊緣服務器
邊緣服務器計算機準備:
定義計算機名lyncedge ,並加入dns後綴
為邊緣服務器安裝兩個網絡適配器,一個用於面向內部的接口,另一個用於面向外部的接口。
在外部外圍網絡子網上配置一個靜態 IP 地址,並將默認網關指向外部防火墻的內部接口。
在內部接口上,在內部外圍網絡子網上配置一個靜態 IP。
在邊緣服務器端導入AD域 Certnew.p7b證書鏈,登錄MMC控制臺 -“添加或刪除單元”-“證書”- “計算機賬戶”,選擇“證書”“受信任根證書頒發機構”,導入證書鏈
開啟windows update 更新 ,請使用 Windows Update 確保 Windows Server 已更新為最新版本。
新添功能: Windows Update 、.NET Framework 3.5 功能、.NET Framework 4.5 功能(HTTP 激活)、遠程服務器管理工具(AD DS 和 AD LDS 工具)、Windows Identity Foundation 3.5等
邊緣服務器安裝
使用屬於本地管理員組的帳戶,登錄到配置為邊緣服務器角色的服務器。
進入 Skype for Business Server 2015 安裝媒體。請雙擊setup.exe 程序進行“安裝”,安裝媒體需要 Microsoft Visual C++ 才能運行。系統將會自動安裝Microsoft Visual C++。
智能設置是 Skype for Business Server 2015 中的一項新功能,允許您在安裝過程中連接互聯網檢查更新。這能確保您在安裝時獲得最新產品更新,從而提供更好的體驗。單擊“ 安裝 ”開始安裝。
仔細閱讀許可協議,如果同意條款,請選擇“ 我接受許可協議中的條款 ”,然後單擊“確定 ”。
至此,Skype for Business Server 2015 核心組件已安裝在邊緣服務器上。核心組件包含以下內容:Skype for Business Server 2015 部署向導 ,該部署程序提供了一塊啟動面板以安裝 Skype for Business Server 2015 的各種組件;Skype for Business Server 2015 命令行管理程序,該預配置的 PowerShell 程序允許對 Skype for Business Server 2015 進行管理
完成核心組件的安裝後,將自動啟動 Skype for Business Server 2015 部署向導。單擊部署向導上的“ 安裝或更新Skype for Business Server 2015 系統 ”。
步驟 1:安裝本地配置存儲
a、檢查步驟1的先決條件信息,可單擊步驟1標題下的下拉菜單訪問該信息。單擊步驟1中的“運行”以啟動“安裝本地配置存儲”的向導。
b、選擇“從文件導入(建議邊緣服務器使用)”,瀏覽選擇導入到本地的拓撲配置文件1.zip ,然後單擊“下一步”。
c、安裝好本地配置存儲後,您可以單擊“查看日誌”以查看日誌。單擊“完成”以關閉“安裝本地配置存儲”向導,然後返回“Skype for business 2015 - 部署向導”步驟。
步驟 2:安裝或刪除 Skype For Business Server 組件
a、檢查步驟2的先決條件信息,可單擊 步驟2 標題下的下拉菜單訪問該信息。單擊步驟2中的“運行”以啟動“設置Skype for business server 組件”的向導 ,單擊“下一步”。
b、安裝好Skype for business server 組件,可以看到“正在安裝Server.msi(ADDLOCAL=Feature_Server_Edge REBOOT... “ ,即正在安裝邊緣傳輸的組件。
c、您可以單擊“查看日誌”以查看日誌。單擊“完成”以關閉“設置Skype for business server 組件”向導,然後返回“Skype for business 2015 - 部署向導”步驟。
步驟 3:請求、安裝或分配證書
生成邊緣服務器內部及外部證書請求文件
a、檢查先決條件,然後單擊“步驟 3:請求、安裝或分配證書 ”旁邊的“運行”。
b、在“證書向導 ”頁上,選擇“邊緣內部” ,單擊“請求”。
c、在“ 延遲的請求或即時請求 ”頁上,選擇“ 立即準備請求,但是稍後發(脫機證書請求) ”選項。因邊緣服務器無法直接與證書服務器聯系。
d、在證書請求文件頁中,創建證書簽名請求文件的完整路徑及文件名。
e、在“指定替代證書模板 ”頁上,要使用默認的 Web 服務器模板,請單擊“ 下一步 ”。
f、在“名稱和安全設置”頁上,指定一個“ 友好名稱 ”。通過使用友好名稱,您可以快速標識證書和目的。選擇“將證書的私鑰標記為可導出 ”,然後單擊“ 下一步 ”。
g、填寫組織信息 及 組織單位
h、選擇國家/地區 ,填寫地區
i、在“ 使用者名稱/使用者替代名稱 ”頁上,默認,然後單擊“ 下一步”
j、在“ 配置其他使用者替代名稱 ”頁上,添加其他任何需要的使用者替代名稱,包括將來其他 SIP 域可能需要的使用者替代名稱,默認,然後單擊“ 下一步”。
k、在“ 證書請求摘要 ”頁上,檢查摘要中的信息。如果信息正確,請單擊“ 下一步 ”。
l、在“正在執行命令”頁上,單擊“下一步”。
m、在“證書請求文件 ”頁上,默認情況下,然後單擊“ 完成 ”。
n、通過同樣的步驟,在“證書向導 ”頁上,選擇“外部邊緣證書” ,單擊“請求”。
o、在證書請求頁面 ,勾選“全部”和 “itwish.cn” ,默認下一步
p、在“ 配置其他使用者替代名稱 ”頁上,添加其他任何需要的使用者替代名稱,包括將來其他 SIP 域可能需要的使用者替代名稱,默認,然後單擊“下一步”
q、在“證書請求文件 ”頁上,默認情況下,然後單擊“ 完成 ”。
r、至此,完成了邊緣服務器內部及外部的證書請求。
通過ca證書機構生成邊緣服務器內部及外部證書 。
a、登錄網址http://server.itwish.cn/certsrv ,在發證 CA 的 certsrv 網頁上,在“ 選擇任務”下,單擊“ 申請證書 ”。
b、在“ 申請證書頁 ”下,單擊“高級證書申請 ”。
c、在“ 高級證書申請頁 ”下,單擊“使用base 64 編碼的CMC 或 ... ” 選項。
d、以記事本方式打開邊緣服務器內部生成的證書請求文件 edge-internal.req 文件
e、將req文件復制到“Base-64 編碼的證書申請”框內 ,證書模板選擇“Web 服務器” ,單擊提交
f、下載邊緣服務器內部證書及證書鏈,並保存到本地
g、登錄網址http://server.itwish.cn/certsrv ,在發證 CA 的 certsrv 網頁上,在“ 選擇任務”下,重新單擊“ 申請證書 ” ,對邊緣服務器外部進行證書申請
h、以記事本方式打開邊緣服務器外部生成的證書請求文件 edge-internet.req 文件
i、如圖,完成邊緣服務器證書申請 ,外部證書edge_internet ,內部證書edge_internal
導入證書到邊緣服務器端
a、把之前生成的邊緣服務器外部證書edge_internet 及內部證書edge_internal ,放置到本地磁盤 ,返回到證書申請頁面,登錄mmc控制臺 ,在“個人”“證書”選項,導入服務器外部證書edge_internet 及內部證書edge_internal。
分配證書
a、進入證書向導頁面 ,選擇“邊緣內部”,單擊“分配”選項
b、進入“證書分配頁” ,確認證書正確 ,下一步
c、完成邊緣內部證書與外部證書分配
步驟 4:啟動服務
a、檢查“ 步驟 4:啟動服務 ”的先決條件。
b、您使用 Start-CsWindowsService 啟動相關服務。
c、在“ 正在執行命令 ”頁上,成功啟動所有服務後,單擊“ 完成 ”。
d、再次運行 Windows Update ,檢查在安裝 Skype for Business Server 組件之後是否有任何更新。單擊“ 退出 ”以關閉部署向導。
驗證邊緣部署
驗證邊緣服務器與內部服務器之間的傳輸
在有中央管理存儲的內部服務器上,或者安裝了 Skype for Business Server 2015 核心組件 (OcsCore.msi) 的任何加入域的計算機上運行 Get-CsManagementStoreReplicationStatus
初次運行此命令的結果可能給出復制狀態為 False,而不是 True。如果發生這種情況,請運行 Invoke-CsManagementStoreReplication cmdlet。留些時間讓其完成復制,然後再次運行 Get-CsManagementStoreReplicationStatus cmdlet。
登錄前端服務器,打開skype for business 控制面板拓撲 ,邊緣服務器復制正常。
至此,完成Skype for business server 2015 邊緣傳輸服務器部署。
Skype for business 2015 綜合部署系列七:配置 Skype 邊緣傳輸服務器