在準備好企業內部服務器角色之後,另外一個很重要的角色就是邊緣訪問服務器,通過爲 Microsoft Lync Server 2010 部署邊緣組件,未登錄到組織內部網絡的外部用戶(包括經過身份驗證的和匿名的遠程用戶、聯盟夥伴以及公共即時消息 (IM) 服務的用戶)可以使用 Lync Server 與組織中的其他用戶進行通信。Lync Server 2010 的部署和配置過程與先前版本有顯著不同,因爲 Lync Server 2010 提供了用於安裝和管理的新工具,改變了使用 Lync Server 組件的方式。邊緣部署概述主題中的各節介紹了部署過程、新工具以及如何使用這些工具部署邊緣組件以供外部用戶訪問。
首先看一下Edge Server的配置
在Edge Server上有兩塊網卡,一塊連接企業內網,IP是10.0.0.4 ,另外一臺則連着企業的DMZ,IP爲172.0.0.2網關爲172.0.0.1(TMG的DMZ卡地址)
Edge Server的計算機名爲Edge.contoso.com,因爲邊緣服務器的特殊性,所以邊緣服務器是不加域的,但是爲了解析正常,我們需要手工在邊緣服務器計算機名上添加DNS後綴。下面是相差的兩幅截圖
在準備工作做好之後,我們可以打開拓撲生成器來添加一臺邊緣服務器。
右擊邊緣池,選擇新邊緣池,打開邊緣池嚮導。
我們先看來單臺邊緣服務器的情況:
在定義邊緣池的時候,我們可以選擇單個計算機池或者多個計算機池,在單個計算機池選項下,指定的名稱必須與在服務器上配置的計算機名相同,默認情況下,未加入哉的計算機名是短名,即沒有DNS後綴,所以我們在剛開始的時候便加上了DNS後綴,以確保此處需要填入的edge.contoso.com與我們的邊緣服務器名完全相同。
在指定新的邊緣池對話框中,如果我們打算使用單個FQDN和IP地址用於外網的SIP訪問、Web會議服務、A/V邊緣服務則選擇第一項。如果需要與其它IM用戶互聯,比如MSN等,還必須得勾選爲此邊緣池啓用聯盟(端口5061)。需要注意的是,只能爲聯盟對外發布組織中的一個邊緣池或者服務器,所有的和外聯IM通訊將只能從這個邊緣池或者服務器中轉。 如果計劃將網絡地址轉換(NAT)用於公共IP地址,則選擇第三項。
因爲我們在前一頁裏選擇的是單個FQDN和IP地址,所以在本頁裏面,Web 會議、A/V邊緣服務器不可選,直接是Sip訪問服務器的FQDN,需要注意的是,因爲後期443端口用處太多,所以目前我們就把A/V的改成442,這樣就保證和後面的Web發佈不搶端口。
內部IP我們指定爲Edge的Lan網卡IP,外部肯定就是指向DMZ網卡的IP了。
下一跳肯定是內部池,其實只有一個池,不跳這裏面還能跳哪去?跳其它地方指定摔死。
指定的前端池,勾選。
接下來就是發佈拓撲,具體只抓一張圖吧
接下來,我們需要在邊緣服務器上來安裝Lync Server,由於邊緣服務器沒有加入域,無法直接從中央存儲中找到Lync的配置信息,我們需要從前端上使用Powershell命令把配置導出來,再在邊緣服務器上導入,使用這種方法來安裝邊緣服務器的存儲。但是在實施過程中,我們一般很難記住命令行,所以我們就先不導出,在邊緣上直接安裝,安裝嚮導會提示我們用什麼命令的
不過先不要急着部署Lync,磨刀不誤砍柴工,同樣的我們要先準備環境。
這次選擇6,一般在準備完環境後,我都會重啓一下服務器,要不有時候在部署過程中會出現各種各樣的奇怪問題。
重啓後我們打開部署嚮導,因爲邊緣直接沒有加入域,所以準備活動目錄這些你如果點進去就會提示不可用,我們直接選擇安培Lync Server 系統。
這時候提示我們無法自動收集配置數據,上面同步提醒我們如何生成配置文件,即在域內的機器上運行Export-CsConfiguration
具體參數我們在Powershell裏面再看。
回到前端,運行導出命令。
先看一下示例吧
參數很簡單,爲了邊緣服務器訪問方便,我們直接把配置文件放到共享存儲中
打開共享我們可以看到導出的配置文件
再次回到邊緣服務器,從配置文件來安裝本地存儲。
因爲我內網卡DNS指的是域DNS,所以域名解析能成功完成。直接下一步讓從配置文件中讀取信息並安裝本地存儲即可。
已經開始安裝SQL Express,說明前面的環境準備沒有任何問題。配置文件讀取正常。
其它的和前面安裝沒啥區別,也就是一步一步往下走,沒什麼好說的,所以就抓一點圖算了。
需要注意的是,在第3步,申請證書步驟,有一件事必須先做,就是把域CA的根證書導入到Edge的任信任根證書。這樣保證邊緣是信任由內部CA頒發的證書。
因爲Lan網卡是指了DNS地址的,所以這些操作我們目前都是可以在邊緣服務器上進行。但是這並不是最佳操作,在部署結束之後,我會把DNS地址清掉。
先下載根證書,要不未加入域的Edge不會信息CA發的證書。
然後再回到邊緣服務器,打開MMC,加入證書單元,賬戶選擇本地計算機。看以下貼圖。
選擇剛纔從CA裏導出的根證書,導入到本地受信任證書頒發機構。
我們先不要關證書控制檯,後面還會用到,我們現在回到Lync部署嚮導裏面,來申請證書。申請證書分爲內網證書和外網證書,先申請內網證書。
邊緣服務器沒有加域,是不能直接發送至聯機證書頒發機構的,我們就申請離線證書,我們把請求文件放到桌面上,需要注意的是一定得起好名,要和申請的外部證書分開。
不需要替代模板
此處需要在“將證書的私鑰標記爲可導出”打上勾,這個證書後面我們還可以在其它的邊緣服務器上使用,但是目前是單邊緣,其實也可以不勾的。
這裏需要確認使用者名稱一定要和邊緣服務器的FQDN一樣。
內部證書不需要其它SAN,所以可以直接下一步,但是呆會申請外部證書的時候,就必須把一些SAN加入,具體到時候再說。
直接點查看打開證書申請文件,因爲證書服務器可以訪問,所以我們只需要複製申請文件的所有內容,然後在CA中申請即可。
把剛纔複製的編碼粘到這,然後在證書模板中靠近Web服務器,其實這裏的Web服務器就是服務器的意思,並非Web服務器專屬。
然後選擇下載證書。
保存,再回到部署嚮導,我們來導入剛申請的內部證書。
私鑰要一起導入。
接下來,分配邊緣內部證書,其實這一步也可以在外部邊緣申請後丙個一次分配的,個人習慣問題。
可以看到邊緣內部是已分配狀態。
接下來再申請外部邊緣,因爲步驟大致相同,我就只在一些關鍵位置抓圖。
外部要加入一些必要的SAN,其中的RP.contoso.com是TMG的主機名,至於爲啥加入tmg.contoso.com一會查清楚再修改。
分配全部結束。
接下來,啓動服務。
最後只要檢查所有服務都成功啓動,Lync Server 2010邊緣服務器的部署就算成功完成了。
這次部署體會到的經驗就是,服務器的IP/FQDN/這些信息一定要前期規劃好,在開始動手操作之前,一定要注意是不是符合要求的,並再次確認,本次因DMZ網卡地址未檢查導致安裝後部分服務不能啓動,浪費了大量時間。