在准备好企业内部服务器角色之后,另外一个很重要的角色就是边缘访问服务器,通过为 Microsoft Lync Server 2010 部署边缘组件,未登录到组织内部网络的外部用户(包括经过身份验证的和匿名的远程用户、联盟伙伴以及公共即时消息 (IM) 服务的用户)可以使用 Lync Server 与组织中的其他用户进行通信。Lync Server 2010 的部署和配置过程与先前版本有显著不同,因为 Lync Server 2010 提供了用于安装和管理的新工具,改变了使用 Lync Server 组件的方式。边缘部署概述主题中的各节介绍了部署过程、新工具以及如何使用这些工具部署边缘组件以供外部用户访问。
首先看一下Edge Server的配置
在Edge Server上有两块网卡,一块连接企业内网,IP是10.0.0.4 ,另外一台则连着企业的DMZ,IP为172.0.0.2网关为172.0.0.1(TMG的DMZ卡地址)
Edge Server的计算机名为Edge.contoso.com,因为边缘服务器的特殊性,所以边缘服务器是不加域的,但是为了解析正常,我们需要手工在边缘服务器计算机名上添加DNS后缀。下面是相差的两幅截图
在准备工作做好之后,我们可以打开拓扑生成器来添加一台边缘服务器。
右击边缘池,选择新边缘池,打开边缘池向导。
我们先看来单台边缘服务器的情况:
在定义边缘池的时候,我们可以选择单个计算机池或者多个计算机池,在单个计算机池选项下,指定的名称必须与在服务器上配置的计算机名相同,默认情况下,未加入哉的计算机名是短名,即没有DNS后缀,所以我们在刚开始的时候便加上了DNS后缀,以确保此处需要填入的edge.contoso.com与我们的边缘服务器名完全相同。
在指定新的边缘池对话框中,如果我们打算使用单个FQDN和IP地址用于外网的SIP访问、Web会议服务、A/V边缘服务则选择第一项。如果需要与其它IM用户互联,比如MSN等,还必须得勾选为此边缘池启用联盟(端口5061)。需要注意的是,只能为联盟对外发布组织中的一个边缘池或者服务器,所有的和外联IM通讯将只能从这个边缘池或者服务器中转。 如果计划将网络地址转换(NAT)用于公共IP地址,则选择第三项。
因为我们在前一页里选择的是单个FQDN和IP地址,所以在本页里面,Web 会议、A/V边缘服务器不可选,直接是Sip访问服务器的FQDN,需要注意的是,因为后期443端口用处太多,所以目前我们就把A/V的改成442,这样就保证和后面的Web发布不抢端口。
内部IP我们指定为Edge的Lan网卡IP,外部肯定就是指向DMZ网卡的IP了。
下一跳肯定是内部池,其实只有一个池,不跳这里面还能跳哪去?跳其它地方指定摔死。
指定的前端池,勾选。
接下来就是发布拓扑,具体只抓一张图吧
接下来,我们需要在边缘服务器上来安装Lync Server,由于边缘服务器没有加入域,无法直接从中央存储中找到Lync的配置信息,我们需要从前端上使用Powershell命令把配置导出来,再在边缘服务器上导入,使用这种方法来安装边缘服务器的存储。但是在实施过程中,我们一般很难记住命令行,所以我们就先不导出,在边缘上直接安装,安装向导会提示我们用什么命令的
不过先不要急着部署Lync,磨刀不误砍柴工,同样的我们要先准备环境。
这次选择6,一般在准备完环境后,我都会重启一下服务器,要不有时候在部署过程中会出现各种各样的奇怪问题。
重启后我们打开部署向导,因为边缘直接没有加入域,所以准备活动目录这些你如果点进去就会提示不可用,我们直接选择安培Lync Server 系统。
这时候提示我们无法自动收集配置数据,上面同步提醒我们如何生成配置文件,即在域内的机器上运行Export-CsConfiguration
具体参数我们在Powershell里面再看。
回到前端,运行导出命令。
先看一下示例吧
参数很简单,为了边缘服务器访问方便,我们直接把配置文件放到共享存储中
打开共享我们可以看到导出的配置文件
再次回到边缘服务器,从配置文件来安装本地存储。
因为我内网卡DNS指的是域DNS,所以域名解析能成功完成。直接下一步让从配置文件中读取信息并安装本地存储即可。
已经开始安装SQL Express,说明前面的环境准备没有任何问题。配置文件读取正常。
其它的和前面安装没啥区别,也就是一步一步往下走,没什么好说的,所以就抓一点图算了。
需要注意的是,在第3步,申请证书步骤,有一件事必须先做,就是把域CA的根证书导入到Edge的任信任根证书。这样保证边缘是信任由内部CA颁发的证书。
因为Lan网卡是指了DNS地址的,所以这些操作我们目前都是可以在边缘服务器上进行。但是这并不是最佳操作,在部署结束之后,我会把DNS地址清掉。
先下载根证书,要不未加入域的Edge不会信息CA发的证书。
然后再回到边缘服务器,打开MMC,加入证书单元,账户选择本地计算机。看以下贴图。
选择刚才从CA里导出的根证书,导入到本地受信任证书颁发机构。
我们先不要关证书控制台,后面还会用到,我们现在回到Lync部署向导里面,来申请证书。申请证书分为内网证书和外网证书,先申请内网证书。
边缘服务器没有加域,是不能直接发送至联机证书颁发机构的,我们就申请离线证书,我们把请求文件放到桌面上,需要注意的是一定得起好名,要和申请的外部证书分开。
不需要替代模板
此处需要在“将证书的私钥标记为可导出”打上勾,这个证书后面我们还可以在其它的边缘服务器上使用,但是目前是单边缘,其实也可以不勾的。
这里需要确认使用者名称一定要和边缘服务器的FQDN一样。
内部证书不需要其它SAN,所以可以直接下一步,但是呆会申请外部证书的时候,就必须把一些SAN加入,具体到时候再说。
直接点查看打开证书申请文件,因为证书服务器可以访问,所以我们只需要复制申请文件的所有内容,然后在CA中申请即可。
把刚才复制的编码粘到这,然后在证书模板中靠近Web服务器,其实这里的Web服务器就是服务器的意思,并非Web服务器专属。
然后选择下载证书。
保存,再回到部署向导,我们来导入刚申请的内部证书。
私钥要一起导入。
接下来,分配边缘内部证书,其实这一步也可以在外部边缘申请后丙个一次分配的,个人习惯问题。
可以看到边缘内部是已分配状态。
接下来再申请外部边缘,因为步骤大致相同,我就只在一些关键位置抓图。
外部要加入一些必要的SAN,其中的RP.contoso.com是TMG的主机名,至于为啥加入tmg.contoso.com一会查清楚再修改。
分配全部结束。
接下来,启动服务。
最后只要检查所有服务都成功启动,Lync Server 2010边缘服务器的部署就算成功完成了。
这次部署体会到的经验就是,服务器的IP/FQDN/这些信息一定要前期规划好,在开始动手操作之前,一定要注意是不是符合要求的,并再次确认,本次因DMZ网卡地址未检查导致安装后部分服务不能启动,浪费了大量时间。