Lync Server邊緣服務器的部署（無反向代理）

http://www.cnblogs.com/LanceLiu/archive/2011/12/27/LanceLiu.html

Lync Server邊緣服務器的部署 （無反向代理）

首先，和前面一樣讓我們回顧一下我們的環境，文章將要用到的Lync Server 2010部署拓撲圖，由於本系列內容可能比較多，所以用到的拓撲圖也會隨着文章的進程而逐漸添加相應的角色，所有拓撲圖也會做相應的改變。本次拓撲圖在原來的基礎上添加了邊緣服務器角色。邊緣服務器的部署有多種方案，這裏我們按照是否在外圍網絡中有方向代理服務器分爲兩種主要方案：一種是沒有在外圍網絡中沒有方向代理服務器（ISA/TMG）也就是本篇要介紹的拓撲，建議在此種部署方案中在邊緣路由器添加防火牆硬件模塊以提高安全性，因爲本方案沒有軟件防火牆（ISA/TMG）;另外一種是在外圍網絡中有反向代理服務器的拓撲（下篇進行介紹）。另外，根據邊緣服務器外網口上的IP地址是否爲靜態NAT還可以分兩種方案，關於此靜態NAT的部署方案將在後面系列文章中介紹。

注意：Lync邊緣服務器不支持和其他任何Lync服務器角色並置部署也不支持和反向代理服務器（如ISA和TMG）並置部署，另外，也不支持邊緣服務器的邊緣角色（訪問邊緣服務、A/V邊緣服務、web會議邊緣服務）分開部署，這和之前的ocs有很大的區別。那麼下面就讓我們來介紹一下我們今天的部署環境吧！

Lync部署拓撲圖 :

網絡環境：

從上面的拓撲中可以看出，在該測試環境中我們分爲3個部分：第一是拓撲最左邊部分的Internet用到的模擬公網IP爲202.100.100.0/24,在Internet上的用戶有企業的遠程用戶，聯盟用戶，和公共IM（測試時，由於環境限制我們只測試遠程用戶）。第二部分是lync邊緣服務器，這臺服務器都有兩個網卡。一個是用來連接Internet的外網卡（這裏爲了讓遠程用戶可以和邊緣服務器外網卡可以通信，我們用同一子網的IP202.100.100.1進行模擬。如果是真實環境的話，只要確認公網上的IP可以路由到該外網卡的公網IP即可）；一個是連接到內部網絡(10.0.0.0/16)。第三部分是拓撲中最右邊部分，也就是我們之前講的內部網絡，用到的內網是A類私有網絡10.0.0,子網掩碼爲255.255.0.0，DNS和DHCP服務器都爲10.0.0.1。

AD環境：

在本環境中有一個站點：beijing site和一個域：test.com。

其中bj-dc-01是域中的一臺DC另外此臺DC上面承載了CA(證書頒發機構)、DNS（域名服務）、DHCP（動態主機配置協議）的角色。

bj-lync-besql：後端數據庫服務器，監控服務器，存檔服務器。

bj-lync-fe：lync前端服務器，承載的角色有中介服務器、AV服務器、會議服務器、web服務器。

bj-client-win7：內部客戶端，將安裝lync 2010客戶端軟件。

Lync邊緣服務器:

bj-lync-edge：Lync邊緣服務器（本文章的重點）

服務器IP配置：

bj-dc-01:10.0.0.1/16

bj-lync-be:10.0.0.21/16

bj-lync-fe:10.0.0.22/16

bj-client-win7:DHCP動態獲取

bj-lync-edge：

內網卡：10.0.0.23/16

外網卡：202.100.100.1/24

邊緣服務器支持的外部用戶：

Lync Server支持的外部用戶包括：

遠程用戶 - 組織的內部用戶但在組織防火牆外工作。
聯盟用戶 - 與貴組織建立聯盟關係的其他組織中的用戶。
匿名用戶 - 組織外部應您的某個用戶邀請而加入特定會議的用戶。
公共 IM 服務用戶 - 使用 MSN Internet 服務網絡、Yahoo! 和 AOL 提供的公共 IM 服務的用戶。公共 IM 連接需要使用單獨的許可證。

遠程用戶在您的防火牆外工作時，也可以從 Lync Server 的大多數功能受益。聯盟用戶可與貴組織的用戶共享 IM 和狀態數據。所有這些類型的外部用戶均可參加內部會議、進行數據協作，以及通過貴組織的防火牆中繼音頻和視頻。

爲允許外部用戶訪問，Lync Server 提供了邊緣服務器角色。邊緣服務器在外圍網絡中運行，可將您的部署與外部用戶聯繫起來。此外，HTTP 反向代理不是 Lync Server角色，但可用於對使用 Lync Web App 的外部用戶進行身份驗證。提供以下各項時必須使用 HTTP 反向代理：

對通訊簿信息的外部訪問
擴展通訊組中成員身份的能力
對 Web 會議的會議內容的訪問（白板，PPT文件上傳）
向遠程用戶提供設備更新服務

邊緣服務器角色：

在 Lync Server 2010中，每臺邊緣服務器都運行三種服務：訪問邊緣服務、Web 會議邊緣服務和 A/V 邊緣服務。

1.訪問邊緣服務

訪問邊緣服務負責處理通過企業防火牆的所有 SIP 流量。訪問邊緣服務僅處理建立和驗證連接所需的 SIP 流量。它並不處理數據傳輸，也不對用戶進行身份驗證。對入站流量的身份驗證由控制器或前端服務器執行。控制器是 Office Communications Server 2007 R2 Standard Edition Server 或企業版池，它位於組織防火牆之內，但不承載用戶。控制器並非必需，但強烈建議您使用它。如果未部署控制器，則在指定的池或 Standard Edition Server 上的前端服務器中執行此身份驗證。（執行身份驗證必須訪問 Active Directory 域服務，即 AD DS，但邊緣服務器不具有該訪問權限，因爲它們部署在 AD DS 之外的外圍網絡中。）訪問邊緣服務對於所有外部用戶方案（包括會議、遠程用戶訪問、聯盟和公共 IM 連接）都必不可少。

2.Web 會議邊緣服務

Web 會議邊緣服務負責代理 Web 會議服務器與外部客戶端之間的持續性共享對象模型 (PSOM) 流量。外部會議流量必須經過 Web 會議邊緣服務授權，才能轉發到 Web 會議服務器。Web 會議邊緣服務要求外部客戶端使用 TLS 連接並獲得會議會話密鑰。

3.A/V 邊緣服務

A/V 邊緣服務提供一個可信的連接點，入站和出站媒體流量（包括應用程序共享流量）通過它能夠安全地穿越網絡地址轉換 (NAT) 和防火牆。多媒體穿越防火牆的行業標準解決方案是互動式連接建立 (ICE)，它基於“NAT 下的簡單穿越”(STUN) 和“使用中繼 NAT 進行穿越”(TURN) 協議。A/V 邊緣服務是一種 TURN/STUN 服務器。所有用戶都要經過身份驗證，以確保以安全方式訪問企業以及使用 A/V 邊緣服務提供的防火牆穿越服務。若要在企業內部發送媒體，外部用戶必須經過身份驗證，而且必須有經過身份驗證的內部用戶同意與之通過 A/V 邊緣服務進行通信。

安裝前的準備

安裝邊緣服務器的軟件要求：
系統：Windows Server 2008 SP2或Windows Server 2008 R2
組件：

Microsoft .Net 3.5 SP1
PowerShell v2（2008R2已經內置）
Visual C++ ()（可在安裝Lync Server時安裝）

DNS配置要求：
外部DNS配置：
主機記錄：DNS A記錄；外圍網絡中每臺反向代理服務器的反向代理外部接口的DNS A 記錄
SRV記錄：_sip._tls.<domain>（Port：443）； _sipfederationtls._tcp.<domain> （Port：5061）

內部DNS配置
主機記錄：所有內部服務器的DNS 記錄；邊緣服務器的邊緣內部接口的DNS A 記錄
SRV記錄： _sipinternaltls._tcp. <domain>（Port：5061）

外部和內部硬件防火牆配置要求（根據實際情況而定，如果企業只有外部硬件防火牆那麼久參考下圖的外部防火牆部分配置相應端口；如果企業只有內部硬件防火牆那麼就根據下圖配置內部防火牆相應端口；如果有內外防火牆那麼就安裝下圖都配置）：

邊緣服務器部署步驟：

安裝系統必備軟件。
建立邊緣拓撲結構。
將導出的拓撲配置文件傳輸到每臺邊緣服務器。
配置邊緣服務器（配置網卡IP和DNS後綴等）。
在邊緣服務器上安裝Lync Server 2010 軟件。
安裝本地存儲和相應組件。
爲邊緣服務器請求並安裝證書。
啓動邊緣服務器服務。
設置外部用戶訪問的支持。

安裝系統必備軟件

建立邊緣拓撲結構

1.啓動拓撲生成器：依次單擊“開始”、“所有程序”和“Microsoft Lync Server 2010”，然後單擊“Lync Server 拓撲生成器”。

2.選擇從現有部署中下載拓撲，如下圖：

3.選擇存儲拓撲的位置

4.在控制檯樹中，展開要在其中部署邊緣服務器的站點。右鍵單擊“邊緣池”，然後單擊“新建邊緣池”。

5.在“定義新的邊緣池”中，單擊“下一步”。

6.在“定義邊緣池 FQDN”中，執行以下操作：

在“池 FQDN”中，鍵入邊緣服務器內部接口的完全限定域名 (FQDN)。
單擊“單個計算機池”，然後單擊“下一步”。

7.在“選擇功能”中，執行下列操作：

如果您計劃將單個 FQDN 和 IP 地址用於 SIP 訪問服務、Lync Server Web 會議服務和 A/V 邊緣服務，請選中“使用單個 FQDN 和 IP 地址”複選框。
如果您計劃啓用聯盟，請選中“啓用聯盟(端口 5061)”複選框。
如果您計劃將網絡地址轉換 (NAT) 用於公共 IP 地址，請選中“邊緣池的外部 IP 地址由 NAT 轉換”複選框。

這裏我們選中前兩個選項：

8.在“外部 FQDN”中，由於我們在“選擇功能”中選擇將單個 FQDN 和 IP 地址用於 SIP 訪問、Web 會議服務和 A/V 邊緣服務，在“SIP 訪問”中鍵入外部 FQDN：sip.test.com,在端口中分別輸入5061、444、442

注意：

如果選擇此選項，則必須爲每個邊緣服務指定不同的端口號（推薦的端口設置爲：訪問邊緣服務爲 5061，Web 會議邊緣服務爲 444，A/V 邊緣服務爲 443）。選擇此選項可幫助防止潛在的連接問題並簡化配置，因爲可以將同一端口號（例如，443）同時用於所有這三種服務。

單擊“下一步”。

9.在“定義內部 IP 地址”的“內部 IP 地址”中，鍵入邊緣服務器的 IP 地址，然後單擊“下一步”。

10.在“定義外部 IP 地址”中，在“SIP 訪問”中鍵入邊緣服務器的外部 IP 地址：202.100.100.1，然後單擊“下一步”。

11.在“定義下一個躍點”的“下一個躍點池”中，選擇內部池的名稱，該池可以是前端池，也可以是 Standard Edition 池。

注意：如果部署包括控制器，則鍵入控制器的名稱。然後單擊“下一步”。

12.在“關聯前端池”中，通過選擇將該邊緣服務器用於與支持的外部用戶通信的內部池名稱，來指定要與該邊緣服務器關聯的一個或多個內部池，其中可包括前端池和 Standard Edition Server。

注意：

只能將一個負載平衡邊緣池或單臺邊緣服務器與 A/V 流量的每個內部池關聯。如果您已將內部池與邊緣池或邊緣服務器關聯，則會顯示警告，指出該內部池已與邊緣池或邊緣服務器關聯。如果選擇已與其他邊緣服務器關聯的池，則會更改關聯。

單擊“完成”。

可以查看已經定義的邊緣服務器：

發佈拓撲

每次使用拓撲生成器生成拓撲時，必須將拓撲發佈到中央管理存儲中的數據庫，以便該數據可用於部署 Lync Server 2010。請使用以下過程發佈拓撲。

1.在拓撲生成器的控制檯樹中，右鍵單擊“Lync Server 2010”，然後單擊“發佈拓撲”。

2.在嚮導的“發佈拓撲”頁上，單擊“下一步”。

3.在“發佈嚮導已完成”頁上，單擊“完成”。

在前端服務器導出拓撲文件

使用 Lync Server 命令行管理程序導出拓撲文件使拓撲數據在邊緣服務器上可用啓動 Lync Server 命令行管理程序：依次單擊“開始”、“所有程序”和“Microsoft Lync Server 2010”，然後單擊“Lync Server 命令行管理程序”。

2.在 Lync Server 命令行管理程序中，運行以下 cmdlet：

Export-CsConfiguration -FileName <ConfigurationFilePath.zip>

3.將導出的文件複製到外部介質（例如，在部署過程中可從邊緣服務器訪問的 USB 驅動器或網絡共享）。

配置邊緣服務器（配置網卡IP和DNS後綴等）

修改邊緣服務器上的DNS後綴

配置邊緣服務器的網絡（很簡單，這裏就不講了）

邊緣服務器上安裝Lync Server 2010 軟件。

安裝本地存儲和相應組件

以本地 Administrators 組成員的身份或使用具有等效用戶權限的帳戶登錄到要安裝邊緣服務器的計算機。
請確保使用拓撲生成器創建、然後導出並複製到外部媒體的拓撲配置文件在邊緣服務器上可用（例如，在邊緣服務器上，連接拓撲配置文件複製到的 USB 驅動器，或驗證能否訪問文件複製到的網絡共享）。
啓動部署嚮導。
在部署嚮導中，單擊“安裝或更新 Lync Server 系統”。