本篇博文进入Skype
for business 2015 综合部署系列的第七部分:配置Skype for business Server 2015 边缘传输服务器
。首先详细介绍了在前端服务器lync.itwish.cn部署边缘池并发布拓扑相关过程,其次介绍了在lyncedge.itwish.cn 部署边缘传输服务器准备事项(包括导出拓扑文件、添加相关DNS记录,导出AD域证书链及边缘计算机准备事项),然后介绍了边缘传输服务器的部署安装 ,最后对边缘服务器进行验证部署。对于该文章不完善之处,望在评论区指正,万分感谢 。
定义边缘池并发布拓扑
- 登录到 Skype for Business Server 2015 前端服务器 lync.itwish.cn ,打开
Skype for Business Server 2015 拓扑生成器
。 - 在控制台树中,展开要在其中部署边缘服务器的站点。
- 右键单击“ 边缘池
”,然后单击“ 新建边缘池
”。
- 在“ 定义新的边缘池
”屏幕上,单击“ 下一步
”。
- 在“ 定义边缘池 FQDN
”屏幕上,键入要使用的边缘服务器的完全限定域名 (FQDN),然后选择“ 此池具有多个服务器 ”,完成后单击“ 下一步
”。
- 计划启用联盟,请选中“为此边缘池启用联盟(端口 5061)
”复选框。
- 在“ 选择功能
”屏幕上,选择 “使用一个FQDN 和 IP地址”。 - 单击“下一步
”后,你将进入“ IP 选项
”屏幕。勾选“在内部接口启用IPV4”“在外部接口启用IPV4”,此外选中“ 此边缘池的外部 IP 地址是由 NAT 转换的
”复选框可以执行此配置。完成后,单击“ 下一步
”。
- 在“外部 FQDN”屏幕上,需要在“SIP 访问
”框中输入单个外部 FQDN。然后,需要为每个边缘服务输入不同的端口号,以允许它们全都能独立连接。我们建议 SIP 访问
边缘服务使用 5061, Web 会议
边缘服务使用 444, A/V
边缘服务使用 442。完成后单击“ 下一步
”。 - 现在进入了“ 内部FQDN 和 IP 地址
”屏幕。在“ 内部 IPv4 地址
”和“内部FQDN”文本框中输入边缘服务器的 IP 地址 和FQDN 名称。完成后单击“ 下一步
”。
- 在“ 定义外部 IP 地址
”屏幕上,请在“SIP 访问
”文本框中键入外部 IPv4 ,然后单击“ 下一步
”。
- 进入屏幕“ 定义公用 IP 地址
”文本框。你需要输入为 A/V 边缘服务设置的 IPv4 和/或 IPv6 地址,这些地址将由 NAT 转换。然后单击“完成”。
- 接下来的屏幕是“ 定义下一跃点
”。在“ 下一个跃点池
”框中,选择内部池的名称,内部池可以是前端池或独立池。如果环境中有控制器,则应选择控制器。然后单击“ 下一步
”。
- 在“ 关联前端池
”屏幕上,需要指定一个或多个要与此边缘服务器关联的内部池,包括前端池和 Standard Edition 服务器。只选择你所要的,使用此边缘服务器来与受支持的外部用户通信的内部池的名称。单击“ 下一步
”。
- 在下一个屏幕上单击“ 完成
”。
- 现在你就能发布这一更新的拓扑,从这里按照在 Skype for Business Server 2015 中部署边缘服务器中的说明,部署到边缘服务器中。
导出拓扑文件
为了成功部署,Skype
for Business Server
2015 部署向导需要访问中央管理存储数据。边缘服务器位于域的外部,因此有必要手动将拓扑文件导出到边缘服务器位置,通常借助物理介质。这样的导出通过
PowerShell 执行:
- 启动 Skype for Business Server 管理程序
。 - 在
Skype for Business Server 管理程序
中,运行以下命令: - 把导出文件通过物理介质放置转移到边缘服务器端
Export-CsConfiguration -FileName <ConfigurationFilePath.zip>
添加DNS记录并导出AD域证书链
登录server.itwish.cn 域控制器
- 添加 DNS相关A记录,为配置边缘部署做准备工作
- 下载或导出CA证书链(通过IE访问获取或通过mmc证书机构导出)
- 登录网址http://server.itwish.cn/certsrv ,在发证 CA 的 certsrv 网页上,在“ 选择任务”下,单击“ 下载 CA 证书、证书链或 CRL
”。
- 在“ 下载 CA 证书、证书链或 CRL
”下,单击“下载 CA 证书链
”。
- 保存到共享路径\\server.itwish.cn\Share\Certnew.p7b ,然后将其复制到边缘服务器的文件夹中。
在 Skype for Business Server 2015 中部署边缘服务器
边缘服务器计算机准备:
- 定义计算机名lyncedge ,并加入dns后缀
- 为边缘服务器安装两个网络适配器,一个用于面向内部的接口,另一个用于面向外部的接口。
- 在外部外围网络子网上配置一个静态 IP 地址,并将默认网关指向外部防火墙的内部接口。
- 在内部接口上,在内部外围网络子网上配置一个静态 IP。
- 在边缘服务器端导入AD域 Certnew.p7b证书链,登录MMC控制台 -“添加或删除单元”-“证书”- “计算机账户”,选择“证书”“受信任根证书颁发机构”,导入证书链
- 开启windows update 更新 ,请使用 Windows Update 确保 Windows Server 已更新为最新版本。
- 新添功能:
Windows Update 、.NET Framework 3.5 功能、.NET Framework 4.5 功能(HTTP
激活)、远程服务器管理工具(AD DS 和 AD LDS 工具)、Windows Identity Foundation 3.5等
边缘服务器安装
- 使用属于本地管理员组的帐户,登录到配置为边缘服务器角色的服务器。
- 进入 Skype for Business Server 2015 安装媒体。请双击setup.exe 程序进行“安装”,安装媒体需要 Microsoft Visual C++ 才能运行。系统将会自动安装Microsoft Visual C++。
- 智能设置是 Skype for Business Server 2015 中的一项新功能,允许您在安装过程中连接互联网检查更新。这能确保您在安装时获得最新产品更新,从而提供更好的体验。单击“ 安装
”开始安装。
- 仔细阅读许可协议,如果同意条款,请选择“ 我接受许可协议中的条款
”,然后单击“确定 ”。
- 至此,Skype
for Business Server 2015 核心组件已安装在边缘服务器上。核心组件包含以下内容:Skype for Business
Server 2015 部署向导 ,该部署程序提供了一块启动面板以安装 Skype for Business Server 2015
的各种组件;Skype for Business Server 2015 命令行管理程序,该预配置的 PowerShell 程序允许对
Skype for Business Server 2015 进行管理
- 完成核心组件的安装后,将自动启动
Skype for Business Server 2015 部署向导。单击部署向导上的“ 安装或更新Skype for Business Server 2015 系统 ”。
- 步骤 1:安装本地配置存储
a、检查步骤1的先决条件信息,可单击步骤1标题下的下拉菜单访问该信息。单击步骤1中的“运行”以启动“安装本地配置存储”的向导。
b、选择“从文件导入(建议边缘服务器使用)”,浏览选择导入到本地的拓扑配置文件1.zip ,然后单击“下一步”。
c、安装好本地配置存储后,您可以单击“查看日志”以查看日志。单击“完成”以关闭“安装本地配置存储”向导,然后返回“Skype for business 2015 - 部署向导”步骤。
- 步骤 2:安装或删除 Skype For Business Server 组件
a、检查步骤2的先决条件信息,可单击 步骤2 标题下的下拉菜单访问该信息。单击步骤2中的“运行”以启动“设置Skype for business server 组件”的向导 ,单击“下一步”。
b、安装好Skype
for business server 组件,可以看到“正在安装Server.msi(ADDLOCAL=Feature_Server_Edge REBOOT... “ ,即正在安装边缘传输的组件。
c、您可以单击“查看日志”以查看日志。单击“完成”以关闭“设置Skype for business
server 组件”向导,然后返回“Skype for business 2015 - 部署向导”步骤。
- 步骤 3:请求、安装或分配证书
- 生成边缘服务器内部及外部证书请求文件
a、检查先决条件,然后单击“步骤 3:请求、安装或分配证书 ”旁边的“运行”。
b、在“证书向导
”页上,选择“边缘内部” ,单击“请求”。
c、在“ 延迟的请求或即时请求
”页上,选择“ 立即准备请求,但是稍后发(脱机证书请求)
”选项。因边缘服务器无法直接与证书服务器联系。
d、在证书请求文件页中,创建证书签名请求文件的完整路径及文件名。
e、在“指定替代证书模板 ”页上,要使用默认的 Web 服务器模板,请单击“ 下一步
”。
f、在“名称和安全设置”页上,指定一个“ 友好名称
”。通过使用友好名称,您可以快速标识证书和目的。选择“将证书的私钥标记为可导出
”,然后单击“ 下一步
”。
g、填写组织信息 及 组织单位
h、选择国家/地区 ,填写地区
i、在“ 使用者名称/使用者替代名称
”页上,默认,然后单击“ 下一步”
j、在“ 配置其他使用者替代名称
”页上,添加其他任何需要的使用者替代名称,包括将来其他 SIP 域可能需要的使用者替代名称,默认,然后单击“ 下一步”。
k、在“ 证书请求摘要
”页上,检查摘要中的信息。如果信息正确,请单击“ 下一步
”。
l、在“正在执行命令”页上,单击“下一步”。
m、在“证书请求文件 ”页上,默认情况下,然后单击“ 完成
”。
n、通过同样的步骤,在“证书向导
”页上,选择“外部边缘证书” ,单击“请求”。
o、在证书请求页面 ,勾选“全部”和 “itwish.cn” ,默认下一步
p、在“ 配置其他使用者替代名称
”页上,添加其他任何需要的使用者替代名称,包括将来其他 SIP 域可能需要的使用者替代名称,默认,然后单击“下一步”
q、在“证书请求文件 ”页上,默认情况下,然后单击“ 完成
”。
r、至此,完成了边缘服务器内部及外部的证书请求。
- 通过ca证书机构生成边缘服务器内部及外部证书 。
a、登录网址http://server.itwish.cn/certsrv ,在发证 CA 的 certsrv 网页上,在“ 选择任务”下,单击“ 申请证书
”。b、在“ 申请证书页
”下,单击“高级证书申请 ”。
c、在“ 高级证书申请页
”下,单击“使用base 64 编码的CMC 或 ... ” 选项。
d、以记事本方式打开边缘服务器内部生成的证书请求文件 edge-internal.req 文件
e、将req文件复制到“Base-64 编码的证书申请”框内 ,证书模板选择“Web 服务器” ,单击提交
f、下载边缘服务器内部证书及证书链,并保存到本地
g、登录网址http://server.itwish.cn/certsrv ,在发证 CA 的 certsrv 网页上,在“ 选择任务”下,重新单击“ 申请证书
” ,对边缘服务器外部进行证书申请h、以记事本方式打开边缘服务器外部生成的证书请求文件 edge-internet.req 文件
i、如图,完成边缘服务器证书申请 ,外部证书edge_internet ,内部证书edge_internal
- 导入证书到边缘服务器端
a、把之前生成的边缘服务器外部证书edge_internet 及内部证书edge_internal ,放置到本地磁盘 ,返回到证书申请页面,登录mmc控制台 ,在“个人”“证书”选项,导入服务器外部证书edge_internet 及内部证书edge_internal。
- 分配证书
a、进入证书向导页面 ,选择“边缘内部”,单击“分配”选项
b、进入“证书分配页” ,确认证书正确 ,下一步
c、完成边缘内部证书与外部证书分配
- 步骤 4:启动服务
a、检查“ 步骤 4:启动服务
”的先决条件。
b、您使用
Start-CsWindowsService 启动相关服务。
c、在“ 正在执行命令 ”页上,成功启动所有服务后,单击“ 完成 ”。
d、再次运行
Windows Update
,检查在安装 Skype for Business Server 组件之后是否有任何更新。单击“ 退出
”以关闭部署向导。
验证边缘部署
验证边缘服务器与内部服务器之间的传输
- 在有中央管理存储的内部服务器上,或者安装了 Skype for Business Server 2015 核心组件 (OcsCore.msi)
的任何加入域的计算机上运行 Get-CsManagementStoreReplicationStatus
- 初次运行此命令的结果可能给出复制状态为 False,而不是 True。如果发生这种情况,请运行
Invoke-CsManagementStoreReplication cmdlet。留些时间让其完成复制,然后再次运行
Get-CsManagementStoreReplicationStatus cmdlet。
- 登录前端服务器,打开skype for business 控制面板拓扑 ,边缘服务器复制正常。
至此,完成Skype for business server 2015 边缘传输服务器部署。
原文地址:http://blog.51cto.com/itwish/2057262