Разворачиваем Lync 2013. Установка lync Edge 6

Для чего нужен сервер Edge?

Сервер Edge необходим для подключений внешних клиентов к инфраструктуре Lync без VPN соединений. Обычно внешние клиенты подключаются к серверу Edge через общедоступную сеть «Интернет». Фактически Edge является проксирующим сервером, когда внешние клиентские подключения терминируются на сервере Edge и далее перенаправляются на внутренние Lync серверы или клиенты.

В проекте были запланированы подключения к инфраструктуре Lync  внешних клиентов из сети «Интернет», не планировалась федерация с другими организациями и с публичными IM. Так же допускалась возможность балансировки нагрузки внешнего трафика, поэтому ниже указана информация с учетом проектных требований. Единственное допущение которое было сделано, это  количество серверов Edge, на тестовом полигоне развернут один сервер по причине нехватки ресурсов, хотя требования и таблицы составлены с учетом нескольких серверов Edge.

Роли сервера Edge

Edge сервер состоит из нескольких ролей(сервисов), которые выполняют определенные задачи.

Access Edge роль

Единая точка подключение входящего и исходящего трафика протокола SIP.

Web Conferencing роль

Возможность подключения внешних клиентов к собраниям системы Lync.

Audio/Video Edge

Обеспечивает возможность использования аудио, видео, совместного доступа к приложениям и передачи файлов для внешних пользователей

Служба XMPP

Обмен сообщениями протокола XMPP с федеративными партнерами XMPP.

Основные требования для серверов Edge

Все требования для серверов Edge можно найти на TechNet, я отмечу те требования, которыми руководствовался я на этапе проектирования Edge.

Сетевые требования

• 2 сетевых адаптера. Один сетевой адаптер служит для внешних подключений, второй – для внутренних.
• Трафик «внешнего» и «внутреннего» сетевых адаптеров не должен маршрутизироваться (http://technet.microsoft.com/en-us/library/gg412847.aspx)
• Трафик входящий и исходящий для внутреннего сетевого адаптера Edge не поддерживает NAT.

*Рекомендация – минимум 3 внешних IP-адреса для внешних подключений. Для двух серверов Edge, использующих балансировку DNS должно быть выделено 6 внешних IP-адресов.             Так же можно использовать и один IP адрес, но при этом для внешних подключений будут использоваться нестандартные порты, что может вызвать проблемы подключений на стороне клиентов.

Шлюз по умолчанию указывается на «внешнем» адаптере Edge и ручным способом на сервере Edge указываются все подсети где находятся внутренний серверы Lync и клиенты.

Требования к DNS

Требования к DNS для сервера Edge указаны в разделе Разворачиваем Lync 2013. Подготовка инфраструктуры 2.

На TechNet дана рекомендация использования DNS серверов для Edge в зоне DMZ, чаще всего этого сервиса там нет, поэтому рекомендуется использовать внешний DNS сервер и в HOSTS указать необходимые хосты из внутренней сети. Я в нарушении этой рекомендации использовал внутренний DNS.

Требования к сертификатам

Требования к сертификатам представлены в разделе Разворачиваем Lync 2013. Подготовка инфраструктуры 3.

Для нескольких серверов Edge необходимо использовать один сертификат, для этого приватный ключ должен быть экспортируемым.

Балансировка нагрузки

Основное требование – тип балансировки для «внутреннего» и «внешнего» сетевых адаптеров должен быть одинаковым. В качестве балансировки нагрузки можно использовать DNS или HLB.

Требования к портам 

 Требования к портам указаны в таблице 6.3

Описание сетевой инфраструктуры

В компании Заказчика для обслуживания сетевой инфраструктуры центрального офиса (ЦО) развернут один брандмауэр, к которому подключены все сети ЦО. Упрощенная диаграмма представлена на рисунке 6.1

Рисунок 6.1. Диаграмма сетей, подключенных к брандмауэру

Internet – 192.168.0.0/24

Internal – 172.16.0.0/24

DMZ External – 172.16.1.0/24

DMZ Internal – 172.16.2.0/24

Сеть DMZ Internal  создана для того, чтобы выполнялись сетевые требования для сервера Edge.

Отношения между сетями:

Internet – DMZ External->NAT

DMZ Internal->Internal -> Routing.

Internet -> Internal — NAT

Таблицы 6.1 и 6.2 с сетевыми настройками брандмауэра и сервера Edge представлены ниже

таблица 6.1 Сетевые настройки брандмауэра

таблица 6.2 Сетевые настройки для сервера Edge

 Необходимо определить какой IP адрес будет прикреплен к ролям Edge сервера, в данном  примере  распределение будет следующим см. рисунок 1.1:

• Access Edge – IP№6
• Web Conf Edge — IP№7
• A/V — IP№8

Соотвестветнно трансляция NAT на брандмауэре должна быть настроена примерно следующим образом:

IP№15->IP№6

IP№16->IP№7

IP№17->IP№8

IP№18->IP№10

IP№19->IP№11

IP№20->IP№12

IP№21->IP№14

Требования к портам

Таблица 6.3. Требования к портам для «внешнего» и «внутреннего» сетевых адаптеров сервера Edge.

*Требования для сетевых адптеров представлены в двух закладках документа

Шаги развертывания Edge

1.   Настройка DNS, создание записей для Edge, настройка суффикса DNS для сервера Edge.
2.   Настройка сети на сервере Edge
3.   Создание сертфикатов и копирование на сервер Edge.
4.   Создание топологии и копирование файла с настройками топологии на сервер Edge
5.   Установка компонент Lync 2013 на сервере Edge
6.   Включение возможности подключения внешних пользователей к серверу Edge.

Настройка DNS, создание записей для Edge, настройка суффикса DNS для сервера Edge

Записи DNS должны быть созданы заранее. Суффикс DNS для сервера Edge настраивается в том же разделе где и имя компьютера:

Настройка сети на сервере Edge

Для настройки сети необходимо настроить два сетевых адаптера и указать статические маршруты к сетям где находятся клиенты и серверы Lync.

Создание сертфикатов и копирование на сервер Edge

Для нескольких серверов Edge необходимо использовать один сертификат, для этого приватный ключ сертификата должен быть экспортируемый. Устанавливать сертификаты необходимо в хранилище компьютера.

Создание топологии и копирование файла с настройками топологии на сервер Edge

Октываем Topology Builder и запускаем мастер создания нового пула Edge серверов.

Указать название пула серверов Edge (в случае балансировки DNS, для внутренних адаптеров должно быть несколько записей в DNS вида: LyncPoolEdge01.uc.loc = IP1(Edge 01 сервер),LyncPoolEdge01.uc.loc = IP2(Edge02 сервер) и т.д.)

Указать следующие настройки:

— Будет ли пул Edge серверов использовать единственный IP

— Используется ли федерация

— Используется ли XMPP  федерация

На сетевых адаптерах сервера Edge были настроены только IP адреса версии IPv4

Указать DNS-имена для сервисов Edge

Указать  именование сервера в пуле и IP-адрес «внутреннего» адаптера.

Указать IP-адреса, настроенные на внешнем сетевом адаптере сервера Edge для его ролей.

Указать внешний IP(тот который на сетевом оборудовании) с которого будет транслироваться трафик на A/V Edge. 

Указать с каким серверов Front будет работать пул серверов Edge 

После этого останется только опубликовать топологию и сделать экспорт в файл и скопировать на сервер Edge.

Экспорт топологии в файл:

Export-CsConfiguration -FileName topology.zip

 Установка компонентов Lync на сервер

Операция идентичная, той что была проделана при установке Front End, необходимо последовательно пройти все шаги (step1-step4)Единственное отличие это в первом шаге(Install Local Configuration Store) необходимо указать файл топологии.

Так же при назначении сертификатов не будет возможности OAuth, этот протокол поддерживается только «внутренними» серверами.

Проверка репликации между серверами Front End и Edge

Для того, чтобы понять что синхронизация между Front End и Edge работает можно воспользоваться командой Invoke-CsManagementStoreReplication и Get-CsManagementStoreReplicationStatus

Финальным шагом — разрешим внешним пользователям подключаться к серверам пула Edge

Покдлючение внешнего клиента — успешно..

На изображении видно, что синхронизация адресной книги не работает, это происходит из-за того что в инфраструктуре еще нет обратного проксирующего сервера.