S4B. Установка пограничной роли Skype for Business Server 2015.

Skype-for-Business-HomeDesktop


Доброго дня.

Опять таки, для тех, кто имеет опыт установки и настройки пограничного сервера Lync 2013, тут мало что нового. И все же, в продолжение статьи Пошаговая установка Skype for Business Server 2015 Standard хочу поделиться опытом установки и настройки роли  S4B Edge и разъяснить некоторые, не всегда понятные, моменты, поэтому прошу прощения за то, что статья такая длинная.

1. Требования к серверу с ролью Edge и схема решения.

В первую очередь, как обычно, следует начать с ознакомления с общими требованиями. Сервер, на котором будет установлена роль S4B Edge должен соответствовать следующим требованиям:

  • Роль Edge, что называется, «standalone», то есть должна быть установлена на отдельном сервере, где нет других ролей сервера Skype для бизнеса;
  • Сервер должен размещаться в периметре сети;
  • Сервер не должен быть в домене, а должен находиться в рабочей группе;
  • Сервер должен быть мультихомным, то есть, в нашем случае, иметь 2 сетевых адаптера;

Отдельное и особое внимание заслуживает рассмотрение требований к сети. Какие порты и протоколы  должны быть открыты и как вообще выглядит схема движения трафика. Есть замечательный постер Skype for Business 2015 Protocol Workloads Poster, который описывает всю картину в целом, крайне рекомендую с ним ознакомится. Со своей стороны я, сделаю выжимку относительно роли Edge. В общем схема выглядит примерно так:

edge-only


Так же, отдельно требуется заранее подготовить внешнюю зону DNS вашего домена.

o365-add-sub-2016-11-16-13_33_20-%d0%bc%d0%be%d0%b8-%d0%b4%d0%be%d0%bc%d0%b5%d0%bd%d1%8b-it-notes-by-alexander-shestakov-wordpress

Записи типа A. Имена можно выбрать по желанию, но именно их надо будет  указать далее в топологии, как внешние имена служб S4B.

  • sip.domain.com — access edge, запись службы установления подключения
  • webconf.domain.com — web conference, запись службы поключения к веб конференции
  • av.domain.com — audio & video traffic, запись службы аудио и видео траффика

Записи типа SRV.

  • _sip._tls.domain.com — порт 5061 — классическая запись для автоообнаружения;
  • _sipfederationtls._tcp.domain.com — порт 5061 — запись для обнаружения вашего домена федеративными пользователями;

Так же немаловажный вопрос, какой сертификат должен использоваться на сервере Edge, выданный собственным доменным центром сертификации или коммерческий, выданный публичным центром сертификации. Ответ тут довольно прост и очевиден. Коммерческий сертификат позволяет:

  • Использовать федерацию со Skype(R);
  • Избежать ряда административных вопросов в случае федерации со сторонними пользователями Skype for business (Lync и др.), таких как добавление вашего сертификата на сервер вашего федеративного партнера и пр.
  • Избежать необходимости установки вашего сертификата на компьютеры удаленных пользователей.
  • Избежать необходимости установки вашего сертификата перед подключение к веб-конференции.
  • и т.д.

От себя могу порекомендовать использовать UCC Сертификаты наших партнеров. Однако, для целей тестирования вполне подойдет собственный сертификат, его я и буду использовать в этом развертывании.


2. Подготовка к развертыванию.

Сетевые адаптеры. Начать лучше с назначения адресов на сетевые адаптеры. Я их назвал не оригинально, DMZ и LAN соответственно.

s4b-edge-2016-11-15-21_48_46-network-and-sharing-center

  • Сетевой адаптер LAN 192.168.1.31, в локальной сети

s4b-edge-2016-11-15-21_47_29-network-connection-details

  • Сетевой адаптер DMZ 172.17.1.31, в пограничной сети

s4b-edge-2016-11-15-21_48_07-network-and-sharing-center

FQDN сервера Edge.  Поскольку сервер в рабочей группе, а не в домене, необходимо добавить ему DNS суффикс домена lab.local.

s4b-edge-2016-11-14-15_22_45-server-manager

DNS. Теперь необходимо добавить имя S4B-Edge в DNS зону домена lab.local

s4b-fe-edge2016-11-14-15_15_57-topology-builder

Сертификаты. Теперь надо добавить корневой сертификат доменного центра сертификации, который будет использоваться для выдачи сертификатов серверу Edge. Самый простой, наверно, способ использовать веб-оснастку certsrv. В моем случае CA находится на контроллере домена DC01.

s4b-edge-2016-11-15-22_08_23-microsoft-active-directory-certificate-services-internet-explorer

Скачать корневой сертификат,

s4b-edge-2016-11-15-22_08_51-microsoft-active-directory-certificate-services-internet-explorer

И установить его в доверенные корневые центры сертификации.

s4b-edge-2016-11-15-22_09_55-certificate-import-wizard

Так, для чего, собственно, были проделаны эти шаги? Все коммуникации между серверами Skype для бизнеса являются зашифрованными. Поэтому было необходимо добиться того, чтобы серверы S4B-FE и S4B-Edge понимали друг друга и были доступны по своим FQDN. Для этой же цели на Edge установлен сертификат доменного центра сертификации.


2. Добавление Edge в топологию S4B.

Для этого, нужно открыть построитель топологии расположенный на сервере S4B-FE, и воспользоваться контекстным меню на соответствующем пункте

s4b-fe-edge2016-11-14-15_21_38-skype-for-business-server-2015-topology-builder

Если добавляется пул, в котором будет только один сервер Edge,  то надо указать FQDN сервера Edge.

s4b-fe-edge2016-11-14-15_23_19-define-new-edge-pool

Сразу рекомендуемую включить федерацию и федерацию со Skype. XMPP, кто как хочет ☻

s4b-fe-edge2016-11-14-15_23_30-define-new-edge-pool

В моем случае я не буду использовать единое имя для всех сервисов, а разнесу их по разным именам.

s4b-fe-edge2016-11-14-15_24_42-define-new-edge-pool

Использовать только IPv4 на на внешнем (DMZ в моем случае) и внутреннем интерфейсе (LAN)

s4b-fe-edge2016-11-14-15_24_45-define-new-edge-pool

Поскольку в моем случае будет использоваться один внешний IP-адрес, и сервисы разнесены по разным именам, то надо задать имена этим сервисам и соответствующие порты 5061, 444, 443 «default and recommended»(c). Имена же можно выбрать по желанию ☻

s4b-fe-edge2016-11-14-15_25_14-define-new-edge-pool

Далее указать локальный адрес (LAN) сервера Edge.

s4b-fe-edge2016-11-14-15_25_30-define-new-edge-pool

Далее указать пограничный адрес (DMZ) сервера Edge.

s4b-fe-edge2016-11-14-15_26_06-define-new-edge-pool

Далее указать внешний адрес.

s4b-fe-edge2016-11-14-15_35_31-define-new-edge-pool

Теперь указать Front-End пул к которому этот сервер Edge будет привязан.

s4b-fe-edge2016-11-14-15_35_36-define-new-edge-pool

Поскольку других серверов (пулов) Edge тут нет, то смело ассоциируем этот пограничный сервер с пулом переднего плана

s4b-fe-edge2016-11-14-15_35_43-define-new-edge-pool

Теперь остается только опубликовать топологию

s4b-fe-edge2016-11-15-23_09_04-skype-for-business-server-2015-topology-builder

И убедиться, что топология успешно опубликована.

s4b-fe-edge2016-11-14-15_36_12-publish-topology

Через несколько минут, нужно будет выгрузить текущую конфигурацию в файл

s4b-fe-edge2016-11-14-15_47_11-administrator_-skype-for-business-server-management-shell

Полученный файл edgeconf.zip скопировать на сервер Edge, он понадобится чуть позже.


3. Установка ролей и компонентов S4B Edge.

Собственно установка на сервере S4B Edge.

s4b-edge-2016-11-14-15_40_35-skype-for-business-server-2015

Далее запистить setup.exe с установочного диска Skype for business. Можно даже оставить галку проверить обновления.

s4b-edge-2016-11-14-15_41_35-skype-for-business-server-2015

Если обновления есть, то они скачаются и устанавливаться будет уже более новая версия

s4b-edge-2016-11-14-15_43_55-skype-for-business-server-2015

После установки компонентов ядра откроется Deployment Wizard. В нем нас интересует только установка.

s4b-edge-2016-11-14-15_45_03-skype-for-business-server-2015-deployment-wizard

Далее по порядку, шаг 1 установить компоненты локального хранилища.

s4b-edge-2016-11-14-15_46_24-skype-for-business-server-2015-deployment-wizard

Тут надо будет указать выгруженный ранее файл edgeconf.zip

s4b-edge-2016-11-14-15_47_46-install-local-configuration-store

Далее убедиться, что ошибок нет.

s4b-edge-2016-11-14-15_59_29-install-local-configuration-store

Теперь шаг 2,  установка компонентов Skype

s4b-edge-2016-11-14-15_59_44-skype-for-business-server-2015-deployment-wizard

Убедиться, что установка прошла без ошибок.

s4b-edge-2016-11-14-16_12_37-set-up-skype-for-business-server-components

Далее шаг 3, запрос и привязка сертификатов. Обратите внимание, что на втором шаге нет зеленой галки, о том что установка успешно выполнена, можно это проигнорировать, после настройки сертификатов галка появится.

s4b-edge-2016-11-14-16_13_15-skype-for-business-server-2015-deployment-wizard

Начнём с внутреннего сертификата, он будет использоваться для шифрования соединения между сервером Front-End и Edge. Итак, его надо запросить.

s4b-edge-2016-11-14-16_13_27-certificate-wizard

Запрос можно сделать оффлайновый, но зачем он нужен, когда можно сделать запрос онлайн ☻

s4b-edge-2016-11-14-16_13_34-certificate-request

Для этого потребуется указать путь к центру сертификации в виде «Сервер\Имя Центра сертификации»

s4b-edge-2016-11-14-16_14_07-certificate-request

Так же придется указать логин пароль, от чьего имени будет совершен запрос

s4b-edge-2016-11-14-16_14_20-certificate-request

Какой-то специальный шаблон можно выбирать по вашему усмотрению, по умолчанию будет использоваться шаблон WebServer на 2 года.

s4b-edge-2016-11-14-16_14_24-certificate-request

Далее можно изменить имя сертификата и по выбору сделать его экспортируемым или нет. Я поставил галку, но её можно и не ставить, этот сертификат нигде кроме этого сервера не пригодится.

s4b-edge-2016-11-14-16_14_29-certificate-request

Теперь надо запонить разные арибуты сертификата

s4b-edge-2016-11-14-16_14_38-certificate-request

И

s4b-edge-2016-11-14-16_14_52-certificate-request

Предложенный СN сертификата — FQDN сервера, в данном развертывании большего и не надо.

s4b-edge-2016-11-14-16_14_56-certificate-request

SAN имена добавлять в сертификат не надо

s4b-edge-2016-11-14-16_15_00-certificate-request

Далее краткое саммари и совершение запроса к CA

s4b-edge-2016-11-14-16_15_03-certificate-request

Далее непосредственно запрос и результат запроса

s4b-edge-2016-11-14-16_15_12-certificate-request

Далее, предлагается сразу же и првязать сертификат к службе запустив мастер назначения сертификатов к S4B.

s4b-edge-2016-11-16-15_56_19-certificate-request

Далее опять таки саммари

s4b-edge-2016-11-16-16_00_42-certificate-assignment

Теперь сертификат запрошен, выдан и назначен службе.

s4b-edge-2016-11-16-16_01_06-certificate-assignment

Теперь надо разобраться с сертификатом для внешнего доступа. Этот сертификат назначается на 3 службы:

  • access edge, службы установления подключения (SIP)
  • web conference, службы поключения к веб конференции
  • audio & video traffic, службы аудио и видео траффика

В принципе, на каждую службу можно назначить по отдельному сертификату, но реальных примеров из жизни, и самое главное, необходимости в этом я не встречал. Тут же можно назначить на эти службы коммерческий сертификат если он есть. В моем случае его нет и я запрошу сертификат в доменном центре сертификации.

s4b-edge-2016-11-14-16_30_42-certificate-wizard

Далее практически все как с внутренним сертификатом, за следующими отличиями:

Имя сертификата

s4b-edge-new-cert2016-11-16-16_22_26-certificate-request

Автоматически подставится CN и SAN имена сертификата

s4b-edge-new-cert2016-11-16-16_22_41-certificate-request

Нужно указать sip домен

s4b-edge-new-cert2016-11-16-16_22_48-certificate-request

Так же нужно будет добавить еще одно имя  av.alekssh.com

s4b-edge-new-cert2016-11-16-16_23_09-certificate-request

Далее все аналогично с внутренним сертификатом, выполнение запроса, выдача и привязка к соответсвующим службам в стиле «далее-далее». В итоге должно получиться вот так:

s4b-edge-new-cert2016-11-16-16_24_02-certificate-wizard

Так же проверьте, что в Deployment Wizard все галки радостно зеленеют.

s4b-edge-new-cert2016-11-16-16_33_23-skype-for-business-server-2015-deployment-wizard

После этого я рекомендую перезагрузить сервер, а после перезагрузки убедиться что службы запущены

s4b-edge-new-cert2016-11-16-16_35_48-services

и, конечно же,  в панели управления на сервере Front-End (или веб консоли cscp)  по зеленой галке убедиться, что идет репликация.

s4b-fe-edge2016-11-16-16_44_29-skype-for-business-server-2015-control-panel

Теперь можно приступать к тестированию подключения через интернет 🙂

o365-add-sub-2016-11-16-17_09_25-skype-%d0%b4%d0%bb%d1%8f-%d0%b1%d0%b8%d0%b7%d0%bd%d0%b5%d1%81%d0%b0

вроде работает.


Надеюсь статейка будет полезной ☻

Skype-for-Business-HomeDesktop

Реклама

Об авторе Alexander Shestakov

MCITP, MCSE. Компания "Динамика"
Запись опубликована в рубрике Skype for Business с метками , , , , , , , , , , , . Добавьте в закладки постоянную ссылку.

10 комментариев на «S4B. Установка пограничной роли Skype for Business Server 2015.»

  1. Уведомление: S4B. Пошаговая новая установка Skype for Business Server 2015 Standard. S4B За 2 часа :-) | IT Notes by Alexander Shestakov

  2. Александр:

    Привет. А можешь рассказать, какие порты, через что и куда ты пробрасывал?

    Нравится

    • Да, в этом конкретном случае, я настроил проброс портов с внешнего адреса в подсеть, которая выполняет роль периметра. В роли файервола я использовал pfsence, пробросил tcp порты 5061, 444 и 443. На внутреннем периметре ничего не настривал, сервер был в локальной сети (по идее это не правильно, но для понимания логики достаточно)

      Нравится

  3. Максим:

    При переходе по https://sip.dom.com, пишет соединение сброшено, подключается теперь только при прокинутом VPN. На внешнем хостинге прописаны sip, _sipfederationtls._tcp, _sip._tls webconf, meet, dialin, av, lyncdiscover, при переходе по https://. Просьба обменяться почтой для ускорения)

    Нравится

  4. Ruslan Kuzmenkov:

    2 сетевых адаптера сделано для простоты настройки примера?

    Нравится

  5. nick39:

    нужна ли запись av в публичном сертификате и для чего?

    Нравится

    • Зависит от того как будет реализован Увпу сервер. В можно использовать как один адре с так и 3. Если один, то можно использовать и одно имя, 3 имени это для понимаю какой трафик куда идет. Если 3 адреса, то 3 имени необходимо. AV в моем случае указывает на адрес по которому осуществляется для движения медиа-трафика.

      Нравится

  6. Денис:

    Добрый день! Александр, подскажите, если сможете:
    Поднят EDGE с внешним сертификатом и записями sip.firma.ru и webconf.firma.ru. При авторизации пользователя из интернет с именем user1@firma.ru все проходит замечательно. При авторизации пользователя с именем user2.firma2.ru (для домена firma2.ru есть запись _sip._tls.firma2.ru с отсылкой на sip.firma.ru) клиент скайп выдает предупреждение, что не удается проверить является ли этот сервер доверенным​ к вашему входу. На что я могу согласиться и также успешно авторизуюсь как пользователь. Вопрос — будет ли после такого предупреждения все корректно работать и как можно от этого избавиться, какие имена добавить во внешний сертификат?

    Нравится

    • Спасибо, отличный вопрос:) я уж думал я один такой:)) признаться у меня такая конфигурация так и не взлетела. Не могу найти ссылку где я прочел или как я пришел к выводу, но: srv записи должны ссылаться на A запись своего домена, srv firma на sip.firma srv firma2 на sip.firma2 — соответственно в сертификате должен быть набор имен для обоих доменов. В моем случае забили и стали использовать один домен. Если получится проверить, то прошу отписаться по результатам — любопытно:)

      Нравится

Добавить комментарий

Заполните поля или щелкните по значку, чтобы оставить свой комментарий:

Логотип WordPress.com

Для комментария используется ваша учётная запись WordPress.com. Выход / Изменить )

Фотография Twitter

Для комментария используется ваша учётная запись Twitter. Выход / Изменить )

Фотография Facebook

Для комментария используется ваша учётная запись Facebook. Выход / Изменить )

Google+ photo

Для комментария используется ваша учётная запись Google+. Выход / Изменить )

Connecting to %s