Доброго дня.
Опять таки, для тех, кто имеет опыт установки и настройки пограничного сервера Lync 2013, тут мало что нового. И все же, в продолжение статьи Пошаговая установка Skype for Business Server 2015 Standard хочу поделиться опытом установки и настройки роли S4B Edge и разъяснить некоторые, не всегда понятные, моменты, поэтому прошу прощения за то, что статья такая длинная.
1. Требования к серверу с ролью Edge и схема решения.
В первую очередь, как обычно, следует начать с ознакомления с общими требованиями. Сервер, на котором будет установлена роль S4B Edge должен соответствовать следующим требованиям:
- Роль Edge, что называется, «standalone», то есть должна быть установлена на отдельном сервере, где нет других ролей сервера Skype для бизнеса;
- Сервер должен размещаться в периметре сети;
- Сервер не должен быть в домене, а должен находиться в рабочей группе;
- Сервер должен быть мультихомным, то есть, в нашем случае, иметь 2 сетевых адаптера;
Отдельное и особое внимание заслуживает рассмотрение требований к сети. Какие порты и протоколы должны быть открыты и как вообще выглядит схема движения трафика. Есть замечательный постер Skype for Business 2015 Protocol Workloads Poster, который описывает всю картину в целом, крайне рекомендую с ним ознакомится. Со своей стороны я, сделаю выжимку относительно роли Edge. В общем схема выглядит примерно так:
Так же, отдельно требуется заранее подготовить внешнюю зону DNS вашего домена.
Записи типа A. Имена можно выбрать по желанию, но именно их надо будет указать далее в топологии, как внешние имена служб S4B.
- sip.domain.com — access edge, запись службы установления подключения
- webconf.domain.com — web conference, запись службы поключения к веб конференции
- av.domain.com — audio & video traffic, запись службы аудио и видео траффика
Записи типа SRV.
- _sip._tls.domain.com — порт 5061 — классическая запись для автоообнаружения;
- _sipfederationtls._tcp.domain.com — порт 5061 — запись для обнаружения вашего домена федеративными пользователями;
Так же немаловажный вопрос, какой сертификат должен использоваться на сервере Edge, выданный собственным доменным центром сертификации или коммерческий, выданный публичным центром сертификации. Ответ тут довольно прост и очевиден. Коммерческий сертификат позволяет:
- Использовать федерацию со Skype(R);
- Избежать ряда административных вопросов в случае федерации со сторонними пользователями Skype for business (Lync и др.), таких как добавление вашего сертификата на сервер вашего федеративного партнера и пр.
- Избежать необходимости установки вашего сертификата на компьютеры удаленных пользователей.
- Избежать необходимости установки вашего сертификата перед подключение к веб-конференции.
- и т.д.
От себя могу порекомендовать использовать UCC Сертификаты наших партнеров. Однако, для целей тестирования вполне подойдет собственный сертификат, его я и буду использовать в этом развертывании.
2. Подготовка к развертыванию.
Сетевые адаптеры. Начать лучше с назначения адресов на сетевые адаптеры. Я их назвал не оригинально, DMZ и LAN соответственно.
- Сетевой адаптер LAN 192.168.1.31, в локальной сети
- Сетевой адаптер DMZ 172.17.1.31, в пограничной сети
FQDN сервера Edge. Поскольку сервер в рабочей группе, а не в домене, необходимо добавить ему DNS суффикс домена lab.local.
DNS. Теперь необходимо добавить имя S4B-Edge в DNS зону домена lab.local
Сертификаты. Теперь надо добавить корневой сертификат доменного центра сертификации, который будет использоваться для выдачи сертификатов серверу Edge. Самый простой, наверно, способ использовать веб-оснастку certsrv. В моем случае CA находится на контроллере домена DC01.
Скачать корневой сертификат,
И установить его в доверенные корневые центры сертификации.
Так, для чего, собственно, были проделаны эти шаги? Все коммуникации между серверами Skype для бизнеса являются зашифрованными. Поэтому было необходимо добиться того, чтобы серверы S4B-FE и S4B-Edge понимали друг друга и были доступны по своим FQDN. Для этой же цели на Edge установлен сертификат доменного центра сертификации.
2. Добавление Edge в топологию S4B.
Для этого, нужно открыть построитель топологии расположенный на сервере S4B-FE, и воспользоваться контекстным меню на соответствующем пункте
Если добавляется пул, в котором будет только один сервер Edge, то надо указать FQDN сервера Edge.
Сразу рекомендуемую включить федерацию и федерацию со Skype. XMPP, кто как хочет ☻
В моем случае я не буду использовать единое имя для всех сервисов, а разнесу их по разным именам.
Использовать только IPv4 на на внешнем (DMZ в моем случае) и внутреннем интерфейсе (LAN)
Поскольку в моем случае будет использоваться один внешний IP-адрес, и сервисы разнесены по разным именам, то надо задать имена этим сервисам и соответствующие порты 5061, 444, 443 «default and recommended»(c). Имена же можно выбрать по желанию ☻
Далее указать локальный адрес (LAN) сервера Edge.
Далее указать пограничный адрес (DMZ) сервера Edge.
Далее указать внешний адрес.
Теперь указать Front-End пул к которому этот сервер Edge будет привязан.
Поскольку других серверов (пулов) Edge тут нет, то смело ассоциируем этот пограничный сервер с пулом переднего плана
Теперь остается только опубликовать топологию
И убедиться, что топология успешно опубликована.
Через несколько минут, нужно будет выгрузить текущую конфигурацию в файл
Полученный файл edgeconf.zip скопировать на сервер Edge, он понадобится чуть позже.
3. Установка ролей и компонентов S4B Edge.
Собственно установка на сервере S4B Edge.
Далее запистить setup.exe с установочного диска Skype for business. Можно даже оставить галку проверить обновления.
Если обновления есть, то они скачаются и устанавливаться будет уже более новая версия
После установки компонентов ядра откроется Deployment Wizard. В нем нас интересует только установка.
Далее по порядку, шаг 1 установить компоненты локального хранилища.
Тут надо будет указать выгруженный ранее файл edgeconf.zip
Далее убедиться, что ошибок нет.
Теперь шаг 2, установка компонентов Skype
Убедиться, что установка прошла без ошибок.
Далее шаг 3, запрос и привязка сертификатов. Обратите внимание, что на втором шаге нет зеленой галки, о том что установка успешно выполнена, можно это проигнорировать, после настройки сертификатов галка появится.
Начнём с внутреннего сертификата, он будет использоваться для шифрования соединения между сервером Front-End и Edge. Итак, его надо запросить.
Запрос можно сделать оффлайновый, но зачем он нужен, когда можно сделать запрос онлайн ☻
Для этого потребуется указать путь к центру сертификации в виде «Сервер\Имя Центра сертификации»
Так же придется указать логин пароль, от чьего имени будет совершен запрос
Какой-то специальный шаблон можно выбирать по вашему усмотрению, по умолчанию будет использоваться шаблон WebServer на 2 года.
Далее можно изменить имя сертификата и по выбору сделать его экспортируемым или нет. Я поставил галку, но её можно и не ставить, этот сертификат нигде кроме этого сервера не пригодится.
Теперь надо запонить разные арибуты сертификата
И
Предложенный СN сертификата — FQDN сервера, в данном развертывании большего и не надо.
SAN имена добавлять в сертификат не надо
Далее краткое саммари и совершение запроса к CA
Далее непосредственно запрос и результат запроса
Далее, предлагается сразу же и првязать сертификат к службе запустив мастер назначения сертификатов к S4B.
Далее опять таки саммари
Теперь сертификат запрошен, выдан и назначен службе.
Теперь надо разобраться с сертификатом для внешнего доступа. Этот сертификат назначается на 3 службы:
- access edge, службы установления подключения (SIP)
- web conference, службы поключения к веб конференции
- audio & video traffic, службы аудио и видео траффика
В принципе, на каждую службу можно назначить по отдельному сертификату, но реальных примеров из жизни, и самое главное, необходимости в этом я не встречал. Тут же можно назначить на эти службы коммерческий сертификат если он есть. В моем случае его нет и я запрошу сертификат в доменном центре сертификации.
Далее практически все как с внутренним сертификатом, за следующими отличиями:
Имя сертификата
Автоматически подставится CN и SAN имена сертификата
Нужно указать sip домен
Так же нужно будет добавить еще одно имя av.alekssh.com
Далее все аналогично с внутренним сертификатом, выполнение запроса, выдача и привязка к соответсвующим службам в стиле «далее-далее». В итоге должно получиться вот так:
Так же проверьте, что в Deployment Wizard все галки радостно зеленеют.
После этого я рекомендую перезагрузить сервер, а после перезагрузки убедиться что службы запущены
и, конечно же, в панели управления на сервере Front-End (или веб консоли cscp) по зеленой галке убедиться, что идет репликация.
Теперь можно приступать к тестированию подключения через интернет 🙂
вроде работает.
Надеюсь статейка будет полезной ☻
Alexander Shestakov
Уведомление: S4B. Пошаговая новая установка Skype for Business Server 2015 Standard. S4B За 2 часа :-) | IT Notes by Alexander Shestakov
Привет. А можешь рассказать, какие порты, через что и куда ты пробрасывал?
НравитсяНравится
Да, в этом конкретном случае, я настроил проброс портов с внешнего адреса в подсеть, которая выполняет роль периметра. В роли файервола я использовал pfsence, пробросил tcp порты 5061, 444 и 443. На внутреннем периметре ничего не настривал, сервер был в локальной сети (по идее это не правильно, но для понимания логики достаточно)
НравитсяНравится
При переходе по https://sip.dom.com, пишет соединение сброшено, подключается теперь только при прокинутом VPN. На внешнем хостинге прописаны sip, _sipfederationtls._tcp, _sip._tls webconf, meet, dialin, av, lyncdiscover, при переходе по https://. Просьба обменяться почтой для ускорения)
НравитсяНравится
2 сетевых адаптера сделано для простоты настройки примера?
НравитсяНравится
Да нет, это если не обязательное требование, то как минимум рекомендация 🙂
НравитсяНравится
нужна ли запись av в публичном сертификате и для чего?
НравитсяНравится
Зависит от того как будет реализован Увпу сервер. В можно использовать как один адре с так и 3. Если один, то можно использовать и одно имя, 3 имени это для понимаю какой трафик куда идет. Если 3 адреса, то 3 имени необходимо. AV в моем случае указывает на адрес по которому осуществляется для движения медиа-трафика.
НравитсяНравится
Добрый день! Александр, подскажите, если сможете:
Поднят EDGE с внешним сертификатом и записями sip.firma.ru и webconf.firma.ru. При авторизации пользователя из интернет с именем user1@firma.ru все проходит замечательно. При авторизации пользователя с именем user2.firma2.ru (для домена firma2.ru есть запись _sip._tls.firma2.ru с отсылкой на sip.firma.ru) клиент скайп выдает предупреждение, что не удается проверить является ли этот сервер доверенным к вашему входу. На что я могу согласиться и также успешно авторизуюсь как пользователь. Вопрос — будет ли после такого предупреждения все корректно работать и как можно от этого избавиться, какие имена добавить во внешний сертификат?
НравитсяНравится
Спасибо, отличный вопрос:) я уж думал я один такой:)) признаться у меня такая конфигурация так и не взлетела. Не могу найти ссылку где я прочел или как я пришел к выводу, но: srv записи должны ссылаться на A запись своего домена, srv firma на sip.firma srv firma2 на sip.firma2 — соответственно в сертификате должен быть набор имен для обоих доменов. В моем случае забили и стали использовать один домен. Если получится проверить, то прошу отписаться по результатам — любопытно:)
НравитсяНравится