完成了基础架构准备、活动目录和前端的部署,我们已经实现了基本的内部功能,今天我们就要来搭建边缘服务器以实现外部用户的访问前提。这里我再说一下此次我们的环境,这里我们只有一个公网IP,也就是我在前面一篇文章中创建边缘池时所定义的125.70.134.0网段的一个IP地址。这个IP是通过路由器ADSL拨号获得的,是个动态的IP地址,路由器后面通过一根网线连接到了我的台式机,然后在这个台式机上有Hyper-V 3.0,并创建了前面的两个网络,即一个外部网络(192.168.188.0网段,即我的路由器LAN网段)和一个内部网络(10.63.11.0网段,是实验环境的内网网段,是无法和192.168.188.0以及外部通讯的)。所以我们的环境还是比较简陋,如果有一个固定的公网IP那效果就更好了,这样我就可以邀请大家加入我的Lync Server 2013了。

好了废话就不说了,下面我们就开始今天的内容,今天的内容不多,只是操作和图片比较多,就不进行分节了。

首先我们在标准版前端服务器上运行Lync Server的Powershell,然后执行下面的命令来导出Lync Server拓扑配置,因为我们的边缘没办法直接从中央管理存储中索取配置进行安装本地配置存储。

Export-CsConfiguration c:\share\config.zip

单IP无TMG拓扑Lync Server 2013:边缘服务器_第1张图片

直接把导出的配置存到我们的共享文件夹中,以便边缘服务器能够直接读取而不需要再拷贝。然后我们切换到边缘服务器上,打开PowerShell执行以下命令:

Import-Module ServerManager

Install-WindowsFeature Windows-Identity-Foundation

单IP无TMG拓扑Lync Server 2013:边缘服务器_第2张图片

因为Lync Server 2013的服务器中必须安装Windows身份验证标识基础功能,这是一个新的基于.Net框架的拓展。开发者可以结合WIF、ADFS v2以及Microsoft ID做统一的身份验证。然后我们打开Lync的部署向导,选择安装或更新Lync系统。

单IP无TMG拓扑Lync Server 2013:边缘服务器_第3张图片

还是从步骤一开始执行,单击右侧的运行按钮,首先需要花不少时间来安装本地配置存储。

单IP无TMG拓扑Lync Server 2013:边缘服务器_第4张图片

这里我们没办法直接从中央管理存储中索取配置进行安装本地配置存储,所以就必须以从文件导入的形式,单击浏览到我们的共享文件夹选择刚才导出的配置文件即可。

单IP无TMG拓扑Lync Server 2013:边缘服务器_第5张图片

安装始终是一个漫长的过程,耐心等待。

单IP无TMG拓扑Lync Server 2013:边缘服务器_第6张图片

这里就不再多截图了,完成步骤一后直接进行步骤二后面的运行来安装Lync边缘服务器的组件。

单IP无TMG拓扑Lync Server 2013:边缘服务器_第7张图片

完成之后就需要申请证书了,我们用步骤三的向导来进行证书请求、颁发、导入以及分配即可。

单IP无TMG拓扑Lync Server 2013:边缘服务器_第8张图片

这里我们可以看到需要两个证书,一个用于内部一个用于外部,我们首先来申请内部证书,单击右侧的请求按钮。

单IP无TMG拓扑Lync Server 2013:边缘服务器_第9张图片

由于我们的Lync边缘服务器不在域中,没有办法联机的进行证书请求,所以我们就只能先准备证书请求,再将其生成的.req文件中的证书请求代码拿到CA去请求证书。

单IP无TMG拓扑Lync Server 2013:边缘服务器_第10张图片

然后需要选择一个保存证书的位置,这里我们就直接选择我们的共享文件夹,以图方便。命名时建议加上证书的用途,以免和后面的证书搞混。

单IP无TMG拓扑Lync Server 2013:边缘服务器_第11张图片

然后设置一个友好的证书名称,比如边缘内部。不需要标志证书私钥可以导出。

单IP无TMG拓扑Lync Server 2013:边缘服务器_第12张图片

其他的步骤与之前我们的证书申请是完全一样的,没有什么好说的,内部证书的配置非常简单,就不再多说了。在最后我们看下汇总,然后单击下一步提交。

单IP无TMG拓扑Lync Server 2013:边缘服务器_第13张图片

在之后会生成.req文件,我们单击查看,然后暂时将其放在那等外部的证书请求创建好了一同进行证书申请。我们回到证书向导界面选择Lync边缘外部,前面的步骤是完全一样的,在命名友好证书名称处默认已经复选了标识证书私钥允许导出,单击下一步。

单IP无TMG拓扑Lync Server 2013:边缘服务器_第14张图片

在配置证书SAN时我们添加dialin.contoso.com和meet.contoso.com,并确保之前的SN即证书使用者名称为sip.contoso.com。

单IP无TMG拓扑Lync Server 2013:边缘服务器_第15张图片

在最后又会创建一个.req文件,我们还是单击查看按钮。我们首先将其中一个.req的内容全部复制,然后用浏览器打开http://dc/certsrv并输入域管理员凭据。

单IP无TMG拓扑Lync Server 2013:边缘服务器_第16张图片

然后会进入CA Web页面,单击下方的申请证书,并选择提交生成的base-64编码的CMC或PKCS #10证书申请。然后我们在保存的申请下的填框中粘贴刚才复制的证书请求代码,并选择证书模板为Web服务器单击提交即可。

单IP无TMG拓扑Lync Server 2013:边缘服务器_第17张图片

提交后会进行自动审批颁发,我们就可以把证书下载下来了。重复一遍把内外证书都申请下来。在证书向导界面我们就可以进行证书的导入了,单击下方的导入证书按钮。

单IP无TMG拓扑Lync Server 2013:边缘服务器_第18张图片

会打开导入证书对话框,我们选择刚才下载的新证书,并选择证书文件包含证书私钥,输入一个新的证书密码。

单IP无TMG拓扑Lync Server 2013:边缘服务器_第19张图片

如果不习惯这种方式,我们也可以通过传统的MMC方式导入,不知道为何我通过证书向导中的导入向导没有把证书导入进来,后面重试了一遍又导入进去了。我们通过运行打开mmc,然后添加证书-本地计算机管理单元,然后选择证书,将我们申请的证书导入进来即可。

单IP无TMG拓扑Lync Server 2013:边缘服务器_第20张图片

需要注意的时我们把两个带私钥的证书导入进来后,还要确认下我们的根证书是不是也导入好了,在受信任的根证书颁发机构中找下。如果没有的话就登录http://dc/certsrv下载根证书。

单IP无TMG拓扑Lync Server 2013:边缘服务器_第21张图片

两个证书都导入好后,我们就可以在证书向导进行证书分配了。单击证书向导右侧的分配。

单IP无TMG拓扑Lync Server 2013:边缘服务器_第22张图片

在分配的时候根据我们选择要分配证书的服务来选择证书即可,千万不要搞反了。

单IP无TMG拓扑Lync Server 2013:边缘服务器_第23张图片

两个证书都已经分配好,中间会出来绿色的小勾表示已经OK,我们还可以通过证书和友好名称是否对应来检查下证书有没分错。确认没有问题后,就可以单击关闭进行下面的步骤了。

单IP无TMG拓扑Lync Server 2013:边缘服务器_第24张图片

在步骤四中我们通过向导来执行一次性的服务启动请求。

单IP无TMG拓扑Lync Server 2013:边缘服务器_第25张图片

服务启动操作执行完毕。

单IP无TMG拓扑Lync Server 2013:边缘服务器_第26张图片

我们打开服务管理单元看下服务是否都OK了。如果Lync开头的服务都已经正在运行,那就说明边缘的部署差不多了。

单IP无TMG拓扑Lync Server 2013:边缘服务器_第27张图片

到此我们就已经完成了本次实验的基础架构准备、活动目录搭建、前端服务器部署、边缘服务器部署了。但现在仍然还无法在外网乃至于192.168.188.0网段进行访问,因为还有一些配置需要做,在Lync Server控制面板中以及做路由器的虚拟服务器功能配置。在下一篇中将把这些内容带给大家,若大家在阅读文章时有任何的疑问、問題请随时回复文章,我们可以进行交流、讨论,谢谢!