Lync Server 2010的部署系列_第八章 部署边缘服务器(下)
九、安装边缘服务器
1) 以本地 Administrators 组成员的身份或使用具有等效用户权限的帐户登录edge.Gianthard.com(192.168.1.23),并插入lync server安装光盘。
2) 请确保使用Topology Builder创建、然后导出并复制到外部媒体的拓扑配置文件在边缘服务器上可用(例如,在边缘服务器上,连接拓扑配置文件复制到的 USB 驱动器,或验证能否访问文件复制到的网络共享)。(参考8.7 导出拓扑并将其复制到外部媒体以用于边缘安装)
3) 启动部署向导。如果收到需要安装 Microsoft Visual C++ 可再发行软件包的消息,请单击“是”。在下一个对话框中,接受默认的“安装位置”或单击“浏览”选择备用位置,然后单击“安装”。在下一个对话框中,选中“我接受许可协议中的条款”复选框,然后单击“确定”。
4) 在部署向导中,单击“安装或更新 Lync Server 系统”。
5) 在“许可协议”页上,选中“我接受许可协议中的条款”,然后单击“确定”
6) 此时安装程序将安装 Lync Server 2010 核心组件。
7) 在部署向导中,单击“安装或更新 Lync Server 系统”。
8) 向导确定部署状态后,对于“步骤 1. 安装本地配置存储”,单击“运行”。
9) 然后在“配置中央管理存储的本地副本”对话框中,单击“从文件导入(建议用于边缘服务器)”,转到拓扑配置文件导出到的位置,选择 .zip 文件,单击“打开”,然后单击“下一步”
10) “执行命令”过程完成后,单击“完成”。
11) 在部署向导中,单击“步骤 2: 安装或删除 Lync Server 组件”安装本地计算机上存储的 XML 配置文件中指定的 Lync Server 边缘组件。
12) 在“安装 Lync Server 组件”页上,单击“下一步”根据发布的拓扑中的定义安装组件。
13) 安装完成后,在启动服务前使用设置边缘证书中的信息安装并分配所需证书。
十、为内部接口下载 CA 证书链
请注意,证书的私钥必须是可导出的,不管是在一台边缘服务器上使用还是在多台边缘服务器上使用。如果要从任何计算机(边缘服务器除外)请求证书,则私钥也必须可导出。
1) 在企业根 CA 脱机且企业从属(即发证)CA 服务器联机的情况下,以 Administrators 组成员的身份登录到内部网络中的Front.Gianthard.com(192.168.1.21)。打开浏览器然后键入以下地址“http://<name of your Issuing CA Server>/certsrv” 在“选择任务”下,单击“下载 CA 证书、证书链或 CRL”。
2) 在“下载 CA 证书、证书链或 CRL”下,单击“下载 CA 证书链”。
3) 在“文件下载”对话框中,单击“保存”。
4) 将 .p7b 文件保存到服务器的硬盘上,然后将其复制到每台边缘服务器的文件夹中。注:此证书还需要导入到TMG。
十一、为内部接口导入 CA 证书链
1) 登录edge.Gianthard.com(192.168.1.23),打开 Microsoft 管理控制台 (MMC),方法是依次单击“开始”、“运行”,在“打开”框中键入 mmc,然后单击“确定”。
2) 在“文件”菜单上,单击“添加/删除管理单元”,然后单击“添加”。
3) 在“添加独立管理单元”框中,单击“证书”,然后单击“添加”。
4) 在“证书管理单元”对话框中,单击“计算机帐户”,然后单击“下一步”。
5) 在“选择计算机”对话框中,确保选中“本地计算机: (运行此控制台的计算机)”复选框,然后单击“完成”。
6) 单击“关闭”,然后单击“确定”。
7) 在控制台树中,展开“证书(本地计算机)”,右键单击“受信任的根证书颁发机构”,指向“所有任务”,然后单击“导入”。
8) 点击下一步。
9) 在向导的“要导入的文件”中,指定证书的文件名(即在前面过程中为内部接口下载 CA 证书链时指定的名称)。
10) 点击下一步。
11) 点击完成。
12) 点击确定。
十二、为内部接口创建证书申请
1) edge.Gianthard.com(192.168.1.23)启动部署向导,然后单击“步骤 3: 请求、安装或分配证书”旁边的“运行”。
2) 在“可用的证书任务”页上,单击“请求”。
3) 在“证书请求”页上,确定是内网的证书请求信息,单击“下一步”。
4) 在“延迟的请求或即时请求”页上,单击“现在准备请求,但稍后发送”。
5) 在“证书请求文件”页上,键入要向其保存请求的完整路径和文件名(例如,c:\cert_internal_edge.req)。
6) 在“指定替代证书模板”页上,按照默认点击下一步。
7) 在“名称和安全设置”页上,在“友好名称”中,键入证书的显示名称。在“位长度”中,指定位长度(通常为默认值“2048”)。要使证书可以导出,请选中“将证书的私钥标记为可导出”复选框。
8) 在“组织信息”页上,键入组织名称和组织单位 (OU)(例如分部或部门)。
9) 在“地理信息”页上,指定位置信息。
10) 在“使用者名称/使用者备用名称”页上,将显示向导自动填充的信息。
11) 在“配置其他使用者备用名称”页上,指定所需的任何其他使用者备用名称。
12) 在“请求摘要”页上,检查要用于生成请求的证书信息。
13) 完成命令后,完成证书请求,请单击“下一步”。
14) 在“证书请求文件”页上,关闭向导,请单击“完成”。将 req文件保存到服务器的硬盘上,然后将其传给Front.Gianthard.com(192.168.1.21)。
十三、批准并下发内部接口证书申请
1) 在企业根 CA 脱机且企业从属(即发证)CA 服务器联机的情况下,以 Administrators 组成员的身份登录到内部网络中的Front.Gianthard.com(192.168.1.21)。打开浏览器然后键入以下地址“https://<name of your Issuing CA Server>/certsrv” 在“选择任务”下,单击“申请证书”。
2) 点击高级证书申请。
3) 点击“使用 base64 编码的 CMC 或 PKCS #10 文件提交 一个证书申请,或使用 base64 编码的 PKCS #7 文件续订证书申请。”
4) 用记事本打开在“8.11 为内部接口创建证书申请”申请的c:\cert_internal_edge.req。
5) 将内容复制到“Base-64 编码的 证书申请 (CMC 或 PKCS #10 或 PKCS #7):”。证书模板选择“web服务器”,点击提交。
6) 将所有的证书文件下载下来。必将文件保存到服务器的硬盘上,然后将其复制到每台边缘服务器的文件夹中。
十四、为内部接口导入证书
1) 以本地 Administrators 组成员的身份登录到在其上创建了证书请求的边缘服务器edge.Gianthard.com(192.168.1.23)。在证书向导页中点击“导入证书”
2) 在“可用的证书任务”页上,单击“从 .P7b, .pfx 或 .cer 文件导入证书”。在“导入证书”页上,键入为此边缘服务器的内部接口请求并接收的证书的完整路径和文件名(或单击“浏览”找到并选择该证书)。
3) 点击下一步。
4) 点击完成。
十五、在边缘服务器上分配内部证书
1) 在“可用的证书任务”页上,单击“分配”。
2) 点击下一步。
3) 在“证书分配”页上,选择列表中的“intranet”。
4) 在“证书分配摘要”页上,检查设置,然后单击“下一步”以分配证书。
5) 在向导完成页上,单击“完成”。
6) 使用此过程分配内部边缘证书后,在每台服务器上打开“证书”管理单元,依次展开“证书(本地计算机)”、“个人”,单击“证书”,然后确认详细信息窗格中是否列出了内部边缘证书。
十六、为外部边缘接口设置证书
1) 以本地 Administrators 组成员的身份登录到边缘服务器edge.Gianthard.com(192.168.1.23)。在部署向导中,单击“步骤 3: 请求、安装或分配证书”旁边的“运行”。
2) 在“可用的证书任务向导”页上,单击“请求”。
3) 在“证书请求”页上,确定是外网的证书请求信息,单击“下一步”。
4) 在“延迟的请求或即时请求”页上,选中“现在准备请求,但稍后发送”复选框。
5) 在“证书请求文件”页上,键入要向其保存请求的文件的完整路径和文件名(例如,c:\cert_exernal_edge.cer)。
6) 在“指定备用证书模板”页上,点击下一步。
7) 在“名称和安全设置”页上,在“友好名称”中,键入证书的显示名称。在“位长度”中,指定位长度(通常为默认值“2048”)。验证是否选中了“将证书私钥标记为可导出”复选框。
8) 在“组织信息”页上,键入组织和组织单位(例如,分部或部门)的名称。
9) 在“地理信息”页上,指定位置信息。
10) 在“使用者名称/使用者备用名称”页上,将显示向导自动填充的信息。如果需要其他使用者备用名称,可以在接下来的两个步骤中指定。
11) 在“使用者备用名称(SAN)的 SIP 域设置”页上,选中域复选框以向使用者备用名称列表中添加 sip.< Gianthard.com > 条目。
12) 在“配置其他使用者备用名称”页上,指定所需的任何其他使用者备用名称,有“Rp.Gianthard.com(web外部服务)、Dialin.Gianthard.com(拨入URL)、Meet.Gianthard.com(会议URL)、TMG.Gianthard.com(TMG服务器的FQDN)”。
13) 在“请求摘要”页上,检查要用于生成请求的证书信息。
14) 命令运行完成后,要完成证书请求,请单击“下一步”。
15) 在“证书请求文件”页上,要关闭向导,请单击“完成”。将 req文件保存到服务器的硬盘上,然后将其传给Front.Gianthard.com(192.168.1.21)。
十七、批准并下发外部接口证书申请
1) 在企业根 CA 脱机且企业从属(即发证)CA 服务器联机的情况下,以 Administrators 组成员的身份登录到内部网络中的Front.Gianthard.com(192.168.1.21)。打开浏览器然后键入以下地址“https://<name of your Issuing CA Server>/certsrv” 在“选择任务”下,单击“申请证书”。
2) 点击高级证书申请。
3) 点击“使用 base64 编码的 CMC 或 PKCS #10 文件提交 一个证书申请,或使用 base64 编码的 PKCS #7 文件续订证书申请。”
4) 用记事本打开在“8.15 为外部边缘接口设置证书”申请的c:\cert_internal_edge.req。
5) 将内容复制到“Base-64 编码的 证书申请 (CMC 或 PKCS #10 或 PKCS #7):”。证书模板选择“web服务器”,点击提交。
6) 将所有的证书文件下载下来。必将文件保存到服务器的硬盘上,然后将其复制到每台边缘服务器的文件夹中。
十八、为边缘服务器的外部接口导入证书
1) 以本地 Administrators 组成员的身份登录到边缘服务器edge.Gianthard.com(192.168.1.23)。在部署向导中的“部署边缘服务器”页上,单击“步骤 3: 请求、安装或分配证书”旁边的“运行”。
2) 在“可用的证书任务”页上,单击“从 .P7b, .pfx 或 .cer 文件导入证书”。在“导入证书”页上,键入为此边缘服务器的内部接口请求并接收的证书的完整路径和文件名(或单击“浏览”找到并选择该证书)。
3) 在“导入证书”页上,键入为边缘服务器的外部接口请求的证书的完整路径和文件名(或,单击“浏览”找到并选择该文件)。
4) 单击下一步。
5) 点击完成。
十九、为边缘服务器的外部接口分配证书
1) 在“可用的证书任务”页上,单击“分配”。
2) 在“证书分配”页上,确定是外网的证书请求信息,单击“下一步”。
3) 在“证书存储”页上,选择为边缘服务器的外部接口请求和导入的公共证书。
4) 在“证书分配摘要”页上,检查设置,然后单击“下一步”以分配证书。
5) 在向导完成页上,单击“完成”。
6) 使用此过程分配边缘证书后,请在每台服务器上打开“证书”管理单元,依次展开“证书(本地计算机)”、“个人”,单击“证书”,然后确认详细信息窗格中是否列出了该证书。
二十、导出“为外部边缘接口”的证书
1) 登录edge.Gianthard.com(192.168.1.23)。然后打开运行输入“mmc”。
1) 在文件中点击“添加/删除管理单元”。
2) 选择证书,点击添加。
3) 选择计算机账户,点击下一步。
4) 选择本地计算机,点击完成。
5) 点击确定。
6) 依次展开证书(本地计算机)、个人、证书。选择sip.Gianthard.com池证书,鼠标右键点击,指向“所有任务”,点击导出。
7) 弹出欢迎向导,点击下一步。
8) 选择“是,导出私钥”。点击下一步。
9) 点击下一步。
10) 设定一个导出密码“Gianthard.com”。
11) 选择一个导出的地址,点击下一步。
12) 点击完成。
13) 点击确定。
然后将此证书复制到要安装TMG(TMG.Gianthard.com“192.168.1.21”)的计算机。由于证书需要携带私钥,所以这一步骤请不要跳过。
二十一、启动边缘服务器
1) 以本地 Administrators 组成员的身份登录到边缘服务器edge.Gianthard.com(192.168.1.23)。在部署向导中的“部署边缘服务器”页上,单击“步骤 4: 启动服务”旁边的“运行”。
2) 在“启动 Lync Server 2010 服务”页上检查服务列表,然后单击“下一步”以启动服务。
二十二、验证内部服务器与边缘服务器之间的连接
1) 登录Front.Gianthard.com(192.168.1.21)。打开开始菜单,点击所有程序,展开“Microsoft Lync Server 2010”,运行“Lync Server 2010 命令行管理程序“
2) 输入以下命令“Get-CsManagementStoreReplicationStatus” 来验证是否已将配置信息复制到边缘。
初始结果可能指示复制的状态为“False”而非“True”。如果是这样,则运行 Invoke-CsManagementStoreReplication。
3) 输入netstat –ano,显示相应的对外开放的端口。
