Установка Lync Server 2010 с чистого листа (Edge)
По многочисленным заявкам зрителей первой пилотной серии под названием «Установка Lync Server 2010 с чистого листа» наш сериал продолжается!
Встречайте новую полнометражную серию — Установка Lync Server 2010 Edge!
В процессе установки Edge роли были также затронуты вопросы публикации веб компонентов Lync Server 2010 и компонентов Центра Сертификации через Forefront TMG Server 2010 в Интернет, а также другие вопросы и некоторые проблемы. Как и в прошлый раз решали задачу «в лоб», без подготовки, по ходу подготавливая всю периферию и решали возникающие проблемы\ошибки.
Посмотреть запись [1 час 22 минуты] [MamyshevStankyLyncServer2010EdgeInstall.wmv]
Приятного просмотра.
—
Полезные ссылки про Edge и внешний доступ к Lync Server 2010:
— Planning for External User Access
— Deploying Edge Servers
— OCS 2007 R2 PIC fails against AOL
— Microsoft Lync Server Public IM Connectivity Provisioning
— Lync Server 2010 Remote Connectivity Analyser
— Edge Server Reference Architecture diagrams
Заметки ИТ инженера 
Отлично!
И по ходу с работы я сегодня очень поздно уйду… 😉
Типа, проверить всё на личном опыте 🙂 ?
Обязательно! Я сразу всё в продакшен 😉 И всегда стараюсь всё делать по металогии т.е. по феншую! Чтобы всё красиво было! Мне очень нравится Выш подход!
И мне кажется это лучший формат донесения информации который Вы выбрали. Так держать!
У меня есть пару вопросов:
1. С одним интерфейсом EDGE можно поднять? у меня TMG в конфигурации с тремя интерфейсами. (DMZ, Internal и External)?
2. пока из головы вылетел… Вспомню напишу 😉
1. А в чём смысл? Можно, конечно, извратиться, и сделать чтоб на одном сетевом интерфейсе была и внутренняя и внешняя сеть, но чего ради?
2. Так Lync’ом и пишем 😉 !
Вспомнил второй вопрос! С помощью чего Вы записываете видео?
на внешнем DNS необходимо прописывать srv записи? Если да, то какого формата она должна быть?
Что значит «какого формата»? Я же в записи очень детально этот момент освещал. Если что-то непонятно, рекомендую обратиться к документации…
1. В том что у меня один IP и он на TMG на котором опубликованы все сервисы: OWA, ActiveSync, AnyWhere, Lync Web App, CA и прочее. TMG в виртуале и на ESX кластере. Всё сети по vlan. Возможно ли опубликовать EDGE через TMG? или мне придётся EDGE добавить ещё один интерфейс с внешним vLan который идёт на Cisco и на ней уже сделать nat по портам 5061,444,443 протокол TCP на EDGE сервер? Хотя 443 не получиться прокинуть, потому что он идёт на TMG…
2. Догодался, увидел панел вверху экрана.
1. Изначально вопрос был про один ИНТЕРФЕЙС, а не IP-адрес 😉 ! Lync можно разместить за NAT’ом, которым в вашем случае может выступать TMG, но мы с этим не извращались.
Тааак! Вот и вторая часть для фильма! Как разместить EDGE за TMG. Мне кажется что это самый распространеный случай и при нём возникает масса вопросов.
Так что ждём! )))
в ролике было только про SRV для федерации… Ещё раз пересмотрю этот момент.
Ну а что ещё надо 🙂 ?
Во внутренней DNS зоне sipdomain.ru должна быть такая SRV:
_sipinternaltls._tcp.sipdomain.ru SRV service location:
priority = 0
weight = 0
port = 5061
svr hostname = LyncPool.domain.local
Во внешней DNS зоне sipdomain.ru должны быть такие SRV:
_sipfederationtls._tcp.sipdomain.ru SRV service location:
priority = 0
weight = 0
port = 5061
svr hostname = sip.sipdomain.ru
_sip._tls.sipdomain.ru SRV service location:
priority = 0
weight = 0
port = 443
svr hostname = sip.sipdomain.ru
Во внутренней зоне может быть и _sip._tls.sipdomain.ru, что я, собственно, и предпочитаю 🙂 .
Спасибо!
А если оба прописать sipinternalstls и sip_tls? масло масленое не получится?
или при sipinternalstls — ненадо создавать cname для sip на сервер front-end, а для записи sip_tls надо создавать cname?
Просто у Вас в ролике по этому поводу небольшой спор возник 😉
Можете хоть sipexternaltls к ним в придачу прописать — разницы ни какой! Все SRV-записи абсолютно равнозначные. А CNAME вас вообще ни кто не заставляет создавать — указывайте существующую A-запись 😉 .
Это где у нас спор возник? В самом первом, что ли?
да, в самом первом ролике.
Можете подсказать где эти моменты описаны?
Эти — которые? А, вообще, читайте документацию 😉 …
где описано как разместить EDGE за TMG.
ок, будем читать документацию.
В документации по развертыванию Edge написано требование к NAT — Destination NAT\Source NAT. ISA этого точно не умеет, с TMG вопрос открытый, можно потестировать.
Однако в документации — http://technet.microsoft.com/en-us/library/gg425882.aspx про возможность\невозможность использования TMG как NAT для A\V Edge не упоминается (в аналогичной доке по OCS 2007 R2 помоему была сноска о том, что ISA Для этих целей не поддерживается).
Протестировали Lync Edge полностью за TMG-шным NAT-ом. Похоже весь функционал Lync оказался работоспособным. Потестируем, понаблюдаем..
Кроме того сделали вывод что и за ISA также можно сделать, но с оговорками и условиями.
Возможно это будет тема следующей записи.
Отлично!
Хорошая Новость. Я сейчас пошёл немного другим путём:
решил Edge дать второй внешний интерфейс куда проброшен внешний vlan который смотрит на циску и уже на циске сделать NAT TCP на порты 5061, 50444, 50443 на Edge сервер.
Но пока что не получается…
Получилось! За NAT в топологи необходимо было указать внутренний IP адрес интерфейса который смотрит в Интернет, а не публичный IP адрес. И службы все запустились!
Что то ссылка не работает.(( А посмотреть ну очень уж хочется.
У Вас в планах нет идеи заснять ещё один ролик про то как с интегрировать Lync Server c Exchange Server 2010?
Когда можно ожидать видео «Lync Sever 2010(EDGE) за Forefront TMG 2010»? 😉
UM — В планах нет, но возможно.
Edge за NAT — В планах есть, скоро.
Кстате за NAT всё получилось! Весь функционал доступен и работает отлично!
Вот только был косяк с маршрутизацией т.к. сервер находится в 7 подсети, а клиенты в 10 подсети, то не работало разшаривание рабочих столов и прочее с пользователями во вне организации.
Решилось прописыванием маршрута на EDGE до сети где расположены пользователи. Может кому пригодиться…
Вообщето доступность маршрута от ПК пользователя в локальной сети до внутреннего интерфейса Edge — это требование документации.
Оооо.. Супер, будем ждать.
От чего зависит видео UM+Lync?
ИМХО мне кажется если будет UM+Lync то получется полноценное руководство по Full интеграции Lync на предприятии…
Но всё равно Спасибо!
))) Я понимаю, но чаще мы(позволю с Вашего разрешения себе так выразиться) всё делаем с наскока. А когда не получается обращаемся в форумы и к документации.
И эта ещё одна из причина по которой Ваш формат донесения информации и опыта по душе многим кто заходит на этот Блог и смотрит Ваше видео. Т.к. она отражает(может и к сожалению) реальную жизень ИТ инженеров…
Чтобы показать Exch UM, нужно поднять еще и сам Exchange..
Пока не хватает ресурсов, аппаратных и временных (этого особенно).
Подскажите, пожалуйста, по поводу интеграции Exchange UM и Lync Server.
Всё сделал по инструкции http://blog.schertz.name/2010/11/lync-and-exchange-um-integration/
Но вместо TLS выбрал TCP. Служба UM на Exchange поднялась, но пытается с Lync соединиться по порту 5060, а Lync у себя в логах пытается соединиться с Exchange по порту 5061. Как можно поменять порт у Exchange?
Пробывал поставить TLS и выбирал защищеный, но при этом варианте служба UM на Exchange не запускается и ругается на сертификат…
Ура!!! Получилось подружить Lync и Exchange. Разобрался где надо назначать сертификат))) Прикольная вещь!
Получите и распишитесь 🙂 …
Спасибо! На днях обязательно посмотрю! )))
Хотел добавить.
при публикации Web Components через TMG нужно в поле To выставить «Forward the original host header instead of the actual one » иначе внешние клиенты не могут получить адресную книгу.
Супер!
Очень помогло про галочку в политиках в NTLM SSP. а то уже голову сломала — что не так. Спасибо! 🙂
Не посоветуете, куда копать?
Проблема в публикации веб-компонентов Lync.
Не проходит тест правило, пишет:
Категория: Ошибка сертификата сервера назначения
Сведения об ошибке: 0x80090322 — Главное конечное имя неверно.
Действие: Перейти к http://go.microsoft.com/fwlink/?LinkId=115965
По ссылке ходила, там говорят, что имя сертификата (CN) не совпадает с именем публикуемого веб-сайта (внутренним, на вкладке Куда). Но оно совпадает!
В чем еще может быть проблема?
Проблему с сертификатом решила.
Я ошиблась в имени. У меня FQDN в External Web service было указано lync.domain.ru
Выписала сертификат на это имя. Ошибка теперь другая 🙂
Сведения об ошибке: 10061 — Подключение не установлено, т.к. конечный компьютер отверг запрос на подключение.
Действие: Перейти к http://go.microsoft.com/fwlink/?LinkId=115965
По ссылке говорят. что IIS 6.0 не работает (но он работает) или порт на сервере не прослушивается.
Но, если я правильно понимаю, все это есть и работает. Что может быть не так?
После ребута FF TMG все заработало. Спасибо. Прекрасно сама с собой поговорила. а главное — результат есть 🙂
На форум 😉 .
Так часто бывает. Когда все подробно о проблеме расскажешь, изложишь — становится видна картина в целом и можно даже и самому разобраться.. 😉
Привет!
Поставил сингл-сервер — все работает кроме связи внешних и внутренних пользователей. Чат идет — голос нет. Пытается соединиться и отбивается.
Сервер с 1м внутренним ИП, под него на НАТе выделен внешний ИП. Порты вроде все открыл.
Что может быть?
Это очень хорошо, что вы ещё до моего ответа написали на форум — значит, не зря мы это постоянно повторяем 🙂 .
Добрый день. Посмотрел ваши ролики по установке линка. Спасибо огромное, все очень здорова показали! Но вот возникла проблема после установки EDGE. Дело в том что в вашем методе описывается публикация через TMG, и с 3 внешними апами. Я попытался сделать на 1 ип адресе и без TMG. Проблема вот в чем. С клиента линка на сервер попасть можно вбив в настройках адрес сервера руками. Автоматически он его не цепляет а пишет что с данной версии приложения не войти… Attendee Под анонимом пускает на ура, но через авторизацию сообщает when contacting your support team, reference error id 403 (source id 239). Snooper сначала сообщает SIP/2.0 401 Unauthorized, затем SIP/2.0 403 Forbidden. Посоветуйте где копать?!
На форуме, на форуме и ещё раз на форуме 😉 !
Он не работает 😦
Запости там ) просто дело в том что сайт social.technet.microsoft.com уже пару дней не открывался…
Доброго времени суток!
Поднял демо стенд, абсолютный аналог стенда с видео, только без TMG. Центр сетификации в интернет не опубликовывал. Пока ставлю сертификаты вручную. Внутри сервера и в локалке все работает. Edge уставлен. Проблема с подключением из интернета вне зависимости от версии винды. В DNS записи добавил. Домен sip.contoso.com из интернета пингуется ссылаясь на нужный ip. При подключении клиент долго думает, потом выдает стандартную ошибку: «…сервер временно недоступен…». Адрес сервера выставлен вручную: sip.contoso.com:443. Поставил сниффер на клиента, он почему-то стучиться на сервер по порту 3389.
Из-за того, что не развернут TMG, соответственно не опубликованы веб-компаненты. Может быть проблема в этом?
Не судите строго, поднимаю первый раз)
Не устану это повторять — с вопросами обращаемся на форум 😉 …
P. S. А 3389 — это порт для RDP-подключений 😉 .
Спс. Stanky дай свой e-mail. Есть вопрос не для форума, если что, скинь на voland.85@mail.ru
Здравствуйте ребята!!
Я тоже из Самары и мне очень понравилось что вы сделали… но у меня возник небольшой затык с сертификатами…
Если есть возможность, загляните на форум
http://social.technet.microsoft.com/Forums/ru/lync2010ru/thread/39ae0f4c-e43b-431e-9312-7ca1c036856e
Приветствую, Александр, Илгиз. Просто хочется от всей души поблагодарить ВАс за то, что Вы охотно делитесь знаниями. Очень пригодились доклады по публикации Edge на TMG. Все работает, кроме адресной книги у внешних клиентов, но тут видимо затык с публикацией веб-комнонентов. Чуть позже буду с этим разбираться. Еще раз спасибо, не останавливайтесь)
Илгиз, добрый день,
спасибо за видео, очень познавательное.
Я делал топологию, как и у вас, но у меня возникли проблемы и скорей всего вы уже сталкивались с ними.
Проблема с правилом публикации на TMG
Время, зафиксированное службой межсетевого экрана Microsoft Forefront TMG: 0,005 сек.
Тестирование https://server.mydomain.ru:4443/
Категория: Ошибка сертификата сервера назначения
Сведения об ошибке: 0x80090322 — Главное конечное имя неверно.
Действие: Перейти к http://go.microsoft.com/fwlink/?LinkId=115965
Подскажите как проще сделать сертификаты? могу ли я сейчас в рабочей среде выдать другие?
Буду очень благодарен…
Привет Илгиз! В очередной раз хочу просить твоей помощи
http://social.technet.microsoft.com/Forums/ru-ru/lync2010ru/thread/d8160c89-6ef5-4505-b7cd-bd118d1315b9
спасибо)
Добрый день! Отчаянно прошу помощи! Бьюсь 3 недели с одной и той же проблемой. Возникает проблема при попытках зайти на опубликованные веб компоненты Lync сервера через TMG. При попытке входа на meet.domain.ru, сервер отвечает ошибкой 403, хотя внутри всё работает как надо! Недавно разметил вопрос на Technet, но пока так и не разобрался. Вот топик: http://social.technet.microsoft.com/Forums/ru-RU/03c50a6b-b6b3-4135-ad4d-4aa986a0473a/lync-server-2010-403-
Буду признателен!
Добрый день. Мучаюсь с публикацией webcomponents lync на tmg. Про прверке правила ругается на:
Время, зафиксированное службой межсетевого экрана Microsoft Forefront TMG: 0,019 сек.
Тестирование https://lync.xxx:4443/
Категория: Ошибка сертификата сервера назначения
Сведения об ошибке: 0x80090322 — Главное конечное имя неверно.
Действие: Перейти к http://go.microsoft.com/fwlink/?LinkId=115965
Я так понимаю что необходимо на TMG добавить сертификат CA. однако ни как не получается его создать….в оснастке центра сертификации тупо нет шаблона «Проверка подлинности сервера»
Lync 2013, на самих, отдельно доменах все работает на ура. Все настройки эджа делал по видео и вопрос еще такой, 3 айпи адреса это чьи там приписаны они? Айпишки того куда надо пересылать или от куда приходит ?
Скажем у меня 3 домена дс1(172.16.1.1) , дс2(172.16.2.1) и дс3(172.16.3.1). Чьи и писать если мне нужна связь с каждым ?
! У меня вопрос. Поднято 6 доменов в каждом из них эксчендж ,lync ,центр сертификации(все на отдельных машинах) суть проблемы не могу создать связи между клиентами разных доменов(они все отличны друг от друга айпишки (172.16.1~7.1)и все остальное. Еще есть фишка у всех доменов нет выхода в интернет. Суть вопроса как сделать так что пользователи этих доменов могли друг друга видеть( сделать эдже между ними не получатся.). Все машины пингуются. Фаерволов нет и ТМГ так же отсутствует.
Буду рад всем советам.
Повторюсь. И так есть 7 доменов на windows 2012(дс1,дс2,дс3, дс4, дс5, дс6,дс7 ) на каждом домене на отдельных машинах установлены exchange 2013, lync 2013, CA(все настроено по видео и чтению литературы из интернета). Каждый домен по отдельности работает отлично без сбоев. Объединить exchange 2013 между доменами мне удалось, но lync 2013 ни как не могу объединить, что бы пользователи из одного домена могли общаться с пользователями из другого домена. Все сервера соединены между собой локалкой(utp), то есть нет ни VPN ни интернета, так же нет и TMG. Вроде всю информацию сообщил. Пробавал поднять edge но по видео не понял чьи там прописывались ip, которых три штуки на одной сетевушки. и SRV запись где создавать ? какую SVR запись ?, ну и наконец это вообще реально просто в локальной сети ?
Спасибо за ранее за все советы!!!