Установка Lync Server 2010 с чистого листа (Edge за TMG 2010)
Продолжаем публикацию демонстрации развертывания ролей Lync Server 2010. На этот раз мы покажем как опубликовать роль Edge с использованием Forefront TMG 2010.
Предыдущие публикации находятся по ссылкам:
— Установка Lync Server 2010 с чистого листа
— Установка Lync Server 2010 с чистого листа (Edge)
— Установка Lync Server 2010 с чистого листа (Mediation)
Встречайте новую серию — Установка Lync Server 2010 с чистого листа (Edge за TMG 2010)
В демонстрации затронут вопрос возможности публикации служб Edge с использованием продукта Forefront TMG 2010.
Как известно, в документации по развертыванию Lync Server 2010 нет упоминания о возможности или невозможности использования TMG 2010 для публикации Lync Server 2010 Edge. Кроме того масло в огонь подливает примечание в документации по развертыванию OCS 2007 R2 о том, что ISA Server 2006 не поддерживается в качестве NAT устройства для публикации OCS 2007 R2 Edge.
Общее время записи составило 1 час 18 минут.
Посмотреть MamyshevStankyLyncServer2010EdgeBehindTMG.wmv запись. [MamyshevStankyLyncServer2010EdgeBehindTMG.wmv]
Приятного просмотра.
Илгиз Мамышев и Александр Станкевич
—
Полезные ссылки про требования NAT для OCS\Lync Edge:
— Lync: Determining External A/V Firewall and Port Requirements
— OCS: Firewall Requirements for External User Access
— Edge Server Reference Architecture diagrams
[Дополнение от 08.01.2012] Протестированная конфигурация Lync Server 2010 Edge за Forefront TMG 2010 NAT:
— Lync Server 2010 Edge по схеме Single Consolidated Edge (т.е. один сервер со всеми ролями Edge)
— Lync Server 2010 Edge одним сетевым интерфейсом и 4-мя IP адресами (сетевой интерфейс может быть как в локальной сети, так и в DMZ подсети TMG)
— в качестве внешнего NAT устройства для Lync Server 2010 Edge выступает сервер Forefront TMG 2010 Standard Edition
— для публикации ролей Lync Server 2010 Edge используются 3-и отдельных, выделенных IP адреса.
— в качестве Reverse Proxy для публикации веб-компонентов выступает тот-же вышеозвученный Forefront TMG 2010 Standard Edition, используется отдельный IP адрес (не используемый для публикации ролей Edge)
Заметки ИТ инженера 
Хорошее видео!
У меня EDGE за NAT(Cisco) и в топологии убрана галка NAT и всё прекрасно работает. Прошу заметить всё на одном IP.
На блоге аргона(http://argon.pro/blog/2011/03/lync-edge-ssl-certificate/) было подмечено что EDGE за TMG это не совсем правильно и что это для него(TMG) большая нагрузка если будет более 50 пользователей..
Как Вы к этому относитесь?
Отношусь.. с улыбкой. 🙂
Заявление про TMG безосновательно.
Если соблюдать требования к аппаратному обеспечению, то один сервер TMG способен с надлежащим качеством обслуживать тысячи и тысячи пользователей.
Вот так новости!
Илья, скажите пожалуйста, с чего вы решили что для TMG нагрузка более 50 пользователей большая?! Тем более, что в случае «публикации» Edge TMG не производит каких-либо операций по инспектированию трафика на уровне приложений.
Артём, Вы как я вижу не потрудились прочитать текст по ссылке…
Если бы Вы его прочитали то поняли что это не моя позиция и мне интересно мнение других людей обладающих опытом и знанием.
Потрудился 🙂 Более того, задал вопрос автору данного изречения. В данный момент дискутирую с ним на эту тему.
По своему опыту могу сказать, что для ISA/TMG поддержка 50 пользователей в стандартных сценариях работы — это смешная нагрузка. Минимальная конфигурация TMG, в которой помимо остальных функций включена SIP/VoIP Protection (а это инспекция трафика на уровне приложений), в официальных тестах поддерживает 750(!) пользователей (http://technet.microsoft.com/en-us/library/ff382651.aspx).
Что-то я сильно в этом сомневаюсь. Мало того, мы специально в докладе показали, что будет, когда этой настройки нет 😉 .
и я про
И я про это! После видео специально в топологию залез чтобы проверить! Честно! И работает. Собрал даже видео конференцию из 3-х человек(я и 2 внешних)!
Попробуйте А\В с федеративным контактом и сообщите нам результат.
Очень интересные видео!
Жду с нетерпением продолжения. Меня очень интересует :
1) интеграция Lync с Exchange UM(в моем случае с 2010)
2) построение голосовых IVR. Вроде бы я слышал есть такая возможность, причем возможность построить IVR для каждого пользователя свой(через связку с Exchange).
Если нет своих федерастов, можем мы поучаствовать 🙂 …
Это идея! Давайте после майских праздников попробуем т.к. сейчас в отпуске )))
Вот-Вот! Как говорится Ждём! )))
Получится полноценный манул по Lync 🙂
А можно видео куда нибудь еще залить, у нас в стране блокируется данный сайт. Заранее спасибо!
могу прислать по почте. пишите на mamyshev_hotmail_com
Здравствуйте! Спасибо за отличное видео.Уделите минуту внимания,если возможно.
Нужно организовать вебконференции с внешними пользователями(преза,аудио,видео).
Edge находится за НАТом. Нужен ли реверс прокси? Будет ли работать такая конфигурация: LYNC->EDGE->ROUTER(NAT)<-Внешние юзеры.Если да,то где почитать пошаговую инструкцию именно такой конфигурации?
Заранее спасибо за ответ. Бьюсь второй день, никак(((
Так как весь контент конференции находится на Front-End’е, то в вашем случае Reverse Proxy обязателен. Точнее, обязательна публикация Web-компонетов Front-End’а, а уж Reverse Proxy это будет, NAT или прямое выставление в интернет — вопрос другой.
Голос и видео работают полностью через Edge и для их работоспособности Reverse Proxy не нужен.
Я готов протестировать с Вами федерацию! В топологии и в панеде управления поставил галки разрешающие федерации… Public IP не прописывал.
У вас на Edge’е публичный сертификат? Для начала, попробуйте написать мне в мой демо-стенд — он включен, Lync у пользователя запущен. Адрес был в видео-записи;).
Да, на EDGE публичный сертификат. ОК, на днях напишу т.к. немного занят.
говорит что неможет найти данного пользователя. Присутствие неизвестно…
У Вас Lync включен
А вы какой адрес вводили 🙂 ?
Как я уже сказал, мой тестовый стенд работает, клиент запущен. Если вы не можете до него достучаться, проблема однозначно с вашей стороны, так как у меня там и публичный сертификат и рабочая федерация с несколькими организациями и даже связь с ICQ и Live Messenger’ом работает.
stanky@*******.ru — Вот его ввожу.
мне обязательно прописывать SRV: _sipfederationtls._tcp?
У меня sip ilya@domain.ru, но domain.ru мне не пренадлежит. Я уже говорил что у меня два домена.
у меня сертификат на EDGE Wilde Card может из-за этого не работать федерация?
На OCS’е он бы точно не подошёл, но судя по моим экспериментам, на Lync’е с Wildcard’ом уже никаких проблем нет.
В общем, пропишите у себя все необходимые записи во внешней DNS, чтоб моя инфраструктура знала куда обращаться 😉 .
Правда, сегодня ночью, энергетики устроили сладкую жизнь в виде длительного отключения электричества — теперь нужно личное присутствие, чтоб поднять свой тестовый стенд 🙂 …
так:
1. SIP имя поменял. теперь login@email.ru
2. Прописал на внешнем DNS _sipfederationtls._tcp.email.ru
nslookup
set type=srv
_sipfederationtls._tcp.email.ru SRV service location:
priority = 0
weight = 0
port = 5061
svr hostname = sip.email.ru
sip.email.ru internet address = xx.xxx.xx.xxx
В общем, прекращайте шифроваться и говорите свой «login» — пользователя ilya@n******ing.ru у вас не существует 😉 . В остальном, вроде как, федерация с вами работает.
Блин! лоханулся! Можно отредактировать предедущий пост?
плиз!
Спасибо!
пользователь iliyavb@nl***.ru и test@nl***.ru
Добавил в контакты 😉 .
пишет код ошибки 504(исходный код 239)
Добрый день уважаемые Stanky и Илгиз. Спасибо огромное за очередные видео по настройке и установке EDGE Роли Lync Server 2010. Просмотрел помогло сдвинуться с мертвой точки. Подскажите куда копать проблема в следующем не работает как мне кажется сам EDGE сервер.
Что сделано и как настроено.
1. Установил новый Контроллер домена с Именем DC и AD (Domain.ru) Данные домен зарегестрирован и являеться рабочим. Поднял Центр Сертификации Настроил Сертификат на Внешний домен (www.domain.ru)
2. Установил на отдельный сервер Lync Front End. настроил запустил в локальной сети все работает.
3. Установил на еще один сервер EDGE роль. указал что все будет на одном IP, при установке мне сам EDge присвоил порты к сервисам. sip.domain.ru (5061), web conferense (444), a/v (443).
4. TMG уже стоял в сети по этому не стал его перенастраивать. так вот и начались проблемы. Сделал как у вас в Видео настроил правило ca.domain.ru Сертификат получает из вне все отлично. dialin.domain.ru тоже работает.
Клиенты сперва не могли подключаться писал ошибку не доступности сервера, сделал на прямую чтобы клиенты видели Lync.domain.ru стали подключаться, при этом как вы сами понимаете а/v и общий доступ не работает.
Обращаюсь к вам за помощью с пробросом и преобразованию портов.
P.S. TMG находиться в своем домене Domain.local (отличный от внешнего домена и того в котором находиться LYNC).
Протестировал еще раз, оказалось что не работает именно конференция и именно:
Конференция поднимается, но в виде текстовых сообщений, Даже если до поднятия конференции был видео или аудио связь клиент-клиент то она разрывается с ошибкой настройки сети(не удается подключиться к серверу общего доступа.). Проверил еще раз локально та же самая ошибка. подскажите, куда копать?
Разобрался уже и в том что случилось. Теперь вопрос к специалистам. Упали службы Lync Access и Conferense с ошибками 7023 и 7024 соответственно, на всех форумах пишут что проблема с открытыми портами на FireWall`е, но а почему и по какой причине они упали нигде не написано. Подскажите по какой причине они не запускаются и что могло произойти. Целый день пыталься их реанимировать, но попытки не увенчались успехом. Прибегнул к самом простому способу переустановил все вместе с ОС. Сейчас все работает без Роли EDGE буду пытаться поднять ее снова. Хотелось бы получить рекомендацию от вас на что стоит обратить свое внимание при установке.
Для решения подобных проблем с Lync Server 2010 рекомендую обратиться на форум Microsoft TechNet — http://social.technet.microsoft.com/Forums/ru-ru/lync2010ru/threads
Илгиз Спасибо за ссылку, излазил весь форум с такой проблемой никто не сталкивался. Все свои вопросы я решил. поймал точно такую же ошибки в TMG все 2 часа копания и все заработало. Теперь все работает на ура. Появился только один вопрос.
Как сделать в локальной сети с 2-мя доменами взаимодействие между Lync и Рабочим Доменом. Синхронизацию АД не хочу настраивать. Может через DNS как то можно сделать?
Если леса разные, то через Edge роль в обоих инфраструктурах.
Нет Илгиз немножко ты меня не понял. Сам LYnc находиться в своем домене, со своим лесов, со своим DNS Сервером. А рабочий Домен компании вместе с учетными данными, сайтами, удаленками, базами, находиться в другом домене со своим AD, DNS, DHSP, IIS, и т.д. Можно ли их подружить скажем добавив в DNS компании зону заглушку? или еще как то именно на локальном уровне, потому как из вне EDGE отрабатывает на ура.
Если я правильно понимаю вопрос, вы говорите про топологию с ресурсным лесом. Делается всё просто — в ресурсном лесу создаются учётные записи, им включается Lync, прописывается атрибут msRTCSIP-OriginatorSID со значением SID’а соответствующего пользователя из леса учётных записей, после чего всё работает!
В общем, читайте здесь всё, что рядом и так далее 😉 …
День добрый!
Подскажите плиз… Где еще почитать про развертывание ЛИНК в ресурсном лесу? В частности интересует как правильно сделать? Основной домен например 192.168.5/24, как правильней разворачивать ресурсный? Туда же? Или например 192.168.0/24?
Спасибо станки все получилось.
Столкнулся с очередной проблемой.
при входе извне на сайт Dialin.domain.ru показывает пустую страницу.
В адресной строке меняет иконку на LYNC синенькую а внизу где должен быть веб морда самой веб, белый лист. подскажите, что может быть? Порты проверил извне все работает, сайт отвечает через telnet.
Все я разобрался. что было.
В правиле Web Conponents были прописаны три ссылки
Dialin.mydomain
meet.mydomain
Lync.mydomain
Разнес из по разным публикациям все заработало.
Подскажите в чем может быть дело? почему не работат в одном правиле публикация 3 веб сайтов?
Всем привет!..
А когда будет очередная серия этой замечательной оперы?.. А именно, в случае если Edge торчит «внутренней» ногой во внутреннюю сеть, а «внешней» — в DMZ-сегмент за TMG?..
Сей «параноидальный» вариант и был определен для реализации у нас. Поэтому при настройке столкнулся с тем, что не смог найти описания того, как на ТМГ настроить взаимодействия сетей, и, соответственно, самих правил для Edge-сервера. Полагаю, правила будут аналогичны «второй» серии, но вот что касается взаимодействия сегментов — тут и выходит заковыка…
Озвученный вами сценарий является частным случаем показанного здесь сценария «Edge за TMG» (т.е. внутренний интерфейс Edge взаимодействует с внутренней сетью напрямую, без файервола в лице TMG).
«что касается взаимодействия сегментов – тут и выходит заковыка…» — что именно вы имеете в виду?
Да, частный. Но иной, потому что на ТМГ в нашем сценарии имеем три сегмента — внешний, внутренний и ДМЗ (куда и глядит внешняя нога Edge-сервера). В записанных сериях на ТМГ рассматривалось только два интерфейса. Соответственно, нужно корректно описать отношения между External и DMZ (NAT, Route и как именно?), а также сами правила, которые могут измениться из-за такого изменения схемы…
Понял что Вы хотите 😉 — показать размещение Lync Edge в DMZ.
В размещении сервера Edge в DMZ нет ничего особо сложного.
Основная «вкусность» представленного видео была в том, чтобы показать именно публикацию сервисов Lync Edge на сервере TMG.
ЧТобы все то же самое показать с применением DMZ, нужно:
— создать еще одну сеть с именем DMZ на TMG
— отношение сетей External и DMZ — NAT, DMZ и Internal — Route, External и Internal — NAT.
— опубликовать сервисы Lync Edge аналогичным образом как в представленном демо
— на Lync Edge можно обойтись одной сетевой с 4-мя адресами из DMZ подсети
— на Lync Edge шлюз по умолчанию — интерфейс DMZ на TMG
— в качестве DNS серверов указать внутренний DNS сервер
— на Lync Front End и внутренних клиентах Lync — шлюз по умолчанию — Internal интерфейс TMG или статический маршрут в подсеть DMZ через Internal интерфейс TMG.
— правила доступа на TMG для Lync Edge из DMZ в Internal и из Internal в DMZ согласно перечня портов\протоколов в документации (картинку с требованиями по портам для Edge в демо вроде показывал).
Ну и все вроде, может по мелочи что забыл.
—
Будем ли мы по этому записывать видео? — не знаю, врядли.
А я знаю — точно не будем 🙂 !
Хорошо, пусть третьей части не будет… 🙂 Но вопрос нужно решить. В смысле, чтобы была абсолютная ясность, и самое главное — работоспособность схемы!… Итак:
1. External DMZ. NAT делаем одним правилом или парой?.. External имеет кучу адресов, помимо предназначенных для публикации сервисов Линка. Поэтому если требуется пара правил (для каждого направления), то какой адрес (или multiple addresses) указывать в NAT Address Selection в каждом правиле?..
2. DMZ : Internal. Это вообще разве требуется? Ведь предполагается, что с внутренней сетью Edge будет взаимодейстовать через свой внутренний интерфейс, который смотрит напрямую во внутреннюю сеть, не через ТМГ.
3. DNS и дефолтный шлюз на Edge прописаны на внешнем (то есть, DMZ) интерфейсе. Соответственно, добавлен маршрут до внутренней сети через адрес внутреннего интерфейса Edge, а в hosts указаны СА, FE и Director. А внутренние клиенты имеют доступ к Edge через свой дефолтный шлюз.
Вот такая конструкция… Что где не так?..
1. Как угодно.
Для публикации Lync Edge выберите 3 публичных IP адреса, потрты которых должны быть свободны и не заняты в других правилах публикации на TMG. В идеале — 3 полностью свободных публичных IP.
2. Для вашего случая, когда Lync Edge внутренним интерфейсом глядит во внутреннюю сеть, — да, это можете пропустить.
3. DNS прописан на внутреннем интерфейсе. РАзрешение имен сети Интернет будет идти также через внутренний DNS.
Шлюз по умолчанию — на внешнем интерфейсе Lync Edge.
Не нужны танцы с hosts.
Внутренние пользователи будут иметь доступ к внутреннему интерфейсу Lync Edge напрямую, без шлюзов (рассматриваем Внутреннюю сеть как одну подсетку, для упрощения, без сложной маршрутизации и подсетей).
Статический маршрут на Lync Edge во внутреннюю сеть не нужен (если в качестве Внутренней сети одна подсеть..).
Есть!.. Собственно проблема, оказалась в Minimum session security for NTLM SSP… 🙂 А не в сетевых правилах или конфигурации. Поправил на самом Edge, на тестовом клиенте (который недоменный W2K8R2) и на всякий случай в доменной политике, ибо по клиентам сборная солянка…
Спасибо огромное за помощь!..
Как я уже говорил в самой записи — это нужно сделать только на Front-End’е 😉 . Хотите сказать, что в вашем случае пришлось это и на Edge’е выставлять?
Да, и на самом Edge тоже. Потому что по умолчанию в локальной политике выставлено требование 128-битного шифрования. А ошибка возникает в том случае, если эти параметры не согласованы на сервере и клиенте.
Я в курсе, что на Edge’е (2008 R2) значение данного параметра установлено, но дело в том, что оно не влияет на проверку учётных данных. Чисто из исследовательского интереса — можете вернуть на Edge’е значение по умолчанию и проверить подключение с XP?
С ХР проверить не могу. Нет под рукой такой машины. Но после возврата установок на Edge подключение проходит с имеющейся тестовой W2K8R2.
Ну, это и не удивительно — данная настройка действует только на системы до Windows 7 😉 . Если нет XP, может, имеется Vista или просто 2008?
Висту вообще не культивировали. 🙂 А просто W2K8 — не клиентская платформа в наших условиях… Но как только объявим о доступности сервиса, клиентов будет хоть отбавляй, ждут не дождутся!..
Можно же и виртуалку поднять ради теста или вовсе воспользоваться готовой XP Mode 😉 . В общем, жду ваших результатов…
P. S. Но я уверен, что на Edge’е настраивать данный параметр не требуется 🙂 .
Обязательно сообщу!..
Полноценно edge за tmg работать не будет, т.к. tmg не поддерживает static NAT, необходимый для установки соединений взаимной TLS — аутентификации (федерации, в создании туннеля используется порт источника).
Кстати, вот: http://social.technet.microsoft.com/Forums/en-US/ocsedge/thread/83273ac5-a079-4cd9-9dac-5d8b2a2d173a/
DMZ (с Edge) или static NAT необходимы, схема с полной публикацией сервисов edge (топология подключения с точки зрения TMG — Edge firewall) несостоятельна, не работает, к примеру, федерация с внешними peer — доменами.
Тогда, может, вы нас просветите, что такое Static NAT?
И для справки — у нас именно два федеративных домена в демонстрации участвуют 😉 . Что мы не так делали, что федерация у нас работает?
Фраза про неподдержку «Static NAT» в документации OCS 2007 R2 относится к ISA Server, но не к TMG.
Автор поста на форуме, ссылку на который вы приводите, немного ошибся, написав вместе TMG и ISA, т.к. по ссылке, которую он в свою очередь приводит говорится только про ISA Server.
Всеже у TMG NAT отличается большей функциональностью, ей мы и воспользовались при публикации сервисов Lync Server 2010 Edge — что собственно и является основной темой данного поста.
З.Ы.:
То, что сделано с помощью TMG Enhanced NAT я думаю можно назвать формулировкой «Static NAT».
А вы как думаете?
У вас всё сразу заработало после прописания Default Gateway во внутренний интерфейс TMG, а для одного клиента (Edge) динамический NAT отрабатывает как статический… Попробуйте ещё NAT -клиентов добавить через TMG и параллельно ещё поднять федерацию с другим доменом, если ваша лаба сохранилась…
http://blogs.technet.com/b/isablog/archive/2008/08/28/isa-tmg-nat-behavior-and-ms08-037.aspx — «Access Rule» порты не совпадают — динамический NAT…
ENAT в TMG относится к IP — адресам, а не портам…
Кстати, Вы создавали все 3 правила в Routing для ENAT (edge, conf, av)?
««Access Rule» порты не совпадают» — да, понимаю про какую проблему вы нам хотите втолковать.
А каков будет расклад по портам для трафика, исходящего от Lync Edge по Правилам доступа (Access Rules) с использованием функционала E-NAT? (с условием что IP адреса под E-NAT будут задействованы для публикации только одного Lync Edge сервера) — будут одинаковые\совпадать?
—
Да, делали три Сетевых Правила с использованием 3-х отдельных IP.
З.Ы.: Спасибо за ссылку про NAT в ISA\TMG.
В Вашем случае (в лабе) получилось, что совпадают… Тогда вопрос звучит так: при какой конфигурации ENAT в TMG работает как SNAT? Честно, не знаю… В продакшне не получается…
Пардон, не в Routing, а в Network Rules (NAT)
А я «думал» что проблемы с NAT в OCS\Lync Edge связаны с проблемами в прохождении RTP трафика 😉
День добрый.
Ищу информацию по совмещению ролей. Интересует совмещение Exchange 2010 Edge + TMG 2010 Ent + FFPE 2010 + Lync Edge 2010, c учетом TMG 2010 WorkGroup Standalone Array.
Совмещение TMG и Lync Edge неподдерживается.
Работает ли это чисто технически — не проверял.
Ребята, а можно все роли на один сервер установить и не ставить на отдельную машину Edge ? Нужно ли для Edge добавлять еще интерфейс или IP ?
Мы же, вроде, уже говорили, что такое сделать нельзя 😉 .
Подскажите как выйти из ситуации. У меня домен domain.local есть центр сертификации, который расшарен через web опубликован на ca.domain.com при создании сертификата тоже указывался damain.com. Как его заставить писать у себя внутри что он выдан ca.domain.com ?? Lync видит только ca.domain.local
Честно говоря, я не понял ваших формулировок и, соответственно, проблем 😉 .
Давайте по каждой формулировке конкретно:
«расшарен через web» — что вы имеете в виду и чем это отличается от опубликован?
«указывался damain.com» — где указывался?
«Как его заставить» — кого?
«писать у себя внутри» — это где?
«что он выдан ca.domain.com» — не понимаю чего вы хотите.
«Lync видит только ca.domain.local» — что вы имеете в виду?
В общем, сформулируйте свой вопрос максимально чётко и без расплывчатых понятий 😉 …
Ок. Ситуация следующая. Есть сервер 2008R2 c AD и DNS сервер с зоной domain.local в короной находятся все пользовательские машины. Есть внешний DNS сервер, который аходится у хостинг провайдера domain.com. Задача поставить Lync сервер и дать возможность подключаться к нему внешним пользователям. Что было предпринято. Был поствлен сервер CA на отдельной машине, естествеено это машина в домене domain.local и полный FQDN ca.domain.local. При добавлении роли СA в мастере указал, что сертификат для домена domain.com. На сервере настроен web сервер для публикации сертификатов. В настройках Extensions указал в CDP и AIA, что доступ к сертификату осуществляется через web по адресу domain.com. на внешнем и внутреннем домене создал записи ca.domain.com. и опубликовал на TMG …вроде как все скачивается. Но когда пользовался мастеро при создании сертификата, он сидел только сервер с доменным именем ca.domain.local. и в итоге получается сертификат выданный ca.domain.local. а хочется ca.domain.net внешние пользователи заходили. Как победить .local
То, что в общем-то, было понятно и так или не требовало подробного описания, вы расписали на отлично, а вот то, с чем были проблемы так и осталось смазано 😉 .
Ещё раз:
«в мастере указал, что сертификат для домена domain.com» — что вы имеете в виду?
«он сидел только сервер с доменным именем ca.domain.local» — что вы имеете в виду под «видел»? А, вообще, если я правильно понимаю о чём вы — у вас другого центра сертификации и нет 😉 .
«получается сертификат выданный ca.domain.local» — и в чём проблема-то? Разумеется, что сертификат выдан внутренним центром — проблема-то где?!
«а хочется ca.domain.net внешние пользователи заходили» — …
«Как победить .local» — вы суть проблемы опишите 😉 … Что вас не устраивает в конечных сертификатах? Не можете на словах, объясните на картинках. А, вообще, лучше нам переместиться на форум 😉 .
Спасибо внимание. Я удалил webconfig и потерял доступ к спискам отзыва.
Коллеги, с наступающим!
Ещё раз, ваша конфигурация нерабочая, по крайней мере для Production — среды она работать точно не будет… Обсудил её с Николаем Муравлянниковым (MCS), он с ходу подтвердил, что это так… Убирайте видео…
Мы прекрасно знаем, кто такой Николай. И, к слову говоря, он вовсе не в MCS 😉 .
Вы покажите, где мы хоть раз говорим, что это поддерживаемый вариант или, что мы рекомендуем его использовать в Production’е?
Чего ради мы должны уберать видео, где показано много полезной информации?
Хорошо, не Microsoft Consulting Services, а Microsoft, ошибся я… Как я понял, видео изначально демонстрирует возможность работоспособности данной конфигурации? Про то, что она как минимум unsupported, и так в доке написано… По причинам, озвученным выше, она изначально нерабочая… Тогда каков смысл видео? «У нас в лабе так ловко получилось, что никто не понимает почему?» Самое прискорбное, что админы нагугливают ваш пост, смотрят видео, и пытаются сделать также с ненулевыми трудозатратами, в том числе на дальнейший бессмысленный troubleshooting…
Понятно, что всё это As is, но пожалейте хотя бы админов..
Удачи в новом году!
Мне чтоли поучаствовать в трёпе?..
Я тезисно, если можно. 😉
Решение, представленное в видео — работоспособное (пусть если даже не все ньюансы явно озвучены).
Да, оно явно не поддерживаемое, т.к. в документации нет явного упоминания про поддержку Forefront TMG 2010 в качестве NAT устройства, НО нет и явного упоминания про НЕПОДДЕРЖКУ! Если я это проглядел в документации — приведите пожалуйста ссылку, буду благодарен.
(уверен, стоит только команде разработчиков OCS\Lync потестировть решение с TMG, то сразу появится KB-шка с описанием условий поддержки (или неподдержки 😉 ) TMG в качестве NAT для Lync)
Представленное видео — не инструкция для пошаговой установки\настройки, поэтому я бы рекомендовал применять озвученные знания администраторам, имеющим опыт работы с Lync и TMG от одного года и выше.
Всех С наступающим Новым Годом!
Неподдерживаемая конфигурация и нерабочая — две большие разницы 😉 .
У вас, если я не ошибаюсь, это в массиве TMG не заработало?
Вообще-то, мы в видео чётко сказали, что вопрос о поддержке данного варианта является откртым и не призывали использовать его в реальной рабочей среде. Но остальной сути это не отменяет — замените TMG на любое другое решение и всё останется на своих местах.
А вместо того, чтобы руководствоваться исключительно нашим видео нужно всегда думать и своей головой и читать документацию…
Вы меня в чём пытаетесь убедить? В том, что я не понимаю значений слов, которыми пишу? При чём тут массив tmg?
Для работы edge за nat нужен static nat (Cisco, например, умеет делать- не заменять порт)- это из доки. Enat в tmg — это не snat, он всегда заменяет порт — тоже из доки. Зачем Microsoft тестировать то, что заведомо не работает?
Всё, тема, я считаю, закрыта, пусть данное видео будет на вашей совести, уважаемые MVP…
И всётаки же оно
вертитсяработает.. 😀Всех С Новым Годом! 😉
Решил заглянуть бегло в документацию Lync по теме Static NAT и… не нашел я там требования про Static NAT 😉 (а вот в документации OCS 2007 static nat помнится упоминался)
Здесь в документации мы можем увидеть пример построения топологии Lync Edge — http://technet.microsoft.com/en-us/library/gg399001.aspx, в которой фигурируют понятия ChangeSRC\ChangeDST.
А вот здесь в документации Lync — http://technet.microsoft.com/en-us/library/gg425882.aspx разработчики раскрывают эти самые понятия как:
ChangeDST The process of changing the destination IP address on packets destined for the network that is using NAT. This is also known as transparency, port forwarding, destination NAT mode, or half-NAT mode.
ChangeSRC the process of changing the source IP address on packets leaving the network that is using NAT. This is also known as proxy, secure NAT, stateful NAT, source NAT or full-NAT mode.
Как видим, мы там не видим 😉 никаких требований по замене\не замене портов. Речь идет только об IP адресах, а эту задачу вполне посильно решает TMG со своим Enhanced NAT.
Факт — вещь упрямая. Вы, кроме слов, ни чего не предоставили, мы же наглядно продемонстрировали, что конфигурация работает 😉 .
Протестированная конфигурация Lync Server 2010 Edge за Forefront TMG 2010 NAT:
— Lync Server 2010 Edge по схеме Single Consolidated Edge (т.е. один сервер со всеми ролями Edge)
— Lync Server 2010 Edge одним сетевым интерфейсом и 4-мя IP адресами (сетевой интерфейс может быть как в локальной сети, так и в DMZ подсети TMG)
— в качестве внешнего NAT устройства для Lync Server 2010 Edge выступает сервер Forefront TMG 2010 Standard Edition
— для публикации ролей Lync Server 2010 Edge используются 3-и отдельных, выделенных IP адреса.
— в качестве Reverse Proxy для публикации веб-компонентов выступает тот-же вышеозвученный Forefront TMG 2010 Standard Edition, используется отдельный IP адрес (не используемый для публикации ролей Edge)
Кроме как на тестовом стенде данная конфигурация Edge за NAT проходит опытно-промышленную эксплуатацию на двух реальных системах, на одной из них уже почти год, успешно 😉
Конфигурация является в данный момент «не поддерживаемой» Microsoft.
Замечу, что «не поддерживаемая» обозначает, что Microsoft не произвел все необходимые тесты и не убедился в работоспособности конфигурации и отсутствии «подводных камней».
Конфигурация может стать поддердиваемой спустя некоторое время, а может и не стать.
Про термины «поддерживается\не поддерживается» у Microsoft — я с вами согласен, НО в документации Lync Server 2010 не указано же какие устройства поддерживаются в качестве NAT.
В документации описываются требования к NAT и я считаю что эти требования сервером TMG 2010 выполняются, т.к. технически требования реализуемы.
В документации явно не упоминаются ни роутеры Cisco ни сервер TMG 2010, однако никто не говорит про неподдерживаемость NAT от Cisco.
Обсудим? 😉
Добрый день, коллеги.
Развернули Lync и Edge на разных серверах, за TMG. Весь функционал прекрасно работает, но есть одна трабла. С внешними клиентами не работает общий доступ к рабочему столу и доступ к приложениям в то время, как презентации, опросники, доска все в норме.
Подскажите пожалуйста, куда копать, чтобы это поправить.
Приветствую!
Не работает — слишком общее понятие. Нужны симптомы, тексты ошибок..
Аудио\видео в конференции для внешнего клиента работает?
Рекомендую обратиться с вопросами на форумы Microsoft TechNet.
Аудио и видео работает.
Совместный доступ — рабочий стол — и внешний клиент выкидывает ошибку » Подключение для совместного доступа не удалось установить из-за сетевых проблем. Повторите попытку позже».
На лицо симптомы наличия Kaspersky или другого антивируса. Но так как для полноценного ответа, всё же, нужно задавать массу наводящих вопросов, давайте всё же на форум 😉 …
Да, на форуме сейчас пишу, Вы мне быстрее ответили))
Касперский действительно есть, но только у одного внешнего клиента, у другого антивирус другой и он отключен был на время проверки.
Опять таки, весь остальной функционал в норме, только доступ-рабочий стол.
Быстрей, чем кто 🙂 ?
Практика показывает, что отключение антивируса не решает проблемы — желательно проверять на «голой» машине 😉 .
Сейчас разверну виртуалку, проверю на чистой системе.
На виртуалке попробовали, проблема осталась.
проблема была решена.
Проверили свойства протокола HTTPS 443 порта, оказалось отсутствовала галка на фильтре веб-приложений. Поставили, все полетело.
Симптомы Kaspersky также подтверждаются, при наличии Kaspersky Security выходит такая же ошибка.
Здравствуйте, столкнулся с такой проблемой
Lync сервер установлен в виртуалке, пробую подключится к нему клиентом (Lync2010) пишет несовместимая версия. о_О
уже не знаю что и думать, установил все обновления, сменил сертификат(странно но до смены клиент иногда ругался на сертификат)
в журналах тоже пусто =(
Подскажите пожалуйста что делать если заканчивается период триальной версии lync server st, лицензиии отправили в закупку, но сами понимаете как долго это может быть. Подскажите как развернуть ещё один триальный сервер, чтобы пользователе смогли продолжать работать? Архавинг и мониторинг роли не требуются.
Доброго времени суток.
Будут ли работать ферерации если нет возможности прописать на внешнем DNS сервере SRV запись?
Будут.
Только в этом случае сами понимаете автодискавера не случится и вашему федеративному партнеру нужно будет вручную настроить федерацию с вашим sip доменом и указать явно адрес вашего Access Edge (вы должны будете ему его сообщить).
День добрый. Прежде всего хотелось бы подлагодарить за предоставленные материалы, стало хоть понятно что и для чего нужно. Lync уже был, EDGE поднял, но вот есть один момент — возможно ли всё построить на SelfSigned сертиках и что нужно в таком случае публиковать. Заранее спасибо.
Добрый день! используя ваши рекомендации и немножко почитав инструкции майкрософта мы развернули 2010 линк. Но появилась и небольшая проблема. Авторизация пользователей происходит в течении минуты — полторы. Куда копать. в чем может быть проблема?
День добрый уважаемые Stanky и Илгиз. Собственно пользуясь вашими материалами развернул lync, сейчас настраиваю роль EDGE и столкнулся с несколькими проблемами, подскажите если не сложно. Заранее спасибо
1. Для внешнего доступа запросил бесплатный сертификат у COMODO, как рекомендуется вот тут: http://argon.pro/blog/2011/03/lync-edge-ssl-certificate/
собственно в логе установки сертификата пишет вот такое:
Warning: The chain of the certificate «3C1CCD4C4660085A67A5BD037D7E284D683712DA» is invalid.
в менеджере сертификатов также пишет INVALID
сертификат выписан на одно имя lync.tdabbat.ru собственно использую 1 белый IP и одно доменное имя для внешнего доступа.
2. в документации сказано что для внешнего доступа должно быть имя sip.xxx.xx на 443 порт, т.к. у меня данное имя и порт заняты я использую внешнее имя lync.tdabbat.ru и порт 444, что собственно прописываю в топологии. Это рабочая схема?
3. служба Lync Server Web Conferencing Edge не стартует, вываливается с ошибкой:
Служба «Lync Server Web Conferencing Edge» завершена из-за ошибки
Сделана попытка доступа к сокету методом, запрещенным правами доступа.
Код ошибки 7023
гугление по этому поводу особо ничего не дало
Приветствую!
По вопросу 1 — Вам необходимо на ваш сервер установить сертификат корневого ЦС, выдавшего сертификат для вашего сервера. Судя по ошибке — он не доверяет этому корневому ЦС.
По вопросу 2 — Да, технически вполне рабочая.
По вопросу 3 — На вскидку не смогу ответить.
Предлагаю вопросы задать на форуме TechNet http://social.technet.microsoft.com/Forums/ru-ru/lync2010ru/threads
Добрый день, спасибо за замечательное видео, настройки, траблшутинг, всё полезно и к месту. 🙂
Вы почти не упомянули работу с отчётами Archiving-роли. Так как в Lync-сервере нет специального инструмента для просмотра этих отчётов, то каждому приходится выходить из положения самостоятельно, есть готовые коммерческие продукты, есть решения на основе скриптов. Мне, на днях, пришлось заняться этим вопросом, в результате чего я скомпилировал небольшую статью, буду рад, если она кому-нибудь пригодится — http://conkeen.livejournal.com/8484.html
Добрый день, спасибо за информацию и советы. Вкратце опишу свой случай, Front End развёрнут во внутренней сети и имеет проброс через ISA 2006 с публичного IP на внутренний IP Front End. EDGE сервер развёрнут во внутренней сети, имеет два сетевых интерфейса, один со внутренним IP для «общения с Front End», второй сетевой интерфейс скоммутирован во внешку и имеет три публичных IP. Во внутреннем DNS sip.domain.com ссылается на внутренний IP Front End-а, во внешнем DNS имя sip.domain.com ссылается на публичный IP с которого идёт проброс через ISA на внутренний IP Front End-а. Три публичных IP заданных на внешнем интерфейсе EDGE во внешнем DNS прописанны как: access.domain.com, webconf.domain.com и av.domain.com. Default Gateway на EDGE серврере прописан на внешнем сетевом интерфейсе. При звонке между абонентом во внутренней сети абоненту во внешнюю сеть происходит следующее исходя из наблюдения через Tcpview.exe:
Клиент во внешней сети подключён к Front End через публичный IP проброшенный на внутренний IP через ISA, при звонке происходит обращение по https к одному из публичных IP EDGE сервера, тому что задан как av.domain.com, далее разговор продолжается,но TCP сессия к av.domain.com по https завершается. Зачастую происходят неудачи, клиент Lync выдаёт ошибку «Невозможно связаться из-за сетевых проблем».
Добрый день, у меня есть вопрос.
Достались мне по наследству Lync 2010 — является Центральным сервером управления, в его топологии развернут Lync 2013 и через него работает связь в компании, отключить 2010 не получается, нужно выполнить миграцию, но вот внятной инструкции не нашел, + развернут EDGE сервер, но к нему нельзя подключиться пользователям из вне.
Я просмотрел Ваши видео про установку 2010 и развертывании роли edge, судя по всему проблема или в сертификатах или DNS записях. Есть ли способ как то решить хотя бы вторую проблему, а именно определить что именно не так, где сбой?
Спасибо, к сожалению, ранее не работал с Lync. Буду рад любому дельному совету.
Добрый день.
Хочу сделать все по вашей видеоинструкции. Она очень полезна и информативна. Подскажите можно ли исползовать для вывода Lync во внешний мир тот же TMG, на котором настроен вывод Exchange? Если можно, то подскажите как. На сколько мне известно проблема в типе аунтификации. В настройках линка не должно быть аунтификации, а в настройках Эксченьджа должна.
Но вместо того, чтобы в смущении отпрянуть, он наоборот двинул тазом вперёд, чем вызвал очередной громкий вздох – его бугор попал прямо между её ягодиц.
Футанари Больщие Сиськи
Думаю стоит описать ее подробнее: чуть меньше шести футов ростом, рыжие волосы чуть ниже плеча, большие желто-зеленые глаза от которых трудно отвести взор, форменная футболка обтягивала высокую грудь 2,5 размера, в жаркую погоду на ней четко прорисовывались вздернутые вверх сосочки, которыми я тайком любовался когда не было работы, узкая талия, которую кажется можно обхватить двумя руками резко переходящая в бедра, округлая попка которую он любит оттопыривать, когда наклоняется читая газету, ножки, стройные и нетолстые, я не люблю девушек с такими прямо ляшками и огромной кормой, у Кейт были тонкие ляшки и это всегда вызывало у меня мысль о том что она должно быть хорошо следит за собой и занимается спортом.