Instalação do Lync 2013 Edge Server

Instalação do Lync 2013 Edge Server



Visão Geral


O Edge Server proporciona aos usuários externos as mesmas funcionalidades e experiência que os usuários internos possuem no Lync Server 2013. 
Com a publicação do Edge Server as seguintes funcionalidades são suportadas:
  • Conexão dos clientes remotos;
  • Federação com mensageira 
  • Integração com IM's públicos
Para a configuração deste serviço é necessário um servidor com duas placas de rede cada uma conectada à um segmento de rede diferente. O Edge Server suporta o uso de NAT somente na placa de rede que é roteada para a internet, para a placa de rede que inicia a comunicação com a rede interna não é suportado NAT. 
 
Para a configuração do Edge tenho uma DMZ dividida em duas redes. Os ip's dos servidores e das redes estão descritas na figura e tabela abaixo: 

Os servidores da Rede Corporativa estão executando o Windows Server 2012. Todos os servidores fazem parte do mesmo Active Directory Domain Services com o FQDN interno home.intranet, um pool de Lync Server Standard com o domínio sip home.com.br. 

Nome do Servidor Endereço IP Role
Hm01.home.intranet 172.16.1.245/24 Controlador de Domínio e Certificadora Enterprise
Hm02.home.intranet 172.16.1.246/24 Lync Server Standard
Hm11.home.intranet 172.16.1.251/24 Office Web Apps Server


Tenho três firewall's configurados para segmentar as redes:
Nome do Firewall Endereço Ip 1 Endereço IP 2 Descrição 
FW-Interno 172.16.1.210/24 192.168.0.210/24 Firewall que separa a Rede Corporativa da Rede DMZ 1. Existe uma relação de roteamento entre as duas redes. 
FW-DMZ 192.168.0.250/24 10.0.0.250 Firewall que separa a Rede DMZ 1 e a Rede DMZ 2. Existe uma relação de roeamento entre as rede. 
FW-Externo 10.0.0.254 xxx.x.178.155
xxx.x.178.156
xxx.x.178.157
Firewall que separa a Rede DMZ 2 e a Internet. Existe uma relação de NAT entre as duas rede e todos os ip's válidos da estrutura estão configurados neste dispositivo  



Na DMZ tenho dois servidores configurados com duas placas de rede, cada adaptador de rede esta conectado em uma rede DMZ diferente. Estes servidores fazem parte do Workgroup home.dmz. Somente as portas necessárias para a publicação dos serviços estão configuradas no firewalls internos e externos. 

Nome do Servidor Endereço Ip Rede DMZ 1 Endereço IP Rede DMZ 2 Descrição 
HmRP
192.168.0.150/24 10.0.0.150/24 IIS Reverse Proxy
HmEdge 192.168.0.120/24 10.0.0.120/24
10.0.0.121
10.0.0.122
Lync Edge Server



Configuração do serviço DNS

DNS Interno

Tenho duas zonas configuradas no Controlador de domínio Hm01. Uma zona home.intranet integrada com o Active Directory suportando updates dinâmicos. 

Nesta zona foi criado um registro manualmente que resolve o nome FQDN do Edge Server que esta na DMZ, 


A segunda zona chamada home.com.br. Esta zona não suporta update dos registros dinamicamente, foram criadas nesta zona os registros para o pool de Lync e Exchange.
     

Foram criados os seguintes registros na zona:

Tipo do Registro FQDN Endereço IP Descrição 
A sip.home.com.br 172.16.1.246 Endereço interno do Front End ou Director para os clientes da rede interna 
A admin.home.com.br 172.16.1.246 URL de administração do pool
A DialIn.home.com.br 172.16.1.246

URL de acesso ao Dial In 
A meet.home.com.br 172.16.1.246  URL do serviços Web de meeting
A lyncdiscoverinternal.home.com.br  172.16.1.246 Registro para o serviço de AutoDiscover do Lync para usuários internos
A lyncdiscover.home.com.br 172.16.1.246 Registro para o serviço de AutoDiscover do Lync para usuários externos  
SRV Service: _sipinternaltls
Protocolo: _tcp
Porta: 5061
sip.home.com.br Registro de apontador de serviços para conexões internas dos clientes utilizando TLS 


DNS Externo

Na zona de DNS home.com.br da internet foram criados os registros:
Tipo do Registro FQDN Endereço IP Descrição 
A sip.home.com.br xxx.x.178.155 Endereço externo do Edge Server para conexão dos clientes externos
A WebConf.home.com.br xxx.x.178.156 URL de acesso aos serviços Web do Edge Server
A AV.home.com.br xxx.x.178.157
URL do serviços Áudio e Vídeo
SRV _sip._tls.home.com.br
sip.home.com.br:443 Registro de apontador de serviços para conexões externas dos clientes utilizando TLS. Este conexão deve ser apontada na porta 443. 


Configuração dos Firewall


Portas Liberadas no Fw-Interno


As seguintes portas devem ser liberadas entre a placa de rede interna do Edge Server, servidores do pool do Lync e clientes da rede interna:

Protocolo/Porta Origem Destino Descrição 
Sip/TCP/5061 Endereço Ip do Front End Server ou Director Server  Endereço IP da placa de rede interna do Edge Server  Tráfego SIP de saída do Front End ou Director Server para a placa de rede interna do Edge Server
Sip/TCP/5061 Endereço IP da placa de rede intena do Edge Server 
Endereço Ip do Front End Server ou Director Server
Tráfego SIP de entrada da placa de rede interna do Edge Server para o endereço do Front End ou Director 
PSOM/TCP/8057
Endereço Ip do Front End Server ou Director Server
Endereço IP da placa de rede interna do Edge Server 
Tráfego de Conferência Web do Front End Server para a placa de rede interna do Edge Server
Sip/TCP/5062
Endereço Ip do Front End Server ou Director Server
Endereço IP da placa de rede interna do Edge Server 
Autenticação dos usuários de Áudio/Vídeo do Front End Server para o Edge Server
STUN/UDP/3478  Todos os ip's da Rede Corporativa  Endereço IP da placa de rede interna do Edge Server   Tráfego de mídia de Áudio/Vídeo entre usuários interno e externos
STUN/TCP/443  Todos os ip's da Rede Corporativa  Endereço IP da placa de rede interna do Edge Server    Tráfego Contenção de mídia de Áudio/Vídeo entre usuários interno e externos. Se a conexão com o protocolo UPD falhar a porta 443/TCP é utilizada para a tráfego de mídia
Https/TCP/4443 Endereço Ip do Front End ou Back End Server  Endereço IP da placa de rede interna do Edge Server     Tráfego de replicação das configurações do pool interno para o Local Configuration Store do Edge Server
MTLS/TCP/50001  Todos os ip's da Rede Corporativa   Endereço IP da placa de rede interna do Edge Server    Controlador do Centralized Logging Service usando o Lync Server Management Shell e cmdlets do Centralized Logging Service, ClsController (ClsController.exe) ou comandos e logs do agente(ClsAgent.exe) 
MTLS/TCP/50002 Todos os ip's da Rede Corporativa   Endereço IP da placa de rede interna do Edge Server    Controlador do Centralized Logging Service usando o Lync Server Management Shell e cmdlets do Centralized Logging Service, ClsController (ClsController.exe) ou comandos e logs do agente(ClsAgent.exe) 
MTLS/TCP/50003 Todos os ip's da Rede Corporativa   Endereço IP da placa de rede interna do Edge Server    Controlador do Centralized Logging Service usando o Lync Server Management Shell e cmdlets do Centralized Logging Service, ClsController (ClsController.exe) ou comandos e logs do agente(ClsAgent.exe) 



Portas Liberadas no Fw-Externo


Para publicar os serviços do Lync e necessário criar as seguintes regras no firewall de internet:

Protocolo Origem Destino Descrição 
Sip/TCP/443
Qualquer endereço de Internet Ip público para o serviço SIP do Edge Server Tráfego SIP entre cliente-servidor para usuários externos
Sip/TCP/5061
Qualquer endereço de Internet
Ip público para o serviço SIP do Edge Server

Sip/TCP/5061
Ip público para o serviço SIP do Edge Server
Qualquer endereço de Internet

PSOM/TCP/443
Qualquer endereço de Internet
Serviço de Conferência Web do Edge Server Mídia de conferência Web
STUN/UDP/3478 Ip público para o serviço A/V do Edge Server  Qualquer endereço de Internet  Tráfego utilizado pelo cliente para determinar a versão do Edge Server. 
STUN/UDP/3478 Qualquer endereço de Internet  Ip público para o serviço A/V do Edge Server   Tráfego de negociação de conexão sobre UTP
STUN/TCP/443 Qualquer endereço de Internet   Ip público para o serviço A/V do Edge Server    Tráfego de negociação de conexão sobre TCP/443
STUN/TCP/443 Ip público para o serviço A/V do Edge Server    Qualquer endereço de Internet    Tráfego de negociação de conexão sobre TCP/443



Configuração das Políticas de Acesso


Por padrão quando o pool do Lync é criado uma política de acesso externo chamada Global é criada com todos os acessos desabilitados. Para permitir acesso externo aos clientes do Lync é necessário alterar a política padrão ou criar uma nova política para os usuários.
Alterando o política Global permite que todos os usuários tenham a capacidade de conexão externa. Acesse o Lync Server Control Panel acesse a guia Federation and External Access acesse as políticas do Edge em Access Edge Configuration. Selecione a política Global.


Selecione as opções Enable remote user access e Enable anonymous user access to conferences


Verifique que a política foi alterada com sucesso.


Retorne ao console e clique em External Access Policy,e edite a política Global.


Habilite as opções Enable communication with remote users e aplique as alterações.


Criação do Edge Server Pool


Todos os passos de criação e configuração do Edge Server pool são realizadas utilizando o Topology Builder. Inicie a ferramenta de configuração e selecione Download Topology from existing Deployment.

 


Selecione as configurações do Edge Pools clique com o botão direito e crie um pool em New Edge Pool....


Avance para iniciar a criação do pool


Clique em Single computer pool e adicione o nome FQDN interno reservado para o servidor Edge, neste ambiente HmEdge.home.intranet


Neste momento não vou configurar nenhuma feature de integração com outros serviços de IM, deixe todas as caixas desmarcadas e avance.


Neste ambiente possuo somente endereços IPv4 tanto para as interfaces internas e externas, por esse motivo deixo somente as caixas destes endereços configuradas. A placa de rede externa do Edge Server esta conectada em uma rede que o firewall esta configurado como o NAT da Rede DMZ 2, por isso marquei a última caixa de dialogo The external IP address of this Edge pool is translated by NAT.


Em seguida configure os nomes FQDN's externos para os serviços de acesso ao Edge Pool. Como tenho disponibilidade vou configurar os três serviços para publicação na porta segura 443 e publicar cada um com um Ip válido de internet diferente. 


Configure qual o Endereço IP da placa de rede que se comunicará com o Pool na rede corporativa. Neste cenário configurado com o IP 192.168.0.120


Configure quais os ips configurados na placa de rede externa do Edge Server associando um Ip privado com cada serviço.


Configure o Ip público que será configurado o serviço de Áudio e Vídeo do pool. 


Configure qual o pool Front End o Edge será associado.


Configure quais servidores Front End serão utilizados pelo Edge, e finalize a criação do pool.


Retorne ao Topology Builer e publique as configurações.


Avance e inicie o processo de escrita na base 


O processo deve finalizar sem erros.


Com o pool do Edge Server criado e publicado no Central Management Store temos que exportar as configurações do pool para um arquivo que será utilizado na instalação do servidor de Edge. Inicie o Lync Server Management Shell e execute o cmdlet:

Export-CsConfiguration <Caminho da Pasta>


Acesse o serviço Web do servidor de certificado e exporte o certificado raiz para a mesma pasta.




Copei todo o conteúdo desta pasta para o servidor Edge Server.

Configuração do Servidor Edge Server


O servidor Edge Server possui duas placas de redes cada uma ligada em uma rede DMZ diferente. Uma placa da Rede DMZ 1 que é tratada como a placa de rede interna do servidor, e outra placa de rede conectada Rede DMZ 2 que é tratada como a placa de rede externa do servidor.


A placa de rede Rede DMZ 1 foi configurada com o ip 192.168.0.120. Essa placa foi configurada sem um endereço de gateway padrão.


A placa de rede Rede DMZ 2 foi configurada com três ip's privados. Cada ip será configurado com um serviço de acesso do Edge. Os três ip's são 10.0.0.120/24, 10.0.0.121/24 e 10.0.0.122/24. Essa placa foi configurada com o gateway padrão apontando para o firewall externo. 


O servidor Edge deve ser capaz de rotear pacotes dos clientes do Lync para o Front End pool. Para isso é necessário adicionar uma rota no servidor para a Rede Corporativa na faixa de endereço IP 172.16.1.0/24. 


Para permitir a comunicação do servidor Edge com o Front End é preciso adicionar uma rota de saída para a rede 172.16.1.0/24 com origem na placa interna do Edge Server. Para identificar a qual a interface que será utilizada para adicionar a rota primeiro execute o ipconfig /all


Identifique no route print qual o número de interface fisica. Neste cenário a placa de rede interna tem a identificação IF 12


Execute o comando route add com a opção -p para configurar a rota como persistente. Para que não seja apagada quando o servidor reiniciar.

route add <rede destino> mask <mascara de identificação> <endereço gateway> if <identificação da placa de rede> -p


Apos a configuração das rotas adicione o sufixo DNS ao servidor Edge. Na guia de alteração do nome do computador clique em Change, em Full computer name clique em More e adicione Primary DNS suffix of this computer: o sufixo do Active Directory Domain Services.


O Edge Server precisa ser capaz de resolver os nomes FQDN do Front End, para isso adicione o nome e o ip do Front End no arquivo host. Navegue até a pasta C:\windows\System32\drivers\etc\hosts. 


Para testar o roteamento libere o ping no fireall interno e execute um ping para a rede corporativa.


Para finalizar a configuração do sistema operacional, importe o certificado raiz do Hm01 na pasta do Trusted Root Certification


Instalação dos Serviços do Edge Server


São suportados os seguintes sistemas operacionais para instalação do Edge Server
  • Windows Server 2008 R2 Enterprise Edition SP1 ou Windows Server 2008 R2 Standard Edition SP1
  • Windows Server 2012 Standard ou Datacenter
A instalação dos serviços exige ainda inclusão das seguintes server features:
No Windows Server 2012 as features são implementadas pelo Server Manager
  • Windows Identity Foundation execute o cmdlet
Install-WindowsFeature Windows-Identity-Foundation

  • .NET Framework 4.5, 
Install-WindowsFeature Net-Framework-45-core



Criação do Local Configuration Store


Para iniciar a instalação do Local Configuration Store monte a mídia do Lync Server  e clique duas vezes para inciar o assistente


Configure a pasta de instalação dos arquivos e clique Install


Aceite os termos de licença e clique OK



Clique em Install or Update Lync Server System


Execute o primeiro passo Install Local Configuration Store


Em Import from a file (recommended for Edge Servers) clique em Browse.. e selecione o arquivo gerado pelo cmdlet Export-CsConfiguration no Front End


Finalize a instalação do Configuration Store e retorne ao assistente de instalação


Instalação dos Serviço e Componentes


Execute o segundo passo Setup or Remove Lync Server Components


Avance para iniciar a copia do arquivo e serviços


Finalize a instalação e retorne ao assistente do Lync Server


Criação dos Certificados Digitais


Todo o tráfego Edge Server-Front End e Edge Server-Lync Client é criptografado utilizando certificados digitais. Cada placa de rede necessita de um certificado digital com os nomes FQDN's configurados para os serviços de conexão remota.

Certificado Placa de Rede Interna


Para configurar o certificado para a placa de rede interna do Edge Server execute o terceiro passo Request, Install or Assign Certificates.


Selecione a opção Edge Internal e clique em Request.


Avance para iniciar a requisição do certificado.


Como o Edge Server não tem acesso ao servidor de certificado digital vou gerar um arquivo com as configurações do certificado e importar para o servidor da rede interna. Selecione a opção Prepare the Request now, but send it later(offile certificate request)


Selecione o caminho do arquivo e avance 


Não precisa alterar os templates do certificado.


Configure o Friendly Name do certificado digital, este campo não afeta nenhuma configuração prática do certificado tento a função unicamente de identificação do certificado.  


Configure as informações da organização


Configure as informações geográficas


Em Subject Name configure o FQDN interno criado para o Edge Server e avance


Não é preciso adicionar nenhum registro no SAM do certificado interno


Em Request Summary verifique se todas as informações estão corretas e avance.


O comando para gerar o certificado deve ser executado e o arquivo criado na pasta configurada


Finalize o assistente de certificado, em seguida será necessário criar uma requisição para os certificados externos



Certificado Placa de Rede Externa


O processo de requisição para o certificado externo é idêntico ao processo interno, vou mostrar somente as diferenças entre os processos.
Retorne ao assistente de instalação do Lync Server, selecione External Edge Certificate e clique em Requet.


Configure a pasta onde será salvo o arquivo de requisição


Configure o Friendly Name para o certificado externo


Os nomes do domínio sip suportados pelo Front End já são adicionados automaticamente ao certificado 


Selecione o domínio SIP que será suportado para conexões remotas. Avance e finalize a requisição do certificado.


Instalação dos Certificados Digitais


Copie o certificado para a rede interna e faça a geração do certificado digital na certificadora. Copie os certificados finais para o servidor Edge Server 


Inicie o console do MMC, conecte ao computador local. Clique em Personal -> Import navegue até a pasta do certificado e importe os dois arquivos gerados. 


Os dois certificados devem ser instalados no computados da forma abaixo


Configuração dos Certificados nos Serviços


Com os certificado instalados no servidor é preciso associá-los os serviços e placa de rede. Retorne ao assistente de instalação do Lync Server e execute novamente o terceiro passo Request, Install or Assign Certificates


Selecione Edge Internal e clique em Assign.


Avance em Certificate Assignment.


Selecione o certificado gerado para a placa interna do Edge, e clique em Next


Certifique que todas as informações estão corretas e avance para iniciar a configuração.



O assistente deve configurar o certificado para a placa de rede interna do Edge. Finalize o assistente.


Retorne ao assistente de configuração de certificado, selecione External Edge Certificate e clique em Assign


Avance para iniciar o processo de configuração


Selecione o certificado gerado para os serviços da placa de rede externa e avance


Certifique que todas as informações estão corretas e avance para iniciar a configuração.


O assistente deve configurar o certificado para a placa de rede externa do Edge. Finalize o assistente.


O console de configuração deve mostrar os dois certificados instalados e configurados nos serviços.


Feche o assistente de certificado e retorne à tela principal de instalação.

Iniciando os Serviços


No assistente de instalação do Lync Server execute o quarto passo, Start Services.


Este processo deve iniciar todos os serviços do Lync Server Edge.

 


Para verificar que os serviços estão sendo executados abra o console de serviço e verifique os status mudou para executando


Testando o Acesso


Com os serviços iniciados, o Front End Server inicia o processo de replicação das configurações para o Local Store no Edge Server. Após a primeira replicação os usuários externos devem ser capazes de iniciar conexão com o Edge Server. 

A Microsoft disponibiliza um portal https://www.testocsconnectivity.com que permite realizar testes de conexão e portas na estrutura. 



Forneça as informações de um usuário habilitado para conexão remota e verifique o status do servidor


Artigos Relacionados



Outros Idiomas


Este artigo também está disponível nos seguintes idiomas: 

Inglês (en-US)


Este artigo foi originalmente escrito por:
Fernando Lugão Veltem
blog: http://flugaoveltem.blogspot.com 
twitter: @flugaoveltem
Classificar por: Data da Publicação | Mais Recente | Mais Úteis
Comentários
  • This article was highlighted in this week's Top Contributors Awards - blogs.technet.com/.../top-contributors-awards-plus-highlights-from-linc-2013-active-directory-azure-powershell-and-more.aspx

  • Fernando, tudo bem? Muito bom o artigo, parabéns! Estou aprendendo o Lync Server, e gostaria de tirar uma dúvida. É obrigatório ter um proxy reverso?

  • Bom dia Henver, o reverse Proxy é obrigatório para a publicação dos serviços:

    Acesso à Web Meetings

    Download de Address Book

    Distribuição de listas

    Donwload do conteúdo das reunião

    Atualização dos dispositivos

    Acesso ao Mobility Service

  • Fernando, bom dia! Vi que nesse artigo você não citou o range de portas 50000-59000. Olhando o technet, na documentação do produto esse range de portas é citado. Minha duvida é, esse range de portas é realmente necessário? Levando em conta uma implementação que inclui federação com outras empresas e com Skype.

  • Consigo publicar o Lync 2013 com apenas um IP público?

  • Tudo bom Diego,

    Sim é possível publicar o Edge com um único ip válido, segue a documentação do Technet

    technet.microsoft.com/.../gg425891.aspx

    Tenha em mente que você precisa ter outro ip válido para o Proxy Reverso.

    Att

  • Tudo Bem nazgul250?

    Você precisa configurar essas portas se for configurado a federação com Im Públicos como o Skype para sessões de A/V.

    Att

  • Então não dá, eu queria usar apenas um IP para o reverse proxy e Edge. Conseguiria fazer essa divisão se fosse prossível tratar a URL e fazer bypass.

  • Ta muito caprichado esse artigo!

    parabens Lugao

  • Excelente material Fernando.

Página 1 de 1 (10 itens)