none
Настройка внешнего доступа Lync Server 2013 RRS feed

  • Вопрос

  • Добрый день!
    Организовываю внешний доступ к Lync через Edge и TMG. Установку уже завершил, но в процессе установки были бока и есть вопросы.

    Более потробно:
    Внутри организации развернкта доменная сеть, под Lync задействовано:
    1. Контроллер домена (AD, DNS, DHCP, Сервер лицензтрования). DNS зона для сети domain.local, под Lync создал специально зону domain.com.ua
    2. Сервер с Lync Front End. На нём также IIS, DFS и шары  
    3. Сервер с ролью Hyper-V. На нём установленно два сетевых адаптера(один для локальной сети, второй для TMG ко второму кабель идет 

    напрямую от провайдера с 4мя белыми IP), и развернуто три виртуальные машины SQL, Edge и TMG

    Сейчас внутри сети осуществляються подключения к серверу Lync и конференции на 20-40 человек! Внешний доступ не работает(((

    Немного раскажу об установке:
    - на контроллере домена: скопировал корневой сертификата сервер Lync Front End. В новосозданой зоне domain.com.ua: LyncEdge, СА, meet, admin и dialin - это А записи;  _sipinternal, _snternaltls - SRV записи. В DHCP ничего не добавлял не знаю надо ли
    - с Lync Front End(ом) вроде всё понятно, так как внутри все работает (SIP domain -  domain.com.ua; Additional suported SIP domain -  domain.local; 

    Central Managemant Server - server.domain.local; FQDN -  server.domain.local....) Експортировал сертификат на TMG. На IIS создал сайт ca.domain.com.ua, ананимнуб проверку подлинности выставил на Удостоверение пула приложений
    - Lync Edge находиться на виртуальной машине, не включенной в домен, только прописал суфикс. Имеет 4и внутренние ИП адреса (1 основной, 3 

    для служб), имя сервера Lyncserver.domain.local
    Експортировал сюда конфигурацию
    На нем установил компоненты Lync Edge и в топологии указал данный сервер с ИП адресами для служб.
    С Edge все компьютеры в сети пингуются кроме TMG, к TMG - Превышен интервал ожидания для запроса (не знаю должно ли так быть или нет)
    - TMG, находится на виртуальной машине с двумя сетевыми интерфейсами (один с внутренним ИП адресом, второй для внешнего доступа с 

    прописаными 3мя внешними ИП адресами)
    TMG устанавливал без DMZ зоны, то есть как Пограничный межсетевой экран.
    Создал правила публикация для портов, взятых из документации по Lync
    С TMG, сервер Lync Edge не пингуеться, все остальные пингуються, доступа в интернет с TMG тоже нет, не знаю должен ли он быть или надо вручную открывать. Доступ в интернет появляеться при остановке службы Межсетевого экрана TMG.

    Бока которые были при установке и вопросы по им:
    1. При запуске служб через Lync Server Deployment Wizard, на сервере с  Lync Edge, вылезна ошибка:
    Service RTCMEDIARELAY failed to start within the expected timeframe

    Возможно я где то не правильно указал имена, а то я запутался с зонами немного domain.local и domain.com.ua и скорее всего где то ошибся. Так как настраивал в основном по видео Илгиза Мамышева и  Александра Станкевича.

    2. Ошибка при проверке правила веб публикации веб компонентов на  TMG. При тесте правила вылезла ошибка:

    Время, зафиксированное службой межсетевого экрана Microsoft Forefront TMG: 0,004 сек.
    Тестирование https://server.domain.local:4443/
    Категория: Ошибка сертификата сервера назначения
    Сведения об ошибке: 0x80090322 - Главное конечное имя неверно.
    Действие: Перейти к http://go.microsoft.com/fwlink/?LinkId=115965

    На самом прослшиватели внизу со знаком восклицания написана ошибка:
    "Для выбранного веб-прослушивателя не настроены сертификаты, совпадающие с одним или несколькими внешними именами, определенными в данном правиле"

    3. При локальном выходе через бразер по следующим адресам: server.domain.com.ua, meet.domain.com.ua, dialin.domain.com.ua получаю ощибку от IIS:
    403 - запрещено. Доступ запрещен.
    Предоставленные учетные данные не дают права на просмотр этого каталога или страницы.

    Могу попасть только на admin.domain.com.ua!!

    4. В средство проверки подключений, на TMG добавил AD, DNS, DHCP с портами, но DHCP что то выделено красным крестиком, в тот момент как AD и DNS - зеленые с галочкой

    5. Как надо настроить прокси сервер на TMG и надо ли эти настройки прокси указывать на каких то серверах участвующих при работе  Lync Server

    Вроде ничего не забыл указать и все подробно описать. Предполагаю что в основном все проблемы из за неправильно выписанных сертификатов, я уже так во всём этом запутался, что не знаю с чего начать и куда смотреть, уже пару недель копаюсь на одном месте!!!
    Подскажите пожалуйста, что мне можно предпринять исходя из того что я написал. И если не сложно то дайте ответы на мои вопросы!
    Заранее спасибо!


    • Изменено Vitaly_xxx 31 июля 2013 г. 10:18 добавил информацию
    31 июля 2013 г. 10:11

Ответы

  • к сожалению не вижу скриншота. Что понял из написанного: номер раз: некоторая нестыковочка с правилом тмж и сервером фронтенда в правиле: "тестирование https://server.domain.local:4443/" а в сертификате прописан: "DNS-имя=lyncserver.domain.local" это раз второе: в сертификате фронтенда нужны записи server, dialin, admin, meet, lyncdiscoverinternal с суффиксом domain.local. на TMG san записи (внешнее имя опубликованного фроненда, наверное lyncserver), dialin, meet, lyncdiscover с суффиксом domain.com.ua в правиле прослушиваемое имя наверное будет lyncserver.domain.com.ua, публикуемый сайт server.domain.local в сертификат ЕЖа необходима еще запись для имени службы AV конференции (если конешно необходима видеоконференция извне) номер два раза: наличие 4 белых айпишек говорит о варинте публикации служб на выделенные айпишки. отсюда - 3 белые айпи нужны не для тмж (ему достаточно одной - по 80 порту публикуется сетрификаты, по 443 - веб службы линка), а для ЕЖа 3: тмж по дефолту не предоставит доступ, если вы не настроили правила веб доступа ЗЫ: Из опыта: для autodiscover клиентов достаточно наличие записи lyncdiscover (в миру), lyncdiscoverinternal (в корпорайте) и SRV записи _sipinternaltns. все остальное унаследованное и от лукавого.
    1 августа 2013 г. 14:42

Все ответы

  • Насколько я понял из вышенаписанного - SAN на сертификате не совпадает с опубликованными именами.

    уточните, какие именно записи прописаны на публичном ДНС, какие имена опубликованы с ТМЖ, какие имена прописаны в SAN сертификата?

    31 июля 2013 г. 12:15
  • Насколько я понял из вышенаписанного - SAN на сертификате не совпадает с опубликованными именами.

    уточните, какие именно записи прописаны на публичном ДНС, какие имена опубликованы с ТМЖ, какие имена прописаны в SAN сертификата?

    Вот все имена которые задействованы для сертификатов на серверах с Lync: 

    Имя сертификата на lync  front end: Lync Server 2013 Web Components Gold3
    SАN сертификата: 
    Internal
    DNS-имя=lyncserver.domain.local
    DNS-имя=dialin.domain.com.ua
    DNS-имя=admin.domain.com.ua
    DNS-имя=meet.domain.com.ua
    DNS-имя=LyncdiscoverInternal.domain.com.ua
    DNS-имя=lyncserver.domain.com.ua
    DNS-имя=Lyncdiscover.domain.com.ua


    Имя сертификата на lync  front end: Lync Server 2013 Web Components External
    SАN сертификата: 
    External
    DNS-имя=lyncserver.domain.com.ua
    DNS-имя=meet.domain.com.ua
    DNS-имя=dialin.domain.com.ua
    DNS-имя=domain.com.ua

    Имя сертификата на lyncedge: edge external next
    SАN сертификата: 
    DNS-имя=sip.domain.com.ua
    DNS-имя=conf.domain.com.ua
    DNS-имя=domain.com.ua

    На TMG правило веб публикации компонентов с именем: Lync Server 2013 Web Components

    Данное правило применяется к следующему веб сайту: lyncserver.domain.local
    Сертификат для прослушивателя с именем Lync Server Web Components External


    Данное правило применяется к следующему веб сайту: lyncserver.domain.local

    Сертификат для прослушивателя с именем Lync Server Web Components External

    SAN:
    DNS-имя=lyncserver.domain.com.ua
    DNS-имя=meet.domain.com.ua
    DNS-имя=dialin.domain.com.ua
    DNS-имя=domain.com.ua

    На скриншоте видно все имена которые прописаны в зоне DNS:

    1 августа 2013 г. 8:05
  • к сожалению не вижу скриншота. Что понял из написанного: номер раз: некоторая нестыковочка с правилом тмж и сервером фронтенда в правиле: "тестирование https://server.domain.local:4443/" а в сертификате прописан: "DNS-имя=lyncserver.domain.local" это раз второе: в сертификате фронтенда нужны записи server, dialin, admin, meet, lyncdiscoverinternal с суффиксом domain.local. на TMG san записи (внешнее имя опубликованного фроненда, наверное lyncserver), dialin, meet, lyncdiscover с суффиксом domain.com.ua в правиле прослушиваемое имя наверное будет lyncserver.domain.com.ua, публикуемый сайт server.domain.local в сертификат ЕЖа необходима еще запись для имени службы AV конференции (если конешно необходима видеоконференция извне) номер два раза: наличие 4 белых айпишек говорит о варинте публикации служб на выделенные айпишки. отсюда - 3 белые айпи нужны не для тмж (ему достаточно одной - по 80 порту публикуется сетрификаты, по 443 - веб службы линка), а для ЕЖа 3: тмж по дефолту не предоставит доступ, если вы не настроили правила веб доступа ЗЫ: Из опыта: для autodiscover клиентов достаточно наличие записи lyncdiscover (в миру), lyncdiscoverinternal (в корпорайте) и SRV записи _sipinternaltns. все остальное унаследованное и от лукавого.
    1 августа 2013 г. 14:42
  • Огромное спасибо, за уделенное время и внимание моему вопросу, сейчас постараюсь навести порядки с именами, и разберусь от куда подтягиваются некоторое имена. Потом отпишусь, буду очень признателен, если вы мне подскажете потом, если у меня будут вопросы!)
    А по поводу
    нестыковочки, что вы нашли "с правилом тмж и сервером фронтенда в правиле: "тестирование https://server.domain.local:4443/" а в сертификате прописан: "DNS-имя=lyncserver.domain.local"   -   то это я просто подставлял не свои собственные имена, а вымышленные, и где то запутался, допустим имя lyncserver.domain.local.

    Отправляю ещё раз скриншот днс  записей:


    1 августа 2013 г. 18:56
  • Продвинулся я все таки вперед!)

    Тест правила публикации веб служб на TMG проходит успешно (светится зеленым)и на порту 8080 и на 4443. Проблема была в неправильном написании сайта, с именами сертификатов оказалось все нормально)
    Но все равно в информации пишет, ошибку 403 Запрещено:
    "Время, зафиксированное службой межсетевого экрана Microsoft Forefront TMG: 0,724 сек.
    HTTP-ответ: 403 Запрещено
    Тестирование успешно завершено для этого URL-адреса."

    И при подключению к любой из служб через браузер внутри сети, такая же ошибка:
    403 - Запрещено. Доступ запрещен.
    Предоставленные учетные данные не дают права на просмотр этого каталога или страницы.
    Уже перепробовал разные варианты, ничего не помогло. В IІS в Анонимной проверке подлинности выбрал Удостоверение пула приложений. Права на папку с сертификатом для виртуальноuо пользователя ca.domain.com.ua есть.

    Вторая проблема, это при проверки анализатором удаленного подключения к Линк, при проверки выдает следующую информацию с ошибкой:
    Идет проверка удаленного подключения пользователя login@domain.com.ua к серверу Microsoft Lync.
      Не удалось выполнить указанные проверки удаленного подключения к серверу Microsoft Lync. См. ниже причины сбоя.
      Этапы проверки
      Попытка разрешить имя узла sipinternal.domain.com.ua в службе DNS.
      Имя узла успешно разрешено.
      Подробнее

    Проверка порта TCP 5061 на узле sipinternal.domain.com.ua, чтобы убедиться, что он прослушивается или открыт.
      Указанный порт заблокирован, не прослушивается или не возвращает ожидаемый ответ.
      Подробные сведения об этой проблеме и способах ее устранения
     
    Подробнее
      При обращении к удаленному узлу произошла ошибка сети.

    Добавил себе внутри сети записи SRV в DNS: sipinternal, sipfederationtls и на стороне доменного регистратора добавил записи sipfederationtls и sipinternal через порт 5061 ссылается на sip.domain.com.ua.
    И того у меня два вопроса:
    1. Подскажите пожалуйста, куда и какие DNS записи надо прописывать для внешнего подключение к Lync
    2. Куда смотреть и что можно предпринять для устранения ошибки 403 Запрещено, через веб доступ. 
    10 сентября 2013 г. 6:54
  • Здравствуйте. Посмотрите полную диаграмму организации Lync, включая внешний доступ и федерацию, где есть детальное описание как конфигурации DNS, так и содержания сертификатов: здесь.

    Do not multiply entities beyond what is necessary

    10 сентября 2013 г. 11:38
  • Спасибо большое очень полезная информация по ссылке. Сейчас буду разбираться.

    А не подскажете,  я правильно понимаю; все DNS записи должны ссылаться или на имя компьютера с Front End (например frontend.domain.com.ua) или по IP адресу этого же сервера Front End, то есть для TMG и EDGE никаких записей в DNS быть не должно кроме записей А, подобных:

    lynctmg.domaim.com.ua(имя сервера) A   192.168.0.0 (IP сервера)  

    Верно?

    10 сентября 2013 г. 12:44