none
Помогите с Edge сервером RRS feed

  • Вопрос

  • Здравствуйте. конфигурация такая у нас есть лвс 192.168.1.0\20  в ней развернуты dns dhcp ad lynk(frontend). Поставили на виртуальную машину edge - у нее 2 сетевых карты - 1 для лвс, 2  - для белых адресов (3 адреса - для sip, wev  и av). белые адреса сопоставили с днс записями на внешнем днс сервре прописали - lyncsip.domen.ru lyncweb.domen.ru и  lyncav.domen.ru.

    на внутренем днс сервере (в лвс) ничего не создавал для белых адресов.

    репликация между edge  и frontend  проходит. в панели управления  frontend  указал что внешние клиенты могут подключаться и анонимные пользователи.

    внешним клиентам указываю адрес lyncsip.domen.ru  - так?  или что указывать????

    при подключении anonym@lyncsip.domen.ru  выскакивает - ошибка проверки сертификата сервера... не понятно что делать. 

    подскажите пожалуйста.

    22 апреля 2016 г. 8:20

Все ответы

  • вы на внешний интерфейс Edge сертификат коммерческий привязывали?

    Do not multiply entities beyond what is necessary

    22 апреля 2016 г. 8:27
  • нет. у нас на внутренем днс сервере нет информации о внешней зоне domen.ru.  там содержится информация о внутренней domen.local - где есть записи о frontend - lync.domen.local  и edge - Lynkedge.domen.local (edge  в домене не состоит только приписан днс суффикс) 

    нужно ли хранить внешнюю зону на внутренем днс?

    нужна ли на внешнем днс запись _sip._tls.domen.ru?

    • Изменено shmelfrol 22 апреля 2016 г. 9:02
    22 апреля 2016 г. 8:29
  • имя SIP домена у вас какое указано в топологии?

    Do not multiply entities beyond what is necessary

    22 апреля 2016 г. 10:14
  • для edge  сервера  lyncsip.domen.ru

    внутренний lync.domen.ru

    • Изменено shmelfrol 22 апреля 2016 г. 10:48
    22 апреля 2016 г. 10:44
  • Я имел ввиду, имя SIP домена, а не FQDN сервера. Если это имя вида domain.ru (то есть публичное), то это правильно. Если в топологии, кроме имени SIP домена больше нигде не используются публичные имена, то внутреннюю зону domain.ru можно и не создавать.

    Вопрос в другом. Для доступа внешних пользователей на внешний интерфейс сервера Edge должен быть привязан коммерческий сертификат (покупной SAN сертификат), с именем в вашем случае lyncsip.domen.ru и дополнительными полями lyncsip.domen.ru + webconf.domain.ru (то есть так же, как вы определили все это в топологии). Кроме Edge необходим так же обратный прокси для публикации веб сервисов. И для него тоже нужен коммерческий сертификат (SAN или Wildcard).


    Do not multiply entities beyond what is necessary

    22 апреля 2016 г. 11:43
  • домен наш внутренний domen.local

    sip домен наверное такой же указал при развертывании - не могу понять где посмотреть в топологии - везде указаны fqdn  сервера.

    про сертификаты - есть бесплатные центры сертификации?? или же можно сделать центр сертификатов с реальным IP  и выдавать только своему серверу???


    • Изменено shmelfrol 25 апреля 2016 г. 5:31
    23 апреля 2016 г. 10:36
  • имя SIP домена указано в у вас в топологии (SIP Domains). И это именно то имя, которое вы указывали при развертывании. ну или выполните Get-CsSipDomain.

    По части сертификатов. Вам нужен SAN сертификат для Edge. И SAN (или wildcard) для RP. Такие можно только купить. Бесплатные сертификаты могут содержать только 1 имя. Однако, для тестовых целей вы можете выпустить сертификаты для внешнего доступа с помощью вашего внутреннего центра сертификации, при этом установить сертификаты вашего СА в хранилище доверенных корневых центров компьютеров (устройств), которые предполагаете использовать для внешнего доступа. Таким образом все будет работать, кроме федерации и интеграции с Desktop Skype.


    Do not multiply entities beyond what is necessary

    25 апреля 2016 г. 7:45
  • мой sip домен - domen.local

    fqdn  сервера - lync.domen.local

    fqdn edge - lyncedge.domen.local

    внешние адреса lynksip.domen.ru, lynkav.domen.ru, lynkweb.domen.ru

    сертификаты взял бесплатные отсюда - wosign.com

    теперь вопрос - про запись _sip._tls.domen.ru - на внешнем днс - нужна ли она? 

    и нужно в моей конфигурации на внутреннем днс хранить внешнюю зону domen.ru?


    • Изменено shmelfrol 25 апреля 2016 г. 11:00
    25 апреля 2016 г. 10:59
  • вам нужно добавить sip домен с публичным именем. Если у вас развернута почтовая система на базе Exchange, то лучше, если имя SIP домена будет совпадать с именем SMTP домена.

    Do not multiply entities beyond what is necessary

    26 апреля 2016 г. 5:27
  • куда добавить? в топологию? как это сделать? вот моя топология:

    вот, что у внешнего клиента в днс кеше


    • Изменено shmelfrol 28 апреля 2016 г. 9:22
    26 апреля 2016 г. 5:55
  • Запускаете построитель топологии с повышенными привилегиями, правый клик на Lynx Server (самый верхний уровень дерева топологии) и выбираете из контекстного меню редактировать свойства (Edit Properties). Добавляете SIP домен с публичным именем, затем публикуете топологию.

    Да, и придется заново выпустить сертификат для Lync Server, поскольку у вас добавился SIP домен. Бесплатный сертификат какие имена содержит? И что относительно публикации веб сервисов? Там также нужен SAN сертификат

    Руководство по развертыванию доступа внешних пользователей.


    Do not multiply entities beyond what is necessary

    26 апреля 2016 г. 6:55
  • спасибо добавил - посмотрите скрин ниже.

    какой сертификат выпустить заново -  внутренний для edge  сервера???

    во внешнем сертификате для  edge  содержатся три записи - то есть он SAN  сертификат - этот китайский центр сертификации выдает бесплатные сертификаты, которые включают до трех имен и сроком до трех лет..

    он содержит имена lynksip.domen.ru, lynkweb.domen.ru, lynkavdomen.ru

    а что теперь делать с адресом meet.domen.ru??? для него запись на днс надо делать???



    • Изменено shmelfrol 26 апреля 2016 г. 7:37
    26 апреля 2016 г. 7:21
  • посмотрите статью, которую я вам привел. Там есть еще обратный прокси. Для публикации веб-сервисов Lync. И там перечень имен побольше, чем для Edge.

    Относительно бесплатных SAN сертификатов - не совсем уверен, что цепочка сертификатов соответствует требованиям. Иначе говоря, есть ли по умолчанию корневой сертификат этого центра в списке доверенных корневых центров сертификации. Если нет, то могут быть проблемы.


    Do not multiply entities beyond what is necessary


    • Изменено Dmitry.I 26 апреля 2016 г. 7:51
    26 апреля 2016 г. 7:49
  • теперь действовать согласно статье https://habrahabr.ru/post/229389/ ? только не сменять sip домен у внутренних пользователей?

    записи на внутреннем и внешнем днс создавать?

    если да, то на внешнем записи будут соответствовать серверу edge???

    Тип SRV 
    _sip._tls.NewDomain.com (порт 44) (ссылается на lynksip.domen.ru)
    _sipfederationtls._tcp.NewDomain.com (порт 5061) (нет федерации)
    Тип A 
    sip.NewDomain.com (у нас lynksip.domen.ru)
    webcon.NewDomain.com (у нас lynkweb.domen.ru)

    av.NewDomain.com (у нас  lynkav.domen.ru)
    dialin.NewDomain.com (нет такой записи)
    lyncdiscover.NewDomain.com (нет такой записи) ip должен соответствовать lynksip.domen.ru???
    lyncwebsvc.NewDomain.com (нет такой записи) ip должен соответствовать lynksip.domen.ru???
    meet.NewDomain.com (нет такой записи) ip должен соответствовать lynksip.domen.ru???

    на внутреннем днс создавать записи для дополнительного сип????


    • Изменено shmelfrol 26 апреля 2016 г. 8:03
    26 апреля 2016 г. 7:52
  • лучше воспользуйтесь руководство вендора.

    dialin.NewDomain.com, lyncdiscover.NewDomain.com, lyncwebsvc.NewDomain.com,
    meet.NewDomain.com эти записи на одном IP адресе, который никак не соотносится с Edge. почитайте  про обратный прокси.


    Do not multiply entities beyond what is necessary

    26 апреля 2016 г. 8:16
  • что-то я опять запутался, чтобы был доступ из вне поднимается edge, но так как мой сип домен внутренний, пришлось добавить внешний дополнительный в топологию - чтобы  он заработал теперь надо еще и reverse proxy  поднять....
    26 апреля 2016 г. 8:49
  • Да, обратный прокси входит в требования для внешнего доступа. Все же рекомендую перед началом работ по развертыванию спланировать все действия и необходимые конфигурации изучив документацию по внедрению.

    Do not multiply entities beyond what is necessary

    26 апреля 2016 г. 9:17
  • какую запись необходимо создать на днс-сервере для публичного sip-домена domen.ru?

    запись А - meet.domen.ru (и реальный ip)?

    • Изменено shmelfrol 27 апреля 2016 г. 6:17
    27 апреля 2016 г. 6:16
  • meet - это запись для публикации URL собраний. SIP домен публикуется с помощью службы Access Edge (у вас доменное имя lynksip.domain.ru). Все же почитайте рекомендованную в начале обсуждения статью, которая подробно объясняет для чего какое доменное имя необходимо. В рамках форума сложно подробно объяснить что для чего.

    Do not multiply entities beyond what is necessary

    27 апреля 2016 г. 6:22
  •  при развертывании front end  указываются simple url:

    https://meet.domen.local

    https://dialin.domen.local

    https://kyncadmin.domen.local

    они должны открываться в браузере во внутренней сети?

    и если они не открываются что проверить?

    28 апреля 2016 г. 9:21
  • нет, эти URL в таком виде не открываются. Кроме URL для администрирования (также должна быть заведена запись в DNS).

    Do not multiply entities beyond what is necessary

    28 апреля 2016 г. 11:10
  • добавил новый sip домен domen.ru

    прописал в топологии адреса (simple url)

    meet.domen.ru
    dialin.domen.ru

    во внутреннем днс хранится только внутрення зона domen.local, и мне запретили там создавать внешнюю зону domen.ru, поэтому создал файл hosts  и разместил его на всех серверах - frontend rproxy edge web-apps:

    192.168.15.225  meet.domen.ru
    192.168.15.225  dialin.domen.ru
    192.168.15.225  lyncdiscoverinternal.domen.ru
    192.168.15.225  sip.domen.ru

    выдал новый сертификат san из локального CA, в который входят 

    DNS-имя=sip.domen.local
    DNS-имя=sip.domen.ru
    DNS-имя=lync.domen.local
    DNS-имя=dialin.domen.local
    DNS-имя=dialin.domen.ru
    DNS-имя=meet.domen.local
    DNS-имя=lyncadmin.domen.local
    DNS-имя=meet.domen.ru
    DNS-имя=LyncdiscoverInternal.domen.local
    DNS-имя=LyncdiscoverInternal.domen.ru
    DNS-имя=Lyncdiscover.domen.local
    DNS-имя=Lyncdiscover.domen.ru

    что получил при попытке зайти на https://dialin.domen.local - заходит с браузера с внутренней сети

    а вот при попытке https://dialin.domen.ru -  пишет доступ запрещен 

    frontend открывает только для того sip домена который совпадает с доменом ad (domen.local)?
    можно ли использовать sip домен domen.ru  а ad - domen.local???

    • Изменено shmelfrol 29 апреля 2016 г. 10:45
    29 апреля 2016 г. 9:32
  • выполнил Enable-CSComputer - и начал открываться адрес https://dialin.domen.ru
    29 апреля 2016 г. 10:49
  •  не понятно что теперь прописывать в hosts  файле  прокси (IIs AAR),  на внешнем днс прописаны:

    meet.domen.ru 213.xxx.xxx.144 (внешний ip  IIS ARR)

    dialin.domen.ru 213.xxx.xxx.144

    xweb.domen.ru 213.xxx.xxx.144

    lyncdiscover.domen.ru 213.xxx.xxx.144

    в локальной сети на фронтенде и клиентах прописано в файте  hosts

    192.168.15.225  meet.domen.ru
    192.168.15.225  dialin.domen.ru
    192.168.15.229 (ВНУТРЕННИЙ IP iis arr)  lyncdiscoverinternal.domen.ru
    192.168.15.225  sip.domen.ru

    192.168.15.225  xweb.domen.ru

    на внутреннем днс сервере не хранится внешняя зона - domen.ru, поэтому используем hosts файл.

    но с прокси не получается - снаружи постоянно ошибка 502 - прокси сервером получен недопустимый ответ.

    подскажите, пожалуйста.


    • Изменено shmelfrol 4 мая 2016 г. 9:26
  • Вам вовсе необязательно было внутренние URL создавать с публичными именами. По какой причине вы не можете создать внутреннюю DNS зону domain.ru? Она же никак не связана с публичной зоной и обслуживает только внутренние запросы.

    192.168.15.229 (ВНУТРЕННИЙ IP iis arr)  lyncdiscoverinternal.domen.ru это нерекомендованное решение. Эта запись должна разрешаться в IP сервера Lync.

    Использование hosts файла рекомендовано только для Lync Edge (если настроены только публичные DNS серверы в свойствах интерфейсов).


    Do not multiply entities beyond what is necessary

  • внешним днс сервером занимается другой человек, и он поставил запрет на передачу зоны и вообще начальство запретило хранить на внутреннем днс внешнюю зону "в целях безопасности", я могу создать внешнюю зону - создать основную зону и ручками вбить все мне известные адреса внешней зоны  domen.ru  но хотелось бы обойтись файликом hosts  для этого.

    итак что мы имеем: внешний адрес реверс прокси и внутренний

    на внешнем днс сервере прописано соответствие внешнего ip iis arr  со следующими именами:

    meet.domen.ru 213.xxx.xxx.144 (внешний ip  IIS ARR)
    dialin.domen.ru 213.xxx.xxx.144
    xweb.domen.ru 213.xxx.xxx.144
    lyncdiscover.domen.ru 213.xxx.xxx.144

    внутренний адрес должен разрешаться в теже  имена и все это должно быть записано во внутреннем днс, который содержит внешнюю зону, но мы его заменим файликом хостс:

    192.168.15.225  meet.domen.ru (ip FE)
    192.168.15.225  dialin.domen.ru
    192.168.15.229 (ВНУТРЕННИЙ IP iis arr)  lyncdiscover.domen.ru
    192.168.15.225  sip.domen.ru
    192.168.15.225  xweb.domen.ru

    теперь вопрос в том на реверс прокси, если запустить команду ping meet.domen.ru  он должен разрешитьcя во внутренний или внешний IP?

     и еще если мы храним внешнюю зону на внутреннем днс сервере, то значит она передается с какого-то внешнего днс сервера, который полномочный за эту зону следовательно там уже будет запись meet.domen.ru, которая разрешается во внешней ip, но по интструкциям на внутреннем необходимо хранить туже запись, но котрая разрешается во внутренний ip -  2 записи на внутреннем dns  одного url???




    • Изменено shmelfrol 5 мая 2016 г. 7:36
  • составил файл hosts  и пытался создать правила перенаправления на iis arr, но ничего не получалось удалил все правила и оставил так как на картинке и вдруг все заработало: 

    здесь все запросы https  перенаправляются на ферму серверов?

    но создаю условие http_host  и шаблон xweb.domen.ru  перестает работать.... не пойму....

  • немного одолел reverse proxy  но не полностью

    создал 4 фермы серверов, в которых один и тот же сервер - frontend для адресов meet.domen.ru, xweb.domen.ru, dialin.domen.ru, lyncdiscover.kubstu.edu

    в файле hosts  изменил lyncdiscover.domen.ru 192.168.15.225 - внутренний ip fe. 

    при запуске во внутренней сети https:// lyncdiscover.domen.ru  - начинает скачиваться какой-то файлик

    с внешнего клиента также начинает качать файлик. установил lync connectivity analizer  - он пишет что нет доступа по https:// lyncdiscover.domen.ru. 

    не могу понять почему, если файл скачивается то значит reverse proxy  работает.

    также снаружи не открывается https://dialin.domen.ru -  пишет проверьте что адрес https://lync.domen.local -  правильный - (lync.domen.local - это FE) - почему выскакивает такая ошибка?? внутри сети https://dialin.domen.ru открывается нормально.

    xweb.domen.ru и meet.domen.ru - открываются везде и снаружи и внутри.

    правила для этих адресов аналогичные, единственное что для каждого пришлось создать ферму серверов, потому как при создании одной фермы для 4 правил перенаправления не работают.

    но в каждой ферме один и тот же сервер - FE/

    куда копать и что проверить? направьте пожалуйста)))