Introdução

Active Directory e Lync Standard

No artigo anterior sobre o Edge Server Instalação Lync Server Edge Server (pt-BR) configurei o server role sem separa-lo em uma DMZ. Neste artigo configuro o Edge server role em um DMZ separa por firewalls entre o Front End.

Todos os servidores estão instalado com Windows Server 2008 R2 Service Pack 1, o Lync Server Standard foi configurado com o domínio sip home.com.br e o domínio Active Directory tem o nome fqdn home.intranet
 
 


Os servidores foram configurados da seguinte forma

 

Nome do Servidor

Role

Endereço IP

hm01.home.intranet

Controlador de Domínio e Autoridade Certificadora

192.168.1.200

Hm02.home.intranet

Lync Server Standard Edition

192.168.1.201
Hm10.home.intranet TMG 2010 / Filtro de pacotes entre a rede interna e DMZ 1 IP1: 192.168.1.250 / DMZ1:172.16.0.250
HmRV.home.dmz TMG 2010 com Reverse Proxy configurado / Filtro de pacote entre DMZ 1 e DMZ 2 DMZ11: 172.16.0.254 / DMZ2 :10.0.0.251 

hmEdge.home.dmz

Lync Server Edge Server – não faz parte do domínio

DMZ 1: 172.16.0.200 / DMZ 2: 10.0.0.200, 10.0.0.201, 10.0.0.202
Firewall de Internet Firewall com NAT ativo DMZ 2 10.0.0.254 Internet: 223.0.0.1, 223.0.0.2, 223.0.0.3, 223.0.0.4 

O pool de Lync Server foi atualizado com o Cumulative Pack 4 utilizando o procedimento do artigo Atualização do Lync Server Pool com Cumulative Update 4 (pt-BR)
No controlador de domínio foi criado uma zone chamada home.com.br com os registros 

Tipo do Registro

FQDN

Endereço IP

A

admin.home.com.br

192.168.1.201

A

dialin.home.com.br

192.168.1.201

A

meet.home.com.br

192.168.1.201

A

Sip.home.com.br

192.168.1.201

SRV

Service: _sipinternaltls

Protocolo: tcp

Porta: 5061

Sip.home.com.br

Na zona do Active Directory home.intranet foi criado um registro para o servidor Edge. 
   

O registro do tipo Address resolve o nome FQDN HmEdge.home.intranet para o ip configurado na placa interna do servidor 172.16.0.200.

No DNS da internet foram criados os registros para o serviço do Edge Server:

 

URL Publico

IP

  Tipo do Registro

sip.home.com.br

223.0.0.1

 A

WebConf.home.com.br

223.0.0.2

 A

AV.home.com.br

223.0.0.3

 A
_sip._tls.home.com.br sip.home.com.br:443 SRV
_sipfederationtls._tcp.home.com.br sip.home.com.br:5061  SRV


Firewall Interno 

O firewall interno Hm10.home.intranet esta executando Forefront Threat Management Gateway (TMG) 2010 Service Pack 2
Os seguintes protocolos e portas precisam ser liberados entre a rede interna e a placa de rede interna do servidor Edge.
 
 



Porta

Rede de Origem

 Rede de Destino  Finalizadade 

4443/TCP

Back End Server Role

 Edge Server Role Porta de replicação do Central Management Store para o Local Store no Edge Server

5062/TCP

Front End Server Role

 Edge Server Role 
 Trafego de autenticação de sessão

443/TCP

Fron End Server Role / 
Edge Server Role /
Rede Interna

 Fron End Server Role / 
Edge Server Role 
 Trafego HTTPS deve ser liberado nos dois sentidos entre o Front End e Edge Server. 
3478/UDP Fron End Server Role / 
Edge Server Role /
Rede Interna 
 Fron End Server Role / 
Edge Server Role 
 Porta utilizada pelo Web Conference service. O trafego desta porta deve ser liberado nos dois sentidos entre o Front End e Edge Server. Utilizado para sessões de Áudio e Vídeo 
5061/TCP Fron End Server Role / 
Edge Server Role  
 Fron End Server Role / 
Edge Server Role  
 Trafego Sip seguro, a  porta deve ser liberado nos dois sentidos entre o Front End e Edge Server  
8057/TCP Front End Server Edge Server Porta das sessões dos clientes

Para o artigo vou demostrar as regras de liberação que configurei no TMG, não vou demostrar o passo a passo de cada regra.

Configurei duas entidades de rede para o firewall.
Internal - representa todos os ip's da rede interna 192.168.1.0 à 192.168.1.255
Rede DM| 1 representa todos os ip's da rede  DMZ 1 172.16.0.0 à 172.16.0.255
 

Entre as duas rede existe uma relação de Route, isso significa que não tenho NAT ativo entre a DMZ e rede interna!
 
 
Os ip's são configurados nas placas de rede do firewall, a placa de rede interna não foi configurado endereço de gateway e a placa conectada à rede DMZ 1 foi configurado com o gateway 172.16.0.254 que é o segundo TMG configurado como Reverse Proxy e executa o roteamento e filtro entre a DMZ 1 e DMZ 2
 

Foi criado dois objetos de rede:
Front End / Back End
 

Edge Server
             

Este objetos serão utilizados para as regras de liberação de portas entre o Lync Server Standard e o Edge Server.
Em seguida foram criados os protocolos, no console do TMG na guia Toolbox crie um novo protocolo.
 


Foram criados três  protocolos diferentes: 
MRAS Authentication
Porta: 5062
Protocolo: TCP
Direção:
 

CMS Replica:
Porta: 4443
Protocolo: TCP
Direção: Saída
 
 

WebConf Traffic
Porta: 8057
Protocolo: TCP
Direção:
 

AV Traffic
Porta: 3478
Protocolo: UDP
Direção
 

Com os protocolos e objetos criados falta somente criar as regras de liberação de trafego. Acesse a guia Tasks no console de gerenciamento do TMG e crie uma Create Access Rule.
 


Foram criadas três regras de acesso:
Regra 1: Acesso Rede Interna ao Edge liberando os protocolos HTTPS e AV Traffic aos clientes da rede interna ao servidor Edge Server
 


Regra 2: Comunicação Front End Edge Server liberando os protocolos HTTPS, SIPS e AV Traffic nas duas direções de comunicação entre o Lync Standard e o Edge Server
 
 

Regra 3: Acesso Front End liberando os protocolos  CMS Replica, MRAS Authentication e WebConf Traffic com origem no Lync Standard para Edge Server 
 
 

Para facilitar os testes de roteamento entre a rede DMZ 1 e a Rede Interna criei um regra permitindo ping. 
 
 

Configuração  da Política de Acesso Externo

Para permitir que os usuários se conectem pelo Edge Server é preciso alterar a política de acesso externo.
Logue no console de gerenciamento do Lync, na página External User Access clique na guia Access Edge Configuration. Edite e política padrão Global
 


Seleciona Enable remote user access e salve as alterações
 


Criação do Edge Pool

Para a criação do Edge Pool inicie o Topology Builder e selecione Download Topology from existing deployment.


Selecione a pasta Edge Pool e na clique em New Edge pool....
 

O assistente de configuração do Edge Pool inicia, avance para configurar o serviço
 

Selecione a opção Single Computer pool e configure o fqdn interno do Edge Server nesse caso o nome fqdn HmEdge.home.intranet (esse registro deve ser criado manualmente no DNS do Active Directory Domain)
 

Vou configurar o Edge através de um NAT, por isso selecionei The external IP address of this Edge pool is translated by NAT
 

Configure os fqdn's que serão utilizadas e as portas de cada serviço
Sip.home.com.br 443
WebConf.home.com.br 443
AV.home.com.br 443
 

Configure o endereço IP configurado na placa de rede interna do Edge
172.16.0.200
 

Configure os endereços ip's da placa de rede externa do servidor Edge
10.0.0.200
10.0.0.201
10.0.0.202
 

Informe o ip válido configurado no firewall de internet
 

Associe o novo serviço ao pool existente
 

Selecione os Front End's do pool e finalize o assistente.
 

De volta ao Topology Builder publique as alterações na topologia.
 

 
 

Com o pool configurado e criado no Central Management Store exporte as alterações para um arquivo para ser utilizado na instalação do serviço no servidor de destino. Inicie o Lync Server Management Shell e execute o cmdlet
Export-CsConfiguration <caminho do arquivo>
 

Acesse o portal do servidor de certificado e exporte o certificado raiz para um arquivo.
 

Salvei os dois arquivos na pasta local do C:\InstallEdge. Copie esta pasta para o servidor onde será instalado os serviços do Edge server;
 

Configuração do Edge Server

O servidor que será instalado os serviços do Edge Server foi instalado com duas placas de rede, uma placa configurada na rede DMZ 1 e outra DMZ 2
 

A placa de rede interna foi configurada com o ip da rede DMZ 1, não foi configurado nenhum gateway ou servidor DNS nesta placa.
Ip: 172.16.0.200/24
 

Na placa configurada com o ip da rede DMZ 2, foi configurado o endereço gateway o firewall que faz a conexão com a internet e um servidor DNS externo. 
 

O servidor do Edge server precisar acessar recursos da rede corporativa, com essa configuração de rede o servidor é incapaz de rotear requisição para a rede 192.168.1.0/24
 

Isso ocorre porque o servidor não possui nenhuma rota para a rede corporativa, 
route print
 

Para permitir a comunicação do servidor com a rede corporativa é preciso adicionar uma rota de saída para a rede 192.168.1.0/24 pelo placa de rede interna do Edge Server. Para identificar qual a interface que será utilizada no comando route add execute o ipconfig /all e anote o endereço físico da placa de rede interna.
 

Identifique no route print qual o número da interface do endereço físico anotado. Nesse caso a placa de rede interna tem a identificação IF 12
 

Utilize o comando route add para adicionar a rota, utilize a opção -p para tornar a rota persistente e ela não ser perdida quando o servidor reiniciar
route add <rede destino> mask <mascara de identificação> <endereço gateway> if <identificação da placa de rede> -p
  

Configure o sufixo dns no servidor Edge, o sufixo dns deve ser idêntico ao sufixo dns do Active Directory Domain.
Na guia de mudaça de nome do computados, clique em More
 

Na caixa de dialogo configure o Primary DNS suffix of this computer adicione o mesmo sufixo do Active Directory Domain. Não esqueça de criar um registro no dns da zona home.intranet apontando para o ip do servidor Edge, você precisa configurar essa entrada manualmente no DNS pois o servidor Lync Edge  não faz parte do domínio Active Directory.
 

Configure o arquivo hosts do servidor e adicione o nome fqdn e o endereço ip do controlador de domínio e do Lync Server Standard
C:\Windows\System32\drivers\etc\hosts
 

Copie a pasta com o certificado raiz da certificadora e o arquivo de configuração gerado no Front End para a raiz do servidor;
 

Inicie um console de administração executando o comando mmc no executar, e selecione o Snap-In Certificates
 

Selecione a gerencia do Computer account 
 

Selecione Local Computer
 

No console clique com o botão direito sobre Trusted Root Certification Authorities selecione All Tasks e clique em Import
 

Selecione o certificado raiz e finalize o console
 

Com as alteração de rota e no arquivo hosts o ping pelo nome fqdn do Lync Standard é completado com sucesso.
 

Antes de prosseguir com a instalação dos serviços do Edge Server é recomendado reiniciar o servidor para aplicar todas as alterações realizadas.


Instalação dos Serviços do Edge Server


Criação do Local Configuration Store

Para iniciar a instalação do serviço do Edge Server monte a mídia de instalação do Lync no servidor e inicie o assistente de instalação. O assistente instala o Visual C++ 2008 
 

Em seguida instale os componentes base do Lync Server
 
 

No assistente de instalação clique em Install or Update Lync Server System
 

Inicie o primeiro passo Install Local Configuration Store 
 

Selecione o arquivo criado com o Export-CsConfiguration
 

Verifique se nenhum erro ocorreu e finalize o primeiro passo
 

Inicie o segundo passo Setup or Remove Lync Server Components 
 

Instalação dos Serviços e Componentes

Avance para iniciar a instalação
 

Verifique se nenhum erro foi logado e finalize o segundo passo
 

Criação do Certificados Digitais

O terceiro passo o assistente configura os certificados digitais utilizados na comunicação dos clientes e com os outros servidores do pool.
Clique em Run para inciar Request, Install or Assing Certificates 
 

Selecione a Edge Internal para emitir o certificado utilizado na placa de rede interna. Clique em Request
 

Avance para iniciar o assistente do certificado
 

Selecione a opção Prepare the request now, but send it later (offline certificate request). Essa opção gera um arquivo para ser importado na certificadora
 

Selecione o caminho do arquivo
 
 
Não altere nenhuma configuração em Certificate Template
 

Configure o Friendly Name para o certificado e marque a opção Mark the certificate's private key as exportable. O Friendly Name do certificado pode ser configurado com qualquer nome, este valor não altera nenhuma funcionalidade do certificado
 

Configure as informações da organização no certificado
 

Configure as informações geograficas
 

Em Subject Name deve ser configurado com o nome fqdn criado no DNS do Active Directory Domain
 

Não é necessário adicionar nenhum Subject Alternative Names
 

Verifique se todas as informações estão corretas e finalize o assistente
 
 

Finalize o assistente.
 

De volta ao Certificate Wizard selecione External Edge certificate e clique em Request
 

O processo é o mesmo realizado para o certificado interno, altere somente o nome do arquivo da requisição 
 

E os nomes que serão configurados o certificado, o assistente adiciona os nomes configurados para os serviços no Standard Pool
 

No final do processo temos dois arquivos para gerar os certificados digitais, copie os dois para algum servidor da rede interna.
 

O conteúdo dos arquivos se assemelha
 

Acesse o Web Certificate Enrrolement nessa estrutura o controlador de domínio possui a certificadora enterprise instalada. Clique em Request a certificate 
 

Selecione Advanced certificate request
 

Clique Submit a certificate by using a base-64 encoded CMC or PKCS # 10 file, or submit a renewal request by using a base 64-encoded PKCS #7 fiel
 

Em Saved Request copie o conteúdo de um arquivo de request e cole neste local. Em Certificate Template selecione Web Server e clique em Submit
 

O certificado é gerado, pelo portal salve em um arquivo e repita o mesmo processo para o certificado da rede externa
 

Na pasta de destino temos os dois certificados emitidos 
 

Copie a pasta para o servidor Edge, acesse o console de gerenciamento com o Snap-In de certificado no computados local e importe os dois certificados
 

Selecione o caminho do arquivo
 

Os certificados importados devem ser listados como se segue, as chaves privadas devem fazer parte do certificado para que eles possam ser utilizados pelos serviços do Edge Server
 

Retorne ao assistente de instalação do Lync, na guia do Certificate Wizard. Selecione o Edge Internal e clique em Assign
 

Avance para iniciar a instalação do certificado
 

Marque o certificado gerado para a placa de rede interna
 

 Verifique as informações do certificado e se o nome fqdn esta correto e avance iniciar a importação

Verifique se nenhum erro ocorreu e finalize o assistente

De volta ao assitente de certificado realize o mesmo procedimento, so que desta vez selecione a External Edge Certificate

E marque o certificado gerado para a rede externa

Inicie os Serviços do Lync Edge

Execute o passo Start Service para iniciar todos os serviços do Edge;
 
 


 Inicie o console de gerenciamento de serviços e certifique-se que todos os serviços foram criados
 

Replicação Entre Back End e Edge Server

No servidor Edge Server o assistente criou uma pasta compartilhada chamada xds-replica. As alterações na topologia e replicações necessárias para o Edge serão salvas nesta pasta pelo serviço de replicação do Back End e os serviços instalados no Edge aplicam as alterações necessárias.
 

Para iniciar o processo de replicação do Back End para o Local Store no servidor Edge execute o cmdlet
Invoke-CsManagementStoreReplication
 

Isso força toda a topologia verificar por atualizações no Back End, apos a execução do comando. 
Utilize o cmdLet:
Get-CsManagementStoreReplication
 

Dependendo do tamanho da estrutura e do link disponível entre os server roles o status dos servidores pode demorar um pouco a atualizarem, para um ambiente simples com um Standard Pool e um Edge Server a atualização leva menos de um minuto. Se todas as configurações foram efetuadas com sucesso o status deve ser atualizado para:
 


Publicação do Edge Server 

A publicação dos serviços para os clientes utilizando a internet é necessário a liberação das seguintes portas do firewall de internet para os ip's das placas de rede externa do servidor Edge.
 

As portas 50000 - 59999/TCP e 50000-59999/UDP são necessárias somente se a federação com o Office Communicator 2007 ou Live Messeger estiver configurada.





Referencia

Este artigo foi originalmente escrito por:
Fernando Lugão Veltem
blog: http://flugaoveltem.blogspot.com 
twitter: @flugaoveltem