www.SAMURAJ-cz.com 

17.12.2017 Daniel Translate to English by Google     VÍTEJTE V MÉM SVĚTĚ

Články

Migrace z Lync 2010 na Lync 2013 část 2 - Edge

Pondělí, 13.05.2013 18:43 | Samuraj - Petr Bouška |
Pokračujeme v migraci naší Lync topologie na novou verzi Lync 2013. V tomto díle se podíváme na instalaci nového Edge Lync Server 2013 v edici Standard. Podrobně si projdeme instalaci, které je stejná ať provádíme migraci nebo čistou instalaci.

Tento článek byl také publikován v rámci Microsoft TechNet Blog CZ/SK v Microsoft sekci na Živě Migrace z Lync 2010 na Lync 2013 (2. díl).

Nasazení Edge serveru

Standardní Lync topologie obsahuje Front End server a k němu také Edge server, abychom mohli používat externí přístup uživatelů a různé federace. I naše migrovaná topologie obsahuje tyto dva servery. Po té, co jsme paralelně nasadili Front End Server 2013, a otestovali funkčnost na pár uživatelích, nás nyní čeká Edge server.

Doporučovaná metoda, kterou si zde také popíšeme, je obdobná jako u Front End serveru. Spočívá tedy v Side by Side migraci, kdy vedle existujícího Edge Serveru 2010 nasadíme verzi 2013. To má výhodu, že můžeme vše v klidu nainstalovat a otestovat a pak teprve přepnout celou funkčnost. Nevýhodu je, že potřebujeme řadu nových IP adres, včetně veřejných, nová veřejná DNS jména a nové certifikáty. Byla by tu i možnost odstranit starý Edge server a při instalaci nového využít stávající zdroje. To by ovšem znamenalo delší výpadek pro uživatele. Pořád tu ale je možnost nainstalovat Edge server s novými (dočasnými) hodnotami, vše otestovat a při přepojování (odstranění původního Edge serveru) změnit hodnoty na ty původní.

Instalace Edge serveru, a hlavně potřebné komunikace, se téměř neliší od verze Lync 2010. To jsme si podrobně popsali v článku Microsoft Lync část 5 - instalace Edge serveru, na který se budeme odkazovat.

Plánování nasazení

Určitě je dobrým začátkem mít k dispozici schéma aktuální topologie Lyncu a připravit si plánovanou cílovou topologii, kde již budeme počítat s DNS jmény, IP adresami a potřebnými komunikacemi. Případně můžeme mít i nějaké přechodové schéma, kde budou společně aktuální (Legacy) i přidávané (Pilot) prvky nasazení. Velmi schématický obrázek přechodného stavu migrace je níže.

Migrace Lyncu 2 - 01

Podrobné schéma cílové topologie naší migrace zobrazuje další obrázek. Schéma aktuálního stavu máme v článku Microsoft Lync část 5 - instalace Edge serveru.

Migrace Lyncu 2 - 02

Pro instalaci potřebujeme připravit nový (virtuální) server, na který nainstalujeme Windows Server 2012 Standard (mohl by se použít i Windows Server 2008 R2 SP1). Co se týče HW požadavků serveru, tak samozřejmě záleží na počtu uživatelů a využití, v našem případě si vystačíme s běžným procesorem a 4 GB operační paměti. Pro Lync 2010 Edge nám jakžtakž stačil 20 GB disk, pokud nyní použijeme 30 GB disk, tak nám průvodce selže při instalaci DB. Velikost 40 GB je již dostatečná (a po instalaci zůstalo 17 GB volných). Obecně jsme si požadavky více popsali v článku Microsoft Lync 2013 - než začneme nasazovat.

Server nám stačí standardně nainstalovaný, pouze doplníme jednu vlastnost systému Microsoft Windows Identity Foundation. To můžeme provést pomocí PowerShellu.

Add-WindowsFeature Windows-Identity-Foundation 

Příprava topologie

Prvním krokem instalace je změna stávající topologie, kde doplníme nový Edge server a jeho parametry. Topologii musíme editovat pomocí Lync Server Topology Builderu verze 2013, takže využijeme náš nově nainstalovaný Front End server.

  • připojíme se na LyncFE.firma.local
  • spustíme Lync Server Topology Builder
  • zvolíme Download Topology from existing deployment
  • uložíme topologii do souboru (přepíšeme původní) firma.tbxml
  • rozklikneme naši lokalitu (Praha) a Lync Server 2013
  • klikneme pravým tlačítkem na Edge Pools a zvolíme New Edge Pool
Migrace Lyncu 2 - 03

Tím se nám spustí průvodce Define New Edge Pool.

Migrace Lyncu 2 - 04

Zadáme FQDN nového Edge serveru a zvolíme Single computer pool.

Migrace Lyncu 2 - 05

U výběru vlastností nezaškrtneme žádnou možnost (federaci a XMPP budeme konfigurovat až dodatečně).

Migrace Lyncu 2 - 06

Dle našich požadavků zvolíme IP možnosti.

Migrace Lyncu 2 - 07

Zadáme veřejná doménová jména, kde budou poslouchat jednotlivé služby. Pokud bychom zvolili (v dřívějším kroku) využití pouze jednoho DNS jména a IP adresy, tak bychom museli nastavit různé porty, to ale není pro praxi vhodné.

Migrace Lyncu 2 - 08

Vložíme IP adresu rozhraní Edge serveru, které směruje k naší interní síti.

Migrace Lyncu 2 - 09

Potom definujeme 3 IP adresy z interního rozsahu DMZ, kam budou směrovány internetové požadavky z veřejných adres.

Migrace Lyncu 2 - 10

Z veřejných IP adres zadáváme pouze jednu. Je třeba nepřehlédnout, že jde o Audio Video Edge, kterou ve schématech uvádíme až jako třetí.

Migrace Lyncu 2 - 11

V kroku Next hop server se nám nabízí původní i nový Front End server, my nyní volíme ten starý.

Migrace Lyncu 2 - 12

Poslední krok průvodce nám znovu nabízí oba Front End servery pro asociaci. Nyní nezaškrtneme žádný (nastavení provedeme až později).

Migrace Lyncu 2 - 13

Průvodce ukončíme tlačítkem Finish.

Publikace topologie

Následně vypublikujeme topologii pomocí Publish Topology. Průvodce by měl skončit bez chyb případně s nějakým nedůležitým varováním, jako:

Warning: Unable to check the security for "Deleted Objects" in the configuration container. This is expected if you are not an enterprise administrator.
Migrace Lyncu 2 - 14

Můžeme se podívat na To-do list, který nám popisuje potřebné následující kroky.

Update Lync Server with the changes defined in the topology by running local Setup on each server in the following list.
Server FQDN: lynced.firma.dmz, Pool FQDN: lynced.firma.dmz

Export konfigurace (topologie)

Rovnou si nyní připravíme soubor, který bude obsahovat naší Lync topologii. Až budeme instalovat Edge server v DMZ, tak je třeba se v prvním kroku připojit na CMS a stáhnout tuto topologii, to by nám ale z DMZ neprošlo, protože nemáme tuto komunikaci povolenou (směr z DMZ na CMS, dále totiž používáme pouze obráceně).

Export-CsConfiguration -FileName c:\topology.zip

Instalace Edge Serveru

Nový server jsme si již připravili. Ještě je třeba, aby měl nastaveny všechny čtyři požadované IP adresy (popisovali jsme dříve). Podle doporučení má mít minimálně dva síťové adaptéry (jeden pro externí adresy a jeden pro interní), já používám DMZ s jedním subnetem a na Edge serveru pouze jeden adaptér, který má nastaveny všechny čtyři IP adresy. Důležité je, že v DNS musí být k serveru registrována pouze jedna IP adresa a to ta, která směruje k interní síti.

Z instalačního média Lyncu spustíme setup.exe. Odsouhlasíme instalaci Microsoft Visual C++ 2012 Minimal Runtime a cestu pro instalaci. Vše je stejné jako u každé Instalace Lync Server 2013.

Nastartuje Deployment Wizard, kde vybereme Install or Update Lync Server System.

Migrace Lyncu 2 - 15

Spustíme první krok Install Local Configuration Store.

Migrace Lyncu 2 - 16

Důležitá volba je, že CMS data (lokální replika) se importují ze souboru Import from a file (recommended for Edge Servers). Vybereme soubor, který jsme exportovali na Front End serveru.

Migrace Lyncu 2 - 17

Instalace by měla proběhnout bez problémů, stejně jako druhý krok Setup or Remove Lync server Components. V třetím kroku Request, Install or Assign Certificates potřebujeme minimálně dva certifikáty. Jeden pro komunikaci s Front End serverem (poznámka bokem, Edge server musí také důvěřovat certifikátu Front End serveru) a druhý pro komunikaci z internetu (ten byl měl být od nějaké veřejné důvěryhodné autority). Certifikáty buď importujeme, nebo o ně požádáme.

Pokud vytváříme Offline žádost, tak je postup Request - vytvoříme soubor s žádostí (něco.req), na CA vydáme certifikát (něco.cer), Import - naimportujeme cer soubor do storu Windows, kde se spojí s privátním klíčem, Assign - přiřadíme nový certifikát dané službě.

Migrace Lyncu 2 - 18

Poslední krok je nastartování služeb a jejich kontrola.

Migrace Lyncu 2 - 19

Komunikace Edge serveru

Prostup z CMS a kontrola

Pokud máme pravidlo, které povoluje komunikaci z Central Management Store (CMS) pouze na starý Edge server, tak jej rozšíříme i o právě nainstalovaný server. Jde o HTTPS komunikaci na TCP portu 4443.

Pozn.: CMS nám zatím běží na původním Front End Serveru 2010.

Poté můžeme zkontrolovat, že probíhá replikace z CMS na Edge server. Buď pomocí Lync Server Control Panel v Topology nebo pomocí Lync Server Management Shell a cmdletu Get-CsManagementStoreReplicationStatus. K replikaci dochází pouze v určitém intervalu, takže ji můžeme i manuálně vyvolat pomocí Invoke-CsManagementStoreReplication.

Zprovoznění komunikací

Další krok spočívá ve zprovoznění komunikace z internetu na nový Edge server, tedy publikace tří IP adres a patřičných portů na firewallu. A povolení komunikace z Front End serveru na nový Edge server. Různé návody tuto oblast příliš nepopisují. Já ji podrobně popsal v článku Microsoft Lync část 5 - instalace Edge serveru, který se sice týká Lync Serveru 2010, ale když nahlédneme do dokumentace Port Summary - Single Consolidated Edge with Private IP Addresses Using NAT, tak zjistíme, že se ve verzi 2013 téměř nic nezměnilo.

Jeden rozdíl je komunikace z interní sítě na Edge server (jeho Internal IP), jde o TCP porty 50001 až 50003 (MTLS). Tato komunikace slouží novému způsobu logování, Centralized Logging Service (CLS) controller, tedy komunikace z CLSController na agenta na Edge serveru. Samozřejmě je povolení této komunikace volitelné.

Všiml jsem si ještě jednoho rozdílu, ale po podrobnějším zkoumání jsem zjistil, že nejde o žádnou novinku. Tato komunikace byla popisována i u verze 2010. Jde o porty TCP 443 (STUN, MSTURN) a UDP 3478 (STUN,MSTURN), které je třeba mít otevřené nejen z internetu na A/V rozhraní Edge serveru, ale také z Edge serveru do internetu. Port 443 (standardně HTTPS) mám otevřený z celé DMZ sítě do internetu, takže jsem přehlédl, že je třeba. A případně je potřeba i UDP 3478, přes tento port se komunikace zkouší prvně, ale pokud neprojde, tak se využije právě TCP 443.

Pro nastavení komunikací tedy odkazuji na zmiňovaný starší článek. Pouze pro shrnutí kroků, co je třeba nastavit:

  • náš nový Edge server nemůže přímo komunikovat do interní sítě (je zde NAT a FW), ale přitom se musí spojit s Front End serverem (pomocí TCP 5061) a v konfiguraci má interní DNS jméno, takže mu do souboru C:\Windows\System32\drivers\etc\hosts přidáme záznam, že k internímu FQDN patří v DMZ vypublikovaná IP adresa
  • na externím FW vypublikujeme tři adresy se správnou komunikací a povolíme komunikaci z Edge serveru do internetu, samozřejmě potřebujeme mít i patřičné veřejné DNS záznamy
  • na interním FW stačí rozšířit existující pravidla, aby dovolila komunikaci do interní sítě na Front End server a opačně

Doplněno 4.12.2015 Až nyní se Skype for Business jsem začal používat federaci s jinými organizacemi včetně Audio, Video a sdílení plochy. A ukázalo se, že při externím přístupu uživatelů sice porty TCP a UDP porty 50000 až 59999 na rozhraní Audio/Video/Edge nepotřebujeme, ale při federaci s jinou organizací již ano. Dle oficiální dokumentace pro Skype for Business tyto porty potřeba nejsou, ale v interní dokumentaci je Microsoft uvádí jako povinné. Bez nich mi vůbec nefungovalo sdílení plochy a Audio/Video fungovalo zvláštně a pouze s některými společnostmi. V případě problémů se zobrazuje chyba:

We couldn't connect to the presentation because of network issues. Please try again later.

Kontrola komunikace

Začneme poznámkou. Pokud máme problémy na klientovi při přihlašování k serveru, tak je nejlepší se podívat do logů (musíme nejprve logování povolit v konfiguraci klienta). Ve starším klientovi Lync 2010 se logy nacházely v cestě %userprofile%\Tracing a nejčastěji nás zajímal soubor C:\Users\<username>\TracingCommunicator-uccapi-0.uccapilog.

Lyncu 2013 se cesta změnila a jde o C:\Users\<username>\AppData\Local\Microsoft\Office\15.0\Lync\Tracing\Lync-UccApi-0.UccApilog.

Abychom otestovali, že nám nový Edge server funguje, tak se přes něj musíme přihlásit. Protože jsme neměnili (a ani nemůžeme) SRV DNS záznamy, dle kterých klient hledá server, tak můžeme v klientovi zadat adresu ručně. Přes menu Tools - Options - Personal vedle Sign-in address klikneme na Advanced. Přepneme na Manual configuration. Protože se chceme připojit přes Edge server, tak vyplníme pouze External server name. Zadáme tam veřejnou adresu Access Edge rozhraní. Důležité ale je, že musíme zadat i port (což se téměř nikde v dokumentaci nezmiňuje). Pokud to neuděláme, tak i když jde o veřejnou adresu, tak se klient bude snažit připojit na port 5061 a 443 vůbec nezkusí.

Migrace Lyncu 2 - 20

Je tu i druhá možnost, do lokálního hosts souboru na stanici si dáme záznam pro DNS původního Edge serveru a k němu přiřadíme novou IP adresu.

Chyba v nastavení DNS

Po dokončení instalace není špatné zkontrolovat Lync logy (Event Viewer - Applications and Services Logs - Lync Server) na Edge i Front End serveru. Na Front End serveru bychom třeba mohli objevit varování (Warning) Event ID 14584.

Connection attempt to at least one service in a pool failed.

Connection attempts to the following services have failed. Another attempt will be made for each service every 10 minutes.
Service Address: 192.168.0.101:5061; Pool FQDN: lynced.firma.dmz; Down Time: 0:00
Service Address: 192.168.0.101:5062; Pool FQDN: lynced.firma.dmz; Down Time: 0:00

Cause: The specified service(s) are unavailable.
Resolution: Check the servers in the pool(s) on which the service(s) are installed.

Kde se hlásí jako nedostupné adresy našeho Edge serveru, ale jde o rozhraní, která jsou dostupná z internetu a nikoliv z interní sítě. Problém může být, že se nám do DNS zaregistrovaly všechny IP adresy Edge serveru (pro stejné jméno). Front End server se pak snaží připojit ke všem, ale u ostatních to nemáme povoleno na FW. Řešení je smazat v DNS nechtěné záznamy a na síťovém adaptéru serveru zakázat registraci do DNS.

zobrazeno: 5066krát | Komentáře [1]

Autor:

Související články:

Microsoft Lync a Skype for Business

Série článků o komunikační platformě Microsoftu, která tvoří základ Unified Communications. První články jsou o Lync 2010, pokračuje se s Lync 2013 a nyní aktuální je Skype for Business 2015.

Pokud se Vám článek líbil, tak mne potěšíte, když uložíte odkaz na některý server:

Pokud se chcete vyjádřit k tomuto článku, využijte komentáře níže. Pokud chcete poradit s nějakým problémem či diskutovat na nějaké téma, tak použijte fórum.

Komentáře

  1. [1] Samuraj

    Možnost otestovat Lync federaci https://www.eventzero.com/Tools/FederationTester/

    Úterý, 05.11.2013 15:31 | odpovědět
Přidat komentář

Vložit tag: strong em link

Vložit smajlík: :-) ;-) :-( :-O


Ochrana proti SPAMu, zdejte následující čtyři znaky image code

Nápověda:
  • maximální délka komentáře je 2000 znaků
  • HTML tagy nejsou povoleny (budou odstraněny), použít se mohou pouze speciální tagy (jsou uvedeny nad vstupním polem)
  • nový řádek (ENTER) ukončí odstavec a začne nový
  • pokud odpovídáte na jiný komentář, vložte na začátek odstavce (řádku) číslo komentáře v hranatých závorkách