Lync Server 2013 – дружим лесами


Всем хорошо известно, что можно настроить Lync одной компании на общение с Lync других компаний. Это называете федерация и для её реализации, требуется настройка целой инфраструктуры, включающей Edge серверы.

Есть ситуации, когда можно обойтись меньшими затратами и сделать всё проще.

Вот такая ситуация. Есть два филиала одной компании со своей инфраструктурой, которые объединяют свои изолированные локальные сети, или две компании, которые юридически сливаются в одну. В таких случаях проводится миграция–слияние лесов, объединение почтовых систем, в том числе объединение Lync инфраструктуры.

Подобные процессы слияния достаточно трудоёмки и длительны, поэтому существует переходный период, когда нужно обеспечить взаимодействие существующих инфраструктур. Между лесами устанавливаются доверительные отношения, для почтовых систем Exchange настраиваются внутренние коннекторы, настраивается синхронизация адресных книг… А что делать с Lync? Использовать внешнюю федерацию и гонять трафик через публичные сети? Это вызывает удивление и желание сделать «как для Exchange» – использовать внутренние каналы для работы всех функций Lync. Возможно ли это? Вы не найдете официальной документации по этому поводу. Тем не менее такой сценарий работы совсем несложно реализовать.

Предварительные настройки:

  1. Нужно обеспечить распознавание имен (не только компьютеров и серверов: не забывайте про SIP домены!) – подружить DNS
    1. Если в лесах DNS являются корневыми, то настраиваем перекрёстную загрузку зон
    2. Иначе можно просто настроить условную пересылку (conditional forwarding)
    3. Если используются публичные имена (Split DNS), то придётся создавать для них симметрично зоны в каждом лесу (что не так страшно, ибо они стабильны)
  2. Обеспечить доверие сертификатам
    1. Если используются внутренние сертификаты, то корневой сертификат можно распространить на компьютеры и серверы другого домена с помощью GPO
  3. Настроить сетевую «связность»
    1. Все компьютеры и серверы должны быть доступны между собой по IP – нужно настроить маршрутизацию
  4. Настроить фаэрволы
    1. Настроить сетевые фаэрволы
    2. Настроить фаэрволы на компьютерах
    3. Настроить фаэрволы на серверах (Lync серверы дружим по порту 5061 по умолчанию)
  5. Никаких доверительных отношений между лесами для нашего сценария не нужно (как собственно и для Exchange)

Идея сценария:

Настроить пулы серверов Lync как доверенные приложения (trusted application) и настроить SIP маршрутизацию.

Имена, которые используем в нашем примере:

Forest 1: firm1.ru

Lync pool 1: lyncpool1.firm1.ru

Forest 2: firm2.ru

Lync pool 2: lyncpool2.firm2.ru

Шаблон скрипта настройки Forest 1:

# Настройка первого леса

# Если инфраструктура простая - один сайт, то указываем его. При множестве сайтов - сначала думаем :-)
$siteid = get-cssite –identity "site name"

# Настраиваем пул доверенного приложения. Если у нас SE, то параметр computerFQDN опускаем, как и последующую команду
New-CsTrustedApplicationPool -Identity lyncpool2.firm2.ru -Registrar lyncpool1.firm1.ru -site $siteid -requiresreplication:$false -computerFQDN <FQDN of one EE pool server (not required for SE Pool)>

# Выполняем для всех оставшихся серверов в пуле леса 2 lyncpool2.firm2.ru
New-CsTrustedApplicationComputer -Identity <FQDN of additional EE Pool Server> -Pool lyncpool2.firm2.ru 

# Настраиваем доверенное приложение
new-cstrustedapplication -identity lyncpool2.firm2.ru/lyncpool2 -port 5061

# Публикуем топологию. Будет ошибка о том, что компьютер не найден в Active Directory - игнорируем эту ошибку.
Enable-CSTopology

#Настравиваем маршрутизацию. Здесь firm2.ru - это SIP домен в лесу 2. Повторяем для других SIP-доменов, если они есть в лесу 2
$Route1=New-CsStaticRoute -TLSRoute -Destination "lyncpool2.firm2.ru" -MatchUri "firm2.ru" –Port 5061 -UseDefaultCertificate $true

Set-CsStaticRoutingConfiguration -Identity global -Route @{Add=$Route1}

Для второго леса симметрично меняем имена в шаблоне.

Если лесов не два, а больше, то действуем по аналогии: создаём симметрично «доверие» и маршрут.

При публикации топологии будет ошибка:

WARNING: Machine FQDN from the topology you are publishing was not found in Active Directory and will result in errors during Enable-CsTopology as it tries to prepare Active Directory entries for the topology machines. If you choose to publish this topology Enable-CsTopology will have to be re-run once the missing machines are domain-joined.

Mising Machine

The following machines from the topology you are publishing were not found in Active Directory and will result in errors during the Enable-CsTopology as it tries to prepare Active Directory entries for the topology machines. If you coose to publish this topolgoy Enable-CsTopology will have to be re-run once the missing machines are domain joined:

FQDN

И вопрос:

[Y] Yes [A] Yes to All [N] No [L] No to All [S] Suspend:

Просто игнорируем ошибку и говорим Y.

Причина ошибки понятна: в локальном лесе нет компьютера с таким именем, т.к. он в другом лесе.

Дополнение:

Оригинальная статья

Реклама

Добавить комментарий

Заполните поля или щелкните по значку, чтобы оставить свой комментарий:

Логотип WordPress.com

Для комментария используется ваша учётная запись WordPress.com. Выход / Изменить )

Фотография Twitter

Для комментария используется ваша учётная запись Twitter. Выход / Изменить )

Фотография Facebook

Для комментария используется ваша учётная запись Facebook. Выход / Изменить )

Google+ photo

Для комментария используется ваша учётная запись Google+. Выход / Изменить )

Connecting to %s

%d такие блоггеры, как: