Skype for Business Server 2015完整部署,实现内外网/移动端客户端登录。
此次部署未部署Office Web Apps Server 和持久聊天。
一、资源
1、内外域名:yangqs.com
2、服务器共4台,使用Hyper-v虚拟化服务器
(1)域/证书/DNS一体服务器 S4BDC01.yangqs.com ,1块内部网卡(内网IP)
(2)标准版前端服务器 S4BFE01.yangqs.com , 1块内部网卡(内网IP),加域
(3)边缘服务器 S4BAE01.yangqs.com ,1块内部网卡(此次未使用DMZ区网卡,少一些开放内部端口步骤),1块外部网卡,不加域(添加域名后缀)
(4)IIS ARR反向代理服务器ARR.yangqs.com,1块内部网卡(此次未使用DMZ区网卡,少一些开放内部端口步骤),1块外部网卡,不加域(添加域名后缀)
3、公网IP,2个
4、边缘外部防火墙开放端口
开通互联网访问端口:442、443(TCP)、444、3478(UDP)、5061(TCP)、5269(TCP)、50000-59999(TCP|UDP)
开通访问互联网端口:53(TCP|UDP)、80(TCP)、443(TCP)、3478(UDP)、5061(TCP)、5269(TCP)、50000-59999(TCP|UDP)
5、操作系统使用Windows Server 2012 R2
6、标准版前端服务器安装必备组件
标准版前端服务器
Add-WindowsFeature NET-Framework-Core, RSAT-ADDS, Windows-Identity-Foundation, Web-Server, Web-Static-Content, Web-Default-Doc, Web-Http-Errors, Web-Dir-Browsing, Web-Asp-Net, Web-Net-Ext, Web-ISAPI-Ext, Web-ISAPI-Filter, Web-Http-Logging, Web-Log-Libraries, Web-Request-Monitor, Web-Http-Tracing, Web-Basic-Auth, Web-Windows-Auth, Web-Client-Auth, Web-Filtering, Web-Stat-Compression, Web-Dyn-Compression, NET-WCF-HTTP-Activation45, Web-Asp-Net45, Web-Mgmt-Tools, Web-Scripting-Tools, Web-Mgmt-Compat, Server-Media-Foundation, BITS -Source D:sourcessxs
7、边缘服务器安装必备组件
Add-WindowsFeature NET-Framework-Core, RSAT-ADDS, Windows-Identity-Foundation, BITS -Source D:sourcessxs
8、IIS ARR反向代理服务器安装ARR3.0
https://www.microsoft.com/web/gallery/install.aspx?appid=ARRv3_0
9、公网免费证书申请
http://www.wosign.com/DVSSL/DV_KuaiSSL_Free.htm
沃通免费SSL证书,可以申请5个域名的免费SSL证书,基本满足Lync/S4B外网部署需求
申请后按照要求导入边缘服务器/IIS ARR反向代理服务器
10、边缘服务器/IIS ARR反向代理服务器,导入内部CA颁发的根证书至“受信任的根证书颁发机构”
二、标准版前端服务器/边缘服务器安装,拓扑规划过程略过
三、外网域名配置,yangqs.com万网域名(阿里域名),添加解析记录
四、IIS ARR反向代理服务器配置
(1)外部DNS,上图已经完成
(2)内部DNS
(3)IIS ARR反向代理服务器本地hosts文件添加静态解析记录
(4)ARR3.0安装后,SSL公网证书绑定
(5)添加dialin、meet、lyncweb、lyncdiscover服务器场,Server Farms-Create Server Farms
同样操作,添加剩下的meet、lyncweb、lyncdiscover
(6)添加Server Farms 后,全部要配置如下项,并“应用”
(7)URL重写,删除http://项
(8)编辑入站规则,添加{HTTP_HOST}记录,meet.*,dialin.*,lyncweb.*,lyncdiscover.*
五、开启外网用户登录,核实移动策略启用“移动性”,启用移动端手机信息推送
总结:
边缘服务器,通过开放外部防火墙端口和内部防火墙(如果处在DMZ区);IIS ARR反向代理通过域名不同进来对端口进行转换。
特别说明,Skype for Business Server 2015移动端无需特别配置,默认开启。