Руководство по развертыванию пограничного сервера Microsoft Lync Server 2010 Microsoft Lync Server 2010 Дата публикации: Июль 2011 г Этот документ предоставляется на условиях «как есть». Сведения и изображения, представленные в данном документе, включая URL-адреса и другие ссылки на веб-сайты в Интернете, могут изменяться без уведомления. Примеры приведены только в качестве иллюстрации и являются вымышленными. Никакой связи с реально существующими объектами не предполагается и не подразумевается. Данный документ не предоставляет каких-либо юридических прав на какую-либо интеллектуальную собственность в продуктах Майкрософт. Разрешается копирование и использование данного документа для внутренних справочных целей. © Корпорация Майкрософт (Microsoft Corporation), 2011. Все права защищены. Microsoft, Active Directory, ActiveSync, ActiveX, DirectX, Excel, Forefront, Groove, Hyper-V, Internet Explorer, Lync, MSDN, MSN, OneNote, Outlook, PowerPoint, RoundTable, SharePoint, Silverlight, SQL Server, Visio, Visual C++, Visual Studio, Windows, Windows Live, Windows Media, Windows PowerShell, Windows Server и Windows Vista являются товарными знаками группы компаний Майкрософт. Все остальные товарные знаки являются собственностью их владельцев. Содержание Развертывание пограничных серверов .................................................................................... 5 Обзор развертывания пограничных серверов ..................................................................... 5 Процедура развертывания для доступа внешних пользователей .................................. 6 Средства развертывания пограничных серверов ........................................................... 12 Рекомендации по развертыванию для доступа внешних пользователей ................... 13 Подготовка к установке серверов в сети периметра ......................................................... 13 Системные требования к пограничным компонентам .................................................. 14 Аппаратные и программные требования к пограничным компонентам ................. 14 Поддерживаемое совместное размещение на сервере для пограничных компонентов ............................................................................................................... 16 Настройка DNS для поддержки пограничного сервера ................................................. 17 Настройка DNS-записей для поддержки пограничного сервера ............................... 17 Настройка DNS-суффикса для пограничных серверов ................................................ 19 Настройка аппаратной балансировки нагрузки для масштабированной пограничной топологии ................................................................................................. 20 Настройка брандмауэеров и портов для доступа внешних пользователей ................ 20 Определение требований к внешнему брандмауэру аудио- и видеотрансляций и портам.......................................................................................................................... 20 Запрос сертификатов для пограничных серверов .......................................................... 25 Запрос сертификатов в общедоступном центре сертификации ................................ 26 Запрос сертификатов во внутреннем центре сертификации предприятия .............. 26 Организация поддержки общедоступных служб обмена мгновенными сообщениями ................................................................................................................. 27 Построение топологии пограничных серверов и директоров.......................................... 28 Определение директора................................................................................................... 29 Определение одного директора в Topology Builder ................................................... 29 Определение пула из нескольких директоров в Topology Builder ............................ 31 Определение пограничной топологии ............................................................................ 33 Определение топологии для одного пограничного сервера ..................................... 33 Определение топологии для пула пограничных серверов с балансировкой DNSнагрузки ....................................................................................................................... 37 Определение топологии для пула пограничных серверов с аппаратной балансировкой нагрузки ............................................................................................ 43 Публикация топологии ...................................................................................................... 48 Настройка директора............................................................................................................ 49 Установка локального хранилища конфигураций .......................................................... 50 Установка Lync Server 2010 на директоре ....................................................................... 51 Настройка сертификатов для директора ......................................................................... 51 Запуск служб на директоре .............................................................................................. 53 Тестирование директора .................................................................................................. 54 Настройка автоматического входа клиентов с использованием директора ............... 55 Настройка пограничных серверов....................................................................................... 55 Настройка сетевых интерфейсов для пограничных серверов ....................................... 56 Установка необходимого программного обеспечения на пограничных серверах ..... 58 Экспорт топологии и ее копирование на внешний носитель для установки пограничного сервера ................................................................................................... 58 Установка пограничных серверов .................................................................................... 59 Настройка сертификатов для пограничных серверов .................................................... 60 Требования к сертификатам для доступа внешних пользователей .......................... 61 Настройка сертификатов для внутреннего пограничного интерфейса ..................... 63 Настройка сертификатов для внешнего пограничного интерфейса ......................... 71 Настройка сертификатов для обратного прокси-сервера .......................................... 80 Запуск пограничных серверов .......................................................................................... 80 Настройка обратных прокси-серверов ............................................................................ 80 Настройка полных доменных имен веб-фермы.......................................................... 82 Настройка сетевых адаптеров....................................................................................... 83 Запрос и настройка сертификата для обратного прокси-сервера HTTP.................... 84 Настройка правил веб-публикации для одного внутреннего пула ........................... 86 Проверка или настройка проверки подлинности и сертификации в виртуальных каталогах IIS ................................................................................................................. 89 Создание DNS-записей для обратных прокси-серверов ............................................ 90 Проверка доступа через обратный прокси-сервер ..................................................... 90 Настройка поддержки доступа внешних пользователей .................................................. 91 Включение и выключение доступа внешних пользователей в организации .............. 93 Включение и выключение доступа удаленных пользователей в организации ....... 94 Включение или выключение федерации в организации ........................................... 95 Включение и выключение доступа анонимных пользователей в организации ...... 98 Настройка взаимодействия с внешними пользователями .......................................... 100 Управление доступом удаленных пользователей .................................................... 102 Доступ пользователей федеративных партнеров ..................................................... 104 Настройка политик управления доступом федеративных пользователей ............. 105 Управление доступом для отдельных федеративных доменов .............................. 107 Поддержка поставщиков служб обмена мгновенными сообщениями .................. 110 Настройка политик управления доступом пользователей общедоступных служб обмена мгновенными сообщениями .......................................................... 111 Задание списка поддерживаемых служб обмена мгновенными сообщениями... 113 Настройка политик конференций для поддержки анонимных пользователей .... 118 Применение политик доступа внешних пользователей .......................................... 120 Применение политик доступа внешних пользователей .......................................... 120 Применение политик конференций для поддержки анонимных пользователей 121 Проверка развертывания пограничных серверов ........................................................... 123 Проверка подключения между внутренними и пограничными серверами.............. 123 Проверка подключения для внешних пользователей ................................................. 123 Развертывание пограничных серверов Развертывание пограничных компонентов для Microsoft Lync Server 2010 позволяет внешним пользователям, не выполняющим вход во внутреннюю сеть организации, включая прошедших проверку подлинности и анонимных удаленных пользователей, федеративных партнеров и пользователей общедоступных служб обмена мгновенными сообщениями, взаимодействовать с другими пользователями в организации с помощью Lync Server. Процедуры развертывания и настройки для Lync Server 2010 существенно отличаются от предыдущих выпусков, поскольку Lync Server 2010 предлагает новые средства установки и администрирования, которые меняют принципы работы с компонентами Lync Server. В разделе Обзор развертывания пограничных серверов описываются процедуры развертывания, новые средства, а также использование средств для развертывания пограничных компонентов с целью обеспечения доступа внешних пользователей. Перед знакомством с данным разделом просмотрите короткий видеоматериал по адресу http://go.microsoft.com/fwlink/?LinkId=205566&clcid=0x419 (Возможно, на английском языке), в котором приводится обзор использования Topology Builder для добавления пограничного сервера в существующее развертывание Lync Server 2010. Содержание раздела Обзор развертывания пограничных серверов Подготовка к установке серверов в сети периметра Построение топологии пограничных серверов и директоров Настройка директора Настройка пограничных серверов Настройка поддержки доступа внешних пользователей Проверка развертывания пограничных серверов Обзор развертывания пограничных серверов Для поддержки доступа внешних пользователей, федерации и интеграции с общедоступными службами обмена мгновенными сообщениями необходимо развернуть пограничные серверы и другие компоненты в сети периметра, а также подготовить инфраструктуру сети и брандмауэра для поддержки этих компонентов. Развертывание включает использование средств, предоставляемых в Microsoft Lync Server 2010, 5 которые позволяют приступить к развертыванию пограничных серверов. В этом разделе приводится обзор процедуры и средств развертывания пограничных серверов, а также рекомендации по развертыванию компонентов для поддержки доступа внешних пользователей. Содержание раздела Процедура развертывания для доступа внешних пользователей Средства развертывания пограничных серверов Рекомендации по развертыванию для доступа внешних пользователей Процедура развертывания для доступа внешних пользователей Для эффективного планирования доступа внешних пользователей необходимо учитывать следующее: предварительные требования для развертывания пограничной топологии; действия, необходимые для развертывания пограничных серверов и связанных компонентов. Необходимые компоненты для доступа внешних пользователей Перед развертыванием сети периметра и реализацией поддержки внешних пользователей необходимо развернуть внутренние серверы Microsoft Lync Server 2010, включая пул серверов переднего плана или сервер выпуска Standard Edition. Если во внутренней сети планируется развертывание директоров, это необходимо сделать до развертывания пограничных серверов. Дополнительные сведения о процессе развертывания директоров см. в разделе «Директор» в документации по планированию. Процедура развертывания для пограничных серверов В следующей таблице приводится обзор процедуры развертывания пограничного сервера. Дополнительные сведения о действиях по развертыванию см. в разделе Развертывание пограничных серверов. Примечание. Сведения в следующей таблице относятся к новому развертыванию. Если пограничные серверы были развернуты в среде Office Communications Server 2007 R2 или Office Communications Server 2007, сведения о переходе на Lync Server 2010 см. в разделе «Миграция». Миграция с любой версии, предшествующей Office Communications Server 2007, включая Communications Server 2005 и Live Communications Server 2003, не поддерживается. 6 Процедура развертывания пограничного сервера Этап Действия Создание подходящей пограничной топологии и определение соответствующих компонентов. Подготовка к установке. Запустите Topology Builder для настройки параметров пограничного сервера, создания и публикации топологии, а затем воспользуйтесь командной консолью Lync Server для экспорта файла конфигурации топологии. 1. Убедитесь в том, что выполнены предварительные требования к системе. Разрешения Документация Группа Администраторы домена и группа RTCUniversalServerAdmins Определение пограничной топологии Примечание. Определить топологию можно с помощью учетной записи, являющейся членом группы локальных пользователей, однако для публикации топологии требуется учетная запись, входящая в группу Domain Admins и RTCUniversalServerAdmins. В соответствии установленными правилами в компании Подготовка к установке серверов в сети периметра 2. Задайте IP-адреса для внутреннего и внешнего сетевого интерфейса на каждом пограничном сервере. 3. Задайте внутренние и внешние DNS-записи и DNS-суффикс компьютера, который будет развернут в 7 Этап Действия Разрешения Документация качестве пограничного сервера. 4. Настройте брандмауэры. 5. (Необязательно) Создайте и установите общие сертификаты. Время на получение сертификата зависит от того, какой центр сертификации его выдает. Если эта процедура на данном этапе не выполняется, ее необходимо будет выполнить во время установки пограничного сервера. Запустить службу пограничного сервера до получения сертификатов будет невозможно. 6. Организуйте поддержку общедоступных служб обмена мгновенными сообщениями, если развертывание должно 8 Этап Действия Разрешения Документация поддерживать обмен данными с пользователями Windows Live, AOL или Yahoo! Настройка обратного прокси-сервера. Настройка директора (рекомендуется) Настройка пограничных серверов. 1. Установите необходимое программное обеспечение. Настройте обратный Группа Администраторы прокси-сервер (например, для Microsoft Forefront Threat Management Gateway 2010 или Microsoft Internet Security and Acceleration (ISA) Server с пакетом обновления 1 (SP1)) в сети периметра, получите необходимые общие сертификаты и задайте правила веб-публикации для этого сервера. (Необязательно) Установите и настройте один или несколько директоров во внутренней сети. Настройка обратных проксисерверов Группа Администраторы Настройка директора Группа Администраторы Настройка пограничных серверов 2. Разместите экспортированный 9 Этап Действия Разрешения Документация файл конфигурации топологии на каждом пограничном сервере. 3. Установите программное обеспечение Lync Server 2010 на каждом пограничном сервере. 4. Настройте пограничные серверы. 5. Запросите и установите сертификаты для каждого пограничного сервера. 6. Запустите службы пограничных серверов. Настройка поддержки доступа внешних пользователей. 1. В панели управления Lync Server 2010 настройте поддержку следующих возможностей (если применимо): Группа RTCUniversalServerAdmins Настройка или учетная запись пользователя с поддержки доступа ролью CSAdministrator внешних пользователей доступ удаленных 10 Этап Действия Разрешения Документация Для проверки репликации группа RTCUniversalServerAdmins или учетная запись пользователя с ролью CSAdministrator Проверка развертывани я пограничных серверов пользователей; федерация; общедоступные службы обмена мгновенными сообщениями; доступ анонимных пользователей 2. Настройте учетные записи пользователей для доступа удаленных пользователей, федерации, общедоступных служб обмена мгновенными сообщениями и поддержки анонимных пользователей (если применимо) Проверка конфигурации пограничного сервера 1. Проверьте подключение сервера и репликацию данных конфигурации с внутренних серверов. 2. Убедитесь в возможности подключения для Для проверки подключения пользователей — пользователи каждого поддерживаемого типа внешних пользователей Удаленные пользователи 11 Этап Действия Разрешения Документация внешних пользователей, включая удаленных пользователей, пользователей в федеративных доменах, пользователей общедоступных служб обмена мгновенными сообщениями и анонимных пользователей, в соответствии с параметрами развертывания. Средства развертывания пограничных серверов Microsoft Lync Server 2010 предлагает два средства, упрощающих планирование и развертывание внутренних и пограничных серверов. Рекомендуется сначала запускать их на локальной рабочей станции для планирования развертывания. По завершении создания топологии передайте получившееся определение в производственную среду. Для этого необходимо быть членом группы Администраторы домена и RTCUniversalServerAdmins. Planning Tool. В Office Communications Server 2007 R2 имелись средства Planning Tool и Edge Planning Tool, которые помогали создавать топологию. В Lync Server 2010 эти два средства были объединены в одно — Lync Server 2010 Planning Tool, которое имеет дополнительные функции и возможности, включая создание XML-документа с описанием топологии. Topology Builder. Lync Server 2010 Topology Builder помогает определить топологию и компоненты. Средство Topology Builder необходимо для развертывания серверов с Lync Server 2010. В Topology Builder можно использовать XML-файл топологии, предоставленный средством Planning Tool, для начала создания топологии, либо можно не использовать Planning Tool и создать развертывание непосредственно 12 в Topology Builder. Topology Builder публикует результаты в центральном хранилище управления, которое используется для настройки всех серверов с Lync Server 2010 в организации. Установить Lync Server 2010 на серверах без использования Topology Builder нельзя. Если пограничная топология была создана во время планирования, включая запуск Topology Builder для определения пограничной топологии, эти результаты можно использовать для начала развертывания пограничного сервера. Если создание пограничной топологии не было завершено ранее или необходимо изменить ранее указанные параметры, нужно завершить работу Topology Builder перед переходом к другим шагам развертывания. Дополнительные сведения о создании топологии см. в разделе «Топологии для доступа внешних пользователей». Дополнительные сведения о средствах Planning Tool и Topology Builder см. в разделе «Начало процесса планирования» в документации по планированию. Рекомендации по развертыванию для доступа внешних пользователей Для повышения производительности безопасности пограничного сервера и упрощения развертывания следуйте приведенным ниже рекомендациям по развертыванию сети периметра и пограничных серверов. Развертывайте пограничные серверы только после тестирования и проверки работы коммуникационного программного обеспечения Microsoft Lync Server 2010 внутри организации. Рекомендуется разворачивать пограничные серверы в рабочей группе, а не в домене. Это упрощает установку и позволяет разместить доменные службы Active Directory (AD DS) за пределами сети периметра. Размещение служб AD DS в сети периметра может представлять серьезный риск для безопасности. Присоединение пограничного сервера к домену, расположенному полностью в сети периметра, поддерживается, но не рекомендуется. Пограничный сервер никогда не должен входить в домен во внутренней сети. Подготовка к установке серверов в сети периметра Перед настройкой компонентов пограничного сервера необходимо убедиться, что настраиваемые компьютеры соответствуют системным требованиям, а также выполнить необходимые действия перед развертыванием. 13 Прежде чем приступать к этому, ознакомьтесь со следующими разделами документации по планированию, посвященными эталонной архитектуре, которую планируется развернуть. Эталонная архитектура 1: Один консолидированный пограничный сервер Эталонная архитектура 2: Масштабированный консолидированный пограничный сервер (балансировка DNS-нагрузки) Эталонная архитектура 3: Масштабированный консолидированный пограничный сервер (аппаратная балансировка нагрузки) Содержание раздела Системные требования к пограничным компонентам Настройка DNS-записей для поддержки пограничного сервера Настройка аппаратной балансировки нагрузки для масштабированной пограничной топологии Настройка брандмауэеров и портов для доступа внешних пользователей Запрос сертификатов для пограничных серверов Организация поддержки общедоступных служб обмена мгновенными сообщениями Системные требования к пограничным компонентам К системным требованиям для пограничных компонентов относятся требования к оборудованию, программному обеспечению и совместному размещению для пограничных серверов, а также для всех директоров и обратных прокси-серверов, которые планируется развернуть. Содержание раздела Аппаратные и программные требования к пограничным компонентам Поддерживаемое совместное размещение на сервере для пограничных компонентов Аппаратные и программные требования к пограничным компонентам К аппаратным и программным требованиям для пограничных компонентов относятся требования для коммуникационных компонентов Microsoft Lync Server 2010, включая пограничные серверы и директоры, а также требования к другим компонентам, включая обратные прокси-серверы, брандмауэры и средства балансировки нагрузки, которые будут развертываться в сети периметра для поддержки доступа внешних пользователей. Сведения о компонентах, необходимых для поддержки доступа внешних пользователей 14 и поддерживаемых топологий, см. в разделе «Компоненты для доступа внешних пользователей». Аппаратные и программные требования к пограничным серверам и директорам Требования к операционной системе для пограничных серверов такие же, как и для других ролей Lync Server 2010: 64-разрядный выпуск Windows Server 2008 с пакетом обновления 2 (SP2) или Windows Server 2008 R2. Помимо этого, в операционной системе должна быть настроена роль сервера приложений и установлена платформа .NET Framework 3.5 с пакетом обновления 1 (SP1). Директоры являются внутренними компонентами и устанавливаются во внутренней сети перед развертыванием пограничных серверов. Аппаратные и программные требования к директорам описываются в разделе «Технические требования для директора». В следующей таблице приведены аппаратные требования для пограничных серверов. Аппаратные системные требования к пограничным серверам Аппаратный компонент Минимальные требования ЦП Один компонент из следующих: двухканальный 64-разрядный четырехъядерный процессор с тактовой частотой не ниже 2,0 ГГц 64-разрядный четырехканальный двухъядерный процессор с тактовой частотой не ниже 2,0 ГГц ОЗУ 12 ГБ (рекомендуется) Жесткий диск Локальное хранилище объемом не менее 30 ГБ Сеть Требуется два интерфейса: либо один 2-портовый сетевой адаптер (1 Гб/с), либо два 1-портовых сетевых адаптера (1 Гб/с). Lync Server 2010 доступен только в виде 64-разрядного выпуска, таким образом, для каждого пограничного сервера и директора требуется одна из следующих операционных систем. 15 64-разрядный выпуск Windows Server 2008 Enterprise Edition с пакетом обновления 2 (SP2) или 64-разрядный выпуск Windows Server 2008 Standard Edition с пакетом обновления 2 (SP2). 64-разрядный выпуск Windows Server 2008 R2 Enterprise или 64-разрядный выпуск Windows Server 2008 R2 Standard. Для Lync Server 2010 также требуется установка следующих программ и обновлений: Microsoft .NET Framework 3.5 с пакетом обновления 1 (SP1); Оболочка командной строки Windows PowerShell версии 2.0 Обновление для Windows Server 2008 R2, доступное в базе знаний Майкрософт в статье №2028827, «Приложения, использующие драйвер TDI для сетевого трафика, перестают отвечать на запросы в Windows Server 2008 R2 или Windows 7» по адресу http://go.microsoft.com/fwlink/?LinkId=205459&clcid=0x419. Обновление для Windows 2008 с пакетом обновления 2 (SP2), которое требуется для устранения увеличения использования памяти на пограничном сервере веб-конференций. Дополнительные сведения см. в статье базы знаний №979231, «Использование памяти продолжает увеличиваться при использовании проверки подлинности Schannel после установки обновления 968389 в Windows Vista или Windows Server 2008» по адресу http://go.microsoft.com/fwlink/?LinkId=200747&clcid=0x419. После применения этого обновления увеличение использования памяти должно прекратиться. Обновление для Windows Server 2008, доступное в базе знаний Майкрософт в статье №2029048, «Приложения, использующие драйвер TDI для сетевого трафика, перестают отвечать на запросы в Windows Server 2008 или Windows Vista» по адресу http://go.microsoft.com/fwlink/?LinkId=205458&clcid=0x419. Кроме того, для Lync Server требуется распространяемый пакет Microsoft Visual C++ 2008C, однако он автоматически устанавливается в рамках установки пограничного сервера. Поддерживаемое совместное размещение на сервере для пограничных компонентов Службы пограничного доступа, веб-конференций и аудио- и видеотрансляций расположены на одном сервере. Следующие пограничные компоненты не могут размещаться на одном сервере вместе или с любой другой серверной ролью Microsoft Lync Server 2010: пограничный сервер; 16 директор; обратный прокси-сервер. Обратный прокси-сервер не обязательно должен быть выделенным для Lync Server. Если в сети периметра уже создан обратный прокси-сервер для поддержки других служб, его можно использовать и для Lync Server. Дополнительные сведения см. в документации по возможностям поддержки. Настройка DNS для поддержки пограничного сервера Для настройки DNS необходимо задать DNS-записи и DNS-суффикс для имени компьютера каждого пограничного сервера, не присоединенного к домену. Содержание раздела Настройка DNS-записей для поддержки пограничного сервера Настройка DNS-суффикса для пограничных серверов Настройка DNS-записей для поддержки пограничного сервера Для внутренних и внешних пограничных интерфейсов, включая интерфейс пограничного сервера и обратного прокси-сервера, необходимо настроить DNS-записи. Примечание. По умолчанию в DNS-системе используется алгоритм циклического перебора для изменения порядка записей ресурсов, возвращенных в ответах на запросы, когда для запрошенного доменного имени существует несколько записей ресурсов одного типа. Балансировка DNS-нагрузки в Lync Server 2010 зависит от этого механизма. Убедитесь, что этот параметр не отключен. При использовании DNS-сервера, работающего под управлением операционной системы, отличной от Windows, убедитесь, что включен циклический порядок перебора записей ресурсов. Используйте следующие процедуры для создания и проверки всех записей DNS SRV и DNS A, необходимых для доступа внешних пользователей. Дополнительные сведения о каждой записи, необходимой для поддержки доступа внешних пользователей, см. в разделе «Определение требований к DNS». Создание записи DNS SRV 1. На соответствующем DNS-сервере нажмите кнопку Пуск, выберите Панель управления, Администрирование и DNS. 17 Важно. Необходимо настроить DNS-систему так, чтобы в ней были: 1) внешние DNS-записи для внешних DNS-запросов со стороны удаленных пользователей и федеративных партнеров; 2) записи для DNS-запросов, которые будут использоваться пограничными серверами в сети периметра (также называется «демилитаризованной зоной» и «промежуточной подсетью»), включая записи A для внутренних серверов, работающих под управлением Lync Server 2010; и 3) внутренние DNS-записи для запросов со стороны внутренних клиентов и серверов, работающих под управлением Lync Server 2010. 2. В дереве консоли для домена SIP разверните узел Зоны прямого просмотра и щелкните правой кнопкой мыши домен, где установлен Lync Server 2010. 3. Выберите Другие новые записи. 4. В поле Выбор типа записи ресурса: введите Расположение службы (запись SRV) и нажмите кнопку Создать запись. 5. Укажите все необходимые данные для записи DNS SRV. Создание записи DNS A 1. На DNS-сервере нажмите кнопку Пуск, выберите Панель управления, Администрирование и DNS. 2. В дереве консоли для домена SIP разверните узел Зоны прямого просмотра и щелкните правой кнопкой мыши домен, где установлен Lync Server 2010. 3. Выберите команду Создать узел (A). 4. Укажите все необходимые данные для записи DNS SRV. Проверка DNS-записи 1. Выполните вход на каком-либо клиентском компьютере в домене. 2. Нажмите кнопку Пуск и выберите пункт Выполнить. 3. В командной строке введите следующую команду: nslookup <пограничный интерфейс полного доменного имени> 18 4. Убедитесь, что в полученном ответе приводится правильный IP-адрес для полного доменного имени. Настройка DNS-суффикса для пограничных серверов По умолчанию имя компьютера пограничного сервера, не присоединенного к домену, является коротким, а не полным доменным именем. Однако Topology Builder использует полные доменные имена, а не короткие, и внутреннее имя пограничного сервера должно совпадать с полным доменным именем, которое используется в Topology Builder, поэтому короткое имя необходимо изменить на полное доменное, добавив DNS-суффикс к имени каждого пограничного сервера, не присоединенного к домену. Для добавления DNS-суффикса к имени компьютера выполните следующую процедуру. Добавление DNS-суффикса к имени компьютера пограничного сервера, не присоединенного к домену 1. На компьютере нажмите кнопку Пуск, щелкните правой кнопкой мыши пункт Компьютер и выберите Свойства. 2. В области Имя компьютера, имя домена и параметры рабочей группы нажмите кнопку Изменить параметры. 3. На вкладке Имя компьютера нажмите кнопку Изменить. 4. В окне Изменение имени компьютера или домена нажмите кнопку Дополнительно. 5. В области DNS-суффикс и NetBIOS-имя компьютера в поле Основной DNS-суффикс этого компьютера: введите имя внутреннего домена (например, corp.contoso.com) и нажмите кнопку OK три раза. 6. Перезапустите компьютер. Примечание. После выполнения этих действий балансировка DNS-нагрузки будет включена. 19 Настройка аппаратной балансировки нагрузки для масштабированной пограничной топологии При настройке масштабированной пограничной топологии с использованием аппаратной балансировки нагрузки см. раздел «Эталонная архитектура 3. Масштабированный консолидированный пограничный сервер (аппаратная балансировка нагрузки)» в документации по планированию. Настройка брандмауэеров и портов для доступа внешних пользователей При настройке брандмауэров и портов необходимо указать пограничные серверы, обратные прокси-серверы и, возможно, аппаратные средства балансировки нагрузки (для масштабированного развертывания, в котором не используется балансировка DNS-нагрузки). В этом разделе приводятся сведения о требованиях к брандмауэру и портам для компонентов пограничного сервера, а также о конфигурации портов брандмауэра для пограничных серверов. Дополнительные сведения о настройке портов для обратных прокси-серверов см. в разделе Настройка обратных прокси-серверов. При развертывании масштабированной пограничной топологии с использованием аппаратной балансировки вместо балансировки DNS-нагрузки см. раздел «Эталонная архитектура 3. Масштабированный консолидированный пограничный сервер (аппаратная балансировка нагрузки)» в документации по планированию, где содержатся сведения о настройке портов для аппаратных средств балансировки нагрузки. Содержание раздела Определение требований к внешнему брандмауэру аудио- и видеотрансляций и портам Определение требований к внешнему брандмауэру аудио- и видеотрансляций и портам Воспользуйтесь следующей таблицей, чтобы определить требования к брандмауэру и порты, которые необходимо открыть. После этого ознакомьтесь с терминологией сетевой трансляции адресов (NAT), поскольку она может быть реализована разными способами. Подробный пример с параметрами портов брандмауэра см. в описании эталонных архитектур в разделе «Топологии для доступа внешних пользователей». Требования к внешнему брандмауэру аудио- и видеотрансляций и портам Федерация с Функция TCP/443 UDP/3478 RTP/UDP 50 00059 999 Windows Live Messenger 2011 Точка-точка Открыть для входящего трафика Открыть для входящего трафика Не открывать Открыть для ни в одном исходящего направлении трафика Аудио- и видео RTP/TCP 50 000-59 999 20 Федерация с Функция TCP/443 UDP/3478 RTP/UDP 50 00059 999 RTP/TCP 50 000-59 999 Открыть для исходящего трафика Lync Server 2010 Lync Server 2010 Открыть для входящего трафика Открыть для Не открывать Открыть для входящего ни в одном исходящего трафика направлении трафика Lync Server 2010 Общий доступ к приложениям и рабочему столу Открыть для входящего трафика Открыть для Не открывать Открыть для входящего ни в одном исходящего трафика направлении трафика Lync Server 2010 Передача файлов Открыть для входящего трафика Открыть для Не открывать Открыть для входящего ни в одном исходящего трафика направлении трафика Открыть для входящего трафика Открыть для Не открывать Открыть для входящего ни в одном исходящего трафика направлении трафика Общий доступ Открыть к рабочему для входящего столу Открыть для Не открывать Открыть для входящего ни в одном исходящего трафика направлении трафика Office Communications Server 2007 R2 Office Communications Server 2007 R2 Аудио- и видео Открыть для исходящего трафика Открыть для исходящего трафика Открыть для исходящего трафика Открыть для исходящего трафика 21 Федерация с Функция TCP/443 UDP/3478 трафика Открыть для исходящего трафика RTP/UDP 50 00059 999 RTP/TCP 50 000-59 999 Office Communications Server 2007 R2 Передача файлов Не применимо Не применимо Не применимо Не применимо Office Communications Server 2007 Аудио- и видео Открыть для входящего трафика Открыть для Открыть для входящего входящего трафика трафика: Открыть для входящего трафика: Открыть для исходящего трафика Открыть для исходящего трафика Office Communications Server 2007 Общий доступ Не к рабочему применимо столу Не применимо Не применимо Не применимо Office Communications Server 2007 Передача файлов Не применимо Не применимо Не применимо Не применимо Примечания. Входящий трафик означает трафик RTP/TCP и RTP/UDP из Интернета, поступающий на внешний пограничный интерфейс аудио- и видеотрансляций. Исходящий трафик означает трафик RTP/TCP и RTP/UDP, поступающий в Интернет из внешнего пограничного интерфейса аудио- и видеотрансляций. Требования к портам внешнего брандмауэра аудио- и видеотрансляций для доступа внешних пользователей Требования к портам брандмауэра для внешних (и внутренних) интерфейсов SIP и интерфейсов конференций (презентации PowerPoint, презентации с классной доской и опросы) одинаковы независимо от версии, используемой федеративным партнером. Для внешнего пограничного интерфейса аудио- и видеотрансляций это неверно. В большинстве случаев для пограничной службы аудио- и видеотрансляций требуется, 22 чтобы правила внешнего брандмауэра разрешали трафик RTP/TCP и RTP/UDP на портах в диапазоне 50 000-59 999 в обоих направлениях. Например, этот диапазон портов необходимо открыть для поддержки некоторых сценариев федерации, и в таблице выше приводятся подробности для каждого сценария. Данная таблица соответствует ситуации, когда Lync Server 2010 является основным партнером по федерации и настраивается для взаимодействия с партнером по федерации одного из четырех указанных типов. Примечание. В отношении диапазона портов 50 000-59 999 для Lync Server 2010 рекомендуется открыть его для «любого» исходящего трафика RDP/TCP для внешнего пограничного интерфейса аудио- и видеотрансляций, если это разрешено корпоративной политикой. Требования NAT для доступа внешних пользователей NAT обычно выполняет функцию маршрутизации, однако более современные устройства, такие как брандмауэры и даже аппаратные средства балансировки нагрузки можно настроить с учетом NAT. В этом разделе вместо описания того, какие устройства выполняют сетевую трансляцию адресов, рассказывается о необходимом поведении NAT. Коммуникационное программное обеспечение Microsoft Lync Server 2010 не поддерживает NAT для входящего и исходящего трафика на внутреннем пограничном интерфейсе, но для внешнего пограничного интерфейса требуется следующая реализация NAT. В данной документации сокращения ChangeDST и ChangeSRC в таблицах и рисунках используются для определения следующего необходимого поведения. ChangeDST. Процесс изменения целевого IP-адреса в пакетах, направляемых в сеть, в которой используется NAT. Это также называется прозрачностью, перенаправлением портов, целевым режимом NAT и частичным режимом NAT. ChangeSRC. Процесс изменения исходного IP-адреса в пакетах, исходящих из сети, в которой используется NAT. Это также называется прокси, безопасным NAT, NAT с сохранением состояний, NAT источника и полным режимом NAT. Независимо от соглашений по именованию для внешнего интерфейса пограничного сервера требуется следующее поведение NAT: Для трафика из Интернета на внешний пограничный интерфейс: Изменение целевого IP-адреса входящего пакета с общего IP-адреса внешнего пограничного интерфейса на транслированный IP-адрес внешнего пограничного интерфейса. 23 Исходный IP-адрес не изменяется, таким образом сохраняется обратный маршрут для трафика. Для трафика из внешнего пограничного интерфейса в Интернет: Изменение исходного IP-адреса пакета, исходящего через внешний пограничный интерфейс, с транслированного IP-адреса на общий IP-адрес внешнего пограничного интерфейса, таким образом, внутренний пограничный IP-адрес не раскрывается, поскольку этот IP-адрес является немаршрутизируемым. Целевой IP-адрес в исходящих пакетах не изменяется. На следующем рисунке показано различие между изменением целевого IP-адреса (ChangeDST) для входящего трафика и изменением исходного IP-адреса (ChangeSRC) для исходящего трафика с использованием пограничного интерфейса аудио- и видеотрансляций в качестве примера. Изменение целевого IP-адреса (ChangeDST) для входящего трафика и изменение исходного IP-адреса (ChangeSRC) 24 Основные моменты таковы: Для трафика, поступающего на пограничный интерфейс аудио- и видеотрансляций исходный IP-адрес и порт не меняются, а целевой IP-адрес меняется с 63.123.155.30 на транслированный IP-адрес 10.45.16.10. Для трафика, исходящего из пограничного интерфейса аудио- и видеотрансляций обратно на рабочую станцию, исходный IP-адрес меняется с общего IP-адреса рабочей станции на общий IP-адрес пограничного интерфейса аудио- и видеотрансляций . А целевой IP-адрес остается общим IP-адресом рабочей станции. Когда пакет покидает исходящий порт первого устройства NAT, правило в этом устройстве меняет исходный IP-адрес с IP-адреса внешнего пограничного интерфейса аудио- и видеотрансляций (10.45.16.10) на его общий IP-адрес (63.123.155.30). Запрос сертификатов для пограничных серверов Для поддержки доступа внешних пользователей требуются сертификаты, выпущенные общедоступным центром сертификации и внутренним центром сертификации предприятия. Сертификаты, необходимые для внешнего интерфейса пограничных серверов и обратных прокси-серверов, должны быть выпущены общедоступным центром сертификации. Сертификаты, необходимые для внутреннего интерфейса, могут быть выпущены как общедоступным центром сертификации, так и внутренним центром сертификации предприятия. Для создания таких сертификатов рекомендуется использовать внутренний центр сертификации Windows Server 2008 или Windows Server 2008 R2 для экономии за счет использования общих сертификатов. Для обработки запросов на выдачу сертификатов может потребоваться некоторое время, особенно при запросах в общедоступных центрах сертификации, поэтому запрашивать сертификаты для пограничных серверов следует заранее, чтобы они уже были в наличии к началу развертывания компонентов пограничного сервера. Сводку требований к сертификатам для пограничных серверов см. в разделе Требования к сертификатам для доступа внешних пользователей. Содержание раздела Запрос сертификатов в общедоступном центре сертификации Запрос сертификатов во внутреннем центре сертификации предприятия 25 Запрос сертификатов в общедоступном центре сертификации Для развертывания пограничного сервера требуется один общий сертификат для внешних интерфейсов пограничного сервера, который используется для пограничной службы доступа, службы веб-конференций и службы проверки подлинности аудио- и видеотрансляций. У этого сертификата должен быть экспортируемый закрытый ключ, чтобы гарантировать использование службой проверки подлинности аудио- и видеотрансляций одинаковых ключей на всех пограничных серверах в пуле. Для обратного прокси-сервера, который используется вместе с Microsoft Internet Security and Acceleration (ISA) Server 2006 или Microsoft Forefront Threat Management Gateway 2010, также требуется общий сертификат. Несмотря на то, что для внутреннего пограничного сертификата можно выбрать общедоступный центр сертификации, рекомендуется использовать внутренний центр сертификации предприятия для других сертификатов, чтобы минимизировать расходы на сертификаты. Сводку требований к сертификатам для пограничных серверов см. В разделе Требования к сертификатам для доступа внешних пользователей. Дополнительные сведения об использовании внутреннего центра сертификации предприятия для получения сертификата для внутреннего пограничного интерфейса и службы проверки подлинности аудио- и видеотрансляций см. в разделе Запрос сертификатов во внутреннем центре сертификации предприятия. Примечание. Программа установки пограничного сервера включает мастер создания сертификатов, который упрощает запрос, назначение и установку сертификатов, как описывается в разделе Настройка сертификатов для пограничных серверов. Если необходимо запросить сертификаты до установки пограничного сервера (например, для экономии времени во время фактического развертывания компонентов пограничного сервера), это можно сделать с помощью внутренних серверов при условии, что эти сертификаты можно будет экспортировать, и они будут содержать все необходимые дополнительные имена субъектов. В настоящей документации не приводятся процедуры по использованию внутренних серверов для запроса сертификатов. Запрос сертификатов во внутреннем центре сертификации предприятия Сертификаты, необходимые для внутреннего пограничного интерфейса, могут быть выпущены как общедоступным, так и внутренним центром сертификации. Использование внутреннего центра сертификации предприятия позволяет минимизировать расходы на получение сертификатов. Если в организации развернут внутренний центр сертификации, то сертификаты для внутренних пограничных интерфейсов должны выдаваться внутренним центром сертификации. Использование внутреннего центра сертификации предприятия позволяет сократить расходы на получение сертификатов. 26 Сводку требований к сертификатам для пограничных компонентов см. в разделе Требования к сертификатам для доступа внешних пользователей. Дополнительные сведения об использовании общедоступного центра сертификации для получения сертификатов см. В разделе Запрос сертификатов в общедоступном центре сертификации. Дополнительные сведения о запросе, установке и назначении сертификатов см. в разделе Настройка сертификатов для пограничных серверов. Организация поддержки общедоступных служб обмена мгновенными сообщениями Для поддержки пользователей общедоступных служб обмена мгновенными сообщениями в организации необходимо иметь соответствующие лицензии и подготовить инфраструктуру к работе с общедоступными службами обмена мгновенными сообщениями, которые планируется поддерживать. Подготовка к работе может занимать до тридцати дней, поэтому следует начать этот процесс заранее, чтобы завершить его до даты начала предоставления поддержки. Дополнительные сведения о лицензионных требованиях и проведении подготовки к работе см. в статье «Руководство по подготовке к работе общедоступных служб обмена мгновенными сообщениями для Microsoft Lync Server, Office Communications Server и Live Communications Server» по адресу http://go.microsoft.com/fwlink/?LinkId=155970&clcid=0x419 (Возможно, на английском языке). При внедрении федерации аудио- и видеотрансляций с Windows Live Messenger нужно изменить два параметра: уровень шифрования Microsoft Lync Server 2010 и политику EnablePublicCloudAccess. По умолчанию устанавливается уровень шифрования Требуется. Его нужно изменить на Поддерживается. Параметр политики EnablePublicCloudAccess имеет значение false, которое нужно изменить на true. Это можно сделать в командной консоли Lync Server. 1. Запустите командную консоль Lync Server. Для этого нажмите кнопку Пуск, выберите Все программы, Microsoft Lync Server 2010 и Командная консоль Lync Server. 2. В командной строке введите следующие команды: Set-CsMediaConfiguration –EncryptionLevel SupportEncryption Set-CsExternalAccessPolicy Global –EnablePublicCloudAccess $true -EnablePublicCloudAudioVideoAccess $true Примечание. В этом примере меняется глобальная политика. В своей среде измените 27 нужную политику. См. также Set-CsMediaConfiguration Построение топологии пограничных серверов и директоров Построение топологии включает следующие задачи планирования и развертывания. Планирование. Необходимо определить подходящую топологию для организации и указать компоненты, необходимые для ее развертывания. Это стандартные действия в процессе планирования. Средство Microsoft Lync Server 2010 Planning Tool упрощает начало процесса планирования, а также позволяет легко вносить изменения после утверждения требований и планов. Развертывание. Топология, которая определяется с помощью Topology Builder, необходима для развертывания любого сервера Lync Server 2010. Если определение и публикация топологии с помощью Topology Builder не были завершены в рамках процедуры планирования, то их потребуется завершить и сделать доступной соответствующую информацию с пограничных серверов до их развертывания. Нельзя разворачивать компоненты пограничного сервера до развертывания по крайней мере одного внутреннего пула, а для развертывания внутреннего пула необходимо установить Topology Builder. В этом разделе установка Topology Builder не рассматривается, поскольку она относится к процессу установки внутреннего пула. Дополнительные сведения об этих средствах см. в разделе Средства развертывания пограничных серверов. Примечание. Если средство Topology Builder уже использовалось для определения полной топологии, включая пограничную топологию, задачи Определение пограничной топологии и Публикация топологии в этом разделе можно опустить, однако все равно потребуется выполнить задачу Экспорт топологии и ее копирование на внешний носитель для установки пограничного сервера. Содержание раздела Определение директора Определение пограничной топологии Публикация топологии 28 Определение директора Если планируется организовать доступ для внешних пользователей путем развертывания пограничных серверов, необходимо также развернуть директор. Директор — это сервер под управлением Microsoft Lync Server 2010, который производит проверку подлинности пользовательских запросов, но на котором не размещаются учетные записи пользователей. При использовании директора для проверки подлинности внешних пользователей он выполняет следующие действия. Снимает с серверов из пула серверов переднего плана нагрузку на выполнение проверки подлинности таких пользователей. Позволяет изолировать внутренние пулы серверов переднего плана от вредоносного трафика, например от атак типа «отказ в обслуживании». Не пропускает трафик далее в сеть при скачкообразном увеличении вредоносного внешнего трафика в случае атак типа «отказ в обслуживании» или аналогичных атак. В результате внутренние пользователи не должны испытывать какие-либо проблемы с производительностью. Чтобы развернуть серверы под управлением Lync Server 2010, необходимо сначала с помощью Topology Builder определить и опубликовать свою топологию, включая топологию директоров и пограничных серверов. Содержание раздела Определение одного директора в Topology Builder Определение пула из нескольких директоров в Topology Builder Определение одного директора в Topology Builder Директоры Lync Server 2010 могут представлять собой одиночные серверы или устанавливаться в виде пула с балансировкой нагрузки из нескольких директоров для повышения доступности и производительности.. Поддерживается как аппаратная балансировка нагрузки, так и балансировка DNS-нагрузки. В этом разделе описывается настройка балансировки DNS-нагрузки для пулов директоров. Для успешной публикации, включения или отключения топологии при добавлении или удалении роли сервера необходимо выполнить вход от имени пользователя, являющегося членом групп RTCUniversalServerAdmins и Администраторы домена. Для добавления ролей сервера также можно делегировать соответствующие административные права и разрешения. Дополнительные сведения см. в разделе «Делегирование разрешений для настройки» в документации по развертыванию для выпусков Standard Edition и Enterprise 29 Edition. Для других изменений конфигурации требуется только членство в группе RTCUniversalServerAdmins. Определение директора (один экземпляр) 1. Запустите Topology Builder. Нажмите кнопку Пуск, выберите Все программы, Microsoft Lync Server 2010 и Lync Server Topology Builder. 2. На начальной странице выберите Download Topology from Existing Deployment (Загрузить топологию из существующего развертывания). 3. В диалоговом окне Save Topology As (Сохранение топологии) введите имя и расположение локальной копии существующей топологии и нажмите кнопку Save (Сохранить). 4. Разверните сайт, в котором планируется добавить директор, щелкните правой кнопкой мыши Director pools (Пулы директоров) и выберите New Director Pool (Создать пул директоров). 5. В диалоговом окне Define the Director pool FQDN (Определение полного доменного имени для пула директоров) выполните следующие действия: В поле Pool FQDN (Полное доменное имя пула) введите полное доменное имя пула директоров. Выберите Single computer pool (Пул из одного компьютера) и нажмите кнопку Next (Далее). 6. В диалоговом окне Define the file share (Определение общей папки) выполните одно из следующих действий: а. Для использования существующей общей папки выберите Use a previously defined file share (Использовать определенную ранее общую папку), выберите общую папку из списка и нажмите кнопку Next (Далее). b. Для создания новой общей папки выберите Define a new file share (Определить новую общую папку), введите полное доменное имя для расположения этой папки в поле File Server FQDN (Полное доменное имя файлового сервера), введите имя общей папки в поле File Share (Общая папка) и нажмите кнопку Next (Далее). Важно. Общая папка, которая указывается на этом шаге, должна существовать или быть создана до публикации топологии. 30 7. В диалоговом окне Specify the Web Services URL (Определение URL-адреса веб-служб) в поле External Base URL (Внешний базовый URL-адрес) укажите полное доменное имя для директоров и нажмите кнопку Finish (Готово). Важно. Имя должно разрешаться DNS-серверами в Интернете и указывать на внешний IP-адрес обратного прокси-сервера, который прослушивает HTTP- и HTTPS-запросы на этот URL-адрес и направляет их во внешний виртуальный каталог веб-служб на этом директоре. 8. Опубликуйте топологию. Определение пула из нескольких директоров в Topology Builder Директоры Lync Server 2010 могут представлять собой одиночные серверы или устанавливаться в виде пула с балансировкой нагрузки из нескольких директоров для повышения доступности и производительности.. Поддерживается как аппаратная балансировка нагрузки, так и балансировка DNS-нагрузки. В документации описывается настройка балансировки DNS-нагрузки для пулов директоров. Для успешной публикации, включения или отключения топологии при добавлении или удалении роли сервера необходимо выполнить вход от имени пользователя, являющегося членом групп RTCUniversalServerAdmins и Администраторы домена. Для добавления ролей сервера также можно делегировать соответствующие административные права и разрешения. Дополнительные сведения см. в разделе «Делегирование разрешений для настройки» в документации по развертыванию для выпусков Standard Edition и Enterprise Edition. Для других изменений конфигурации требуется только членство в группе RTCUniversalServerAdmins. Определение директора (пул из нескольких директоров) 1. Запустите Topology Builder. Нажмите кнопку Пуск, выберите Все программы, Microsoft Lync Server 2010 и Lync Server Topology Builder. 2. На начальной странице выберите Download Topology from Existing Deployment (Загрузить топологию из существующего развертывания). 3. В диалоговом окне Save Topology As (Сохранение топологии) введите имя и расположение локальной копии существующей топологии и нажмите кнопку Save (Сохранить). 4. Разверните сайт, в котором планируется добавить директор, щелкните правой 31 кнопкой мыши Director pools (Пулы директоров) и выберите New Director Pool (Создать пул директоров). 5. В диалоговом окне Define the Director pool FQDN (Определение полного доменного имени для пула директоров) выполните следующие действия: В поле Pool FQDN (Полное доменное имя пула) введите полное доменное имя пула директоров. Выберите Multiple computer pool (Пул из нескольких компьютеров) и нажмите кнопку Next (Далее). 6. В диалоговом окне Define the computers in this pool (Определение компьютеров в пуле) выполните следующие действия: Укажите полное доменное имя компьютера для первого члена пула и затем нажмите кнопку Add (Добавить). Повторите предыдущий шаг для каждого компьютера, который нужно добавить. По окончании нажмите кнопку Next (Далее). 7. В диалоговом окне Define the file share (Определение общей папки) выполните одно из следующих действий: Для использования существующей общей папки выберите Use a previously defined file share (Использовать определенную ранее общую папку), выберите общую папку из списка и нажмите кнопку Next (Далее). Для создания новой общей папки выберите Define a new file share (Определить новую общую папку), введите полное доменное имя для расположения этой папки в поле File Server FQDN (Полное доменное имя файлового сервера), введите имя общей папки в поле File Share (Общая папка) и нажмите кнопку Next (Далее). Важно. Общая папка, которая указывается на этом шаге, должна существовать или быть создана до публикации топологии. Общая папка, назначаемая директору, фактически не используется, поэтому можно назначить любую общую папку в организации. 8. В диалоговом окне Specify the Web Services URL (Определение URL-адреса веб-служб) в поле External Base URL (Внешний базовый URL-адрес) укажите полное доменное имя для директоров и нажмите кнопку Finish (Готово). 32 Важно. Имя должно разрешаться DNS-серверами в Интернете и указывать на внешний IP-адрес обратного прокси-сервера, который прослушивает HTTP- и HTTPS-запросы на этот URL-адрес и направляет их во внешний виртуальный каталог веб-служб в этом пуле директоров. 9. Опубликуйте топологию. Определение пограничной топологии Для развертывания сервера под управлением Lync Server 2010 сначала необходимо с помощью Topology Builder определить и опубликовать топологию, включая пограничную топологию. Содержание раздела Определение топологии для одного пограничного сервера Определение топологии для пула пограничных серверов с балансировкой DNS-нагрузки Определение топологии для пула пограничных серверов с аппаратной балансировкой нагрузки Определение топологии для одного пограничного сервера Перед развертыванием пограничного сервера необходимо создать топологию с помощью Topology Builder и настроить по крайней мере один внутренний пул серверов переднего плана или сервер выпуска Standard. Выполните следующую процедуру для определения пограничной топологии для одного пограничного сервера и затем выполните процедуры из разделов Публикация топологии и Экспорт топологии и ее копирование на внешний носитель для установки пограничного сервера, чтобы опубликовать топологию и сделать ее доступной для пограничного сервера. Для успешной публикации, включения или отключения топологии при добавлении или удалении роли сервера необходимо выполнить вход от имени пользователя, являющегося членом групп RTCUniversalServerAdmins и «Администраторы домена». Для добавления ролей сервера также можно предоставить соответствующие административные права и разрешения нужной учетной записи пользователя. Дополнительные сведения см. В разделе «Делегирование разрешений для настройки» в документации по развертыванию для выпусков Standard Edition и Enterprise Edition. Для других изменений конфигурации требуется только членство в группе RTCUniversalServerAdmins. Если пограничная топология была определена при определении и публикации внутренней топологии и какие-либо изменения пограничной топологии не требуются, определять ее 33 и публиковать снова не нужно. Выполняйте следующую процедуру, только если пограничная топология нуждается в изменениях. Ранее определенную и опубликованную топологию нужно сделать доступной для пограничных серверов, выполнив процедуру из раздела Экспорт топологии и ее копирование на внешний носитель для установки пограничного сервера. Важно. Запускать Topology Builder с пограничного сервера нельзя. Это средство должно запускаться с сервера переднего плана или с сервера выпуска Standard Edition. Определение топологии для одного пограничного сервера 1. Запустите Topology Builder. Нажмите кнопку Пуск, выберите Все программы, Microsoft Lync Server 2010 и Lync Server Topology Builder. 2. В дереве консоли разверните сайт, в котором планируется развернуть пограничный сервер. 3. Щелкните правой кнопкой мыши Edge pools (Пулы пограничных серверов) и выберите команду New Edge Pool (Создать пул пограничных серверов). 4. В окне Define the New Edge Pool (Определение нового пула пограничных серверов) нажмите кнопку Next (Далее). 5. В диалоговом окне Define the Edge pool FQDN (Определение полного доменного имени для пула пограничных серверов) выполните следующие действия: В поле Pool FQDN (Полное доменное имя пула) введите полное доменное имя внутреннего интерфейса для пограничного сервера. Важно. Указанное имя должно быть идентично имени компьютера, заданному на сервере. По умолчанию имя компьютера, не присоединенного к домену, является коротким, а не полным доменным именем. В Topology Builder используются полные, а не короткие доменные имена. Поэтому к имени компьютера, который будет развернут в роли пограничного сервера, не присоединенного к домену, нужно добавить DNS-суффикс. В полных доменных именах для серверов Lync Server, пограничных серверов и пулов используйте только стандартные символы (A–Z, a–z, 0–9 и дефис). Не используйте символы Юникода или знаки подчеркивания. Нестандартные символы в полных доменных именах часто не поддерживаются внешними DNS-серверами и общедоступными центрами сертификации (когда полное доменное имя 34 должно быть назначено имени субъекта в сертификате). Дополнительные сведения о добавлении DNS-суффикса к имени компьютера см. в разделе Настройка DNS-записей для поддержки пограничного сервера. Выберите Single computer pool (Пул из одного компьютера) и нажмите кнопку Next (Далее). 6. В области Select features (Выбор компонентов) выполните следующие действия: Если планируется использовать одно полное доменное имя и IP-адрес для службы доступа SIP, службы веб-конференций Lync Server и пограничной службы аудио- и видеотрансляций, установите флажок Use a single FQDN & IP Address (Использовать одно полное доменное имя и IP-адрес). Если планируется разрешить федерацию, установите флажок Enable federation (port 5061) (Разрешить федерацию (порт 5061)). Примечание. При выборе этого параметра за пределами сети организации для федерации будет опубликован только один пул пограничных серверов или пограничный сервер. Любой доступ федеративных пользователей, включая пользователей общедоступных служб обмена мгновенными сообщениями, осуществляется через один пул пограничных серверов или пограничный сервер. Например, если имеется пул пограничных серверов или один пограничный сервер, развернутый в Нью-Йорке, и один сервер в Лондоне и включается поддержка федерации для нью-йоркского пула пограничных серверов или пограничного сервера, сигнальный трафик для федеративных пользователей будет проходить через нью-йоркский пул пограничных серверов или отдельный пограничный сервер То же самое будет происходить даже в случае коммуникации с лондонскими пользователями, хотя внутренний пользователь в Лондоне, вызывающий лондонского федеративного пользователя, использует лондонский пул или пограничный сервер для аудио- или видеотрасляций. Если планируется использовать трансляцию сетевых адресов (NAT) для внешних IP-адресов, установите флажок The external IP address of the Edge pool is translated by NAT (Внешний IP-адрес пула пограничных серверов транслируется средствами NAT). 7. В области External FQDNs (Внешние полные доменные имена) выполните следующие действия: 35 Если в области Select features (Выбор компонентов) было выбрано одно полное доменное имя и IP-адрес для службы доступа SIP, службы веб-конференций и пограничной службы аудио- и видеотрансляций, введите внешнее полное доменное имя в поле SIP Access (Доступ SIP). Примечание. При выборе этого варианта необходимо указать разные номера портов для каждой пограничной службы (рекомендуемые номера портов: 5061 для пограничной службы доступа, 444 для пограничной службы веб-конференций и 443 для пограничной службы аудио- и видеотрансляций). Этот параметр помогает предотвратить возможные проблемы со связью и упрощает настройку, поскольку для всех трех служб можно использовать один номер порта (например 443). Если в окне Select features (Выбор компонентов) не было выбрано использование одного полного доменного имени и IP-адреса, введите внешние полные доменные имена для параметров SIP Access (Доступ SIP), Web Conferencing (Веб-конференции) и Audio Video (Аудио и видео), сохранив значения портов по умолчанию. 8. Нажмите кнопку Next (Далее). 9. В области Define the Internal IP address (Определение внутреннего IP-адреса) введите IP-адрес пограничного сервера в поле Internal IP address (Внутренний IP-адрес) и нажмите кнопку Next (Далее). 10. В области Define the External IP address (Определение внешнего IP-адреса) выполните следующие действия. Если для доступа SIP, службы веб-конференций и пограничной службы аудио- и видеотрансляций было выбрано одно полное доменное имя и IP-адрес, введите внешний IP-адрес пограничного сервера в поле SIP Access (Доступ SIP) и нажмите кнопку Next (Далее). Если для доступа SIP, службы веб-конференций и пограничной службы аудио- и видеотрансляций не было выбрано одно полное доменное имя и IP-адрес, введите внешний IP-адрес пограничного сервера в полях SIP Access (Доступ SIP), Web Conferencing (Веб-конференции) и A/V Conferencing (Аудио- и видеоконференции) и затем нажмите кнопку Next (Далее). 11. Если выбрано использование NAT, появится диалоговое окно. В поле Public IP address (Внешний IP-адрес) введите внешний IP-адрес, который будет 36 транслироваться средствами NAT, и затем нажмите кнопку Next (Далее). Примечание. Это должен быть внешний IP-адрес пограничной службы аудио- и видеотрансляций. 12. В области Define the next hop (Определение следующего перехода) в поле Next hop pool (Пул следующего перехода) выберите имя внутреннего пула, который может быть пулом серверов переднего плана или пулом серверов выпуска Standard Edition. Либо, если в развертывании имеется директор, укажите имя директора. Затем нажмите кнопку Next (Далее). 13. В поле Associate Front End pools (Связать пулы серверов переднего плана) укажите один или несколько внутренних пулов, которые могут включать пулы серверов переднего плана и серверов выпуска Standard Edition, для связи с данным пограничным сервером, выбрав имена внутренних пулов, которые будут использовать этот пограничный сервер для связи с поддерживаемыми внешними пользователями. Примечание. С каждым внутренним пулом для аудио- и видеотрафика можно связать только один пул пограничных серверов или отдельный пограничный сервер с балансировкой нагрузки. Если с пулом пограничных серверов или отдельным пограничным сервером уже связан внутренний пул, появится соответствующее предупреждение. Если выбрать пул, уже связанный с другим пограничным сервером, связь будет изменена. 14. Нажмите кнопку Finish (Готово). 15. Опубликуйте топологию. Определение топологии для пула пограничных серверов с балансировкой DNS-нагрузки Перед развертыванием пограничных серверов необходимо создать внутреннюю и пограничную топологию с помощью Topology Builder и настроить по крайней мере один внутренний пул серверов переднего плана или сервер выпуска Standard Edition. Выполните следующую процедуру для определения пограничной топологии для пула пограничных серверов с балансировкой нагрузки и затем выполните процедуры из разделов Публикация топологии и Экспорт топологии и ее копирование на внешний носитель для установки пограничного сервера, чтобы опубликовать топологию и сделать ее доступной для пограничных серверов. 37 Для успешной публикации, включения или отключения топологии при добавлении или удалении роли сервера необходимо выполнить вход от имени пользователя, являющегося членом групп RTCUniversalServerAdmins и «Администраторы домена». Для добавления ролей сервера также можно предоставить соответствующие административные права и разрешения нужной учетной записи пользователя. Дополнительные сведения см. В разделе «Делегирование разрешений для настройки» в документации по развертыванию для выпусков Standard Edition и Enterprise Edition. Для других изменений конфигурации требуется только членство в группе RTCUniversalServerAdmins. Если пограничная топология была определена при определении и публикации внутренней топологии и какие-либо изменения пограничной топологии не требуются, определять ее и публиковать снова не нужно. Выполняйте следующую процедуру, только если пограничная топология нуждается в изменениях. Ранее определенную и опубликованную топологию нужно сделать доступной для пограничных серверов, выполнив процедуру из раздела Экспорт топологии и ее копирование на внешний носитель для установки пограничного сервера. Важно. Запускать Topology Builder с пограничного сервера нельзя. Это средство должно запускаться из пула серверов переднего плана или с сервера выпуска Standard Edition. Определение топологии для пула пограничных серверов с балансировкой DNS-нагрузки 1. Запустите Topology Builder. Нажмите кнопку Пуск, выберите Все программы, Microsoft Lync Server 2010 и Lync Server Topology Builder. 2. В дереве консоли разверните сайт, в котором планируется развернуть пограничные серверы. 3. Щелкните правой кнопкой мыши Edge Pools (Пулы пограничных серверов) и выберите команду New Edge Pool (Создать пул пограничных серверов). 4. В окне Define the New Edge Pool (Определение нового пула пограничных серверов) нажмите кнопку Next (Далее). 5. В диалоговом окне Define the Edge pool FQDN (Определение полного доменного имени для пула пограничных серверов) выполните следующие действия: В поле Pool FQDN (Полное доменное имя пула) введите полное доменное имя для внутреннего подключения пула пограничных серверов. 38 Важно. Указанное имя должно быть идентично имени компьютера, заданному на сервере. По умолчанию имя компьютера, не присоединенного к домену, является коротким, а не полным доменным именем. В Topology Builder используются полные, а не короткие доменные имена. Поэтому к имени компьютера, который будет развернут в роли пограничного сервера, не присоединенного к домену, нужно добавить DNS-суффикс. В полных доменных именах для серверов Lync Server, пограничных серверов и пулов используйте только стандартные символы (A–Z, a–z, 0–9 и дефис). Не используйте символы Юникода или знаки подчеркивания. Нестандартные символы в полных доменных именах часто не поддерживаются внешними DNS-серверами и общедоступными центрами сертификации (когда полное доменное имя должно быть назначено имени субъекта в сертификате). Дополнительные сведения о добавлении DNS-суффикса к имени компьютера см. в разделе Настройка DNS-записей для поддержки пограничного сервера. Выберите Multiple computer pool (Пул из нескольких компьютеров) и нажмите кнопку Next (Далее). 6. В области Select features (Выбор компонентов) выполните следующие действия: Если планируется использовать одно полное доменное имя и IP-адрес для доступа SIP, службы веб-конференций Lync Server и пограничной службы аудио- и видеотрансляций, установите флажок Use a single FQDN & IP Address (Использовать одно полное доменное имя и IP-адрес). Если планируется разрешить федерацию, установите флажок Enable federation (port 5061) (Разрешить федерацию (порт 5061)). Примечание. При выборе этого параметра за пределами сети организации для федерации будет опубликован только один пул пограничных серверов или пограничный сервер. Любой доступ федеративных пользователей, включая пользователей общедоступных служб обмена мгновенными сообщениями, осуществляется через один пул пограничных серверов или пограничный сервер. Например, если имеется пул пограничных серверов или один пограничный сервер, развернутый в Нью-Йорке, и один сервер в Лондоне и включается поддержка федерации для нью-йоркского пула пограничных серверов или пограничного сервера, сигнальный трафик для федеративных пользователей будет проходить 39 через нью-йоркский пул пограничных серверов или отдельный пограничный сервер То же самое будет происходить даже в случае коммуникации с лондонскими пользователями, хотя внутренний пользователь в Лондоне, вызывающий лондонского федеративного пользователя, использует лондонский пул или пограничный сервер для аудио- или видеотрасляций. Если планируется использовать трансляцию сетевых адресов (NAT) для внешних IP-адресов, установите флажок The external IP address of the Edge pool is translated by NAT (Внешний IP-адрес пула пограничных серверов транслируется средствами NAT). 7. Нажмите кнопку Next (Далее). 8. В области External FQDNs (Внешние полные доменные имена) выполните следующие действия: Если в области Select features (Выбор компонентов) было выбрано одно полное доменное имя и IP-адрес для службы доступа SIP, службы веб-конференций и пограничной службы аудио- и видеотрансляций, введите внешнее полное доменное имя в поле SIP Access (Доступ SIP). Примечание. При выборе этого варианта необходимо указать разные номера портов для каждой пограничной службы (рекомендуемые номера портов: 5061 для пограничной службы доступа, 444 для пограничной службы веб-конференций и 443 для пограничной службы аудио- и видеотрансляций). Этот параметр помогает предотвратить возможные проблемы со связью и упрощает настройку, поскольку для всех трех служб можно использовать один номер порта (например 443). Если в области Select features (Выбор компонентов) не было выбрано одно полное доменное имя и IP-адрес, введите полное доменное имя, выбранное для внешних подключений пула пограничных серверов, в поле SIP Access (Доступ SIP). В поле Web Conferencing (Веб-конференции) введите полное доменное имя, выбранное для внешних подключений пула пограничных серверов. В поле Audio/Video (Аудио и видео) введите полное доменное имя, выбранное для внешних подключений пула пограничных серверов. Используйте значения портов по умолчанию. 9. Нажмите кнопку Next (Далее). 10. В окне Define the computers in this pool (Определение компьютеров в этом пуле) 40 нажмите кнопку Add (Добавить). 11. В области Internal FQDN and IP address (Внутреннее полное доменное имя и IP-адрес) выполните следующие действия: В поле Internal IP address (Внутренний IP-адрес) введите IP-адрес первого пограничного сервера, который будет создан в этом пуле. В поле Internal FQDN (Внутреннее полное доменное имя) введите полное доменное имя первого пограничного сервера, который будет создан в этом пуле. Примечание. Указанное имя должно быть идентично имени компьютера, заданному на сервере. По умолчанию имя компьютера, не присоединенного к домену, является коротким, а не полным доменным именем. В Topology Builder используются полные, а не короткие доменные имена. Поэтому к имени компьютера, который будет развернут в роли пограничного сервера, не присоединенного к домену, нужно добавить DNS-суффикс. В полных доменных именах для серверов Lync Server, пограничных серверов, пулов и массивов используйте только стандартные символы (A–Z, a–z, 0–9 и дефис). Не используйте символы Юникода или знаки подчеркивания. Нестандартные символы в полных доменных именах часто не поддерживаются внешними DNS-серверами и общедоступными центрами сертификации (когда полное доменное имя должно быть назначено имени субъекта в сертификате). Дополнительные сведения о добавлении DNS-суффикса к имени компьютера см. в разделе Настройка DNS-записей для поддержки пограничного сервера. 12. Нажмите кнопку Next (Далее). 13. В области Define the external IP addresses (Определение внешних IP-адресов) выполните следующие действия: Если для доступа SIP, службы веб-конференций и пограничной службы аудио- и видеотрансляций было выбрано одно полное доменное имя и IP-адрес, введите внешний IP-адрес пограничного сервера в поле SIP Access (Доступ SIP). Если для доступа SIP, службы веб-конференций и пограничной службы аудио- и видеотрансляций не было выбрано одно полное доменное имя и IP-адрес, введите IP-адрес, выбранный для внешних подключений этого пула пограничных серверов в поле SIP Access (Доступ SIP). В поле Web Conferencing 41 (Веб-конференции) введите IP-адрес, выбранный для внешних подключений этого пула пограничных серверов. В поле A/V Conferencing (Аудио- и видеоконференции) введите IP-адрес, выбранный для внешних подключений этого пула пограничных серверов. 14. Нажмите кнопку Finish (Готово). Примечание. Теперь в диалоговом окне Define the computers in this pool (Определение компьютеров в этом пуле) появится первый созданный в пуле пограничный сервер. 15. В окне Define the computers in this pool (Определение компьютеров в этом пуле) нажмите кнопку Add (Добавить) и повторите шаги 11-14 для второго пограничного сервера, который нужно добавить в пул. 16. После повтора шагов 11-14 в диалоговом окне Define the computers in this pool (Определение компьютеров в этом пуле) нажмите кнопку Next (Далее). Примечание. Теперь в пуле находятся оба пограничных сервера. 17. Если выбрано использование NAT, появится диалоговое окно. В поле Public IP address (Внешний IP-адрес) введите внешний IP-адрес, который будет транслироваться средствами NAT, и затем нажмите кнопку Next (Далее). Примечание. Это должен быть внешний IP-адрес пограничной службы аудио- и видеотрансляций. 18. В области Define the next hop (Определение следующего перехода) в поле Next hop pool (Пул следующего перехода) выберите имя внутреннего пула, который может быть пулом серверов переднего плана или пулом серверов выпуска Standard Edition. Либо, если в развертывании имеется директор, укажите имя директора. Затем нажмите кнопку Next (Далее). 19. В поле Associate Front End pools (Связать пулы серверов переднего плана) укажите один или несколько внутренних пулов, которые могут включать пулы серверов переднего плана и серверов выпуска Standard Edition, для связи с данным пограничным сервером, выбрав имена внутренних пулов, которые будут использовать этот пограничный сервер для связи с поддерживаемыми внешними пользователями. 42 Примечание. С каждым внутренним пулом для аудио- и видеотрафика можно связать только один пул пограничных серверов или отдельный пограничный сервер с балансировкой нагрузки. Если с пулом пограничных серверов или отдельным пограничным сервером уже связан внутренний пул, появится соответствующее предупреждение. Если выбрать пул, уже связанный с другим пограничным сервером, связь будет изменена. 20. Нажмите кнопку Finish (Готово). 21. Опубликуйте топологию. Определение топологии для пула пограничных серверов с аппаратной балансировкой нагрузки Перед развертыванием пограничного сервера необходимо создать топологию с помощью Topology Builder и настроить по крайней мере один внутренний пул серверов переднего плана или сервер выпуска Standard. Выполните следующую процедуру для определения пограничной топологии для пула пограничных серверов с аппаратной балансировкой нагрузки и затем выполните процедуры из разделов Публикация топологии и Экспорт топологии и ее копирование на внешний носитель для установки пограничного сервера , чтобы опубликовать топологию и сделать ее доступной для пограничного сервера. Для успешной публикации, включения или отключения топологии при добавлении или удалении роли сервера необходимо выполнить вход от имени пользователя, являющегося членом групп RTCUniversalServerAdmins и «Администраторы домена». Для добавления ролей сервера также можно предоставить соответствующие административные права и разрешения нужной учетной записи пользователя. Дополнительные сведения см. в разделе «Делегирование разрешений для настройки» в документации по развертыванию для выпусков Standard Edition и Enterprise Edition. Для других изменений конфигурации требуется только членство в группе RTCUniversalServerAdmins. Если пограничная топология была определена при определении и публикации внутренней топологии и какие-либо изменения пограничной топологии не требуются, определять ее и публиковать снова не нужно. Выполняйте следующую процедуру, только если пограничная топология нуждается в изменениях. Ранее определенную и опубликованную топологию нужно сделать доступной для пограничных серверов, выполнив процедуру из раздела Экспорт топологии и ее копирование на внешний носитель для установки пограничного сервера. 43 Важно. Запускать Topology Builder с пограничного сервера нельзя. Это средство должно запускаться с сервера переднего плана или с сервера выпуска Standard Edition. Определение топологии для пула пограничных серверов с аппаратной балансировкой нагрузки 1. Запустите Topology Builder. Нажмите кнопку Пуск, выберите Все программы, Microsoft Lync Server 2010 и Lync Server Topology Builder. 2. В дереве консоли разверните сайт, в котором планируется развернуть пограничные серверы. 3. Щелкните правой кнопкой мыши Edge Pools (Пулы пограничных серверов) и выберите команду New Edge Pool (Создать пул пограничных серверов). 4. В окне Define the New Edge Pool (Определение нового пула пограничных серверов) нажмите кнопку Next (Далее). 5. В диалоговом окне Define the Edge pool FQDN (Определение полного доменного имени для пула пограничных серверов) выполните следующие действия: В поле FQDN (Полное доменное имя) введите полное доменное имя для внутренних подключений пула пограничных серверов. Важно. Указанное имя должно быть идентично имени компьютера, заданному на сервере. По умолчанию имя компьютера, не присоединенного к домену, является коротким, а не полным доменным именем. В Topology Builder используются полные, а не короткие доменные имена. Поэтому к имени компьютера, который будет развернут в роли пограничного сервера, не присоединенного к домену, нужно добавить DNS-суффикс. В полных доменных именах для серверов Lync Server, пограничных серверов и пулов используйте только стандартные символы (A–Z, a–z, 0–9 и дефис). Не используйте символы Юникода или знаки подчеркивания. Нестандартные символы в полных доменных именах часто не поддерживаются внешними DNS-серверами и общедоступными центрами сертификации (когда полное доменное имя должно быть назначено имени субъекта в сертификате). Дополнительные сведения о добавлении DNS-суффикса к имени компьютера см. в разделе Настройка DNS-записей для поддержки пограничного сервера. 44 Выберите Multiple computer pool (Пул из нескольких компьютеров) и нажмите кнопку Next (Далее). 6. В области Select features (Выбор компонентов) выполните следующие действия: Если планируется использовать одно полное доменное имя и IP-адрес для службы доступа SIP, службы веб-конференций Lync Server и пограничной службы аудио- и видеотрансляций, установите флажок Use a single FQDN & IP Address (Использовать одно полное доменное имя и IP-адрес). Если планируется разрешить федерацию, установите флажок Enable federation (port 5061) (Разрешить федерацию (порт 5061)). Примечание. При выборе этого параметра за пределами сети организации для федерации будет опубликован только один пул пограничных серверов или пограничный сервер. Любой доступ федеративных пользователей, включая пользователей общедоступных служб обмена мгновенными сообщениями, осуществляется через один пул пограничных серверов или пограничный сервер. Например, если имеется пул пограничных серверов или один пограничный сервер, развернутый в Нью-Йорке, и один сервер в Лондоне и включается поддержка федерации для нью-йоркского пула пограничных серверов или пограничного сервера, сигнальный трафик для федеративных пользователей будет проходить через нью-йоркский пул пограничных серверов или отдельный пограничный сервер То же самое будет происходить даже в случае коммуникации с лондонскими пользователями, хотя внутренний пользователь в Лондоне, вызывающий лондонского федеративного пользователя, использует лондонский пул или пограничный сервер для аудио- или видеотрасляций. Важно. Не устанавливайте флажок The external IP address of the Edge pool is translated by NAT (Внешний IP-адрес пула пограничных серверов транслируется средствами NAT). При использовании аппаратной балансировки нагрузки трансляция сетевых адресов (NAT) не поддерживается. 7. Нажмите кнопку Next (Далее). 8. В области External FQDNs (Внешние полные доменные имена) выполните следующие действия: 45 Если в области Select features (Выбор компонентов) было выбрано одно полное доменное имя и IP-адрес для службы доступа SIP, службы веб-конференций и пограничной службы аудио- и видеотрансляций, введите внешнее полное доменное имя в поле SIP Access (Доступ SIP). Примечание. При выборе этого варианта необходимо указать разные номера портов для каждой пограничной службы (рекомендуемые номера портов: 5061 для пограничной службы доступа, 444 для пограничной службы веб-конференций и 443 для пограничной службы аудио- и видеотрансляций). Этот параметр помогает предотвратить возможные проблемы со связью и упрощает настройку, поскольку для всех трех служб можно использовать один номер порта (например 443). Если в области Select features (Выбор компонентов) не было выбрано одно полное доменное имя и IP-адрес, введите полное доменное имя, выбранное для внешних подключения пула пограничных серверов, в поле SIP Access (Доступ SIP). В поле Web Conferencing (Веб-конференции) введите полное доменное имя, выбранное для внешних подключений пула пограничных серверов. В поле Audio/Video (Аудио и видео) введите полное доменное имя, выбранное для внешних подключений пула пограничных серверов. Используйте значения портов по умолчанию. Примечание. Это будут внешние виртуальные IP-адреса и полные доменные имена для пула. 9. Нажмите кнопку Next (Далее). 10. В окне Define the computers in this pool (Определение компьютеров в этом пуле) нажмите кнопку Add (Добавить). 11. В области Internal FQDN and IP address (Внутреннее полное доменное имя и IP-адрес) выполните следующие действия: В поле Internal IP address (Внутренний IP-адрес) введите IP-адрес первого пограничного сервера, который будет создан в этом пуле. В поле Internal FQDN (Внутреннее полное доменное имя) введите полное доменное имя первого пограничного сервера, который будет создан в этом пуле. 46 Примечание. Указанное имя должно быть идентично имени компьютера, заданному на сервере. По умолчанию имя компьютера, не присоединенного к домену, является коротким, а не полным доменным именем. В Topology Builder используются полные, а не короткие доменные имена. Поэтому к имени компьютера, который будет развернут в роли пограничного сервера, не присоединенного к домену, нужно добавить DNS-суффикс. Дополнительные сведения о добавлении DNS-суффикса к имени компьютера см. в разделе Настройка DNS-записей для поддержки пограничного сервера. 12. Нажмите кнопку Next (Далее). 13. В области Define the external IP addresses (Определение внешних IP-адресов) выполните следующие действия: Если для доступа SIP, службы веб-конференций и пограничной службы аудио- и видеотрансляций было выбрано одно полное доменное имя и IP-адрес, введите внешний IP-адрес пограничного сервера в поле SIP Access (Доступ SIP). Если для доступа SIP, службы веб-конференций и пограничной службы аудио- и видеотрансляций не было выбрано одно полное доменное имя и IP-адрес, введите IP-адрес, выбранный для внешних подключений этого пула пограничных серверов в поле SIP Access (Доступ SIP). В поле Web Conferencing (Веб-конференции) введите IP-адрес, выбранный для внешних подключений этого пула пограничных серверов. В поле A/V Conferencing (Аудио- и видеоконференции) введите IP-адрес, выбранный для внешних подключений этого пула пограничных серверов. 14. Нажмите кнопку Finish (Готово). Примечание. Теперь в диалоговом окне Define the computers in this pool (Определение компьютеров в этом пуле) появится первый созданный в пуле пограничный сервер. 15. В окне Определение компьютеров в этом пуле (Определение компьютеров в этом пуле) нажмите кнопку Add (Добавить) и повторите шаги 11-14 для второго пограничного сервера, который нужно добавить в пул. 16. После повтора шагов 11-14 в диалоговом окне Define the computers in this pool (Определение компьютеров в этом пуле) нажмите кнопку Next (Далее). 47 Примечание. Теперь в пуле находятся оба пограничных сервера. 17. В области Define the next hop (Определение следующего перехода) в поле Next hop pool (Пул следующего перехода) выберите имя внутреннего пула, который может быть пулом серверов переднего плана или пулом серверов выпуска Standard Edition. Либо, если в развертывании имеется директор, укажите имя директора. Затем нажмите кнопку Next (Далее). 18. В поле Associate Front End pools (Связать пулы серверов переднего плана) укажите один или несколько внутренних пулов, которые могут включать пулы серверов переднего плана и серверов выпуска Standard Edition, для связи с данным пограничным сервером, выбрав имена внутренних пулов, которые будут использовать этот пограничный сервер для связи с поддерживаемыми внешними пользователями. Примечание. С каждым внутренним пулом для аудио- и видеотрафика можно связать только один пул пограничных серверов или отдельный пограничный сервер с балансировкой нагрузки. Если с пулом пограничных серверов или отдельным пограничным сервером уже связан внутренний пул, появится соответствующее предупреждение. Если выбрать пул, уже связанный с другим пограничным сервером, связь будет изменена. 19. Нажмите кнопку Finish (Готово). 20. Опубликуйте топологию. Публикация топологии Каждый раз при использовании Topology Builder для построения топологии необходимо публиковать топологию в базе данных в центральном хранилище управления, чтобы эти данные можно было использовать для развертывания Lync Server 2010. Для публикации топологии выполните следующую процедуру. Публикация топологии 1. Запустите Topology Builder. Нажмите кнопку Пуск, выберите Все программы, Microsoft Lync Server 2010 и Lync Server Topology Builder. 2. В Topology Builder в дереве консоли щелкните правой кнопкой мыши Lync Server 48 2010 и выберите Publish Topology (Опубликовать топологию). 3. На начальной странице мастера нажмите кнопку Next (Далее). 4. На странице Topology Builder found a CMS store (Средство Topology Builder обнаружило хранилище CMS) нажмите кнопку Next (Далее). 5. На странице Create other databases (Создание других баз данных) нажмите кнопку Next (Далее). 6. Когда в строке состояния будет показано, что база данных была успешно создана, выполните следующие действия. Для просмотра журнала нажмите кнопку View log (Просмотр журнала). Чтобы закрыть мастер, нажмите кнопку Finish (Готово). Настройка директора Если планируется организовать доступ для внешних пользователей путем развертывания пограничных серверов, необходимо также развернуть директор. Директор — это сервер под управлением Microsoft Lync Server 2010, который производит проверку подлинности пользовательских запросов, но на котором не размещаются учетные записи пользователей. Основные шаги по настройке директора или пула директоров аналогичны шагам по настройке пула серверов переднего плана выпуска Enterprise Edition или сервера Standard Edition. После определения директоров в Topology Builder необходимо выполнить действия из этого раздела. Содержание раздела Установка локального хранилища конфигураций Установка Lync Server 2010 на директоре Настройка сертификатов для директора Запуск служб на директоре Тестирование директора Настройка автоматического входа клиентов с использованием директора 49 Установка локального хранилища конфигураций Для выполнения этой процедуры необходимо выполнить вход на сервер как минимум с правами локального администратора и пользователя домена, являющегося членом по крайней мере группы RTCUniversalReadOnlyAdmin. Первым шагом мастера развертывания Lync Server является установка локального хранилища конфигураций. Локальное хранилище конфигураций представляет собой экземпляр SQL Server Express, который устанавливает локальную базу данных, в которой хранятся копии центрального хранилища управления только для чтения. Центральное хранилище управления добавляется в существующую базу данных SQL Server Express на сервере выпуска Standard Edition. Важно. Если установка Microsoft Lync Server 2010 на этом сервере выполняется впервые, будет предложено указать диск и путь для установки. Если в организации требуется, чтобы службы IIS и все веб-службы располагались не на системном диске, путь установки файлов Lync Server можно изменить в диалоговом окне настройки. Если файлы установки, включая OCSCore.msi будут, размещены в этом пути, остальные файлы Lync Server 2010 также будут размещены на этом диске. Установка локального хранилища конфигураций 1. На установочном носителе выберите файл \setup\amd64\Setup.exe и нажмите кнопку OK. 2. Если будет предложено установить распространяемый пакет Microsoft Visual C++ 2008, нажмите кнопку Yes (Да). 3. На странице Lync Server 2010 Installation Location (Расположение установки Lync Server 2010) нажмите кнопку OK. 4. На странице End User License Agreement (Лицензионное соглашение) ознакомьтесь с условиями лицензии, установите флажок I accept the terms in the license agreement (Я принимаю условия лицензионного соглашения) и нажмите кнопку OK. Этот шаг необходим для продолжения установки. 5. На странице мастера развертывания выберите Install or Update Lync Server System (Установить или обновить Lync Server). 6. На странице Lync Server 2010 рядом с пунктом Step1: Install Local Configuration Store (Шаг 1. Установка локального хранилища конфигураций) нажмите кнопку Run (Выполнить). 50 7. На странице Local Server Configuration (Конфигурация локального сервера) установите флажок Retrieve configuration automatically from the Central Management Store (Автоматически извлекать конфигурацию из центрального хранилища управления) и нажмите кнопку Next (Далее). 8. По окончании установки конфигурации локального сервера нажмите кнопку Finish (Готово). Установка Lync Server 2010 на директоре Для установки компонентов Lync Server 2010 на директоре выполните следующие действия. Установка компонентов Lync Server на директоре 1. В мастере развертывания Lync Server на странице «Lync Server 2010» рядом с пунктом Step 2: Setup or Remove Lync Server Components (Шаг 2. Установка или удаление компонентов Lync Server) нажмите кнопку Run (Выполнить). 2. На странице Setup Lync Server components (Установка компонентов Lync Server) нажмите кнопку Next (Далее) для установки компонентов в соответствии с опубликованной топологией. 3. По окончании установки компонентов Lync Server нажмите кнопку Finish (Готово). Настройка сертификатов для директора Для каждого директора требуется сертификат по умолчанию, внутренний веб-сертификат и внешний веб-сертификат. Дополнительные сведения о требованиях к сертификатам для директоров см. в разделе «Требования к сертификатам для внутренних серверов» в документации по планированию. Для настройки сертификатов директора выполните следующую процедуру. Повторите ее для каждого директора. В данной процедуре описывается процесс настройки сертификата из внутреннего корневого центра сертификации предприятия, развернутого в организации с автономной обработкой запросов. Дополнительные сведения о получении сертификатов из внешнего центра сертификации можно получить в службе поддержки. 51 Настройка сертификатов для директора или пула директоров 1. В мастере развертывания Lync Server рядом с пунктом Step 3: Request, Install, or Assign Certificates (Шаг 3. Запрос, установка и назначение сертификатов) нажмите кнопку Run (Выполнить). 2. На странице Certificate Wizard (Мастер сертификатов) нажмите кнопку Request (Запросить). 3. На странице Certificate Request (Запрос сертификата) нажмите кнопку Next (Далее). 4. На странице Delayed or Immediate Requests (Отложенные или срочные запросы) оставьте параметр Send the request immediately (Отправлять запросы немедленно) по умолчанию и нажмите кнопку Next (Далее). 5. На странице Choose a Certification Authority (CA) (Выбор центра сертификации) выберите внутренний центр сертификации Windows, который нужно использовать, и нажмите кнопку Next (Далее). 6. На странице Certification Authority Account (Учетная запись центра сертификации) укажите дополнительные учетные данные, которые будут использоваться, если учетная запись, от имени которой выполнен вход, не обладает достаточными правами для запроса сертификатов, а затем нажмите кнопку Next (Далее). 7. На странице Specify Alternate Certificate Template (Дополнительный шаблон сертификата) нажмите кнопку Next (Далее). 8. На странице Name and Security Settings (Параметры имени и безопасности) укажите Friendly Name (Понятное имя), примите 2048-битную длину ключа и нажмите кнопку Next (Далее). 9. На странице Organization Information (Сведения об организации), если необходимо, укажите сведения об организации и нажмите кнопку Next (Далее). 10. На странице Geographical Information (Сведения о местоположении), если необходимо, укажите сведения о местоположении и нажмите кнопку Next (Далее). 11. На странице Subject Name / Subject Alternative Names (Имя субъекта/Дополнительные имена субъекта) нажмите кнопку Next (Далее). Примечание. Список дополнительных имен субъекта должен содержать имя компьютера, на котором устанавливается директор (при использовании одного директора), или имя пула директоров, а также простые URL-имена, заданные для организации. 52 12. На странице SIP Domain setting (Домен SIP) выберите Configured SIP Domains (Настроенные домены SIP) для всех доменов, которыми должен управлять директор, и нажмите кнопку Next (Далее). 13. На странице Configure Additional Subject Alternative Names (Настройка других дополнительных имен субъекта) добавьте другие необходимые дополнительные имена субъекта и нажмите кнопку Next (Далее). 14. На странице Certificate Request Summary (Сводка по запросу сертификата) нажмите кнопку Next (Далее). 15. На странице Executing Commands (Выполнение команд) нажмите кнопку Next (Далее) после выполнения команд. 16. На странице Online Certificate Request Status (Состояние запроса интернет-сертификата) нажмите кнопку Finish (Готово). 17. На странице Certificate Assignment (Назначение сертификата) нажмите кнопку Next (Далее). Примечание. Для просмотра сертификата дважды щелкните его в списке. 18. На странице Certificate Assignment Summary (Сводка по назначению сертификата) нажмите кнопку Next (Далее). 19. На странице Executing Commands (Выполнение команд) нажмите кнопку Finish (Готово) после выполнения команд. 20. На странице Certificate Wizard (Мастер создания сертификатов) нажмите кнопку Close (Закрыть). Запуск служб на директоре После установки локального хранилища конфигураций, компонентов Lync Server и настройки сертификатов на директоре необходимо запустить службы Lync Server на сервере. Выполните следующую процедуру, чтобы запустить службы на каждом директоре в развертывании. Запуск служб на директоре 1. В мастере развертывания Lync Server на странице Lync Server 2010 нажмите кнопку 53 Run (Выполнить) рядом с пунктом Step 4: Start Services (Шаг 4. Запуск служб). 2. На странице Start Services (Запуск служб) нажмите кнопку Next (Далее), чтобы запустить службы Lync Server на сервере. 3. На странице Executing Commands (Выполнение команд) после успешного запуска всех служб нажмите кнопку Finish (Готово). 4. Под пунктом Step 4: Start Services (Шаг 4. Запуск служб) выберите Services Status (Optional) (Состояние служб (необязательно)). 5. В оснастке Службы консоли управления (MMC) на сервере убедитесь, что запущены все службы Lync Server 2010. Тестирование директора На этом этапе имеется настроенный директор или пул директоров, однако записи DNS SRV все еще предписывают клиентам выполнять вход с использованием пула или сервера выпуска Standard Edition. Перед изменением DNS-записи, чтобы клиенты Microsoft Lync 2010 выполняли вход автоматически с помощью директора, проверьте клиент, направив его на директор вручную. Тестирование развертывания 1. Выполните вход на компьютер, на котором установлена панель управления Lync Server, с использованием учетной записи домена, которая является членом группы CSAdministrator. 2. Откройте окно браузера и введите URL-адрес администрирования, чтобы открыть панель управления Lync Server. Дополнительные сведения о различных методах запуска панели управления Lync Server см. в разделе «Использование средств администрирования Lync Server». 3. В панели навигации выберите Topology (Топология) и в столбце Status (Состояние) проверьте наличие зеленого сервера со стрелкой ( директоров. ) для директора или пула 4. Подключите два клиентских компьютера с установленным клиентом Lync Server 2010 и выполните вход на каждый компьютер с использованием другой учетной записи пользователя, имеющей доступ к Lync Server 2010. 5. На одном из клиентских компьютеров откройте меню Options (Параметры), 54 выберите группу параметров Personal (Личные), нажмите кнопку Advanced (Дополнительно), выберите Manual Configuration (Ручная настройка) и затем укажите для параметра Internal Server name or IP address (Внутреннее имя или IP-адрес сервера) полное доменное имя нового директора или пула директоров. 6. Выполните вход на оба клиента и убедитесь, что они успешно подключаются с использованием директора, видят состояние присутствия другого пользователя и могут обмениваться мгновенными сообщениями. Настройка автоматического входа клиентов с использованием директора При развертывании Microsoft Lync Server 2010, директора или пула директоров рекомендуется использовать автоматический вход клиентов. Дополнительные сведения о настройке DNS-серверов для автоматического входа клиентов см. в разделе «Требования к DNS-серверу для автоматического входа клиентов» в документации по планированию. Если автоматический вход клиентов уже настроен, см. следующие разделы, где описывается его настройка для директоров. Один экземпляр директора Если в развертывании уже настроен автоматический вход клиентов, который выполняется через сервер выпуска Standard Edition в пуле серверов переднего плана выпуска Enterprise Edition, необходимо изменить запись DNS SRV, чтобы она указывала на директор. Пул директоров Если в развертывании уже настроен автоматический вход клиентов, который выполняется через сервер выпуска Standard Edition в пуле серверов переднего плана выпуска Enterprise Edition, необходимо изменить запись DNS SRV, чтобы она указывала на пул директоров. Настройка пограничных серверов Основные задачи по настройке пограничных серверов одинаковы при установке одного пограничного сервера или пула пограничных серверов с балансировкой нагрузки за исключением того, что для пула пограничных серверов с аппаратной балансировкой нагрузки требуется развертывание средств балансировки нагрузки и дополнительные действия по репликации конфигурации на нескольких пограничных серверах. Содержание раздела Настройка сетевых интерфейсов для пограничных серверов Установка необходимого программного обеспечения на пограничных серверах 55 Экспорт топологии и ее копирование на внешний носитель для установки пограничного сервера Установка пограничных серверов Настройка сертификатов для пограничных серверов Запуск пограничных серверов Настройка обратных прокси-серверов Настройка сетевых интерфейсов для пограничных серверов Каждый пограничный сервер — это многоинтерфейсный компьютер с внутренним и внешним интерфейсом. DNS-параметры адаптера зависят от наличия DNS-серверов в сети периметра. Если в периметре имеются DNS-серверы, у них должна быть зона, содержащая одну или несколько записей DNS A для сервера или пула следующего перехода (то есть либо для директора, либо для заданного пула серверов переднего плана), а при внешних запросах они направляют запросы имен на другие общедоступные DNS-серверы. Если в периметре нет DNS-серверов, то пограничные серверы используют внешние DNS-серверы для разрешения запросов интернет-имен, и каждый пограничный сервер использует файл HOST для разрешения серверов следующего перехода в IP-адреса. noteDSDOC112778PADS Уведомление о безопасности По соображениям безопасности рекомендуется не разрешать пограничным серверам обращаться к DNS-серверу, расположенному во внутренней сети. Настройка интерфейсов с DNS-серверами в сети периметра 1. Установите два сетевых адаптера для каждого пограничного сервера: один для внутреннего и один для внешнего интерфейса. Важно. Внутренняя и внешняя подсети не должны перенаправлять запросы друг на друга. 2. На внешнем интерфейсе задайте три статических IP-адреса для внешней подсети периметра (также называется «демилитаризованной зоной» и «промежуточной подсетью») и в шлюзе по умолчанию задайте переадресацию на внутренний интерфейс внешнего брандмауэра. В DNS-параметрах адаптера укажите два DNS-сервера периметра. Примечание. Возможно использовать всего один IP-адрес для этого интерфейса, однако для этого необходимо изменить назначения портов на нестандартные 56 значения. Это определяется при создании топологии в Topology Builder. 3. На внутреннем интерфейсе настройте один статический IP-адрес для внутренней подсети периметра и не задавайте шлюз по умолчанию. В DNS-параметрах адаптера укажите по крайней мере один, а лучше два DNS-сервера периметра. 4. На внутреннем интерфейсе создайте постоянные статические маршруты во все внутренние сети, где размещаются клиенты, Lync Server 2010 и серверы единой системы обмена сообщениями Exchange. Настройка интерфейсов без DNS-серверов в сети периметра 1. Установите два сетевых адаптера для каждого пограничного сервера: один для внутреннего и один для внешнего интерфейса. Важно. Внутренняя и внешняя подсети не должны перенаправлять запросы друг на друга. 2. На внешнем интерфейсе задайте три статических IP-адреса для внешней подсети периметра и в шлюзе по умолчанию задайте переадресацию на внутренний интерфейс внешнего брандмауэра. В DNS-параметрах адаптера укажите по крайней мере один, а лучше два внешних DNS-сервера. Примечание. Возможно использовать всего один IP-адрес для этого интерфейса, однако для этого необходимо изменить назначения портов на нестандартные значения. Это определяется при создании топологии в Topology Builder. 3. На внутреннем интерфейсе настройте один статический IP-адрес для внутренней подсети периметра и не задавайте шлюз по умолчанию. Не задавайте DNS-параметры адаптера. 4. На внутреннем интерфейсе создайте постоянные статические маршруты во все внутренние сети, где размещаются клиенты Lync или серверы Lync Server 2010. 5. Измените файл HOST на каждом пограничном сервере, добавив запись для сервера следующего перехода или виртуальный IP-адрес (запись будет соответствовать директору, серверу выпуска Standard Edition или пулу серверов переднего плана, заданным в Topology Builder в качестве адреса следующего перехода для пограничного сервера). При использовании балансировки DNS-нагрузки включите строку для каждого члена пула следующего перехода. 57 Установка необходимого программного обеспечения на пограничных серверах Перед установкой Lync Server 2010 на каждом разворачиваемом пограничном сервере нужно развернуть необходимое программное обеспечение. Сюда также относится установка на сервере соответствующей требованиям операционной системы. Дополнительные сведения о требованиях к системе, включая список поддерживаемых операционных систем, см. в разделе Системные требования к пограничным компонентам. Экспорт топологии и ее копирование на внешний носитель для установки пограничного сервера После публикации топологии мастеру развертывания Lync Server потребуется доступ к данным из центрального хранилища управления, чтобы начать процедуру развертывания на сервере. Во внутренней сети эти данные доступны напрямую с серверов, однако пограничные серверы из внешних доменов не имеют доступа к этим данным. Для организации доступа к данным конфигурации топологии в рамках развертывания пограничных серверов необходимо экспортировать данные топологии в файл и скопировать его на внешний носитель (например, на USB-диск или в общую сетевую папку, доступную с пограничных серверов) перед запуском мастера развертывания Lync Server на пограничном сервере. Выполните следующую процедуру, чтобы сделать данные конфигурации топологии доступными на разворачиваемом пограничном сервере. Примечание. После установки Lync Server 2010 на пограничном сервере управление этим сервером осуществляется во внутренней сети с помощью средств администрирования, которые позволяют автоматически реплицировать конфигурацию на любой пограничный сервер в развертывании. Единственным исключением является назначение и установка сертификатов, а также запуск и остановка служб — эти действия должны выполняться на пограничном сервере. Предоставление доступа к данным топологии на пограничном сервере с помощью командной консоли Lync Server 1. Запустите командную консоль Lync Server. Для этого нажмите кнопку Пуск, выберите Все программы, Microsoft Lync Server 2010 и Командная консоль Lync Server. 2. В командной консоли Lync Server выполните следующий командлет: Export-CsConfiguration -FileName <путь_к_файлу_конфигурации.zip> 3. Скопируйте экспортированный файл на внешний носитель (например, USB-диск 58 или в общую сетевую папку, которая доступна с пограничного сервера во время развертывания). Установка пограничных серверов Lync Server 2010 устанавливается на пограничных серверах с помощью мастера развертывания Lync Server. Запуская мастер развертывания на каждом пограничном сервере, можно выполнить большинство задач, необходимых для настройки пограничного сервера. Перед развертыванием Lync Server 2010 на пограничном сервере необходимо с помощью Topology Builder определить и опубликовать топологию пограничного сервера и экспортировать ее на носитель, доступный с пограничного сервера. Дополнительные сведения см. в разделах «Топологии для доступа внешних пользователей» и Экспорт топологии и ее копирование на внешний носитель для установки пограничного сервера . После установки каждого пограничного сервера с помощью мастера развертывания, установки и назначения необходимых сертификатов и запуска нужных служб можно воспользоваться сведениями из раздела Настройка поддержки доступа внешних пользователей, чтобы включить и настроить доступ внешних пользователей, и сведениями из раздела Проверка развертывания пограничных серверов, чтобы проверить установку, включая подключения сервера и клиента. Установка пограничного сервера 1. Выполните вход на компьютер, на котором планируется установить пограничный сервер, в качестве члена локальной группы администраторов или с учетной записью с эквивалентными правами и разрешениями пользователя. 2. Убедитесь, что файл конфигурации топологии, созданный с помощью Topology Builder, а затем экспортированный и скопированный на внешний носитель, доступен с пограничного сервера (например, подключите к пограничному серверу USB-диск, на который был скопирован файл конфигурации топологии, или проверьте доступ к сетевой общей папке, в которую был скопирован файл). 3. Запустите мастер развертывания. Примечание. Если появится сообщение о необходимости установить распространяемый пакет Microsoft Visual C++ 2008, нажмите кнопку Yes (Да). В следующем диалоговом окне примите значение Installation Location (Местоположение установки) по умолчанию или нажмите кнопку Browse (Обзор), чтобы выбрать другое расположение, а затем нажмите кнопку Install 59 )Установить). В следующем диалоговом окне установите флажок I accept the terms in the license agreement (Я принимаю условия лицензионного соглашения) и нажмите кнопку OK. 4. В мастере развертывания выберите Install or Update Lync Server System (Установить или обновить Lync Server). 5. После того, как мастер определит состояние развертывания, рядом с пунктом Step 1. Install Local Configuration Store (Шаг 1. Установка локального хранилища конфигураций) нажмите кнопку Run (Выполнить) и выполните следующие действия. В диалоговом окне Configure Local Replica of Central Management Store (Настройка локальной реплики центрального хранилища управления) выберите Import from a file (Recommended for Edge Servers) (Импортировать из файла (рекомендуется для пограничных серверов)), перейдите в расположение файла с экспортированной конфигурацией топологии, выберите ZIP-файл, нажмите кнопку Open (Открыть) и кнопку Next (Далее). Мастер развертывания прочитает данные конфигурации из файла и создаст XML-файл конфигурации на локальном компьютере. По окончании процесса Executing Commands (Выполнение команд) нажмите кнопку Finish (Готово). 6. В мастере развертывания выберите Step 2: SetUp or Remove Lync Server Components (Шаг 2. Установка или удаление компонентов Lync Server), чтобы установить пограничные компоненты Lync Server, указанные в XML-файле конфигурации на локальном компьютере. 7. После окончания установки перед запуском служб воспользуйтесь сведениями из раздела Настройка сертификатов для пограничных серверов, чтобы установить и назначить необходимые сертификаты. Настройка сертификатов для пограничных серверов При установке пограничного сервера нужно запросить, установить и назначить необходимые сертификаты для внутренних и внешних интерфейсов. Содержание раздела Требования к сертификатам для доступа внешних пользователей 60 Настройка сертификатов для внутреннего пограничного интерфейса Настройка сертификатов для внешнего пограничного интерфейса Настройка сертификатов для обратного прокси-сервера Требования к сертификатам для доступа внешних пользователей Коммуникационное программное обеспечение Microsoft Lync Server 2010 поддерживает использование одного общего сертификата для внешних пограничных интерфейсов доступа и веб-конференций, а также для службы проверки подлинности аудио- и видеотрансляций. Для внутреннего пограничного интерфейса обычно используется закрытый сертификат, выданный внутренним центром сертификации, однако также можно использовать общий сертификат, если он получен из доверенного общедоступного центра сертификации. Для обратного прокси-сервера в развертывании используется общий сертификат, весь трафик от обратного прокси-сервера к клиентам и внутренним серверам шифруется с помощью HTTP (то есть, используется шифрование TLS по HTTP). Ниже приведены требования к общему сертификату, который используется для внешних пограничных интерфейсов доступа и веб-конференций, а также службы проверки подлинности аудио- и видеотрансляций. Сертификат должен быть выдан утвержденным общедоступным центром сертификации, который поддерживает дополнительные имена субъекта. Дополнительные сведения см. в статье базы знаний Microsoft №929395, «Партнеры по сертификации единой системы связи для Exchange 2007 и Communications Server 2007» по адресу http://go.microsoft.com/fwlink/?LinkId=202834&clcid=0x419. Если сертификат будет использоваться в пуле пограничных серверов, он должен допускать экспорт, в этом случае на каждом пограничном сервере в пуле будет использоваться один сертификат. Требование к возможности экспорта закрытого ключа действует для того, чтобы служба проверки подлинности аудио- и видеотрансляций могла использовать один закрытый ключ на всех пограничных серверах в пуле. Именем субъекта сертификата является полное доменное имя внешнего пограничного интерфейса доступа или виртуальный IP-адрес аппаратного средства балансировки нагрузки (например, access.contoso.com). Примечание. Это требование не является обязательным в Lync Server 2010, однако его рекомендуется выполнять для совместимости с Office Communications Server. 61 Список дополнительных имен субъекта содержит полные доменные имена следующих компонентов. Внешний пограничный интерфейс доступа или виртуальный IP-адрес аппаратного средства балансировки нагрузки (например, access.contoso.com). Примечание. Несмотря на то, что имя субъекта сертификата эквивалентно полному доменному имени пограничного интерфейса доступа, дополнительное имя сертификата также должно содержать полное доменное имя пограничного интерфейса доступа, поскольку протокол TLS игнорирует имя субъекта и для проверки использует дополнительные имена субъекта Внешний пограничный интерфейс веб-конференций или виртуальный IP-адрес аппаратного средства балансировки нагрузки (например, webcon.contoso.com). Если используется автоматическая настройка клиента или федерация, также необходимо включить все полные доменные имена домена SIP, используемые в компании (например, sip.contoso.com, sip.fabrikam.com). Служба проверки подлинности аудио- и видеотрансляций не использует имя субъекта или дополнительные имена субъекта. Примечание. Порядок следования полных доменных имен в списке дополнительных имен субъекта значения не имеет. При развертывании на сайте нескольких пограничных серверов с балансировкой нагрузки сертификаты службы проверки подлинности аудио- и видеотрансляций, установленные на каждом пограничном сервере, должны быть выданы одним центром сертификации, и у них должен быть одинаковый закрытый ключ. Имейте в виду, что закрытый ключ сертификата должен допускать экспорт, независимо от того, используется ли он на одном или на нескольких пограничных серверах. Он также должен допускать экспорт, если сертификат запрашивается с любого компьютера, отличного от пограничного сервера. Поскольку служба проверки подлинности аудио- и видеотрансляций не использует имя субъекта или дополнительное имя субъекта, пограничный сертификат доступа можно использовать любое число раз, если выполняются требования к имени субъекта и дополнительному имени субъекта для пограничного интерфейса доступа и веб-конференций, и закрытый ключ сертификата допускает экспорт. Для закрытого (или общего) сертификата, используемого для внутреннего пограничного интерфейса, действуют следующие требования. 62 Сертификат может быть выдан внутренним центром сертификации или утвержденным общедоступным центром сертификации. Имя субъекта сертификата обычно является полным доменным именем внутреннего пограничного интерфейса или виртуальным IP-адресом аппаратного средства балансировки нагрузки (например, lsedge.contoso.com). Тем не менее для внутреннего пограничного интерфейса можно использовать групповой сертификат. Список дополнительных имен субъекта не требуется. Обратный прокси-сервер в развертывании направляет следующие запросы: доступ внешнего пользователя к содержимому собрания для собраний; доступ внешнего пользователя для расширения и отображения списка членов групп рассылки; доступ внешнего пользователя к загружаемым файлам из службы адресной книги; доступ внешнего пользователя к клиенту веб-приложения Lync Web App; доступ внешнего пользователя к веб-странице параметров конференц-связи с телефонным подключением; доступ внешнего пользователя к службе сведений о местоположении; доступ внешнего пользователя к службе обновления устройств и получению обновлений. Обратный прокси-сервер публикует URL-адреса веб-компонентов внутреннего сервера. URL-адреса веб-компонентов определяются на директоре, сервере переднего плана или пуле серверов переднего плана в качестве External web services (Внешних веб-служб) в Topology Builder. В поле дополнительного имени субъекта сертификата, назначенного обратному прокси-серверу, допускается использование записей с подстановочными знаками. Дополнительные сведения о настройке запросов сертификатов для обратного прокси-сервера см. в разделе Запрос и настройка сертификата для обратного прокси-сервера HTTP. Настройка сертификатов для внутреннего пограничного интерфейса На внутреннем интерфейсе каждого пограничного сервера требуется один сертификат. Сертификаты для внутреннего интерфейса могут выдаваться внутренним центром сертификации предприятия или общедоступным центром сертификации. Если в организации развернут внутренний центр сертификации, можно сэкономить на 63 использовании общих сертификатов за счет создания сертификатов для внутреннего интерфейса во внутреннем центре сертификации. Для создания таких сертификатов можно использовать внутренний центр сертификации Windows Server 2008 или Windows Server 2008 R2. Дополнительные сведения об этом и других требованиях к сертификатам см. в разделе Требования к сертификатам для доступа внешних пользователей. Для настройки сертификатов на внутреннем пограничном интерфейсе на сайте воспользуйтесь процедурами из данного раздела и выполните следующие действия. 1. Загрузите цепочку сертификатов центра сертификации для внутреннего интерфейса на каждом пограничном сервере. 2. Импортируйте цепочку сертификатов центра сертификации для внутреннего интерфейса на каждом пограничном сервере. 3. Создайте запрос сертификата для внутреннего интерфейса на пограничном сервере, который является первым пограничным сервером. 4. Импортируйте сертификат для внутреннего интерфейса на первом пограничном сервере. 5. Импортируйте сертификаты на другие пограничные серверы на этом сайте (или развернутые в зоне данного средства балансировки нагрузки). 6. Назначьте сертификат для внутреннего интерфейса на каждом пограничном сервере. При наличии более одного сайта с пограничными серверами (пограничная топология с несколькими сайтами) или нескольких наборов пограничных серверов, развернутых в зонах разных средств балансировки нагрузки, необходимо выполнить следующие действия для каждого сайта с пограничными серверами и для каждого набора пограничных серверов, развернутых в зоне разных средств балансировки нагрузки. Примечания. В действиях из данного раздела для создания сертификата для каждого пограничного сервера используется центр сертификации Windows Server 2008 Enterprise или Windows Server 2008 R2 CA. Пошаговые инструкции по использованию других центров сертификации см. в соответствующей документации. По умолчанию все прошедшие проверку пользователи имеют достаточные права для запроса сертификатов. Процедуры из этого раздела подразумевают создание запросов сертификатов на пограничном сервере в рамках процесса развертывания такого сервера. Создавать запросы сертификатов можно и с помощью сервера переднего плана. Это можно делать 64 для запроса сертификатов на ранних стадиях процесса планирования и развертывания до начала развертывания пограничных серверов. В этом случае необходимо убедиться, что запрашиваемый сертификат можно экспортировать. В процедурах из этого раздела описывается использование CER-файла для сертификата. При использовании файла другого типа измените эти процедуры соответствующим образом. Загрузка цепочки сертификатов центра сертификации для внутреннего интерфейса 1. Выполните вход на сервер Lync Server 2010 во внутренней сети (не связанной с пограничным сервером) с учетной записью, принадлежащей группе Администраторы. 2. Нажмите кнопку Пуск, выберите пункт Выполнить и введите в командной строке следующую команду: https://<имя сервера центра сертификации>/certsrv Примечание. При использовании центра сертификации Windows Server 2008 или Windows Server 2008 R2 Enterprise необходимо использовать https, а не http. 3. На веб-странице сервера центра сертификации в области Выбор задачи выберите Загрузка сертификата ЦС, цепочки сертификатов или CRL. 4. В окне Загрузка сертификата ЦС, цепочки сертификатов или CRL нажмите кнопку Загрузка цепочки сертификатов ЦС. 5. В диалоговом окне Загрузка файла нажмите кнопку Сохранить. 6. Сохраните P7B-файл на жестком диске на сервере и затем скопируйте его в папку на каждом пограничном сервере. Примечание. P7B-файл содержит все сертификаты, находящиеся в пути сертификации. Чтобы просмотреть путь сертификации, откройте сертификат сервера и выберите путь сертификации. Импорт цепочки сертификатов центра сертификации для внутреннего интерфейса 1. На каждом пограничном сервере откройте консоль управления (MMC). Для этого нажмите кнопку Пуск, выберите пункт Выполнить, в поле Открыть введите mmc и 65 нажмите кнопку OK. 2. В меню Консоль выберите Добавить или удалить оснастку и затем нажмите кнопку Добавить. 3. В списке Добавить изолированную оснастку выберите Сертификаты и нажмите кнопку Добавить. 4. В диалоговом окне Оснастка диспетчера сертификатов выберите учетной записи компьютера и нажмите кнопку Далее. 5. В диалоговом окне Выбор компьютера установите флажок локальным компьютером: (тем, на котором выполняется эта консоль) и нажмите кнопку Готово. 6. Нажмите кнопку Закрыть и затем кнопку OK. 7. В дереве консоли разверните узел Сертификаты (локальный компьютер), щелкните правой кнопкой мыши Доверенные корневые центры сертификации, укажите пункт Все задачи и выберите Импорт. 8. В мастере в поле Имя файла укажите имя файла сертификата (имя, указанное во время загрузки цепочки сертификатов центра сертификации для внутреннего интерфейса в предыдущей процедуре). 9. Повторите эту процедуру для каждого пограничного сервера. Создание запроса сертификата для внутреннего интерфейса 1. На одном из пограничных серверов запустите мастер развертывания и рядом с пунктом Step 3: Request, Install, or Assign Certificates (Шаг 3. Запрос, установка и назначение сертификатов) нажмите кнопку Run (Выполнить). Примечания. Если в одном расположении в пуле имеется несколько пограничных серверов, можно запустить мастер создания сертификатов на любом из пограничных серверов. После выполнения шага 3 в первый раз название кнопки поменяется на Run again (Выполнить снова), а зеленый флажок, указывающий на успешное выполнение задачи, появится только после того, как будут запрошены, установлены и назначены все необходимые сертификаты. 2. На странице Available Certificate Tasks (Доступные задачи для сертификатов) 66 нажмите кнопку Create a new certificate request (Создать новый запрос сертификата). 3. На странице Certificate Request (Запрос сертификата) нажмите кнопку Next (Далее). 4. На странице Delayed or Immediate Requests (Отложенные или срочные запросы) нажмите кнопку Prepare the request now, but send it later (Подготовить запрос, но отправить его позднее). 5. На странице Certificate Request File (Файл запроса сертификата) введите полный путь и имя файла, в котором будет сохранен запрос (например, c:\cert_internal_edge.cer). 6. На странице Specify Alternate Certificate Template (Дополнительный шаблон сертификата) для использования шаблона отличного от шаблона веб-сервера по умолчанию установите флажок Use alternative certificate template for the selected Certificate Authority (Использовать дополнительный шаблон сертификата для выбранного центра сертификации). 7. На странице Name and Security Settings (Параметры имени и безопасности) выполните следующие действия: В поле Friendly name (Понятное имя) введите отображаемое имя для сертификата (например «Внутренний пограничный сервер»). В поле Bit length (Длина в битах) укажите длину в битах (обычно по умолчанию она равна 2048). Примечание. Большая длина в битах обеспечивает большую безопасность, но негативно сказывается на скорости. Если сертификат потребуется экспортировать, установите флажок Mark certificate private key as exportable (Сделать закрытый ключ сертификата экспортируемым). 8. На странице Organization Information (Сведения об организации) введите название организации и подразделения (например отдела или сектора). 9. На странице Geographical Information (Сведения о местоположении) укажите сведения о местоположении. 10. На странице Subject Name/Subject Alternate Names (Имя субъекта/Дополнительные имена субъекта) отображаются данные, которые будут 67 использоваться мастером. 11. На странице Configure Additional Subject Alternative Names (Настройка других дополнительных имен субъекта) укажите другие необходимые дополнительные имена субъекта. 12. На странице Request Summary (Сводка по запросу) проверьте сведения о сертификате, которые будут использованы для формирования запроса. 13. После выполнения команд выполните следующие действия. Для просмотра журнала по запросу сертификата нажмите кнопку View Log (Просмотр журнала). Чтобы завершить запрос сертификата, нажмите кнопку Next (Далее). 14. На странице Certificate Request File (Файл запроса сертификата) выполните следующие действия. Для просмотра созданного файла запроса подписи сертификата нажмите кнопку View (Просмотреть). Чтобы закрыть мастер, нажмите кнопку Finish (Готово). 15. Отправьте этот файл в свой центр сертификации (по электронной почте или другим способом, который поддерживается в организации для центра сертификации предприятия) и после получения файла ответа, скопируйте новый сертификат на этот компьютер, чтобы его можно было импортировать. Импорт сертификата для внутреннего интерфейса 1. Выполните вход на пограничный сервер, на котором был создан запрос сертификата, от имени члена локальной группы администраторов. 2. В мастере развертывания Lync Server рядом с пунктом Step 3: Request, Install, or Assign Certificates (Шаг 3. Запрос, установка и назначение сертификатов) нажмите кнопку Run again (Выполнить снова). После выполнения шага 3 в первый раз название кнопки поменяется на Run again (Выполнить снова), а зеленый флажок, указывающий на успешное выполнение задачи, появится только после того, как будут запрошены, установлены и назначены все необходимые сертификаты. 3. На странице Available Certificate Tasks (Доступные задачи для сертификатов) 68 нажмите кнопку Import a certificate from a .P7b, .pfx or .cer file (Импортировать сертификат из P7b-, PFX- или CER-файла). 4. На странице Import Certificate (Импорт сертификата) введите полный путь и имя файла запрошенного сертификата, полученного для внутреннего интерфейса данного пограничного сервера (или нажмите кнопку Browse (Обзор), чтобы найти этот файл). 5. Если импортируются сертификаты для других элементов пула и они содержат закрытый ключ, установите флажок Certificate file contains certifcate’s private key (Файл сертификата содержит закрытый ключ сертификата) и укажите пароль. Экспорт сертификата с закрытым ключом для пограничных серверов в пуле 1. Выполните вход от имени члена группы администраторов на тот же пограничный сервер, на который был импортирован сертификат, . 2. Нажмите кнопку Пуск, выберите пункт Выполнить и введите MMC. 3. В консоли управления (MMC) в меню Консоль выберите пункт Добавить или удалить оснастку. 4. На странице «Добавление и удаление оснастки» выберите Сертификаты и нажмите кнопку Добавить. 5. В оснастке «Сертификаты» выберите учетной записи компьютера. Нажмите кнопку Далее. В окне «Выбор компьютера» выберите локальным компьютером (тем, на котором выполняется эта консоль). Нажмите кнопку Готово. Нажмите кнопку OK, чтобы завершить настройку консоли управления (MMC). 6. Дважды щелкните Сертификаты (локальный компьютер), чтобы развернуть хранилища сертификатов. Дважды щелкните Личные и затем дважды щелкните Сертификаты. Важно. Если в хранилище сертификатов «Личные» для локального компьютера нет сертификатов, это значит, что с импортированным сертификатом не связан закрытый ключ. Проверьте запрос и действия импорта. Если проблема сохраняется, обратитесь к администратору центра сертификации или поставщику сертификата. 7. В хранилище сертификатов «Личные» для локального компьютера щелкните правой кнопкой мыши экспортируемый сертификат. Выберите Все задачи и затем 69 Экспорт. 8. В мастере экспорта сертификатов нажмите кнопку Далее. Выберите Да, экспортировать закрытый ключ. Нажмите кнопку Далее. Примечание. Если параметр Да, экспортировать закрытый ключ недоступен, значит, закрытый ключ, связанный с этим сертификатом, не был отмечен для экспорта. В этом случае потребуется запросить сертификат снова, убедившись, что для сертификата разрешен экспорт закрытого ключа. Обратитесь к администратору центра сертификации или поставщику сертификатов. 9. В диалоговом окне «Форматы файла экспорта» выберите Файл обмена личной информацией – PKCS#12 (.PFX) и выберите следующие параметры: Включить по возможности все сертификаты в путь сертификата Экспортировать все расширенные свойства Предупреждение. При экспорте сертификата с пограничного сервера не выбирайте параметр Удалить закрытый ключ после успешного экспорта. При выборе этого параметра сертификат и закрытый ключ необходимо будет импортировать на этот пограничный сервер. Для продолжения нажмите кнопку Далее. 10. Введите пароль для закрытого ключа. Подтвердите пароль. Нажмите кнопку Далее. 11. Введите путь и имя файла для экспортированного сертификата, используя расширение PFX. Этот путь должен быть доступен для всех других пограничных серверов в пуле либо он должен указывать на съемный носитель, например USB-диск. Нажмите кнопку Далее. 12. Просмотрите сводку в диалоговом окне завершения мастера экспорта сертификатов. Нажмите кнопку Готово. 13. Нажмите кнопку OK в диалоговом окне успешного завершения. 14. Импортируйте файл экспортированного сертификата на другие пограничные серверы, выполнив действия из раздела Настройка сертификатов для внешнего пограничного интерфейса. 70 Назначение внутреннего сертификата пограничным серверам 1. В мастере развертывания на каждом пограничном сервере рядом с пунктом Step 3: Request, Install, or Assign Certificates (Шаг 3. Запрос, установка и назначение сертификатов) нажмите кнопку Run again (Выполнить снова). 2. На странице Available Certificate Tasks (Доступные задачи для сертификатов) нажмите кнопку Assign an existing certificate (Назначить имеющийся сертификат). 3. На странице Certificate Assignment (Назначение сертификата) выберите в списке Edge Internal (Внутренний интерфейс пограничного сервера). 4. На странице Certificate Store (Хранилище сертификатов) выберите сертификат, импортированный для внутреннего интерфейса пограничного сервера (из предыдущей процедуры). 5. На странице Certificate Assignment Summary (Сводка по назначению сертификата) проверьте параметры и нажмите кнопку Next (Далее), чтобы назначить сертификаты. 6. На странице завершения работы мастера нажмите кнопку Finish (Готово). 7. После завершения этой процедуры для назначения сертификата внутреннего интерфейса пограничного сервера откройте оснастку «Сертификаты» на каждом сервере, разверните узел Сертификаты (локальный компьютер, разверните узел Личные, выберите Сертификаты и убедитесь, что в области сведений указан сертификат внутреннего интерфейса пограничного сервера. 8. Если в развертывании имеется несколько пограничных серверов, повторите эту процедуру для каждого сервера. Настройка сертификатов для внешнего пограничного интерфейса Для каждого пограничного сервера необходим общий сертификат на интерфейсе между сетью периметра и Интернетом, и дополнительное имя субъекта сертификата должно содержать внешние имена пограничной службы доступа и полные доменные имена пограничной службы веб-конференций. Дополнительные сведения об этом и других требованиях к сертификатам см. в разделе Требования к сертификатам для доступа внешних пользователей. Список общедоступных центров сертификации, предоставляющих сертификаты, соответствующие особым требованиям к системам объединенных коммуникаций, 71 и гарантирующих поддержку таких сертификатов в мастере сертификатов Lync Server, см. В статье базы знаний Майкрософт №929395, «Партнеры по сертификации единой системы связи для Exchange Server и Communications Server» по адресу http://go.microsoft.com/fwlink/?LinkId=202834&clcid=0x419. Настройка сертификатов на внешних интерфейсах Для настройки сертификата на внешнем пограничном интерфейсе на сайте воспользуйтесь процедурами из данного раздела и выполните следующие действия. Создайте запрос сертификата для внешнего интерфейса на пограничном сервере. Отправьте запрос в свой общедоступный центр сертификации. Импортируйте сертификат для внешнего интерфейса на каждом пограничном сервере. Назначьте сертификат для внешнего интерфейса на каждом пограничном сервере. Если в развертывании имеется несколько пограничных серверов, экспортируйте сертификат вместе с его закрытым ключом, а затем скопируйте его на другие пограничные серверы. Затем на каждом пограничном сервере импортируйте его и назначьте в соответствии с процедурой выше. Повторите эту процедуру для каждого пограничного сервера. Запрашивать общие сертификаты можно напрямую из общедоступных центров сертификации (например, с веб-сайта). В процедурах этого раздела для большинства задач, связанных с сертификатами, используется мастер создания сертификатов. Если сертификат был запрошен напрямую из общедоступного центра сертификации, потребуется соответствующим образом изменить каждую процедуру запроса, транспорта и импорта сертификата и импорта цепочки сертификатов. При запросе сертификата из внешнего центра сертификации предоставленные учетные данные должны иметь права на запрос сертификата из такого центра сертификации. Каждый центр сертификации имеет свою политику безопасности, которая определяет какие учетные данные (конкретные имена пользователя и группы) позволяют запрашивать, выдавать, управлять и считывать сертификаты. Если для импорта цепочки сертификатов и сертификата используется оснастка «Сертификаты» консоли управления (MMC), их необходимо импортировать в хранилище сертификатов для компьютера. Если их импортировать в хранилище сертификатов для пользователя или службы, то сертификат будет недоступен для назначения в мастере создания сертификатов Lync Server. 72 Создание запроса сертификата для внешнего интерфейса на пограничном сервере 1. В мастере развертывания на пограничном сервере рядом с пунктом Step 3: Request, Install, or Assign Certificates (Шаг 3. Запрос, установка и назначение сертификатов) нажмите кнопку Run again (Выполнить снова). Примечания. Если в организации нужно поддерживать общедоступную службу обмена мгновенными сообщениями AOL, использовать мастер развертывания Lync Server для запроса сертификата нельзя. Вместо этого нужно выполнить действия из процедуры «Создание запроса сертификата для внешнего интерфейса на пограничном сервере с целью поддержки общедоступной службы обмена мгновенными сообщениями AOL» далее в этом разделе. Если в одном расположении в пуле имеется несколько пограничных серверов, можно запустить мастер создания сертификатов Lync Server на любом из пограничных серверов. 2. На странице Available Certificate Tasks (Доступные задачи для сертификатов) нажмите кнопку Create a new certificate request (Создать новый запрос сертификата). 3. На странице Certificate Request (Запрос сертификата) нажмите кнопку External Edge Certificate (Сертификат внешнего интерфейса пограничного сервера). 4. На странице Delayed or Immediate Requests (Отложенные или срочные запросы) нажмите кнопку Prepare the request now, but send it later (Подготовить запрос, но отправить его позднее). 5. На странице Certificate Request File (Файл запроса сертификата) введите полный путь и имя файла, в котором будет сохранен запрос (например, c:\cert_exernal_edge.cer). 6. На странице Specify Alternate Certificate Template (Дополнительный шаблон сертификата) для использования шаблона отличного от шаблона WebServer по умолчанию установите флажок Use alternative certificate template for the selected Certificate Authority (Использовать дополнительный шаблон сертификата для выбранного центра сертификации). 7. На странице Name and Security Settings (Параметры имени и безопасности) выполните следующие действия: В поле Friendly name (Понятное имя) введите отображаемое имя для сертификата. 73 В поле Bit length (Длина в битах) укажите длину в битах (обычно по умолчанию она равна 2048). Убедитесь, что установлен флажок Mark certificate private key as exportable (Сделать закрытый ключ сертификата экспортируемым). 8. На странице Organization Information (Сведения об организации) введите название организации и подразделения (например отдела или сектора). 9. На странице Geographical Information (Сведения о местоположении) укажите сведения о местоположении. 10. На странице Subject Name/Subject Alternate Names (Имя субъекта/Дополнительные имена субъекта) отображаются данные, которые будут использоваться мастером. Если требуются дополнительные имена субъекта, указать их можно на следующих двух шагах. 11. На странице SIP Domain Setting on Subject Alternate Names (SANs) (Настройка дополнительных имен субъекта в домене SIP) установите флажок для домена, чтобы добавить запись.<домен_SIP> в список дополнительных имен субъекта. 12. На странице Configure Additional Subject Alternative Names (Настройка других дополнительных имен субъекта) укажите другие необходимые дополнительные имена субъекта. 13. На странице Request Summary (Сводка по запросу) просмотрите сведения о сертификате, которые будут использованы для формирования запроса. 14. После завершения команд выполните следующие действия. Для просмотра журнала по запросу сертификата нажмите кнопку View Log (Просмотр журнала). Чтобы завершить запрос сертификата, нажмите кнопку Next (Далее). 15. На странице Certificate Request File (Файл запроса сертификата) выполните следующие действия. Для просмотра созданного файла запроса подписи сертификата нажмите кнопку View (Просмотреть). Чтобы закрыть мастер, нажмите кнопку Готово. 16. Скопируйте выходной файл в место, откуда его можно направить в общедоступный 74 центр сертификации. Создание запроса сертификата для внешнего интерфейса на пограничном сервере с целью поддержки общедоступной службы обмена мгновенными сообщениями AOL 1. Если центру сертификации доступен необходимый шаблон, выполните следующий командлет Windows PowerShell на пограничном сервере, чтобы запросить сертификат: Request-CsCertificate –New -Type AccessEdgeExternal –Output C:\ <имя_файла_сертификата.txt или имя_файла_сертификата.csr> – ClientEku $true –Template <имя_шаблона> По умолчанию именем сертификата шаблона в Lync Server 2010 является «Веб-сервер». Если нужно использовать шаблон, отличный от шаблона по умолчанию, укажите <имя_шаблона>. Примечание. Если в организации нужно поддерживать общедоступный обмен мгновенными сообщениями с пользователями AOL, то для запроса сертификата, который будет назначен внешнему интерфейсу пограничного сервера для пограничной службы доступа, вместо мастера создания сертификатов необходимо использовать Windows PowerShell. Это обусловлено тем, что шаблон веб-сервера в Lync Server 2010, который используется мастером создания сертификатов для запроса сертификата, не поддерживает расширенное использование ключа на клиенте. Перед использованием Windows PowerShell для создания сертификата администратор центра сертификации должен создать и развернуть новый шаблон, который поддерживает расширенное использование ключа на клиенте. Отправка запроса в общедоступный центр сертификации 1. Откройте выходной файл. 2. Скопируйте и вставьте содержимое запроса подписи сертификата. 3. При появлении запроса укажите следующие данные: Microsoft в качестве платформы сервера. IIS в качестве версии. 75 Веб-сервер в качестве типа использования. PKCS7 в качестве ответного формата. 4. После проверки указанных данных общедоступным центром сертификации будет возвращено сообщение электронной почты с текстом, необходимым для сертификата. 5. Скопируйте текст из этого сообщения и сохраните его в текстовом файле на локальном компьютере. Импорт сертификата для внешнего интерфейса на пограничном сервере 1. Выполните вход от имени члена группы администраторов на тот же пограничный сервер, на котором был создан запрос сертификата. 2. В мастере развертывания на странице Deploy Edge Server (Развертывание пограничного сервера) рядом с пунктом Step 3: Request, Install, or Assign Certificates (Шаг 3. Запрос, установка и назначение сертификатов) нажмите кнопку Run again (Выполнить снова). 3. На странице Available Certificate Tasks (Доступные задачи для сертификатов) нажмите кнопку Import a certificate from a .P7b, .pfx or .cer file (Импортировать сертификат из P7b-, PFX- или CER-файла). 4. На странице Import Certificate (Импорт сертификата) нажмите кнопку Browse (Обзор), чтобы найти запрошенный сертификат для внутреннего интерфейса пограничного сервера (или введите полный путь и имя сертификата). Если сертификат содержит закрытый ключ, выберите Certificate file contains certificate’s private key (Файл сертификата содержит закрытый ключ сертификата) и укажите пароль для закрытого ключа. Нажмите кнопку Next (Далее). 5. На странице Import Certificate Summary (Сводка по импорту сертификата) проверьте сведения и нажмите кнопку Next (Далее). 6. На странице Executing Commands (Выполнение команд) проверьте результаты импорта, при необходимости нажмите кнопку View Log (Просмотр журнала) для получения дополнительных данных, а затем нажмите кнопку Finish (Готово), чтобы завершить импорт сертификата. 7. При настройке пула пограничных серверов экспортируйте сертификат вместе с его закрытым ключом, как описано в процедуре «Экспорт сертификата с закрытым ключом для пограничных серверов в пуле» далее в этом разделе. Скопируйте файл 76 экспортированного сертификата на другие пограничные серверы и импортируйте его в хранилище для компьютера на каждом пограничном сервере. Экспорт сертификата с закрытым ключом для пограничных серверов в пуле 1. Выполните вход от имени члена группы администраторов на тот же пограничный сервер, на который был импортирован сертификат, . 2. Нажмите кнопку Пуск, выберите пункт Выполнить и введите MMC. 3. В консоли управления (MMC) в меню Консоль выберите пункт Добавить или удалить оснастку. 4. В окне Добавить или удалить оснастку выберите Сертификаты и нажмите кнопку Добавить. 5. В диалоговом окне Сертификаты выберите учетной записи компьютера, нажмите кнопку Далее, на странице Выбор компьютера выберите локальным компьютером (тем, на котором выполняется эта консоль, нажмите кнопку Готово и затем кнопку OK, чтобы завершить настройку консоли MMC. 6. Дважды щелкните Сертификаты (локальный компьютер), чтобы развернуть хранилища сертификатов, затем дважды щелкните узел Личные и дважды щелкните Сертификаты. Важно. Если в хранилище сертификатов «Личные» для локального компьютера нет сертификатов, это значит, что с импортированным сертификатом не связан закрытый ключ. Проверьте запрос и действия импорта. Если проблема сохраняется, обратитесь к администратору центра сертификации или поставщику сертификата. 7. В хранилище сертификатов «Личные» для локального компьютера щелкните правой кнопкой мыши экспортируемый сертификат, выберите Все задачи и выберите пункт Экспорт. 8. В мастере экспорта сертификатов нажмите кнопку Далее, выберите параметр Да, экспортировать закрытый ключ и нажмите кнопку Далее. Примечание. Если параметр Да, экспортировать закрытый ключ недоступен, значит, закрытый ключ, связанный с этим сертификатом, не был отмечен для экспорта. В этом случае потребуется запросить сертификат снова, 77 убедившись, что для сертификата разрешен экспорт закрытого ключа. Обратитесь к администратору центра сертификации или поставщику сертификатов. 9. В диалоговом окне «Форматы файла экспорта» выберите Файл обмена личной информацией – PKCS#12 (.PFX) и выберите следующие параметры: Включить по возможности все сертификаты в путь сертификата Экспортировать все расширенные свойства Предупреждение. При экспорте сертификата с пограничного сервера не выбирайте параметр Удалить закрытый ключ после успешного экспорта. При выборе этого параметра сертификат и закрытый ключ необходимо будет импортировать на этот пограничный сервер. 10. Нажмите кнопку Далее. 11. Введите пароль для закрытого ключа, подтвердите его еще раз и нажмите кнопку Далее. 12. Введите путь и имя файла для экспортированного сертификата, используя расширение PFX. Этот путь должен быть доступен для всех других пограничных серверов в пуле либо он должен указывать на съемный носитель, например USB-диск. Нажмите кнопку Далее. 13. Проверьте сводные данные на странице Завершение мастера экспорта сертификатов и нажмите кнопку Готово. 14. В диалоговом окне успешного экспорта нажмите кнопку OK. 15. Импортируйте файл экспортированного сертификата на другие пограничные серверы, выполнив действия процедуры «Импорт сертификата для внешнего интерфейса на пограничном сервере» выше в этом разделе. Назначение сертификата для внешнего интерфейса на пограничном сервере 1. В мастере развертывания на каждом пограничном сервере рядом с пунктом Step 3: Request, Install, or Assign Certificates (Шаг 3. Запрос, установка и назначение сертификатов) нажмите кнопку Run again (Выполнить снова). 2. На странице Available Certificate Tasks (Доступные задачи для сертификатов) 78 нажмите кнопку Assign an existing certificate (Назначить имеющийся сертификат). 3. На странице Certificate Assignment (Назначение сертификатов) выберите External Edge Certificate (Сертификат внешнего интерфейса пограничного сервера) и установите флажок Advanced Certificate Usages (Дополнительные варианты использования сертификата). 4. На странице Advanced Certificate Usages (Дополнительные варианты использования сертификата) установите все флажки, чтобы назначить сертификат для всех вариантов использования. 5. На странице Certificate Store (Хранилище сертификатов) выберите общий сертификат, запрошенный и импортированный для внешнего интерфейса пограничного сервера. Примечание. Запрошенный и импортированный сертификат может отсутствовать в списке. Один из способов решить такую проблему — это проверить, соответствуют ли имя субъекта и дополнительные имена субъекта сертификата всем требованиям, а если сертификат и цепочка сертификатов были импортированы вручную вместо использования вышеописанных процедур — проверить, находится ли сертификат в правильном хранилище сертификатов (хранилище сертификатов для компьютера, а не для пользователя или службы). 6. На странице Certificate Assignment Summary (Сводка по назначению сертификата) проверьте параметры и нажмите кнопку Next (Далее), чтобы назначить сертификаты. 7. На странице завершения работы мастера нажмите кнопку Finish (Готово). 8. После завершения этой процедуры для назначения сертификата пограничному серверу откройте оснастку «Сертификаты» на каждом сервере, разверните узел Сертификаты (локальный компьютер, разверните узел Личные, выберите Сертификаты и убедитесь, что сертификат присутствует в области сведений. 9. Если в развертывании имеется несколько пограничных серверов, повторите эту процедуру для каждого сервера. 79 Настройка сертификатов для обратного прокси-сервера Для каждого обратного прокси-сервера требуется сертификат веб-сервера, который будет использоваться прослушивающей службой. Сертификат веб-сервера должен быть выдан общедоступным центром сертификации. Дополнительные сведения об этом и других требованиях к сертификатам см. в разделе Требования к сертификатам для доступа внешних пользователей. Установка сертификата веб-служб для обратного прокси-сервера Обратный прокси-сервер, а также сертификат веб-служб уже должны быть установлены. Если это не было сделано перед развертыванием пограничных серверов, воспользуйтесь процедурами из раздела Настройка обратных прокси-серверов, чтобы создать запрос и установить сертификат веб-служб, а затем создайте все правила веб-публикации и настройте в них использование этого сертификата. Запуск пограничных серверов После завершения настройки пограничных серверов и средств балансировки нагрузки необходимо запустить службы на каждом пограничном сервере. Запуск служб 1. В мастере развертывания на каждом пограничном сервере рядом с пунктом Step 4: Start Services (Шаг 4. Запуск служб) нажмите кнопку Run (Выполнить). 2. На странице Start Lync Server 2010 Services (Запуск служб Lync Server 2010) просмотрите список служб и нажмите кнопку Next (Далее), чтобы запустить их. 3. После запуска служб нажмите кнопку Finish (Готово), чтобы закрыть мастер. 4. Под пунктом Step 4: Start Services (Шаг 4. Запуск служб) выберите Services Status (Optional) (Состояние служб (необязательно)). 5. В оснастке Службы консоли управления (MMC) на сервере убедитесь, что запущены все службы Lync Server 2010. Настройка обратных прокси-серверов В развертываниях пограничных серверов Microsoft Lync Server 2010 в сети периметра необходим обратный прокси-сервер HTTPS для обеспечения доступа внешних клиентов к 80 веб-службам Lync Server 2010 (они называются веб-компонентами в Office Communications Server) на директоре и в домашнем пуле пользователя. К некоторым функциям, которые требуют внешнего доступа через обратный прокси-сервер, относятся: разрешение внешним пользователям загружать содержимое собраний; разрешение внешним пользователям расширять группы рассылки; разрешение удаленным пользователям загружать файлы из службы адресной книги; доступ к клиенту веб-приложения Microsoft Lync Web App; доступ к веб-странице параметров конференц-связи с телефонным подключением; доступ к службе сведений о местоположении; разрешение внешним устройствам подключаться к веб-службе обновления устройств и получать обновления. Рекомендуется настроить обратный прокси-сервер HTTP на публикацию всех веб-служб во всех пулах. При публикации https:// внешнее_полное_доменное_имя/* публикуются все виртуальные каталоги служб IIS в пуле. Потребуется одно правило публикации для каждого сервера выпуска Standard Edition, пула серверов переднего плана либо директора или пула директоров в организации. Также необходимо опубликовать простые URL-адреса. Если в организации имеется директор или пул директоров, обратный прокси-сервер HTTP прослушивает HTTP- и HTTPS-запросы на простые URL-адреса и направляет их в виртуальный каталог внешних веб-служб в директоре или пуле директоров. Если директор не развернут, нужно определить один пул для обработки запросов к простым URL-адресам. (Если это не домашний пул пользователя, он будет перенаправлять запросы на веб-службы в домашнем пуле пользователя.) Простые URL-адреса могут обрабатываться выделенным правилом веб-публикации, либо их можно добавить к внешним именам правила веб-публикации для директора. В качестве обратного прокси-сервера можно использовать Microsoft Forefront Threat Management Gateway 2010 или Microsoft Internet Security and Acceleration (ISA) Server 2006 с пакетом обновления 1 (SP1). Подробные процедуры в данном разделе описывают настройку Forefront Threat Management Gateway (TMG) 2010, действия по настройке ISA Server 2006 практически идентичны. Если используется другой обратный прокси-сервер, обратитесь к документации по этому продукту. Для настройки обратного прокси-сервера на базе TMG 2010 можно воспользоваться процедурами из данного раздела. 81 Настройка полных доменных имен веб-фермы Настройка сетевых адаптеров Запрос и настройка сертификата для обратного прокси-сервера HTTP Настройка правил веб-публикации для одного внутреннего пула Проверка или настройка проверки подлинности и сертификации в виртуальных каталогах IIS Создание DNS-записей для обратных прокси-серверов Проверка доступа через обратный прокси-сервер Предварительные действия Перед настройкой обратного прокси-сервера установите систему, которая будет для него использоваться. Настройка полных доменных имен веб-фермы При настройке Topology Builder можно задать внешнее полное доменное имя для веб-служб в каждом сервере выпуска Standard Edition, пуле серверов переднего плана, директоре или пуле директоров. Эти имена отправляются клиентам в этом пуле, когда они выполняют вход, и используются для создания HTTPS-подключения к обратному прокси-серверу при подключении в удаленном режиме. Если эти URL-адреса не были заданы во время начальной настройки Topology Builder, необходимо настроить Lync Server 2010 с использованием процедуры из этого раздела. Настройка внешнего полного доменного имени пула для веб-служб 1. Запустите Topology Builder. Нажмите кнопку Пуск, выберите Все программы, Microsoft Lync Server 2010 и Lync Server Topology Builder. 2. В Topology Builder в дереве консоли в области Standard Edition Front Ends (Серверы переднего плана Standard Edition), Enterprise Edition Front Ends (Серверы переднего плана Enterprise Edition) и Directors (Директоры) щелкните правой кнопкой мыши имя пула, которое нужно изменить, и выберите пункт Edit Properties (Изменить свойства). 3. В разделе Web Services (Веб-службы) добавьте или измените значение в поле External Web Services FQDN (Внешнее полное доменное имя веб-служб) и нажмите кнопку OK. 4. Щелкните правой кнопкой мыши Lync Server 2010 и выберите пункт Publish 82 (Опубликовать). 5. Повторите эти действия для всех серверов выпуска Standard Edition, пулов серверов переднего плана, директоров и пулов директоров в организации. Настройка сетевых адаптеров Необходимо назначить один или несколько IP-адресов внешнему сетевому адаптеру и по крайней мере один IP-адрес внутреннему сетевому адаптеру. В новой установке установите Microsoft Forefront Threat Management Gateway 2010 в соответствии с инструкциями, прилагающимися к продукту. В описании следующих процедур предполагается, что в сервере, на котором выполняется Forefront Threat Management Gateway (TMG) 2010 , есть два сетевых адаптера: общедоступный или внешний сетевой адаптер, который видят клиенты, подключающиеся к веб-сайту (обычно через Интернет); закрытый или внутренний сетевой адаптер, который видят внутренние серверы под управлением Lync Server 2010, на которых размещаются веб-службы. Важно. Аналогично процедуре, описанной для пограничных серверов, на внешнем адаптере в шлюзе по умолчанию необходимо задать переадресацию на внутренний адрес внешнего брандмауэра, также необходимо создать постоянные статические маршруты во внутреннем интерфейсе для всех подсетей, содержащих серверы, на которые ссылаются правила веб-публикации. Обратный прокси-сервер должен уметь разрешать в IP-адреса внутренние полные доменные имена директора и пула следующего перехода, которые используются в правилах веб-публикации. Как и в случае с пограничными серверами по соображениям безопасности рекомендуется запретить пограничным серверам обращаться к DNS-серверу, расположенному во внутренней сети. Это означает, что либо необходимы DNS-серверы в периметре, либо нужны записи в файле HOST на обратном прокси-сервере, который будет разрешать такие полные доменные имена во внутренние IP-адреса серверов. Настройка сетевых адаптеров на компьютере обратного прокси-сервера. 1. На сервере Windows Server 2008 или Windows Server 2008 R2, на котором выполняется TMG 2010, откройте окно «Изменение параметров адаптера». Для этого нажмите кнопку Пуск, укажите Панель управления, выберите Центр 83 управления сетями и общим доступом и нажмите кнопку Изменить параметры адаптера. 2. Щелкните правой кнопкой мыши сетевое подключение, которое нужно использовать для внешнего интерфейса, и выберите Свойства. 3. На странице Свойства перейдите на вкладку Сеть, выберите Протокол Интернета версии 4 (TCP/IPv4) в списке Компоненты, используемые этим подключением: и нажмите кнопку Свойства. 4. На странице Свойства протокола Интернета (TCP/IP) задайте соответствующие IP-адреса для подсети, к которой подсоединен сетевой адаптер. Примечание. Если обратный прокси-сервер уже используется другими приложениями, которые используют порт HTTPS 443, например, для публикации службы Outlook Web Access, необходимо либо добавить другой IP-адрес, что позволит публиковать веб-службы Lync Server 2010 на порту HTTPS 443, не мешая действующим правилам и веб-прослушивателям, либо заменить имеющийся сертификат на другой, в котором к дополнительному имени субъекта добавлены новые внешние полные доменные имена. 5. Нажмите кнопку OK и еще раз OK. 6. В области Сетевые подключения щелкните правой кнопкой мыши внутреннее сетевое подключение, которое нужно использовать для внутреннего интерфейса, и выберите Свойства. 7. Повторите шаги 3-5 для настройки внутреннего сетевого подключения. Запрос и настройка сертификата для обратного прокси-сервера HTTP На сервере, на котором работает Microsoft Forefront Threat Management Gateway 2010, необходимо установить сертификат корневого центра сертификации для центра сертификации, выпустившего сертификаты сервера для внутренних серверов под управлением Microsoft Lync Server 2010. На обратном прокси-сервере также потребуется установить общий сертификат веб-сервера. Дополнительные имена субъекта сертификата должны содержать опубликованные внешние полные доменные имена для каждого домашнего пула пользователей, имеющих удаленный доступ, а также внешние полные доменные имена всех директоров или пулов директоров, которые будут использоваться в пограничной 84 инфраструктуре. Дополнительное имя субъекта также должно содержать простой URL-адрес собраний и простой URL-адрес конференц-связи с телефонным подключением, как показано в следующей таблице. Значение Пример Имя субъекта Полное доменное имя пула webext.contoso.com Дополнительное имя субъекта Полное доменное имя пула webext.contoso.com Важно. Имя субъекта также должно присутствовать в дополнительном имени субъекта. Дополнительное имя субъекта Простой URL-адрес собраний meet.contoso.com Примечание. Все простые URLадреса собраний должны присутствовать в дополнительном имени субъекта. У каждого домена SIP должен быть по крайней мере один простой URL-адрес собраний. Дополнительное имя субъекта Простой URL-адрес для телефонных подключений dialin.contoso.com Примечание. Если внутреннее развертывание включает несколько серверов выпуска Standard Edition или пул серверов переднего плана, то необходимо настроить правила веб-публикации для каждого внешнего полного доменного имени веб-фермы и либо для каждого такого имени потребуется сертификат и веб-прослушиватель, либо нужно получить сертификат, дополнительное имя субъекта которого 85 содержит имена, используемые всеми пулами, и назначить его веб-прослушивателю, чтобы использовать в нескольких правилах веб-публикации. Настройка правил веб-публикации для одного внутреннего пула В Microsoft Forefront Threat Management Gateway 2010 для публикации внутренних ресурсов, таких как URL-адрес собраний, для пользователей в Интернете используются правила веб-публикации. Помимо URL-адресов веб-служб для виртуальных каталогов необходимо также создать правила публикации для простых URL-адресов. Для каждого простого URL-адреса нужно создать отдельное правило на обратном прокси-сервере, которое указывает на этот простой URL-адрес. Для создания правил веб-публикации используются следующие процедуры. Примечание. В описании этих процедур предполагается, что установлен Forefront Threat Management Gateway (TMG) 2010 выпуска Standard Edition. Создание правила веб-публикации на компьютере с TMG 2010 1. Нажмите кнопку Пуск, укажите Программы, Microsoft Forefront TMG и выберите Управление Forefront TMG. 2. В левой области разверните узел Имя сервера, щелкните правой кнопкой мыши Политика брандмауэра, укажите Создать и затем выберите Правило публикации веб-узла. 3. На начальной странице создания правила веб-публикации введите отображаемое имя для правила публикации (например, LyncServerWebDownloadsRule). 4. На странице Выбрать действие правила выберите Разрешить. 5. На странице Тип публикации выберите Опубликовать один веб-узел или систему балансировки нагрузки. 6. На странице Безопасность подключения к серверу выберите Использовать SSL для подключения к опубликованному веб-серверу или ферме серверов. 7. На странице Сведения о внутренней публикации введите полное доменное имя внутренней веб-фермы, в которой размещается содержимое собраний и адресной книги, в поле Имя внутреннего веб-узла. 86 Примечание. Если внутренним сервером является сервер выпуска Standard Edition, то это имя является полным доменным именем сервера Standard Edition. Если внутренним сервером является пул серверов переднего плана, это полное доменное имя равно виртуальному IP-адресу аппаратного средства балансировки нагрузки, которое управляет нагрузкой на серверах внутренней веб-фермы. Сервер TMG должен уметь разрешать полное доменное имя в IP-адрес внутреннего веб-сервера. Если сервер TMG не умеет разрешать полное доменное имя в соответствующий IP-адрес, можно выбрать параметр Используйте имя или IP-адрес компьютера для подключения к опубликованному серверу и затем в поле Имя компьютера или IP-адрес: ввести IP-адрес внутреннего веб-сервера. В этом случае необходимо убедиться, что порт 53 на сервере TMG открыт и что сервер может обращаться к DNS-серверу, расположенному в сети периметра. Для разрешения имен также можно использовать записи в локальных файлах HOST. 8. На странице Сведения о внутренней публикации в поле Путь (необязательно): введите /* в качестве пути к публикуемой папке. Примечание. В мастере публикации веб-сайта можно указать только один путь. Дополнительные пути можно добавить, изменив свойства правила. 9. На странице Параметры внешнего имени выберите Это имя домена в области Принимать запросы для: и введите внешнее полное доменное имя веб-служб в поле Внешнее имя. 10. На странице Выбрать веб-прослушиватель нажмите кнопку Создать, чтобы открыть мастер создания определения веб-прослушивателя. 11. На странице Мастер создания веб-прослушивателя введите имя веб-прослушивателя в поле Имя веб-прослушивателя (например, LyncServerWebServers). 12. На странице Безопасность клиентских подключений выберите Требовать безопасного подключения SSL для клиентов. 13. На странице IP-адрес веб-прослушивателя выберите Внешний и затем нажмите кнопку Выбрать IP-адреса.... 14. На странице Выбрать внешний IP-адрес прослушивателя выберите Указанный 87 IP-адрес на компьютере Forefront TMG в выбранной сети, выберите соответствующий IP-адрес и нажмите кнопку Добавить. 15. На странице SSL-сертификаты прослушивателя выберите Назначить сертификат для каждого IP-адреса, выберите IP-адрес, связанный с внешним полным доменным именем веб-сайта, и нажмите кнопку Выбрать сертификат. 16. На странице Выбор сертификата выберите сертификат, соответствующий внешним именам, указанным на шаге 9, и нажмите кнопку Выбрать. 17. На странице Параметр проверки подлинности: выберите Без проверки подлинности. 18. На странице Параметр единого входа нажмите кнопку Далее. 19. На странице Завершение работы мастера создания веб-прослушивателя убедитесь, что параметры Веб-прослушивателя верны, и нажмите кнопку Готово. 20. На странице Делегирование проверки подлинности выберите Без делегирования, но клиент может выполнять проверку подлинности напрямую. 21. На странице Набор учетных записей нажмите кнопку Далее. 22. На странице завершения работы мастера создания веб-публикации убедитесь, что параметры правила веб-публикации верны, и нажмите кнопку Готово. 23. Нажмите кнопку Применить в области сведений, чтобы сохранить изменения и обновить конфигурацию. Изменение свойств правила веб-публикации 1. Нажмите кнопку Пуск, укажите Программы, Microsoft Forefront TMG и выберите Управление Forefront TMG. 2. В левой области разверните узел Имя сервера и выберите Политика брандмауэра. 3. В области сведений щелкните правой кнопкой мыши правило публикации веб-сервера, созданное в предыдущей процедуре (например, LyncServerExternalRule), и выберите пункт Свойства. 4. На странице Свойства на вкладке От: выполните следующие действия: В списке Это правило применяется к трафику от следующих источников: 88 выберите Любой и нажмите кнопку Удалить. Нажмите кнопку Добавить. В области Добавление сетевых сущностей разверните узел Сети, выберите Внешние, нажмите кнопку Добавить и затем нажмите Закрыть. 5. На вкладке К: убедитесь, что установлен флажок Пересылать исходный заголовок узла вместо действительного. 6. На вкладке Использование моста установите флажок Перенаправлять запросы на SSL-порт и укажите порт 4443. 7. На вкладке Внешнее имя добавьте простые URL-адреса (например, meet.contoso.com и dialin.contoso.com). 8. Нажмите кнопку Применить, чтобы сохранить изменения, и затем нажмите кнопку OK. 9. Нажмите кнопку Применить в области сведений, чтобы сохранить изменения и обновить конфигурацию. Проверка или настройка проверки подлинности и сертификации в виртуальных каталогах IIS С помощью следующей процедуры можно настроить сертификацию в виртуальных каталогах IIS или проверить правильность настройки сертификации. Выполните эту процедуру на каждом сервере, на котором выполняются службы IIS, во внутреннем пуле Lync Server. Примечание. Следующая процедура предназначена для внешнего веб-сайта Lync Server в службах IIS. Проверка или настройка проверки подлинности и сертификации в виртуальных каталогах IIS 1. Нажмите кнопку Пуск, укажите Все программы, Администрирование и выберите Диспетчер служб IIS. 2. В окне Диспетчер служб IIS разверните узел Имя сервера, а затем узел Сайты. 3. Щелкните правой кнопкой Внешний веб-сайт Lync Server и выберите Изменить привязки... 89 4. Убедитесь, что протокол https связан с портом 4443, и нажмите кнопку https. 5. Выберите запись HTTPS, нажмите кнопку Изменить и убедитесь, что сертификат Lync Server WebServicesExternalCertificate связан с этим протоколом. Создание DNS-записей для обратных прокси-серверов Создайте внешние записи DNS A, указывающие на общий внешний интерфейс ISA Server, как описано в разделе Настройка DNS-записей для поддержки пограничного сервера. DNS-записи нужны для внешних полных доменных имен веб-службы для каждого пула, директора (или пула директоров) и каждого простого URL-адреса. Проверка доступа через обратный прокси-сервер Выполните следующую процедуру, чтобы проверить наличие доступа пользователей к данным на обратном прокси-сервере. Для правильной работы такого доступа может потребоваться выполнить настройку брандмауэра и DNS. Проверка доступа к веб-сайту через Интернет Откройте веб-браузер, введите в адресной строке URL-адреса, используемые клиентами для доступа к файлам адресной книги и веб-сайту конференций, следующим образом. Для сервера адресной книги введите URL-адрес аналогичный следующему: https://внешнее_полное_доменное_имя_веб-фермы/abs, где внешнее_полное_доменное_имя_веб-фермы — это внешнее полное доменное имя веб-фермы, в которой размещены файлы сервера адресной книги. Пользователь должен получить предупреждение HTTP, поскольку в политике безопасности для папки сервера адресной книги по умолчанию задана проверка подлинности Windows. Для конференций введите URL-адрес аналогичный следующему: https://внешнее_полное_доменное_имя_веб-фермы/meet, где внешнее_полное_доменное_имя_веб-фермы — это внешнее полное доменное имя веб-фермы, в которой размещено содержимое собраний. По этому URL-адресу должна выводиться страница устранения неполадок в конференциях. Для расширения групп рассылки введите URL-адрес аналогичный следующему: https://внешнее_полное_доменное_имя_веб-фермы/GroupExpansion/service.svc. Пользователь должен получить предупреждение HTTP, поскольку в политике безопасности для службы расширения групп рассылки по умолчанию задана проверка подлинности Windows. 90 Для подключения по телефону введите простой URL-адрес. Пользователь должен быть направлен на страницу подключения по телефону. Настройка поддержки доступа внешних пользователей После установки и настройки внутреннего развертывания Microsoft Lync Server 2010, внутренние пользователи организации смогут взаимодействовать с другими внутренними пользователями, имеющими учетные записи SIP в доменных службах Active Directory (AD DS). Взаимодействие может включать обмен мгновенными сообщениями и сведениями о присутствии и участие в конференциях (также называются «собраниями»), если они настроены. По умолчанию входить на сервер Lync Server 2010 могут только пользователи, выполнившие вход во внутреннюю сеть. Для управления взаимодействием поддерживаемых внешних пользователей с внутренними пользователями Lync Server нужно разрешить и настроить доступ внешних пользователей. К внешним пользователям могут относиться удаленные и федеративные пользователи (включая поддерживаемых пользователей общедоступных систем обмена мгновенными сообщениями), а также анонимные участники конференций в зависимости от настройки доступа внешних пользователей. Первым шагом для поддержки внешних пользователей является развертывание пограничного сервера или пула пограничных серверов. Дополнительные сведения о развертывании пограничных серверов см. в разделе Развертывание пограничных серверов в документации по развертыванию. После завершения настройки пограничного сервера или пула пограничных серверов необходимо разрешить те виды доступа внешних пользователей, которые должны поддерживаться, и настроить поддержку внешних пользователей, которые должны поддерживаться в организации. В Lync Server 2010 включение и настройка доступа внешних пользователей осуществляется в панели управления Lync Server и командной консоли Lync Server. Дополнительные сведения об этих средствах управления см. В описании панели управления и командной консоли Lync Server, а также в разделе «Установка средств администрирования Lync Server» в документации по эксплуатации. Для организации поддержки доступа внешних пользователей необходимо выполнить следующие два действия: Включить поддержку в своей организации. Чтобы включить поддержку доступа внешних пользователей в развертывании, необходимо включить все нужные виды доступа внешних пользователей. Включение и отключение поддержки доступа внешних пользователей осуществляется в панели управления Lync Server 2010 путем 91 изменения глобальных параметров Access Edge Configuration (Пограничная конфигурация доступа) в группе External User Access (Доступ внешних пользователей). Включение поддержки доступа внешних пользователей означает, что серверы, на которых работает пограничная служба доступа Lync Server, поддерживают взаимодействие с внешними пользователями, но те смогут взаимодействовать с внутренними пользователями, только если настроить по крайней мере одну политику для управления доступом внешних пользователей. Внешние пользователи не могут взаимодействовать с пользователями организации, если доступ внешних пользователей отключен или отсутствуют поддерживающие его политики. Настроить и назначить одну или несколько политик для поддержки доступа внешних пользователей, которые могут включать. Политики доступа внешних пользователей, которые можно создавать и настраивать для управления использованием одного или нескольких видов доступа внешних пользователей, включая доступ удаленных пользователей, доступ пользователей из федеративных доменов и пользователей поддерживаемых общедоступных служб обмена мгновенными сообщениями. Политики доступа внешних пользователей настраиваются в панели управления Lync Server 2010 с помощью глобальной политики и (при необходимости) одной или нескольких политик сайтов и пользователей на странице External Access Policy (Политика доступа внешних пользователей) в группе External User Access (Доступ внешних пользователей). Глобальная политика создается при первом развертывании пограничного сервера или пула пограничных серверов, и ее нельзя удалить. Политики сайтов и пользователей создаются и настраиваются, когда необходимо ограничить доступ внешних пользователей к определенным сайтам или пользователям. Глобальные политики и политики сайтов назначаются автоматически. При создании и настройке политики пользователей ее необходимо назначить определенным пользователям или группам пользователей, к которым она должна применяться. Каждая политика доступа внешних пользователей может поддерживать одно или несколько следующих действий: доступ удаленных пользователей, доступ федеративных пользователей и общедоступный обмен мгновенными сообщениями. Политики конференций, которые создаются и настраиваются для управления конференциями в организации, включая определение пользователей в организации, которые могут приглашать анонимных пользователей в свои конференции. После создания политики конференций и включения в политике поддержки анонимных пользователей необходимо назначить политику конкретным пользователям или группам пользователей, которые должны иметь возможность приглашать анонимных пользователей в свои конференции. 92 Задать параметры доступа внешних пользователей, включая любые политики, которые нужно использовать для управления доступом внешних пользователей, можно даже если в организации не включен доступ внешних пользователей. Однако настроенные политики и другие параметры вступают в силу только после включения в организации доступа внешних пользователей. Внешние пользователи не могут взаимодействовать с пользователями организации, если доступ внешних пользователей отключен или отсутствуют поддерживающие его политики доступа внешних пользователей. Пограничное развертывание выполняет проверку подлинности внешних пользователей и управляет доступом на основании настроенной поддержки пограничной инфраструктуры. Чтобы управлять взаимодействием через брандмауэр, можно настроить одну или несколько политик и задать другие параметры, определяющие способ взаимодействия пользователей внутри и за пределами брандмауэра друг с другом. Сюда относится глобальная политика для доступа внешних пользователей по умолчанию, а также политики сайтов и пользователей, которые можно создать и настроить, чтобы включить один или несколько типов доступа внешних пользователей к определенным сайтам или пользователям. Содержание раздела Включение и выключение доступа внешних пользователей в организации Настройка взаимодействия с внешними пользователями Включение и выключение доступа внешних пользователей в организации После развертывания одного или нескольких пограничных серверов необходимо разрешить определенные виды доступа внешних пользователей, которые будут поддерживаться в организации. К ним относятся: Доступ удаленных пользователей. Включите этот вид доступа, если нужно, чтобы пользователи в организации, находящиеся за пределами брандмауэра, например работающие за пределами офиса или находящиеся в пути, могли подключаться к Lync Server 2010. Федерация Включите этот вид доступа, если нужно поддерживать доступ пользователей из федеративных партнерских доменов, пользователей общедоступных служб обмена мгновенными сообщениями или пользователей обоих типов. Доступ анонимных пользователей. Включите этот вид доступа, если нужно, чтобы внутренние пользователи могли приглашать анонимных пользователей в свои конференции. 93 Примечание. Перед предоставлением какого-либо типа доступа внешних пользователей в организации необходимо настроить политики по управлению использованием такого доступа Дополнительные сведения о создании, настройке и применению политик доступа внешних пользователей см. в разделе «Управление взаимодействием с внешними пользователями» в документации по развертыванию или эксплуатации. Содержание раздела Включение и выключение доступа удаленных пользователей в организации Включение или выключение федерации в организации Включение и выключение доступа анонимных пользователей в организации Включение и выключение доступа удаленных пользователей в организации Удаленными пользователями являются пользователи с постоянным удостоверением Active Directory в организации. Удаленные пользователи часто входят на серверы Lync из-за пределов брандмауэра с помощью виртуальной частной сети (VPN), когда они не подключены к сети организации изнутри. К удаленным пользователям относятся сотрудники, работающие из дома или в пути, и другие удаленные работники, включая доверенных поставщиков, которым предоставлены учетные данные предприятия. При включении удаленного доступа поддерживаемым удаленным пользователям не нужно подключаться с использованием VPN для совместной работы с внутренними пользователями, работающими с Lync Server 2010. Для поддержки доступа удаленных пользователей его необходимо включить. При этом он будет включен для всей организации. Если позже потребуется временно или постоянно запретить доступ удаленных пользователей, его можно отключить на уровне организации. С помощью процедуры из данного раздела можно включить или отключить доступ удаленных пользователей для организации. Примечание. Включение доступа удаленных пользователей лишь указывает, что серверы, на которых работает пограничная служба доступа, поддерживают взаимодействие с удаленными пользователями, однако такие пользователи не могут участвовать в обмене мгновенными сообщениями или конференциях в организации, пока не будет настроена по крайней мере одна политика по управлению доступом удаленных пользователей. Дополнительные сведения о настройке политик по управлению доступом удаленных пользователей см. в разделе Управление доступом удаленных пользователей в документации по развертыванию или эксплуатации. 94 Включение или отключение доступа удаленных пользователей в организации 1. Выполните вход на любой компьютер во внутреннем развертывании с использованием учетной записи пользователя, которая является членом группы RTCUniversalServerAdmins (или имеет эквивалентные права) или которой назначена роль CsAdministrator. 2. Откройте окно браузера и введите URL-адрес администрирования, чтобы открыть панель управления Lync Server. Дополнительные сведения о различных методах запуска панели управления Lync Server см. в разделе «Использование средств администрирования Lync Server». 3. В левой панели навигации выберите External User Access (Доступ внешних пользователей) и затем выберите Access Edge Configuration (Пограничная конфигурация доступа). 4. На странице Access Edge Configuration (Пограничная конфигурация доступа) выберите Global (Глобальные), нажмите кнопку Edit (Изменить) и нажмите Show details (Показать сведения). 5. В окне Edit Access Edge Configuration (Изменение пограничной конфигурации доступа) выполните одно из следующих действий: Чтобы включить доступ удаленных пользователей в организации, установите флажок Enable remote user access (Включить доступ удаленных пользователей). Чтобы отключить доступ удаленных пользователей в организации, снимите флажок Enable remote user access (Включить доступ удаленных пользователей). 6. Нажмите кнопку Commit (Применить). Чтобы разрешить удаленным пользователям выполнять вход на серверы под управлением Lync Server 2010, необходимо также настроить по крайней мере одну политику внешнего доступа для поддержки доступа удаленных пользователей. Дополнительные сведения см. в разделе Управление доступом удаленных пользователей в документации по развертыванию или эксплуатации. Включение или выключение федерации в организации Поддержка федерации необходима для предоставления возможности совместной работы с пользователями организации для пользователей, имеющих учетную запись в доверенной организации клиента или партнера, включая партнерские домены и пользователей общедоступных служб обмена мгновенными сообщениями. После 95 установления отношения доверия с такими внешними доменами можно разрешить пользователям в этих доменах обращаться к своему развертыванию и участвовать в коммуникациях Lync Server. Такое отношение доверия называется «федерацией» и не связано с отношением доверия Active Directory и не зависит от него. Для поддержки доступа пользователей из федеративных доменов необходимо включить федерацию. Если в организации включается федерация, также необходимо указать, следует ли реализовывать следующие возможности. Обнаружение партнерских доменов. Если эта функция включена, Lync Server 2010 будет пытаться с помощью DNS-записей обнаружить домены, отсутствующие в списке разрешенных доменов, автоматически оценивая входящий трафик от обнаруженных федеративных партнеров и ограничивая или блокируя такой трафик на основании уровня доверия, объема трафика и административных параметров. Если эта функция не выбрана, доступ федеративных пользователей включается только для пользователей из списка разрешенных доменов. Независимо от того, выбрана ли эта функция, можно блокировать или разрешить отдельные домены в федеративном домене, включая ограничение доступа к определенным серверам, на которых работает пограничная служба доступа. Дополнительные сведения об управлении доступом для федеративных доменов см. в разделе Управление доступом для отдельных федеративных доменов. Отправка федеративным партнерам уведомления об отсутствии архивирования с рекомендацией записи коммуникаций. Если в организации поддерживается архивирование внешних коммуникаций с федеративным партнерскими доменами, необходимо включить уведомление, предупреждающее партнеров о том, что их сообщения архивируются. Если позже потребуется временно или постоянно запретить доступ пользователей из федеративных доменов, его можно отключить на уровне организации. Процедура из данного раздела позволяет включить или отключить доступ федеративных пользователей в организации, а также указать соответствующие параметры федерации, которые будут поддерживаться в организации. Примечание. Включение федерации в организации лишь указывает, что серверы, на которых выполняется пограничная служба доступа, поддерживают взаимодействие с пользователями федеративных доменов, включая поставщиков общедоступных служб обмена мгновенными сообщениями. Пользователи в федеративных доменах не могут участвовать в обмене мгновенными сообщениями или конференциях в организации, пока не будет настроена по крайней мере одна политика, поддерживающая доступ федеративных пользователей. Пользователи 96 общедоступных служб обмена мгновенными сообщениями не могут участвовать в обмене мгновенными сообщениями или конференциях в организации, пока не будет настроена по крайней мере одна политика, поддерживающая обмен мгновенными сообщениями. Дополнительные сведения о настройке политик по управлению взаимодействием с пользователями федеративных доменов в других организациях см. в разделе Доступ пользователей федеративных партнеров в документации по развертыванию или эксплуатации. Кроме того, если необходимо поддерживать взаимодействие с пользователями служб обмена мгновенными сообщениями, нужно настроить политики для его поддержки, а также настроить поддержку для соответствующих отдельных поставщиков услуг. Дополнительные сведения см. в разделе Поддержка поставщиков служб обмена мгновенными сообщениями в документации по развертыванию или эксплуатации. Включение или отключение доступа федеративных пользователей в организации 1. Выполните вход на любой компьютер во внутреннем развертывании с использованием учетной записи пользователя, которая является членом группы RTCUniversalServerAdmins (или имеет эквивалентные права) или которой назначена роль CsAdministrator. 2. Откройте окно браузера и введите URL-адрес администрирования, чтобы открыть панель управления Lync Server. Дополнительные сведения о различных методах запуска панели управления Lync Server см. в разделе «Использование средств администрирования Lync Server». 3. В левой панели навигации выберите External User Access (Доступ внешних пользователей) и затем выберите Access Edge Configuration (Пограничная конфигурация доступа). 4. На странице Access Edge Configuration (Пограничная конфигурация доступа) выберите Global (Глобальные), нажмите кнопку Edit (Изменить) и нажмите Show details (Показать сведения). 5. В окне Edit Access Edge Configuration (Изменение пограничной конфигурации доступа) выполните одно из следующих действий: Чтобы включить доступ федеративных пользователей в организации, установите флажок Enable communications with federated users (Включить взаимодействие с федеративными пользователями). Чтобы отключить доступ федеративных пользователей в организации, снимите флажок Enable communications with federated users (Включить взаимодействие 97 с федеративными пользователями). 6. Если флажок Enable communications with federated users (Включить взаимодействие с федеративными пользователями) установлен, выполните следующие действия. а. Если необходимо поддерживать автоматическое обнаружение партнерских доменов, установите флажок Enable partner domain discovery (Включить обнаружение партнерских доменов). b. Если в организации поддерживается архивирование внешних коммуникаций, установите флажок Send archiving disclaimer to federated partners (Отправлять уведомление об архивировании федеративным партнерам). 7. Нажмите кнопку Commit (Применить). Чтобы разрешить федеративным пользователям взаимодействовать с пользователями в развертывании Lync Server 2010, необходимо также настроить по крайней мере одну политику внешнего доступа для поддержки доступа федеративных пользователей. Дополнительные сведения см. в разделе Доступ пользователей федеративных партнеров в документации по развертыванию или эксплуатации. Сведения об управлении доступом для отдельных федеративных доменов см. в разделе Управление доступом для отдельных федеративных доменов в документации по развертыванию или эксплуатации. Включение и выключение доступа анонимных пользователей в организации Анонимными называются пользователи, не имеющие учетной записи пользователя в доменных службах Active Directory (AD DS) организации или в поддерживаемом федеративном домене, и которых можно приглашать участвовать в локальных конференциях в удаленном режиме. Разрешая анонимное участие в собраниях, анонимным пользователям (то есть пользователям, удостоверение которых проверяется только через ключ конференции или собрания) предоставляется возможность присоединяться к собраниям. Чтобы разрешить анонимное участие, его необходимо включить на уровне организации. Если позже потребуется временно или постоянно запретить доступ анонимных пользователей, его можно отключить на уровне организации. С помощью процедуры из данного раздела можно включить или отключить доступ анонимных пользователей для организации. 98 Примечание. Включение доступа анонимных пользователей в организации лишь указывает, что серверы, на которых выполняется пограничная служба доступа, поддерживают доступ анонимных пользователей. Однако такие пользователи не могут участвовать в собраниях в организации, пока не будет настроена по крайней мере одна политика конференций, которая должна быть применена к одному или нескольким пользователям или группам пользователей. Приглашать анонимных пользователей к участию в собраниях могут только пользователи, которым назначена политика конференций, обеспечивающая поддержку анонимных пользователей. Дополнительные сведения о настройке политик конференций для поддержки анонимных пользователей см. в разделе Настройка политик конференций для поддержки анонимных пользователей в документации по развертыванию или эксплуатации. Включение или отключение доступа анонимных пользователей в организации 1. Выполните вход на любой компьютер во внутреннем развертывании с использованием учетной записи пользователя, которая является членом группы RTCUniversalServerAdmins (или имеет эквивалентные права) или которой назначена роль CsAdministrator. 2. Откройте окно браузера и введите URL-адрес администрирования, чтобы открыть панель управления Lync Server. Дополнительные сведения о различных методах запуска панели управления Lync Server см. в разделе «Использование средств администрирования Lync Server». 3. В левой панели навигации выберите External User Access (Доступ внешних пользователей) и затем выберите Access Edge Configuration (Пограничная конфигурация доступа). 4. На странице Access Edge Configuration (Пограничная конфигурация доступа) выберите Global (Глобальные), нажмите кнопку Edit (Изменить) и нажмите Show details (Показать сведения). 5. В окне Edit Access Edge Configuration (Изменение пограничной конфигурации доступа) выполните одно из следующих действий: Чтобы включить доступ анонимных пользователей в организации, установите флажок Enable communications with anonymous users (Включить взаимодействие с анонимными пользователями). Чтобы отключить доступ анонимных пользователей в организации, снимите 99 флажок Enable communications with anonymous users (Включить взаимодействие с анонимными пользователями). 6. Нажмите кнопку Commit (Применить). Чтобы разрешить анонимным пользователям участвовать в конференциях, проводимых пользователями в развертывании Lync Server 2010, необходимо настроить и назначить по крайней мере одну политику конференций для поддержки анонимных пользователей. Дополнительные сведения см. в разделе Настройка политик конференций для поддержки анонимных пользователей в документации по развертыванию или эксплуатации. Настройка взаимодействия с внешними пользователями Даже если в организации уже включена поддержка доступа внешних пользователей, политики для поддержки доступа внешних пользователей, включая удаленных и федеративных пользователей, по умолчанию не задаются. Для управления доступом внешних пользователей необходимо настроить одну или несколько политик, указав вид доступа внешних пользователей, поддерживаемый каждой политикой. Сюда относятся следующие политики внешнего доступа. Глобальная политика. Глобальная политика создается при развертывании пограничных серверов. По умолчанию в глобальной политике все виды доступа внешних пользователей отключены. Чтобы включить поддержку доступа внешних пользователей на глобальном уровне, нужно настроить глобальную политику с поддержкой одного или нескольких видов доступа внешних пользователей. Глобальная политика применяется ко всем пользователям в организации, однако она переопределяется политиками сайтов и пользователей. При удалении глобальная политика не исчезает, а возвращается в состояние по умолчанию. Политика сайтов. Можно создать и настроить одну или несколько политик сайтов для предоставления внешним пользователям доступа только к определенным сайтам. Конфигурация политики сайтов заменяет глобальную политику, но только для конкретных сайтов, заданных в политике сайтов. Например, если в глобальной политике включен доступ удаленных пользователей, можно задать политику сайтов, которая запрещает доступ удаленных пользователей для определенного сайта. По умолчанию политика сайта применяется ко всем пользователям данного сайта, однако можно назначить политику пользователей, которая будет переопределять параметры политики сайта. 100 Политика пользователей. Можно создать и настроить одну или несколько политик пользователей для предоставления удаленного доступа только определенным пользователям. Конфигурация политики пользователей заменяет глобальную политику и политику сайтов, но только для конкретных пользователей, которым назначена эта политика. Например, если в глобальной политике и политике сайтов включен доступ удаленных пользователей, можно указать политику пользователей, в которой удаленный доступ будет отключен, и назначить эту политику определенным пользователям. Политику пользователей необходимо применить к одному или нескольким пользователям, чтобы она начала действовать. Для поддержки участия анонимных пользователей в конференциях необходимо настроить политику конференций и назначить ее пользователям. Назначение политики конференций, в которой включено анонимное участие, пользователям или группам пользователей дает этим пользователям или группам право приглашать анонимных пользователей в проводимые ими конференции. Помимо политик доступа внешних пользователей и политик конференций для некоторых видов доступа внешних пользователей, включая федеративных пользователей и пользователей общедоступных сетей, требуется настройка других параметров. К ним относятся: Определение разрешенных и блокированных доменов для федеративных партнеров, включая любые конкретные серверы, на которых работает пограничная служба доступа, которые нужно разрешить или блокировать. Определение списка поставщиков услуг, поддерживаемых в организации, включая имя сервера, на котором работает пограничная служба доступа, и уровень проверки, поддерживаемый поставщиком. Содержание раздела Управление доступом удаленных пользователей Доступ пользователей федеративных партнеров Поддержка поставщиков служб обмена мгновенными сообщениями Настройка политик конференций для поддержки анонимных пользователей Применение политик доступа внешних пользователей 101 Управление доступом удаленных пользователей Чтобы указать, смогут ли удаленные пользователи взаимодействовать с внутренними пользователями Lync Server, необходимо настроить одну или несколько политик доступа внешних пользователей. Для управления доступом удаленных пользователей можно настроить политики на глобальном уровне, на уровне сайта и пользователя. Политики сайта заменяют глобальную политику, а политики пользователей заменяют политики сайтов и глобальную политику. Дополнительные сведения о поддерживаемых типах политик см. в разделе «Управление взаимодействием с внешними пользователями» в документации по развертыванию или эксплуатации. Примечание. Настроить политики управления доступом удаленных пользователей можно, даже если в организации удаленный доступ отключен. Однако настроенные политики вступают в силу только после включения в организации доступа удаленных пользователей. Дополнительные сведения о включении доступа удаленных пользователей см. в разделе Включение и выключение доступа удаленных пользователей в организации в документации по развертыванию или эксплуатации. Кроме того, если указать политику пользователей для управления доступом удаленных пользователей, она будет применяться только к пользователям, имеющим доступ к Lync Server 2010, для которых была назначена эта политика. Дополнительные сведения об указании пользователей, которые могут выполнять вход в Lync Server 2010 из удаленных мест, см. в разделе Применение политик доступа внешних пользователей в документации по развертыванию или эксплуатации. Следующая процедура позволяет настроить все политики внешнего доступа, которые нужно использовать для управления доступом удаленных пользователей. Примечание. Эта процедура описывает настройку политики, которая только включает взаимодействие с удаленными пользователями, однако каждая политика, заданная для поддержки удаленного доступа, также может управлять доступом федеративных и внешних пользователей. Дополнительные сведения о настройке политик управления доступом федеративных пользователей см. в разделе Настройка политик управления доступом федеративных пользователей. Дополнительные сведения о настройке политик управления доступом внешних пользователей см. в разделе Настройка политик управления доступом пользователей общедоступных служб обмена мгновенными сообщениями. 102 Настройка политики внешнего доступа для управления доступом удаленных пользователей 1. Выполните вход на любой компьютер во внутреннем развертывании с использованием учетной записи пользователя, которая является членом группы RTCUniversalServerAdmins (или имеет эквивалентные права) или которой назначена роль CsAdministrator. 2. Откройте окно браузера и введите URL-адрес администрирования, чтобы открыть панель управления Lync Server. Дополнительные сведения о различных методах запуска панели управления Lync Server см. в разделе «Использование средств администрирования Lync Server». 3. В левой панели навигации выберите External User Access (Доступ внешних пользователей) и затем выберите External Access Policy (Политика внешнего доступа). 4. На странице External Access Policy (Политика внешнего доступа) выполните одно из следующих действий. Чтобы настроить глобальную политику для поддержки доступа удаленных пользователей, выберите глобальную политику, нажмите кнопку Edit (Изменить) и кнопку Show details (Показать сведения). Чтобы создать новую политику сайта, нажмите кнопку New (Создать) и выберите Site policy (Политика сайта). В окне Select a Site (Выбор сайта) выберите нужный сайт из списка и нажмите кнопку OK. Чтобы создать новую политику пользователей, нажмите кнопку New (Создать) и выберите User policy (Политика пользователей). В окне New External Access Policy (Создание политики внешнего доступа) в поле Name (Имя) укажите уникальное имя, которое указывает на действие политики пользователей (например, EnableRemoteUsers (Разрешить удаленных пользователей) для политики, которая разрешает коммуникации удаленных пользователей). Чтобы изменить существующую политику, выберите соответствующую политику в таблице, нажмите кнопку Edit (Изменить) и кнопку Show details (Показать сведения). 5. (Необязательно) Чтобы добавить или изменить описание, укажите нужные сведения для политики в поле Description (Описание). 103 6. Выполните одно из следующих действий. Чтобы включить доступ удаленных пользователей в политике, установите флажок Enable communications with remote users (Включить взаимодействие с удаленными пользователями). Чтобы отключить доступ удаленных пользователей в политике, снимите флажок Enable communications with remote users (Включить взаимодействие с удаленными пользователями). 7. Нажмите кнопку Commit (Применить). Чтобы включить доступ удаленных пользователей, необходимо разрешить поддержку доступа удаленных пользователей в организации. Дополнительные сведения см. в разделе Включение и выключение доступа удаленных пользователей в организации в документации по развертыванию или эксплуатации. Если речь идет о политике пользователей, необходимо также применить политику к пользователям, которым нужно разрешить удаленное подключение. Дополнительные сведения см. в разделе Применение политик доступа внешних пользователей в документации по развертыванию или эксплуатации. Доступ пользователей федеративных партнеров Для организации поддержки пользователей из федеративных доменов необходимо выполнить два действия. Настроить одну или несколько политик доступа внешних пользователей с поддержкой пользователей из федеративных доменов. Указать федеративные домены, которые нужно разрешить или блокировать. Кроме того, при включении поддержки федерации необходимо указать, следует ли разрешить автоматическое обнаружение федеративных доменов. Дополнительные сведения см. в разделе Включение или выключение федерации в организации в документации по развертыванию. Содержание раздела Настройка политик управления доступом федеративных пользователей Управление доступом для отдельных федеративных доменов 104 Настройка политик управления доступом федеративных пользователей При настройке политик для поддержки федеративных партнеров они будут применяться к пользователям федеративных доменов, но не к пользователям служб обмена мгновенными сообщениями (например, Windows Live), если в политике не включить поддержку таких пользователей. Чтобы указать, смогут ли пользователи федеративных доменов взаимодействовать с внутренними пользователями Lync Server, необходимо настроить одну или несколько политик доступа внешних пользователей. Для управления доступом федеративных пользователей можно настроить политики на глобальном уровне, на уровне сайта и пользователя. Политики сайта заменяют глобальную политику, а политики пользователей заменяют политики сайтов и глобальную политику. Дополнительные сведения о поддерживаемых типах политик см. в разделе «Управление взаимодействием с внешними пользователями» в документации по развертыванию или эксплуатации. Примечание. Настроить политики управления доступом федеративных пользователей можно, даже если в организации федерация отключена. Однако настроенные политику вступают в силу, только когда в организации будет включена федерация. Дополнительные сведения о включении федерации см. в разделе Включение или выключение федерации в организации в документации по развертыванию или эксплуатации. Кроме того, если указать политику пользователей для управления доступом федеративных пользователей, она будет применяться только к пользователям, имеющим доступ к Lync Server 2010, для которых была назначена эта политика. Дополнительные сведения об указании федеративных пользователей, которые могут выполнять вход в Lync Server 2010, см. в разделе Применение политик доступа внешних пользователей в документации по развертыванию или эксплуатации. Настройка политики для поддержки доступа пользователей из федеративных доменов 1. Выполните вход на любой компьютер во внутреннем развертывании с использованием учетной записи пользователя, которая является членом группы RTCUniversalServerAdmins (или имеет эквивалентные права) или которой назначена роль CsAdministrator. 2. Откройте окно браузера и введите URL-адрес администрирования, чтобы открыть панель управления Lync Server. Дополнительные сведения о различных методах запуска панели управления Lync Server см. в разделе «Использование средств администрирования Lync Server». 3. В левой панели навигации выберите External User Access (Доступ внешних 105 пользователей) и затем выберите External Access Policy (Политика внешнего доступа). 4. На странице External Access Policy (Политика внешнего доступа) выполните одно из следующих действий. Чтобы настроить глобальную политику для поддержки доступа федеративных пользователей, выберите глобальную политику, нажмите кнопку Edit (Изменить) и кнопку Show details (Показать сведения). Чтобы создать новую политику сайта, нажмите кнопку New (Создать) и выберите Site policy (Политика сайта). В окне Select a Site (Выбор сайта) выберите нужный сайт из списка и нажмите кнопку OK. Чтобы создать новую политику пользователей, нажмите кнопку New (Создать) и выберите User policy (Политика пользователей). В окне New External Access Policy (Создание политики внешнего доступа) в поле Name (Имя) укажите уникальное имя, которое указывает на действие политики пользователей (например, EnableFederatedUsers (Разрешить федеративных пользователей) для политики, которая разрешает коммуникации пользователей федеративных доменов). Чтобы изменить существующую политику, выберите соответствующую политику в таблице, нажмите кнопку Edit (Изменить) и кнопку Show details (Показать сведения). 5. (Необязательно) Чтобы добавить или изменить описание, укажите нужные сведения для политики в поле Description (Описание). 6. Выполните одно из следующих действий. Чтобы включить доступ федеративных пользователей в политике, установите флажок Enable communications with federated users (Включить взаимодействие с федеративными пользователями). Чтобы отключить доступ федеративных пользователей в политике, снимите флажок Enable communications with federated users (Включить взаимодействие с федеративными пользователями). 7. Нажмите кнопку Commit (Применить). Чтобы включить доступ федеративных пользователей, необходимо разрешить поддержку доступа федеративных пользователей в организации. Дополнительные сведения см. в разделе Включение и выключение федерации в организации в документации по развертыванию или эксплуатации. 106 Если речь идет о политике пользователей, необходимо также применить политику к пользователям, которым нужно разрешить совместную работу с федеративными пользователями. Дополнительные сведения см. в разделе Применение политик доступа внешних пользователей в документации по развертыванию или эксплуатации. Управление доступом для отдельных федеративных доменов Если настроена поддержка для федеративных партнеров, списком доменов, которые смогут вступать в федеративные отношения с организацией, можно управлять с помощью следующих действий (вместе или по отдельности). Указание одного или нескольких внешних доменов в качестве разрешенных федеративных доменов. Для этого добавьте каждый домен в список разрешенных доменов. Даже если в организации включено обнаружение партнеров, выполните это, если домен является федеративным партнером, которому может потребоваться взаимодействовать с более чем 1000 организации пользователей или отправлять более 20 сообщений в секунду. Если обнаружение партнеров в организации отключено, участвовать в обмене мгновенными сообщениями и конференциях с пользователями организации смогут только пользователи внешних доменов, добавленных в список разрешенных. Если для федеративного домена нужно ограничить доступ конкретным сервером, на котором работает пограничная служба доступа федеративного партнера, можно указать имя домена этого сервера для каждого разрешенного домена. Запрет на подключение к сети организации для одного или нескольких доменов. Для этого добавьте домен в список блокированных доменов. Примечание. Эта процедура описывает настройку поддержки определенных доменов, но для реализации поддержки федеративных пользователей также необходимо включить поддержку федеративных пользователей в организации, настроить и применить политики, определяющие пользователей, которым разрешено взаимодействовать с федеративными пользователями. Дополнительные сведения о включении поддержки федеративных пользователей см. в разделе Включение или выключение федерации в организации в документации по развертыванию или эксплуатации. Дополнительные сведения о настройке политик по управлению федерацией см. в разделе Настройка политик управления доступом федеративных пользователей в документации по развертыванию или эксплуатации. 107 Добавление внешнего домена в список разрешенных доменов 1. Выполните вход на любой компьютер во внутреннем развертывании с использованием учетной записи пользователя, которая является членом группы RTCUniversalServerAdmins (или имеет эквивалентные права) или которой назначена роль CsAdministrator. 2. Откройте окно браузера и введите URL-адрес администрирования, чтобы открыть панель управления Lync Server. Дополнительные сведения о различных методах запуска панели управления Lync Server см. в разделе «Использование средств администрирования Lync Server». 3. В левой панели навигации выберите External User Access (Доступ внешних пользователей) и затем выберите Federated Domains (Федеративные домены). 4. На странице Federated Domains (Федеративные домены) нажмите кнопку New (Создать) и выберите Allowed domain (Разрешенный домен). 5. В окне New Federated Domains (Создание федеративных доменов) выполните следующие действия: В поле Domain name (or FQDN) (Имя домена или полное доменное имя) введите имя домена федеративного партнера. Примечания. Имя должно быть уникальным и не может уже присутствовать в списке разрешенных доменов для этого сервера, на котором работает пограничная служба доступа. Максимальная длина имени составляет 256 символов. При поиске имени домена федеративного партнера выполняется сопоставление суффиксов. Например, если ввести contoso.com, поиск также возвратит домен it.contoso.com. Домен федеративного партнера нельзя заблокировать и разрешить одновременно. Lync Server 2010 не допускает этого, поэтому синхронизировать списки вручную не требуется. Если нужно ограничить доступ к данному федеративному домену только пользователями определенного сервера, на котором работает пограничная служба доступа, то в поле Access Edge service (FQDN) (Пограничная служба доступа (полное доменное имя)) введите полное доменное имя сервера федеративного домена, на котором работает пограничная служба доступа. 108 Если нужно указать дополнительные сведения, в поле Comment (Комментарии) введите сведения об этой конфигурации, которые нужно предоставить другим системным администраторам. 6. Нажмите кнопку Commit (Применить). 7. Повторите шаги 4-6 для каждого федеративного партнерского домена, который нужно разрешить. Чтобы включить доступ федеративных пользователей, необходимо разрешить поддержку доступа федеративных пользователей в организации. Дополнительные сведения см. в разделе Включение и выключение федерации в организации в документации по развертыванию или эксплуатации. Кроме того, необходимо настроить и применить политику для пользователей, которым нужно разрешить взаимодействие в федеративными пользователями. Дополнительные сведения см. в разделе Настройка политик управления доступом федеративных пользователей в документации по развертыванию или эксплуатации. Добавление внешнего домена в список заблокированных доменов 1. Выполните вход на любой компьютер во внутреннем развертывании с использованием учетной записи пользователя, которая является членом группы RTCUniversalServerAdmins (или имеет эквивалентные права) или которой назначена роль CsAdministrator. 2. Откройте окно браузера и введите URL-адрес администрирования, чтобы открыть панель управления Lync Server. Дополнительные сведения о различных методах запуска панели управления Lync Server см. в разделе «Использование средств администрирования Lync Server». 3. В левой области навигации выберите External User Access (Доступ внешних пользователей). 4. Выберите Federated Domains (Федеративные домены), нажмите кнопку New (Создать) и выберите Blocked domain (Заблокированные домены). 5. В окне New Federated Domains (Создание федеративных доменов) выполните следующие действия: В поле Domain name (or FQDN) (Имя домена или полное доменное имя) введите имя федеративного партнерского домена. 109 Примечания. Максимальная длина имени составляет 256 символов. При поиске имени домена федеративного партнера выполняется сопоставление суффиксов. Например, если ввести contoso.com, поиск также возвратит домен it.contoso.com. Домен федеративного партнера нельзя заблокировать и разрешить одновременно. Lync Server 2010 не допускает этого, поэтому синхронизировать списки вручную не требуется. (Необязательно) В поле Comment (Комментарий) введите сведения об этой конфигурации, которые нужно предоставить другим системным администраторам. 6. Нажмите кнопку Commit (Применить). 7. Повторите шаги 4-6 для каждого федеративного партнера, который нужно заблокировать. Поддержка поставщиков служб обмена мгновенными сообщениями Для настройка поддержки пользователей общедоступных служб обмена мгновенными сообщениями необходимо выполнить следующие два действия. Настроить одну или несколько политик доступа внешних пользователей для поддержки использования общедоступных служб обмена мгновенными сообщениями. Указать список общедоступных служб обмена мгновенными сообщениями, которые нужно поддерживать. Для выполнения этих задач воспользуйтесь процедурами из этого раздела. Содержание раздела Настройка политик управления доступом пользователей общедоступных служб обмена мгновенными сообщениями Задание списка поддерживаемых служб обмена мгновенными сообщениями 110 Настройка политик управления доступом пользователей общедоступных служб обмена мгновенными сообщениями Поддержка общедоступных служб обмена мгновенными сообщениями позволяет пользователям в организации общаться с пользователями служб мгновенных сообщений, предлагаемых внешними поставщиками, включая сеть интернет-служб Windows Live, Yahoo! и AOL. Чтобы указать, смогут ли внешние пользователи взаимодействовать с внутренними пользователями Lync Server, необходимо настроить одну или несколько политик доступа внешних пользователей. Для управления доступом внешних пользователей можно настроить политики на глобальном уровне, на уровне сайта и пользователя. Политики сайта заменяют глобальную политику, а политики пользователей заменяют политики сайтов и глобальную политику. Дополнительные сведения о поддерживаемых типах политик см. в разделе «Управление взаимодействием с внешними пользователями» в документации по развертыванию или эксплуатации. В случае приглашений к обмену мгновенными сообщениями ответ зависит от клиентского программного обеспечения. Запрос будет принят, если только внешние отправители явно не заблокированы пользовательским правилом (то есть в клиентских списках Allow (Разрешить) и Block (Заблокировать) пользователя). Кроме того, приглашения к обмену мгновенными сообщениями могут блокироваться, если пользователь решил блокировать любой обмен мгновенными сообщениями с пользователями, не указанными в списке Allow (Разрешить). Примечание. Настроить политики управления доступом внешних пользователей можно, даже если в организации федерация отключена. Однако настроенные политику вступают в силу, только когда в организации будет включена федерация. Дополнительные сведения о включении федерации см. в разделе Включение или выключение федерации в организации в документации по развертыванию или эксплуатации. Кроме того, если указать политику пользователей для управления доступом внешних пользователей, она будет применяться только к пользователям, имеющим доступ к Lync Server 2010, для которых была назначена эта политика. Дополнительные сведения об указании внешних пользователей, которые могут выполнять вход в Lync Server 2010, см. в разделе Применение политик доступа внешних пользователей в документации по развертыванию или эксплуатации. Следующая процедура позволяет настроить политику с поддержкой доступа пользователей одной или нескольких общедоступных служб обмена мгновенными сообщениями. 111 Настройка политики внешнего доступа для поддержки доступа внешних пользователей 1. Выполните вход на любой компьютер во внутреннем развертывании с использованием учетной записи пользователя, которая является членом группы RTCUniversalServerAdmins (или имеет эквивалентные права) или которой назначена роль CsAdministrator. 2. Откройте окно браузера и введите URL-адрес администрирования, чтобы открыть панель управления Lync Server. Дополнительные сведения о различных методах запуска панели управления Lync Server см. в разделе «Использование средств администрирования Lync Server». 3. В левой панели навигации выберите External User Access (Доступ внешних пользователей) и затем выберите External Access Policy (Политика внешнего доступа). 4. На странице External Access Policy (Политика внешнего доступа) выполните одно из следующих действий. Чтобы настроить глобальную политику для поддержки доступа внешних пользователей, выберите глобальную политику, нажмите кнопку Edit (Изменить) и кнопку Show details (Показать сведения). Чтобы создать новую политику сайта, нажмите кнопку New (Создать) и выберите Site policy (Политика сайта). В окне Select a Site (Выбор сайта) выберите нужный сайт из списка и нажмите кнопку OK. Чтобы создать новую политику пользователей, нажмите кнопку New (Создать) и выберите User policy (Политика пользователей). В окне New External Access Policy (Создание политики внешнего доступа) в поле Name (Имя) укажите уникальное имя, которое указывает на действие политики пользователей (например, EnablePublicUsers (Разрешить внешних пользователей) для политики, которая разрешает взаимодействие с удаленными пользователями). Чтобы изменить существующую политику, выберите соответствующую политику в таблице, нажмите кнопку Edit (Изменить) и кнопку Show details (Показать сведения). 5. (Необязательно) Чтобы добавить или изменить описание, укажите нужные сведения для политики в поле Description (Описание). 112 6. Выполните одно из следующих действий: Чтобы включить доступ внешних пользователей в политике, установите флажок Enable communications with public users (Включить взаимодействие с внешними пользователями). Чтобы отключить доступ внешних пользователей в политике, снимите флажок Enable communications with public users (Включить взаимодействие с внешними пользователями). 7. Нажмите кнопку Commit (Применить). Чтобы включить доступ внешних пользователей, необходимо разрешить поддержку федерации в организации. Дополнительные сведения см. в разделе Включение и выключение федерации в организации в документации по развертыванию или эксплуатации. Если речь идет о политике пользователей, необходимо также применить политику к внешним пользователям, которым нужно разрешить совместную работу с внешними пользователями. Дополнительные сведения см. в разделе Применение политик доступа внешних пользователей в документации по развертыванию или эксплуатации. Задание списка поддерживаемых служб обмена мгновенными сообщениями Пользователями общедоступных служб обмена мгновенными сообщениями являются некоторые или все пользователи Windows Live, AOL, Yahoo!, а также поставщики и серверы. использующие протокол XMPP (например, Google Talk или Jabber) через шлюз XMPP. Поставщик общедоступной службы обмена мгновенными сообщениями является федеративным партнером особого типа. Для поддержки пользователей общедоступных служб обмена мгновенными сообщениями необходимо выполнить специальные требования, отличающиеся от требований к пользователям других федеративных партнеров. Клиентам, у которых нет корпоративной лицензии на Lync Server 2010, потребуется отдельная лицензия, если они решат настроить поддержку общедоступных служб обмена мгновенными сообщениями Windows Live, AOL и Yahoo! Дополнительные сведения см. в статьях «Изменения в федерации общедоступных служб обмена мгновенными сообщениями в Office Communications Server» по адресу http://go.microsoft.com/fwlink/?linkid=197275&clcid=0x419 (Возможно, на английском языке) и «Microsoft Lync: цены и лицензии» по адресу http://go.microsoft.com/fwlink/?LinkId=202848&clcid=0x419 (Возможно, на английском языке). 113 Примечание. Для использования XMPP нужно установить шлюз XMPP. Загрузить шлюз XMPP можно в Центре загрузки Майкрософт по адресу http://go.microsoft.com/fwlink/?LinkId=204552&clcid=0x419 (Возможно, на английском языке). После установки шлюза XMPP потребуется установить исправление, доступное для загрузки по адресу from http://go.microsoft.com/fwlink/?LinkId=204561&clcid=0x419 (Возможно, на английском языке). Поставщиков служб обмена мгновенными сообщениями можно добавлять и удалять, а также изменять их параметры (включая временную блокировку таких поставщиков). Для каждого поставщика служб обмена мгновенными сообщениями можно задать следующие параметры. Является ли поставщик службы обмена мгновенными сообщениями размещенным или внешним. Размещенные поставщики служб обмена мгновенными сообщениями находятся внутри организации и выполняются в виде размещенных служб. В некоторых организациях внешним пользователям разрешается устанавливать отношения федерации с внутренними серверами в качестве поставщика услуг размещения, аналогично установлению отношения федерации с внешним поставщиком, например MSN. Следует ли разрешить поставщику службы обмена мгновенными сообщениями федерацию с организацией. Сетевой адрес пограничной службы доступа поставщика службы обмена мгновенными сообщениями, который указывается в виде полного доменного имени сервера, на котором работает пограничная служба доступа. Параметры фильтрации для входящих данных таковы: Allow communications only with users verified by this provider (Разрешить взаимодействие только с пользователями, проверенными данным поставщиком). Это параметр по умолчанию. Это означает, что уровень проверки у поставщика службы обмена мгновенными сообщениями считается достаточным, и входящие сообщения обрабатываются соответствующим образом. Запросы, отмеченные как непроверенные, обрабатываются в соответствии с описанием для параметра Allow communications only with users on recipients' contact lists (Разрешить взаимодействие только с пользователями из списка контактов получателя). Запросы, отмеченные как проверенные, обрабатываются в соответствии с описанием для параметра Allow all communications with this provider (Разрешить любое взаимодействие с этим поставщиком). 114 Allow communications only with users on recipients' contact lists (Разрешить взаимодействие только с пользователями из списка контактов получателя). Этот параметр означает, что уровень проверки, принятый у поставщика службы обмена мгновенными сообщениями, считается недостаточным. При выборе этого параметра сервер, на котором работает пограничная служба доступа, будет отмечать все входящие подписные запросы о присутствии как непроверенные. Если отправитель имеется в списке разрешенных адресатов получателя, внутренний сервер ответит на этот запрос. В противном случае запрос будет отклонен. Аналогично, клиент отклонит запросы на сеанс обмена мгновенными сообщениями, отмеченные как непроверенные. Allow all communications with this provider (Разрешить любое взаимодействие с этим поставщиком). Этот параметр означает, что будут приниматься все сообщения, независимо от того, проверены ли они. При выборе этого параметра сервер, на котором работает пограничная служба доступа, будет отмечать все сообщения как проверенные. Домашний пул или сервер получателя уведомляет клиент, и все сообщения обрабатываются в соответствии с параметрами клиента. В случае подписных запросов о присутствии способ обработки сообщений определяется параметрами клиента. По умолчанию в списке имеются поставщики Windows Live, AOL и Yahoo!, однако они не включены. Поставщику общедоступной службы обмена мгновенными сообщениями для организации работы может потребоваться приобрести дополнительные служебные лицензии и подготовить подключения. Дополнительные сведения см. в сведениях о лицензировании Lync Server 2010 по адресу http://go.microsoft.com/fwlink/?LinkId=202848&clcid=0x419 (Возможно, на английском языке). Сведения о ценах и лицензиях для общедоступных служб обмена мгновенными сообщениями доступны в рамках программ корпоративного лицензирования Майкрософт. Дополнительные сведения см. на странице корпоративного лицензирования Майкрософт по адресу http://go.microsoft.com/fwlink/?LinkId=144874&clcid=0x419 (Возможно, на английском языке). Дополнительные сведения об особых требованиях к поставщикам общедоступных служб обмена мгновенными сообщениями см. в статье «Руководство по организации подключений для общедоступных служб обмена мгновенными сообщениями в Office Communications Server» по адресу http://go.microsoft.com/fwlink/?LinkId=155970&clcid=0x419 (Возможно, на английском языке). Примечание. Настроить поддержку поставщиков общедоступных служб обмена мгновенными сообщениями можно, даже если в организации федерация отключена. Однако настроенная поддержка поставщиков вступает в силу только после включения федерации в организации. Дополнительные сведения о включении федерации см. в разделе Включение или выключение федерации в организации в документации по развертыванию или эксплуатации. Кроме того, поддержка поставщиков служб 115 обмена мгновенными сообщениями требует настройки политик для обеспечения доступа пользователей. Дополнительные сведения о настройке политик для поддержки доступа пользователей служб обмена мгновенными сообщениями см. в разделе Настройка политик управления доступом пользователей общедоступных служб обмена мгновенными сообщениями. Следующая процедура позволяет настроить поддержку для одного или нескольких размещенных или внешних поставщиков служб обмена мгновенными сообщениями. Настройка поддержки поставщика службы обмена мгновенными сообщениями 1. Выполните вход на любой компьютер во внутреннем развертывании с использованием учетной записи пользователя, которая является членом группы RTCUniversalServerAdmins (или имеет эквивалентные права) или которой назначена роль CsAdministrator. 2. Откройте окно браузера и введите URL-адрес администрирования, чтобы открыть панель управления Lync Server. Дополнительные сведения о различных методах запуска панели управления Lync Server см. в разделе «Использование средств администрирования Lync Server». 3. В левой панели навигации выберите External User Access (Доступ внешних пользователей), выберите Providers (Поставщики) и выполните одно из следующих действий: Чтобы создать новый поставщик, нажмите кнопку New (Создать) и выберите Public (Внешний) или Hosted (Размещенный). Примечание. Выберите вариант Hosted (Размещенный), если поставщик службы обмена мгновенными сообщениями находится внутри организации и выполняется в виде размещенных служб. В некоторых организациях внешним пользователям разрешается устанавливать отношения федерации с внутренними серверами в качестве поставщика услуг размещения, аналогично установлению отношения федерации с внешним поставщиком, например MSN. В поле Provider name (Имя поставщика) создайте уникальное имя. В поле Access Edge (or FQDN) (Пограничная служба доступа (или полное доменное имя) введите имя каждого отдельного сервера, на котором работает пограничная служба доступа. 116 4. Выполните одно из следующих действий: Чтобы включить этот поставщик, установите флажок Enable communications with this provider (Включить взаимодействие с этим поставщиком) и выполните одно из следующих действий. Выберите Allow communications only with users verified by this provider (Разрешить взаимодействие только с пользователями, проверенными данным поставщиком). Установите флажок Allow communications only with users on recipients' contact lists (Разрешить взаимодействие только с пользователями из списка контактов получателя). Установите флажок Allow all communications with this provider (Разрешить любое взаимодействие с этим поставщиком). Чтобы запретить взаимодействие с этим поставщиком, снимите флажок Enable communications with this provider (Включить взаимодействие с этим поставщиком). 5. Чтобы изменить существующий поставщик, выберите его в таблице, нажмите кнопку Edit (Изменить) и кнопку Show details (Показать сведения). Выполните одно из следующих действий: Чтобы включить этот поставщик, установите флажок Enable communications with this provider (Включить взаимодействие с этим поставщиком) и выполните одно из следующих действий. Выберите Allow communications only with users verified by this provider (Разрешить взаимодействие только с пользователями, проверенными данным поставщиком). Установите флажок Allow communications only with users on recipients' contact lists (Разрешить взаимодействие только с пользователями из списка контактов получателя). Установите флажок Allow all communications with this provider (Разрешить любое взаимодействие с этим поставщиком). Чтобы запретить взаимодействие с этим поставщиком, снимите флажок Enable communications with this provider (Включить взаимодействие с этим поставщиком). 117 6. Нажмите кнопку Commit (Применить). Чтобы включить доступ внешних пользователей, необходимо разрешить поддержку федерации в организации. Дополнительные сведения см. в разделе Включение и выключение федерации в организации в документации по развертыванию или эксплуатации. Поддержка поставщиков служб обмена мгновенными сообщениями также требует настройки политик для обеспечения доступа пользователей. Дополнительные сведения о настройке политик для поддержки доступа пользователей служб обмена мгновенными сообщениями см. в разделе Настройка политик управления доступом пользователей общедоступных служб обмена мгновенными сообщениями. Настройка политик конференций для поддержки анонимных пользователей Разрешая анонимное участие в собраниях, анонимным пользователям (то есть пользователям, удостоверение которых проверяется только через ключ конференции или собрания) предоставляется возможность присоединяться к собраниям. По умолчанию всем пользователям запрещается приглашать анонимных пользователей к участию в собраниях. Чтобы указать пользователей, которые могут приглашать анонимных пользователей, нужно настроить политику конференций для поддержки анонимных пользователей и применить ее к определенным пользователям. Процедура в этом разделе позволяет настроить глобальную политику, поддерживающую участие анонимных пользователей в конференциях. Дополнительные сведения о создании и применении политик конференций для поддержки участия анонимных пользователей в конференциях см. в разделах «Создание или изменение параметров конференций для сайта или группы пользователей» и Применение политик конференций для поддержки анонимных пользователей в документации по развертыванию или эксплуатации. На глобальном уровне можно указать, следует ли разрешить доступ анонимных пользователей к конференциям. На уровне учетных записей пользователей возможность приглашать анонимных пользователей задается путем применения политик конференций. Настройка политик, разрешающих анонимное участие в собраниях 1. Выполните вход на любой компьютер во внутреннем развертывании с использованием учетной записи пользователя, которая является членом группы RTCUniversalServerAdmins (или имеет эквивалентные права) или которой назначена роль CsAdministrator. 118 2. Откройте окно браузера и введите URL-адрес администрирования, чтобы открыть панель управления Lync Server. Дополнительные сведения о различных методах запуска панели управления Lync Server см. в разделе «Использование средств администрирования Lync Server». 3. В левой области навигации выберите External User Access (Доступ внешних пользователей). 4. На странице Access Edge Configuration (Пограничная конфигурация доступа) выберите глобальную политику, нажмите кнопку Edit (Изменить) и нажмите Show details (Показать сведения). 5. В окне Edit Access Edge Configuration (Изменение пограничной конфигурации доступа) установите флажок Enable anonymous user access to conferences (Разрешить доступ к конференциям для анонимных пользователей). 6. Нажмите кнопку Commit (Применить). 7. В левой панели навигации выберите Conferencing (Конференции) и выполните одно из следующих действий. а. Чтобы создать новую политику сайта, нажмите кнопку New (Создать) и выберите Site policy (Политика сайта). В окне Select a Site (Выбор сайта) выберите нужный сайт из списка и нажмите кнопку OK. b. Чтобы настроить существующую политику, выберите соответствующую политику в таблице, нажмите кнопку Edit (Изменить) и кнопку Show details (Показать сведения). 8. В окне Conferencing Policies (Политики конференций) установите флажок Allow participants to invite anonymous users (Разрешить участникам приглашать анонимных пользователей). 9. Нажмите кнопку Commit (Применить). Чтобы разрешить пользователям приглашать анонимных пользователей в конференции, необходимо включить поддержку анонимных пользователей в организации. Дополнительные сведения см. в разделе Включение и выключение доступа анонимных пользователей в организации в документации по развертыванию или эксплуатации. Кроме того, необходимо применить политику для пользователей, которым нужно разрешить приглашать анонимных пользователей. Дополнительные сведения см. в разделе Применение политик доступа внешних пользователей в документации по развертыванию или эксплуатации. 119 Применение политик доступа внешних пользователей При настройке политик пользователей для доступа внешних пользователей или политик конференций для поддержки анонимных пользователей такие политики необходимо назначить пользователям или группам пользователей. Содержание раздела Применение политик доступа внешних пользователей Применение политик конференций для поддержки анонимных пользователей Применение политик доступа внешних пользователей Если пользователь может использовать Lync Server 2010, то для него можно настроить федерацию, удаленный доступ и общедоступную службу обмена мгновенными сообщениями в панели управления Lync Server, применив соответствующие политики к этому пользователю или определенным группам пользователей. Например, если создана политика для поддержки доступа удаленных пользователей, ее необходимо применить по крайней мере к одному пользователю или группе пользователей, чтобы они могли подключаться к Lync Server 2010 из удаленного расположения и взаимодействовать с внутренними пользователями. Примечание. Для поддержки доступа внешних пользователей необходимо включить поддержку необходимых видов внешнего доступа и настроить соответствующие политики и другие параметры использования. Дополнительные сведения см. в разделе Настройка поддержки доступа внешних пользователей в документации по развертыванию или разделе «Управление внешними подключениями» в документации по эксплуатации. Процедура в данном разделе позволяет применить ранее созданную политику доступа внешних пользователей к одной или нескольким учетным записям пользователя или группам пользователей. Применение политики внешнего доступа к учетной записи пользователя 1. С помощью учетной записи пользователя, которой назначена роль CsUserAdministrator или CsAdministrator, выполните вход на любой компьютер внутреннего развертывания. 2. Откройте окно браузера и введите URL-адрес администрирования, чтобы открыть панель управления Lync Server. Дополнительные сведения о различных методах 120 запуска панели управления Lync Server см. в разделе «Использование средств администрирования Lync Server». 3. В левой панели навигации выберите Users (Пользователи) и найдите учетную запись пользователя, которую нужно настроить. 4. В таблице с результатами поиска выберите учетную запись пользователя, нажмите кнопку Edit (Изменить) и нажмите Show details (Показать сведения). 5. В окне Edit Lync Server User (Изменение пользователя Lync Server) в области External access policy (Политика внешнего доступа) выберите политику пользователей, которую нужно применить. Примечание. Вариант <Automatic> (Авто) устанавливает параметры установки сервера по умолчанию. Они применяются сервером автоматически. Применение политик конференций для поддержки анонимных пользователей По умолчанию всем пользователям запрещается приглашать анонимных пользователей к участию в собраниях. Чтобы указать пользователей, которые могут приглашать анонимных пользователей, нужно настроить политику конференций для поддержки анонимных пользователей и применить ее к определенным пользователям. Дополнительные сведения о настройке политик конференций для поддержки анонимных пользователей см. в разделе Настройка политик конференций для поддержки анонимных пользователей в документации по развертыванию или разделе «Управление внешними подключениями» в документации по эксплуатации. Процедура в данном разделе позволяет применить созданную политику конференций к одному или нескольким пользователям или группам пользователей. Примечание. Помимо настройки и применения политики, разрешающей пользователям приглашать анонимных пользователей, необходимо также включить поддержку анонимных пользователей в организации. Дополнительные сведения см. В разделе Включение и выключение доступа анонимных пользователей в организации . Настройка политики пользователей, разрешающей анонимное участие в собраниях 1. Выполните вход на любой компьютер во внутреннем развертывании с использованием учетной записи пользователя, которая является членом группы RTCUniversalServerAdmins (или имеет эквивалентные права) или которой назначена роль CsAdministrator. 121 2. Откройте окно браузера и введите URL-адрес администрирования, чтобы открыть панель управления Lync Server. Дополнительные сведения о различных методах запуска панели управления Lync Server см. в разделе «Использование средств администрирования Lync Server». 3. В левой панели навигации выберите Conferencing (Конференции) и выполните одно из следующих действий. а. Чтобы создать новую политику пользователей, нажмите кнопку New (Создать) и выберите User policy (Политика пользователей). В поле Name (Имя) укажите уникальное имя, которое указывает на действие политики пользователей (например, EnableAnonymous (Разрешить анонимных пользователей) для политики, которая разрешает взаимодействие с анонимными пользователями). b. Чтобы настроить существующую политику пользователей, выберите соответствующую политику в таблице, нажмите кнопку Edit (Изменить) и кнопку Show details (Показать сведения). 4. В диалоговом окне Conferencing Policies (Политики конференций) установите флажок Allow participants to invite anonymous users (Разрешить участникам приглашать анонимных пользователей). 5. Нажмите кнопку Commit (Применить). 6. В левой панели навигации выберите Users (Пользователи) и найдите учетную запись пользователя, которую нужно настроить. 7. В таблице с результатами поиска выберите учетную запись пользователя, нажмите кнопку Edit (Изменить) и нажмите Show details (Показать сведения). 8. В окне Edit Lync Server User (Изменение пользователя Lync Server) в области Conferencing policy (Политика конференций) выберите политику пользователей с поддержкой доступа анонимных пользователей, которую нужно применить к этому пользователю. Примечание. Вариант <Automatic> (Авто) устанавливает параметры установки сервера по умолчанию, которые применяются сервером автоматически. Чтобы разрешить пользователям приглашать анонимных пользователей в конференции, необходимо включить поддержку анонимных пользователей в организации. Дополнительные сведения см. в разделе Включение и выключение доступа анонимных пользователей в организации в документации по развертыванию или эксплуатации. 122 Проверка развертывания пограничных серверов После завершения установки и настройки пограничных компонентов необходимо проверить конфигурацию и подключение серверов, а также подключение всех поддерживаемых типов внешних пользователей. Содержание раздела Проверка подключения между внутренними и пограничными серверами Проверка подключения для внешних пользователей Проверка подключения между внутренними и пограничными серверами В Microsoft Office Communications Server 2007 R2 имелся отдельный мастер проверки, который позволял проверить подключение между пограничными и внутренними серверами. В Microsoft Lync Server 2010 проверка подключения выполняется автоматически при установке пограничных серверов. Проверить репликацию данных конфигурации в пограничной инфраструктуре можно с помощью командлета Windows PowerShell Get-CsManagementStoreReplicationStatus, который нужно выполнить на внутреннем компьютере, где расположено центральное хранилище управления (или на любом компьютере, присоединенном к домену, на котором установлены основные компоненты Lync Server 2010 (OcsCore.msi)). Начальные результаты могут показывать для репликации состояние «False» вместо «True». В таком случае выполните командлет Invoke-CsManagementStoreReplication и подождите завершения репликации перед повторным выполнением Get-CsManagementStoreReplicationStatus. Проверить подключение внешних пользователей можно отдельно, в том числе с помощью анализатора удаленного подключения Office Communications Server для проверки подключения удаленных пользователей. Дополнительные сведения см. в разделе Проверка подключения для внешних пользователей. Проверка подключения для внешних пользователей Для проверки подключения внешних пользователей нужно убедиться в наличии подключения пользователей к серверу и порту пограничной службы доступа. Проверка подключения для внешних пользователей и внешнего доступа Проверка доступа внешних пользователей должна проводиться для всех поддерживаемых в организации типов внешних пользователей, включая все следующие типы или их часть. 123 Пользователи из по крайней мере одного федеративного домена (проверка обмена мгновенными сообщениями, сведениями о присутствии, общего доступа к аудио- и видеотрансляциям и рабочему столу)э. Пользователи всех общедоступных служб обмена мгновенными сообщениями, поддерживаемых в организации (для которых была проведена подготовка инфраструктуры). Анонимные пользователи. Пользователи в организации, которые выполняют удаленный вход в Lync, но без использования VPN. Эти тесты позволяют определить, выполняет ли пограничный сервер следующие действия. Прослушивание на нужных портах с использованием клиента telnet за пределами сети. Пример: telnet ae.contoso.com 443 Проведите предыдущий тест на портах, которые используются на пограничном сервере или пуле пограничных серверов (в зависимости от развертывания). Точное разрешение внешних имен DNS. Из-за пределов своей сети выполните проверку внешних полных доменных имен пограничного сервера или пула пограничных серверов. Даже если проверка завершится ошибкой, она покажет IP-адреса, которые можно будет сравнить с назначенными ранее. 124