Instalação do Lync Edge Server em DMZ Double Hop (pt-BR)

Artigo
17/01/2024

Introdução

Active Directory e Lync Standard

No artigo anterior sobre o Edge Server Instalação Lync Server Edge Server (pt-BR) configurei o server role sem separa-lo em uma DMZ. Neste artigo configuro o Edge server role em um DMZ separa por firewalls entre o Front End.

Todos os servidores estão instalado com Windows Server 2008 R2 Service Pack 1, o Lync Server Standard foi configurado com o domínio sip home.com.br e o domínio Active Directory tem o nome fqdn home.intranet

http://3.bp.blogspot.com/-CDX8ZYslWEY/TynFpp8sQLI/AAAAAAAAC7Q/ch2c18S9wwo/s640/topologia.jpg

Os servidores foram configurados da seguinte forma

Nome do Servidor	Role	Endereço IP
hm01.home.intranet	Controlador de Domínio e Autoridade Certificadora	192.168.1.200
Hm02.home.intranet	Lync Server Standard Edition	192.168.1.201
Hm10.home.intranet	TMG 2010 / Filtro de pacotes entre a rede interna e DMZ 1	IP1: 192.168.1.250 / DMZ1:172.16.0.250
HmRV.home.dmz	TMG 2010 com Reverse Proxy configurado / Filtro de pacote entre DMZ 1 e DMZ 2	DMZ11: 172.16.0.254 / DMZ2 :10.0.0.251
hmEdge.home.dmz	Lync Server Edge Server – não faz parte do domínio	DMZ 1: 172.16.0.200 / DMZ 2: 10.0.0.200, 10.0.0.201, 10.0.0.202
Firewall de Internet	Firewall com NAT ativo	DMZ 2 10.0.0.254 Internet: 223.0.0.1, 223.0.0.2, 223.0.0.3, 223.0.0.4

O pool de Lync Server foi atualizado com o Cumulative Pack 4 utilizando o procedimento do artigo Atualização do Lync Server Pool com Cumulative Update 4 (pt-BR)
No controlador de domínio foi criado uma zone chamada home.com.br com os registros

Tipo do Registro	FQDN	Endereço IP
A	admin.home.com.br	192.168.1.201
A	dialin.home.com.br	192.168.1.201
A	meet.home.com.br	192.168.1.201
A	Sip.home.com.br	192.168.1.201
SRV	Service: _sipinternaltls Protocolo: tcp Porta: 5061	Sip.home.com.br

Na zona do Active Directory home.intranet foi criado um registro para o servidor Edge.

http://3.bp.blogspot.com/-Tq0KskoJp-4/TyWXFu02j_I/AAAAAAAAC0k/LmhhiVhuuD4/s320/edge01.png

O registro do tipo Address resolve o nome FQDN HmEdge.home.intranet para o ip configurado na placa interna do servidor 172.16.0.200.

No DNS da internet foram criados os registros para o serviço do Edge Server:

URL Publico	IP	Tipo do Registro
sip.home.com.br	223.0.0.1	A
WebConf.home.com.br	223.0.0.2	A
AV.home.com.br	223.0.0.3	A
_sip._tls.home.com.br	sip.home.com.br:443	SRV
_sipfederationtls._tcp.home.com.br	sip.home.com.br:5061	SRV

Firewall Interno

O firewall interno Hm10.home.intranet esta executando Forefront Threat Management Gateway (TMG) 2010 Service Pack 2.
Os seguintes protocolos e portas precisam ser liberados entre a rede interna e a placa de rede interna do servidor Edge.

http://2.bp.blogspot.com/-_U8VYlMlAfA/TynF3qJqTjI/AAAAAAAAC7Y/RjMPUlKSqvc/s320/InstallEdge.jpg

Porta	Rede de Origem	Rede de Destino	Finalizadade
4443/TCP	Back End Server Role	Edge Server Role	Porta de replicação do Central Management Store para o Local Store no Edge Server
5062/TCP	Front End Server Role	Edge Server Role	Trafego de autenticação de sessão
443/TCP	Fron End Server Role / Edge Server Role / Rede Interna	Fron End Server Role / Edge Server Role	Trafego HTTPS deve ser liberado nos dois sentidos entre o Front End e Edge Server.
3478/UDP	Fron End Server Role / Edge Server Role / Rede Interna	Fron End Server Role / Edge Server Role	Porta utilizada pelo Web Conference service. O trafego desta porta deve ser liberado nos dois sentidos entre o Front End e Edge Server. Utilizado para sessões de Áudio e Vídeo
5061/TCP	Fron End Server Role / Edge Server Role	Fron End Server Role / Edge Server Role	Trafego Sip seguro, a porta deve ser liberado nos dois sentidos entre o Front End e Edge Server
8057/TCP	Front End Server	Edge Server	Porta das sessões dos clientes

Para o artigo vou demostrar as regras de liberação que configurei no TMG, não vou demostrar o passo a passo de cada regra.

Configurei duas entidades de rede para o firewall.

*Internal - representa todos os ip's da rede interna 192.168.1.0 à 192.168.1.255
Rede DM| 1 - *representa todos os ip's da rede * DMZ 1 172.16.0.0 à 172.16.0.255
*

http://4.bp.blogspot.com/-5tAlhSXBRhE/TyWqVJajZDI/AAAAAAAAC00/I7Np4roOj9k/s320/edge02.png

Entre as duas rede existe uma relação de Route, isso significa que não tenho NAT ativo entre a DMZ e rede interna!

http://2.bp.blogspot.com/-nxEEYgH0IAM/TyWqViLx1ZI/AAAAAAAAC08/DL2WR1IYFBE/s320/edge03.png

Os ip's são configurados nas placas de rede do firewall, a placa de rede interna não foi configurado endereço de gateway e a placa conectada à rede DMZ 1 foi configurado com o gateway 172.16.0.254 que é o segundo TMG configurado como Reverse Proxy e executa o roteamento e filtro entre a DMZ 1 e DMZ 2

http://1.bp.blogspot.com/--2PYerikp1E/TyWqWP4qyiI/AAAAAAAAC1E/hU-iXpZoQhg/s320/edge04.png

Foi criado dois objetos de rede:

*Front End / Back End
*

http://1.bp.blogspot.com/-N-antHLmY2s/TyWr-jprD6I/AAAAAAAAC1M/oVeB6lSjdJk/s320/edge05.png

Edge Server

http://2.bp.blogspot.com/-c0GcJSg1eLY/TyWr_DWx7iI/AAAAAAAAC1U/OhEol9UAvko/s320/edge06.png

Este objetos serão utilizados para as regras de liberação de portas entre o Lync Server Standard e o *Edge Server.
*Em seguida foram criados os protocolos, no console do TMG na guia Toolbox crie um novo protocolo.

http://2.bp.blogspot.com/-qwEVEab7RUM/TyWxsX3NVXI/AAAAAAAAC1c/i2rUGjPNAOI/s320/edge07.png

Foram criados três protocolos diferentes:

*MRAS Authentication
*

Porta: 5062
Protocolo: TCP
Direção:

*http://3.bp.blogspot.com/-O5R8f1BZcgQ/TyWxs0U1y_I/AAAAAAAAC1k/bwz5FmCc4mE/s320/edge08.png

*CMS Replica:
*

Porta: 4443
Protocolo: TCP
Direção: Saída

*http://2.bp.blogspot.com/-4nM7ApzdkPM/TynF7_RsmnI/AAAAAAAAC7g/EvU5CCWQ1lc/s320/edge56.png

*WebConf Traffic
*

Porta: 8057
Protocolo: TCP
Direção:

*http://4.bp.blogspot.com/-UydE2UBZE1o/TyWxuqC2RGI/AAAAAAAAC10/OCm51QNysUw/s320/edge10.png

*AV Traffic
*

Porta: 3478
Protocolo: UDP
Direção

*http://1.bp.blogspot.com/-fyW1R9Zq3C4/TyWxvP3305I/AAAAAAAAC18/HHRLVJJGqMU/s320/edge11.png

Com os protocolos e objetos criados falta somente criar as regras de liberação de trafego. Acesse a guia Tasks no console de gerenciamento do TMG e crie uma Create Access Rule.

http://1.bp.blogspot.com/-sX2dOzZ94uU/TyW1NnLMluI/AAAAAAAAC2g/i3ZxL8bC8KU/s1600/edge15.png

Foram criadas três regras de acesso:

Regra 1: Acesso Rede Interna ao Edge liberando os protocolos HTTPS e AV Traffic aos clientes da rede interna ao servidor Edge Server

http://4.bp.blogspot.com/-ZYBOQZHrF4s/TyWxwJTGsVI/AAAAAAAAC2U/XXcq4Xwuzsc/s640/edge14.png

Regra 2: Comunicação Front End Edge Server liberando os protocolos HTTPS, SIPS e AV Traffic nas duas direções de comunicação entre o Lync Standard e o Edge Server

http://1.bp.blogspot.com/-egaDLf83V1o/TyWxv4PlEYI/AAAAAAAAC2M/vE_RNC7aUPw/s640/edge13.png

Regra 3: Acesso Front End liberando os protocolos CMS Replica, MRAS Authentication e WebConf Traffic com origem no Lync Standard para Edge Server

http://4.bp.blogspot.com/-DU8cLw7jvPc/TyWxviIU0RI/AAAAAAAAC2E/gX_QFRGPkyA/s640/edge12.png

Para facilitar os testes de roteamento entre a rede DMZ 1 e a Rede Interna criei um regra permitindo ping.

http://1.bp.blogspot.com/-plOUP1Xn3v4/TynHtS9BLEI/AAAAAAAAC7w/DGL-jmIodKo/s640/edge58.png

Configuração da Política de Acesso Externo

Para permitir que os usuários se conectem pelo Edge Server é preciso alterar a política de acesso externo.
Logue no console de gerenciamento do Lync, na página External User Access clique na guia Access Edge Configuration. Edite e política padrão Global

http://3.bp.blogspot.com/-z6Rj4Dz9OWw/TyW6XZn77oI/AAAAAAAAC2o/Jqa-cEo6LfU/s320/edge16.png

Seleciona Enable remote user access e salve as alterações

http://3.bp.blogspot.com/-CjarISGNzLA/TyW6X-8SzeI/AAAAAAAAC2w/doY0RIaO9Bk/s320/edge17.png

Criação do Edge Pool

Para a criação do Edge Pool inicie o Topology Builder e selecione Download Topology from existing deployment.

http://4.bp.blogspot.com/-wSh2CR2Y4DI/TyXUkLZ_YpI/AAAAAAAAC3A/WsD5eeFINoM/s320/edge20.png

Selecione a pasta Edge Pool e na clique em New Edge pool....

http://3.bp.blogspot.com/-mLPp18SMpuw/TyXUk7M0BXI/AAAAAAAAC3I/q4HPuxsJsm0/s320/edge21.png

O assistente de configuração do Edge Pool inicia, avance para configurar o serviço

http://1.bp.blogspot.com/-MnOulP_xwSg/TyXUlSzBV6I/AAAAAAAAC3Q/HvoROwIZwFM/s320/edge22.png

Selecione a opção Single Computer pool e configure o fqdn interno do Edge Server nesse caso o nome fqdn *HmEdge.home.intranet *(esse registro deve ser criado manualmente no DNS do Active Directory Domain)

http://3.bp.blogspot.com/-UFoLwrssKHU/TyXUl5rHAdI/AAAAAAAAC3Y/hH2j1GJU0M4/s320/edge23.png

Vou configurar o Edge através de um NAT, por isso selecionei The external IP address of this Edge pool is translated by NAT

http://3.bp.blogspot.com/-hvwv4pwSCBE/TyXUmZuBayI/AAAAAAAAC3g/VHGEI0MTSV4/s320/edge24.png

Configure os fqdn's que serão utilizadas e as portas de cada serviço

Sip.home.com.br 443
WebConf.home.com.br 443
AV.home.com.br 443

http://4.bp.blogspot.com/-i8IxqWwlGMA/TyXUmwuG2QI/AAAAAAAAC3o/4-lj9yacq7E/s320/edge25.png

Configure o endereço IP configurado na placa de rede interna do Edge

172.16.0.200

http://1.bp.blogspot.com/-ctVfuiz4QBc/TyXUnaBK0lI/AAAAAAAAC3w/oqskZeMHM6U/s320/edge26.png

Configure os endereços ip's da placa de rede externa do servidor Edge

10.0.0.200
10.0.0.201
10.0.0.202

http://1.bp.blogspot.com/-Ze1xAyknoxs/TyXUn6sejJI/AAAAAAAAC34/SYkk7xh2p98/s320/edge27.png

Informe o ip válido configurado no firewall de internet

http://1.bp.blogspot.com/-6qVFcgZSnVE/TyXUoPAH2sI/AAAAAAAAC4A/R5J5oPGOC-A/s320/edge28.png

Associe o novo serviço ao pool existente

http://3.bp.blogspot.com/-cNgdbPTJ1PQ/TyXUovrPz8I/AAAAAAAAC4I/dWumkvQYoPA/s320/edge29.png

Selecione os Front End's do pool e finalize o assistente.

http://1.bp.blogspot.com/-0PsG5IFPr9c/TyXUpNznoiI/AAAAAAAAC4Q/AyIOvqDB_Nk/s320/edge30.png

De volta ao Topology Builder publique as alterações na topologia.

http://2.bp.blogspot.com/-5gh19HR5MYk/TyXUp3ZcWRI/AAAAAAAAC4Y/MJajb_BxbjE/s320/edge31.png

http://3.bp.blogspot.com/-q9CRQiZk6so/TyXUqWn8C1I/AAAAAAAAC4g/8IcnY3Env80/s320/edge32.png
http://1.bp.blogspot.com/-3_Vct2MuiRY/TyXUrPNHeUI/AAAAAAAAC4o/2Zaf2L4RgxY/s320/edge33.png

Com o pool configurado e criado no Central Management Store exporte as alterações para um arquivo para ser utilizado na instalação do serviço no servidor de destino. Inicie o Lync Server Management Shell e execute o cmdlet

Export-CsConfiguration <caminho do arquivo>

http://2.bp.blogspot.com/-sF7Lok0eLrY/TyXUrg8AwRI/AAAAAAAAC4w/_CVVWiS30p4/s320/edge34.png

Acesse o portal do servidor de certificado e exporte o certificado raiz para um arquivo.

http://1.bp.blogspot.com/-7XzxJlzuy4E/TyXUsNbAeOI/AAAAAAAAC44/GelZ0PmNS3M/s320/edge35.png

Salvei os dois arquivos na pasta local do C:\InstallEdge. Copie esta pasta para o servidor onde será instalado os serviços do Edge server;

http://4.bp.blogspot.com/-AwSUojvIFAQ/TyXUsrmtUZI/AAAAAAAAC5A/GV0-2Y1h4QY/s320/edge36.png

Configuração do Edge Server

O servidor que será instalado os serviços do Edge Server foi instalado com duas placas de rede, uma placa configurada na rede DMZ 1 e outra DMZ 2

http://3.bp.blogspot.com/-QiSx_VST5FQ/TyXeau8ZQRI/AAAAAAAAC5M/TaC0K7emZ6k/s320/edge37.png

A placa de rede interna foi configurada com o ip da rede DMZ 1, não foi configurado nenhum gateway ou servidor DNS nesta placa.

Ip: 172.16.0.200/24

http://1.bp.blogspot.com/-UYkElHQl1Ls/TyXebDBqAMI/AAAAAAAAC5U/t9swfM-CmZ0/s320/edge38.png

Na placa configurada com o ip da rede *DMZ 2, *foi configurado o endereço gateway o firewall que faz a conexão com a internet e um servidor DNS externo.

http://3.bp.blogspot.com/-kPiy34B09XY/TyXebXBx-tI/AAAAAAAAC5c/0fVPhuD1CiE/s320/edge39.png

O servidor do Edge server precisar acessar recursos da rede corporativa, com essa configuração de rede o servidor é incapaz de rotear requisição para a rede 192.168.1.0/24

http://1.bp.blogspot.com/-Rt8NFOmZHVM/TyXeb0ve-eI/AAAAAAAAC5k/HzTG0EWVxyA/s320/edge40.png

Isso ocorre porque o servidor não possui nenhuma rota para a rede corporativa,

route print

http://4.bp.blogspot.com/-jCl9r45b4nk/TyXecic5oAI/AAAAAAAAC5s/i1_G14Z069U/s320/edge41.png

Para permitir a comunicação do servidor com a rede corporativa é preciso adicionar uma rota de saída para a rede 192.168.1.0/24 pelo placa de rede interna do Edge Server. Para identificar qual a interface que será utilizada no comando route add execute o ipconfig /all e anote o endereço físico da placa de rede interna.

http://2.bp.blogspot.com/-xrFlyyS6wpY/TyXedZNMsYI/AAAAAAAAC5w/-94jBZUJmUI/s320/edge42.png

Identifique no route print qual o número da interface do endereço físico anotado. Nesse caso a placa de rede interna tem a identificação IF 12

http://3.bp.blogspot.com/-5PXNU-AuBJc/TyXedr1vh8I/AAAAAAAAC54/-hLAB1mFDuE/s320/edge43.png

Utilize o comando route add para adicionar a rota, utilize a opção -p para tornar a rota persistente e ela não ser perdida quando o servidor reiniciar

route add <rede destino> mask <mascara de identificação> <endereço gateway> if <identificação da placa de rede> -p

http://2.bp.blogspot.com/-D6w69rgKpKU/TyXed6QTw-I/AAAAAAAAC6E/-52_Qwka-tA/s640/edge44.png

Configure o sufixo dns no servidor Edge, o sufixo dns deve ser idêntico ao sufixo dns do Active Directory Domain.
Na guia de mudaça de nome do computados, clique em More

http://1.bp.blogspot.com/-AuiUUtlYmrk/TyXjZBw2DxI/AAAAAAAAC6Q/mpflKn_u1E8/s320/edge45.png

Na caixa de dialogo configure o Primary DNS suffix of this computer adicione o mesmo sufixo do Active Directory Domain. Não esqueça de criar um registro no dns da zona home.intranet apontando para o ip do servidor Edge, você precisa configurar essa entrada manualmente no DNS pois o servidor Lync Edge não faz parte do domínio Active Directory.

http://1.bp.blogspot.com/-O9U26VLU3jU/TyXjZp5dCwI/AAAAAAAAC6Y/QmW0gC_tm94/s320/edge46.png

Configure o arquivo hosts do servidor e adicione o nome fqdn e o endereço ip do controlador de domínio e do Lync Server Standard

C:\Windows\System32\drivers\etc\hosts

http://1.bp.blogspot.com/-9qYXbvPwaPI/TyXlG4mq36I/AAAAAAAAC6g/dxU_9fedkPE/s320/edge47.png

Copie a pasta com o certificado raiz da certificadora e o arquivo de configuração gerado no Front End para a raiz do servidor;

http://4.bp.blogspot.com/-AwSUojvIFAQ/TyXUsrmtUZI/AAAAAAAAC5A/GV0-2Y1h4QY/s320/edge36.png

Inicie um console de administração executando o comando mmc no executar, e selecione o Snap-In Certificates

http://4.bp.blogspot.com/-l35_sdmJ28M/TyXmrAnvGeI/AAAAAAAAC6o/QtPMaBX5TKE/s320/edge48.png

Selecione a gerencia do *Computer account *

http://4.bp.blogspot.com/-hKNpLiribFs/TyXmrY4WjBI/AAAAAAAAC6w/PtSiZs_gNtI/s320/edge49.png

Selecione Local Computer

http://1.bp.blogspot.com/-jrCPm1a0s54/TyXmr1puKZI/AAAAAAAAC64/5VhFTxbesUs/s320/edge50.png

No console clique com o botão direito sobre Trusted Root Certification Authorities selecione All Tasks e clique em Import

http://4.bp.blogspot.com/-JY8firMy4m8/TyXmsYEN-PI/AAAAAAAAC7A/kimXXEo8Xvg/s320/edge51.png

Selecione o certificado raiz e finalize o console

http://2.bp.blogspot.com/-7GDg6kMplso/TyXms6rmSqI/AAAAAAAAC7I/79K6gOk4F_M/s320/edge52.png

Com as alteração de rota e no arquivo hosts o ping pelo nome fqdn do Lync Standard é completado com sucesso.

http://2.bp.blogspot.com/-QtAE9Yu2TAA/TynHtG8FUWI/AAAAAAAAC7o/f9jGD70smbQ/s320/edge57.png

Antes de prosseguir com a instalação dos serviços do Edge Server é recomendado reiniciar o servidor para aplicar todas as alterações realizadas.

Instalação dos Serviços do Edge Server

Criação do Local Configuration Store

Para iniciar a instalação do serviço do Edge Server monte a mídia de instalação do Lync no servidor e inicie o assistente de instalação. O assistente instala o *Visual C++ 2008 *

http://3.bp.blogspot.com/-4_Lo74WXspU/TynLajceOAI/AAAAAAAAC8A/dMoGZdy5ME8/s320/edge60.png

Em seguida instale os componentes base do Lync Server

http://2.bp.blogspot.com/-Vk54oD7uzGw/TynLbOYbIYI/AAAAAAAAC8I/w62IfweoAWg/s320/edge61.png
http://1.bp.blogspot.com/-aHB867661Qw/TynLb1qOVNI/AAAAAAAAC8Q/xbHhlvugQKE/s320/edge62.png

No assistente de instalação clique em Install or Update Lync Server System

http://1.bp.blogspot.com/-I4gYk7oct-I/TynP8xH-DqI/AAAAAAAAC8Y/Hkc3grxdbdA/s320/edge63.png

Inicie o primeiro passo *Install Local Configuration Store *

http://4.bp.blogspot.com/-o5TdhmxyaSw/TynP9j7wMxI/AAAAAAAAC8g/Ve7bnUQETLg/s320/edge64.png

Selecione o arquivo criado com o Export-CsConfiguration

http://4.bp.blogspot.com/-42PrqlScP3M/TynP-RKm3aI/AAAAAAAAC8o/yb9G23qQiF0/s320/edge65.png

Verifique se nenhum erro ocorreu e finalize o primeiro passo

http://2.bp.blogspot.com/-9cWh0PwJMFg/TdB_ZwCaQyI/AAAAAAAAAhY/9Sc6N980VWQ/s400/edg09.png

Inicie o segundo passo *Setup or Remove Lync Server Components *

http://2.bp.blogspot.com/-8lph0H6wMSE/TynP_F5x1_I/AAAAAAAAC8w/hKbl88Bx564/s320/edge66.png

Instalação dos Serviços e Componentes

Avance para iniciar a instalação

http://3.bp.blogspot.com/-vjv9fuwslHA/TynP_hPiSaI/AAAAAAAAC84/oWVlRYKF9aY/s320/edge67.png

Verifique se nenhum erro foi logado e finalize o segundo passo

http://2.bp.blogspot.com/-FvtR6bhmzro/TynQBSaSyeI/AAAAAAAAC9A/c6dctDGJP1k/s320/edge68.png

Criação do Certificados Digitais

O terceiro passo o assistente configura os certificados digitais utilizados na comunicação dos clientes e com os outros servidores do pool.
Clique em Run para inciar *Request, Install or Assing Certificates *

http://4.bp.blogspot.com/-8G3ljur3b3o/TynZH-YwIyI/AAAAAAAAC9I/94R112VflSY/s320/edge69.png

Selecione a Edge Internal para emitir o certificado utilizado na placa de rede interna. Clique em Request

http://3.bp.blogspot.com/-4sp8L0uB_xM/TynZIQ4-7PI/AAAAAAAAC9M/Pykdo_VsLwE/s320/edge70.png

Avance para iniciar o assistente do certificado

http://3.bp.blogspot.com/-DwHzDg1jBNo/TynZI7JllEI/AAAAAAAAC9U/wHpqVe20bRI/s320/edge71.png

Selecione a opção Prepare the request now, but send it later (offline certificate request). Essa opção gera um arquivo para ser importado na certificadora

http://4.bp.blogspot.com/-2bMA5X35lpo/TynZJJ3gHmI/AAAAAAAAC9g/d56uMv4hw9c/s320/edge72.png

Selecione o caminho do arquivo

http://3.bp.blogspot.com/-Cq6suHUI45k/TynZJwBsN2I/AAAAAAAAC9o/OMmrlJDJaSE/s320/edge73.png

Não altere nenhuma configuração em Certificate Template

http://2.bp.blogspot.com/-XyvaBRS-alY/TynZKVuQiLI/AAAAAAAAC9w/HC0gPz7qMvs/s320/edge74.png

Configure o Friendly Name para o certificado e marque a opção Mark the certificate's private key as exportable. O Friendly Name do certificado pode ser configurado com qualquer nome, este valor não altera nenhuma funcionalidade do certificado

http://2.bp.blogspot.com/-64d1MrDRkeI/TynZKz3bV7I/AAAAAAAAC94/7s8rKckUKMw/s320/edge75.png

Configure as informações da organização no certificado

http://3.bp.blogspot.com/-Wo8fXOzrN1I/TynZLQaE5zI/AAAAAAAAC-A/Ek1x5fzMAMc/s320/edge76.png

Configure as informações geograficas

http://4.bp.blogspot.com/-cQJwLmQ5vH4/TynZLzWE2sI/AAAAAAAAC-I/KD_s2W5Qc0Y/s320/edge77.png

Em Subject Name deve ser configurado com o nome fqdn criado no DNS do Active Directory Domain

http://2.bp.blogspot.com/-mAo6fTQkXq4/TynZMXesxvI/AAAAAAAAC-Q/ACyeJROBtmE/s320/edge78.png

Não é necessário adicionar nenhum Subject Alternative Names

http://3.bp.blogspot.com/-RKHEhTCge2w/TynZOJTtLoI/AAAAAAAAC-Y/7xTQkjEIhDk/s320/edge79.png

Verifique se todas as informações estão corretas e finalize o assistente

http://3.bp.blogspot.com/-iG-2E8QTcjk/TynZOuFCjtI/AAAAAAAAC-k/wFRMCUNcSE0/s320/edge80.png
http://1.bp.blogspot.com/-GZmXXIHjw0g/TynZPWaL18I/AAAAAAAAC-s/rRa157_vTNM/s320/edge81.png

Finalize o assistente.

http://3.bp.blogspot.com/-arziywYVwx4/TynZPxK1MvI/AAAAAAAAC-0/7-0Nv4fQHP8/s320/edge82.png

De volta ao Certificate Wizard selecione External Edge certificate e clique em Request

http://3.bp.blogspot.com/-wttTpmrbzeo/TynZQrv6EdI/AAAAAAAAC-8/Mi5jvQNDf4w/s320/edge83.png

O processo é o mesmo realizado para o certificado interno, altere somente o nome do arquivo da requisição

http://3.bp.blogspot.com/-euBkRAaz6Ro/TynZRDlFSiI/AAAAAAAAC_E/3AGzqyI89dg/s320/edge84.png

E os nomes que serão configurados o certificado, o assistente adiciona os nomes configurados para os serviços no Standard Pool

http://2.bp.blogspot.com/-hQy4Wdkmwyo/TynZRfiBBHI/AAAAAAAAC_M/7ontYAGgcXg/s320/edge85.png

No final do processo temos dois arquivos para gerar os certificados digitais, copie os dois para algum servidor da rede interna.

http://3.bp.blogspot.com/-74Wa4bZZ764/TynqW0Xe26I/AAAAAAAAC_Y/66m2tqIcNNo/s320/edge86.png

O conteúdo dos arquivos se assemelha

http://1.bp.blogspot.com/-rI6PXOvOTDw/TynsvtJC_iI/AAAAAAAADCI/iQmAEMFm2WQ/s320/edge86_2.png

Acesse o Web Certificate Enrrolement nessa estrutura o controlador de domínio possui a certificadora enterprise instalada. Clique em *Request a certificate *

http://3.bp.blogspot.com/-aNiPotJP9Zw/TynqY9l7nvI/AAAAAAAAC_g/9dQao0F5Vig/s320/edge87.png

Selecione Advanced certificate request

http://3.bp.blogspot.com/--BA5WOsh9QE/TynqagSPXdI/AAAAAAAAC_o/yNnN3eByEN8/s320/edge88.png

Clique Submit a certificate by using a base-64 encoded CMC or PKCS # 10 file, or submit a renewal request by using a base 64-encoded PKCS #7 fiel

http://2.bp.blogspot.com/-neK8KPHRgVk/TynqbaEShkI/AAAAAAAAC_w/O48GSfbDGB8/s320/edge89.png

Em Saved Request copie o conteúdo de um arquivo de request e cole neste local. Em Certificate Template selecione Web Server e clique em Submit

http://1.bp.blogspot.com/-uicbHmBpBho/Tynqb3Boi-I/AAAAAAAAC_4/PkTShz-o1Hs/s320/edge90.png

O certificado é gerado, pelo portal salve em um arquivo e repita o mesmo processo para o certificado da rede externa

http://2.bp.blogspot.com/-rhRwLwm58yE/TynqcsqWzFI/AAAAAAAADAA/8Tk_WCjkTPU/s320/edge91.png

Na pasta de destino temos os dois certificados emitidos

http://2.bp.blogspot.com/-4V7IXIC8MjA/TynqdIMRAaI/AAAAAAAADAI/1SHVZp9Q56U/s320/edge92.png

Copie a pasta para o servidor Edge, acesse o console de gerenciamento com o Snap-In de certificado no computados local e importe os dois certificados

http://3.bp.blogspot.com/-MgfdH81XWfY/TynqdvzM7CI/AAAAAAAADAQ/lkF-_KXrOeg/s320/edge93.png

Selecione o caminho do arquivo

http://1.bp.blogspot.com/-Za6hgYGWncY/Tynqd7m-rzI/AAAAAAAADAY/yOLurzBY5Gs/s320/edge94.png

Os certificados importados devem ser listados como se segue, as chaves privadas devem fazer parte do certificado para que eles possam ser utilizados pelos serviços do Edge Server

http://4.bp.blogspot.com/-Dxj2c3Rnupk/Tynqfr0-a0I/AAAAAAAADAg/QkdQw5fWeJw/s320/edge95.png

Retorne ao assistente de instalação do Lync, na guia do Certificate Wizard. Selecione o Edge Internal e clique em Assign

http://2.bp.blogspot.com/-0FMj5521OxU/TynqgNwt2OI/AAAAAAAADAo/xyE-yS8LFaY/s320/edge96.png

Avance para iniciar a instalação do certificado

http://4.bp.blogspot.com/-SCBGoFmGjzY/TynqgkYHHtI/AAAAAAAADAw/LcRFC3chpPw/s320/edge97.png

Marque o certificado gerado para a placa de rede interna

http://4.bp.blogspot.com/-E2ZljO9eVgw/Tynqho_0axI/AAAAAAAADA4/us_aqBU7W8M/s320/edge98.png

Verifique as informações do certificado e se o nome fqdn esta correto e avance iniciar a importação

http://2.bp.blogspot.com/-KH1yOUcYVHs/TynqjhvnLnI/AAAAAAAADBA/GQNNghcGPNc/s320/edge99.png

Verifique se nenhum erro ocorreu e finalize o assistente

http://3.bp.blogspot.com/-mMwEmL1YrRE/TynqkZ8XdgI/AAAAAAAADBI/H-axnTJepgw/s320/edge100.png

De volta ao assitente de certificado realize o mesmo procedimento, so que desta vez selecione a External Edge Certificate

http://4.bp.blogspot.com/-4mQoGSuiKio/Tynqk9vhJSI/AAAAAAAADBQ/C-NzjTfoTfc/s320/edge101.png

E marque o certificado gerado para a rede externa

http://1.bp.blogspot.com/-Qb0DdDceiWg/TynqlmbDKGI/AAAAAAAADBY/CRQhcR_fKMM/s320/edge102.png

Inicie os Serviços do Lync Edge

Execute o passo Start Service para iniciar todos os serviços do Edge;

http://1.bp.blogspot.com/-WOoQctRcHP4/TynqnYhRdXI/AAAAAAAADBg/-DUCFZoCfOc/s320/edge103.png
http://4.bp.blogspot.com/-PUJFatks4lE/TynqoNsQQwI/AAAAAAAADBo/el3Pj7I6log/s320/edge104.png

Inicie o console de gerenciamento de serviços e certifique-se que todos os serviços foram criados

http://1.bp.blogspot.com/-LPLOmFWdjrw/Tynq4Ez92GI/AAAAAAAADCA/8w9Qi_PTUb4/s320/edge106.png

Replicação Entre Back End e Edge Server

No servidor Edge Server o assistente criou uma pasta compartilhada chamada xds-replica. As alterações na topologia e replicações necessárias para o Edge serão salvas nesta pasta pelo serviço de replicação do Back End e os serviços instalados no Edge aplicam as alterações necessárias.

http://1.bp.blogspot.com/-_AQKuZVlQoE/TysoIZu18BI/AAAAAAAADCo/L23lwCxGAok/s1600/edge110.png

Para iniciar o processo de replicação do Back End para o Local Store no servidor Edge execute o cmdlet

Invoke-CsManagementStoreReplication

http://2.bp.blogspot.com/-OCxtEpdnFdk/TysoH7CeCHI/AAAAAAAADCY/AxGiTA_sp2c/s640/edge108.png

Isso força toda a topologia verificar por atualizações no Back End, apos a execução do comando.
Utilize o cmdLet:

Get-CsManagementStoreReplication

http://2.bp.blogspot.com/-2BvNyYAx4EA/TysoICaw6jI/AAAAAAAADCg/gEseVy8zPfw/s320/edge109.png

Dependendo do tamanho da estrutura e do link disponível entre os server roles o status dos servidores pode demorar um pouco a atualizarem, para um ambiente simples com um Standard Pool e um Edge Server a atualização leva menos de um minuto. Se todas as configurações foram efetuadas com sucesso o status deve ser atualizado para:

http://3.bp.blogspot.com/-IHVROeIzbbA/TysoHbNHwtI/AAAAAAAADCQ/_Od8XtYGnL0/s320/edge107.png

Publicação do Edge Server

A publicação dos serviços para os clientes utilizando a internet é necessário a liberação das seguintes portas do firewall de internet para os ip's das placas de rede externa do servidor Edge.

http://1.bp.blogspot.com/-ye7rR03_FtI/TysxISsySiI/AAAAAAAADCw/_h3TyxZ8gRk/s320/FWExt.jpg

As portas 50000 - 59999/TCP e 50000-59999/UDP são necessárias somente se a federação com o Office Communicator 2007 ou Live Messeger estiver configurada.

Referencia

http://technet.microsoft.com/en-us/library/gg425891.aspx
http://www.microsoft.com/download/en/details.aspx?id=6797
http://technet.microsoft.com/en-us/library/gg398918.aspx

Este artigo foi originalmente escrito por:
Fernando Lugão Veltem
**blog: **http://flugaoveltem.blogspot.com
**twitter: **@flugaoveltem

Compartilhar via