在 Skype for Business Server 中部署边缘服务器

总结：了解如何将边缘服务器部署到Skype for Business Server环境中。

以下部分包含在查看 Skype for Business Server 文档中Skype for Business Server规划边缘服务器部署后要遵循的步骤。 部署步骤如下：

• 网络接口

• 安装

• 证书

• 启动边缘服务器

网络接口

如规划中所述，你将在托管边缘服务器的外围网络中配置 DNS，或者在外围网络中不使用 DNS 来配置网络接口。

使用外围网络中 DNS 服务器的接口配置

1. 为每个边缘服务器安装两个网络适配器，一个用于面向内部的接口，一个用于面向外部的接口。

   注意

   内部子网和外部子网不得相互路由。

2. 在外部接口上，你将配置以下选项 之一 ：

   a. 在外部外围网络子网上配置三个静态 IP 地址，并将默认网关指向外部防火墙的内部接口。 配置适配器 DNS 设置以指向一对外围 DNS 服务器。

   b. 在外部外围网络子网上配置一个静态 IP 地址，并将默认网关指向外部防火墙的内部接口。 配置适配器 DNS 设置以指向一对外围 DNS 服务器。 仅当之前已将拓扑配置为在端口分配中具有非标准值时，此配置才可接受，这在为 Skype for Business Server 创建边缘拓扑一文中进行了介绍。

3. 在内部接口上，在内部外围网络子网上配置一个静态 IP，并且不设置默认网关。 配置适配器 DNS 设置，以指向至少一台 DNS 服务器，但最好是一对外围 DNS 服务器。

4. 在内部接口上创建到客户端、Skype for Business Server和 Exchange 统一消息 (UM 服务器所在的所有内部网络的持久性静态路由) 。

不使用外围网络中 DNS 服务器的接口配置

1. 为每个边缘服务器安装两个网络适配器，一个用于面向内部的接口，一个用于面向外部的接口。

   注意

   内部子网和外部子网不得相互路由。

2. 在外部接口上，你将配置以下选项 之一 ：

   a. 在外部外围网络子网上配置三个静态 IP 地址。 还需要在外部接口上配置默认网关，例如，将面向 Internet 的路由器或外部防火墙定义为默认网关。 将适配器 DNS 设置配置为指向一台外部 DNS 服务器，最好是一对外部 DNS 服务器。

   b. 在外部外围网络子网上配置一个静态 IP 地址。 还需要在外部接口上配置默认网关，例如，将面向 Internet 的路由器或外部防火墙定义为默认网关。 将适配器 DNS 设置配置为指向一台外部 DNS 服务器，最好是一对外部 DNS 服务器。 仅当之前已将拓扑配置为在端口分配中具有非标准值时，此配置才可接受，这在为 Skype for Business Server 创建边缘拓扑一文中进行了介绍。

3. 在内部接口上，在内部外围网络子网上配置一个静态 IP，并且不设置默认网关。 另外将适配器 DNS 设置留空。

4. 在内部接口上创建到客户端、Skype for Business Server和 Exchange 统一消息 (UM 服务器所在的所有内部网络的持久性静态路由) 。

5. 编辑每个边缘服务器上的 HOST 文件，以包含下一跃点服务器或虚拟 IP (VIP) 的记录。 此记录将是你在拓扑生成器中配置为边缘服务器下一跃点地址的控制器、Standard Edition 服务器或前端池。 如果使用 DNS 负载均衡，请为下一跃点池的每个成员添加一行。

安装

若要成功完成这些步骤，需要遵循创建适用于Skype for Business Server的 Edge 拓扑一文中的步骤。

1. 使用本地管理员组中的帐户登录到已为边缘服务器角色配置的服务器。

2. 你将需要在此计算机上的边缘服务器拓扑文档末尾复制的拓扑配置文件。 访问保存该配置文件的外部介质（如 USB 驱动器或共享）。

3. 启动 部署向导。

4. 向导打开后，单击“安装”或“更新Skype for Business Server系统”。

5. 向导将运行检查，以查看是否已安装任何内容。 由于这是首次运行向导，因此需要从 步骤 1 开始。安装本地配置存储区。

6. 将显示 “配置中央管理存储的本地副本 ”对话框。 需要单击“ 从文件导入”， (“建议用于边缘服务器”) 。

7. 从这里，浏览到你先前导出拓扑的位置，选择 .zip 文件，然后单击“打开”，再单击“下一步”。

8. 部署向导将读取配置文件并将 XML 配置文件写入本地计算机。

9. “正在执行命令”过程完成后，单击“完成”。

10. 在部署向导中，单击“步骤 2”。设置或删除Skype for Business Server组件。 然后，向导将安装存储在本地计算机上的 XML 配置文件中指定的 Skype for Business Server Edge 组件。

11. 安装完成后，可以转到以下 “证书 ”部分中的步骤。

证书

可以在边缘证书规划文档中找到边缘服务器的证书要求。 设置证书的步骤如下。

注意

运行证书向导时，需要以帐户身份登录，该帐户对要使用的证书模板类型具有正确的权限。 默认情况下，Skype for Business Server证书请求将使用 Web 服务器证书模板。 如果使用 RTCUniversalServerAdmins 组的成员通过此模板请求证书的帐户登录，请进行双重检查，以确保为该组分配了使用该模板的“注册”权限。

内部边缘接口证书

1. 下载或导出 CA 认证链

    a. 使用 certsrv 网站下载

      我。 以本地管理员组的成员身份登录到内部网络中Skype for Business Server。

      第二。 打开 “启动”， 然后运行 (或 搜索 并 运行 ) ，然后键入以下内容：

https://<NAME OF YOUR ISSUING CA SERVER>/certsrv

      例如：

https://ca01/contoso.com/certsrv

      第三。 在颁发 CA 的 certsrv 网页上的 “选择任务”下，单击“ 下载 CA 证书、证书链或 CRL”。

      四。 在“下载 CA 证书、证书链或 CRL”下，单击“下载 CA 证书链”。

      V。 在“文件下载”框中，单击“保存”。

      六。 将 .p7b 文件保存到服务器上的硬盘驱动器，然后将其复制到每个边缘服务器上的文件夹。

   b. 使用 MMC 导出

      我。 你可以使用 MMC 从任何加入域的计算机导出 CA 根证书。 依次单击“开始”和“运行”，或者单击“搜索”后键入“MMC”打开。

      第二。 在 MMC 控制台中，单击“文件”，然后单击“添加/删除管理单元”。

      第三。 从“添加或删除管理单元”对话框列表中，选择“证书”，然后单击“添加”。 系统提示时，选择“计算机帐户”，然后选择“下一步”。 在“选择计算机”对话框中，选择“本地计算机”。 单击“完成”，然后单击“确定”。

      四。 展开“证书(本地计算机)”。 展开“受信任的根证书颁发机构”。 选择“证书”。

      V。 单击由 CA 颁发的根证书。 右键单击该证书，选择菜单上的“所有任务”，然后选择“导出”。

      六。 “证书导出向导”随即打开。 单击“下一步”。

      七。 打开“导出文件格式”对话框，选择要导出到的格式。 我们的建议是“加密消息语法标准 – PKCS #7 证书(P7b)”。 如果这也是你的选择，请记住还要选中“ 如果可能，请在认证路径中包含所有证书 ”复选框，因为这样也会导出证书链，包括根 CA 证书和任何中间证书。 单击" 下一步"。

      八。 在“要导出的文件”对话框的文件名输入框中，键入导出的证书的路径和文件名（默认扩展名为 .p7b）。 如果操作更简单，请选择“ 浏览 ”按钮转到要将导出的证书保存到的位置，并在此处命名导出的证书。 单击“ 保存”，然后在准备就绪时 单击“下一步 ”。

      九。 查看操作摘要，然后单击“完成”完成证书的导出。 单击“确定”确认导出成功。

      X。 将 .p7b 文件复制到每个边缘服务器。

2. 导入 CA 认证链

   a. 在每个边缘服务器上，打开 MMC (选择 “启动 和 运行”或 “搜索”，然后键入 MMC 以打开) 。

   b. 在“文件”菜单上，单击“添加/删除管理单元”，然后选择“添加”。

   c. 在“添加或删除管理单元”框中，单击“证书”，然后单击“添加”。

   d. 在“证书管理单元”对话框中，单击“计算机帐户”，然后单击“下一步”。

   e. 在“选择计算机”对话框中，确保选中“本地计算机: (运行此控制台的计算机)”复选框，然后单击“完成”。

   F。 单击“关闭”，然后单击“确定”。

   G。 在控制台树中，展开“证书(本地计算机)”，右键单击“受信任的根证书颁发机构”，转到“所有任务”，然后单击“导入”。

   H。 在出现的向导中，在“要导入的文件”文本框中，指定证书的文件名（在上一节中你赋予 .p7b 文件的名称）。 单击“下一步”。

   我。 应选中“将所有的证书放入下列存储，作为受信任的根证书颁发机构”单选按钮。 单击“下一步”。

   J。 查看摘要，然后单击“完成”以完成导入。

   K。 需要针对要部署的每个边缘服务器执行此操作。

3.创建证书请求

   a. 登录到其中一台边缘服务器，启动部署向导，在 “步骤 3：请求、安装或分配证书”中，单击“ (运行 ”或“ 再次运行”（如果已) 运行此向导）。

   b. 在“证书请求”页上，确保“内部边缘证书”已选中，然后单击“请求”。

   c. 在“ 延迟或即时请求 ”页上，如果你有权从 Edge 环境中访问请求，请选择“ 立即将请求发送到联机证书颁发机构 ”，或者 选择“立即准备请求”，但稍后再发送 。

   d. 在“证书请求文件”页上，输入将保存该文件的完整路径和文件名（例如，c:\SkypeInternalEdgeCert.cer）。 单击“下一步”。

   e. 在“指定替代证书模板”页上，要使用除默认 WebServer 模板之外的模板，请选中“使用选定证书颁发机构的备用证书模板”复选框。 否则，什么也不做。

   F。 在“名称和安全设置”页上，执行以下操作：

       我。 在“友好名称”中，输入证书的显示名称（例如，内部边缘）。

       第二。 在“位长度”中，选择位长度（默认为 2048，设得越长越安全，但是会降低性能）。

       第三。 如果需要可导出的证书，必须选中“将证书私钥标记为可导出”复选框。

       四。 单击" 下一步"。

   G。 在“组织信息”页上，输入组织和组织单位 (OU) 的名称。 可以输入分部或部门（如 IT）。

   H。 在“地理信息”页上，输入位置信息。

   我。 在“使用者名称/使用者替代名称”页上，这应该由向导自动填充。

   J。 在“配置其他使用者替代名称”页上，需要添加所需的任何其他使用者替代名称。

   K。 在 “请求摘要 ”页上，查看将用于生成请求的证书信息。 如果需要进行更改，现在就返回并执行更改。

   我。 然后单击“ 下一步 ”生成需要提供给 CA 的 CSR 文件 (也可以单击“ 查看日志 ”查看证书请求的日志) 。

   m. 生成请求后，可以单击“查看”来查看证书，然后单击“完成”关闭窗口。 CSR 文件的内容需要提供给 CA，这样他们才能生成证书，让你在下一节将其导入此计算机。

4.导入证书

   a. 以本地管理员组的成员身份登录到在上一个过程中发出证书请求的边缘服务器。

   b. 在部署向导中的 步骤 3 旁边。请求、安装或分配证书，单击“ 再次运行”。

   c. 在“可用的证书任务”页上，单击“从 .P7b、.pfx 或 .cer 文件导入证书”。

   d. 在“导入证书”页上，键入上一节中获得的证书的完整路径和文件名（也可单击“浏览”查找并选择该文件）。

   e. 如果要为 Edge 池的其他成员导入证书，并且证书包含私钥，请确保选择包含证书私钥的证书文件检查框，并指定密码。 单击“下一步”继续。

   F。 在“摘要 ”页上，在确认信息后单击“ 下一步 ”，在成功导入证书后 单击“完成 ”。

5.导出证书

   a. 确保已以本地 Administrators 组的成员身份登录到以前将证书导入到的边缘服务器。

   b. 单击“开始”、“运行 (”或打开“搜索) ”，然后键入 MMC。

   c. 从 MMC 控制台中，单击“文件”，再单击“添加/删除管理单元”。

   d. 从“添加或删除管理单元”框中，单击“证书”，再单击“添加”。

   e. 在“证书”管理单元对话框中，选择“计算机帐户”。 单击“下一步”。

   F。 在“选择计算机”对话框中，选择“本地计算机: (运行此控制台的计算机)”。 单击“完成”。 单击“确定”，MMC 控制台的配置即告完成。

   G。 双击“证书(本地计算机)”展开证书存储。 双击“个人”，然后单击“证书”。

注意

你可能在此处，并且在本地计算机的证书个人存储中看不到任何证书。 无需四处搜寻，如果密钥不存在，则导入的证书没有与之关联的私钥。 再次尝试上述请求和导入步骤，如果确定正确，请与 CA 管理员或提供商联系。

   H。 在本地计算机的 “证书个人”存储 中，右键单击要导出的证书。 从得到的菜单中选择“所有任务”，然后单击“导出”。

   我。 在“证书导出向导”中，单击“下一步”。 选择“是，导出私钥”。 单击“下一步”。

   J。 在“导出文件格式”对话框中，选择“个人信息交换 - PKCS#12 (.PFX)”，然后选择以下选项：

       我。 如果可能，则数据包括证书路径中的所有证书。

       第二。 导出所有扩展属性。

注意

切勿选择“如果导出成功，删除私钥”。 这意味着你必须将证书和私钥重新导入到此边缘服务器。

   K。 如果要分配密码来保护私钥，可以键入私钥的密码。 重新输入该密码进行确认，然后单击“下一步”。

   我。 为导出的证书键入路径和文件名，并使用文件扩展名 .pfx。 该路径需要由池中的其他边缘服务器访问，或者需要通过外部媒体 (（如 U 盘) ）移动文件。 做出选择后，单击“ 下一步 ”。

   m. 查看“正在完成证书导出向导”对话框中的摘要，然后。单击“完成”。

   n. 在成功导出对话框中单击“确定”。

6.分配证书

   a. 在每个边缘服务器上，在部署向导中的 步骤 3 旁边。请求、安装或分配证书，再次单击“ 运行”。

   b. 在“可用的证书任务”页上，单击“分配现有证书”。

   c. 在“证书分配”页上，选择列表中的“边缘内部”。

   d. 在 “证书存储 ”页上，从上一节) 中选择为内部 Edge (导入的证书。

   e. 在“证书分配摘要”页上，检查设置，然后单击“下一步”分配证书。

   F。 在向导完成页上，单击“完成”。

   G。 完成此过程后，最好在每个边缘服务器上打开“证书”MMC 管理单元，展开“ 证书 (本地计算机) ”，展开“ 个人”，单击“ 证书”，然后确认详细信息窗格中列出了内部 Edge 证书。

外部边缘接口证书

1.创建证书请求

   a. 登录到其中一台边缘服务器，启动部署向导，在 “步骤 3：请求、安装或分配证书”中，单击“ (运行”或“ 再次运行”（如果已) 运行此向导）。

   b. 在“可用的证书任务”页上，单击“创建新的证书请求”。

   c. 在“证书请求”页上，确保“外部边缘证书”已选中，然后单击“下一步”。

   d. 在“延迟的请求或即时请求”页上，单击“现在准备请求，但稍后发送”。

   e. 在“证书请求文件”页上，输入将保存该文件的完整路径和文件名（例如，c:\SkypeInternalEdgeCert.cer）。 单击“下一步”。

   F。 在“指定替代证书模板”页上，要使用除默认 WebServer 模板之外的模板，请选中“使用选定证书颁发机构的备用证书模板”复选框。

   G。 在“名称和安全设置”页上，执行以下操作：

       我。 在“友好名称”中，键入证书的显示名称（例如，外部边缘）。

       第二。 在“位长度”中，选择位长度（默认为 2048，设得越长越安全，但是会降低性能）。

       第三。 如果需要可导出的证书，必须选中“将证书私钥标记为可导出”复选框。

       四。 单击" 下一步"。

   H。 在“组织信息”页上，输入组织和组织单位 (OU) 的名称。 可以输入分部或部门（如 IT）。

   我。 在“地理信息”页上，输入位置信息。

   J。 在“使用者名称/使用者替代名称”页上，所需的信息由向导自动填充。

   K。 在“主题备用名称的 SIP 域设置 (SAN) ”页上，检查域复选框以添加 sip。<主题可选名称列表的 sipdomain> 条目。

   我。 在“配置其他使用者替代名称”页上，需要添加所需的任何其他使用者替代名称。

   m. 在 “请求摘要 ”页上，查看将用于生成请求的证书信息。 如果需要进行更改，现在就返回并执行更改。

   n. 准备就绪后，单击“ 下一步 ”生成需要提供给 CA 的 CSR 文件 (也可以单击“ 查看日志 ”查看证书请求的日志) 。

   o. 生成请求后，可以单击“查看”来查看证书，然后单击“完成”关闭窗口。 CSR 文件的内容需要提供给 CA，这样他们才能生成证书，让你在下一节将其导入此计算机。

   P。 （可选）在提交 CSR 的内容后，可能需要你提供某些信息，具体如下（CA 之间差异很大，所有这可能不是必需的）：

• Microsoft 作为服务器平台

• IIS 作为版本

• Web Server 作为使用类型

• PKCS7 作为响应格式

2.导入证书

   a. 以本地管理员组的成员身份登录到在上一个过程中发出证书请求的边缘服务器。

   b. 在部署向导中的 步骤 3 旁边。请求、安装或分配证书，单击“ 再次运行”。

   c. 在“可用的证书任务”页上，单击“从 .P7b、.pfx 或 .cer 文件导入证书”。

   d. 在“导入证书”页上，键入上一节中获得的证书的完整路径和文件名（也可单击“浏览”查找并选择该文件）。 如果证书包含私钥，请确保选择 “证书文件包含证书的私钥”，并输入私钥的密码。 完成后单击“下一步”。

   e. 在“导入证书摘要”页上，查看摘要信息，然后单击“下一步”。

   F。 在 “执行命令 ”页上，可以通过单击“ 查看日志”来查看导入完成后的结果。 单击“完成”完成证书导入。

   G。 如果池中有其他边缘服务器，则还需要遵循接下来的两个过程。 如果这是独立的边缘服务器，则你已完成外部证书。

3.导出证书

   a. 确保已以本地管理员身份登录到将证书导入到的边缘服务器。

   b. 单击“开始”、“运行 (”或打开“搜索) ”，然后键入 MMC。

   c. 从 MMC 控制台中，单击“文件”，然后单击“添加/删除管理单元”。

   d. 从“添加或删除管理单元”框中，单击“证书”，再单击“添加”。

   e. 在“证书”管理单元对话框中，选择“计算机帐户”。 单击“下一步”。

   F。 在“选择计算机”对话框中，选择“本地计算机: (运行此控制台的计算机)”。 单击“完成”。 单击“确定”，MMC 控制台的配置即告完成。

   G。 双击“证书(本地计算机)”展开证书存储。 双击“个人”，然后单击“证书”。

注意

你可能在此处，并且在本地计算机的证书个人存储中看不到任何证书。 无需四处搜寻，如果密钥不存在，则导入的证书没有与之关联的私钥。 再次尝试上述请求和导入步骤，如果确定正确，请与 CA 管理员或提供商联系。

   H。 在本地计算机的 “证书个人”存储 中，右键单击要导出的证书。 从得到的菜单中选择“所有任务”，然后单击“导出”。

   我。 在“证书导出向导”中，单击“下一步”。 选择“是，导出私钥”。 单击“下一步”。

注意

如果 “是”，则导出私钥 不可用，则此证书的私钥在获取之前未标记为导出。 你需要再次向提供商提出证书请求，要求将私钥设置为导出，然后导出才能成功。

   J。 在“导出文件格式”对话框中，选择“个人信息交换 - PKCS#12 (.PFX)”，然后选择以下选项：

    我。 如果可能，则数据包括证书路径中的所有证书。

    第二。 导出所有扩展属性。

注意

切勿选择“如果导出成功，删除私钥”。 这意味着你必须将证书和私钥重新导入到此边缘服务器。

   K。 如果要分配密码来保护私钥，可以键入私钥的密码。 重新输入该密码进行确认，然后单击“下一步”。

   我。 为导出的证书键入路径和文件名，并使用文件扩展名 .pfx。 该路径需要由池中的其他边缘服务器访问，或者需要通过外部媒体 (（如 U 盘) ）移动文件。 做出选择后，单击“ 下一步 ”。

   m. 查看“正在完成证书导出向导”对话框中的摘要，然后。单击“完成”。

   n. 在成功导出对话框中单击“确定”。

   o. 现在需要返回到之前导入证书部分，并将证书导入到所有剩余的边缘服务器，然后继续分配，如下所示。

4.分配证书

   a. 在每个边缘服务器上，在部署向导中的步骤 3 旁边。请求、安装或分配证书，再次单击“运行”。

   b. 在“可用的证书任务”页上，单击“分配现有证书”。

   c. 在“ 证书分配 ”页上，选择列表中的“ 边缘外部 ”。

   d. 在 “证书存储 ”页上，从上一部分) 选择为外部 Edge (导入的证书。

   e. 在“证书分配摘要”页上，检查设置，然后单击“下一步”分配证书。

   F。 在向导完成页上，单击“完成”。

   G。 完成此过程后，最好在每个服务器上打开“证书 MMC”管理单元，展开“ 证书 (本地计算机) ”，展开“ 个人”，单击“ 证书”，然后确认详细信息窗格中列出了内部 Edge 证书。

注意

你还需要设置反向代理服务器的证书。

启动边缘服务器

安装完成后，需要在部署中的每个边缘服务器上启动服务：

1. 在每个边缘服务器上，在 部署向导中，单击“ 步骤 4：启动服务”旁边的“ 运行”。

2. 在“启动Skype for Business Server服务”页上，查看服务列表，然后单击“下一步”启动服务。

3. 启动服务后，可以单击“完成”关闭向导。

4. （可选）仍然在“步骤 4: 启动服务”下，单击“服务状态”。

5. 在每个服务器上的服务 MMC 中，验证所有Skype for Business Server服务是否正在运行。