Lync Server 2013 中的证书摘要 - 使用公用 IP 地址的单一合并边缘
上次修改的主题: 2017-03-09
与证书和端口相比,远程访问 Lync Server 2013 的 DNS 记录要求相当简单。 此外,许多记录是可选的,具体取决于如何配置运行 Lync 2013 的客户端以及是否启用联合身份验证。
有关 Lync 2013 DNS 要求的详细信息,请参阅 确定 Lync Server 2013 的 DNS 要求。
有关在未配置拆分大脑 DNS 的情况下自动配置运行 Lync 2013 的客户端的详细信息,请参阅 “确定 Lync Server 2013 的 DNS 要求时不使用 Split-Brain DNS 的自动配置”。
下表包含支持单个合并边缘拓扑图中所示的单个合并边缘拓扑所需的 DNS 记录摘要。 请注意,某些 DNS 记录仅适用于 Lync 2013 和 Lync 2010 客户端的自动配置。 如果计划使用 GPO) (组策略对象来配置 Lync 客户端,则不需要关联的自动配置记录。
重要提示:边缘服务器网络适配器要求
若要避免路由问题,请验证边缘服务器中至少有两个网络适配器,并且默认网关仅在与外部接口关联的网络适配器上设置。 例如,如 在 Lync Server 2013 中具有公共 IP 地址的单一合并边缘中具有公共 IP 地址的单一合并边缘拓扑中所示,默认网关将指向 Internet 外围的外部路由器或可提供公共 IP 地址的防火墙。 Edge Server 接口的网络关系是路由关系,而不是 NAT 关系。
可以在 Edge Server 中配置两个网络适配器,如下所示:
网络适配器 1 (内部接口)
分配了 172.25.33.10 的内部接口。
未定义默认网关。
请确保从包含 Edge 内部接口的网络路由到包含运行 Lync Server 2013 或 Lync Server 2013 客户端的服务器的任何网络 (,例如,从 172.25.33.0 到 192.168.10.0) 。
网络适配器 2 (外部接口)
为此网络适配器分配了三个公共 IP 地址,例如 Access Edge 的 131.107.155.10、Web 会议 Edge 的 131.107.155.20、AV Edge 的 131.107.155.30。
注意
对于所有三个 Edge 服务接口,可以使用单个 IP 地址(尽管不建议)。 尽管这可以保存 IP 地址,但每个服务都需要不同的端口号。 默认端口号为 443/TCP,可确保大多数远程防火墙允许流量。 将端口值更改为 (,例如 Access Edge 的) 5061/TCP、Web 会议边缘的 444/TCP 和 AV Edge 的 443/TCP 可能会给远程用户带来问题,因为远程用户的防火墙不允许流量超过 5061/TCP 和 444/TCP。 此外,由于能够筛选 IP 地址,三个不同的 IP 地址使故障排除更加容易。
Access Edge 公共 IP 地址为主,默认网关设置为公共路由器 (131.107.155.1) 。
Web 会议和 A/V Edge 公共 IP 地址是 Windows Server 中本地区域连接属性的 Internet 协议版本 4 (TCP/IPv4) 和 Internet 协议版本 6 (TCP/IPv6) 属性的高级部分中的其他 IP 地址。
提示
使用两个网络适配器配置 Edge Server 是两个选项之一。 另一种选择是为内部端使用一个网络适配器,对边缘服务器的外部使用三个网络适配器。 此选项的主要优势是每个 Edge Server 服务具有不同的网络适配器,并且在需要进行故障排除时可能更简洁地收集数据
具有公共 IP 地址的单个合并边缘所需的 DNS 记录 (示例)
| Location/TYPE/Port | FQDN/DNS 记录 | IP 地址/FQDN | 映射到/注释 |
|---|---|---|---|
外部 DNS/A |
sip.contoso.com |
131.107.155.10 |
在启用了 Lync 的用户的所有 SIP 域中,Access Edge 外部接口 (Contoso) 重复 |
外部 DNS/A |
webcon.contoso.com |
131.107.155.20 |
Web 会议 Edge 外部接口 |
外部 DNS/A |
av.contoso.com |
131.107.155.30 |
A/V Edge 外部接口 |
外部 DNS/SRV/443 |
_sip._tls.contoso.com |
sip.contoso.com |
Access Edge 外部接口。 Lync 2013 和 Lync 2010 客户端的自动配置需要在外部工作。 对于启用了 Lync 的用户的所有 SIP 域,请根据需要重复操作。 |
外部 DNS/SRV/5061 |
_sipfederationtls._tcp.contoso.com |
sip.contoso.com |
SIP Access Edge 外部接口需要自动发现称为“允许的 SIP 域”的联合合作伙伴, (在以前的版本中称为增强联合) 。在启用了 Lync 的用户的所有 SIP 域中根据需要重复操作 |
内部 DNS/A |
lsedge.contoso.net |
172.25.33.10 |
合并 Edge 内部接口 |
重要
上表中列出的记录显示为 .net 扩展或 .com 扩展,以突出显示如果不使用拆分大脑 DNS,它们需要驻留在哪个区域。 如果使用拆分大脑 DNS,则所有记录都位于同一区域中,唯一的区别是它们位于内部版本还是外部版本中。 有关详细信息,请参阅 “确定 Lync Server 2013 的 DNS 要求”中的“拆分大脑 DNS”。
联合身份验证所需的记录
| Location/TYPE/Port | FQDN | IP 地址/FQDN 主机记录 | 映射到/注释 |
|---|---|---|---|
外部 DNS/SRV/5061 |
_sipfederationtls._tcp.contoso.com |
sip.contoso.com |
将联合身份验证自动发现为其他潜在联合合作伙伴所需的 SIP Access Edge 外部接口,称为“允许的 SIP 域”, (在以前的版本中称为增强联合) 。在启用了 Lync 的用户的所有 SIP 域中根据需要重复操作 重要 移动性和推送通知清算所需要此 SRV 记录 |
可扩展消息传送和状态协议的 DNS 摘要
| Location/TYPE/Port | FQDN | IP 地址/FQDN 主机记录 | 映射到/注释 |
|---|---|---|---|
外部 DNS/SRV/5269 |
_xmpp-server._tcp.contoso.com |
xmpp.contoso.com |
Access Edge 服务或 Edge 池上的 XMPP 代理外部接口。对于已启用 Lync 的所有内部 SIP 域,如果允许通过全局策略配置外部访问策略、用户所在的站点策略或应用于已启用 Lync 的用户的用户策略,允许与 XMPP 联系人进行联系,请根据需要重复操作。 还必须在 XMPP 联合合作伙伴策略中配置允许的 XMPP 域。 有关其他详细信息,请参阅 “另请参阅 ”中的主题 |
外部 DNS/A |
例如 xmpp.contoso.com () |
边缘服务器或托管 XMPP 代理的边缘池上的 Access Edge 服务的 IP 地址 |
指向承载 XMPP 代理服务的 Access Edge 服务或 Edge 池。 通常,创建的 SRV 记录将指向此主机 (A 或 AAAA) 记录 |