Установка Lync 2013 в ресурсному лесі

Іноді розгортання Microsoft Lync 2013 вимагає наявність ресурсного домену. Ресурсний домен — це таке місце, де живе тільки безпосередньо сам сервер Lync 2013. Користувачі живуть в іншому домені — інтерфейсу. Як їх подружити між собою, буде розказано нижче. Кому цікаво, ласкаво просимо під кат. Буде цікаво (і багато всяких картинок).

Навіщо все це може знадобитися?

Як зазвичай, перше питання перед будь-яким проектним рішенням «А навіщо це все треба?». Це рішення також не стало винятком. Навіщо городити город, якщо і так все ставиться-настроюється і працює?

Перша причина психологічна: установка MS Lync 2013 вимагає внесення певних змін (розширення) в схему Active Directory. Коли у вас один ліс з одним доменом на 100 машин це одне, але коли у вас здорова інфраструктура з купою доменів і критичних сервісів, розширення схеми як потенційно небезпечне може стати каменем спотикання при спілкуванні із Замовником. Працює — не чіпай тут як не можна краще проявляє себе. І будь-які ваші вмовляння на рахунок того, що все пройде нормально впливу не матимуть.

Друга причина зазвичай виникає на пілотному проекті. Не завжди Замовник готовий з радістю змінювати свою інфраструктуру щоб ознайомитися з продуктом і зрозуміти, чи підходить вона йому чи ні. Тут йде перегуки з причиною номер один: навіщо мені в системі всякі нові об'єкти, якщо ще не зрозуміло, чи буде запроваджено продукт? Тому я сам довго працював системним адміністратором, на власному досвіді, можу з усією відповідальністю заявити — не люблять адміни вторгнення в свою вотчину. А їх нелюбов повною мірою поділяється їх керівниками.

Можуть бути й інші причини. Наприклад, безпечники мають свій погляд на системи комунікацій і не хочуть залежати від адмінів в такому питанні. Або ще що-небудь.

І залишається тільки одне — підняти окрему інфраструктуру для MS Lync, де він може робити все що хоче і це не буде надавати ніякого ефекту на існуючу інфраструктуру.

Як це виглядає

У моєму прикладі я буду все виконувати в середовищі, яка схематично зображена нижче:



В моїй лабі підняті два ліси з одним доменом в кожному. Домен contoso.internal увазі під собою існуючу інфраструктуру замовника, де все давно налагоджено. Домен lync.internal увазі під собою ресурсний домен, де буде розгорнуто сервера Lync. Між доменами піднято одностороннє довіру, в якому домен lync.internal довіряє домену contoso.internal. Зворотне невірно. Одностороннє довіру обумовлено поглядами на безпеку. Але в більшості випадків можна сміливо піднімати двосторонній траст, який відчутно простіше в траблшутинге.

Для втілення вищеописаної схеми у віртуальному середовищі була розгорнута наступна структура підмереж:



Домен contoso.internal розгорнуто в мережі 192.168.1.0/24, домен lync.internal розгорнуто в мережі 192.168.2.0/24. При цьому домен contoso піднято на базі Windows 2008, а домен lync на базі Windows 2003 в силу специфіки Замовника (щоб у читача не було запитань на рахунок скріншотів). В якості шлюзу був піднятий софтовый роутер на базі Vyatta.

Що не буде розглянуто в даній статті

Тому стаття присвячена вирішенню певної задачі, я не буду розглядати наступні моменти:
  • налаштування віртуальної середовища і віртуальних машин;
  • розгортання лісів-доменів;
  • установка Lync і його клієнтів на цільових ПК;
  • автоматизацію синхронізації користувачів між доменами.


Тим не менш, перед установкою Lync я зверну увагу на налаштування служби PKI. Вона буде зручною для подальшої роботи.

Вступна частина закінчена. Приступаємо.

Що нам треба для успішного старту

У нас повинна бути розгорнута і налаштована мережне середовище. Обов'язково перевірте маршрутизацію і проходження трафіку. Вимкніть брандмауер на всіх машинах. Все ж це лаба, а не бойовий впровадження.

У нас повинні бути розгорнуті два ліси з доменом в кожному. Обов'язково підніміть рівень домену і лісу в ресурсному лесі до 2003, а то Lync не встановиться.

У нас повинні бути розгорнуті клієнтські машини (наприклад, на Windows 7) з встановленими клієнтами Lync (наприклад, з комплекту MS Office 2013).

Налаштування служби PKI

Для роботи MS Lync 2013 потрібні служба сертифікатів. Звичайно, можна генерувати сертифікати десь і імпортувати в систему. Але ми не для того піднімаємо ресурсний домен, щоб мати які-небудь обмеження.

Отже, перш ніж розгортати безпосередньо сам Lync нам потрібна працююча служба сертифікатів. Давайте її встановимо і перш ніж вона почне видавати сертифікати, трохи змінимо її налаштування.

Зайдемо в властивості нашого СА і перейдемо на вкладку Extensions. Там ми побачимо наступне:



З усього цього неподобства нам треба залишити тільки верхню сходинку, ведующую до локального зберігання CRL. Інше сміливо видаляйте. Далі слід додати рядок для публікації листа відкликаних сертифікатів через протокол http найпростішому варіанті. Це буде зручно для користувачів юзерского домену. У моєму прикладі я додав сходинку http (не треба вироблятися і чаклувати з https. Це абсолютно зайве) наступного змісту http://crl.lync.internal/root.crl.



Всі випущені цим СА сертифікати будуть вказувати, що перевірити список відкликаних сертифікатів можна за вищевказаною шляху. В рамках даної статті не розглядається установка та налаштування IIS (або будь-якого іншого веб-сервера) для підтримки даного способу публікації і механізм копіювання файлу. Читачу пропонується виконати це самостійно.

Після цього можна сміливо ставити Lync 2013 в звичайному порядку. Не забудьте, що в Lync буде два SIP домену: lync.internal і contoso.internal. Тому при розгортанні Lync обов'язково вкажіть додатковий SIP домен.

Якщо з якої-небудь причини Lync у вас вже був розгорнутий раніше, то в Topology Builder додайте другий домен і проведіть необхідні процедури щодо зміни конфігурації (публікація та отримання нових сертифікатів).

Побудова довіри між доменами

Побудова довіри процедура досить проста. Спочатку треба в кожному домені в службі DNS дозволити передачу своєї зони на інший сервер. Можете дозволити для лаби передавати всім або відразу вказати, що передавати тільки строго вказаною DNS.



Після цього в домені contoso.internal створіть Secondary зону для Lync.internal, а в lync.internal створіть Secondary зону для Contoso.internal. Переконайтеся, що даний среплицировались.

Після цього можна переходити до одностороннього підняття довіри між доменами.




Для домену Lync.internal довіру до Contoso.internal буде Outgoing trust, для домену Contoso.internal довіру до Lync.internal навпаки incoming trust.

Після створення довіри ОБОВ'ЯЗКОВО перевірте кнопочкою Validate у властивостях довіри, що воно справне. Дуже багато проблем з роботою в такій схемі зав'язано на неправильне функціонування трастів.



Налаштування DNS

Для правильної роботи Lync з власного домену contoso.internal в DNS домену слід додати два записи типу А:
  • Meet.contoso.internal
  • Sip.contoso.internal


Обидві записи повинні вказувати на IP сервера Lync в домені lync.internal:



Налаштування параметрів

В кожному домені заведіть для зручності OU Lync Users. У цьому OU в домені contoso.internal звичайним способом створіть обліковий запис. В моєму прикладі це дві облікові записи LyncTest і LyncTest2.

У домені lync.internal в аналогічній OU створіть аналогічних користувачів. Паролі значення не мають. Після створення переведіть стан цих облікових записів в положення Disable.



Запустіть панель управління (Control panel) Lync 2013 і послідовно додайте створені і відключені облікові записи в Lync:



При додаванні запису дайте їй такі властивості



Тобто вкажіть її sip адресою адресу домену contoso.internal.

Повторіть цю процедуру для кожної додається облікового запису.



Налаштування SID

У домені Contoso.internal відкрити оснащення AD U&C і перевести режим відображення в розширений:



Для кожного облікового запису, що використовуватиметься в Lync виконати наступне: перейти в властивості облікового запису, відкрито вкладку редактора атрибутів і вивантажити на дискетки-флешку значення параметра ObjectSID:



Не забудьте, що кожне значення має збігатися з учеткой в домені lync. Internal.

До речі, щоб клієнт Lync не просив ввести ім'я користувача клієнта при першому запуску дуже зручно прописати sip-адресу в поле атрибута ProxyAddress. Адреса повинна мати вигляд sip: ім'я@домен. Тобто в нашому випадку це буде для користувача LyncTest2 sip:lynctest2@contoso.internal:



Після цього переходимо в домен Lync.internal. Тому тут у нас 2003 сервер, то для редагування атрибутів необхідна оснастка ADSIedit. Вона входить в комплект Support Tools, що знаходиться на диску з дистрибутивом. Якщо цієї оснащення у вас немає, розгорніть дані утиліти.

Запускаємо ADSIedit і знаходимо наші облікові записи-дублери в домені lync.internal:



Знаходимо в них атрибут msRTCSIP-OriginatorSid і прописуємо збережені раніше значення ObjectSid для кожної закладки відповідно.

Заодно вивантажуємо кореневий сертифікат нашого СА і зберігаємо на змінний носій. Він нам знадобиться.

Запуск клієнта

У домені contoso.internal заходимо на робочу машину під користувачем, підготовленим для роботи з Lync (в нашому прикладі або LyncTest або LyncTest2).

Запускаємо клієнт Lync 2013…



Отримуємо помилку сертифіката:



Ось тут нам і знадобиться вивантажений раніше сертифікат СА. Тим або іншим способом поширюємо його на машини, які будуть працювати з Lync (наприклад, через групові політики або навіть вручну) щоб даний сертифікат опинився в контейнері Trusted Root Certification Authorities.



І після оновлення політик знову запускаємо клієнт Lync 2013. Клієнт виведе запит на пароль. Просто натисніть ОК. Через деякий час відбудеться підключення.

Всі.

Не забудьте про CRL. Лист відкликаних сертифікатів повинен бути доступний клієнтам Lync. В іншому разі через 10 днів клієнти при вході не зможуть перевірити відкликані сертифікати, і процедура входу буде займати 5-7 або навіть хвилин. Користувачів це бісить.

Зрозуміло, через налаштування групових політик ви можете збільшити валідність вже отриманого CRL до нескінченності. Але це вже зовсім інша історія. Удачі.

Джерело: Хабрахабр

0 коментарів

Тільки зареєстровані та авторизовані користувачі можуть залишати коментарі.