第二次寫這一篇文章,在上一篇中說字數太多,無法保存。我在複製到這裏後保存發現都沒了。哭....
Lync for 移動設備外部登錄配置
1.首先請確認您的lync for移動設備在公司可以正常登錄,且我在上一篇的步驟都已完成。
2.沒有執行Set-CsMcxConfiguration –ExposedWebUrl Internal 命令,因爲該命令只允許內部登錄。如果有不小心執行到請再恢復默認,命令如下:
Set-CsMcxConfiguration –ExposedWebUrl External
3.設定外部DNS,要求如下:
上面說明,如果你有Reserve Proxy服務器,那麼再建一個A記錄對應他。
在我的環境下沒有Reserve Proxy服務器,所以我必須先建立一條前端池名的A記錄,再建立一條別名記錄lyncdiscover.contoso.com對應前端池。
lyncsh.contoso.com A類型記錄 ------->對應前端池內的一臺前端服務器(沒有前端池的虛擬IP)
lyncdiscover.contoso.com 別名類型記錄 ----->對應lyncsh.contoso.com
注:如果您的環境和我一樣,請一定記得要建立前端池名的DNS記錄,再添加lyncdiscover的別名記錄。如果想直接建立一條lyncdiscover的A記錄將會出錯。
以下爲我公司F5 GTM DNS上的設定,同時也包括了邊緣dns記錄。
4.防火牆開放策略。
如果您有Reserve Proxy服務器就開放該外部IP的443端口。
我現有環境沒有使用ISA或TMG防火牆,如何在其上發佈規則請參考第一篇中提到的文檔,謝謝。
在我公司直接使用NetScreen防火牆,,同時請注意外部設備連接的是4443端口,各位可以查看上一篇第二張圖瞭解外部訪問所連接的web及端口。
所以應在防火牆上建立的規則爲:
外部IP 443端口 ------>對應 lync前端池內一臺前端服務器的4443端口。以下爲我的截圖:
所以應在防火牆上建立的規則爲:
外部IP 443端口 ------>對應 lync前端池內一臺前端服務器的4443端口。以下爲我的截圖:
5.建立防火牆策略後,lync for 移動設備就可以正常登錄。包括移動的gprs用戶。
在我的環境中有一個不足,就是沒有reserver proxy服務器,所以外部訪問用戶是直接連接到了前端池中的一臺服務器,如果該臺服務器出現故障,只能手動去修改防火牆策略,手動指向另一臺前端服務器。(或許防火牆策略有其他的設定,可以讓其自動去選擇兩臺前端服務器)
所以在後續中可以考慮建立一臺Reserve Proxy服務器,或是將前端DNS負載平衡改爲硬件負載平衡,這樣防火牆策略直接指向前端池的VIP地址。
在後來的操作中,我沒有建立Reserve Proxy服務器。而是通過F5建立了一個VS監聽443端口,其中Pool成員監測端口爲4443,該VS只提供外部用戶訪問登錄。
同時取消了上面的防火牆端口映射方式,直接給定一個獨立的外部IP對應VS的虛擬IP,這樣可以做到對外部用戶訪問的高可用性,如果兩臺前端中的一臺故障都不會影響到外部用戶的登錄。
防火牆設定,NetScreen MIP一外部IP直接指向172.16.2.9這個VIP地址
同時在unTrust至Trust的策略中,只開放了HTTPS和ICMP服務(無法上圖了,抱歉)
6.在後續的Push功能測試中,一直沒有成功,設置方面各位可以看上一篇的部署文檔,比較簡單。但該文檔有一個命令寫錯了(位於該文檔的34頁第4步),正確的命令如下:
Set-CSAccessEdgeConfiguration -AllowFederatedUsers $True
在進行測試時,一直出現以下錯誤,後來發現網上也有很多用戶提出這樣的問題,我感覺應該是邊緣服務器要和MS做同盟必須要使用第三方公共證書,如果是這樣自己頒發的證書是無法與MS的Lync Online進行同盟(具體事由我還在請別人諮詢MS人員)
如果有其他解決方法,麻煩請告知,感謝。
已經確認push功能一定要邊緣服務器申請第三方可信任的公共證書。
7.在語音功能方面,我也遇到了困難。當然在Lync for Windows的版本上,我可以通過他往公司座機及市話,手機進行互撥,但Lync for 移動設備無法實現,在我通過該軟件進行撥出時一直提示我的Lync脫機,而座機撥入Lync for 移動設備時又無法撥通,可能我哪邊設置有問題,現在還在測試中。
瀏覽了國外一些網站,VoIP沒有包括在這次的發佈中(那就奇怪爲啥部署文檔上有呢)