結合最近在上海幫同事解決一個項目上的問題來給大家分享以下Skype for Business Server部署過程中準備AD部分的Troubleshooting
大家都知道Skype for business 服務器與 Active Directory 域服務 (AD DS) 緊密集成。 第一次安裝 Skype for Business 服務器之前, 必須準備 Active Directory。 名爲 "準備 Active directory " 的部署嚮導部分準備了用於 Skype For business 服務器的 Active directory 環境。
在做準備AD這部分操作的時候所用操作帳戶的權限比較高,需要同時滿足以下權限要求:
企業管理員
域管理員
架構管理員
有了以上所有權限的帳戶就可以來進行準備AD的操作,在做完這部分操作後,我們的部署賬號就不需要有這麼多權限了,不然這是一件非常危險的事情,這個賬號相當擁有最高權限,所以建議在做完準備AD操作後將以上三個權限從操作帳戶上拿掉,並按需分配給操作帳戶CSAdministrator權限。
以上是標準的單林單域架構,那麼多林呢?父子域呢?這個時候就需要跟客戶確定在哪些林或域裏面部署Skype for Business Server了。
而我今天要分享的這個案例是在有根域,子域,孫域的環境中的準備AD Troubleshooting
先看下準備AD具體有什麼步驟:
其實只有3個步驟需要完成:
準備架構
準備林
準備域
通過擴展AD架構用來支持Skype for Business Server的部署,操作比較簡單,這一步需要在根域中擴展,擴展完成後可以通過ADSI去檢查擴展是否完成。
打開ADSI編輯器,點擊連接,選擇連接到架構,找到CN=msRTCSIP-SchemaVersion 對象,右鍵選擇屬性,查看rangeUpper 屬性的值爲 1150, 並且 rangeLower 屬性的值爲 3, 則該架構已成功更新和複製
在完成這一步之後,需要等待整個AD進行復制,然後進行第二步操作準備林,這時候在準備的過程中就出現故障了,如下:
查看部署日誌,直接是參數錯誤00000057
我的第一反應是AD沒有完成同步,畢竟有三個域是根域,子域,孫域的架構,同時AD站點接近30個,所以等待週末兩天讓AD自動同步,週一開始繼續去操作準備林,怎麼樣也應該成功了吧,這時候還是報錯:
都過了一個週末了(注意看下時間已經是2019.07.02)準備林還是報錯,然後檢查了AD複製:
最害怕的事情還是發生了,AD複製存在故障,問了客戶說根域中有兩臺服務器曾經意外關機並無法啓動,然後就把機器關了,重新做了兩臺域控起來(總共4臺根域控制器),這個操作我佩服得不行不行的,後面好不容易解決了AD複製同步的問題,然後手動同步了一次,接下來繼續回到部署嚮導進行林的準備,不過又有新的報錯:
查看部署日誌發現已經開始創建了各種Skype for Business Server通用組但是還是在中間一步出現錯誤:未將對象引用設置到對象的實例:
再一次檢查了AD,看到了新的報錯(文末有吐槽AD架構的):
按理說前面已經解決了AD複製同步的問題,不會出現這種錯誤,怎麼現在同步又出現故障了呢?我決定看下在Skype for Business Server部署嚮導裏面準備林的時候到底是連到哪一臺域控制器的:
是不是感覺很詭異????準備林的時候看起來同時連到了3臺域控制器,然後我又問了客戶這些IP地址是什麼情況,客戶回答:一臺域控制器配了兩個IP!這個操作我真的是醉了~~~
然後我嘗試用命令行來準備林:
通過Skype for Business Server PowerShell使用Enable-CsAdForest來準備林還是一樣的報錯,所以PowerShell也是上面的連接方法!
接下來我就通過PowerShell來指定準備的林和域控制器地址:
可以看到通過指定林及AD控制器可以順利完成林的準備,命令參數分享:
-GlobalCatalog 全局編錄服務器FQDN
-GlobalSettingsDomainController 存儲全局設置的域控制器的FQDN
-GroupDomain 創建新通用安全組的域的FQDN
-GroupDomainController 存儲通用組信息的域控制器的FQDN
基於客戶的AD架構我在重複以上步驟4次,每次應用到其他的服務器上。這4臺AD服務器在不同的站點,設置有橋頭服務器,這樣的AD架構我真的是佩服的不行不行得!!!每個站點之間都有專線,還搞橋頭服務器,所有服務器從當前站點的橋頭服務器同步,那橋頭服務器掛掉是不是整個AD站點就全部掛掉了???
準備林完成後隨意打開一臺AD服務器,只需要查看Users OU中有沒有CS和RTC開頭的通用組就行,存在就說明林的準備已經完成。
準備域也是相當簡單的,準備好域之後也可以進行驗證,驗證方法如下:
返回 LC_DOMAIN_SETTINGS_STATE_READY 的值就說明域準備也完成。
完成架構擴展,林準備,域準備之後整個準備AD過程就完成了!
所以,從上面的整個過程來看,項目前期的溝通多麼重要,充分了解客戶AD架構多麼重要,這些都會直接導致工作量噌噌噌往上長,同時在複雜的AD架構中也要規劃好Skype for Business Server的各種首要訪問URL,這個留到以後有機會再跟大家分享!