Установка процесса довольно проста, потому что мы уже указали основную информацию на этапе формирования топологии.
Когда мы запустим Deployment Wizard, нас заинтересует раздел «Install or Update Skype for Business Server System«.
В процессе установки мы будем проходить через четыре этапа, которые помогут нам успешно завершить процедуру установки.
Шаг 1 — Установка SQL Express(Установка пройдет автоматически):
- Будут установлены два экземпляра SQL (RTCLOCAL и LYNCLOCAL), при этом первый экземпляр (RTC) уже был установлен во время подготовки Standard Edition Server. В этом экземпляре находится база данных (БД) с топологией, которая называется XDS и используется как основная БД (Central Management Store) в SfB.
- Каждый сервер, на котором устанавливается SfB, создает свою реплику этой БД. Создается экземпляр RTCLOCAL, в котором находится реплика БД XDS и работает с этой репликой. Если вносятся изменения в топологию, они вносятся в основную БД (XDS master) и затем реплицируются на все реплики на каждом сервере SfB.
- Также на этом шаге создается копия БД с топологией XDS, которая загружается на реплику в экземпляре RTCLOCAL. Затем настраивается синхронизация между основной БД (XDS master) и репликой БД (XDS REPLICA).
- На этом же шаге устанавливаются две службы: Skype Server Replica Replicator Agent и Skype Server Centralized Logging Server.
- В экземпляре RTCLOCAL хранятся также дополнительные БД, такие как информация о контакт-листах пользователей и Presence Status. Также создается третий экземпляр — LYNCLOCAL, в котором будет создана БД с именем LYSS, которая используется в Enterprise pool, но все равно создается для Standard Edition Server для поддержки некоторого функционала.
Теперь вернемся к Deployment Wizard и переходим к выполнению первого шага.
Затем мы выбираем опцию для извлечения данных из БД XDS master (Central Management Store). Второй вариант предназначен для случаев, когда необходимо развернуть сервера которые не могут получить топологию напрямую, а только из резервной копии.
Установка SQL Express начинается и занимает примерно 5-6 минут.
После завершения установки, необходимо проверить логи на наличие ошибок. В случае успешной установки, все логи должны содержать только зеленые записи без ошибок.
Если процесс создания копии топологии прошел успешно, то теперь мы можем перейти ко второму этапу.
Содержание
Установка компонентов Skype For Business Server.
- Перед началом установки, Deployment Wizard проверяет топологию и определяет, какие компоненты должны быть установлены на данном сервере.
- Затем мастер установки производит установку Skype for Business Server 2019 в соответствии с топологией.
- Необходимые службы также будут установлены.
Если произойдут изменения в Topology Builder, возможно потребуется повторный запуск Шага 2. Deployment Wizard обнаружит изменения в топологии, удалит или добавит нужные службы.
После завершения установки компонентов Skype for Business Server на сервере, в логах установщика должны отображаться только успешные операции и все статусы должны быть зеленого цвета.
После завершения данного шага, в окне «Службы» появятся более 10 сервисов, которые ещё не были запущены.
Можно не запускать эти сервисы, так как некоторые из них не будут работать из-за отсутствия необходимых сертификатов. Они появляются в оснастке Services только для того, чтобы было проще управлять ими в дальнейшем, когда сертификаты уже будут установлены.
Настройка сертификатов.
Для того чтобы запустить Skype for Business Server необходимы сертификаты, без них его сервисы не будут работать. Это связано с тем, что Skype for besiness использует сертификаты для обеспечения безопасности соединения между сервером и клиентом (как внутренним, так и внешним), а также для установления защищенного соединения между серверами, включая партнерские.
Сертификаты должны быть выданы доверенным Центром Сертификации, поддерживать серверную авторизацию, а также список отозванных сертификатов должен быть доступен через CRL через CDP. Кроме того, для сертификатов необходимо использовать алгоритм хеширования SHA-2, а также ключи длиной 1024, 2048 или 4096 и алгоритмы цифровой подписи RSA, ECDH_P256, ECDH_P384, ECDH_P521.
Для работы SfB Server необходимо наличие двух сертификатов.
Первый сертификат — сертификат открытой авторизации, называется OAuthTokenIssuer. В имени этого сертификата должно присутствовать только имя SIP-домена, например myitproject.ru. Он используется для аутентификации и авторизации взаимодействия между серверами не только SfB, но и с серверами других продуктов Microsoft, таких как Exchange Server и SharePoint Server. Этот сертификат запрашивается на первом сервере и сохраняется в Central Management Store, базе данных топологии. После этого он автоматически реплицируется на все серверы SfB, поэтому при установке дополнительных серверов нет необходимости устанавливать сертификат отдельно.
Второй сертификат используется для TLS-соединения между сервером и клиентом, как внутренним, так и внешним, а также для mutual TLS-соединения между серверами, включая сервера партнеров. Данный сертификат также должен быть выдан доверенным центром сертификации, поддерживать серверную авторизацию и соответствовать определенным требованиям, таким как алгоритм хеширования SHA-2, длина ключа 1024, 2048 или 4096, и алгоритмы цифровой подписи RSA, ECDH_P256, ECDH_P384 или ECDH_P521.
В этом сертификате будет включено множество имен( Это внутренний сертификат и он будет выпущен автоматически)
— sfb.ctdrus.loc — Основным именем сертификата будет FQDN нашего сервера SfB Standard Edition Server.
— webext.myitproject.ru — это имя внешних Web-сервисов, которые были указаны в топологии.
— meet.myitproject.ru — Имя для митингов
— dialin.myitproject.ru — Имя для доступа телефонов
— sip.myitproject.ru
— lyncdiscover.myitproject.ru
— lyncdiscoverinternal.myitproject.ru
Причина, по которой все эти имена нужны во внутреннем сертификате, заключается в том, что внутренние клиенты будут обращаться к Web-сервисам и другим ресурсам через meet.myitproject.ru, dialin.myitproject.ru, и другие имена, которые должны быть включены в сертификат. Кроме того, lyncdiscover.myitproject.ru и lyncdiscoverinternal.myitproject.ru используются для автоматического обнаружения мобильными и другими клиентами начиная с Lync 2013, и эти имена должны быть добавлены в сертификат для Frontend и Reverse Proxy серверов.
Давайте вернёмся к инсталлятору/мастеру установки.
Из представленной информации следует, что на мастере установки SfB Server имеются два сертификата:
- Сертификат по умолчанию (Default certificate)
- Сертификат открытой авторизации(OauthToken)
Запрос сертификата OauthToken
Cначала мы запросим Сертификат открытой авторизации:
Для получения Сертификата открытой авторизации мы будем запрашивать его у внутреннего центра сертификации (CA).
Теперь мы должны запросить ещё один сертификат:
Запрос сертификата для внутренних и внешних подключений
Как можно заметить, все требуемые имена уже указаны в сертификате автоматически.
Аналогично, мы также связываем этот сертификат.
Старт сервисов Skype for besiness
После выпуска и привязки сертификатов к службам, можно запустить службы с помощью правильного метода, используя следующую команду:
Start-CsPool -PoolFqdn sfb.ctdrus.loc
Если службы успешно запустились, это свидетельствует о том, что мы правильно выполнили все предыдущие шаги. Однако, прежде чем использовать сервер в рабочей среде, необходимо установить все доступные обновления.
Установка обновлений на Skype for besiness 2019
CU означает «накопительное обновление» (Cumulative Update). Нам необходимо загрузить последнее накопительное обновление для Skype for Business Server 2019, которое можно найти под названием «Skype for Business Server 2019 Cumulative Update KB4470124».
Для обновления Skype for Business Server 2019 до последней версии придётся остановить все связанные службы.
Stop-csWindowsService
Затем необходимо запустить загруженный пакет SkypeServerUpdateInstaller.exe и следовать инструкциям. После установки кумулятивного пакета необходимо перезагрузить сервер и заново запустить все службы.
Проверка установленнго обновления:
Get-CsServerPatchVersion
Следующая статья будет о том, как создать внутренние DNS-записи для локальных подключений к Skype for besiness 2019.
