Skype for Business Edge Server — это компонент сервера Skype for Business, который устанавливается в периметре сети для обеспечения безопасного доступа к функциям Skype for Business за пределами корпоративной сети. Edge Server выполняет функцию маршрутизации, фильтрации и шифрования трафика между клиентами Skype for Business, находящимися внутри и снаружи предприятия.
Edge Server не должен быть внутри корпоративной сети (в домене), так как это может создать проблемы с безопасностью и нарушить принципы защиты периметра сети. Edge Server должен быть размещен в периметре сети, где он может защищать корпоративную сеть от несанкционированного доступа и внешних угроз.
Именно по этому Edge сервер не должен быть в домене!
Содержание
Настройка сетевых интерфейсов для Edge
Для правильной работы Skype for Business Edge Server рекомендуется наличие двух сетевых интерфейсов (двух сетевых карт). Первый сетевой интерфейс должен быть подключен к периметральной сети (или сети DMZ) (External), а второй — к внутренней корпоративной сети(Internal).
Также создадим DNS запись типа A для edge , на котроллере домена.
Настройка DNS суффикса
Создадим записи в hosts
Так как на сетевых интерфейсах мы не смотрим в локальную сеть, а мы смотрим за dns записями исключительно в интернет, добавляем записи типа А в hosts с имена хостов.
Установка компонентов
В моем случае я устанавливаю компоненты на Windows Server 2019
Установка компонентов Skype for Business Edge Server аналогична как для sfb стандарт сервера.
- Установка необходимых компонентов для Skype for Business Server будет осуществлена при помощи командлетов PowerShell.
Add-WindowsFeature RSAT-ADDS, Web-Server, Web-Static-Content, Web-Default-Doc, Web-Http-Errors, Web-Asp-Net, Web-Net-Ext, Web-ISAPI-Ext, Web-ISAPI-Filter, Web-Http-Logging, Web-Log-Libraries, Web-Request-Monitor, Web-Http-Tracing, Web-Basic-Auth, Web-Windows-Auth, Web-Client-Auth, Web-Filtering, Web-Stat-Compression, Web-Dyn-Compression, NET-WCF-HTTP-Activation45, Web-Asp-Net45, Web-Mgmt-Tools, Web-Scripting-Tools, Web-Mgmt-Compat, Windows-Identity-Foundation, Server-Media-Foundation, Telnet-Client, BITS, ManagementOData, Web-Mgmt-Console, Web-Metabase, Web-Lgcy-Mgmt-Console, Web-Lgcy-Scripting, Web-WMI, Web-Scripting-Tools, Web-Mgmt-ServiceПосле установки компонентов необходимо выполнить следующие действия: Перезагрузить сервер
Установим дополнительные компоненты
Skype для бизнеса 2019 поддерживает .Net Framework 4.8. По этому нам нужно его обновить , скачиваем по ссылкам и устанавливаем.
Unified Communications Managed API (UCMA) 4.0
Дополнительно к установке .Net Framework 4.8, возможно нужно установить Framework 3.5 .
Если галка не стоит то —
Создаем папку c:\sources\sxs\ и кладем в нее файл microsoft-windows-netfx3-ondemand-package~31bf3856ad364e35~amd64~~
Добавляем в топологию Edge Server
Чтобы добавить Skype for Business Edge Server в существующую топологию, необходимо выполнить следующие шаги:
- Запустите утилиту Topology Builder на Skype for Business Standard (sfb.ctdrus.loc) или Front-End сервере.
- Скачайте существующую топологию с помощью Topology Builder.
- Откройте топологию в Topology Builder и выберите «Действия» в верхней части окна.
мы должны развернуть Topology builder и перейти к папке Edge pools, чтобы создать новый пул
Напишем имя edge сервера
Затем следует выбрать настройки функционала по федерациям для Skype for Business Edge Server:
- Federation (порт 5061) — позволяет установить федерацию между Skype for Business и другими компаниями, у которых установлен Lync или Skype for Business. Необходимо убедиться, что порт 5061 открыт.
- Включение поиска в Skype (порт 4443) — позволяет пользователям добавлять контакты из Skype, введя их логин. Порт 4443 не нужно открывать наружу, так как это порт для связи между Edge Server и Front-End Server, который уже открыт.
В этой секции у нас запрашивают количество IP-адресов, которые мы планируем использовать — один или три. В моей статье я буду использовать три IP-адреса, поэтому я не буду отмечать флажок.
Это область очень важна.
Если поставить галку , то мы будем делать перенапровление порта через Роутер!
В противном случае если мы ее не ставим , то на edge нужно будет 3 сетевых интерфейса со статическим внешним ip. Я в свою очередь публиковать внешние ip на windows server не хочу , буду перенапровлять порты через роутер . Я ставлю галочку.
Если у Skype for Business Edge Server не будет достаточного количества сетевых интерфейсов, или настройки сетевых параметров на Edge Server будут отличаться от тех, которые мы опубликовали в топологии, некоторые сервисы Edge Server могут не запуститься, если мы не используем NAT.
Ниже приведены названия сервисов Edge, которые мы будем использовать:
- sip.myitproject.ru — Сервис доступа Edge для SIP-сообщений.
- wc.myitproject.ru — Сервис доступа Edge для веб-конференций.
- av.myitproject.ru — Сервис Edge для передачи аудио/видео.
Порты оставляем 443
Описываем внутренний IP address.
Далее мы переходим к определению внешних IP-адресов и присваиванию им значений в соответствии с таблицей.
Вводим внешний ip адрес для сервиса a/v edge service
При подключении клиента к Edge необходимо определить Next hop server — то есть сервер, на который данный Edge будет перенаправлять трафик клиента для дальнейшей обработки на внутреннем Front-End сервере.
Затем мы определяем, для каких пулов этот Edge будет использоваться для внешнего медиа-трафика. После этого мы нажимаем кнопку «Finish» и видим все настройки, которые мы ранее вводили:
Далее данную топологию теперь нужно опубликовать:
Для установки Edge нам необходима копия текущей топологии, поэтому перед началом установки мы должны экспортировать текущую топологию через sfb shell.
Export-CsConfiguration -FileName c:\topology.zip
копируем файл .zip на Edge.
