Skype for Business Server 2015 安装部署

服务器需求

需要准备以下几台服务器,不可在一台服务器同时部署多个服务

操作系统建议Windows Server 2012 R2

域控 ad.test.com
数据库 sql.test.com(加域)
Office Web Apps Server owa.test.com(加域,可选)
Skype前端/主服务器 skype.test.com(加域)
边缘传输、端口转发 edge.test.com(不加域,可选)

域控服务器 ad.test.com

部署:域控、证书服务、文件共享

搭建AD域服务

搭建AD域服务,域名test.com

增加AD证书服务

服务器管理器-添加角色和功能
角色服务:勾选 联机响应程序 和 证书颁发机构Web注册

配置AD证书服务

服务器管理器,点击上方通知区域的配置目标服务器上的Active Directory证书服务
凭据:域管理员帐号
选择要配置的角色服务:勾选证书颁发机构、证书颁发机构Web注册、联机响应程序
指定CA的设置类型:选择企业CA
指定CA类型:选择根CA
指定私钥类型:创建新私钥
后面默认下一步,最后点击配置
配置完成后打开管理工具-证书颁发机构,查看证书是否配置成功

配置域计算机自动申请证书策略

打开管理工具-组策略管理
依次进入林-域-test.com-Domain Controllers
右边Default Domain Controllers Policy,右键编辑,进入组策略管理编辑器

组策略管理编辑器
依次进入计算机配置-策略-Windows设置-安全设置-公钥策略-自动证书申请设置

右边新建-自动证书申请,证书模板选择计算机,下一步,完成

命令提示符执行gpupdate,使策略生效

建立文件共享

新建文件夹“skype-share”,设置文件夹共享,赋予域管理员完全控制权限

建立DNS解析

在域控上面添加DNS解析

A记录(解析到Skype前端服务器)

内部Web服务FQDN:web-int.test.com
前端池FQDN:pool.test.com
前端服务器FQDN(加域后自动添加):skype.test.com
内网自动发现:lyncdiscoverinternal.test.com
会议URL:meet.test.com
拨入URL:dialin.test.com
Web计划:scheduler.test.com
管理URL:admin.test.com

内网自动发现(SRV记录)
_sipinternaltls._tcp.test.com

域:test.com
服务:_sipinternaltls
协议:_tcp
端口号:5061
提供此服务的主机:skype.test.com(前端服务器的FQDN)

数据库服务器 sql.test.com

安装.NET Framework 3.5

服务器管理器,添加角色和功能-功能,勾选.NET Framework 3.5功能,指定备用源地址为:系统安装盘\sources\sxs

安装SQL Server 2014

注意开启防火墙端口,测试是否能远程连接,建议将Skype前端服务器加入白名单,允许所有连接

Office Web Apps服务器 owa.test.com

安装.NET Framework 4.5.2

安装所需的角色和服务

PowerShell执行以下命令,安装所需的角色和服务,最后Source为安装源的路径,系统安装盘\sources\sxs

Add-WindowsFeature Web-Server,Web-Mgmt-Tools,Web-Mgmt-Console,Web-WebServer,Web-Common-Http,Web-Default-Doc,Web-Static-Content,Web-Performance,Web-Stat-Compression,Web-Dyn-Compression,Web-Security,Web-Filtering,Web-Windows-Auth,Web-App-Dev,Web-Net-Ext45,Web-Asp-Net45,Web-ISAPI-Ext,Web-ISAPI-Filter,Web-Includes,InkandHandwritingServices,NET-Framework-Features,NET-Framework-Core,NET-HTTP-Activation,NET-Non-HTTP-Activ,NET-WCF-HTTP-Activation45 -Source E:\sources\sxs

安装部署Office Web Apps Server

正常安装Office Web Apps Server,安装完成后关闭

安装Office Web Apps Server SP1更新(KB2880558),文件名:wacserversp2013-kb2880558-fullfile-x64-glb.exe

安装语言包,文件名wacserverlanguagepack.exe

部署 Office Web Apps Server服务器场

PowerShell

New-OfficeWebAppsFarm -InternalURL "http://servername" -AllowHttp

-InternalURL:运行Office Web Apps Server服务器完全限定的域名(FQDN)
-AllowHttp:配置要使用HTTP的场

验证服务器场是否创建成功

浏览器访问:http://servername/hosting/discovery

出现以下内容表示成功

<?xml version="1.0" encoding="UTF-8"?>
-<wopi-discovery>
-<net-zone name="internal-http">
-<app name="Excel" checkLicense="true" favIconUrl="http://owa.test.com/x/_layouts/images/FavIcon_Excel.ico">
<action name="view" urlsrc="http://owa.test.com/x/_layouts/xlviewerinternal.aspx?<ui=UI_LLCC&><rs=DC_LLCC&>" default="true" ext="ods"/>
<action name="view" urlsrc="http://owa.test.com/x/_layouts/xlviewerinternal.aspx?<ui=UI_LLCC&><rs=DC_LLCC&>" default="true" ext="xls"/>
<action name="view" urlsrc="http://owa.test.com/x/_layouts/xlviewerinternal.aspx?<ui=UI_LLCC&><rs=DC_LLCC&>" default="true" ext="xlsb"/>
<action name="view" urlsrc="http://owa.test.com/x/_layouts/xlviewerinternal.aspx?<ui=UI_LLCC&><rs=DC_LLCC&>" default="true" ext="xlsm"/>
<action name="view" urlsrc="http://owa.test.com/x/_layouts/xlviewerinternal.aspx?<ui=UI_LLCC&><rs=DC_LLCC&>" default="true" ext="xlsx"/>

Skype for Business服务器 skype.test.com

安装所需的角色和服务

PowerShell执行以下命令,安装所需的角色和服务,最后Source为安装源的路径,系统安装盘\sources\sxs

Add-WindowsFeature NET-Framework-Core, RSAT-ADDS, Windows-Identity-Foundation, Web-Server, Web-Static-Content, Web-Default-Doc, Web-Http-Errors, Web-Dir-Browsing, Web-Asp-Net, Web-Net-Ext, Web-ISAPI-Ext, Web-ISAPI-Filter, Web-Http-Logging, Web-Log-Libraries, Web-Request-Monitor, Web-Http-Tracing, Web-Basic-Auth, Web-Windows-Auth, Web-Client-Auth, Web-Filtering, Web-Stat-Compression, Web-Dyn-Compression, NET-WCF-HTTP-Activation45, Web-Asp-Net45, Web-Mgmt-Tools, Web-Scripting-Tools, Web-Mgmt-Compat, Server-Media-Foundation, BITS -Source E:\sources\sxs

安装系统补丁KB2982006

安装Skype for Business Server 2015

安装完成后打开Skype for Business Server部署向导,安装管理工具

打开部署向导,准备 Active Directory

步骤1:准备架构,点击运行

然后在域控服务器上面打开ADSI编辑器,左侧树状图,点击最上面的ADSI编辑器,点击上面的操作-连接到,连接点选择架构,然后确定

这时左侧树状图会多出来一个架构,展开,在右边找到CN=ms-RTC-SIP-SchemaVersion,右键属性

在属性里面找到rangeUpper和rangeLower,如果对应的数值是1150和3,表示架构更新和复制成功;如果此对象不存在,数值不是指定的值,则架构未经过修改或尚未复制

步骤3:准备当前林,点击运行,运行完成后打开Power Shell,执行命令Get-CsAdForest

正常会显示LC_FORESTSETTINGS_STATE_READY

步骤5:准备当前域,点击运行,运行完成后打开Power Shell,执行命令Get-CsAdForest

正常会显示LC_FORESTSETTINGS_STATE_READY

检查域控设置

Power Shell执行

Get-CsAdDomain -Domain test.com -GlobalSettingsDomainController ad01.test.com

test.com和ad01.test.com为域名和域控的计算机名

正常会显示LC_DOMAINSETTINGS_STATE_READY

然后将域管理员帐号加到域控CSAdministrator组里面

至此,准备Active Directory完成

创建拓扑

打开拓扑生成器

新建拓扑,设置文件名和保存路径,设置SIP主域名,设置站点名称,最后勾选此向导关闭后将打开“新建前端”向导

“新建前端”向导

定义前端池FQDN:输入之前在域控DNS上面设置的前端池域名:pool.test.com,选择企业版前端池

定义池中的计算机
输入skype前端服务器的域名:skype.test.com

选择功能
勾选:会议、企业语音、呼叫允许控制、存档、监视

选择并置服务器角色
勾选:并置中介服务器

将服务器角色与前端池关联
不勾选:启用此前端池的媒体组件要使用的边缘池

定义SQL Server存储
新建,SQL服务器FQDN,输入数据库服务器的域名

定义文件存储
选择:定义新的文件存储
输入文件共享服务器(域控服务器)的域名和共享文件夹的名称

指定Web服务URL
此处注意,URL用于自动发现,如果需要公网访问且内部和外部域名不同,需要设置
注意要在内网和外网DNS上进行解析

选择Office Web Apps服务器
新建,输入Office Web Apps服务器域名
下方Office Web Apps服务器发现URL,注意区分是http还是https

定义存档SQL Server存储
选择上面的SQL Server存储服务器

定义监视SQL Server存储
选择上面的SQL Server存储服务器

最后点击完成

打开拓扑生成器

左侧树状图选择顶端节点,右键-编辑属性
设置管理URL:https://admin.test.com
设置中央管理服务器

发布拓扑
左侧树状图选择Skype for Business Server 2015节点,右键-拓扑-发布

选择中央管理服务器

选择数据库

完成发布流程后,系统将提供一个用于打开后续步骤列表的链接单击此处打开待办事项列表以查看后续步骤,然后点击完成

发布拓扑可能遇到的问题

发布报错
拓扑生成器遇到问题,无法发布此拓扑。

现有拓扑将 xxx 标识为中央管理存储,但您尝试拓扑将 xxx 标识为中央管理存储。这两个中央管理存储必须匹配才能发布拓扑。

由于之前发布拓扑的错误操作,导致原来的中央管理存储和现在不一致,会出现此错误

解决方法

打开Skype Shell

查看现有的中央管理存储
Get-CsConfigurationStoreLocation

删除现有的中央管理存储
Remove-CsConfigurationStoreLocation

然后重新发布拓扑

发布报错

在数据库服务器上面没有自动创建数据库

无法确定在何处安装数据库文件,因为从您的计算机或用户帐户不能使用数据库服务器上的Windows Management Instrumentation

解决方法

测试SSMS是否能正常连接数据库,测试数据库服务器TCP 1433端口是否开放

关闭数据库服务器防火墙或者将Skype前端服务器加入白名单,允许所有连接

打开Skype Shell

Install-CsDatabase -CentralManagementDatabase -SqlServerFqdn sql.test.com

测试是否能成功创建数据库

安装或更新Skype for Business Server系统

打开部署向导,安装或更新Skype for Business Server系统

将域管理员帐号加到域控RTCUniversalServerAdmins组里面

步骤1:安装本地配置存储,下一步,完成

步骤2:安装或删除Skype for Business Server组件,下一步,完成

步骤3:请求、安装或分配证书

选择默认证书,点击请求

证书请求

选择CA;填写友好名称、组织、组织单位;选择国家;填写省市信息,选择SIP域,然后点击高级

延迟的请求或即时请求
选择默认的立即将请求发送至联机证书颁发机构

名称和安全设置
填写友好名称,下面勾选将证书的私钥标记为可导出

返回到证书请求界面,点击下一步

证书请求摘要
直接下一步,完成

证书分配
直接下一步,完成

然后在证书向导界面,查看默认证书里面几项是否都打勾

在证书向导界面,选择OAuthTokenIssuer,点击请求

后面的步骤和上面的默认证书请求分配相同,最后在证书向导界面,查看OAuthTokenIssuer里面几项是否都打勾

然后关闭证书向导

步骤4:启动服务

以管理员身份运行Skype Shell,执行以下命令启动服务,打开服务,查看Skype各项服务是否都已运行

Start-CsPool
Start-CsWindowsService

打开Skype for Business Server控制面板,用管理员帐号登录,安装Microsoft Silverlight

在控制面板左侧-拓扑,查看Skype for Business Server 2015的状态是否正在运行,并且复制状态打勾

然后就可以创建用户,测试使用了

限制用户只能在两个客户端同时登录
Set-CsRegistrarConfiguration -MaxEndpointsPerUser 2

其他问题

1. 客户端登录时提示 验证服务器中的证书时遇到问题

访问http://ad01.test.com/certsrv/,下载CA证书

安装CA证书,安装到本地,受信任的根证书颁发机构

2. 在证书颁发服务器,下载CA证书时报错 出现一个意外错误: 证书颁发机构服务没有启动

打开 证书颁发机构,右键服务器名-所有任务-备份CA,可以导出CA证书

边缘传输服务部署

在Skype前端服务器中执行以下操作

创建、发布拓扑

打开拓扑生成器,打开前面步骤创建的拓扑

选中拓扑中Skype for Business Server 2015-边缘池,右键-新建边缘池

定义边缘池FQDN
选择此池具有一个服务器,输入边缘服务器的FQDN

定义边缘池FQDN
选此池具有多个服务器,输入边缘池的FQDN

选择功能
勾选使用一个FQDN和IP地址

选择IP选项
上面默认勾选在内部接口上启用IPv4和在外部接口上启用IPv4,下面根据实际情况勾选此边缘池的外部IP地址是由NAT转换的

外部FQDN
填写外部域名,设置服务端口,建议不要占用443端口,边缘服务器443端口用于映射到Skype前端服务器4443端口

定义内部IP地址
输入边缘服务器的内网IP

定义外部IP地址
输入边缘服务器用于和公网连接的IP

定义公用IP地址(NAT)
输入用于端口映射的公网IP

定义下一个跃点服务器
选择下一个跃点池

关联前端或中介池
勾选里面的池FQDN

选中拓扑中Skype for Business Server 2015-边缘池里面新建的拓扑,右键-拓扑-发布

导出拓扑文件

打开Skype Shell,执行以下命令

Export-CsConfiguration -FileName D:\edge.zip

将导出的拓扑文件拷贝到边缘服务器

在Skype边缘服务器中执行以下操作

准备工作

将域CA证书导入,受信任的根证书颁发机构

修改计算机名

修改此计算机的主DNS后缀为域控里的域名

在域控DNS上创建到边缘服务器的A记录

打开服务器管理器,添加角色和功能,添加以下功能
.NET Framework 3.5 功能
.NET Framework 4.5 功能
Windows Identity Foundation 3.5
远程服务器管理工具-角色管理工具-AD DS 和 AD LDS 工具

安装系统补丁KB2982006

安装Skype for Business Server 2015

安装或更新Skype for Business Server系统

打开部署向导,安装或更新Skype for Business Server系统

步骤1:安装本地配置存储
配置中央管理存储的本地副本,选择从文件导入,选择在前端服务器上面导出的边缘服务器拓扑文件,下一步

步骤2:安装或删除Skype for Business Server组件
直接下一步,看到下面的内容表示正在安装边缘传输组件

正在安装 Server.msi(ADDLOCAL=Feature_Server_Edge REBOOT=ReallySuppress  INSTALLDIR="C:\Program Files\Skype for Business Server 2015\")...

步骤3:请求、安装或分配证书
在证书向导界面,选择边缘内部,点击请求

延迟的请求或即时请求
选择立即准备请求,但是稍后发送(脱机证书请求)

证书请求文件
选择请求文件的保存路径

指定替代证书模板
此处直接下一步

名称和安全设置
填写友好名称,下面勾选将证书的私钥标记为可导出

组织信息
填写组织和组织单位信息

地理信息
选择国家,填写省市信息

使用者名称/使用者替代名称,此处直接下一步

配置其他使用者替代名称,,此处直接下一步

证书请求摘要,检查信息是否正确,然后下一步

完成后在证书向导界面,选择外部边缘证书,点击请求

延迟的请求或即时请求
选择立即准备请求,但是稍后发送(脱机证书请求)

证书请求文件
选择请求文件的保存路径

后面一直到使用者替代名称的SIP域设置之前,都参考边缘内部的操作

使用者替代名称的SIP域设置,勾选全部,后面全部下一步直到完成

访问http://ad01.test.com/certsrv/
ad01.test.com为域控/证书服务服务器的域名

进去后点击申请证书-高级证书申请-使用 base64 编码的 CMC 或 PKCS #10 文件提交 一个证书申请,或使用 base64 编码的 PKCS #7 文件续订证书申请。

用记事本打开边缘内部证书请求文件,将里面的内容粘贴到浏览器-保存的申请框里,证书模板选择Web服务器,点击提交

证书颁发后选择DER编码,下载证书和证书链

然后重复上面的操作对外部边缘证书进行申请

打开控制台-证书,将申请到的内部和外部证书导入控制台个人-证书里面

在证书向导里面对内部和外部证书进行分配

打开Skype Shell,执行以下命令启动服务

Start-CsWindowsService

设置允许远程访问
在Skype前端服务器登录Skype for Business Server控制面板,点击左侧联盟和外部访问,修改:
外部访问策略,开启启用与远程用户的通信
访问边缘配置,开启启用远程用户访问

再次执行安装本地配置存储、安装或删除Skype for Business Server组件,重新启动服务

端口映射

前端服务器
将边缘服务器的以下端口映射到公网
TCP 4443映射到公网TCP 443
TCP 8080映射到公网TCP 80

边缘服务器
将边缘服务器的以下端口映射到公网
TCP 5061
TCP UDP 50000-59999
UDP 3478
TCP 4444(Web会议边缘服务端口)
TCP 4433(A/V边缘服务端口)

其他建议的操作

为边缘服务器的外部域名申请公网SSL证书

边缘服务器
在证书向导里面将外部证书更换为公网SSL证书

设置公网DNS解析

lyncdiscover.test.com 类型CNAME 边缘服务器的公网FQDN

_sip._tls.test.com 类型SRV 优先级:0 权重:0 端口:5061 目标地址:边缘服务器的公网FQDN

sipexternal.test.com 类型CNAME 边缘服务器的公网FQDN

sip-ext.test.com 类型A 边缘服务器的公网IP

web-ext.test.com(Web服务的外部域名) 类型A 边缘服务器的公网IP

tips:
修改前端服务器的配置、拓扑后:需要重新发布拓扑,再次执行安装本地配置存储、安装或删除Skype for Business Server组件,重新启动服务

修改边缘拓扑后:需要重新发布拓扑,导出的拓扑文件;在边缘服务器中再次安装本地配置存储(导入拓扑文件)、安装或删除Skype for Business Server组件,重新启动服务

微软的连接测试工具

Microsoft Remote Connectivity Analyzer