Migrace z Lync 2010 na Lync 2013 (2. díl)

Pokračujeme v migraci naší Lync topologie na novou verzi Lync 2013. V tomto díle se podíváme na instalaci nového Edge Lync Server 2013 v edici Standard.

Nasazení Edge serveru

Standardní Lync topologie obsahuje Front End server a k němu také Edge server, abychom mohli používat externí přístup uživatelů a různé federace. I naše migrovaná topologie obsahuje tyto dva servery. Po té, co jsme paralelně nasadili Front End Server 2013, a otestovali funkčnost na pár uživatelích, nás nyní čeká Edge server.

Doporučovaná metoda, kterou si zde také popíšeme, je obdobná jako u Front End serveru. Spočívá tedy v Side by Side migraci, kdy vedle existujícího Edge Serveru 2010 nasadíme verzi 2013. To má výhodu, že můžeme vše v klidu nainstalovat a otestovat a pak teprve přepnout celou funkčnost. Nevýhodu je, že potřebujeme řadu nových IP adres, včetně veřejných, nová veřejná DNS jména a nové certifikáty. Byla by tu i možnost odstranit starý Edge server a při instalaci nového využít stávající zdroje. To by ovšem znamenalo delší výpadek pro uživatele. Pořád tu ale je možnost nainstalovat Edge server s novými (dočasnými) hodnotami, vše otestovat a při přepojování (odstranění původního Edge serveru) změnit hodnoty na ty původní.

Instalace Edge serveru, a hlavně potřebné komunikace, se téměř neliší od verze Lync 2010. To jsme si podrobně popsali v článku Microsoft Lync část 5 - instalace Edge serveru, na který se budeme odkazovat.

Plánování nasazení

Určitě je dobrým začátkem mít k dispozici schéma aktuální topologie Lyncu a připravit si plánovanou cílovou topologii, kde již budeme počítat s DNS jmény, IP adresami a potřebnými komunikacemi. Případně můžeme mít i nějaké přechodové schéma, kde budou společně aktuální (Legacy) i přidávané (Pilot) prvky nasazení. Velmi schématický obrázek přechodného stavu migrace je níže.
 

migrace01.gif

Podrobné schéma cílové topologie naší migrace zobrazuje další obrázek. Schéma aktuálního stavu máme v článku Microsoft Lync část 5 - instalace Edge serveru.
 

migrace02.gif

Pro instalaci potřebujeme připravit nový (virtuální) server, na který nainstalujeme Windows Server 2012 Standard (mohl by se použít i Windows Server 2008 R2 SP1). Co se týče HW požadavků serveru, tak samozřejmě záleží na počtu uživatelů a využití, v našem případě si vystačíme s běžným procesorem a 4 GB operační paměti. Pro Lync 2010 Edge nám jakžtakž stačil 20 GB disk, pokud nyní použijeme 30 GB disk, tak nám průvodce selže při instalaci DB. Velikost 40 GB je již dostatečná (a po instalaci zůstalo 17 GB volných). Obecně jsme si požadavky více popsali v článku Microsoft Lync 2013 - než začneme nasazovat.

Server nám stačí standardně nainstalovaný, pouze doplníme jednu vlastnost systému Microsoft Windows Identity Foundation. To můžeme provést pomocí PowerShellu.

Add-WindowsFeature Windows-Identity-Foundation

Příprava topologie

Prvním krokem instalace je změna stávající topologie, kde doplníme nový Edge server a jeho parametry. Topologii musíme editovat pomocí Lync Server Topology Builderu verze 2013, takže využijeme náš nově nainstalovaný Front End server.

  • připojíme se na LyncFE.firma.local
  • spustíme Lync Server Topology Builder
  • zvolíme Download Topology from existing deployment
  • uložíme topologii do souboru (přepíšeme původní) firma.tbxml
  • rozklikneme naši lokalitu (Praha) a Lync Server 2013
  • klikneme pravým tlačítkem na Edge Pools a zvolíme New Edge Pool

migrace03.gif

Tím se nám spustí průvodce Define New Edge Pool.

migrace04.gif

Zadáme FQDN nového Edge serveru a zvolíme Single computer pool.

migrace05.gif

U výběru vlastností nezaškrtneme žádnou možnost (federaci a XMPP budeme konfigurovat až dodatečně).

migrace06.gif

Dle našich požadavků zvolíme IP možnosti.

migrace07.gif

Zadáme veřejná doménová jména, kde budou poslouchat jednotlivé služby. Pokud bychom zvolili (v dřívějším kroku) využití pouze jednoho DNS jména a IP adresy, tak bychom museli nastavit různé porty, to ale není pro praxi vhodné.

migrace08.gif

Vložíme IP adresu rozhraní Edge serveru, které směruje k naší interní síti.

migrace09.gif

Potom definujeme 3 IP adresy z interního rozsahu DMZ, kam budou směrovány internetové požadavky z veřejných adres.

migrace10.gif

Z veřejných IP adres zadáváme pouze jednu. Je třeba nepřehlédnout, že jde o Audio Video Edge, kterou ve schématech uvádíme až jako třetí.

migrace11.gif

V kroku Next hop server se nám nabízí původní i nový Front End server, my nyní volíme ten starý.

migrace12.gif

Poslední krok průvodce nám znovu nabízí oba Front End servery pro asociaci. Nyní nezaškrtneme žádný (nastavení provedeme až později).

migrace13.gif

Průvodce ukončíme tlačítkem Finish.

Publikace topologie

Následně vypublikujeme topologii pomocí Publish Topology. Průvodce by měl skončit bez chyb případně s nějakým nedůležitým varováním, jako:

Warning: Unable to check the security for "Deleted Objects" in the configuration container. This is expected if you are not an enterprise administrator.

migrace14.gif

Můžeme se podívat na To-do list, který nám popisuje potřebné následující kroky.

Update Lync Server with the changes defined in the topology by running local Setup on each server in the following list.

Server FQDN: lynced.firma.dmz, Pool FQDN: lynced.firma.dmz

Export konfigurace (topologie)

Rovnou si nyní připravíme soubor, který bude obsahovat naší Lync topologii. Až budeme instalovat Edge server v DMZ, tak je třeba se v prvním kroku připojit na CMS a stáhnout tuto topologii, to by nám ale z DMZ neprošlo, protože nemáme tuto komunikaci povolenou (směr z DMZ na CMS, dále totiž používáme pouze obráceně).

Export-CsConfiguration -FileName c:\topology.zip

Instalace Edge Serveru

Nový server jsme si již připravili. Ještě je třeba, aby měl nastaveny všechny čtyři požadované IP adresy (popisovali jsme dříve). Podle doporučení má mít minimálně dva síťové adaptéry (jeden pro externí adresy a jeden pro interní), já používám DMZ s jedním subnetem a na Edge serveru pouze jeden adaptér, který má nastaveny všechny čtyři IP adresy.

Z instalačního média Lyncu spustíme setup.exe. Odsouhlasíme instalaci Microsoft Visual C++ 2012 Minimal Runtime a cestu pro instalaci. Vše je stejné jako u každé Instalace Lync Server 2013.

Nastartuje Deployment Wizard, kde vybereme Install or Update Lync Server System.

migrace15.gif

Spustíme první krok Install Local Configuration Store.

migrace16.gif

Důležitá volba je, že CMS data (lokální replika) se importují ze souboru Import from a file (recommended for Edge Servers). Vybereme soubor, který jsme exportovali na Front End serveru.

migrace17.gif

Instalace by měla proběhnout bez problémů, stejně jako druhý krok Setup or Remove Lync server Components. V třetím kroku Request, Install or Assign Certificates potřebujeme minimálně dva certifikáty. Jeden pro komunikaci s Front End serverem (poznámka bokem, Edge server musí také důvěřovat certifikátu Front End serveru) a druhý pro komunikaci z internetu (ten byl měl být od nějaké veřejné důvěryhodné autority). Certifikáty buď importujeme, nebo o ně požádáme.

Pokud vytváříme Offline žádost, tak je postup Request – vytvoříme soubor s žádostí (něco.req), na CA vydáme certifikát (něco.cer), Import – naimportujeme cer soubor do storu Windows, kde se spojí s privátním klíčem, Assign - přiřadíme nový certifikát dané službě.

migrace18.gif

Poslední krok je nastartování služeb a jejich kontrola.

migrace19.gif

Komunikace Edge serveru

Prostup z CMS a kontrola

Pokud máme pravidlo, které povoluje komunikaci z Central Management Store (CMS) pouze na starý Edge server, tak jej rozšíříme i o právě nainstalovaný server. Jde o HTTPS komunikaci na TCP portu 4443.

Poté můžeme zkontrolovat, že probíhá replikace z CMS na Edge server. Buď pomocí Lync Server Control Panel v Topology nebo pomocí Lync Server Management Shell a cmdletu Get-CsManagementStoreReplicationStatus. K replikaci dochází pouze v určitém intervalu, takže ji můžeme i manuálně vyvolat pomocí Invoke-CsManagementStoreReplication.

Zprovoznění komunikací

Další krok spočívá ve zprovoznění komunikace z internetu na nový Edge server, tedy publikace tří IP adres a patřičných portů na firewallu. A povolení komunikace z Front End serveru na nový Edge server. Různé návody tuto oblast příliš nepopisují. Já ji podrobně popsal v článku Microsoft Lync část 5 - instalace Edge serveru, který se sice týká Lync Serveru 2010, ale když nahlédneme do dokumentace Port Summary - Single Consolidated Edge with Private IP Addresses Using NAT, tak zjistíme, že se ve verzi 2013 téměř nic nezměnilo.

Jeden rozdíl je komunikace z interní sítě na Edge server (jeho Internal IP), jde o TCP porty 50001 až 50003 (MTLS). Tato komunikace slouží novému způsobu logování, Centralized Logging Service (CLS) controller, tedy komunikace z CLSController na agenta na Edge serveru. Samozřejmě je povolení této komunikace volitelné.

Všiml jsem si ještě jednoho rozdílu, ale po podrobnějším zkoumání jsem zjistil, že nejde o žádnou novinku. Tato komunikace byla popisována i u verze 2010. Jde o porty TCP 443 (STUN, MSTURN) a UDP 3478 (STUN,MSTURN), které je třeba mít otevřené nejen z internetu na A/V rozhraní Edge serveru, ale také z Edge serveru do internetu. Port 443 (standardně HTTPS) mám otevřený z celé DMZ sítě do internetu, takže jsem přehlédl, že je třeba. A případně je potřeba i UDP 3478, přes tento port se komunikace zkouší prvně, ale pokud neprojde, tak se využije právě TCP 443.

Pro nastavení komunikací tedy odkazuji na zmiňovaný starší článek. Pouze pro shrnutí kroků, co je třeba nastavit:

  • náš nový Edge server nemůže přímo komunikovat do interní sítě (je zde NAT a FW), ale přitom se musí spojit s Front End serverem (pomocí TCP 5061) a v konfiguraci má interní DNS jméno, takže mu do souboru C:\Windows\System32\drivers\etc\hosts přidáme záznam, že k internímu FQDN patří v DMZ vypublikovaná IP adresa
  • na externím FW vypublikujeme tři adresy se správnou komunikací a povolíme komunikaci z Edge serveru do internetu, samozřejmě potřebujeme mít i patřičné veřejné DNS záznamy
  • na interním FW stačí rozšířit existující pravidla, aby dovolila komunikaci do interní sítě na Front End server a opačně

Kontrola komunikace

Začneme poznámkou. Pokud máme problémy na klientovi při přihlašování k serveru, tak je nejlepší se podívat do logů (musíme nejprve logování povolit v konfiguraci klienta). Ve starším klientovi Lync 2010 se logy nacházely v cestě %userprofile%\Tracing a nejčastěji nás zajímal soubor C:\Users\<username>\TracingCommunicator-uccapi-0.uccapilog.

V Lyncu 2013 se cesta změnila a jde o C:\Users\<username>\AppData\Local\Microsoft\Office\15.0\Lync\Tracing\Lync-UccApi-0.UccApilog.

Abychom otestovali, že nám nový Edge server funguje, tak se přes něj musíme přihlásit. Protože jsme neměnili (a ani nemůžeme) SRV DNS záznamy, dle kterých klient hledá server, tak můžeme v klientovi zadat adresu ručně. Přes menu Tools – Options – Personal vedle Sign-in address klikneme na Advanced. Přepneme na Manual configuration. Protože se chceme připojit přes Edge server, tak vyplníme pouze External server name. Zadáme tam veřejnou adresu Access Edge rozhraní. Důležité ale je, že musíme zadat i port (což se téměř nikde v dokumentaci nezmiňuje). Pokud to neuděláme, tak i když jde o veřejnou adresu, tak se klient bude snažit připojit na port 5061 a 443 vůbec nezkusí.

migrace20.gif

Je tu i druhá možnost, do lokálního hosts souboru na stanici si dáme záznam pro DNS původního Edge serveru a k němu přiřadíme novou IP adresu.

Petr Bouška


Sledujte Živě na Facebooku

celkem 0

Poslední názory Názory



DEJTE NÁM TIP NA ČLÁNEK



Aktuální číslo časopisu Computer
  • Testy nejnovějších produktů na českém trhu.
  • Informace ze světa internetu i bezpečnosti.
  • Plné verze programů zdarma pro všechny čtenáře.

Partnerská sekce pro IT profesionály
Microsoft TechNet/MSDN