Lync Server 2013 架构部署重点 推荐
2014-04-22 18:49
573 查看
Lync Server 2013的部署和语音集成终于搞完了,Lync Server 2013的部署博客后续会慢慢更新完毕,在这次lync server部署过程中发现了很多的奇葩问题,也彻底理解了lync 2013的整个工作原理,在这里稍微分享一下:
关于DNS配置的细节
内部DNS:
SRV:_sipinternaltls._tcp.<sip-domain> 指向前端池的FQDN 内部用户访问
A或者C记录: Lyncdiscoverinternal.<sip-domain> 指向前端池IP 内部自动发现记录
A记录: admin的URL 如 admin.<sip-domian> 指向前端服务器池IP,lync管理台使用
A记录: meet的URL 如meet.<sip-domain> 指向前端服务器池IP,lync web service使用
A记录: dail-in的URL 如dailin.<sip-domain> 指向前端服务器池IP,lync web service使用
A记录: 内部web service的fqdn 如fepool01.<sip-domain> 指向前端服务器池IP,lync web service使用
外部DNS:
SRV记录: _sipfederationtls._tcp.<sip-domain> 指向边缘服务器池,lync联盟服务使用
SRV记录:_sip._tls.<sip-domain> 指向边缘服务器池 lync公网用户访问
SRV记录:_xmpp-server._tcp.<sip-domain> 指向边缘服务器池 xmpp 联盟服务使用
由于中国的DNS供应商基本不提供srv记录,所欲主要还是使用下面的A记录
A记录:sip.<sip-domain> 指向边缘服务器池 定位边缘服务器池
A记录:边缘接入,如access.<sip-domain> 指向边缘服务器池 边缘的Access服务
A记录:边缘A/V服务,如av.<sip-domain>指向边缘服务器池 边缘的AV服务
A记录:边缘web conf服务,如webconf.<sip-domain>指向边缘服务器池 边缘的web conf服务
也可以全部使用sip.<sip-domain>一条记录
A或C记录:lyncdiscover.<sip-domain> 指向边缘或者反向代理服务器,外部自动发现使用
A记录: meet的URL 如meet.<sip-domain> 指向反向代理,lync web service使用
A记录: dail-in的URL 如dailin.<sip-domain> 指向反向代理,lync web service使用
A记录: 外部web service的fqdn 如lync.<sip-domain> 指向反向代理,lync web service使用
端口以及lync工作原理:
抛开云服务不说:
lync用户从公网接入时,如上图描述:
1.首先尝试lyncdiscoverinternal这条记录,这条记录只应该在内网有。在公网无法解析,进入下一步。
2.尝试lyncdiscover这条记录,这条记录应该指向了边缘服务器,如果还没有,进入下一步
3.尝试SRV两条记录,我们当做没有,继续下一步。
4.尝试sipinternal这条记录,这条也没有,继续下一步
5.尝试sip这条记录,这条应该指向边缘。如果还没有,继续下一步
6.尝试sipexternal这条记录,如果还没有,失败。
最佳实践可以是用lyncdiscover作为C记录,指向sip这条a记录
如果你不使用这些默认的DNS解析,而是用自己定义的地址,比如lyncserver.contoso.com,那么必须在lync客户端中设置内部外部服务器地址才可以。
关于手机登录
1:手机登录很多人不清楚,我这里用最通俗的方式来解释,手机也是通过自动发现机制尝试去连接lync服务器。
2:手机在找到lync服务器后,会询问整个2013环境的拓扑,和当前用户所处的前端池。
3:假设我们的lync前端池中的配置为:内部webservice地址为fepool01.contoso.com,外部webservice地址为lync.contoso.com。那么手机不管你是出于内网还是外网环境,它会去访问lync.contoso.com的443端口。如果你内网有这条DNS解析,那么这条记录应该指向前端.
4:手机与PC客户端不同,手机主要连接的是前端的443端口,如果该手机无法连接其账户所注册的前端池的443端口,手机就无法登陆
5:前端池的443可以通过反向代理的方式来实现,重定向到443或者4443。个人觉得TMG好用,但是我们线上环境通过的是linux的代理,重定向到4443
6:lync2013手机不再需要证书。
持久聊天通过边缘接入不可用
这个故障微软支持的人都没见过,最后我们验证是证书的问题,公司整个lync服务器全部使用公网lync证书,整个SAN证书中有24个FQDN名称,基本涵盖了我们架构中所有的FQDN名称,有些人说没必要,我要告你,确实没必要,但是公司就是买了,不用白不用。
但是这时候我们发现了问题:
1 通过边缘服务器内部外部用户沟通时出现超高延迟,甚至无法通信。
2 持久聊天池在公网访问不可用。
经过了许久的调查,得出结论,由于公网证书有24个域名,导致加密过程和数据量太大,将除了边缘,前端和Office Web App服务器的证书以外的所有服务器证书全部换为内网证书,问题全部解决。保留前端公网证书因为我们大量用户还是使用lync 2010的手机客户端,如果修改为内网证书,他们会无法登陆。
一些我们发现的BUG
1:迁移用户到2013的时候,不要勾选强制迁移,否则联系人会消失。
2:如果你在LYNC2010的时候的头像是企业AD中的头像,升级到2013后,会出现自己看不见自己的头像而别人看你头像正常的情况,这是bug,解决方式是通过exchange 2013修改头像。如果exchange还是2010,只能装回lync 2010客户端,然胡自己上传一个头像,再换回lync 2013客户端,头像问题可以解决。
关于DNS配置的细节
内部DNS:
SRV:_sipinternaltls._tcp.<sip-domain> 指向前端池的FQDN 内部用户访问
A或者C记录: Lyncdiscoverinternal.<sip-domain> 指向前端池IP 内部自动发现记录
A记录: admin的URL 如 admin.<sip-domian> 指向前端服务器池IP,lync管理台使用
A记录: meet的URL 如meet.<sip-domain> 指向前端服务器池IP,lync web service使用
A记录: dail-in的URL 如dailin.<sip-domain> 指向前端服务器池IP,lync web service使用
A记录: 内部web service的fqdn 如fepool01.<sip-domain> 指向前端服务器池IP,lync web service使用
外部DNS:
SRV记录: _sipfederationtls._tcp.<sip-domain> 指向边缘服务器池,lync联盟服务使用
SRV记录:_sip._tls.<sip-domain> 指向边缘服务器池 lync公网用户访问
SRV记录:_xmpp-server._tcp.<sip-domain> 指向边缘服务器池 xmpp 联盟服务使用
由于中国的DNS供应商基本不提供srv记录,所欲主要还是使用下面的A记录
A记录:sip.<sip-domain> 指向边缘服务器池 定位边缘服务器池
A记录:边缘接入,如access.<sip-domain> 指向边缘服务器池 边缘的Access服务
A记录:边缘A/V服务,如av.<sip-domain>指向边缘服务器池 边缘的AV服务
A记录:边缘web conf服务,如webconf.<sip-domain>指向边缘服务器池 边缘的web conf服务
也可以全部使用sip.<sip-domain>一条记录
A或C记录:lyncdiscover.<sip-domain> 指向边缘或者反向代理服务器,外部自动发现使用
A记录: meet的URL 如meet.<sip-domain> 指向反向代理,lync web service使用
A记录: dail-in的URL 如dailin.<sip-domain> 指向反向代理,lync web service使用
A记录: 外部web service的fqdn 如lync.<sip-domain> 指向反向代理,lync web service使用
端口以及lync工作原理:
抛开云服务不说:
lync用户从公网接入时,如上图描述:
1.首先尝试lyncdiscoverinternal这条记录,这条记录只应该在内网有。在公网无法解析,进入下一步。
2.尝试lyncdiscover这条记录,这条记录应该指向了边缘服务器,如果还没有,进入下一步
3.尝试SRV两条记录,我们当做没有,继续下一步。
4.尝试sipinternal这条记录,这条也没有,继续下一步
5.尝试sip这条记录,这条应该指向边缘。如果还没有,继续下一步
6.尝试sipexternal这条记录,如果还没有,失败。
最佳实践可以是用lyncdiscover作为C记录,指向sip这条a记录
如果你不使用这些默认的DNS解析,而是用自己定义的地址,比如lyncserver.contoso.com,那么必须在lync客户端中设置内部外部服务器地址才可以。
关于手机登录
1:手机登录很多人不清楚,我这里用最通俗的方式来解释,手机也是通过自动发现机制尝试去连接lync服务器。
2:手机在找到lync服务器后,会询问整个2013环境的拓扑,和当前用户所处的前端池。
3:假设我们的lync前端池中的配置为:内部webservice地址为fepool01.contoso.com,外部webservice地址为lync.contoso.com。那么手机不管你是出于内网还是外网环境,它会去访问lync.contoso.com的443端口。如果你内网有这条DNS解析,那么这条记录应该指向前端.
4:手机与PC客户端不同,手机主要连接的是前端的443端口,如果该手机无法连接其账户所注册的前端池的443端口,手机就无法登陆
5:前端池的443可以通过反向代理的方式来实现,重定向到443或者4443。个人觉得TMG好用,但是我们线上环境通过的是linux的代理,重定向到4443
6:lync2013手机不再需要证书。
持久聊天通过边缘接入不可用
这个故障微软支持的人都没见过,最后我们验证是证书的问题,公司整个lync服务器全部使用公网lync证书,整个SAN证书中有24个FQDN名称,基本涵盖了我们架构中所有的FQDN名称,有些人说没必要,我要告你,确实没必要,但是公司就是买了,不用白不用。
但是这时候我们发现了问题:
1 通过边缘服务器内部外部用户沟通时出现超高延迟,甚至无法通信。
2 持久聊天池在公网访问不可用。
经过了许久的调查,得出结论,由于公网证书有24个域名,导致加密过程和数据量太大,将除了边缘,前端和Office Web App服务器的证书以外的所有服务器证书全部换为内网证书,问题全部解决。保留前端公网证书因为我们大量用户还是使用lync 2010的手机客户端,如果修改为内网证书,他们会无法登陆。
一些我们发现的BUG
1:迁移用户到2013的时候,不要勾选强制迁移,否则联系人会消失。
2:如果你在LYNC2010的时候的头像是企业AD中的头像,升级到2013后,会出现自己看不见自己的头像而别人看你头像正常的情况,这是bug,解决方式是通过exchange 2013修改头像。如果exchange还是2010,只能装回lync 2010客户端,然胡自己上传一个头像,再换回lync 2013客户端,头像问题可以解决。
内容来自用户分享和网络整理,不保证内容的准确性,如有侵权内容,可联系管理员处理 
相关文章推荐
- 部署LyncServer2013之二 扩展架构
- Lync Server 2013企业版部署系列之八:安装lync server系统 推荐
- Lync Server 2013 累积更新1(CU1)企业版部署实施解决方案 推荐
- 部署高可用的Lync Server 2013 Part 4 部署高可用的文件共享DFS 推荐
- 二 Lync Server 2013 部署指南-架构准备
- Lync Server 2010迁移至Lync Server 2013部署系列 Part1: 扩展AD架构
- 部署高可用的Lync Server 2013 Part 3 部署SQL见证服务器和报表服务 推荐
- 部署LyncServer2013之二 扩展架构
- Lync Server 2010迁移至Lync Server 2013部署系列 Part1: 扩展AD架构
- 部署高可用的Lync Server 2013 Part 5 准备LYNC服务器 推荐
- 部署高可用的Lync Server 2013 Part 2 SQL群集环境准备 推荐
- Lync Server 2013功能部署系列之五 Lync Server Office Web Apps Server部署
- 一 Lync Server 2013 部署指南-环境说明
- 手把手教你搭建LyncServer2013之部署及配置存档功能(十七)
- Lync Server 2010迁移至Lync Server 2013部署系列 Part4:部署后端见证服务器
- Lync Server 2013企业版部署测试八:持久聊天服务器部署(二)
- Lync Server 2013企业版部署系列之七:使用拓扑生成器规划拓扑
- Lync Server 2010的部署系列_第二十章 将OCS 2007 R2迁移至Lync Server 2010 推荐
- 手把手教你搭建LyncServer2013之部署前端服务器(六)
- 微软 Lync Server 2010 标准版部署体验——服务器部署篇 推荐