当我们部署好Lync Server前端、后端的时候,可能会发现此时虽然可以登录Lync了,但客户端右下角会显示一个错误图标,单击该图标将会看到“受限制的外部呼叫”。这在部署边缘服务器之前是一个很正常的现象。可能有的朋友说我部署的是标准版All in One,怎么还需要部署边缘服务器才能够实现外部访问?或者为什么我不能直接把标准版前端服务器当成边缘服务器使用来实现外部用户访问?答案我想应该是出于安全问题,我们都知道从边缘访问和从内部网络访问Lync的安全策略等级是不一样的。这就好比我们的活动目录域中计算机的安全策略明显会比没有加入域的工作组计算机安全策略高。况且微软是建议Lync边缘服务器需要一个网卡连接到DMZ网段,再连接到TMG或其他防火墙进入公网;另一个网卡连接到LAN网段,实现与前端服务器的沟通。如果直接将前端服务器暴露在公网可能问题会比较严重。好了说了不少废话,下面来看下正题。
我们在部署边缘服务器应该遵循此步骤:
修改拓扑加入边缘服务器池------>完善边缘服务器拓扑信息------>发布拓扑------>使用Ps导出拓扑配置复制到边缘服务器------>在边缘服务器上安装Lync Server------>安装Lync Server本地存储(通过配置文件)------>安装Lync边缘服务器角色组件------>为边缘服务器分配内部网卡证书和外部网卡证书------>启动Lync边缘服务器角色的服务。
在按照以上流程部署完边缘服务器后,通常需要等待一段时间,这段时间将完成这些变化:
1.Lync前端服务器通过CMS进行配置更新;
2.Lync前端服务器开始连接边缘服务器;
3.Lync边缘服务器侦听、同步状态;
如果在等待一段时间后,从内部网络登录Lync客户端仍然看到客户端提示“受限制的外部呼叫”错误,这时我们应该立刻检查Lync管理面板中的拓扑状态,将可能看到如下图所示内容。
边缘服务器的复制是错误的,不仅仅是不可用。这里我们可以了解到是边缘服务器复制的问题,导致边缘服务器并没有正常工作、或者前端服务器没有正常工作。立刻打开前端服务器、边缘服务器的事件日志查看器,查看是否存在相应的错误日志。并且检查边缘服务器的端口开放是否正确,在外部网络使用Telnet检查边缘服务器的5061或443端口(根据服务器设置确定)。
如果前端服务器的服务运行正常,但日志记录中存在大量的错误,例如与A/V边缘会议连接失败,无效的EDGE FQDN等。这时候可以确定是前端服务器池与边缘服务器的连接问题。可以尝试将边缘的防火墙关闭,并检查DC中是否添加了相应的边缘服务器DNS记录。这看起来似乎是非常小的问题,但在实际环境中却容易遗忘。
综上所述,如果前端后端边缘的服务都运行正常、并且外部也能够打开管理面板,则说明很有可能是边缘服务器与前端池连接问题,这时应该第一个想到DC是否添加了内部的边缘服务器DNS记录,第二个应该检查防火墙,检查各个端口。
顺便说一下,如果边缘服务器的证书配置错误,那么在外部网络打开控制面板会提示证书错误,即使外部客户端已经装好了根证书。在凭据验证上也会出现错误,导致无法正常登录。如果内部网络无法打开控制面板,则应该是前端服务器证书问题。
