因为要实现外部用户访问,所以我们必然需要在公网DNS中添加我们所需要的一些A记录,而这样的测试需要我们拥有一个公网的域名以及一个可发布、可访问的IP。如果没有的话就没办法这样测试,所以我们今天在物理局域网中搭建一台DNS服务器,来模拟公网。为什么可以在局域网模拟公网环境呢?因为我们的Lync Server网络是虚拟交换机组成的,全部都是虚拟的网络,只有我们TMG的WAN网卡是外部网卡,允许其访问我们的物理路由器、Internet网络。并且我们物理局域网中的实体机也是通过TMG来连接到Lync Server网络,也就是我们的局域网是无法直接访问Lync Server的。下面我们就在物理局域网中搭建一台DNS服务器,简单的系统配置就不说了,我们只看重点。首先我们打开该服务器的本地连接属性,把所有协议都取消,只留下INTERNET协议版本4。

clip_image001

为其配置IP地址为192.168.0.2,这与我们TMG外部网卡上的DNS是相同的。

clip_image002

为DNS服务器的计算机名称设置一个便于识别的名称。

image

通过服务器管理器,添加角色向导来添加DNS服务器角色。

clip_image003

完成DNS服务器的安装。

clip_image004

完成之后打开DNS管理器,右键DNS服务器选择新建区域。

image

打开新建区域向导,单击下一步开始配置区域。

clip_image006

区域类型选择主要区域。

clip_image007

区域名称就写我们Lync Server的域名。

clip_image008

在区域文件界面选择创建新闻界,文件名保持默认即可。

clip_image009

在动态更新界面,选择不允许动态更新。因为我们不需要动态更新,只需要添加几条静态的记录。

clip_image010

完成区域创建。

clip_image011

然后我们打开正向查找区域-contoso.com,然后在右侧添加我们所需要的记录。在内容窗格中空白处右键-新建主机。

clip_image012

我们来创建以下几个A记录,sip、meet、dialin、rp、tmg这五个名称的记录,全部对应的IP都是192.168.0.254即我们的TMG外网卡IP地址。

clip_image013clip_image014

clip_image015clip_image016

clip_image017

创建完成后我们再右键-其他新记录,来创建一条SRV记录。实际的公网域名提供商很少有提供SRV记录的,国内已知的有花生壳。在生产环境中如果一定要添加SRV记录,如果域名服务商不支持SRV记录,可以自建DNS服务器,找域名服务商取回DNS域名解析托管服务,发布到公网。

clip_image018

需要注意的是这里的SRV记录配置与我们在内网中的配置不一样,服务是_sip,协议是_tls,端口号443,提供服务的主机是sip.contoso.com。

clip_image019
创建完成后,我们在物理局域网中的客户端将其DNS配置为192.168.0.2。然后我们来测试下,还是打开命令提示符,输入nslookup,然后输入set type=srv,然后输入_sip._tls.contoso.com,我们来看下结果。

clip_image020

我们可以看到我们通过192.168.0.2已经成功通过查找sip服务,已经找到了sip.contoso.com,以及443端口。然后我们输入exit退出nslookup,然后输入ping sip.contoso.com来查看下是否能够找到sip.contoso.com主机。如果正确的话会得到sip.contoso.com对应的IP地址以及请求超时的结果,这是正常现象。

clip_image021

好了外网DNS模拟就到这里,如果这时我们在物理局域网中想直接使用该DNS来查找互联网中的域名系统,我们可以直接在该DNS上设置转发器。我们在DNS管理器中右键DNS服务器,选择“属性”。

clip_image022

然后在“转发器”选项卡中单击“编辑”。

clip_image023

我们来添加几个外部DNS服务器,比如8.8.8.8、四川电信202.98.96.68等等。

clip_image024

单击确定保存设置。

clip_image025

好了,然后我们回到TMG上面,然后查看我们之前创建的反向代理属性-“公共名称”-“测试规则”按钮。稍等片刻,如果配置正确的话会出现测试成功运行完成的结果,如下图。

image

在此之后,我们可以进一步的来进行外网测试,在物理局域网中的客户端上打开浏览器,在“地址”栏中打开https://sip.Gianthard.com/abs,如果正常的话要求我们输入凭据。因为默认情况下将通讯簿服务器文件夹的目录安全性配置为 Windows 身份验证。然后输入请键入类似下面的 URL:https://meet.contoso.com/,此 URL 应会显示无效会议页面,我们可以查看一下证书是不是颁发给我们的Lync边缘访问。

image

到此我们的外部访问部署就已经完成了,包括整个边缘服务器的部署、TMG发布、反向代理、模拟外部DNS,以实现整个的外部访问,并且由于我们的DNS添加了SRV记录,所以我们能够在物理局域网中进行自动配置登录。我们整个过程的部署思路和步骤都非常清晰,所以部署起来并不难。此时此刻我们单单是启用Lync用户,还不能在物理局域网中登录,因为我们还需要配置外部访问。下一篇我们来看看外部访问配置和测试。今天就先到这里,各位朋友有什么问题欢迎回复文章或短消息与我交流,讨论。