Нужно понимать, что перключение организации на новый Edge-сервер связан с некоторым простоем. Во время переключения у пользователей может перестать работать функции, предоставляемые Edge-сервером, так что процесс необходимо проводить тогда, когда негативный эффект от переключения будет меньше всего заметен для пользователей.

Отключаем маршрутизацию через старый Edge

Делается это через Topology Builder. Идём в свойства нашего сайта, выбираем Federation Route. Отключаем его.

Публикуем топологию.

Делаем старый сервер Edge не федеративным

Делается это через мастер объединения топологий в Topology Builder.

Меняем настройки старого Edge-сервера.

Оставляем без изменений все настройки, кроме тех, что в окне Specify External Edge. В нём необходимо отключить настройку This Edge pool is used for federation and public IM connectivity.

Публикуем топологию.

Настроиваем старый FE OCS 2007 R2 на использование нового Edge-сервера

Запускаем административную консоль Office Communications Server 2007 R2 на старом FE-сервере. В свойствах леса выбираем Global Properties. На закладке Federation надо указать внутреннее dns-имя нового Edge-сервера.

Настраиваем новый Edge-сервер на работу с FE на базе Lync Server

Делается в Topology Builder. Идём в настройки нового Edge-сервера нашего сайта. В Next hop pool выбираем наш Front-End сервер на базе Lync.

Публикуем топологию.

Настраиваем FE на базе Lync Server на работу с новым Edge-сервером

Делается в Topology Builder. Идём в настройки Frent-End сервера и в Associate Edge pool выбираем новый Edge-сервер.

Публикуем топологию.

Не забываем проверить, что включили федерацию.

После того, как все изменения реплицировались на Edge можно на старом Edge-сервере отключить сервис Office Communications Server Access Edge и начать проверять доступ клиентов извне и работу федерации.

Запрос сертификата через Request-CSCertificate:

Request-CSCertificate -New -Type AccessEdgeExternal,DataEdgeExternal,
AudioVideoAuthentication -DomainName "список SAN-имён" -FriendlyName "Lync Edge
External" -KeySize 2048 -PrivateKeyExportable $True -City Moscow -Country Ru
-Organization OrgName -State Moscow -ClientEKU $True -output c:cert.txt

Фуфф. Если не планируется федерация с внешними провайдерами, то ключ -ClientEKU не используем.

Ресурсные записи в DNS в случае с Exchange используются ещё с версии 2007. Через них почтовый клиент получает через сервис автообнаружения настройки, необходимые для настройки подключения к серверу.

Сегодня наткнулся на интересный предложенный для обсуждения стандарт по ресурсным записям для сервисов pop3/imap4/smtp. С самими документом можно ознакомиться тут.

Предлагается  ввести следующие ресурсные записи:

  • _submission._tcp – для smtp на порту 587
  • _pop3._tcp – для обычного pop3 на порту 110
  • _pop3s._tcp – для безопасного pop3s на порту 995
  • _imap._tcp – для обычного imap4 на порту 143
  • _imaps._tcp – для безопасного imap4s на порту 993

Порты, естественно, можно использовать и свои (как и во всех srv-записях).

Кроме этого, в стандарте предлагается дать клиенту  возможность выбора между протоколами работы, в зависимости от веса соответствующих ресурсных записей. То есть первым будет подключаться протокол имеющий меньший вес.

Посмотрим что из этого получится. На мой взгляд, этот документ устарел ещё до публикации – сами протоклы используемые в нём на текущий момент являются рудиментами и поддерживаются основными производителями почтовых серверов исключительно для совместимости.

Пара моментов, которые я упустил в предыдущей статье.

Очевидно, что Edge-сервер нужен для доступа к Lync-серверу снаружи корпоративной сети, кроме этого можно настраивать федерацию с другими организациями. По умолчанию эти настройки выключены. Надо их включить. Проще всего это сделать через веб-интерфейс администратора в External User Access на закладках External Access Policy и Access Edge Configuration.

В External Access Policy указываем тип доступа: федеративные пользователи, удалённые пользователи и пользователи общих сервисов типа ICQ. Имеет смысл создать то количество пользовательских политик, которые будут покрывать все необходимые комбинации типов доступа. Кроме этого, часть политик может мигрировать с OCS 2007 R2. После создания политику необходимо будет назначить конкретному пользователю. Мигрировавшие политики автоматом подключатся к мигрировавшим пользователям.

В настройках конфигурации доступа Edge-сервера (Access Edge Configuration) указываем какие типы доступа разрешены (федерация, удалённый доступ) и некоторые дополнительные параметры доступа:

При необходимости через Topology Builder в свойствах Edge-сервера включаем федерацию и NAT:

Публикуем топологию и ждём завершения репликации настроек на Edge-сервер.