Развертывание пограничных серверов в Skype для бизнеса Server 2015Deploy Edge Servers in Skype for Business Server 2015

Сводка: Сведения о развертывании пограничных серверов в вашей Скайп среды Business Server 2015.Summary: Learn how to deploy Edge Servers into your Skype for Business Server 2015 environment.

В следующих разделах содержатся действия, предназначенные для следовать после рассмотрено Скайп Business Server 2015 спланировать развертывание пограничного сервера в Скайп для Business Server 2015 документация.The following sections contain steps that are meant to be followed after the Skype for Business Server 2015 Plan for Edge Server deployments in Skype for Business Server 2015 documentation has been reviewed. Развертывание состоит из следующих этапов:The deployment steps are as follows:

  • Сетевые интерфейсыNetwork interfaces

  • УстановкаInstallation

  • СертификатыCertificates

  • Запуск пограничных серверовStarting the Edge Servers

Сетевые интерфейсыNetwork interfaces

Как было указано в статье Planning, будут либо настраиваться сетевой интерфейс с DNS в сети периметра, размещение пограничных серверов или без DNS в сети периметра.As noted in Planning, you will either be configuring your network interface with DNS in the perimeter network hosting your Edge Servers, or without DNS in the perimeter network.

Конфигурация интерфейсов с DNS-серверами в сети периметраInterface configuration with DNS servers in the perimeter network

  1. Установите два сетевых адаптера для каждого пограничного сервера, другая — для интерфейса общении и один внешнем интерфейсе.Install two network adapters for each Edge Server, one for the internal-facing interface, and one for the external-facing interface.

    Примечание

    Внутренние и внешние подсети должны поддерживать маршрутизацию между собой.The internal and external subnets must not be routable to each other.

  2. На вашей внешнего интерфейса вы настроите один из следующих:On your external interface, you'll configure one of the following:

    а.a. Укажите три статических IP-адреса в подсети внешней сети периметра и настройте шлюз по умолчанию на внутренний интерфейс внешнего брандмауэра.Three static IP addresses on the external perimeter network subnet, and point the default gateway to the internal interface of the external firewall. С помощью параметров DNS укажите пару DNS-серверов сети периметра.Configure the adapter DNS settings to point to a pair of perimeter DNS servers.

    б.b. Один статический IP-адрес адрес подсети внешнего периметра сети и выберите пункт шлюз по умолчанию во внутренний интерфейс внешнего брандмауэра.One static IP address on the external perimeter network subnet, and point the default gateway to the internal interface of the external firewall. С помощью параметров DNS укажите пару DNS-серверов сети периметра.Configure the adapter DNS settings to point to a pair of perimeter DNS servers. Эта конфигурация только в том случае приемлемым, если вы ранее настроили топологии, чтобы иметь нестандартных значений в поле порт назначения рассматривается в статье Create пограничной топологии для Скайп для Business Server 2015 .This configuration is ONLY acceptable if you have previously configured your topology to have non-standard values in the port assignments, which is covered in the Create your Edge topology for Skype for Business Server 2015 article.

  3. На внутренний интерфейс настройте один статический IP-адрес подсети сети внутреннего периметра и не задано шлюза по умолчанию.On your internal interface, configure one static IP on the internal perimeter network subnet, and don't set a default gateway. С помощью параметров DNS укажите как минимум один DNS-сервер, но предпочтительнее пару DNS-серверов сети периметра.Configure the adaptor DNS settings to point to at least one DNS server, but preferably a pair of perimeter DNS servers.

  4. Создайте постоянные статические маршруты на внутреннем интерфейсе для всех внутренних сетей, в которых расположены клиенты, Скайп Business Server 2015 и серверов Exchange единой системы обмена сообщениями (единой системы обмена СООБЩЕНИЯМИ).Create persistent static routes on the internal interface to all internal networks where clients, Skype for Business Server 2015, and Exchange Unified Messaging (UM) servers reside.

Конфигурация интерфейсов без DNS-серверов в сети периметраInterface configuration without DNS servers in the perimeter network

  1. Установите два сетевых адаптера для каждого пограничного сервера, другая — для интерфейса общении и один внешнем интерфейсе.Install two network adapters for each Edge Server, one for the internal-facing interface, and one for the external-facing interface.

    Примечание

    Внутренние и внешние подсети должны поддерживать маршрутизацию между собой.The internal and external subnets must not be routable to each other.

  2. На вашей внешнего интерфейса вы настроите один из следующих:On your external interface, you'll configure one of the following:

    а.a. Три статических IP-адресов на внешнего периметра сети подсети.Three static IP addresses on the external perimeter network subnet. Вам также потребуется настроить шлюз по умолчанию на внешнем интерфейсе, например определение маршрутизатора в Интернете или внешний брандмауэр как шлюз по умолчанию.You'll also need to configure the default gateway on the external interface, for example, defining the internet-facing router or the external firewall as the default gateway. Настройка параметров DNS адаптер для указания на внешние DNS-сервер, оптимальным является размещение пары внешних DNS-серверов.Configure the adapter DNS settings to point to an external DNS server, ideally a pair of external DNS servers.

    б.b. Один статический IP-адрес подсети внешнего периметра сети.One static IP address on the external perimeter network subnet. Вам также потребуется настроить шлюз по умолчанию на внешнем интерфейсе, например определение маршрутизатора в Интернете или внешний брандмауэр как шлюз по умолчанию.You'll also need to configure the default gateway on the external interface, for example, defining the internet-facing router or the external firewall as the default gateway. Настройка параметров DNS адаптер для указания на внешние DNS-сервере или в идеальном варианте пары внешних DNS-серверов.Configure the adapter DNS settings to point to an external DNS server, or ideally a pair of external DNS servers. Эта конфигурация только в том случае приемлемым, если вы ранее настроили топологии, чтобы иметь нестандартных значений в поле порт назначения рассматривается в статье Create пограничной топологии для Скайп для Business Server 2015 .This configuration is ONLY acceptable if you have previously configured your topology to have non-standard values in the port assignments, which is covered in the Create your Edge topology for Skype for Business Server 2015 article.

  3. На внутренний интерфейс настройте один статический IP-адрес подсети сети внутреннего периметра и не задано шлюза по умолчанию.On your internal interface, configure one static IP on the internal perimeter network subnet, and don't set a default gateway. Также оставьте параметры DNS адаптера пустыми.Also leave the adapter DNS settings empty.

  4. Создайте постоянные статические маршруты на внутреннем интерфейсе для всех внутренних сетей, в которых расположены клиенты, Скайп Business Server 2015 и серверов Exchange единой системы обмена сообщениями (единой системы обмена СООБЩЕНИЯМИ).Create persistent static routes on the internal interface to all internal networks where clients, Skype for Business Server 2015, and Exchange Unified Messaging (UM) servers reside.

  5. Редактирование файла узла на каждом пограничном сервере для хранения записей для сервера следующего прыжка или виртуальный IP-адрес (VIP).Edit the HOST file on each Edge Server to contain a record for the next hop server or virtual IP (VIP). Эта запись будет директора, сервера Standard Edition или интерфейсного пула, которые вы настроили в качестве адрес следующего перехода пограничного сервера в построителе топологий.This record will be the Director, Standard Edition server or Front End pool you configured as the Edge Server next hop address in Topology Builder. Если вы используете Балансировка нагрузки на DNS, содержать строку для каждого участника пул следующих прыжков.If you're using DNS load balancing, include a line for each member of the next hop pool.

УстановкаInstallation

Для успешного выполнения этих действий необходимо были выполнены действия, описанные в статье Create пограничной топологии для Скайп для Business Server 2015 .To complete these steps successfully, you will need to have followed the steps in the Create your Edge topology for Skype for Business Server 2015 article.

  1. Войдите на сервер, который вы Настройка для роли пограничного сервера с использованием учетной записи, которая является членом группы локальных администраторов.Log onto the server you've been configuring for the Edge Server role with an account that's in the local Administrator's group.

  2. Вам понадобится файл конфигурации топологии, которые были скопированы в конце документации топологии пограничных серверов на данном компьютере.You'll need the topology configuration file you copied out at the end of the Edge Server Topology documentation on this machine. Доступ к внешний носитель, обмена, файл конфигурации (например, USB-диска или общий доступ).Access the external media you placed that configuration file on (like a USB drive or share).

  3. Запустите Мастер развертывания.Start the Deployment Wizard.

  4. Когда мастер откроется, щелкните установить или обновление Скайп для бизнес-системе сервера.Once the wizard opens, click Install or Update Skype for Business Server System.

  5. Мастер проверит Если что-либо еще установлен.The wizard will run checks to see if anything's already installed. Как в первый раз, запустив мастер, необходимо начать с Шаг 1. Установка локального хранилища конфигурации.As this is the first time running the wizard, you'll want to start at Step 1. Install Local Configuration Store.

  6. Откроется диалоговое окно Настройка локальной реплики из центра управления хранения .The Configure Local Replica of Central Management store dialog will appear. Вам потребуется щелкните Импорт из файла (рекомендуемый вариант для пограничных серверов).You need to click Import from a file (Recommended for Edge Servers).

  7. Здесь следует перейти к файлу ранее экспортированной топологии, выбрать ZIP-файл, нажать кнопку Открыть, а затем — кнопку Далее.From here, browse to the location of the topology you exported previously, select the .zip file, click Open, and then click Next.

  8. Мастер развертывания будет чтение файла конфигурации и запись XML-файл конфигурации на локальный компьютер.The Deployment Wizard will read the configuration file and write the XML configuration file to the local computer.

  9. После завершения процесса выполнения команд нажмите кнопку Готово.After the Executing Commands process is finished, click Finish.

  10. В мастере развертывания выберите Шаг 2. Установка или удаление компонентов сервера Business Скайп.In the Deployment Wizard, click Step 2. Setup or Remove Skype for Business Server Components. Мастер будет установить Скайп для Business Server 2015 пограничных компонентов, указанных в XML-файл конфигурации, которые хранятся на локальном компьютере.The wizard will then install the Skype for Business Server 2015 Edge components specified in the XML configuration file that's been stored on the local computer.

  11. После завершения установки, вы можете переместить фигуру на действия, описанные в представленном ниже разделе сертификаты .Once the installation's complete, you can move onto the steps in the Certificates section below.

СертификатыCertificates

Требования к сертификатам для пограничного сервера можно найти в документации по планированию сертификат пограничного сервера.The certificate requirements for the Edge Server can be found in the Edge Certificate Planning documentation. Пошаговое руководство по настройке сертификатов приведены ниже.The steps for setting up certificates are below.

Примечание

При запуске мастера сертификатов, необходимо войти в систему с учетной записью с правильные разрешения для типа шаблон сертификата, который будет использоваться.When running the Certificate Wizard, you need to be logged in as an account with the correct permissions for the type of certificate template you're going to use. По умолчанию Скайп для запроса на сертификат Business Server будет использовать шаблон сертификата веб-сервера.By default, a Skype for Business Server certificate request is going to use the Web Server certificate template. Если вы вошли в систему с учетной записью, которая является членом группы RTCUniversalServerAdmins, чтобы запросить сертификат с помощью этого шаблона, убедитесь, что в группу был назначен заявка разрешений на использование данного шаблона.If you're logged in with an account that's a member of the RTCUniversalServerAdmins group to request a certificate via this template, double-check to make sure the group's been assigned the Enroll permissions to use that template.

Сертификаты внутреннего интерфейса пограничного сервераInternal Edge interface certificates

1. Загрузите или экспорт цепочки сертификатов ЦС1. Download or export the CA certification chain

   .    a. Загрузка с помощью веб-сайта certsrvDownload using certsrv web site

      я.      i. Войдите в Скайп для сервера Business Server 2015 в вашей внутренней сети как член группы локальных администраторов.Log into a Skype for Business Server 2015 server in your internal network as a member of the local Administrators group.

      II.      ii. Откройте Пуски запустите (или поиска и запустите ) и затем введите следующую команду:Open up Start, and Run (or Search and Run ), and then type the following:

https://<NAME OF YOUR ISSUING CA SERVER>/certsrv

      Например:      For example:

https://ca01/contoso.com/certsrv

      III.      iii. На веб-странице certsrv выдающего ЦС в списке выберите задачу, нажмите кнопку Загрузка сертификата ЦС, цепочки сертификатов или CRL.On the issuing CA's certsrv web page, under Select a task, click Download a CA certificate, certificate chain, or CRL.

      IV.      iv. В окне Загрузка сертификата ЦС, цепочки сертификатов или CRL щелкните Загрузка цепочки сертификатов ЦС.Under Download a CA certificate, certificate chain, or CRL, click Download CA certificate chain.

      v.      v. В диалоговом окне Загрузка файла щелкните Сохранить.In the File Download box, click Save.

      vi.      vi. Сохраните файл с расширением p7b на жестком диске на сервере и скопируйте его в папку на каждый из пограничных серверов.Save the .p7b file to the hard disk drive on the server, and then copy it to a folder on each of your Edge Servers.

   б.   b. Экспорт с помощью MMCExport using MMC

      я.      i. Корневой сертификат ЦС можно экспортировать с любого компьютера, присоединенного к домену, с помощью MMC.You can export the CA root certificate from any domain joined machine using the MMC. Щелкните Пуск, выберите Выполнить или откройте окно Поиск, затем введите MMC, чтобы открыть консоль.Either go to Start and Run, or open Search, and type MMC to open.

      II.      ii. В консоли управления (MMC) последовательно выберите пункты Файл и Добавить или удалить оснастку.In the MMC console, click File, and then click Add/Remove Snap-In.

      III.      iii. В списке диалогового окна Добавление или удаление оснасток выберите сертификатыи нажмите кнопку Добавить.From the Add or Remove Snap-ins dialog list, choose Certificates, and then click Add. После появления запроса выберите Учетную запись компьютера, а затем кнопку Далее.When prompted, select Computer Account, and then Next. В диалоговом окне Выбор компьютера выберите Локальный компьютер.On the Select Computer dialog, select Local Computer. Нажмите кнопку Готово, а затем кнопку ОК.Click Finish, and then OK.

      IV.      iv. Разверните узел Сертификаты (локальный компьютер).Expand Certificates (Local computer). Разверните узел Доверенные корневые центры сертификации.Expand Trusted Root Certification Authorities. Установите сертификаты.Select Certificates.

      v.      v. Щелкните корневой сертификат, выпущенный вашим ЦС.Click the root certificate issued by your CA. Правой кнопкой мыши щелкните нужный сертификат, выберите Все задачи, а затем — Экспорт.Right-click the certificate, choose All Tasks on the menu, and then select Export.

      vi.      vi. Откроется мастер экспорта сертификатов.The Certificate Export Wizard opens. Нажмите кнопку Далее.Click Next.

      vii.      vii. В диалоговом окне Формат экспортируемого файла выберите формат файла, в который будет выполняться экспорт.On the Export File Format dialog, choose the format you want to export to. Мы рекомендуем использовать формат Стандарт Cryptographic Message Syntax - сертификаты PKCS #7 (.p7b).Our recommendation is Cryptographic Message Syntax Standard - PKCS #7 Certificates (P7b). Если это также почтой, не забудьте также установите флажок Включить по возможности все сертификаты в путь сертификации , как это будет также экспорт цепочки сертификатов, включая корневого центра сертификации и промежуточные сертификаты.If that's your choice as well, remember to also select the Include all certificates in the certification path if possible checkbox, as this will also export the certificate chain, including the root CA certificate and any Intermediate certificates. Нажмите кнопку Далее.Click Next.

      viii.      viii. В диалоговом окне Имя экспортируемого файла в записи имени файла введите путь и имя файла (расширение имени по умолчанию: .p7b) для экспортированного сертификата.On the File to Export dialog, in the file name entry, type a path and file name (the default extension would be .p7b) for the exported certificate. Если проще на то, нажмите кнопку Обзор , чтобы перейти к расположению, необходимо сохранить экспортированный сертификат, который и назовите здесь экспортированный сертификат.If it's easier on you, choose the Browse button to go to the location you want to save the exported certificate to, and name the exported certificate here. Когда вы будете готовы, щелкните Сохранитьи нажмите Далее .Click Save, and then Next when you're ready.

      IX.      ix. Просмотрите сводку своих действий и нажмите кнопку Готово, чтобы завершить экспорт сертификата.Review the summary of your actions, and click Finish to complete the export of the certificate. Нажмите кнопку ОК, чтобы подтвердить успешное выполнение экспорта.Click OK to confirm the successful export.

      x.      x. Скопируйте файл с расширением p7b каждый из пограничных серверов.Copy the .p7b file to each of your Edge Servers.

2. Импорт цепочки сертификатов ЦС2. Import the CA certification chain

   .   a. На каждом пограничном сервере откройте консоль MMC (нажмите кнопку Пуск и запуститеили поискаи введите MMC для открытия).On each Edge Server, open the MMC (choose Start and Run, or Search, and type MMC to open).

   б.   b. В меню Файл щелкните Добавить или удалить оснастку и затем выберите Добавить.On the File menu, click Add/Remove Snap-in, and then choose Add.

   c.   c. В окне Добавление и удаление оснасток щелкните Сертификаты и затем нажмите кнопку Добавить.In the Add or Remove Snap-ins box, click Certificates, and then click Add.

   d.   d. В диалоговом окне Оснастка диспетчера сертификатов выберите Учетная запись компьютера и затем нажмите кнопку Далее.In the Certificate snap-in dialog box, click Computer account, and then click Next.

   e.   e. Убедитесь, что в диалоговом окне Выбор компьютера установлен флажок Локальный компьютер: (компьютер, на котором запущена эта консоль), и затем нажмите кнопку Готово.In the Select Computer dialog box, ensure that the Local Computer: (the computer this console is running on) check box is selected, and then click Finish.

   f.   f. Нажмите кнопку Закрыть, а затем — кнопку ОК.Click Close, and then OK.

   g.   g. В дереве консоли разверните узел Сертификаты (локальный компьютер), правой кнопкой мыши щелкните пункт Доверенные корневые центры сертификации, перейдите к списку Все задачи, а затем щелкните Импорт.In the console tree, expand Certificates (Local Computer), right-click Trusted Root Certification Authorities, go to All Tasks, and then click Import.

   h.   h. В появившемся мастере в текстовом поле Файл для импорта укажите имя файла сертификата (имя, назначенное P7B-файлу в предыдущем разделе).In the wizard that appears, in the File to Import textbox, specify the file name of the certificate (the name you gave the .p7b file in the previous section). Нажмите кнопку Далее.Click Next.

   я.   i. Оставьте переключатель в положении Place all certificates in the following store, as Trusted Root Certification Authorities (Разместить все сертификаты в следующем хранилище как доверенные корневые центры сертификации).Leave the radio button on Place all certificates in the following store, as Trusted Root Certification Authorities should be selected. Нажмите кнопку Далее.Click Next.

   j.   j. Просмотрите сводку и нажмите кнопку Готово, чтобы завершить импорт.Review the summary, and click Finish to complete the import.

   k.   k. Это необходимо выполнить для каждого пограничного сервера при развертывании.This will need to be done for every Edge Server you're deploying.

3. Создание запроса на сертификат3. Create the certificate request

   .   a. Выполните вход на один из пограничных серверов, запустите мастер развертывания и на Шаг 3: запрос, установка или назначение сертификатов, нажмите кнопку запуска (или Выполнить еще раз, если уже выполнения этого мастера).Log on to one of your Edge Servers, start the Deployment Wizard, and on Step 3: Request, Install, or Assign Certificates, click Run (or Run Again, if you've already run this wizard).

   б.   b. На странице Запроса сертификата убедитесь, что выбран вариант Сертификат внутренней границы и нажмите кнопку Запрос.On the Certificate Request page, ensure Internal Edge Certificate is selected, and click Request.

   c.   c. На странице Отложенные и мгновенные запросы выберите Send the request immediately to an online cerification authority (Немедленно отправить запрос в сетевой центр сертификации), если у вас есть доступ к такой службе из своей среды пограничных серверов. В противном случае выберите Подготовить запрос сейчас, чтобы отправить его позже.On the Delayed or Immediate Requests page, choose Send the request immediately to an online cerification authority if you have access to one from your Edge environment, or Prepare the request now, but send it later otherwise.

   d.   d. На странице Файл запроса сертификата введите полный путь и имя файла, в который должен сохраняться запрос (например, c:\SkypeInternalEdgeCert.cer).On the Certificate Request File page, enter the full part and file name for where the file will be saved (such as c:\SkypeInternalEdgeCert.cer). Нажмите кнопку Далее.Click Next.

   e.   e. На странице Указание альтернативного шаблона сертификата установите флажок Использовать альтернативный шаблон сертификата для выбранного ЦС, чтобы использовать шаблон, отличный от шаблона WebServer по умолчанию.On the Specify Alternate Certificate Template page, to use a template other than the default WebServer template, check the Use alternative certificate template for the selected Certificate Authority check box. В противном случае ничего не предпринимать.Otherwise, do nothing.

   f.   f. На странице настроек имени и безопасности выполните следующие действия.On the Name and Security Settings page, do the following:

      я.       i. В поле Понятное имя введите отображаемое имя для сертификата (например, "Внутренняя граница").In Friendly name, enter a display name for the certificate (such as Internal Edge).

      II.       ii. В списке Длина в битах выберите длину в битах (по умолчанию 2048). Можно выбрать более высокое значение и увеличить безопасность, но при этом снижается производительность.In Bit length, choose your bit length (the default is 2048, you can go higher and be more secure, but it will make performance slow down).

      III.       iii. Если нужен экспортируемый сертификат, необходимо установить флажок Пометить закрытый ключ сертификата как экспортируемый.If you need an exportable certificate, you must check the Mark certificate private key as exportable check box.

      IV.       iv. Нажмите кнопку Далее.Click Next.

   g.   g. На странице Сведения об организации введите название организации и подразделения.On the Organization Information page, enter the name for your organization and organizational unit (OU). Можно указать отдел или подразделения (например, ИТ).You might enter your division or department (IT, for example).

   h.   h. На странице Сведения о местоположении укажите сведения о своем местоположении.On the Geographical Information page, enter your location information.

   я.   i. На странице Имени субъекта/альтернативное имя субъекта эти сведения должны быть автоматически заполнены мастером.On the Subject Name/Subject Alternate Names page, this should be auto-populated by the wizard.

   j.   j. На странице Настройка дополнительных альтернативных имен субъекта необходимо добавить все нужные дополнительные альтернативные имена субъекта.On the Configure Additional Subject Alternate Names page, you need to add any additional subject alternative names that you need.

   k.   k. На странице " Сводка по запросу " просмотрите различные сведения о сертификате, которые будут использоваться для создания запроса.On the Request Summary page, look over the certificate information that's going to be used to generate your request. При необходимости вернитесь обратно и внесите изменения.If you need to make changes, go back and do so now.

   l.   l. Нажмите кнопку Далее для создания файла CSR, необходимые для обеспечения ЦС (, можно нажать кнопку Просмотреть журнал для просмотра журнала для запроса на сертификат).Then click Next to generate the CSR file you'll need to provide to the CA (you can also click View Log to look at the log for the certificate request).

   m.   m. После создания запроса можно нажать кнопку Просмотр, чтобы просмотреть сертификат, и Готово, чтобы закрыть окно.Once the request has been generated, you can click View to look at the certificate, and Finish to close out the window. Содержимое CSR-файла необходимо передать вашему ЦС, чтобы они могли создать сертификат для вас, и вы могли импортировать его на этот компьютер в следующем разделе.The contents of the CSR file need to be given to your CA, so they can generate a certificate for you to import to this computer in the next section.

4. Импорт сертификата4. Import the certificate

   .   a. Войдите, должна быть членом локальной группы администраторов на пограничный сервер, ваш запрос на сертификат из произведенной последнего действия.Log on, as a member of the local Administrators group, to the Edge Server you made your certificate request from in the last procedure.

   б.   b. В мастере развертывания рядом с Шаг 3. Запрос, установка или назначение сертификатов, нажмите кнопку Запустить еще раз.In the Deployment Wizard, next to Step 3. Request, Install or Assign Certificates, click Run Again.

   c.   c. На странице Доступные задачи для сертификатов щелкните Импортировать сертификат из P7B-, PFX- или CER-файла.On the Available Certificates Tasks page, click Import a certificate from a .P7b, .pfx or .cer file.

   d.   d. На странице Импорт сертификата введите полный путь и имя файла сертификата, который был получен в предыдущем разделе (или щелкните Обзор, чтобы найти и выбрать файл).On the Import Certificate page, type the full path and file name of the certificate you got in the previous section (or you can click Browse to find and choose the file that way).

   e.   e. При импорте сертификатов для других участников в пограничный пул и содержит закрытый ключ сертификата, убедитесь, что установлен флажок файл сертификата, который содержит закрытый ключ сертификата и укажите пароль.If you're importing certificates for other members of your Edge pool, and your certificate contains a private key, be sure to select the Certificate file that contains certificate's private key check box, and specify the password. Для продолжения нажмите кнопку Далее.Click Next to continue.

   f.   f. На странице "Сводка " нажмите кнопку Далее , после подтверждения сведения и Готово после успешного импорта сертификата.On theSummary page, click Next once you've confirmed the information, and Finish once the certificate is successfully imported.

5. Экспорт сертификата5. Export the certificate

   .   a. Убедитесь, что вы вошли в пограничного сервера, импортировать сертификат, который ранее, являясь членом локальной группы администраторов.Make sure you've logged onto the Edge Server you imported the certificate to previously, as a member of the local Administrators group.

   б.   b. Нажмите кнопку Пуск, запустите (или откройте поиска ) и введите MMC.Click Start, Run (or open Search ), and type MMC.

   c.   c. В консоли MMC щелкните Файл и выберите Добавить или удалить оснастку.From the MMC console, click File, and click Add/Remove Snap-in.

   d.   d. В окне Добавление и удаление оснасток щелкните Сертификаты и затем нажмите кнопку Добавить.From the Add or Remove Snap-ins box, click Certificates, and click Add.

   e.   e. В диалоговом окне Оснастка сертификата выберите Учетная запись компьютера.In the Certificates snap-in dialog box, choose Computer account. Нажмите кнопку Далее.Click Next.

   f.   f. В диалоговом окне Выбор компьютера установите локальный компьютер: (котором запущена эта консоль).On the Select Computer dialog, select Local computer: (the computer this console is running on). Нажмите кнопку Готово **.Click **Finish. Нажмите кнопку ОКи завершить настройку консоли MMC.Click OK, and the configuration of the MMC console is completed.

   g.   g. Дважды щелкните пункт Сертификаты (локальный компьютер), чтобы развернуть хранилища сертификатов.Double-click Certificates (Local Computer) to expand the certificate stores. Дважды щелкните пункт Личные, а затем щелкните пункт Сертификаты.Double-click Personal, and then click Certificates.

Примечание

Когда вы находитесь здесь и не отображается все сертификаты в личных сертификатов хранения для локального компьютера.You may be here, and you don't see any certificates in the Certificates Personal store for the local computer. Вам не нужно слежения, если ключ не существует, импортированный сертификат не пришлось закрытого ключа, связанного с ним.You don't need to hunt around, if the key's not there, the imported certificate didn't have a private key associated with it. Запрос и импорт действия над еще раз, а если вы уверены, что есть все, что вправо, обратитесь к администратору центра сертификации или поставщика.Try the request and import steps above one more time, and if you're sure you got all that right, talk to your CA administrator or provider.

   h.   h. В поле хранить личные сертификаты для локального компьютера щелкните правой кнопкой мыши сертификат, который выполняется импорт.In the Certificates Personal store for the local computer, right-click the certificate that you're exporting. Выберите пункт Все задачи и нажмите Экспорт.Select All Tasks from the resulting menu, and then click Export.

   я.   i. В окне Мастера экспорта сертификатовнажмите кнопку Далее.In the Certificate Export Wizard, click Next. Выберите Да, экспортировать закрытый ключ.Select Yes, export the private key. Нажмите кнопку Далее.Click Next.

   j.   j. В диалоговом окне форматов экспортируемых файлов установите переключатель Файл обмена личной информацией - PKCS #12 (.PFX), а затем выберите следующее:On the Export File Formats dialog, select Personal Information Exchange - PKCS#12 (.PFX), and then select the following:

      я.       i. Включить по возможности все сертификаты в путь сертификации.Include all certificates in the certification path, if possible.

      II.       ii. Экспортировать все расширенные свойства.Export all extended properties.

Примечание

NEVER выберите Удалить закрытый ключ после успешного экспорта.NEVER select Delete the private key if the export is successful. Оно будет означает, что вам нужно повторно импортировать сертификат и закрытый ключ обратно в этот пограничный сервер.It'll mean you have to reimport the certificate and private key back to this Edge Server.

   k.   k. Если требуется назначить пароль для защиты закрытого ключа, введите пароль для закрытого ключа.If you want to assign a password to protect the private key, you can type a password for the private key. Введите пароль еще раз для подтверждения и нажмите кнопку Далее.Reenter the password to confirm, and then click Next.

   l.   l. Введите путь и имя файла для экспортируемого сертификата, используя расширение файла PFX-файл.Type a path and file name for the exported certificate, using a file extension of .pfx. Либо путь должен быть доступен с других пограничных серверов в пуле или вам потребуется переместить файл с помощью внешний носитель (например, USB-диска).The path either needs to be accessible by the other Edge Servers in the pool, or you'll need to move the file by means of external media (such as a USB drive). После внесения свой выбор, нажмите кнопку Далее .Click Next when you've made your choice.

   m.   m. Проверьте сводные данные в диалоговом окне Завершение мастера экспорта сертификатов, а затем нажмите кнопку Готово.Review the summary on the Completing the Certificate Export Wizard dialog, and then click Finish.

   n.   n. В диалоговом окне с сообщением об успешном экспорте нажмите кнопку ОК.Click OK in the successful export dialog.

6. назначение сертификата6. Assign the certificate

   .   a. На EACH пограничный сервер, в мастере развертывания рядом с Шаг 3. Запрос, установка или назначение сертификатов, выберите команду выполнить еще раз.On EACH Edge Server, in the Deployment Wizard, next to Step 3. Request, Install or Assign Certificates, click Run again.

   б.   b. На странице Доступные задачи для сертификатов выберите Назначить имеющийся сертификат.On the Available Certificates Tasks page, click Assign an existing certificate.

   c.   c. На странице Назначение сертификата выберите в списке Внутренний пограничный сервер.On the Certificate Assignment page, select Edge Internal in the list.

   d.   d. На странице Хранилища сертификатов выберите сертификат, который импортирован для внутреннего интерфейса пограничного сервера (выше).On the Certificate Store page, select the certificate you've imported for the internal Edge (from the previous section).

   e.   e. На странице Сводка по назначению сертификата проверьте параметры и затем нажмите кнопку Далее, чтобы назначить сертификат.On the Certificate Assignment Summary page, look over the settings, and then click Next to assign the certificate.

   f.   f. На странице завершения работы мастера нажмите кнопку Готово.On the wizard completion page, click Finish.

   g.   g. После выполнения этой процедуры, это очень полезно определить откройте оснастку консоли Управления сертификатами на каждом пограничном сервере, разверните узел Сертификаты (локальный компьютер), разверните узел Личные, щелкните сертификатыи убедитесь, что внутренний пограничный сервер сертификат отображается в области сведений.Once you've completed this procedure, it's a really good idea to open the Certificates MMC snap-in on each Edge Server, expand Certificates (Local computer), expand Personal, click Certificates, and confirm that the internal Edge certificate is listed in the details pane.

Сертификаты интерфейса внешней границыExternal Edge interface certificates

1. Создание запроса на сертификат1. Create the certificate request

   .   a. Выполните вход на один из пограничных серверов, запустите мастер развертывания и на Шаг 3: запрос, установка или назначение сертификатов выберите пункт выполнить (или Выполнить еще раз, если уже выполнения этого мастера).Log on to one of your Edge Servers, start the Deployment Wizard, and on Step 3: Request, Install, or Assign Certificates, click Run (or Run Again, if you've already run this wizard).

   б.   b. На странице Доступные задачи сертификатов щелкните команду Создать новый запрос сертификата.On the Available Certificate Tasks page, click Create a new certificate request.

   c.   c. На странице Запроса сертификата убедитесь, что выбран вариант Сертификат внешней границы и нажмите кнопку Далее.On the Certificate Request page, ensure External Edge Certificate is selected, and click Next.

   d.   d. На странице Отложенные и мгновенные запросы выберите Подготовить запрос сейчас, чтобы отправить его позже.On the Delayed or Immediate Requests page, click Prepare the request now, but send it later.

   e.   e. На странице Файл запроса сертификата введите полный путь и имя файла, в который должен сохраняться запрос (например, c:\SkypeInternalEdgeCert.cer).On the Certificate Request File page, enter the full part and file name for where the file will be saved (such as c:\SkypeInternalEdgeCert.cer). Нажмите кнопку Далее.Click Next.

   f.   f. На странице Указание альтернативного шаблона сертификата установите флажок Использовать альтернативный шаблон сертификата для выбранного ЦС, чтобы использовать шаблон, отличный от шаблона WebServer по умолчанию.On the Specify Alternate Certificate Template page, to use a template other than the default WebServer template, check the Use alternative certificate template for the selected Certificate Authority check box.

   g.   g. На странице настроек имени и безопасности выполните следующие действия.On the Name and Security Settings page, do the following:

      я.       i. В поле Понятное имя введите отображаемое имя для сертификата (например, "Внешняя граница").In Friendly name, enter a display name for the certificate (such as External Edge).

      II.       ii. В списке Длина в битах выберите длину в битах (по умолчанию 2048). Можно выбрать более высокое значение и увеличить безопасность, но при этом снижается производительность.In Bit length, choose your bit length (the default is 2048, you can go higher and be more secure, but it will make performance slow down).

      III.       iii. Если нужен экспортируемый сертификат, необходимо установить флажок Пометить закрытый ключ сертификата как экспортируемый.If you need an exportable certificate, you must check the Mark certificate private key as exportable check box.

      IV.       iv. Нажмите кнопку Далее.Click Next.

   h.   h. На странице Сведения об организации введите название организации и подразделения.On the Organization Information page, enter the name for your organization and organizational unit (OU). Можно указать отдел или подразделения (например, ИТ).You might enter your division or department (IT, for example).

   я.   i. На странице Сведения о местоположении укажите сведения о своем местоположении.On the Geographical Information page, enter your location information.

   j.   j. На странице Имени субъекта/альтернативное имя субъекта нужные сведения должны быть автоматически заполнены мастером.On the Subject Name/Subject Alternate Names page, the needed information should be auto-populated by the wizard.

   k.   k. На странице Параметров домена SIP в альтернативных имен субъекта (SAN) установите флажок домена, чтобы добавить sip.On the SIP Domain Setting on Subject Alternate Names (SANs) page, check the domain checkbox to add a sip. запись в список альтернативных имен субъектов.entry to the subject alternative names list.

   l.   l. На странице Настройка дополнительных альтернативных имен субъекта необходимо добавить все нужные дополнительные альтернативные имена субъекта.On the Configure Additional Subject Alternate Names page, you need to add any additional subject alternative names that you need.

   m.   m. На странице " Сводка по запросу " просмотрите различные сведения о сертификате, которые будут использоваться для создания запроса.On the Request Summary page, look over the certificate information that's going to be used to generate your request. При необходимости вернитесь обратно и внесите изменения.If you need to make changes, go back and do so now.

   n.   n. Когда вы будете готовы, нажмите кнопку Далее для создания файла CSR, необходимые для обеспечения ЦС (, можно нажать кнопку Просмотреть журнал для просмотра журнала для запроса на сертификат).When you're ready, click Next to generate the CSR file you'll need to provide to the CA (you can also click View Log to look at the log for the certificate request).

   o.   o. После создания запроса можно нажать кнопку Просмотр, чтобы просмотреть сертификат, и Готово, чтобы закрыть окно.Once the request has been generated, you can click View to look at the certificate, and Finish to close out the window. Содержимое CSR-файла необходимо передать вашему ЦС, чтобы они могли создать сертификат для вас, и вы могли импортировать его на этот компьютер в следующем разделе.The contents of the CSR file need to be given to your CA, so they can generate a certificate for you to import to this computer in the next section.

   p.   p. (ДОПОЛНИТЕЛЬНО) При отправке содержимого CSR-файла может быть запрошена определенная информация, например, следующая (ЦС сильно отличаются, поэтому это может не потребоваться):(OPTIONAL) You may, when submitting the contents of the CSR, be asked for certain information, as follows (CAs vary greatly, so this may not be required):

  • Microsoft в качестве серверной платформы;Microsoft as the server platform

  • IIS в качестве версии;IIS as the version

  • Web Server в качестве типа использования;Web Server as the usage type

  • PKCS7 в качестве формата ответа.PKCS7 as the response format

2. Импорт сертификата2. Import the certificate

   .   a. Войдите, должна быть членом локальной группы администраторов на пограничный сервер, ваш запрос на сертификат из произведенной последнего действия.Log on, as a member of the local Administrators group, to the Edge Server you made your certificate request from in the last procedure.

   б.   b. В мастере развертывания рядом с Шаг 3. Запрос, установка или назначение сертификатов, нажмите кнопку Запустить еще раз.In the Deployment Wizard, next to Step 3. Request, Install or Assign Certificates, click Run Again.

   c.   c. На странице Доступные задачи для сертификатов щелкните Импортировать сертификат из P7B-, PFX- или CER-файла.On the Available Certificates Tasks page, click Import a certificate from a .P7b, .pfx or .cer file.

   d.   d. На странице Импорт сертификата введите полный путь и имя файла сертификата, который был получен в предыдущем разделе (или щелкните Обзор, чтобы найти и выбрать файл).On the Import Certificate page, type the full path and file name of the certificate you got in the previous section (or you can click Browse to find and choose the file that way). Если ваш сертификат содержит закрытый ключ, убедитесь в том выбрать файл сертификата содержит закрытый ключ сертификатаи введите пароль для закрытого ключа.If your certificate contains a private key, make sure to select Certificate file contains certificate's private key, and enter the password for the private key. По готовности нажмите кнопку Далее.Click Next when ready.

   e.   e. На странице Сводка импорта сертификата просмотрите сводную информацию и нажмите кнопку Далее.On the Import Certificate Summary page, review the summary information, and click Next.

   f.   f. На странице Выполнения команд можно просмотреть в результате импорта по ее завершении, нажав кнопку Просмотреть журнал.On the Executing Commands page, you can review the result of the import when it's complete by clicking View Log. Нажмите кнопку Готово, чтобы завершить импорт сертификата.Click Finish to complete the certificate import.

   g.   g. При наличии других пограничных серверов в пуле необходимо выполнить следующие две процедуры, приведенные также.If you have other Edge Servers in a pool, you'll need to follow the next two procedures as well. Если это изолированная пограничного сервера, работа с внешние сертификаты.If this is a standalone Edge Server, you're done with external certificates.

3. Экспорт сертификата3. Export the certificate

   .   a. Убедитесь, что вы вошли в импортировать сертификат, который как локальный администратор пограничного сервера.Make sure you've logged onto the Edge Server you imported the certificate to as a local Administrator.

   б.   b. Нажмите кнопку Пуск, запустите (или откройте поиска ) и введите MMC.Click Start, Run (or open Search ), and type MMC.

   c.   c. В консоли MMC щелкните Файл и выберите Добавить или удалить оснастку.From the MMC console, click File, and then click Add/Remove Snap-in.

   d.   d. В окне Добавление и удаление оснасток щелкните Сертификаты и затем нажмите кнопку Добавить.From the Add or Remove Snap-ins box, click Certificates, and click Add.

   e.   e. В диалоговом окне Оснастка сертификата выберите Учетная запись компьютера.In the Certificates snap-in dialog box, choose Computer account. Нажмите кнопку Далее.Click Next.

   f.   f. В диалоговом окне Выбор компьютера установите локальный компьютер: (котором запущена эта консоль).On the Select Computer dialog, select Local computer: (the computer this console is running on). Нажмите кнопку Готово **.Click **Finish. Нажмите кнопку ОКи завершить настройку консоли MMC.Click OK, and the configuration of the MMC console is completed.

   g.   g. Дважды щелкните пункт Сертификаты (локальный компьютер), чтобы развернуть хранилища сертификатов.Double-click Certificates (Local Computer) to expand the certificate stores. Дважды щелкните пункт Личные, а затем щелкните пункт Сертификаты.Double-click Personal, and then click Certificates.

> [!NOTE]
> You may be here, and you don't see any certificates in the Certificates Personal store for the local computer. You don't need to hunt around, if the key's not there, the imported certificate didn't have a private key associated with it. Try the request and import steps above one more time, and if you're sure you got all that right, talk to your CA administrator or provider. 

   h.   h. В поле хранить личные сертификаты для локального компьютера щелкните правой кнопкой мыши сертификат, который выполняется импорт.In the Certificates Personal store for the local computer, right-click the certificate that you're exporting. Выберите пункт Все задачи и нажмите Экспорт.Select All Tasks from the resulting menu, and then click Export.

   я.   i. В окне Мастера экспорта сертификатовнажмите кнопку Далее.In the Certificate Export Wizard, click Next. Выберите Да, экспортировать закрытый ключ.Select Yes, export the private key. Нажмите кнопку Далее.Click Next.

> [!NOTE]
> If **Yes, export the private key** isn't available, then the private key for this certificate wasn't marked for export before you got it. You need to request the certificate from the provider again, with the private key set to export, before doing this successfully.

   j.   j. В диалоговом окне форматов экспортируемых файлов выберите "Файл обмена личной информацией - PKCS #12 (.PFX)", а затем выберите следующее:On the Export File Formats dialog, select Personal Information Exchange - PKCS#12 (.PFX) and then select the following:

   я.    i. Включить по возможности все сертификаты в путь сертификации.Include all certificates in the certification path, if possible.

   II.    ii. Экспортировать все расширенные свойства.Export all extended properties.

> [!NOTE]
> **NEVER** select **Delete the private key if the export is successful**. It'll mean you have to reimport the certificate and private key back to this Edge Server.

   k.   k. Если требуется назначить пароль для защиты закрытого ключа, введите пароль для закрытого ключа.If you want to assign a password to protect the private key, you can type a password for the private key. Введите пароль еще раз для подтверждения и нажмите кнопку Далее.Reenter the password to confirm, and then click Next.

   l.   l. Введите путь и имя файла для экспортируемого сертификата, используя расширение файла PFX-файл.Type a path and file name for the exported certificate, using a file extension of .pfx. Либо путь должен быть доступен с других пограничных серверов в пуле или вам потребуется переместить файл с помощью внешний носитель (например, USB-диска).The path either needs to be accessible by the other Edge Servers in the pool, or you'll need to move the file by means of external media (such as a USB drive). После внесения свой выбор, нажмите кнопку Далее .Click Next when you've made your choice.

   m.   m. Проверьте сводные данные в диалоговом окне Завершение мастера экспорта сертификатов, а затем нажмите кнопку Готово.Review the summary on the Completing the Certificate Export Wizard dialog, and then click Finish.

   n.   n. В диалоговом окне с сообщением об успешном экспорте нажмите кнопку ОК.Click OK in the successful export dialog.

   o.   o. Теперь необходимо вернуться импорта сертификата раздел до этого и Импорт сертификата для всех остальных пограничных серверов, а затем перейти к назначение, ниже.You'll now need to go back to the Import the certificate section prior to this and import the certificate to all your remaining Edge Servers, then proceed with assigning, below.

4. назначение сертификата4. Assign the certificate

   .   a. На EACH пограничный сервер, в мастере развертывания рядом с Шаг 3. Запрос, установка или назначение сертификатов, выберите команду выполнить еще раз.On EACH Edge Server, in the Deployment Wizard, next to Step 3. Request, Install or Assign Certificates, click Run again.

   б.   b. На странице Доступные задачи для сертификатов выберите Назначить имеющийся сертификат.On the Available Certificates Tasks page, click Assign an existing certificate.

   c.   c. На странице Назначение сертификата выберите Внешнего пограничного сервера в списке.On the Certificate Assignment page, select Edge External in the list.

   d.   d. На странице Хранилища сертификатов выберите сертификат, который импортирован для внешнего интерфейса пограничного сервера (выше).On the Certificate Store page, select the certificate you've imported for the external Edge (from the previous section).

   e.   e. На странице Сводка по назначению сертификата проверьте параметры и затем нажмите кнопку Далее, чтобы назначить сертификат.On the Certificate Assignment Summary page, look over the settings, and then click Next to assign the certificate.

   f.   f. На странице завершения работы мастера нажмите кнопку Готово.On the wizard completion page, click Finish.

   g.   g. После выполнения этой процедуры, это очень полезно определить откройте оснастку консоли Управления сертификатами на каждом сервере, разверните узел Сертификаты (локальный компьютер), разверните узел Личные, щелкните сертификатыи убедитесь, что внутренний пограничный сервер сертификат отображается в области сведений.Once you've completed this procedure, it's a really good idea to open the Certificates MMC snap-in on each server, expand Certificates (Local computer), expand Personal, click Certificates, and confirm that the internal Edge certificate is listed in the details pane.

Примечание

Также необходимо настроить сертификаты для своего обратного прокси-сервера.You will also have needed to set up the certificates for your reverse proxy server. Представлено в разделе Настройка обратного прокси-серверов для Скайп для раздела Business Server 2015.That's covered in the Setup Reverse Proxy Servers for Skype for Business Server 2015 topic.

Запуск пограничных серверовStarting the Edge Servers

После завершения установки вам потребуется запустить службы на каждом пограничном сервере в развертывании:Once the setup is complete, you'll need to start the services on each Edge server in your deployment:

  1. На каждом пограничном сервере в Мастере развертываниярядом с элементом Шаг 4: запуск служб, выберите команду выполнить.On each Edge Server, in the Deployment Wizard, next to Step 4: Start Services, click Run.

  2. На странице Запуск Скайп для служб Business Server просмотрите список служб и нажмите кнопку Далее для запуска служб.On the Start Skype for Business Server Services page, review the list of services, and then click Next to start the services.

  3. После запуска служб нажмите кнопку Готово, чтобы закрыть мастер.After the services are started, you can click Finish to close the wizard.

  4. Также в разделе Шаг 4. Запуск служб можно щелкнуть Состояние службы (дополнительно).(Optional) Still under Step 4: Start Services, click Services Status.

  5. В консоли MMC службы на каждом сервере убедитесь, что запущены все Скайп для служб Business Server 2015.In the Services MMC on each server, verify that all the Skype for Business Server 2015 services are running.