在 Lync Server 2013 上配置 XMPP 网关

 

上次修改的主题： 2013-10-28

迁移 XMPP 网关的最后步骤是为 Lync Server 2013 Edge Server 配置证书，部署 Lync Server 2013 XMPP 网关，并更新 XMPP 网关的 DNS 记录。 应并行执行这些步骤，以最大程度地减少 XMPP 网关的停机时间。 执行这些步骤之前，必须将所有用户移动到 Microsoft Lync Server 2013 部署。

重要

在可生存的分支设备上拥有的用户不支持 XMPP 联合身份验证。 这适用于查看状态信息和交换 IM 消息。

在 Lync Server 2013 Edge Server 上配置 XMPP 网关证书

1. 在边缘服务器上的“部署向导”中，在 “步骤 3：请求、安装或分配证书”旁边的“ 再次运行”。

   提示

   如果是首次部署 Edge Server，则会看到“运行”而不是“再次运行”。

2. 在“可用的证书任务”页上，单击“创建新的证书请求”。

3. 在 “证书请求 ”页上，单击 “外部边缘证书”。

4. 在 “延迟”或“立即请求 ”页上，立即选择 “准备请求”，但稍后会发送复 选框。

5. 在 “证书请求文件” 页上，键入要将请求保存到的文件的完整路径和文件名 (例如 c：\cert_exernal_edge.cer) 。

6. 在 “指定备用证书模板” 页上，若要使用默认 WebServer 模板以外的模板，请选 中所选证书颁发机构复选框的“使用备用证书模板 ”。

7. 在 “名称和安全设置” 页上，执行以下操作：

   1. 在 友好名称中，键入证书的显示名称。

   2. 在 位长度中，通常指定位长度 (，默认值为 2048) 。

   3. 验证是否选中了 标记证书私钥作为可导出的 复选框。

8. 在 “组织信息 ”页上，键入组织名称和组织单位 (例如部门或部门) 。

9. 在“ 地理信息” 页上，指定位置信息。

10. 在 “使用者名称/使用者备用名称” 页上，将显示向导自动填充的信息。 如果需要其他使用者可选名称，请在接下来的两个步骤中指定它们。

11. 在 “使用者备用名称的 SIP 域设置 (SAN) 页上 ，选中要添加 sip 的域复选框。<使用者可选名称列表的 sipdomain> 条目。

12. 在“ 配置其他使用者备用名称” 页上，指定所需的任何其他使用者替代名称。

    提示

    如果安装了 XMPP 代理，则默认情况下会在 SAN 条目中填充域名 (（例如 contoso.com) ）。 如果需要更多条目，请在此步骤中添加它们。

13. 在 “请求摘要 ”页上，查看用于生成请求的证书信息。

14. 命令完成运行后，可以 查看日志，或单击“下一步”继续。

15. 在 “证书请求文件” 页上，可以通过单击“ 查看 ”或单击“ 完成”来查看生成的证书签名请求 (CSR) 文件。

16. 复制请求文件并提交到公共证书颁发机构。

17. 接收、导入和分配公共证书后，必须停止并重启 Edge Server 服务。 通过在 Lync Server 管理控制台中键入来执行此操作：

    Stop-CsWindowsService
    

     

    Start-CsWindowsService
    

配置新的 Lync Server 2013 XMPP 网关

1. 打开“Lync Server 控制面板”。

2. 在左侧导航栏中，单击 “联合身份验证”和“外部访问 ”，然后单击 “XMPP 联合合作伙伴”。

3. 若要创建新配置，请单击 “新建”。

4. 定义以下设置：

5. 主域 (必需) 。 主域是 XMPP 合作伙伴的基域。 例如，你将输入 XMPP 合作伙伴域名 的 fabrikam.com 。 这是必需的条目。

6. 描述 说明适用于此特定配置的笔记或其他标识信息。 此条目是可选的。

7. 其他域 其他域是作为 XMPP 合作伙伴域的一部分的域，这些域应作为允许的 XMPP 通信的一部分包含在内。 例如，如果主域 fabrikam.com，则会列出要通过 XMPP 进行通信的 fabrikam.com 下的所有其他域。

8. 合作伙伴类型合作伙伴类型是必需的设置。 必须选择下列选项之一来描述和强制执行可添加的联系人。 你可以从以下选项中进行选择：

   • 联邦联合合作伙伴类型表示 Lync Server 部署与 XMPP 合作伙伴之间的高度信任。  建议使用此合作伙伴类型与同一企业中的 XMPP 服务器联合，或者在同一企业中或存在已建立业务关系的地方联合。  联合合作伙伴中的 XMPP 联系人可以：

     1. 添加 Lync 联系人，并在未经 Lync 用户明确授权的情况下查看其状态。

     2. 无论 Lync 用户是否已将即时消息添加到其联系人列表中，都向 Lync 联系人发送即时消息。

     3. 请参阅 Lync 用户的状态说明。

   • 公共验证公共验证合作伙伴是受信任的公共 XMPP 提供程序，用于验证其用户的身份。  公共验证网络中的 XMPP 联系人可以添加 Lync 联系人并查看其状态，并在未经 Lync 用户明确授权的情况下向其发送即时消息。  公共验证网络中的 XMPP 联系人永远不会看到 Lync 用户的状态说明。  不建议使用此设置。

   • 公共未验证公共未验证的合作伙伴是不受信任的公共 XMPP 提供程序，用于验证其用户的身份。  公共未验证网络上的 XMPP 用户无法与 Lync 用户通信，除非 Lync 用户通过将它们添加到联系人列表来明确授权他们。  公共未验证网络上的 XMPP 用户永远不会看到 Lync 用户的状态说明。  对于任何与公共 XMPP 提供商（如 Google Talk）的联合，建议使用此设置。

9. 连接类型： 定义各种规则和回拨设置。

   • TLS 协商 定义 TLS 协商规则。 XMPP 服务可能需要 TLS，可以使 TLS 成为可选服务，或者定义不支持 TLS。 选择“可选”将要求留给 XMPP 服务进行强制协商决定。 若要查看 SASL、TLS 和回拨协商的所有可能设置和详细信息（包括无效和已知的错误配置），请参阅 Lync Server 2013 中 XMPP 联合合作伙伴的谈判设置。

     • 
       必填 XMPP 服务需要 TLS 协商。

     • 
       选 XMPP 服务指示 TLS 是必需协商的。

     • 
       不支持 XMPP 服务不支持 TLS。

   • SASL 协商 定义 SASL 协商规则。 XMPP 服务可能需要 SASL，可以使 SASL 成为可选服务，或者定义不支持 SASL。 选择“可选”将要求留给合作伙伴 XMPP 服务，以便进行强制协商决定。

     • 
       必填 XMPP 服务需要 SASL 协商。

     • 
       选 XMPP 服务指示 SASL 是必需协商的。

     • 
       不支持 XMPP 服务不支持 SASL。

   • 支持服务器回拨协商 支持服务器回拨协商过程使用域名系统 (DNS) 和权威服务器来验证请求是否来自有效的 XMPP 合作伙伴。 为此，发起服务器使用生成的回拨密钥创建特定类型的消息，并在 DNS 中查找接收服务器。 发起服务器将 XML 流中的密钥发送到生成的 DNS 查找（大概是接收服务器）。 通过 XML 流接收密钥后，接收服务器不会响应源服务器，而是将密钥发送到已知的权威服务器。 权威服务器验证密钥是否有效。 如果无效，则接收服务器不会响应源服务器。 如果密钥有效，则接收服务器会通知发起服务器标识和密钥有效，并且会话可以开始。

     拨回协商有两个有效状态：

     • 
       真 如果应从源服务器接收请求，XMPP 服务器将配置为使用回拨协商。

     • 
       假 XMPP 服务器未配置为使用 Dialback 协商，如果应从源服务器接收请求，则会忽略它。

10. 单击 “提交 ”以保存对网站或用户策略所做的更改。

更新 Lync Server 2013 XMPP 网关的 DNS 记录

1. 若要为 XMPP 联合身份验证配置 DNS，请将以下 SRV 记录添加到外部 DNS：_xmpp-server._tcp。<域名> SRV 记录将解析为 Edge 服务器的 Access Edge FQDN，端口值为 5269。