部署Lync For 移动设备 二

第二次写这一篇文章，在上一篇中说字数太多，无法保存。我在复制到这里后保存发现都没了。哭....

Lync for 移动设备外部登录配置

1.首先请确认您的lync for移动设备在公司可以正常登录，且我在上一篇的步骤都已完成。

2.没有执行Set-CsMcxConfiguration –ExposedWebUrl Internal 命令，因为该命令只允许内部登录。如果有不小心执行到请再恢复默认，命令如下：

Set-CsMcxConfiguration –ExposedWebUrl External

3.设定外部DNS，要求如下：

上面说明，如果你有Reserve Proxy服务器，那么再建一个A记录对应他。

在我的环境下没有Reserve Proxy服务器，所以我必须先建立一条前端池名的A记录，再建立一条别名记录lyncdiscover.contoso.com对应前端池。

lyncsh.contoso.com     A类型记录   ------->对应前端池内的一台前端服务器(没有前端池的虚拟IP)

lyncdiscover.contoso.com  别名类型记录   ----->对应lyncsh.contoso.com

注：如果您的环境和我一样，请一定记得要建立前端池名的DNS记录，再添加lyncdiscover的别名记录。如果想直接建立一条lyncdiscover的A记录将会出错。

以下为我公司F5 GTM DNS上的设定，同时也包括了边缘dns记录。

4.防火墙开放策略。

如果您有Reserve Proxy服务器就开放该外部IP的443端口。

我现有环境没有使用ISA或TMG防火墙，如何在其上发布规则请参考第一篇中提到的文档，谢谢。

在我公司直接使用NetScreen防火墙，，同时请注意外部设备连接的是4443端口，各位可以查看上一篇第二张图了解外部访问所连接的web及端口。

所以应在防火墙上建立的规则为：

外部IP 443端口    ------>对应 lync前端池内一台前端服务器的4443端口。以下为我的截图：

5.建立防火墙策略后，lync for 移动设备就可以正常登录。包括移动的gprs用户。

在我的环境中有一个不足，就是没有reserver proxy服务器，所以外部访问用户是直接连接到了前端池中的一台服务器，如果该台服务器出现故障，只能手动去修改防火墙策略，手动指向另一台前端服务器。（或许防火墙策略有其他的设定，可以让其自动去选择两台前端服务器）

所以在后续中可以考虑建立一台Reserve Proxy服务器，或是将前端DNS负载平衡改为硬件负载平衡，这样防火墙策略直接指向前端池的VIP地址。

在后来的操作中，我没有建立Reserve Proxy服务器。而是通过F5建立了一个VS监听443端口，其中Pool成员监测端口为4443，该VS只提供外部用户访问登录。

同时取消了上面的防火墙端口映射方式，直接给定一个独立的外部IP对应VS的虚拟IP，这样可以做到对外部用户访问的高可用性，如果两台前端中的一台故障都不会影响到外部用户的登录。

防火墙设定，NetScreen MIP一外部IP直接指向172.16.2.9这个VIP地址

同时在unTrust至Trust的策略中，只开放了HTTPS和ICMP服务(无法上图了，抱歉）

6.在后续的Push功能测试中，一直没有成功，设置方面各位可以看上一篇的部署文档，比较简单。但该文档有一个命令写错了(位于该文档的34页第4步），正确的命令如下：

Set-CSAccessEdgeConfiguration -AllowFederatedUsers $True

在进行测试时，一直出现以下错误，后来发现网上也有很多用户提出这样的问题，我感觉应该是边缘服务器要和MS做同盟必须要使用第三方公共证书，如果是这样自己颁发的证书是无法与MS的Lync Online进行同盟（具体事由我还在请别人咨询MS人员）

如果有其他解决方法，麻烦请告知，感谢。

已经确认push功能一定要边缘服务器申请第三方可信任的公共证书。

7.在语音功能方面，我也遇到了困难。当然在Lync for Windows的版本上，我可以通过他往公司座机及市话，手机进行互拨，但Lync for 移动设备无法实现，在我通过该软件进行拨出时一直提示我的Lync脱机，而座机拨入Lync for 移动设备时又无法拨通，可能我哪边设置有问题，现在还在测试中。

本文转自William宋 51CTO博客，原文链接：http://blog.51cto.com/sting/751749，如需转载请自行联系原作者