Skype for Business Server 2015完整部署（边缘/反向代理/移动端）

Skype for Business Server 2015完整部署，实现内外网/移动端客户端登录。

此次部署未部署Office Web Apps Server 和持久聊天。

一、资源

1、内外域名：yangqs.com

2、服务器共4台，使用Hyper-v虚拟化服务器

（1）域/证书/DNS一体服务器 S4BDC01.yangqs.com ，1块内部网卡（内网IP）

（2）标准版前端服务器 S4BFE01.yangqs.com , 1块内部网卡（内网IP），加域

（3）边缘服务器 S4BAE01.yangqs.com ,1块内部网卡（此次未使用DMZ区网卡，少一些开放内部端口步骤），1块外部网卡，不加域（添加域名后缀）

（4）IIS ARR反向代理服务器ARR.yangqs.com，1块内部网卡（此次未使用DMZ区网卡，少一些开放内部端口步骤），1块外部网卡，不加域（添加域名后缀）

3、公网IP，2个

4、边缘外部防火墙开放端口

开通互联网访问端口：442、443（TCP）、444、3478（UDP）、5061（TCP）、5269（TCP）、50000-59999（TCP|UDP）

开通访问互联网端口：53（TCP|UDP）、80（TCP）、443（TCP）、3478（UDP）、5061（TCP）、5269（TCP）、50000-59999（TCP|UDP）

5、操作系统使用Windows Server 2012 R2

6、标准版前端服务器安装必备组件

标准版前端服务器

Add-WindowsFeature NET-Framework-Core, RSAT-ADDS, Windows-Identity-Foundation, Web-Server, Web-Static-Content, Web-Default-Doc, Web-Http-Errors, Web-Dir-Browsing, Web-Asp-Net, Web-Net-Ext, Web-ISAPI-Ext, Web-ISAPI-Filter, Web-Http-Logging, Web-Log-Libraries, Web-Request-Monitor, Web-Http-Tracing, Web-Basic-Auth, Web-Windows-Auth, Web-Client-Auth, Web-Filtering, Web-Stat-Compression, Web-Dyn-Compression, NET-WCF-HTTP-Activation45, Web-Asp-Net45, Web-Mgmt-Tools, Web-Scripting-Tools, Web-Mgmt-Compat, Server-Media-Foundation, BITS -Source D:\sources\sxs

7、边缘服务器安装必备组件

Add-WindowsFeature NET-Framework-Core, RSAT-ADDS, Windows-Identity-Foundation, BITS -Source D:\sources\sxs

8、IIS ARR反向代理服务器安装ARR3.0

https://www.microsoft.com/web/gallery/install.aspx?appid=ARRv3_0

9、公网免费证书申请

http://www.wosign.com/DVSSL/DV_KuaiSSL_Free.htm

沃通免费SSL证书，可以申请5个域名的免费SSL证书，基本满足Lync/S4B外网部署需求

申请后按照要求导入边缘服务器/IIS ARR反向代理服务器

10、边缘服务器/IIS ARR反向代理服务器，导入内部CA颁发的根证书至“受信任的根证书颁发机构”

二、标准版前端服务器/边缘服务器安装，拓扑规划过程略过

wKioL1bWRjqSTiFdAACN9aDq4lw588.png

wKiom1bWRcLB9-WMAACrRJ4HjN4959.png

wKioL1bWRjqQstGhAADE8XUZnWQ525.png

wKioL1bWRjuAL-SHAAA8lIuEEF8572.png

三、外网域名配置，yangqs.com万网域名（阿里域名），添加解析记录

wKioL1bWR37g1IZBAAD2rDKy8xk652.png

四、IIS ARR反向代理服务器配置

（1）外部DNS,上图已经完成

（2）内部DNS

wKioL1bWSUCCrc4mAAAQLxk2VZI933.png

wKiom1bWSMixIVQSAAAQ9GJyCl8521.png

（3）IIS ARR反向代理服务器本地hosts文件添加静态解析记录

wKiom1bWSX6DywV4AABSFNeOSkw650.png

（4）ARR3.0安装后，SSL公网证书绑定

wKiom1bWSybSmKYcAAEHGnXgDVI906.png

（5）添加dialin、meet、lyncweb、lyncdiscover服务器场，Server Farms-Create Server Farms

wKiom1bWTSnymyqVAAA4VnPI6Jg512.png

wKioL1bWTaGCtyt-AABOLBvo3bM685.png

wKiom1bWTSqxtzRYAAAYKp3ZJLk468.png

同样操作，添加剩下的meet、lyncweb、lyncdiscover

（6）添加Server Farms 后，全部要配置如下项，并“应用”

wKioL1bWTfzgNGm1AABB3Wu96Qs775.png

wKioL1bWTfzz7P9WAAAg2oejNfg282.png

wKiom1bWTYSjhszIAAA42yP_dZs814.png

（7）URL重写，删除http://项

wKiom1bWTl2QQzdyAAEcFC0s4sU793.png

（8）编辑入站规则，添加{HTTP_HOST}记录，meet.*,dialin.*,lyncweb.*,lyncdiscover.*

wKioL1bWUCmxDuYWAAB6l9YSObM896.png

五、开启外网用户登录，核实移动策略启用“移动性”，启用移动端手机信息推送

wKiom1bWUvWRWRaKAABhaYgZjcw010.png

wKioL1bWU26xKm_EAABngH6mmIg095.png

wKiom1bWUvbST3OqAABPQEJc-f0681.png

wKioL1bWU27yizd4AABPUGmBWXw026.png

总结：

边缘服务器，通过开放外部防火墙端口和内部防火墙（如果处在DMZ区）；IIS ARR反向代理通过域名不同进来对端口进行转换。

特别说明，Skype for Business Server 2015移动端无需特别配置，默认开启。