Freigeben über


Bereitstellen von Edgeservern in Skype for Business Server

Zusammenfassung: Erfahren Sie, wie Sie Edgeserver in Ihrer Skype for Business Server-Umgebung bereitstellen.

Die folgenden Abschnitte enthalten Schritte, die nach der Überprüfung des Skype for Business Server Plans für Edgeserverbereitstellungen in Skype for Business Server Dokumentation ausgeführt werden sollen. Es handelt sich um die folgenden Bereitstellungsschritte:

  • Netzwerkschnittstellen

  • Installation

  • Zertifikate

  • Starten der Edgeserver

Netzwerkschnittstellen

Wie in Planning erwähnt, konfigurieren Sie Ihre Netzwerkschnittstelle entweder mit DNS im Umkreisnetzwerk, in dem Ihre Edgeserver gehostet werden, oder ohne DNS im Umkreisnetzwerk.

Schnittstellenkonfiguration mit DNS-Servern im Umkreisnetzwerk

  1. Installieren Sie zwei Netzwerkadapter für jeden Edgeserver, einen für die interne Schnittstelle und einen für die externe Schnittstelle.

    Hinweis

    Ein Routing vom internen Subnetz zum externen Subnetz (und umgekehrt) darf nicht möglich sein.

  2. Auf Der externen Schnittstelle konfigurieren Sie eine der folgenden Optionen:

    a. Konfiguration von drei statischen IP-Adressen im externen Subnetz des Umkreisnetzwerks und Verweis des Standardgateways auf die interne Schnittstelle der externen Firewall. Konfigurieren Sie die DNS-Einstellungen des Netzwerkadapters so, dass diese auf ein DNS-Umkreisserverpaar verweisen.

    b. Eine statische IP-Adresse im Subnetz des externen Umkreisnetzwerks, und verweisen Sie auf das Standardgateway auf die interne Schnittstelle der externen Firewall. Konfigurieren Sie die DNS-Einstellungen des Netzwerkadapters so, dass diese auf ein DNS-Umkreisserverpaar verweisen. Diese Konfiguration ist NUR akzeptabel, wenn Sie Ihre Topologie zuvor so konfiguriert haben, dass in den Portzuweisungen nicht standardmäßige Werte enthalten sind. Dies wird im Artikel Erstellen ihrer Edgetopologie für Skype for Business Server behandelt.

  3. Konfigurieren Sie auf Ihrer internen Schnittstelle eine statische IP-Adresse im subnetz des internen Umkreisnetzwerks, und legen Sie kein Standardgateway fest. Konfigurieren Sie die DNS-Einstellungen des Netzwerkadapters so, dass diese mindestens auf einen DNS-Server, jedoch vorzugsweise auf ein DNS-Umkreisserverpaar, verweisen.

  4. Erstellen Sie persistente statische Routen auf der internen Schnittstelle zu allen internen Netzwerken, in denen sich Clients, Skype for Business Server und Exchange Unified Messaging-Server (UM) befinden.

Schnittstellenkonfiguration ohne DNS-Server im Umkreisnetzwerk

  1. Installieren Sie zwei Netzwerkadapter für jeden Edgeserver, einen für die interne Schnittstelle und einen für die externe Schnittstelle.

    Hinweis

    Ein Routing vom internen Subnetz zum externen Subnetz (und umgekehrt) darf nicht möglich sein.

  2. Auf Der externen Schnittstelle konfigurieren Sie eine der folgenden Optionen:

    a. Konfiguration von drei statischen IP-Adressen im externen Subnetz des Umkreisnetzwerks. Außerdem müssen Sie das Standardgateway auf der externen Schnittstelle konfigurieren, indem Sie z. B. den Router mit Internetzugriff oder die externe Firewall als Standardgateway definieren. Konfigurieren Sie die DNS-Einstellungen des Netzwerkadapters so, dass diese auf einen externen DNS-Server, vorzugsweise auf ein externes DNS-Serverpaar, verweisen.

    b. Eine statische IP-Adresse im Subnetz des externen Umkreisnetzwerks. Außerdem müssen Sie das Standardgateway auf der externen Schnittstelle konfigurieren, indem Sie z. B. den Router mit Internetzugriff oder die externe Firewall als Standardgateway definieren. Konfigurieren Sie die DNS-Einstellungen des Adapters so, dass sie auf einen externen DNS-Server oder idealerweise auf ein Paar externer DNS-Server verweisen. Diese Konfiguration ist NUR akzeptabel, wenn Sie Ihre Topologie zuvor so konfiguriert haben, dass in den Portzuweisungen nicht standardmäßige Werte enthalten sind. Dies wird im Artikel Erstellen ihrer Edgetopologie für Skype for Business Server behandelt.

  3. Konfigurieren Sie auf Ihrer internen Schnittstelle eine statische IP-Adresse im subnetz des internen Umkreisnetzwerks, und legen Sie kein Standardgateway fest. Lassen Sie außerdem die DNS-Einstellungen des Netzwerkadapters leer.

  4. Erstellen Sie persistente statische Routen auf der internen Schnittstelle zu allen internen Netzwerken, in denen sich Clients, Skype for Business Server und Exchange Unified Messaging-Server (UM) befinden.

  5. Bearbeiten Sie die HOST-Datei auf jedem Edgeserver so, dass sie einen Eintrag für den nächsten Hopserver oder die virtuelle IP-Adresse (VIP) des nächsten Hops enthält. Dieser Datensatz ist der Director-, Standard Edition-Server oder Front-End-Pool, den Sie als Adresse des nächsten Hops des Edgeservers im Topologie-Generator konfiguriert haben. Wenn Sie den DNS-Lastenausgleich verwenden, fügen Sie eine Zeile für jedes Mitglied des Nächsten Hoppools ein.

Installation

Um diese Schritte erfolgreich auszuführen, müssen Sie die Schritte im Artikel Erstellen ihrer Edgetopologie für Skype for Business Server ausgeführt haben.

  1. Melden Sie sich bei dem Server an, den Sie für die Edgeserverrolle konfiguriert haben, mit einem Konto, das sich in der lokalen Administratorgruppe befindet.

  2. Sie benötigen die Topologiekonfigurationsdatei, die Sie am Ende der Dokumentation zur Edgeservertopologie auf diesem Computer kopiert haben. Greifen Sie auf den externen Datenträger zu, auf dem Sie die Konfigurationsdatei gespeichert haben (z. B. ein USB-Laufwerk oder eine Netzwerkfreigabe).

  3. Starten Sie den Bereitstellungs-Assistenten.

  4. Klicken Sie nach dem Öffnen des Assistenten auf Skype for Business Server System installieren oder aktualisieren.

  5. Der Assistent führt Überprüfungen aus, um festzustellen, ob bereits etwas installiert ist. Da der Assistent zum ersten Mal ausgeführt wird, sollten Sie mit Schritt 1 beginnen. Installieren Sie den lokalen Konfigurationsspeicher.

  6. Das Dialogfeld Lokales Replikat des zentralen Verwaltungsspeichers konfigurieren wird angezeigt. Sie müssen auf Aus einer Datei importieren (empfohlen für Edgeserver) klicken.

  7. Gehen Sie von hier aus zum Speicherort der Topologie, die Sie zuvor exportiert haben. Wählen Sie die ZIP-Datei aus, klicken Sie auf Öffnen und anschließend auf Weiter.

  8. Der Bereitstellungs-Assistent liest die Konfigurationsdatei und schreibt die XML-Konfigurationsdatei auf den lokalen Computer.

  9. Nachdem der Prozess Befehle werden ausgeführt abgeschlossen wurde, klicken Sie auf Fertig stellen.

  10. Klicken Sie im Bereitstellungs-Assistenten auf Schritt 2. Einrichten oder Entfernen Skype for Business Server Komponenten. Der Assistent installiert dann die Skype for Business Server Edge-Komponenten, die in der XML-Konfigurationsdatei angegeben sind, die auf dem lokalen Computer gespeichert wurde.

  11. Nach Abschluss der Installation können Sie mit den Schritten im Abschnitt Zertifikate unten fortfahren.

Zertifikate

Die Zertifikatanforderungen für den Edgeserver finden Sie in der Dokumentation zur Edgezertifikatplanung. Die erforderlichen Schritte zur Einrichtung von Zertifikaten finden Sie unten.

Hinweis

Wenn Sie den Zertifikat-Assistenten ausführen, müssen Sie als Konto mit den richtigen Berechtigungen für den Typ der Zertifikatvorlage angemeldet sein, die Sie verwenden möchten. Standardmäßig verwendet eine Skype for Business Server Zertifikatanforderung die Webserverzertifikatvorlage. Wenn Sie mit einem Konto angemeldet sind, das Mitglied der Gruppe RTCUniversalServerAdmins ist, um über diese Vorlage ein Zertifikat anzufordern, überprüfen Sie, ob der Gruppe die Berechtigungen Registrieren für die Verwendung dieser Vorlage zugewiesen wurden.

Zertifikate der internen Edgeschnittstelle

1. Herunterladen oder Exportieren der Zertifizierungsstellenkette

    a. Download mit CertSrv-Website

      Ich. Melden Sie sich bei einem Skype for Business Server in Ihrem internen Netzwerk als Mitglied der lokalen Administratorgruppe an.

      Ii. Öffnen Sie Start und Ausführen (oder Suchen und Ausführen ), und geben Sie Dann Folgendes ein:

https://<NAME OF YOUR ISSUING CA SERVER>/certsrv

      Zum Beispiel:

https://ca01/contoso.com/certsrv

      Iii. Klicken Sie auf der Certsrv-Webseite der ausstellenden Zertifizierungsstelle unter Aufgabe auswählen auf Zertifizierungsstellenzertifikat, Zertifikatkette oder Zertifikatsperrliste herunterladen.

      Iv. Klicken Sie unter Download eines Zertifizierungsstellenzertifikats, einer Zertifikatkette oder einer Zertifikatssperrliste auf Download der Zertifizierungsstellen-Zertifikatkette.

      V. Klicken Sie im Feld Dateidownload auf Speichern.

      Vi. Speichern Sie die P7B-Datei auf dem Festplattenlaufwerk auf dem Server, und kopieren Sie sie dann in einen Ordner auf jedem Ihrer Edgeserver.

   b. Export mit MMC

      Ich. Sie können das Stammzertifikat der Zertifizierungsstelle mithilfe von MMC von einem beliebigen Computer in der Domäne aus exportieren. Gehen Sie entweder zu Starten und Ausführen oder öffnen Sie Suchen und geben Sie MMC ein, um die Funktion zu öffnen.

      Ii. Klicken Sie in der MMC-Konsole auf Datei und dann auf Snap-In hinzufügen/entfernen.

      Iii. Wählen Sie in der Dialogfeldliste Snap-Ins hinzufügen oder entfernendie Option Zertifikate aus, und klicken Sie dann auf Hinzufügen. Wenn Sie dazu aufgefordert werden, wählen Sie Computerkonto und dann Weiter aus. Wählen Sie im Dialogfeld Computer auswählendie Option Lokaler Computer aus. Klicken Sie auf Fertig stellen und dann auf OK.

      Iv. Erweitern Sie Zertifikate (Lokaler Computer). Erweitern Sie Vertrauenswürdige Stammzertifizierungsstellen. Wählen Sie Zertifikate aus.

      V. Klicken Sie auf das von Ihrer Zertifizierungsstelle ausgestellte Stammzertifikat. Klicken Sie mit der rechten Maustaste auf das Zertifikat, wählen Sie im Menü Alle Aufgaben und anschließend Exportieren aus.

      Vi. Der Zertifikatexport-Assistent wird geöffnet. Klicken Sie auf Weiter.

      Vii. Wählen Sie im Dialogfeld Format der zu exportierenden Datei ein Format für den Export aus. Wir empfehlen die Verwendung von Syntaxstandard kryptografischer Meldungen – PKCS #7-Zertifikate (P7B). Wenn dies auch Ihre Wahl ist, denken Sie daran, auch das Kontrollkästchen Alle Zertifikate in den Zertifizierungspfad einschließen, wenn möglich , zu aktivieren, da dadurch auch die Zertifikatkette exportiert wird, einschließlich des Zertifikats der Stammzertifizierungsstelle und aller Zwischenzertifikate. Klicken Sie auf Weiter.

      Viii. Geben Sie im Dialogfeld Zu exportierende Datei im Eingabefeld für den Dateinamen einen Pfad und Dateinamen (die Standarderweiterung lautet „.p7b“) für das exportierte Zertifikat ein. Wenn dies einfacher für Sie ist, wählen Sie die Schaltfläche Durchsuchen aus, um zu dem Speicherort zu gelangen, in dem Sie das exportierte Zertifikat speichern möchten, und benennen Sie das exportierte Zertifikat hier. Klicken Sie auf Speichern und dann auf Weiter , wenn Sie bereit sind.

      Ix. Überprüfen Sie die Zusammenfassung der von Ihnen ausgeführten Aktionen und klicken Sie auf Fertig stellen, um den Zertifikatexport abzuschließen. Klicken Sie auf OK, um den erfolgreichen Export zu bestätigen.

      X. Kopieren Sie die P7b-Datei auf jeden Ihrer Edgeserver.

2. Importieren der Zertifizierungsstellenkette

   a. Öffnen Sie auf jedem Edgeserver die MMC (wählen Sie Start und Ausführen oder Suchen aus, und geben Sie MMC ein, um sie zu öffnen).

   b. Klicken Sie im Menü Datei auf Snap-In hinzufügen/entfernen und wählen Sie dann Hinzufügen aus.

   c. Klicken Sie im Feld Snap-In hinzufügen/entfernen auf Zertifikate und anschließend auf Hinzufügen.

   d. Klicken Sie im Dialogfeld Zertifikat-Snap-In auf Computerkonto und anschließend auf Weiter.

   E. Stellen Sie im Dialogfeld Computer auswählen sicher, dass das Kontrollkästchen Lokaler Computer: (Computer, auf dem diese Konsole ausgeführt wird) aktiviert ist. Klicken Sie dann auf Fertig stellen.

   F. Klicken Sie auf Schließen und dann auf OK.

   G. Erweitern Sie in der Konsolenstruktur den Eintrag Zertifikate (Lokaler Computer), klicken Sie mit der rechten Maustaste auf Vertrauenswürdige Stammzertifizierungsstellen, gehen Sie zu Alle Aufgaben und klicken Sie dann auf Importieren.

   H. Geben Sie im Textfeld Zu importierende Datei des Assistenten, der geöffnet wird, den Namen des Zertifikats ein (die Benennung der P7B-Datei, die Sie im vorhergehenden Abschnitt ausgewählt haben). Klicken Sie auf Weiter.

   Ich. Aktivieren Sie das Optionsfeld Alle Zertifikate in folgendem Speicher speichern, Vertrauenswürdige Stammzertifizierungsstellen. Klicken Sie auf Weiter.

   J. Überprüfen Sie die Zusammenfassung und klicken Sie auf Fertig stellen, um den Import abzuschließen.

   K. Dies muss für jeden Edgeserver erfolgen, den Sie bereitstellen.

3. Erstellen der Zertifikatanforderung

   a. Melden Sie sich bei einem Ihrer Edgeserver an, starten Sie den Bereitstellungs-Assistenten, und klicken Sie in Schritt 3: Anfordern, Installieren oder Zuweisen von Zertifikaten auf Ausführen (oder erneut ausführen, wenn Sie diesen Assistenten bereits ausgeführt haben).

   b. Stellen Sie sicher, dass auf der Seite Zertifikatsanforderung die Option Internes Edgezertifikat ausgewählt ist und klicken Sie auf Anforderung.

   c. Wählen Sie auf der Seite Verzögerte oder sofortige Anforderungendie Option Anforderung sofort an eine Onlinezertifizierungsstelle senden aus, wenn Sie Zugriff auf eine Anforderung aus Ihrer Edge-Umgebung haben, oder Sie können die Anforderung jetzt vorbereiten, aber sie später senden .

   d. Geben Sie auf der Seite Zertifikatsanforderungsdatei den vollständigen Pfad und Dateinamen an, um zu bestimmen, wo die Datei gespeichert wird (z. B. c:\SkypeInternalEdgeCert.cer). Klicken Sie auf Weiter.

   E. Aktivieren Sie auf der Seite Alternative Zertifikatvorlage angeben das Kontrollkästchen Alternative Zertifikatvorlage für ausgewählte Zertifizierungsstelle verwenden, um eine andere Vorlage als die Standardvorlage „WebServer“ zu verwenden. Wenn Sie dies nicht wünschen, müssen Sie diesen Schritt nicht ausführen.

   F. Führen Sie auf der Seite Namens- und Sicherheitseinstellungen die folgenden Aufgaben aus:

       Ich. Geben Sie im Feld Anzeigename einen Anzeigenamen für das Zertifikat ein (z. B. „Interner Edgeserver“).

       Ii. Wählen Sie unter Bitlänge die Bitlänge aus (Standard ist 2048, sie können diesen Wert zur Sicherheit erhöhen, dies verlangsamt jedoch die Leistung).

       Iii. Wenn Sie ein exportierbares Zertifikat benötigen, müssen Sie das Kontrollkästchen Privaten Schlüssel des Zertifikats als exportierbar markieren aktivieren.

       Iv. Klicken Sie auf Weiter.

   G. Geben Sie auf der Seite Organisationsinformationen den Namen für die Organisation und die Organisationseinheit (OE) ein. Sie können den Geschäftsbereich oder die Abteilung (z. B. IT) eingeben.

   H. Geben Sie auf der Seite Geografische Informationen die Angaben zum Standort ein.

   Ich. Die Seite Antragstellernamen/Alternative Antragstellernamen sollte automatisch vom Assistenten aufgefüllt werden.

   J. Geben Sie auf der Seite Weitere alternative Antragstellernamen konfigurieren alle erforderlichen zusätzlichen alternativen Antragstellernamen an.

   K. Sehen Sie sich auf der Seite Anforderungszusammenfassung die Zertifikatinformationen an, die zum Generieren Ihrer Anforderung verwendet werden sollen. Wenn Änderungen nötig sind, gehen Sie zurück und führen Sie diese jetzt aus.

   L. Klicken Sie dann auf Weiter , um die CSR-Datei zu generieren, die Sie der Zertifizierungsstelle bereitstellen müssen (Sie können auch auf Protokoll anzeigen klicken, um das Protokoll für die Zertifikatanforderung anzuzeigen).

   M. Sobald die Anforderung generiert wurde, können Sie auf Anzeigen klicken, um das Zertifikat anzuzeigen, und auf Fertig stellen, um das Fenster zu schließen. Der Inhalt der CSR-Datei muss der Zertifizierungsstelle vorgelegt werden, damit diese ein Zertifikat erstellen kann, das Sie zu diesen Computer importieren müssen (siehe nächster Abschnitt).

4. Importieren des Zertifikats

   a. Melden Sie sich als Mitglied der lokalen Administratorengruppe bei dem Edgeserver an, von dem Sie ihre Zertifikatanforderung im letzten Verfahren gestellt haben.

   b. Klicken Sie im Bereitstellungs-Assistenten neben Schritt 3. Zertifikate anfordern, installieren oder zuweisen, klicken Sie auf Erneut ausführen.

   c. Klicken Sie auf der Seite Verfügbare Zertifikatsaufgaben auf Zertifikat aus einer P7B-, PFX- oder CER-Datei importieren.

   d. Geben Sie auf der Seite Zertifikat importieren den vollständigen Pfad und Dateinamen des Zertifikats an, das Sie im vorhergehenden Abschnitt erhalten haben (oder klicken Sie auf Durchsuchen, um nach der Datei zu suchen und sie auszuwählen).

   E. Wenn Sie Zertifikate für andere Mitglieder Ihres Edgepools importieren und ihr Zertifikat einen privaten Schlüssel enthält, müssen Sie das Kontrollkästchen Zertifikatdatei mit dem privaten Schlüssel des Zertifikats aktivieren und das Kennwort angeben. Klicken Sie auf Weiter, um fortzufahren.

   F. Klicken Sie auf der SeiteZusammenfassung auf Weiter , nachdem Sie die Informationen bestätigt haben, und auf Fertig stellen , sobald das Zertifikat erfolgreich importiert wurde.

5. Exportieren des Zertifikats

   a. Stellen Sie sicher, dass Sie sich bei dem Edgeserver angemeldet haben, in den Sie zuvor das Zertifikat importiert haben, als Mitglied der lokalen Administratorgruppe.

   b. Klicken Sie auf Start, Ausführen (oder öffnen Sie Suchen ), und geben Sie MMC ein.

   c. Klicken Sie in der MMC-Konsole auf Datei und auf Snap-In hinzufügen/entfernen.

   d. Klicken Sie im Feld Snap-In hinzufügen/entfernen auf Zertifikate und auf Hinzufügen.

   E. Wählen Sie im Snap-In-Dialogfeld Zertifikate die Option Computerkonto. Klicken Sie auf Weiter.

   F. Wählen Sie im Dialogfeld Computer auswählen die Option Lokaler Computer: (Computer, auf dem diese Konsole ausgeführt wird). Klicken Sie auf Fertig stellen. Klicken Sie auf OK, um die Konfiguration der MMC-Konsole abzuschließen.

   G. Doppelklicken Sie auf Zertifikate (Lokaler Computer), um die Zertifikatspeicher zu erweitern. Doppelklicken Sie auf Eigene Zertifikate und klicken Sie dann auf Zertifikate.

Hinweis

Möglicherweise sind Sie hier, und Im persönlichen Zertifikatspeicher für den lokalen Computer werden keine Zertifikate angezeigt. Sie müssen nicht suchen. Wenn der Schlüssel nicht vorhanden ist, war dem importierten Zertifikat kein privater Schlüssel zugeordnet. Probieren Sie die oben genannten Schritte zum Anfordern und Importieren noch einmal aus, und wenn Sie sicher sind, dass Sie alles richtig haben, wenden Sie sich an Ihren Zertifizierungsstellenadministrator oder -anbieter.

   H. Klicken Sie im persönlichen Zertifikatspeicher für den lokalen Computer mit der rechten Maustaste auf das Zertifikat, das Sie exportieren. Wählen Sie im resultierenden Menü Alle Aufgaben aus, und klicken Sie dann auf Exportieren.

   Ich. Klicken Sie im Zertifikatexport-Assistenten auf Weiter. Wählen Sie Ja, privaten Schlüssel exportieren aus. Klicken Sie auf Weiter.

   J. Wählen Sie im Dialogfeld Format der zu exportierenden Datei die Option Privater Informationsaustausch – PKCS#12 (.PFX) aus. Wählen Sie dann Folgendes aus:

       Ich. Beziehen Sie nach Möglichkeit alle Zertifikate in den Zertifizierungspfad ein.

       Ii. Exportieren Sie alle erweiterten Eigenschaften.

Hinweis

Wählen Sie NIE die Option Privaten Schlüssel nach erfolgreichem Export löschen aus. Dies bedeutet, dass Sie das Zertifikat und den privaten Schlüssel wieder auf diesen Edgeserver importieren müssen.

   K. Wenn Sie zum Schutz des privaten Schlüssels ein Kennwort zuordnen möchten, geben Sie ein Kennwort für den privaten Schlüssel ein. Geben Sie das Kennwort zur Bestätigung erneut ein und klicken Sie dann auf Weiter.

   L. Geben Sie einen Pfad und einen Dateinamen für das exportierte Zertifikat ein, wobei Sie die Dateierweiterung .pfx verwenden. Der Pfad muss entweder von den anderen Edgeservern im Pool zugänglich sein, oder Sie müssen die Datei über externe Medien (z. B. ein USB-Laufwerk) verschieben. Klicken Sie auf Weiter , wenn Sie Ihre Wahl getroffen haben.

   M. Überprüfen Sie die Zusammenfassung im Dialogfeld Fertigstellen des Zertifikatexport-Assistenten und klicken Sie dann auf Fertig stellen.

   N. Klicken Sie im Dialogfeld „Export erfolgreich“ auf OK.

6. Zuweisen des Zertifikats

   a. Auf JEDEM Edgeserver im Bereitstellungs-Assistenten neben Schritt 3. Zertifikate anfordern, installieren oder zuweisen, klicken Sie erneut auf Ausführen.

   b. Klicken Sie auf der Seite Verfügbare Zertifikataufgaben auf Vorhandenes Zertifikat zuweisen.

   c. Wählen Sie auf der Seite Zertifikatzuweisung in der Liste den Eintrag Interner Edgeserver aus.

   d. Wählen Sie auf der Seite Zertifikatspeicher das Zertifikat aus, das Sie für den internen Edge importiert haben (aus dem vorherigen Abschnitt).

   E. Überprüfen Sie auf der Seite Zusammenfassung der Zertifikatzuweisung die Einstellungen und klicken Sie dann auf Weiter, um das Zertifikat zuzuweisen.

   F. Klicken Sie auf der Seite zum Abschließen des Assistenten auf Fertig stellen.

   G. Nachdem Sie dieses Verfahren abgeschlossen haben, empfiehlt es sich, das MMC-Snap-In Zertifikate auf jedem Edgeserver zu öffnen, Zertifikate (lokaler Computer) zu erweitern, Persönlich zu erweitern, auf Zertifikate zu klicken und zu bestätigen, dass das interne Edgezertifikat im Detailbereich aufgeführt ist.

Zertifikate der externen Edgeschnittstelle

1. Erstellen der Zertifikatanforderung

   a. Melden Sie sich bei einem Ihrer Edgeserver an, starten Sie den Bereitstellungs-Assistenten, und klicken Sie in Schritt 3: Anfordern, Installieren oder Zuweisen von Zertifikaten auf Ausführen (oder erneut ausführen, wenn Sie diesen Assistenten bereits ausgeführt haben).

   b. Klicken Sie auf der Seite Verfügbare Zertifikataufgaben auf Neue Zertifikatsanforderung erstellen.

   c. Stellen Sie sicher, dass auf der Seite Zertifikatsanforderung die Option Externes Edgezertifikat ausgewählt ist und klicken Sie auf Weiter.

   d. Klicken Sie auf der Seite Verzögerte oder sofortige Anforderungen auf Anforderung jetzt vorbereiten, jedoch später senden.

   E. Geben Sie auf der Seite Zertifikatsanforderungsdatei den vollständigen Pfad und Dateinamen an, um zu bestimmen, wo die Datei gespeichert wird (z. B. c:\SkypeInternalEdgeCert.cer). Klicken Sie auf Weiter.

   F. Aktivieren Sie auf der Seite Alternative Zertifikatvorlage angeben das Kontrollkästchen Alternative Zertifikatvorlage für ausgewählte Zertifizierungsstelle verwenden, um eine andere Vorlage als die Standardvorlage „WebServer“ zu verwenden.

   G. Führen Sie auf der Seite Namens- und Sicherheitseinstellungen die folgenden Aufgaben aus:

       Ich. Geben Sie im Feld Anzeigename einen Anzeigenamen für das Zertifikat ein (z. B. „Externer Edgeserver“.

       Ii. Wählen Sie unter Bitlänge die Bitlänge aus (Standard ist 2048, sie können diesen Wert zur Sicherheit erhöhen, dies verlangsamt jedoch die Leistung).

       Iii. Wenn Sie ein exportierbares Zertifikat benötigen, müssen Sie das Kontrollkästchen Privaten Schlüssel des Zertifikats als exportierbar markieren aktivieren.

       Iv. Klicken Sie auf Weiter.

   H. Geben Sie auf der Seite Organisationsinformationen den Namen für die Organisation und die Organisationseinheit (OE) ein. Sie können den Geschäftsbereich oder die Abteilung (z. B. IT) eingeben.

   Ich. Geben Sie auf der Seite Geografische Informationen die Angaben zum Standort ein.

   J. Auf der Seite Antragstellernamen/Alternative Antragstellernamen sollten die erforderlichen Informationen automatisch vom Assistenten aufgefüllt werden.

   K. Aktivieren Sie auf der Seite SIP Domain Setting on Subject Alternate Names (SANs) das Kontrollkästchen Domäne, um einen SIP hinzuzufügen.<sipdomain-Eintrag> in der Liste alternativer Antragstellernamen.

   L. Geben Sie auf der Seite Weitere alternative Antragstellernamen konfigurieren alle erforderlichen zusätzlichen alternativen Antragstellernamen an.

   M. Sehen Sie sich auf der Seite Anforderungszusammenfassung die Zertifikatinformationen an, die zum Generieren Ihrer Anforderung verwendet werden sollen. Wenn Änderungen nötig sind, gehen Sie zurück und führen Sie diese jetzt aus.

   N. Wenn Sie bereit sind, klicken Sie auf Weiter , um die CSR-Datei zu generieren, die Sie der Zertifizierungsstelle bereitstellen müssen (Sie können auch auf Protokoll anzeigen klicken, um das Protokoll für die Zertifikatanforderung anzuzeigen).

   O. Sobald die Anforderung generiert wurde, können Sie auf Anzeigen klicken, um das Zertifikat anzuzeigen, und auf Fertig stellen, um das Fenster zu schließen. Der Inhalt der CSR-Datei muss der Zertifizierungsstelle vorgelegt werden, damit diese ein Zertifikat erstellen kann, das Sie zu diesen Computer importieren müssen (siehe nächster Abschnitt).

   P. (OPTIONAL) Eventuell werden Sie bei der Übermittlung der Inhalte von CSR nach bestimmten Informationen gefragt, wie z. B. Folgendes (es gibt viele Unterschiede zwischen den Zertifizierungsstellen, eventuell ist dies also nicht erforderlich):

  • Microsoft als Serverplattform

  • IIS als Version

  • Web Server als Verwendungstyp

  • PKCS7 als Antwortformat

2. Importieren des Zertifikats

   a. Melden Sie sich als Mitglied der lokalen Administratorengruppe bei dem Edgeserver an, von dem Sie ihre Zertifikatanforderung im letzten Verfahren gestellt haben.

   b. Klicken Sie im Bereitstellungs-Assistenten neben Schritt 3. Zertifikate anfordern, installieren oder zuweisen, klicken Sie auf Erneut ausführen.

   c. Klicken Sie auf der Seite Verfügbare Zertifikatsaufgaben auf Zertifikat aus einer P7B-, PFX- oder CER-Datei importieren.

   d. Geben Sie auf der Seite Zertifikat importieren den vollständigen Pfad und Dateinamen des Zertifikats an, das Sie im vorhergehenden Abschnitt erhalten haben (oder klicken Sie auf Durchsuchen, um nach der Datei zu suchen und sie auszuwählen). Wenn Ihr Zertifikat einen privaten Schlüssel enthält, stellen Sie sicher, dass Sie Zertifikatdatei enthält den privaten Schlüssel des Zertifikats auswählen und das Kennwort für den privaten Schlüssel eingeben. Geben Sie das Kennwort für den privaten Schlüssel ein und klicken Sie auf Weiter, wenn Sie fertig sind.

   E. Überprüfen Sie auf der Seite Zertifikatzusammenfassung importieren die zusammenfassenden Informationen und klicken Sie auf Weiter.

   F. Auf der Seite Befehle ausführen können Sie das Ergebnis des Imports überprüfen, wenn er abgeschlossen ist, indem Sie auf Protokoll anzeigen klicken. Klicken Sie zum Abschließen des Zertifikatimports auf Fertig stellen.

   G. Wenn Sie über andere Edgeserver in einem Pool verfügen, müssen Sie auch die nächsten beiden Verfahren befolgen. Wenn es sich um einen eigenständigen Edgeserver handelt, sind Sie mit externen Zertifikaten fertig.

3. Exportieren des Zertifikats

   a. Stellen Sie sicher, dass Sie sich bei dem Edgeserver angemeldet haben, in den Sie das Zertifikat als lokaler Administrator importiert haben.

   b. Klicken Sie auf Start, Ausführen (oder öffnen Sie Suchen ), und geben Sie MMC ein.

   c. Klicken Sie in der MMC-Konsole auf Datei und dann auf Snap-In hinzufügen/entfernen.

   d. Klicken Sie im Feld Snap-In hinzufügen/entfernen auf Zertifikate und auf Hinzufügen.

   E. Wählen Sie im Snap-In-Dialogfeld Zertifikate die Option Computerkonto. Klicken Sie auf Weiter.

   F. Wählen Sie im Dialogfeld Computer auswählen die Option Lokaler Computer: (Computer, auf dem diese Konsole ausgeführt wird). Klicken Sie auf Fertig stellen. Klicken Sie auf OK, um die Konfiguration der MMC-Konsole abzuschließen.

   G. Doppelklicken Sie auf Zertifikate (Lokaler Computer), um die Zertifikatspeicher zu erweitern. Doppelklicken Sie auf Eigene Zertifikate und klicken Sie dann auf Zertifikate.

Hinweis

Möglicherweise sind Sie hier, und Im persönlichen Zertifikatspeicher für den lokalen Computer werden keine Zertifikate angezeigt. Sie müssen nicht suchen. Wenn der Schlüssel nicht vorhanden ist, war dem importierten Zertifikat kein privater Schlüssel zugeordnet. Probieren Sie die oben genannten Schritte zum Anfordern und Importieren noch einmal aus, und wenn Sie sicher sind, dass Sie alles richtig haben, wenden Sie sich an Ihren Zertifizierungsstellenadministrator oder -anbieter.

   H. Klicken Sie im persönlichen Zertifikatspeicher für den lokalen Computer mit der rechten Maustaste auf das Zertifikat, das Sie exportieren. Wählen Sie im resultierenden Menü Alle Aufgaben aus, und klicken Sie dann auf Exportieren.

   Ich. Klicken Sie im Zertifikatexport-Assistenten auf Weiter. Wählen Sie Ja, privaten Schlüssel exportieren aus. Klicken Sie auf Weiter.

Hinweis

Wenn ja, der private Schlüssel exportieren nicht verfügbar ist, wurde der private Schlüssel für dieses Zertifikat nicht für den Export markiert, bevor Sie ihn erhalten haben. Sie müssen das Zertifikat erneut beim Anbieter anfordern und den privaten Schlüssel auf Export einstellen, bevor Sie dieses Verfahren erfolgreich ausführen können.

   J. Wählen Sie im Dialogfeld „Format der zu exportierenden Datei“ die Option „Privater Informationsaustausch – PKCS#12 (.PFX)“ aus. Wählen Sie dann Folgendes aus:

    Ich. Beziehen Sie nach Möglichkeit alle Zertifikate in den Zertifizierungspfad ein.

    Ii. Exportieren Sie alle erweiterten Eigenschaften.

Hinweis

Wählen Sie NIE die Option Privaten Schlüssel nach erfolgreichem Export löschen aus. Dies bedeutet, dass Sie das Zertifikat und den privaten Schlüssel wieder auf diesen Edgeserver importieren müssen.

   K. Wenn Sie zum Schutz des privaten Schlüssels ein Kennwort zuordnen möchten, geben Sie ein Kennwort für den privaten Schlüssel ein. Geben Sie das Kennwort zur Bestätigung erneut ein und klicken Sie dann auf Weiter.

   L. Geben Sie einen Pfad und einen Dateinamen für das exportierte Zertifikat ein, wobei Sie die Dateierweiterung .pfx verwenden. Der Pfad muss entweder von den anderen Edgeservern im Pool zugänglich sein, oder Sie müssen die Datei über externe Medien (z. B. ein USB-Laufwerk) verschieben. Klicken Sie auf Weiter , wenn Sie Ihre Wahl getroffen haben.

   M. Überprüfen Sie die Zusammenfassung im Dialogfeld Fertigstellen des Zertifikatexport-Assistenten und klicken Sie dann auf Fertig stellen.

   N. Klicken Sie im Dialogfeld „Export erfolgreich“ auf OK.

   O. Sie müssen nun zum Abschnitt Importieren des Zertifikats zurückkehren und das Zertifikat auf alle verbleibenden Edgeserver importieren und dann mit der Zuweisung unten fortfahren.

4. Zuweisen des Zertifikats

   a. Auf JEDEM Edgeserver im Bereitstellungs-Assistenten neben Schritt 3. Zertifikate anfordern, installieren oder zuweisen, klicken Sie erneut auf Ausführen.

   b. Klicken Sie auf der Seite Verfügbare Zertifikataufgaben auf Vorhandenes Zertifikat zuweisen.

   c. Wählen Sie auf der Seite Zertifikatzuweisung in der Liste Edge Extern aus.

   d. Wählen Sie auf der Seite Zertifikatspeicher das Zertifikat aus, das Sie für den externen Edge importiert haben (aus dem vorherigen Abschnitt).

   E. Überprüfen Sie auf der Seite Zusammenfassung der Zertifikatzuweisung die Einstellungen und klicken Sie dann auf Weiter, um das Zertifikat zuzuweisen.

   F. Klicken Sie auf der Seite zum Abschließen des Assistenten auf Fertig stellen.

   G. Nachdem Sie dieses Verfahren abgeschlossen haben, empfiehlt es sich, das MMC-Snap-In Zertifikate auf jedem Server zu öffnen, Zertifikate (lokaler Computer) zu erweitern, Persönlich zu erweitern, auf Zertifikate zu klicken und zu bestätigen, dass das interne Edgezertifikat im Detailbereich aufgeführt ist.

Hinweis

Sie müssen außerdem die Zertifikate für die Reverseproxyserver eingerichtet haben.

Starten der Edgeserver

Nach Abschluss des Setups müssen Sie die Dienste auf jedem Edgeserver in Ihrer Bereitstellung starten:

  1. Klicken Sie auf jedem Edgeserver im Bereitstellungs-Assistenten neben Schritt 4: Dienste starten auf Ausführen.

  2. Überprüfen Sie auf der Seite Start Skype for Business Server Dienste die Liste der Dienste, und klicken Sie dann auf Weiter, um die Dienste zu starten.

  3. Klicken Sie nach dem Starten der Dienste auf Fertig stellen, um den Assistenten zu schließen.

  4. (Optional) Klicken Sie unter Schritt 4: Dienste starten auf Dienststatus.

  5. Vergewissern Sie sich im MMC Dienste auf jedem Server, dass alle Skype for Business Server Dienste ausgeführt werden.