在 Lync Server 2013 中设置 XMPP 联盟
上次修改的主题: 2012-12-03
若要在边缘服务器上部署 XMPP 代理,必须为 XMPP 联合配置 Edge Server。 为此,请执行以下步骤。
设置 XMPP 联合身份验证
登录到将 Lync Server 部署向导安装为域管理员组和 RTCUniversalServerAdmins 组成员的计算机。
在前端服务器上,打开 Lync Server 部署向导。 单击“安装”或“更新 Lync Server 系统”,然后单击“设置”或“删除 Lync Server 组件”。 单击“再次运行”。
在“设置 Lync Server”组件中,单击“下一步”。 摘要屏幕将在执行操作时显示操作。 部署完成后,单击“查看日志”以查看可用的日志文件。 单击“完成”以完成部署。
在 Edge 服务器上,打开 Lync Server 部署向导。 单击“安装”或“更新 Lync Server 系统”,然后单击“设置”或“删除 Lync Server 组件”。 单击“再次运行”。
在“设置 Lync Server”组件中,单击“下一步”。 摘要屏幕将在执行操作时显示操作。 部署完成后,单击“查看日志”以查看可用的日志文件。 单击“完成”以完成部署。
在边缘服务器上的“部署向导”中,在“步骤 3:请求、安装或分配证书”旁边的“再次运行”。
提示
如果是首次部署 Edge Server,则会看到“运行”而不是“再次运行”。
在“可用的证书任务”页上,单击“创建新的证书请求”。
在“证书请求”页上,单击“外部边缘证书”。
在“延迟”或“立即请求”页上,立即选择“准备请求”,但稍后会发送复选框。
在“证书请求文件”页上,键入要将请求保存到的文件的完整路径和文件名 (例如 c:\cert_exernal_edge.cer) 。
在“指定备用证书模板”页上,若要使用默认 WebServer 模板以外的模板,请选中所选证书颁发机构复选框的“使用备用证书模板”。
在“名称和安全设置”页上,执行以下操作:
在友好名称中,键入证书的显示名称
在位长度中,通常指定位长度 (,默认值为 2048)
验证是否选中了“标记证书私钥作为可导出”复选框
在“组织信息”页上,键入组织名称和组织单位 (,例如部门或部门)
在“地理信息”页上,指定位置信息
在“使用者名称/使用者备用名称”页上,将显示向导自动填充的信息。 如果需要其他使用者替代名称,请在接下来的两个步骤中指定它们
在“使用者备用名称的 SIP 域设置 (SAN) 页上,选中要添加 sip 的域复选框。<使用者可选名称列表的 sipdomain> 条目。
在“配置其他使用者备用名称”页上,指定所需的任何其他使用者替代名称
提示
如果安装了 XMPP 代理,则默认情况下会在 SAN 条目中填充域名 ((例如 contoso.com) )。 如果需要更多条目,请在此步骤中添加它们。
在“请求摘要”页上,查看用于生成请求的证书信息。
命令完成运行后,可以查看日志,或单击“下一步”继续。
在“证书请求文件”页上,可以通过单击“查看”或单击“完成”来查看生成的证书签名请求 (CSR) 文件。
复制请求文件并提交到公共证书颁发机构。
接收、导入和分配公共证书后,必须停止并重启 Edge Server 服务。 通过在 Lync Server 管理控制台中键入来执行此操作:
Stop-CsWindowsServiceStart-CsWindowsService若要为 XMPP 联合身份验证配置 DNS,请将以下 SRV 记录添加到外部 DNS:_xmpp-server._tcp。<域名> SRV 记录将解析为边缘服务器的访问边缘 FQDN,端口值为 5269。 此外,还配置“A”主机记录 (例如,xmpp.contoso.com) 指向 Access Edge Server 的 IP 地址。
重要
如果在多个站点中有 Edge 池,建议为 XMPP 联合添加多个 SRV 记录。 为组织中的每个 Edge 池添加 SRV 记录,并为每个 SRV 记录提供不同的优先级。 当所有 Edge 池都在运行时,XMPP 请求将全部由优先级为 Edge 池处理,但如果该 Edge 池关闭,则无需添加新的 SRV 记录即可重新获得 XMPP 联合身份验证功能。
通过在前端打开 Lync Server Management Shell 并键入,配置新的外部访问策略以启用所有用户:
New-CsExternalAccessPolicy -Identity <name of policy to create. If site scope, prepend with 'site:'> -EnableFederationAcces $true -EnablePublicCloudAccess $trueNew-CsExternalAccessPolicy -Identity FedPic -EnableFederationAcces $true -EnablePublicCloudAccess $trueGet-CsUser | Grant-CsExternalAccessPolicy -PolicyName FedPic通过键入以下内容为外部用户启用 XMPP 访问:
Set-CsExternalAccessPolicy -Identity <name of the policy being used> EnableXmppAccess $trueSet-CsExternalAccessPolicy -Identity FedPic -EnableXmppAccess $true在部署 XMPP 代理的边缘服务器上,打开命令提示符或Windows PowerShell ™命令行接口,然后键入以下内容:
Netstat -ano | findstr 5269Netstat -ano | findstr 23456命令 netstat –ano 是一个网络统计信息命令,即 netstat 显示所有连接和侦听端口、地址和端口的参数 –ano 请求以数值形式显示,并且拥有进程 ID 与每个连接相关联。 该字符 | 定义下一个命令、 findtr 或 find 字符串的管道。 作为参数传递给 findstr 的数字 5269 和 23456 指示 findstr 搜索字符串 5269 和 23456 的 netstat 输出。 如果正确配置了 XMPP,则命令的结果应会在外部 (端口 5269) 和边缘服务器的内部 (端口 23456) 接口上进行侦听和建立连接。
如果命令未返回 5269 和 23456 上的已建立或侦听端口,请检查以下内容:
排查 XMPP 联合身份验证问题
若要确定 XMPP 代理是否正在运行,请执行以下操作:
以本地管理员组的成员身份登录到运行 XMPP 代理服务的边缘服务器。
单击 “开始”,单击 “所有程序”,单击 “管理工具”,单击 “服务”
在服务中,找到 Lync Server XMPP 转换网关代理。 服务应处于 “已启动” 状态。 如果尚未启动,请单击工具栏中的 “开始” 图标。 该图标显示为绿色的向右箭头。
确认服务已更改为 “已启动”。 如果成功启动,请关闭 服务 并继续。
如果服务器服务尚未成功启动,请从管理工具打开事件查看器,并引用“应用程序和服务日志”下 Lync Server 部分中的错误和警告。
Lync Server XMPP 翻译网关服务运行后,重新检查以前使用的 netstat 命令。 如果未看到已建立或正在侦听的会话,请检查并确保在拓扑生成器中正确配置 XMPP 联合路由
以 Domain Admins 组和 RTCUniversalServerAdmins 组成员的身份登录安装了拓扑生成器的计算机。
启动拓扑生成器:单击 “开始”,单击 “所有程序”,单击 Microsoft Lync Server 2013,然后单击 Lync Server 拓扑生成器。
在拓扑生成器中,选择 XMPP 联合路由的站点并查看以确认 XMPP 联合身份验证的站点联合路由分配将边缘服务器或边缘池显示为选定的 XMPP 联合路由分配。
如果路由分配不正确或未设置,请右键单击该网站,单击 “编辑属性”。 选中 XMPP 联合身份验证复选框,然后选择正确的 Edge Server 或 Edge 池。
发布拓扑。 有关详细信息,请参阅 Lync Server 2013 中的发布拓扑
提示
虽然不需要并且通常不需要,但你可能会发现需要重启边缘服务器
使用之前使用的 netstat 进程,确认边缘服务器正在侦听或已在端口 5269 和端口 23456 上建立会话。
如果仍然看不到预期的会话,请检查事件查看器,了解通信问题的可能原因。