Введение

В крупных компаниях с территориально распределённой структурой её объектов уже является необходимостью иметь какую-либо систему групповых звонков с поддержкой видео, что позволяет сократить немалые транспортные расходы и затраты по времени. Но не каждый продукт подойдёт под требования предприятия в виду наличия различных ограничений. Основное – это наличие интернета не у всех сотрудников, а значит Google Hangouts, Mozilla Hello, Skype не приемлемы в нашем случае, а OpenMeetings хоть и подходит для корпоративного сектора, все же не стоит в сравнении с богатым функционалом MS Lync 2013 [ http://www.asa-it.ru/uploads/media/Lync.pdf, http://es.slideshare.net/cbwTest/microsoft-lync-30886277 ].  

На нашем предприятии в центральном офисе уже внедрён программный продукт MS Lync 2013, с помощью которого регулярно проводятся видеоконференции, обучение, консультации, передача файлов, обмен сообщениями с некоторыми филиалами. Таким типом работ озадачили и региональное представительство. Основными преимуществами внедрения ВКС в регионе являются сокращение транспортных расходов и времени, а использование мобильных устройств позволяет участвовать в видеоразговоре даже за пределами компании. При интеграции MS Lync с имеющейся в организации традиционной АТС появляется возможность задействовать обычные аналоговые телефоны одновременно с программной частью.

Тут вытекает основная проблема – 2 сервера Lync не могут существовать в одном лесу Active Directory. Решением стало развернуть отдельный (ресурсный) лес для регионального сервера Lync, а для удобного подключения к разным серверам Lync без перелогинивания в операционной системе - использовать дополнительно утилиту Profiles for Lync [ https://gallery.technet.microsoft.com/office/Profiles-For-Lync-2013-1b193329 ]. Вторая появившаяся проблема - это добавление существующих пользователей основного домена в новый. Выходом является применение утилиты ADMT (Active Directory Migration Tool) [ https://khlebalin.wordpress.com/2012/07/12/миграция-домена-windows-2008r2/, https://technet.microsoft.com/en-us/library/cc974332%28v=ws.10%29.aspx, https://welcometoviktorp.wordpress.com/2012/10/12/migration_ad01/ ] или создание их вручную. К дополнению к этому, есть ещё одна небольшая проблема – некоторые настройки сервера происходят с помощью командлетов PowerShell, то есть системному администратору, который с ним не работал, понадобится потратить время на понимание принципов и приобретение навыков работы в командной строке.

 

Подготовительные действия

Для создания ВКС внутри компании достаточно иметь только 2 сервера – контроллер домена и Lync-сервер. В первую очередь необходимо развернуть новый контроллер домена, в котором установить роли DNS (Domain Name Services), ADDS (Active Directory Domain Services), CA (Certificate Authority), создать нужные DNS-записи и настроить зоны. Затем в ADDS завести пользователей и в обязательном порядке указать им почтовый ящик и желательно ещё и номер кабинета, номер телефона, название организации – это будет отражено в личной карте клиента. После этого происходит развёртывание сервера Lync, а именно: настройка топологии, базы данных MS SQL Server, входящих в него компонентов, хранилища и сертификатов. Требования и процесс развертывания сервера Lync 2013 подробно описаны в [ http://windowspbx.blogspot.nl/2012/07/step-by-step-installing-lync-server.html , https://welcometoviktorp.wordpress.com/2013/03/26/разворачиваем-lync-2013-установка-lync-front-end-5/ ].  

 

Сертификаты

Подключение клиентов Lync к серверу основано на сертификатах [ https://technet.microsoft.com/ru-ru/library/gg398094%28v=ocs.15%29.aspx, https://technet.microsoft.com/ru-ru/library/gg398066(v=ocs.15).aspx ], поэтому так необходима была установка роли CA. Чтобы автоматизировать процесс распространения сертификата на компьютеры пользователей, будем использовать групповые политики (GPO - Group Policy Object).

Итак, на контроллере домена запускаем консоль mmc с правами администратора, заходим в меню “File->Add or Remove Snap-ins->Certificates->Add->Computer account->Local computer->Ok” (в русской версии это “Файл->Добавить или удалить оснастку->Сертификаты->кн. Добавить->учётная запись компьютера->Локальный компьютер->Готово”). В дереве переходим на ветку “Trusted Root Certification Authorities” (“Доверенные корневые центры сертификации”) и находим наш сертификат B-DC03-CA (см. рис. 1), экспортируем его в удобное место.

Рисунок 1. Доверенный сертификат компьютера.

Далее открываем консоль “Управление групповой политикой”, создаём объект для нужного контейнера (в моём случае это весь основной домен), заходим в редактор политик и проходим путь “Конфигурация компьютера->Политики->Конфигурация Windows->Параметры безопасности->Политики открытого ключа->Доверенные корневые центры сертификации”, в контекстном меню выбираем пункт Импорт и вписываем путь к сохранённому файлу с расширением *.cer (см. рис. 2).

Рисунок 2. Создание групповой политики.

 

Продолжение следует...