Lync Server外部访问系列PART5：模拟公网DNS

因为要实现外部用户访问，所以我们必然需要在公网DNS中添加我们所需要的一些A记录，而这样的测试需要我们拥有一个公网的域名以及一个可发布、可访问的IP。如果没有的话就没办法这样测试，所以我们今天在物理局域网中搭建一台DNS服务器，来模拟公网。为什么可以在局域网模拟公网环境呢？因为我们的Lync Server网络是虚拟交换机组成的，全部都是虚拟的网络，只有我们TMG的WAN网卡是外部网卡，允许其访问我们的物理路由器、Internet网络。并且我们物理局域网中的实体机也是通过TMG来连接到Lync Server网络，也就是我们的局域网是无法直接访问Lync Server的。下面我们就在物理局域网中搭建一台DNS服务器，简单的系统配置就不说了，我们只看重点。首先我们打开该服务器的本地连接属性，把所有协议都取消，只留下INTERNET协议版本4。

为其配置IP地址为192.168.0.2，这与我们TMG外部网卡上的DNS是相同的。

为DNS服务器的计算机名称设置一个便于识别的名称。

通过服务器管理器，添加角色向导来添加DNS服务器角色。

完成DNS服务器的安装。

完成之后打开DNS管理器，右键DNS服务器选择新建区域。

打开新建区域向导，单击下一步开始配置区域。

区域类型选择主要区域。

区域名称就写我们Lync Server的域名。

在区域文件界面选择创建新闻界，文件名保持默认即可。

在动态更新界面，选择不允许动态更新。因为我们不需要动态更新，只需要添加几条静态的记录。

完成区域创建。

然后我们打开正向查找区域-contoso.com，然后在右侧添加我们所需要的记录。在内容窗格中空白处右键-新建主机。

我们来创建以下几个A记录，sip、meet、dialin、rp、tmg这五个名称的记录，全部对应的IP都是192.168.0.254即我们的TMG外网卡IP地址。

创建完成后我们再右键-其他新记录，来创建一条SRV记录。实际的公网域名提供商很少有提供SRV记录的，国内已知的有花生壳。在生产环境中如果一定要添加SRV记录，如果域名服务商不支持SRV记录，可以自建DNS服务器，找域名服务商取回DNS域名解析托管服务，发布到公网。

需要注意的是这里的SRV记录配置与我们在内网中的配置不一样，服务是_sip，协议是_tls，端口号443，提供服务的主机是sip.contoso.com。

 
创建完成后，我们在物理局域网中的客户端将其DNS配置为192.168.0.2。然后我们来测试下，还是打开命令提示符，输入nslookup，然后输入set type=srv，然后输入_sip._tls.contoso.com，我们来看下结果。

我们可以看到我们通过192.168.0.2已经成功通过查找sip服务，已经找到了sip.contoso.com，以及443端口。然后我们输入exit退出nslookup，然后输入ping sip.contoso.com来查看下是否能够找到sip.contoso.com主机。如果正确的话会得到sip.contoso.com对应的IP地址以及请求超时的结果，这是正常现象。

好了外网DNS模拟就到这里，如果这时我们在物理局域网中想直接使用该DNS来查找互联网中的域名系统，我们可以直接在该DNS上设置转发器。我们在DNS管理器中右键DNS服务器，选择“属性”。

然后在“转发器”选项卡中单击“编辑”。

我们来添加几个外部DNS服务器，比如8.8.8.8、四川电信202.98.96.68等等。

单击确定保存设置。

好了，然后我们回到TMG上面，然后查看我们之前创建的反向代理属性-“公共名称”-“测试规则”按钮。稍等片刻，如果配置正确的话会出现测试成功运行完成的结果，如下图。

在此之后，我们可以进一步的来进行外网测试，在物理局域网中的客户端上打开浏览器，在“地址”栏中打开https://sip.Gianthard.com/abs，如果正常的话要求我们输入凭据。因为默认情况下将通讯簿服务器文件夹的目录安全性配置为 Windows 身份验证。然后输入请键入类似下面的 URL：https://meet.contoso.com/，此 URL 应会显示无效会议页面，我们可以查看一下证书是不是颁发给我们的Lync边缘访问。

到此我们的外部访问部署就已经完成了，包括整个边缘服务器的部署、TMG发布、反向代理、模拟外部DNS，以实现整个的外部访问，并且由于我们的DNS添加了SRV记录，所以我们能够在物理局域网中进行自动配置登录。我们整个过程的部署思路和步骤都非常清晰，所以部署起来并不难。此时此刻我们单单是启用Lync用户，还不能在物理局域网中登录，因为我们还需要配置外部访问。下一篇我们来看看外部访问配置和测试。今天就先到这里，各位朋友有什么问题欢迎回复文章或短消息与我交流，讨论。

 本文转自 reinxu 51CTO博客，原文链接：http://blog.51cto.com/reinember/830095，如需转载请自行联系原作者