结合最近在上海帮同事解决一个项目上的问题来给大家分享以下Skype for Business Server部署过程中准备AD部分的Troubleshooting
大家都知道Skype for business 服务器与 Active Directory 域服务 (AD DS) 紧密集成。 第一次安装 Skype for Business 服务器之前, 必须准备 Active Directory。 名为 "准备 Active directory " 的部署向导部分准备了用于 Skype For business 服务器的 Active directory 环境。
在做准备AD这部分操作的时候所用操作帐户的权限比较高,需要同时满足以下权限要求:
企业管理员
域管理员
架构管理员
有了以上所有权限的帐户就可以来进行准备AD的操作,在做完这部分操作后,我们的部署账号就不需要有这么多权限了,不然这是一件非常危险的事情,这个账号相当拥有最高权限,所以建议在做完准备AD操作后将以上三个权限从操作帐户上拿掉,并按需分配给操作帐户CSAdministrator权限。
以上是标准的单林单域架构,那么多林呢?父子域呢?这个时候就需要跟客户确定在哪些林或域里面部署Skype for Business Server了。
而我今天要分享的这个案例是在有根域,子域,孙域的环境中的准备AD Troubleshooting
先看下准备AD具体有什么步骤:
其实只有3个步骤需要完成:
准备架构
准备林
准备域
通过扩展AD架构用来支持Skype for Business Server的部署,操作比较简单,这一步需要在根域中扩展,扩展完成后可以通过ADSI去检查扩展是否完成。
打开ADSI编辑器,点击连接,选择连接到架构,找到CN=msRTCSIP-SchemaVersion 对象,右键选择属性,查看rangeUpper 属性的值为 1150, 并且 rangeLower 属性的值为 3, 则该架构已成功更新和复制
在完成这一步之后,需要等待整个AD进行复制,然后进行第二步操作准备林,这时候在准备的过程中就出现故障了,如下:
查看部署日志,直接是参数错误00000057
我的第一反应是AD没有完成同步,毕竟有三个域是根域,子域,孙域的架构,同时AD站点接近30个,所以等待周末两天让AD自动同步,周一开始继续去操作准备林,怎么样也应该成功了吧,这时候还是报错:
都过了一个周末了(注意看下时间已经是2019.07.02)准备林还是报错,然后检查了AD复制:
最害怕的事情还是发生了,AD复制存在故障,问了客户说根域中有两台服务器曾经意外关机并无法启动,然后就把机器关了,重新做了两台域控起来(总共4台根域控制器),这个操作我佩服得不行不行的,后面好不容易解决了AD复制同步的问题,然后手动同步了一次,接下来继续回到部署向导进行林的准备,不过又有新的报错:
查看部署日志发现已经开始创建了各种Skype for Business Server通用组但是还是在中间一步出现错误:未将对象引用设置到对象的实例:
再一次检查了AD,看到了新的报错(文末有吐槽AD架构的):
按理说前面已经解决了AD复制同步的问题,不会出现这种错误,怎么现在同步又出现故障了呢?我决定看下在Skype for Business Server部署向导里面准备林的时候到底是连到哪一台域控制器的:
是不是感觉很诡异????准备林的时候看起来同时连到了3台域控制器,然后我又问了客户这些IP地址是什么情况,客户回答:一台域控制器配了两个IP!这个操作我真的是醉了~~~
然后我尝试用命令行来准备林:
通过Skype for Business Server PowerShell使用Enable-CsAdForest来准备林还是一样的报错,所以PowerShell也是上面的连接方法!
接下来我就通过PowerShell来指定准备的林和域控制器地址:
可以看到通过指定林及AD控制器可以顺利完成林的准备,命令参数分享:
-GlobalCatalog 全局编录服务器FQDN
-GlobalSettingsDomainController 存储全局设置的域控制器的FQDN
-GroupDomain 创建新通用安全组的域的FQDN
-GroupDomainController 存储通用组信息的域控制器的FQDN
基于客户的AD架构我在重复以上步骤4次,每次应用到其他的服务器上。这4台AD服务器在不同的站点,设置有桥头服务器,这样的AD架构我真的是佩服的不行不行得!!!每个站点之间都有专线,还搞桥头服务器,所有服务器从当前站点的桥头服务器同步,那桥头服务器挂掉是不是整个AD站点就全部挂掉了???
准备林完成后随意打开一台AD服务器,只需要查看Users OU中有没有CS和RTC开头的通用组就行,存在就说明林的准备已经完成。
准备域也是相当简单的,准备好域之后也可以进行验证,验证方法如下:
返回 LC_DOMAIN_SETTINGS_STATE_READY 的值就说明域准备也完成。
完成架构扩展,林准备,域准备之后整个准备AD过程就完成了!
所以,从上面的整个过程来看,项目前期的沟通多么重要,充分了解客户AD架构多么重要,这些都会直接导致工作量噌噌噌往上长,同时在复杂的AD架构中也要规划好Skype for Business Server的各种首要访问URL,这个留到以后有机会再跟大家分享!