Процесс установки достаточно прост, т.к. основную часть информации мы указали на этапе формирования топологии.

После запуска Deployment Wizard, нас будет интересовать раздел Install or Update Skype for Business Server System

Процедура установки будет разбита на 4-ре этапа:

Шаг 1. Установка SQL Express

1) Устанавливаются экземпляры SQL (RTCLOCAL и LYNCLOCAL)
У нас уже был установлен первый экземпляр, и будет создано ещё 2шт.
Первый экземпляр был установлен при подготовке Standard Edition Server. Экземпляр называется RTC. И в этом экземпляре хранится БД с Топологией.
База данных с топологией называется XDS.
В конфигурации SfB и в документации эта же БД называется Central Management Store

Архитектура SfB устроена таким образом, что у нас есть оригинальная, или Master DB c топологией (XDS master). И каждый сервер, который мы устанавливаем, создаёт себе реплику этой БД. Создаётся экземпляр RTCLOCAL, и в нём БД XDS REPLICA и работает впоследствии с этой репликой.
Когда мы вносим изменения в топологию, - изменения вносятся в Master DB(XDS master), и впоследствии реплицируются между всеми репликами, т.е. на каждый сервер SfB.

Даже когда мы ставим лишь один SfB Standard Edition Server, всё равно на нём хранится:
- экземпляр RTС, с БД XDS master, c топологией
- На нем же создаётся экземпляр RTCLOCAL, где хранится БД: XDS REPLICA. И работает впоследствии с этой репликой.

2) Создаётся копия базы с топологией XDS
Итак, на этом шаге SfB Server выгружает всю БД XDS master, и заполняет реплику XDS REPLICA в экземпляре RTCLOCAL.

3) После этого настраивается синхронизация между этими БД: XDS master и XDS REPLICA.

4) Кроме этого устанавливаются две службы:
- Skype Server Replica Replicator Agent
- Skype Server Cetralized Logging Server

Кроме реплики топологии, в экземпляре RTCLOCAL хранятся также дополнительные БД.
Например информация по контакт-листам пользователей, Presence Status

Также Создаётся третий экземпляр - LYNCLOCAL.
В Экземпляре LYNCLOCAL будет создана единственная БД с именем LYSS
Эта БД используется в Enterprise pool, но всё равно создаётся для Standard Edition Server, поскольку некоторый функционал завязан на эту БД.

Итак, вернемся к Deployment Wizard, и выполняем первый шаг:

Далее выбираем пункт, что мы забираем данные из БД XDS master (Central Management Store)
Второй пункт сделан для ситуаций, когда разворачиваются пограничные сервера, которые не могу забрать топологию напрямую, а только из бэкапа.

Начинается установка SQL Express, которая будет продолжаться порядка 5-6 минут.

После установки в логах должно быть всё зелено:

Если копия топологии создалась без проблем - можем переходить ко второму этапу.

Шаг 2. Установка компонентов Skype For Business Server

1) Мастер установки смотрит в топологии, какие компоненты должны быть установлены на данном сервере (службы, настройки)
2) Мастер установки производит установку Skype For Business Server 2019 в соответствии с топологией.
3) Мастер установки устанавливает необходимые службы.

При изменении в Topologu Builder, зачастую требуется повторный запуск Шага2.
Т.е. Мастер зайдёт в топологию, увидит изменения, и удалит или добавит какие-то сервисы.
Информация об необходимости проходить шаг N2 отображается в ToDO List, после того, как мы опубликуем топологию.

Если сейчас (до выполнения шага 2) открыть оснастку с сервисами, мы там не найдём сервисов с именем Skype for Business.

Вернемся к Deployment Wizard:

Мастер извлечет всю необходимую информацию из топологии. Поймет, какие службы и компоненты должны стоять на данном сервере, и установит все необходимые сервисы.

В конце всё также должно быть зелёным:

После данного шага, в оснастке Services появятся более 10 ещё незапущенных сервисов:

Запускать эти сервисы смысла нет никакого, т.к. часть из них не заработает, поскольку отсутствуют сертификаты.

Шаг 3. Сертификаты

1. SfB Server не работает без сертификатов, и его сервисы не запустятся до того как мы получим и привяжем сертификаты.
2. SfB Server критически завязан на сертификаты и использует их для:
   • TLS соединения между сервером и клиентом (как внутренним, так и внешним)
   • Mutual TLS соединения между серверами (своими и партнёров)
3. Сертификаты должны быть выданы доверенным Центром Сертификации
4. Сертификаты должны поддерживать серверную авторизацию
5. Список отозванных сертификатов должен быть доступен (CRL через CDP)
6. Алгоритм хеширования SHA-2
7. Длина ключа 1024, 2048, 4096
8. Алгоритмы цифровой подписи RSA, ECDH_P256, ECDH_P384, ECDH_P521

SfB Sever и сертификаты

SfB Sever требует два сертификата.

1. Сертификат открытой авторизации: OAuthTokenIssuer. В имени сертификата должно присутствовать только имя нашего SIP-domain:
   ciscomaster.ru
   Сертификат используется для аутентификации и авторизации взаимодействий между серверами. Не только серверами SfB, но и с серверами других продуктов MS.
   На открытой авторизации завязаны функциональные возможности: Интеграция с Exchange Server, Интеграция с SharePoint Server. У сертификата есть особенность: он запрашивается на первом сервере, и сохраняется в Central Management Store (БД топологии). После этого он реплицируется на все сервера SfB, поэтому при установке дополнительного сервера не надо будет отдельно ставить сертификат - он установится автоматически.
2. Сертификат по-умолчанию
   Используется для шифрований коммуникаций с внутренними клиентами. В этом сертификате будет достаточно много имён.
   - test-srv-std1.ciscomaster.ru - FQDN нашего сервера SfB Standard Edition Server. Основное имя сертификата
   - webext.ciscomaster.ru - имя Web-сервисов внешних, которые были указаны в топологии.
   Simple URLS:
   - meet.ciscomaster.ru - Meeting URLs
   - dialin.ciscomaster.ru - Phone access URLs
   - admin.ciscomaster.ru - Administrative Access (Если указывали)

   - sip.ciscomaster.ru
   - lyncdiscover.ciscomaster.ru
   - lyncdiscoverinternal.ciscomaster.ru

Зачем нужны все эти имена во внутреннем сертификате:
- Внутренние клиенты будут обращаться к Web сервисам, а также к meet.ciscomaster.ru, dialin.ciscomaster.ru. И по этим именам будут попадать на наш SfB Standard Edition Server. Поэтому эти имена должны быть в сертификате.
- lyncdiscover.ciscomaster.ru и lyncdiscoverinternal.ciscomaster.ru - используются для автообнаружения мобильными клиентами, так и клиентами, начиная от Lync 2013. Записи ведут на Frontend и на Reverse Proxy, и в сертификат они добавляются.

Вернёмся к мастеру установки:

Как видно, у нас есть два сертификата:
- Сертификат по-умолчанию
- Сертификат открытой авторизации

Для начала запросим Сертификат открытой авторизации:
Запрашивать сертификат будет у внутреннего CA:

В данном сертификате только одно имя, совпадающее с SIP доменом.

Получаем сертификат, и сразу же этот сертификат привязываем:

Далее нам нужен ещё один сертификат:

Как видно, все необходимые имена там уже автоматом прописаны.

Аналогично также это сертификат привязываем.

Запуск сервисов SfB Server

После выпуска сертификатов и их привязки их к службам, можно будет запустить службы

Поскольку службы завязаны между собой, существует правильный метод их запуска через команду:

Start-CsPool -PoolFqdn test-srv-std1.ciscomaster.ru

- Запускаем Windows Powershell

Далее будут запущены все службы, с учетом их зависимостей:

Если службы запустились - это хороший знак, т.е. скорее всего мы всё сделали правильно.
Но до того, как отдавать сервер в эксплуатацию, нужно поставить все обновления.

Установка обновлений сервера (CU)

CU - Cumulative Update.
Нам нужно скачать последний кумулятивный пакет
Я его нашел как Skype for Business Server 2019 Cumulative Update.

Пакет скачивается одним файлом и называется SkypeServerUpdateInstaller.exe
Для обновления придётся остановить все службы. Далее перезагрузиться и заново всё запустить.
Следует внимательно читать описание CU, т.к. там могут быть нюансы, могут потребоваться дополнительные действия после установки.
Но для SfB Standard Edition Server достаточно запустить и ребутнуться.

Если обновление запустить при запущенных сервисах:

Для остановки сервисов используем команду:

Stop-CsWindowsService

После остановки сервисов повторим запуск обновления.

Ребут всего сервера.

После запуска службы SfB находятся в состоянии отложенного старта. Т.е. стартуют с определенной задержкой.
Запустить их сразу можно той же командой.

Проверка установленнго обновления:

Get-CsServerPatchVersion
Get-CsServerVersion