Office Communications Server
Protezione OCS con ISA Server
Alan Maddison
In un riepilogo delle:
- Ruoli OCS 2007 R2 Edge Server e le topologie
- Configurazione di ISA Server in una rete perimetrale 3 coda
- Informazioni sui requisiti di certificato OCS
- Creazione di un listener Web e un proxy inverso per OCS
Contenuto
Lato server
Preparazione
Configurazione di ISA Server 2006
Un Word su certificati
Invertire proxy
Ultima parola
Office Communications Server (OCS) 2007 R2 fornisce potenti funzionalità che consentono di estendere l'infrastruttura di Unified Communications per gli utenti all'esterno di organizzazione. Questo può avere i vantaggi di notevole. Funzionalità quali Web e audio/video (A/V) conferenza, ad esempio, possibile migliorare capacità di risposta e l'efficacia relativo giornaliera attività di business dell'organizzazione.
Se si desidera distribuire funzionalità OCS a utenti remoti e partner, tuttavia, è necessario completare due passaggi importanti. In primo luogo, sarà necessario distribuire i server di Edge OCS procedure ottimali definite nella Guida Office Communications Server 2007 R2 sulla sicurezza di. In secondo luogo, è necessario fornire l'accesso proxy inverso a server di Edge. In questo articolo verrà esaminiamo per proteggere la distribuzione OCS, utilizzare ISA Server 2006 con SP1.
Lato server
Per comunicare con altre infrastrutture OCS e per consentire l'accesso remoto alla rete dell'organizzazione, è necessario distribuire uno o più server Edge nella rete perimetrale (noto anche come DMZ) in modo che gli utenti all'esterno del firewall possono accedere protetto per la distribuzione OCS interno. OCS 2007 R2 include tre ruoli di server di Edge, riepilogati in figura 1 , che descrive inoltre funzionalità di proxy inverso.
| Figura 1 ruoli server Edge e proxy inverso per OCS 2007 |
| Ruolo | Scopo |
| Accesso Edge Server | Autenticato accesso utente esterno tra cui la connettività per messaggistica IMMEDIATA pubblica, federazione, le conferenze Web e funzionalità vocale. |
| Web Conferencing Edge Server | Esterno Web conferenze e dati collaborazione. |
| A/V Edge Server | Qualsiasi accesso utente esterno a/conferenze A/V e Point-to-Point A/V chiama. |
| Invertire proxy | Gruppo espansione, file di download della Rubrica, download di conferenza Web della riunione di contenuto. |
Prima del rilascio di R2 di Office Communications Server 2007, Microsoft supportato quattro topologie Edge diverse forniti vari livelli di sophistication e la scalabilità. In generale, le topologie differenziavano nella posizione dei diversi ruoli server Edge:
- Topologia di Edge consolidato
- Topologia di Edge singolo sito
- Topologia di Edge in scala singolo sito
- Più siti con una topologia di Edge sito remoto
Con il rilascio di R2, Microsoft richiedono ora che tutti i ruoli eseguiti sul server stesso con scalabilità fornito da sistemi di bilanciamento hardware del carico non supportato il bilanciamento del carico di rete, bilanciamento del carico di rete, componente o disponibile in Windows. Un topology di Edge consolidato è un approccio economico che ha l'ulteriore vantaggio di essere più semplice da distribuire e amministrare. Questa topologia funziona per tutte le organizzazioni e ai fini di questo articolo è possibile concentrarsi questa struttura.
Un aspetto importante da ricordare è che oltre a modifiche nel supporto di topologia OCS, sono stati alcuni le modifiche significative di topologie di rete e della tecnologie supportate da R2. Tuttavia, in R2 il/ruolo server Edge A/V deve contenere un indirizzo IP pubblico nella scheda di interfaccia di rete esterna (NIC) a causa del requisito del semplice traversal di UDP tramite protocollo NAT STUN sottostante specificato.
Anche se Microsoft è stato molto adamant su questo requisito, molti amministratori hanno ignorato la documentazione e hanno tentato di implementare i server di Edge OCS in un ambiente (Network Address Translation). Se si implementa un NAT davanti al server Edge A/V, gli utenti potrebbe problemi di connettività intermittenti e non anche potranno stabilire una connessione.
Un aspetto importante da ricordare è che di R2 Microsoft non supporta DNAT (destinazione rete indirizzo traduzione) in un ambiente OCS. Ciò significa che il firewall o un sistema di bilanciamento del carico deve essere configurato con origine NAT (SNAT) prima di introdurre R2 in ambiente. Infine, i server di Edge non devono essere membri di un dominio di Active Directory.
Se il server Edge non sono configurato correttamente, si verrà solo da creare più di un headache per manualmente quando ISA Server viene generata in combinazione. Esaminare, convalidare e verificare la configurazione di Edge prima di passare.
Nella figura 2 3-Leg distribuzione perimetro di Consolidated Edge Servers
Preparazione
Per distribuire la topologia di Edge OCS, È necessario concentrarsi su uno scenario di implementazione comune in cui distribuire un firewall, ISA Server in questo caso, è in una coda 3 rete perimetrale, un approccio semplice, economico che condivide principali concetti con le topologie di firewall più complesse. In questa progettazione segmenti tre corrispondono alla rete interna, della rete perimetrale e la rete Internet esterna. Questo approccio consente non solo accesso degli utenti esterni l'infrastruttura OCS, supporta inoltre l'utilizzo di ISA Server in un ruolo di proxy inverso.
Nella figura 2 viene illustrata una visualizzazione logica di un'implementazione di 3 coda ISA Server. Prima di iniziare a configurare ISA Server, è consigliabile avere già disporre l'indirizzo IP e mapping di completamente completo di dominio Name (FQDN) per i server Edge e ISA Server. In questo modo il processo di configurazione molto più semplice e veloce.
Nella figura 3 viene illustrato un esempio di un elenco di controllo appropriato. Si noti che è possibile avere utilizzato un intervallo di indirizzi IP privato per a scopo informativo scopo solo ma sarà necessario utilizzare indirizzi IP pubblici.
| Nella figura 3 esempio di configurazione |
| Ruolo | Nome di dominio completo | Indirizzo IP pubblico | SCHEDA DI RETE | Requisiti di porta utente esterno | Requisiti di porta utente interno |
| Accesso Edge Server | SIP.contoso.com | 172.16.0.2/29 | Esterno | 5061,443 | 5061 |
| A/V Edge Server | AV.contoso.com | 172.16.0.3/29 | Esterno | 443,347850,000 59,999 | 443, 506250,000 59,999 |
| Web Conferencing Edge Server | webconference.contoso.com | 172.16.0.4/29 | Esterno | 443 | 8057 |
Nella figura 4 Mostra l'indirizzo IP indirizzamento informazioni per il server ISA, inclusi l'indirizzo IP utilizzato per pubblicare il sito di contenuto Web e OCS Rubrica utilizzato dal server Web Conferencing proxy inverso.
In una distribuzione di Edge consolidato è disponibile in genere un singolo server fisico con due schede di rete, uno per il traffico interno e uno per il traffico esterno. La scheda di rete connesso alla rete azienda interna) avranno un indirizzo IP l'intervallo di indirizzi IP interno esistente. La scheda di rete che si connette a utenti remoti (esterno) utilizzerà almeno un indirizzo IP pubblico completamente indirizzabile per il/V Edge Server. Sebbene non sia strettamente necessario, risulta più semplice per anche assegnare indirizzi IP pubblici degli altri ruoli di Edge, come illustrato nella Figura 4 .
| Gli indirizzi IP server ISA nella figura 4 |
| Interfaccia ISA | Nome di dominio completo | Indirizzo IP |
| Esterno | N/D | 172.16.0.9/29 |
| Invertire proxy | ocscontent.contoso.com | 172.16.0.10/29 |
| Perimetro | N/D | 172.16.0.1/29 |
| Interno | N/D | 192.168.0.100/24 |
Sarà inoltre necessario creare le subnet univoche per il pubblico spazio di indirizzo IP. ISA Server dovrà due indirizzi IP su relativa interfaccia esterna (uno dei quali verrà utilizzato per il proxy inverso) e sarà necessario quattro indirizzi IP pubblici per la rete perimetrale (tre Access Edge Server di e uno per l'interfaccia del perimetro di ISA Server. Ad esempio, questa viene visualizzata nella Figura 3 come 29 bit subnet mask 255.255.255.248, che si forniscono sei indirizzi IP utilizzabili per subnet.
Se sono stati assegnati solo un numero ridotto di indirizzi IP pubblici, puoi utilizzare la conversione degli indirizzi di rete per Access Edge Server e i ruoli Web Conferencing Edge Server e di connettere il/V Edge Server direttamente a Internet. Tuttavia, questo approccio è un po'meno sicuro in quanto sono ignorando le funzionalità di controllo del pacchetto di ISA Server e richiederebbe una terza scheda di interfaccia di rete per il server Edge.
Configurazione di ISA Server 2006
Per configurare il perimetro di 3 coda, è necessario avviare la console di gestione di ISA Server e selezionare reti sotto il nodo di configurazione nel riquadro a sinistra, come illustrato nella Figura 5 . Successivamente, fare clic sulla scheda modelli nel riquadro a destra e selezionare il modello perimetrale 3-Leg per avviare il Network Template Wizard.
Questa procedura comporterà la cancellazione qualsiasi configurazione esistente e le regole, pertanto, si noti che se non si sta utilizzando un nuovo sistema, è necessario richiedere attenzione per esportare la configurazione, un'opzione offerte dalla procedura guidata nella seconda schermata. Fare clic su Avanti nella seconda schermata inizia il processo di configurazione con chiesto di specificare gli intervalli di indirizzi IP che definiscono la rete interna.
Nella figura 5 modello perimetrale 3-Leg selezione
Si sono numerose opzioni per aiutare a definire lo spazio indirizzo interno. Se l'organizzazione è piccolo, semplicemente aggiungendo la scheda di rete connessa alla rete aziendale è sufficiente. Organizzazioni di grandi dimensioni dovranno utilizzare le altre opzioni, ad esempio aggiungere intervalli di indirizzi IP per definire completamente loro spazio indirizzo interno.
Dopo avere immesso queste informazioni, scegliere Avanti per spostamento la schermata successiva per definire lo spazio indirizzo di rete perimetrale. È in genere sufficiente aggiungere l'adapter che sono disponibili dedicati alla rete perimetrale. Successivamente, è necessario selezionare un criterio firewall. Assicurarsi di scegliere i criteri firewall "Consenti l'accesso illimitato", quindi fare clic su Avanti per accedere ad la schermata di riepilogo in cui è possibile controllare la configurazione. Scegliere Fine per completare la procedura guidata e quindi, accettare tali modifiche, fare clic su Applica, quindi su OK.
A questo punto il perimetro di 3 coda base è funzionale ma necessarie alcune configurazioni aggiuntive per consentire il traffico di rete tra il server Edge OCS e gli utenti esterni. La prima cosa da notare è che la configurazione predefinita di un perimetrale 3 coda in ISA Server include il supporto per gli utenti VPN. Se questo tipo di accesso remoto non è necessario, rimuovere questo elemento.
Per pertanto, selezionare criteri firewall nel riquadro sinistro della console di gestione ISA e quindi fare clic con il pulsante destro del mouse sulla regola denominata dei client VPN per rete interna e selezionare Elimina. Per accettare le modifiche, scegliere Applica e quindi OK. Due regole rimarranno: la regola di accesso illimitato Internet e la regola predefinita.
Il passaggio successivo consiste nell'aggiungere gli oggetti computer che rappresentano i server di Edge. Selezionare i criteri firewall e quindi scegliere la scheda della casella degli strumenti, come illustrato nella Figura 6 .
Nella figura 6 le regole dei criteri firewall
Fare clic sul pulsante Nuovo, quindi scegliere computer dal menu a discesa. Aggiungere il nome del server Edge, ad esempio Access Edge e quindi immettere l'indirizzo IP per tale server. Ripetere questo passaggio per il/V bordo server e Web Conferencing Edge Server. Quando aver, viene visualizzata la tre computer elencato nel contenitore computer.
Il passaggio successivo consiste nell'aggiungere i protocolli utilizzati dai OCS alla configurazione di ISA Server. Sarà necessario aggiungere due nuovi protocolli, come illustrato nella Figura 7 .
| Figura 7 protocolli utilizzati da OCS |
| Nome protocollo | Tipo di protocollo | Direzione del protocollo | Intervallo di porte |
| MTLS (Mutual Transport Layer Security/Session Initiation Protocol (SIP) | TCP | In uscita | 5061 5061 |
| Traversal semplice di UDP attraverso NAT (STUN) | TCP | In uscita | 50.000 59,999 |
| UDP | Inviare | *50, 000-59,999 | |
| UDP | Inviare | 3478 3478 |
Nota l'asterisco nella Figura 7 . In OCS 2007 R2, è necessario solo se si utilizza il questo requisito porta/V funzionalità del OCS con un partner federato esegue Office Communications Server 2007. Gli utenti remoti non sarà necessario queste porte sia aperto.
È opportuno enfatizzare che è una protezione ottimale solo aprire le porte necessarie. Si consideri, ad esempio, A/V conferenze con un partner federato, è necessario UDP porte nell'intervallo di 50, 000–59, 999. Se non si dispone di un partner federato non è necessario aprire queste porte.
Nella console di gestione ISA Server i criteri firewall e la scheda della casella degli strumenti selezionata, fare clic su Protocolli, quindi su Nuovo e sul protocollo per avviare la nuova procedura guidata definizione di protocollo. Quando viene avviata la procedura guidata, immettere un nome per il protocollo, quindi fare clic su Avanti per Vai a finestra informazioni di connessione principale. In questa schermata fare clic su Nuovo e quindi aggiungere le informazioni per il protocollo MTLS/SIP, come illustrato nella Figura 7 .
Per completare l'aggiunta il protocollo, fare clic su OK e quindi il pulsante Avanti due volte; non necessario configurare qualsiasi dello schermo di connessioni dati. Ora scegliere Fine nella schermata di riepilogo e ripetere questi passaggi per il protocollo STUN. Assicurarsi di che applicare le modifiche a ISA Server dopo aver aggiungendo i protocolli.
Il protocollo PSOM (Persistent condivisa oggetto modello), un protocollo proprietario per il trasporto contenuto conferenza Web non è elencato nella Figura 7 . Questo è dovuto PSOM viene utilizzata del traffico tra Web Conferencing Server e il Web Conferencing Edge Server. Il traffico viene inviato nella scheda di rete interna del server Edge.
Dopo aver aggiunto i due protocolli precedenti da figura 7 , il passaggio successivo consiste nel creare le tre regole di accesso che consentirà agli utenti di connettersi al server di Edge da Internet. Ancora una volta, con le informazioni disponibili in modo queste operazioni di configurazione molto più semplice e meno soggetta a un errore. Nella figura 8 Mostra le informazioni è necessario creare tre regole di accesso esterno.
| Configurazione delle regole Access nella figura 8 |
| Nome regola di accesso | Azione regola | Protocolli | Origine regola di accesso | Destinazione di regola di accesso | Imposta utente |
| Accesso Edge | Consenti | HTTPSMTLS/SIP | Esterno | Accesso Edge | Tutti gli utenti |
| A/Edge A/V | Consenti | HTTPSSTUN | Esterno | A/Edge A/V | Tutti gli utenti |
| Web Conferencing Edge | Consenti | HTTPS | Esterno | Web Conferencing Edge | Tutti gli utenti |
Iniziare selezionando criteri firewall e la scheda attività nella console di gestione ISA Server e quindi su Crea regola di accesso per avviare la procedura guidata nuova regola di accesso. È possibile creare le regole in qualsiasi ordine, pertanto, iniziamo con la regola di Access Edge. Una volta avvia la procedura guidata, immettere un nome per la regola e fare clic su Avanti. Nella schermata Azione regola, assicurarsi che il pulsante di opzione Consenti sia selezionato e fare clic su Avanti.
Schermata seguente è necessario aggiungere protocolli a cui viene applicata la regola. Fare clic sul pulsante Aggiungi sul lato destro dello schermo per avviare la finestra Aggiungi protocolli. Nella cartella protocolli comuni, selezionare HTTPS e premere Aggiungi, quindi selezionare il protocollo STUN, che dovrebbe essere elencata nella cartella definite dall'utente, fare clic su Aggiungi. Scegliere Chiudi, quindi Avanti per lo spostamento sull'origine di regola Access schermo.
Questo passaggio è necessario selezionare l'origine di regola di accesso e nel caso della regola Access Edge, sarà necessario selezionare l'oggetto di rete esterna per facendo clic su Aggiungi e la selezione dalla cartella di reti. Quindi scegliere Chiudi, quindi Avanti per spostamento per la destinazione della regola di accesso schermo. In questa schermata fare clic su Aggiungi e selezionare l'oggetto computer Access Edge creato in precedenza dalla cartella computer. Fare clic sul pulsante Chiudi e quindi Avanti per spostamento per il set di utente schermo.
Lasciare la selezione predefinita insieme di tutti gli utenti e scegliere Avanti. Rivedere il riepilogo, quindi scegliere Fine per completare il processo. È ora possibile creare le due regole di accesso rimanenti utilizzando le informazioni che è compilato in base a figura 8 . Assicurarsi di che applicare le modifiche a ISA Server dopo aver.
Un Word su certificati
I passaggi ultimi di questo processo di configurazione sono concentrati sull'creando il listener SSL e creando il proxy inverso (pubblicazione di un'applicazione Web) per Office Communications Server. È importante comprendere i requisiti di certificato di Office Communications Server e l'impatto questi requisiti di configurazione di ISA Server.
Il punto più importante da notare è che Office Communications Server richiede l'utilizzo di certificati x.509 e non supporta i certificati con caratteri jolly nella casella Nome comune (nome di oggetto). Sarà necessario specificare una SAN (Subject Alternate Name) durante la richiesta del certificato per il server di Edge.
Poiché ISA Server 2006 SP1 introdotto il supporto completo per i certificati SAN, questa non verrà presenti eventuali problemi. Tale considerazione, è necessario soddisfare i requisiti di certificato per interfacce interna ed esterna del server Edge. Se l'ambiente Active Directory non viene utilizzato uno spazio dei nomi di dominio principale, sarà necessario utilizzare un certificato da un'attendibili terze parti Autorità di certificazione (CA) per l'interfaccia esterna e un certificato da un'organizzazione interna autorità di CERTIFICAZIONE per le interfacce interne. In questo scenario, il certificato radice per l'organizzazione che CA deve essere installato sui client che accederanno OCS internamente ad esempio ISA Server, questo assicura che le relazioni di trust necessari siano posto per la configurazione OCS. Il certificato di terze parti esterno deve già essere attendibile e pertanto il certificato principale dell'autorità di CERTIFICAZIONE terze parti non è necessario essere installato su tutti i client.
Il certificato necessario per la configurazione di proxy inverso corrisponde al parametro il nome FQDN del OCS indirizzo libro e conferenza contenuto download. Nella Figura 4 , questo era ocscontent.contoso.com ma viene ovviamente può essere qualsiasi elemento desiderato, purché il certificato proviene da una terza parte trusted. Naturalmente, il certificato della rete SAN da questa terza parte potrebbe includere anche i nomi FQDN dei server di Edge campioni di cui è possibile visualizzare nella Figura 3 .
Invertire proxy
Il primo passaggio nella creazione di un proxy inverso per OCS consiste nel creare un listener Web SSL. Per tale scopo, fare clic su nel riquadro a sinistra contenitore firewall e selezionare la scheda della casella degli strumenti nel riquadro right–hand. Selezionare l'oggetto di rete dall'elenco, fare clic sul pulsante Nuovo e selezionare listener Web dal menu a discesa. Questo verrà avviata nuovo listener Web, quale viene richiesto di immettere un nome per il listener Web.
Il nome deve essere significativo per l'utente, ma non necessariamente necessario da associare a OCS il listener Web potenzialmente ottenuto più utenti. Facendo clic su Avanti, verrà visualizzata la schermata di protezione di connessione client con l'opzione predefinita selezionata, ovvero Richiedi SSL protetta le connessioni ai client. Lasciare la selezione è e fare clic su Avanti per spostamento sullo schermo di indirizzo IP listener Web, è necessario verificare l'opzione relativa reti esterne. Successivamente, fare clic sul pulsante Selezionare indirizzi IP e scegliere l'indirizzo IP assegnato proxy inverso (vedere la Figura 4 ).
Dopo avere fatto clic su OK e Avanti quindi, si vedrà la schermata di certificati SSL listener. Selezionare l'opzione per assegnare un certificato per ciascun indirizzo IP e quindi fare clic sul pulsante Seleziona certificato. A questo punto selezionare il certificato associato al OCS rubrica e il contenuto di conferenza Web è stato discusso in precedenza. Dopo aver selezionato il certificato, fare clic sul pulsante Avanti per configurare impostazioni di autenticazione. Assicurarsi che l'autenticazione non è selezionata nella casella a discesa e quindi il pulsante Avanti due volte. Infine rivedere la schermata di riepilogo, quindi scegliere il pulsante Fine per completare la creazione del listener Web.
Una volta creato il listener Web, è possibile creare la regola di pubblicazione del sito Web. Per tale scopo, fare clic sul contenitore firewall e scegliere la scheda attività, quindi nella pubblicazione siti Web per avviare il nuovo guidata regola di pubblicazione Web. La prima parte di informazioni da immettere è il nome della regola, quindi immettere un nome significativo, ad esempio OCS contenuto e fare clic su Avanti. Nella schermata Selezione azione regola, selezionare Consenti e scegliere Avanti per spostamento sullo schermo del tipo di pubblicazione in cui verrà selezionato pubblica un singolo sito Web o caricare il sistema di bilanciamento del quindi Avanti.
Per configurare la protezione di connessione del server, selezionare l'opzione per utilizzare SSL, quindi premere Avanti per passare alla finestra dettagli interni di pubblicazione. Qui è necessario immettere il nome interno del server di componenti Web. Fare clic su Avanti e immettere le informazioni di percorso, che devono essere / * per consentire tutti i percorsi. Fare clic su Avanti e immettere il nome pubblico creata per il download di contenuto Rubrica e conferenze Web (in questo esempio è ocscontent.contoso.com). Lasciare le altre selezioni le impostazioni predefinite e scegliere Avanti.
Selezionare il listener Web è stato creato e fare clic su Avanti. Nella schermata di delega di autenticazione, la casella di riepilogo a discesa deve leggere senza delega, ma client possono essere autenticati direttamente. Fare clic su Avanti e conferma che tutti gli utenti sia selezionato nella schermata utente set, quindi fare nuovamente clic su Avanti e quindi Fine per completare il processo. La configurazione di ISA Server è ora completata.
Ultima parola
Estensione Office Communications Server per supportare gli utenti remoti e partner possono vantaggi notevole yield ma richiede una grande quantità di pianificazione, particolarmente quando si tratta proteggere i server di Edge. ISA Server 2006 fornisce una soluzione affidabile, flessibile e scalabile che è la piattaforma ideale per la protezione di Office Communications Server 2007.
Alessandro Maddison è un consulente senior specializzato nelle tecnologie Microsoft con sistemi di business strategici, una divisione di Brocade.