Publicação do Lync Server Reverse Proxy no ForeFront TMG 2010
Do Fernando Lugão Veltem
Junho, 2012
Introdução
Para publicar os serviços do Lync Server para usuários da internet é necessário a configuração de dois server roles separados, o Edge Serve e o Reverse Proxy. Neste artigo demostro os passos para configuração do Forefront Threat Management Gateway 2010 como Reverse Proxy publicando os serviços Web do Front End.
Para a configuração tenho um Controlador de domínio e um Lync Server Front End. Os servidores estão configurados com os seguintes endereços Ip:
Com o Reverse Proxy publicando os serviços web do Lync Server os seguintes serviços são disponibilizados aos usuários remotos.
- Download conteúdo das reuniões
- Expanção de grupos de distribuição
- Download Address Book Service
- Disponibiliza o Lync Web App Client
- Conferência Dial-in web page
- Acesso ao Location Information Service
- Conexão ao serviço de update de dispositivos
Durante a instalação do Lync Server são criados no IIS dois sites:
- Lync Server Internal Web Site: configurado nas porta 80 e 443, responsável por prover os serviços para os clientes internos
- Lync Server External Web Site: configurado nas portas 8080 e 4443, site que deve ser publicado pelo Reverse Proxy
O papel do TMG neste cenário é direcionar o trafego de internet das portas 80 Http e 443 Https para as portas 8080 Htpp e 4443 Https no servidor Lync Server Front End.
Configuração das URL's
Para a publicação do serviço Web vou utilizar três url's diferentes configuradas no Front End.
Duas Url's são configuradas por padrão durante a instalação do Front End, os endereços meet.home.com.br e dialin.home.com.br. Para verificar esta configuração execute o Topology Builder e clique em Lync Server 2010
A terceira URL deve ser configurada nas propriedades do Front End pool. Abra as propriedades do Front End, em Web Services configure a url do External Web Services
No DNS externo foram criados os hosts destas URLS todas resolvendo para o ip da interface de rede externa do TMG.
Para mais informações sobre configuração do Mobility Service acesse o artigo InstalaçãoLync Server 2010 Mobility Service (pt-BR)
Configuração do Certificado Digital
Para a publicação é preciso configurar um certificado no servidor TMG, este certificado será associado á porta https no TMG. O certificado foi emitido pela mesma certificadora que foi utilizada nos certificados do Front End.
O certificado deve ser configurado com o Common Name com o FQDN configurado no External Web Services, neste cenário LyncPortal.home.com.br. A SAN do certificado deve ser configurado com todos os URL's criados no Front End.
Para o novo serviço do Mobility Service a URL externo do Discovery Service deve ser adicionada na SAN do certificado, a URL LyncDiscover.<Dominio Sip> deve ser adicionada.
Se você precisar de ajuda para emitir os certificados veja o artigo [[Passo a Passo para Requisitar um Certificado Digial Utilizando o Console MMC (pt-BR)]]
Regra de Publicação
Com o certificado inicie o console de gerenciamento do TMG, clique com o botão direito sobre Firewall Policy, selecione New e inicio o assistente Web Site Publishing Rule.
Configure o nome da regra de publicação.
Crie um regra de Allow.
Em Publish Type selecione a opção Publish a single Web site or load balancer.
Em Server Connection Security selecione a opção Use SSL to connect to the published Web Server or Server farm.
Configure *Internal Publishing Detais *e configure o Internal site name: com o FQDN de seu Front End. Verifique que o servidor TMG é capaz de resolver corretamente o FQDN e pingar com sucesso o servidor Front End.
Em Internal Publish Details e configure o Path /* .
Em Public Name Details selecione a opção This domain name (type bellow), configure o Public Name LyncPortal.home.com.br, que foi configurado como URL do *External Site. *
Em Web Listener crie um novo listener.
Configure um nome para o novo listener.
Em Client Connection Security selecione a opção Require SSL secured connections with clients.
Em Web Listener IP Address selecione a rede External e clique em Select IP Address.
Selecione o ip configurado como URL no DNS.
Com o IP configurado avance.
Em Listener SSL Certificate selecione a opção Use a single certificate for the Web Listener e clique em Select Certificate.
Selecione o certificado configurado com as URL's do Lync Server.
Com o certificado configurado avance.
Em Authentication Settings configure a opção No Authentication.
Em Single Sign On Settings não altere nenhuma configuração e avance.
Finalize a criação do Web Listener.
Avance na criação da regra.
Em Authentication Delegation selecione a opção No delegation, but client may authenticate directly.
Não altere as configurações de segurança da regra.
Complete o assistente de configuração.
Retorne ao console de gerenciamento e abra as propriedades da regra.
Na guia To marque a opção Forward the original host header instead of the actual one.
Na guia Binding configure o Redirect requests to HTTP port: 8080; Redirect requests to HTTP port: 4443.
Na guia Public Name adicione as URL's configuradas. Adicione também a URL do Discover Service: LyncDiscover.home.com.br.
Teste da Configuração
Para testar as configurações realizadas acesse as URL's
- https://ExternalWebServices/abs, este é a pasta do Address Book Server. A página deve exigir usuário e senha. Se você obteve outro resultado revise sua configuração de publicação.
- https://ExternalWebServices/meet, esta é a página de meeting, ela deve mostrar código para troubleshooting .
- https://ExternalWebServices/GroupExpansion/service.svc, esta é a pasta de expansão dos grupos. Na página deve pedir autenticação.
https://DialIn.dominio.com.br, esta é a página do Dialin,
Este artigo foi originalmente escrito por:
Fernando Lugão Veltem
blog: http://flugaoveltem.blogspot.com
twitter: @flugaoveltem