Publicação do Lync Server Reverse Proxy no ForeFront TMG 2010

Do Fernando Lugão Veltem

Junho, 2012

Introdução

Para publicar os serviços do Lync Server para usuários da internet é necessário a configuração de dois server roles separados, o Edge Serve e o Reverse Proxy. Neste artigo demostro os passos para configuração do Forefront Threat Management Gateway 2010 como Reverse Proxy publicando os serviços Web do Front End. 
Para a configuração tenho um Controlador de domínio e um Lync Server Front End. Os servidores estão configurados com os seguintes endereços Ip:

Com o Reverse Proxy publicando os serviços web do Lync Server os seguintes serviços são disponibilizados aos usuários remotos.

• Download conteúdo das reuniões 
• Expanção de grupos de distribuição
• Download Address Book Service
• Disponibiliza o Lync Web App Client
• Conferência Dial-in web page
• Acesso ao Location Information Service
• Conexão ao serviço de update de dispositivos

Durante a instalação do Lync Server são criados no IIS dois sites:

1. Lync Server Internal Web Site:  configurado nas porta 80 e 443, responsável por prover os serviços para os clientes internos
2. Lync Server External Web Site: configurado nas portas 8080 e 4443, site que deve ser publicado pelo Reverse Proxy

O papel do TMG neste cenário é direcionar o trafego de internet das portas 80 Http e 443 Https para as portas 8080 Htpp e 4443 Https no servidor Lync Server Front End.

Configuração das URL's

Para a publicação do serviço Web vou utilizar três url's diferentes configuradas no Front End. 
Duas Url's são configuradas por padrão durante a instalação do Front End, os endereços meet.home.com.br e dialin.home.com.br. Para verificar esta configuração execute o Topology Builder e clique em Lync Server 2010

A terceira URL deve ser configurada nas propriedades do Front End pool. Abra as propriedades do Front End, em Web Services configure a url do External Web Services

No DNS externo foram criados os hosts destas URLS todas resolvendo para o ip da interface de rede externa do TMG.

Para mais informações sobre configuração do Mobility Service acesse o artigo InstalaçãoLync Server 2010 Mobility Service (pt-BR) 

Configuração do Certificado Digital

Para a publicação é preciso configurar um certificado no servidor TMG, este certificado será associado á porta https no TMG. O certificado foi emitido pela mesma certificadora que foi utilizada nos certificados do Front End.

O certificado deve ser configurado com o Common Name com o FQDN configurado no External Web Services, neste cenário LyncPortal.home.com.br. A SAN do certificado deve ser configurado com todos os URL's criados no Front End. 
Para o novo serviço do Mobility Service a URL externo do Discovery Service deve ser adicionada na SAN do certificado, a URL LyncDiscover.<Dominio Sip> deve ser adicionada. 

Se você precisar de ajuda para emitir os certificados veja o artigo [[Passo a Passo para Requisitar um Certificado Digial Utilizando o Console MMC (pt-BR)]]

Regra de Publicação

Com o certificado inicie o console de gerenciamento do TMG, clique com o botão direito sobre Firewall Policy, selecione New e inicio o assistente Web Site Publishing Rule.

Configure o nome da regra de publicação.

Crie um regra de Allow.

Em Publish Type selecione a opção Publish a single Web site or load balancer.

Em Server Connection Security selecione a opção Use SSL to connect to the published Web Server or Server farm.

Configure *Internal Publishing Detais *e configure o Internal site name: com o FQDN de seu Front End. Verifique que o servidor TMG é capaz de resolver corretamente o FQDN e pingar com sucesso o servidor Front End.

Em Internal Publish Details e configure o Path /* .

Em Public Name Details selecione a opção This domain name (type bellow), configure o Public Name LyncPortal.home.com.br, que foi configurado como URL do *External Site. *

Em Web Listener crie um novo listener.

Configure um nome para o novo listener.

Em Client Connection Security selecione a opção Require SSL secured connections with clients.

Em Web Listener IP Address selecione a rede External e clique em Select IP Address.

Selecione o ip configurado como URL no DNS.

Com o IP configurado avance.

Em Listener SSL Certificate selecione a opção Use a single certificate for the Web Listener e clique em Select Certificate.

Selecione o certificado configurado com as URL's do Lync Server.

Com o certificado configurado avance.

Em Authentication Settings configure a opção No Authentication.

Em Single Sign On Settings não altere nenhuma configuração e avance.

Finalize a criação do Web Listener.

Avance na criação da regra.

Em Authentication Delegation selecione a opção No delegation, but client may authenticate directly.

Não altere as configurações de segurança da regra.

Complete o assistente de configuração.

Retorne ao console de gerenciamento e abra as propriedades da regra.

Na guia To marque a opção Forward the original host header instead of the actual one.

Na guia Binding configure o Redirect requests to HTTP port: 8080;  Redirect requests to HTTP port: 4443.

Na guia Public Name adicione as URL's configuradas. Adicione também a URL do Discover Service:  LyncDiscover.home.com.br.

Teste da Configuração

Para testar as configurações realizadas acesse as URL's 

• https://ExternalWebServices/abs, este é a pasta do Address Book Server. A página deve exigir usuário e senha. Se você obteve outro resultado revise sua configuração de publicação.

• https://ExternalWebServices/meet, esta é a página de meeting, ela deve mostrar código para troubleshooting .

• https://ExternalWebServices/GroupExpansion/service.svc, esta é a pasta de expansão dos grupos. Na página deve pedir autenticação.

https://DialIn.dominio.com.br, esta é a página do Dialin,

Este artigo foi originalmente escrito por:
Fernando Lugão Veltem
blog: http://flugaoveltem.blogspot.com  twitter: @flugaoveltem

| Home | Artigos Técnicos | Comunidade