在 Lync Server 2013 中为单个内部池配置 Web 发布规则

  • 项目

 

上次修改的主题: 2014-07-07

Microsoft Forefront Threat Management Gateway 2010 和 Internet Information Server 应用程序请求路由 (IIS ARR) 使用 Web 发布规则将内部资源(如会议 URL)发布到 Internet 上的用户。

除了虚拟目录的 Web 服务 URL,还必须为简单 URL、LyncDiscover URL 和 Office Web 应用 服务器创建发布规则。 对于每个简单 URL,必须在指向该简单 URL 的反向代理上创建单个规则。

如果要部署移动性和使用自动发现,则需要为外部自动发现服务 URL 创建发布规则。 自动发现还需要发布 Director 池和前端池的外部 Lync Server Web Services URL 规则。 有关为自动发现创建 Web 发布规则的详细信息,请参阅 在 Lync Server 2013 中配置反向代理以实现移动性

使用以下过程创建 Web 发布规则。

注意

这些过程假定你已在 2010 (TMG) (安装了 Standard Edition 的 Forefront Threat Management Gateway,或者已使用应用程序请求路由 (IIS ARR) 扩展安装并配置了 Internet 信息服务器。 使用 TMG 或 IIS ARR。

在运行 TMG 2010 的计算机上创建 Web 服务器发布规则

  1. 单击 “开始”,选择 “程序”,选择 “Microsoft Forefront TMG”,然后单击 “前端 TMG 管理”。

  2. 在左窗格中,展开 ServerName,右键单击 防火墙策略,选择 “新建”,然后单击 “网站发布规则”。

  3. “欢迎使用新的 Web 发布规则” 页上,键入发布规则的显示名称 (例如 LyncServerWebDownloadsRule) 。

  4. “选择规则操作 ”页上,选择 “允许”。

  5. “发布类型 ”页上,选择 “发布单个网站”或“负载均衡器”。

  6. “服务器连接安全 性”页上,选择 “使用 SSL”连接到已发布的 Web 服务器或服务器场

  7. 在“ 内部发布详细信息 ”页上,在内部 网站名称 框中键入托管会议内容和通讯簿内容的内部 Web 场的完全限定域名 (FQDN) 。

    注意

    如果内部服务器是 Standard Edition 服务器,则此 FQDN 是 Standard Edition 服务器 FQDN。 如果内部服务器是前端池,则此 FQDN 是硬件负载均衡器虚拟 IP (VIP) ,用于对内部 Web 场服务器进行负载均衡。 TMG 服务器必须能够将 FQDN 解析为内部 Web 服务器的 IP 地址。 如果 TMG 服务器无法将 FQDN 解析为适当的 IP 地址,可以选择 使用计算机名称或 IP 地址连接到已发布的服务器,然后在 “计算机名称”或“IP 地址 ”框中键入内部 Web 服务器的 IP 地址。 如果执行此操作,则必须确保端口 53 在 TMG 服务器上打开,并且它可以访问驻留在外围网络中的 DNS 服务器。 还可以使用本地主机文件中的条目来提供名称解析。

  8. 在“ 内部发布详细信息 ”页上的 “路径” (可选) 框中,键 /* 入要发布的文件夹的路径。

    注意

    在网站发布向导中,只能指定一个路径。 可以通过修改规则的属性来添加其他路径。

  9. “公共名称详细信息”页上,确认已在“接受请求”下选择此域名,在“公共名称”框中键入外部 Web 服务 FQDN。

  10. “选择 Web 侦听器” 页上,单击 “新建 ”打开“新建 Web 侦听器定义向导”。

  11. “欢迎使用新 Web 侦听器向导 ”页上,在 Web 侦听器名称框中键入 Web 侦听器的名称 , (例如 LyncServerWebServers) 。

  12. “客户端连接安全性 ”页上,选择 “需要与客户端建立 SSL 安全连接”。

  13. Web 侦听器 IP 地址 页上,选择 “外部”,然后单击 “选择 IP 地址”。

  14. “外部侦听器 IP 选择” 页上,选择 所选网络中 Forefront TMG 计算机上的指定 IP 地址,选择相应的 IP 地址,然后单击 “添加”。

  15. “侦听器 SSL 证书 ”页上,选择 “为每个 IP 地址分配证书”,选择与外部 Web FQDN 关联的 IP 地址,然后单击 “选择证书”。

  16. “选择证书” 页上,选择与步骤 9 中指定的公共名称匹配的证书,单击 “选择”。

  17. “身份验证设置” 页上,选择 “无身份验证”。

  18. “单一登录设置”页上 ,单击 “下一步”。

  19. “完成 Web 侦听器向导 ”页上,验证 Web 侦听器 设置是否正确,然后单击 “完成”。

  20. “身份验证委派 ”页上,选择 “无委派”,但客户端可以直接进行身份验证

  21. “用户设置” 页上,单击 “下一步”。

  22. “完成新的 Web 发布规则向导 ”页上,验证 Web 发布规则设置是否正确,然后单击 “完成”。

  23. 单击“详细信息”窗格中的“ 应用 ”以保存更改并更新配置。

在运行 IIS ARR 的计算机上创建 Web 服务器发布规则

  1. 将用于反向代理的证书绑定到 HTTPS 协议。 单击 “开始”,选择 “程序”,选择 “管理工具”,然后单击 “INTERNET Information Services” (IIS) 管理器

    注意

    使用 IIS ARR 作为 Lync Server 2013 的反向代理的 NextHop 文章中提供了有关部署和配置 IIS ARR 的其他帮助、屏幕截图和指南。

  2. 如果尚未执行此操作,请导入用于反向代理的证书。 在 Internet Information Services (IIS) 管理器中,单击控制台左侧大小的反向代理服务器名称。 在 IIS 下的控制台中间找到 服务器证书。 右键单击 “服务器证书 ”,然后选择 “打开”功能

  3. 在控制台右侧,单击“ 导入...”。 键入带有扩展名的证书的路径和文件名,或单击 ... 以浏览证书。 选择证书,然后单击 “打开”。 如果在导出证书和私钥) 时分配了密码,则提供用于保护私钥 (的密码。 单击“确定”。 如果证书导入成功,则证书将显示为控制台中间的条目,作为 服务器证书中的条目。

  4. 分配供 HTTPS 使用的证书。 在控制台的左侧,选择 IIS 服务器的 默认网站 。 在右侧,单击 “绑定...”。 在 “网站绑定 ”对话框中,单击 “添加...”。 在“类型:”下的“添加网站绑定”对话框中,选择 https。 选择 https 将允许你选择用于 https 的证书。 在 “SSL 证书:”下,选择为反向代理导入的证书。 单击“确定”。 然后,单击 “关闭”。 证书现在绑定到安全套接字层的反向代理 (SSL) 和传输层安全性 (TLS) 。

    重要

    如果在关闭“绑定”对话框时收到警告,指出中间证书缺失,则需要查找并导入公共 CA 根颁发机构证书和任何中间 CA 证书。 请参阅公共 CA 中请求证书的说明,并按照说明请求和导入证书链。 如果从边缘服务器导出证书,则可以导出根 CA 证书和与 Edge Server 关联的任何中间 CA 证书。 将根 CA 证书导入计算机 (不要与用户存储) 受信任的根证书颁发机构存储和中间证书混淆到计算机的中间证书颁发机构存储中。

  5. 在 IIS 服务器名称下方控制台的左侧,右键单击 “服务器场 ”,然后单击 “创建服务器场...”。

    注意

    如果看不到 服务器场 节点,则需要安装应用程序请求路由。 有关详细信息,请参阅 为 Lync Server 2013 设置反向代理服务器

    服务器场名称中的“创建服务器场”对话框中,键入名称 (此名称可以是用于识别的友好名称,) 第一个 URL。 单击" 下一步"。

  6. “服务器地址中添加服务器”对话框中,键入前端服务器上外部 Web 服务的完全限定域名 (FQDN) 。 此处用于示例目的的名称与在 Lync Server 2013 中用于反向代理“证书摘要 - 反向代理”的“规划”部分中使用的名称相同。 指反向代理计划,我们键入 FQDN webext.contoso.com。 确认已选中 联机 旁边的复选框。 单击 “添加 ”将服务器添加到此配置的 Web 服务器池。

    警告

    Lync Server 使用硬件负载均衡器为 HTTP 和 HTTPS 流量的 Director 和前端服务器池。 仅在将服务器添加到 IIS ARR 服务器场时提供一个 FQDN。 FQDN 将是非共用服务器配置中的前端服务器或 Director,或服务器池配置的硬件负载均衡器的 FQDN。 负载均衡 HTTP 和 HTTPS 流量的唯一支持方法是使用硬件负载均衡器。

  7. “添加服务器 ”对话框中,单击 “高级设置...”。 这将打开一个对话框,用于定义对配置的 FQDN 的请求的应用程序请求路由。 目的是重新定义 IIS ARR 处理请求时使用的端口。

    默认情况下,目标 HTTP 端口必须定义为 8080。 单击当前 httpPort 80 旁边,将值设置为 8080。 单击当前 httpsPort 443 旁边,将值设置为 4443。 将 权重 参数保留为 100。 如果需要,可以在具有基线统计信息后重新定义给定规则的权重。 单击 “完成 ”以完成规则配置的这一部分。

  8. 你可能会看到一个对话框“重写规则”,告知你 IIS 管理器可以创建 URL 重写规则,以自动将所有传入请求路由到服务器场。 单击“”。 你将手动调整规则,但选择“是”会设置初始配置。

  9. 单击刚刚创建的服务器场的名称。 在“IIS 管理器功能视图中的 服务器场 ”下,双击 “缓存”。 取消选择 “启用磁盘缓存”。 单击右侧的“ 应用 ”。

  10. 单击服务器场的名称。 在“IIS 管理器功能视图中的 服务器场 ”下,双击 “代理”。 在“代理设置”页上,将 超时 (秒) 值更改为适合部署的值。 单击“ 应用 ”以保存更改。

    重要

    代理超时值是从部署到部署的不同数字。 应监视部署并修改值,以获得客户端的最佳体验。 你也许能够将值设置为低至 200。 如果在环境中支持 Lync 移动客户端,则应将值设置为 960,以便从超时值为 900 的Office 365推送通知超时。 很可能需要增加超时值,以避免在值过低时发生客户端断开连接;如果通过代理的连接在客户端断开连接后很久没有断开连接并清除,则会减少数量。 监视和基本衬里环境的正常设置是确定此值的正确设置的唯一准确方法。

  11. 单击服务器场的名称。 在“IIS 管理器功能视图中的 服务器场 ”下,双击 “路由规则”。 在“路由”下的“路由规则”对话框中,清除“启用 SSL 卸载”旁边的复选框。 如果无法清除复选框,请选中 “使用 URL 重写”复选框以检查传入的请求。 单击“ 应用 ”以保存所做的更改。

    警告

    不支持反向代理的 SSL 卸载。

  12. 对必须通过反向代理的每个 URL 重复步骤 5-11。 常见列表如下所示:

    • 前端服务器 Web 服务外部:webext.contoso.com (已通过初始演练) 配置

    • Director 外部的 Director Web 服务:webdirext.contoso.com (在部署 Director 时可选)

    • 简单 URL 满足:meet.contoso.com

    • 简单 URL 对话框:dialin.contoso.com

    • Lync 自动发现 URL:lyncdiscover.contoso.com

    • Office Web 应用服务器 URL:officewebapps01.contoso.com

      重要

      Office Web 应用服务器的 URL 将使用不同的 httpsPort 地址。 在步骤 7 中,将 httpsPort 定义为 443将 httpPort 定义为端口 80。 所有其他配置设置都是相同的。

  13. 在控制台左侧,单击 IIS 服务器名称。 在控制台中间,在 IIS 下找到重写 URL。 双击 URL 重写以打开 URL 重写规则配置。 应会看到在前面步骤中创建的每个服务器场的规则。 如果没有,请确认在 Internet 信息服务器管理器控制台的“开始页”节点下方单击了 IIS 服务器名称。

  14. URL 重写 对话框中,以 webext.contoso.com 为例,显示的规则的全名 ARR_webext.contoso.com_loadbalance_SSL

    • 双击规则以打开“ 编辑入站规则 ”对话框。

    • “条件”对话框中单击“添加...”。

    • 在条件输入中的“添加条件”上,键入 {HTTP_HOST}。 (键入时,将显示一个对话框,用于选择条件) 。 在 “检查输入字符串: 选择 与模式匹配”下。 在 模式输入 类型 *中。 应选择忽略大小写。 单击“确定”。

    • “编辑入站规则 ”对话框中向下滚动以找到 “操作” 对话框。 操作类型: 应设置为 “路由到服务器场”, 方案: 设置为 https://服务器场: 设置为此规则适用的 URL。 对于此示例,应将其设置为 webext.contoso.com路径: 设置为 /{R:0}

    • 单击“ 应用 ”以保存所做的更改。 单击 “返回到规则 ”以返回到 URL 重写规则。

  15. 针对已定义的每个 SSL 重写规则(每个服务器场 URL 一个)重复步骤 14 中定义的过程。

    警告

    默认情况下,HTTP 规则也会创建,并且由与 SSL 规则类似的命名来表示。 对于当前示例,HTTP 规则将命名 为 ARR_webext.contoso.com_loadbalance。 不需要对这些规则进行任何修改,并且可以安全地忽略这些规则。

修改 TMG 2010 中 Web 发布规则的属性

  1. 单击 “开始”,指向 “程序”,选择 “Microsoft Forefront TMG”,然后单击 “前端 TMG 管理”。

  2. 在左窗格中,展开 ServerName,然后单击 “防火墙策略”。

  3. 在详细信息窗格中,右键单击在上一过程中创建的 Web 服务器发布规则 (例如 LyncServerExternalRule) ,然后单击 “属性”。

  4. 在“ 属性” 页上的 “从 ”选项卡上,执行以下操作:

    • “此规则”中,适用于来自这些源 列表的流量,单击 “任意位置”,然后单击“ 删除”。

    • 单击“添加”。

    • “添加网络实体”中,展开 “网络”,单击 “外部”,单击 “添加”,然后单击“ 关闭”。

  5. 在“ 收件人 ”选项卡上,确保选中 原始主机标头而不是实际选中一个 复选框。

  6. 在“ 桥接 ”选项卡上,选中 “重定向请求到 SSL 端口 ”复选框,然后指定端口 4443

  7. 在“ 公共名称” 选项卡上,添加简单的 URL (,例如 meet.contoso.com 和 dialin.contoso.com) 。

  8. 单击“ 应用 ”以保存更改,然后单击 “确定”。

  9. 单击“详细信息”窗格中的“ 应用 ”以保存更改并更新配置。

在 IIS ARR 中修改 Web 发布规则的属性

  1. 单击 “开始”,选择 “程序”,选择 “管理工具”,然后单击 “INTERNET Information Services” (IIS) 管理器

  2. 在控制台左侧,单击 IIS 服务器名称。

  3. 在控制台中间,在 IIS 下找到重写 URL。 双击 URL 重写以打开 URL 重写规则配置。

  4. 双击需要修改的规则。 根据需要在 匹配 URL条件服务器变量操作中进行修改。

  5. 单击“ 应用 ”以提交更改。 单击 “返回规则 ”以修改其他规则,或关闭 IIS 管理器控制台(如果已完成更改)。