Office Communications Server
保护使用 ISA Server 的 OCS
Alan Maddison
概览:
- OCS 2007 R 2 边缘服务器角色和拓扑
- 3 对外围网络中配置 ISA Server
- 了解 OCS 证书要求
- 创建 Web 侦听器和 OCS 一个反向代理
边缘服务器
准备
配置 ISA Server 2006
有关证书的一个单词
反向代理服务器
最后一个单词
Office Communications Server (OCS) 2007 R 2 提供功能强大的功能,使您可以将您的统一的通信基础结构扩展到组织外部的用户的。 这具有巨大的优势。 功能,如 Web 和音频 / Visual (A / A/V) 会议,是例如可以提高组织的响应速度和其日常业务任务中的效果。
如果要部署到远程用户和合作伙伴的 OCS 功能,但是,您必须完成两个重要步骤。 首先,您需要 Office Communications Server 2007 R 2 Security Guide 中定义的最佳实践部署 OCS 边缘服务器。 第二个,您需要提供反向代理访问边缘服务器的权限。 本文中我将一下使用 ISA Server 2006 来保护您的 OCS 部署 SP 1。
边缘服务器
若要与其他 OCS 基础结构并允许您的组织的网络的远程访问,您将需要部署在外围网络 (也称为 DMZ) 中的一个或多个边缘服务器,以便在防火墙外部的用户能够安全访问内部 OCS 部署。 OCS 2007 R 2 包括三个边缘服务器角色,汇总 图 1 ,它还介绍了反向代理功能。
| 图 1 的边缘服务器角色,和反向代理 OCS 2007 |
| 角色 | 目的 |
| 访问边缘服务器 | 验证外部用户访问权限包括公用 IM 连接、 联盟、 Web 的会议和语音功能。 |
| Web 会议边缘服务器 | 外部 Web 会议和数据协作。 |
| A / A/V 边缘服务器 | 对 A 的任何外部用户访问 / A/V 会议和点对点 A / V 调用。 |
| 反向代理服务器 | 组扩展,通讯簿文件下载,Web 会议下载会议内容。 |
才能 R 2 版本的 Office Communications Server 2007,Microsoft 的支持提供各种级别的完善和可伸缩性的四个不同的边缘拓扑。 一般情况下,在拓扑中不同的边缘服务器角色的位置不同:
- 合并的边缘拓扑
- 单站点边缘拓扑
- 按比例缩放的单站点边缘拓扑
- 与远程站点边缘拓扑的多个网站
R 2 版本,Microsoft 现在要求所有角色在同一台服务器上都运行的硬件负载平衡器 (在网络负载平衡器,NLB,Windows 中可用的组件不支持或) 所提供的可伸缩性。 合并的边缘 Topology 是一种经济高效的方法,具有的最简单部署和管理额外的好处的。 此拓扑的工作方式的所有组织,并且本文的目的,我将重点这种设计。
一个重要的点,记住是除了在 OCS 拓扑支持更改,发生了网络拓扑和技术支持 R 2 的一些重大变化。 但是,在 R 2 A / A/V 边缘服务器角色必须具有一个公用的 IP 地址,外部网络接口卡 (NIC) 上由于到通过 NAT (STUN) 协议的 UDP 简单遍历的基本要求。
尽管 Microsoft 已有关此要求非常 adamant,许多管理员将已忽略该文档,并已尝试在网络地址转换 (NAT) 环境中实现 OCS 边缘服务器。 如果在 A 的前面实现 NAT 您的用户的 A/V 边缘服务器可能会遇到间歇性的连接问题,并可能甚至无法建立连接。
要记住的一个要点是的 R 2 Microsoft 不再支持目标网络地址转换 (DNAT) OCS 环境中。 这意味着必须将防火墙或负载平衡器配置与源 NAT (SNAT) 引入 R 2 之前,在您的环境。 最后,与边缘服务器不应是 Active Directory 域的成员。
如果边缘服务器未正确配置,您将仅正在创建多个一个麻烦为自己到组合中引发 ISA 服务器时。 评审、 验证和测试然后才移动边缘配置。
图 2 合并边缘服务器的 3 对外围网络部署
准备
要部署 OCS 边缘拓扑,我将重点常见的实现方案 3 对外围网络中,部署防火墙,ISA 服务器在这的种情况下是在其中一种简单、 经济高效方法与更复杂的防火墙拓扑共享核心概念。 在这种设计三条引线设置对应于在内部网络,在外围网络和外部 (Internet) 网络。 此方法不仅允许外部用户访问权限 OCS 基础结构,它还支持反向代理服务器角色中使用 ISA Server。
图 2 描绘了 ISA Server 3 对实现的逻辑视图。 配置 ISA Server 之前,它最好已排放在 IP 寻址和完全限定域称 (FQDN) 映射为边缘服务器和 ISA Server。 得更简单、 更快,这将使配置过程。
图 3 显示一个合适的核对清单的一个示例。 请注意我必须使用专用的 IP 地址范围为仅提供信息之目的 ; 您必须使用公用的 IP 地址。
| 图 3 示例配置 |
| 角色 | 完全限定的域名 | 公用 IP 地址 | NIC | 外部用户端口要求 | 内部用户的端口要求 |
| 访问边缘服务器 | sip.contoso.com | 172.16.0.2/29 | 外部 | 5061,443 | 5061 |
| A / A/V 边缘服务器 | av.contoso.com | 172.16.0.3/29 | 外部 | 443,347850,000 59,999 | 443,506250,000 59,999 |
| Web 会议边缘服务器 | webconference.contoso.com | 172.16.0.4/29 | 外部 | 443 | 8057 |
图 4 显示 IP 寻址包括用于 OCS 通讯簿和内容 Web 会议服务器使用的 Web 站点发布 (反向代理) 的 IP 地址在 ISA 服务器的信息。
在一个合并的边缘部署没有通常具有两个 NIC 的单个物理服务器,一个用于内部通信,一个用于外部通信。 NIC 连接到公司网络 (内部) 将具有 IP 地址从您现有的内部 IP 地址范围。 连接到远程用户 (外部 NIC 将到用于 A 至少一个公共的 (完全路由) 的 IP 地址 A/V 边缘服务器。 虽然没有严格必要,但则会更为简单也将公用的 IP 地址指派给其他边缘角色,如 图 4 中。
| 图 4 ISA 服务器 IP 地址 |
| ISA 接口 | 完全限定的域名 | IP 地址 |
| 外部 | N/A | 172.16.0.9/29 |
| 反向代理服务器 | ocscontent.contoso.com | 172.16.0.10/29 |
| 外围 | N/A | 172.16.0.1/29 |
| 内部 | N/A | 192.168.0.100/24 |
还需要创建为您的公用 IP 地址空间的唯一子网。 ISA Server 需要外部接口 (一个用于反向代理) 上的两个 IP 地址,为您的外围网络 (访问边缘服务器的三个) 和 ISA Server 外围接口需要四个公用 IP 地址。 例如,这显示 图 3 中为 29 位子网掩码 (255.255.255.248),将为您六个可用的 IP 地址,每个子网。
如果您已分配只少量公用 IP 地址,可以使用网络地址转换访问边缘服务器和 Web 会议边缘服务器角色和连接 A A/V 边缘服务器直接与 Internet。 但是,此方法保持有点不太安全,您将绕过的 ISA 服务器数据包检查功能,并为在边缘服务器需要第三个网络接口卡。
配置 ISA Server 2006
要配置 3 对外围设备,您需要启动 ISA 服务器管理控制台,然后选择左侧的窗格中配置节点下的网络,如 图 5 所示。 下一步,单击模板选项卡在右侧窗格中,并选择要启动网络模版向导在 3 对外围模板。
此过程将擦除任何现有的配置和规则,因此请注意如果要不新系统使用您应负责导出配置,由第二个屏幕上的向导提供一个选项。 单击上第二个屏幕上的下一步,将首先配置过程要求您输入该 IP 地址范围定义您的内部网络的。
图 5 选定 3 对外围网络模板
有许多选项来帮助定义内部的地址空间。 如果您的组织很小的只添加连接到公司网络的网卡已足够。 较大的组织需要使用其他选项,如添加 IP 地址范围以完全定义其内部地址空间。
输入此信息之后, 单击下一步以移到下一个屏幕以定义外围网络地址空间。 并通常足以添加具有专用外围网络的适配器。 下一步,您必须选择一个防火墙策略。 请务必选择"允许不受限制地的访问"下防火墙策略,然后单击下一步转到可以查看您的配置摘要屏幕。 选择完成以完成该向导,然后,要接受这些的更改单击应用然后单击确定。
基本 3 对外围设备此时是功能,但它需要以允许 OCS 边缘服务器与外部用户之间的网络通信的其他一些配置。 首先要注意是 ISA Server 中的 3 对外围的默认配置包括对 VPN 用户的支持。 如果您不需要此类型的远程访问,删除此条目。
这样做 ISA Management (ISA 管理控制台的左窗格中选择防火墙策略,然后右键单击名为内部网络的 VPN 客户端的规则并选择删除。 若要接受更改,请选择应用,然后确定。 两个规则保持: 不受限制的 Internet 访问规则和默认规则。
下一步是添加该计算机对象,代表与边缘服务器。 选择防火墙策略,然后选择工具箱选项卡,如 图 6 所示。
图 6 防火墙策略规则
单击新建按钮上并从下拉菜单中选择计算机。 添加边缘服务器,例如访问边缘的名称,然后输入为该服务器的 IP 地址。 A 的重复此步骤 A/V 边缘服务器和 Web 会议边缘服务器。 完成后,您应该看到三个计算机对象在计算机容器下列出。
在下一步是添加 OCS 用于 ISA 服务器配置的协议。 您需要将添加两个新的协议,如 图 7 所示。
| 图 7 OCS 所使用的协议 |
| 协议名称 | 协议类型 | 协议方向 | 端口范围 |
| 相互传输层安全性 (MTLS) / 会话启动协议 (SIP) | TCP | 出站 | 5061 5061 |
| 通过 NAT (STUN) 的 UDP 简单遍历 | TCP | 出站 | 50,000 59,999 |
| UDP | 发送 | *50、 000 59,999 | |
| UDP | 发送 | 3478 3478 |
请注意, 图 7 中的星号。 在 OCS 2007 R 2,此端口要求是必要只有当您使用 A 的 / V 功能与联盟伙伴的 OCS 运行 Office Communications Server 2007。 远程用户不需要这些端口处于打开状态。
它是值得强调它是安全最佳操作只打开所需的端口。 例如,考虑 A / A/V 会议与联盟伙伴,要求 UDP 端口范围 50,000–59,999 中。 如果您没有一个联盟伙伴则不要需要打开这些端口。
在 ISA 服务器管理控制台,防火墙策略和选择,工具箱选项卡中单击协议,然后在新和启动新建协议定义向导的协议。 当在向导启动输入该协议的名称时,然后单击下一步以转到主连接信息屏幕中。 此屏幕上单击新建,然后添加 MTLS / SIP 协议如 图 7 所示的信息。
若要完成添加协议,单击确定,然后下一步按钮两次 ; 您执行不需要任何配置辅助连接屏幕上。 现在单击摘要屏幕上的完成按钮,,STUN 协议重复这些步骤。 应确保已完成添加协议,您在这些更改应用到 ISA 服务器。
图 7 中未列出该永久共享的对象模型 (PSOM) 协议 (专用协议传输 Web 会议内容)。 这是因为 PSOM 用于 Web 会议服务器和 Web 会议边缘服务器之间的通信。 此通信是发送边缘服务器的内部网卡上。
图 7 中添加上述的两个协议之后, 下一步是创建三个的访问规则将允许用户从 Internet 连接到边缘服务器。 再一次手头有此信息将这些配置步骤得更简单、 更少容易出现错误。 图 8 显示了信息您将需要创建三个的外部访问规则。
| 图 8 访问规则配置 |
| 访问规则名称 | 规则操作 | 协议 | 访问规则源 | 访问规则目标 | 用户集 |
| 访问边缘 | 允许 | HTTPSMTLS / SIP | 外部 | 访问边缘 | 所有用户 |
| A / A/V 边缘 | 允许 | HTTPSSTUN | 外部 | A / A/V 边缘 | 所有用户 |
| Web 会议边缘 | 允许 | HTTPS | 外部 | Web 会议边缘 | 所有用户 |
通过选择的防火墙策略和在 ISA 服务器管理控制台和然后单击中的任务选项卡的开始创建访问规则,以启动新建访问规则向导。 您可以创建规则任何顺序因此,让我们开始与访问边缘规则。 一旦将启动该向导则输入该规则的名称,然后单击下一步。 在规则操作屏幕上进行确保选中允许单选按钮,然后单击下一步。
下面的屏幕,必须添加要应用该规则的协议。 请在单击添加按钮启动添加协议窗口在屏幕的右侧。 在常见的协议文件夹下选择 HTTPS 和按添加,然后选择 STUN 协议,应在用户定义文件夹下列出的然后单击添加。 单击关闭,然后下一步以访问到的移规则源屏幕。
此步骤要求您选择在访问规则源,在该访问边缘规则的情况下您需要通过单击添加,并从网络文件夹中选择该选择外部网络对象。 然后单击关闭,然后下一步以移到访问规则目标屏幕。 此屏幕上单击添加,然后选择您先前创建的计算机文件夹中访问边缘计算机对象。 单击关闭按钮,然后将下一步以移到用户的设置屏幕。
保持设置默认选择的所有用户,然后单击下一步。 检查该的摘要,然后单击完成以完成此过程。 现在可以创建两个剩余访问规则使用的信息您编译基于 图 8 。 应确保完成后,您在这些更改应用到 ISA 服务器。
有关证书的一个单词
此配置过程中的在最后一个步骤主要负责创建 SSL 侦听器,创建反向代理 (发布一个 Web 应用程序) Office Communications Server。 值得了解 Office Communications Server 和如何这些要求影响 ISA 服务器配置的证书要求。
在最这里重要一点向注释是 Office Communications Server 要求使用 x 509 证书,,不在公共名称 (主题名称) 中支持通配符证书。 需要申请边缘服务器的证书时,指定主题备用名称 (SAN)。
因为 ISA Server 2006 SP 1 引入了完全支持的 SAN 证书,这将不存在任何问题。 与此记住,您需要解决边缘服务器的内部和外部接口的证书要求。 如果您的 Active Directory 环境不使用一个顶级域命名空间,您需要为外部接口和从内部企业 CA 为内部接口证书使用从受信任第三方证书颁发机构 (CA) 证书。 在这的种情况下将在内部访问 OCS 的客户端上以及在 ISA 服务器上,必须将安装为您的企业 CA 根证书 ; 这确保所需的信任关系是在为 OCS 配置的位置。 外部的第三方证书已应信任,,因此第三方 CA 根证书不需要在所有客户端上安装。
反向代理服务器配置所需的证书将对应于 OCS 地址簿和会议内容下载的 FQDN。 在 图 4 ,这是 ocscontent.contoso.com 但显然可以任何选择,只要该证书来自受信任的第三方。 当然,从此第三方 SAN 证书还将包含的示例还可以查看 图 3 中与边缘服务器的 FQDN。
反向代理服务器
创建一个反向代理 OCS 在第一步是创建一个 SSL Web 侦听程序。 为此,单击左侧窗格中防火墙容器,并 right–hand 窗格中选择工具箱选项卡。 从列表中选择网络对象,单击新建按钮,然后从下拉菜单中选择 Web 侦听器。 这将启动新建 Web 侦听器向导,提示您输入 Web 侦听器的名称。
名称应对您,有意义,但一定没有为与 OCS Web 侦听器可能可能有多个使用。 单击下一步时, 客户端连接安全屏幕将显示选中默认选项,需要与客户端的 SSL 安全连接。 保留您应该检查外部网络选项的选定内容原样,并单击下一步以移到 Web 侦听器 IP 地址屏幕。 下一步中,单击选择的 IP 地址按钮,然后选择已分配给反向代理的 IP 地址 (参见 图 4 )。
单击确定,然后下一步之后, 您将看到在侦听器 SSL 证书屏幕。 选择选项指定为每个 IP 地址的证书,然后单击选择证书按钮。 现在选择与 OCS 通讯簿和前面讨论的 Web 会议内容相关联的证书。 选择证书后, 单击下一步按钮配置身份验证设置。 请确保没有身份验证选中下拉框中,,然后单击两次下一步按钮。 最后查看摘要屏幕,然后单击完成创建 Web 侦听器的在完成按钮。
创建 Web 侦听器后,您可以创建发布规则的网站。 要这样做,防火墙容器上单击并选择任务选项卡然后单击发布网站上启动新建 Web 发布规则向导。 在第一条输入的信息该规则的名称,因此输入一个有意义的名称,如 OCS 内容然后单击下一步。 在选择规则操作屏幕中上, 选择允许,然后单击下一步以移到发布类型屏幕中,您可以在其中将选择中发布单一网站或负载平衡器,然后单击下一步。
配置服务器连接安全性,请选择使用 SSL,然后按下一步,前进到内部发布详细屏幕。 此处,您需要输入 Web 组件服务器的内部名称。 单击下一步,然后输入该路径为信息应 / * 以允许所有路径。 单击下一步并输入通讯簿和 Web 会议内容下载该公用名称创建 (在本例它是 ocscontent.contoso.com)。 在默认设置中保持所选内容,然后单击下一步。
现在选择您创建 Web 侦听器,然后重单击下一步。 在身份验证委派屏幕上下拉框应读取没有委派,,但客户端可以直接进行身份验证。 单击下一步并确认所有用户在用户设置屏幕上所选然后再次单击下一步,然后完成以完成此过程。 ISA 服务器的配置随即完成。
最后一个单词
扩展 Office Communications Server 支持远程用户和合作伙伴可以产生巨大的好处但需要大量规划尤其是当方面保护与边缘服务器。 ISA Server 2006 提供了一个强大、 灵活,和可伸缩的解决方案的理想平台,用于保护 Office Communications Server 2007。
Alan Maddison 一名高级顾问擅长 Microsoft 技术与战略业务系统的织锦式除。