• Artikel

Konfigurieren eines Reverseproxys

Letztes Änderungsdatum des Themas: 2009-07-20

Für die Bereitstellung der Office Communications Server-Edgeserver ist Microsoft Internet Security and Acceleration (ISA) Server oder ein anderer Reverseproxy im Umkreisnetzwerk erforderlich, um Folgendes zu ermöglichen:

  • Externe Benutzer können Besprechungsinhalte für Ihre Besprechungen herunterladen.
  • Externe Benutzer können Verteilergruppen erweitern.
  • Remotebenutzer können Dateien vom Adressbuchdienst herunterladen.
  • Externe Geräte können eine Verbindung zum Geräteaktualisierungsdienst herstellen und Updates abrufen.

In der folgenden Tabelle sind die vom Webkomponentenserver verwendeten Verzeichnisse aufgeführt. Konfigurieren Sie den HTTP-Reverseproxy möglichst so, dass alle Verzeichnisse verwendet werden.

Vom Webkomponentenserver verwendete Verzeichnisse

Verzeichnis Verwendung

https://ExternerFQDN/etc/place/null

Speichert Besprechungsinhalte.

https://ExternerFQDN/GroupExpansion/ext/service.asmx

Speichert Verteilergruppenerweiterungsdaten. Die externe URL zum Webkomponentenserver, auf dem der Adressbuch-Webabfragedienst ausgeführt wird.

https://<ExternerFQDN>/ABS/ext/Handler

Speichert Dateien des Adressbuchservers.

https://<FQDN des externen Servers>/RequestHandler/ucdevice.upx

Die externe URL zum Webkomponentenserver, auf dem der Geräteaktualisierungsdienst ausgeführt wird. Ausführliche Informationen finden Sie unter Geräteaktualisierungsdienst.

https://<ExternerFQDN>DeviceUpdateFiles_Ext

Die externe URL zum Webkomponentenserver, auf dem die Geräteaktualisierungen gespeichert sind.

Die Schritte in diesem Abschnitt beschreiben detailliert, wie Sie einen Computer mit ISA Server 2006 als Reverseproxy konfigurieren. Wenn Sie einen anderen Reverseproxy verwenden, finden Sie weitere Informationen in der Dokumentation zu diesem Produkt.

Richten Sie den Reverseproxy anhand der Informationen in diesem Abschnitt ein, wobei Sie die folgenden Schritte ausführen:

  • Konfigurieren der Netzwerkadapter
  • Installieren und Konfigurieren von ISA Server 2006
  • Anfordern und Konfigurieren eines digitalen Zertifikats für SSL
  • Erstellen einer Webserververöffentlichungsregel und Sicherstellen, dass die Eigenschaften der sicheren Webserververöffentlichungsregel korrekt sind
  • Überprüfen oder Konfigurieren der Authentifizierung und Zertifizierung bei virtuellen IIS-Verzeichnissen (Internetinformationsdienste, Internet Information Services)
  • Erstellen eines externen DNS-Eintrags (Domain Name System)
  • Überprüfen, ob der Zugriff auf die Website über das Internet möglich ist

Vorbereitung

Als Sie die Enterprise-Pools und die Standard Edition-Server eingerichtet haben, hatten Sie die Möglichkeit, auf der Seite Webfarm-FQDNs des Assistenten zum Erstellen von Pools oder des Assistenten zur Serverbereitstellung einen vollqualifizierten Domänennamen (Fully Qualified Domain Name, FQDN) für die externe Webfarm zu konfigurieren. Wenn Sie diese URL nicht während der Ausführung der Assistenten konfiguriert haben, müssen Sie diese Einstellungen manuell festlegen. Öffnen Sie dazu eine Eingabeaufforderung, und geben Sie den folgenden Befehl ein:

lcscmd.exe /web /action:updatepoolurls /externalwebfqdn:<Externer FQDN der Webfarm> /poolname:<Poolname>

Konfigurieren der Netzwerkadapter

Sie müssen dem externen Netzwerkadapter eine oder mehrere IP-Adressen und dem internen Netzwerkadapter mindestens eine IP-Adresse zuweisen. Ausführliche Informationen zur Bereitstellung von ISA Server mit einem einzelnen Netzwerkadapter finden Sie unter Konfigurieren von ISA Server 2004 auf einem Computer mit nur einem Netzwerkadapter. Dieses Dokument gilt auch für ISA Server 2006.

Bei den folgenden Verfahren verfügt der ISA Server-Computer über zwei Netzwerkadapter:

  • Ein öffentlicher oder externer Netzwerkadapter, über den die Clients versuchen, eine Verbindung mit Ihrer Website herzustellen (normalerweise über das Internet)
  • Eine private bzw. interne Netzwerkkarte. Diese Karte wird für die internen Webserver verfügbar gemacht.

Sie müssen dem externen Netzwerkadapter eine oder mehrere IP-Adressen und dem internen Netzwerkadapter mindestens eine IP-Adresse zuweisen.

So konfigurieren Sie die Netzwerkadapter auf dem Reverseproxycomputer

  1. Öffnen Sie auf dem Server, auf dem ISA Server 2006 ausgeführt wird, den Bereich Netzwerkverbindungen, indem Sie auf Start klicken, auf Einstellungen zeigen und dann auf Netzwerkverbindungen klicken.

  2. Klicken Sie mit der rechten Maustaste auf die externe Netzwerkverbindung, die Sie für die externe Schnittstelle verwenden möchten, und klicken Sie dann auf Eigenschaften.

  3. Klicken Sie auf der Seite Eigenschaften auf die Registerkarte Allgemein, klicken Sie in der Liste Diese Verbindung verwendet folgende Elemente auf Internetprotokoll (TCP/IP), und klicken Sie dann auf Eigenschaften.

  4. Konfigurieren Sie auf der Seite Internetprotokolleigenschaften (TCP/IP) die IP-Adressen und die DNS-Serveradressen entsprechend dem Netzwerk, an das der Netzwerkadapter angeschlossen ist.

  5. Klicken Sie auf OK und dann nochmals auf OK.

  6. Klicken Sie unter Netzwerkverbindungen mit der rechten Maustaste auf die interne Netzwerkverbindung, die Sie für die interne Schnittstelle verwenden möchten, und klicken Sie dann auf Eigenschaften.

  7. Wiederholen Sie die Schritte 3 bis 5, um die interne Netzwerkverbindung zu konfigurieren.

Installieren von ISA Server 2006

Installieren Sie ISA Server 2006 gemäß den Installationsanweisungen des Produkts. Ausführliche Informationen zur Installation von ISA Server finden Sie unter ISA Server 2006 – Erste Schritte.

Anfordern und Konfigurieren eines Zertifikats für den HTTP-Reverseproxy

Sie müssen das Zertifikat der Stammzertifizierungsstelle, die das Serverzertifikat auf dem Webserver (d. h. dem IIS-Server, auf dem die Webkomponenten von Office Communications Server ausgeführt werden) ausgestellt hat, auf dem Server installieren, auf dem ISA Server 2006 ausgeführt wird.

Sie müssen ein Webserverzertifikat auf dem ISA Server-Computer installieren. Dieses Zertifikat sollte dem veröffentlichten FQDN der externen Webfarm entsprechen, auf der Besprechungsinhalte und Adressbuchdateien gehostet werden.

Wenn die interne Bereitstellung aus mehreren Standard Edition-Servern oder Enterprise-Pools besteht, müssen Sie Webveröffentlichungsregeln für jeden externen Webfarm-FQDN konfigurieren.

Konfigurieren der Webveröffentlichungsregeln

ISA Server verwendet Webveröffentlichungsregeln zum sicheren Veröffentlichen von internen Ressourcen, z. B. einer Besprechungs-URL im Internet. Beim Veröffentlichen von Informationen für Internetbenutzer werden Computerressourcen im internen Netzwerk für Benutzer außerhalb des Netzwerks verfügbar gemacht.

Erstellen Sie mit dem folgenden Verfahren Webveröffentlichungsregeln.

Dd441312.note(de-de,office.13).gifHinweis:
Bei diesem Verfahren wird davon ausgegangen, dass Sie ISA Server 2006 Standard Edition installiert haben.

So erstellen Sie eine Webveröffentlichungsregel auf dem Computer, auf dem ISA Server 2006 ausgeführt wird

  1. Klicken Sie auf Start, zeigen Sie auf Programme und dann auf Microsoft ISA Server, und klicken Sie auf ISA Server-Verwaltung.

  2. Erweitern Sie im linken Bereich ServerName, klicken Sie mit der rechten Maustaste auf Firewallrichtlinie, zeigen Sie auf Neu, und klicken Sie dann auf Website-Veröffentlichungsregel.

  3. Geben Sie auf der Seite Willkommen einen Anzeigenamen für die Veröffentlichungsregel ein (z. B. OfficeCommunicationsWebDownloadsRule), und klicken Sie dann auf Weiter.

  4. Klicken Sie auf der Seite Regelaktion auswählen auf Zulassen und dann auf Weiter.

  5. Aktivieren Sie auf der Seite Veröffentlichungstyp die Option Einzelne Website oder Lastenausgleich veröffentlichen, und klicken Sie dann auf Weiter.

  6. Klicken Sie auf der Seite Sicherheit der Serververbindung auf SSL verwenden, um eine Verbindung zum veröffentlichten Webserver oder zur Serverfarm herzustellen, und klicken Sie dann auf Weiter.

  7. Geben Sie auf der Seite Interne Veröffentlichungsdetails im Feld Interner Sitename den FQDN der internen Webfarm ein, auf der Besprechungsinhalte und Adressbuchdateien gehostet werden.

    Dd441312.note(de-de,office.13).gifHinweis:
    Wenn der interne Server ein Standard Edition-Server ist, entspricht dieser FQDN dem vollqualifizierten Domänennamen des Standard Edition-Servers. Ist der interne Server ein Enterprise-Pool, ist dieser FQDN der vollqualifizierte Domänenname der internen Webfarm.
    ISA Server muss in der Lage sein, den FQDN für die IP-Adresse des internen Webservers aufzulösen. Wenn ISA Server den FQDN nicht in eine ordnungsgemäße IP-Adresse auflösen kann, können Sie Name oder IP-Adresse eines Computers verwenden, um eine Verbindung zum veröffentlichten Server herzustellen wählen und dann die IP-Adresse des internen Webservers in das Feld Computername oder IP-Adresse eingeben. Stellen Sie in diesem Fall sicher, dass ISA Server Port 53 geöffnet hat und einen internen DNS-Server oder einen DNS-Server im Umkreisnetzwerk erreichen kann.

  8. Geben Sie auf der Seite Interne Veröffentlichungsdetails im Feld Pfad (optional) als Pfad zu dem zu veröffentlichenden Ordner /* ein, und klicken Sie dann auf Weiter.

    Dd441312.note(de-de,office.13).gifHinweis:
    Sie können im Assistenten zum Veröffentlichen von Websites nur einen Pfad angeben. Weitere Pfade können Sie hinzufügen, indem Sie die Eigenschaften der Regel ändern.

  9. Vergewissern Sie sich auf der Seite Details des öffentlichen Namens, dass unter Anforderungen annehmen für die Option Diesen Domänennamen aktiviert ist, geben Sie im Feld Öffentlicher Name den FQDN der externen Webfarm ein, und klicken Sie dann auf Weiter.

  10. Klicken Sie auf der Seite Weblistener auswählen auf Neu (der Assistent für neue Weblistenerdefinition wird geöffnet).

  11. Geben Sie auf der Seite Willkommen im Feld Weblistenername einen Namen für den Weblistener ein (z. B. Webserver), und klicken Sie dann auf Weiter.

  12. Wählen Sie auf der Seite Sicherheit der Clientverbindung die Einstellung Sichere SSL-Verbindungen mit Clients erforderlich, und klicken Sie dann auf Weiter.

  13. Aktivieren Sie auf der Seite Weblistener-IP-Adressen im Listenfeld das Kontrollkästchen Extern, und klicken Sie dann auf IP-Adressen auswählen.

  14. Aktivieren Sie auf der Seite zur Auswahl von externen Listener-IP-Adressen das Kontrollkästchen Angegebene IP-Adressen auf dem ISA Server-Computer im ausgewählten Netzwerk, wählen Sie die passende IP-Adresse, klicken Sie auf Hinzufügen und auf OK.

  15. Klicken Sie auf Weiter.

  16. Klicken Sie auf der Seite Listener-SSL-Zertifikate auf Jeder IP-Adresse ein Zertifikat zuweisen, wählen Sie die gerade hinzugefügte IP-Adresse aus, und klicken Sie dann auf Zertifikat auswählen.

  17. Wählen Sie auf der Seite Zertifikat auswählen das Zertifikat, das dem in Schritt 9 angegebenen öffentlichen Namen entspricht, klicken Sie auf Auswählen und dann auf Weiter.

  18. Aktivieren Sie auf der Seite Authentifizierungseinstellungen das Kontrollkästchen Keine Authentifizierung, und klicken Sie dann auf Weiter.

  19. Klicken Sie auf der Seite Einstellungen für einmaliges Anmelden (SSO) auf Weiter.

  20. Überprüfen Sie auf der Seite Fertigstellen des Assistenten die Einstellungen unter Weblistener, und klicken Sie dann auf Fertig stellen.

  21. Klicken Sie auf Weiter.

  22. Klicken Sie auf der Seite Authentifizierungsdelegierung auf Keine Delegierung, aber direkte Authentifizierung des Clients, und klicken Sie dann auf Weiter.

  23. Klicken Sie auf der Seite Benutzersatz auf Weiter.

  24. Überprüfen Sie auf der Seite Fertigstellen des Assistenten die Einstellungen für die Webveröffentlichungsregel, und klicken Sie dann auf Fertig stellen.

  25. Klicken Sie im Detailbereich auf Übernehmen, um die Änderungen zu speichern und die Konfiguration zu aktualisieren.

So ändern Sie die Eigenschaften der Webveröffentlichungsregel

  1. Klicken Sie auf Start, zeigen Sie auf Programme und dann auf Microsoft ISA Server, und klicken Sie auf ISA Server-Verwaltung.

  2. Erweitern Sie im linken Bereich ServerName, und klicken Sie dann auf Firewallrichtlinie.

  3. Klicken Sie im Detailbereich mit der rechten Maustaste auf die Webserververöffentlichungsregel, die Sie im vorhergehenden Verfahren erstellt haben (beispielsweise auf OfficeCommunicationsServerExternalRegel), und klicken Sie dann auf Eigenschaften.

  4. Klicken Sie auf der Seite Eigenschaften auf die Registerkarte Von:

    • Klicken Sie in der Liste Diese Regel betrifft Datenverkehr von diesen Quellen auf Beliebig, und klicken Sie dann auf Entfernen.
    • Klicken Sie auf Hinzufügen.
    • Erweitern Sie im Dialogfeld Netzwerkidentitäten hinzufügen den Eintrag Netzwerke, klicken Sie auf Extern, dann auf Hinzufügen und zuletzt auf Schließen.

  5. Wenn Sie einen anderen Pfad zum Webserver veröffentlichen möchten, klicken Sie auf die Registerkarte Pfade. Klicken Sie dann auf Hinzufügen, geben Sie /* für den zu veröffentlichenden Pfad ein, und klicken Sie dann auf OK.

  6. Klicken Sie auf Übernehmen, um die Änderungen zu speichern, und klicken Sie dann auf OK.

  7. Klicken Sie im Detailbereich auf die Schaltfläche Übernehmen, um die Änderungen zu speichern und die Konfiguration zu aktualisieren.

Überprüfen oder Konfigurieren der Authentifizierung und Zertifizierung für virtuelle IIS-Verzeichnisse

Führen Sie das folgende Verfahren aus, um die Zertifizierung für die virtuellen IIS-Verzeichnisse zu konfigurieren oder um zu überprüfen, ob die Zertifizierung richtig konfiguriert ist. Führen Sie das folgende Verfahren für jeden IIS-Server im internen Office Communications Server aus.

Dd441312.note(de-de,office.13).gifHinweis:
Das folgende Verfahren bezieht sich auf die Standardwebsite in Internetinformationsdienste (IIS).

So überprüfen oder konfigurieren Sie die Authentifizierung und Zertifizierung für virtuelle IIS-Verzeichnisse

  1. Klicken Sie auf Start, zeigen Sie auf Alle Programme und dann auf Verwaltung, und klicken Sie auf Internetinformationsdienste-Manager.

  2. Erweitern Sie im Internetinformationsdienste-Manager den Servernamen und anschließend Websites.

  3. Klicken Sie mit der rechten Maustaste auf die <standardmäßige oder eine ausgewählte> Website, und klicken Sie auf Eigenschaften.

  4. Stellen Sie auf der Registerkarte Website sicher, dass Portnummer 443 im Feld SSL-Port ausgewählt ist, und klicken Sie dann auf OK.

  5. Klicken Sie auf der Registerkarte Verzeichnissicherheit unter Sichere Kommunikation auf Serverzertifikat.

  6. Klicken Sie auf der Seite Willkommen auf Weiter.

  7. Klicken Sie auf der Seite Serverzertifikat auf Vorhandenes Zertifikat zuweisen und dann auf Weiter.

  8. Vergewissern Sie sich auf der Seite SSL-Port, dass im Feld SSL-Port für diese Website die Portnummer 443 angegeben ist, und klicken Sie dann auf Weiter.

  9. Überprüfen Sie auf der Seite Zertifikatzusammenfassung, ob die Einstellungen korrekt sind, und klicken Sie dann auf Weiter.

  10. Klicken Sie auf Fertig stellen.

  11. Klicken Sie auf OK, um das Dialogfeld Eigenschaften von Standardwebsite zu schließen.

Erstellen eines DNS-Eintrags

Erstellen Sie, wie unter Konfigurieren von DNS beschrieben, einen externen DNS-A-Eintrag für die externe Schnittstelle Ihres ISA Server-Computers.

Überprüfen des Zugriffs über den Reverseproxy

Überprüfen Sie mit dem folgenden Verfahren, ob die Benutzer auf Informationen auf dem Reverseproxy zugreifen können. Möglicherweise müssen Sie die Firewall- und die DNS-Konfiguration vollständig abschließen, bevor der Zugriff ordnungsgemäß funktioniert.

So überprüfen Sie den Zugriff über das Internet auf die Website

  1. Stellen Sie den Live Meeting 2007-Client bereit, wie im Handbuch für die Bereitstellung des Microsoft Office Live Meeting 2007-Clients beschrieben.

  2. Öffnen Sie einen Webbrowser, und geben Sie wie folgt in dessen Adressleiste die URLs ein, die von den Clients für den Zugriff auf die Adressbuchdateien und die Website für Webkonferenzen verwendet werden.

    • Geben Sie für den Adressbuchserver eine URL ähnlich der folgenden ein: https://Externer FQDN der Webfarm/abs/ext, wobei Externer FQDN der Webfarm der externe FQDN der Webfarm ist, die die Dateien des Adressbuchservers hostet. Der Benutzer sollte eine HTTP-Anforderung erhalten, weil die Verzeichnissicherheit für den Ordner des Adressbuchservers standardmäßig für Microsoft Windows-Authentifizierung konfiguriert ist.
    • Geben Sie für Webkonferenzen eine URL ähnlich der folgenden ein: https://Externer FQDN der Webfarm/conf/ext/Tshoot.html, wobei Externer FQDN der Webfarm der externe FQDN der Webfarm ist, die die Besprechungsinhalte hostet. Unter dieser URL sollte die Problembehandlungsseite für Webkonferenzen angezeigt werden.
    • Geben Sie für die Verteilergruppenerweiterung eine URL ähnlich der folgenden ein: https://Externer FQDN der Webfarm/GroupExpansion/ext/service.asmx. Der Benutzer sollte eine HTTP-Anforderung erhalten, weil die Verzeichnissicherheit für den Erweiterungsdienst von Verteilergruppen standardmäßig für Microsoft Windows-Authentifizierung konfiguriert ist.