Konfigurieren von Webveröffentlichungsregeln für einen einzelnen internen Pool in Lync Server 2013

  • Artikel

 

Letzte Änderung: 07.07.2014

Microsoft Forefront Threat Management Gateway 2010 und Internet Information Server Application Request Routing (IIS ARR) verwenden Webveröffentlichungsregeln, um interne Ressourcen wie eine Besprechungs-URL für Benutzer im Internet zu veröffentlichen.

Zusätzlich zu den Webdienst-URLs für die virtuellen Verzeichnisse müssen Sie auch Veröffentlichungsregeln für einfache URLs, die LyncDiscover-URL und den Office Web-Apps Server erstellen. Für jede einfache URL müssen Sie eine einzelne Regel im Reverseproxy erstellen, die auf diese einfache URL verweist.

Wenn Sie Mobilität bereitstellen und die automatische Ermittlung verwenden, müssen Sie eine Veröffentlichungsregel für die url des externen AutoErmittlungsdiensts erstellen. Die automatische Ermittlung erfordert auch Veröffentlichungsregeln für die externe Lync Server Web Services-URL für Ihren Directorpool und Front-End-Pool. Ausführliche Informationen zum Erstellen der Webveröffentlichungsregeln für die automatische Ermittlung finden Sie unter Configuring the reverse proxy for mobility in Lync Server 2013.

Verwenden Sie die folgenden Verfahren zum Erstellen von Webveröffentlichungsregeln.

Hinweis

Bei diesen Verfahren wird davon ausgegangen, dass Sie die Standard Edition von Forefront Threat Management Gateway (TMG) 2010 installiert oder internetinformationsserver mit der Erweiterung Application Request Routing (IIS ARR) installiert und konfiguriert haben. Sie verwenden entweder TMG oder IIS ARR.

So erstellen Sie eine Webserververöffentlichungsregel auf dem Computer mit TMG 2010

  1. Klicken Sie auf "Start", wählen Sie "Programme", dann "Microsoft Forefront TMG" und dann " Forefront TMG-Verwaltung" aus.

  2. Erweitern Sie im linken Bereich "ServerName", klicken Sie mit der rechten Maustaste auf "Firewallrichtlinie", wählen Sie " Neu" aus, und klicken Sie dann auf " Websiteveröffentlichungsregel".

  3. Geben Sie auf der Seite " Willkommen bei der neuen Webveröffentlichungsregel " einen Anzeigenamen für die Veröffentlichungsregel ein (z. B. LyncServerWebDownloadsRule).

  4. Wählen Sie auf der Seite Regelaktion auswählen die Option "Zulassen" aus.

  5. Wählen Sie auf der Seite " Veröffentlichungstyp " die Option " Einzelne Website veröffentlichen" oder "Lastenausgleich" aus.

  6. Wählen Sie auf der Seite "Serververbindungssicherheit" die Option "SSL verwenden" aus, um eine Verbindung mit dem veröffentlichten Webserver oder der Serverfarm herzustellen.

  7. Geben Sie auf der Seite " Interne Veröffentlichungsdetails " im Feld " Interner Websitename " den vollqualifizierten Domänennamen (Fully Qualified Domain Name, FQDN) der internen Webfarm ein, die Ihre Besprechungsinhalte und Adressbuchinhalte hostet.

    Hinweis

    Wenn ihr interner Server ein Standard Edition-Server ist, ist dieser FQDN der Standard Edition-Server-FQDN. Wenn es sich bei Ihrem internen Server um einen Front-End-Pool handelt, handelt es sich bei diesem FQDN um eine virtuelle IP(VIP) zum Hardwaregerät zum Lastenausgleich für die internen Webserver. Der TMG-Server muss den FQDN in die IP-Adresse des internen Webservers auflösen können. Wenn der TMG-Server den FQDN nicht in die richtige IP-Adresse auflösen kann, können Sie " Computernamen oder IP-Adresse verwenden" auswählen, um eine Verbindung mit dem veröffentlichten Server herzustellen. Geben Sie dann im Feld "Computername" oder"IP-Adresse " die IP-Adresse des internen Webservers ein. Wenn Sie dies tun, müssen Sie sicherstellen, dass Port 53 auf dem TMG-Server geöffnet ist und dass er einen DNS-Server erreichen kann, der sich im Umkreisnetzwerk befindet. Sie können auch Einträge in der lokalen Hostdatei verwenden, um die Namensauflösung bereitzustellen.

  8. Geben Sie /* auf der Seite "Interne Veröffentlichungsdetails" im Feld "Pfad" (optional) den Pfad des ordners ein, der veröffentlicht werden soll.

    Hinweis

    Im Assistenten für die Websiteveröffentlichung können Sie nur einen Pfad angeben. Zusätzliche Pfade können hinzugefügt werden, indem die Eigenschaften der Regel geändert werden.

  9. Bestätigen Sie auf der Seite " Details zum öffentlichen Namen ", dass dieser Domänenname unter "Anforderungen annehmen für" ausgewählt ist. Geben Sie den externen Webdienst-FQDN in das Feld " Öffentlicher Name " ein.

  10. Klicken Sie auf der Seite " Weblistener auswählen " auf "Neu ", um den Assistenten für die Definition neuer Weblistener zu öffnen.

  11. Geben Sie auf der Seite " Willkommen beim Assistenten für neue Weblistener " einen Namen für den Weblistener in das Namensfeld des Weblisteners ein (z. B. LyncServerWebServers).

  12. Wählen Sie auf der Seite " Clientverbindungssicherheit " die Option "SSL-gesicherte Verbindungen mit Clients anfordern" aus.

  13. Wählen Sie auf der Seite " Ip-Adresse des Weblisteners " die Option "Extern" aus, und klicken Sie dann auf "IP-Adressen auswählen".

  14. Wählen Sie auf der Auswahlseite für externe Listener-IP-Adressen auf dem Forefront-TMG-Computer im ausgewählten Netzwerk die angegebene IP-Adresse aus, wählen Sie die entsprechende IP-Adresse aus, und klicken Sie auf "Hinzufügen".

  15. Wählen Sie auf der Seite "Listener SSL-Zertifikate " die Option "Zertifikat für jede IP-Adresse zuweisen" aus, wählen Sie die IP-Adresse aus, die dem externen Web-FQDN zugeordnet ist, und klicken Sie dann auf "Zertifikat auswählen".

  16. Wählen Sie auf der Seite "Zertifikat auswählen " das Zertifikat aus, das den in Schritt 9 angegebenen öffentlichen Namen entspricht, und klicken Sie auf "Auswählen".

  17. Wählen Sie auf der Seite "Authentifizierungseinstellung"die Option "Keine Authentifizierung" aus.

  18. Klicken Sie auf der Seite "Einmaliges Anmelden" auf"Weiter".

  19. Überprüfen Sie auf der Seite "Abschließen des Weblistener-Assistenten ", ob die Weblistenereinstellungen korrekt sind, und klicken Sie dann auf "Fertig stellen".

  20. Wählen Sie auf der Seite "Authentifizierungsdelegierung " die Option "Keine Delegierung" aus, aber der Client kann sich direkt authentifizieren.

  21. Klicken Sie auf der Seite "Benutzersatz " auf "Weiter".

  22. Überprüfen Sie auf der Seite "Abschluss des Assistenten für neue Webveröffentlichungsregel ", ob die Einstellungen der Webveröffentlichungsregel korrekt sind, und klicken Sie dann auf "Fertig stellen".

  23. Klicken Sie im Detailbereich auf "Übernehmen ", um die Änderungen zu speichern und die Konfiguration zu aktualisieren.

So erstellen Sie eine Webserververöffentlichungsregel auf dem Computer, auf dem IIS ARR ausgeführt wird

  1. Binden Sie das Zertifikat, das Sie für den Reverseproxy verwenden, an das HTTPS-Protokoll. Klicken Sie auf "Start", wählen Sie "Programme", dann " Verwaltungstools" und dann auf "Internetinformationsdienste(IIS)-Manager" aus.

    Hinweis

    Weitere Hilfe, Screenshots und Anleitungen zum Bereitstellen und Konfigurieren von IIS ARR finden Sie im NextHop-Artikel Verwenden von IIS ARR als Reverseproxy für Lync Server 2013.

  2. Wenn dies noch nicht geschehen ist, importieren Sie das Zertifikat, das Sie für den Reverseproxy verwenden. Klicken Sie im Internetinformationsdienste-Manager (IIS) auf den Namen des Reverseproxyservers auf der linken Seite der Konsole. Suchen Sie in der Mitte der Konsole unter IISnach Serverzertifikaten. Klicken Sie mit der rechten Maustaste auf "Serverzertifikate ", und wählen Sie "Feature öffnen" aus.

  3. Klicken Sie auf der rechten Seite der Konsole auf "Importieren...". Geben Sie den Pfad und Dateinamen des Zertifikats mit der Erweiterung ein, oder klicken Sie auf ... , um nach dem Zertifikat zu suchen. Wählen Sie das Zertifikat aus, und klicken Sie auf "Öffnen". Geben Sie das Kennwort an, das zum Schützen des privaten Schlüssels verwendet wird (wenn Sie beim Exportieren des Zertifikats und des privaten Schlüssels ein Kennwort zugewiesen haben). Klicken Sie auf OK. Wenn der Zertifikatimport erfolgreich war, wird das Zertifikat als Eintrag in der Mitte der Konsole als Eintrag in Serverzertifikaten angezeigt.

  4. Weisen Sie das Zertifikat zur Verwendung durch HTTPS zu. Wählen Sie auf der linken Seite der Konsole die Standardwebsite des IIS-Servers aus. Klicken Sie auf der rechten Seite auf "Bindungen...". Klicken Sie im Dialogfeld "Websitebindungen " auf "Hinzufügen...". Wählen Sie im Dialogfeld "Websitebindung hinzufügen " unter "Typ:" die Option "https" aus. Wenn Sie https auswählen, können Sie das Zertifikat auswählen, das für https verwendet werden soll. Wählen Sie unter "SSL-Zertifikat:" das Zertifikat aus, das Sie für den Reverseproxy importiert haben. Klicken Sie auf OK. Klicken Sie dann auf "Schließen". Das Zertifikat ist jetzt an den Reverseproxy für SSL (Secure Socket Layer) und TlS (Transport Layer Security) gebunden.

    Wichtig

    Wenn Beim Schließen der Bindungsdialogfelder eine Warnung angezeigt wird, dass Zwischenzertifikate fehlen, müssen Sie das Zertifikat der öffentlichen Zertifizierungsstelle und alle Zwischenzertifizierungsstellenzertifikate suchen und importieren. Lesen Sie die Anweisungen bei der öffentlichen Zertifizierungsstelle, bei der Sie Ihr Zertifikat angefordert haben, und folgen Sie den Anweisungen zum Anfordern und Importieren einer Zertifikatkette. Wenn Sie das Zertifikat von Ihrem Edgeserver exportiert haben, können Sie das Zertifikat der Stammzertifizierungsstelle und alle dem Edgeserver zugeordneten Zwischenzertifizierungsstellenzertifikate exportieren. Importieren Sie das Stammzertifizierungsstellenzertifikat in den Speicher der vertrauenswürdigen Stammzertifizierungsstellen des Computers (nicht zu verwechseln mit dem Benutzerspeicher) sowie zwischengeschaltete Zertifikate in den Speicher der Zwischenzertifizierungsstellen des Computers.

  5. Klicken Sie auf der linken Seite der Konsole unter dem IIS-Servernamen mit der rechten Maustaste auf "Serverfarmen ", und klicken Sie dann auf " Serverfarm erstellen...".

    Hinweis

    Wenn der Knoten " Serverfarmen " nicht angezeigt wird, müssen Sie das Anwendungsanforderungsrouting installieren. Ausführliche Informationen finden Sie unter Einrichten von Reverseproxyservern für Lync Server 2013.

    Geben Sie im Dialogfeld " Serverfarm erstellen " im Namen der Serverfarm einen Namen (dies kann ein Anzeigename für Identifikationszwecke sein) für die erste URL ein. Klicken Sie auf Weiter.

  6. Geben Sie im Dialogfeld " Server hinzufügen " unter " Serveradresse" den vollqualifizierten Domänennamen (Fully Qualified Domain Name, FQDN) der externen Webdienste auf dem Front-End-Server ein. Die Namen, die hier zu Beispielzwecken verwendet werden, sind die gleichen, die im Planungsabschnitt für den Reverseproxy, Zertifikatzusammenfassung – Reverseproxy in Lync Server 2013 verwendet werden. In Bezug auf die Reverseproxyplanung geben wir den FQDN webext.contoso.comein. Vergewissern Sie sich, dass das Kontrollkästchen neben "Online " aktiviert ist. Klicken Sie auf "Hinzufügen" , um den Server zum Pool der Webserver für diese Konfiguration hinzuzufügen.

    Warnung

    Lync Server verwendet Hardwarelastenausgleichsgeräte zum Pool-Director und Front-End-Server für HTTP- und HTTPS-Datenverkehr. Sie geben nur einen FQDN an, wenn Sie der IIS ARR-Serverfarm einen Server hinzufügen. Der FQDN ist der Front-End-Server oder Director in Nicht-Pool-Serverkonfigurationen oder der FQDN des konfigurierten Hardwarelastenausgleichs für Serverpools. Die einzige unterstützte Methode zum Lastenausgleich von HTTP- und HTTPS-Datenverkehr ist die Verwendung von Hardwaregerät zum Lastenausgleich.

  7. Klicken Sie im Dialogfeld " Server hinzufügen " auf "Erweiterte Einstellungen...". Dadurch wird ein Dialogfeld zum Definieren des Anwendungsanforderungsroutings für Anforderungen an den konfigurierten FQDN geöffnet. Der Zweck besteht darin, neu zu definieren, welcher Port verwendet wird, wenn die Anforderung von IIS ARR verarbeitet wird.

    Standardmäßig muss der HTTP-Zielport als 8080 definiert sein. Klicken Sie neben dem aktuellen httpPort 80 , und legen Sie den Wert auf 8080 fest. Klicken Sie neben dem aktuellen httpsPort 443 , und legen Sie den Wert auf 4443 fest. Belassen Sie den Gewichtungsparameter auf 100. Bei Bedarf können Sie Gewichtungen für eine bestimmte Regel neu definieren, sobald Sie über Basisplanstatistiken verfügen. Klicken Sie auf "Fertig stellen ", um diesen Teil der Regelkonfiguration abzuschließen.

  8. Möglicherweise wird ein Dialogfeld "Regeln neu schreiben" angezeigt, das Sie darüber informiert, dass der IIS-Manager eine URL-Umschreibregel erstellen kann, um alle eingehenden Anforderungen automatisch an die Serverfarm weiterzuleiten. Klicken Sie auf Ja. Sie passen die Regeln manuell an, aber wenn Sie "Ja" auswählen, wird die Anfangskonfiguration festgelegt.

  9. Klicken Sie auf den Namen der Serverfarm, die Sie soeben erstellt haben. Doppelklicken Sie unter "Serverfarm " in der ANSICHT "IIS-Manager-Features" auf "Zwischenspeichern". Deaktivieren Sie " Datenträgercache aktivieren". Klicken Sie auf der rechten Seite auf "Übernehmen ".

  10. Klicken Sie auf den Namen der Serverfarm. Doppelklicken Sie unter "Serverfarm " in der IIS-Manager-Featuresansicht auf "Proxy". Ändern Sie auf der Seite "Proxyeinstellungen" den Wert für Timeout (Sekunden) in einen wert, der für Ihre Bereitstellung geeignet ist. Klicken Sie auf 'Übernehmen' , um die Änderung zu speichern.

    Wichtig

    Der Proxytimeoutwert ist eine Zahl, die von Bereitstellung zu Bereitstellung variieren wird. Sie sollten Ihre Bereitstellung überwachen und den Wert für die optimale Benutzererfahrung für Clients ändern. Möglicherweise können Sie den Wert auf 200 festlegen. Wenn Sie mobile Lync-Clients in Ihrer Umgebung unterstützen, sollten Sie den Wert auf 960 festlegen, um das Timeout für Pushbenachrichtigungen von Office 365 mit einem Timeoutwert von 900 zuzulassen. Es ist sehr wahrscheinlich, dass Sie den Timeoutwert erhöhen müssen, um zu vermeiden, dass die Clientverbindung getrennt wird, wenn der Wert zu niedrig ist, oder die Anzahl verringern, wenn Verbindungen über den Proxy nicht getrennt werden und lange nach dem Trennen des Clients gelöscht werden. Die Überwachung und Grundauskleidung, die für Ihre Umgebung normal ist, ist das einzige genaue Mittel, um zu bestimmen, wo die richtige Einstellung für diesen Wert ist.

  11. Klicken Sie auf den Namen der Serverfarm. Doppelklicken Sie unter "Serverfarm " in der IIS-Manager-Featuresansicht auf " Routingregeln". Deaktivieren Sie im Dialogfeld "Routingregeln" unter "Routing" das Kontrollkästchen neben "SSL-Ausladen aktivieren". Wenn die Möglichkeit zum Deaktivieren des Kontrollkästchens nicht verfügbar ist, aktivieren Sie das Kontrollkästchen für " URL neu schreiben" zum Überprüfen eingehender Anforderungen verwenden. Klicken Sie auf "Übernehmen ", um Ihre Änderungen zu speichern.

    Warnung

    SSL-Offloading durch den Reverseproxy wird nicht unterstützt.

  12. Wiederholen Sie die Schritte 5 bis 11 für jede URL, die den Reverseproxy durchlaufen muss. Eine allgemeine Liste wäre die folgende:

    • Externe Front-End-Server-Webdienste: webext.contoso.com (bereits durch erste Schritte konfiguriert)

    • Director-Webdienste extern für Director: webdirext.contoso.com (optional, wenn ein Director bereitgestellt wird)

    • Einfache URL-Besprechung: meet.contoso.com

    • Einfache URL-Einwahl: dialin.contoso.com

    • Lync-AutoErmittlungs-URL: lyncdiscover.contoso.com

    • Office Web-Apps Server-URL: officewebapps01.contoso.com

      Wichtig

      Die URL für den Office Web-Apps Server verwendet eine andere httpsPort-Adresse. In Schritt 7 definieren Sie den httpsPort als 443 und den httpPort als Port 80. Alle anderen Konfigurationseinstellungen sind identisch.

  13. Klicken Sie auf der linken Seite der Konsole auf den IIS-Servernamen. Suchen Sie in der Mitte der Konsole die URL-Umschreibung unter IIS. Doppelklicken Sie auf "URL neu schreiben", um die Konfiguration der URL-Neuschreibregeln zu öffnen. Es sollten Regeln für jede Serverfarm angezeigt werden, die Sie in den vorherigen Schritten erstellt haben. Falls nicht, vergewissern Sie sich, dass Sie auf den IIS-Servernamen direkt unterhalb des Knotens "Startseite" in der Konsole "Internetinformationen Server-Manager" geklickt haben.

  14. Im Dialogfeld "URL neu schreiben " lautet der vollständige Name der angezeigten Regel ARR_webext.contoso.com_loadbalance_SSL, wobei webext.contoso.com als Beispiel verwendet wird.

    • Doppelklicken Sie auf die Regel, um das Dialogfeld " Eingehende Regel bearbeiten " zu öffnen.

    • Klicken Sie im Dialogfeld "Bedingungen" auf "Hinzufügen...".

    • Geben Sie in der Eingabe "Bedingung hinzufügen"{HTTP_HOST} ein. (Während der Eingabe wird ein Dialogfeld angezeigt, in dem Sie die Bedingung auswählen können).) unter "Überprüfen, ob Eingabezeichenfolge: Wählen Sie "Entspricht dem Muster" aus. In the Pattern input type *. "Groß-/Kleinschreibung ignorieren " sollte ausgewählt werden. Klicken Sie auf OK.

    • Scrollen Sie im Dialogfeld "Eingehende Regel bearbeiten " nach unten, um das Dialogfeld "Aktion " zu suchen. Aktionstyp: Sollte auf "Route to Server Farm" festgelegt werden, Schema: set to https://, Serverfarm: set to the URL that this rule applies to. In diesem Beispiel sollte dies auf webext.contoso.com festgelegt werden. Pfad: ist auf /{R:0} festgelegt.

    • Klicken Sie auf "Übernehmen ", um Ihre Änderungen zu speichern. Klicken Sie auf "Zurück zu Regeln ", um zu den URL-Neuschreibregeln zurückzukehren.

  15. Wiederholen Sie das in Schritt 14 definierte Verfahren für jede der von Ihnen definierten SSL-Neuschreibregeln, eine pro Serverfarm-URL.

    Warnung

    Standardmäßig werden auch HTTP-Regeln erstellt und durch die ähnliche Benennung wie die SSL-Regeln bezeichnet. In unserem aktuellen Beispiel würde die HTTP-Regel ARR_webext.contoso.com_loadbalance benannt. Es sind keine Änderungen an diesen Regeln erforderlich, und sie können sicher ignoriert werden.

So ändern Sie die Eigenschaften der Webveröffentlichungsregel in TMG 2010

  1. Klicken Sie auf "Start", zeigen Sie auf "Programme", wählen Sie "Microsoft Forefront TMG" aus, und klicken Sie dann auf "Forefront TMG-Verwaltung".

  2. Erweitern Sie im linken Bereich "ServerName", und klicken Sie dann auf "Firewallrichtlinie".

  3. Klicken Sie im Detailbereich mit der rechten Maustaste auf die Webserververöffentlichungsregel, die Sie im vorherigen Verfahren erstellt haben (z. B. LyncServerExternalRule), und klicken Sie dann auf "Eigenschaften".

  4. Führen Sie auf der Seite "Eigenschaften " auf der Registerkarte " Von " die folgenden Schritte aus:

    • In the This rule applies to traffic from these sources list, click Anywhere, and then click Remove.

    • Klicken Sie auf Hinzufügen.

    • Erweitern Sie in "Netzwerkentitäten hinzufügen" die Option "Netzwerke", klicken Sie auf "Extern", klicken Sie auf "Hinzufügen" und dann auf " Schließen".

  5. Stellen Sie auf der Registerkarte " An " sicher, dass das Kontrollkästchen " Ursprünglichen Hostheader weiterleiten" anstelle des tatsächlichen Hostheaders aktiviert ist.

  6. Aktivieren Sie auf der Registerkarte "Bridging " das Kontrollkästchen " Anforderung an SSL-Port umleiten ", und geben Sie dann Port 4443 an.

  7. Fügen Sie auf der Registerkarte "Öffentlicher Name " die einfachen URLs hinzu (z. B. meet.contoso.com und dialin.contoso.com).

  8. Klicken Sie auf 'Übernehmen' , um Änderungen zu speichern, und klicken Sie dann auf 'OK'.

  9. Klicken Sie im Detailbereich auf "Übernehmen ", um die Änderungen zu speichern und die Konfiguration zu aktualisieren.

So ändern Sie die Eigenschaften der Webveröffentlichungsregel in IIS ARR

  1. Klicken Sie auf "Start", wählen Sie "Programme", dann " Verwaltungstools" und dann auf "Internetinformationsdienste(IIS)-Manager" aus.

  2. Klicken Sie auf der linken Seite der Konsole auf den IIS-Servernamen.

  3. Suchen Sie in der Mitte der Konsole die URL-Umschreibung unter IIS. Doppelklicken Sie auf "URL neu schreiben", um die Konfiguration der URL-Neuschreibregeln zu öffnen.

  4. Doppelklicken Sie auf die Regel, die Sie ändern müssen. Nehmen Sie Ihre Änderungen nach Bedarf in Übereinstimmung mit URL, Bedingungen, Servervariablen oder Aktion vor.

  5. Klicken Sie auf 'Übernehmen ', um die Änderungen zu übernehmen. Klicken Sie auf "Zurück zu Regeln ", um andere Regeln zu ändern, oder schließen Sie die IIS-Manager-Konsole , wenn Sie mit den Änderungen fertig sind.