Office Communications Server 2007 – krok po kroku (część 6)
Autor: Jacek Światowiak
Opublikowano: 8 sierpnia 2008
Zawartość strony
W poprzedniej części | |
Modyfikacja szablonu SSL wykorzystywanego przy uwierzytelnianiu MTLS pomiędzy serwerami OCS 2007 | |
Instalacja Office Communications Server 2007, Communicator Web Access | |
Przystawka do zarządzania Office Communicator Web Access 2007 | |
Wymagane uaktualnienia dla Office Communications Server 2007, Web Access | |
W następnych częściach |
W poprzedniej części
W poprzedniej części pokazaliśmy klientów Office Communications Server 2007. Office Communicator 2007, Live Meeting 2007 oraz rozszerzenia do Office Outlook. W tej części pokażemy jak uzyskać dostęp do infrastruktury OCS 2007 bez konieczności instalacji dodatkowego oprogramowania, czyli dostęp via przeglądarka internetowa. Ale wstępnie omówimy zagadnienia dotyczące modyfikacji szablonu certyfikatu, który będzie wykorzystywany przy uwierzytelnianiu MTLS pomiędzy serwerami wchodzącymi w skład infrastruktury OCS 2007.
Do początku strony
Modyfikacja szablonu SSL wykorzystywanego przy uwierzytelnianiu MTLS pomiędzy serwerami OCS 2007
Widok zainstalowanej jednostki certyfikującej
Jest to jednostka pochodząca z Windows Server 2003 Enterprise Edition, gdyż dopiero od wersji Enterprise Edition można dokonywać modyfikacji szablonów, na podstawie których są generowane certyfikaty.
Rysunek 6.1: Widok przystawki do zarządzania jednostką certyfikującą – Certification Authority.
Klikamy prawym przyciskiem myszy na Certificate Template.
Rysunek 6.2: Widok standardowo zainstalowanych szablonów certyfikatów.
I wybieramy Manage.
Rysunek 6.3: Przełączenie do przystawki zarządzania szablonami certyfikatów.
Widok przystawki do zarządzania szablonami certyfikatów.
Rysunek 6.4: Widok przystawki do zarządzania szablonami certyfikatów.
Rys.6.4: Widok przystawki do zarządzania szablonami certyfikatów.
Należy teraz zduplikować szablon certyfikatu Web Server. Klikamy Duplicate Template.
Rysunek 6.5: Widok przystawki do zarządzania szablonami certyfikatów.
Właściwości duplikowanego szablonu certyfikatu. Zakładka General.
Rysunek 6.6: Właściwości duplikowanego szablonu certyfikatu - zakładka General.
Należy podać nazwę nowo tworzonego szablonu certyfikatu, okres ważności, czas odnawiania oraz miejsce przechowywania / dostępności certyfikatu.
Widok zakładki Request Handling. Przed i po modyfikacji.
Rysunek 6.7: Zakładka Request Handling – przed modyfikacją.
Rysunek 6.8: Zakładka Request Handling – po modyfikacji.
Po kliknięciu Apply na liście szablonów certyfikatów pojawi się nowy szablon.
Rysunek 6.9: Nowy dostępny szablon certyfikatów.
Należy go teraz udostępnić danej jednostce certyfikującej. W przystawce do zarządzania jednostką certyfikującą klikamy ponownie na kontenerze Certificate Template i teraz wybieramy New… a potem Certificate Template to Issue.
Rysunek 6.10: Dodanie nowego szablonu certyfikatu.
Teraz z listy wybieramy ten nowo utworzony.
Rysunek 6.11: Wybór szablonu.
Widok jednostki certyfikujące wraz z dostępnym nowym szablonem certyfikatu. Ten nowy szablon certyfikatu będzie wykorzystywany do wzajemnego uwierzytelniania się serwerów w środowisku OCS 2007 – jest to szablon MTLS (mutual TLS).
Wszystkie certyfikaty wykorzystywane w danym zamkniętym środowisku OCS 2007 muszą pochodzić z tej samej jednostki certyfikującej – tak mówi dokumentacja OCS 2007.
Rysunek 6.12: Widok jednostki certyfikujące wraz z dostępnym nowym szablonem certyfikatu.
Do początku strony
Instalacja Office Communications Server 2007, Communicator Web Access
Widok środowiska testowego
Rysunek 6.13: Widok środowiska testowego.
Środowisko testowe składa się z:
• kontrolera domeny – DC
• serwera Front-End – OCS
• serwera dostępu via web – CWA
W części pierwszej wspomnieliśmy, iż wersja Standard Edition przeznaczona jest do budowy podstawowego środowiska OCS 2007 (jako wersja jedno-serwerowa). Wspomniałem, iż pojęcie to nie jest do końca prawdziwe, teraz zagadnienie to przybliżymy.
Rola Communicator Web Access (zwana dalej CWA) nie może być łączona z innymi rolami, takimi jak: IM Conferencing Server, Web Conferencing Server, Telephony Conferencing Server, A/V Conferencing Server, Focus czy Director. Musi być postawiona na oddzielnym serwerze, podobnie jak dodatkowe role serwerów Edge.
Proces instalacji i konfiguracji
Po automatycznym uruchomieniu instalatora wybieramy opcję Deploy Other Server Roles.
Rysunek 6.14: Okno główne instalatora.
Następnie z listy dodatkowych ról serwera wybieramy – Deploy Communicator Web Access.
Rysunek 6.15: Wybór roli Communicator Web Access.
Pojawia się okno trzech kroków instalacji Communicator Web Access 2007.
Rysunek 6.16: Kroki instalacji i konfiguracji Communicator Web Access 2007.
Wymagania sprzętowe i systemowe
Podane zgodnie z dokumentem - Microsoft Office Communicator Web Access (2007 release) Planning and Deployment Guide:
Hardware (minumum):
• Architektura PC SMP 2*3.2 GHz lub Dual-Core
• 4 GB DDR RAM
• Dysk HDD 36 GB sformatowany w systemie NTFS lub partycja o podanej wielkości
• Karta sieciowa standardu Gigabit Ethernet
Software:
• Windows Server 2003 R2 SP2 lub Windows Server 2003 SP1
• Windows Installer 3 (zawarty w Windows Server 2003 SP1 lub późniejszym)
• IIS 6.0
• .NET Framework 2.0, wraz z ASP.NET 2.0
Do instalacji i aktywacji serwera będą wymagane poniższe uprawnienia:
Członkostwo w grupie:
Nadaje uprawnienia do:
Administrators (local)
Instalacji i aktywacji Communicator Web Access
Domain Admins
Instalacji i aktywacji Communicator Web Access
RTCUniversalServerAdmins
Aktywacji Communicator Web Access
Communicator Web Access pracuje w kontekście konta RTCCComponentUniversalServices, które to musi być członkiem grupy RTCHSUniversalServices.
Server CWA wykorzystuje do swojej pracy dwa typy certyfikatów:
• MTLS – do uwierzytelniania obustronnego z innymi serwerami infrastruktury OCS 2007
• SSL – do zestawienia szyfrowanego połączenia z klientem.
De facto, te certyfikaty są prawie identyczne – różnią się tylko możliwością eksportu klucza prywatnego w szablonie MTLS, także właściwie można wykorzystać ten sam certyfikat do zabezpieczenia komunikacji zarówno z innymi serwerami infrastruktury OCS 2007 jak i z klientami.
Krok 1. Instalacja Communication Web Access.
Rysunek 6.17: Krok 1 – Instalacja Communication Web Access.
Akceptacja umowy licencyjnej.
Rysunek 6.18: Akceptacja umowy licencyjnej.
Podanie danych rejestracyjnych.
Rysunek 6.19: Podanie danych rejestracyjnych.
Wybór docelowego folderu instalacyjnego.
Rysunek 6.20: Wybór docelowego folderu instalacyjnego.
Podsumowanie kroku pierwszego – instalacyjnego.
Rysunek 6.21: Podsumowanie kroku pierwszego – instalacyjnego.
Podsumowanie procesu instalacyjnego – kroku pierwszego.
Rysunek 6.22: Podsumowanie procesu instalacyjnego – kroku pierwszego.
Krok pierwszy zakończony sukcesem.
Rysunek 6.23: Krok pierwszy – instalacja - zakończony sukcesem.
Krok 2. Aktywacja Office Communicator Web Access.
Rysunek 6.24: Okno początkowe kroku 2 - aktywacji.
Wskazanie konta domenowego, z którego będzie korzystać usługa Communicator Web Access. Jest to konto, w kontekście którego pracuje pula aplikacji IIS 6.0.
Rysunek 6.25: Wybór konta, wykorzystywanego przez pulę aplikacji IIS 6.0.
Wybór certyfikatu MTLS wykorzystywanego do uwierzytelniania z innymi serwerami środowiska OCS 2007.
Rysunek 6.26: Okno wybór certyfikatu MTLS.
Okno wyboru certyfikatu. Certyfikat został wcześniej wygenerowany, manualnie na podstawie szablonu, który był tworzony na początku tej części.
Rysunek 6.27: Wybór certyfikatu typu MTLS.
Okno podsumowujące wybrany certyfikat.
Rysunek 6.28: Okno podsumowujące wybrany certyfikat.
Okno podsumowujące proces aktywacji.
Rysunek 6.29: Okno podsumowujące proces aktywacji.
Aktywacja w toku….
Rysunek 6.30: Proces aktywacji w toku.
Zakończenie kroku 2 – aktywacji.
Rysunek 6.31: Krok 2 – aktywacja – zakończona sukcesem.
Proponujemy teraz drobną modyfikację standardowo skonfigurowanego serwera IIS 6.0. Modyfikujemy port na którym pracuje witryna domyślna z 80 na np. 88. Bez tej modyfikacji instalator w kroku 3 wykryje konflikty i nie uruchomi witryny automatycznie.
Rysunek 6.32: Modyfikacja portu nasłuchiwania witryny domyślnej.
Inny widok zdefiniowanych witryn (serwerów wirtualnych).
Rysunek 6.33: Inny widok zdefiniowanych witryn (serwerów wirtualnych).
Przystępujemy teraz do kroku 3.
Krok 3. Tworzenie serwerów wirtualnych odpowiedzialnych za komunikację z użytkownikami.
Rysunek 6.34: Okno wstępne kreatora serwerów wirtualnych.
Określanie czy dany serwer ma obsługiwać użytkowników wewnętrznych czy zewnętrznych.
Rysunek 6.35: Określanie czy dany serwer ma obsługiwać użytkowników wewnętrznych czy zewnętrznych.
Wybór typu uwierzytelniania.
Rysunek 6.36: Wybór typu uwierzytelniania.
Dla wbudowanych mechanizmów uwierzytelniania możemy wybrać następujące metody: Windows Integrated (Kerberos/NTLM) lub/i Form-based.
Rysunek 6.37: Wbudowane metody uwierzytelniania.
Wybór certyfikatu SSL dla danego serwera wirtualnego.
Rysunek 6.38: Wybór certyfikatu SSL dla danego serwera wirtualnego.
Okno podsumowania przy wyborze danego certyfikatu SSL.
Rysunek 6.39: Okno podsumowania przy wyborze danego certyfikatu SSL.
Wybór adresu IP oraz numeru portu związanego z danym serwerem wirtualnym.
Rysunek 6.40: Wybór adresu IP oraz numeru portu związanego z danym serwerem wirtualnym.
Wybór nazwy dla danego serwera wirtualnego.
Rysunek 6.41: Wybór nazwy dla danego serwera wirtualnego.
Okno określające automatyczny start serwera po zakończeniu pracy kreatora konfiguracji.
Rysunek 6.42: Okno określające automatyczny start serwera po zakończeniu pracy kreatora konfiguracji.
Okno podsumowujące konfigurację danego serwera wirtualnego.
Rysunek 6.43: Okno podsumowujące konfigurację.
Okno końcowe kreatora.
Rysunek 6.44: Okno końcowe kreatora.
Krok 3 zakończony powodzeniem.
Rysunek 6.45: Krok 3 instalacji zakończony powodzeniem.
Do początku strony
Przystawka do zarządzania Office Communicator Web Access 2007
Wraz z instalacją Office Communicator Web Access 2007 instalowana jest również przystawka do zarządzania – Communicator Web Access Administrator Snap-in.
Rysunek 6.46: Okno główne instalatora – instalacja przystawki.
Przystawkę tą można również zainstalować na innym serwerze. Wymagana jest dodatkowo instalacja przystawki do zarządzania IIS 6.0 (w szczególności dotyczy to Windows XP, które to nie posiadają tej przystawki na płycie instalacyjnej!!!). Można ją pobrać z poniższego linku:
Przystawkę można zainstalować na następujących systemach operacyjnych:
• Windows Vista®, Enterprise Edition
• Windows Server 2003 SP1 lub późniejszy: Standard, Enterprise lub Datacenter Edition
• Windows Server 2003 R2 SP2: Standard, Enterprise lub Datacenter Edition
• Windows Server 2003 SP1 lub późniejszy: 64-bit edition w trybie WOW64
• Windows XP Professional SP2
Widok przystawki do zarządzania - Office Communicator Web Access Manager.
Rysunek 6.47: Widok przystawki do zarządzania - Office Communicator Web Access Manager.
Konfiguracja powyżej odpowiada następującemu schematowi połączeń.
Rysunek 6.48: Communicator Web Access – komunikacja wyłącznie dla użytkowników wewnętrznych na porcie 443.
Często jednak dostęp do infrastruktury OCS na być realizowany z zewnątrz. Dlatego bezpieczniejszym rozwiązaniem będzie, rozwiązanie pokazane poniżej.
Rysunek 6.49: Communicator Web Access – komunikacja dla użytkowników wewnętrznych na porcie 443 i zewnętrznych na porcie 444.
Aby to uzyskać należy za pomocą przystawki dodać kolejny serwer wirtualny. Ale na początku omówimy opcje samej przystawki - Office Communicator Web Access Manager.
Rysunek 6.50: Opcje przystawki na poziomie serwera.
Opcje główne:
• właściwości (certyfikat MTLS),
• import konfiguracji z pliku .xml,
• utworzenie nowego serwera wirtualnego.
W widoku Properties… przystawki można wybrać/zmienić certyfikat MTLS odpowiadający za uwierzytelnianie serwer-serwer w środowisku OCS 2007.
Rysunek 6.51: Office Communicator Web Access Manager – Properties.
Możemy utworzyć nowe/dodatkowe serwery wirtualne. Jest to ten sam kreator, jak w kroku 3 instalatora. Nie będziemy go zatem tu powtarzać. Natomiast można podejrzeć właściwości poszczególnych serwerów wirtualnych. Poniżej widać zdefiniowane serwery wirtualne o nazwach CWA Internal i CWA External oraz poszczególne parametry. Ich przeznaczenia jest oczywiste.
Widok parametrów serwera wirtualnego CWA Internal.
Rysunek 6.52: Widok parametrów serwera wirtualnego CWA Internal.
Widok parametrów serwera wirtualnego CWA External.
Rysunek 6.53: Widok parametrów serwera wirtualnego CWA External.
Właściwości serwera wirtualnego – CWA Internal – zakładka General.
Rysunek 6.54: Właściwości serwera wirtualnego – CWA Internal – zakładka General.
Właściwości serwera wirtualnego – CWA Internal – zakładka Authentication.
Rysunek 6.55: Właściwości serwera wirtualnego – CWA Internal – zakładka Authentication.
Właściwości serwera wirtualnego – CWA Internal – zakładka Connectivity.
Rysunek 6.56: Właściwości serwera wirtualnego – CWA Internal – zakładka Connectivity.
Przy wyborze serwera wirtualnego typu External – dostępne będą parametry związane z uwierzytelnianiem metodą Form-based (Time-out’y).
Rysunek 6.57: Właściwości serwera wirtualnego – CWA External – zakładka Authentication.
Do początku strony
Wymagane uaktualnienia dla Office Communications Server 2007, Web Access
Do poprawnej pracy Office Communications Server 2007, Web Access wymagane jest zainstalowanie uaktualnień pochodzących z dwóch artykułów Knowledge Base (KB) MS:
• KB 937431 – artykuł jest ogólnie dostępny do pobrania ze strony
Rysunek 6.58: Uaktualnienie KB 937431.
• KB 945056 – artykuł trzeba zamówić samodzielnie. Link i hasło przychodzi na podany adres email mniej więcej w ciągu godziny.
Rysunek 6.59: Uaktualnienie KB 945056.
Do początku strony
W następnych częściach
• Opcje i ograniczenia klienta webowego – Office Web Access 2007
• Opis narzędzi pochodzących z pakietu Office Communicator Resource Kit
• Zarządzanie komunikacją IM
• Wprowadzenie do serwerów brzegowych – Edge
Więcej informacji
- Office Communications Server 2007 – krok po kroku (część 1)
- Office Communications Server 2007 – krok po kroku (część 2)
- Office Communications Server 2007 – krok po kroku (część 3)
- Office Communications Server 2007 – krok po kroku (część 4)
- Office Communications Server 2007 – krok po kroku (część 5)
Jacek Światowiak (MCT, MCSE, MCSE+M, MCSE+S, MCTS, MCP) Absolwent Wydział Elektroniki, Telekomunikacji i Informatyki Politechniki Gdańskiej. Obecnie zatrudniony w Altkom Akademia S.A. jako Trener Technologii Microsoft. Posiada bogate doświadczenie w zakresie wdrażania różnych technologii informatycznych. Od 2002 roku wykładowca Technologii i Protokołów Sieciowych na Podyplomowym Studium Politechniki Gdańskiej. Jest współautorem skryptu dla studentów informatyki: „Protokoły IPv6 – Opis protokołów. Materiały do laboratorium”. Posiada certyfikaty MCT, MCSE, MCSE+M, MCSE+S, MCTS Microsoft Exchange Server 2007, MCP ID 3621156. |
Do początku strony |