Office Communications Server 2007 – krok po kroku (część 8)

Autor: Jacek Światowiak

Opublikowano: 8 sierpnia 2008

Zawartość strony

	W poprzedniej części
	Krok 3 – konfiguracja serwera Edge
	Krok 4 - konfiguracja certyfikatów
	Krok 5 – start usług
	Serwisy na serwerze Edge
	Krok 6 - weryfikacja poprawności działania serwera Edge
	Uaktualnienia wymagane na serwerze FRONT-END
	Uaktualnienia wymagane na serwerze EDGE
	W następnej części

W poprzedniej części

W poprzedniej części omówiliśmy zagadnienia związane z delegacją uprawnień administracyjnych. Omówiliśmy pakiety językowe i rozszerzenia językowe MUI. Dokończyliśmy zagadnienia i graniczenia dostępu via CWA. Rozpoczęliśmy omawianie serwera Edge. Pora na dokończenie procesu aktywacji serwera Edge i jego konfigurację.

 Do początku strony

Krok 3 – konfiguracja serwera Edge

Z okna konfiguracyjnego wybieramy krok 3 - Configure Edge Server.

Rys. 8.1: Rozpoczęcie fazy konfiguracji serwera Edge

Nastąpi uruchomienie kreatora konfiguracji serwera Edge. Na rysunku poniżej przedstawiono okno wstępne kreatora konfiguracji serwera Edge.

Rys. 8.2: Rozpoczęcie pracy kreatora konfiguracji serwera Edge

Kreator pozwala na przekazanie pewnych parametrów konfiguracyjnych do instalatora. Parametry te podaje się z pliku konfiguracyjnego. Mogą to być parametry uzyskane np. z wersji pilotażowej czy testowej. Poniżej widok okna Import Settings From a File .

Rys. 8.3: Import konfiguracji z pliku

Proces konfiguracji rozpoczyna się od określenia adresu IP przypisanego do interfejsu wewnętrznego oraz podania nazwy FQDN związanej z tym interfejsem. Poniżej na rysunku podana jest również lista numerów portów wykorzystywana przez poszczególne komponenty serwera Edge. W omawianym przypadku, serwer pełni wszystkie role Access/Web Conferencing oraz A/V. Poniżej widok okna Internal Interface.

Rys. 8.4: Konfiguracja interfejsu wewnętrznego serwera Edge

Następnie definiujemy adresy dla interfejsów zewnętrznych dla poszczególnych funkcjonalności. Nie możemy korzystać z tego samego adresu IP, gdyż wykorzystuje się domyślnie ten sam numer portu TCP/443. Można oczywiście zmienić numer portu, ale tego typu konfiguracja – jest już traktowana, jako konfiguracja niestandardowa i może wymagać zmian po stronie klienta. Dla rozróżnienia poszczególnych funkcjonalności, każda z ról ma przypisaną inną nazwę (pole FQDN). Poniżej widok okna External Interface.

Uwaga informacyjna.

W stosunku do planowanego pierwotnie nazewnictwa oraz przydziału adresów IP dokonano zmiany na interfejsach zewnętrznych serwera OCS-EDGE. W tabeli 8.1 poniżej zabrano podsumowanie zmian. Zmiany te są wymagane w związku z planowaną publikacją serwera OCS-Edge poprzez serwer ISA 2006 do Internetu, a środowiska wymaga wykorzystania publicznych adresów IP. Zagadnienie zostanie dodatkowo wyjaśnione w części 10 poświęconej publikacji z wykorzystaniem serwera ISA.

Przeznaczenie serwera

Adres IP

Nazwa serwera

Access Edge Server

• 50.51.1

sip.test.com

Web Conferencing Server

• 50.51.2

web-edge.test.com

A/V Conferencing Server

• 50.51.3

av-edge.test.com

 

Tabela 8.1: Adresacja oraz nazewnictwo poszczególnych ról serwera Edge

Rys. 8.5: Konfiguracja interfejsów zewnętrznych serwera Edge

W oknie kolejnym istnieje możliwość włączenia obsługi funkcjonalności dodatkowych:

• Anonimowe podłączanie pod konferencje
• Włączenie obsługi domen typu federated (stowarzyszonych)
• Wymiana komunikacji IM z innymi dostawcami, jak MSN, Yahoo oraz AOL

Poniżej przedstawiono wygląd okna Enable Features on Access Edge Server.

Rys. 8.6: Włączanie funkcjonalności dodatkowych serwera Edge

Serwery Edge muszą się komunikować z serwerem wewnętrznym infrastruktury OCS. W kolejnym oknie definiuje się nazwę FQDN wewnętrznego serwera wersji SE lub puli serwerów wersji EE lub sprzętowego load balancera.

Uwaga informacyjna

Należy zapewnić prawidłowe rozwiązywanie nazw przez serwer Edge, gdyż inaczej nie będzie można zapewnić prawidłowej komunikacji pomiędzy serwerem EDGE z serwerem wewnętrznym.

Widok okna FQDN of Internal Next Hop Server przedstawia poniższy rysunek.

Rys. 8.7: Określanie nazwy FQDN wewnętrznych serwerów organizacji OCS 2007

W kolejnym oknie podajemy nazwy obsługiwanych wewnętrznych domen SIP. Widok okna Authorized Internal SIP domain przedstawia rysunek poniżej.

Rys. 8.8: Podawanie obsługiwanych wewnętrznych domen SIP

Następnie podajemy nazwy wewnętrznych, autoryzowanych serwerów infrastruktury OCS. W wersji Standard Edition jest to serwer Front-End. Poniżej przedstawiono widok okna Authorized Internal Servers.

Rys. 8.9: Nazwy wewnętrznych autoryzowanych serwerów infrastruktury OCS 2007

Poniżej przedstawiono okno podsumowania kreatora konfiguracji - Configure your Edge Server.

Rys. 8.10: Okno podsumowanie kreatora konfiguracji

Pełna zawartość podsumowania przedstawiona jest tabeli poniżej.

Access Edge Server: Activated

Web Conferencing Edge Server: Activated

A/V Edge Server: Activated

Internal interface IP address: 192.168.0.85

Internal interface FQDN: ocs-edge.test.local

Internal interface port for Access Edge Server: 5061

Internal interface port for Web Conferencing Edge Server: 8057

Internal interface port for A/V Conferencing Server: 443

External interface IP address for Access Edge Server: 50.50.51.1

External interface FQDN for Access Edge Server: sip.test.com

External interface federation port for Access Edge Server: 5061

External interface remote access port for Access Edge Server: 443

External interface IP address for Web Conferencing Edge Server: 50.50.51.2

External interface FQDN for Web Conferencing Edge Server: web-edge.test.com

External interface port for Web Conferencing Edge Server: 443

External interface IP address for A/V Edge Server: 50.50.51.3

External interface FQDN for A/V Edge Server: av-edge.test.com

External interface port for A/V Edge Server: 443

Access Edge Server remote employee access: Enabled

Access Edge Server allows anonymous users: True

Access Edge Server allows remote users: False

Access Edge Server federation: Disabled

Access Edge Server internal next hop: ocs.test.local

Access Edge Server internal SIP domains:

test.local

Internal Enterprise pools or Standard Edition Servers:

ocs.test.local

Wyróżnione nazwy są ważne, gdyż na nie zostać muszą wystawione certyfikaty SSL w kolejnym kroku konfiguracji serwera Edge. Poniżej okno informacyjne kreatora konfiguracji serwera Edge. Operacja zakończona powodzeniem.

Rys. 8.11: Operacja konfiguracji serwera Edge zakończona powodzeniem

Można podejrzeć raport z procesu konfiguracji serwera Edge. Poniżej przedstawiono okno podsumowania generowane przez kreatora konfiguracji serwera Edge w formacie HTML.

Rys. 8.12: Okno podsumowania generowane przez kreatora konfiguracji serwera Edge

Następnym krokiem jest wygenerowanie żądań i zainstalowane certyfikatów SSL dla poszczególnych ról serwera Edge. W omawianym przykładzie mamy cztery interfejsy sieciowe, każdy ma zdefiniowaną inną nazwę, zatem będą to cztery niezależne certyfikaty. Zamiast czterech niezależnych certyfikatów można posłużyć się jednym, wykorzystujących nazwy alternatywne (certyfikatem typu SAN).

Uwaga informacyjna.

Dokumentacja produktowa wspomina, iż dla każdej z ról oraz dla interfejsu wewnętrznego należy przydzielić oddzielny FIZYCZNY INTERFEJS SIECIOWY – zatem w omawianym przypadku są to cztery karty sieciowe. Teoretycznie taką konfigurację można by zrealizować przypisując wiele adresów IP do jednego interfejsu – lecz dokumentacja wspomina, iż nie jest to zalecane. Problematyczne jednak może być prawidłowe skonfigurowanie routingu (Default gateway) w takiej konfiguracji. Zagadnienie to będzie omawiać następna część artykułu poświęcona publikacji serwera Edge do Internetu poprzez firewall’e, na przykładzie serwera ISA 2006.

 Do początku strony

Krok 4 - konfiguracja certyfikatów

Okno rozpoczęcia kroku czwartego pokazano na rysunku poniżej.

Rys. 8.13: Okno wyboru kroku 4 - konfiguracji certyfikatów

Poniżej przedstawimy procedurę generacji żądań certyfikatów oraz ich konfigurację na serwerze OCS-Edge dla środowiska, gdzie serwer Edge jest członkiem domeny Active Directory. W następnej części przedstawimy konfigurację, gdy serwer jest członkiem grupy roboczej. Poniżej przedstawiono okno wstępne kreatora konfiguracji certyfikatów.

Rys. 8.14: Kreator generacji i instalacji certyfikatów

Poniżej okno wyboru zadań związanych z obsługą certyfikatów. Opcje kreatora, to:

• Tworzenie nowego żądanie certyfikatu
• Import certyfikatu z pliku p7b lub pfx
• Export certyfikatu
• Przypisane już istniejącego w magazynie certyfikatu

Z listy opcji wybieramy opcję tworzenia nowego certyfikatu – Create a New certificate.

Rys. 8.15: Tworzenie nowego żądania certyfikatu

W oknie kolejnym wybieramy interfejsy, dla których dany certyfikat ma być wygenerowany i zainstalowany. Jeżeli posługiwać się będziemy jednym certyfikatem, np. typu SAN (ang. Subject Alternate Name) można zaznaczyć kilka interfejsów od razu. Poniżej przedstawiono wygląd okna Select a komponent. Na rysunku zaznaczono wszystkie interfejsy.

Rys. 8.16: Wybór interfejsów dla, których planujemy wygenerować lub przypisać certyfikat

W następnym oknie nalezy wybrać typ jednostki certyfikującej, dla ma wystawić dany certyfikat. Okno Delayed Or Immediate Request przedstawiono poniżej. Do wyboru są dwie opcje:

• On-line – gdy dysponujemy jednostką certyfikująca klasy Enterprise
• Off-line, generacja żądania do pliku

Rys. 8.17: Okno wyboru mechanizmu generacji certyfikatu

W oknie poniżej przedstawiono proces definiowania właściwości żądania certyfikatu dla przykładowego interfejsu wewnętrznego. Dla komunikacji wewnętrznej włączanie opcji (Client EKU jest niepotrzebne). W przypadku interfejsów zewnętrznych opcja ta wymagana jest wyłącznie dla komunikacji z serwerami typu:

• Office Communication Server 2003
• Office Communication Server 2005
• Public IM Connectivity (PIC) to AOL

Dla generacji certyfikatu typu MTLS ważne jest zaznaczenia opcji: Mark cert as exportable .

Rys. 8.18: Wypełnianie opcji żądania certyfikatu

• Nazwa
• Długość klucza
• Zaznaczenie możliwości eksportu klucza prywatnego.
• Rozszerzenia dodatkowe, typu: E xtended K ey U sage

W oknach kolejnych definiujemy parametry dodatkowe związane z danymi firmy (podmiotem), dla której ma być wystawiony certyfikat. Poniżej w oknie Organization Information, podajemy dane podmiotu, dla którego wystawiany jest certyfikat: Organizacja oraz jednostka organizacyjna firmy.

Rys. 8.19: Określanie dodatkowych parametrów mających wejść do certyfikatu

W następnym okno Geographical Information, kolejne dane podmiotu, dla którego wystawiany jest certyfikat dane geograficzne): Kraj, Województwo/Stan, Miasto lub lokalizacja.

Rys. 8.20: Określanie dodatkowych parametrów mających wejść do certyfikatu

Poniżej przedstawiono wygląd okna Your Server’s Subject Name. Pole Subject name musi zawierać nazwę FQDN serwera.

Rys. 8.21: Określanie nazwy podmiotu, dla której wystawiany jest certyfikat

W przypadku, gdy serwer Edge jest członkiem domeny (zaleca się oczywiście, aby nie był) i mamy dostęp on-line do jednostki certyfikującej można poprosić o jego bezpośrednie wygenerowanie. W innym przypadku, żądanie należy zapisać do pliku.

W okno Choose a Certyfication Authority wybieramy jednostkę certyfikującą, która ma wystawić dany certyfikat. On-line – dla jednostki klasy Enterprise (zintegrowanej z Active Directory) lub Off-line.

Rys. 8.22: Wybór jednostki certyfikującej

Okno Request Summary zawiera podsumowanie informacji umieszczanych w certyfikacie.

Rys. 8.23: Okno podsumowania danych niezbędnych do generacji żądania certyfikatu

W przypadku operacji zakończonej powodzeniem, kreator poinformuje użytkownika oknem o poniżej treści. Operacja generacji certyfikatu zakończona powodzeniem.

Rys. 8.24: Okno zakończenia operacji generacji certyfikatu

Czynność tworzenia certyfikatów należy powtórzyć dla każdego interfejsu o różnej nazwie chyba, że korzystamy z certyfikatu typu SAN, w którym nazwy zostały uwzględnione. Po każdorazowej generacji certyfikatu, kreatora należy uruchomić ponownie, aby poprzednio wygenerowany certyfikat przypisać do danego interfejsu. Operacja ta NIE JEST robiona automatycznie wraz z generacją certyfikatu. Jest to ostatnia opcja z rysunku 8.15 – Assign an existing certificate .

 Do początku strony

Krok 5 – start usług

Rys. 8.25: Okno konfiguracji serwera Edge – krok 5 uruchomienie usług

Poniżej przedstawiamy poszczególne kroki kreatora startu usług na serwerze Edge. Okno wstępne kreatora startu usług przedstawiono na rysunku poniżej.

Rys. 8.26: Kreator startu usług serwera Edge

Okno Start Office Communications Server 2007 services zawiera informacje, jakie usługi zostaną uruchomione.

Rys. 8.27: Kreator startu usług serwera Edge

 Do początku strony

Serwisy na serwerze Edge

Na rysunku poniżej podajemy domyślny stan usług na serwerze Edge

Rys. 8.28: Domyślny stan usług na serwerze Edge

Na rysunkach poniżej przedstawiamy właściwości poszczególnych usług serwera Edge.

Usługa RTCSRV – Office Communications Server Access Edge.

Rys. 8.29: Właściwości poszczególnych usług serwera Edge – usługa RTCSRV

Usługa RTCMRAUTH – Office Communications Server Audio/Video Authentication.

Rys. 8.30: Właściwości poszczególnych usług serwera Edge – usługa RTCMRAUTH

Usługa RTCMEDIARELAY – Office Communications Server Audio/Video Edge.

Rys. 8.31: Właściwości poszczególnych usług serwera Edge – usługa RTCMEDIARELAY

Usługa RTCDATAPROXY – Office Communications Server Web Conferencing Edge

Rys. 8.32: Właściwości poszczególnych usług serwera Edge – usługa RTCDATAPROXY

Okno końcowe kreatora startu usług serwera Edge. Operacja startu usług serwera zakończona powodzeniem.

Rys. 8.33: Kreator startu usług serwera Edge

Poniżej okna raportu ze startu usług serwera Edge. Wszystkie usługi zostały uruchomione prawidłowo.

Rys. 8.34: Raport o stanie usług serwera Edge

 Do początku strony

Krok 6 - weryfikacja poprawności działania serwera Edge

Krok szósty to weryfikacja działania serwera Edge. Sprawdzane są następujące zagadnienia:

• Konfiguracja lokalna
• Łączność z serwerem Front-End
• Możliwość połączenia SIP oraz zestawiania konferencji typu IM
• Auto-logowanie

Rys. 8.35: Uruchomienie weryfikacji serwera – krok szósty

Poniżej przedstawiono okno wstępne kreatora weryfikacji działania serwera Edge.

Rys. 8.36: Kreator weryfikacji serwera – okno wstępne

Wybór opcji:

• Weryfikacja konfiguracji lokalnej
• Weryfikacja łączności z serwerem Front-End
• Weryfikacji połączenia SIP oraz zestawiania konferencji typu IM
• Weryfikacja auto-logowania

Rys. 8.37: Kreator weryfikacji serwera – wybór opcji weryfiakcji

W kolejnym okno User Account określamy nazwę konta użytkownika biorącego udział w procesie weryfikacji serwera Edge. Konto pierwsze.

Rys. 8.38: Kreator weryfikacji serwera

W oknie Second user account (required) określamy drugie konto użytkownika biorącego udział w procesie weryfikacji serwera Edge.

Rys. 8.39: Kreator weryfikacji serwera

W oknie Federation and Public IM Connectivity, w przypadku włączenia funkcjonalności federacji (domen stowarzyszonych), należy określić nazwy kont, dla których ma być testowana komunikacja.

Rys. 8.40: Kreator weryfikacji serwera

Niestety zakończenie procesu weryfikacji, zakończone zostało niepowodzeniem!!!

Rys. 8.41: Kreator weryfikacji serwera

Poniżej fragment raportu z weryfikacji. Komunikat wskazuje na prawdopodobne problemy z routingiem komunikatów SIP.

Uwaga praktyczna

Poniższe błędy są częste. Wynikają one z błędów konfiguracji lub raku wszystkich wymaganych uaktualnień na serwerach OCS.

Rys. 8.42: Wyciąg z raportu o błędnej konfiguracji serwera Edge

Poniżej przedstawiono wszystkie wymagane aktualizacje, aby komunikacja z serwerem Edge zakończyła się powodzeniem.

Uwaga informacyjna.

Niektóre z poniższych hotfixów nie są do pobrania ze strony Windows/Microsoft Update są dostępne bezpośrednio z poszczególnych artykułów bazy wiedzy (https://support.microsoft.com)

 Do początku strony

Uaktualnienia wymagane na serwerze FRONT-END

Rys. 8.43: Wymagane uaktualnienia na serwerze Front-End

 Do początku strony

Uaktualnienia wymagane na serwerze EDGE

Rys. 8.44: Wymagane uaktualnienia na serwerze Edge

 Do początku strony

W następnej części

Rekonfiguracja serwera OCS oraz Edge. Zarządzanie serwerem Edge.

---

Więcej informacji

• Office Communications Server 2007 – krok po kroku (część 1)
• Office Communications Server 2007 – krok po kroku (część 2)
• Office Communications Server 2007 – krok po kroku (część 3)
• Office Communications Server 2007 – krok po kroku (część 4)
• Office Communications Server 2007 – krok po kroku (część 5)
• Office Communications Server 2007 – krok po kroku (część 6)
• Office Communications Server 2007 – krok po kroku (część 7)

---

Jacek Światowiak (MCT, MCSE, MCSE+M, MCSE+S, MCTS, MCP) Absolwent Wydział Elektroniki, Telekomunikacji i Informatyki Politechniki Gdańskiej. Obecnie zatrudniony w Altkom Akademia S.A. jako Trener Technologii Microsoft. Posiada bogate doświadczenie w zakresie wdrażania różnych technologii informatycznych. Od 2002 roku wykładowca Technologii i Protokołów Sieciowych na Podyplomowym Studium Politechniki Gdańskiej. Jest współautorem skryptu dla studentów informatyki: „Protokoły IPv6 – Opis protokołów. Materiały do laboratorium”. Posiada certyfikaty MCT, MCSE, MCSE+M, MCSE+S, MCTS Microsoft Exchange Server 2007, MCP ID 3621156.

Do początku strony

---