O Office Communications Server
Protegendo OCS com o ISA Server
Alan Maddison
Visão geral:
- Funções de servidor de borda OCS 2007 R2 e topologias
- Configurando o ISA Server em uma rede de perímetro 3 lado
- Noções básicas sobre requisitos de certificado OCS
- Criar um ouvinte da Web e um proxy reverso para OCS
Conteúdo
Servidores de borda
Preparando-se
Configurando o ISA Server 2006
Uma palavra sobre certificados
Reverter proxy
Última palavras
OCS (Office Communications Server) 2007 R2 fornece recursos poderosos que permitem a você estender sua infra-estrutura de comunicação unificada a usuários fora da sua organização. Isso pode ter benefícios enorme. Recursos como Web e audiovisual (A/V) conferência, por exemplo, pode melhorar capacidade de resposta e eficiência em suas tarefas comerciais diária de uma organização.
Se você optar por implantar OCS funcionalidade aos usuários remotos e parceiros, no entanto, você deve concluir duas etapas importantes. Em primeiro lugar, será necessário implantar os servidores de borda de OCS práticas definidas no guia de segurança Office Communications Server 2007 R2. Em segundo lugar, você precisará fornecer acesso de proxy reverso para os servidores de borda. Neste artigo vai dê uma olhada no usando o ISA Server 2006 com SP1 para proteger a sua implantação OCS.
Servidores de borda
Para se comunicar com outras infra-estruturas de OCS e para permitir o acesso remoto à rede da sua organização, você precisará implantar um ou mais servidores de borda em sua rede de perímetro (também conhecido como DMZ) para que os usuários fora do firewall podem ter acesso seguro à sua implantação OCS interno. OCS 2007 R2 inclui três funções de servidor de borda, resumidas na Figura 1 , que também descreve a funcionalidade de proxy reverso.
| Figura 1 funções de servidor de borda e proxy reverso para o 2007 OCS |
| Função | Finalidade |
| Servidor de perímetro de acesso | Incluindo conectividade de IM pública, federação, conferências da Web e à funcionalidade de voz de acesso de usuário externo autenticado. |
| Servidor de borda de conferência Web | Externa da conferência e dados de colaboração. |
| A/servidor de borda A/V | Nenhum acesso de usuário externo à / V conferências e A ponto-a-ponto/V chama. |
| Reverter proxy | Grupo expansão, download de arquivo do catálogo de endereços, download de conferência da Web de conteúdo de reunião. |
Antes para a versão R2 do Office Communications Server 2007, Microsoft, suporte para quatro diferentes topologias de borda que forneceu vários níveis de sofisticação e escalabilidade. Em geral, as topologias diferente no local de várias funções de servidor de borda:
- Topologia de borda consolidado
- Topologia de borda de site único
- Topologia de borda de site único em escala
- Vários sites com uma topologia de borda de site remoto
Com o lançamento do R2, o Microsoft agora exigem que todas as funções execute no mesmo servidor com escalabilidade fornecida pelo balanceadores de carga de hardware (não há suporte para o balanceador de carga de rede, NLB, componente ou disponível no Windows). Um Topology de borda Consolidated é uma abordagem econômica que possui o benefício adicional de ser o mais simples implantar e administrar. Essa topologia funciona para todas as organizações, e para os fins deste artigo falarei sobre esse design.
Um ponto importante lembrar é que com alterações no suporte de topologia de OCS, houve algumas alterações significativas nas topologias de rede e tecnologias com suporte R2. No entanto, no R2 o/função de servidor de borda A/V deve ter um endereço IP público na placa de interface de rede externa (NIC) devido à necessidade subjacente do Traversal simples de UDP por meio de protocolo NAT (STUN).
Embora Microsoft tiver sido muito adamant sobre esse requisito, muitos administradores tem ignorado a documentação e tentaram implementar os servidores de borda OCS em um ambiente (Network Address TRANSLATION). Se você implementar NAT na frente do seu A servidores de borda A/V, os usuários pode ter problemas de conectividade intermitentes e não mesmo consiga estabelecer uma conexão.
Um ponto importante a lembrar é que oferece como da Microsoft de R2 não há mais suporte destino DNAT (conversão de endereços da rede) em um ambiente de OCS. Isso significa que o firewall ou balanceador de carga deve ser configurado com fonte NAT (SNAT) antes de introduzir R2 em seu ambiente. Finalmente, os servidores de borda não deve ser membros de um domínio do Active Directory.
Se os servidores de borda não estiverem configurados corretamente, você só criará mais de uma dor de cabeça para si mesmo quando o ISA Server é lançado para a combinação. Revisar, validar e testar a configuração de borda antes de passar.
A Figura 2 3 lado perímetro implantação Consolidated servidores de borda
Preparando-se
Para implantar a topologia de borda de OCS, VOU me concentrar em um cenário comum de implementação no qual nesse caso, um firewall, o ISA Server é implantado em uma rede de perímetro de 3-lado; uma abordagem simples e econômica que compartilha principais conceitos com topologias de firewall mais complexos. Neste projeto, as pernas três correspondem a rede interna, a rede de perímetro e a rede externa (Internet). Essa abordagem não só permite acesso de usuário externo à infra-estrutura OCS, ele também oferece suporte usando o ISA Server em uma função de proxy reverso.
a Figura 2 mostra uma exibição lógica de uma implementação de 3-lado do ISA Server. Antes de começar a configurar o ISA Server, ele é uma boa idéia para ter já dispostas de endereçamento IP e nos mapeamentos de totalmente qualificado FQDN (nome de domínio) para seus servidores de borda e o ISA Server. Isso tornará o processo de configuração muito mais simples e rápido.
a Figura 3 mostra um exemplo de uma lista de seleção adequada. Observe que eu tenha usado um intervalo de endereços IP particular para fins informativos somente; você vai ter que use endereços IP públicos.
| A Figura 3 Exemplo de configuração |
| Função | Nome de domínio totalmente qualificado | Endereço IP público | NIC | Requisitos de porta de usuário externa | Requisitos de porta de usuário interno |
| Servidor de perímetro de acesso | SIP.contoso.com | 172.16.0.2/29 | Externo | 5061,443 | 5061 |
| A/servidor de borda A/V | AV.contoso.com | 172.16.0.3/29 | Externo | 443,347850,000 59,999 | 443, 506250,000 59,999 |
| Servidor de borda de conferência Web | webconference.contoso.com | 172.16.0.4/29 | Externo | 443 | 8057 |
A Figura 4 mostra o IP endereçamento informações para o ISA Server, incluindo o endereço IP usado para publicar o site de catálogo de endereços de OCS e conteúdo utilizado pelo servidor da Web conferência de proxy reverso.
Em uma implantação de borda Consolidated, há geralmente um único servidor físico com dois NICs, um para o tráfego interno e um para o tráfego externo. O adaptador conectado à rede corporativa (interno) será tem um endereço IP do seu intervalo de endereços IP interno existente. Da NIC que se conecta a usuários remotos (externo) será use pelo menos um endereço IP (totalmente roteável) público O/servidor de borda A/V. Embora não seja estritamente necessário, é mais simples também atribuir endereços IP públicos às outras funções de borda, como na Figura 4 .
| Endereços IP de servidor do ISA a Figura 4 |
| Interface do ISA | Nome de domínio totalmente qualificado | Endereço IP |
| Externo | N/D | 172.16.0.9/29 |
| Reverter proxy | ocscontent.contoso.com | 172.16.0.10/29 |
| Perímetro | N/D | 172.16.0.1/29 |
| Interno | N/D | 192.168.0.100/24 |
Você também precisará criar sub-redes exclusivos para seu espaço de endereço IP público. O ISA Server precisará de dois endereços IP em sua interface externa (um dos quais será usado para o proxy reverso), e você terá quatro endereços IP públicos para sua rede de perímetro (três para os servidores de borda de acesso) e outro para a interface de perímetro do ISA Server. Por exemplo, isso é mostrado na Figura 3 como máscara de sub-rede de 29 bits (255.255.255.248), que daria seis endereços IP utilizáveis por sub-rede.
Se você tiverem sido alocados apenas um pequeno número de endereços IP públicos, você pode usar a conversão de endereços de rede para o servidor de perímetro de acesso e as funções de servidor de borda de conferência Web e conectar-se O/servidor de borda A/V diretamente à Internet. No entanto, essa abordagem é um pouco menos segura em que você está ignorando os recursos de inspeção de pacotes do ISA Server e exigiria uma terceira placa de interface de rede para o servidor de borda.
Configurando o ISA Server 2006
Para definir o perímetro de 3-lado, você precisará iniciar o console de gerenciamento do ISA Server e selecione redes sob o nó Configuração no painel esquerdo, como mostrado na Figura 5 . Em seguida, clique na guia modelos no painel direito e selecione o modelo de perímetro 3 lado para iniciar o assistente de modelo de rede.
Esse processo apagará as configuração existente e regras; portanto, observe que se você não estiver usando um novo sistema, você deve ter cuidado para exportar a configuração, uma opção oferecida pelo assistente na segunda tela. Clicando em Avançar na segunda tela inicia o processo de configuração fazendo a entrada os intervalos de endereço IP que definem a sua rede interna.
A Figura 5 selecionando 3 lado perímetro modelo
Você tem um número de opções para ajudar a definir o espaço de endereço interno. Se sua organização for pequena, simplesmente adicionando o adaptador de rede que está conectado à rede corporativa é suficiente. Organizações maiores precisará usar as outras opções, como a adição de intervalos de endereços IP para definir totalmente seu espaço de endereço interno.
Depois de inserir essas informações, clique em Avançar para mover para a próxima tela para definir o espaço de endereço de rede de perímetro. Ele normalmente é suficiente adicionar o adaptador que você tenha dedicado a rede de perímetro. Em seguida, você deve selecionar uma diretiva de firewall. Certifique-se de escolher a diretiva de firewall permitir irrestrito acesso e clique em Next para ir para a tela resumo onde você pode analisar sua configuração. Selecione Concluir para concluir o assistente e em seguida, para aceitar essas alterações, clique em Aplicar e em seguida OK.
O perímetro de 3-lado básico está funcionando nesse momento, mas precisa alguma configuração adicional para permitir o tráfego de rede entre os servidores de borda de OCS e usuários externos. A primeira coisa a observar é que a configuração padrão de um perímetro de 3-lado no ISA Server inclui suporte para os usuários VPN. Se você não precisa esse tipo de acesso remoto, remova este item.
Portanto, selecione Firewall Policy no painel esquerdo do console de gerenciamento do ISA e, em seguida, clique com o botão direito do mouse a regra chamada VPN Clients to Internal Network e selecione Excluir. Para aceitar as alterações, escolha a aplicar e, em seguida, OK. Duas regras permanecem: a regra de acesso irrestrito de Internet e a regra padrão.
A próxima etapa é adicionar os objetos de computador que representam os servidores de borda. Selecione a diretiva de firewall e escolha guia caixa de ferramentas, conforme mostrado na Figura 6 .
A Figura 6 regras de diretiva de firewall
Clique no botão Novo e selecione o computador no menu suspenso. Adicione o nome do servidor de borda, por exemplo perímetro de acesso e digite o endereço IP do servidor. Repita essa etapa para O Server e o Web Conferencing borda Server de borda A/V. Quando tiver terminado, você deverá ver seus objetos de computador três listados no recipiente Computadores.
A próxima etapa é adicionar os protocolos usados por OCS para a configuração do ISA Server. Você precisará adicionar dois novos protocolos, como mostrado na Figura 7 .
| Figura 7 protocolos usados por OCS |
| Nome do protocolo | Tipo de protocolo | Direção do protocolo | Intervalo de porta |
| Mútua Transport Layer Security (MTLS) / protocolo de início de sessão (SIP) | TCP | Saída | 5061 5061 |
| Traversal simples do UDP por meio do NAT (STUN) | TCP | Saída | 50.000 59,999 |
| UDP | Enviar | *50, 000-59,999 | |
| UDP | Enviar | 3478 3478 |
Observe o asterisco na Figura 7 . No R2 de 2007 de OCS, esse requisito de porta é necessário somente se você usar o/recursos de V de OCS com um parceiro federado com o Office Communications Server 2007. Os usuários remotos não serão necessário essas portas a ser aberto.
É importante enfatizar que é uma prática melhor segurança apenas abrir portas que você precisa. Por exemplo, considere A/V conferência com um parceiro federado, que requer UDP portas no intervalo 50, 000–59, 999. Se você não tiver um parceiro federado, em seguida, você não precisará abrir essas portas.
No console de gerenciamento do ISA Server, a diretiva de firewall e a guia de caixa de ferramentas selecionada, clique em Protocols, em seguida, em Novo e em protocolo para iniciar o novo Assistente de definição de protocolo. Quando inicia o assistente, digite um nome para o protocolo e clique em Next para ir para a tela de informações de conexão principal. Nessa tela clique em Novo e, em seguida, adicione as informações para o protocolo MTLS/SIP, como mostrado na Figura 7 .
Para concluir a adicionar o protocolo, clique em OK e, em seguida, o botão Next duas vezes; você não precisa configurar nada na tela conexões secundárias. Agora clique no botão Concluir na tela de resumo e repetir essas etapas para o protocolo STUN. Verifique se que você aplicar essas alterações para o ISA Server quando tiver terminado de adicionar os protocolos.
O protocolo de modelo de objeto persistente compartilhados (PSOM) (um protocolo proprietário para transportar conteúdo de conferência da Web) não está listado na Figura 7 . Isso ocorre porque PSOM é usado para o tráfego entre o servidor de conferência Web e o servidor de borda de conferência Web. Esse tráfego é enviado check-out na placa de rede interna do servidor de borda.
Depois de adicionar os dois protocolos acima da Figura 7 , a próxima etapa é criar as três regras de acesso que permitirá que usuários se conectem ao servidor de borda da Internet. Uma vez, ter essas informações à mão tornará essas etapas de configuração muito mais simples e menos propenso a erro. a Figura 8 mostra as informações será necessário criar as três regras de acesso externo.
| Configuração de regra de acesso a Figura 8 |
| Nome da regra de acesso | Ação de regra | Protocolos | Origem da regra de acesso | Destino de regra de acesso | Conjuntos de usuários |
| Borda de acesso | Permitir | HTTPSMTLS/SIP | Externo | Borda de acesso | Todos os usuários |
| A/V borda | Permitir | HTTPSSTUN | Externo | A/V borda | Todos os usuários |
| Borda de conferência da Web | Permitir | HTTPS | Externo | Borda de conferência da Web | Todos os usuários |
Comece selecionando diretiva de firewall e a guia de tarefas no console do ISA Server Management e clique em Criar regra de acesso para iniciar o assistente New Access Rule. Você pode criar as regras em qualquer ordem, portanto, vamos começar com a regra de perímetro de acesso. Depois que o assistente for iniciado, digite um nome para a regra e clique em Avançar. Na tela ação de regra, verifique se que o botão de opção permitir está marcado e clique em Avançar.
Tela a seguir exige que você adicionar os protocolos aos quais a regra se aplica. Clique no botão Adicionar no lado direito da tela para iniciar a janela Add Protocols. Sob a pasta de protocolos comuns, selecione HTTPS e pressione adicionar e selecione o protocolo STUN — que devem ser listadas na pasta definida pelo usuário e clique em Adicionar. Clique em Fechar e, em seguida, Avançar para mover para a fontes de regra de acesso tela.
Esta etapa exige que você selecione a fonte da regra de acesso, e no caso da regra de perímetro de acesso, será necessário selecionar o objeto de rede externa clicando em Adicionar e selecionando-o na pasta redes. Em seguida, clique em Fechar e, em seguida, Avançar para mover para o destino de regra de acesso tela. Nessa tela clique em Adicionar e selecione o objeto de computador do perímetro de acesso criado anteriormente na pasta computadores. Clique no botão Fechar e, em seguida, Avançar para mover para os conjuntos de usuário tela.
Deixe a seleção de padrão de conjunto de todos os usuários e clique em Next. Revise o resumo e clique em Concluir para concluir o processo. Agora você pode criar as duas regras de acesso restantes usando as informações que você compilou com base na Figura 8 . Verifique se que você aplicar essas alterações para o ISA Server depois que terminar.
Uma palavra sobre certificados
As últimos etapas desse processo configuração estão concentradas no criação do ouvinte SSL e criar o proxy reverso (publicação de um aplicativo da Web) para o Office Communications Server. É importante compreender os requisitos de certificado do Office Communications Server e o impactam esses requisitos de configuração do ISA Server.
O ponto mais importante observar aqui é que o Office Communications Server requer o uso de certificados x.509 e não oferece suporte certificados curinga no nome comum (nome de entidade). Você precisará especificar um nome alternativo de assunto (SAN) quando solicitar o certificado para os servidores de borda.
Como o ISA Server 2006 SP1 introduzido suporte completo para certificados de SAN, isso não apresentará quaisquer problemas. Com isso em mente, você precisa atender os requisitos de certificado para as interfaces internas e externas do servidor de borda. Se seu ambiente do Active Directory não usar um espaço para nome de domínio de nível superior, você precisará usar um certificado de uma confiável terceiros (autoridade de certificação) para a interface externa e um certificado de uma autoridade de certificação corporativa interna para as interfaces internas. Nessa situação, o certificado raiz para sua empresa que autoridade de certificação deve ser instalada na clientes que acessarem OCS internamente assim como no ISA Server; isso garante que as relações de confiança necessário estão no local para a configuração de OCS. O certificado de terceiros externo já deve ser confiável e, portanto, o certificado raiz da autoridade de certificação terceiros não precisam ser instalados em todos os clientes.
O certificado necessário para a configuração de proxy reverso corresponde para o FQDN do OCS endereço livro e conferência conteúdo download. Na Figura 4 , isso foi ocscontent.contoso.com mas, obviamente, pode ser qualquer coisa que você escolher, desde que o certificado vem de um terceiro confiável. Obviamente, seu certificado de SAN deste terceiros também incluiria os FQDNs de seus servidores de borda, exemplos de que você também pode ver na Figura 3 .
Reverter proxy
A primeira etapa na criação de um proxy reverso para OCS é criar um ouvinte da Web do SSL. Para fazer isso, clique no recipiente de firewall no painel esquerdo e selecione a guia de caixa de ferramentas no painel de right–hand. Selecione o objeto de rede na lista, clique no botão Novo e selecione o ouvinte da Web no menu suspenso. Isso iniciará o assistente novo ouvinte da Web, que solicita que você digite um nome para o ouvinte da Web.
O nome deve ser significativo para você, mas não necessariamente não precisa ser associado a OCS quanto o ouvinte da Web potencialmente poderia ter diversos usos. Quando você clica em Next, a tela de segurança da conexão do cliente é exibida com a opção padrão selecionada — exigir SSL protegido conexões com clientes. Deixe a seleção como é e clique em Avançar para mover para a tela de endereço de IP do ouvinte da Web, onde você deve verificar a opção de redes externas. Em seguida, clique no botão Selecionar endereços de IP e escolher o endereço IP que você atribuiu ao proxy reverso (consulte a Figura 4 ).
Depois de clicar em OK e, em seguida, Avançar, você verá a tela de certificados SSL de ouvinte. Selecione a opção para atribuir um certificado para cada endereço IP e clique no botão Selecionar certificado. Agora, selecione o certificado associado ao catálogo de endereços de OCS e conteúdo de conferência da Web que foi discutido anteriormente. Depois de selecionar o certificado, clique no botão próximo para configurar definições de autenticação. Verifique se que no Authentication está marcado na caixa suspensa e, em seguida, clique no botão Avançar duas vezes. Por fim examine a tela resumo e clique em ' concluir ' para concluir a criação do ouvinte da Web.
Depois que o ouvinte da Web é criado, você pode criar a regra de publicação do site da Web. Clique para fazer isso, no recipiente de firewall e selecione a guia tarefas, clique em Publicar sites da Web para iniciar o novo Assistente regra publicação de Web. A primeira parte das informações para inserir é o nome da regra, portanto, digite um nome significativo, como conteúdo de OCS e clique em Avançar. Na tela Selecionar ação de regra, selecione Permitir e clique em Avançar para mover para a tela de tipo de publicação no qual você selecionará publicar um único site ou balanceador de carga e, em seguida, clique em Avançar.
Para configurar a segurança de conexão com servidores, selecione a opção para usar o SSL e pressione Avançar para avançar para a tela de detalhes de publicação interna. Aqui você precisará inserir o nome interno do servidor da Web componentes. Clique em Avançar e digite as informações de caminho, que devem ser / * para permitir que todos os caminhos. Clique em Avançar e digite o público nome que você criou para os downloads de conteúdo do catálogo de endereços e conferência da Web (neste exemplo é ocscontent.contoso.com). Deixe as outras seleções nos padrões e clique em Avançar.
Agora, selecione o ouvinte da Web você criou e clique em Avançar. Na tela de delegação de autenticação, a caixa suspensa deve ler sem delegação, mas cliente poderá autenticar diretamente. Clique em Next e confirme se todos os usuários está selecionado na tela User Sets, em seguida, clique em Avançar novamente e, em seguida, concluir para concluir o processo. A configuração do ISA Server agora é concluída.
Última palavras
Estendendo o Office Communications Server para oferecer suporte a usuários remotos e parceiros pode yield enorme benefícios, mas requer uma boa dose de planejamento, particularmente quando se trata proteger seus servidores de borda. O ISA Server 2006 oferece uma solução de robusta, flexível e escalonável que é a plataforma ideal para proteger o Office Communications Server 2007.
Alan Maddison é consultor sênior especializado em tecnologias da Microsoft com sistemas de negócios estratégicos, uma divisão de Brocade.