Настройка правил веб-публикации для единого внутреннего пула в Lync Server 2013

  • Статья

 

Последнее изменение раздела: 2014-07-07

Microsoft Forefront Threat Management Gateway 2010 и internet Information Server Application Request Routing (IIS ARR) используют правила веб-публикации для публикации внутренних ресурсов, таких как URL-адрес собрания, пользователям в Интернете.

Помимо URL-адресов веб-служб для виртуальных каталогов, необходимо также создать правила публикации для простых URL-адресов, URL-адреса LyncDiscover и Office веб-приложения Server. Для каждого простого URL-адреса необходимо создать отдельное правило на обратном прокси-сервере, указывающее на этот простой URL-адрес.

Если вы развертываете мобильность и используете автоматическое обнаружение, необходимо создать правило публикации для URL-адреса внешней службы автообнаружения. Для автоматического обнаружения также требуются правила публикации url-адреса внешних веб-служб Lync Server для пула директоров и пула переднего плана. Дополнительные сведения о создании правил веб-публикации для автоматического обнаружения см. в разделе "Настройка обратного прокси-сервера для мобильности в Lync Server 2013".

Используйте следующие процедуры для создания правил веб-публикации.

Примечание.

В этих процедурах предполагается, что вы установили стандартный выпуск Forefront Threat Management Gateway (TMG) 2010 или установили и настроите сервер Internet Information Server с расширением маршрутизации запросов приложений (IIS ARR). Вы используете ARR TMG или IIS.

Создание правила публикации веб-сервера на компьютере под управлением TMG 2010

  1. Нажмите кнопку "Пуск", выберите "Программы", выберите Microsoft Forefront TMG, а затем щелкните Forefront TMG Management.

  2. В левой области разверните имя сервера, щелкните правой кнопкой мыши политику брандмауэра , выберите " Создать" и выберите "Правило публикации веб-сайта".

  3. На странице " Добро пожаловать в новое правило веб-публикации" введите отображаемое имя правила публикации (например, LyncServerWebDownloadsRule).

  4. На странице "Выбор действия правила " выберите " Разрешить".

  5. На странице "Тип публикации " выберите "Опубликовать один веб-сайт или подсистему балансировки нагрузки".

  6. На странице "Безопасность подключения к серверу" выберите "Использовать SSL для подключения к опубликованной веб-серверу или ферме серверов".

  7. На странице "Сведения о внутренней публикации" введите полное доменное имя (FQDN) внутренней веб-фермы, на которой размещается содержимое собрания и содержимое адресной книги, в поле "Имя внутреннего сайта".

    Примечание.

    Если внутренний сервер является сервером Standard Edition, это полное доменное имя сервера Standard Edition. Если внутренний сервер является пулом переднего плана, это полное доменное имя представляет собой виртуальный IP-адрес подсистемы балансировки нагрузки оборудования, который распределяет нагрузку между внутренними серверами веб-фермы. Сервер TMG должен иметь возможность разрешить полное доменное имя в IP-адрес внутреннего веб-сервера. Если серверУ TMG не удается разрешить полное доменное имя с правильным IP-адресом, можно выбрать "Использовать имя компьютера или IP-адрес для подключения к опубликованому серверу", а затем в поле "Имя компьютера" или "IP-адрес" введите IP-адрес внутреннего веб-сервера. В этом случае необходимо убедиться, что порт 53 открыт на сервере TMG и что он может обращаться к DNS-серверу, который находится в сети периметра. Для разрешения имен можно также использовать записи в файле локальных узлов.

  8. На странице "Сведения о внутренней публикации" в поле "Путь ( необязательно) /* введите путь к папке для публикации".

    Примечание.

    В мастере публикации веб-сайтов можно указать только один путь. Дополнительные пути можно добавить, изменив свойства правила.

  9. На странице сведений об общедоступном имени убедитесь, что это доменное имя выбрано в разделе "Принять запросы", введите полное доменное имя внешних веб-служб в поле "Общедоступное имя".

  10. На странице "Выбор веб-прослушивателя" нажмите кнопку "Создать", чтобы открыть мастер определения нового веб-прослушивателя.

  11. На странице "Добро пожаловать в мастер создания веб-прослушивателя" введите имя веб-прослушивателя в поле имени веб-прослушивателя (например, LyncServerWebServers).

  12. На странице "Безопасность клиентских подключений " выберите "Требовать защищенные SSL-подключения с клиентами".

  13. На странице IP-адреса веб-прослушивателявыберите "Внешний" и нажмите кнопку "Выбрать IP-адреса".

  14. На странице выбора IP-адреса внешнего прослушивателя выберите указанный IP-адрес на компьютере Forefront TMG в выбранной сети, выберите соответствующий IP-адрес и нажмите кнопку "Добавить".

  15. На странице SSL-сертификатов прослушивателя выберите "Назначить сертификат" для каждого IP-адреса, выберите IP-адрес, связанный с внешним доменным и доменным и веб-сайтом, и нажмите кнопку "Выбрать сертификат ".

  16. На странице "Выбор сертификата " выберите сертификат, соответствующий общедоступным именам, указанным на шаге 9, и нажмите кнопку "Выбрать".

  17. На странице "Параметры проверки подлинности " выберите " Нет проверки подлинности".

  18. На странице параметров единого входа нажмите кнопку "Далее".

  19. На странице "Завершение работы мастера веб-прослушивателя" проверьте правильность параметров веб-прослушивателя и нажмите кнопку "Готово".

  20. На странице делегирования проверки подлинности выберите " Нет делегирования", но клиент может выполнить проверку подлинности напрямую.

  21. На странице "Набор пользователей " нажмите кнопку " Далее".

  22. На странице "Завершение работы мастера создания правил веб-публикации" проверьте правильность параметров правил веб-публикации и нажмите кнопку "Готово".

  23. Нажмите кнопку " Применить" в области сведений, чтобы сохранить изменения и обновить конфигурацию.

Создание правила публикации веб-сервера на компьютере с ARR IIS

  1. Привяжете сертификат, который будет использоваться для обратного прокси-сервера, к протоколу HTTPS. Нажмите кнопку "Пуск", выберите "Программы", выберите " Администрирование" и "Диспетчер служб IIS".

    Примечание.

    Дополнительную справку, снимки экрана и рекомендации по развертыванию и настройке ARR IIS можно найти в статье NextHop об использовании ARR IIS в качестве обратного прокси-сервера для Lync Server 2013.

  2. Если вы еще не сделали этого, импортируйте сертификат, который будет использоваться для обратного прокси-сервера. В диспетчере служб IIS щелкните имя обратного прокси-сервера в левой части консоли. В середине консоли в разделе IIS найдите сертификаты сервера. Щелкните правой кнопкой мыши сертификаты сервера и выберите функцию "Открыть".

  3. В правой части консоли нажмите кнопку " Импорт...". Введите путь и имя файла сертификата с расширением или щелкните ... для поиска сертификата. Выберите сертификат и нажмите кнопку " Открыть". Укажите пароль, используемый для защиты закрытого ключа (если пароль был назначен при экспорте сертификата и закрытого ключа). Нажмите кнопку ОК. Если импорт сертификата выполнен успешно, он будет отображаться как запись в середине консоли в качестве записи в сертификатах сервера.

  4. Назначьте сертификат для использования по протоколу HTTPS. В левой части консоли выберите веб-сайт по умолчанию сервера IIS. Справа щелкните "Привязки"... В диалоговом окне "Привязки сайта" нажмите кнопку "Добавить...". В диалоговом окне "Добавление привязки сайта" в разделе "Тип:" выберите https. Если выбрать https, вы сможете выбрать сертификат, который будет использоваться для https. В разделе SSL-сертификата выберите сертификат, импортированный для обратного прокси-сервера. Нажмите кнопку ОК. Затем нажмите кнопку "Закрыть". Теперь сертификат привязан к обратному прокси-серверу для обеспечения безопасности на уровне SSL и транспортного уровня (TLS).

    Важно

    Если при закрытии диалоговых окон "Привязки" появится предупреждение о том, что промежуточные сертификаты отсутствуют, необходимо найти и импортировать сертификат корневого центра сертификации общедоступного ЦС и все промежуточные сертификаты ЦС. Ознакомьтесь с инструкциями в общедоступном ЦС, из которого вы запросите сертификат, и следуйте инструкциям по запросу и импорту цепочки сертификатов. При экспорте сертификата с пограничного сервера можно экспортировать сертификат корневого ЦС и все промежуточные сертификаты ЦС, связанные с пограничным сервером. Импортируйте сертификат корневого ЦС в хранилище доверенных корневых центров сертификации компьютера (не путать с хранилищем пользователей) и промежуточные сертификаты в хранилище промежуточных центров сертификации компьютера.

  5. В левой части консоли под именем сервера IIS щелкните правой кнопкой мыши фермы серверов и выберите команду "Создать ферму серверов"....

    Примечание.

    Если узел ферм серверов не отображается, необходимо установить маршрутизацию запросов приложений. Дополнительные сведения см. в разделе "Настройка обратных прокси-серверов для Lync Server 2013".

    В диалоговом окне "Создание фермы серверов" введите имя (это может быть понятное имя для идентификации) для первого URL-адреса. Нажмите кнопку Далее.

  6. В диалоговом окне "Добавление сервера" в адресе сервера введите полное доменное имя внешних веб-служб на сервере переднего плана. Имена, которые будут использоваться здесь для примера, совпадают с именами, используемыми в разделе "Планирование" для обратного прокси-сервера, сводка по сертификатам — обратный прокси-сервер в Lync Server 2013. Ссылаясь на планирование обратного прокси-сервера, мы введите полное доменное имя webext.contoso.com. Убедитесь, что флажок рядом с online установлен. Нажмите кнопку "Добавить", чтобы добавить сервер в пул веб-серверов для этой конфигурации.

    Предупреждение

    Lync Server использует аппаратные подсистемы балансировки нагрузки для пула директоров и серверов переднего плана для трафика HTTP и HTTPS. При добавлении сервера в ферму серверов ARR IIS необходимо указать только одно полное доменное имя. Полное доменное имя будет сервером переднего плана или директором в конфигурациях сервера без пула или полное доменное имя настроенной аппаратной подсистемы балансировки нагрузки для пулов серверов. Единственным поддерживаемым методом балансировки нагрузки трафика HTTP и HTTPS является использование аппаратных подсистем балансировки нагрузки.

  7. В диалоговом окне "Добавление сервера" нажмите кнопку "Дополнительные параметры"... Откроется диалоговое окно для определения маршрутизации запросов приложений для запросов к настроенной базе данных FQDN. Цель — переопределить порт, используемый при обработке запроса службой IIS ARR.

    По умолчанию http-порт назначения должен быть определен как 8080. Щелкните рядом с текущим httpPort 80 и задайте значение 8080. Щелкните рядом с текущим httpsPort 443 и задайте значение 4443. Оставьте для параметра веса значение 100. При необходимости можно переопределить весовые коэффициенты для заданного правила после создания базовой статистики. Нажмите кнопку " Готово", чтобы завершить эту часть конфигурации правила.

  8. Может появиться диалоговое окно "Правила перезаписи", информирующее о том, что диспетчер IIS может создать правило переопределения URL-адресов для автоматической маршрутизации всех входящих запросов в ферму серверов. Нажмите Да. Правила будут скорректироваться вручную, но при выборе "Да" будет задается начальная конфигурация.

  9. Щелкните имя только что созданной фермы серверов. В разделе "Ферма серверов " в представлении компонентов диспетчера IIS дважды щелкните "Кэширование". Снимите флажок "Включить кэш диска". Нажмите кнопку " Применить" справа.

  10. Щелкните имя фермы серверов. В разделе "Ферма серверов" в представлении компонентов диспетчера IIS дважды щелкните прокси-сервер. На странице параметров прокси-сервера измените значение времени ожидания (в секундах) на значение, соответствующее развертыванию. Нажмите кнопку " Применить", чтобы сохранить изменение.

    Важно

    Значение времени ожидания прокси-сервера — это число, которое будет отличаться от развертывания до развертывания. Следует отслеживать развертывание и изменять значение для оптимального взаимодействия с клиентами. Вы можете задать значение как низкое до 200. Если вы поддерживаете мобильные клиенты Lync в своей среде, следует установить значение 960, чтобы разрешить время ожидания push-уведомлений из Office 365, время ожидания которых равно 900. Очень вероятно, что вам потребуется увеличить значение времени ожидания, чтобы избежать отключения клиента, если значение слишком низкое, или уменьшить число, если подключения через прокси-сервер не отключались и не очищались долго после отключения клиента. Мониторинг и базовая подстрока того, что является нормальным для вашей среды, — единственный точный способ определить, где правильный параметр для этого значения.

  11. Щелкните имя фермы серверов. В разделе "Ферма серверов " в представлении компонентов диспетчера IIS дважды щелкните " Правила маршрутизации". В диалоговом окне "Правила маршрутизации" в разделе "Маршрутизация" снимите флажок рядом с параметром "Включить разгрузку SSL". Если возможность снять флажок недоступна, установите флажок "Использовать переопределение URL-адресов" для проверки входящих запросов. Нажмите кнопку " Применить", чтобы сохранить изменения.

    Предупреждение

    Разгрузка SSL обратным прокси-сервером не поддерживается.

  12. Повторите шаги 5–11 для каждого URL-адреса, который должен проходить через обратный прокси-сервер. Ниже приведен общий список.

    • Внешние веб-службы интерфейсного сервера: webext.contoso.com (уже настроены при первоначальном пошаговом руководстве)

    • Внешние веб-службы каталога для директора: webdirext.contoso.com (необязательно, если развернут директор)

    • Простой URL-адрес: meet.contoso.com

    • Простое диалоговое окно URL-адреса: dialin.contoso.com

    • URL-адрес автообнаружения Lync: lyncdiscover.contoso.com

    • URL-адрес веб-приложения Office: officewebapps01.contoso.com

      Важно

      URL-адрес сервера Office веб-приложения будет использовать другой адрес httpsPort. На шаге 7 httpsPort определяется как 443 , а httpPort — как порт 80. Все остальные параметры конфигурации одинаковы.

  13. В левой части консоли щелкните имя сервера IIS. В середине консоли найдите переопределение URL-адресов в IIS. Дважды щелкните переопределение URL-адреса, чтобы открыть конфигурацию правил переопределения URL-адресов. Вы должны увидеть правила для каждой фермы серверов, созданной на предыдущих шагах. Если это не так, убедитесь, что вы щелкали имя сервера IIS непосредственно под узлом начальной страницы в консоли internet Information диспетчер сервера.

  14. В диалоговом окне переопределения URL webext.contoso.com в качестве примера используется полное имя правила ARR_webext.contoso.com_loadbalance_SSL.

    • Дважды щелкните правило, чтобы открыть диалоговое окно "Изменение правила для входящего трафика".

    • Нажмите кнопку "Добавить" в диалоговом окне " Условия".

    • В поле "Добавить условие " во входных данных условия введите{HTTP_HOST}. (При вводе появляется диалоговое окно, в котором можно выбрать условие. в разделе "Проверка входной строки": выберите "Соответствует шаблону". В типе входных данных Pattern*. Следует выбрать вариант игнорирования . Нажмите кнопку ОК.

    • Прокрутите вниз в диалоговом окне "Изменение правила для входящего трафика", чтобы найти диалоговое окно " Действие". Тип действия: должен иметь значение Route to Server Farm, Scheme:set to https://, Server farm: set to the URL that this rule applies to. В этом примере следует задать значение webext.contoso.com. Путь: задано значение /{R:0}

    • Нажмите кнопку " Применить", чтобы сохранить изменения. Щелкните "Назад к правилам", чтобы вернуться к правилам переопределения URL-адресов.

  15. Повторите процедуру, определенную на шаге 14, для каждого из определенных правил переопределения SSL, по одному на URL-адрес фермы серверов.

    Предупреждение

    По умолчанию правила HTTP также создаются и обозначаются тем же именем, что и правила SSL. В нашем текущем примере правило HTTP будет называться ARR_webext.contoso.com_loadbalance. Изменения в этих правилах не требуются, и их можно спокойно игнорировать.

Изменение свойств правила веб-публикации в TMG 2010

  1. Нажмите кнопку "Пуск", наведите указатель мыши на "Программы", выберите Microsoft Forefront TMG, а затем щелкните Forefront TMG Management.

  2. В левой области разверните имя сервера и нажмите кнопку " Политика брандмауэра".

  3. В области сведений щелкните правой кнопкой мыши правило публикации веб-сервера, созданное в предыдущей процедуре (например, LyncServerExternalRule), а затем выберите пункт "Свойства".

  4. На странице "Свойства " на вкладке " От" сделайте следующее:

    • В этом правиле применяется к трафику из списка источников, щелкните "В любом месте" и выберите команду "Удалить".

    • Нажмите Добавить.

    • В разделе "Добавление сетевых сущностей" разверните узел "Сети", нажмите кнопку "Внешний", нажмите кнопку "Добавить" и нажмите кнопку "Закрыть".

  5. Убедитесь, что на вкладке "К" установлен заголовок исходного узла, а не фактический флажок.

  6. На вкладке "Мост " установите флажок "Перенаправление запроса на порт SSL " и укажите порт 4443.

  7. На вкладке "Общедоступное имя" добавьте простые URL-адреса (например, meet.contoso.com и dialin.contoso.com).

  8. Нажмите кнопку " Применить", чтобы сохранить изменения, и нажмите кнопку "ОК".

  9. Нажмите кнопку " Применить" в области сведений, чтобы сохранить изменения и обновить конфигурацию.

Изменение свойств правила веб-публикации в ARR IIS

  1. Нажмите кнопку "Пуск", выберите "Программы", выберите " Администрирование" и "Диспетчер служб IIS".

  2. В левой части консоли щелкните имя сервера IIS.

  3. В середине консоли найдите переопределение URL-адресов в IIS. Дважды щелкните переопределение URL-адреса, чтобы открыть конфигурацию правил переопределения URL-адресов.

  4. Дважды щелкните правило, которое необходимо изменить. При необходимости внесите изменения в URL-адрес соответствия, условия, переменные сервера илидействие.

  5. Нажмите кнопку " Применить", чтобы зафиксировать изменения. Щелкните "Назад к правилам", чтобы изменить другие правила, или закройте консоль диспетчера IIS, если все готово к изменениям.