設定反向 Proxy
上次修改主題的時間: 2009-07-20
對於 Office Communications Server Edge Server 部署,基於下列理由周邊網路中必須有 Microsoft Internet Security and Acceleration (ISA) Server 或其他反向 Proxy:
- 讓外部使用者能夠下載會議的內容。
- 讓外部使用者能夠擴充通訊群組。
- 讓遠端使用者能夠從通訊錄服務下載檔案。
- 讓外部裝置能夠連線至裝置更新服務並取得更新。
下表顯示 Web 元件伺服器所使用的特定目錄。我們建議將您的 HTTP 反向 Proxy 設定成使用所有目錄。
Web 元件伺服器使用的目錄
| 目錄 | 使用 |
|---|---|
https://外部 FQDN/etc/place/null |
儲存會議內容。 |
https://外部 FQDN/GroupExpansion/ext/service.asmx |
儲存通訊群組擴充資訊。執行通訊錄 Web 查詢服務之 Web 元件伺服器的外部 URL。 |
https://<外部 FQDN>/ABS/ext/Handler |
儲存 Address Book Server 檔案。 |
https://<外部伺服器 FQDN>/RequestHandler/ucdevice.upx |
執行裝置更新服務之 Web 元件伺服器的外部 URL。如需詳細資料,請參閱裝置更新服務。 |
https://<外部 FQDN>DeviceUpdateFiles_Ext |
裝置更新所在位置之 Web 元件伺服器的外部 URL。 |
本節的詳細步驟描述如何將 ISA Server 2006 設定為反向 Proxy。如果您使用其他的反向 Proxy,請參閱該產品的文件。
您可以使用本節中的資訊來設定反向 Proxy,這需要完成下列程序:
- 設定網路介面卡。
- 安裝和設定 ISA Server 2006。
- 要求和設定 SSL 的數位憑證。
- 建立 Web 伺服器發行規則並確認安全的 Web 伺服器發行規則內容是否正確。
- 確定或設定 Internet Information Services (IIS) 虛擬目錄的驗證與憑證。
- 建立外部網域名稱系統 (DNS) 項目。
- 確認您可以透過網際網路存取網站。
開始之前
當您設定 Enterprise Pool 與 Standard Edition 伺服器時,可以選擇在「建立集區」精靈或是「部署伺服器」精靈中的 [Web 伺服陣列 FQDN] 頁面上設定外部 Web 伺服陣列完整網域名稱 (FQDN)。如果您在執行這些精靈時沒有設定這個 URL,將需要手動配置這些設定。若要執行這項作業,請開啟命令提示字元,然後輸入下列命令:
lcscmd.exe /web /action:updatepoolurls /externalwebfqdn:<外部 Web 伺服陣列 FQDN> /poolname:<集區名稱>
設定網路介面卡
您必須指派一個或多個 IP 位址給外部網路介面卡,同時至少指派一個 IP 位址給內部網路介面卡。如需有關使用單一網路介面卡部署 ISA Server 的詳細資料,請參閱<在具有單一網路介面卡的電腦上設定 ISA Server 2004>。 本文件也適用於 ISA Server 2006。
在下列程序中,ISA Server 電腦有兩張網路介面卡:
- 公用或外部網路介面卡,這將會公開給嘗試連線到您網站 (通常是透過網際網路) 的用戶端。
- 私有或內部網路介面,公開給內部 Web 伺服器。
您必須指派一個或多個 IP 位址給外部網路介面卡,同時至少指派一個 IP 位址給內部網路介面卡。
若要設定反向 Proxy 電腦的網路介面卡
在執行 ISA Server 2006 的伺服器上,按一下 [開始]、指向 [設定],然後按一下 [網路連線] 以開啟 [網路連線]。
以滑鼠右鍵按一下要用於外部介面的外部網路連線,然後按一下 [內容]。
在 [內容] 頁面上,按一下 [一般] 索引標籤,按一下 [這個連線使用下列項目] 清單中的 [網際網路通訊協定 (TCP/IP)],然後按一下 [內容]。
在 [網際網路通訊協定 (TCP/IP) 內容] 頁面上,將 IP 位址與 DNS 伺服器位址設定為適用於網路介面卡所連接的網路。
按一下 [確定],然後再按一下 [確定]。
在 [網路連線] 中,以滑鼠右鍵按一下要用於內部介面的內部網路連線,然後按一下 [內容]。
重複步驟 3 到 5,設定內部網路連線。
要求以及設定反向 HTTP Proxy 的憑證
您需要於執行 ISA Server 2006 的伺服器中,安裝根憑證授權單位 (CA) 憑證,此憑證就是在 Web 伺服器 (也就是執行 Office Communications Server Web 元件的 IIS 伺服器) 上發行伺服器憑證之 CA 的根憑證授權單位 (CA) 憑證。
您必須在 ISA Server 上安裝 Web 伺服器憑證。這個憑證應該符合您主控會議內容和通訊錄檔案的外部 Web 伺服陣列之已發佈的 FQDN。
如果您的內部部署包含一個以上的 Standard Edition 伺服器或 Enterprise Pool,則必須為每一個外部 Web 伺服陣列 FQDN 設定網頁發佈規則。
設定網頁發佈規則
ISA Server 使用網頁發佈規則,在網際網路上安全地發佈內部資源,例如會議 URL。將資訊發佈至網際網路使用者,可以讓網路外面的使用者取得內部網路的計算資源。
請使用下列程序,建立網頁發佈規則。
.gif "Dd441312.note(zh-tw,office.13).gif") 附註: |
|---|
| 此程序假設已經完成 ISA Server 2006 Standard Edition 安裝。 |
若要在執行 ISA Server 2006 的電腦上建立 Web 伺服器發行規則
按一下 [開始],指向 [程式集],指向 [Microsoft ISA Server],然後按一下 [ISA Server 管理]。
在左邊的窗格,展開 [伺服器名稱],用滑鼠右鍵按一下 [防火牆原則],指向 [新增],然後按一下 [網站發行規則]。
在 [歡迎使用新增網頁發行規則] 頁面上,輸入易記的發行規則名稱 (例如,OfficeCommunicationsWebDownloadsRule),然後按 [下一步]。
在 [選取規則動作] 頁面上,選取 [允許],然後按 [下一步]。
在 [發行類型] 頁面上,選取 [發行單一網站或負載平衡器],然後按 [下一步]。
在 [伺服器連線安全性] 頁面上,選取 [使用 SSL 連線到發行的 Web 伺服器或伺服器陣列],然後按 [下一步]。
在 [內部發行詳細資料] 頁面的 [內部網站名稱] 方塊中,輸入裝載會議內容和通訊錄內容之內部 Web 伺服陣列的 FQDN。
附註:如果您的內部伺服器是 Standard Edition 伺服器,則此 FQDN 是 Standard Edition 伺服器的 FQDN。如果您的內部伺服器是 Enterprise Pool,則此 FQDN 是內部 Web 伺服陣列 FQDN。
ISA Server 必須可以將 FQDN 解析成內部 Web 伺服器的 IP 位址。如果 ISA Server 無法將 FQDN 解析為適當的 IP 位址,您可以選取 [使用要連線到發行伺服器的電腦名稱或 IP 位址],然後在 [電腦名稱] 或 [IP 位址] 方塊中輸入內部 Web 伺服器的 IP 位址。如果這樣做,您必須確定 ISA Server 已經開啟連接埠 53,而且可以連結內部 DNS 伺服器或周邊網路中的 DNS 伺服器。在 [內部發行詳細資料] 頁面的 [路徑 (選用)] 方塊中,輸入 /* 表示要發行的資料夾路徑,然後 [下一步]。
附註:在網站發行精靈中,您只能指定一個路徑。修改規則內容可以新增其他路徑。 在 [發行名稱詳細資料] 頁面上,確認已為 [為右列接受要求] 選取 [這個網域名稱],在 [公用名稱] 方塊中輸入外部 Web 伺服陣列 FQDN,然後按 [下一步]。
在 [選取網頁接聽程式] 頁面上,按一下 [新增] (這樣會開啟 [新增網頁接聽程式定義精靈])。
在 [歡迎使用新網頁接聽程式精靈] 頁面的 [網頁接聽程式名稱] 方塊中,輸入網頁接聽程式的名稱 (例如,Web Servers),然後按 [下一步]。
在 [用戶端連線安全性] 頁面上,選取 [需要與用戶端之間的 SSL 安全連線],然後按 [下一步]。
在 [網頁接聽程式 IP 位址] 頁面上,選取 [外部],然後按一下 [選取 IP 位址]。
在 [外部接聽程式 IP 選取] 頁面上,選取所選網路中的 [ISA Server 的指定 IP 位址] 電腦,選取適當的 IP 位址,按一下 [新增],然後按一下 [確定]。
按 [下一步]。
在 [接聽程式 SSL 憑證] 頁面上,選取 [為每一 IP 位址指派憑證],選取您剛才新增的 IP 位址,然後按一下 [選取憑證]。
在 [選取憑證] 頁面上,選取符合步驟 9 指定之公用名稱的憑證,按一下 [選取],然後按 [下一步]。
在 [驗證設定] 頁面上,選取 [沒有驗證],然後按 [下一步]。
在 [單一登入設定] 頁面上,按 [下一步]。
在 [正在完成網頁接聽程式精靈] 頁面上,確認 [網頁接聽程式] 設定正確,然後按一下 [完成]。
按 [下一步]。
在 [驗證委派] 頁面上選取 [沒有委派,但用戶端可以直接驗證],然後按 [下一步]。
在 [使用者組] 頁面上,按 [下一步]。
在 [正在完成新網頁發行規則精靈] 頁面上,確認網頁發行規則設定正確,然後按一下 [完成]。
按一下詳細資料窗格中的 [套用],以儲存變更並更新設定。
若要修改網頁發行規則的內容
按一下 [開始],指向 [程式集],指向 [Microsoft ISA Server],然後按一下 [ISA Server 管理]。
在左邊的窗格中,展開 [伺服器名稱],然後按一下 [防火牆原則]。
在詳細資料窗格中,用滑鼠右鍵按一下在先前程序中建立的安全 Web 伺服器發行規則 (例如,OfficeCommunicationsServerExternal Rule),然後按一下 [內容]。
在 [內容] 頁面上,按一下 [從] 索引標籤:
- 在 [這個規則套用到來自下列來源的流量] 清單中,按一下 [任何地方],然後按一下 [移除]。
- 按一下 [新增]。
- 在 [新增網路實體] 對話方塊中,展開 [網路],依序按一下 [外部]、[新增] 和 [關閉]。
如果需要在 Web 伺服器發行其他路徑,按一下 [路徑] 索引標籤。然後按一下 [新增],輸入 /* 表示要發行的路徑,然後按一下 [確定]。
按一下 [套用] 儲存變更,然後按一下 [確定]。
按一下詳細資料窗格中的 [套用] 按鈕,以儲存變更並更新設定。
確認或設定 IIS 虛擬目錄的驗證與憑證
請使用下列程序,在您的 IIS 虛擬目錄上設定憑證或者確認憑證已設定正確。在內部 Office Communications Server 的每一個 IIS Server 上執行下列程序。
| 附註: |
|---|
| 下列程序適用於 IIS 的預設網站。 |
若要確認或設定 IIS 虛擬目錄的驗證與憑證
按一下 [開始],指向 [所有程式],指向 [系統管理工具],然後按一下 [Internet Information Services (IIS) 管理員]。
在 [Internet Information Services (IIS) 管理員] 中,展開 [伺服器名稱],然後展開 [網站]。
用滑鼠右鍵按一下 [<預設或選取的> 網站],然後按一下 [內容]。
在 [網站] 索引標籤上,確認 [SSL 連接埠] 方塊中的連接埠號碼是 [443],然後按一下 [確定]。
在 [目錄安全性] 索引標籤上,按一下 [安全通訊] 中的 [伺服器憑證]。
在 [歡迎使用網頁伺服器憑證精靈] 頁面上按 [下一步]。
在 [伺服器憑證] 頁面上,按一下 [指派現有的憑證],然後按 [下一步]。
在 [SSL 連接埠] 頁面上,確認 [這個網站應該使用的 SSL 連接埠] 方塊中的值是 [443],然後按 [下一步]。
在 [憑證摘要] 頁面上,確認設定正確無誤,然後按 [下一步]。
按一下 [完成]。
按一下 [確定],關閉 [預設的網站內容] 對話方塊。
確認透過您的反向 Proxy 進行存取
請使用下列程序,確認您的使用者可以存取反向 Proxy 的資訊。您必須先完成防火牆設定與 DNS 設定,存取才能正常運作。
若要確認您可以透過網際網路存取網站
按照《Live Meeting 2007 用戶端部署指南》所述來部署 Live Meeting 2007 用戶端。
開啟網頁瀏覽器,依照下列方式在 [網址] 列輸入用戶端用來存取通訊錄檔案和 Web 會議網站的 URL:
- 如果是 Address Book Server,請輸入類似下面的 URL:https://externalwebfarmFQDN/abs/ext,其中 externalwebfarmFQDN 是裝載 Address Book Server 檔案的 Web 伺服陣列的外部 FQDN。使用者應該會收到 HTTP 挑戰,因為 Address Book Server 資料夾的目錄安全性預設是設定為 Microsoft Windows 驗證。
- 如果是 Web 會議,請輸入類似下面的 URL:https://externalwebfarmFQDN/conf/ext/Tshoot.html,其中 externalwebfarmFQDN 是裝載會議內容的 Web 伺服陣列的外部 FQDN。這個 URL 應該顯示 Web 會議的疑難排解網頁。
- 如果是通訊群組擴充,請輸入類似下面的 URL:https://ExternalwebfarmFQDN/GroupExpansion/ext/service.asmx。使用者應該會收到 HTTP 挑戰,因為通訊群組擴充服務上的目錄安全性預設是設定為 Microsoft Windows 驗證。