Konfigurieren von Webveröffentlichungsregeln für einen einzelnen internen Pool in Lync Server 2013

 

Letztes Änderungsdatum des Themas: 2014-07-07

Microsoft Forefront Threat Management Gateway 2010 und Internet Information Server Application Request Routing (IIS ARR) verwenden Webveröffentlichungsregeln, um interne Ressourcen, z. B. eine Besprechungs-URL, für Benutzer im Internet zu veröffentlichen.

Zusätzlich zu den Webdienst-URLs für die virtuellen Verzeichnisse müssen Sie auch Veröffentlichungsregeln für einfache URLs, die LyncDiscover-URL und den Office Web-Apps Server erstellen. Für jede einfache URL müssen Sie eine einzelne Regel auf dem Reverseproxy erstellen, die auf diese einfache URL verweist.

Wenn Sie Mobilität bereitstellen und die automatische Ermittlung verwenden, müssen Sie eine Veröffentlichungsregel für die url des externen AutoErmittlungsdiensts erstellen. Die automatische Ermittlung erfordert auch Veröffentlichungsregeln für die externe Lync Server-Webdienst-URL für Ihren Director-Pool und Den Front-End-Pool. Ausführliche Informationen zum Erstellen der Webveröffentlichungsregeln für die automatische Ermittlung finden Sie unter Konfigurieren des Reverseproxys für Mobilität in Lync Server 2013.

Verwenden Sie die folgenden Verfahren, um Webveröffentlichungsregeln zu erstellen.

Hinweis

Bei diesen Verfahren wird davon ausgegangen, dass Sie die Standard Edition von Forefront Threat Management Gateway (TMG) 2010 installiert oder Internetinformationsserver mit der ERWEITERUNG ANWENDUNGSanforderungsrouting (IIS ARR) installiert und konfiguriert haben. Sie verwenden entweder TMG oder IIS ARR.

So erstellen Sie eine Webserververöffentlichungsregel auf dem Computer, auf dem TMG 2010 ausgeführt wird

1. Klicken Sie auf Start, wählen Sie Programme aus, wählen Sie Microsoft Forefront TMG aus, und klicken Sie dann auf Forefront TMG-Verwaltung.

2. Erweitern Sie im linken Bereich ServerName, klicken Sie mit der rechten Maustaste auf Firewallrichtlinie, wählen Sie Neu aus, und klicken Sie dann auf Websiteveröffentlichungsregel.

3. Geben Sie auf der Seite Willkommen bei der neuen Webveröffentlichungsregel einen Anzeigenamen für die Veröffentlichungsregel ein (z. B. LyncServerWebDownloadsRule).

4. Wählen Sie auf der Seite Regelaktion auswählen die Option Zulassen aus.

5. Wählen Sie auf der Seite Veröffentlichungstyp die Option Einzelne Website oder Lastenausgleich veröffentlichen aus.

6. Wählen Sie auf der Seite Serververbindungssicherheit die Option SSL verwenden aus, um eine Verbindung mit dem veröffentlichten Webserver oder der serverfarm herzustellen.

7. Geben Sie auf der Seite Interne Veröffentlichungsdetails den vollqualifizierten Domänennamen (FQDN) der internen Webfarm ein, die Ihre Besprechungsinhalte und Adressbuchinhalte hostet, in das Feld Name der internen Website .

   Hinweis

   Wenn es sich bei Ihrem internen Server um einen Standard Edition-Server handelt, ist dieser FQDN der Standard Edition-Server-FQDN. Wenn es sich bei Ihrem internen Server um einen Front-End-Pool handelt, handelt es sich bei diesem FQDN um eine virtuelle IP-Adresse (VIP) für den Hardwarelastenausgleich, die einen Lastenausgleich für die internen Webfarmserver bereitstellt. Der TMG-Server muss in der Lage sein, den FQDN in die IP-Adresse des internen Webservers aufzulösen. Wenn der TMG-Server den FQDN nicht in die richtige IP-Adresse auflösen kann, können Sie Computernamen oder IP-Adresse zum Herstellen einer Verbindung mit dem veröffentlichten Server verwenden auswählen und dann im Feld Computername oderIP-Adresse die IP-Adresse des internen Webservers eingeben. In diesem Fall müssen Sie sicherstellen, dass Port 53 auf dem TMG-Server geöffnet ist und dass er einen DNS-Server erreichen kann, der sich im Umkreisnetzwerk befindet. Sie können auch Einträge in der lokalen Hostdatei verwenden, um die Namensauflösung bereitzustellen.

8. Geben Sie /* auf der Seite Interne Veröffentlichungsdetails im Feld Pfad (optional) als Pfad des zu veröffentlichenden Ordners ein.

   Hinweis

   Im Websiteveröffentlichungs-Assistenten können Sie nur einen Pfad angeben. Durch Ändern der Eigenschaften der Regel können zusätzliche Pfade hinzugefügt werden.

9. Vergewissern Sie sich auf der Seite Details zu öffentlichem Namen , dass dieser Domänenname unter Anforderungen akzeptieren für ausgewählt ist. Geben Sie den FQDN für externe Webdienste in das Feld Öffentlicher Name ein.

10. Klicken Sie auf der Seite Weblistener auswählen auf Neu , um den Assistenten für neue Weblistenerdefinitionen zu öffnen.

11. Geben Sie auf der Seite Willkommen beim Assistenten für neue Weblistener einen Namen für den Weblistener in das Feld Name des Weblisteners ein (z. B. LyncServerWebServers).

12. Wählen Sie auf der Seite Clientverbindungssicherheit die Option SSL-gesicherte Verbindungen mit Clients erforderlich aus.

13. Wählen Sie auf der Seite Weblistener-IP-Adressedie Option Extern aus, und klicken Sie dann auf IP-Adressen auswählen.

14. Wählen Sie auf der Seite Externe Listener-IP-Auswahldie Option Angegebene IP-Adresse auf dem Forefront TMG-Computer im ausgewählten Netzwerk aus, wählen Sie die entsprechende IP-Adresse aus, und klicken Sie auf Hinzufügen.

15. Wählen Sie auf der Seite Listener-SSL-Zertifikatedie Option Zertifikat für jede IP-Adresse zuweisen aus, wählen Sie die IP-Adresse aus, die dem externen Web-FQDN zugeordnet ist, und klicken Sie dann auf Zertifikat auswählen.

16. Wählen Sie auf der Seite Zertifikat auswählen das Zertifikat aus, das den in Schritt 9 angegebenen öffentlichen Namen entspricht, und klicken Sie auf Auswählen.

17. Wählen Sie auf der Seite Authentifizierungseinstellung die Option Keine Authentifizierung aus.

18. Klicken Sie auf der Seite Single Sign-On Einstellung auf Weiter.

19. Überprüfen Sie auf der Seite Assistenten zum Abschließen des Weblisteners , ob die Weblistenereinstellungen korrekt sind, und klicken Sie dann auf Fertig stellen.

20. Wählen Sie auf der Seite Authentifizierungsdelegierungdie Option Keine Delegierung aus, aber client darf sich direkt authentifizieren.

21. Klicken Sie auf der Seite Benutzersatz auf Weiter.

22. Überprüfen Sie auf der Seite Assistenten für neue Webveröffentlichungsregel abschließen, ob die Einstellungen der Webveröffentlichungsregel korrekt sind, und klicken Sie dann auf Fertig stellen.

23. Klicken Sie im Detailbereich auf Übernehmen , um die Änderungen zu speichern und die Konfiguration zu aktualisieren.

So erstellen Sie eine Webserververöffentlichungsregel auf dem Computer, auf dem IIS ARR ausgeführt wird

1. Binden Sie das Zertifikat, das Sie für den Reverseproxy verwenden, an das HTTPS-Protokoll. Klicken Sie auf Start, wählen Sie Programme aus, wählen Sie Verwaltung aus, und klicken Sie dann auf Internetinformationsdienste-Manager (IIS).

   Hinweis

   Weitere Hilfe, Screenshots und Anleitungen zum Bereitstellen und Konfigurieren von IIS ARR finden Sie im NextHop-Artikel Verwenden von IIS ARR als Reverseproxy für Lync Server 2013.

2. Falls noch nicht geschehen, importieren Sie das Zertifikat, das Sie für den Reverseproxy verwenden. Klicken Sie im Internetinformationsdienste-Manager (IIS) auf den Namen des Reverseproxyservers auf der linken Größe der Konsole. Suchen Sie in der Mitte der Konsole unter IISnach Serverzertifikaten. Klicken Sie mit der rechten Maustaste auf Serverzertifikate , und wählen Sie Funktion öffnen aus.

3. Klicken Sie auf der rechten Seite der Konsole auf Importieren.... Geben Sie den Pfad und dateinamen des Zertifikats mit der Erweiterung ein, oder klicken Sie auf ... , um nach dem Zertifikat zu suchen. Wählen Sie das Zertifikat aus, und klicken Sie auf Öffnen. Geben Sie das Kennwort an, das zum Schutz des privaten Schlüssels verwendet wird (wenn Sie beim Exportieren des Zertifikats und des privaten Schlüssels ein Kennwort zugewiesen haben). Klicken Sie auf OK. Wenn der Zertifikatimport erfolgreich war, wird das Zertifikat als Eintrag in der Mitte der Konsole als Eintrag unter Serverzertifikate angezeigt.

4. Weisen Sie das Zertifikat für die Verwendung durch HTTPS zu. Wählen Sie auf der linken Seite der Konsole die Standardwebsite des IIS-Servers aus. Klicken Sie auf der rechten Seite auf Bindungen.... Klicken Sie im Dialogfeld Websitebindungen auf Hinzufügen.... Wählen Sie im Dialogfeld Websitebindung hinzufügen unter Typ:die Option https aus. Wenn Sie https auswählen, können Sie das Zertifikat auswählen, das für https verwendet werden soll. Wählen Sie unter SSL-Zertifikat: das Zertifikat aus, das Sie für den Reverseproxy importiert haben. Klicken Sie auf OK. Klicken Sie dann auf Schließen. Das Zertifikat ist jetzt für SSL (Secure Socket Layer) und Transport Layer Security (TLS) an den Reverseproxy gebunden.

   Wichtig

   Wenn Sie beim Schließen der Dialogfelder "Bindungen" eine Warnung erhalten, dass Zwischenzertifikate fehlen, müssen Sie das Zertifikat der öffentlichen Zertifizierungsstelle und alle Zertifikate der Zwischenzertifizierungsstelle suchen und importieren. Lesen Sie die Anweisungen bei der öffentlichen Zertifizierungsstelle, von der Sie Ihr Zertifikat angefordert haben, und befolgen Sie die Anweisungen zum Anfordern und Importieren einer Zertifikatkette. Wenn Sie das Zertifikat von Ihrem Edgeserver exportiert haben, können Sie das Zertifikat der Stammzertifizierungsstelle und alle Zertifikate der Zwischenzertifizierungsstelle exportieren, die dem Edgeserver zugeordnet sind. Importieren Sie das Zertifikat der Stammzertifizierungsstelle in den Speicher der vertrauenswürdigen Stammzertifizierungsstellen des Computers (nicht zu verwechseln mit dem Benutzerspeicher) und in zwischengeschaltete Zertifikate in den Speicher der Zwischenzertifizierungsstellen des Computers.

5. Klicken Sie auf der linken Seite der Konsole unterhalb des IIS-Servernamens mit der rechten Maustaste auf Serverfarmen , und klicken Sie dann auf Serverfarm erstellen....

   Hinweis

   Wenn der Knoten Serverfarmen nicht angezeigt wird, müssen Sie das Anwendungsanforderungsrouting installieren. Weitere Informationen finden Sie unter Einrichten von Reverseproxyservern für Lync Server 2013.

   Geben Sie im Dialogfeld Serverfarm erstellen unter Serverfarmname den Namen (dies kann ein Anzeigename zu Identifizierungszwecken sein) für die erste URL ein. Klicken Sie auf Weiter.

6. Geben Sie im Dialogfeld Server hinzufügen unter Serveradresse den vollqualifizierten Domänennamen (FQDN) der externen Webdienste auf Ihrem Front-End-Server ein. Die Namen, die hier für Beispielzwecke verwendet werden, sind mit denen identisch, die im Abschnitt Planung für den Reverseproxy, Zertifikatzusammenfassung – Reverseproxy in Lync Server 2013 verwendet werden. In Bezug auf die Reverseproxyplanung geben wir den FQDN webext.contoso.comein. Vergewissern Sie sich, dass das Kontrollkästchen neben Online aktiviert ist. Klicken Sie auf Hinzufügen , um den Server dem Webserverpool für diese Konfiguration hinzuzufügen.

   Warnung

   Lync Server verwendet Hardwarelastenausgleichsmodule, um Director- und Front-End-Server für HTTP- und HTTPS-Datenverkehr zu poolen. Sie geben nur einen FQDN an, wenn Sie der IIS ARR-Serverfarm einen Server hinzufügen. Der FQDN ist der Front-End-Server oder Director in Serverkonfigurationen ohne Pool oder der FQDN des konfigurierten Hardwarelastenausgleichs für Serverpools. Die einzige unterstützte Methode zum Lastenausgleich von HTTP- und HTTPS-Datenverkehr ist die Verwendung von Hardwarelastenausgleichsmodulen.

7. Klicken Sie im Dialogfeld Server hinzufügen auf Erweiterte Einstellungen.... Daraufhin wird ein Dialogfeld zum Definieren des Anwendungsanforderungsroutings für Anforderungen an den konfigurierten FQDN geöffnet. Der Zweck besteht darin, neu zu definieren, welcher Port verwendet wird, wenn die Anforderung von IIS ARR verarbeitet wird.

   Standardmäßig muss der HTTP-Zielport als 8080 definiert werden. Klicken Sie neben dem aktuellen httpPort 80 , und legen Sie den Wert auf 8080 fest. Klicken Sie neben dem aktuellen httpsPort 443 , und legen Sie den Wert auf 4443 fest. Belassen Sie den Gewichtungsparameter bei 100. Bei Bedarf können Sie Gewichtungen für eine bestimmte Regel neu definieren, sobald Sie über Baselinestatistiken verfügen. Klicken Sie auf Fertig stellen , um diesen Teil der Regelkonfiguration abzuschließen.

8. Möglicherweise wird ein Dialogfeld Regeln zum erneuten Generieren angezeigt, in dem Sie darüber informiert werden, dass IIS-Manager eine URL-Umschreibungsregel erstellen kann, um alle eingehenden Anforderungen automatisch an die Serverfarm weiterzuleiten. Klicken Sie auf Ja. Sie passen die Regeln manuell an, aber wenn Sie Ja auswählen, wird die Erstkonfiguration festgelegt.

9. Klicken Sie auf den Namen der Serverfarm, die Sie gerade erstellt haben. Doppelklicken Sie unter Serverfarm in der Iis-Manager-Featureansicht auf Zwischenspeicherung. Deaktivieren Sie Datenträgercache aktivieren. Klicken Sie auf der rechten Seite auf Übernehmen .

10. Klicken Sie auf den Namen der Serverfarm. Doppelklicken Sie unter Serverfarm in der Iis-Manager-Featureansicht auf Proxy. Ändern Sie auf der Seite Proxyeinstellungen den Wert für Timeout (Sekunden) in einen Für Ihre Bereitstellung geeigneten Wert. Klicken Sie auf Übernehmen , um die Änderung zu speichern.

    Wichtig

    Der Proxytimeoutwert ist eine Zahl, die von Bereitstellung zu Bereitstellung variiert. Sie sollten Ihre Bereitstellung überwachen und den Wert ändern, um die beste Benutzererfahrung für Clients zu erzielen. Möglicherweise können Sie den Wert auf 200 festlegen. Wenn Sie mobile Lync-Clients in Ihrer Umgebung unterstützen, sollten Sie den Wert auf 960 festlegen, um ein Timeout für Pushbenachrichtigungen von Office 365 mit einem Timeoutwert von 900 zu ermöglichen. Es ist sehr wahrscheinlich, dass Sie den Timeoutwert erhöhen müssen, um zu vermeiden, dass die Clientverbindung getrennt wird, wenn der Wert zu niedrig ist, oder die Anzahl verringern, wenn Verbindungen über den Proxy nicht getrennt und gelöscht werden, lange nachdem der Client die Verbindung getrennt hat. Überwachung und Basisauskleidung, was für Ihre Umgebung normal ist, ist das einzige genaue Mittel, um zu bestimmen, wo die richtige Einstellung für diesen Wert ist.

11. Klicken Sie auf den Namen der Serverfarm. Doppelklicken Sie unter Serverfarm in der Iis-Manager-Featureansicht auf Routingregeln. Deaktivieren Sie im Dialogfeld Routingregeln unter Routing das Kontrollkästchen neben SSL-Abladung aktivieren. Wenn die Möglichkeit zum Deaktivieren des Kontrollkästchens nicht verfügbar ist, aktivieren Sie das Kontrollkästchen URL-Rewrite verwenden, um eingehende Anforderungen zu überprüfen. Klicken Sie auf Übernehmen , um Ihre Änderungen zu speichern.

    Warnung

    Ssl-Auslagerung durch den Reverseproxy wird nicht unterstützt.

12. Wiederholen Sie die Schritte 5 bis 11 für jede URL, die den Reverseproxy durchlaufen muss. Eine allgemeine Liste wäre die folgende:

    • Externe Front-End-Serverwebdienste: webext.contoso.com (bereits durch die erste exemplarische Vorgehensweise konfiguriert)

    • Externe Director-Webdienste für Director: webdirext.contoso.com (optional, wenn ein Director bereitgestellt wird)

    • Einfache URL-Besprechung: meet.contoso.com

    • Einfache URL-Einwahl: dialin.contoso.com

    • Lync AutoErmittlungs-URL: lyncdiscover.contoso.com

    • Office Web-Apps Server-URL: officewebapps01.contoso.com

      Wichtig

      Die URL für den Office Web-Apps Server verwendet eine andere httpsPort-Adresse. In Schritt 7 definieren Sie httpsPort als 443 und httpPort als Port 80. Alle anderen Konfigurationseinstellungen sind identisch.

13. Klicken Sie auf der linken Seite der Konsole auf den Namen des IIS-Servers. Suchen Sie in der Mitte der Konsole unter IISnach URL Rewrite( URL Rewrite). Doppelklicken Sie auf URL Umschreiben, um die Konfiguration der URL-Rewrite-Regeln zu öffnen. Es sollten Regeln für jede Serverfarm angezeigt werden, die Sie in den vorherigen Schritten erstellt haben. Wenn sie dies nicht tun, vergewissern Sie sich, dass Sie auf den IIS-Servernamen direkt unterhalb des Knotens Startseite in der Internetinformations-Server-Manager-Konsole geklickt haben.

14. Im Dialogfeld URL rewrite (URL rewrite ) wird der vollständige Name der Regel angezeigt, indem webext.contoso.com als Beispiel verwendet wird, ARR_webext.contoso.com_loadbalance_SSL.

    • Doppelklicken Sie auf die Regel, um das Dialogfeld Regel für eingehenden Datenverkehr bearbeiten zu öffnen.

    • Klicken Sie im Dialogfeld Bedingungen auf Hinzufügen.

    • Geben Sie in der EingabeBedingung hinzufügen den Wert {HTTP_HOST} ein. (Während Der Eingabe wird ein Dialogfeld angezeigt, in dem Sie die Bedingung auswählen können.) unter Überprüfen, ob Eingabezeichenfolge:Die Option Entspricht dem Muster. Geben Sie in der Mustereingabe ein *. Groß-/Kleinschreibung ignorieren sollte ausgewählt sein. Klicken Sie auf OK.

    • Scrollen Sie im Dialogfeld Regel für eingehenden Datenverkehr bearbeiten nach unten, um das Dialogfeld Aktion zu suchen. Aktionstyp: sollte auf Route to Server Farm, Scheme: auf https://, Serverfarm: auf die URL festgelegt werden, für die diese Regel gilt. In diesem Beispiel sollte dies auf webext.contoso.com festgelegt werden. Pfad: ist auf /{R:0} festgelegt.

    • Klicken Sie auf Übernehmen , um Ihre Änderungen zu speichern. Klicken Sie auf Zurück zu Regeln , um zur URL-Umschreibungsregel zurückzukehren.

15. Wiederholen Sie das in Schritt 14 definierte Verfahren für jede der von Ihnen definierten SSL-Umschreibungsregeln, eine pro Serverfarm-URL.

    Warnung

    Standardmäßig werden auch HTTP-Regeln erstellt und durch die ähnliche Benennung wie die SSL-Regeln gekennzeichnet. In unserem aktuellen Beispiel wird die HTTP-Regel ARR_webext.contoso.com_loadbalance benannt. Es sind keine Änderungen an diesen Regeln erforderlich, und sie können problemlos ignoriert werden.

So ändern Sie die Eigenschaften der Webveröffentlichungsregel in TMG 2010

1. Klicken Sie auf Start, zeigen Sie auf Programme, wählen Sie Microsoft Forefront TMG aus, und klicken Sie dann auf Forefront TMG-Verwaltung.

2. Erweitern Sie im linken Bereich ServerName, und klicken Sie dann auf Firewallrichtlinie.

3. Klicken Sie im Detailbereich mit der rechten Maustaste auf die Webserververöffentlichungsregel, die Sie im vorherigen Verfahren erstellt haben (z. B. LyncServerExternalRule), und klicken Sie dann auf Eigenschaften.

4. Gehen Sie auf der Seite Eigenschaften auf der Registerkarte Von wie folgt vor:

   • Klicken Sie in der Liste Diese Regel gilt für Datenverkehr aus diesen Quellen auf Überall, und klicken Sie dann auf Entfernen.

   • Klicken Sie auf Hinzufügen.

   • Erweitern Sie unter Netzwerkentitäten hinzufügenden Knoten Netzwerke, klicken Sie auf Extern, klicken Sie auf Hinzufügen, und klicken Sie dann auf Schließen.

5. Stellen Sie auf der Registerkarte An sicher, dass das Kontrollkästchen Den ursprünglichen Hostheader anstelle des tatsächlichen Hostheaders weiterleiten aktiviert ist.

6. Aktivieren Sie auf der Registerkarte Bridging das Kontrollkästchen Anforderung an SSL-Port umleiten , und geben Sie dann Port 4443 an.

7. Fügen Sie auf der Registerkarte Öffentlicher Name die einfachen URLs hinzu (z. B. meet.contoso.com und dialin.contoso.com).

8. Klicken Sie auf Übernehmen , um die Änderungen zu speichern, und klicken Sie dann auf OK.

9. Klicken Sie im Detailbereich auf Übernehmen , um die Änderungen zu speichern und die Konfiguration zu aktualisieren.

So ändern Sie die Eigenschaften der Webveröffentlichungsregel in IIS ARR

1. Klicken Sie auf Start, wählen Sie Programme aus, wählen Sie Verwaltung aus, und klicken Sie dann auf Internetinformationsdienste-Manager (IIS).

2. Klicken Sie auf der linken Seite der Konsole auf den Namen des IIS-Servers.

3. Suchen Sie in der Mitte der Konsole unter IISnach URL Rewrite( URL Rewrite). Doppelklicken Sie auf URL Umschreiben, um die Konfiguration der URL-Rewrite-Regeln zu öffnen.

4. Doppelklicken Sie auf die Regel, die Sie ändern müssen. Nehmen Sie ihre Änderungen nach Bedarf unter Übereinstimmungs-URL, Bedingungen, Servervariablen oder Aktion vor.

5. Klicken Sie auf Übernehmen , um Ihre Änderungen zu committen. Klicken Sie auf Zurück zu Regeln , um andere Regeln zu ändern, oder schließen Sie die IIS-Manager-Konsole , wenn Sie ihre Änderungen abgeschlossen haben.