Configuration des règles de publication web pour un pool interne unique dans Lync Server 2013
Dernière modification de la rubrique : 2014-07-07
Microsoft Forefront Threat Management Gateway 2010 et INTERNET Information Server Application Request Routing (IIS ARR) utilise des règles de publication web pour publier des ressources internes, telles qu’une URL de réunion, pour les utilisateurs sur Internet.
En plus des URL des services web pour les répertoires virtuels, vous devez également créer des règles de publication pour les URL simples, l’URL LyncDiscover et office Web Apps Server. Pour chaque URL simple, vous devez créer une règle individuelle sur le proxy inverse qui pointe vers cette URL simple.
Si vous déployez la mobilité et utilisez la découverte automatique, vous devez créer une règle de publication pour l’URL du service de découverte automatique externe. La découverte automatique nécessite également des règles de publication pour l’URL des services web Lync Server externes pour votre pool de directeurs et votre pool frontal. Pour plus d’informations sur la création de règles de publication web pour la découverte automatique, consultez Configuration du proxy inverse pour la mobilité dans Lync Server 2013.
Utilisez les procédures suivantes pour créer des règles de publication web.
Remarque
Ces procédures supposent que vous avez installé l’édition Standard de Forefront Threat Management Gateway (TMG) 2010 ou que vous avez installé et configuré Internet Information Server avec l’extension IIS ARR (Application Request Routing). Vous utilisez TMG ou IIS ARR.
Pour créer une règle de publication de serveur web sur l’ordinateur exécutant TMG 2010
Cliquez sur Démarrer, sélectionnez Programmes, Microsoft Forefront TMG, puis cliquez sur Gestion de forefront TMG.
Dans le volet gauche, développez ServerName, cliquez avec le bouton droit sur Stratégie de pare-feu, sélectionnez Nouveau, puis cliquez sur Règle de publication de site web.
Dans la page Bienvenue dans la nouvelle règle de publication web , tapez un nom d’affichage pour la règle de publication (par exemple, LyncServerWebDownloadsRule).
Dans la page Sélectionner une action de règle , sélectionnez Autoriser.
Dans la page Type de publication, sélectionnez Publier un seul site web ou équilibreur de charge.
Dans la page Sécurité de la connexion au serveur, sélectionnez Utiliser SSL pour vous connecter au serveur web ou à la batterie de serveurs publiée.
Dans la page Détails de la publication interne , tapez le nom de domaine complet (FQDN) de la batterie de serveurs web interne qui héberge le contenu de votre réunion et le contenu du carnet d’adresses dans la zone Nom du site interne .
Remarque
Si votre serveur interne est un serveur Standard Edition, ce nom de domaine complet est le nom de domaine complet du serveur Standard Edition. Si votre serveur interne est un pool frontal, ce nom de domaine complet est une adresse IP virtuelle (VIP) de l’équilibreur de charge matérielle qui équilibre la charge des serveurs de batteries de serveurs web internes. Le serveur TMG doit être en mesure de résoudre le nom de domaine complet en adresse IP du serveur web interne. Si le serveur TMG n’est pas en mesure de résoudre le nom de domaine complet avec l’adresse IP appropriée, vous pouvez sélectionner Utiliser un nom d’ordinateur ou une adresse IP pour vous connecter au serveur publié, puis dans la zone Nom de l’ordinateur ou adresse IP, tapez l’adresse IP du serveur web interne. Dans ce cas, vous devez vous assurer que le port 53 est ouvert sur le serveur TMG et qu’il peut atteindre un serveur DNS qui réside dans le réseau de périmètre. Vous pouvez également utiliser des entrées dans le fichier hosts local pour fournir la résolution de noms.
Dans la page Détails de la publication interne , dans la zone Chemin d’accès (facultatif), tapez /* comme chemin d’accès du dossier à publier.
Remarque
Dans l’Assistant Publication de site web, vous ne pouvez spécifier qu’un seul chemin. Des chemins d’accès supplémentaires peuvent être ajoutés en modifiant les propriétés de la règle.
Dans la page Détails du nom public , vérifiez que Ce nom de domaine est sélectionné sous Accepter les demandes pour, tapez le nom de domaine complet des services web externes, dans la zone Nom public .
Dans la page Sélectionner un écouteur web , cliquez sur Nouveau pour ouvrir l’Assistant Nouvelle définition d’écouteur web.
Dans la page Bienvenue dans l’Assistant Nouvel écouteur web , tapez un nom pour l’écouteur web dans la zone Nom de l’écouteur web (par exemple, LyncServerWebServers).
Dans la page Sécurité de connexion du client , sélectionnez Exiger des connexions sécurisées SSL avec les clients.
Dans la page Adresse IP de l’écouteur web , sélectionnez Externe, puis cliquez sur Sélectionner des adresses IP.
Dans la page sélection de l’adresse IP de l’écouteur externe , sélectionnez Adresse IP spécifiée sur l’ordinateur Forefront TMG dans le réseau sélectionné, sélectionnez l’adresse IP appropriée, cliquez sur Ajouter.
Dans la page Certificats SSL de l’écouteur , sélectionnez Attribuer un certificat pour chaque adresse IP, sélectionnez l’adresse IP associée au nom de domaine complet web externe, puis cliquez sur Sélectionner un certificat.
Dans la page Sélectionner un certificat , sélectionnez le certificat qui correspond aux noms publics spécifiés à l’étape 9, cliquez sur Sélectionner.
Dans la page Paramètre d’authentification , sélectionnez Aucune authentification.
Dans la page Authentification unique Paramètre, cliquez sur Suivant.
Dans la page Fin de l’Assistant Écouteur web , vérifiez que les paramètres de l’écouteur web sont corrects, puis cliquez sur Terminer.
Dans la page Délégation d’authentification , sélectionnez Aucune délégation, mais le client peut s’authentifier directement.
Dans la page Ensemble d’utilisateurs , cliquez sur Suivant.
Dans la page Fin de l’Assistant Nouvelle règle de publication web , vérifiez que les paramètres de règle de publication web sont corrects, puis cliquez sur Terminer.
Cliquez sur Appliquer dans le volet d’informations pour enregistrer les modifications et mettre à jour la configuration.
Pour créer une règle de publication de serveur web sur l’ordinateur exécutant IIS ARR
Liez le certificat que vous allez utiliser pour le proxy inverse au protocole HTTPS. Cliquez sur Démarrer, sélectionnez Programmes, Outils d’administration, puis cliquez sur Gestionnaire des services Internet (IIS).
Remarque
Vous trouverez de l’aide, des captures d’écran et des conseils supplémentaires sur le déploiement et la configuration d’IIS ARR dans l’article NextHop Using IIS ARR as a Reverse Proxy for Lync Server 2013.
Si vous ne l’avez pas déjà fait, importez le certificat que vous allez utiliser pour le proxy inverse. Dans le Gestionnaire des services Internet (IIS), cliquez sur le nom du serveur proxy inverse sur la taille de gauche de la console. Au milieu de la console, sous IIS , recherchez Certificats de serveur. Cliquez avec le bouton droit sur Certificats de serveur , puis sélectionnez Ouvrir la fonctionnalité.
Sur le côté droit de la console, cliquez sur Importer.... Tapez le chemin d’accès et le nom de fichier du certificat avec l’extension, ou cliquez sur ... pour rechercher le certificat. Sélectionnez le certificat, puis cliquez sur Ouvrir. Fournissez le mot de passe utilisé pour protéger la clé privée (si vous avez affecté un mot de passe lors de l’exportation du certificat et de la clé privée). Cliquez sur OK. Si l’importation du certificat a réussi, le certificat apparaît sous la forme d’une entrée au milieu de la console en tant qu’entrée dans Certificats de serveur.
Affectez le certificat pour une utilisation par HTTPS. Sur le côté gauche de la console, sélectionnez le site web par défaut du serveur IIS. Sur le côté droit, cliquez sur Liaisons.... Dans la boîte de dialogue Liaisons de site, cliquez sur Ajouter.... Dans la boîte de dialogue Ajouter une liaison de site , sous Type :, sélectionnez https. La sélection de https vous permet de sélectionner le certificat à utiliser pour https. Sous Certificat SSL , sélectionnez le certificat que vous avez importé pour le proxy inverse. Cliquez sur OK. Cliquez ensuite sur Fermer. Le certificat est maintenant lié au proxy inverse pour le protocole SSL (Secure Socket Layer) et tls (Transport Layer Security).
Important
Si vous recevez un avertissement lors de la fermeture des boîtes de dialogue Liaisons indiquant que des certificats intermédiaires sont manquants, vous devez localiser et importer le certificat d’autorité de certification racine publique et tous les certificats d’autorité de certification intermédiaires. Consultez les instructions de l’autorité de certification publique auprès de laquelle vous avez demandé votre certificat et suivez les instructions pour demander et importer une chaîne de certificats. Si vous avez exporté le certificat à partir de votre serveur Edge, vous pouvez exporter le certificat d’autorité de certification racine et tous les certificats d’autorité de certification intermédiaires associés au serveur Edge. Importez le certificat d’autorité de certification racine dans le magasin d’autorités de certification racines de confiance de l’ordinateur (à ne pas confondre avec le magasin d’utilisateurs) et les certificats intermédiaires dans le magasin d’autorités de certification intermédiaires de l’ordinateur.
Sur le côté gauche de la console sous le nom du serveur IIS, cliquez avec le bouton droit sur Batteries de serveurs, puis cliquez sur Créer une batterie de serveurs...
Remarque
Si vous ne voyez pas le nœud Batteries de serveurs , vous devez installer le routage des demandes d’application. Pour plus d’informations, consultez Configuration de serveurs proxy inverses pour Lync Server 2013.
Dans la boîte de dialogue Créer une batterie de serveurs dans Nom de la batterie de serveurs, tapez le nom (il peut s’agir d’un nom convivial à des fins d’identification) pour la première URL. Cliquez sur Suivant.
Dans la boîte de dialogue Ajouter un serveur dans Adresse du serveur, tapez le nom de domaine complet (FQDN) des services web externes sur votre serveur frontal. Les noms qui seront utilisés ici à des fins d’exemple sont les mêmes que ceux utilisés dans la section Planification du proxy inverse, Résumé du certificat - Proxy inverse dans Lync Server 2013. En faisant référence à la planification du proxy inverse, nous tapons le nom de domaine complet
webext.contoso.com
. Vérifiez que la case à cocher en regard de En ligne est cochée. Cliquez sur Ajouter pour ajouter le serveur au pool de serveurs web pour cette configuration.Avertissement
Lync Server utilise des équilibreurs de charge matériels pour mettre en pool les serveurs frontaux et les serveurs directeurs pour le trafic HTTP et HTTPS. Vous ne fournirez qu’un seul nom de domaine complet lors de l’ajout d’un serveur à la batterie de serveurs IIS ARR. Le nom de domaine complet est le serveur frontal ou le directeur dans les configurations de serveur non mises en pool, ou le nom de domaine complet de l’équilibreur de charge matérielle configuré pour les pools de serveurs. La seule méthode prise en charge pour équilibrer la charge du trafic HTTP et HTTPS consiste à utiliser des équilibreurs de charge matériels.
Dans la boîte de dialogue Ajouter un serveur , cliquez sur Paramètres avancés.... Cela ouvre une boîte de dialogue pour définir le routage des demandes d’application pour les requêtes adressées au nom de domaine complet configuré. L’objectif est de redéfinir le port utilisé lorsque la requête est traitée par IIS ARR.
Par défaut, le port HTTP de destination doit être défini sur 8080. Cliquez en regard du httpPort 80 actuel et définissez la valeur sur 8080. Cliquez en regard du httpsPort 443 actuel et définissez la valeur sur 4443. Laissez le paramètre weight à 100. Si nécessaire, vous pouvez redéfinir les pondérations pour une règle donnée une fois que vous avez des statistiques de base. Cliquez sur Terminer pour terminer cette partie de la configuration de la règle.
Vous pouvez voir une boîte de dialogue Règles de réécriture qui vous informe que le Gestionnaire des services Internet peut créer une règle de réécriture d’URL pour acheminer automatiquement toutes les demandes entrantes vers la batterie de serveurs. Cliquez sur Oui. Vous allez ajuster les règles manuellement, mais sélectionner Oui définit la configuration initiale.
Cliquez sur le nom de la batterie de serveurs que vous venez de créer. Sous Batterie de serveurs dans la vue Fonctionnalités du Gestionnaire des services Internet, double-cliquez sur Mise en cache. Désélectionnez Activer le cache de disque. Cliquez sur Appliquer sur le côté droit.
Cliquez sur le nom de la batterie de serveurs. Sous Batterie de serveurs dans la vue Fonctionnalités du Gestionnaire des services Internet, double-cliquez sur Proxy. Dans la page Paramètres du proxy, remplacez la valeur de Délai d’attente (secondes) par une valeur appropriée pour votre déploiement. Cliquez sur Appliquer pour enregistrer la modification.
Important
La valeur du délai d’attente du proxy est un nombre qui varie d’un déploiement à l’autre. Vous devez surveiller votre déploiement et modifier la valeur pour la meilleure expérience pour les clients. Vous pouvez peut-être définir la valeur aussi faible que 200. Si vous prendz en charge les clients mobiles Lync dans votre environnement, vous devez définir la valeur sur 960 pour autoriser l’expiration du délai d’expiration des notifications Push à partir de Office 365 dont le délai d’attente est de 900. Il est très probable que vous deviez augmenter la valeur du délai d’attente pour éviter les déconnexions du client lorsque la valeur est trop faible ou diminuer le nombre si les connexions via le proxy ne se déconnectent pas et s’effacent longtemps après la déconnexion du client. La surveillance et l’alignement de base de ce qui est normal pour votre environnement sont les seuls moyens précis de déterminer où est le bon paramètre pour cette valeur.
Cliquez sur le nom de la batterie de serveurs. Sous Batterie de serveurs dans la vue Fonctionnalités du Gestionnaire des services Internet, double-cliquez sur Règles de routage. Dans la boîte de dialogue Règles de routage sous Routage, décochez la case en regard de Activer le déchargement SSL. Si la possibilité d’effacer la case à cocher n’est pas disponible, cochez la case Utiliser la réécriture d’URL pour inspecter les demandes entrantes. Cliquez sur Appliquer pour enregistrer vos modifications.
Avertissement
Le déchargement SSL par le proxy inverse n’est pas pris en charge.
Répétez les étapes 5 à 11 pour chaque URL qui doit passer par le proxy inverse. Voici une liste commune :
Services web serveur frontal externes : webext.contoso.com (déjà configuré par procédure pas à pas initiale)
Services Web de directeur externes pour Director : webdirext.contoso.com (facultatif si un directeur est déployé)
Rencontre URL simple : meet.contoso.com
Numérotation d’URL simple : dialin.contoso.com
URL de découverte automatique Lync : lyncdiscover.contoso.com
URL d’Office Web Apps Server : officewebapps01.contoso.com
Important
L’URL d’Office Web Apps Server utilise une adresse httpsPort différente. À l’étape 7, vous définissez httpsPort sur 443 et httpPort sur le port 80. Tous les autres paramètres de configuration sont identiques.
Sur le côté gauche de la console, cliquez sur le nom du serveur IIS. Au milieu de la console, recherchez URL Réécriture sous IIS. Double-cliquez sur Réécriture d’URL pour ouvrir la configuration des règles de réécriture d’URL. Vous devez voir des règles pour chaque batterie de serveurs que vous avez créée aux étapes précédentes. Si ce n’est pas le cas, vérifiez que vous avez cliqué sur le nom du serveur IIS immédiatement sous le nœud Page de démarrage dans la console Internet Information Gestionnaire de serveur.
Dans la boîte de dialogue Réécriture d’URL , en utilisant webext.contoso.com comme exemple, le nom complet de la règle tel qu’affiché est ARR_webext.contoso.com_loadbalance_SSL.
Double-cliquez sur la règle pour ouvrir la boîte de dialogue Modifier la règle de trafic entrant .
Cliquez sur Ajouter... dans la boîte de dialogue Conditions .
Dans l’entrée Ajouter une condition dans Condition : tapez {HTTP_HOST}. (Au fur et à mesure que vous tapez, une boîte de dialogue s’affiche pour vous permettre de sélectionner la condition). sous Vérifier si la chaîne d’entrée : sélectionnez Correspond au modèle. Dans l’entrée Pattern, tapez *. Ignorer la casse doit être sélectionné. Cliquez sur OK.
Faites défiler vers le bas dans la boîte de dialogue Modifier la règle de trafic entrant pour rechercher la boîte de dialogue Action . Type d’action : doit être défini sur Route vers la batterie de serveurs, Schéma : défini sur https://, Batterie de serveurs : défini sur l’URL à laquelle cette règle s’applique. Pour cet exemple, il doit être défini sur webext.contoso.com. Chemin : est défini sur /{R :0}
Cliquez sur Appliquer pour enregistrer vos modifications. Cliquez sur Revenir aux règles pour revenir aux règles de réécriture d’URL.
Répétez la procédure définie à l’étape 14 pour chacune des règles de réécriture SSL que vous avez définies, une par URL de batterie de serveurs.
Avertissement
Par défaut, les règles HTTP sont également créées et sont signalées par le nommage similaire aux règles SSL. Pour notre exemple actuel, la règle HTTP serait nommée ARR_webext.contoso.com_loadbalance. Aucune modification n’est nécessaire à ces règles et elles peuvent être ignorées en toute sécurité.
Pour modifier les propriétés de la règle de publication web dans TMG 2010
Cliquez sur Démarrer, pointez sur Programmes, sélectionnez Microsoft Forefront TMG, puis cliquez sur Gestion forefront TMG.
Dans le volet gauche, développez ServerName, puis cliquez sur Stratégie de pare-feu.
Dans le volet d’informations, cliquez avec le bouton droit sur la règle de publication de serveur web que vous avez créée dans la procédure précédente (par exemple, LyncServerExternalRule), puis cliquez sur Propriétés.
Dans la page Propriétés , sous l’onglet De , procédez comme suit :
Dans la liste Cette règle s’applique au trafic provenant de ces sources , cliquez sur N’importe où, puis sur Supprimer.
Cliquez sur Ajouter.
Dans Ajouter des entités réseau, développez Réseaux, cliquez sur Externe, sur Ajouter, puis sur Fermer.
Sous l’onglet À, vérifiez que la zone Transférer l’en-tête d’hôte d’origine au lieu de celui case activée réel est cochée.
Sous l’onglet Pontage, sélectionnez la zone Redirection de la demande vers le port SSL case activée, puis spécifiez le port 4443.
Sous l’onglet Nom public , ajoutez les URL simples (par exemple, meet.contoso.com et dialin.contoso.com).
Cliquez sur Appliquer pour enregistrer les modifications, puis sur OK.
Cliquez sur Appliquer dans le volet d’informations pour enregistrer les modifications et mettre à jour la configuration.
Pour modifier les propriétés de la règle de publication web dans IIS ARR
Cliquez sur Démarrer, sélectionnez Programmes, Outils d’administration, puis cliquez sur Gestionnaire des services Internet (IIS).
Sur le côté gauche de la console, cliquez sur le nom du serveur IIS.
Au milieu de la console, recherchez URL Réécriture sous IIS. Double-cliquez sur Réécriture d’URL pour ouvrir la configuration des règles de réécriture d’URL.
Double-cliquez sur la règle que vous devez modifier. Apportez vos modifications, si nécessaire, dans l’URL de correspondance, les conditions, les variables du serveur ou l’action.
Cliquez sur Appliquer pour valider vos modifications. Cliquez sur Revenir aux règles pour modifier d’autres règles ou fermez la console du Gestionnaire des services Internet si vous avez terminé vos modifications.