Configurar regras de publicação na Web para um único pool interno no Lync Server 2013
Tópico Última Modificação: 2014-07-07
O Microsoft Forefront Threat Management Gateway 2010 e o Encaminhamento de Pedidos de Aplicação do Internet Information Server (IIS ARR) utilizam regras de publicação na Web para publicar recursos internos, como um URL de reunião, para os utilizadores na Internet.
Além dos URLs dos Serviços Web para os diretórios virtuais, também tem de criar regras de publicação para URLs simples, o URL de Deteção de Dados do Lync e o Office Aplicativos Web Server. Para cada URL simples, tem de criar uma regra individual no proxy inverso que aponte para esse URL simples.
Se estiver a implementar mobilidade e a utilizar a deteção automática, terá de criar uma regra de publicação para o URL do Serviço de Deteção Automática externo. A deteção automática também requer regras de publicação para o URL externo dos Serviços Web do Lync Server para o conjunto de Diretórios e o conjunto de Front-End. Para obter detalhes sobre como criar as regras de publicação na Web para deteção automática, veja Configurar o proxy inverso para mobilidade no Lync Server 2013.
Utilize os seguintes procedimentos para criar regras de publicação na Web.
Nota
Estes procedimentos partem do princípio de que instalou o Standard Edition do Forefront Threat Management Gateway (TMG) 2010 ou que instalou e configurou o Servidor de Informação Internet com a extensão encaminhamento de pedidos de Aplicação (IIS ARR). Utilize o TMG ou o IIS ARR.
Para criar uma regra de publicação de servidor Web no computador com o TMG 2010
Clique em Iniciar, selecione Programas, selecione Microsoft Forefront TMG e, em seguida, clique em Gestão do Forefront TMG.
No painel esquerdo, expanda ServerName, clique com o botão direito do rato em Política de Firewall, selecione Novo e, em seguida, clique em Regra de Publicação do Web Site.
Na página Bem-vindo à Nova Regra de Publicação na Web , escreva um nome a apresentar para a regra de publicação (por exemplo, LyncServerWebDownloadsRule).
Na página Selecionar Ação da Regra , selecione Permitir.
Na página Tipo de Publicação , selecione Publicar um único Web site ou balanceador de carga.
Na página Segurança de Ligação do Servidor , selecione Utilizar SSL para ligar ao servidor Web ou farm de servidores publicado.
Na página Detalhes de Publicação Interna , escreva o nome de domínio completamente qualificado (FQDN) do web farm interno que aloja o conteúdo da reunião e o conteúdo do Livro de Endereços na caixa Nome do Site Interno .
Nota
Se o servidor interno for um servidor Standard Edition, este FQDN é o FQDN do servidor Standard Edition. Se o servidor interno for um conjunto de Front-End, este FQDN é um IP virtual (VIP) do balanceador de carga de hardware que equilibra a carga dos servidores de web farm internos. O servidor TMG tem de conseguir resolve o FQDN para o endereço IP do servidor Web interno. Se o servidor TMG não conseguir resolve o FQDN para o endereço IP adequado, pode selecionar Utilizar um nome de computador ou endereço IP para ligar ao servidor publicado e, em seguida, na caixa Nome do computador ouendereço IP, escreva o endereço IP do servidor Web interno. Se o fizer, tem de garantir que a porta 53 está aberta no servidor TMG e que consegue aceder a um servidor DNS que reside na rede de perímetro. Também pode utilizar entradas no ficheiro de anfitriões locais para fornecer resolução de nomes.
Na página Detalhes de Publicação Interna , na caixa Caminho (opcional), escreva /* como o caminho da pasta a publicar.
Nota
No assistente de publicação do site, só pode especificar um caminho. Podem ser adicionados caminhos adicionais ao modificar as propriedades da regra.
Na página Detalhes do Nome Público , confirme que Este nome de domínio está selecionado em Aceitar Pedidos para, escreva o FQDN dos Serviços Web externos, na caixa Nome Público .
Na página Selecionar Serviço de Escuta Web , clique em Novo para abrir o Assistente de Definição do Novo Serviço de Escuta Web.
Na página Bem-vindo ao Assistente de Novo Serviço de Escuta Web , escreva um nome para o serviço de escuta Web na caixa Nome do serviço de escuta web (por exemplo, LyncServerWebServers).
Na página Segurança da Ligação de Cliente , selecione Exigir ligações protegidas por SSL com clientes.
Na página Endereço IP do Serviço de Escuta Web , selecione Externo e, em seguida, clique em Selecionar Endereços IP.
Na página de seleção de IP do Serviço de Escuta Externo , selecione Endereço IP especificado no computador Forefront TMG na rede selecionada, selecione o endereço IP adequado e clique em Adicionar.
Na página Certificados SSL do Serviço de Escuta , selecione Atribuir um certificado para cada endereço IP, selecione o endereço IP associado ao FQDN Web externo e, em seguida, clique em Selecionar Certificado.
Na página Selecionar Certificado, selecione o certificado que corresponde aos nomes públicos especificados no passo 9 e clique em Selecionar.
Na página Definição de Autenticação , selecione Sem Autenticação.
Na página Definição do Logon único, clique em Seguinte.
Na página Concluir o Assistente de Escuta web, verifique se as definições do serviço de escuta Web estão corretas e, em seguida, clique em Concluir.
Na página Delegação de Autenticação , selecione Sem delegação, mas o cliente pode autenticar-se diretamente.
Na página Conjunto de Utilizadores , clique em Seguinte.
Na página Concluir o Assistente de Nova Regra de Publicação na Web , verifique se as definições da regra de publicação na Web estão corretas e, em seguida, clique em Concluir.
Clique em Aplicar no painel de detalhes para guardar as alterações e atualizar a configuração.
Para criar uma regra de publicação do servidor Web no computador com o IIS ARR
Vincular o certificado que irá utilizar para o proxy inverso ao protocolo HTTPS. Clique em Iniciar, selecione Programas, selecione Ferramentas Administrativas e, em seguida, clique em Gestor de Serviços de Informação Internet (IIS).
Nota
Pode encontrar ajuda adicional, capturas de ecrã e orientações sobre como implementar e configurar o ARR do IIS no artigo NextHop Using IIS ARR as a Reverse Proxy for Lync Server 2013 (Utilizar o ARR do IIS como Proxy Inverso para o Lync Server 2013).
Se ainda não o tiver feito, importe o certificado que irá utilizar para o proxy inverso. No Gestor de Serviços de Informação Internet (IIS), clique no nome do servidor proxy inverso no tamanho esquerdo da consola. No meio da consola, em IIS , localize Certificados de Servidor. Clique com o botão direito do rato em Certificados de Servidor e selecione Abrir funcionalidade.
No lado direito da consola, clique em Importar.... Escreva o caminho e o nome do ficheiro do certificado com a extensão ou clique em ... para procurar o certificado. Selecione o certificado e clique em Abrir. Forneça a palavra-passe utilizada para proteger a chave privada (se tiver atribuído uma palavra-passe ao exportar o certificado e a chave privada). Clique em OK. Se a importação do certificado tiver sido efetuada com êxito, o certificado aparecerá como uma entrada no meio da consola como uma entrada em Certificados de Servidor.
Atribua o certificado para utilização por HTTPS. No lado esquerdo da consola, selecione o Web Site Predefinido do servidor IIS. No lado direito, clique em Enlaces.... Na caixa de diálogo Enlaces de Site , clique em Adicionar.... Na caixa de diálogo Adicionar Enlace de Site em Tipo:, selecione https. Selecionar https irá permitir-lhe selecionar o certificado a utilizar para https. Em Certificado SSL:, selecione o certificado que importou para o proxy inverso. Clique em OK. Em seguida, clique em Fechar. O certificado está agora vinculado ao proxy inverso para segurança de camada de socket segura (SSL) e segurança da camada de transporte (TLS).
Importante
Se receber um aviso ao fechar as caixas de diálogo Enlaces de que os certificados intermédios estão em falta, terá de localizar e importar o certificado de autoridade de raiz da AC pública e quaisquer certificados de AC intermédios. Consulte as instruções na AC pública a partir da qual pediu o certificado e siga as instruções para pedir e importar uma cadeia de certificados. Se exportou o certificado do seu Servidor Edge, pode exportar o certificado de AC de raiz e quaisquer certificados de AC intermédios associados ao Servidor Edge. Importe o certificado de AC de raiz para o arquivo de Autoridades de Certificação de Raiz Fidedigna do Computador (não confundir com o arquivo de Utilizadores) e certificados intermédios para o arquivo de Autoridades de Certificação Intermédias do Computador.
No lado esquerdo da consola por baixo do nome do servidor IIS, clique com o botão direito do rato em Farms de Servidores e, em seguida, clique em Criar Farm de Servidores....
Nota
Se não vir o nó Farms de Servidor , terá de instalar o Encaminhamento de Pedidos de Aplicação. Para obter detalhes, veja Configurar servidores proxy inversos para o Lync Server 2013.
Na caixa de diálogo Criar Farm de Servidores em Nome do farm de servidores, escreva o nome (pode ser um nome amigável para fins de identificação) para o primeiro URL. Click Next.
Na caixa de diálogo Adicionar Servidor no Endereço do Servidor, escreva o nome de domínio completamente qualificado (FQDN) dos serviços Web externos no servidor front-end. Os nomes que serão utilizados aqui para fins de exemplo são os mesmos que são utilizados na secção Planeamento do proxy inverso, Resumo do certificado – proxy inverso no Lync Server 2013. Referindo-se ao planeamento do proxy inverso, escrevemos o FQDN
webext.contoso.com. Confirme que a caixa de verificação junto a Online está selecionada. Clique em Adicionar para adicionar o servidor ao conjunto de servidores Web para esta configuração.Aviso
O Lync Server utiliza balanceadores de carga de hardware para agrupamento de Servidores de Diretório e Front-end para tráfego HTTP e HTTPS. Só fornecerá um FQDN ao adicionar um servidor ao Farm de Servidores do ARR do IIS. O FQDN será o Servidor front-end ou o Director em configurações de servidor não agrupadas ou o FQDN do balanceador de carga de hardware configurado para conjuntos de servidores. O único método suportado para fazer o balanceamento de carga do tráfego HTTP e HTTPS é através de balanceadores de carga de hardware.
Na caixa de diálogo Adicionar Servidor , clique em Definições avançadas.... Esta ação abre uma caixa de diálogo para definir o encaminhamento de pedidos de aplicação para o FQDN configurado. O objetivo é redefinir que porta é utilizada quando o pedido é processado pelo ARR do IIS.
Por predefinição, a porta HTTP de destino tem de ser definida como 8080. Clique junto ao httpPort 80 atual e defina o valor como 8080. Clique junto ao httpsPort 443 atual e defina o valor como 4443. Deixe o parâmetro de peso em 100. Se necessário, pode redefinir pesos para uma determinada regra assim que tiver estatísticas de linha de base. Clique em Concluir para concluir esta parte da configuração da regra.
Poderá ver uma caixa de diálogo Reescrever Regras que o informa de que o Gestor de IIS pode criar uma regra de reescrita de URL para encaminhar automaticamente todos os pedidos recebidos para o farm de servidores. Clique em Sim. Irá ajustar as regras manualmente, mas selecionar Sim define a configuração inicial.
Clique no nome do farm de servidores que acabou de criar. Em Farm de Servidores na Vista de Funcionalidades do Gestor do IIS, faça duplo clique em Colocação em Cache. Desselecione Ativar cache de disco. Clique em Aplicar no lado direito.
Clique no nome do farm de servidores. Em Farm de Servidores na Vista de Funcionalidades do Gestor do IIS, faça duplo clique em Proxy. Na página definições do Proxy, altere o valor de Tempo Limite (segundos) para um valor adequado para a implementação. Clique em Aplicar para guardar a alteração.
Importante
O valor de Tempo Limite do Proxy é um número que irá variar de implementação para implementação. Deve monitorizar a implementação e modificar o valor para obter a melhor experiência para os clientes. Poderá definir o valor como 200. Se estiver a suportar clientes móveis do Lync no seu ambiente, deve definir o valor como 960 para permitir o tempo limite de notificações push de Office 365 que têm um valor de tempo limite de 900. É muito provável que tenha de aumentar o valor de tempo limite para evitar que o cliente se desligue quando o valor é demasiado baixo ou diminuir o número se as ligações através do proxy não se desligarem e limparem muito depois de o cliente se desligar. A monitorização e o alinhamento base do que é normal para o seu ambiente são os únicos meios precisos para determinar onde está a definição certa para este valor.
Clique no nome do farm de servidores. Em Farm de Servidores na Vista de Funcionalidades do Gestor do IIS, faça duplo clique em Regras de Encaminhamento. Na caixa de diálogo Regras de Encaminhamento em Encaminhamento, desmarque a caixa de verificação junto a Ativar a descarga de SSL. Se a capacidade de desmarcar a caixa de verificação não estiver disponível, selecione a caixa de verificação Utilizar Reescrita de URL para inspecionar os pedidos recebidos. Clique em Aplicar para guardar as alterações.
Aviso
A Descarga de SSL pelo proxy inverso não é suportada.
Repita os Passos 5 a 11 para cada URL que tem de passar pelo proxy inverso. Uma lista comum seria a seguinte:
Serviços Web do Front End Server externos: webext.contoso.com (já configurados por instruções iniciais)
Serviços Web de Direção externos para o Director: webdirext.contoso.com (Opcional se um Diretório for implementado)
Reunião de URL Simples: meet.contoso.com
Linha de diálogo de URL simples: dialin.contoso.com
URL da Deteção Automática do Lync: lyncdiscover.contoso.com
URL do Office Aplicativos Web Server: officewebapps01.contoso.com
Importante
O URL do Office Aplicativos Web Server utilizará um endereço httpsPort diferente. No passo 7, define o httpsPort como 443 e o httpPort como a porta 80. Todas as outras definições de configuração são as mesmas.
No lado esquerdo da consola, clique no nome do servidor IIS. No meio da consola, localize Reescrita de URL em IIS. Faça duplo clique em Reescrita de URL para abrir a configuração das regras de Reescrita de URL. Deverá ver regras para cada Farm de Servidores que criou nos passos anteriores. Se não o fizer, confirme que clicou no nome do Servidor IIS imediatamente abaixo do nó Página Inicial na consola de Gerenciador do Servidor de Informações da Internet.
Na caixa de diálogo Reescrita de URL , utilizando webext.contoso.com como exemplo, o nome completo da regra conforme apresentado é ARR_webext.contoso.com_loadbalance_SSL.
Faça duplo clique na regra para abrir a caixa de diálogo Editar Regra de Entrada .
Clique em Adicionar... na caixa de diálogo Condições .
Na entrada Adicionar Condição na Condição: escreva {HTTP_HOST}. (À medida que escreve, é apresentada uma caixa de diálogo que lhe permitirá selecionar a condição). em Verificar se a cadeia de entrada: selecione Corresponde ao Padrão. No tipo *de entrada Padrão . A opção Ignorar maiúsculas/minúsculas deve ser selecionada. Clique em OK.
Desloque-se para baixo na caixa de diálogo Editar Regra de Entrada para localizar a caixa de diálogo Ação . Tipo de Ação: deve ser definido como Encaminhar para Farm de Servidores, Esquema: definido como https://, Farm de servidores: definido como o URL a que esta regra se aplica. Para este exemplo, deve ser definido como webext.contoso.com. Caminho: está definido como /{R:0}
Clique em Aplicar para guardar as alterações. Clique em Voltar às Regras para voltar às regras de Reescrita de URLs.
Repita o procedimento definido no Passo 14 para cada uma das regras de reescrita de SSL que definiu, uma por URL do Farm de Servidores.
Aviso
Por predefinição, as regras HTTP também são criadas e são denotadas pela nomenclatura semelhante às regras SSL. Para o nosso exemplo atual, a regra HTTP teria o nome ARR_webext.contoso.com_loadbalance. Não são necessárias modificações a estas regras e podem ser ignoradas em segurança.
Para modificar as propriedades da regra de publicação Web no TMG 2010
Clique em Iniciar, aponte para Programas, selecione Microsoft Forefront TMG e, em seguida, clique em Gestão do Forefront TMG.
No painel esquerdo, expanda ServerName e, em seguida, clique em Política de Firewall.
No painel de detalhes, clique com o botão direito do rato na regra de publicação do servidor Web que criou no procedimento anterior (por exemplo, LyncServerExternalRule) e, em seguida, clique em Propriedades.
Na página Propriedades , no separador De , faça o seguinte:
Na lista Esta regra aplica-se ao tráfego destas origens , clique em Qualquer Lugar e, em seguida, clique em Remover.
Clique em Adicionar.
Em Adicionar Entidades de Rede, expanda Redes, clique em Externo, clique em Adicionar e, em seguida, clique em Fechar.
No separador Para, certifique-se de que a caixa Reencaminhar o cabeçalho do anfitrião original em vez da caixa de marcar real está selecionada.
No separador Bridging, selecione a caixa de marcar Pedido de redirecionamento para a porta SSL e, em seguida, especifique a porta 4443.
No separador Nome Público , adicione os URLs simples (por exemplo, meet.contoso.com e dialin.contoso.com).
Clique em Aplicar para guardar as alterações e, em seguida, clique em OK.
Clique em Aplicar no painel de detalhes para guardar as alterações e atualizar a configuração.
Para modificar as propriedades da regra de publicação Web no ARR do IIS
Clique em Iniciar, selecione Programas, selecione Ferramentas Administrativas e, em seguida, clique em Gestor de Serviços de Informação Internet (IIS).
No lado esquerdo da consola, clique no nome do servidor IIS.
No meio da consola, localize Reescrita de URL em IIS. Faça duplo clique em Reescrita de URL para abrir a configuração das regras de Reescrita de URL.
Faça duplo clique na regra que precisa de modificar. Faça as modificações, conforme necessário, em Corresponder URL, Condições, Variáveis de Servidor ou Ação.
Clique em Aplicar para consolidar as alterações. Clique em Voltar às Regras para modificar outras regras ou feche a consola do Gestor de IIS , se tiver terminado as alterações.