Поделиться через

Настройка правил веб-публикации для единого внутреннего пула в Lync Server 2013

  • Статья

 

Последнее изменение раздела: 2014-07-07

Microsoft Forefront Threat Management Gateway 2010 и Internet Information Server Application Request Routing (IIS ARR) используют правила веб-публикации для публикации внутренних ресурсов, таких как URL-адрес собрания, для пользователей в Интернете.

Помимо URL-адресов веб-служб для виртуальных каталогов, необходимо также создать правила публикации для простых URL-адресов, URL-адреса LyncDiscover и Office веб-приложения Server. Для каждого простого URL-адреса необходимо создать отдельное правило для обратного прокси-сервера, указывающее на этот простой URL-адрес.

Если вы развертываете мобильность и используете автоматическое обнаружение, необходимо создать правило публикации для URL-адреса внешней службы автообнаружения. Для автоматического обнаружения также требуются правила публикации внешних URL-адресов веб-служб Lync Server для пула директоров и внешнего пула. Дополнительные сведения о создании правил веб-публикации для автоматического обнаружения см. в статье Настройка обратного прокси-сервера для мобильности в Lync Server 2013.

Используйте следующие процедуры для создания правил веб-публикации.

Примечание.

Эти процедуры предполагают, что вы установили выпуск Standard Forefront Threat Management Gateway (TMG) 2010 или установили и настроили Internet Information Server с расширением маршрутизации запросов приложений (IIS ARR). Вы используете TMG или IIS ARR.

Создание правила публикации веб-сервера на компьютере под управлением TMG 2010

  1. Нажмите кнопку Пуск, выберите Программы, Microsoft Forefront TMG, а затем — Управление Forefront TMG.

  2. В левой области разверните узел ServerName, щелкните правой кнопкой мыши Пункт Политика брандмауэра, выберите Создать, а затем выберите Правило публикации веб-сайта.

  3. На странице Добро пожаловать в новое правило веб-публикации введите отображаемое имя правила публикации (например, LyncServerWebDownloadsRule).

  4. На странице Выбор действия правила выберите Разрешить.

  5. На странице Тип публикации выберите Опубликовать один веб-сайт или подсистему балансировки нагрузки.

  6. На странице Безопасность подключения к серверу выберите Использовать SSL для подключения к опубликованному веб-серверу или ферме серверов.

  7. На странице Сведения о внутренней публикации введите полное доменное имя (FQDN) внутренней веб-фермы, в котором размещается содержимое собрания и содержимое адресной книги, в поле Имя внутреннего сайта .

    Примечание.

    Если внутренний сервер является сервером Standard Edition, это полное доменное имя сервера Standard Edition. Если внутренний сервер является пулом переднего плана, это полное доменное имя является виртуальным IP-адресом аппаратной подсистемы балансировки нагрузки, который балансирует нагрузку на внутренние серверы веб-фермы. Сервер TMG должен иметь возможность разрешать полное доменное имя в IP-адрес внутреннего веб-сервера. Если серверу TMG не удается разрешить полное доменное имя в правильный IP-адрес, можно выбрать Использовать имя компьютера или IP-адрес для подключения к опубликованному серверу, а затем в поле Имя компьютера илиIP-адрес введите IP-адрес внутреннего веб-сервера. В этом случае необходимо убедиться, что порт 53 открыт на сервере TMG и что он может подключиться к DNS-серверу, который находится в сети периметра. Вы также можете использовать записи в локальном файле hosts для предоставления разрешения имен.

  8. На странице Сведения о внутренней публикации в поле Путь (необязательно) введите /* путь к папке для публикации.

    Примечание.

    В мастере публикации веб-сайта можно указать только один путь. Дополнительные пути можно добавить, изменив свойства правила.

  9. На странице Сведения об общедоступном имени убедитесь, что это доменное имя выбрано в разделе Принять запросы для, введите полное доменное имя внешних веб-служб в поле Общедоступное имя .

  10. На странице Выбор веб-прослушивателя нажмите кнопку Создать , чтобы открыть мастер создания определения веб-прослушивателя.

  11. На странице Добро пожаловать в мастер создания веб-прослушивателя введите имя веб-прослушивателя в поле Имя веб-прослушивателя (например, LyncServerWebServers).

  12. На странице Безопасность подключения клиента выберите Требовать защищенные SSL-подключения с клиентами.

  13. На странице IP-адрес веб-прослушивателя выберите Внешний и щелкните Выбрать IP-адреса.

  14. На странице Выбор IP-адреса внешнего прослушивателя выберите Указанный IP-адрес на компьютере Forefront TMG в выбранной сети, выберите соответствующий IP-адрес и нажмите кнопку Добавить.

  15. На странице Прослушиватель SSL-сертификатов выберите Назначить сертификат для каждого IP-адреса, выберите IP-адрес, связанный с внешним полным доменным именем веб-сайта, а затем нажмите кнопку Выбрать сертификат.

  16. На странице Выбор сертификата выберите сертификат, соответствующий общедоступным именам, указанным на шаге 9, и нажмите кнопку Выбрать.

  17. На странице Параметры проверки подлинности выберите Нет проверки подлинности.

  18. На странице параметры Единый вход нажмите кнопку Далее.

  19. На странице Завершение работы мастера веб-прослушивателя убедитесь, что параметры веб-прослушивателя верны, и нажмите кнопку Готово.

  20. На странице Делегирование проверки подлинности выберите Нет делегирования, но клиент может пройти проверку подлинности напрямую.

  21. На странице User Set (Набор пользователей) нажмите кнопку Далее.

  22. На странице Завершение работы мастера создания правил веб-публикации убедитесь, что параметры правила веб-публикации заданы правильно, и нажмите кнопку Готово.

  23. Нажмите кнопку Применить в области сведений, чтобы сохранить изменения и обновить конфигурацию.

Создание правила публикации веб-сервера на компьютере с IIS ARR

  1. Привяжите сертификат, который будет использоваться для обратного прокси-сервера, к протоколу HTTPS. Нажмите кнопку Пуск, выберите Программы, Администрирование, а затем — Диспетчер служб IIS.

    Примечание.

    Дополнительную справку, снимок экрана и рекомендации по развертыванию и настройке IIS ARR можно найти в статье NextHop Использование IIS ARR в качестве обратного прокси-сервера для Lync Server 2013.

  2. Если вы еще не сделали этого, импортируйте сертификат, который будет использоваться для обратного прокси-сервера. В диспетчере служб IIS щелкните имя сервера обратного прокси-сервера в левой части консоли. В середине консоли в разделе IIS найдите Сертификаты сервера. Щелкните правой кнопкой мыши Сертификаты сервера и выберите Открыть компонент.

  3. В правой части консоли щелкните Импорт.... Введите путь и имя файла сертификата с расширением или щелкните ... для поиска сертификата. Выберите сертификат и нажмите кнопку Открыть. Укажите пароль, используемый для защиты закрытого ключа (если вы назначили пароль при экспорте сертификата и закрытого ключа). Нажмите кнопку ОК. В случае успешного импорта сертификата сертификат будет отображаться в середине консоли в виде записи в разделе Сертификаты сервера.

  4. Назначьте сертификат для использования по протоколу HTTPS. В левой части консоли выберите веб-сайт по умолчанию сервера IIS. В правой части экрана щелкните Привязки.... В диалоговом окне Привязки сайта нажмите кнопку Добавить.... В диалоговом окне Добавление привязки сайта в разделе Тип:выберите https. Если выбрать https, вы сможете выбрать сертификат, который будет использоваться для https. В разделе SSL-сертификат: выберите сертификат, импортированный для обратного прокси-сервера. Нажмите кнопку ОК. Затем нажмите кнопку Закрыть. Теперь сертификат привязан к обратному прокси-серверу для защиты уровня сокетов (SSL) и безопасности транспортного уровня (TLS).

    Важно!

    Если при закрытии диалоговых окон привязки появляется предупреждение о том, что отсутствуют промежуточные сертификаты, необходимо найти и импортировать сертификат корневого центра общедоступного ЦС и все промежуточные сертификаты ЦС. Ознакомьтесь с инструкциями в общедоступном ЦС, в который вы запросили сертификат, и следуйте инструкциям, чтобы запросить и импортировать цепочку сертификатов. Если вы экспортировали сертификат с пограничного сервера, вы можете экспортировать сертификат корневого ЦС и любые промежуточные сертификаты ЦС, связанные с пограничным сервером. Импортируйте сертификат корневого ЦС в хранилище доверенных корневых центров сертификации компьютера (не путать с хранилищем пользователей), а промежуточные сертификаты — в хранилище промежуточных центров сертификации компьютера.

  5. В левой части консоли под именем сервера IIS щелкните правой кнопкой мыши фермы серверов и выберите команду Создать ферму серверов....

    Примечание.

    Если узел Фермы серверов не отображается, необходимо установить маршрутизацию запросов приложений. Дополнительные сведения см. в разделе Настройка обратных прокси-серверов для Lync Server 2013.

    В диалоговом окне Создание фермы серверов в поле Имя фермы серверов введите имя (это может быть понятное имя для идентификации) для первого URL-адреса. Нажмите кнопку Далее.

  6. В диалоговом окне Добавление сервера в поле Адрес сервера введите полное доменное имя (FQDN) внешних веб-служб на сервере переднего плана. Имена, которые будут использоваться здесь в качестве примера, совпадают с именами, которые используются в разделе Планирование для обратного прокси-сервера, сводка сертификатов — обратный прокси-сервер в Lync Server 2013. Ссылаясь на планирование обратного прокси-сервера, мы введите полное доменное имя webext.contoso.com. Убедитесь, что флажок рядом с полем В сети установлен. Нажмите кнопку Добавить , чтобы добавить сервер в пул веб-серверов для этой конфигурации.

    Предупреждение

    Lync Server использует аппаратные подсистемы балансировки нагрузки для пула серверов директоров и интерфейсных серверов для трафика HTTP и HTTPS. При добавлении сервера в ферму серверов IIS ARR предоставляется только одно полное доменное имя. Полное доменное имя будет сервером переднего плана или директором в конфигурациях серверов без пулов или полным доменным именем настроенного аппаратного балансировщика нагрузки для пулов серверов. Единственный поддерживаемый метод балансировки нагрузки трафика HTTP и HTTPS — использование аппаратных подсистем балансировки нагрузки.

  7. В диалоговом окне Добавление сервера щелкните Дополнительные параметры.... Откроется диалоговое окно для определения маршрутизации запросов приложения для запросов к настроенной полной доменной сети. Цель состоит в том, чтобы переопределить порт, используемый при обработке запроса СЛУЖБ IIS ARR.

    По умолчанию http-порт назначения должен быть определен как 8080. Щелкните рядом с текущим httpPort 80 и задайте для параметра значение 8080. Щелкните рядом с текущим httpsPort 443 и задайте для параметра значение 4443. Оставьте для параметра weight значение 100. При необходимости можно переопределить весовые коэффициенты для данного правила после получения базовой статистики. Нажмите кнопку Готово , чтобы завершить эту часть настройки правила.

  8. Может появиться диалоговое окно Правила перезаписи, которое сообщает о том, что диспетчер IIS может создать правило перезаписи URL-адресов для автоматической маршрутизации всех входящих запросов в ферму серверов. Нажмите Да. Вы настроите правила вручную, но если выбрать Да, будет задана начальная конфигурация..

  9. Щелкните имя только что созданной фермы серверов. В разделе Ферма серверов в представлении функций диспетчера IIS дважды щелкните Кэширование. Снимите флажок Включить кэш диска. Нажмите кнопку Применить справа.

  10. Щелкните имя фермы серверов. В разделе Ферма серверов в представлении функций диспетчера IIS дважды щелкните Прокси-сервер. На странице Параметры прокси-сервера измените значение времени ожидания (секунды) на соответствующее для развертывания. Нажмите кнопку Применить , чтобы сохранить изменения.

    Важно!

    Значение времени ожидания прокси-сервера — это число, которое будет отличаться от развертывания к развертыванию. Необходимо отслеживать развертывание и изменять значение для оптимального взаимодействия с клиентами. Возможно, вы сможете задать значение ниже 200. Если вы поддерживаете мобильные клиенты Lync в своей среде, следует задать значение 960, чтобы разрешить истечение времени ожидания push-уведомлений от Office 365 со значением времени ожидания 900. Весьма вероятно, что вам потребуется увеличить значение времени ожидания, чтобы избежать отключения клиента при слишком низком значении или уменьшить число, если подключения через прокси-сервер не отключаться и очищаться долго после отключения клиента. Мониторинг и базовая подкладка, что является нормальным для вашей среды, является единственным точным способом определения правильного параметра для этого значения.

  11. Щелкните имя фермы серверов. В разделе Ферма серверов в представлении функций диспетчера IIS дважды щелкните Правила маршрутизации. В диалоговом окне Правила маршрутизации в разделе Маршрутизация снимите флажок Включить разгрузку SSL. Если возможность снять флажок недоступна, установите флажок Использовать перезапись URL-адресов для проверки входящих запросов. Нажмите кнопку Применить , чтобы сохранить изменения.

    Предупреждение

    Разгрузка SSL обратным прокси-сервером не поддерживается.

  12. Повторите шаги 5–11 для каждого URL-адреса, который должен проходить через обратный прокси-сервер. Общий список будет следующим:

    • Внешние веб-службы сервера переднего плана: webext.contoso.com (уже настроено на начальном этапе)

    • Внешние веб-службы директора: webdirext.contoso.com (необязательно, если директор развернут)

    • Соответствие простому URL-адресу: meet.contoso.com

    • Простой url-адрес dialin: dialin.contoso.com

    • URL-адрес автообнаружения Lync: lyncdiscover.contoso.com

    • URL-адрес сервера Office веб-приложения: officewebapps01.contoso.com

      Важно!

      В URL-адресе office веб-приложения Server будет использоваться другой адрес httpsPort. На шаге 7 вы определите httpsPort как 443 , а httpPort — порт 80. Все остальные параметры конфигурации одинаковы.

  13. В левой части консоли щелкните имя сервера IIS. В середине консоли найдите URL-адрес Перезапись в разделе IIS. Дважды щелкните URL-адрес Перезапись, чтобы открыть конфигурацию правил перезаписи URL-адресов. Вы должны увидеть правила для каждой фермы серверов, созданной на предыдущих шагах. В противном случае убедитесь, что вы щелкнули имя сервера IIS непосредственно под узлом Начальная страница в консоли диспетчер сервера сведений о Интернете.

  14. В диалоговом окне Перезапись URL-адреса , используя в качестве примера webext.contoso.com, полное имя отображаемого правила — ARR_webext.contoso.com_loadbalance_SSL.

    • Дважды щелкните правило, чтобы открыть диалоговое окно Изменение правила для входящего трафика .

    • Щелкните Добавить... в диалоговом окне Условия .

    • Во входных данных Добавить условие в поле Условие введите{HTTP_HOST}. (По мере ввода появляется диалоговое окно, в которое можно выбрать условие. в разделе Проверить, соответствует ли входная строка: выберите Соответствует шаблону. В типе входных данных*Pattern . Следует выбрать вариант пропуска . Нажмите кнопку ОК.

    • Прокрутите вниз в диалоговом окне Изменение правила для входящего трафика , чтобы найти диалоговое окно Действие . Тип действия: должно быть задано значение Маршрут к ферме серверов, в качестве схемы —https://, для фермы серверов — URL-адрес, к которому применяется это правило. В этом примере необходимо задать значение webext.contoso.com. Путь: имеет значение /{R:0}

    • Нажмите кнопку Применить , чтобы сохранить изменения. Щелкните Вернуться к правилам , чтобы вернуться к правилам перезаписи URL-адресов.

  15. Повторите процедуру, определенную на шаге 14, для каждого из определенных правил перезаписи SSL( по одному на URL-адрес фермы серверов).

    Предупреждение

    По умолчанию правила HTTP также создаются и обозначаются именами, аналогичными правилам SSL. В нашем текущем примере правило HTTP будет называться ARR_webext.contoso.com_loadbalance. В этих правилах не требуется никаких изменений, и их можно спокойно игнорировать.

Изменение свойств правила веб-публикации в TMG 2010

  1. Нажмите кнопку Пуск, наведите указатель на пункт Программы, выберите Microsoft Forefront TMG, а затем — Управление Forefront TMG.

  2. В левой области разверните узел Имя_сервера и щелкните Политика брандмауэра.

  3. В области сведений щелкните правой кнопкой мыши правило публикации веб-сервера, созданное в предыдущей процедуре (например, LyncServerExternalRule), а затем выберите пункт Свойства.

  4. На странице Свойства на вкладке От выполните следующие действия.

    • В списке Это правило применяется к трафику из этих источников щелкните В любом месте и нажмите кнопку Удалить.

    • Нажмите Добавить.

    • В разделе Добавление сетевых сущностей разверните узел Сети, выберите Внешние, Добавить и Закрыть.

  5. На вкладке К убедитесь, что выбрано поле Переслать исходный заголовок узла вместо фактического проверка.

  6. На вкладке Мосты установите флажок Запрос перенаправления на ПОРТ SSL проверка, а затем укажите порт 4443.

  7. На вкладке Общедоступное имя добавьте простые URL-адреса (например, meet.contoso.com и dialin.contoso.com).

  8. Нажмите кнопку Применить , чтобы сохранить изменения, а затем нажмите кнопку ОК.

  9. Нажмите кнопку Применить в области сведений, чтобы сохранить изменения и обновить конфигурацию.

Изменение свойств правила веб-публикации в IIS ARR

  1. Нажмите кнопку Пуск, выберите Программы, Администрирование, а затем — Диспетчер служб IIS.

  2. В левой части консоли щелкните имя сервера IIS.

  3. В середине консоли найдите URL-адрес Перезапись в разделе IIS. Дважды щелкните URL-адрес Перезапись, чтобы открыть конфигурацию правил перезаписи URL-адресов.

  4. Дважды щелкните правило, которое необходимо изменить. При необходимости внесите изменения в url-адрес соответствия, условия, переменные сервера или действие.

  5. Нажмите кнопку Применить , чтобы зафиксировать изменения. Нажмите кнопку Назад к правилам , чтобы изменить другие правила, или закройте консоль диспетчера IIS , если вы выполнили изменения.