通过

在 Lync Server 2013 中为单个内部池配置 Web 发布规则

  • 项目

 

上次修改的主题: 2014-07-07

Microsoft Forefront Threat Management Gateway 2010 和 Internet Information Server 应用程序请求路由 (IIS ARR) 使用 Web 发布规则将内部资源(如会议 URL)发布到 Internet 上的用户。

除了虚拟目录的 Web 服务 URL 外,还必须为简单 URL、LyncDiscover URL 和 Office Web 应用 Server 创建发布规则。 对于每个简单 URL,必须在反向代理上创建指向该简单 URL 的单个规则。

如果要部署移动性并使用自动发现,则需要为外部自动发现服务 URL 创建发布规则。 自动发现还需要针对控制器池和前端池的外部 Lync Server Web Services URL 的发布规则。 有关为自动发现创建 Web 发布规则的详细信息,请参阅 在 Lync Server 2013 中为移动性配置反向代理

使用以下过程创建 Web 发布规则。

注意

这些过程假定你已安装 Standard 版的 Forefront Threat Management Gateway (TMG) 2010,或者已安装并配置了具有应用程序请求路由 (IIS ARR) 扩展的 Internet 信息服务器。 使用 TMG 或 IIS ARR。

在运行 TMG 2010 的计算机上创建 Web 服务器发布规则

  1. 单击 “开始”,选择“ 程序”,选择“ Microsoft最前沿 TMG”,然后单击“ 最前沿 TMG 管理”。

  2. 在左窗格中,展开 “ServerName”,右键单击“ 防火墙策略”,选择“ 新建”,然后单击“ 网站发布规则”。

  3. “欢迎使用新的 Web 发布规则 ”页上,键入发布规则的显示名称 (例如 LyncServerWebDownloadsRule) 。

  4. “选择规则操作” 页上,选择“ 允许”。

  5. 在“ 发布类型 ”页上,选择“ 发布单个网站或负载均衡器”。

  6. 在“ 服务器连接安全性 ”页上,选择“ 使用 SSL 连接到已发布的 Web 服务器或服务器场”。

  7. 在“ 内部发布详细信息 ”页上,在“ 内部网站 名称”框中键入托管会议内容的内部 Web 场和通讯簿内容的完全限定域名 (FQDN) 。

    注意

    如果内部服务器是 Standard Edition 服务器,则此 FQDN 是 Standard Edition 服务器 FQDN。 如果内部服务器是前端池,则此 FQDN 是硬件负载均衡器虚拟 IP (VIP) ,用于对内部 Web 场服务器进行负载均衡。 TMG 服务器必须能够将 FQDN 解析为内部 Web 服务器的 IP 地址。 如果 TMG 服务器无法将 FQDN 解析为正确的 IP 地址,则可以选择“ 使用计算机名称或 IP 地址连接到已发布的服务器”,然后在“ 计算机名称或IP 地址 ”框中,键入内部 Web 服务器的 IP 地址。 如果执行此操作,必须确保端口 53 在 TMG 服务器上处于打开状态,并且它可以访问驻留在外围网络的 DNS 服务器。 还可以使用本地主机文件中的条目来提供名称解析。

  8. 在“ 内部发布详细信息” 页上的“ 路径 (可选) ”框中,键入 /* 作为要发布的文件夹的路径。

    注意

    在网站发布向导中,只能指定一个路径。 可以通过修改规则的属性来添加其他路径。

  9. 在“公共名称详细信息”页上,确认在“接受请求”下选择了“此域名”,在“公共名称”框中键入外部 Web 服务 FQDN。

  10. “选择 Web 侦听器” 页上,单击“ 新建 ”打开“新建 Web 侦听器定义向导”。

  11. “欢迎使用新建 Web 侦听器向导” 页上,在“Web 侦听器名称”框中键入 Web 侦听器 的名称 , (例如 LyncServerWebServers) 。

  12. “客户端连接安全性 ”页上,选择“ 需要与客户端建立 SSL 安全连接”。

  13. “Web 侦听器 IP 地址 ”页上,选择“ 外部”,然后单击“ 选择 IP 地址”。

  14. “外部侦听器 IP 选择 ”页上,选择 所选网络中最前沿 TMG 计算机上的“指定 IP 地址”,选择相应的 IP 地址,然后单击“ 添加”。

  15. 在“ 侦听器 SSL 证书 ”页上,选择“ 为每个 IP 地址分配证书”,选择与外部 Web FQDN 关联的 IP 地址,然后单击“ 选择证书”。

  16. “选择证书” 页上,选择与步骤 9 中指定的公共名称匹配的证书,单击“ 选择”。

  17. “身份验证设置” 页上,选择“ 无身份验证”。

  18. “单一登录设置”页上,单击“下一步”。

  19. “完成 Web 侦听器向导” 页上,验证 Web 侦听器 设置是否正确,然后单击“ 完成”。

  20. “身份验证委派 ”页上,选择“ 无委派,但客户端可以直接进行身份验证”。

  21. 在“ 用户集” 页上,单击“ 下一步”。

  22. “完成新建 Web 发布规则向导” 页上,验证 Web 发布规则设置是否正确,然后单击“ 完成”。

  23. 在详细信息窗格中单击“ 应用 ”,保存更改并更新配置。

在运行 IIS ARR 的计算机上创建 Web 服务器发布规则

  1. 将用于反向代理的证书绑定到 HTTPS 协议。 依次单击“ 开始”、“ 程序”、“ 管理工具”和“ Internet Information Services (IIS) 管理器”。

    注意

    有关部署和配置 IIS ARR 的其他帮助、屏幕截图和指南,请参阅 NextHop 文章 使用 IIS ARR 作为 Lync Server 2013 的反向代理

  2. 如果尚未这样做,请导入将用于反向代理的证书。 在 “Internet Information Services (IIS) 管理器”中,单击控制台左侧大小的反向代理服务器名称。 在控制台中间的 IIS 下找到 “服务器证书”。 右键单击“ 服务器证书 ”,然后选择“ 打开功能”。

  3. 在控制台右侧,单击“ 导入...”。 使用扩展键入证书的路径和文件名,或单击“ ...” 浏览证书。 选择证书,然后单击“ 打开”。 如果在导出证书和私钥) 时分配了密码,请提供用于保护私钥 (的密码。 单击“确定”。 如果证书导入成功,证书将在控制台中间显示为“ 服务器证书”中的条目。

  4. 分配证书供 HTTPS 使用。 在控制台左侧,选择 IIS 服务器 的默认网站 。 在右侧,单击“ 绑定...”。 在“ 网站绑定 ”对话框中,单击“ 添加...”。 在“类型:”下的“添加网站绑定”对话框中,选择“https”。 选择 https 可选择要用于 https 的证书。 在 “SSL 证书:”下,选择为反向代理导入的证书。 单击“确定”。 然后,单击“ 关闭”。 证书现在绑定到安全套接字层的反向代理 (SSL) 和传输层安全性 (TLS) 。

    重要

    如果在关闭绑定对话框时收到警告,指出缺少中间证书,则需要查找并导入公共 CA 根颁发机构证书和任何中间 CA 证书。 请参阅从公共 CA 中请求证书的说明,并按照说明请求和导入证书链。 如果从边缘服务器导出了证书,则可以导出根 CA 证书以及与边缘服务器关联的任何中间 CA 证书。 将根 CA 证书导入计算机的 (不要与用户存储) 受信任的根证书颁发机构存储和中间证书混淆到计算机的中间证书颁发机构存储。

  5. 在控制台左侧的 IIS 服务器名称下方,右键单击“ 服务器场 ”,然后单击“ 创建服务器场...”

    注意

    如果未看到 服务器场 节点,则需要安装应用程序请求路由。 有关详细信息,请参阅 为 Lync Server 2013 设置反向代理服务器

    在“ 创建服务器场 ”对话框中的“ 服务器场名称”中,键入名称 (此名称可以是用于标识的友好名称,) 第一个 URL。 单击" 下一步"。

  6. 在“服务器地址”的“添加服务器”对话框中,键入前端服务器上外部 Web 服务的完全限定域名 (FQDN) 。 此处用于示例用途的名称与 Lync Server 2013 中的反向代理的“证书摘要 - 反向代理”规划部分中使用的名称相同。 在引用反向代理规划时,我们键入 FQDN webext.contoso.com。 确认选中“ 联机 ”旁边的复选框。 单击“ 添加 ”,将服务器添加到此配置的 Web 服务器池。

    警告

    Lync Server 使用硬件负载均衡器将控制器和前端服务器池用于 HTTP 和 HTTPS 流量。 将服务器添加到 IIS ARR 服务器场时,仅提供一个 FQDN。 FQDN 将是非池服务器配置中的前端服务器或控制器,或者是服务器池的已配置硬件负载均衡器的 FQDN。 对 HTTP 和 HTTPS 流量进行负载均衡的唯一受支持的方法是使用硬件负载均衡器。

  7. 在“ 添加服务器 ”对话框中,单击“ 高级设置...”。 这将打开一个对话框,用于定义对已配置 FQDN 的请求的应用程序请求路由。 目的是重新定义 IIS ARR 处理请求时使用的端口。

    默认情况下,目标 HTTP 端口必须定义为 8080。 单击当前 httpPort 80 旁边的 ,并将值设置为 8080。 单击当前 httpsPort 443 旁边的 ,并将值设置为 4443。 将 weight 参数保留为 100。 如果需要,可以在具有基线统计信息后重新定义给定规则的权重。 单击“ 完成 ”完成规则配置的这一部分。

  8. 你可能会看到一个对话框“重写规则”,告知 IIS 管理器可以创建 URL 重写规则,以将所有传入请求自动路由到服务器场。 单击“”。 你将手动调整规则,但选择“是”将设置初始配置。

  9. 单击刚刚创建的服务器场的名称。 在“IIS 管理器功能视图”中的 “服务器场 ”下,双击“ 缓存”。 取消选择 “启用磁盘缓存”。 单击右侧的“ 应用 ”。

  10. 单击服务器场的名称。 在“IIS 管理器功能视图”中的 “服务器场 ”下,双击“ 代理”。 在“代理设置”页上,将“ 超时 (秒”的值) 更改为适合你的部署的值。 单击“ 应用 ”保存更改。

    重要

    代理超时值是一个因部署而异的数字。 应监视部署并修改值,以获得最佳客户端体验。 可以将该值设置为 200。 如果您在环境中支持 Lync 移动客户端,则应将值设置为 960,以允许从超时值为 900 的Office 365推送通知超时。 很可能需要增加超时值,以避免在值太低时客户端断开连接,或者如果通过代理的连接在客户端断开连接后长时间未断开连接并清除,则减少数量。 对于你的环境而言,监视和衬底是确定此值的正确设置位置的唯一准确方法。

  11. 单击服务器场的名称。 在“IIS 管理器功能视图”中的 “服务器场 ”下,双击“ 路由规则”。 在“路由”下的“路由规则”对话框中,清除“启用 SSL 卸载”旁边的复选框。 如果无法清除该复选框,请选中“ 使用 URL 重写检查传入请求”复选框。 单击“ 应用 ”保存更改。

    警告

    不支持反向代理的 SSL 卸载。

  12. 对必须通过反向代理的每个 URL 重复步骤 5-11。 常见列表如下:

    • 外部前端服务器 Web 服务:webext.contoso.com (已通过初始演练配置)

    • 控制器 Web 服务外部的控制器:如果控制器部署) ,则 webdirext.contoso.com (可选

    • 简单 URL 满足:meet.contoso.com

    • 简单 URL 拨号:dialin.contoso.com

    • Lync 自动发现 URL:lyncdiscover.contoso.com

    • Office Web 应用服务器 URL:officewebapps01.contoso.com

      重要

      Office Web 应用 服务器的 URL 将使用不同的 httpsPort 地址。 在步骤 7 中,将 httpsPort 定义为 443 ,将 httpPort 定义为端口 80。 所有其他配置设置都相同。

  13. 在控制台左侧,单击 IIS 服务器名称。 在控制台的中间,在 IIS 下找到 URL 重写。 双击“URL 重写”以打开“URL 重写规则”配置。 应会看到在前面步骤中创建的每个服务器场的规则。 否则,请确认在 Internet 信息服务器管理器控制台中单击“起始页”节点正下方的 IIS 服务器名称。

  14. “URL 重写 ”对话框中,以 webext.contoso.com 为例,显示的规则全名为 ARR_webext.contoso.com_loadbalance_SSL

    • 双击该规则以打开 “编辑入站规则 ”对话框。

    • 在“条件”对话框中单击“添加...”

    • “在条件输入中添加条件”上,键入 {HTTP_HOST}。 (键入时,将显示一个对话框,用于选择条件) 。 在 “检查是否输入字符串”下: 选择“ 匹配模式”。 在 “模式”输入 中,键入 *。 应选择“忽略大小写”。 单击“确定”。

    • “编辑入站规则 ”对话框中向下滚动,找到 “操作 ”对话框。 操作类型: 应设置为 路由到服务器场方案: 设置为 https://服务器场: 设置为此规则应用到的 URL。 对于此示例,应将其设置为 webext.contoso.com路径: 设置为 /{R:0}

    • 单击“ 应用 ”保存更改。 单击“ 返回到规则” 以返回到 URL 重写规则。

  15. 针对已定义的每个 SSL 重写规则重复步骤 14 中定义的过程,每个服务器场 URL 各一个。

    警告

    默认情况下,HTTP 规则也会创建,并且由与 SSL 规则类似的命名表示。 对于当前示例,HTTP 规则将命名为 ARR_webext.contoso.com_loadbalance。 无需对这些规则进行任何修改,可以放心地忽略这些规则。

在 TMG 2010 中修改 Web 发布规则的属性

  1. 单击“ 开始”,指向 “程序”,选择“ Microsoft最前沿 TMG”,然后单击“ 最前沿 TMG 管理”。

  2. 在左窗格中,展开 “ServerName”,然后单击“ 防火墙策略”。

  3. 在详细信息窗格中,右键单击在上一过程中创建的 Web 服务器发布规则 (例如 LyncServerExternalRule) ,然后单击“ 属性”。

  4. “属性” 页上的“ 发件人 ”选项卡上,执行以下操作:

    • 在“ 此规则应用于来自这些源的流量” 列表中,单击“ 任何位置”,然后单击“ 删除”。

    • 单击“添加”。

    • “添加网络实体”中,展开“ 网络”,依次单击“ 外部”、“ 添加”和“ 关闭”。

  5. 在“目标”选项卡上,确保选中“转发原始主机标头而不是实际检查”框。

  6. 在“桥接”选项卡上,选中“将请求重定向到 SSL 端口检查”框,然后指定端口 4443

  7. 在“ 公共名称 ”选项卡上,添加简单 URL (例如,meet.contoso.com 和 dialin.contoso.com) 。

  8. 单击“ 应用 ”保存更改,然后单击“ 确定”。

  9. 在详细信息窗格中单击“ 应用 ”,保存更改并更新配置。

在 IIS ARR 中修改 Web 发布规则的属性

  1. 依次单击“ 开始”、“ 程序”、“ 管理工具”和“ Internet Information Services (IIS) 管理器”。

  2. 在控制台左侧,单击 IIS 服务器名称。

  3. 在控制台的中间,在 IIS 下找到 URL 重写。 双击“URL 重写”以打开“URL 重写规则”配置。

  4. 双击需要修改的规则。 根据需要在“匹配 URL”、“条件”、“服务器变量”或“操作”中进行修改。

  5. 单击“ 应用 ”以提交更改。 单击“ 返回规则” 以修改其他规则,或者关闭 IIS 管理器 控制台(如果已完成更改)。