好多朋友在整合ISA2006和OCS2007边缘服务器遇到过麻烦,比如外部LiveMeeting不能开会,能开会确无法使用白板功能,还有的朋友A/V视频无法用,造成这些原因的可能是前端或者边缘的配置不对,有的可能是ISA没有正确创建防火墙规则等等,我希望通过自己的一些经验能帮到大家,如果有错误的地方,欢迎大家即时指出。
由于图片太多,我分两篇来写吧,第一篇讲OCS边缘服务器(ISA)和前端服务器的基本配置,外部WEB场的创建,ISA自定义协议的创建,第二篇讲如何创建防火墙规则
环境介绍:
名称
角色
IP地址
是否加入域
edge.fuji.cn ISA、OCS边缘服务器 外部IP:192.168.1.30/24
内部IP:172.16.100.254/24
dc.fuji.cn DC、DNS、CA、SQLServer2000 172.16.100.10/24
ocs.fuji.cn OCS前端服务器 172.16.100.1/24
xp 外部客户端、OC、LiveMeeting 192.168.1.2/24
对照环境拓扑图
整合ISA2006和OCS2007边缘服务器(一)_第1张图片
ISA的OCS边缘服务器的安装,就不详述了,部署教程很多的
一、检查证书分配
1.查看OCS边缘服务器属性
整合ISA2006和OCS2007边缘服务器(一)_第2张图片
2.选择边缘接口查看接口的证书配置
整合ISA2006和OCS2007边缘服务器(一)_第3张图片
3.检查内部接口(绑定的证书是edge.fuji.cn)
整合ISA2006和OCS2007边缘服务器(一)_第4张图片
4.检查访问边缘服务器接口(绑定的证书是ocsedge.fuji.cn)
整合ISA2006和OCS2007边缘服务器(一)_第5张图片
5.检查Web会议边缘服务器接口(绑定的证书是ocsedge.fuji.cn)
整合ISA2006和OCS2007边缘服务器(一)_第6张图片
6.检查A/V边缘服务器接口(绑定的证书是ocsedge.fuji.cn)
整合ISA2006和OCS2007边缘服务器(一)_第7张图片
确定证书绑定无误
 
二、配置OCS边缘服务器
1.在<访问方法>选项卡中勾上允许〈匿名用户加入会议〉
  整合ISA2006和OCS2007边缘服务器(一)_第8张图片
2.在〈内部〉选项卡中添加下一跃点地址和允许访问边缘的内部服务器
我这里填的是内部前端服务器池的FQDN,端口是5061
整合ISA2006和OCS2007边缘服务器(一)_第9张图片
 
三、OCS前端服务器的配置
1.配置全局属性
  整合ISA2006和OCS2007边缘服务器(一)_第10张图片
2.在<会议>选项卡中配置默认策略
整合ISA2006和OCS2007边缘服务器(一)_第11张图片
3.启用Web会议
整合ISA2006和OCS2007边缘服务器(一)_第12张图片
4.在<边缘服务器>选项卡中添加OCS边缘服务器的地址
我A/V边缘服务器的内部端口是5062,注意要和边缘服务器上对应
  整合ISA2006和OCS2007边缘服务器(一)_第13张图片
5.在<联盟>选项卡中勾上<启用联盟和公共IM连接>
同样要填写访问边缘服务器的FQDN及端口
整合ISA2006和OCS2007边缘服务器(一)_第14张图片
6.配置Web会议属性
整合ISA2006和OCS2007边缘服务器(一)_第15张图片
7.添加内部和外部的FQDN以及端口
这里一定要和边缘服务器上对应,可以参照<边缘接口>选项卡来设置
整合ISA2006和OCS2007边缘服务器(一)_第16张图片
7.配置A/V会议属性
整合ISA2006和OCS2007边缘服务器(一)_第17张图片
8.选择A/V边缘服务器的FQDN和端口
  整合ISA2006和OCS2007边缘服务器(一)_第18张图片
9.检查用户是否启用<公共IM连接>、<联盟>、<远程用户访问>
如果没启用请将它们启用
整合ISA2006和OCS2007边缘服务器(一)_第19张图片
10.设置外部web场的FQDN
我在论坛上看到好多朋友抱怨外部用户不能正常访问白板的问题,这很有可能就是你没有设置外部WEB场的FQDN,或者ISA发布不正确造成的。
要设置外部WEB场的FQDN,可以执行以下命令
第一步先打开C:\Program Files\Common Files\Microsoft Office Communications Server 2007目录
执行Lcscmd /web /action:updatepoolurls /externalwebfqdn:fuji.cn /poolname:pool 即可,这里我设置外部WEB场的FQDN就是池的FQDN:pool.fuji.cn

如果你在安装OCS前端服务器的时候已经设置了外部WEB场的FQDN,那么这里就不用设置了,但可以修改,外部WEB场FQDN可以通过以下方法查看。
还是在C:\Program Files\Common Files\Microsoft Office Communications Server 2007目录下
执行lcscmd /web /action:ListWMISettings /poolname:pool 这条命令来列出外部WEB场的FQDN,在这里pool是我的池名称。
整合ISA2006和OCS2007边缘服务器(一)_第20张图片
命令执行完成后,在临时目录下会生成一个日志,用IE打开它,并展开<检查 WMI 设置>,就可以看到外部WEB场的FQDN了
整合ISA2006和OCS2007边缘服务器(一)_第21张图片
https://pool.fuji.cn/Abs/Ext/Handler
https://pool.fuji.cn/GroupExpansion/Ext/service.asmx
https://pool.fuji.cn/etc/place/null
外部用户就是通过以上3个URL去访问白板、通讯薄的,要想正常访问就要正确发布这3个URL,由于是https的,所以我先要给这台前端服务器的IIS默认站点申请一张证书,证书的申请就不在详述了,申请完后,把这张证书导出,注意一定导出私钥
 
11.将证书导出到OCS边缘服务器(ISA)
整合ISA2006和OCS2007边缘服务器(一)_第22张图片
导出这张证书
整合ISA2006和OCS2007边缘服务器(一)_第23张图片
再从ISA(OCS边缘服务器)上导入
整合ISA2006和OCS2007边缘服务器(一)_第24张图片
同时要在ISA(OCS边缘服务器)确认CA根证书的存在
整合ISA2006和OCS2007边缘服务器(一)_第25张图片
 
四、在ISA(OCS边缘服务器上)创建协议   
先来看在ISA上具体要开放哪些端口呢?从前面的边缘接口那张图可以看到,对外要开放TCP5061(访问边缘服务器),TCP444(web会议边缘服务器),TCP446.50000-59999(A/V边缘服务器),除此之外还有UDP3478(发送接收),UDP50000-59999(发送接收)
对前端服务器开放TCP5061.8057.443.5062,UDP3478(发送接收)
OCS边缘服务器(ISA)的下一跃点是前端服务器池,所以需要访问前端服务器的TCP5061端口
OCS边缘服务器(ISA)需要访问DC上的DNS服务器解析内部域名
简单的整理一下吧
外部(internet)--OCS边缘服务器(ISA) 出站TCP5061.444.446.50000-59999,UDP3478.50000-59999
OCS前端服务器--OCS边缘服务器(ISA) 出站TCP5061.8057.443.5062,UDP3478
OCS边缘服务器(ISA)--OCS前端服务器 出站TCP5061
OCS边缘服务器(ISA)--DC(DNS)  出站TCP53
这里为啥都是出站协议呢?因为ISA和OCS装在同一台服务器上,ISA把自己定义为<本地主机>,<本地主机>和<外部>或者和<内部>的网络关系均为路由关系,既然是路由关系,防火墙规则就必须要用访问规则,访问规则的协议必须是出站协议,明白了吧!
首先来自定义协议,由于都是出站,那我偷个懒,只建一个协议来包含这些端口,命名为OCS,当然你也可以根据上面的类别分开来建
1.在<工具箱><协议>里新建协议
整合ISA2006和OCS2007边缘服务器(一)_第26张图片
2.自定义协议名称
整合ISA2006和OCS2007边缘服务器(一)_第27张图片
3.添加<协议类型>、<方向>、<端口号>
这里只需要把它们一个一个添加进去即可,注意方向不要选错,另外53和443不用添加,自带的协议中有,分别是https和DNS
整合ISA2006和OCS2007边缘服务器(一)_第28张图片
 
五、定义计算机元素
1.在<工具箱><协议>里新建计算机
2.定义OCS前端服务器
整合ISA2006和OCS2007边缘服务器(一)_第29张图片
3.定义DNS服务器
整合ISA2006和OCS2007边缘服务器(一)_第30张图片
4.完成后应用规则
整合ISA2006和OCS2007边缘服务器(一)_第31张图片 
这些工作完成后,接下来就是创建防火墙规则了!