整合ISA2006和OCS2007边缘服务器(一)

好多朋友在整合ISA2006和OCS2007边缘服务器遇到过麻烦，比如外部LiveMeeting不能开会，能开会确无法使用白板功能，还有的朋友A/V视频无法用，造成这些原因的可能是前端或者边缘的配置不对，有的可能是ISA没有正确创建防火墙规则等等，我希望通过自己的一些经验能帮到大家，如果有错误的地方，欢迎大家即时指出。

由于图片太多，我分两篇来写吧，第一篇讲OCS边缘服务器(ISA)和前端服务器的基本配置，外部WEB场的创建，ISA自定义协议的创建，第二篇讲如何创建防火墙规则

环境介绍：

名称	角色	IP地址	是否加入域
edge.fuji.cn	ISA、OCS边缘服务器	外部IP：192.168.1.30/24 内部IP：172.16.100.254/24	否
dc.fuji.cn	DC、DNS、CA、SQLServer2000	172.16.100.10/24	是
ocs.fuji.cn	OCS前端服务器	172.16.100.1/24	是
xp	外部客户端、OC、LiveMeeting	192.168.1.2/24	否

对照环境拓扑图

ISA的OCS边缘服务器的安装，就不详述了，部署教程很多的

一、检查证书分配

1.查看OCS边缘服务器属性

2.选择边缘接口查看接口的证书配置

3.检查内部接口(绑定的证书是edge.fuji.cn)

4.检查访问边缘服务器接口(绑定的证书是ocsedge.fuji.cn)

5.检查Web会议边缘服务器接口(绑定的证书是ocsedge.fuji.cn)

6.检查A/V边缘服务器接口(绑定的证书是ocsedge.fuji.cn)

确定证书绑定无误

 

二、配置OCS边缘服务器

1.在<访问方法>选项卡中勾上允许〈匿名用户加入会议〉

 

2.在〈内部〉选项卡中添加下一跃点地址和允许访问边缘的内部服务器

我这里填的是内部前端服务器池的FQDN，端口是5061

 

三、OCS前端服务器的配置

1.配置全局属性

 

2.在<会议>选项卡中配置默认策略

3.启用Web会议

4.在<边缘服务器>选项卡中添加OCS边缘服务器的地址

我A/V边缘服务器的内部端口是5062，注意要和边缘服务器上对应

 

5.在<联盟>选项卡中勾上<启用联盟和公共IM连接>

同样要填写访问边缘服务器的FQDN及端口

6.配置Web会议属性

7.添加内部和外部的FQDN以及端口

这里一定要和边缘服务器上对应，可以参照<边缘接口>选项卡来设置

7.配置A/V会议属性

8.选择A/V边缘服务器的FQDN和端口

 

9.检查用户是否启用<公共IM连接>、<联盟>、<远程用户访问>

如果没启用请将它们启用

10.设置外部web场的FQDN

我在论坛上看到好多朋友抱怨外部用户不能正常访问白板的问题，这很有可能就是你没有设置外部WEB场的FQDN，或者ISA发布不正确造成的。
要设置外部WEB场的FQDN，可以执行以下命令

第一步先打开C:\Program Files\Common Files\Microsoft Office Communications Server 2007目录
执行Lcscmd /web /action:updatepoolurls /externalwebfqdn:fuji.cn /poolname:pool 即可，这里我设置外部WEB场的FQDN就是池的FQDN:pool.fuji.cn

如果你在安装OCS前端服务器的时候已经设置了外部WEB场的FQDN，那么这里就不用设置了，但可以修改，外部WEB场FQDN可以通过以下方法查看。
还是在C:\Program Files\Common Files\Microsoft Office Communications Server 2007目录下
执行lcscmd /web /action:ListWMISettings /poolname:pool 这条命令来列出外部WEB场的FQDN，在这里pool是我的池名称。

命令执行完成后，在临时目录下会生成一个日志，用IE打开它，并展开<检查 WMI 设置>，就可以看到外部WEB场的FQDN了

https://pool.fuji.cn/Abs/Ext/Handler

https://pool.fuji.cn/GroupExpansion/Ext/service.asmx

https://pool.fuji.cn/etc/place/null
外部用户就是通过以上3个URL去访问白板、通讯薄的，要想正常访问就要正确发布这3个URL，由于是https的，所以我先要给这台前端服务器的IIS默认站点申请一张证书，证书的申请就不在详述了，申请完后，把这张证书导出，注意一定导出私钥

 

11.将证书导出到OCS边缘服务器(ISA)

导出这张证书

再从ISA(OCS边缘服务器)上导入

同时要在ISA(OCS边缘服务器)确认CA根证书的存在

 

四、在ISA(OCS边缘服务器上)创建协议   

先来看在ISA上具体要开放哪些端口呢？从前面的边缘接口那张图可以看到，对外要开放TCP5061(访问边缘服务器)，TCP444(web会议边缘服务器)，TCP446.50000-59999(A/V边缘服务器)，除此之外还有UDP3478(发送接收)，UDP50000-59999(发送接收)
对前端服务器开放TCP5061.8057.443.5062，UDP3478(发送接收)
OCS边缘服务器(ISA)的下一跃点是前端服务器池，所以需要访问前端服务器的TCP5061端口
OCS边缘服务器(ISA)需要访问DC上的DNS服务器解析内部域名

简单的整理一下吧

外部(internet)--OCS边缘服务器(ISA)	出站TCP5061.444.446.50000-59999，UDP3478.50000-59999
OCS前端服务器--OCS边缘服务器(ISA)	出站TCP5061.8057.443.5062，UDP3478
OCS边缘服务器(ISA)--OCS前端服务器	出站TCP5061
OCS边缘服务器(ISA)--DC(DNS)	出站TCP53

这里为啥都是出站协议呢？因为ISA和OCS装在同一台服务器上，ISA把自己定义为<本地主机>，<本地主机>和<外部>或者和<内部>的网络关系均为路由关系，既然是路由关系，防火墙规则就必须要用访问规则，访问规则的协议必须是出站协议，明白了吧！

首先来自定义协议，由于都是出站，那我偷个懒，只建一个协议来包含这些端口，命名为OCS，当然你也可以根据上面的类别分开来建

1.在<工具箱><协议>里新建协议

2.自定义协议名称

3.添加<协议类型>、<方向>、<端口号>

这里只需要把它们一个一个添加进去即可，注意方向不要选错，另外53和443不用添加，自带的协议中有，分别是https和DNS

 

五、定义计算机元素

1.在<工具箱><协议>里新建计算机

2.定义OCS前端服务器

3.定义DNS服务器

4.完成后应用规则

 

这些工作完成后，接下来就是创建防火墙规则了！