在我们完成Lync Server 2010移动功能的内部部署后,是不是感觉有点意犹未尽?这是必然的,因为我们要的就是公网发布,在内网用移动设备访问有什么意思,移动设备就是要在移动的时候用,不是吗?让大家等了这么久实在是不好意思,今天给大家分享Lync Server 2010移动功能的外部篇。好了废话就不多说了,下面我们来做移动功能的外部部署吧。在这一篇的内容里我们主要做这么几件事情:
一、添加外部DNS的A记录;
二、修改现有的TMG证书;
三、创建移动功能所需的加密规则(在已经发布了其他功能我们只需要做修改);
四、创建移动功能所需的非加密规则。
首先我们在外部模拟DNS服务器上,创建一条A记录(也可以是别名记录),名称为lyncdiscover,IP当然还是指向我们的TMG。
到这里我们的第一步就完成了,是不是很简单?下面我们开始×××,这一步稍微要复杂一点,特别是针对使用公网证书,可能需要重新申请证书。由于我们用的是内部CA,所以相对来说比较容易,因为我们只需要在边缘上重新运行证书向导,然后重新申请下就可以了(我们用边缘服务器来申请,然后将其导入到边缘,并再将其导出到TMG进行导入)。下面我们在边缘上运行证书请求,友好名称我们可以做下更改以便标识,记得确包“将证书的私钥标记为可导出”选项被复选。
其他的没什么好说的,在配置其他使用者名称时,我们把lyncdiscover.contoso.com加进去。
申请好之后按照前面的步骤导入证书,然后我们在边缘上重新导入下。
再打开计算机证书控制台,把新的证书导出。
文件名跟以前一样,或者加一个mobile标识,这些都是用于我们识别的,不是硬性限制。
导出后我们在TMG上打开计算机证书控制台,然后删除以前的证书。
重新导入新的带有lyncdiscover的证书。
OK,到这里我们证书修改这一块就做好了,然后我们就可以修改规则了,最简单的就是在现有的反向代理规则上做修改。但这里考虑到可能有些朋友没有做过Lync 外部登录的发布,我重新完整的带过一边移动功能规则的发布。首先在TMG上打开TMG管理,然后右键防火墙策略选择-新建-网站发布规则。
我们为其定义一个名称,比如Lync 自动发现。
符合规则执行的操作为允许。
发布类型选择发布单个网站或负载均衡器。
选择使用SSL连接到发布的Web服务器或服务器场。
将内部站点名称设置为pool01.contoso.com。不选择“使用计算机名称或IP地址连接到发布的服务器”。
路径我们设置为/*即可,然后确保选中“转发原始主机头而不是前一页的内部站点名称字段中指定的实际主机头。”
在公共名称细节页面,将接受请求选择为“此域名(在以下输入)”,然后公用名称输入lyncdiscover.contoso.com,路径为/*
侦听器这里我们选择之前的443即可,如果没有的话可以单击“新建”按钮,参考之前的外部发布篇创建。
http://reinember.blog.51cto.com/2919431/829619
在单击下一步之前,我们可以检查下443侦听器的证书,确保该证书是我们修改之后的。
在身份验证委派页面,将其配置为“无委派,但是客户端可以直接进行身份验证”。
用户集为所有用户。
完成Lync 自动发现(这是发布的加密规则)。
然后我们右键或者双击刚才发布好的规则,在“到”选项卡中,把“到发布的站点的代理请求”设置为“使请求显示为来自初始客户端”。
然后在“桥接”选项卡中,选择“将请求重定向到SSL端口”然后再后面为其设置4443端口。
到这里我们就完成加密端口的发布了,考虑到某些移动设备的系统能够支持非认证证书使用非加密端口进行连接,所以我们还需要发布一条非加密端口的规则。再次在防火墙策略右键选择“新建”-“网站发布规则”。
为其定义名称,我们设置为Lync 自动发现(HTTP)以表示为非加密规则发布。
与创建加密的规则差不多,我就省略一些重复的内容。在服务器连接安全页面,我们选择“使用不安全的连接连接到发布的Web服务器或服务器场”。
内部站点名称与加密端口一样,pool01.contoso.com
在选择Web侦听器页面,由于可能我们没有现有的80端口侦听器,我们单击新建来创建一个80端口侦听器。
侦听器名称简单一点,直接就80即可。
客户端连接安全设置页面中我们选择不需要与客户端建立SSL安全连接。
Web侦听器IP地址我们选择外部,表示侦听来自我们公网IP的80端口。
在身份验证设置页面我们选择无身份验证。
单一登录设置直接单击下一步。
完成80端口侦听器的创建。
这里就可以选择我们刚刚创建的80端口侦听器了,然后下一步。
在身份验证委派页面,我们选择“无委派,客户端无法直接进行身份验证”。
然后应用此规则的用户集按照默认的所有用户即可。
完成规则的创建之后,双击新建的规则,然后在“桥接”选项卡,选择“将请求重定向到HTTP端口”,并将其设置为8080端口。确保未选中“将请求重定向到SSL端口”。
完成之后,我们在TMG管理界面中应用一些刚才我们创建和修改的规则。
到这里我们就已经完成了Lync Server 2010移动功能的外部发布,到此我们可以使用Symbian Belle、Android手机、iOS系统的iPhone和iPad通过Lync移动客户端来登录。由于我们是模拟的公网,并没有真正的发布到公网,所以我们只能在物理局域网中访问,如果需要发布到公网,需要配置真实的公网IP以及DNS记录。如果大家在部署的时候有什么问题,可以即时的回复文章,我会尽快的回复和大家一起讨论和解决。其实我在部署的过程中还是遇到了一些错误,并没有大家看得到的这么简单,没有把他们列出来是因为可能会给大家带来更多的问题。感谢大家的支持!