nwtraders.msft域:
dc:域控制器
lcs:lcs服务器
ca:ca服务器
在实际环境中,可能上述几种角色集中在一台服务器上
网络:
Lcs将发布到公网上,公网域名为lcs.xxx.com,IP地址为xxx.xxx.xxx.xxx
客户端通过防火墙连接到Internet,与lcs不在同一信任环境中
测试用户帐号test,密码test
域名和IP地址
申请公网域名和IP地址,并确保域名能够正确的解析到IP
建立Windows
2003域环境
安装dc、lcs、ca的操作系统(Windows
Server
2003)和服务包
升级dc为域控制器
将lcs和ca服务器加入到域
在CA服务器上安装,选择建立Enterprise
CA,名称为TestCA
安装和配置LCS服务器
*安装LCS
*为LCS服务器申请证书
使用TLS作为LCS通讯方式时,在Windows
Messenger中输入的服务器地址应当与LCS服务器证书中颁发对象名称完全一致。在通常情况下,可以使用Computer
Certificate;然而,由于Computer
Certificate颁发对象的名称是计算机名称,如果需要给LCS服务器指定另外的名称(如lcs.microsoft.com),则可以采用以下的步骤)
1.
在CA服务器上创建证书模版
a.
点击Start——点击Run——输入mmc,输入回车
b.
在“File”菜单中,点击“Add/Remove
Snap-in”
c.
点击
"Add",
点击
"Certificate
Templates",
点击
"Add",
点击
"Close",点击
"OK".
d.
展开Certificate
Templates,选择Web
Server,右键点击,选择Duplicate
Template
e.
在打开的属性对话框——General页中,设置Template
Display
Name和Template
Name为LCS
Server
f.
选择Extensions
Tab页,选中Application
Policies,点击Edit,点击Add,选中Client
Authentication,点击OK,点击OK;此时在Description
of
Application
Policies中,应当显示出Client
Authentication和Server
Authentication两项
g.
选择Close关闭属性对话框,完成证书模版的创建
h.
关闭mmc窗口
i.
运行Administrative
tools——Certificate
Authority
j.
展开相应服务器节点,右键点击Certificate
Templates,选择New——Certificate
template
to
issue
k.
在新打开的窗口中,选中LCS
Server,选择OK
2.
在LCS服务器上申请证书
a.
打开IE窗口
b.
浏览http://ca/certsvr
c.
点击Request
a
certificate
d.
点击Advanced
certificate
request
e.
点击Create
and
submit
a
request
to
this
CA.
f.
在Certificate
Template中选择LCS
Server,在Name中填入lcs服务器公网域名(lcs.xxx.com),确保“Store
certificate
in
the
local
computer
certificate
store”被选中
g.
点击Submit,提交申请
h.
选择Install
this
certificate
i.
此时页面上应当出现如下提示:Your
new
certificate
has
been
successfully
installed.
*配置LCS服务器使用TLS
a.
启动lcs服务器工具
b.
扩展Servers节点,右击lcs节点,选择Properties
c.
点击Connections
Tab,点击Add
d.
在Transport
type列表中,点击TLS,再点击Change
Certificate
e.
在Select
Certificate对话框中,点击上一步中申请的证书,点击OK
f.
确认Listen
on
this
port输入框中是5061,点击OK,再点击OK
为AD用户启用LCS功能
在Active
Directory
Users
and
Computers中,创建用户test,密码test
在该用户属性对话框中,选择Live
Communications
Tab页,选中Enable
Live
Communications
for
this
user,在SIP
URI中输入sip:
[email protected],在Home
Server中选择lcs.testdomain.com,点击OK
测试连接
在LCS服务器上安装和配置Windows
Messenger
5.0,测试是否可以正常登陆(请参考以下的“配置Windows
Messenger”一段)
服务器防火墙配置
发布LCS服务器,将LCS外部IP地址(xxx.xxx.xxx.xxx)5061端口的TCP
inbound流量导向LCS服务器
在ISA中,首先创建一个TCP
5061
inbound的Protocol
Definition,然后在Server
Publish
Rule中使用
客户机防火墙配置
允许5061
TCP
outbound流量
安装和配置客户机
*安装Windows
Messenger
*在CA服务器上导出CA根证书
a.
点击Start——点击Run——输入mmc,输入回车
b.
在“File”菜单中,点击“Add/Remove
Snap-in”
c.
双击Certificates,点击Computer
Account,点击Next
d.
点击Finish,再点击Close
e.
Certificates(Local
Computer)出现在mmc界面中
f.
展开Certificates(Local
Computer),展开Trusted
root
certification
authorities,点击Certificates
g.
在detail界面中,点击名称为TestCA的证书
h.
在Action菜单中,指向All
Tasks,点击Export
i.
在证书导出向导中,点击No,
do
not
export
the
private
key
j.
保存证书为DER文件
*将CA根证书加入客户机受信任证书颁发机构列表
a.
将上一步导出的文件下载到客户端
b.
打开资源管理器,右键点击该文件,选择Install
Certificate,点击Next,选择Place
all
certificates
in
the
following
store,点击Browse,选择trusted
root
certification
authorities,点击OK,点击Next,点击Finish
如果客户机集中在域中,可以通过组策略进行设置
*配置Windows
Messenger
打开Windows
Messenger——Tools——Options——Accounts
Tab页,选中My
contacts
include
users
of
a
sip
communications
service复选框,在sign-in
name中输入
[email protected]
点击Advanced,选择Configure
settings,在Server
name
or
IP
address中输入lcs.xxx.com(需要与lcs服务器证书中颁发到的地址匹配,不能使用IP或者其他名称),在connection
using中选择TLS
点击OK,再点击OK