ISA2004发布LCS2005

nwtraders.msft域:

dc:域控制器

lcs:lcs服务器

ca:ca服务器

在实际环境中,可能上述几种角色集中在一台服务器上

网络:

Lcs将发布到公网上,公网域名为lcs.xxx.com,IP地址为xxx.xxx.xxx.xxx

客户端通过防火墙连接到Internet,与lcs不在同一信任环境中

测试用户帐号test,密码test



域名和IP地址

申请公网域名和IP地址,并确保域名能够正确的解析到IP



建立Windows  2003域环境

安装dc、lcs、ca的操作系统(Windows  Server  2003)和服务包

升级dc为域控制器

将lcs和ca服务器加入到域

在CA服务器上安装,选择建立Enterprise  CA,名称为TestCA



安装和配置LCS服务器

*安装LCS



*为LCS服务器申请证书

使用TLS作为LCS通讯方式时,在Windows  Messenger中输入的服务器地址应当与LCS服务器证书中颁发对象名称完全一致。在通常情况下,可以使用Computer  Certificate;然而,由于Computer  Certificate颁发对象的名称是计算机名称,如果需要给LCS服务器指定另外的名称(如lcs.microsoft.com),则可以采用以下的步骤)



1.  在CA服务器上创建证书模版

a.  点击Start——点击Run——输入mmc,输入回车

b.  在“File”菜单中,点击“Add/Remove  Snap-in”

c.  点击  "Add",  点击  "Certificate  Templates",  点击  "Add",  点击  "Close",点击  "OK".

d.  展开Certificate  Templates,选择Web  Server,右键点击,选择Duplicate  Template

e.  在打开的属性对话框——General页中,设置Template  Display  Name和Template  Name为LCS  Server

f.  选择Extensions  Tab页,选中Application  Policies,点击Edit,点击Add,选中Client  Authentication,点击OK,点击OK;此时在Description  of  Application  Policies中,应当显示出Client  Authentication和Server  Authentication两项

g.  选择Close关闭属性对话框,完成证书模版的创建

h.  关闭mmc窗口

i.  运行Administrative  tools——Certificate  Authority

j.  展开相应服务器节点,右键点击Certificate  Templates,选择New——Certificate  template  to  issue

k.  在新打开的窗口中,选中LCS  Server,选择OK



2.  在LCS服务器上申请证书

a.  打开IE窗口

b.  浏览http://ca/certsvr

c.  点击Request  a  certificate

d.  点击Advanced  certificate  request

e.  点击Create  and  submit  a  request  to  this  CA.

f.  在Certificate  Template中选择LCS  Server,在Name中填入lcs服务器公网域名(lcs.xxx.com),确保“Store  certificate  in  the  local  computer  certificate  store”被选中

g.  点击Submit,提交申请

h.  选择Install  this  certificate

i.  此时页面上应当出现如下提示:Your  new  certificate  has  been  successfully  installed.



*配置LCS服务器使用TLS

a.  启动lcs服务器工具

b.  扩展Servers节点,右击lcs节点,选择Properties

c.  点击Connections  Tab,点击Add

d.  在Transport  type列表中,点击TLS,再点击Change  Certificate

e.  在Select  Certificate对话框中,点击上一步中申请的证书,点击OK

f.  确认Listen  on  this  port输入框中是5061,点击OK,再点击OK



为AD用户启用LCS功能

在Active  Directory  Users  and  Computers中,创建用户test,密码test

在该用户属性对话框中,选择Live  Communications  Tab页,选中Enable  Live  Communications  for  this  user,在SIP  URI中输入sip:[email protected],在Home  Server中选择lcs.testdomain.com,点击OK



测试连接

在LCS服务器上安装和配置Windows  Messenger  5.0,测试是否可以正常登陆(请参考以下的“配置Windows  Messenger”一段)



服务器防火墙配置

发布LCS服务器,将LCS外部IP地址(xxx.xxx.xxx.xxx)5061端口的TCP  inbound流量导向LCS服务器

在ISA中,首先创建一个TCP  5061  inbound的Protocol  Definition,然后在Server  Publish  Rule中使用



客户机防火墙配置

允许5061  TCP  outbound流量



安装和配置客户机

*安装Windows  Messenger



*在CA服务器上导出CA根证书

a.  点击Start——点击Run——输入mmc,输入回车

b.  在“File”菜单中,点击“Add/Remove  Snap-in”

c.  双击Certificates,点击Computer  Account,点击Next

d.  点击Finish,再点击Close

e.  Certificates(Local  Computer)出现在mmc界面中

f.  展开Certificates(Local  Computer),展开Trusted  root  certification  authorities,点击Certificates

g.  在detail界面中,点击名称为TestCA的证书

h.  在Action菜单中,指向All  Tasks,点击Export

i.  在证书导出向导中,点击No,  do  not  export  the  private  key

j.  保存证书为DER文件



*将CA根证书加入客户机受信任证书颁发机构列表

a.  将上一步导出的文件下载到客户端

b.  打开资源管理器,右键点击该文件,选择Install  Certificate,点击Next,选择Place  all  certificates  in  the  following  store,点击Browse,选择trusted  root  certification  authorities,点击OK,点击Next,点击Finish

如果客户机集中在域中,可以通过组策略进行设置


*配置Windows  Messenger

打开Windows  Messenger——Tools——Options——Accounts  Tab页,选中My  contacts  include  users  of  a  sip  communications  service复选框,在sign-in  name中输入  [email protected]

点击Advanced,选择Configure  settings,在Server  name  or  IP  address中输入lcs.xxx.com(需要与lcs服务器证书中颁发到的地址匹配,不能使用IP或者其他名称),在connection  using中选择TLS

点击OK,再点击OK

你可能感兴趣的:(Isa2004,服务器,authentication,templates,windows,server,application)