OCS部署实验系列之七——配置反向代理

在配置好边缘服务器后，外部用户使用OC登录在使用live meeting及同步通讯簿时出现如下错误：

这个错误原因是因为没有配置外部web场的URL；

这个错误原因是：无法连接到web组件服务器（web组件服务器承载通讯簿服务）

利用ISA发布来实现以下目的：

• 允许外部用户下载会议的会议内容。
• 允许外部用户扩展通讯组。
• 允许远程用户从通讯簿服务下载文件。

ISA服务器配置：

内网网卡配置：IP:192.168.0.8 255.255.255.0

DNS服务器：192.168.0.1

外网外卡配置：IP:169.168.0.8 255.255.255.0

DNS服务器：169.168.0.1

为ISA注册DNS A记录

在公网DNS服务器注册一条DNS A记录（用于外部用户连接反向代理）

在内部使用安装包里的命令行工具来配置外部web场的url

命令格式：lcscmd /web /action:updatepoolurls /externalwebfqdn:<外部 Web 场 FQDN> /poolname:<池名称>

安装好 ISA 2006 sp1

设置内部：

在为ISA反向代理申请证书

首先：先将企业CA证书链导入本地的证书颁发机构

再为ISA申请证书：过程略

注：该证书应与承载会议内容和通讯簿文件的外部 Web 场的已发布 FQDN 相匹配，即为isa_out.hello.com

新建发布规则

为新建的web发布规则命名：如web reverse proxy

“允许”

选择“发布单个网站或负载平衡器”

选择“使用SSL连接到发布的web服务器或服务器场”

指定要发布的网站的内部名称：web组件服务器FQDN名，这里合并安装的，指定内部web场，如果ISA不能解析内部站点，则填入web组件服务器IP

指定发布网站的内部路径：键入/*

指定公共域名，即ISA反向代理的外部FQDN名，外部用户以此来连接到发布的网站

新建“web侦听器”，选择“新建”

为“web侦听器命名：如web listener”

选择“需要与客户端建立SSL安全连接”

指定侦听器侦听的地址，选择“外部”，再“选择IP地址”

选择默认的“所选网络的ISA服务器计算机上的所有IP地址”，确认

为web侦听器配置证书

身份验证选择：“没有身份验证”

单一登录设置

完成侦听器配置

身份验证委派：“无委派，但是客户端可以直接进行身份验证”

选择：“所有用户”

完成发布规则配置，测试一下，选择：“测试规则”

配置好发布规则后再改一下其属性：

双击规则：

在“从”项内，删除源“任何地点”，再添加源：“外部”

确定

应用

测试是否可以从外部访问通讯组扩展

在外部客户端的浏览器中输入

https://isa_out.hello.com/GroupExpansion/Ext/service.asmx

测试web会议

在外部客户端的浏览器中输入

https://isa_out.hello.com/conf/ext/Tshoot.html（该 URL 将显示 Web 会议的疑难解答页）

用OC客户端软件测试：

配置好后，测试仍然出现错误，

这时在浏览器的internet选项中设置不检查服务器吊销状态，重启OC

通讯簿同步成功；

Live meeting 成功