以前做Lync反向代理我们习惯于使用TMG,但是TMG有太多问题,比如只能安装在Server2008服务器上,并且微软也没有再后后续开发,我们现在可以使用IIS ARR来实现反向代理功能,他相比TMG不需要单独部署服务器,只需要找一台安装有Server2012的服务器,安装IIS ARR组件即可使用。
那么TMG和IIS ARR既然都能实现Lync的反向代理,那有什么去别的地方呢?
首先TMG是防火墙,他的反向代理是基于端口映射,也就是跟我们的企业路由器或防火墙功能类似,可以做IP到IP的映射。
而IIS ARR是基于Web服务的应用层路由,他只能针对http和https协议进行路由,在本次实验实现Lync外网Web会议、Lync手机登录等功能,由于他是应用层路由,他只需要一个外网IP地址,可以根据目标域名的不同,路由到不同的内网服务器,也就是说Lync的域名(rp、meet、dialin、lyncdiscover等)会路由给前端服务器,Exchange的域名(OWA、ECP)会路由给Exchange的CAS。所以Lync边缘的端口映射还是要通过TMG或者企业防火墙实现。
对于测试环境或简单的生产环境IIS ARR的这种特点比较有优势,这样我们只需要一个公网IP地址,共用一个外部443端口实现Lync、Exchange、OWA等应用。那么我们开始部署。
从微软官网下载IIS ARR的组件,目前最新版本为3.0
http://www.microsoft.com/web/gallery/install.aspx?appid=ARRv3_0
双击打开安装ARRv3_0
根据提示安装程序
安装程序会通过网络下载,需要安装的主机能够连接公网
安装完成提示
我们需要事先为IIS ARR做好证书,方式同TMG,我建议使用Lync边缘服务器的外网口证书,这里基本包含了我们Lync登陆所需的DNS名称,再根据所需添加OWA和Exchange的DNS就行。用MMC从Lync边缘服务器导出证书,并在IIS ARR的服务器中导入。
在IIS管理器中查看证书
打开IIS管理器
打开网站,右键Default Web Site,选择编辑绑定
添加类型为https,选择刚刚导入的SSL证书
重新启动网站已应用更改
下面开始添加Server Farms,右键Server Farms,选择Create Server Farms
我们先添加Lync前端Web的映射,这里填写的需要跟Lync前端服务器配置外部Web服务FQDN的对应,点击下一步
输入目标服务器(也就是Lync前端服务器的内部IP),展开Advanced Settings--applicationRequestRouting,将目标端口改成8080和4443,如下图。点击完成
提示需要重新配置Rewite Rules,我们先点击确定,稍后再做配置
打开添加的Lync的服务器场,打开Caching
把Enable disk cache勾取消,点击应用
继续回到服务器场打开Proxy
将Time-out时间设置到200,点击应用
继续回到服务器场,打开Routing Rules
将Enable SSL offloading前面的勾去掉,点击应用
再重复添加Server Farms,包括Lync的简单URL、Lync自发现
添加Exchange的OWA登陆地址,需要注意的是Lync需要做80到8080,443到4443的变化,Exchange则不需要,默认添加即可(Office Web App Server还没有测试,后面再补充)。
同样需要Disable disk cache和Disbale SSL offloading,其中Proxy Time-out值需要改为180
全部添加完成后,回到主页,点击URL重写
因为Lync本身用不到80端口,只需要80跳转到443,我们可以把跟Lync有关的80的路由删除(就是不带SSL的),删除后如下图
双击编辑Lync的入站规则,点击添加
条件输入{HTTP_HOST},模式为Lync Web外部FQDN的域名.*,我的域名为rp.uc-test.com,则填入rp.* 点击应用
同样把Lync其他简单URL、Lync自发现配置、Exchange设置完成,重启IIS
把路由器的映射指向IIS ARR服务器,测试Lync Web会议和Exchange OWA登陆
Lync Web OK
Exchange OWA OK