使用IIS ARR实现Lync反向代理

以前做Lync反向代理我们习惯于使用TMG,但是TMG有太多问题,比如只能安装在Server2008服务器上,并且微软也没有再后后续开发,我们现在可以使用IIS ARR来实现反向代理功能,他相比TMG不需要单独部署服务器,只需要找一台安装有Server2012的服务器,安装IIS ARR组件即可使用。

那么TMG和IIS ARR既然都能实现Lync的反向代理,那有什么去别的地方呢?

首先TMG是防火墙,他的反向代理是基于端口映射,也就是跟我们的企业路由器或防火墙功能类似,可以做IP到IP的映射。

而IIS ARR是基于Web服务的应用层路由,他只能针对http和https协议进行路由,在本次实验实现Lync外网Web会议、Lync手机登录等功能,由于他是应用层路由,他只需要一个外网IP地址,可以根据目标域名的不同,路由到不同的内网服务器,也就是说Lync的域名(rp、meet、dialin、lyncdiscover等)会路由给前端服务器,Exchange的域名(OWA、ECP)会路由给Exchange的CAS。所以Lync边缘的端口映射还是要通过TMG或者企业防火墙实现。

对于测试环境或简单的生产环境IIS ARR的这种特点比较有优势,这样我们只需要一个公网IP地址,共用一个外部443端口实现Lync、Exchange、OWA等应用。那么我们开始部署。


从微软官网下载IIS ARR的组件,目前最新版本为3.0

http://www.microsoft.com/web/gallery/install.aspx?appid=ARRv3_0

wKioL1VIxz6yK1brAADoBOdziIc401.jpg



双击打开安装ARRv3_0

wKiom1VIxc6AN8jAAACQbY6ngg0354.jpg


根据提示安装程序

wKioL1VIxz-RktT0AADB3DHRPoI356.jpg


安装程序会通过网络下载,需要安装的主机能够连接公网

wKiom1VIxc6yWTCZAAFSGaKI8zY197.jpg


安装完成提示

wKioL1VIxz-Ro5bYAADy3c9lqn0745.jpg


我们需要事先为IIS ARR做好证书,方式同TMG,我建议使用Lync边缘服务器的外网口证书,这里基本包含了我们Lync登陆所需的DNS名称,再根据所需添加OWAExchangeDNS就行。用MMCLync边缘服务器导出证书,并在IIS ARR的服务器中导入。

wKiom1VIxc_jaGsaAAFOMCYZ4-M150.jpg


IIS管理器中查看证书

wKiom1VIxc-wqpb7AACsRwC362g199.jpg


打开IIS管理器

wKioL1VIxz_iyXIyAADQZOSFll4847.jpg


打开网站,右键Default Web Site,选择编辑绑定

wKioL1VIx0DBaG5YAADkpe2maDs233.jpg


添加类型为https,选择刚刚导入的SSL证书

wKiom1VIxfqSUPRIAAD_TzTS_0o244.jpg


重新启动网站已应用更改

wKioL1VIx2qwOX-VAADbNw0KbPg986.jpg


下面开始添加Server Farms,右键Server Farms,选择Create Server Farms

wKiom1VIxfqTy8wrAADfM7MSEIc148.jpg


我们先添加Lync前端Web的映射,这里填写的需要跟Lync前端服务器配置外部Web服务FQDN的对应,点击下一步

wKioL1VIx2uhs3bGAACOdBti3bQ579.jpg

wKiom1VIxfuDBmvZAADkbA-DSVU631.jpg


输入目标服务器(也就是Lync前端服务器的内部IP),展开Advanced Settings--applicationRequestRouting,将目标端口改成80804443,如下图。点击完成

wKioL1VIx2uwfebpAADoUBRNEKQ307.jpg


提示需要重新配置Rewite Rules,我们先点击确定,稍后再做配置

wKiom1VIxfvAhvwMAAEAfeDwcEY866.jpg


打开添加的Lync的服务器场,打开Caching

wKiom1VIxjugvJyvAACbt2sx3z0468.jpg


Enable disk cache勾取消,点击应用

wKioL1VIx6yzWt0XAADewDYBjK4267.jpg


继续回到服务器场打开Proxy

wKiom1VIxjuDfhJPAADk2hCUlLk009.jpg


Time-out时间设置到200,点击应用

wKiom1VIxjuTpUeDAAD6HoukRI0049.jpg


继续回到服务器场,打开Routing Rules

wKioL1VIx6ywVvMQAADlZR9Ne08715.jpg


Enable SSL offloading前面的勾去掉,点击应用

wKioL1VIx6ySUrjzAADomQiaU04594.jpg


再重复添加Server Farms,包括Lync的简单URLLync自发现

wKiom1VIxjyxnixKAAGPCUtzJzM443.jpg


添加ExchangeOWA登陆地址,需要注意的是Lync需要做8080804434443的变化,Exchange则不需要,默认添加即可(Office Web App Server还没有测试,后面再补充)。

wKioL1VIx6zSV3ZKAACYyVACBCI834.jpg

wKioL1VIx8ajmhcYAADdEGcviHU533.jpg


同样需要Disable disk cacheDisbale SSL offloading,其中Proxy Time-out值需要改为180

wKiom1VIxlXhbAa7AACRgKTx9mM835.jpg


全部添加完成后,回到主页,点击URL重写

wKioL1VIx8aRW9cAAAEDoqqcWxE059.jpg



wKiom1VIxlax_DeiAAEd_GSzqvw018.jpg


因为Lync本身用不到80端口,只需要80跳转到443,我们可以把跟Lync有关的80的路由删除(就是不带SSL的),删除后如下图

wKiom1VIxlaRHb_2AAEGwxkh2vk108.jpg


双击编辑Lync的入站规则,点击添加

wKioL1VIx8eSaWupAADfeKnASXg273.jpg


条件输入{HTTP_HOST},模式为Lync Web外部FQDN的域名.*,我的域名为rp.uc-test.com,则填入rp.* 点击应用

wKiom1VIxlbSdITzAAEPi44Ou5s306.jpg


同样把Lync其他简单URLLync自发现配置、Exchange设置完成,重启IIS

wKioL1VIx8eSR7oMAACs6oCOKLs251.jpg


把路由器的映射指向IIS ARR服务器,测试Lync Web会议和Exchange OWA登陆

wKiom1VIxlfxGRtRAAFGW8NvQq0210.jpg


Lync Web OK

wKioL1VIx8fw3baHAAB61qPQDXs705.jpg


Exchange OWA OK

wKiom1VIxlewFtLmAACHO2KI0Sc433.jpg



你可能感兴趣的:(IIS,Exchange,Lync,手机登录)