Lync Server 2010的部署系列_第九章 设置反向代理服务器

可使用 Microsoft Forefront Threat Management Gateway 2010 或 Microsoft Internet Security and Acceleration (ISA) Server 2006 SP1 作为反向代理。本节详细介绍了配置 Forefront Threat Management Gateway (TMG) 2010 的步骤，这与配置 ISA Server 2006 的步骤几乎完全相同。

一、为 HTTP 还原代理请求和配置证书

如果证书颁发机构 (CA) 基础结构向运行 Microsoft Lync Server 2010 的内部服务器颁发过服务器证书，则需要在运行 Microsoft Forefront Threat Management Gateway 2010 的服务器上安装该 CA 基础结构的根 CA 证书。

二、检查Web 场 FQDN

1) 登录Front.Gianthard.com（192.168.1.21）。打开开始菜单，点击所有程序，展开“Microsoft Lync Server 2010”，运行“Microsoft Lync Server 拓扑生成器“

2) 选择“从现有部署下载拓扑“，点击确定。选择一个保存路径。

3) 在控制台树中，右键单击需要编辑的池名称，然后单击“编辑属性”。

4) 在“Web 服务”部分，检查相应的“外部 Web 服务 FQDN”，保证正确，然后单击“确定”。

三、在 IIS 虚拟目录上验证或配置身份验证和证书

使用以下过程在 Internet Information Services (IIS) 虚拟目录上的“Lync Server 外部网站”配置证书或验证是否已正确配置证书。在内部 Lync Server 池中运行 IIS 的每台服务器上执行以下过程。

1) 登录Front.Gianthard.com（192.168.1.21）。单击“开始”，依次指向“所有程序”、“管理工具”，然后单击“Internet 信息服务(IIS)管理器”。

2) 在“Internet 信息服务(IIS)管理器”中，展开“服务器名称”，然后展开“站点”。右键单击“Lync Server 外部网站”，然后单击“编辑绑定”。

3) 验证 https 是否与端口 4443 关联，然后单击“https”。选择 HTTPS 条目，单击“编辑”，然后验证 Lync Server WebServicesExternalCertificate 是否已绑定到此协议。

四、TMG创建Lync协议并发布WEB会议

1) 通过本地管理员登录TMG.Gianthard.com（192.168.1.15）, 单击“开始”，依次指向“程序”、“Microsoft Forefront TMG”，然后单击“Forefront TMG 管理”。

2) 在 Forefront TMG 管理控制台中，单击树中的“防火墙策略”节点。在“任务”窗格中的“工具箱”选项卡上，单击“协议”。在“协议”下的工具栏上，单击“新建”，然后单击“协议”。

3) 在“欢迎使用新建协议定义向导”中键入协议定义的名称。例如，Lync Web Meeting（444）。

4) 主连接信息，在典型的服务器协议定义中，若要配置主连接，请单击“新建”。然后，在“协议类型”中选择 TCP，在“方向”中选择“入站”，在“从”和“到”中键入相同的444端口号，然后单击“确定”。

注：对于服务器发布，TCP 协议的主连接方向应该是入站方向。

5) 辅助连接信息，选择否。

6) 正在完成新建协议定义向导，检查设置，然后单击“完成”。

7) 在详细信息窗格中，单击“应用”，以保存所做的更改并更新配置。

8) 在任务窗格中的“任务”选项卡上，单击“发布非 Web 服务器协议”打开新建服务器发布规则向导。

9) 欢迎使用新建服务器发布规则向导，键入协议定义的名称。例如，Lync Web Conf。

10) 选择服务器，键入要发布的服务器的 IP地址172.20.0.2（边缘服务器的DMZ网卡IP地址）。

11) 选择协议，从下拉列表中选择在上面步骤中定义的“Lync Web Meeting（444）”协议。

12) 网络侦听器 IP 地址，选择“外部”网络。

13) 正在完成新建服务器发布向导。检查设置，然后单击“完成”。

14) 在详细信息窗格中，单击“应用”按钮以保存并更新该配置，然后单击“确定”。

五、TMG创建Lync协议并发布AV会议

1) 通过本地管理员登录TMG.Gianthard.com（192.168.1.15）, 单击“开始”，依次指向“程序”、“Microsoft Forefront TMG”，然后单击“Forefront TMG 管理”。

2) 在 Forefront TMG 管理控制台中，单击树中的“防火墙策略”节点。在“任务”窗格中的“工具箱”选项卡上，单击“协议”。在“协议”下的工具栏上，单击“新建”，然后单击“协议”。

3) 在“欢迎使用新建协议定义向导”中键入协议定义的名称。例如，Lync AV（442）。

4) 主连接信息，在典型的服务器协议定义中，若要配置主连接，请单击“新建”。然后，在“协议类型”中选择 TCP，在“方向”中选择“入站”，在“从”和“到”中键入相同的444端口号，然后单击“确定”。

注：对于服务器发布，TCP 协议的主连接方向应该是入站方向。

5) 辅助连接信息，选择否。

6) 正在完成新建协议定义向导，检查设置，然后单击“完成”。

7) 在详细信息窗格中，单击“应用”，以保存所做的更改并更新配置。

8) 在任务窗格中的“任务”选项卡上，单击“发布非 Web 服务器协议”打开新建服务器发布规则向导。

9) 欢迎使用新建服务器发布规则向导，键入协议定义的名称。例如，Lync AV。

10) 选择服务器，键入要发布的服务器的 IP地址172.20.0.2（边缘服务器的DMZ网卡IP地址）。

11) 选择协议，从下拉列表中选择在上面步骤中定义的“Lync AV（442）”协议。

12) 网络侦听器 IP 地址，选择“外部”网络。

13) 正在完成新建服务器发布向导。检查设置，然后单击“完成”。

14) 在详细信息窗格中，单击“应用”按钮以保存并更新该配置，然后单击“确定”。

六、TMG创建Lync协议并发布SIP访问

1) 通过本地管理员登录TMG.Gianthard.com（192.168.1.15）, 单击“开始”，依次指向“程序”、“Microsoft Forefront TMG”，然后单击“Forefront TMG 管理”。

2) 在任务窗格中的“任务”选项卡上，单击“发布非 Web 服务器协议”打开新建服务器发布规则向导。

3) 欢迎使用新建服务器发布规则向导，键入协议定义的名称。例如，Lync Access。

4) 选择服务器，键入要发布的服务器的 IP地址172.20.0.2（边缘服务器的DMZ网卡IP地址）。

5) 选择协议，从下拉列表中选择在上面步骤中定义的“SIPS服务器”协议。

6) 网络侦听器 IP 地址，选择“外部”网络。

7) 正在完成新建服务器发布向导。检查设置，然后单击“完成”。

8) 在详细信息窗格中，单击“应用”按钮以保存并更新该配置，然后单击“确定”。

七、TMG创建反向代理（Web 服务器发布规则）

1) 通过本地管理员登录TMG.Gianthard.com（192.168.1.15）, 单击“开始”，依次指向“程序”、“Microsoft Forefront TMG”，然后单击“Forefront TMG 管理”。

2) 在左窗格中展开“服务器名称”，右键单击“防火墙策略”，指向“新建”，然后单击“网站发布规则”。

3) 在“欢迎使用新建 Web 发布规则向导”页上，为发布规则键入一个显示名称（例如，LyncRP）。

4) 在“选择规则操作”页上，选择“允许”。

5) 在“发布类型”页上，选择“发布单个网站或负载平衡器”。

6) 在“服务器连接安全性”页上，选择“使用 SSL 连接到发布的 Web 服务器或服务器场”。

7) 在“内部发布详细信息”页的“内部站点名称”框中，键入承载会议内容和通讯簿内容的内部 Web 场的完全限定域名 (FQDN)，也就是池的FQDN（pool. Gianthard.com）。

8) 在“内部发布详细信息”页的“路径(可选)”框中键入“/*”作为要发布的文件夹的路径。

9) 在“发布名称详细信息”页上，确认在“接受请求”下选择“此域名”，在“公共名称”框中键入外部 Web 服务的 FQDN（rp.Gianthard.com）。

10) 在“选择 Web 侦听器”页上单击“新建”，以打开“新建 Web 侦听器定义向导”。

11) 在“欢迎使用新建 Web 侦听器向导”页上的“Web 侦听器名称”框中为 Web 侦听器键入一个名称（例如LyncWeb443）。

12) 在“客户端连接安全性”页上，选择“需要与客户端建立 SSL 安全连接”。

13) 在“Web 侦听器 IP 地址”页上，选择“外部”，然后单击“选择 IP 地址”。

14) 在“外部侦听器 IP 选择”页上，选择“所选网络中 Forefront TMG 计算机上指定的 IP 地址”，选择适当的 IP 地址，然后单击“添加”。

15) 在“侦听器 SSL 证书”页上，选择“为每个 IP 地址分配一个证书”，选择与外部 Web FQDN 关联的 IP 地址，然后单击“选择证书”。在“选择证书”页上，选择与在步骤 9 中指定的公共名称相匹配的证书，然后单击“选择”。

16) 在“身份验证设置”页上，选择“无身份验证”。

17) 在“单一登录设置”页上，单击“下一步”。

18) 在“正在完成 Web 侦听器向导”页上，确认“Web 侦听器”设置正确，然后单击“完成”。

19) 点击下一步。

20) 在“身份验证委派”页上，选择“无委派，但是客户端可以直接进行身份验证”

21) 在“用户集”页上，单击“下一步”。

22) 在“正在完成新建 Web 发布规则向导”页上，确认 Web 发布规则设置正确，然后单击“完成”。

23) 在详细信息窗格中，单击“应用”，以保存所做的更改并更新配置。

八、修改TMG反向代理（Web 服务器发布规则）

24) 在详细信息窗格中，右键单击在前面的过程中创建的 Web 服务器发布规则（例如，LyncRP），然后单击“属性”。

25) 在“属性”页上的“从”选项卡上，执行下列操作：

在“此规则应用于来自这些源的通讯”列表中，单击“任意位置”，然后单击“删除”。

单击“添加”。

在“添加网络实体”中，展开“网络”，依次单击“外部”、“添加”，然后单击“关闭”。

26) 在“到”选项卡上，确保“转发原始主机头，而不是实际主机头”复选框处于选中状态。

27) 在“桥接”选项卡上，选中“将请求重定向到 SSL 端口”复选框，然后指定端口 4443。

28) 在“公共名称”选项卡上，添加简单 URL（例如，meet.Gianthard.com和dialin.Gianthard.com）。然后单击测试规则，看是否正常连接。

29) 单击“应用”保存更改，然后单击“确定”。

30) 在详细信息窗格中，单击“应用”，以保存所做的更改并更新配置。

31) TMG发布结果：

32) 完成DNS各个记录的创建再进行以下操作验证能否通过还原代理进行访问。

外网用户打开 Web 浏览器，在“地址”栏中键入客户端用于访问通讯簿文件和会议网站的 URL，具体如下：

l 对于通讯簿服务器，请键入类似下面的 URL：https://sip.Gianthard.com/abs，用户应收到 HTTP 质询，因为默认情况下将通讯簿服务器文件夹的目录安全性配置为 Windows 身份验证。

l 对于会议，请键入类似下面的 URL：https://meet.Gianthard.com/，此 URL 应会显示会议的疑难解答页。

l 对于通讯组扩展，请键入类似下面的 URL：https://sip.Gianthard.com /GroupExpansion/service.svc。用户应收到 HTTP 质询，因为默认情况下将通讯组扩展服务的目录安全性配置为 Windows 身份验证。

对于拨入式会议，请为其键入简单 URL https://dialin.Gianthard.com/GroupExpansion。应将用户定向到拨入页。