探究Forefront For Office Communications Server之谜

Microsoft Forefront 能协助保护关键的 Microsoft 消息通信和协作服务器 ， 在病毒、蠕虫、垃圾邮件和不良内容影响企业和用户之前将其阻隔 。 这些应用服务器包括 Exchange Server 、基于 Windows 的 Simple Mail Transfer Protocol (SMTP) 网关、 Microsoft Office Communications Server 、以及 Microsoft Windows SharePoint Services 。

今天我们来小小的研究一下 Microsoft Forefront For Office Communications Server

试验拓扑如下：

 

拓扑介绍：

TIANJIN 和 SHENYANG 都是 win 2003 +sp1 的系统。

TIANJING 作为 OCSTEST.COM 的域控制器、 DNS 服务器、和 CA 服务器。

SHENYANG 作为 OCSTEST.COM 域中的 OCS 服务器。

我计划在部署了 OCS 的计算机 SHENYANG 上安装 Forefront For Office Communications Server Beta 3 。

试验流程：

一． 创建 CA 服务器。

二． OCS 服务器（ SHENYANG ）申请证书

三． 在 DNS 里创建一条 SRV 记录以便 OCS 客户端能正常登陆

四． 在 SHENYANG 上部署 OCS 服务器

五． 客户端设置

六． 安装 OCS 客户端

 七．安装 Forefront For Office Communications Server Beta 3 。

 八．体验 Forefront For ocs 的功能

 

 

OK ！开始工作

 

一 首先创建 CA 服务器。

证书的创建和申请是试验成功的基础，一定要确保证书申请无误！

 

在 TIANJIN 上，开始――控制面板――添加删除程序，如下图所示，勾选证书服务。

设置 CA 的类型为 企业根 CA

CA 的公用名称为 ITETCA

设置证书数据库和证书数据库日志的位置

完成 CA 服务器的创建

证书创建完成后，在开始――运行里运行 gpupdate /force 强制刷新组策略，使域内的计算机信任 TIANJIN 颁发的证书。

 

二． OCS 服务器（ SHENYANG ）申请证书

 

在 SHENYANG 上开始――管理工具，打开 IIS 管理器。右击默认网站，点击属性。切换到目录安全性选项卡，在安全通信里选择服务器证书。

WEB 服务器证书向导，下一步

选择新建证书

立即讲证书请求发送到联机证书颁发机构

键入新证书的名称和特定的位长

输入单位信息

站点的公用名称为 shenyang.ocstest.com

地理信息

指定网站 SSL 端口为 443

选择证书颁发机构为 TIANJIN.ocstest.com\ITETCA

提交证书请求

服务器证书申请完成。如下是申请到的证书

 

 

三． 在 DNS 里创建一条 SRV 记录以便 OCS 客户端能正常登陆

SRV记录的创建是为了让OCS客户端能通过DNS正确解析出OCS服务器的地址，从而能正常登陆！

 

如下图所示，在 ocstest.com 中新建一条其他新纪录

新建一个服务位置（ SRV ）记录

服务为： SIP 

协议为： TLS 

端口号为： 5061 （ 5061 端口用来提供加密链接）

提供此服务的主机为： shenyang.ocstest.com

 

四． 在 SHENYANG 上部署 OCS 服务器

 

OCS 产品简介：

Office Communications Server （ OCS ）是微软所开发的整合通讯服务器，整合在 IP 网络架构上执行的 VoIP 、企业传讯、电子邮件及视讯会议等功能，新版主要强化协作及行动功能。

OCS 亦整合了微软 Office 、 Exchange Server 及 Office SharePoint Server 等功能，让企业透过单一的架构就能整合通讯问题

简单了解 OCS 的相关知识后，我们来部署一台 OCS 服务器。

 

在 SHENYANG 上放入 OCS 2007 光盘。

提示要运行光盘上的软件必须安装 Microsoft Visual C ++ 2005 sp1 可再发行软件包和安装 Microsoft .NET Framework 2.0

安装完上述组件后，进入 Forefront For Office Communications Server 2007 部署向导。点击部署 Standard Edition Server

点击准备 Acitive Directory，扩展Acitive Directory架构

进入此页面后，依次运行“准备架构”、“准备林”、“准备当前域”

进行完“准备架构”、“准备林”、“准备当前域”后才能继续安装Communications Server

艾？怎么林准备失败了。

查看部署日志，如下图所示，原来是在 windows 2000 混合模式域中无法创建 Office Communications Server 全局设置。

虚惊一场啦！让我们来提升域功能级别吧！

 

打开 Active Directory 域和信任关系，右击 ocstest 域，点击“提升域功能级别

将域功能级别提升到 Windows server 2003

注意：提升域功能级别后，将无法还原到以前的模式

 

再次运行林准备，成功完成！

 

Active Directory 准备完成。接下来我们来部署服务器。点击运行

服务器部署向导，下一步

又是老掉牙的协议，同意

选择服务器文件的安装位置

创建 Standard Edition Server 的主要服务帐户.

这个帐户用来管理OCS服务器

创建 Standard Edition Server 的组件服务帐户。

这个帐户用来运行会议服务器、 Web 组件和其他服务器组件

指定 Web 场 FQDN 。

我们指定内部 Web 场 FQDN 为： SHENYANG..ocstest.com 。

试验环境，我们不指定外部 Web 场 FQDN 。

Web 场提供用于下载会议内容和通讯薄数据的位置，还承载通讯组扩展服务。

接下来指定数据库文件的安装位置

信息收集完毕（如下图所示的是已经设置好的信息），确认无须改动后就可以开始部署服务器了。

安装开始后，首先安装的是 SQL Server 2005 。然后依次是

安装 Web 组件

安装 Web 会议服务器

安装音频 / 视频会议服务器

这些组件都是 OCS将要 提供给客户的服务。

 

  OK 服务器部署向导成功完成！

服务器部署完成后，我们来配置证书

证书的申请（此处证书的申请和 OCS 服务器向 CA 服务器申请证书的过程类似，在此不再重述）只要注意如下几处就 OK.

注意使用者的名称为： SHENYANG..ocstest.com

选择一个证书颁发机构： TIANJIN.ocstest.com\ITETCA

证书向导自动发现这此环境内的证书颁发机构！

证书申请完成后点击分配，将证书分配给服务器

完成如上所有步骤后，启动服务。

下面是要启动的 Office Communications Server 2007 的服务

这些服务都是 OCS 能提供给客户的服务。

内容很丰富吧！电话会议、音频、视频会议！很诱人吧......

成功启动服务

 

 

五． 客户端设置

 

以 Administrator 为例，给 Administrator 和 user1 启用 Office Communications Server。

给客户设置登陆名，指明服务器。

 

 

六． 安装 OCS 客户端

 

点击运行 communicator.msi 。安装客户端

一路回车，客户端安装成功！

客户端安装完成后，首先测试 Administrator 和 user1 是否能登陆？二者是否能相互通讯？ 别闲麻烦，一步一个脚印嘛，及时发现错误并给予解决！

一切顺利，二者都能成功登陆且能够相互通讯！

放心做下面的试验吧！

 

七． 安装 Forefront For Office Communications Server Beta 3

 

同意老掉牙的许可协议后，选择完全安装

下面要求设置 ForefrontRTCProxy 服务帐户，并给出作为此帐户条件。我们新建一个用户 user2 ，并满足帐户条件

“作为服务登陆 ” 和把这个帐户加入到“ RTC Server Applications ”本地组。这两个条件安装程序会自动授予。

我们要做的就只是把 user2 加入到“ RTCUniversalServerAdmin ”和“ RTCProxyUniversalServices ”域组中。

注意：这个帐户一定要符合如下的条件，并且这个帐户不能是参与普通通信的帐户。否则试验将不能成功！

如下图所示，我们已经将 user2 加入到要求的域组中

 

服务帐户设置，我们输入刚创建的符合条件的 user2

这个帐户用来运行ForefrontRTCProxy服务。

设置通知帐户，我们使用与 ForefrontRTCProxy 服务帐户相同的帐户

这个帐户是用于发送 Forefront IM 通知消息的帐户

设置通知用户。我们同样选择 user2

.注意：传输类型为 TLS

 

不为域控制器配置 Forefront

扫描引擎更新通知，了解防病毒扫描程序更新和计划

不使用代理服务器进行防病毒引擎下载

选择安装程序安装的路径

一切都准备好了，开始安装。

安装完成

 

 

八．体验 Forefront For ocs 的功能

 

打开 Forefront Server Security 管理员，选择要连接到的服务器，我们这里选择 SHENYANG

Forefront 可以实现防病毒、文件过滤、关键字过滤等功能！现在我们来体验一下（由于是试验环境，我们就不给他更新啦。原有的病毒库足以满足我们的试验要求）

体验一：防病毒

如下图所示，是 Forefront 的防病毒功能，默认开启了 5 个防病毒引擎。检测到病毒后给予修复（其实这里的修复就是删除）开启后我们来测试一下到底能不能防病毒呢？

用 user1 给 Administrator 发送一个病毒， user1 上显示文件成功发送

真的发送成功了吗？来看下 Administrator ，“无法接收”

怎么回事呢？别着急， user2 会来告诉你为什么的

原来是 Forefront 起作用啦！病毒被直接清除啦 !

那 user1 发送的文件在哪呢？如下图所示，文件被 Forefront 隔离啦！

体验二：文件过滤

添加一条过滤列表。禁止用户之间传送 .bmp 文件。发现后直接删除

给 Administrator 发送一条 .bmp 文件。 User1 显示成功发送！

 

Administrator 当然收不到了。

 

User2 又来了，告诉你这个文件被文件筛选器隔离啦！

 

 

体验三：关键字过滤

添加一条筛选器列表 ITET ，列表内容禁止传输“藏独”

User1 给 Administrator 发送“藏独”两个字， user1 直接被提醒禁止发送

 

哈哈 …… 怎么样， Forefront for OCS 还是有两把刷子的嘛！

体验了Forefront for OCS后不得不让人佩服微软的精湛技艺和商业眼光......