休息了很长一段时间,最近又搞了搞OCS的边缘服务器,是以前遗留下来的问题.狂风写的那篇边缘的部署文档,很不错.大家按照那个做,也没太大问题.关于如何用ISA来发布边缘服务器(准确的说,是发布其内部IIS站点的3个虚拟目录).前几天晚上和狂风一起,把试验做了下,现在外部用户访问一切都正常…感谢狂风,空空(ps:空空提供好多英文文档,哎,欺负我E文差.TMB)还有eyong1210提供关于SAN的资料…….谢谢所有对UC关注的朋友!!
Configure a Reverse Proxy
For Office Communications Server edge server deployments, a Microsoft® Internet Security and Acceleration (ISA) Server or other reverse proxy in the perimeter network is required for the following 不开反向代理下面3个东西你实现不了
■ To enable external users to download meeting content for your meetings.
■ To enable external users to expand distribution groups.
■ To enable remote users to download files from the Address Book Service.
The following table shows the specific directories used by the Web components. We recommend configuring your HTTP reverse proxy to use all directories.
Directories used by Web Components Server Directory Use 发布这3个地址
[url]https://<ExternalFQDN>/ABS/ext[/url]
Stores Address Book Server files
[url]https://ExternalFQDN/etc/place/null[/url]
Stores meeting content
[url]https://ExternalFQDN/GroupExpansion/ext/service.asmx[/url]
Stores distribution group expansion information
这样,我们Livemetting,ABS,白板功能就会正常.其实按照微软官方的文档,它是吧边缘服务器按角色去安装的.这样做有什么好处?后面的实验截图希望大家可以明白.我们一般都是把边缘服务器的的角色装在一台电脑上.(方便,省事.o(∩_∩)o…)其实主要的是A/V角色,因为它不支持NAT.稍微有些麻烦...还有外部用户用Https访问内部的3个地址时,证书也是重点.通常,我们在IE里,访问https的网站,如果证书有问题,它会报错.但你点继续,照样可以访问,但OC的就没那么智能化了,所以稍微有点问题就挂了..看图说话..
首先把我的环境做下说明:此实验用到三台虚拟机
公网 contoso.msft domain DC DNS 主要模拟公网用户的自动登陆.并做livemetting测试..etc [url]www.nwtraders.msft[/url] 是我模拟的公网域名 IP:10.10.10.1
内网 nwtraders.msft OCS2007SE DC IP:192.168.0.100 DNS:192.168.0.100
Edge和ISA IP: NEI 192.168.0.101 WAI 10.10.10.101
看图说话
这是我们需要关心的地方…我装的是ISA2006企业版.装完ISA后,首先是公网PING不通内网.也就是说PING边缘服务器不通.关于ISA的策略,建议大家去 [url]http://www.isacn.org/[/url] 国内ISA最好的网站..风前辈的.顺便在推荐: ISA2004使用宝典.(狂风给我推荐的).好了.看看这几条策略该怎么写..
首先我们建立条外部网络到内部网络(本地主机)的策略....允许....所有出站通讯.这样,保证了公网用户可以不受限制的访问内网.(ps:紧紧是为了实验方便,正确做法请参考Microsoft Edge Server Deploy部署指南,里面详细的介绍了该开什么端口,走什么协议)
然后按照同样的做法,在建立两条策略,本地主机到内部,和内部到本地主机.也是允许....所有出站通讯.这三条策略保证了正常的通信....很easy吧?下面我们看看如何发布内部的三条URL.
首先,需要说明的是,证书和FQDN匹配问题.看图.
这是我内部OCS服务器上面的IIS.HTTPS需要证书,这里我们给他颁发一张以OCS服务器FQDN为SN名字的证书.但,申请的时候,在备用者名称部分最好以*.domian代替..为什么呢?因为我内部domain是mc.nwtraders.msft.我模拟的公网domian是 [url]www.nwtraders.msft.[/url] 很显然,如果不这样做的话,证书和FQDN就不匹配..IE会报错,但你有的选择..OC没有让你选择的机会.不知道大家明白不?(ps:我在证书也晕了半天,幸好,有个牛人,可以问.)
好了,如何在ISA里面发布带有Https的网站呢?请看ISA2004使用宝典第870多页的内容,具体怎么操作上面很详细.我只截图,大家看看就行了.
mc.nwtraders.msft是我内部OCS服务器的FQDN..IP:192.168.0.100
够详细吧?看下那个什么宝典就OK了..
好了,简单讨论了下如何用ISA做反向代理....我们看看结果图!
希望对大家有所帮助.......
其实我们还有更简单的做法,完全没必要用ISA...o(∩_∩)o...
谢谢!!
许珈毓
Configure a Reverse Proxy
For Office Communications Server edge server deployments, a Microsoft® Internet Security and Acceleration (ISA) Server or other reverse proxy in the perimeter network is required for the following 不开反向代理下面3个东西你实现不了
■ To enable external users to download meeting content for your meetings.
■ To enable external users to expand distribution groups.
■ To enable remote users to download files from the Address Book Service.
The following table shows the specific directories used by the Web components. We recommend configuring your HTTP reverse proxy to use all directories.
Directories used by Web Components Server Directory Use 发布这3个地址
[url]https://<ExternalFQDN>/ABS/ext[/url]
Stores Address Book Server files
[url]https://ExternalFQDN/etc/place/null[/url]
Stores meeting content
[url]https://ExternalFQDN/GroupExpansion/ext/service.asmx[/url]
Stores distribution group expansion information
这样,我们Livemetting,ABS,白板功能就会正常.其实按照微软官方的文档,它是吧边缘服务器按角色去安装的.这样做有什么好处?后面的实验截图希望大家可以明白.我们一般都是把边缘服务器的的角色装在一台电脑上.(方便,省事.o(∩_∩)o…)其实主要的是A/V角色,因为它不支持NAT.稍微有些麻烦...还有外部用户用Https访问内部的3个地址时,证书也是重点.通常,我们在IE里,访问https的网站,如果证书有问题,它会报错.但你点继续,照样可以访问,但OC的就没那么智能化了,所以稍微有点问题就挂了..看图说话..
首先把我的环境做下说明:此实验用到三台虚拟机
公网 contoso.msft domain DC DNS 主要模拟公网用户的自动登陆.并做livemetting测试..etc [url]www.nwtraders.msft[/url] 是我模拟的公网域名 IP:10.10.10.1
内网 nwtraders.msft OCS2007SE DC IP:192.168.0.100 DNS:192.168.0.100
Edge和ISA IP: NEI 192.168.0.101 WAI 10.10.10.101
看图说话
这是我们需要关心的地方…我装的是ISA2006企业版.装完ISA后,首先是公网PING不通内网.也就是说PING边缘服务器不通.关于ISA的策略,建议大家去 [url]http://www.isacn.org/[/url] 国内ISA最好的网站..风前辈的.顺便在推荐: ISA2004使用宝典.(狂风给我推荐的).好了.看看这几条策略该怎么写..
首先我们建立条外部网络到内部网络(本地主机)的策略....允许....所有出站通讯.这样,保证了公网用户可以不受限制的访问内网.(ps:紧紧是为了实验方便,正确做法请参考Microsoft Edge Server Deploy部署指南,里面详细的介绍了该开什么端口,走什么协议)
然后按照同样的做法,在建立两条策略,本地主机到内部,和内部到本地主机.也是允许....所有出站通讯.这三条策略保证了正常的通信....很easy吧?下面我们看看如何发布内部的三条URL.
首先,需要说明的是,证书和FQDN匹配问题.看图.
这是我内部OCS服务器上面的IIS.HTTPS需要证书,这里我们给他颁发一张以OCS服务器FQDN为SN名字的证书.但,申请的时候,在备用者名称部分最好以*.domian代替..为什么呢?因为我内部domain是mc.nwtraders.msft.我模拟的公网domian是 [url]www.nwtraders.msft.[/url] 很显然,如果不这样做的话,证书和FQDN就不匹配..IE会报错,但你有的选择..OC没有让你选择的机会.不知道大家明白不?(ps:我在证书也晕了半天,幸好,有个牛人,可以问.)
好了,如何在ISA里面发布带有Https的网站呢?请看ISA2004使用宝典第870多页的内容,具体怎么操作上面很详细.我只截图,大家看看就行了.
mc.nwtraders.msft是我内部OCS服务器的FQDN..IP:192.168.0.100
够详细吧?看下那个什么宝典就OK了..
好了,简单讨论了下如何用ISA做反向代理....我们看看结果图!
希望对大家有所帮助.......
其实我们还有更简单的做法,完全没必要用ISA...o(∩_∩)o...
谢谢!!
许珈毓
2008.7.6
本文转自许珈毓的技术思考博客51CTO博客,原文链接http://blog.51cto.com/jiayu/85965如需转载请自行联系原作者
BabyXc
