要实现外部用户访问,所需的主要组件是
边缘服务器,它是 Office Communications Server 中的一个服务器角色。若要部署边缘服务器,请在服务器上运行 Office Communications Server 部署工具,并在安装过程中选择“边缘服务器”角色。根据您的扩展需要,可以在部署中安装一台或多台边缘服务器。
边缘服务器始终运行以下三项服务:
- 访问边缘服务。此服务提供了实现内部用户与外部用户协作的核心功能。访问边缘服务为出站和入站会话初始协议 (SIP) 通信提供单一的受信任连接点。
- Web 会议边缘服务。外部用户可利用此服务加入内部会议。用户可使用此服务邀请外部用户加入会议;这些外部用户可能包括组织的远程用户、联盟用户,以及应邀参加特定会议的所有其他外部用户。
- A/V 边缘服务。利用此服务可与外部用户共享音频和视频。用户可以向包含外部参与者的会议添加音频和视频,并且他们可以在点对点会话中直接与外部用户共享音频和视频。利用 A/V 边缘服务,用户还可使用桌面共享功能与外部用户进行协作。
前提准备:
环境准备,考虑安全行,必须将OCS 边缘服务器放在DMZ区域。
服务器部署注意事项:
1.DNS 准备:
支持联盟伙伴对您所在域的 DNS 发现。_sipfederationtls._tcp.<域> 的每个边缘服务器对应一条使用端口 5061 的外部 SRV 记录(其中 <域> 是您所在组织的 SIP 域名)。此 SRV 应指向包含访问边缘服务的外部完全限定域名 (FQDN) 的 A 记录。如果您有多个 SIP 域,则需要为每个域都配置一条 DNS SRV 记录。您为此 SRV 记录选择的边缘服务器将成为所有联盟流量都将流经的边缘服务器。
支持外部用户通过 Microsoft Office Communicator 和 Microsoft Office Live Meeting 客户端进行访问。_sip._tls.<域> 对应一条使用端口 443 的 DNS SRV 记录,其中 <域> 是您所在组织的 SIP 域名。此 SRV 记录必须指向访问边缘服务的 A 记录。如果您有多个 SIP 域,则需要为每个域都配置一条 DNS SRV 记录;这样的话,如果需要,每个 SRV 记录可指向不同的边缘服务器以便分散工作负载。
如果执行 DNS SRV 查询时返回了多个 DNS 记录,则访问边缘服务将始终选择数字优先级最低且数字权重最高的 DNS SRV 记录。如果返回了优先级和权重都相同的多个 DNS SRV 记录,则访问边缘服务将选择首先从 DNS 服务器返回的 SRV 记录。
DNS准备具体操作:
A记录:
1. ocs.domain.com 对应边缘服务器的内部接口。改FQDN必须跟你申请的内部接口的证书名称一致
2. av.domain.com A/V边缘服务的外部FQDN
3. sip.domain.com 边缘服务器的FQDN,可以与Web会议边缘服务共用一个IP地址。但是端口必须不一样。
SRV记录:
1. _sip._tls.<域> 对应一条使用端口 443 的 DNS SRV 记录,其中 <域> 是您所在组织的 SIP 域名。
2._sipfederationtls._tcp.<域> 的每个边缘服务器对应一条使用端口 5061 的外部 SRV 记录(其中 <域> 是您所在组织的 SIP 域名)。
证书准备:
1.访问边缘服务需要证书。
2. Web会议边缘服务器需要证书。
3. A/V边缘服务不需要证书,但是推荐使用单独的IP地址已经相应的FQDN。因为本人在部署的时候发现如果将这3个服务角色使用同一个IP地址,但是不同的端口的话,音频会议有时候会无法连接。仅个人经验。
4.边缘服务器内部接口也需要证书。为了安全,改证书不能跟其他证书混用。
5.A/V 身份验证证书
音频/视频 (A/V) 身份验证需要额外的证书。A/V 身份验证证书的私钥用于生成身份验证凭据。
该证书可以是内部证书,但作为一种安全预防措施,A/V 身份验证不应与任何边缘服务器服务使用相同的证书。
外部用户访问的要球:
证书要求:
1. 必须将颁发证书机构的跟证书导入到本地计算机的根证书信任区域。
防火墙要求:
这张图片应该可以让大家很清楚的知道应该开放的端口。
至于OCS部署过程中需要详细步骤的截图,因为但是做的时候是Word版本,无法直接粘贴过来.如果大家有需要的话.可以给我留言,我给大家发邮件.谢谢!!
本文转自bruce.huang 51CTO博客,原文链接:http://blog.51cto.com/chinaitnews/183884