9. TMG边缘服务器
微软官方文档参考
http://technet.microsoft.com/zh-cn/library/dd441282(office.13).aspx
9.1. 服务器基本设置 9.1.1. 计算机名设置
TMG服务器在工作组模式下,设置其DNS后缀为tiger.com
9.1.2. 网络设置
网卡2块
9.1.3. 在DC01的DNS管理中添加TMG.tiger.com的A记录 9.1.4. 安装TMG
设置防火墙规则,为测试方便,网络之间端口全开
9.2. 设置反向代理
对于 Office Communications Server 边缘服务器部署,在外围网络中必须有 Microsoft Internet Security and Acceleration (ISA) Server 或其他反向代理才能实现以下功能:
- 允许外部用户下载会议的会议内容。
- 允许外部用户扩展通讯组。
- 允许远程用户从通讯簿服务下载文件。
- 使外部设备可以连接到设备更新服务并获得更新。
详细配置操作参考http://technet.microsoft.com/zh-cn/library/dd441312(office.13).aspx
进入侦听器定义向导
证书的申请请参考下面的“安装边缘服务器”章节
回到“新建Web发布规则向导”继续
9.3. 安装边缘服务器
在TMG上运行OCS安装程序
9.3.1. 安装边缘服务器的文件
9.3.2. 激活边缘服务器
9.3.3. 配置边缘服务器
http://technet.microsoft.com/zh-cn/library/dd441177(office.13).aspx
在“内部下一个跃点服务器的 FQDN”页上的“下一个跃点服务器的 FQDN”框中,键入或单击此边缘服务器向其路由内部流量的下一个跃点服务器的 FQDN,如果使用控制器路由传入的流量,则键入该控制器的 FQDN,然后单击“下一步”。
在“授权的 SIP 域”页上,对于 Office Communications Server 2007 R2 部署中要支持的每个会话初始协议 (SIP) 域,在框中键入该 SIP 域的名称,然后单击“添加”。添加所有要支持的 SIP 域之后,单击“下一步”。
在“授权的内部服务器”页上,指定可以连接到边缘服务器的每个内部服务器,并在每指定一个后单击“添加”。
说明:
键入控制器的 FQDN(如果部署了一台控制器),并键入组织中每个企业版池、每台 Standard Edition Server 以及每台中介服务器的 FQDN。
9.3.4. 为边缘服务器申请分配证书
在执行本操作前,需要将dc01上的颁发结构的根证书导入到本地计算机受信任的颁发结构中。
下载CA证书
导入到受信任颁发机构
通过MMC控制台打开“证书(本地计算机)”,右键“受信任的根证书颁发机构”,选择“导入”,定位并选择之前下载的CA证书
详细参考
http://technet.microsoft.com/zh-cn/library/dd441270(office.13).aspx
将证书请求保存到txt文件中,点击“下一步”到完成
打开IE浏览器,输入https://dc01.Tiger.com/certsrv申请证书
选择“申请证书”-“高级证书申请”
复制之前保存的txt中所有的内容到
下载申请的证书,保存为edge.cer
通过MMC控制台打开“证书(本地计算机)”,右键“个人”,选择“导入”,定位并选择之前下载edge证书
运行分配证书向导
建议在生产环境分别为各接口申请和绑定证书(如果不为“边缘服务器专用接口”单独申请和绑定一张仅包含边缘服务器FQDN的证书,外网使用live meeting客户端可能无法登陆)
9.3.5. 启动服务
9.4. 配置边缘服务器
安装OCS管理工具后,可以在TMG上运行compmgmt.msc打开“计算机管理(本地)”查看和更改边缘服务器配置
在OCS01的OCS控制台中指定边缘服务器,或者通过下一章节在向导中设置
9.4.1. 将内部服务器与边缘服务器相连
http://technet.microsoft.com/zh-cn/library/dd425276(office.13).aspx
9.4.2. 配置外部WEB场FQDN
创建企业版池和 Standard Edition Server 时,您可以选择是在创建池向导还是部署服务器向导的“Web 场 FQDN”页上配置外部 Web 场的完全限定域名 (FQDN)。如果在运行这些向导时未配置此 URL,则需要手动配置这些设置。为此,请打开命令提示符,并在命令行中运行以下命令:
lcscmd.exe /web /action:updatepoolurls /externalwebfqdn:<外部 Web 场 FQDN> /poolname:<池名称>,具体其他方法还可以参考http://support.microsoft.com/kb/938288/zh-cn。
其中 <外部 Web 场 FQDN> 是 Web 场的 FQDN,而 <池名称> 是企业版池的名称。
将内部服务器与到边缘服务器相连
也可以通过重新运行“创建企业版池向导”进行更改“外部WEB场FQDN”,因为之前部署了存档服务器,所以一同更改的设置有如下:
9.4.3. 将内部服务器与边缘服务器相连
在 Enterprise Edition Server 上,单击“在合并拓扑中部署池”或“在扩展拓扑中部署池”。在“配置池”旁单击“运行”。
在池/服务器配置向导的“欢迎”页上单击“下一步”。
在“要配置的服务器或池”页上的列表中,单击要配置的池或服务器,然后单击“下一步”。
继续根据向导进行操作,指定适用于池或服务器配置的设置,直到到达“外部用户访问”页。
在“外部用户访问配置”页上,单击“现在配置外部用户访问”。
在“路由外部 SIP 流量”页上执行下列操作之一:
如果要通过控制器路由来往于边缘服务器的所有流量,请单击“通过 Director 路由流量”;如果这是控制器,请选中“使用此池或服务器作为路由外部流量的控制器”复选框,单击“下一步”,然后执行本过程中的其余步骤。
如果不打算通过控制器路由来往于边缘服务器的所有流量,请单击“在内部池和服务器之间直接路由”。单击“下一步”。
在“受信任的访问边缘服务器和 Web 会议边缘服务器”页上执行下列操作之一:
在“指定内部服务器将用于路由流量的访问边缘服务器”下执行下列操作之一:
如果使用控制器,则不需要指定边缘服务器。
如果不使用控制器,请选择要向其路由内部服务器所有出站流量的边缘服务器上访问边缘服务的 FQDN。
如果使用边缘服务器阵列,请输入访问边缘服务在内部负载平衡器上所用 VIP 的 FQDN。
单击“下一步”。
在“Web 会议边缘服务器”页上执行下列操作:
在“内部 FQDN”中,键入内部服务器将用来连接 Web 会议边缘服务的每个内部接口的 FQDN。
在“外部 FQDN”中,键入外部用户将用来连接 Web 会议边缘服务的每个外部接口的 FQDN。
在键入每对 FQDN 之后单击“添加”。
单击“下一步”。
在“受信任的 A/V 边缘服务器”页上,在“FQDN”框中键入将用来连接 A/V 边缘服务器的内部接口的 FQDN,在“端口”框中键入要用于内部接口的端口号,然后单击“添加”。
说明:
对要使用的每个 FQDN 重复上述操作。这些服务器将添加到“全局属性”中“边缘服务器”选项卡上的授权边缘服务器列表。
在“此服务器或池所使用的 A/V 边缘服务器”页上,键入此服务器或池将用于 A/V 身份验证的边缘服务器上 A/V 边缘服务的内部接口的 FQDN。
