Lync Server 2010详解系列7:Lync Server边际服务器的布置 (TMG充任反向署理和防火墙)51CTO博客 - AG环亚娱乐

Lync Server 2010详解系列7:Lync Server边际服务器的布置 (TMG充任反向署理和防火墙)51CTO博客

2019年04月04日10时21分38秒 | 作者: 梦蕊 | 标签: 边际,防火墙,效劳 | 浏览: 2888

导语:

前一篇中咱们介绍了Lync Server边际效劳器(无反向署理)的布置,本篇将接前一篇持续承受包含TMG(充任反向署理和防火墙)的Lync边际效劳器的布置。咱们假如在布置的过程中遇到什么问题可以和我一同评论。

让咱们一起同享,一起评论,一起进步;高兴学习,高兴作业,高兴生长!好了,不多说了,进如咱们今日的正题吧!

环境介绍:

首要,和前面相同让咱们回忆一下咱们的环境。边际效劳器的布置有多种计划,这儿咱们依照是否在外围网络中有反向署理效劳器分为两种首要计划:一种是在外围网络中没有反向署理效劳器和软防火墙(ISA/TMG)上篇现已介绍过此种布置拓扑,主张在此种布置计划中在边际路由器增加防火墙硬件模块以进步安全性,由于本计划没有软件防火墙(ISA/TMG)公网上的网络流量可以直接抵达Lync边际效劳器的外网卡,这样将会减低安全性。

别的一种是在外围网络中有TMG/ISA的拓扑(正是本篇要介绍的),TMG/ISA可以只充任方向署理效劳器(加密外部用户拜访Lync前端效劳器IIS上的地址簿、散布组、web会议等)不作防火墙用(SIP、AV、web会议等流量不经过TMG/ISA,而是直接抵达Lync边际效劳器的外网卡),此种做法仅仅把TMG/ISA和Lync边际效劳器并行放在DMZ网络中,假如边际路由器上有硬件防火墙模块的话主张可以选用此种拓扑。别的,依据边际效劳器外网口上的IP地址是否为静态NAT还可以分两种计划,关于静态NAT的布置计划将在后边系列文章中介绍。

留意:Lync边际效劳器不支撑和其他任何Lync效劳器人物并置布置也不支撑和反向署理效劳器(如ISA和TMG)并置布置,别的,也不支撑边际效劳器的边际人物(拜访边际效劳、A/V边际效劳、web会议边际效劳)分隔布置,这和之前的ocs有很大的差异。那么下面就让咱们来介绍一下咱们今日的布置环境吧!

Lync布置拓扑图 :

网络环境:

从上面的拓扑中可以看出,在该测验环境中咱们分为3个部分:

榜首部分是拓扑最左面部分的Internet用到的模仿公网IP为202.100.100.0/24,在Internet上的用户有企业的长途用户,联盟用户,和公共IM(测验时,由于环境约束咱们只测验长途用户)。DMZ上bj-tmg外网卡将作为Internet流量的一致进口。

第二部分是外围网络DMZ部分,在DMZ有两台效劳器,一台TMG:bj-tmg,该效劳器有3个网卡,别离衔接内部、DMZ、和Internet。一台lync边际效劳器,这台效劳器都有两个网卡。一个是用来衔接DMZ网络的(承认公网上的IP可以路由到该网卡的公网IP即可)一个是衔接到内部网络(10.0.0.0/16)。

第三部分是拓扑中最右边部分,也便是咱们之前讲的内部网络,用到的内网是A类私有网络10.0.0,子网掩码为255.255.0.0,DNS和DHCP效劳器都为10.0.0.1。

AD环境:

在本环境中有一个站点:beijing site和一个域:test.com。

其间bj-dc-01是域中的一台DC别的此台DC上面承载了CA(证书颁布安排)、DNS(域名效劳)、DHCP(动态主机装备协议)的人物。

bj-lync-be:后端数据库效劳器,监控效劳器,存档效劳器。

bj-lync-fe:lync前端效劳器,承载的人物有中介效劳器、AV效劳器、会议效劳器、web效劳器。

bj-client-win7:内部客户端,将装置lync 2010客户端软件。

Lync边际效劳器:

bj-tmg:用来做Lync的反向署理效劳器和防火墙

bj-lync-edge:Lync边际效劳器(本文章的要点)

效劳器IP装备:

bj-dc-01:10.0.0.1/16

bj-lync-be:10.0.0.21/16

bj-lync-fe:10.0.0.22/16

bj-client-win7:DHCP动态获取

bj-tmg:

LAN:10.0.0.1/16

DMZ:172.16.0.1/16(模仿公网IP)

WAN:202.100.100.1(作为Internet的一致进口)

bj-lync-edge:

内网卡:10.0.0.2/16

DMZ网卡:172.16.0.2/16(模仿公网IP)

边际效劳器支撑的外部用户:

Lync Server支撑的外部用户包含:

  • 长途用户 - 安排的内部用户但在安排防火墙外作业。
  • 联盟用户 - 与贵安排树立联盟联系的其他安排中的用户。
  • 匿名用户 - 安排外部应您的某个用户约请而参与特定会议的用户。
  • 公共 IM 效劳用户 - 运用 MSN Internet 效劳网络、Yahoo! 和 AOL 供给的公共 IM 效劳的用户。公共 IM 衔接需求运用独自的许可证。

长途用户在您的防火墙外作业时,也可以从 Lync Server 的大多数功用获益。联盟用户可与贵安排的用户同享 IM 和状况数据。一切这些类型的外部用户均可参与内部会议、进行数据协作,以及经过贵安排的防火墙中继音频和视频。

为答应外部用户拜访,Lync Server 供给了边际效劳器人物。边际效劳器在外围网络中运转,可将您的布置与外部用户联系起来。此外,HTTP 反向署理不是 Lync Server人物,但可用于对运用 Lync Web App 的外部用户进行身份验证。供给以下各项时有必要运用 HTTP 反向署理:

  • 对通讯簿信息的外部拜访
  • 扩展通讯组中成员身份的才干
  • 对 Web 会议的会议内容的拜访(白板,PPT文件上传)
  • 向长途用户供给设备更新效劳

边际效劳器人物:

在 Lync Server 2010中,每台边际效劳器都运转三种效劳:拜访边际效劳、Web 会议边际效劳和 A/V 边际效劳。

1.拜访边际效劳

拜访边际效劳担任处理经过企业防火墙的一切 SIP 流量。拜访边际效劳仅处理树立和验证衔接所需的 SIP 流量。它并不处理数据传输,也不对用户进行身份验证。对入站流量的身份验证由控制器或前端效劳器履行。控制器是 Office Communications Server 2007 R2 Standard Edition Server 或企业版池,它坐落安排防火墙之内,但不承载用户。控制器并非必需,但激烈主张您运用它。假如未布置控制器,则在指定的池或 Standard Edition Server 上的前端效劳器中履行此身份验证。(履行身份验证有必要拜访 Active Directory 域效劳,即 AD DS,但边际效劳器不具有该拜访权限,由于它们布置在 AD DS 之外的外围网络中。)拜访边际效劳关于一切外部用户计划(包含会议、长途用户拜访、联盟和公共 IM 衔接)都必不可少。

2.Web 会议边际效劳

Web 会议边际效劳担任署理 Web 会议效劳器与外部客户端之间的持续性同享目标模型 (PSOM) 流量。外部会议流量有必要经过 Web 会议边际效劳授权,才干转发到 Web 会议效劳器。Web 会议边际效劳要求外部客户端运用 TLS 衔接并取得会议会话密钥。

3.A/V 边际效劳

A/V 边际效劳供给一个可信的衔接点,入站和出站媒体流量(包含应用程序同享流量)经过它可以安全地穿越网络地址转化 (NAT) 和防火墙。多媒体穿越防火墙的行业标准解决计划是互动式衔接树立 (ICE),它根据“NAT 下的简略穿越”(STUN) 和“运用中继 NAT 进行穿越”(TURN) 协议。A/V 边际效劳是一种 TURN/STUN 效劳器。一切用户都要经过身份验证,以保证以安全方法拜访企业以及运用 A/V 边际效劳供给的防火墙穿越效劳。若要在企业内部发送媒体,外部用户有必要经过身份验证,并且有必要有经过身份验证的内部用户赞同与之经过 A/V 边际效劳进行通讯。

反向署理

反向署理是完结以下功用所必需的:

  • 答应用户运用简略 URL 衔接到会议或电话拨入式会议
  • 答应外部用户下载会议内容
  • 答应外部用户扩展通讯组
  • 答应用户获取根据用户的证书以便进行根据客户端证书的身份验证
  • 答应长途用户从通讯簿效劳器下载文件,或许向通讯簿 Web 查询效劳提交查询
  • 答应长途用户获取客户端和设备软件的更新

留意:本文章是在上一篇的基础上进行修正,不明白的当地可以参阅我的前一篇文章。

大约过程:

  1. 修正效劳器装备
  2. 使用拓扑构建器修正拓扑
  3. 发布拓扑
  4. 在Lync边际效劳器上导出证书
  5. 在TMG上导入Lync边际效劳器的证书
  6. 装备TMG作为Lync效劳器的反向署理
  7. 装备TMG作为Lync的防火墙
  8. 测验

修正Lync边际效劳器IP装备

修正边际效劳器的DNS记载

使用拓扑构建器修正拓扑

 

修正前端池的外部Web效劳

发布拓扑

在Lync边际效劳器上导出证书

留意:留意导出私钥,否则在导入TMG时证书将不可以用!

在TMG导入Lync边际效劳器的证书:

装备TMG作为Lync效劳器的反向署理

导航到TMG面板上的防火墙战略,在右侧的使命选项卡上单击“Pulish web server”发布web效劳器

答应拜访

选用SSL

输入内部承载通讯簿和散布组等的lync前端池的FQDN

在途径中输入“/*”,即效劳器下的一切途径

输入监听外部的FQDN,这儿输入rp.test.com

新建监听器

要求外部用户到TMG选用SSL

监听外部网络

挑选匹配的证书,此证书是之前从Lync边际效劳器导出的

挑选无验证

完结监听器的创立

挑选无派遣,但用户可以直接进行身份验证

完结web效劳器的发布,也就完结了反向署理的装备。

修正发布规矩相关特点:

在”to(到)”选项卡上勾选如下选项

在“Bridging(桥接)”选项卡上修正重定向端口为4443

在“public name(公共称号)”选项卡中增加监听的外部称号

测验外部用户可以拜访到lync内部的web会议:

成功衔接,证明反向署理装备成功!

装备TMG作为Lync边际效劳器的防火墙

创立A/V和web会议用到的协议端口

发布A/V和web会议到公网

到此,就完结了防火墙战略的相关装备,战略如下图所示!

版权声明
本文来源于网络,版权归原作者所有,其内容与观点不代表AG环亚娱乐立场。转载文章仅为传播更有价值的信息,如采编人员采编有误或者版权原因,请与我们联系,我们核实后立即修改或删除。

猜您喜欢的文章