9. TMG邊緣伺服器

微軟官方文件參考

http://technet.microsoft.com/zh-cn/library/dd441282(office.13).aspx

9.1. 伺服器基本設定 9.1.1. 計算機名設定

TMG伺服器在工作組模式下，設定其DNS字尾為tiger.com

9.1.2. 網路設定

網絡卡2塊

9.1.3. 在DC01的DNS管理中新增TMG.tiger.com的A記錄 9.1.4. 安裝TMG

設定防火牆規則，為測試方便，網路之間埠全開

9.2. 設定反向代理

對於 Office Communications Server 邊緣伺服器部署，在外圍網路中必須有 Microsoft Internet Security and Acceleration (ISA) Server 或其他反向代理才能實現以下功能：

• 允許外部使用者下載會議的會議內容。
• 允許外部使用者擴充套件通訊組。
• 允許遠端使用者從通訊簿服務下載檔案。
• 使外部裝置可以連線到裝置更新服務並獲得更新。

詳細配置操作參考http://technet.microsoft.com/zh-cn/library/dd441312(office.13).aspx

進入偵聽器定義嚮導

證書的申請請參考下面的“安裝邊緣伺服器”章節

回到“新建Web釋出規則嚮導”繼續

9.3. 安裝邊緣伺服器

在TMG上執行OCS安裝程式

9.3.1. 安裝邊緣伺服器的檔案

9.3.2. 啟用邊緣伺服器

9.3.3. 配置邊緣伺服器

http://technet.microsoft.com/zh-cn/library/dd441177(office.13).aspx

在“內部下一個躍點伺服器的 FQDN”頁上的“下一個躍點伺服器的 FQDN”框中，鍵入或單擊此邊緣伺服器向其路由內部流量的下一個躍點伺服器的 FQDN，如果使用控制器路由傳入的流量，則鍵入該控制器的 FQDN，然後單擊“下一步”。

在“授權的 SIP 域”頁上，對於 Office Communications Server 2007 R2 部署中要支援的每個會話初始協議 (SIP) 域，在框中鍵入該 SIP 域的名稱，然後單擊“新增”。新增所有要支援的 SIP 域之後，單擊“下一步”。

在“授權的內部伺服器”頁上，指定可以連線到邊緣伺服器的每個內部伺服器，並在每指定一個後單擊“新增”。

說明：

鍵入控制器的 FQDN（如果部署了一臺控制器），並鍵入組織中每個企業版池、每臺 Standard Edition Server 以及每臺中介伺服器的 FQDN。

9.3.4. 為邊緣伺服器申請分配證書

在執行本操作前，需要將dc01上的頒發結構的根證書匯入到本地計算機受信任的頒發結構中。

下載CA證書

匯入到受信任頒發機構

通過MMC控制檯開啟“證書（本地計算機）”，右鍵“受信任的根證書頒發機構”，選擇“匯入”，定位並選擇之前下載的CA證書

詳細參考

http://technet.microsoft.com/zh-cn/library/dd441270(office.13).aspx

將證書請求儲存到txt檔案中，點選“下一步”到完成

開啟IE瀏覽器，輸入https://dc01.Tiger.com/certsrv申請證書

選擇“申請證書”-“高階證書申請”

複製之前儲存的txt中所有的內容到

下載申請的證書，儲存為edge.cer

通過MMC控制檯開啟“證書（本地計算機）”，右鍵“個人”，選擇“匯入”，定位並選擇之前下載edge證書

執行分配證書嚮導

建議在生產環境分別為各介面申請和繫結證書（如果不為“邊緣伺服器專用介面”單獨申請和繫結一張僅包含邊緣伺服器FQDN的證書，外網使用live meeting客戶端可能無法登陸）

9.3.5. 啟動服務

9.4. 配置邊緣伺服器

安裝OCS管理工具後，可以在TMG上執行compmgmt.msc開啟“計算機管理（本地）”檢視和更改邊緣伺服器配置

在OCS01的OCS控制檯中指定邊緣伺服器，或者通過下一章節在嚮導中設定

9.4.1. 將內部伺服器與邊緣伺服器相連

http://technet.microsoft.com/zh-cn/library/dd425276(office.13).aspx

9.4.2. 配置外部WEB場FQDN

建立企業版池和 Standard Edition Server 時，您可以選擇是在建立池嚮導還是部署伺服器嚮導的“Web 場 FQDN”頁上配置外部 Web 場的完全限定域名 (FQDN)。如果在執行這些嚮導時未配置此 URL，則需要手動配置這些設定。為此，請開啟命令提示符，並在命令列中執行以下命令：

lcscmd.exe /web /action:updatepoolurls /externalwebfqdn:<外部 Web 場 FQDN> /poolname:<池名稱>，具體其他方法還可以參考http://support.microsoft.com/kb/938288/zh-cn。

其中 <外部 Web 場 FQDN> 是 Web 場的 FQDN，而 <池名稱> 是企業版池的名稱。

將內部伺服器與到邊緣伺服器相連

也可以通過重新執行“建立企業版池嚮導”進行更改“外部WEB場FQDN”，因為之前部署了存檔伺服器，所以一同更改的設定有如下：

9.4.3. 將內部伺服器與邊緣伺服器相連

在 Enterprise Edition Server 上，單擊“在合併拓撲中部署池”或“在擴充套件拓撲中部署池”。在“配置池”旁單擊“執行”。

在池/伺服器配置嚮導的“歡迎”頁上單擊“下一步”。

在“要配置的伺服器或池”頁上的列表中，單擊要配置的池或伺服器，然後單擊“下一步”。

繼續根據嚮導進行操作，指定適用於池或伺服器配置的設定，直到到達“外部使用者訪問”頁。

在“外部使用者訪問配置”頁上，單擊“現在配置外部使用者訪問”。

在“路由外部 SIP 流量”頁上執行下列操作之一：

如果要通過控制器路由來往於邊緣伺服器的所有流量，請單擊“通過 Director 路由流量”；如果這是控制器，請選中“使用此池或伺服器作為路由外部流量的控制器”複選框，單擊“下一步”，然後執行本過程中的其餘步驟。

如果不打算通過控制器路由來往於邊緣伺服器的所有流量，請單擊“在內部池和伺服器之間直接路由”。單擊“下一步”。

在“受信任的訪問邊緣伺服器和 Web 會議邊緣伺服器”頁上執行下列操作之一：

在“指定內部伺服器將用於路由流量的訪問邊緣伺服器”下執行下列操作之一：

如果使用控制器，則不需要指定邊緣伺服器。

如果不使用控制器，請選擇要向其路由內部伺服器所有出站流量的邊緣伺服器上訪問邊緣服務的 FQDN。

如果使用邊緣伺服器陣列，請輸入訪問邊緣服務在內部負載平衡器上所用 VIP 的 FQDN。

單擊“下一步”。

在“Web 會議邊緣伺服器”頁上執行下列操作：

在“內部 FQDN”中，鍵入內部伺服器將用來連線 Web 會議邊緣服務的每個內部介面的 FQDN。

在“外部 FQDN”中，鍵入外部使用者將用來連線 Web 會議邊緣服務的每個外部介面的 FQDN。

在鍵入每對 FQDN 之後單擊“新增”。

單擊“下一步”。

在“受信任的 A/V 邊緣伺服器”頁上，在“FQDN”框中鍵入將用來連線 A/V 邊緣伺服器的內部介面的 FQDN，在“埠”框中鍵入要用於內部介面的埠號，然後單擊“新增”。

說明：

對要使用的每個 FQDN 重複上述操作。這些伺服器將新增到“全域性屬性”中“邊緣伺服器”選項卡上的授權邊緣伺服器列表。

在“此伺服器或池所使用的 A/V 邊緣伺服器”頁上，鍵入此伺服器或池將用於 A/V 身份驗證的邊緣伺服器上 A/V 邊緣服務的內部介面的 FQDN。

轉載於:https://blog.51cto.com/chenyitai/385268