Lync Server 2010移動功能部署PART B:外部篇
在我們完成Lync Server 2010移動功能的內部部署後,是不是感覺有點意猶未盡?這是必然的,因為我們要的就是公網釋出,在內網用移動裝置訪問有什麼意思,移動裝置就是要在移動的時候用,不是嗎?讓大家等了這麼久實在是不好意思,今天給大家分享Lync Server 2010移動功能的外部篇。好了廢話就不多說了,下面我們來做移動功能的外部部署吧。在這一篇的內容裡我們主要做這麼幾件事情:
一、新增外部DNS的A記錄;
二、修改現有的TMG證書;
三、建立移動功能所需的加密規則(在已經發布了其他功能我們只需要做修改);
四、建立移動功能所需的非加密規則。
首先我們在外部模擬DNS伺服器上,建立一條A記錄(也可以是別名記錄),名稱為lyncdiscover,IP當然還是指向我們的TMG。
到這裡我們的第一步就完成了,是不是很簡單?下面我們開始×××,這一步稍微要複雜一點,特別是針對使用公網證書,可能需要重新申請證書。由於我們用的是內部CA,所以相對來說比較容易,因為我們只需要在邊緣上重新執行證書嚮導,然後重新申請下就可以了(我們用邊緣伺服器來申請,然後將其匯入到邊緣,並再將其匯出到TMG進行匯入)。下面我們在邊緣上執行證書請求,友好名稱我們可以做下更改以便標識,記得確包“將證書的私鑰標記為可匯出”選項被複選。
其他的沒什麼好說的,在配置其他使用者名稱時,我們把lyncdiscover.contoso.com加進去。
申請好之後按照前面的步驟匯入證書,然後我們在邊緣上重新匯入下。
再開啟計算機證書控制檯,把新的證書匯出。
檔名跟以前一樣,或者加一個mobile標識,這些都是用於我們識別的,不是硬性限制。
匯出後我們在TMG上開啟計算機證書控制檯,然後刪除以前的證書。
重新匯入新的帶有lyncdiscover的證書。
OK,到這裡我們證書修改這一塊就做好了,然後我們就可以修改規則了,最簡單的就是在現有的反向代理規則上做修改。但這裡考慮到可能有些朋友沒有做過Lync 外部登入的釋出,我重新完整的帶過一邊移動功能規則的釋出。首先在TMG上開啟TMG管理,然後右鍵防火牆策略選擇-新建-網站釋出規則。
我們為其定義一個名稱,比如Lync 自動發現。
符合規則執行的操作為允許。
釋出型別選擇釋出單個網站或負載均衡器。
選擇使用SSL連線到釋出的Web伺服器或伺服器場。
將內部站點名稱設定為pool01.contoso.com。不選擇“使用計算機名稱或IP地址連線到釋出的伺服器”。
路徑我們設定為/*即可,然後確保選中“轉發原始主機頭而不是前一頁的內部站點名稱欄位中指定的實際主機頭。”
在公共名稱細節頁面,將接受請求選擇為“此域名(在以下輸入)”,然後公用名稱輸入lyncdiscover.contoso.com,路徑為/*
偵聽器這裡我們選擇之前的443即可,如果沒有的話可以單擊“新建”按鈕,參考之前的外部發布篇建立。
http://reinember.blog.51cto.com/2919431/829619
在單擊下一步之前,我們可以檢查下443偵聽器的證書,確保該證書是我們修改之後的。
在身份驗證委派頁面,將其配置為“無委派,但是客戶端可以直接進行身份驗證”。
使用者集為所有使用者。
完成Lync 自動發現(這是釋出的加密規則)。
然後我們右鍵或者雙擊剛才釋出好的規則,在“到”選項卡中,把“到釋出的站點的代理請求”設定為“使請求顯示為來自初始客戶端”。
然後在“橋接”選項卡中,選擇“將請求重定向到SSL埠”然後再後面為其設定4443埠。
![Rinx-Screenshot-2012-04-17-[22-24-00]1](https://s1.51cto.com/attachment/201204/25/2919431_1335330789Ftj6.png "Rinx-Screenshot-2012-04-17-[22-24-00]1")
到這裡我們就完成加密埠的釋出了,考慮到某些移動裝置的系統能夠支援非認證證書使用非加密埠進行連線,所以我們還需要釋出一條非加密埠的規則。再次在防火牆策略右鍵選擇“新建”-“網站釋出規則”。
為其定義名稱,我們設定為Lync 自動發現(HTTP)以表示為非加密規則釋出。
與建立加密的規則差不多,我就省略一些重複的內容。在伺服器連線安全頁面,我們選擇“使用不安全的連線連線到釋出的Web伺服器或伺服器場”。
內部站點名稱與加密埠一樣,pool01.contoso.com
在選擇Web偵聽器頁面,由於可能我們沒有現有的80埠偵聽器,我們單擊新建來建立一個80埠偵聽器。
偵聽器名稱簡單一點,直接就80即可。
客戶端連線安全設定頁面中我們選擇不需要與客戶端建立SSL安全連線。
Web偵聽器IP地址我們選擇外部,表示偵聽來自我們公網IP的80埠。
在身份驗證設定頁面我們選擇無身份驗證。
單一登入設定直接單擊下一步。
完成80埠偵聽器的建立。
這裡就可以選擇我們剛剛建立的80埠偵聽器了,然後下一步。
在身份驗證委派頁面,我們選擇“無委派,客戶端無法直接進行身份驗證”。
然後應用此規則的使用者集按照預設的所有使用者即可。
完成規則的建立之後,雙擊新建的規則,然後在“橋接”選項卡,選擇“將請求重定向到HTTP埠”,並將其設定為8080埠。確保未選中“將請求重定向到SSL埠”。
完成之後,我們在TMG管理介面中應用一些剛才我們建立和修改的規則。
到這裡我們就已經完成了Lync Server 2010移動功能的外部發布,到此我們可以使用Symbian Belle、Android手機、iOS系統的iPhone和iPad通過Lync移動客戶端來登入。由於我們是模擬的公網,並沒有真正的釋出到公網,所以我們只能在物理區域網中訪問,如果需要釋出到公網,需要配置真實的公網IP以及DNS記錄。如果大家在部署的時候有什麼問題,可以即時的回覆文章,我會盡快的回覆和大家一起討論和解決。其實我在部署的過程中還是遇到了一些錯誤,並沒有大家看得到的這麼簡單,沒有把他們列出來是因為可能會給大家帶來更多的問題。感謝大家的支援!
轉載於:https://blog.51cto.com/reinember/844004