Office Communications Server 2007 – krok po kroku (część 8)
Autor: Jacek Światowiak
Opublikowano: 8 sierpnia 2008
Zawartość strony
W poprzedniej części | |
Krok 3 – konfiguracja serwera Edge | |
Krok 4 - konfiguracja certyfikatów | |
Krok 5 – start usług | |
Serwisy na serwerze Edge | |
Krok 6 - weryfikacja poprawności działania serwera Edge | |
Uaktualnienia wymagane na serwerze FRONT-END | |
Uaktualnienia wymagane na serwerze EDGE | |
W następnej części |
W poprzedniej części
W poprzedniej części omówiliśmy zagadnienia związane z delegacją uprawnień administracyjnych. Omówiliśmy pakiety językowe i rozszerzenia językowe MUI. Dokończyliśmy zagadnienia i graniczenia dostępu via CWA. Rozpoczęliśmy omawianie serwera Edge. Pora na dokończenie procesu aktywacji serwera Edge i jego konfigurację.
Do początku strony
Krok 3 – konfiguracja serwera Edge
Z okna konfiguracyjnego wybieramy krok 3 - Configure Edge Server.
Rys. 8.1: Rozpoczęcie fazy konfiguracji serwera Edge
Nastąpi uruchomienie kreatora konfiguracji serwera Edge. Na rysunku poniżej przedstawiono okno wstępne kreatora konfiguracji serwera Edge.
Rys. 8.2: Rozpoczęcie pracy kreatora konfiguracji serwera Edge
Kreator pozwala na przekazanie pewnych parametrów konfiguracyjnych do instalatora. Parametry te podaje się z pliku konfiguracyjnego. Mogą to być parametry uzyskane np. z wersji pilotażowej czy testowej. Poniżej widok okna Import Settings From a File .
Rys. 8.3: Import konfiguracji z pliku
Proces konfiguracji rozpoczyna się od określenia adresu IP przypisanego do interfejsu wewnętrznego oraz podania nazwy FQDN związanej z tym interfejsem. Poniżej na rysunku podana jest również lista numerów portów wykorzystywana przez poszczególne komponenty serwera Edge. W omawianym przypadku, serwer pełni wszystkie role Access/Web Conferencing oraz A/V. Poniżej widok okna Internal Interface.
Rys. 8.4: Konfiguracja interfejsu wewnętrznego serwera Edge
Następnie definiujemy adresy dla interfejsów zewnętrznych dla poszczególnych funkcjonalności. Nie możemy korzystać z tego samego adresu IP, gdyż wykorzystuje się domyślnie ten sam numer portu TCP/443. Można oczywiście zmienić numer portu, ale tego typu konfiguracja – jest już traktowana, jako konfiguracja niestandardowa i może wymagać zmian po stronie klienta. Dla rozróżnienia poszczególnych funkcjonalności, każda z ról ma przypisaną inną nazwę (pole FQDN). Poniżej widok okna External Interface.
Uwaga informacyjna.
W stosunku do planowanego pierwotnie nazewnictwa oraz przydziału adresów IP dokonano zmiany na interfejsach zewnętrznych serwera OCS-EDGE. W tabeli 8.1 poniżej zabrano podsumowanie zmian. Zmiany te są wymagane w związku z planowaną publikacją serwera OCS-Edge poprzez serwer ISA 2006 do Internetu, a środowiska wymaga wykorzystania publicznych adresów IP. Zagadnienie zostanie dodatkowo wyjaśnione w części 10 poświęconej publikacji z wykorzystaniem serwera ISA.
Przeznaczenie serwera
Adres IP
Nazwa serwera
Access Edge Server
- 50.51.1
sip.test.com
Web Conferencing Server
- 50.51.2
web-edge.test.com
A/V Conferencing Server
- 50.51.3
av-edge.test.com
Tabela 8.1: Adresacja oraz nazewnictwo poszczególnych ról serwera Edge
Rys. 8.5: Konfiguracja interfejsów zewnętrznych serwera Edge
W oknie kolejnym istnieje możliwość włączenia obsługi funkcjonalności dodatkowych:
- Anonimowe podłączanie pod konferencje
- Włączenie obsługi domen typu federated (stowarzyszonych)
- Wymiana komunikacji IM z innymi dostawcami, jak MSN, Yahoo oraz AOL
Poniżej przedstawiono wygląd okna Enable Features on Access Edge Server.
Rys. 8.6: Włączanie funkcjonalności dodatkowych serwera Edge
Serwery Edge muszą się komunikować z serwerem wewnętrznym infrastruktury OCS. W kolejnym oknie definiuje się nazwę FQDN wewnętrznego serwera wersji SE lub puli serwerów wersji EE lub sprzętowego load balancera.
Uwaga informacyjna
Należy zapewnić prawidłowe rozwiązywanie nazw przez serwer Edge, gdyż inaczej nie będzie można zapewnić prawidłowej komunikacji pomiędzy serwerem EDGE z serwerem wewnętrznym.
Widok okna FQDN of Internal Next Hop Server przedstawia poniższy rysunek.
Rys. 8.7: Określanie nazwy FQDN wewnętrznych serwerów organizacji OCS 2007
W kolejnym oknie podajemy nazwy obsługiwanych wewnętrznych domen SIP. Widok okna Authorized Internal SIP domain przedstawia rysunek poniżej.
Rys. 8.8: Podawanie obsługiwanych wewnętrznych domen SIP
Następnie podajemy nazwy wewnętrznych, autoryzowanych serwerów infrastruktury OCS. W wersji Standard Edition jest to serwer Front-End. Poniżej przedstawiono widok okna Authorized Internal Servers.
Rys. 8.9: Nazwy wewnętrznych autoryzowanych serwerów infrastruktury OCS 2007
Poniżej przedstawiono okno podsumowania kreatora konfiguracji - Configure your Edge Server.
Rys. 8.10: Okno podsumowanie kreatora konfiguracji
Pełna zawartość podsumowania przedstawiona jest tabeli poniżej.
Access Edge Server: Activated
Web Conferencing Edge Server: Activated
A/V Edge Server: Activated
Internal interface IP address: 192.168.0.85
Internal interface FQDN: ocs-edge.test.local
Internal interface port for Access Edge Server: 5061
Internal interface port for Web Conferencing Edge Server: 8057
Internal interface port for A/V Conferencing Server: 443
External interface IP address for Access Edge Server: 50.50.51.1
External interface FQDN for Access Edge Server: sip.test.com
External interface federation port for Access Edge Server: 5061
External interface remote access port for Access Edge Server: 443
External interface IP address for Web Conferencing Edge Server: 50.50.51.2
External interface FQDN for Web Conferencing Edge Server: web-edge.test.com
External interface port for Web Conferencing Edge Server: 443
External interface IP address for A/V Edge Server: 50.50.51.3
External interface FQDN for A/V Edge Server: av-edge.test.com
External interface port for A/V Edge Server: 443
Access Edge Server remote employee access: Enabled
Access Edge Server allows anonymous users: True
Access Edge Server allows remote users: False
Access Edge Server federation: Disabled
Access Edge Server internal next hop: ocs.test.local
Access Edge Server internal SIP domains:
test.local
Internal Enterprise pools or Standard Edition Servers:
ocs.test.local
Wyróżnione nazwy są ważne, gdyż na nie zostać muszą wystawione certyfikaty SSL w kolejnym kroku konfiguracji serwera Edge. Poniżej okno informacyjne kreatora konfiguracji serwera Edge. Operacja zakończona powodzeniem.
Rys. 8.11: Operacja konfiguracji serwera Edge zakończona powodzeniem
Można podejrzeć raport z procesu konfiguracji serwera Edge. Poniżej przedstawiono okno podsumowania generowane przez kreatora konfiguracji serwera Edge w formacie HTML.
Rys. 8.12: Okno podsumowania generowane przez kreatora konfiguracji serwera Edge
Następnym krokiem jest wygenerowanie żądań i zainstalowane certyfikatów SSL dla poszczególnych ról serwera Edge. W omawianym przykładzie mamy cztery interfejsy sieciowe, każdy ma zdefiniowaną inną nazwę, zatem będą to cztery niezależne certyfikaty. Zamiast czterech niezależnych certyfikatów można posłużyć się jednym, wykorzystujących nazwy alternatywne (certyfikatem typu SAN).
Uwaga informacyjna.
Dokumentacja produktowa wspomina, iż dla każdej z ról oraz dla interfejsu wewnętrznego należy przydzielić oddzielny FIZYCZNY INTERFEJS SIECIOWY – zatem w omawianym przypadku są to cztery karty sieciowe. Teoretycznie taką konfigurację można by zrealizować przypisując wiele adresów IP do jednego interfejsu – lecz dokumentacja wspomina, iż nie jest to zalecane. Problematyczne jednak może być prawidłowe skonfigurowanie routingu (Default gateway) w takiej konfiguracji. Zagadnienie to będzie omawiać następna część artykułu poświęcona publikacji serwera Edge do Internetu poprzez firewall’e, na przykładzie serwera ISA 2006.
Do początku strony
Krok 4 - konfiguracja certyfikatów
Okno rozpoczęcia kroku czwartego pokazano na rysunku poniżej.
Rys. 8.13: Okno wyboru kroku 4 - konfiguracji certyfikatów
Poniżej przedstawimy procedurę generacji żądań certyfikatów oraz ich konfigurację na serwerze OCS-Edge dla środowiska, gdzie serwer Edge jest członkiem domeny Active Directory. W następnej części przedstawimy konfigurację, gdy serwer jest członkiem grupy roboczej. Poniżej przedstawiono okno wstępne kreatora konfiguracji certyfikatów.
Rys. 8.14: Kreator generacji i instalacji certyfikatów
Poniżej okno wyboru zadań związanych z obsługą certyfikatów. Opcje kreatora, to:
- Tworzenie nowego żądanie certyfikatu
- Import certyfikatu z pliku p7b lub pfx
- Export certyfikatu
- Przypisane już istniejącego w magazynie certyfikatu
Z listy opcji wybieramy opcję tworzenia nowego certyfikatu – Create a New certificate.
Rys. 8.15: Tworzenie nowego żądania certyfikatu
W oknie kolejnym wybieramy interfejsy, dla których dany certyfikat ma być wygenerowany i zainstalowany. Jeżeli posługiwać się będziemy jednym certyfikatem, np. typu SAN (ang. Subject Alternate Name) można zaznaczyć kilka interfejsów od razu. Poniżej przedstawiono wygląd okna Select a komponent. Na rysunku zaznaczono wszystkie interfejsy.
Rys. 8.16: Wybór interfejsów dla, których planujemy wygenerować lub przypisać certyfikat
W następnym oknie nalezy wybrać typ jednostki certyfikującej, dla ma wystawić dany certyfikat. Okno Delayed Or Immediate Request przedstawiono poniżej. Do wyboru są dwie opcje:
- On-line – gdy dysponujemy jednostką certyfikująca klasy Enterprise
- Off-line, generacja żądania do pliku
Rys. 8.17: Okno wyboru mechanizmu generacji certyfikatu
W oknie poniżej przedstawiono proces definiowania właściwości żądania certyfikatu dla przykładowego interfejsu wewnętrznego. Dla komunikacji wewnętrznej włączanie opcji (Client EKU jest niepotrzebne). W przypadku interfejsów zewnętrznych opcja ta wymagana jest wyłącznie dla komunikacji z serwerami typu:
- Office Communication Server 2003
- Office Communication Server 2005
- Public IM Connectivity (PIC) to AOL
Dla generacji certyfikatu typu MTLS ważne jest zaznaczenia opcji: Mark cert as exportable .
Rys. 8.18: Wypełnianie opcji żądania certyfikatu
- Nazwa
- Długość klucza
- Zaznaczenie możliwości eksportu klucza prywatnego.
- Rozszerzenia dodatkowe, typu: E xtended K ey U sage
W oknach kolejnych definiujemy parametry dodatkowe związane z danymi firmy (podmiotem), dla której ma być wystawiony certyfikat. Poniżej w oknie Organization Information, podajemy dane podmiotu, dla którego wystawiany jest certyfikat: Organizacja oraz jednostka organizacyjna firmy.
Rys. 8.19: Określanie dodatkowych parametrów mających wejść do certyfikatu
W następnym okno Geographical Information, kolejne dane podmiotu, dla którego wystawiany jest certyfikat dane geograficzne): Kraj, Województwo/Stan, Miasto lub lokalizacja.
Rys. 8.20: Określanie dodatkowych parametrów mających wejść do certyfikatu
Poniżej przedstawiono wygląd okna Your Server’s Subject Name. Pole Subject name musi zawierać nazwę FQDN serwera.
Rys. 8.21: Określanie nazwy podmiotu, dla której wystawiany jest certyfikat
W przypadku, gdy serwer Edge jest członkiem domeny (zaleca się oczywiście, aby nie był) i mamy dostęp on-line do jednostki certyfikującej można poprosić o jego bezpośrednie wygenerowanie. W innym przypadku, żądanie należy zapisać do pliku.
W okno Choose a Certyfication Authority wybieramy jednostkę certyfikującą, która ma wystawić dany certyfikat. On-line – dla jednostki klasy Enterprise (zintegrowanej z Active Directory) lub Off-line.
Rys. 8.22: Wybór jednostki certyfikującej
Okno Request Summary zawiera podsumowanie informacji umieszczanych w certyfikacie.
Rys. 8.23: Okno podsumowania danych niezbędnych do generacji żądania certyfikatu
W przypadku operacji zakończonej powodzeniem, kreator poinformuje użytkownika oknem o poniżej treści. Operacja generacji certyfikatu zakończona powodzeniem.
Rys. 8.24: Okno zakończenia operacji generacji certyfikatu
Czynność tworzenia certyfikatów należy powtórzyć dla każdego interfejsu o różnej nazwie chyba, że korzystamy z certyfikatu typu SAN, w którym nazwy zostały uwzględnione. Po każdorazowej generacji certyfikatu, kreatora należy uruchomić ponownie, aby poprzednio wygenerowany certyfikat przypisać do danego interfejsu. Operacja ta NIE JEST robiona automatycznie wraz z generacją certyfikatu. Jest to ostatnia opcja z rysunku 8.15 – Assign an existing certificate .
Do początku strony
Krok 5 – start usług
Rys. 8.25: Okno konfiguracji serwera Edge – krok 5 uruchomienie usług
Poniżej przedstawiamy poszczególne kroki kreatora startu usług na serwerze Edge. Okno wstępne kreatora startu usług przedstawiono na rysunku poniżej.
Rys. 8.26: Kreator startu usług serwera Edge
Okno Start Office Communications Server 2007 services zawiera informacje, jakie usługi zostaną uruchomione.
Rys. 8.27: Kreator startu usług serwera Edge
Do początku strony
Serwisy na serwerze Edge
Na rysunku poniżej podajemy domyślny stan usług na serwerze Edge
Rys. 8.28: Domyślny stan usług na serwerze Edge
Na rysunkach poniżej przedstawiamy właściwości poszczególnych usług serwera Edge.
Usługa RTCSRV – Office Communications Server Access Edge.
Rys. 8.29: Właściwości poszczególnych usług serwera Edge – usługa RTCSRV
Usługa RTCMRAUTH – Office Communications Server Audio/Video Authentication.
Rys. 8.30: Właściwości poszczególnych usług serwera Edge – usługa RTCMRAUTH
Usługa RTCMEDIARELAY – Office Communications Server Audio/Video Edge.
Rys. 8.31: Właściwości poszczególnych usług serwera Edge – usługa RTCMEDIARELAY
Usługa RTCDATAPROXY – Office Communications Server Web Conferencing Edge
Rys. 8.32: Właściwości poszczególnych usług serwera Edge – usługa RTCDATAPROXY
Okno końcowe kreatora startu usług serwera Edge. Operacja startu usług serwera zakończona powodzeniem.
Rys. 8.33: Kreator startu usług serwera Edge
Poniżej okna raportu ze startu usług serwera Edge. Wszystkie usługi zostały uruchomione prawidłowo.
Rys. 8.34: Raport o stanie usług serwera Edge
Do początku strony
Krok 6 - weryfikacja poprawności działania serwera Edge
Krok szósty to weryfikacja działania serwera Edge. Sprawdzane są następujące zagadnienia:
- Konfiguracja lokalna
- Łączność z serwerem Front-End
- Możliwość połączenia SIP oraz zestawiania konferencji typu IM
- Auto-logowanie
Rys. 8.35: Uruchomienie weryfikacji serwera – krok szósty
Poniżej przedstawiono okno wstępne kreatora weryfikacji działania serwera Edge.
Rys. 8.36: Kreator weryfikacji serwera – okno wstępne
Wybór opcji:
- Weryfikacja konfiguracji lokalnej
- Weryfikacja łączności z serwerem Front-End
- Weryfikacji połączenia SIP oraz zestawiania konferencji typu IM
- Weryfikacja auto-logowania
Rys. 8.37: Kreator weryfikacji serwera – wybór opcji weryfiakcji
W kolejnym okno User Account określamy nazwę konta użytkownika biorącego udział w procesie weryfikacji serwera Edge. Konto pierwsze.
Rys. 8.38: Kreator weryfikacji serwera
W oknie Second user account (required) określamy drugie konto użytkownika biorącego udział w procesie weryfikacji serwera Edge.
Rys. 8.39: Kreator weryfikacji serwera
W oknie Federation and Public IM Connectivity, w przypadku włączenia funkcjonalności federacji (domen stowarzyszonych), należy określić nazwy kont, dla których ma być testowana komunikacja.
Rys. 8.40: Kreator weryfikacji serwera
Niestety zakończenie procesu weryfikacji, zakończone zostało niepowodzeniem!!!
Rys. 8.41: Kreator weryfikacji serwera
Poniżej fragment raportu z weryfikacji. Komunikat wskazuje na prawdopodobne problemy z routingiem komunikatów SIP.
Uwaga praktyczna
Poniższe błędy są częste. Wynikają one z błędów konfiguracji lub raku wszystkich wymaganych uaktualnień na serwerach OCS.
Rys. 8.42: Wyciąg z raportu o błędnej konfiguracji serwera Edge
Poniżej przedstawiono wszystkie wymagane aktualizacje, aby komunikacja z serwerem Edge zakończyła się powodzeniem.
Uwaga informacyjna.
Niektóre z poniższych hotfixów nie są do pobrania ze strony Windows/Microsoft Update są dostępne bezpośrednio z poszczególnych artykułów bazy wiedzy (https://support.microsoft.com)
Do początku strony
Uaktualnienia wymagane na serwerze FRONT-END
Rys. 8.43: Wymagane uaktualnienia na serwerze Front-End
Do początku strony
Uaktualnienia wymagane na serwerze EDGE
Rys. 8.44: Wymagane uaktualnienia na serwerze Edge
Do początku strony
W następnej części
Rekonfiguracja serwera OCS oraz Edge. Zarządzanie serwerem Edge.
Więcej informacji
- Office Communications Server 2007 – krok po kroku (część 1)
- Office Communications Server 2007 – krok po kroku (część 2)
- Office Communications Server 2007 – krok po kroku (część 3)
- Office Communications Server 2007 – krok po kroku (część 4)
- Office Communications Server 2007 – krok po kroku (część 5)
- Office Communications Server 2007 – krok po kroku (część 6)
- Office Communications Server 2007 – krok po kroku (część 7)
Jacek Światowiak (MCT, MCSE, MCSE+M, MCSE+S, MCTS, MCP) Absolwent Wydział Elektroniki, Telekomunikacji i Informatyki Politechniki Gdańskiej. Obecnie zatrudniony w Altkom Akademia S.A. jako Trener Technologii Microsoft. Posiada bogate doświadczenie w zakresie wdrażania różnych technologii informatycznych. Od 2002 roku wykładowca Technologii i Protokołów Sieciowych na Podyplomowym Studium Politechniki Gdańskiej. Jest współautorem skryptu dla studentów informatyki: „Protokoły IPv6 – Opis protokołów. Materiały do laboratorium”. Posiada certyfikaty MCT, MCSE, MCSE+M, MCSE+S, MCTS Microsoft Exchange Server 2007, MCP ID 3621156. |
Do początku strony |