Configurar um proxy reverso
Tópico modificado em: 2009-07-20
Para implantações de Servidor de Borda do Office Communications Server, é necessário um Microsoft Internet Security and Acceleration (ISA) Server ou outro proxy reverso na rede de perímetro para as seguintes ações:
- Para permitir que usuários externos baixem o conteúdo das reuniões.
- Para permitir que usuários externos expandam grupos de distribuição.
- Para permitir que usuários remotos baixem arquivos do Serviço de Catálogo de Endereços.
- Para habilitar os dispositivos externos a se conectarem com o Serviço de Atualização de Dispositivo e obter atualizações.
A tabela a seguir mostra os diretórios específicos usados pelos Servidor de Web Components. Recomendamos que você configure o proxy reverso HTTP para usar todos os diretórios.
Os diretórios usados pelo Servidor de Web Components
Diretório | Uso |
---|---|
https://FQDNExterno/etc/place/null |
Armazena o conteúdo das reuniões. |
https://FQDNExterno/GroupExpansion/ext/service.asmx |
Armazena informações de expansão de grupo de distribuição. A URL externa para o Servidor de Web Components que executa o serviço de Consulta à Web do Catálogo de Endereços. |
https://<FQDNExterno>/ABS/ext/Handler |
Armazena arquivos do Servidor do Catálogo de Endereços. |
https://<FQDN do servidor externo>/RequestHandler/ucdevice.upx |
A URL externa do Servidor de Web Components que executa o Serviço de Atualização de Dispositivo. Para obter detalhes, consulte Serviço de atualização de dispositivo. |
https://<FQDNExterno>DeviceUpdateFiles_Ext |
A URL externa para o Servidor de Web Components em que as atualizações de dispositivo estão localizadas. |
As etapas detalhadas nesta seção descrevem como configurar um ISA Server 2006 como proxy reverso. Se você estiver usando outro proxy reverso, consulte a documentação desse produto.
Você pode usar as informações desta seção para configurar o proxy reverso, o que requer a conclusão dos seguintes procedimentos:
- Configurar as placas adaptadoras de rede.
- Instalar e configurar o ISA Server 2006.
- Solicitar e configurar um certificado digital para SSL.
- Criar uma regra de publicação de servidor Web e verificar se as propriedades da regra de publicação de servidor Web seguro estão corretas.
- Verificar ou configurar a autenticação e a certificação em diretórios virtuais do IIS.
- Criar uma entrada DNS (Sistema de Nomes de Domínio) externa.
- Verificar se você tem acesso ao site via Internet.
Antes de começar
Quando criou os pools Enterprise e os servidores Standard Edition, você teve a opção de configurar um FQDN de Web farm externa na página FQDNs da Web Farm no Assistente para Criação do Pool ou no Assistente para Implantação do Servidor. Se você não configurou essa URL quando executou esses assistentes, precisará fazer isso manualmente. Abra um prompt de comando e digite o comando a seguir:
lcscmd.exe /web /action:updatepoolurls /externalwebfqdn:<FQDN da Web farm ext> /poolname:<nome do pool>
Configurar adaptadores de rede
Você deve atribuir um ou mais endereços IP ao adaptador de rede externo e pelo menos um endereço IP ao adaptador de rede interno. Para obter detalhes sobre como implantar o ISA Server com um único adaptador de rede, consulte Configuring ISA Server 2004 on a Computer with a Single Network Adapter (em inglês). Esse documento também se aplica ao ISA Server 2006.
Nos procedimentos a seguir, o computador do ISA Server possui dois adaptadores de rede:
- Um adaptador de rede público, ou externo, que é exposto aos clientes que tentarão se conectar ao site (geralmente via Internet).
- Uma interface de rede privada, ou interna, que é exposta aos servidores Web internos.
Você deve atribuir um ou mais endereços IP ao adaptador de rede externo e pelo menos um endereço IP ao adaptador de rede interno.
Para configurar as placas adaptadoras de rede no computador do proxy reverso
No servidor que está executando o ISA Server 2006, abra Conexões de Rede clicando em Iniciar, apontando para Configurações e clicando em Conexões de Rede.
Clique com o botão direito do mouse na conexão de rede externa a ser usada para a interface externa e, em seguida, clique em Propriedades.
Na página Propriedades, clique na guia Geral, clique em Protocolo TCP/IP na lista Esta conexão utiliza os seguintes itens e clique em Propriedades.
Na página Propriedades de Protocolo TCP/IP, configure os endereços IP e os endereços de servidor DNS apropriados da rede à qual o adaptador de rede está conectado.
Clique em OK e, em seguida, clique em OK novamente.
Em Conexões de Rede, clique com o botão direito do mouse na conexão de rede interna a ser usada para a interface interna e clique em Propriedades.
Repita as etapas 3 a 5 para configurar a conexão de rede interna.
Instalar o ISA Server 2006
Instale o ISA Server 2006 de acordo com as instruções de configuração incluídas no produto. Para obter detalhes sobre como instalar o ISA Server, consulte ISA Server 2006 - Getting Started (em inglês).
Solicitar e configurar um certificado do proxy HTTP reverso
É necessário instalar a autoridade de certificação raiz correspondente à autoridade de certificação que emitiu o certificado no servidor Web (ou seja, o servidor IIS que está executando os Web Components do Office Communications Server) no servidor que está executando o ISA Server 2006.
Você deve instalar um certificado de servidor Web no ISA Server. Esse certificado deve corresponder ao FQDN publicado da Web farm externa em que você está hospedando o conteúdo das reuniões e os arquivos do Catálogo de Endereços.
Se a sua implantação interna consistir em mais de um servidor Standard Edition ou pool Enterprise, será preciso configurar as regras de publicação de Web de cada FQDN de Web farm externa.
Configurar as regras de publicação de Web
O ISA Server usa regras de publicação de Web para publicar com segurança os recursos internos pela Internet, como uma URL de reunião. A publicação de informações para usuários da Internet disponibiliza os recursos de computação dentro da rede interna para usuários que estejam fora da rede.
Use o procedimento a seguir para criar regras de publicação de Web.
Observação: |
---|
Este procedimento pressupõe que você instalou o ISA Server 2006 Standard Edition. |
Para criar uma regra de publicação de servidor Web no computador que está executando o ISA Server 2006
Clique em Iniciar, aponte para Programas, aponte para Microsoft ISA Server e clique em Gerenciamento do ISA Server.
No painel esquerdo, expanda Nome do Servidor, clique com o botão direito do mouse em Diretiva de Firewall, aponte para Novo e clique em Regra de Publicação de Site.
Na página Bem-vindo ao Assistente de Nova Regra de Publicação de Web, digite um nome amigável para a regra de publicação (por exemplo, OfficeCommunicationsWebDownloadsRule) e clique em Avançar.
Na página Selecionar Ação de Regra, selecione Permitir e clique em Avançar.
Na página Tipo de Publicação, selecione Publicar um único site ou um balanceador de carga e clique em Avançar.
Na página Segurança da Conexão do Servidor, selecione Usar SSL para conectar ao servidor Web ou ao farm de servidores publicado e clique em Avançar.
Na página Detalhes de Publicação Interna, digite o FQDN da Web farm interna que hospeda o conteúdo das reuniões e o conteúdo do Catálogo de Endereços na caixa Nome do site interno.
Observação: Se o servidor interno for um servidor Standard Edition, esse FQDN será o FQDN do servidor Standard Edition. Se o servidor interno for um pool Enterprise, esse FQDN será o FQDN da Web farm interna.
O ISA Server deve ser capaz de resolver o FQDN para o endereço IP do servidor Web interno. Se o ISA Server não for capaz de resolver o FQDN para o endereço IP correto, selecione Usar um nome ou endereço IP de computador para se conectar ao servidor publicado e, em seguida, na caixa Nome ou endereço IP do computador, digite o endereço IP do servidor Web interno. Se você fizer isso, verifique se a porta 53 do ISA Server está aberta e se o ISA Server pode acessar um servidor DNS interno ou um servidor DNS que reside na rede de perímetro.Na página Detalhes de Publicação Interna, na caixa Caminho (opcional), digite /* como caminho da pasta a ser publicada e clique em Avançar.
Observação: No assistente de publicação de site, só é possível especificar um caminho. Caminhos extras podem ser adicionados através da modificação das propriedades da regra. Na página Publicar Detalhes do Nome, confirme se a opção Este nome de domínio está selecionada em Aceitar Solicitações para, digite o FQDN da Web farm externa na caixa Nome Público e clique em Avançar.
Na página Selecionar Ouvinte da Web, clique em Novo (esse procedimento abrirá o assistente para definição de novo ouvinte da Web).
Na página Bem-vindo ao Assistente de Novo Ouvinte da Web, digite um nome para o ouvinte da Web na caixa Nome do ouvinte da Web (por exemplo, Servidores Web) e clique em Avançar.
Na página Segurança da Conexão do Cliente, selecione Exigir conexões SSL seguras com clientes e clique em Avançar.
Na página Endereços IP do Ouvinte da Web, selecione Externo e clique em Selecionar Endereços IP.
Na página Seleção do IP do Ouvinte Externo, selecione Endereços IP especificados no computador do ISA Server da rede selecionada, selecione o endereço IP apropriado, clique em Adicionar e clique em OK.
Clique em Avançar.
Na página Certificados SSL de Ouvinte, selecione Atribuir um certificado para cada endereço IP, selecione o endereço IP que você acabou de adicionar e clique em Selecionar Certificado.
Na página Selecionar Certificado, selecione o certificado que corresponde ao nome público especificado na etapa 9, clique em Selecionar e clique em Avançar.
Na página Configurações de Autenticação, selecione Sem Autenticação e clique em Avançar.
Na página Configurações de Logon Único, clique em Avançar.
Na página Concluindo o Assistente de Novo Ouvinte da Web, verifique se as configurações de Ouvinte da Web estão corretas e clique em Concluir.
Clique em Avançar.
Na página Delegação de Autenticação, selecione Nenhuma delegação, mas o cliente pode autenticar diretamente e clique em Avançar.
Na página Conjunto de Usuários, clique em Avançar.
Na página Concluindo o Assistente de Nova Regra de Publicação de Web, verifique se as configurações da regra de publicação de Web estão corretas e clique em Concluir.
Clique em Aplicar no painel de detalhes para salvar as alterações e atualizar a configuração.
Para modificar as propriedades da regra de publicação de Web
Clique em Iniciar, aponte para Programas, aponte para Microsoft ISA Server e clique em Gerenciamento do ISA Server.
No painel esquerdo, expanda Nome do Servidor e clique em Diretiva de Firewall.
No painel de detalhes, clique com o botão direito do mouse na regra de publicação de servidor Web seguro que você criou no procedimento anterior (por exemplo, OfficeCommunicationsServerExternal) e clique em Propriedades.
Na página Propriedades, clique na guia De:
- Na lista Esta regra aplica-se ao tráfego destas origens, clique em Qualquer Lugar e clique em Remover.
- Clique em Adicionar.
- Na caixa de diálogo Adicionar Entidades de Rede, expanda Redes, clique em Externa, clique em Adicionar e, em seguida, clique em Fechar.
Se precisar publicar outro caminho no servidor Web, clique na guia Caminhos. Clique em Adicionar, digite /* como caminho a ser publicado e clique em OK.
Clique em Aplicar para salvar as alterações e clique em OK.
Clique no botão Aplicar no painel de detalhes para salvar as alterações e atualizar a configuração.
Verificar ou configurar a autenticação e a certificação nos diretórios virtuais do IIS
Use o procedimento a seguir para configurar a certificação nos diretórios virtuais do IIS ou verificar se a certificação está configurada corretamente. Execute o procedimento a seguir em cada Servidor IIS no Office Communications Server interno.
Observação: |
---|
Este procedimento destina-se ao site padrão de IIS. |
Para verificar ou configurar a autenticação e a certificação em diretórios virtuais do IIS
Clique em Iniciar, aponte para Todos os Programas, aponte para Ferramentas Administrativas e clique em Gerenciador do Serviços de Informações da Internet (IIS).
Em Gerenciador do Serviços de Informações da Internet (IIS), expanda Nome do Servidor e expanda Sites.
Clique com o botão direito do mouse em Site <padrão ou selecionado> e clique em Propriedades.
Na guia Site, verifique se o número da porta é 443 na caixa Porta SSL e clique em OK.
Na guia Segurança de Diretório, clique em Certificado de Servidor em Comunicações de segurança.
Na página Bem-vindo ao Assistente de Certificado de Servidor Web, clique em Avançar.
Na página Certificado de Servidor, clique em Atribuir um certificado existente e, em seguida, clique em Avançar.
Na página Porta SSL, verifique se o valor é 443 na caixa Porta SSL que deve ser usada por este site e clique em Avançar.
Na página Resumo do Certificado, verifique se as configurações estão corretas e clique em Avançar.
Clique em Concluir.
Clique em OK para fechar a caixa de diálogo Propriedades de Site Padrão.
Criar um registro DNS
Crie um registro A de DNS externo apontando para a interface externa do ISA Server, conforme descrito em Configurar o DNS.
Verificar acesso através do proxy reverso
Execute o procedimento a seguir para verificar se os usuários podem acessar informações no proxy reverso. Talvez seja necessário concluir a configuração do firewall e do DNS para que o acesso funcione corretamente.
Para verificar se você pode acessar o site via Internet
Implante o cliente do Live Meeting 2007 conforme descrito no Guia de Implantação do Cliente Live Meeting 2007.
Abra um navegador da Web e, na barra Endereço, digite as URLs que são usadas pelos clientes para acessar os arquivos do Catálogo de Endereços e o site de Webconferências da seguinte forma:
- Para o Servidor do Catálogo de Endereços, digite uma URL semelhante à seguinte: https://FQDNexternodawebfarm/abs/ext, onde FQDNexternodawebfarm é o FQDN externo da Web farm que hospeda os arquivos do Servidor do Catálogo de Endereços. O usuário deve receber um desafio HTTP, pois a segurança de diretório na pasta do Servidor do Catálogo de Endereços é configurada, por padrão, para a autenticação do Microsoft Windows.
- Para Webconferências, digite uma URL semelhante à seguinte: https://FQDNexternodawebfarm/conf/ext/Tshoot.html, em que FQDNexternodawebfarm é o FQDN externo da Web farm que hospeda o conteúdo das reuniões. Essa URL deve exibir a página de solução de problemas de Webconferências.
- Para a expansão de grupo de distribuição, digite uma URL semelhante à seguinte: https://FQDNexternodawebfarm/GroupExpansion/ext/service.asmx. O usuário deve receber um desafio HTTP, pois a segurança de diretório no serviço de expansão de grupo de distribuição é configurada, por padrão, para a autenticação do Microsoft Windows.