创建 Communicator Web Access 虚拟服务器

上一次修改主题: 2009-03-06

安装并激活 Communicator Web Access(2007 R2 版)之后,必须创建至少一台 Communicator Web Access 虚拟服务器。用户有可登录的虚拟服务器后,才能使用即时消息、音频会议或 Communicator Web Access 的任何其他功能。

Dd441275.note(zh-cn,office.13).gif注意:
一个虚拟服务器通常就是一个网站。如果用户使用 URL https://im.contoso.com 登录到 Communicator Web Access,则 https://im.contoso.com 不仅是一个网站,还是一个 Communicator Web Access 虚拟服务器。虚拟服务器的价值在于使一台 Internet Information Services (IIS) 计算机可以承载多个网站。例如,一台计算机可以承载 https://im.fabrikam.com 以及 https://im.contoso.com。

如果既要处理内部用户(即组织防火墙之内的用户)的请求,又要处理外部用户(即组织防火墙之外的用户)的请求,则需要创建两个虚拟服务器:一个供内部用户使用,另一个供外部用户使用。可以使用部署向导创建第一个虚拟服务器,然后使用 Communicator Web Access 管理单元创建第二个虚拟服务器。

Dd441275.note(zh-cn,office.13).gif注意:
如果要处理来自外部用户的请求,强烈建议您使用反向代理服务器将该虚拟服务器发布到 Web 上。有关使用还原代理服务器发布 Communicator Web Access 虚拟服务器的详细信息,请参阅使用反向代理实现远程用户访问。此外,为了安全起见,建议您在不同的计算机上承载供内部用户使用的虚拟服务器和供外部用户使用的虚拟服务器。

要在计算机上创建第一个虚拟服务器,请参阅使用部署向导创建 Communicator Web Access 虚拟服务器一文中的过程“创建第一个虚拟服务器”。如果要在同一计算机上创建第二个虚拟服务器,则必须使用 Communicator Web Access 管理单元来执行该任务。若要在计算机上创建第二个虚拟服务器,请执行下列操作:

  • 打开 Communicator Web Access 管理单元,右键单击要创建虚拟服务器的服务器的名称,然后单击**“创建虚拟服务器”**。
  • 出现创建虚拟服务器向导之后,按照在计算机上创建第一个虚拟服务器的方法进行操作。

创建虚拟服务器之前,需要选择身份验证方法、连接类型以及下一个跃点服务器。

身份验证方法

创建虚拟服务器时,需要从身份验证机制开始指定多个关键属性的值。Communicator Web Access 提供了多个身份验证选项。

集成的(NTLM/Kerberos)密码身份验证

这是最安全的身份验证类型,也是最方便的选项。使用集成的密码身份验证时,用户不必输入用户名和密码,而是使用登录其计算机时所用的同一凭据来进行身份验证。

但是,集成的密码身份验证有两个缺点。第一,此类身份验证只能应用于内部虚拟服务器;外部用户始终需要提供凭据,这意味着处理外部登录请求的网站必须使用基于表单的身份验证或自定义身份验证。

第二,集成的密码身份验证只能供以下用户使用:从运行 Microsoft Windows 的计算机登录,并使用支持 NTLM 或 Kerberos 身份验证的 Web 浏览器。如果所有用户都是运行 Internet Explorer 和 Microsoft Windows 的内部用户,则可以将集成的密码身份验证用作唯一的身份验证机制。否则,需要同时使用集成的密码身份验证和基于表单的身份验证,或者需要使用自定义身份验证方法。

Dd441275.note(zh-cn,office.13).gif注意:
如果同时使用集成的密码身份验证和基于表单的身份验证,Communicator Web Access 将首先尝试让用户使用集成的密码身份验证进行登录。如果尝试失败,将给予用户使用基于表单的身份验证登录的机会。

基于表单的身份验证

使用基于表单的身份验证时,登录对话框中会显示尝试访问 Communicator Web Access 虚拟服务器的用户。此时,用户必须提供自己的凭据(即域、用户名和密码)才能通过身份验证,然后才能访问网站。使用基于表单的身份验证,可以向以下用户提供支持:

  • Macintosh 和 Linux 用户
  • 未运行 Internet Explorer 的用户
  • 外部用户(即从组织的防火墙外部登录的用户)

基于表单的身份验证的缺点是,这一机制不十分安全。例如,用户凭据以纯文本格式传递给服务器。因此强烈建议您,对允许进行基于表单的身份验证的虚拟服务器使用 HTTPS 连接。

自定义身份验证

除了 Windows 操作系统内置的身份验证机制外,Communicator Web Access 还支持自定义或第三方身份验证方法。例如,Communicator Web Access 支持使用双重身份验证,在双重身份验证中,用户必须提供两个标识(通常是智能卡和个人标识号 (PIN))才能进行身份验证。

Communicator Web Access 还支持单一登录身份验证,但只有 Microsoft Internet Security and Acceleration Server (ISA) 2006 提供此身份验证。使用单一登录时,用户只需登录一次,即可获得访问多个应用程序的权限。例如,用户登录到 Microsoft Outlook Web Access 的同时将自动登录到 Communicator Web Access(反之亦然)。

Dd441275.note(zh-cn,office.13).gif注意:
如果使用单一登录,应指定“注销 URL”选项,该 URL 是每次用户从 Communicator Web Access 注销时将转到的 URL。通过访问此页,用户可以确信,系统将删除存储在其计算机上的任何身份验证 Cookie。有关详细信息,请参阅自定义身份验证方法的文档。

连接类型

指定身份验证机制之后,需要指定连接类型。Communicator Web Access 支持两个不同的连接协议:HTTP 和 HTTPS。其中 HTTPS 为首选,因为该协议更安全。原因之一是 HTTPS 对服务器与浏览器之间的所有流量都进行加密。如果决定使用 HTTPS(推荐的协议),则需要为此连接分配一个证书。有关详细信息,请参阅准备 Communicator Web Access 的证书

Dd441275.note(zh-cn,office.13).gif注意:
如果打算实现桌面共享,则必须使用 HTTPS 协议。如果登录到使用 HTTP 协议的 Communicator Web Access 网站,桌面共享按钮将被禁用。如果将鼠标悬停在按钮上方,则会显示工具提示“桌面共享要求安全连接(HTTPS)。请与系统管理员联系。”

还必须为每个虚拟服务器分配一个 IP 地址和端口。虚拟服务器可以共享 IP 地址,但无法共享端口:每个虚拟服务器都必须有一个自己的端口,任何其他应用程序都不使用这个端口。默认情况下,安装程序建议将端口 443 用于 HTTPS 连接,将端口 80 用于 HTTP 连接。由于 Internet Information Services (IIS) 中的默认网站也要使用这两个端口,因此,在将这两个端口分配给 Communicator Web Access 之前,先要关闭该网站。

如前所述,创建虚拟服务器时,必须指定该服务器要使用的端口。如果指定的端口已由其他应用程序使用,安装程序将通知您该端口已保留,并要求您选择其他端口号。例如,端口 443 由 IIS 中的默认网站使用。如果未禁用此网站,安装程序将不允许您将端口 443 用作虚拟服务器端口。

但是,Communicator Web Access 不一定总能识别出哪些端口当前正由 Windows 系统组件使用。例如,假定您在创建虚拟服务器时选择端口 137。安装程序将允许您使用该端口号,并为您创建虚拟服务器。但是,您将无法启动这个新的虚拟服务器。这是因为该端口由文件和打印机共享使用。如果发生这种情况,您需要使用 Communicator Web Access 管理单元来更改端口号。

下一个跃点服务器

最后,您需要为虚拟服务器分配“下一个跃点服务器”。用户参加会议时,需要在 Communicator Web Access 服务器和用户的主服务器之间传递消息。匿名用户(即,在 Active Directory 域或联盟伙伴的域中没有帐户的用户)可以参加会议。但是,因为匿名用户没有主服务器,所以没有供 Communicator Web Access 中继消息的空间。

因此,必须为每个虚拟服务器分配一个“下一个跃点”服务器,该服务器(或服务器池)可以充当匿名用户的主服务器。下一个跃点服务器可以是林中任何一台运行 Office Communications Server 2007 R2 的计算机。

分配下一个跃点服务器时,请确保该下一个跃点服务器已启动并正在运行。请勿分配当前处于脱机状态或将要脱机的下一个跃点服务器。如果下一个跃点服务器失败,则 Communicator Web Access 也将失败。因此,建议您将服务器池用作下一个跃点服务器。这样,Communicator Web Access 就不会因为一台服务器的失败而失败。

再次提醒您,安装向导仅允许在每台 Communicator Web Access 计算机上创建一个虚拟服务器。如果要在同一台计算机上创建第二个虚拟服务器(例如,为使一个 Communicator Web Access 服务器既能支持内部用户又能支持外部用户),则需要使用 Communicator Web Access 管理单元创建第二个服务器。有关详细信息,请参阅使用 Communicator Web Access 管理单元创建 Communicator Web Access 虚拟服务器