设备更新服务
上一次修改主题: 2009-06-08
在以前版本的 Office Communications Server 中,称为“软件更新服务”的设备更新服务需要独立的、较复杂的安装。当前版本中的更新服务称为“设备更新服务”,可随 Web 组件服务自动安装,大大简化了部署操作。
您将需要为更新服务设置基础结构,执行与为更新文件创建文件系统位置一样的步骤,配置 DNS 记录并配置外部访问的代理设置。本主题提供了有关设备更新服务部署的背景信息,并介绍了设置基础结构的步骤。它参考了设备更新服务的详细基础结构要求,提供所有 Office Communications Server 组件的全面要求的其他主题对这些要求进行了介绍。
本主题提供了设备更新服务的下列信息:
- 必需的组件
- 调节时的注意事项
- 技术先决条件
- 部署步骤
必需的组件
本节介绍部署设备更新服务所需的技术和组件。
服务器
安装 Office Communications Server 2007 R2 时,将在所有运行 Web 组件服务器角色的服务器上自动安装设备更新服务。不需要计划追加服务器来支持设备更新服务。
设备更新文件存储
设备更新服务使用的许多文件必须存储在文件系统上。该位置根据运行的 Office Communications Server 2007 R2 的版本而有所不同。
- **Office Communications Server 2007 R2 Enterprise Edition。**在部署过程中,必须在运行“创建企业版池向导”之前为客户端和设备更新文件创建共享文件夹。设备更新服务会在此共享文件夹中创建文件夹,用来存储更新映像文件、日志文件和配置文件。Office Communications Server 也使用此共享文件夹来存储 Office Communicator 更新文件。在安装过程中,需要提供此文件夹的 UNC 路径。
- **Office Communications Server 2007 R2 Standard Edition。**安装程序自动创建 DeviceUpdateFiles 文件夹,位置在本地计算机上 Office Communications Server 2007 R2 安装文件夹下的 Web Components 文件夹中。该文件夹不是共享的,它会继承安装文件夹的各种权限。设备更新服务会在 DeviceUpdateFiles 文件夹中创建文件夹,用来存储更新映像文件、日志文件和配置文件。
Internet Information Services (IIS) 中的两个虚拟目录指向的文件夹如下:
- DeviceUpdateFiles_int 虚拟目录将内部设备指向更新文件夹。
- DeviceUpdateFiles_ext 虚拟目录将外部设备指向更新文件夹。
有关为 Office Communications Server 2007 R2 创建的虚拟目录的详细信息,请参阅 Internet Information Services (IIS) 要求。
安全性
设备更新服务使用为 Web 组件服务器配置的身份验证,因此,不需要对设备更新服务采取任何附加步骤来实现此安全性,除非要从以前版本的 Office Communications Server 2007 迁移外部 Communicator Phone Edition 设备;在这种情况下,需要执行附加的安全配置任务。有关详细信息,请参阅从 Office Communications Server 2007 迁移迁移文档。有关针对 Web 组件服务器执行配置任务的详细信息,请参阅“部署”文档的“部署 Office Communications Server 2007 R2 Enterprise Edition”中的配置 Web 组件服务器 IIS 证书。
DNS 记录
当用户登录到 Communicator Phone Edition 设备中时,该设备一般通过带内设置来接收有关承载设备更新服务的池或 Standard Edition Server 的信息。但是,如果用户从来没有登录过该设备,则该设备使用 DNS 来发现承载设备更新服务的服务器并获取更新。RoundTable 设备也使用 DNS 记录来发现和连接至设备更新服务。要启用此发现,则必须创建一条内部 DNS 记录。有关详细信息,请参阅服务器的 DNS 要求。
如果计划允许位于组织防火墙外部的设备访问设备更新服务并获取更新,则还必须配置一条外部 DNS 记录。有关详细信息,请参阅外部用户访问的 DNS 要求。
外部设备访问
如果要在企业网络外部使用统一通信 (UC) 设备,并且希望允许设备自动进行更新,则必须具备以下先决条件:
- 外围网络中必须存在支持的边缘拓扑。
- 必须在外围网络中实施反向代理。
- 必须对 UC 设备的用户启用远程用户访问权限。
有关这些要求的详细信息,请参阅外部用户访问组件。有关允许访问外部设备所需的具体配置步骤的详细信息,请参阅本主题后面的“配置外部设备访问”。
技术先决条件
本节介绍要使设备更新服务在环境中正常运行所要具备的技术先决条件。
配置安全帐户
设备更新服务管理员必须是 RTCUniversalServerAdmins 安全组的成员。
创建共享的更新文件夹
将在运行 Office Communications Server 2007 R2 Web 组件服务器角色的所有服务器上自动安装设备更新服务。无需采取任何具体的安装步骤。
如上文所述,对于 Office Communications Server 2007 R2 Enterprise Edition,安装前必须创建一个文件共享,用来存储设备更新文件和客户端更新文件。使用企业版池部署工具时,系统将要求您提供此共享的 UNC 路径。这样,安装程序就能够访问该共享来为更新文件创建必需的子文件夹,您应授予 RTCUniversalServerAdmins 和 DomainAdmins 组对该共享的完全控制权限。有关详细信息,请参阅“部署”文档的“部署 Office Communications Server 2007 R2 Enterprise Edition”中的创建池。安装程序会在该共享上设置下面的随机访问控制列表 (DACL)。
表 1. 共享更新文件夹及其子文件夹的 DACL
| 安全帐户 | 权限 |
|---|---|
RTCUniversalServerAdmins |
读/写 |
RTCHSUniversalServices |
只读 |
RTCUniversalGuestAccessGroup |
只读 |
对于 Office Communications Server 2007 R2 Standard Edition,无需创建共享文件夹,因为设备更新文件、日志文件和配置文件存储在本地计算机中名为 DeviceUpdateFiles 的文件夹中(可在安装文件夹下的 Web Components 文件夹中找到该文件夹)。默认路径为 %ProgramFiles%\Microsoft Office Communicator 2007 R2\Web Components\DeviceUpdateFiles。安装程序会在 DeviceUpdateFiles 及其子文件夹上设置下面的 DACL。
表 2. DeviceUpdateFiles 文件夹及其子文件夹的 DACL
| 安全帐户 | 权限 |
|---|---|
TERMINAL SERVER USER |
修改 |
CREATOR OWNER |
完全控制 |
SYSTEM |
完全控制 |
Administrators [FRONTEND\Administrators] |
完全控制 |
Power Users [FRONTEND\Power user] |
修改 |
Users [FRONTEND\Users] |
读取和执行 |
配置外部设备访问
如果打算授予外部用户访问 Office Communications Server 功能(包括使 UC 设备在防火墙外部工作时可以使用设备更新服务器进行自动更新)的权限,则必须采取一些额外的部署步骤,如本节所述。
部署边缘服务器
边缘服务器是 Office Communications Server 中的一个服务器角色,防火墙外部的用户通过此服务器角色可以访问 Office Communications Server 2007 R2 功能。要部署边缘服务器,请按照“部署”文档的部署边缘服务器供外部用户访问中的说明操作,具体而言,采取以下步骤实现对设备更新服务的外部访问:
- 在“部署边缘服务器供外部用户访问”文档的配置反向代理步骤中,必须将 HTTP 反向代理配置为使用以下设备更新服务虚拟目录:
- Web 组件服务器的外部 URL:
https://<external Server FQDN>/RequestHandlerExt/ucdevice.upx - 更新站点的外部 URL:
https://<external Server FQDN>/DeviceUpdateFiles_Ext
- Web 组件服务器的外部 URL:
- 在“部署边缘服务器供外部用户访问”文档的配置 DNS 步骤中,必须创建名为 ucupdates-r2.<SIP 域> 的 DNS A(主机)记录,该记录将解析为承载设备更新服务的企业版池或 Standard Edition Server 的 IP 地址。
- 您可能需要采取相应的步骤,将早期版本的 Office Communications Server 2007 中的外部 Communicator Phone Edition 设备更新为当前版本的固件。有关详细信息,请参阅“迁移”文档中的从 Office Communications Server 2007 迁移。
配置证书
安全性是通过使用证书和 Kerberos 身份验证实现的。设备更新服务使用 Web 组件服务器的安全基础结构。现有的 PKI 基础结构必须已部署到位,并且已为设备配置了由公共 CA(推荐)或私有 CA 颁发的有效证书,设备才能从 Intranet 外部连接到设备更新服务。
配置 IPsec
如果您的组织使用 IPsec,则必须将其配置为在边界或请求模式下运行。
部署步骤
本节列出了在 Office Communications Server 2007 R2 Standard Edition 和 Enterprise Edition 上部署设备更新服务时要采取的步骤。前面的“技术先决条件”部分详细介绍了每个步骤的要求。
在 Standard Edition 上部署设备更新服务
- 如果计划允许外部设备获取更新,请确保您已采取前面“配置外部设备访问”部分中所述的步骤。
- 安装 Office Communications Server 2007 R2,如“部署”文档的“部署 Office Communications Server 2007 R2 Standard Edition”中的部署 Standard Edition Server 所述。
- 向 Active Directory 域服务 (AD DS) 中的 RTCUniversalServerAdmins 安全组添加设备更新服务管理员。
- 如果已允许外部设备访问,请按照“管理 Office Communications Server 2007 R2”文档的“管理设备更新服务”中的Verifying External Device Access中的步骤操作,确保设备可以从防火墙外部连接到设备更新服务。
有关配置设备更新服务和管理更新的详细信息,请参阅“管理 Office Communications Server 2007 R2”文档中的Administering Device Update Service。
在 Enterprise Edition 上部署设备更新服务
- 如果计划允许外部设备获取更新,请确保您已采取前面“配置外部设备访问”部分中所述的步骤。
- 创建一个用来存储客户端更新文件和设备更新文件的共享文件夹,记下 UNC 路径,在运行创建企业版池向导时必须提供此路径。
- 运行“创建企业版池向导”时,请按“部署 Office Communications Server 2007 R2 Enterprise Edition”文档的创建池中所述,在“指定其他服务器存储的位置”页中的“客户端更新数据存储”****框中,提供该共享文件夹的远程 UNC 路径。
- 向 Active Directory 域服务中的 RTCUniversalServerAdmins 安全组添加设备更新服务管理员。
- 如果已允许外部设备访问,请按照“管理 Office Communications Server 2007 R2”文档的“管理设备更新服务”中的Verifying External Device Access中的步骤操作,确保设备可以从防火墙外部连接到设备更新服务。
有关配置设备更新服务和管理更新的详细信息,请参阅“管理 Office Communications Server 2007 R2”文档中的Administering Device Update Service。