在 Lync Server 2013 中配置反向代理以实现移动功能
上次修改的主题: 2014-03-20
如果要对移动设备客户端使用自动发现,则无论是否更新反向代理证书上的使用者替代名称列表,都需要修改现有或为反向代理创建新的 Web 发布规则。
如果决定对初始 Lync Server 2013 自动发现服务请求使用 HTTPS 并更新反向代理证书上的使用者替代名称列表,则需要将更新后的公共证书分配给反向代理上的安全套接字层 (SSL) 侦听器。 有关所需使用者替代名称条目的详细信息,请参阅 Lync Server 2013 中的移动性技术要求。 然后,需要修改外部 Web 服务的现有侦听器,或为外部自动发现服务 URL 创建新的 Web 发布规则。 如果前端池的外部 Lync Server 2013 Web Services URL 还没有 Web 发布规则,则还需要为此发布规则。
注意
反向代理发布规则和侦听器可以同时为外部 Web 服务和自动发现服务提供服务,前提是分配给侦听器的证书包含两者所需的使用者名称和使用者替代名称。 有关 Web 侦听器和发布规则的默认配置的详细信息,请参阅 为 Lync Server 2013 设置反向代理服务器 以获取更多详细信息。
如果决定对初始自动发现服务请求使用 HTTP,以便无需更新反向代理的使用者替代名称,则需要为端口 80 创建或修改 Web 发布规则。
本部分中的过程介绍如何在 Microsoft Forefront Threat Management Gateway 2010 中创建或修改 Web 发布规则以进行自动发现。
注意
这些过程假定你已安装标准版的 Forefront Threat Management Gateway (TMG) 2010。 如果使用另一个反向代理,则过程类似,但需要映射到第三方产品的文档。
为外部自动发现 URL 创建 Web 发布规则
单击 “开始”,指向 “程序”,指向 Microsoft Forefront TMG,然后单击 “前端 TMG 管理”。
在左窗格中,展开 ServerName,右键单击 “防火墙策略”,指向 “新建”,然后单击 “网站发布规则”。
在 “欢迎使用新的 Web 发布规则” 页上,键入新发布规则的显示名称 (例如 LyncDiscoveryURL) 。
在 “选择规则操作 ”页上,选择 “允许”。
在 “发布类型 ”页上,选择 “发布单个网站”或“负载均衡器”。
在 “服务器连接安全 性”页上,选择 “使用 SSL”连接到已发布的 Web 服务器或服务器场。
在 “内部发布详细信息 ”页的 内部网站名称中,键入完全限定的域名 (FQDN) , (例如 lyncdir01.contoso.local) 。 如果要在前端池上为外部 Web 服务 URL 创建规则,请在前端池前键入硬件负载均衡器 (HLB) 的 VIP 地址。
在“ 内部发布详细信息 ”页上,在 路径 (可选) 中,键 /* 入要发布的文件夹的路径,然后选择 “转发”原始主机标头。
在 “公共名称详细信息 ”页上,执行以下操作:
在 “接受请求”下,选择 此域名。
在 “公共名称”中,键入 lyncdiscover。<sipdomain> (外部自动发现服务 URL) 。 如果要在前端池上为外部 Web 服务 URL 创建规则,请在前端池 (键入外部 Web 服务的 FQDN,例如 lyncwebextpool01.contoso.com) 。
在 Path 中,键入 /*。
在 “选择 Web 侦听器” 页上,在 Web 侦听器中,使用更新后的公共证书选择现有的 SSL 侦听器。
在 “身份验证委派 ”页上,选择 “无委派”,但客户端可以直接进行身份验证。
在 “用户设置” 页上,选择 “所有用户”。
在 “完成新的 Web 发布规则向导 ”页上,验证 Web 发布规则设置是否正确,然后单击 “完成”。
在 Web 发布规则的 Forefront TMG 列表中,双击刚刚添加的新规则以打开 “属性”。
在“ 工具” 选项卡上,执行以下操作:
选择 “转发原始主机标头”,而不是实际主机标头。
选择 请求似乎来自 Forefront TMG 计算机。
在“ 桥接 ”选项卡上,配置以下内容:
选择 Web 服务器。
选择 将请求重定向到 HTTP 端口,并键入 8080 作为端口号。
选择 将请求重定向到 SSL 端口,并键入 4443 作为端口号。
单击“确定”。
单击“详细信息”窗格中的“ 应用 ”以保存更改并更新配置。
单击 “测试规则 ”以验证新规则是否已正确设置。
修改现有 Web 发布规则以添加外部自动发现 SAN 和 URL
单击 “开始”,指向 “程序”,指向 Microsoft Forefront TMG,然后单击 “前端 TMG 管理”。
重要
你将针对每个发布规则和侦听器重复修改。 通常,这是前端池的一个规则和侦听器,一个用于可选的 Director 或 Director 池(如果已部署)。
在左窗格中,展开 ServerName,右键单击 防火墙策略,单击适用的规则。 在 “任务” 选项卡上,单击 “编辑所选规则”。
在“ 公共名称” 选项卡上的 “此规则”中,选择 以下网站的“请求”。
单击 “添加”,键入新的自动发现网站的名称 (例如“lyncdiscover.contoso.com”) ,然后单击“ 确定”。
在 “侦听器” 选项卡上,单击 “选择证书 ”,并使用添加的“自动发现 SAN”条目分配新证书。 关闭侦听器和 Web 发布属性。
单击“详细信息”窗格中的“ 应用 ”以保存更改并更新配置。
单击 “测试规则 ”以验证新规则是否已正确设置。
为端口 80 创建 Web 发布规则
单击 “开始”,指向 “程序”,指向 Microsoft Forefront TMG,然后单击 “前端 TMG 管理”。
在左窗格中,展开 ServerName,右键单击 “防火墙策略”,指向 “新建”,然后单击 “网站发布规则”。
在 “欢迎使用新的 Web 发布规则” 页上,键入新发布规则的显示名称 (例如 Lync Autodiscover (HTTP) ) 。
在 “选择规则操作 ”页上,选择 “允许”。
在 “发布类型 ”页上,选择 “发布单个网站”或“负载均衡器”。
在 “服务器连接安全 性”页上,选择 “使用非安全连接”连接到已发布的 Web 服务器或服务器场。
在“内部发布详细信息”页的内部网站名称中,在前端池前键入硬件负载均衡器 (HLB) 的 VIP 地址。
在 “内部发布详细信息 ”页上,在 路径 (可选) 中,键 /* 入要发布的文件夹的路径,然后选择 “转发原始主机标头”,而不是在“内部网站名称”字段中指定的文件夹。
在 “公共名称详细信息 ”页上,执行以下操作:
在 “接受请求”下,选择 此域名。
在 “公共名称”中,键入 lyncdiscover。<sipdomain> (外部自动发现服务 URL) 。
在 Path 中,键入 /*。
在 “选择 Web 侦听器” 页上,在 Web 侦听器中,选择 Web 侦听器或使用“新建 Web 侦听器定义向导”创建新侦听器。
在 “身份验证委派 ”页上,选择 “无委派”,客户端无法直接进行身份验证。
在 “用户设置” 页上,选择 “所有用户”。
在 “完成新的 Web 发布规则向导 ”页上,验证 Web 发布规则设置是否正确,然后单击 “完成”。
在 Web 发布规则的 Forefront TMG 列表中,双击刚刚添加的新规则以打开 “属性”。
在“ 桥接 ”选项卡上,配置以下内容:
选择 Web 服务器。
选择 将请求重定向到 HTTP 端口,并键入 8080 作为端口号。
验证是否未选择 将请求重定向到 SSL 端口 。
单击“确定”。
单击“详细信息”窗格中的“ 应用 ”以保存更改并更新配置。
单击 “测试规则 ”以验证新规则是否已正确设置。
验证是否未在任何其他 Web 发布规则上定义外部自动发现服务 URL。