berkmenoo 1
berkmenoo
farkmt2official 1
farkmt2official
kralhakan2009 1
kralhakan2009
Vahsi Uzman 1
Vahsi Uzman
Hikaye Ekle

Lync Server Reverse Proxy (TMG 2010) Yapılandırılması

  • Konuyu başlatan Konuyu başlatan DN Angel
  • Başlangıç tarihi Başlangıç tarihi
  • Cevaplar Cevaplar 0
  • Görüntüleme Görüntüleme 339
Lync Server Reverse Proxy (TMG 2010) Yapılandırılması
star-left-on.gif
star-right-on.gif
star-left-on.gif
star-right-on.gif
star-left-on.gif
star-right-on.gif
star-left-on.gif
star-right-on.gif
star-left-on.gif
star-right-on.gif



External Client ların Lync Server 2013 web servisleri erişimleri için perimeter network içerisinde bulunan bir HTTPS reverse proxy gereklidir. Lync Edge Server web servis taleplerini karşılamamaktadır. (Best Practices) (Web Components in Office Communications Server) Reverse proxy kullanmanın getirileri aşağıdaki gibidir:

• External kullanıcıların meeting content download edebilme işlemleri
• External kullanıcıların expand distribution groups işlemleri
• Remote kullanıcıların Address Book service download işlemleri
• Microsoft Lync Web App client erişimi
• Dial-in Conferencing ayarları web sayfası erişimi
• Location Information Service erişimi
• External cihazların Device Update web service bağlantılarının sağlanması

Lync 2013 Edge yapısında Reverse Proxy olarak Microsoft Forefront Threat Management Gateway (TMG) 2010 veya Microsoft Internet Security and Acceleration (ISA) Server 2006 SP1 kullanılabilir. İsterseniz farklı bir proxy kullanarak bu işlemleri yapabilirsiniz. Bu makalemizde TMG 2010 kullanıyor olacağız.

Buradaki temel amaç Web Services işlemleri için gelen taleplerin (http 80 , https 443) Front End sunucusuna aktarılması (http 8080, https 4443) işlemidir.

Lab ortamım aşağıdaki şekildeki gibidir;

· oi-dc2012.oiboran.lync (Domain Controller, DNS, DHCP, CA)
· oi-lync2013fe.oiboran.lync (Lync Server 2013 Standart Front End sunucusu)
· oi-lync2013edge.oiboran.lync (Lync Server 2013 Edge Sunucusu)





Web Farm FQDN düzenlenmesi

1.Lync Server 2013 Topology Builder üzerinden Lync Server sağ tık Edit Properties adımından “Phone Access URLs” ve “Meeting URLs” yapınıza göre düzenlenir. (Bu ortamda daha önce SAN olarak eklediğim dialin.oiboran.lync – meet.oiboran.lync adreslerini kullanacağım) Yeni URLs ekleyip istenilen bir tanesini “Make Active” ile aktif duruma getirebilirsiniz.









2.Lync Server 2013 Topology Builder / Lync Server / OIBORAN / Lync Server 2013/ Standart Edition Front Servers sağ tuş edit properties tıklıyoruz.





Edit Properties penceresinde “Web Services” tabını tıklıyoruz ve “External web Services” için aşağıdaki değerleri kontrol ediyoruz.

•Listening ports: HTTP 8080, HTTPS 4443
•Published ports: HTTP 80, HTTPS 443

(Ekranda herhangi bir değişiklik yaptıysanız Topology Publish işlemini yapmayı unutmayınız)





Sertifikaların Talep Edilmesi – Düzenlenmesi

Front End Server üzerinde Internet Information Services (IIS) Manager / Sites/ Lync Server External Web Site sağ tuş “Edit Bindings...” tıklanır.





https – port 4443 seçili durumdayken Edit tıklanır.





İlgili SSL Certificate seçilir ve View den “Subject Alternate Name (SAN)” kontrol edilir. TMG de kullanılacak olan sertifikalar için detaylı bilgiye ulaşabilirsiniz. Bu lab ortamında internal CA kullanmaktayım.





Aşağıdaki ekranda görüldüğü üzere DNS name tabları SAN olarak eklenmiştir.

meet.oiboran.lync – dialin.oiboran.lync – lyncdiscover.oiboran.lync – lync2013.oiboran.com





Internal CA dan Lync Server için talep ettiğim ve kullanmakta olduğum “LyncDefault” sertifikasını mmc / certificates / Local Computer / Personel / Certificates / LyncDefault sağ tuş All Tasks / Export adımından the private key ile export etmemiz gereklidir.





“Yes, export the private key” seçilir ve next tıklanır.





Default ayarlarda devam ediyoruz.





“Password” checkbox işaretlenir ve import yapılırken kullanılacak olan bir şifre belirlenir.





“LyncDefault.pfx” dosyasını kaydediyoruz next – finish ile işlemi sonlandırıyoruz.











TMG 2010 üzerinden MMC / Certificates / Local Computer / Personal sağ tuş All Tasks / Import adımından az önce export ettiğimiz LyncDefault sertifikasının import işlemine başlıyoruz.








“LyncDefault.pfx” dosyasının yolu gösterilir ve next tıklanır.





Belirlemiş olduğumuz şifre girilir. (default ayarlarla devam ediyorum)





“Place all certificates in the following store” bölümünde Personal olduğundan emin olunuz ve next – finish ile işlemi sonlandırıyoruz.











TMG 2010 aynı zamanda Domainde olduğundan dolayı Root Certificate de gelmektedir. (Eğer siz TMG domainde kullanmıyorsanız Root Certificate manuel olarak yüklemeniz gereklidir)





TMG network Ayarları

Lab ortamımda iki adet NIC kartımı aşağıdaki şekilde düzenledim. DNS olarak iç DNS sunucusunu kullandım.








Network Template Edge firewall olarak tanımlanmıştır.





Web Publish Rules oluşturulması

Bu işlem için Forefront TMG / Firewall Policy sağ tuş New/ Web Sites Publishing Rule... adımına gidiniz.





“Web Publishing Rule name” bilgileri girilir.





Action to take when rule conditions are met olarak “Allow” seçilir.





“Publish single Web site or load balancer” seçilir.





“Use SSL to connect to the published Web Server or server farm” seçilir.





Internal site name olarak Front End Server FQDN girilir. (TMG 2010 un bu ismi çözdüğünden emin olunuz)






Path (optional): /* değeri girilir ve “Forward the original host header ...” checkbox işaretlenir.





Accept Request for This Domain name : lync2013.oiboran.com (external Web Services FQDN) ve Path (optional)olarak /* değerleri girilir.





Bir sonraki adımda New Web Listener tıklanır ve aşağıdaki wizard ekranında Web Listener name bilgisi girilir.





“Required SSL secured connections with clients” seçilir ve next tıklanır.





Listen for incoming Web requests on these network adımında External seçilir ve Select Ip Addresses tıklanır.





Specified IP addresses on the TMG seçilir ve Available IP Addresses -> Add tıklanarak Selected IP Addresses bölümüne eklenir.








Listener SSL Certificates adımında external network için Select Certificates / LyncDefault seçiyoruz.








Ekran aşağıdaki gibi olacaktır.





Authentication Settings ekranında “No Authentication” seçiyoruz.





SSO kullanılabilir durumda olmadığından herhangi bir değişiklik yapmadan next ve finish tıklayıp işlemi sonlandırıyoruz.








Lync2013Listener Web listener oluşturmuş olduk.





Authentication Settings ekranında “No delegation, and client cannot authenticate directly” seçiyoruz.











TMG 2010 da eklemiş olduğumuz Web Publishing Rule işleminden sonra değişiklikleri kaydetmek için Apply butonuna tıklıyoruz.














Oluşturduğumuz Web Publishing Rule üzerinde sağ tıklayıp “Properties” ekranını açıyoruz.





Bridging tabında aşğıdaki değişiklikleri yapınız.

Redirect requests to HTTP port: 8080

Redirect requests to SSL port:4443





Test Rule ile işlemi test ediyoruz.





Public Name tabında aşağıdaki kayıtları giriniz.

meet.oiboran.lync - dialin.oiboran.lync – lync2013.oiboran.com














Listener tabında Test Rule işlemini yapıyoruz.









From tabında This rule applies to traffic from these sources: External olduğundan emin olunuz.





To tabında Front End Server in FQDN isminin çözüldüğünden emin olunuz.





Değişikliklerden sonra TMG nin bu ayarları uygulaması için Apply butonuna tıklıyoruz.









Yaptığımız işlemleri test etmek için aşağıdaki adreslere internet üzerinden ulaşmaya çalışıyoruz.

-
-













Bu makalemizde Lync Server topolojisinde kullanılan Perimeter network içerisindeki Reverse Proxy in TMG 2010 olarak nasıl konfigure edileceğini anlatmaya çalıştım.

Lync Server Reverse Proxy (TMG 2010) Yapılandırılması
star-left-on.gif
star-right-on.gif
star-left-on.gif
star-right-on.gif
star-left-on.gif
star-right-on.gif
star-left-on.gif
star-right-on.gif
star-left-on.gif
star-right-on.gif



External Client ların Lync Server 2013 web servisleri erişimleri için perimeter network içerisinde bulunan bir HTTPS reverse proxy gereklidir. Lync Edge Server web servis taleplerini karşılamamaktadır. (Best Practices) (Web Components in Office Communications Server) Reverse proxy kullanmanın getirileri aşağıdaki gibidir:

• External kullanıcıların meeting content download edebilme işlemleri
• External kullanıcıların expand distribution groups işlemleri
• Remote kullanıcıların Address Book service download işlemleri
• Microsoft Lync Web App client erişimi
• Dial-in Conferencing ayarları web sayfası erişimi
• Location Information Service erişimi
• External cihazların Device Update web service bağlantılarının sağlanması

Lync 2013 Edge yapısında Reverse Proxy olarak Microsoft Forefront Threat Management Gateway (TMG) 2010 veya Microsoft Internet Security and Acceleration (ISA) Server 2006 SP1 kullanılabilir. İsterseniz farklı bir proxy kullanarak bu işlemleri yapabilirsiniz. Bu makalemizde TMG 2010 kullanıyor olacağız.

Buradaki temel amaç Web Services işlemleri için gelen taleplerin (http 80 , https 443) Front End sunucusuna aktarılması (http 8080, https 4443) işlemidir.

Lab ortamım aşağıdaki şekildeki gibidir;

· oi-dc2012.oiboran.lync (Domain Controller, DNS, DHCP, CA)
· oi-lync2013fe.oiboran.lync (Lync Server 2013 Standart Front End sunucusu)
· oi-lync2013edge.oiboran.lync (Lync Server 2013 Edge Sunucusu)





Web Farm FQDN düzenlenmesi

1.Lync Server 2013 Topology Builder üzerinden Lync Server sağ tık Edit Properties adımından “Phone Access URLs” ve “Meeting URLs” yapınıza göre düzenlenir. (Bu ortamda daha önce SAN olarak eklediğim dialin.oiboran.lync – meet.oiboran.lync adreslerini kullanacağım) Yeni URLs ekleyip istenilen bir tanesini “Make Active” ile aktif duruma getirebilirsiniz.









2.Lync Server 2013 Topology Builder / Lync Server / OIBORAN / Lync Server 2013/ Standart Edition Front Servers sağ tuş edit properties tıklıyoruz.





Edit Properties penceresinde “Web Services” tabını tıklıyoruz ve “External web Services” için aşağıdaki değerleri kontrol ediyoruz.

•Listening ports: HTTP 8080, HTTPS 4443
•Published ports: HTTP 80, HTTPS 443

(Ekranda herhangi bir değişiklik yaptıysanız Topology Publish işlemini yapmayı unutmayınız)





Sertifikaların Talep Edilmesi – Düzenlenmesi

Front End Server üzerinde Internet Information Services (IIS) Manager / Sites/ Lync Server External Web Site sağ tuş “Edit Bindings...” tıklanır.





https – port 4443 seçili durumdayken Edit tıklanır.





İlgili SSL Certificate seçilir ve View den “Subject Alternate Name (SAN)” kontrol edilir. TMG de kullanılacak olan sertifikalar için detaylı bilgiye ulaşabilirsiniz. Bu lab ortamında internal CA kullanmaktayım.





Aşağıdaki ekranda görüldüğü üzere DNS name tabları SAN olarak eklenmiştir.

meet.oiboran.lync – dialin.oiboran.lync – lyncdiscover.oiboran.lync – lync2013.oiboran.com





Internal CA dan Lync Server için talep ettiğim ve kullanmakta olduğum “LyncDefault” sertifikasını mmc / certificates / Local Computer / Personel / Certificates / LyncDefault sağ tuş All Tasks / Export adımından the private key ile export etmemiz gereklidir.





“Yes, export the private key” seçilir ve next tıklanır.





Default ayarlarda devam ediyoruz.





“Password” checkbox işaretlenir ve import yapılırken kullanılacak olan bir şifre belirlenir.





“LyncDefault.pfx” dosyasını kaydediyoruz next – finish ile işlemi sonlandırıyoruz.











TMG 2010 üzerinden MMC / Certificates / Local Computer / Personal sağ tuş All Tasks / Import adımından az önce export ettiğimiz LyncDefault sertifikasının import işlemine başlıyoruz.








“LyncDefault.pfx” dosyasının yolu gösterilir ve next tıklanır.





Belirlemiş olduğumuz şifre girilir. (default ayarlarla devam ediyorum)





“Place all certificates in the following store” bölümünde Personal olduğundan emin olunuz ve next – finish ile işlemi sonlandırıyoruz.











TMG 2010 aynı zamanda Domainde olduğundan dolayı Root Certificate de gelmektedir. (Eğer siz TMG domainde kullanmıyorsanız Root Certificate manuel olarak yüklemeniz gereklidir)





TMG network Ayarları

Lab ortamımda iki adet NIC kartımı aşağıdaki şekilde düzenledim. DNS olarak iç DNS sunucusunu kullandım.








Network Template Edge firewall olarak tanımlanmıştır.





Web Publish Rules oluşturulması

Bu işlem için Forefront TMG / Firewall Policy sağ tuş New/ Web Sites Publishing Rule... adımına gidiniz.





“Web Publishing Rule name” bilgileri girilir.





Action to take when rule conditions are met olarak “Allow” seçilir.





“Publish single Web site or load balancer” seçilir.





“Use SSL to connect to the published Web Server or server farm” seçilir.





Internal site name olarak Front End Server FQDN girilir. (TMG 2010 un bu ismi çözdüğünden emin olunuz)






Path (optional): /* değeri girilir ve “Forward the original host header ...” checkbox işaretlenir.





Accept Request for This Domain name : lync2013.oiboran.com (external Web Services FQDN) ve Path (optional)olarak /* değerleri girilir.





Bir sonraki adımda New Web Listener tıklanır ve aşağıdaki wizard ekranında Web Listener name bilgisi girilir.





“Required SSL secured connections with clients” seçilir ve next tıklanır.





Listen for incoming Web requests on these network adımında External seçilir ve Select Ip Addresses tıklanır.





Specified IP addresses on the TMG seçilir ve Available IP Addresses -> Add tıklanarak Selected IP Addresses bölümüne eklenir.








Listener SSL Certificates adımında external network için Select Certificates / LyncDefault seçiyoruz.








Ekran aşağıdaki gibi olacaktır.





Authentication Settings ekranında “No Authentication” seçiyoruz.





SSO kullanılabilir durumda olmadığından herhangi bir değişiklik yapmadan next ve finish tıklayıp işlemi sonlandırıyoruz.








Lync2013Listener Web listener oluşturmuş olduk.





Authentication Settings ekranında “No delegation, and client cannot authenticate directly” seçiyoruz.











TMG 2010 da eklemiş olduğumuz Web Publishing Rule işleminden sonra değişiklikleri kaydetmek için Apply butonuna tıklıyoruz.














Oluşturduğumuz Web Publishing Rule üzerinde sağ tıklayıp “Properties” ekranını açıyoruz.





Bridging tabında aşğıdaki değişiklikleri yapınız.

Redirect requests to HTTP port: 8080

Redirect requests to SSL port:4443





Test Rule ile işlemi test ediyoruz.





Public Name tabında aşağıdaki kayıtları giriniz.

meet.oiboran.lync - dialin.oiboran.lync – lync2013.oiboran.com














Listener tabında Test Rule işlemini yapıyoruz.









From tabında This rule applies to traffic from these sources: External olduğundan emin olunuz.





To tabında Front End Server in FQDN isminin çözüldüğünden emin olunuz.





Değişikliklerden sonra TMG nin bu ayarları uygulaması için Apply butonuna tıklıyoruz.










Bu makalemizde Lync Server topolojisinde kullanılan Perimeter network içerisindeki Reverse Proxy in TMG 2010 olarak nasıl konfigure edileceğini anlatmaya çalıştım.
 

Şu an konuyu görüntüleyenler (Toplam : 0, Üye: 0, Misafir: 0)

Geri
Üst