nwtraders.msft域:
dc:域控制器
lcs:lcs服务器
ca:ca服务器
在实际环境中,可能上述几种角色集中在一台服务器上
网络:
Lcs将发布到公网上,公网域名为lcs.xxx.com,IP地址为xxx.xxx.xxx.xxx
客户端通过防火墙连接到Internet,与lcs不在同一信任环境中
测试用户帐号test,密码test
域名和IP地址
申请公网域名和IP地址,并确保域名能够正确的解析到IP
建立Windows 2003域环境
安装dc、lcs、ca的操作系统(Windows Server 2003)和服务包
升级dc为域控制器
将lcs和ca服务器加入到域
在CA服务器上安装,选择建立Enterprise CA,名称为TestCA
安装和配置LCS服务器
*安装LCS
*为LCS服务器申请证书
使用TLS作为LCS通讯方式时,在Windows Messenger中输入的服务器地址应当与LCS服务器证书中颁发对象名称完全一致。在通常情况下,可以使用Computer Certificate;然而,由于Computer Certificate颁发对象的名称是计算机名称,如果需要给LCS服务器指定另外的名称(如lcs.microsoft.com),则可以采用以下的步骤)
1. 在CA服务器上创建证书模版
a. 点击Start——点击Run——输入mmc,输入回车
b. 在“File”菜单中,点击“Add/Remove Snap-in”
c. 点击 "Add", 点击 "Certificate Templates", 点击 "Add", 点击 "Close",点击 "OK".
d. 展开Certificate Templates,选择Web Server,右键点击,选择Duplicate Template
e. 在打开的属性对话框——General页中,设置Template Display Name和Template Name为LCS Server
f. 选择Extensions Tab页,选中Application Policies,点击Edit,点击Add,选中Client Authentication,点击OK,点击OK;此时在Description of Application Policies中,应当显示出Client Authentication和Server Authentication两项
g. 选择Close关闭属性对话框,完成证书模版的创建
h. 关闭mmc窗口
i. 运行Administrative tools——Certificate Authority
j. 展开相应服务器节点,右键点击Certificate Templates,选择New——Certificate template to issue
k. 在新打开的窗口中,选中LCS Server,选择OK
2. 在LCS服务器上申请证书
a. 打开IE窗口
b. 浏览http://ca/certsvr
c. 点击Request a certificate
d. 点击Advanced certificate request
e. 点击Create and submit a request to this CA.
f. 在Certificate Template中选择LCS Server,在Name中填入lcs服务器公网域名(lcs.xxx.com),确保“Store certificate in the local computer certificate store”被选中
g. 点击Submit,提交申请
h. 选择Install this certificate
i. 此时页面上应当出现如下提示:Your new certificate has been successfully installed.
*配置LCS服务器使用TLS
a. 启动lcs服务器工具
b. 扩展Servers节点,右击lcs节点,选择Properties
c. 点击Connections Tab,点击Add
d. 在Transport type列表中,点击TLS,再点击Change Certificate
e. 在Select Certificate对话框中,点击上一步中申请的证书,点击OK
f. 确认Listen on this port输入框中是5061,点击OK,再点击OK
为AD用户启用LCS功能
在Active Directory Users and Computers中,创建用户test,密码test
在该用户属性对话框中,选择Live Communications Tab页,选中Enable Live Communications for this user,在SIP URI中输入sip:test@testdomain.com,在Home Server中选择lcs.testdomain.com,点击OK
测试连接
在LCS服务器上安装和配置Windows Messenger 5.0,测试是否可以正常登陆(请参考以下的“配置Windows Messenger”一段)
服务器防火墙配置
发布LCS服务器,将LCS外部IP地址(xxx.xxx.xxx.xxx)5061端口的TCP inbound流量导向LCS服务器
在ISA中,首先创建一个TCP 5061 inbound的Protocol Definition,然后在Server Publish Rule中使用
客户机防火墙配置
允许5061 TCP outbound流量
安装和配置客户机
*安装Windows Messenger
*在CA服务器上导出CA根证书
a. 点击Start——点击Run——输入mmc,输入回车
b. 在“File”菜单中,点击“Add/Remove Snap-in”
c. 双击Certificates,点击Computer Account,点击Next
d. 点击Finish,再点击Close
e. Certificates(Local Computer)出现在mmc界面中
f. 展开Certificates(Local Computer),展开Trusted root certification authorities,点击Certificates
g. 在detail界面中,点击名称为TestCA的证书
h. 在Action菜单中,指向All Tasks,点击Export
i. 在证书导出向导中,点击No, do not export the private key
j. 保存证书为DER文件
*将CA根证书加入客户机受信任证书颁发机构列表
a. 将上一步导出的文件下载到客户端
b. 打开资源管理器,右键点击该文件,选择Install Certificate,点击Next,选择Place all certificates in the following store,点击Browse,选择trusted root certification authorities,点击OK,点击Next,点击Finish
如果客户机集中在域中,可以通过组策略进行设置
*配置Windows Messenger
打开Windows Messenger——Tools——Options——Accounts Tab页,选中My contacts include users of a sip communications service复选框,在sign-in name中输入 test@testdomain.com
点击Advanced,选择Configure settings,在Server name or IP address中输入lcs.xxx.com(需要与lcs服务器证书中颁发到的地址匹配,不能使用IP或者其他名称),在connection using中选择TLS
点击OK,再点击OK
dc:域控制器
lcs:lcs服务器
ca:ca服务器
在实际环境中,可能上述几种角色集中在一台服务器上
网络:
Lcs将发布到公网上,公网域名为lcs.xxx.com,IP地址为xxx.xxx.xxx.xxx
客户端通过防火墙连接到Internet,与lcs不在同一信任环境中
测试用户帐号test,密码test
域名和IP地址
申请公网域名和IP地址,并确保域名能够正确的解析到IP
建立Windows 2003域环境
安装dc、lcs、ca的操作系统(Windows Server 2003)和服务包
升级dc为域控制器
将lcs和ca服务器加入到域
在CA服务器上安装,选择建立Enterprise CA,名称为TestCA
安装和配置LCS服务器
*安装LCS
*为LCS服务器申请证书
使用TLS作为LCS通讯方式时,在Windows Messenger中输入的服务器地址应当与LCS服务器证书中颁发对象名称完全一致。在通常情况下,可以使用Computer Certificate;然而,由于Computer Certificate颁发对象的名称是计算机名称,如果需要给LCS服务器指定另外的名称(如lcs.microsoft.com),则可以采用以下的步骤)
1. 在CA服务器上创建证书模版
a. 点击Start——点击Run——输入mmc,输入回车
b. 在“File”菜单中,点击“Add/Remove Snap-in”
c. 点击 "Add", 点击 "Certificate Templates", 点击 "Add", 点击 "Close",点击 "OK".
d. 展开Certificate Templates,选择Web Server,右键点击,选择Duplicate Template
e. 在打开的属性对话框——General页中,设置Template Display Name和Template Name为LCS Server
f. 选择Extensions Tab页,选中Application Policies,点击Edit,点击Add,选中Client Authentication,点击OK,点击OK;此时在Description of Application Policies中,应当显示出Client Authentication和Server Authentication两项
g. 选择Close关闭属性对话框,完成证书模版的创建
h. 关闭mmc窗口
i. 运行Administrative tools——Certificate Authority
j. 展开相应服务器节点,右键点击Certificate Templates,选择New——Certificate template to issue
k. 在新打开的窗口中,选中LCS Server,选择OK
2. 在LCS服务器上申请证书
a. 打开IE窗口
b. 浏览http://ca/certsvr
c. 点击Request a certificate
d. 点击Advanced certificate request
e. 点击Create and submit a request to this CA.
f. 在Certificate Template中选择LCS Server,在Name中填入lcs服务器公网域名(lcs.xxx.com),确保“Store certificate in the local computer certificate store”被选中
g. 点击Submit,提交申请
h. 选择Install this certificate
i. 此时页面上应当出现如下提示:Your new certificate has been successfully installed.
*配置LCS服务器使用TLS
a. 启动lcs服务器工具
b. 扩展Servers节点,右击lcs节点,选择Properties
c. 点击Connections Tab,点击Add
d. 在Transport type列表中,点击TLS,再点击Change Certificate
e. 在Select Certificate对话框中,点击上一步中申请的证书,点击OK
f. 确认Listen on this port输入框中是5061,点击OK,再点击OK
为AD用户启用LCS功能
在Active Directory Users and Computers中,创建用户test,密码test
在该用户属性对话框中,选择Live Communications Tab页,选中Enable Live Communications for this user,在SIP URI中输入sip:test@testdomain.com,在Home Server中选择lcs.testdomain.com,点击OK
测试连接
在LCS服务器上安装和配置Windows Messenger 5.0,测试是否可以正常登陆(请参考以下的“配置Windows Messenger”一段)
服务器防火墙配置
发布LCS服务器,将LCS外部IP地址(xxx.xxx.xxx.xxx)5061端口的TCP inbound流量导向LCS服务器
在ISA中,首先创建一个TCP 5061 inbound的Protocol Definition,然后在Server Publish Rule中使用
客户机防火墙配置
允许5061 TCP outbound流量
安装和配置客户机
*安装Windows Messenger
*在CA服务器上导出CA根证书
a. 点击Start——点击Run——输入mmc,输入回车
b. 在“File”菜单中,点击“Add/Remove Snap-in”
c. 双击Certificates,点击Computer Account,点击Next
d. 点击Finish,再点击Close
e. Certificates(Local Computer)出现在mmc界面中
f. 展开Certificates(Local Computer),展开Trusted root certification authorities,点击Certificates
g. 在detail界面中,点击名称为TestCA的证书
h. 在Action菜单中,指向All Tasks,点击Export
i. 在证书导出向导中,点击No, do not export the private key
j. 保存证书为DER文件
*将CA根证书加入客户机受信任证书颁发机构列表
a. 将上一步导出的文件下载到客户端
b. 打开资源管理器,右键点击该文件,选择Install Certificate,点击Next,选择Place all certificates in the following store,点击Browse,选择trusted root certification authorities,点击OK,点击Next,点击Finish
如果客户机集中在域中,可以通过组策略进行设置
*配置Windows Messenger
打开Windows Messenger——Tools——Options——Accounts Tab页,选中My contacts include users of a sip communications service复选框,在sign-in name中输入 test@testdomain.com
点击Advanced,选择Configure settings,在Server name or IP address中输入lcs.xxx.com(需要与lcs服务器证书中颁发到的地址匹配,不能使用IP或者其他名称),在connection using中选择TLS
点击OK,再点击OK
86
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
