Lync Server 2010详解系列7：Lync Server边缘服务器的部署 （TMG充当反向代理和防火墙）...

导语：

前一篇中我们介绍了Lync Server边缘服务器（无反向代理）的部署，本篇将接前一篇继续接受包含TMG（充当反向代理和防火墙）的Lync边缘服务器的部署。大家如果在部署的过程中遇到什么问题可以和我一起讨论。

让我们共同分享，共同讨论，共同进步；快乐学习，快乐工作，快乐成长！好了，不多说了，进如我们今天的正题吧！

环境介绍:

首先，和前面一样让我们回顾一下我们的环境。边缘服务器的部署有多种方案，这里我们按照是否在外围网络中有反向代理服务器分为两种主要方案：一种是在外围网络中没有反向代理服务器和软防火墙（ISA/TMG）上篇已经介绍过此种部署拓扑，建议在此种部署方案中在边缘路由器添加防火墙硬件模块以提高安全性，因为本方案没有软件防火墙（ISA/TMG）公网上的网络流量可以直接到达Lync边缘服务器的外网卡，这样将会减低安全性。

另外一种是在外围网络中有TMG/ISA的拓扑（正是本篇要介绍的），TMG/ISA可以只充当方向代理服务器（加密外部用户访问Lync前端服务器IIS上的地址簿、分布组、web会议等）不作防火墙用（SIP、AV、web会议等流量不经过TMG/ISA,而是直接到达Lync边缘服务器的外网卡），此种做法只是把TMG/ISA和Lync边缘服务器并行放在DMZ网络中，如果边缘路由器上有硬件防火墙模块的话建议可以采用此种拓扑。另外，根据边缘服务器外网口上的IP地址是否为静态NAT还可以分两种方案，关于静态NAT的部署方案将在后面系列文章中介绍。

注意：Lync边缘服务器不支持和其他任何Lync服务器角色并置部署也不支持和反向代理服务器（如ISA和TMG）并置部署，另外，也不支持边缘服务器的边缘角色（访问边缘服务、A/V边缘服务、web会议边缘服务）分开部署，这和之前的ocs有很大的区别。那么下面就让我们来介绍一下我们今天的部署环境吧！

Lync部署拓扑图 :

网络环境：

从上面的拓扑中可以看出，在该测试环境中我们分为3个部分：

第一部分是拓扑最左边部分的Internet用到的模拟公网IP为202.100.100.0/24,在Internet上的用户有企业的远程用户，联盟用户，和公共IM（测试时，由于环境限制我们只测试远程用户）。DMZ上bj-tmg外网卡将作为Internet流量的统一入口。

第二部分是外围网络DMZ部分，在DMZ有两台服务器，一台TMG：bj-tmg，该服务器有3个网卡，分别连接内部、DMZ、和Internet。一台lync边缘服务器，这台服务器都有两个网卡。一个是用来连接DMZ网络的（确认公网上的IP可以路由到该网卡的公网IP即可）一个是连接到内部网络(10.0.0.0/16)。

第三部分是拓扑中最右边部分，也就是我们之前讲的内部网络，用到的内网是A类私有网络10.0.0,子网掩码为255.255.0.0，DNS和DHCP服务器都为10.0.0.1。

AD环境：

在本环境中有一个站点：beijing site和一个域：test.com。

其中bj-dc-01是域中的一台DC另外此台DC上面承载了CA(证书颁发机构)、DNS（域名服务）、DHCP（动态主机配置协议）的角色。

bj-lync-be：后端数据库服务器，监控服务器，存档服务器。

bj-lync-fe：lync前端服务器，承载的角色有中介服务器、AV服务器、会议服务器、web服务器。

bj-client-win7：内部客户端，将安装lync 2010客户端软件。

Lync边缘服务器:

bj-tmg：用来做Lync的反向代理服务器和防火墙

bj-lync-edge：Lync边缘服务器（本文章的重点）

服务器IP配置：

bj-dc-01:10.0.0.1/16

bj-lync-be:10.0.0.21/16

bj-lync-fe:10.0.0.22/16

bj-client-win7:DHCP动态获取

bj-tmg：

LAN:10.0.0.1/16

DMZ:172.16.0.1/16(模拟公网IP)

WAN:202.100.100.1(作为Internet的统一入口)

bj-lync-edge：

内网卡：10.0.0.2/16

DMZ网卡：172.16.0.2/16(模拟公网IP)

边缘服务器支持的外部用户：

Lync Server支持的外部用户包括：

• 远程用户 - 组织的内部用户但在组织防火墙外工作。
• 联盟用户 - 与贵组织建立联盟关系的其他组织中的用户。
• 匿名用户 - 组织外部应您的某个用户邀请而加入特定会议的用户。
• 公共 IM 服务用户 - 使用 MSN Internet 服务网络、Yahoo! 和 AOL 提供的公共 IM 服务的用户。公共 IM 连接需要使用单独的许可证。

远程用户在您的防火墙外工作时，也可以从 Lync Server 的大多数功能受益。联盟用户可与贵组织的用户共享 IM 和状态数据。所有这些类型的外部用户均可参加内部会议、进行数据协作，以及通过贵组织的防火墙中继音频和视频。

为允许外部用户访问，Lync Server 提供了边缘服务器角色。边缘服务器在外围网络中运行，可将您的部署与外部用户联系起来。此外，HTTP 反向代理不是 Lync Server角色，但可用于对使用 Lync Web App 的外部用户进行身份验证。提供以下各项时必须使用 HTTP 反向代理：

• 对通讯簿信息的外部访问
• 扩展通讯组中成员身份的能力
• 对 Web 会议的会议内容的访问（白板，PPT文件上传）
• 向远程用户提供设备更新服务

边缘服务器角色：

在 Lync Server 2010中，每台边缘服务器都运行三种服务：访问边缘服务、Web 会议边缘服务和 A/V 边缘服务。

1.访问边缘服务

访问边缘服务负责处理通过企业防火墙的所有 SIP 流量。访问边缘服务仅处理建立和验证连接所需的 SIP 流量。它并不处理数据传输，也不对用户进行身份验证。对入站流量的身份验证由控制器或前端服务器执行。控制器是 Office Communications Server 2007 R2 Standard Edition Server 或企业版池，它位于组织防火墙之内，但不承载用户。控制器并非必需，但强烈建议您使用它。如果未部署控制器，则在指定的池或 Standard Edition Server 上的前端服务器中执行此身份验证。（执行身份验证必须访问 Active Directory 域服务，即 AD DS，但边缘服务器不具有该访问权限，因为它们部署在 AD DS 之外的外围网络中。）访问边缘服务对于所有外部用户方案（包括会议、远程用户访问、联盟和公共 IM 连接）都必不可少。

2.Web 会议边缘服务

Web 会议边缘服务负责代理 Web 会议服务器与外部客户端之间的持续性共享对象模型 (PSOM) 流量。外部会议流量必须经过 Web 会议边缘服务授权，才能转发到 Web 会议服务器。Web 会议边缘服务要求外部客户端使用 TLS 连接并获得会议会话密钥。

3.A/V 边缘服务

A/V 边缘服务提供一个可信的连接点，入站和出站媒体流量（包括应用程序共享流量）通过它能够安全地穿越网络地址转换 (NAT) 和防火墙。多媒体穿越防火墙的行业标准解决方案是互动式连接建立 (ICE)，它基于“NAT 下的简单穿越”(STUN) 和“使用中继 NAT 进行穿越”(TURN) 协议。A/V 边缘服务是一种 TURN/STUN 服务器。所有用户都要经过身份验证，以确保以安全方式访问企业以及使用 A/V 边缘服务提供的防火墙穿越服务。若要在企业内部发送媒体，外部用户必须经过身份验证，而且必须有经过身份验证的内部用户同意与之通过 A/V 边缘服务进行通信。

反向代理

反向代理是实现以下功能所必需的：

• 允许用户使用简单 URL 连接到会议或电话拨入式会议
• 允许外部用户下载会议内容
• 允许外部用户扩展通讯组
• 允许用户获取基于用户的证书以便进行基于客户端证书的身份验证
• 允许远程用户从通讯簿服务器下载文件，或者向通讯簿 Web 查询服务提交查询
• 允许远程用户获取客户端和设备软件的更新

注意：本文章是在上一篇的基础上进行修改，不明白的地方可以参考我的前一篇文章。

大概步骤：

1. 修改服务器配置
2. 利用拓扑构建器修改拓扑
3. 发布拓扑
4. 在Lync边缘服务器上导出证书
5. 在TMG上导入Lync边缘服务器的证书
6. 配置TMG作为Lync服务器的反向代理
7. 配置TMG作为Lync的防火墙
8. 测试

修改Lync边缘服务器IP配置

修改边缘服务器的DNS记录

利用拓扑构建器修改拓扑

 

修改前端池的外部Web服务

发布拓扑

在Lync边缘服务器上导出证书

注意：注意导出私钥，否则在导入TMG时证书将不可以用！

在TMG导入Lync边缘服务器的证书：

配置TMG作为Lync服务器的反向代理

导航到TMG面板上的防火墙策略，在右侧的任务选项卡上单击“Pulish web server”发布web服务器

允许访问

采用SSL

输入内部承载通讯簿和分布组等的lync前端池的FQDN

在路径中输入“/*”，即服务器下的所有路径

输入监听外部的FQDN，这里输入rp.test.com

新建监听器

要求外部用户到TMG采用SSL

监听外部网络

选择匹配的证书，此证书是之前从Lync边缘服务器导出的

选择无验证

完成监听器的创建

选择无委派，但用户可以直接进行身份验证

完成web服务器的发布，也就完成了反向代理的配置。

修改发布规则相关属性：

在”to(到)”选项卡上勾选如下选项

在“Bridging（桥接）”选项卡上修改重定向端口为4443

在“public name（公共名称）”选项卡中添加监听的外部名称

测试外部用户能够访问到lync内部的web会议：

成功连接，证明反向代理配置成功！

配置TMG作为Lync边缘服务器的防火墙

创建A/V和web会议用到的协议端口

发布A/V和web会议到公网

到此，就完成了防火墙策略的相关配置，策略如下图所示！