lcs 2005 客户端配置及加密与不加密的通讯测试

现在介绍如何配置LCS2005 客户端，利用即时通讯服务器进行即时通讯。实验拓扑如下：

今天的实验用管理员登陆域控制器，user3登陆成员服务器来进行即时通讯测试。为用户启用LCS即时通讯功能，默认没有开启，在域控制器中设置用户属性，允许用户通过即时通讯服务器进行即时通讯。

一：如下图所示点击管理员属性勾选“为此用户启用live communications”,SIP URL是用户在LCS中的用户身份识别符，如果用户有邮箱就添加其邮箱地址就可以了，可以理解成为qq的聊天号码,没有邮箱只要写上用户名@域名标准的电子邮件地址格式就可以。服务器地址池填写LCS服务器的完全合格域名，意思是即时通讯服务器（ISTANBUL）允许用户登陆进来。管理员的设置完成账号被启用了。

在域控制器上为user3也启用即时通讯服务。

二：配置dns的SRV 记录

服务定位器(srv)资源记录。允许使用单个DNS查询操作定位提供类似的基于TCP/IP服务器的多个服务器。该记录使您可为按照DNS域名首选项排列的已知服务器端口和传输协议类型维护服务器的列表。例如，在Windows Server 2003 DNS中，它提供了通过TCP端口389定位使用轻型目录访问协议（LDAP）服务的域控制器方法。
简单来讲，定位域内资源！测试时管理员和user3分别利用客户端程序连接到LCS服务器，客户端不知道究竟谁是域中的即时通讯服务器，一种方法是手工配置服务器具体位置，有点麻烦，简单有效的方法是正确配置SRV记录，就可以查出谁是域中的即时通讯服务器了。

创建服务位置SRV记录。打开DNS 右键选择创建“其他新记录”选择 “服务位置（SRV）”如下图所示。

 

sip协议

sip(session initiation protocal)称为会话发起协议，是由ietf（internet engineering task force）组织于1999年提出的一个在基于ip网络中，特别是在internet这样一种结构的网络环境中，实现实时通讯应用的一种信令协议。而所谓的会话（session），就是指用户之间的数据交换。在基于sip协议的应用中，每一个会话可以是各种不同的数据，可以是普通的文本数据，也可以是经过数字化处理的音频、视频数据，还可以是诸如游戏等应用的数据，应用具有巨大的灵活性。

作为一个ietf提出的标准，sip协议在很大程度上借鉴了其他各种广泛存在的internet协议， 如http（超文本传输协议）、smtp（简单邮件传输协议）等，和这些协议一样，sip也采用的基于文本的编码方式，这也是sip协议同视频通讯领域其他现有标准相比最大的特点之一。

sip系统的基本组成

按逻辑功能区分，sip系统由4种元素组成：用户代理、sip代理服务器、重定向服务器以及sip注册服务器。

在提供服务的主机上输入即时通讯服务器的完全合格域名。这里即时通讯是ISTANBUL完全合格域名是istanbul.exchtest.com.在端口号中输入服务器监听的端口——"5060"    协议输入 _tcp记住要有下划线啊，服务输入 _SIP也是有下划线的。手工输入就可以了不用在下拉列表中找了。意思是：有一台叫istanbul.exchtest.com的服务器能在5060端口提供基于tcp的SIP服务。

即时通讯通讯服务器能在端口5060允许用户通过TCP协议进行不加密的连接，也允许用户通过连接端口5061进行TLS加密的连接，但是服务器要有证书的配合，因为加密时离不开证书做保护的，默认即时通讯服务器只能在5060提供不加密的链接。如下图所示

三。现在两个测试的用户已经允许使用LCS服务了，SRV 记录也配置完成了，现在开始为用户装客户端工具了就是大家所熟悉的MSN，挂入光盘镜像。

Microsoft Office Communicator 2005 是一个集成了通信功能与生产力应用程序及其他通信应用程序的企业信息程序，集成的通信功能包括即时消息 (IM)、丰富的状态显示、基于 PC 的语音和视频、Internet 语音协议 (VoIP) 和企业电话。Microsoft Office Communicator 2005 为信息工作者而设计，在企业环境中提供基于行业标准的集成通信功能。通过提供完全集成的企业级用户体验，可以方便地配合现有的桌面应用程序使用，从而解决了与管理不同的实时通信模式有关的问题。

Microsoft Office Communicator 2005 将成为 Microsoft Office Live Communications Server 2005 建议使用的客户端，它提供基于标准的企业级即时消息 (IM) 解决方案和可扩展的实时协作平台，将用户、信息和业务流程无缝地实时连接在一起。单击下一步。

选择我接收许可协议。点击下一步

输入产品密钥。点击下一步。

实验环境这里采用默认。点击下一步。

开始安装客户端工具。

安装完成，点击完成。

四。用户登陆

在FLORENCE上 开始——程序——管理工具 打开客户端工具，因为我是以管理员登陆的并且有邮箱输入邮件地址，点击确定。

berlin上以user3登陆，并打开即时通讯客户端工具，如下图所示

五。如何添加聊天列表

点击联系人——添加联系人

点击下一步

输入要查找的人的即时通讯地址

如图所示点击下一步。

user3成功的添加了管理员作为好友。

这时管理员也收到了user3发的好友添加请求，如图所示点击确定。

六。用户利用即时通讯和邮件服务器完成即时通讯和邮件的发送

现在开始利用即时通讯发即时消息和电子邮件了。不在解释，看图就明白了 。

 

七。如何实现加密的即时通讯

注意如果用户不能登陆客户端，用telnet 连接即时通讯服务器的5060端口，如果能连接上证明5060端口有进程守护，还有SRV记录有没有配置错误，如果都没有问题那就要检查一下即时通讯服务器了，用户登陆客户端也是采用集成验证的很方便。由于明文传输没有经过加密比较容易被嗅探工具嗅探出来所以加密能保证信息的安全性更高。

在cmd中输入 netstat -ano |find "506"  用管道符筛选出含有506的端口信息，此时服务器只能提供不加密的连接服务，很不安全。

实现加密通信的步骤：

1.FLORENCE做为证书服务器，为即时通讯服务器提供证书的支持。点击开始——设置——控制面板——添加删除程序——添加删除组件——证书服务如下图所示点击下一步。

2.点击  是

3.选择“企业根”点击下一步。

4.键入CA的公用名称。可以是任意的。

5.点击 是

6.点击 下一步

7。点击 是

8.开始安装组件。

9.需要windows2003光盘的文件

10.挂入光盘。

11.点击确定

12.点击完成 证书服务安装完成。

13.即时通讯服务器申请证书，打开IE输入 http://florence/certsrv  选择申请一个证书

14.选择 高级证书的申请

15.选择 创建并向此CA提交一个申请

16.选择 证书模版选择 web服务器，姓名一定要注意说明证书颁发给谁，我们去办理×××类似，勾选将证书放到计算机存储中

17.点击 提交 点击是

 

18.用MMC添加一个管理单元——证书

19.选择 计算机账户

20.点击完成

21.可以看到即时通讯服务器所申请的证书了。如下图所示

22. 配置TLS

23.在即时通讯服务器上如下图所示打开即时通讯服务管理工具LCS2005

24.右键 istanbul.exchtest.com 属性看到提供的是连接5060 端口的不加密连接，点击添加

25.在传输类型上选择TLS 这时你会看到下面侦听的端口自动变成了 5061 了 点击选择证书 选择申请的证书 TLS是传输层加密技术，点击选择证书时会自动的到计算机存储中找到证书，点击确定。

26这是LCS服务器开始侦听5060和5061两个端口了。

27.由于在SRV记录中只写了ISTANBUL在5060提供不加密的即时通讯服务，也要写上此服务器在5061上提供加密的即时通讯服务。如下图所示

这时在客户端上 cmd 中 输入如下图所示。如果提供连个端口的服务哪个优先呢，从下图中就可以很明显的知道。客户机在查找DNS时在域中提供TLS服务的优先如果没有，就找有没有TCP不加密的SRV记录。如果在没有就问有没有UDP的记录，一个加密一个不加密当然是加密的TLS优先于不加密的TCP了

测试时还要 用 ipconfig/flushdns 命令清除DNS的缓存 以免测试有问题。

在berlin 上怎么登陆不进去了。

也看不到加密的连接啊

原因是berlin 还没刷新策略需要等段时间，在受信任的根证书颁发机构找不到服务器的证书。

BERLIN刷新策略，cmd  中键入 gpupdate /force 如下图所示

 

这时在受信任的跟颁发机构就能看到服务器的证书了

berlin上的user3登陆也正常了。

查看端口现在是加密的连接。

 

即时服务的通信加密完成。

转载于:https://blog.51cto.com/zhchyu/157389