Установка Lync. Публикация Lync через TMG часть 3

После того, как роль Edge развернута необходимо обеспечить защищенную публикацию сервисов Lync. Приложив минимальные усилия, это можно сделать присвоив внешние IP-адреса  «внешнему» сетевому адаптеру, но в большинстве случаев сервер Edge размещают за устройством NAT. Кроме устройства NAT для публикации Web Services необходимо наличие обратного прокси HTTP, роль которого прекрасно выполняет ISA/TMG. Официально Microsoft не поддерживает TMG в роли устройства NAT, так как TMG не поддерживает static NAT. В реальности возможно какой то функционал не работает, но лично мной были протестированы сценарии Lync To Lync через Edge: аудио/видео Peer to peer, конференция, общий доступ до рабочего стола и приложений, осталось протестировать федерацию. Лично мое мнение — для пилотов или «попробовать» можно использовать TMG. Если Lync разворачивается в продуктивной среде и есть вероятность, что для решения проблем будет привлекаться Microsoft support, то использовать TMG можно только как публикатор Web Services URL. Какие протоколы необходимо разрешить на брандмауэре можно посмотреть тут, конфигурация моего тестового стенда будет отличаться, только тем, что второго брандмауэра (internal firewall) нет. Итак, на схеме отображен сервер TMG, который для наглядности логически разделен на Firewall и Reverse Proxy.

Настройки сервера Edge и схему подключения можно посмотреть в двух предыдущих частях, совсем кратко напомню, что сервер Edge своим «внешним» сетевым адаптером подключается к сети DMZ, а «внутренним» сетевым адаптером подключается к внутренней сети.

Конфигурация сервера TMG следующая:

Три сетевых адаптера:

• Внешний сетевой адаптер(External)

IP1: 192.168.0.121/24
IP2: 192.168.0.122/24
IP3: 192.168.0.123/24
IP4: 192.168.0.120/24
GW: 192.168.0.1
DNS: —

• Внутренний сетевой адаптер(Internal):

IP: 172.16.30.1/24
GW: —
DNS: 172.16.30.2

• Сетевой адаптер для DMZ(DMZ):

IP1: 172.16.40.1/24
GW: —
DNS: —

Разрешение имен внутренней зоны происходит с помощью DNS 172.16.30.2.  Разрешение внешней зоны xxx.lync обеспечивается с помощью файла HOSTS, куда добавлены следующие FQDN: sip.xxx.yyy, access.xxx.yyy, webconf.xxx.yyy, av.xxx.yyy, meet.xxx.yyy, dialin.xxx.yyy, fe.xxx.yyy

На базе трех сетевых адаптеров созданы три сети: Internal, External, DMZ. Между сетями настроены следующие отношения:

Internal, DMZ<—>External — NAT
DMZ<—>Internal — Routing

Прежде всего создадим объекты Computers:

Lync Edge Internal 172.16.30.4
Lync Edge Access 172.16.40.2
Lync Edge Webconf  172.16.40.3
Lync Edge A/V 172.16.40.4
Lync FrontEnd 172.16.30.3

После этого можно настроить правила трансляции NAT в соответствии со следующей схемой:

Access Edge                    192.168.0.121->172.16.40.2
Webconf Edge                192.168.0.122->172.16.40.3
AudioVideo Edge          192.168.0.123 ->172.16.40.4

Для этого необходимо перейти в раздел Networking->Netwrok Rules и создать следующее правило NAT для Lync Access Edge Идентичным образом создаются еще два правила для Webconf и AV. В результате должна получиться следующая картина в разделе сетевых правил: Перед тем как, публиковать Web Services URL, необходимо поместить сертификат ЦС RootECA в Local Computer-> Trusted Root Certification Authorities, а так же импортировать сертификат в Local Computer->Personal со следующими именами: P.S. Предполагается, что имена в сертификате будут созданы во внешней зоне DNS. СN=FE.xxx.yyy SAN=FE.xxx.yyy SAN=dialin.xxx.yyy SAN=meet.xxx.yyy

Перейдем к созданию правила. Первым шагом создадим Web listener:

После создания, необходимо изменить свойства прослушивателя, включив HTTP в разделе Connections:

Создание правила публикации Web Services URL:

После того, как сервисы Web опубликованы, перейдем к настройкам NAT.Настройка осуществляется с помощью правил публикации и правил доступа. Для входящего трафика создаются правила публикации, дли исходящего трафика создаются правила доступа.

Начнем настройку правил для Access Edge:

Первое правило публикации для входящего трафика SIP/ TLS 443 порт

Правило публикации для входящего трафика Access Edge  5061 SIP/MTLS

Исходящее правило доступа Access Edge  5061 SIP/MTLS

Исходящее правило доступа Access Edge  80 HTTP делается аналогично предыдущему правилу(Access Edge  SIP/MTLS 5061 OUT )

Для Web Сonference Edge сервера необходимо создать только одно водящее правило публикации Web Conf Edge PSOM/TLS 443:

Публикация для A/V Edge

Входящее правило публикации для AudioVideo Edge RTP/UDP 50000-59999

Так как по умолчанию такого протокола не определено, необходимо его определить вручную.

Входящее правило публикации для AudioVideo Edge RTP/TCP 50000-59999 создается аналогично предыдущему, разница только в том, что протокол TCP:

Входящее правило публикации AudioVideo Edge STUN/UDP 3478

Входящее правило публикации AudioVideo Edge STUN/TCP 443

Исходящее правило доступа для RTP TCP/UDP 50000-59999

Так как направление изменилось, нужно создать еще два протокола TCP/UDP, изменив направление.

Финальный вид настроек следующий:

P.S. Шаг публикации CRL пропущен, но правило публикации Web создано(№3).

P.S.S. В случае, если тестирование проходит с помощью разрешений имен на базе Hosts не забудьте добавить следующие записи:

192.168.0.120 meet.xxx.lync
192.168.0.120 fe.xxx.lync
192.168.0.120 dialin.xxx.lync
192.168.0.120 crl.xxx.lync
192.168.0.121 access.xxx.lync
192.168.0.122 webconf.xxx.lync
192.168.0.123 av.xxx.lync