Jump to content
  • entries
    49
  • comments
    120
  • views
    20373

Εγκαθιστώντας τον MS Office Communications Server (OCS) 2007 R2 – Part IV (Consolidated Edge Server setup)


gvarakis

1469 views

 Share

Αφού στα προηγούμενα άρθρα έχουμε στήσει τη βασική υποδομή του εσωτερικού μας δικτύου, και έχουμε δώσει στους χρήστες μας τη δυνατότητα χρήσης των κυρίως clients της σουίτας (MS Office Communicator 2007 R2, MS Office Live Meeting Console 2007, MS Office Communicator Web Access 2007 R2) μέσα από το corporate LAN της Autoexec Ltd, προχωράμε σε ένα από τα πιο ‘tricky’ κομμάτια της εγκατάστασης, αυτό του Edge Server, ο οποίος δίνει τη δυνατότητα στους χρήστες μας, να συνδέονται στην υποδομή και τις υπηρεσίες του MS OCS 2007 R2 ακόμη και όταν βρίσκονται εκτός του εταιρικού δικτύου, ΧΩΡΙΣ να απαιτείται η χρήση VPN υποδομής! Η ασφάλεια της πρόσβασης και της επικοινωνίας, παρέχεται αποκλειστικά από την PKI υποδομή μας, και όλη η επικοινωνία από και προς το εσωτερικό δίκτυο, γίνεται encapsulated πάνω από https / SSL (SIP signaling, web components) και secure STUN (audio / video).

Δεν θα γίνω εδώ πιο αναλυτικός ως προς τη λειτουργία και το μηχανισμό ασφαλείας του Edge Server role του OCS, αλλά από μόνο του το στοιχείο, οτι μπορούμε να παρέχουμε τόσο σύνθετες και ολοκληρωμένες υπηρεσίες Voice / Video / Conferencing ‘ανοίγοντας’ μόλις δύο ‘πόρτες’ στο εξωτερικό firewall, και χωρίς την ανάγκη επιπλέον υποδομής VPN!!!

Για την όσο το δυνατό πιο ολοκληρωμένη και σωστή εγκατάσταση, θα χρειαστούμε να στήσουμε δύο servers στην ‘περίμετρο’ του δικτύου μας. Ο ένας θα είναι ένας Windows Server 2008 Standard 64-bit (ακόμη ένας, και έχουμε ακόμη μέλλον …) ο οποίος θα παίξει το ρόλο του Consolidated Edge Server (με τον όρο αυτό εννούμε πως θα έχει ενσωματομένους όλους τους ρόλους : Access – A/V – Web Conferencing) και η έκπληξη, ένας Windows Server 2003 Std SP2 32-bit (ο πρώτος και τελευταίος) στον οποίο θα εγκαταστήσουμε τον MS ISA Server 2006 SP1 (προσοχή, το SP1 είναι ΑΠΑΡΑΙΤΗΤΟ!) και θα παίξει το ρόλο του ‘εσωτερικού’ firewall, στην προτεινόμενη τοπολογία back – 2 – back firewall.

Topology

Προετοιμασία / Network Setup :

Στο παραπάνω διάγραμμα, έχουμε τα ακόλουθα subnets :

Internal 192.168.0.0 / 24
DMZ 192.168.10.0 / 24
External 192.168.20.0 / 24

 

Επίσης, οι Servers που στήνουμε, παίρνουν τις εξής διευθύνσεις IP :

Server Name Interface IP Address Gateway DNS
SRV-ISA Internal 192.168.0.250 - 192.168.0.1 (DC1)
DMZ 192.168.10.250 - -
External 192.168.20.250 192.168.20.254 -
SRV-OCSEDGE DMZ 192.168.10.21 - 192.168.0.1 (DC1)
External 192.168.20.21 192.168.20.254 -

Τέλος, προσθέτουμε στον EDGE, static route για το εσωτερικό δίκτυο στην 192.168.10.250 (ISA)

0_IPconfig

Και για να ολοκληρώσουμε τα της … προετοιμασίας, θα χρειατούμε την παρακάτω εγγραφή στον DNS :

Internal DNS srv-ocsedge.autoexec.local Host 192.168.10.21

ISA Server Setup (part 1) :

Στον Windows Server 2003 και αφού έχουμε δώσει τις παραπάνω IP’s, εγκαθιστούμε τον MS ISA Server 2006 και αμέσως μετά, εγκαθιστούμε και το SP1 για τον ISA Server 2006 και προχωράμε στο απαραίτητο reboot.

Στο ISA Server Management ορίζουμε τη λειτουργία σε 3-leg Perimeter, όπου κάνουμε assign τα δίκτυα Internal –> Internal & Perimeter –> DMZ.

Αλλάζουμε την αρχική σχέση των δικτύων Internal –> Perimeter από NAT σε Routing (ΑΠΑΡΑΙΤΗΤΟ)

Για την ευκολία μας κατά το setup, επιτρέπουμε unrestricted access από και προς τα δίκτυα DMZ & Internal

 

Edge Server Setup :

Στον Windows Server 2008 Std 64-bit αφού ρυθμίσουμε τις IP’s, τοποθετούμε το CD εγκατάστασης του OCS 2007 R2.

Πιστεύω πως έχουμε πλέον όλοι μάθει τα πρώτα βήματα, που δεν είναι άλλα από …

VC++ 2008 & .NET 3.5 SP1 !!!

Στη συνέχεια Deploy Other Server Roles –> Deploy Edge Server …

Step 1 : Install Files for Edge Server

Επιλέγουμε το path όπου θα εγκατασταθούν τα αρχεία, και δίνουμε ok, για να προχωρήσει αυτό το πρώτο βήμα της εγκατάστασης. Καθόμαστε αναπαυτικά και περιμένουμε να ολοκληρωθεί η διαδικασία, χωρίς να απαιτείται άλλη παρέμβαση από το χρήστη.

 

Step 2 : Activate Edge Server

Δίνουμε έναν κωδικό για το νέο local account, το οποίο θα τρέχει τα services του Edge Server, και αφήνουμε τη διαδικασία να ολοκληρωθεί.

 

Step 3 : Configure Edge Server

Στο πρώτο βήμα, θα μας ρωτήσει για το αν έχουμε settings file για να κάνουμε import. Φυσικά ΔΕΝ έχουμε τώρα, αλλά μπορούμε να δημιουργήσουμε ένα αμέσως πριν την ολοκλήρωση του configuration, το οποίο μπορούμε να κρατήσουμε αν θέλουμε για κάποιο λόγο να επαναφέρουμε τον Edge Server, μετά από λάθος ρύθμιση, ή αν θέλουμε να τον στήσουμε από την αρχή λόγω κάποιας καταστροφής!

Στην επόμενη λοιπόν οθόνη, επιλέγουμε την ΕΣΩΤΕΡΙΚΗ ip address, ενώ συμπληρώνουμε και το αντίστοιχο FQDN για το εσωτερικό interface. ΠΡΟΣΟΧΗ, θα πρέπει όπως είπαμε παραπάνω, να δημιουργήσουμε στον ΕΣΩΤΕΡΙΚΟ μας DNS Server, την αντίστοιχη εγγραφή, όπως την καταχωρούμε στο παραπάνω βήμα! Με αυτόν τον τρόπο, θα επικοινωνούν οι εσωτερικοί μας servers με τον Edge. Σημειώστε τα port numbers που εμφανίζονται αυτόματα στο κάτω μέρος της οθόνης. Είναι αυτά που πρέπει να ανοίξουμε στο εσωτερικό firewall (SRV-ISA) με ακτεύθυνση από το εσωτερικό interface του Edge Server προς τον Front End Server.

3_Configure_1

Στο επόμενο βήμα, θα δώσουμε τις αντίστοιχες παραμέτρους για το εξωτερικό interface. Εδώ θα παραλείψω εσκεμμένα κομμάτι της θεωρίας, αλλά απλά θα αναφέρω πως η συνιστώμενη διαδικασία, είναι τρία (3) εξωτερικά interfaces, το καθένα με δική του IP (NAT’ed ή Real) και δικό του FQDN, registered στον ΕΞΩΤΕΡΙΚΟ DNS Server, και με δικό του Certificate, και τα οποία ‘ακούνε’ στην πόρτα TCP 443 (https). Για την ιστορία, ο Access Edge Server Role μπορεί για πρώτη φορά να γίνει NAT’ed στην έκδοση R2 του OCS 2007. Στην υλοποίησή μας χρησιμοποιούμε μόνο ένα εξωτερικό NIC, με μία IP και χρήση non-default ports (443,8443,8444), ένα εξωτερικό FQDN (sip.autoexec.gr) και ένα μόνο Certificate με το όνομα αυτό. Φυσικά τους παραπάνω συνδυασμούς IP’s/ports θα πρέπει να τους ανοίξουμε στο εξωτερικό firewall, το οποίο κάνει και NAT τις private IP’s του external Edge interface σε Internet real IP’s.

3_Configure_2

Αμέσως μετά ορίζουμε τις δυνατότητες πρόσβασης που θα παρέχει ο Access Edge Server (επιλέγουμε Allow remote users και Allow anonymous users, είναι το μεν πρώτο απαραίτητο, το δε δεύτερο πολύ χρήσιμο αν θέλουμε να παρέχουμε δυνατότητα πρόσβασης σε εξωτερικούς συνεργάτες).

3_Configure_3

Στα επόμενα βήματα, δίνουμε το FQDN του εσωτερικού μας Standard Edition Server, τα εσωτερικά SIP domains (autoexec.local & autoexec.gr), τους authorized internal servers (τους εσωτερικούς servers που έχουν πρόσβαση στον Edge, δηλαδή στην περίπτωσή μας μόνο τον Standard Edition) και τέλος, έχουμε τη δυνατότητα να εξάγουμε το παραπάνω configuration και να το αποθηκεύσουμε σε αρχείο τύπου .xml για μελοντική χρήση.

3_Configure_43_Configure_5
3_Configure_6 3_Configure_7_export

Step 4 : Configure Certificates for the Edge Server

Σε αυτό το βήμα, απαιτεί ιδιαίτερη προσοχή το εξής :

Λόγω του ότι ο Edge Server, ΔΕΝ είναι domain member server, αλλά standalone, είναι ΑΠΑΡΑΙΤΗΤΟ, να του εγκαταστήσουμε το Root CA certificate από τον CA Server του εσωτερικού μας δικτύου. Για να το πετύχουμε αυτό, ανοίγουμε με browser την σελίδα του Root CA (στο παράδειγμά μας http://srv-dc1.autoexec.local/autoexec-srv-dc1-ca) και επιλέγουμε “Download CA Certificate …” και στη συνέχεια “Install Certificate …” και το τοποθετούμε στο “Trusted Root Certification Authorities”. Κατόπιν επιβεβαιώνουμε οτι το πιστοποιητικό έχει εισαχθεί στο σωστό σημείο.

Να σημειώσουμε εδώ, πως αν θέλουμε να χρησιμποιούν τις υπηρεσίες μας υπολογιστές οι οποίοι δεν είναι joined στο εσωτερικό μας domain, θα πρέπει να ακολουθήσουμε την παραπάνω διαδικασία, προκειμένου να μπορούν αυτοί να ‘εμπιστεύονται’ τα πιστοποιητικά της υποδομής μας (τόσο εσωτερικά όσο και εξωτερικά)

Προχωράμε λοιπόν στη διαδικασία, και επιλέγουμε “Create a new Certificate” –> Edge Server Private Certificate –> Send the Request Immediately.

Ορίζουμε το όνομα του πιστοποιητικού, τα Organization & OU info, δίνουμε τα Subject & Alternate Names (εδώ είναι απαραίτητο μόνο το εσωτερικό FQDN) και τέλος συμπληρώνουμε τα location properties. Ορίζουμε την αρχή πιστοποίησης και στο επόμενο βήμα, δίνουμε credentials κάποιου χρήστη που μπορεί να εκδίδει πιστοποιητικά στο CA. Αφού επιβεβαιώσουμε τις πληροφορίες που δώσαμε παραπάνω, προχωράμε στην έκδοση του πιστοποιητικού, και κάνουμε Assign immediately, ώστε το πιστοποιητικό να αντιστοιχιστεί στο service.

4_Certificates_1_Name 4_Certificates_2_SAN
4_Certificates_3_CA 4_Certificates_4_check

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Επαναλαμβάνουμε την παραπάνω διαδικασία για το “Access Edge Public Interface” αλλάζοντας μόνο το όνομα του πιστοποιητικού και το Subject name, βάζοντας αυτή τη φορά το εξωτερικό FQDN (sip.autoexec.gr στην περίπτωσή μας).

Αφού εκδόσουμε το παραπάνω πιστοποιητικό, τρέχουμε ακόμη μια φορά το Wizard, και επιλέγουμε “Assign an Existing Certificate” –> επιλέγουμε το external certificate –> Το αντιστοιχούμε στα services (Web Conferencing Edge Server Public Interface & A/V authentication Server)

4_Certificates_5_assign 4_Certificates_6_assign 4_Certificates_7_assign

 

 

Με τα παραπάνω, έχουμε σχεδόν ολοκληρώσει την εγκατάσταση του Edge Server, και μπορούμε πλέον να προχωρήσουμε στο

 

Step 5 : Start Services

Εντάξει … εφόσον κάναμε τα παραπάνω, το start, είναι απλά μια τυπική διαδικασία!

 

ΜΗΝ όμως νομίζετε πως τελειώσαμε!!! Διότι, ναι μεν στήσαμε τον Edge, του είπαμε που να βρει το Pool και με ποιους να μιλάει και πως, αλλά υπάρχουν ακόμη κάποια πράγματα που ΔΕΝ έχουμε κάνει…

 

Configure Front-End (Standard Edition) Server for External user Access

Και βέβαια, θα επιστρέψουμε ξανά στον αρχικό μας Server, για να τον ‘ενημερώσουμε’ για τα όσα κάναμε στην περίμετρο του δικτύου μας, και που αν μη τι άλλο, τον αφορούν και μάλιστα … άμεσα :)

Τοποθετούμε λοιπόν ΞΑΝΑ, το CD εγκατάστασης (ξέρω οτι σας έπιασα στον ύπνο) και τρέχουμε άλλη μια φορά το Setup …

Deploy Standard Edition Server –> Configure Server –> Run Again

Στον Wizard, αφήνουμε όλες τις επιλογές ως έχουν, και αλλάζουμε μόνο την επιλογή :

Configure for External User Access now –> Route Directly … –> Εισάγουμε το εσωτερικό FQDN του Edge Server και στις δύο επιλογές –> Εισάγουμε αντίστοιχα το εσωτερικό και το εξωτερικό FQDN του Web Conferencing Edge Server (θυμηθείτε αυτά που γράψαμε λίγο παραπάνω για τα ξεχωριστά η μη external interfaces & FQDN’s) –> Συμπληρώνουμε το εσωτερικό FQDN του edge server και ΠΡΟΣΟΧΗ στο port : 5062!!! (έχουμε χάσει μαλιά με αυτό το νουμεράκι …) –> Επιλέγουμε το παραπάνω στην επόμενη σελίδα και αφού επαληθεύσουμε τις ρυθμίσεις μας προχωράμε στην καταχώρισή τους …

6_PoolConfig_1_Config 6_PoolConfig_1_Route 6_PoolConfig_3_Servers 6_PoolConfig_4_Webconf 6_PoolConfig_5_AV 6_PoolConfig_6_Success

Και για να μην νομίζουμε πως όλα τα παραπάνω τα κάναμε μάταια… ανοίγουμε το OCS 2007 R2 management, και από τα δεξιά του Pool, επιλέγουμε validate –> A/V Conferencing Server. Από εμπειρία … ΑΝ δουλεύει αυτό … δουλεύουν και όλα τα άλλα … (V, συμφωνείς;;;)

7_Validate_1_AV

Και επειδή μόνο από αυτό, ας μην το παίζουμε και μάγκες, γυρνάμε πίσω στον Edge, και πάμε στο …

Step 6 : Validate Edge Server

Συμπληρώνουμε τα στοιχεία πρόσβασης των χρηστών μας (gvarakis & akladakis μη ξεχνιόμαστε, το Autoexec.gr στήνει για εσάς OCS με απόλα!!!) και πατάμε next ώσπου να σπάσει το ποντίκι (εντάξει, το τελευταίο, μπορείτε να το παραλείψετε …)

ΜΗ σας ψαρώσει το Warning, είναι για τα federations, που δεν τα έχουμε ακουμπήσει :)

7_Validate_2_Edge

Αλλά το νου σας … ακόμα … ΔΕΝ ΤΕΛΕΙΩΣΑΜΕ !!!

Αν και είμαστε πλέον κοντά (όπως το πάρει δηλαδή κανείς…). Μας μένουν ακόμη :

  • Configure ISA Server 2006
  • Configure External DNS zone (autoexec.gr)
  • Configure External Firewall (Cisco ASA sample setup)

Επειδή η ώρα είναι αργά, το ποστ μακροσκελές (σιγά!) και τα εναπομείναντα θα ήθελα να τα συνοδεύσω με ολίγον από θεωρία, ανάλυση (σιγά μην κάνουμε και κολονοσκόπηση) και security, θα σας αφήσω για λίγο ακόμα σε αγωνία, θα κλείσω εδώ για απόψε, θα σας καληνυχτίσω, και θα σας ανανεώσω το ραντεβού για την ολοκλήρωση του Part IV – B εντός της τρέχουσας εβδομάδας (είπαμε, θα είμαι καταιγιστικός … το … κάναμε … δάσκαλε;;;)

 

Σημείωση/Παράκληση : Επειδή τα post που προηγήθηκαν (αλλά και αυτά που θα ακολουθήσουν) περιέχουν πολύ μεγάλο πλήθος πληροφορίας, θα παρακαλούσα όποιος συνάδελφος παρακολουθεί ή/και στήνει παράλληλα, και διαπιστώσει κάποια ανακρίβεια ή/και σφάλμα, παρακαλείτε να σχολιάζει, ώστε να διορθώνουμε και να αφήσουμε στο site έναν όσο γίνεται πλήρη και ακριβή οδηγό για τους φίλους που θέλουν να εξερευνήσουν τον κόσμο του Unified Communications (όπως τον αντιλαμβάνεται η Microsoft τουλάχιστον :))

 Share

10 Comments


Recommended Comments

Ξεκινάμε σήμερα με μια σειρά από άρθρα που έχουν ως σκοπό να παρέχουν τη βασική διαδικασία εγκατάστασης

Link to comment

Συγχαρητήρια και απο εμένα. Οφείλω όμως να ομολογήσω, ότι τις τελευταίες δύο ημέρες σκέφτομαι πολύ έντονα να ακολουθήσω το επάγγελμα που αναφέρεις στο Blog σου. Να ενδώσω και να πω : ΝΑΙ, Θέλω να γίνω κι εγώ τσομπάνης!

Link to comment

 

 

Ένα μεγάλο μπράβο και απο μένα στον George..

 

Άπλά έχω να σημειώσω τα εξής...αν θές george βάλτο και αυτό ..

 

Όταν κάνουμε εγκατάσταση απο τον Front End ακόμη, εάν δεν επιλέξουμε for external use για το που θα είναι "External URL for meeting content download" το αποτέλεσμα είναι να μην παίζει το Live meeting απ τον έξω κόσμο..

Για να μην βάζουμε CD και τρέχουμε τον οδηγό ξανά, μπορούμε να πάμε στο start|run|cmd

 

"C:\Program Files\Common Files\Microsoft Office Communications Server 2007 R2\" και με το utility του ocs "Lcscmd.exe" πάμε και δίνουμε την εντολή..

 

Lcscmd /web /action:updatepoolurls /externalwebfqdn:ISA publish FQDN /poolname:όνομα pool

 

To αποτέλεσμα θα το ίδιο και τότε θα γίνει update το παραπάνω πεδίο και έτσι θα είναι έτοιμοι οι χρήστες να χρησιμοποιούν το Live Meeting απο τον έξω κόσμο.

 

Το πεδίο External URL for meeting content download θα το δείτε απο την κονσόλα διαχείρησης του OCS όταν κάνετε klik στο Standard Server και στο όνομα του server δεξιά στο πεδίο Meeting Settings.

 

Εύχομαι να βοήθησα και γώ λίγο στο OCS Larus Britanica..

 

Έχω και άλλο ένα bug με τον OCS Edge και το Web Communicator το οποίο θα το προσθέσουμε παρακάτω..

 

George Keep up the Good Work!

 

V

 

Link to comment

Σωστός ο V!

Παρόλα αυτά, προτιμώ να το βάζω από την εγκατάσταση (όπως περιέγραψα στο αντίστοιχο step) για να αποφεύγονται μελλοντικά ... παρατράγουδα (όπως πχ, όταν εγκαταστήσεις το plugin του Web Scheduler, το οποίο σου κάνει erase το external farm FQDN ...)

Το προσθέτω όμως σαν σημείωση στο Part I και φυσικά ΕΥΧΑΡΙΣΤΩ για τις παρατηρήσεις σας !!!

Link to comment

Θα ολοκληρώσουμε την εγκατάσταση του Consolidated Edge Server από το σημείο που την είχαμε αφήσει εδώ

Link to comment

Οι τεχνολογίες του Unified Communications είναι εδώ, πιο ώριμες από ποτέ και μας υπόσχονται το ‘κάτι

Link to comment

Παίζει; One way, or another … Προτείνεται; Για κανένα λόγο! Πώς και γιατί; Διαβάστε παρακάτω … Το Direct

Link to comment
Guest
Add a comment...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Loading...
×
×
  • Create New...