Αφού στα προηγούμενα άρθρα έχουμε στήσει τη βασική υποδομή του εσωτερικού μας δικτύου, και έχουμε δώσει στους χρήστες μας τη δυνατότητα χρήσης των κυρίως clients της σουίτας (MS Office Communicator 2007 R2, MS Office Live Meeting Console 2007, MS Office Communicator Web Access 2007 R2) μέσα από το corporate LAN της Autoexec Ltd, προχωράμε σε ένα από τα πιο ‘tricky’ κομμάτια της εγκατάστασης, αυτό του Edge Server, ο οποίος δίνει τη δυνατότητα στους χρήστες μας, να συνδέονται στην υποδομή και τις υπηρεσίες του MS OCS 2007 R2 ακόμη και όταν βρίσκονται εκτός του εταιρικού δικτύου, ΧΩΡΙΣ να απαιτείται η χρήση VPN υποδομής! Η ασφάλεια της πρόσβασης και της επικοινωνίας, παρέχεται αποκλειστικά από την PKI υποδομή μας, και όλη η επικοινωνία από και προς το εσωτερικό δίκτυο, γίνεται encapsulated πάνω από https / SSL (SIP signaling, web components) και secure STUN (audio / video).

Δεν θα γίνω εδώ πιο αναλυτικός ως προς τη λειτουργία και το μηχανισμό ασφαλείας του Edge Server role του OCS, αλλά από μόνο του το στοιχείο, οτι μπορούμε να παρέχουμε τόσο σύνθετες και ολοκληρωμένες υπηρεσίες Voice / Video / Conferencing ‘ανοίγοντας’ μόλις δύο ‘πόρτες’ στο εξωτερικό firewall, και χωρίς την ανάγκη επιπλέον υποδομής VPN!!!

Για την όσο το δυνατό πιο ολοκληρωμένη και σωστή εγκατάσταση, θα χρειαστούμε να στήσουμε δύο servers στην ‘περίμετρο’ του δικτύου μας. Ο ένας θα είναι ένας Windows Server 2008 Standard 64-bit (ακόμη ένας, και έχουμε ακόμη μέλλον …) ο οποίος θα παίξει το ρόλο του Consolidated Edge Server (με τον όρο αυτό εννούμε πως θα έχει ενσωματομένους όλους τους ρόλους : Access – A/V – Web Conferencing) και η έκπληξη, ένας Windows Server 2003 Std SP2 32-bit (ο πρώτος και τελευταίος) στον οποίο θα εγκαταστήσουμε τον MS ISA Server 2006 SP1 (προσοχή, το SP1 είναι ΑΠΑΡΑΙΤΗΤΟ!) και θα παίξει το ρόλο του ‘εσωτερικού’ firewall, στην προτεινόμενη τοπολογία back – 2 – back firewall.

Προετοιμασία / Network Setup :

Στο παραπάνω διάγραμμα, έχουμε τα ακόλουθα subnets :

Internal	192.168.0.0 / 24
DMZ	192.168.10.0 / 24
External	192.168.20.0 / 24

 

Επίσης, οι Servers που στήνουμε, παίρνουν τις εξής διευθύνσεις IP :

Server Name	Interface	IP Address	Gateway	DNS
SRV-ISA	Internal	192.168.0.250	-	192.168.0.1 (DC1)
	DMZ	192.168.10.250	-	-
	External	192.168.20.250	192.168.20.254	-
SRV-OCSEDGE	DMZ	192.168.10.21	-	192.168.0.1 (DC1)
	External	192.168.20.21	192.168.20.254	-

Τέλος, προσθέτουμε στον EDGE, static route για το εσωτερικό δίκτυο στην 192.168.10.250 (ISA)

Και για να ολοκληρώσουμε τα της … προετοιμασίας, θα χρειατούμε την παρακάτω εγγραφή στον DNS :

Internal DNS

srv-ocsedge.autoexec.local

Host

192.168.10.21

ISA Server Setup (part 1) :

Στον Windows Server 2003 και αφού έχουμε δώσει τις παραπάνω IP’s, εγκαθιστούμε τον MS ISA Server 2006 και αμέσως μετά, εγκαθιστούμε και το SP1 για τον ISA Server 2006 και προχωράμε στο απαραίτητο reboot.

Στο ISA Server Management ορίζουμε τη λειτουργία σε 3-leg Perimeter, όπου κάνουμε assign τα δίκτυα Internal –> Internal & Perimeter –> DMZ.

Αλλάζουμε την αρχική σχέση των δικτύων Internal –> Perimeter από NAT σε Routing (ΑΠΑΡΑΙΤΗΤΟ)

Για την ευκολία μας κατά το setup, επιτρέπουμε unrestricted access από και προς τα δίκτυα DMZ & Internal

 

Edge Server Setup :

Στον Windows Server 2008 Std 64-bit αφού ρυθμίσουμε τις IP’s, τοποθετούμε το CD εγκατάστασης του OCS 2007 R2.

Πιστεύω πως έχουμε πλέον όλοι μάθει τα πρώτα βήματα, που δεν είναι άλλα από …

VC++ 2008 & .NET 3.5 SP1 !!!

Στη συνέχεια Deploy Other Server Roles –> Deploy Edge Server …

Step 1 : Install Files for Edge Server

Επιλέγουμε το path όπου θα εγκατασταθούν τα αρχεία, και δίνουμε ok, για να προχωρήσει αυτό το πρώτο βήμα της εγκατάστασης. Καθόμαστε αναπαυτικά και περιμένουμε να ολοκληρωθεί η διαδικασία, χωρίς να απαιτείται άλλη παρέμβαση από το χρήστη.

 

Step 2 : Activate Edge Server

Δίνουμε έναν κωδικό για το νέο local account, το οποίο θα τρέχει τα services του Edge Server, και αφήνουμε τη διαδικασία να ολοκληρωθεί.

 

Step 3 : Configure Edge Server

Στο πρώτο βήμα, θα μας ρωτήσει για το αν έχουμε settings file για να κάνουμε import. Φυσικά ΔΕΝ έχουμε τώρα, αλλά μπορούμε να δημιουργήσουμε ένα αμέσως πριν την ολοκλήρωση του configuration, το οποίο μπορούμε να κρατήσουμε αν θέλουμε για κάποιο λόγο να επαναφέρουμε τον Edge Server, μετά από λάθος ρύθμιση, ή αν θέλουμε να τον στήσουμε από την αρχή λόγω κάποιας καταστροφής!

Στην επόμενη λοιπόν οθόνη, επιλέγουμε την ΕΣΩΤΕΡΙΚΗ ip address, ενώ συμπληρώνουμε και το αντίστοιχο FQDN για το εσωτερικό interface. ΠΡΟΣΟΧΗ, θα πρέπει όπως είπαμε παραπάνω, να δημιουργήσουμε στον ΕΣΩΤΕΡΙΚΟ μας DNS Server, την αντίστοιχη εγγραφή, όπως την καταχωρούμε στο παραπάνω βήμα! Με αυτόν τον τρόπο, θα επικοινωνούν οι εσωτερικοί μας servers με τον Edge. Σημειώστε τα port numbers που εμφανίζονται αυτόματα στο κάτω μέρος της οθόνης. Είναι αυτά που πρέπει να ανοίξουμε στο εσωτερικό firewall (SRV-ISA) με ακτεύθυνση από το εσωτερικό interface του Edge Server προς τον Front End Server.

Στο επόμενο βήμα, θα δώσουμε τις αντίστοιχες παραμέτρους για το εξωτερικό interface. Εδώ θα παραλείψω εσκεμμένα κομμάτι της θεωρίας, αλλά απλά θα αναφέρω πως η συνιστώμενη διαδικασία, είναι τρία (3) εξωτερικά interfaces, το καθένα με δική του IP (NAT’ed ή Real) και δικό του FQDN, registered στον ΕΞΩΤΕΡΙΚΟ DNS Server, και με δικό του Certificate, και τα οποία ‘ακούνε’ στην πόρτα TCP 443 (https). Για την ιστορία, ο Access Edge Server Role μπορεί για πρώτη φορά να γίνει NAT’ed στην έκδοση R2 του OCS 2007. Στην υλοποίησή μας χρησιμοποιούμε μόνο ένα εξωτερικό NIC, με μία IP και χρήση non-default ports (443,8443,8444), ένα εξωτερικό FQDN (sip.autoexec.gr) και ένα μόνο Certificate με το όνομα αυτό. Φυσικά τους παραπάνω συνδυασμούς IP’s/ports θα πρέπει να τους ανοίξουμε στο εξωτερικό firewall, το οποίο κάνει και NAT τις private IP’s του external Edge interface σε Internet real IP’s.

Αμέσως μετά ορίζουμε τις δυνατότητες πρόσβασης που θα παρέχει ο Access Edge Server (επιλέγουμε Allow remote users και Allow anonymous users, είναι το μεν πρώτο απαραίτητο, το δε δεύτερο πολύ χρήσιμο αν θέλουμε να παρέχουμε δυνατότητα πρόσβασης σε εξωτερικούς συνεργάτες).

Στα επόμενα βήματα, δίνουμε το FQDN του εσωτερικού μας Standard Edition Server, τα εσωτερικά SIP domains (autoexec.local & autoexec.gr), τους authorized internal servers (τους εσωτερικούς servers που έχουν πρόσβαση στον Edge, δηλαδή στην περίπτωσή μας μόνο τον Standard Edition) και τέλος, έχουμε τη δυνατότητα να εξάγουμε το παραπάνω configuration και να το αποθηκεύσουμε σε αρχείο τύπου .xml για μελοντική χρήση.

Step 4 : Configure Certificates for the Edge Server

Σε αυτό το βήμα, απαιτεί ιδιαίτερη προσοχή το εξής :

Λόγω του ότι ο Edge Server, ΔΕΝ είναι domain member server, αλλά standalone, είναι ΑΠΑΡΑΙΤΗΤΟ, να του εγκαταστήσουμε το Root CA certificate από τον CA Server του εσωτερικού μας δικτύου. Για να το πετύχουμε αυτό, ανοίγουμε με browser την σελίδα του Root CA (στο παράδειγμά μας http://srv-dc1.autoexec.local/autoexec-srv-dc1-ca) και επιλέγουμε “Download CA Certificate …” και στη συνέχεια “Install Certificate …” και το τοποθετούμε στο “Trusted Root Certification Authorities”. Κατόπιν επιβεβαιώνουμε οτι το πιστοποιητικό έχει εισαχθεί στο σωστό σημείο.

Να σημειώσουμε εδώ, πως αν θέλουμε να χρησιμποιούν τις υπηρεσίες μας υπολογιστές οι οποίοι δεν είναι joined στο εσωτερικό μας domain, θα πρέπει να ακολουθήσουμε την παραπάνω διαδικασία, προκειμένου να μπορούν αυτοί να ‘εμπιστεύονται’ τα πιστοποιητικά της υποδομής μας (τόσο εσωτερικά όσο και εξωτερικά)

Προχωράμε λοιπόν στη διαδικασία, και επιλέγουμε “Create a new Certificate” –> Edge Server Private Certificate –> Send the Request Immediately.

Ορίζουμε το όνομα του πιστοποιητικού, τα Organization & OU info, δίνουμε τα Subject & Alternate Names (εδώ είναι απαραίτητο μόνο το εσωτερικό FQDN) και τέλος συμπληρώνουμε τα location properties. Ορίζουμε την αρχή πιστοποίησης και στο επόμενο βήμα, δίνουμε credentials κάποιου χρήστη που μπορεί να εκδίδει πιστοποιητικά στο CA. Αφού επιβεβαιώσουμε τις πληροφορίες που δώσαμε παραπάνω, προχωράμε στην έκδοση του πιστοποιητικού, και κάνουμε Assign immediately, ώστε το πιστοποιητικό να αντιστοιχιστεί στο service.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Επαναλαμβάνουμε την παραπάνω διαδικασία για το “Access Edge Public Interface” αλλάζοντας μόνο το όνομα του πιστοποιητικού και το Subject name, βάζοντας αυτή τη φορά το εξωτερικό FQDN (sip.autoexec.gr στην περίπτωσή μας).

Αφού εκδόσουμε το παραπάνω πιστοποιητικό, τρέχουμε ακόμη μια φορά το Wizard, και επιλέγουμε “Assign an Existing Certificate” –> επιλέγουμε το external certificate –> Το αντιστοιχούμε στα services (Web Conferencing Edge Server Public Interface & A/V authentication Server)

 

 

Με τα παραπάνω, έχουμε σχεδόν ολοκληρώσει την εγκατάσταση του Edge Server, και μπορούμε πλέον να προχωρήσουμε στο

 

Step 5 : Start Services

Εντάξει … εφόσον κάναμε τα παραπάνω, το start, είναι απλά μια τυπική διαδικασία!

 

ΜΗΝ όμως νομίζετε πως τελειώσαμε!!! Διότι, ναι μεν στήσαμε τον Edge, του είπαμε που να βρει το Pool και με ποιους να μιλάει και πως, αλλά υπάρχουν ακόμη κάποια πράγματα που ΔΕΝ έχουμε κάνει…

 

Configure Front-End (Standard Edition) Server for External user Access

Και βέβαια, θα επιστρέψουμε ξανά στον αρχικό μας Server, για να τον ‘ενημερώσουμε’ για τα όσα κάναμε στην περίμετρο του δικτύου μας, και που αν μη τι άλλο, τον αφορούν και μάλιστα … άμεσα

Τοποθετούμε λοιπόν ΞΑΝΑ, το CD εγκατάστασης (ξέρω οτι σας έπιασα στον ύπνο) και τρέχουμε άλλη μια φορά το Setup …

Deploy Standard Edition Server –> Configure Server –> Run Again

Στον Wizard, αφήνουμε όλες τις επιλογές ως έχουν, και αλλάζουμε μόνο την επιλογή :

Configure for External User Access now –> Route Directly … –> Εισάγουμε το εσωτερικό FQDN του Edge Server και στις δύο επιλογές –> Εισάγουμε αντίστοιχα το εσωτερικό και το εξωτερικό FQDN του Web Conferencing Edge Server (θυμηθείτε αυτά που γράψαμε λίγο παραπάνω για τα ξεχωριστά η μη external interfaces & FQDN’s) –> Συμπληρώνουμε το εσωτερικό FQDN του edge server και ΠΡΟΣΟΧΗ στο port : 5062!!! (έχουμε χάσει μαλιά με αυτό το νουμεράκι …) –> Επιλέγουμε το παραπάνω στην επόμενη σελίδα και αφού επαληθεύσουμε τις ρυθμίσεις μας προχωράμε στην καταχώρισή τους …

Και για να μην νομίζουμε πως όλα τα παραπάνω τα κάναμε μάταια… ανοίγουμε το OCS 2007 R2 management, και από τα δεξιά του Pool, επιλέγουμε validate –> A/V Conferencing Server. Από εμπειρία … ΑΝ δουλεύει αυτό … δουλεύουν και όλα τα άλλα … (V, συμφωνείς;;

Και επειδή μόνο από αυτό, ας μην το παίζουμε και μάγκες, γυρνάμε πίσω στον Edge, και πάμε στο …

Step 6 : Validate Edge Server

Συμπληρώνουμε τα στοιχεία πρόσβασης των χρηστών μας (gvarakis & akladakis μη ξεχνιόμαστε, το Autoexec.gr στήνει για εσάς OCS με απόλα!!!) και πατάμε next ώσπου να σπάσει το ποντίκι (εντάξει, το τελευταίο, μπορείτε να το παραλείψετε …)

ΜΗ σας ψαρώσει το Warning, είναι για τα federations, που δεν τα έχουμε ακουμπήσει

Αλλά το νου σας … ακόμα … ΔΕΝ ΤΕΛΕΙΩΣΑΜΕ !!!

Αν και είμαστε πλέον κοντά (όπως το πάρει δηλαδή κανείς…). Μας μένουν ακόμη :

• Configure ISA Server 2006
• Configure External DNS zone (autoexec.gr)
• Configure External Firewall (Cisco ASA sample setup)

Επειδή η ώρα είναι αργά, το ποστ μακροσκελές (σιγά!) και τα εναπομείναντα θα ήθελα να τα συνοδεύσω με ολίγον από θεωρία, ανάλυση (σιγά μην κάνουμε και κολονοσκόπηση) και security, θα σας αφήσω για λίγο ακόμα σε αγωνία, θα κλείσω εδώ για απόψε, θα σας καληνυχτίσω, και θα σας ανανεώσω το ραντεβού για την ολοκλήρωση του Part IV – B εντός της τρέχουσας εβδομάδας (είπαμε, θα είμαι καταιγιστικός … το … κάναμε … δάσκαλε;;

 

Σημείωση/Παράκληση : Επειδή τα post που προηγήθηκαν (αλλά και αυτά που θα ακολουθήσουν) περιέχουν πολύ μεγάλο πλήθος πληροφορίας, θα παρακαλούσα όποιος συνάδελφος παρακολουθεί ή/και στήνει παράλληλα, και διαπιστώσει κάποια ανακρίβεια ή/και σφάλμα, παρακαλείτε να σχολιάζει, ώστε να διορθώνουμε και να αφήσουμε στο site έναν όσο γίνεται πλήρη και ακριβή οδηγό για τους φίλους που θέλουν να εξερευνήσουν τον κόσμο του Unified Communications (όπως τον αντιλαμβάνεται η Microsoft τουλάχιστον )