整合通訊 OCS

OCS 2007 R2邊際伺服器建置問答TOP 7

2010-09-04
大部分企業對於Office Communications Server 2007 R2的架構規劃,除了建置內部伺服器(Home Server)外,通常也會一併將邊際伺服器(Edge Server)納入部署,以提供行動工作者無所不在的整合通訊環境。而在Microsoft整合通訊(UC)架構規劃中,OCS擔任了管理即時通訊的資訊系統,其中包括即時訊息、群組語音/視訊交談、Web線上協同會議以及整合電話總機系統(PBX)與語音閘道系統(VoIP Gateway)的應用。
無論企業打算透過建置Office Communications Server 2007 R2來提供哪些即時通訊服務,在整個專案實務的規劃中,邊際伺服器(Edge Server)的建置通常須要一併完成,因為唯有如此才能夠讓企業的行動工作者達成無所不在的行動通訊效益,否則只能讓在外辦公的使用者預先完成VPN網路的連線(通常企業VPN連線的權限僅會開放給特定的員工如高階主管),再不然Office Communications Server 2007 R2只能夠提供給公司內部的員工來使用。由此可見,建置Office Communications Server 2007 R2邊際伺服器的必要性。

只是在整個Office Communications Server 2007 R2的架構部署中,邊際伺服器的建置往往讓許多初次接觸的IT人員感到頭痛,因為在整個建置的過程中,它關係到網路規劃、外部防火牆的設定、伺服器憑證的安裝,以及與內部Home伺服器的整合設定。

以下的問答內容不僅能夠協助有意測試與導入的IT人員,順利完成系統的建置與正常運作,更希望能夠將許多原本看似複雜的建置過程予以簡化,讓每位讀者都能夠很清楚地學習到所有關鍵的重點。

TOP1 邊際伺服器在網路架構規劃上的注意事項

聽說Office Communications Server 2007 R2邊際伺服器在部署前的網路環境準備工作相當複雜,可否針對這部分的準備工作詳細說明一下?

在談到建置Office Communications Server 2007 R2邊際伺服器之前,先討論一下它在網路架構中的規劃。如下圖所示這是一個典型官方所建議的網路架構設計,建議將邊際伺服器的存取邊際伺服器、Web會議邊際伺服器、語音/視訊邊際伺服器三大角色,全都部署在企業的周圍網路中,然後內外防火牆僅開放會使用到的通訊埠。

▲邊際伺服器防火牆規劃。

讀者可能會問:「最上方的伺服器是做何用途?」,事實上,在Microsoft建議的架構中希望用戶使用Microsoft ISA Server 2006或是最新的TMG來作為防火牆,然後設定使用所謂的Reverse Proxy(由外而內的轉向連線)來對應連線到內部的Office Communications Server 2007 R2伺服器,這樣外部遠端使用者主要的「Live Meeting中的會議資料預覽與下載」及「Office Communicator 2007 R2全域通訊錄的下載」功能才能運作。

上述的Microsoft ISA Server是建議規劃,若是沒有也只須針對企業現有的其他邊際防火牆設備,設定NAT的靜態對應TCP 443通訊埠到內部的Office Communications Server 2007 R2伺服器(Home Server)即可。

至於接下來的三部伺服器角色所要使用的防火牆,建議額外使用一部專屬的防火牆設備,或者使用現有防火牆設備所提供的DMZ通訊埠來進行連接。關於內外防火牆連線所須開啟的通訊埠可以參考下表。

邊際伺服器防火牆通訊埠對應表

在此防火牆通訊埠對應表中,比較值得注意的是「語音/視訊邊際伺服器」,因為在前一版的Office Communications Server 2007建置中,這部伺服器角色必須使用Internet的真實IP,並同時開放所列出的通訊埠號碼,才能讓多人語音/視訊的內外連線交談正常運作。

新版的Office Communications Server 2007 R2由於這部分已支援NAT的轉譯能力,所以已經可以採用企業內部的私有IP位址。但須要特別留意的是,若要讓「語音/視訊邊際伺服器」採用真實IP位址,或是讓三個角色都採用真實IP位址,則所連接的邊際防火牆必須支援所謂的透通模式(Transparent Mode)功能設定。

TOP2 邊際伺服器需要加入Active Directory?

既然是要將邊際伺服器部署在企業的周圍網路中,那麼這部伺服器須要加入內部的Active Directory網域嗎?

這個問題經常讓許多剛接觸Office Communications Server的IT人員感到疑惑。正確的回答是,如果考量安全性的架構問題,請不要加入Active Directory,相反地,若考量的是較易部署與後續維護的問題點,則選擇加入Active Directory。事實上,以上的回答在安全性部分主要是考量到外部直接存取內部網域的可能性,因為這裡面牽扯到防火牆通訊埠的開放設定與身分驗證的問題,因此當然會有安全性的顧慮。若只是希望能更易於部署與管理(例如在Lab的環境中),選擇加入內部網域,當然可以簡化一些部署上的複雜度。

在如下圖所示的範例中,筆者已把要擔任邊際伺服器的主機加入網域。倘若不選擇這種部署方式,則必須修改這部主機的DNS尾碼,此時按下〔其他〕按鈕。

▲電腦名稱與網域設定。

要留意的是,在「DNS尾碼和NetBIOS電腦名稱」頁面中,必須確認目前所設定的DNS尾碼與內部網域的DNS尾碼相同。

TOP3 正確完成邊際伺服器的基本安裝

我在Windows Server 2008上部署Office Communications Server 2007 R2邊際伺服器的過程中,碰到「設定Edge Server精靈」,因為不知道如何正確配置網路組態而發生中斷,可否詳解這項操作設定的完整過程?

以標準版為例,先執行開啟Office Communications Server 2007 R2的安裝主選單,然後點選「部署其他伺服器角色」連結。接著,開啟如下圖所示的頁面,點選「部署Edge Server」連結繼續。

▲部署Edge Server。

接下來在「部署Edge Server」頁面中,同樣只要依照頁面中的步驟順序進行安裝設定即可。隨後,按下「安裝Edge Server的檔案」區域中的〔安裝〕按鈕,然後在「安裝位置」頁面中決定是否要變更預設的安裝路徑。

在整個主程式的安裝過程中,可能會彈跳出「Windows安全性」警告頁面。勾選「永遠信任來自Microsoft Corporation的軟體」項目後,按下〔安裝〕按鈕完成安裝即可。

再回到「部署Edge Server」頁面中,在「啟動Edge Server」區域內按下〔執行〕按鈕。接著進入「服務帳戶」頁面,如下頁圖示系統預設會在本機電腦中建立一個邊際伺服器服務專用的系統帳戶(RTCProxyService),來作為啟動後續相關服務的使用,因此必須設定一組符合複雜度要求的密碼。若想要自行命名此服務帳戶的名稱也可以。最後,按下〔下一步〕按鈕完成設定。

▲服務帳戶設定。

回到「部署Edge Server」頁面,按下「設定Edge Server」區域中的〔執行〕按鈕。在「從檔案匯入設定」頁面中,可以將之前所保存下來的設定檔直接匯入來快速完成設定,不過這必須至少已經安裝過一次才行,因此直接按下〔下一步〕按鈕繼續。

接著來到「內部介面」頁面內,如下圖所示從下拉選單中指定對內通訊的IP位址與相對的FQDN位址,而下方會顯示對內網路介面卡所須使用到的通訊埠清單。

▲內部介面設定。

接著,在「外部介面」頁面內先指派好三個邊際伺服器角色的IP位址,再分別依序設定它們所提供對外連線的FQDN位址。至於通訊埠號碼,統一選擇採用「443」即可。設定好了之後,按下〔下一步〕繼續。

▲外部介面設定。

接下來,在「啟用Access Edge Server上的功能」頁面中分別設定使用者存取設定及同盟設定,前者用以決定是否要讓遠端使用者來存取,以及是否要讓匿名的使用者如客戶、合作夥伴等加入會議,後者則決定是否啟用連接同盟企業的Office Communications Server 2007 R2環境。若想提供企業員工和匿名使用者之間的通訊,勾選前者設定項目即可,然後按下〔下一步〕按鈕。接著,在「內部下一個躍點伺服器的FQDN」頁面內,輸入即將連線的內部Office Communications Server 2007 R2伺服器的FQDN位址,然後按下〔下一步〕按鈕。

▲授權的內部伺服器。

在「授權的內部SIP網域」頁面中,必須新增後續將統一使用的SIP網域,一般都是與企業的E-mail尾碼相同,例如contoso.com.tw,設定後按下〔下一步〕按鈕。來到「授權的內部伺服器」頁面後,如上頁圖示輸入內部Office Communications Server 2007 R2伺服器的FQDN位址,然後按下〔下一步〕。

最後可以看見前面所有設定過的摘要資訊。成功完成邊際伺服器基本組態配置後,建議按下〔匯出〕按鈕將前面的設定備份出來。

按下〔匯出〕按鈕後會開啟一個「另存新檔」設定頁面,將其儲存,並請妥善保存這個XML格式的設定檔。

TOP4 正確配置邊際伺服器的憑證

Office Communications Server 2007 R2邊際伺服器的憑證配置方式,似乎比內部伺服器角色的憑證配置方式還要複雜,因此可否詳細說明整個邊際伺服器憑證的正確配置方法?

由於邊際伺服器的服務必須同時提供外部使用者連線和內部伺服器的通訊需求,因此相對地會複雜一些,現在就讓來了解一下相關的配置方法。

先回到「部署Edge Server」頁面內,並在「設定Edge Server的憑證」區域內按下〔執行〕按鈕。接著將開啟「可用憑證工作」頁面,選取「建立新憑證」後按下〔下一步〕按鈕。

然後在「選取元件」頁面內,如右上圖般依序完成四種不同連線用途的憑證設定與指派。先選取「Edge Server私人介面」項目,設定當Edge Server對內連線Home Server時的憑證組態,接著按下〔下一步〕。

▲選取元件。

接著來到「延遲或立即要求」頁面。如果事先已經將邊際伺服器加入內部網域,則選擇「立即將此要求傳送到線上憑證授權單位」項目,並按下〔下一步〕按鈕。

接下來如下頁圖示在「名稱和安全性設定」頁面內的「名稱」欄位中輸入一個針對此憑證易記的名稱(最好每一個憑證的名稱都不一樣),其他設定則可以維持預設。設定好了之後按下〔下一步〕按鈕。

在「組織資訊」頁面內,輸入自己公司的組織名稱與組織單位,然後按下〔下一步〕按鈕繼續。接著,在「您的伺服器的主體名稱」頁面內輸入主體名稱,讓內部的Home Server可以解析與進行連線,一般來說,都是以內部的DNS網域名稱搭配本機電腦的名稱來設定(FQDN)。

▲名稱和安全性設定。

至於主體別名,可以選擇性地設定。隨後來到「地理資訊」頁面,在此設定國家、省與城市的名稱。然後進入「選擇憑證授權單位」頁面,如下圖所示在下拉選單中選取目前可連線的憑證授權單位伺服器。

▲選擇憑證授權單位。

來到「要求摘要」頁面,可以看到前面所完成的各項邊際伺服器內部介面卡連線的憑證資訊。如果沒有問題,按下〔下一步〕按鈕繼續。隨後進入「指定憑證工作」頁面,先選取「立即指派憑證」,再按下〔下一步〕按鈕繼續完成憑證的申請與指派即可。

當再一次回到「部署Edge Server」頁面時,將會發現「設定Edge Server的憑證」,出現了「部分」的字眼,這表示尚未完成整個憑證的設定工作,因此繼續按下對應的〔執行〕按鈕繼續。

接下來,同樣會再到「選取元件」頁面,不過這一回必須接著選取「Access Edge Server公用介面了」。這裡的連線憑證設定主要是提供給遠端Office Communicator 2007 R2的使用者連線,以及與同盟的企業進行Office Communications Server 2007 R2的信任連線。

在「您的伺服器的主體名稱」頁面中,同樣必須輸入相對的主體名稱(在Internet必須可以解析),而主體別名則同樣可以選擇性設定(可設定多筆,但必須以逗號相隔)。接著,按一下〔下一步〕按鈕繼續完成設定。

緊接著又來到針對「Web Conferencing Edge Server」主體名稱設定,這裡必須輸入在Internet中可以解析到的FQDN。最後是針對「A/V驗證憑證」的主體名稱設定,同樣在完成設定後按下〔下一步〕按鈕,完成整個邊際伺服器各角色連線的憑證配置。

接下來又會回到「部署Edge Server」頁面,原有的驚嘆號已經消失,代表已完成憑證的配置設定。最後,自行按下「啟動服務」區域中的〔執行〕按鈕,完成邊際伺服器所有服務的自動啟動動作。

TOP5 變更邊際伺服器的組態設定

請問完成Office Communications Server 2007 R2伺服器的安裝設定後,未來若須要異動安裝時所完成的各項組態設定,是否能夠直接透過「Office Communications Server系統管理工具」來連線管理呢?

無論自己的邊際伺服器是否已加入內部的Active Directory網域,都只能透過本機Windows Server中「電腦管理」的MMC介面來管理,而無法以管理其他Office Communications Server 2007 R2伺服器角色的方式,透過「Office Communications Server系統管理工具」進行管理,否則在開啟時會出現錯誤訊息。

▲錯誤訊息。

接著,在「電腦管理」介面內展開至「Office Communications Server 2007 R2」項目節點上,在此可以看到每一項邊際伺服器服務的執行狀態、事件日誌以及同盟連線的相關資訊。若想要異動安裝時的組態設定,則在節點上按下滑鼠右鍵,然後點選【內容】。

關於Office Communications Server 2007 R2邊際伺服器的「內容」設定部分,在此僅特別說明一項較讓IT人員注意的新功能。先切換到「邊緣介面」頁面中,接著在「A/V Edge Server」區域內按下〔設定〕按鈕。在「A/V Edge Server」設定頁面中,會發現比前一版本多了一項「外部IP位址由NAT轉譯」設定項目,此項目適用於未採用真實IP的「A/V Edge Server」,因其採用邊際防火牆來進行NAT的轉譯連線。如果已經直接採用真實IP位址,可以忽略此設定。

TOP6 在建置邊際伺服器時重新設定內部伺服器所需的組態

如果先前部署Office Communications Server 2007 R2內部伺服器時,略過了邊際伺服器的連線設定,之後才建置邊際伺服器,該如何重新配置內部伺服器與邊際伺服器的連接組態?

對於Office Communications Server 2007 R2的部署,如果是在完成內部伺服器(Home Server)建置一段時間後,才開始部署邊際伺服器,那麼在完成建置先前的邊際伺服器之後,可能必須對於內部伺服器進行某些組態配置上的調整,這包括內部伺服器本身的設定、伺服器憑證設定、IIS網站的憑證更新,如此才能讓兩者結合的運作正常化。接下來,說明相關的操作說明。

首先,回到內部伺服器的作業系統上,開啟Office Communications Server 2007 R2的安裝程式頁面,然後在「設定伺服器」區域內按下〔再執行一次〕按鈕。隨後來到如下圖所示的「外部使用者存取組態」頁面內,選取「立即設定外部使用者存取」並按下〔下一步〕按鈕。

▲外部使用者存取組態。

接下來在「路由傳送外部SIP流量」頁面內選取「直接在內部集區和伺服器間往返路由傳送」項目,然後按下〔下一步〕按鈕繼續。隨後,如下頁圖示在「受信任的Access Edge Server和Web Conferencing Edge Server」頁面內輸入內部伺服器與邊際伺服器內部網路介面卡連線的FQDN,並按下〔新增〕按鈕。如果這兩大角色安裝在不同伺服器上,則必須一一輸入與新增個別的FQDN。設定好了之後,按下〔下一步〕按鈕繼續。

▲受信任的連線設定。

進入「Web Conferencing Edge Server」頁面後,設定連線Web會議邊際伺服器的內部FQDN與外部FQDN,如果三大角色都安裝在同一部伺服器上,則內部的FQDN將與前一步驟相同。設定好了之後按下〔下一步〕按鈕。

接著,來到如下圖所示「信任的A/V Edge Server」頁面,輸入內部伺服器與語音/視訊邊際伺服器連線時的FQDN和連接埠。同樣地,如果三大角色都安裝在同一部伺服器上,則FQDN與前一步驟相同,而預設的連接埠為5062。最後,按下〔下一步〕按鈕繼續。

▲信任的A/V Edge Server。

最後,在「此伺服器或集區使用的A/V Edge Server」頁面內會看到前一步驟中的設定結果,然後按下〔下一步〕按鈕完成設定。接下來,設定內部伺服器對外部Web連線位址的發佈,也就是說,要讓外部的使用者可以正常連線取得全域通訊錄的更新,以及讓後續外部Live Meeting會議中可以正常地檢視到上傳的文件,例如PowerPoint。

如下圖所示,在內部伺服器的作業系統上開啟「命令提示字元」,並切換到Office Communications Server 2007 R2管理程式的安裝路徑(預設為「C:\Program Files\Common Files\Microsoft Office Communications Server 2007 R2」),然後輸入以下命令與參數格式來完成設定。

▲外部Web連線位址發佈。

緊接著,檢視一下這項重要設定是否生效。先開啟Office Communications Server 2007 R2管理介面,接著展開至集區的項目節點上,立即按下滑鼠右鍵,然後點選快速選單中的【內容】→【Web元件內容】。

接著,切換到「通訊錄」頁面內便可以看到「外部URL」設定值。透過一台外部的電腦來連線測試這個外部URL的連線位址,如果連線成功,表示目前內部Office Communications Server 2007 R2網站運作正常、防火牆已設定、DNS解析沒有問題。

TOP7 更新OCS 2007 R2內部伺服器憑證

敝公司之前已部署了Office Communications Server 2007 R2內部伺服器與邊際伺服器角色,如今卻發生內部伺服器角色中的電腦憑證已經過期,導致內部與外部用戶端皆無法正常連線,請問該如何來更新此憑證呢?

關於內部伺服器角色憑證的更新操作,必須回到Office Communications Server 2007 R2的安裝頁面,並到「設定憑證」區域中按下〔再執行一次〕按鈕。執行之後,選取「建立新憑證」再按下〔下一步〕繼續。

接下來,在「延遲或立即要求」頁面中選取「立即將此要求傳送到線上憑證授權單位」項目,並按下〔下一步〕按鈕繼續。來到「您的伺服器的主體名稱」頁面後,如下圖所示除了設定「主體名稱」(內部連線的FQDN)外,還必須正確設定提供給外部使用者連線時的「主體別名」(FQDN),與在前面步驟中的外部Web位址發佈是相同的。

▲主體名稱設定。

切換到「指派憑證工作」頁面後,先選取「立即指派憑證」項目,然後建議按下〔檢視〕按鈕,查看這張新憑證的內容資訊。隨後開啟「憑證」內容,並如下圖所示切換到〔詳細資料〕活頁標籤,點選「主體別名」欄位項目,就會看到前面所設定的主體名稱與主體別名。

▲查看憑證內容。

建立新憑證之後,還必須把內部伺服器IIS網站上的舊憑證替換掉,否則會發生外部使用者連線LiveMeeting操作過程中的異常問題。先開啟IIS管理員介面,接著點選至預設的站台節點上,然後點選「動作」窗格中的「繫結」超連結。開啟「站台繫結」頁面後,先選取「https」項目再按下〔編輯〕按鈕。然後會出現「編輯站台繫結」頁面。從「SSL憑證」下拉選單中選擇前面步驟中剛完成的新憑證名稱即可。

結語

部署Office Communications Server 2007 R2邊際伺服器,在整個Microsoft整合通訊架構中是相當重要的,因為它關係到行動工作者的商務效率,而其中對於部署後的系統穩定度、執行效能以及網路頻寬更是關鍵,因此在規劃整個邊際伺服器的部署時,務必選擇經過測試且穩定的硬體平台與網路連線。

(本文原載於網管人第56期)


追蹤我們Featrue us

本站使用cookie及相關技術分析來改善使用者體驗。瞭解更多

我知道了!