sexta-feira, 13 de maio de 2011

Lync Server Sem Reverse Proxy


Reverse Proxy

Os serviços Web de um pool do Lync Server devem ser publicados utilizando o Reverse Proxy. Alguma features exigem a configuração do Reverse Proxy para serem disponibilizadas, são elas:
  • Habilitar usuários externos realizarem download conteúdos de meeting
  • Habilitar usuários externos a expandirem grupos de distribuição
  • Habilitar usuários externos  realizarem download arquivos do Address Book Service
  • Acessar o Microsoft Lync Web App Client
  • Acessar Dial-in Conferencing Settings
  • Acessar o Location Information Service
  • Permite dispositivos externos conectarem ao Device Update Web Service para obter updates
Geralmente é Reverse Proxy é um servidor ISA 2006 SP1 ou o TMG 2010.

Tive muita dificuldade em montar o Reverse Proxy para trabalhar com o Lync Server. Na empresa onde trabalho possuimos um firewall linux e encontramos grande dificuldade em publicar o serviço Web.
Quando o Front End é instalado é criado dois Web Sites por padrão, Lync Server Internal Web Site e o Lync Server External Web. O Lync Server External Web é utilizado para publicar os serviços via Reverse Proxy, este site é configurado por padrão nas portas 8080(http) e 4443(https).
Na configuração do Reverse é feito o redirect da porta 80 e 443 de um ip válido para as portas 8080 e 4443 do Director ou para o Front End. É aqui que começa a ficar feio, começa a dar erro na autenticação da URL e os serviços ficam instáveis.
Uma solução de contorno foi adicionar mais um endereço ip do Front End.



Abra o gerenciamento do IIS no Front End, clique em Lync Server External Web Site, remova as portas podroes do Bindings...,as portas 8080 e 4443, do IIS e adicione binds para a porta 80 e 443 para utilizar o segundo endereço ip.



No firewall direcione a porta 80 e a porta 443 para o endereço ip em que o bind do External Web Site esta configurado.




Após a configuração do IIS solicite e instale outro certificado digital para o External Web Site, 



Todas as features funcionaram inclusive o Lync Client Web, esta é uma solução de contorno e é extremamente aconselhavel a utilização do Reverse Proxy. É a solução suportada pela Microsoft, e a mais segura mas se a estrutura não suportar ou em embiente de testes a solução apresentada é viavel e simples.

9 comentários:

  1. Olá Fernando, parabens otimo post. Estou implatando um cenário desse jeito só que aqui meu Firewall é o ASA da cisco, tenho uma pergunta depois de configurado tudo no IIS, esse outro certificado que tenho que instalar é um certificado publico ou da minha CA interna.
    E-mail: halves81@gmail.com

    ResponderExcluir
  2. Boa tarde Henrrique,

    Neste cenário configurei um certificado da CA Interna e distribui o certificado raiz para todas as maquinas externas.

    ResponderExcluir
  3. Olá fernando, fiz o procedimento acima só que estou tendo alguns problemas, erro 403 não passa de jeito nenhum andei fazendo algumas pesquisas na net e o pessoal sempre fala que é para meu sip ser o meu dominio externo, mudei minha estrutura para o sip do dominio externo e ficou dando um erro de o certificado não ser confiavel. Você pode me ajudar ?

    ResponderExcluir
  4. Bom dia Henrique,
    Verifique o nome do certificado que você configurou, importe o certificado raiz nas maquinas.

    Att

    ResponderExcluir
  5. Fernando bom dia!
    Estou o seguinte problema, na rede interna o addressbook está 100%, as pesquisas funcionam OK, mas externamente alguns grupos de distribuição aparecem e outros a grande maioria não.
    Tem alguma idéia? Esse addressbook disponível para download externo precisa ser atualizado?

    ResponderExcluir
  6. Fernando, parabéns pelo post, ficou muito legal;

    Só tenho uma duvida, porque eu tenho que gerar um novo certificado?

    ResponderExcluir
    Respostas
    1. Você pode manter o mesmo certificado, tomando o cuidado de configurar todas as URL's do Lync no certificado.
      Att

      Excluir
  7. Fernando,

    Estou com a mesma dificuldade, não sei se utiliza o Squid, mas eu utilizo e preciso publicar o Lync apenas com um IP Público, porém todo do trafego que chega na porta 80 e 443 passa por ele, será que consigo?

    ResponderExcluir
  8. Olá Fernando! Parabéns pelos ótimos posts!! Uma dúvida, sem proxy reverso eu consigo realizar webconferences com clientes externos? Obrigado.

    ResponderExcluir