Reverse Proxy
Os serviços Web de um pool do Lync Server devem ser publicados utilizando o Reverse Proxy. Alguma features exigem a configuração do Reverse Proxy para serem disponibilizadas, são elas:
Os serviços Web de um pool do Lync Server devem ser publicados utilizando o Reverse Proxy. Alguma features exigem a configuração do Reverse Proxy para serem disponibilizadas, são elas:
- Habilitar usuários externos realizarem download conteúdos de meeting
- Habilitar usuários externos a expandirem grupos de distribuição
- Habilitar usuários externos realizarem download arquivos do Address Book Service
- Acessar o Microsoft Lync Web App Client
- Acessar Dial-in Conferencing Settings
- Acessar o Location Information Service
- Permite dispositivos externos conectarem ao Device Update Web Service para obter updates
Geralmente é Reverse Proxy é um servidor ISA 2006 SP1 ou o TMG 2010.
Tive muita dificuldade em montar o Reverse Proxy para trabalhar com o Lync Server. Na empresa onde trabalho possuimos um firewall linux e encontramos grande dificuldade em publicar o serviço Web.
Quando o Front End é instalado é criado dois Web Sites por padrão, Lync Server Internal Web Site e o Lync Server External Web. O Lync Server External Web é utilizado para publicar os serviços via Reverse Proxy, este site é configurado por padrão nas portas 8080(http) e 4443(https).
Na configuração do Reverse é feito o redirect da porta 80 e 443 de um ip válido para as portas 8080 e 4443 do Director ou para o Front End. É aqui que começa a ficar feio, começa a dar erro na autenticação da URL e os serviços ficam instáveis.
Uma solução de contorno foi adicionar mais um endereço ip do Front End.
Na configuração do Reverse é feito o redirect da porta 80 e 443 de um ip válido para as portas 8080 e 4443 do Director ou para o Front End. É aqui que começa a ficar feio, começa a dar erro na autenticação da URL e os serviços ficam instáveis.
Uma solução de contorno foi adicionar mais um endereço ip do Front End.
Abra o gerenciamento do IIS no Front End, clique em Lync Server External Web Site, remova as portas podroes do Bindings...,as portas 8080 e 4443, do IIS e adicione binds para a porta 80 e 443 para utilizar o segundo endereço ip.
No firewall direcione a porta 80 e a porta 443 para o endereço ip em que o bind do External Web Site esta configurado.
Após a configuração do IIS solicite e instale outro certificado digital para o External Web Site,
Todas as features funcionaram inclusive o Lync Client Web, esta é uma solução de contorno e é extremamente aconselhavel a utilização do Reverse Proxy. É a solução suportada pela Microsoft, e a mais segura mas se a estrutura não suportar ou em embiente de testes a solução apresentada é viavel e simples.
Olá Fernando, parabens otimo post. Estou implatando um cenário desse jeito só que aqui meu Firewall é o ASA da cisco, tenho uma pergunta depois de configurado tudo no IIS, esse outro certificado que tenho que instalar é um certificado publico ou da minha CA interna.
ResponderExcluirE-mail: halves81@gmail.com
Boa tarde Henrrique,
ResponderExcluirNeste cenário configurei um certificado da CA Interna e distribui o certificado raiz para todas as maquinas externas.
Olá fernando, fiz o procedimento acima só que estou tendo alguns problemas, erro 403 não passa de jeito nenhum andei fazendo algumas pesquisas na net e o pessoal sempre fala que é para meu sip ser o meu dominio externo, mudei minha estrutura para o sip do dominio externo e ficou dando um erro de o certificado não ser confiavel. Você pode me ajudar ?
ResponderExcluirBom dia Henrique,
ResponderExcluirVerifique o nome do certificado que você configurou, importe o certificado raiz nas maquinas.
Att
Fernando bom dia!
ResponderExcluirEstou o seguinte problema, na rede interna o addressbook está 100%, as pesquisas funcionam OK, mas externamente alguns grupos de distribuição aparecem e outros a grande maioria não.
Tem alguma idéia? Esse addressbook disponível para download externo precisa ser atualizado?
Fernando, parabéns pelo post, ficou muito legal;
ResponderExcluirSó tenho uma duvida, porque eu tenho que gerar um novo certificado?
Você pode manter o mesmo certificado, tomando o cuidado de configurar todas as URL's do Lync no certificado.
ExcluirAtt
Fernando,
ResponderExcluirEstou com a mesma dificuldade, não sei se utiliza o Squid, mas eu utilizo e preciso publicar o Lync apenas com um IP Público, porém todo do trafego que chega na porta 80 e 443 passa por ele, será que consigo?
Olá Fernando! Parabéns pelos ótimos posts!! Uma dúvida, sem proxy reverso eu consigo realizar webconferences com clientes externos? Obrigado.
ResponderExcluir