راه اندازی سرور Reverse Proxy برای Skype for Business 2015 با استفاده از Microsoft IIS ARR 3.0

راه اندازی سرور Reverse Proxy برای Skype for Business 2015  با استفاده از Microsoft IIS ARR 3.0

 *مقاله در دست تکمیل است*

در هفته گذشته سرویس Skype4B را برای یک شرکت بین المللی راه اندازی کردم، نحوه نصب و راه اندازی این سرویس دارای مستندات بسیاری به زبان انگلیسی در Technet و تعداد زیادی آموزش متنی و تصویری به زبان فارسی می باشد.

دلیل نگارش این مقاله آموزش همگانی و همچنین مراجعات آتی خودم در صورت نیاز به آن می باشد تا نیاز مجدد به عیب یابی سیستم ها نداشته باشم.

اگر در حال گسترش و یا برنامه ریزی برای نصب Lync یا Skype4B می باشید و قصد دارید این سرویس را در خارج از سازمان خود نیز استفاده کنید یا با سیستم دیگری ارتباط Federation برقرار کنید قطعا به یک Reverse Proxy همچون IIS ARR (و همچنین سروری با وظایف Edge) نیاز دارید.

Reverse Proxy یکی از سرویسهای Lync نیست و در اصل سرویسی جانبی برای تکمیل Skype4B می باشد، به همین دلیل در هیچ یک از منابع همراه نرم افزار و یا در Topology Builder آن را مشاهده نخواهید کرد.

این سرویس درخواست های کاربران را از طرف ایشان به سمت سرورهای داخلی هدایت کرده و پاسخ را به ایشان باز می گرداند. این ویژگی به کاربران خارج از سازمان این اجازه را می دهد تا به منابع داخلی سازمان بصورت کنترل شده متصل شده و از خدمات ذیل بهره مند شوند:

  • اجازه دانلود محتوای Meeting ها به کاربران بیرون سازمان
  • اجازه دانلود محتوای Address Book ها به کاربران بیرون سازمان
  • اجازه دسترسی به سرویس Lync Web App Client
  • اجازه دسترسی به صفحه Dial-in Conferencing
  • فراهم کردن دسترسی به سرویس Location Information (موقعیت مکانی)
  • فراهم کردن دسترسی کاربران بیرونی به صفحه به روزرسانی (Device Update Web Service)
  • فعال کردن امکان دسترسی به URL های سرویس Lync Mobility
  • امکان استفاده از سرویس Lync Discover و هدایت منابع مورد نیاز به کاربران خارج سازمان

 

خدمات سرویس Reverse Proxy در اکثر فایروال ها و لود بالانسرهای امروزی بصورت یک امکان فراهم شده است. هر چند مثل یک دستگاه اختصاصی امنیتی مثل Cisco ASA از لحاظ کنترل و مدیریت عمل نمی کنند، با این حال این وظیفه را نیز میتوان به Internet Information Services  با افزونه Application Request Routing یا به اختصار IIS ARR محول نمود.

 

پیش نیاز های سرور

سرور ARR در یک شبکه DMZ یا ابتدایی می بایست قرار داشته باشد مایکروسافت پیشنهاد می کند که یک شبکه حقیقی DMZ توسط دو فایروال داخلی و خارجی مطابق تصویر زیر وجود داشته باشد و سرویس Reverse Proxy در آن محل قرار داشته باشد بصورتی که کاملا از شبکه داخلی شما مجزا باشد.

 

هر چند بطور کلی (خیلی کلی) با تکنولوژی ها و راه کارهایی روبرو هستیم که تنها در آنها یک فایروال وجود دارد و سرور Reverse Proxy دارای یک ارتباط با شبکه داخلی مطابق تصویر زیر است که به اصطلاح به آن شبکه 3 پایه ای (3-legged Firewall) نیز میگویند

 

فرای بحث نوع و ساختار شبکه سرور می بایست دارای 2 کارت شبکه هر یک در یک شبکه جداگانه باشد

سرورهای Front End بر روی پورت 4443 آماده دریافت درخواست های کاربران بیرونی می باشد.

درخواست ها ابتدا از پورت 443 دریافت شده و پس از تبدیل آن به پورت 4443 توسط Reverse Proxy به سمت Front End Pool ارسال می شوند.

سرویس Reverse Proxy یکی از آخرین سرویس هایی می باشد که شما برای Lync یا Skype4B نصب می کنید. شما ابتدا می بایست دارای یک شبکه داخلی کامل و راه اندازی شده به همراه سرورهای Edge بایشد تا بتوانید از این سرویس بهره برداری کنید.

موارد زیر می بایست ابتدا بر روی سرور انجام شود:

  • نصب حداقل ویندوز 2008 برای سیستم عامل
  • تخصیص IP های دستی به هر دو کارت شبکه
  • نصب تمامی به روزرسانی های سیستم عامل
  • تعیین نام سیستم به همراه دامنه مورد نظر
  • تغییر WorkGroup  کامپیوتر (سرور نباید Domain Join باشد – با تنظیمات خاص در فایل HOST امکان پذیر است)
  • افرودن نام دامنه به DNS Suffix نام سرور
  • نصب Root CA سرور داخلی
  • اضافه نمودن یک رکورد A به سرور DNS داخلی برای سرور

آداپتور خارجی سرور می بایست دارای Default Gateway باشد نه کارت شبکه داخلی، همچنین در صورتی که هر کارت شبکه شما دارای یک Subnet است استفاده از DNS های داخلی بلامانع است (مانند ساختار شبکه دوم در بالا) و یا در صورتی که سرور شما در یک شبکه DMZ  واقعی است (تصویر اول) در این صورت لازم است یک Route مستقیم به سمت سرورهای Front End و سرورهای Office Web App خود داشته باشید. همچنین می بایست برای اطمینان از امکان دسترسی به سرورهای داخلی با تغییر محتویات فایل host برای مسیرهای meet, dialin, lyncdiscover و lyncwebexternal به سمت سرور Front End اطمینان حاصل نمائید.

 

نصب و تنظیم IIS ARR

برای این کار من از یک سرور Windows 2012 R2 استفاده می کنم که همانند دیاگرام اول در شبکه DMZ وجود دارد، این تنظیمات ممکن است در سیستم عامل های دیگر کمی متفاوت باشد.

مرحله اول – نصب IIS

با توجه به علاقه شخصی من به PowerShell دستورات نصب را حتی الامکان از این طریق انجام می دهم.

Install-WindowsFeature Web-Static-Content,Web-Default-Doc,Web-Dir-Browsing,Web-Http-Errors,Web-Net-Ext,Web-Http-Logging,Web-Request-Monitor,Web-Http-Tracing,Web-Filtering,Web-Stat-Compression,Web-Mgmt-Console,NET-Framework-Core,NET-Win-CFAC,NET-Non-HTTP-Activ,NET-HTTP-Activation,RSAT-Web-Server -IncludeManagementTools

 

 

مرحله دوم – نصب Application Request Routing

ابتدا فایل مورد نظر را از لینک زیر دانلود کنید، در صورت فعال بودن Web App Installer با تصویر زیر روبروی می شوید:

http://www.iis.net/downloads/microsoft/application-request-routing

 

 Skype4B ARR Proxy Steps

در این مرحله با تایید پیش نیاز های لازم (در زمان نگارش این مقاله) که در زیر نشان داده شده است سرویس را نصب خواهیم نمود.

 Skype4B ARR Proxy Steps

 

پس از اتمام تاییدیه زیر را مشاهده خواهیم نمود:

 

 Skype4B ARR Proxy Steps

 

مرحله سوم – نصب گواهینامه های امنیتی

همانطور که در قسمت پیش نیاز ها ذکر شد لازم است گواهینامه ریشه شبکه داخلی در مخزن Local Computer Trusted Root Certificate Authorities نصب شود.

سپس گواهینامه های امنیتی خارجی خود را که می بایست به همراه SAN های مورد نظر باشد را نیز بر روی سرور نصب میکنیم.

شما میتوانید با استفاده از گواهی نامه های امنیتی Multi Domain SSL با قابلیت SAN میزبانی زاگریو برای تامین امنیت سرورهای خود اقدام نمائید (نحوه تهیه این گواهینامه ها خارج از بحث این مقاله می باشد)

5
در قسمت Servers Certificate می بایست گواهینامه های امنیتی مورد نظر خود را مشاهده نمائید.

6
 

مرحله چهارم – اتصال گواهینامه های امنیتی به سایت

بر روی Default Web Site کلیک کنید، سپس بر روی Bindings کلیک کنید و برای سرویس HTTPS بر روی پورت 443 گواهینامه مورد نظر را انتخاب و تایید نمائید.

7

مرحله پنجم – ایجاد Server Farm

ما می بایست برای هر نامی که می خواهیم آنها را منتشر کنیم (Meet, dialin, lyncdiscover و lyncwebexternal) یک Server Farm ایجاد کنیم. برای ایجاد اولین آیتم بر روی Server Farms دکمه راست موس را بزنید و گزینه Create Server Farm را مطابق تصویر کلیک کنید.

8
در فرم باز شده نام کامل FQDN خود را وارد نمائید.

9
در صفحه بعدی، قبل از پر کردن اطلاعات سرور بر روی Advanced Settings کلیک کنید و مقادیر HTTP و HTTPS را از 80 و 443 به 8080  و 4443 تغییر دهید. سپس نام کامل  FQDN سرور Front End و یا Front End Pool خود را وارد نمائید، سپس بر روی Add کلیک کنید. در صورت دریافت پیغام ایجاد URL Rewrite بر روی Yes کلیک نمائید.

10
 

مراحل فوق را برای تمامی آدرسهای مورد نظر خود تکرار نمائید.به یاد داشته باشید سرور Office Web Application نام متفاوتی خواهد داشت و پورت های آن همان 80 و 443 می باشد.

پس از اتمام مراحل خروجی کار می بایست شبیه تصویر زیر باشد.

11
 

مرحله ششم  – تنظیمات  Server Farm

لازم است برای هر یک از Server Farm های ایجاد شده موارد زیر را تنظیم کنیم:

1-      در بخش Caching تیک Enable Disk Cache را غیر فعال کنید.

13

 

2-      در قسمت Proxy می بایست Timeout Value را از 30 به حداقل 600 تغییر دهیم.

در صورت عدم تعریف این تنظیم کاربران iPhone دائما پیغامی را مبنی بر الزام باز کردن نرم افزار Skype4B را مشاهده می نمایند. دلیل دریافت این خطا عدم تنظیم صحیح این گزینه است. این مورد بر اساس شرایط شما متفاوت است، عموما عدد تنظیم شده در شرایط متفاوت بین 600 تا 900 می باشد. این مورد را برای تمامی Server Farm ها اعمال کنید.

14

 

3-      در قسمت Routing Rules تیک SSL Offloading را غیر فعال کنید. و مجددا برای تمامی آیتم ها اعمال کنید.

15

 

 

مرحله هفتم  – تنظیمات  URL Rewrite

بر روی نام سرور خود در IIS کلیک کنید و گزینه URL Rewrite را انتخاب نمائید.

16
برای تمامی مواردی که ایجاد کرده اید مطابق تصویر زیر دو مورد HTTP و HTTPS را مشاهده می نمائید:

17
ما از سرویس HTTP به دلایل امنیتی استفاده نخواهیم کرد به همین دلیل تمامی مواردی که با HTTP هستند را حذف می نمائیم.

آیا این پاسخ به شما کمک کرد؟

انجمن پشتیبانی میزبانی زاگریو

انجمن پرسش و پاسخ میزبانی زاگریو
پاسخ به پرسش های شما در زمینه فن آوری اطلاعات و صنعت میزبانی وب

 چاپ این مقاله

خوانده شده

نحوه بکاپ گیری از SQLServer توسط PowerShell

برای بکاپ گیری از بانکهای اطلاعاتی Microsoft SQL Server به راحتی می توانید با استفاده از ماژول...

نحوه LoadBalance کردن IP ها برای ایمیل های ارسالی توسط Exchange

در این آموزش به شما نحوه Load Balance کردن آدرس IP های خروجی (IP ارسال ایمیل) در Microsoft...

ده ویژگی سیستم عامل Microsoft Nano Server

  1-    Nano Server چیست؟ Nano Server یک نسخه مقایسه ای  headless از Windows Server می باشد که...

6 دستور اساسی Powershell برای استفاده بیشتر از ویندوز

  در این مقاله ما برخی از اساسی ترین دستورات Powershell را که به کمک  آنها می توانید تجربه های...

بررسی کلی Windows Backup

بررسی کلی از بک آپ ویندوز سرور بک آپ ویندوز سرور شامل پنجره های کنسول مدیریت مایکرو سافت(MMC)،...

Powered by WHMCompleteSolution