none
Обратный прокси для Lync и Exchange на одном сервере IIS ARR RRS feed

  • Вопрос

  • Прошу консультации как на одном сервере IIS ARR настроить публикацию и сервисов Lync и сервисов Exchange. Не могу понять как правильно заполнить раздел Site Bindings  в IIS. Будет ли правильным так как я указала на скриншоте? Если нет, подскажите как правильно это сделать.

    20 октября 2015 г. 11:02

Ответы

  • Ну вообще на один адрес два сертификата прикрепить можно (SNI), правда не знаю, насколько это утверждение актуально при настройке IIS ARR.

    Lyncdiscoverinternal.contoso.com не должен работать через реверспрокси! Посмотрите изображение по ссылке:

    https://technet.microsoft.com/ru-ru/library/hh690030%28v=ocs.15%29.aspx?f=255&MSPPError=-2147217396

    Там же мы видим, как подключаются мобильные устройства внутри сети. На надо их проксировать отдельно на IIS ARR! 

    Вот вам ссылка на хорошее видео от Ильи Рудь:

    https://www.youtube.com/watch?v=WS_R6pam5ts

    Если разные сертификаты, то да, надо указать реальные IP в биндинге. 

    Правило для autodiscover.contoso.com. может быть аналогично webmail, а может и нет. Все зависит от того, как вы настраиваете автообнаружение.

    • Предложено в качестве ответа ILYA [ sie ] SazonovModerator 21 октября 2015 г. 11:23
    • Помечено в качестве ответа mriyato 28 октября 2015 г. 14:02
    20 октября 2015 г. 14:14
  • Про публикацию Exchange (и автообнаружения) можете посмотреть тут:

    https://rmamyshev.wordpress.com/2014/04/16/iis-arr-exchange-2013/

    Я пролистал, вроде все корректно.

    • Помечено в качестве ответа mriyato 28 октября 2015 г. 13:59
    21 октября 2015 г. 10:42
  • мы создали на две фермы больше (Lyncdiscoverinternal.contoso.com и webexternal.contoso.com) потому что у нас настроен доступ для мобильных устройств из внутренней сети через внутренний интерфейс обратного прокси.

    вышеуказанную ссылку я уже изучала. Там в разделе Site Bindings вместо ip-адресов указываются звездочки:

    

    Но при настройке IIS ARR для Lync + Exchange на одном сервере так нельзя указать, потому что у них разные сертификаты. И нельзя на один  ip-адрес прикрепить два разных сертификата. С Https на 443 порту понятно две записи для двух ip-адресов. А для http на 80 порту как правильно? Указать звездочку вместо ip-адресов или так как я на своем скриншоте указала: для каждого ip-адреса отдельная запись? 

    И по вышеуказанной ссылке нет примера правила для autodiscover.contoso.com. оно аналогично как  webmail.contoso.com?


    Ферма определяет место назначения, куда ARR перенаправляет запросы. Поэтому создавать ферму нужно для каждого внутреннего сервера (точнее - его IP-адреса) или группы серверов с балансировкой нагрузки между ними.

    Для AAR в плане привязок важно лишь, чтобы запросы проходили через веб-сайт (этот модуль работает в конвейере веб-сайта), поэтому http можно привязывать и на все адреса ("*"), и на конкретные - без разницы - ARR потом будет перенаправлять согласно содержимому заголовка Host - имени веб-сайта(оно анализируется в правиле) и, возможно - состояния HTTPS (как в статье).

    Правила для всех имён веб-сайтов создаются аналогично, следите только, где там HTTP допустим, а где - нет.


    Слава России!

    • Помечено в качестве ответа mriyato 28 октября 2015 г. 13:59
    21 октября 2015 г. 11:14
  • Т.к. вы публикуете два сервера, то правила по умолчанию (о конфликте которых вы получаете предупреждение) использованы быть не могут: их нужно либо не создавать (удалить, если созданы), либо модифицировать - чтобы их условия соответствовали тому, что указано в статье.


    Слава России!

    • Помечено в качестве ответа mriyato 28 октября 2015 г. 13:59
    21 октября 2015 г. 14:38
  • Проверить. Для каждой нужной вам комбинации имя хоста и протокола (http или https) пройти по правилам сверху вниз (до конца или до сработавшего правила, прекращающего выполнение остальных) и в каждом правиле проверить срабатывание условия.

    А ещё лучше - развернуть реальные серверы и протестировать доступ к ним снаружи.


    Слава России!

    • Помечено в качестве ответа mriyato 28 октября 2015 г. 14:01
    21 октября 2015 г. 16:57

Все ответы

  • А зачем вы создали столько ферм? Вы уверены, что они нужны?

    Вот хороший пример настройки IIS ARR для Lync + Exchange:

    http://blogs.technet.com/b/nexthop/archive/2013/02/19/using-iis-arr-as-a-reverse-proxy-for-lync-server-2013.aspx

    20 октября 2015 г. 11:25
  • мы создали на две фермы больше (Lyncdiscoverinternal.contoso.com и webexternal.contoso.com) потому что у нас настроен доступ для мобильных устройств из внутренней сети через внутренний интерфейс обратного прокси.

    вышеуказанную ссылку я уже изучала. Там в разделе Site Bindings вместо ip-адресов указываются звездочки:

    

    Но при настройке IIS ARR для Lync + Exchange на одном сервере так нельзя указать, потому что у них разные сертификаты. И нельзя на один  ip-адрес прикрепить два разных сертификата. С Https на 443 порту понятно две записи для двух ip-адресов. А для http на 80 порту как правильно? Указать звездочку вместо ip-адресов или так как я на своем скриншоте указала: для каждого ip-адреса отдельная запись? 

    И по вышеуказанной ссылке нет примера правила для autodiscover.contoso.com. оно аналогично как  webmail.contoso.com?


    • Изменено mriyato 20 октября 2015 г. 12:50
    20 октября 2015 г. 12:49
  • Ну вообще на один адрес два сертификата прикрепить можно (SNI), правда не знаю, насколько это утверждение актуально при настройке IIS ARR.

    Lyncdiscoverinternal.contoso.com не должен работать через реверспрокси! Посмотрите изображение по ссылке:

    https://technet.microsoft.com/ru-ru/library/hh690030%28v=ocs.15%29.aspx?f=255&MSPPError=-2147217396

    Там же мы видим, как подключаются мобильные устройства внутри сети. На надо их проксировать отдельно на IIS ARR! 

    Вот вам ссылка на хорошее видео от Ильи Рудь:

    https://www.youtube.com/watch?v=WS_R6pam5ts

    Если разные сертификаты, то да, надо указать реальные IP в биндинге. 

    Правило для autodiscover.contoso.com. может быть аналогично webmail, а может и нет. Все зависит от того, как вы настраиваете автообнаружение.

    • Предложено в качестве ответа ILYA [ sie ] SazonovModerator 21 октября 2015 г. 11:23
    • Помечено в качестве ответа mriyato 28 октября 2015 г. 14:02
    20 октября 2015 г. 14:14
  • Мобильные клиенты могут работать либо только внутри сети либо только снаружи. В нашей системе реализованы оба варианта.

    За видео большое спасибо.

    Была бы благодарна за ссылку, где были бы описаны возможные варианты Url rewrite для autodiscover.


    • Изменено mriyato 21 октября 2015 г. 10:34
    21 октября 2015 г. 10:34
  • Про публикацию Exchange (и автообнаружения) можете посмотреть тут:

    https://rmamyshev.wordpress.com/2014/04/16/iis-arr-exchange-2013/

    Я пролистал, вроде все корректно.

    • Помечено в качестве ответа mriyato 28 октября 2015 г. 13:59
    21 октября 2015 г. 10:42
  • мы создали на две фермы больше (Lyncdiscoverinternal.contoso.com и webexternal.contoso.com) потому что у нас настроен доступ для мобильных устройств из внутренней сети через внутренний интерфейс обратного прокси.

    вышеуказанную ссылку я уже изучала. Там в разделе Site Bindings вместо ip-адресов указываются звездочки:

    

    Но при настройке IIS ARR для Lync + Exchange на одном сервере так нельзя указать, потому что у них разные сертификаты. И нельзя на один  ip-адрес прикрепить два разных сертификата. С Https на 443 порту понятно две записи для двух ip-адресов. А для http на 80 порту как правильно? Указать звездочку вместо ip-адресов или так как я на своем скриншоте указала: для каждого ip-адреса отдельная запись? 

    И по вышеуказанной ссылке нет примера правила для autodiscover.contoso.com. оно аналогично как  webmail.contoso.com?


    Ферма определяет место назначения, куда ARR перенаправляет запросы. Поэтому создавать ферму нужно для каждого внутреннего сервера (точнее - его IP-адреса) или группы серверов с балансировкой нагрузки между ними.

    Для AAR в плане привязок важно лишь, чтобы запросы проходили через веб-сайт (этот модуль работает в конвейере веб-сайта), поэтому http можно привязывать и на все адреса ("*"), и на конкретные - без разницы - ARR потом будет перенаправлять согласно содержимому заголовка Host - имени веб-сайта(оно анализируется в правиле) и, возможно - состояния HTTPS (как в статье).

    Правила для всех имён веб-сайтов создаются аналогично, следите только, где там HTTP допустим, а где - нет.


    Слава России!

    • Помечено в качестве ответа mriyato 28 октября 2015 г. 13:59
    21 октября 2015 г. 11:14
  • Спасибо. И еще возник вопрос: При добавлении фермы webmail.contoso.com выдает предупреждение про возможный конфликт правил Url rewrite, хотя правило для webmail.contoso.com еще не создано. Не подскажете в чем может быть причина этого предупреждения?

    21 октября 2015 г. 12:31
  • Т.к. вы публикуете два сервера, то правила по умолчанию (о конфликте которых вы получаете предупреждение) использованы быть не могут: их нужно либо не создавать (удалить, если созданы), либо модифицировать - чтобы их условия соответствовали тому, что указано в статье.


    Слава России!

    • Помечено в качестве ответа mriyato 28 октября 2015 г. 13:59
    21 октября 2015 г. 14:38
  • я их модифицировала, как теперь понять конфликтуют они с чем-либо или нет?
    21 октября 2015 г. 14:50
  • Проверить. Для каждой нужной вам комбинации имя хоста и протокола (http или https) пройти по правилам сверху вниз (до конца или до сработавшего правила, прекращающего выполнение остальных) и в каждом правиле проверить срабатывание условия.

    А ещё лучше - развернуть реальные серверы и протестировать доступ к ним снаружи.


    Слава России!

    • Помечено в качестве ответа mriyato 28 октября 2015 г. 14:01
    21 октября 2015 г. 16:57
  • Спасибо. но обнаружилась одна проблема. сейчас на сервере ARR один внешний интерфейс, на котором два ip-адреса (один был под сервисы Lync, другой добавила как дополнительный под сервисы Exchange). К одному привязан сертификат Lync, к другому сертификат Exchange. В логах IIS видно. что при обращении на webmail.contoso.com запросы кидает на ip-адреса Lync.  в логах ARR видно, что все правила отрабатывют, в том числе и для webmail.contoso.com, но сертификат подтягивается линковский (вероятно по тому. что он привязан ip-адрес Lync). Сетевики проверили что маршрутизация с внешнего адреса webmail.contoso.com настройна правильно (на ip-адрес Exchange). Я не пойму почему запросы на webmail.contoso.com поступают на ip-адрес Lync?
    • Изменено mriyato 23 октября 2015 г. 6:10
    23 октября 2015 г. 5:59
  • В логах IIS видно. что при обращении на webmail.contoso.com запросы кидает на ip-адреса Lync. 
    Проверяйте разрешение имени webmail.contoso.com в IP-адрес на клиенте, с которого пытаетесь подключиться: IP-адрес, к которому подключаться, определяется там.

    Слава России!

    23 октября 2015 г. 13:26