Instalação do Lync Edge Server em DMZ Double Hop
Do Fernando Lugão Veltem
Março 2012
Active Directory e Lync Standard
No artigo anterior sobre o Edge Server Instalação Lync Server Edge Server (pt-BR) configurei o server role sem separa-lo em uma DMZ. Neste artigo configuro o Edge server role em um DMZ separa por firewalls entre o Front End.
Todos os servidores estão instalado com Windows Server 2008 R2 Service Pack 1, o Lync Server Standard foi configurado com o domínio sip home.com.br e o domínio Active Directory tem o nome fqdn home.intranet
Os servidores foram configurados da seguinte forma:
|
Nome do Servidor |
Role |
Endereço IP |
|---|---|---|
|
hm01.home.intranet |
Controlador de Domínio e Autoridade Certificadora |
192.168.1.200 |
|
Hm02.home.intranet |
Lync Server Standard Edition |
192.168.1.201 |
|
Hm10.home.intranet |
TMG 2010 / Filtro de pacotes entre a rede interna e DMZ 1 |
IP1: 192.168.1.250 / DMZ1:172.16.0.250 |
|
HmRV.home.dmz |
TMG 2010 com Reverse Proxy configurado / Filtro de pacote entre DMZ 1 e DMZ 2 |
DMZ1: 172.16.0.254 / DMZ2 :10.0.0.251 |
|
hmEdge.home.dmz |
Lync Server Edge Server – não faz parte do domínio |
DMZ 1: 172.16.0.200 / DMZ 2: 10.0.0.200, 10.0.0.201, 10.0.0.202 |
O pool de Lync Server foi atualizado com o Cumulative Pack 4 utilizando o procedimento do artigo Atualização do Lync Server Pool com Cumulative Update 4 (pt-BR)
No controlador de domínio foi criado uma zone chamada home.com.br com os registros
|
Tipo do Registro |
FQDN |
Endereço IP |
|---|---|---|
|
A |
admin.home.com.br |
192.168.1.201 |
|
A |
dialin.home.com.br |
192.168.1.201 |
|
A |
meet.home.com.br |
192.168.1.201 |
|
A |
Sip.home.com.br |
192.168.1.201 |
|
SRV |
Service: _sipinternaltls Protocolo: tcp Porta: 5061 |
Sip.home.com.br |
Na zona do Active Directory home.intranet foi criado um registro para o servidor Edge.
O registro do tipo Address resolve o nome FQDN HmEdge.home.intranet para o ip configurado na placa interna do servidor 172.16.0.200.
No DNS da internet foram criados os registros para o serviço do Edge Server:
|
URL Público |
IP |
Tipo do Registro |
|---|---|---|
|
sip.home.com.br |
223.0.0.1 |
A |
|
WebConf.home.com.br |
223.0.0.2 |
A |
|
AV.home.com.br |
223.0.0.3 |
A |
|
_sip._tls.home.com.br |
Sip.home.com.br:443 |
SRV |
|
_sipfederationtls._tcp.home.com.br |
sip.home.com.br:5061 |
SRV |
Firewall Interno
O firewall interno Hm10.home.intranet esta executando Forefront Threat Management Gateway (TMG) 2010 Service Pack 2.
Os seguintes protocolos e portas precisam ser liberados entre a rede interna e a placa de rede interna do servidor Edge.
|
Porta |
Rede de Origem |
Rede de Destino |
Finalidade |
|---|---|---|---|
|
4443/TCP |
Back End Server Role |
Edge Server Role |
Porta de replicação do Central Management Store para o Local Store no Edge Server |
|
5062/TCP |
Front End Server Role |
Front End Server Role |
Trafego de autenticação de sessão |
|
443/TCP |
Fron End Server Role/ Edge Server Role / Rede Interna |
Fron End Server Role / Edge Server Role |
Trafego HTTPS deve ser liberado nos dois sentidos entre o Front End e Edge Server. |
|
3478/UDP |
Fron End Server Role/ Edge Server Role/ Rede Interna |
Fron End Server Role / Edge Server Role |
Porta utilizada pelo Web Conference service. O trafego desta porta deve ser liberado nos dois sentidos entre o Front End e Edge Server. Utilizado para sessões de Áudio e Vídeo |
|
5061/TCP |
Fron End Server Role/ Edge Server Role |
Fron End Server Role / |
Trafego Sip seguro, a porta deve ser liberado nos dois sentidos entre o Front End e Edge Server |
|
8057/TCP |
Front End Server |
Edge Server |
Porta das sessões dos clientes |
Para o artigo vou demostrar as regras de liberação que configurei no TMG, não vou demostrar o passo a passo de cada regra.
Configurei duas entidades de rede para o firewall.
Internal - representa todos os ip's da rede interna 192.168.1.0 à 192.168.1.255
Rede DM| 1 - representa todos os ip's da rede DMZ 1 172.16.0.0 à 172.16.0.255
Entre as duas rede existe uma relação de Route, isso significa que não tenho NAT ativo entre a DMZ e rede interna!
Os ip's são configurados nas placas de rede do firewall, a placa de rede interna não foi configurado endereço de gateway e a placa conectada à rede DMZ 1 foi configurado com o gateway 172.16.0.254 que é o segundo TMG configurado como Reverse Proxy e executa o roteamento e filtro entre a DMZ 1 e DMZ 2
Foi criado dois objetos de rede:
Front End / Back End
Edge Server
Este objetos serão utilizados para as regras de liberação de portas entre o Lync Server Standard e o Edge Server.
Em seguida foram criados os protocolos, no console do TMG na guia Toolbox crie um novo protocolo.
Foram criados três protocolos diferentes:
MRAS Authentication
Porta: 5062
Protocolo: TCP
Direção:Saída
CMS Replica:
Porta: 4443
Protocolo: TCP
Direção: Saída
WebConf Traffic
Porta: 8057
Protocolo: TCP
Direção:
AV Traffic
Porta: 3478
Protocolo: UDP
Direção
Com os protocolos e objetos criados falta somente criar as regras de liberação de trafego. Acesse a guia Tasks no console de gerenciamento do TMG e crie uma Create Access Rule.
Foram criadas três regras de acesso:
Regra 1: Acesso Rede Interna ao Edge liberando os protocolos HTTPS e AV Traffic aos clientes da rede interna ao servidor Edge Server
Regra 2: Comunicação Front End Edge Server liberando os protocolos HTTPS, SIPS e AV Traffic nas duas direções de comunicação entre o Lync Standard e o Edge Server
Regra 3: Acesso Front End liberando os protocolos CMS Replica, MRAS Authentication e WebConf Traffic com origem no Lync Standard para Edge Server
Para facilitar os testes de roteamento entre a rede DMZ 1 e a Rede Interna criei um regra permitindo ping.
Configuração da Política de Acesso Externo
Para permitir que os usuários se conectem pelo Edge Server é preciso alterar a política de acesso externo.
Logue no console de gerenciamento do Lync, na página External User Access clique na guia Access Edge Configuration. Edite e política padrão Global
Selecione Enable remote user access e salve as alterações
Criação do Edge Pool
Para a criação do Edge Pool inicie o Topology Builder e selecione Download Topology from existing deployment
Selecione a pasta Edge Pool e na clique em New Edge pool....
O assistente de configuração do Edge Pool inicia, avance para configurar o serviço
Selecione a opção Single Computer pool e configure o fqdn interno do Edge Server nesse caso o nome fqdn HmEdge.home.intranet (esse registro deve ser criado manualmente no DNS do Active Directory Domain)
Vou configurar o Edge através de um NAT, por isso selecionei The external IP address of this Edge pool is translated by NAT
Configure os fqdn's que serão utilizadas e as portas de cada serviço
Sip.home.com.br443
WebConf.home.com.br443
AV.home.com.br443
Configure o endereço IP configurado na placa de rede interna do Edge
172.16.0.200
Configure os endereços ip's da placa de rede externa do servidor Edge
10.0.0.200
10.0.0.201
10.0.0.202
Informe o ip válido configurado no firewall de internet
Associe o novo serviço ao pool existente
Selecione os Front End's do pool e finalize o assistente.
De volta ao Topology Builder publique as alterações na topologia
Com o pool configurado e criado no Central Management Store exporte as alterações para um arquivo para ser utilizado na instalação do serviço no servidor de destino. Inicie o Lync Server Management Shell e execute o cmdlet
Export-CsConfiguration <caminho do arquivo>
Acesse o portal do servidor de certificado e exporte o certificado raiz para um arquivo.
Salvei os dois arquivos na pasta local do C:\InstallEdge. Copie esta pasta para o servidor onde será instalado os serviços do Edge server;
Configuração do Edge Server
O servidor que será instalado os serviços do Edge Server foi instalado com duas placas de rede, uma placa configurada na rede DMZ 1 e outra DMZ 2
A placa de rede interna foi configurada com o ip da rede DMZ 1, não foi configurado nenhum gateway ou servidor DNS nesta placa.
Ip: 172.16.0.200/24
Na placa configurada com o ip da rede DMZ 2, foi configurado o endereço gateway o firewall que faz a conexão com a internet e um servidor DNS externo.
O servidor do Edge server precisar acessar recursos da rede corporativa, com essa configuração de rede o servidor é incapaz de rotear requisição para a rede 192.168.1.0/24
Isso ocorre porque o servidor não possui nenhuma rota para a rede corporativa,
route print
Para permitir a comunicação do servidor com a rede corporativa é preciso adicionar uma rota de saída para a rede 192.168.1.0/24 pelo placa de rede interna do Edge Server. Para identificar qual a interface que será utilizada no comando route add execute o ipconfig /all e anote o endereço físico da placa de rede interna.
Identifique no route print qual o número da interface do endereço físico anotado. Nesse caso a placa de rede interna tem a identificação IF 12
Utilize o comando route add para adicionar a rota, utilize a opção -p para tornar a rota persistente e ela não ser perdida quando o servidor reiniciar
route add <rede destino> mask <mascara de identificação> <endereço gateway> if <identificação da placa de rede> -p
Configure o sufixo dns no servidor Edge, o sufixo dns deve ser idêntico ao sufixo dns do Active Directory Domain.
Na guia de mudaça de nome do computados, clique em More
Na caixa de dialogo configure o Primary DNS suffix of this computer adicione o mesmo sufixo do Active Directory Domain. Não esqueça de criar um registro no dns da zona home.intranet apontando para o ip do servidor Edge, você precisa configurar essa entrada manualmente no DNS pois o servidor Lync Edge não faz parte do domínio Active Directory.
Configure o arquivo hosts do servidor e adicione o nome fqdn e o endereço ip do controlador de domínio e do Lync Server Standard
C:\Windows\System32\drivers\etc\hosts
Copie a pasta com o certificado raiz da certificadora e o arquivo de configuração gerado no Front End para a raiz do servidor;
Inicie um console de administração executando o comando mmc no executar, e selecione o Snap-In Certificates
Selecione a gerencia do Computer account
Selecione Local Computer
No console clique com o botão direito sobre Trusted Root Certification Authorities selecione All Tasks e clique em Import
Selecione o certificado raiz e finalize o console
Com as alteração de rota e no arquivo hosts o ping pelo nome fqdn do Lync Standard é completado com sucesso.
Antes de prosseguir com a instalação dos serviços do Edge Server é recomendado reiniciar o servidor para aplicar todas as alterações realizadas.
Instalação dos Serviços do Edge Server
Criação do Local Configuration Store
Para iniciar a instalação do serviço do Edge Server monte a mídia de instalação do Lync no servidor e inicie o assistente de instalação. O assistente instala o Visual C++ 2008
No assistente de instalação clique em Install or Update Lync Server System
Inicie o primeiro passo Install Local Configuration Store
Selecione o arquivo criado com o Export-CsConfiguration
Verifique se nenhum erro ocorreu e finalize o primeiro passo
Inicie o segundo passo Setup or Remove Lync Server Components
Instalação dos Serviços e Componentes
Avance para iniciar a instalação
Verifique se nenhum erro foi logado e finalize o segundo passo
Criação do Certificados Digitais
O terceiro passo o assistente configura os certificados digitais utilizados na comunicação dos clientes e com os outros servidores do pool.
Clique em Run para inciar Request, Install or Assing Certificates
Selecione a Edge Internal para emitir o certificado utilizado na placa de rede interna. Clique em Request
Avance para iniciar o assistente do certificado
Selecione a opção Prepare the request now, but send it later (offline certificate request). Essa opção gera um arquivo para ser importado na certificadora
Selecione o caminho do arquivo
Não altere nenhuma configuração em Certificate Template
Configure o Friendly Name para o certificado e marque a opção Mark the certificate's private key as exportable. O Friendly Name do certificado pode ser configurado com qualquer nome, este valor não altera nenhuma funcionalidade do certificado
Configure as informações da organização no certificado
Configure as informações geograficas
Em Subject Name deve ser configurado com o nome fqdn criado no DNS do Active Directory Domain
Não é necessário adicionar nenhum Subject Alternative Names
Verifique se todas as informações estão corretas e finalize o assistente
Finalize o assistente.
De volta ao Certificate Wizard selecione External Edge certificate e clique em Request
O processo é o mesmo realizado para o certificado interno, altere somente o nome do arquivo da requisição
E os nomes que serão configurados o certificado, o assistente adiciona os nomes configurados para os serviços no Standard Pool.
No final do processo temos dois arquivos para gerar os certificados digitais, copie os dois para algum servidor da rede interna.
O conteúdo dos arquivos se assemelha
Acesse o Web Certificate Enrrolement nessa estrutura o controlador de domínio possui a certificadora enterprise instalada. Clique em Request a certificate
Selecione Advanced certificate request
Clique Submit a certificate by using a base-64 encoded CMC or PKCS # 10 file, or submit a renewal request by using a base 64-encoded PKCS #7 file
Em Saved Request copie o conteúdo de um arquivo de request e cole neste local. Em Certificate Template selecione Web Server e clique em Submit
O certificado é gerado, pelo portal salve em um arquivo e repita o mesmo processo para o certificado da rede externa
Na pasta de destino temos os dois certificados emitidos
Copie a pasta para o servidor Edge, acesse o console de gerenciamento com o Snap-In de certificado no computados local e importe os dois certificados
Selecione o caminho do arquivo
Os certificados importados devem ser listados como se segue, as chaves privadas devem fazer parte do certificado para que eles possam ser utilizados pelos serviços do Edge Server
Retorne ao assistente de instalação do Lync, na guia do Certificate Wizard. Selecione o Edge Internal e clique em Assign
Avance para iniciar a instalação do certificado
Marque o certificado gerado para a placa de rede interna
Verifique as informações do certificado e se o nome fqdn esta correto e avance iniciar a importação
Verifique se nenhum erro ocorreu e finalize o assistente
De volta ao assitente de certificado realize o mesmo procedimento, so que desta vez selecione a External Edge Certificate
E marque o certificado gerado para a rede externa
Inicie os Serviços do Lync Edge
Execute o passo Start Service para iniciar todos os serviços do Edge;
Inicie o console de gerenciamento de serviços e certifique-se que todos os serviços foram criados
Replicação Entre Back End e Edge Server
No servidor Edge Server o assistente criou uma pasta compartilhada chamada xds-replica. As alterações na topologia e replicações necessárias para o Edge serão salvas nesta pasta pelo serviço de replicação do Back End e os serviços instalados no Edge aplicam as alterações necessárias.
Para iniciar o processo de replicação do Back End para o Local Store no servidor Edge execute o cmdlet
Invoke-CsManagementStoreReplication
Isso força toda a topologia verificar por atualizações no Back End, apos a execução do comando.
Utilize o cmdLet:
Get-CsManagementStoreReplication
Dependendo do tamanho da estrutura e do link disponível entre os server roles o status dos servidores pode demorar um pouco a atualizarem, para um ambiente simples com um Standard Pool e um Edge Server a atualização leva menos de um minuto. Se todas as configurações foram efetuadas com sucesso o status deve ser atualizado para:
Publicação do Edge Server
A publicação dos serviços para os clientes utilizando a internet é necessário a liberação das seguintes portas do firewall de internet para os ip's das placas de rede externa do servidor Edge.
As portas 50000 - 59999/TCP e 50000-59999/UDP são necessárias somente se a federação com o Office Communicator 2007 ou Live Messeger estiver configurada.
Para se certificar que os serviços foram configurados corretamente teste o acesso ao Edge Server no portal https://www.testocsconnectivity.com/.
blog: http://flugaoveltem.blogspot.com
twitter: @flugaoveltem
