Lync Server 2013 中的反向代理方案
上次修改的主题: 2013-01-21
Lync Server 2013 中需要反向代理才能提供对服务和资源(如会议和电话拨入式简单 URL、通讯簿、会议内容、分发列表扩展、移动服务等)的访问权限。 Lync Server 2013 中典型的反向代理方案是允许外部客户端 (,例如桌面客户端或 Lync Web App 客户端) 对 Director 或 Front End Server 外部 Web 服务的访问。
反向代理和外部 Web 服务
.jpg "13142405-d5c9-45b7-a8b7-a8c89f09c97c")
在规划阶段,在 Lync Server 2013 部署中定义反向代理的要求。 反向代理允许访问以下外部客户端的功能:
Microsoft Lync 2013 桌面客户端
Microsoft Lync Web App
Microsoft Lync Mobile
Lync Windows 应用商店应用
规划 Lync Server 2013 部署时,将 Lync Server 2013 的实际要求映射到反向代理功能。
外部客户端将连接到端口 TCP 443 上的反向代理,并将使用安全套接字层 (SSL) 或传输层安全性 (TLS) 。 Microsoft Lync Mobile 客户端可以在端口 TCP 80 上连接,但只有在执行与 Lync 发现服务的初始连接并且管理员已配置正确的域名系统 (DNS) CNAME (或别名) 记录时,并接受不会加密此通信。
Lync Server 2013 外部 Web 服务 (部署在前端服务器和/或 Director) 期望从端口 TCP 4443 上的反向代理建立连接,并且它预计连接将是 SSL/TLS。
重要
建议的外部 Web 服务的默认侦听端口为 TCP 8080(用于 HTTP 流量)和针对 HTTPS 流量的 TCP 4443。 拓扑生成器提供了替代默认值并为外部 Web 服务定义自己的侦听端口的机会。 请务必注意,反向代理与外部 Web 服务通信,外部客户端与反向代理通信。 外部客户端与端口 TCP 443 上的反向代理通信,但你可以重新定义反向代理与外部 Web 服务通信的端口。 拓扑生成器中用于替代 Web 服务的默认侦听端口的选项可用于解决基础结构中可能出现的侦听端口冲突。
Lync Server 2013 外部 Web 服务需要客户端中的未修改主机标头来标识客户端尝试使用的服务和 Web 服务器目录。 请求应显示为它们来自反向代理
外部 Web 服务使用定义的 Web 服务器虚拟目录 (提供提供给客户端的服务的 vDir) 。 特定的外部可识别 Web 服务包括:
用于 Web 会议的“会议”vDir
用于电话访问和电话会议的“Dialin”vDir
Lync Windows 应用商店应用、Lync Mobile 和桌面客户端 Lync 2013 的“自动发现”vDir。 Lync Server 2013 中的自动发现由 DNS 名称“lyncdiscover”已知
外部客户端通过直接调用外部 Web 服务来访问未定义的服务。 例如,通过直接调用外部 Web 服务和关联的 vDirs 来访问分发组扩展 (DLX) 和通讯簿服务 (ABS) 。 客户端知道 vDir 的实际路径,并根据此信息构造统一记录定位器 (URL) 。 客户端将使用类似于 URL 的 URL 访问通讯簿服务
https://externalweb.contoso.com/abs/handler将会议定义并配置为 Lync Server 拓扑的一部分时,Office Web 应用服务器
注意
Office Web 应用服务器是一个单独的角色服务器,未配置为外部 Web 服务的一部分。 此服务器单独发布以进行客户端访问。
为每个服务定义 SSL 桥接。 外部端口 TCP 443 映射到 TCP 4443 的外部 Web 服务端口。 对于未加密的 HTTP,端口 TCP 80 将映射到外部 Web 服务端口 TCP 8080
规划反向代理侦听器以发布 Web 服务器资源
基于将要提供的服务请求并配置反向代理的证书。 如果配置了正确的使用者替代名称,则可由反向代理服务器上所有配置的侦听器共享此证书
可用于规划反向代理部署的资源: