发布日期:2007 年 9 月
Microsoft Office Communicator Web Access (2007 发行版)
规划和部署指南
本文档中的信息(包括 URL 和其他 Internet 网站引用)如有变更,恕不另行通知。除非另有说明,本文档示例所提及的公司、组织、产品、域名、电子邮件地址、徽标、人物、地点和事件纯属虚构。我们无意暗示任何真实的公司、组织、产品、域名、电子邮件地址、徽标、人物、地点或事件,读者也不应进行这方面的猜测。遵守所有适用的版权法/著作权法是用户的责任。在不限制版权许可的权利的情况下,未经 Microsoft Corporation 的明确书面许可,不得出于任何目的、以任何形式或通过任何手段(电子、机械、复印、录制或其他方式)复制本文档的任何部分或将其存储或引入到检索系统中或进行传播。
对于本文档所涉及的主要内容,Microsoft 可能拥有专利、专利申请、商标、版权或其他知识产权。除非 Microsoft 的任何书面许可协议中有明确规定,否则,提供本文档并不意味着向您授予对这些专利、商标、版权或其他知识产权的任何许可。
? 2007 Microsoft Corporation。保留所有权利。
Microsoft、Windows、Windows Server、Windows Vista、Active Directory、Internet Explorer、MSDN、MSN、Outlook 和SharePoint 是 Microsoft 公司集团的注册商标或商标。
其他所有商标归它们各自的所有者所有。
目录
简介 (1)
术语表 (1)
概述 (2)
参考体系结构 (4)
规划您的部署 (6)
Communicator Web Access 和 Active Directory (6)
支持的拓扑 (7)
Communicator Web Access 要求 (10)
规划证书 (13)
身份验证和授权 (15)
增加容量 (19)
评估网络性能 (20)
规划高可用性 (20)
故障转移 (21)
规划灾难恢复 (27)
部署 Communicator Web Access (27)
部署 Communicator Web Access 服务器 (27)
将虚拟服务器发布到用于远程用户访问的 Web (44)
配置容量和可用性 (46)
通过添加服务器增加容量 (46)
部署高可用性解决方案 (47)
从服务器故障中恢复 (49)
迁移到 2007 发行版 (50)
将用户重定向到 Communicator Web Access(2005 发行版) (51)
互操作性 (51)
附录 (52)
附录 A:Communicator Web Access 使用的端口 (52)
附录 B:规划容量要求 (52)
附录 C:不使用 DomainAdmins 凭据启用激活功能 (59)
附录 D:配置 IIS 6.0 (62)
附录 E:WMI 设置 (65)
附录 F:互操作性示例 (67)
简介
Microsoft? Office Communicator Web Access(2007 发行版)是提供对 Microsoft Office
Communications Server 2007 通过基于浏览器的客户端访问的服务器。Office Communications Server 2007 和 Office Communicator Web Access(2007 发行版)构建于 Live Communications Server 2005 SP1 和 Communicator Web Access(2005 发行版)确立的基础之上。
本指南帮助您为组织规划和部署 Communicator Web Access(2007 发行版)。本指南包括以下主题:
?有关 Communicator Web Access 和部署要求的概述
?规划 Communicator Web Access 部署
?规划高可用性
?部署 Communicator Web Access
?配置容量和可用性
?迁移到 2007 发行版
除非注明,本指南适用于 Communicator Web Access(2007 发行版)。有关部署 2005 发行版和 2007 发行版时的环境信息,请参阅本指南后面的迁移到 2007 发行版。
术语表
下表列出了本文档中使用的术语和缩写词。
表1:术语表
2Microsoft Office Communicator Web Access(2007发行版)规划和部署指南
概述
使用 Microsoft Office Communicator Web Access(2007 发行版),用户可以通过 Web 浏览
器访问 Office Communications Server 2007 中的即时消息、状态和会议功能,而无需安装
软件桌面客户端或通过 VPN 连接。用户可以在企业网络内部或者通过 Internet 登录到
Communicator Web Access,只需在支持的 Web 浏览器中输入统一资源标识符 (URI) 即可。
有关支持的浏览器列表,请参阅本指南后面的客户端要求。
Communicator Web Access 的用户可以访问 Office Communicator 2007 桌面客户端中提供的
许多相同功能。例如,用户可以管理联系人、创建和编辑向联系人显示的个人注释、搜索
用户、与联盟伙伴通信、在其桌面电话上设置呼叫转移以及重定向传入的 VoIP 呼叫。
注意
Communicator Web Access(2007发行版)不支持以下
Office Communicator2007功能:
?应用程序共享
?白板会话
?音频/视频会议
?文件传输
错误!使用“开始”选项卡将 Heading 2,Second Level Topic,h2 应用于要在此处显示的文字。 3
Communicator Web Access(2007 发行版)在 2005 发行版的基础上进行了以下改进:
?在 MMC 中自动发现本地服务器。无需手动连接到 Communicator Web Access 服务器,即可在管理器中自动检测和显示服务器。
?入站呼叫管理。Communicator Web Access 现已为用户提供路由 IP 语音 (VoIP) 呼叫的能力。入站呼叫路由是一个选项,可让 Communicator Web Access 中的用户指定处理入站电话呼叫的方式。用户可将呼叫转移到单个号码、单个联系人,同时转移到两个号码,或者同时转移到一个联系人和一个号码。
?Office Communicator 2007 用户界面。Communicator Web Access 在设计上尽可能完全复制 Office Communicator 2007 用户界面和体验。
?自定义身份验证(包括单一登录)。除了内置身份验证方法之外,Communicator Web Access 现在还支持对自定义身份验证的配置,包括单一登录 (SSO) 和双因素
身份验证。
?统一通信 AJAX API。统一通信 AJAX API 提供对 Communicator Web Access (2007 发行版)API 方法和事件的访问。此 API 基于异步 JavaScript 和 XML (AJAX) 编程模型。
对每个 Communicator Web Access 服务器的客户端访问都由虚拟服务器(也称为 Web 访问服务器)提供,该虚拟服务器是作为配置用于内部或外部访问的网站发布的。每种访问类型都需要一个单独的虚拟服务器,因为外部连接要求与内部连接要求不同。例如,不能使用集成 Windows 身份验证来验证外部用户的身份,外部虚拟服务器将在管理员指定的非
活动期后强制超时。
如果已配置 Office Communications Server 部署,以便用户可以使用 Office Communicator 2007 来接收发送到 PBX 电话的呼叫,则无法通过 Communicator Web Access 进行下列操作:
?访问语音邮件
?控制同时响铃
有关 PBX 集成的其他信息,请参阅《Office Communications Server 2007 企业语音指南》。
4Microsoft Office Communicator Web Access(2007发行版)规划和部署指南
参考体系结构
Communicator Web Access 是对现有 Office Communications Server 部署的扩展。在企业网络
内的服务器上安装 Communicator Web Access 软件,并将它们配置为用于内部用户访问或
远程用户访问,或者配置为用于这两类用户,如图 1 所示。
图1:Communicator Web Access拓扑
可以将 Communicator Web Access 服务器部署为负载平衡器后面的服务器阵列;不过,对于
部署要求不高的情况,可以用一台服务器替换此服务器阵列。
在参考拓扑中,为内部用户和远程用户部署了不同的 Communicator Web Access 服务器。
为增强系统的安全性和可用性,我们建议采用此方法。如果处理外部通信的服务器存在
安全问题,则可快速关闭该服务器,而不会妨碍内部用户。
内部用户和外部用户都可以通过在其 Web 浏览器中输入 URI
(例如https://extusers.contoso. com)来连接到 Communicator Web Access。防火墙会将外
部用户的通信路由到相应的 Communicator Web Access 服务器或服务器阵列。
Communicator Web Access 服务器在将通信转发到 Office Communications Server 2007 之前,
将执行身份验证和授权,以便提供状态和即时消息。
远程用户可以通过基于 SSL 的外部 URI 登录到 Communicator Web Access,此 URI 由还原
代理服务器发布到 Web 上。图 1 仅显示了 Communicator Web Access 支持的众多防火墙配
置中的一种。Communicator Web Access 支持用于创建外围网络的任何防火墙或还原代理
配置,包括 Microsoft Internet Security and Acceleration (ISA) Server。但是,如果为
Communicator Web Access 虚拟服务器启用了 SSO,则唯一受支持的还原代理是在 Web 侦
听器上启用了 SSO 的 ISA Server 2006。有关 ISA 服务器的详细信息,请访问 ISA 服务器
网站,网址为https://www.doczj.com/doc/1c6898843.html,/r/rlidOCS?clid=1033&p1=ISA2006(英文)。
错误!使用“开始”选项卡将 Heading 2,Second Level Topic,h2 应用于要在此处显示的文字。 5
Communicator Web Access部署组件
除 Communicator Web Access 之外,该参考体系结构还包括以下各节中介绍的组件。
Office Communications Server2007
Office Communications Server 2007 管理客户端连接、状态和其他实时通信功能(如即时
消息)。有关详细信息,请参阅《Microsoft Office Communications Server 2007 规划指南》。
Active Directory
Communicator Web Access 和 Office Communications Server 2007 环境都取决于 Active
Directory?域服务。Active Directory 用于对 Office Communications Server 2007 用户进行
身份验证、授权、设置和配置。在 Communicator Web Access 中,Active Directory 提供
企业地址列表,以方便基于搜索的查找。
防火墙
在计算机连接到 Internet 时,防火墙有助于保护网络不受攻击者的侵害。通过使用防火墙
应用程序(如 ISA Server),可以更安全地向远程用户发布 Communicator Web Access 服
务器。
因为防火墙与 Internet 直接连接,所以它是 Internet 入侵者尝试攻击的第一台计算机。因此,
防火墙计算机本身应尽可能采用安全的配置,并且应仅执行与防范和检测入侵有直接关系的任务。
负载平衡器
如果要部署 Communicator Web Access 服务器阵列,则必须使用硬件负载平衡器。不支持网络负载平衡。在阵列中的服务器之间分布用户通信时需要使用硬件负载平衡器。有关负载平衡的详细信息,请参阅本指南后面的配置负载平衡拓扑。
Internet Information Services6.0
Internet Information Services (IIS) 6.0 是承载 Communicator Web Access 的 Web 服务器。
IIS 6.0 适用于所有版本的 Microsoft Windows Server? 2003 操作系统。IIS 6.0 引入了许多
功能,可以提高 Communicator Web Access 部署的可靠性、可管理性、可伸缩性和安全性。
.NET Framework2.0
Communicator Web Access 是使用 Microsoft .NET Framework 2.0 开发的。
MMC
支持 Microsoft 管理控制台 (MMC) 2.0 和 3.0。
https://www.doczj.com/doc/1c6898843.html,2.0
Microsoft https://www.doczj.com/doc/1c6898843.html, 2.0 是 .NET Framework 2.0 的一部分。https://www.doczj.com/doc/1c6898843.html, 为开发人员和网站管
理员提供了许多新的和改进的功能。Communicator Web Access 是基于 https://www.doczj.com/doc/1c6898843.html, 2.0 构建
的。通过与 IIS 6.0 和 .NET Framework 2.0 一起使用,https://www.doczj.com/doc/1c6898843.html, 2.0 使得网站和应用程序的部署、配置和维护变得更加容易。另外,通过 https://www.doczj.com/doc/1c6898843.html, 2.0 提供的新管理网站,还可以更轻松和更安全地对 Communicator Web Access 的可伸缩性及性能进行管理和配置。
6Microsoft Office Communicator Web Access(2007发行版)规划和部署指南
Communicator Web Access使用的端口
默认情况下,Communicator Web Access 使用以下端口:
传入端口
?TCP 端口 80 (HTTP) 或 TCP 端口 443 (HTTPS)
?来自 Office Communications Server 2007 的传入通信的动态分配端口
(Communicator Web Access 侦听随机端口)
传出端口
?全局编录服务器上的 TCP 端口 3268 (LDAP)
?域控制器上的 TCP 端口 389 (LDAP)
?Office Communications Server 2007 服务器或池上的 TCP 端口 5061 (MTLS)
有关端口的其他信息,请参阅附录 A:Communicator Web Access 使用的端口。
规划您的部署
在规划 Communicator Web Access 的部署时,需要考虑下列问题:
?Communicator Web Access 和 Active Directory
?支持的拓扑
?Communicator Web Access 要求
?规划证书
?了解身份验证和授权
?增加容量
?增加容量
?评估网络性能
此外,还需要考虑高可用性要求。有关详细信息,请参阅本指南后面的规划高可用性。
以下各节仅介绍 Communicator Web Access(2007 发行版)的新部署。如果要从 2005 发行
版升级,或者您的环境中将包含 Communicator Web Access 的 2005 和 2007 发行版的混合,
请参阅本指南后面的迁移到 2007 发行版。
Communicator Web Access和Active Directory
必须将 Communicator Web Access 部署在已部署 Office Communications Server 2007 的
Active Directory 林中。Communicator Web Access 不需要对在部署 Office Communications
Server 的过程中增加的内容之外的 Active Directory 架构进行任何扩展。
有关为 Office Communications Server 2007 规划 Active Directory 的信息,请参阅
《Microsoft Office Communications Server 2007 Active Directory 指南》。
错误!使用“开始”选项卡将 Heading 2,Second Level Topic,h2 应用于要在此处显示的文字。 7
支持的拓扑
您可以将 Communicator Web Access 作为任何支持的 Office Communications Server 拓扑的一部分进行部署,包括分支机构部署。本节介绍支持的 Communicator Web Access 拓扑。
部署 Communicator Web Access 时受以下约束的限制:
?必须将 Communicator Web Access 服务器部署在内部网络中,而不要部署在外围网络中。
?不支持在同一台计算机上将 Communicator Web Access 和 Office Communications Server 并置。
?不支持在 Active Directory 域控制器上安装 Communicator Web Access。
支持的 Communicator Web Access 拓扑如下所示:
?为内部用户和外部用户部署不同的服务器阵列
?为内部用户和外部用户部署不同的单个服务器
?为内部用户和外部用户部署同一个服务器
以下各部分将介绍支持的 Communicator Web Access 拓扑。
为内部用户和外部用户部署不同的服务器阵列
在本指南前面的图 1中所示的参考体系结构中,内部用户和外部用户可访问不同服务器阵列中的 Communicator Web Access。这种拓扑将内部发出的通信与在 Internet 上发出的通信进行物理隔离,从而提高了总体安全性和可用性。
该参考体系结构包含两个硬件负载平衡器,一个用于内部阵列,一个用于外部阵列。此配置的替代配置是为这两个阵列或其中一个阵列部署单个服务器。
8Microsoft Office Communicator Web Access(2007发行版)规划和部署指南
为内部用户和外部用户部署不同的单个服务器
在图 2 中,通过为每类用户部署专用服务器,对内部用户通信和外部用户通信进行物理
隔离。
图2:单独的服务器
此拓扑中的所有服务器都使用端口 443。防火墙/还原代理服务器配置为将绑定到端口 443
的外部用户传入 SSL 通信重定向到 Communicator Web Access 服务器上的端口 443。
如果决定使用不同的端口号,则用户在输入 Communicator Web Access URL 时可能需要指定
端口号。例如,如果您使用内部服务器上的端口 444,则用户需要通过键入
“https://https://www.doczj.com/doc/1c6898843.html,:444”来指定端口号。
为内部用户和外部用户部署同一个服务器
为了降低部署成本,您可以在一台 Communicator Web Access 服务器上承载内部用户和远
程用户;不过,我们建议您不要这样做。在一台计算机上承载所有用户的安全性比为内部
用户和外部用户部署单独的服务器的安全性低。为了在单个计算机上部署所有用户,必须
在应用程序隔离模式下运行 IIS 6.0。有关 IIS 6.0 中应用程序隔离模式的详细信息,请参
阅“应用程序隔离模式”,网址为
https://www.doczj.com/doc/1c6898843.html,/r/rlidOCS?clid=1033&p1=appmodes(英文)。
通过应用程序隔离模式,可以在一台物理服务器上运行两个 Communicator Web Access 实例。
在设置 Communicator Web Access 时,将创建一个虚拟服务器实例。完成设置后,可以
通过 Communicator Web Access Manager 管理单元创建另一个虚拟服务器实例。
注意
尽管对内部用户和外部用户使用一台计算机可降低硬件成本,但是我们建议
您不要采用这种方法。只有在Communicator Web Access不是关键程序的
小型部署中,才应使用此方法。在不同计算机上部署Communicator Web
Access以将内部用户通信和外部用户通信进行物理隔离是最安全的机制,
建议在预算允许时使用此方案。
错误!使用“开始”选项卡将 Heading 2,Second Level Topic,h2 应用于要在此处显示的文字。 9
如果对内部访问和外部访问使用一台计算机,则应注意以下注意事项:
?两个虚拟服务器不能共享同一 IP 地址,也不能侦听同一个端口;因此,必须通过IP 地址或端口号区分计算机上的虚拟服务器。如果两台虚拟服务器使用同一 IP 地址,则需要通过端口号加以区分。许多代理服务器只接受端口 443 上的 SSL 通信;因此,可能需要手动配置外部虚拟服务器以使用端口 443。
?必须对防火墙或还原代理服务器进行配置,使其映射到每个虚拟服务器的适当端口。?尽管应用程序隔离降低了安全风险,但服务器仍有可能遭受攻击,外部用户和内部用户都会受到影响。相比之下,使用单独的外部服务器可以使攻击对外部服务器的影响仅限于远程用户。
图 3 显示了用于内部访问和外部访问的单一 Communicator Web Access 服务器的示例,
它使用应用程序隔离。
图 3:为内部用户和外部用户部署单个服务器
图 3 演示了一种配置部署的方式,这样内部用户和远程用户均无需在输入 Communicator Web Access 虚拟服务器的 URL 时指定端口。内部虚拟服务器配置为接受默认 SSL 端口 443 上的内部请求。防火墙也配置为接受默认 SSL 端口 443 上的外部请求,但是,防火墙随
后将这些请求重定向到外部虚拟服务器,它位于内部网络上的端口 444。
10 Microsoft Office Communicator Web Access (2007 发行版)规划和部署指南
Communicator Web Access 要求
本节介绍安装 Communicator Web Access 要求的硬件和软件。此外,还将介绍支持的客户端配置。
服务器要求
本节介绍安装 Communicator Web Access 要求的基础结构、硬件和软件。
基础结构要求
Communicator Web Access 服务器将驻留的网络必须包括 DNS (域名服务)服务器和 PKI (公钥基础结构)。
在其中安装 Communicator Web Access 的服务器必须是与 Office Communications Server 2007 位于同一 Active Directory 林中的成员服务器。
根 CA (证书颁发机构)链受该服务器信任,并且来自受信任的根 CA 的证书位于该服务器受信任的根 CA 存储中。有关应如何配置证书的信息,请参阅本指南后面的规划证书。 硬件要求
Communicator Web Access 服务器的最低硬件要求如下:
?
采用 3.20 千兆赫 (GHz) 双处理器的 PC ?
4 千兆字节 (GB) DDR (双倍数据速率)RAM ?
1 × 36 GB NTFS 格式硬盘驱动器或分区 ? 千兆位(1 千兆位每秒)以太网网络适配器
软件要求
在将要安装 Communicator Web Access 的计算机上,必须安装以下软件:
?
Windows Server 2003 R2 SP2 或 Windows Server 2003 SP1 或更高版本 ?
Windows Installer 3(Windows Server 2003 SP1 或更高版本中提供) ?
IIS 6.0 ? .NET Framework 2.0,包括 https://www.doczj.com/doc/1c6898843.html, 2.0
注意
不支持在工作组计算机上安装 Communicator Web Access ,安装过程中将
出现错误。
注意
如果 .NET Framework 2.0 是在安装 IIS 6.0 之后安装的,将会自动向 IIS 注
册 https://www.doczj.com/doc/1c6898843.html, 。如果首先安装 .NET Framework ,则必须手动注册 https://www.doczj.com/doc/1c6898843.html, 。
有关详细信息,请参阅 https://www.doczj.com/doc/1c6898843.html,/kb/325093。
错误!使用“开始”选项卡将 Heading 2,Second Level Topic,h2 应用于要在此处显示的文字。 11
此外,还必须安装下列 QFE:
?Microsoft 知识库文章 913297“FIX:尝试运行使用 .NET Framework 2.0 生成的 Web 应用程序时生成错误消息:‘发生重大更改’”,网址为
https://www.doczj.com/doc/1c6898843.html,/kb/913297。
?Microsoft 知识库文章 917283“MS06-033:https://www.doczj.com/doc/1c6898843.html, 中的漏洞可能导致信息泄漏”,网址为https://www.doczj.com/doc/1c6898843.html,/kb/917283。
?Microsoft 知识库文章 922770“MS06-056:https://www.doczj.com/doc/1c6898843.html, 2.0 中的漏洞可能允许信息泄漏”,网址为https://www.doczj.com/doc/1c6898843.html,/kb/922770。
客户端要求
表 2 中所示的操作系统和 Web 浏览器的组合支持 Communicator Web Access。该表还显示了可用于每个客户端配置的用户身份验证机制。
表2:支持的浏览器
注意
如果使用Microsoft Internet Explorer?6.0SP1Internet浏览器或更高版本
之外的浏览器,桌面通知中的标题、选项对话框和权限对话框可能不会总
是正确显示。
12 Microsoft Office Communicator Web Access (2007 发行版)规划和部署指南
管理单元要求
可以在远程计算机上使用 Communicator Web Access Manager (2007 发行版)管理单元来管理一个或多个 Communicator Web Access 服务器。您可以将该管理单元安装在与 Communicator Web Access 服务器位于同一 Active Directory 林中的任何计算机上。安装该管理单元的 计算机中必须已安装 IIS 6.0 Manager 管理单元,并且必须正在运行以下操作系统之一: ?
Windows Vista ? Enterprise Edition ?
Windows Server 2003 SP1 或更高版本,Standard 、Enterprise 或 Datacenter Edition ?
Windows Server 2003 R2 SP2,Standard 、Enterprise 或 Datacenter Edition ?
Windows Server 2003 SP1 和更高版本,64 位版本,针对采用 WOW64 模式的 64 位 硬件 ? Microsoft Windows ? XP Professional Service Pack 2 (SP2)
任何版本的 Windows 2000 均不支持 Communicator Web Access Manager 。
Communicator Web Access Active Directory 帐户要求
下表列出了用于部署 Communicator Web Access 的最低组成员身份要求。
表 3:最低组成员身份 组
最低要求 Administrators (本地)
安装并激活 Communicator Web Access Domain Admins
安装并激活 Communicator Web Access RTCUniversalServerAdmins
要激活 Communicator Web Access
此外,要运行 Communicator Web Access 的服务帐户(默认情况下为
RTCComponentUniversalServices )还必须是“RTCHSUniversalServices ”组的成员。
您可以将 Communicator Web Access
的安装委派给没有所需组成员身份的某人。有关详细信息,请参阅《Microsoft Office Communications Server 2007 Active Directory 指南》。 注意
必须先安装 Internet Information Services (IIS) 管理器,然后才能在远程计
算机上安装 Communicator Web Access Manager (2007 发行版)管理
单元。只需要管理组件;不需要在计算机上安装 IIS 。为了安装 Internet
Information Services 管理单元,您可以使用“控制面板”中的“添加/删除
Windows 组件” (Windows XP) 或 Internet Information Services 管理器
(Windows Server 2003),也可以下载用于 Windows XP 的 Internet
Information Services (IIS) 6.0 管理器。
错误!使用“开始”选项卡将 Heading 2,Second Level Topic,h2 应用于要在此处显示的文字。 13
规划证书
Communicator Web Access 使用数字证书对服务器和用户进行身份验证。安装 Communicator Web Access 之前,必须先使用受信任的 MTLS (相互传输层安全性)证书和安全套接字层 (SSL) 证书配置计算机:
? MTLS 证书。在所有 Communicator Web Access 服务器以及与 Communicator Web Access
服务器阵列关联的任何负载平衡器上,需要使用 MTLS 证书。MTLS 证书用于验证 Communicator Web Access 和 Office Communications Server 2007 之间的连接。所有 MTLS 证书都必须由颁发 Office Communications Server 2007 上的 MTLS 证书的同一受信任的证书颁发机构颁发。
? SSL 证书。在所有 Communicator Web Access 服务器以及与 Communicator Web Access
服务器阵列关联的任何负载平衡器上,需要使用 SSL 证书。正在连接到 Communicator Web Access 服务器的客户端使用 SSL (安全套接字层)证书。每个用 HTTPS (带有 SSL 的 HTTP )配置的虚拟服务器都必须有一个 SSL 证书。为 Communicator Web Access 颁发 SSL 证书的 CA 不必与颁发 Office Communications Server 2007 SSL 证书或 MTLS 证书的 CA 相同。
如果部署的是自定义身份验证解决方案(包括 SSO (单一登录)),或者要使用 SSL 将 Communicator Web Access 发布到网站上,则需要使用附加证书。
?
启用 Communicator Web Access 虚拟服务器进行自定义身份验证,并且部署 ISA Server 2006(带启用了 SSO 的 Web 侦听器)。 ? 引入基于 SSL 的 Web 发布。
MTLS 证书
MTLS 证书用于向 Office Communications Server 2007 服务器或池标识 Communicator Web Access 服务器。可以在 Communicator Web Access Manager 中配置的 Communicator Web Access 证书的使用者始终是 Communicator Web Access 服务器计算机的 FQDN 。此证书 必须由颁发 Office Communications Server 2007 MTLS 证书的同一 CA 颁发。
必须按照表 4 中所示来配置 MTLS 证书。
重要说明
仅当 MTLS 证书的使用者名称是 Communicator Web Access 服务器的
FQDN (完全限定域名)时,MTLS 连接才会成功。
注意
Communicator Web Access 中的计算机(如负载平衡器和还原代理)可能
包含硬件制造商或软件供应商提出的附加证书要求。有关详细信息,请参
阅供应商文档。
14Microsoft Office Communicator Web Access(2007发行版)规划和部署指南
表4:MTLS证书配置要求
SSL证书
SSL 证书可对通过特定 URL(用户在 Web 浏览器中输入)访问 Communicator Web Access
虚拟服务器的用户进行身份验证。
必须按照表 5 中所示来配置 HTTPS 证书。
表5:HTTPS证书配置要求
SSL 证书的使用者名称与服务器或负载平衡器(如果存在一个)的 FQDN 对应。在外围
网络中部署的还原代理上,SSL 证书的使用者名称与还原代理的 FQDN 对应。表 6 总结
了多个示例中的 SSL 证书的 FQDN:
表6:证书要求
错误!使用“开始”选项卡将 Heading 2,Second Level Topic,h2 应用于要在此处显示的文字。 15
向证书颁发机构请求证书时,支持将 NetBIOS 名称和 FQDN 均作为证书接受方名称。有关如何使用 NetBIOS 名称配置证书的详细信息,请参阅“如何在 Virtual Server 2005 中对独立的证书服务器实现 SSL ”,网址为
https://www.doczj.com/doc/1c6898843.html,/r/rlidOCS?clid=1033&p1=sslVS2005(英文)。
身份验证和授权
Communicator Web Access 服务器可对试图访问它的客户端同时执行授权和身份验证。Communicator Web Access 应确认客户端的 SIP URI 与用户的凭据匹配,并确保用户已被授权使用 Office Communications Server 2007。如果用户试图远程连接,Communicator Web Access 还要确认用户已获得 Office Communications Server 2007 的远程访问权限。 必须在会话中的任何其他请求之前进行身份验证请求。
身份验证
Communicator Web Access 要求使用以下三类机制之一对客户端进行身份验证:
?
基于表单的身份验证 ?
集成 Windows 身份验证 ? 自定义身份验证
重要说明
为了提高 Communicator Web Access 部署的安全性,我们强烈建议您将带
有安全套接字层的 HTTP (HTTPS) 用作连接协议。在还原代理服务器的外部
接口的 Web 侦听器上必须使用 HTTPS ,不过,在创建虚拟服务器和配置
用于还原代理服务器的 Web 发布规则时,也应使用 HTTPS 。
16Microsoft Office Communicator Web Access(2007发行版)规划和部署指南
以下各节将详细介绍这些身份验证方法。
基于表单的身份验证和集成 Windows 身份验证都是在 Communicator Web Access 内部
构建的。
如果使用了多种身份验证机制,则每种方法均要求唯一的 URL。例如,如果 Contoso 公司
根据不同的用户情况分别使用基于表单的身份验证、集成 Windows 身份验证和单一登录,
则此公司需要发布下列网站:
?基于表单的身份验证:https://https://www.doczj.com/doc/1c6898843.html,/forms/signin.html
?Windows 身份验证:https://https://www.doczj.com/doc/1c6898843.html,/iwa/signin.html
?单一登录:https://https://www.doczj.com/doc/1c6898843.html,/sso/signin.html
如果身份验证请求成功,则服务器会创建身份验证票证并将它传送到客户端,客户端将在
Communicator Web Access 会话期内对它进行缓存。在发生以下事件之一时,此票证将过期:
?用户注销 Communicator Web Access。
?用户关闭浏览器。
?用户将包含 Communicator Web Access 联系人列表的网页移交到其他站点。
?服务器指定的时间段已到。
基于表单的身份验证
对于基于表单的身份验证,将会向尝试登录到 Communications Web Access 的用户显示
一个表单,用户需要在其中输入有效域、用户名和密码。由于用户以纯文本形式输入凭
据,因此除证书之外,网站还必须使用带有安全套接字层的 HTTP (HTTPS),以便对凭据
进行加密。
以下用户访问的虚拟服务器可以使用基于表单的身份验证:无法使用 Internet Explorer 浏
览器的内部用户(例如,使用 Microsoft Windows 之外的操作系统的用户)和使用不支持
集成 Windows 身份验证的浏览器的用户。外部用户访问的虚拟服务器必须使用基于表单
的身份验证或自定义身份验证。
集成Windows身份验证
集成 Windows 身份验证使用 Kerberos 版本 5 身份验证,并且只能用于内部用户。默认情
况下,以下内部用户将使用 Kerberos:使用 Internet Explorer? Internet 浏览器登录的用户、
使用域凭据登录的用户、其计算机运行的是支持的 Windows 版本的用户;当计算机不是
域成员或 Kerberos 不可用时,将使用 NTLM 质询/响应身份验证协议。
当使用集成 Windows 身份验证时,可以使用快速登录对 Communicator Web Access 用户
进行身份验证。配置完 Internet Explorer 中的必要安全设置之后,用户可以通过输入如下
URI 登录到 Communicator Web Access:
如果用户已通过集成 Windows 身份验证,则 Communicator Web Access 将立即打开,而不
提出进一步的身份验证请求。此行为对于可以使用快速登录 URI 为 Communicator Web
Access 添加书签的经常登录的用户很有用。