Собственно публикация веб свервисов Skype for Business.
При настройке внешнего доступа к сервисам Skype для бизнеса нельзя обойтись без публикации веб сервисов через обратный прокси (Reverse Proxy). Иногда возникает вопрос: для чего это все нужно, если уже есть настроенный пограничный сервер SFB Edge? Edge сервер используется для движения sip и медиа траффика, обратный прокси используется для предоставления именно веб ссылок на эти сервисы. Самым ярким примером является веб-конференции, медиа траффик конференции идет через Edge (сервисы webconf и av) а ссылка на подключение к конференции (https://meet.domain.com/user_uri/meeting_id) предоставляется через опубликованный через обратный прокси сервис meet. Проще говоря, для предоставления полного функционала пользователям за пределами корпоративной сети, а так же для проведения конференций с внешним контрагентам необходимо использовать и SFB Edge сервер и обратный прокси с опубликованными веб сервисами.
Какие сервисы Skype для бизнеса публикуются через обратный прокси:
- Meet. Сервис ссылки на веб-конференции;
- Dialin. Сервис настройки адреса веб-конференции, телефонного номера для подключения и пин-кода пользователя;
- Lyncdiscover. Адрес автообнаружения мобильных клиентов Skype для бизнеса, так же приоритетный адрес автообнаружения «толстых» клиентов.
- S4BWeb. Опять таки автообнаружение и прдоставление других веб сервисов, как например, веб планировщик.
- Scheduler. Веб планировщик онлайн конференций.
Сертификат.
Для начала надо запросить сертификат, который будет использоваться для внешнего доступа. Конечно, наилучший способ — это использовать внешний коммерческий сертификат. О преимуществах использования коммерческого сертификата я рассуждал в ходе настройки пограничной роли Edge. На мой взгляд преимущества очевидны, однако, в этой статье, за «неимением» публичного сертификата, я буду использовать сертификат выданный доменным центром сертификации.
Для начала я перейду на сервер Skype для бизнеса S4B-FE.lab.local и запрошу новый сертификат с помощью оснастки mmc — запрос нового сертификата
Указать политику выдачи
Я буду использовать свой шаблон сертификата для выдачи, как добавить его я описал в отдельной статье. Итак, я выберу настроенный сертификат WebServer4Y
и заполню необходимые атрибуты, конкретнее CN и SAN имена необходимые при использовании веб сервисов SFB снаружи.
далее выдать сертификат
Сертификат появился в оснастке, теперь его надо выгрузить в формате pfx и загрузить на сервер WAP.
далее обязательно эксортировать закрытый ключ
формат pfx и экспорт расширенных свойств
указать пароль, который необходимо будет указать далее при импорте
задать расположение и имя файла сертификата, в моем случае s4bext.pfx
Теперь этот чудесный сертификат нужно скопировать на сервер WAP и импортировать его в сертификаты локального компьютера.
указать скопированный файл сертификата
ввести пароль, который указывали при экспорте
и поместить в персональное хранилище.
С сертификатом для Skype for Business все.
Итак, перейдем непосредственно к публикации.
Публикация
Открыть консоль Remote Access Management на закладке Web Application Proxy и нажать Publish.
Откроется мастер публикации
В мастере указать метод предварительной аутентификации. В моем cлучае я не буду её использовать, поэтому выбираю Pass-through
Далее задать следующие параметры:
- имя правила публикации,
- внешний адрес на которое будет идти обращение
- сертификат, установленный выше
- путь на внутренний адрес по порту 4443. Поскольку в Skype для бизнеса используется 2 сайта, внутренний и внешний, то при публдликации доступа наружу необходимо использовать внешний, работающий именно по порту 4443
Итак, это правило, на примере MEET выглядит следующим образом
Далее подтвержнение правила.
Ну и правило готово. При необходимости изменить правило можно воспользоваться главной новинкой WAP в сервере 2016, я говорю про кнопку Edit, и изменить правило непосредственно в графическом интерфейсе ☻
Далее по образу Meet можно создать правила и для других веб сервисов SFB
Теперь можно проверить как это все работает, предлагаю запланировать конференцию через веб планировщик и подключиться к ней. Настройку веб планировщика я описывал в отдельной статье, а теперь его можно запустить и снаружи https://scheduler.alekssh.com. Обратите внимание что адрес был перенаправлен на https://S4Bweb.alekssh.com/scheduler — это нормально, так и должно быть.
Далее запланирую конференцию и получу на нее ссылку
Теперь эту ссылку можно ввести в строке браузера и подключиться к конференции. Если установлен клиент Lync или Skype для бизнеса, то конференция откроется в клиенте.
Так же можно проверить и остальные веб сервисы, например dialin
вроде работает 🙂
Alexander Shestakov
Здравствуйте!
Подскажите, где можно посмотреть статистику подключений через WAP?
НравитсяНравится
Приветствую, хороший вопрос. Честно говоря под рукой нет развернутого WAP? Так что сейчас подсказать не смогу, прошу прощения 😦
НравитсяНравится
Госпада вопрос.
Все сделал по статьям, публичный сертификат, внутри все ок, снаруж все отлично работает, но только с пк, пытаюсь зайти с мобильного устройства, пишет:» Вы вышли из системы. Для повторного входа требуется указать сведения учетной записи»
В чем может быть проблема? может где есть логи?
НравитсяНравится
аааааа заработало!
весриии разрешил
НравитсяНравится
Расскажите подробнее
НравитсяНравится
Зашел в политику версий клиентов, Агентиспользования AndroidLync поставил разрешить, зашло все сразу же, но вот чето видео/аудио не работает…звонок идет, принимаешь, тишина
НравитсяНравится
Ха. заработало и видео и аудио, тестировали андроид-iphone оказалось iphone глючит
НравитсяНравится
Подскажите, куда идет перенаправление при публикации внешнего имени S4b. У вас на скриншоте S4bWeb.alekssh.com . У меня такой сайт отсутствует и нет сайта с внешним именем, которое я указывал при установке.
НравитсяНравится
Это адрес, который указывается в топологии в качестве адреса для веб сервисов
НравитсяНравится