Пример развертывания Office Communications Server 2007 R2 – часть 1
Попробую описать свои эксперименты по внедрению системы объединенных коммуникаций в отдельно взятой виртуальной организации.
Итак – часть первая: подготовка инфраструктуры.
Развертывание OCS 2007 R2 и Exchange 2007 SP1 UM
Возьмем в качестве примера типовую организацию – один лес, один домен, и развернем для нее инфраструктуру объединенных коммуникаций.
Пусть наша организация будет называться UniCom – сокращенное Unified Communications. Соответственно, для удобства и краткости выберем для нее доменное имя uc.ru.
Примерный логический план сети можно представить в таком виде:
Планируемые роли и программное обеспечение серверов:
- DC: Windows 2008 Datacenter x64 – контроллер домена uc.ru, внутренний DNS, Enterprise Root CA.
- EXCHANGE: Windows 2008 Datacenter x64, Exchange 2007 SP1 – почтовый сервер, роли CA, MB, HT, UM.
- OCS: Windows 2008 Datacenter x64, Office Communications Server 2007 R2 Standard – сервер коммуникаций, роль Standard Edition Server.
- MEDIATION: Windows 2008 Datacenter x64, Office Communications Server 2007 R2 Standard – сервер сопряжения с медиа-шлюзом, роль Mediation Server.
- EDGE: Windows 2008 Datacenter x64, Office Communications Server 2007 R2 Standard – внешний сервер коммуникаций, роль Edge Server.
- RP: Windows 2008 Datacenter x64, Forefront TMG beta 3 – сервер Reverse Proxy, доступ в Интернет, внешний DNS.
Клиенты данной инфраструктуры:
- CLIENT: Windows XP, Office 2007, Office Communicator 2007 R2 – внутренний пользователь сети.
- EXTERNAL: Windows XP, Office 2007, Office Communicator 2007 R2 – внешний пользователь сети.
Коммуникационное оборудование:
- AudioCodes MP-114 FXO/FXS: медиа-шлюз, для связи Office Communications Server с АТС. Содержит 2 FXO-порта, для подключения к офисной АТС, и 2 FXS-порта, для телефонных аппаратов.
- Panasonic KX-TDA200: офисная АТС.
Все эти серверы будут являться виртуальными, и будут работать на сервере HP ProLiant 180 G5, под управлением Windows Server 2008 R2 и его гипервизора Hyper-V 2.0 – очень, скажу кстати, достойной системы. АТС и шлюз – само собой, настоящие, шлюз подключен напрямую к второй сетевой карте сервера. С этой же сетевой картой ассоциирована виртуальная сеть VoIP для виртуальных машин.
Развертывание базовой инфраструктуры
Под базовой инфраструктурой мы обозначим домен Active Directory, и сопутствующие службы – DNS, CA. Установим на сервер DC систему Windows 2008 Datacenter.
Сетевые настройки
Для удобства отключим на всех компьютерах протокол IP6 – OCS его не поддерживает, Exchange 2007 UM его тоже не поддерживает, поэтому работать с IP6 мы не будем.
На всех компьютерах мы отключим Windows Firewall, чтобы он нам не мешал. Межсетевую защиту будет обеспечивать TMG.
Домен
Добавим на сервер роль Active Directory Domain Services и запустим dcpromo.
Создадим новый лес и новый домен, и назовем его uc.ru. Для правильной работы почтовой системы и системы объединенных коммуникаций уровень работы домена должен быть не ниже 2000 Native. Для удобства сразу сделаем уровень леса как Windows 2008, потому что более старых контроллеров домена у нас не будет. Так как контроллер в домене единственный, он держит все роли Operations Master и Global Catalog.
Создадим в домене OU Main, в которой разместим создаваемых нами пользователей – чтобы отделить их от контейнера Users или Builtin.
Создадим в созданном нами OU тестовых пользователей – Ivanov, Petrov, Sidorov, Jackson, Johnson, Howardson. Создадим две Distribution группы – Russians и Americans, и объединим в них соответствующие тройки пользователей. Группы должны быть Universal – потому что Exchange 2007 может сделать mail-enabled только Universal группы.
DNS
Создадим в DNS зону Reverse Lookup, соответствующую нашему адресу 192.168.1. Все записи в нее добавятся автоматически, по мере добавления компьютеров.
Дополнительные записи, относящиеся к OCS Auto-Discover и Federation, мы создадим позднее, когда будем настраивать OCS.
Web Server
Для удобства работы с CA мы будем устанавливать роль Certificate Web Enrollment. Для этого нам потребуется установить роль Web Server.
Для удобства включим все дополнительные части Web-сервера, за исключением службы FTP. Вместе с ролью Web Server установится роль .Net Framework.
Certification Authority
Для работы OCS нам жизненно необходим CA. Добавим на сервер DC роль Active Directory Certificate Services, и дополнительно укажем параметр Web Enrollment.
Укажем вид создаваемого CA как Enterprise Root CA. Для простоты в нашей организации будет лишь один CA, он же корневой, он же и выдающий. В реальной жизни, конечно, такая система небезопасна – как правило, внедряют трехступенчатую систему CA.
Создадим новый ключ, длиной 2048 бит, с использованием стандартного провайдера шифрования. Укажем имя создаваемого CA как UniCom Root CA, со стандартным сроком жизни в 5 лет.
После создания центра сертификации необходимо разрешить ему выдавать сертификаты с несколькими доменными именами – как это сделать, смотрим здесь.
Создание сертификата для web-сервера DC
Создадим и назначим серверу DC сертификат для web-служб. Для этого запустим IIS Manager, зайдем в пункт Server Certificates и выберем Create Domain Certificate:
В качестве Common Name укажем полное имя сервера – dc.uc.ru, заполним название фирмы и города, и выберем наш UniCom Root CA как выдающий CA. В качестве Friendly Name можно указать удобочитаемое имя сертификата – например DC Web Server Cert.
Перейдем на Default Web Site, выберем Bindings и создадим привязку по протоколу https на порт 443, с использованием полученного сертификата.
А как в OCS 2007 сменить сертификат когда он закончится?