Avec la fin de Microsoft TMG 2010 et le non support par UAG des fonctions de mobilités, il est nécessaire de trouver des solutions pour assurer la publication des services web externes de Lync ainsi que les URL nécessaires au bon fonctionnement.
J'ai récemment travaillé sur des projets utilisant des technologies comme fortinet, Citrix NetScaler ou Astaro déjà existante chez le client pour assurer ces fonctions, dans le cadre d'un de mes derniers projets, le choix d'utiliser Kemp avec une VLM-100 fut choisi.
Comment configurer Kemp pour assurer ces fonctions?
C'est très simple, un HLB est de base un reverse proxy, il n'est pas nécessaire d'utiliser le nouveau module ESP avec Lync.
Dans cette configuration, nous utilisons une architecture de type "two-armed":
(Source document Kemp)
Dans notre cas, cela donne ce type de configuration, les adresses ip et les noms de domaines sont modifiées pour ne pas divulguer des informations confidentielles:
Configuration:
- Vérifier que le paramètre "Global SNAT" est activé:
- L'architecture ne comporte qu'un seul serveur Front-End, mais si vous en avez plusieurs, il faut activer le paramètre "Drop Connections on RS failure" et augmenter la valeur du champ "L7 Connection Timeout":
- Il faut maintenant configurer les services virtuels pour la publication services web https Lync et Office Web Apps 2013
Régle pour Lync Serveur 2013:
Dans virtual service - faire Add New
Préciser l'adresse IP: 192.168.1.10 et le port d'écoute: 443
Déclarer le ou les serveurs Lync Front-End avec comme port d'écoute 4443
Importer le certificat public, dans notre cas, on utilise le certificat wilcard. L'importation s'effectue avec un fichier au format PFX.
Vous pouvez ensuite affecter le certificat avec le champ "VS to Add" à cette nouvelle règle. Ne pas oublier de cocher la case "reencrypt" dans la règle.
Il faut ensuite reproduire le même type de configuration pour Office Web Apps 2013:
Information documentation Kemp:
Configuring a Virtual Service for External HTTPS based services for the Front-End servers.
1. Connect and log in to your LoadMaster.
2. Create a Virtual Service. Click Virtual Services and then click Add New.
3. Enter the Virtual Address of the Lync Server External Base Webservices URL using the format ###.###.###.### (10.84.10.33).
4. Enter 4443 as the Port.
5. Select tcp as the Protocol.
6. Click Add this Virtual Service.
7. Select the Force L7 check box.
8. Unselect the L7 Transparency check box.
9. Select HTTPS Protocol in Real Server Check Parameters, type 4443 in Checked Port. Click Set Checked Port. Enter /abs/handler in URL and click Set URL.
10. Enter a Service Nickname. This is for display purposes only. For example, “FE WEB EXT”. Click Set Nickname.
11. For Persistence Options, select Super HTTP as the Mode. Use the Timeout drop down list to select 20 minutes and the Netmask drop down list to select/32.
12. Select Least Connection as the Scheduling Method.
13. For Idle Timeout enter 1800 (30 minutes). Click Set Idle Timeout.
14. Click Enable for SSL Acceleration.
15. Select the Reencrypt option and Click OK to close the certificate warning about the selfsigned certificate popup. Reencryption is required. SSL Offloading is not supported for Lync Web Services.
16. Click Add New to import the exported certificate with private key (can be the same certificate as installed on the Front-End Server)
17. Click Browse for the IIS Certificate and select the exported certificate in .PFX format that includes the private key. Enter the Pass Phrase which is the password you configured in the .PFX file when exporting the certificate.
18. Add Real Servers. Click Add New…
19. For each Front-End server, input its IP address (10.84.10.14 & 10.84.10.13) as the Real Server Address on Port 4443. Click Add This Real Server.
20. Click OK in response to the confirmation that the Real Server was added.
21. You have now completed your configuration of LoadMaster for Lync 2010 Internal Web Services. If you wish to view, modify, or delete any Real Servers that have been added, click View/Modify Services.
