MicrosoftOfficeCommunicatorWebAccess規劃和部署指南發行日期:2005年12月本文件中的資訊(包含URL及其他網際網路網站參考資料)如有變更恕不另行通知.
除非另有說明,否則範例中所描述之公司、組織、產品、網域名稱、電子郵件位址、商標圖樣、人員、地點及事件均屬虛構,並非影射任何真實的公司、組織、產品、網域名稱、電子郵件位址、商標圖樣、人員、地點及事件.
遵守所有適用之著作權法律為使用者的責任.
除著作權下所規範的權利外,未獲MicrosoftCorporation明確的書面許可,本文件任何部份均不得複製、儲存或引入擷取系統,或以任何形式或藉任何方式(電子、機械、影印、錄音或其他方式)傳輸,或做為任何用途.
Microsoft對於本文件中所提及之內容可能擁有專利權、專利申請、商標、著作權或其他智慧財產權.
除非在Microsoft的任何書面授權合約已明確記載,否則提供本文件並不表示賦予貴用戶對上述專利權、商標、著作權或其他智慧財產權的任何授權.
2005MicrosoftCorporation.
Allrightsreserved.
Microsoft、ActiveDirectory、Windows、WindowsNT與WindowsServer係MicrosoftCorporation在美國及/或其他國家的註冊商標或商標.
本文件所提及之公司與產品的實際名稱可能為其各自擁有人的商標.
目錄目錄3簡介5概觀5CommunicatorWebAccess5比較CommunicatorWebAccess與Communicator2005的差異6參考結構9CommunicatorWebAccess部署中的其他元件10規劃11ActiveDirectory考量事項12支援的拓樸12參考拓樸12與LiveCommunicationsServer一起託管13多重網域拓樸13多重樹系拓樸13單一伺服器上的內部與外部Web存取14分公司拓樸15聯盟15CommunicatorWebAccess的需求15支援的伺服器作業系統17支援的用戶端作業系統17支援的用戶端瀏覽器18用戶端互通性18伺服器的需求19伺服器的硬體需求20其他基礎結構資訊20規劃憑證21CommunicatorWebAccess憑證規劃21LiveCommunicationsServer憑證規劃22針對硬體負載平衡規劃憑證23ISAServer2004SP1憑證規劃23驗證和授權23快顯封鎖程式24Cookie25容量計畫25增加容量25效能考量26可用性規劃26高度可用性規劃27負載平衡28災害復原規劃34待命復原伺服器34將服務從故障伺服器切換至待命伺服器35部署35CommunicatorWebAccess安裝概觀35準備工作36準備伺服器以便安裝36準備CommunicatorWebAccess的憑證37安裝CommunicatorWebAccess39使用部署工具安裝CommunicatorWebAccess39建立其他虛擬伺服器44使用命令列安裝CommunicatorWebAccess46準備用戶端並登入CommunicatorWebAccess46登入CommunicatorWebAccess47針對Mozilla和Firefox瀏覽器簽署JavaScript49設定搜尋51搜尋結果52手動設定通用類別目錄伺服器的屬性複製53設定ISAServer2004SP154先決條件55安裝ISAServer2004SP157在ISAServer防火牆上設定憑證58建立外部CommunicatorWebAccess虛擬伺服器58設定ISAServer58管理和作業63管理CommunicatorWebAccessServer63管理虛擬伺服器65監視68移除CommunicatorWebAccess71附錄71附錄1:帳戶71CommunicatorWebAccess安裝程式建立的帳戶72系統管理員群組72附錄2:啟用啟動但不使用DomainAdmins認證72附錄3:WMI設定75附錄4:設定IIS6.
076簡介MicrosoftOfficeCommunicatorWebAccess是一套適用於MicrosoftOfficeLiveCommunicationsServer2005SP1的瀏覽器架構用戶端.
LiveCommunicationsServer可提供一個穩定、可擴充、符合企業標準的立即訊息(IM)與出席資訊顯示平台,而且此平台是以「工作階段初始化通訊協定」(SessionInitiationProtocol,SIP)和SIMPLE(SIPIMandPresenceLeveragingExtensions)標準為基礎.
本指南可協助您為組織規劃和部署CommunicatorWebAccess.
本指南涵蓋了下列主題:針對部署和使用CommunicatorWebAccess,評估您的環境.
網路基礎結構、硬體和系統管理考量事項.
在設計高度可靠且隨時可用之CommunicatorWebAccess立即訊息系統時必須考量的事項,包括效能調整、安全性考量和容量.
安裝CommunicatorWebAccessServer、設定伺服器並準備用戶端的步驟.
管理和作業選項,包括監視.
本指南會假設您已經安裝LiveCommunicationsServer2005SP1.
如需詳細資訊,請參閱LiveCommunicationsServer2005的技術文件,網址為:http://office.
microsoft.
com/zh-tw/FX010908711028.
aspx.
概觀出席資訊顯示,是指偵測其他使用者在一個或多個裝置上空閒狀態的功能.
透過使用LiveCommunicationsServer2005,含有數以萬計使用者的企業就可以追蹤並管理出席資訊和IM.
回報使用者的出席資訊時會以狀態來表示,例如[線上]、[離開]或[忙碌].
單單出席資訊這項要素,已經將立即訊息拔擢至必要工具的地位.
您的組織也可以使用LiveCommunicationsServer中的聯盟功能,提供IM和出席資訊給遠端使用者和受信任客戶、供應商與夥伴.
透過使用CommunicatorWebAccess,外出工作的員工就可以即時與公司內的同事共同作業,而不需要經由VPN(虛擬私人網路).
本節將描述CommunicatorWebAccess並比較兩個LiveCommunicationsServer2005用戶端(CommunicatorWebAccess與MicrosoftOfficeCommunicator2005)的差異.
此外,還將提供在現有LiveCommunicationsServer2005SP1部署環境下,支援CommunicatorWebAccess的參考結構.
CommunicatorWebAccessMicrosoftOfficeCommunicatorWebAccess可讓使用者透過網頁瀏覽器存取LiveCommunicationsServer中的立即訊息和出席資訊功能,而不需要使用用戶端軟體或VPN(虛擬私人網路)連線.
在企業網路內或透過網際網路連線至CommunicatorWebAccess的使用者,只要在支援的網頁瀏覽器中輸入「統一資源識別項」(URI)即可(例如imserver.
contoso.
com).
如需支援瀏覽器的清單,請參閱本指南後面的一節.
CommunicatorWebAccess可提供下列功能:網頁存取–使用者可以透過任何支援的網頁瀏覽器來存取LiveCommunicationsServer2005SP1中的IM和出席資訊功能.
立即訊息–CommunicatorWebAccess的使用者可以與組織內的一位或多位使用者進行IM交談.
出席資訊–CommunicatorWebAccess的使用者可以判斷其他SIP使用者的狀態並更新自己的出席資訊.
個人記事–使用者可以發佈與使用者出席資訊一起顯示的個人記事.
廣泛的連絡人管理功能–使用者可以將連絡人加入至連絡人清單、標記當連絡人的出席資訊狀態變更時要發出通知的連絡人,以及將列出的連絡人組織成群組.
聯盟–當MicrosoftOfficeLiveCommunicationsServer2005SP1中啟用聯盟功能時,CommunicatorWebAccess的使用者就可以檢視外部組織中使用者的出席資訊,並傳送立即訊息給這些使用者.
多重瀏覽器和作業系統支援–不論是使用Windows架構和非Windows架構的瀏覽器與作業系統的使用者,都可以使用CommunicatorWebAccess.
如需支援作業系統的詳細資訊,請參閱本指南後面的和兩節.
免安裝–使用者可以透過支援的瀏覽器連線至CommunicatorWebAccess.
CommunicatorWebAccess不需要安裝任何ActiveX控制項.
數位憑證安全性(MTLS/SSL)–CommunicatorWebAccessServer與LiveCommunicationsServer之間的流量和HTTP流量都會受到SSL的保護.
使用者搜尋–CommunicatorWebAccessServer會連線至MicrosoftActiveDirectory目錄服務.
使用CommunicatorWebAccess的「尋找」功能,使用者就可以搜尋其他啟用SIP通訊的使用者.
此「尋找」功能會查詢使用者的本機連絡人和ActiveDirectory.
不過,與Communicator不同之處在於CommunicatorWebAccess不會查詢LiveCommunicationsServer的「通訊錄」.
CommunicatorWebAccess是LiveCommunicationsServer2005SP1的用戶端.
CommunicatorWebAccess可透過網頁瀏覽器存取LiveCommunicationsServer的立即訊息和出席資訊功能.
除了支援的網頁瀏覽器以外,用戶端上不需要進行其他安裝.
Communicator2005(LiveCommunicationsServer的另一個用戶端)是用戶端應用程式,可存取LiveCommunicationsServer的共同作業功能,包括立即訊息、視訊會議、電話語音、應用程式共用和檔案傳輸.
比較CommunicatorWebAccess與Communicator2005的差異CommunicatorWebAccess可透過瀏覽器架構存取LiveCommunicationsServer的立即訊息和出席資訊功能.
CommunicatorWebAccess會與Communicator2005共用某些基本功能和組態設定.
表1比較這兩個用戶端中可用的功能.
表1:Communicator2005與CommunicatorWebAccess的功能比較功能CommunicatorCommunicatorWebAccess與一位或多位連絡人傳送立即訊息((應用程式共用(白板工作階段(檔案或相片傳輸(語音通訊(視訊通訊(與MSN、AOL和Yahoo!
的使用者通訊,如果組織的LiveCommunicationsServer部署有支援的話(需要個別授權)((與透過LiveCommunicationsServer組成聯盟的組織通訊((1在狀態中顯示空閒和忙碌的行事曆資訊((傳入的IM快顯通知(Toast)((個人記事((2一段時間未使用後,自動顯示[離開]狀態((3企業網路外部使用者的存取,不需要透過VPN連線(免安裝用戶端(其他作業系統和瀏覽器的支援(1只有當使用者在登入CommunicatorWebAccess之前先登入Communicator2005,然後同時執行CommunicatorWebAccess和Communicator2005,如此使用者的Outlook行事曆資訊才會顯示在CommunicatorWebAccess中.
2如果使用者的「郵件答錄機助理員」已啟用且使用者尚未輸入個人記事時,只要使用者同時執行Communicator和CommunicatorWebAccess,則「郵件答錄機助理員」資訊就會顯示成個人記事.
3與其他瀏覽器架構的應用程式一樣,CommunicatorWebAccess無法偵測其他用戶端應用程式中的活動.
因此,如果使用者未使用CommunicatorWebAccess,則使用者可能仍然在使用其他應用程式,不過CommunicatorWebAccess無法偵測出此活動,所以在一段使用者可設定的時間過後(預設為15分鐘)會將使用者的狀態變更為[離開].
兩個用戶端的主要頁面很相似:使用者的狀態都在最上面,然後是搜尋框,接著是連絡人清單.
在頁面底部的窗格中,會顯示其他的連絡人資訊.
CommunicatorWebAccess和Communicator的主要頁面都顯示在圖1中.
圖1:CommunicatorWebAccess和Communicator的主要頁面CommunicatorWebAccessCommunicator在[交談]視窗中也有一些相似之處.
CommunicatorWebAccess(左)和Communicator的[交談]視窗都顯示在圖2中.
圖2:CommunicatorWebAccess和Communicator的交談視窗CommunicatorWebAccessCommunicator參考結構CommunicatorWebAccess是您現有LiveCommunicationsServer2005SP1部署的擴充功能.
一般而言,您會在企業網路內部的伺服器上安裝CommunicatorWebAccessServer軟體並加以設定,如此內部使用者和遠端使用者都可以進行存取.
CommunicatorWebAccessServer會提供連絡人清單和立即訊息功能.
圖3將顯示一般的CommunicatorWebAccess結構.
在此結構中,遠端使用者會使用URI(例如https://.
contoso.
com),透過網際網路連線.
然後防火牆便將傳入流量轉送至CommunicatorWebAccessServer或伺服器陣列,接著這些伺服器會連線至LiveCommunicationsServer以便提供出席資訊和立即訊息功能.
圖3:CommunicatorWebAccess結構圖3顯示內部使用者是連線至負載平衡器後的內部CommunicatorWebAccessServer陣列.
此集區/負載平衡器可以取代成單一伺服器,以便構成更精簡的部署.
透過同時部署內部和外部集區來分別處理內部和外部要求,便可實際隔離內部使用者與遠端使用者.
遠端使用者會透過反向Proxy伺服器上SSL發佈的CommunicatorWebAccess外部網站,存取外部集區.
只有CommunicatorWebAccess支援的其中一種防火牆設定才會顯示出來.
CommunicatorWebAccess支援任何防火牆或反向Proxy設定來建立「周邊網路」,包括ISAServer2000、ISAServer2004和其他防火牆與反向Proxy解決方案.
如需ISAServer的其他相關資訊,請參閱下列連結.
ISAServer:http://www.
microsoft.
com/taiwan/isaserver/CommunicatorWebAccess部署中的其他元件除了CommunicatorWebAccess以外,此參考結構還包含下列各節中描述的元件.
LiveCommunicationsServerSP1LiveCommunicationsServer會管理用戶端連線、出席資訊及其他即時通訊功能,例如立即訊息.
ActiveDirectoryLiveCommunicationsServer環境十分仰賴ActiveDirectory.
在您部署LiveCommunicationsServer2005時會瞭解到,ActiveDirectory是用來驗證、授權、佈建及設定LiveCommunicationsServer.
在CommunicatorWebAccess和Communicator2005中,ActiveDirectory會提供企業位址清單,協助搜尋功能的查詢.
防火牆防火牆軟體可協助保護您的網路抵禦網際網路的攻擊者,並讓您的電腦連線至網際網路.
透過使用ISAServer等防火牆應用程式,您就可以安全地將CommunicatorWebAccessServer發佈給遠端使用者.
防火牆是網際網路入侵者嘗試攻擊的第一部電腦,因為它直接連線至網際網路.
基於這個原因,防火牆電腦本身應該盡可能的設定得更安全,並僅執行與入侵防護和偵測直接相關的工作.
負載平衡器負載平衡器是與CommunicatorWebAccess/LiveCommunicationsServer搭配使用,以便在下列情況中分散使用者流量:多部CommunicatorWebAccessServer多部LiveCommunicationsServer2005SP1EnterpriseEdition伺服器構成集區多部LiveCommunicationsServer2005SP1Director多部LiveCommunicationsServer2005SP1AccessProxy如需詳細資訊,請參閱一節.
InternetInformationServices6.
0InternetInformationServices(IIS)6.
0是指用來掛載CommunicatorWebAccess的網頁伺服器,而且在所有MicrosoftWindowsServer2003作業系統版本中都有提供.
IIS6.
0引進許多功能,可協助您提升CommunicatorWebAccess部署的可靠性、易管理性、延展性和安全性.
.
NETFramework2.
0版CommunicatorWebAccess是使用Microsoft.
NETFramework第2版開發的,而這個版本代表.
NETFramework中對於Web服務和「XML序列化」堆疊的重大里程碑.
ASP.
NET2.
0MicrosoftASP.
NET2.
0(屬於.
NETFramework2.
0的一部分)是最新的ASP.
NET版本.
2.
0版同時為程式開發人員與網站管理人員提供全新和改進的功能.
CommunicatorWebAccess是建置於ASP.
NET2.
0上,並與MicrosoftInternetInformationServices(IIS)6.
0和Microsoft.
NETFramework2.
0一同針對網站和應用程式提供更簡便且更強大的部署、設定及維護功能.
隨附於ASP.
NET2.
0的全新管理網站是一個安全的網頁介面,可讓您輕易地管理並設定CommunicatorWebAccess以便進行擴充並提升效能.
由CommunicatorWebAccess所使用的連接埠就設定防火牆或疑難排解通訊問題的目的而言,瞭解CommunicatorWebAccess所使用的TCP連接埠可能很有用.
所使用的連接埠摘要說明如下.
傳入連接埠:TCP連接埠80(HTTP)或TCP連接埠443(HTTPS),端視虛擬伺服器(Web存取伺服器)的設定方式而定從LiveCommunicationsServer傳入流量的動態連接埠(CommunicatorWebAccess會接聽任意連接埠)傳出連接埠:通用類別目錄伺服器上的TCP連接埠3268(LDAP)網域控制站上的TCP連接埠389(LDAP)執行LiveCommunicationsServer之伺服器或集區上的TCP連接埠5061(MTLS)規劃本節將討論規劃CommunicatorWebAccess部署的考量事項.
它將涵蓋下列主題:ActiveDirectory拓樸系統需求憑證驗證和授權容量可用性災害復原ActiveDirectory考量事項CommunicatorWebAccess並不會對您的ActiveDirectory設計加上任何額外需求.
如果您已經部署LiveCommunicationsServer,您的ActiveDirectory拓樸就已經符合CommunicatorWebAccess的需求.
在具有多重樹系和網域的組織中,您必須確保CommunicatorWebAccessServer和LiveCommunicationsServer2005SP1都部署在相同的ActiveDirectory樹系和網域中.
如需針對LiveCommunicationsServer規劃ActiveDirectory的相關資訊,請參閱「部署資源」(DeploymentResources)區域中的《LiveCommunicationsServer2005ActiveDirectory準備工作》(LiveCommunicationsServer2005ActiveDirectoryPreparation)文件,網址為:http://office.
microsoft.
com/zh-tw/FX010908711028.
aspx.
支援的拓樸本節將描述支援CommunicatorWebAccess的各種拓樸:參考拓樸CommunicatorWebAccess與LiveCommunicationsServer位於相同的伺服器上多重網域多重樹系內部和外部CommunicatorWebAccess位於相同的伺服器上分公司聯盟參考拓樸參考拓樸顯示於本指南前面的圖3.
在參考拓樸中,會針對從企業網路內部連線的內部使用者部署一組CommunicatorWebAccessServer陣列.
另一組個別的CommunicatorWebAccessServer陣列則支援遠端使用者,包括在分公司的使用者以及從其他遠端位置連線的使用者(例如,家裡或機場的獨立式終端機服務台(Kiosk)).
這種拓樸會實際隔離來自內部使用者與網際網路的流量,進而提供安全性的優點.
每部CommunicatorWebAccessServer的存取是由虛擬伺服器(也稱為Web存取伺服器)提供,而此虛擬伺服器會針對內部或外部存取進行設定.
每種存取類型都需要一部個別的虛擬伺服器,因為外部連線的需求與內部連線的需求是不同的.
下面是這些差異的一些範例:內部存取–內部使用者可能會透過「整合式Windows驗證」進行驗證,而遠端使用者則必須使用「表單架構驗證」.
內部使用者可以運用單一登入的優點,如此只要他們已經在網路上進行驗證後,當他們連線至CommunicatorWebAccess時,就不需要再次進行驗證.
外部存取–使用者必須使用「表單架構驗證」以便獲得存取權.
CommunicatorWebAccess也會檢查使用者是否允許從企業網路外部連線至LiveCommunicationsServer,而這是一項針對ActiveDirectory中的使用者所設的設定.
此外,如果使用者正使用公用電腦,則一段時間未使用後(例如15分鐘),外部Web存取伺服器就會強制執行逾時.
參考拓樸含有兩部硬體負載平衡器,可將內部集區與外部集區中伺服器上的負載分散.
如果部署方式超過其中一部CommunicatorWebAccessServer的容量,則必須部署多部伺服器和一部負載平衡器.
與LiveCommunicationsServer一起託管部署成本可以透過託管相同的伺服器角色而降低.
將MicrosoftOfficeCommunicatorWebAccess與LiveCommunicationsServer2005SP1StandardEdition或EnterpriseEdition安置於相同的伺服器是支援的部署方式.
不過,您應該盡可能將每個伺服器角色部署在個別的實體伺服器上.
即使兩個伺服器角色在相同的伺服器上執行,ActiveDirectory仍含有代表實體伺服器的單一項目.
只要停用其中一個伺服器角色就會移除ActiveDirectory中的實體伺服器項目,因而兩個伺服器角色都會無法使用.
因此,只有當您想要同時移除兩個伺服器角色時,才應該停用其中一個角色.
多重網域拓樸中小型組織一般會部署單一樹系且單一網域的ActiveDirectory拓樸.
而在大型組織中,多重網域拓樸則較常見,其中含有單一根網域和多個子網域.
在多重網域拓樸中,將CommunicatorWebAccessServer與LiveCommunicationsServer部署在相同的網域內是很重要的.
LiveCommunicationsServer2005SP1會要求多重網域拓樸的需求和支援,而CommunicatorWebAccess則不會對您的ActiveDirectory部署加上任何額外需求.
如需針對LiveCommunicationsServer部署ActiveDirectory的詳細資訊,請參閱《LiveCommunicationsServer2005文件:ActiveDirectory準備指南》(LiveCommunicationsServer2005withSP1ActiveDirectoryPreparation)指南,網址為:http://www.
microsoft.
com/downloads/details.
aspxFamilyId=F6F5C288-1AFB-41EC-9A09-1279E93F9BA9&displaylang=en(英文).
多重樹系拓樸在多重樹系拓樸中,將CommunicatorWebAccessServer與LiveCommunicationsServer部署在相同的樹系和網域內是很重要的.
此外,請確定網域之間已同步處理適當的使用者屬性,如此授權和搜尋功能才能正常運作.
如果您已部署LCSSync來同步處理網域之間的LiveCommunicationsServer屬性,CommunicatorWebAccess所需的所有屬性預設將會進行同步處理.
如果您使用其他方法來同步處理樹系(例如,使用GALSync等工具,或部署資源樹系並在樹系之間佈建變更),則您必須確定必要的屬性已複製到每個樹系中.
LCSSync對應至連絡人物件的屬性會列在LiveCommunicationsServerSP1ResourceKit中.
請參閱LCSSync資料夾內的《在多重樹系環境中部署》(DeployinginaMultipleForestEnvironment).
您可以在以下網址取得此ResourceKit:http://www.
microsoft.
com/downloads/thankyou.
aspxfamilyId=d21c38e5-5d8f-44c7-ba17-2cc4f85d8b51&displayLang=en(英文).
單一伺服器上的內部與外部Web存取若要降低部署成本,您可以在單一CommunicatorWebAccessServer上處理內部和外部使用者.
透過使用IIS6.
0所提供的應用程式隔離功能,您就可以在單一伺服器上執行兩個CommunicatorWebAccess執行個體.
您可以在安裝CommunicatorWebAccess期間建立一個虛擬伺服器執行個體,然後在安裝完成後,於CommunicatorWebAccessManager中建立另一個虛擬伺服器執行個體.
注意雖然此案例會降低硬體成本,不過建議僅針對小型部署使用.
部署兩部個別的伺服器以便實際隔離是最安全的機制,如果預算允許的話,建議採用這種部署方式.
一般而言,適用於其他CommunicatorWebAccess拓樸的相同部署指導方針也會適用於單一伺服器案例.
不過,下列考量事項特別適用於針對內部和外部存取使用單一伺服器:兩部虛擬伺服器無法共用相同的IP位址並接聽相同的連接埠.
因此,您必須使用IP位址或連接埠號碼來加以區分.
如果兩部虛擬伺服器使用相同的IP位址,您就必須使用連接埠號碼加以區分.
許多Proxy伺服器僅接受連接埠443上的SSL流量,因此您可能需要以連接埠443設定外部虛擬伺服器.
您必須將防火牆/反向Proxy設定為對應至每部虛擬伺服器的適當連接埠.
雖然伺服器隔離會降低安全性風險,不過伺服器仍然可能會遭入侵,進而影響外部和內部使用者.
相較之下,如果使用個別的外部伺服器,則只有遠端使用者會受到外部伺服器遭受攻擊的影響.
圖4顯示同時用於內部和外部存取之單一CommunicatorWebAccessServer的範例.
圖4:單一伺服器上的外部與內部Web存取在圖4中,CommunicatorWebAccessServer含有共用相同IP位址的內部虛擬伺服器和外部虛擬伺服器.
內部虛擬伺服器使用連接埠443,而外部虛擬伺服器則使用連接埠444.
防火牆/反向Proxy伺服器是設定為將準備前往連接埠443的傳入SSL流量重新導向至CommunicatorWebAccessServer上的連接埠444.
這個範例是表示設定案例的一種方式,以便內部使用者和遠端使用者在輸入URI以連線至CommunicatorWebAccess時,都不需要指定連接埠.
內部虛擬伺服器是設定為接受預設SSL連接埠443上的內部要求.
同樣地,防火牆則設定為接受預設SSL連接埠443上的外部要求,不過它接著會將要求重新導向至外部虛擬伺服器.
如果您決定使用不同的連接埠號碼,使用者在輸入CommunicatorWebAccessURL時,就必須指定連接埠號碼.
例如,如果您在內部伺服器上使用連接埠444,則使用者就必須輸入https://im.
contoso.
com:444來指定連接埠號碼.
分公司拓樸許多大型組織都會透過集中技術支援人員並將伺服器合併在資料中心內,藉以降低與分公司相關的IT費用.
如果資料中心和大部分的分公司之間具有快速且可靠的網路連線,則這種分公司拓樸就是可行的作法.
藉由適當的網路連線,使用者就可以直接連線至企業網路,或者以遠端使用者的身分透過網際網路建立通道.
如果資料中心和遠端分公司之間的網路連線速度很慢或不可靠,則分公司可能就必須部署自己區域伺服器.
就CommunicatorWebAccess而言,這就表示要在分公司內部署HTTPProxy或CommunicatorWebAccessServer.
不論網路連線的假設品質如何,都無法保證資料中心和任何分公司之間的頻寬和延遲速度.
因此,您應該要設計一套系統,以便適應速度慢且不可靠的網路連線.
您必須負責處理此情況的其中一項因素是,來自其他組織或透過網際網路連線至CommunicatorWebAccessServer的使用者可能會通過一部或多部HTTPProxy伺服器.
HTTPProxy並不一定會設計成讓HTTP連線保持長期暢通.
這種連線可能會被視為不正常,而且隨時會終止.
基於這個原因,在您規劃拓樸時,請將用戶端與伺服器之間路徑的HTTPProxy納入考量.
如需LiveCommunicationsServer部署中分公司拓樸的詳細資訊,請參閱《LiveCommunicationsServer2005規劃指南》(LiveCommunicationsServer2005PlanningGuide).
您可以在以下網址的「LiveCommunicationsServer部署資源」(LiveCommunicationsServerDeploymentResources)頁面中取得此文件:http://office.
microsoft.
com/zh-tw/FX010908711028.
aspx.
聯盟在MicrosoftOfficeLiveCommunicationsServer2005SP1中啟用聯盟功能後,除了已經建立聯盟的其他外部組織以外,CommunicatorWebAccess的使用者還可以檢視出席資訊並傳送立即訊息給MSN、AOL和Yahoo!
立即訊息的使用者.
透過聯盟連絡人顯示名稱旁出現的商標設定圖示,使用者就可以輕易地識別連絡人的來源.
聯盟夥伴的商標設定圖示必須透過HTTPS連線進行存取.
在聯盟組織中,系統管理員必須確定使用HTTPS來存取商標設定圖示,而非HTTP.
否則,如果某位CommunicatorWebAccess的使用者將聯盟連絡人加入至連絡人清單後,每當該使用者登入時,就會顯示安全性警訊.
此外,每當使用者搜尋聯盟連絡人或與聯盟連絡人進行立即訊息交談時,也會顯示安全性警訊.
如果您的使用者看見這種行為,您就應該確認哪個聯盟組織設定使用HTTP來存取商標設定圖示,並要求他們改用HTTPS.
如需LiveCommunicationsServer部署中聯盟拓樸的詳細資訊,請參閱《LiveCommunicationsServer2005ServicePack1AccessProxy和Director》(LiveCommunicationsServer2005withServicePack1AccessProxyandDirector)指南.
您可以在以下網址的「LiveCommunicationsServer部署資源」(LiveCommunicationsServerDeploymentResources)頁面中取得此文件:http://office.
microsoft.
com/zh-tw/FX010908711028.
aspx.
CommunicatorWebAccess的需求本節將描述安裝CommunicatorWebAccess所需的硬體和軟體.
表2:安裝CommunicatorWebAccess的需求電腦元件需要項目ActiveDirectory網域控制站MicrosoftWindows2000ServerSP4WindowsServer2003作業系統ActiveDirectory目錄服務DNS名稱解析LiveCommunicationsServerMicrosoftOfficeLiveCommunicationsServer2005SP1*結構描述PKIWindowsServer2003SP1企業憑證授權單位(CA)(建議使用)或受信任的協力廠商憑證授權單位基礎結構PKI基礎結構IIS6.
0僅憑證服務網頁註冊支援CommunicatorWebAccessServerNTFS檔案系統WindowsServer2003SP1作業系統.
NETFramework2.
0CommunicatorWebAccess/ASP.
NETWindowsInstaller3.
0(安裝成WindowsServer2003SP1一部分)CommunicatorWebAccess/ASP.
NETIIS6.
0CommunicatorWebAccessASP.
NET2.
0CommunicatorWebAccessLiveCommunicationsServer2005SP1StandardEdition或EnterpriseEditionCommunicatorWebAccess的需求用戶端請參閱作業系統請參閱瀏覽器/用戶端遠端電腦CommunicatorWebAccessManagerIIS6.
0Manager遠端電腦和CommunicatorWebAccessServer應該要位於相同的ActiveDirectory網域中.
遠端管理表3:安裝CommunicatorWebAccess所需的使用權限電腦動作需要的使用權限CommunicatorWebAccessServer安裝CommunicatorWebAccess使用者必須是本機Administrators群組的成員.
啟動CommunicatorWebAccess使用者必須是DomainAdmins群組和RTCDomainServerAdmins群組的成員.
建立虛擬伺服器使用者必須是本機Administrators群組的成員.
遠端電腦在遠端電腦上安裝CommunicatorWebAccessManager使用者必須是遠端電腦之本機Administrators群組的成員.
*CommunicatorWebAccess將不會連線至舊版的LiveCommunicationsServer.
雖然您的組織可以包含舊版本,不過CommunicatorWebAccess的使用者必須位於執行LiveCommunicationsServer2005SP1的伺服器上.
支援的伺服器作業系統只有WindowsServer2003ServicePack1才支援CommunicatorWebAccessServer.
下列WindowsServer2003SP1版本皆提供支援:StandardEnterpriseDatacenter重要此伺服器必須與執行LiveCommunicationsServer2005SP1的伺服器屬於相同網域的成員.
在工作群組電腦上安裝CommunicatorWebAccess並不受支援,而且在安裝時會導致錯誤發生.
支援的CommunicatorWebAccessManager作業系統您可以從遠端電腦使用CommunicatorWebAccessManager嵌入式管理單元來管理一部或多部CommunicatorWebAccessServer.
下列作業系統皆支援遠端CommunicatorWebAccess管理:WindowsXPProfessionalEditionWindowsServer2003StandardEditionWindowsServer2003EnterpriseEdition注意所有Windows2000版本皆不支援CommunicatorWebAccessManager.
重要在遠端電腦上安裝CommunicatorWebAccessManager嵌入式管理單元以前,您必須先安裝InternetInformationServices(IIS)Manager.
由於只需要管理元件,所以您不需要在電腦上安裝IIS.
您可以使用[控制台]中的[新增/移除Windows元件]來安裝InternetInformationServicesSnap-in(WindowsXP)或InternetInformationServicesManager(WindowsServer2003),或者您也可以下載InternetInformationServices(IIS)6.
0ManagerforWindowsXP.
支援的用戶端作業系統下列Windows作業系統版本皆支援CommunicatorWebAccess:Windows98SecondEditionWindows2000(所有版本)WindowsXPWindowsXPSP1WindowsXPSP2注意如果Windows98是用戶端作業系統,則在驗證CommunicatorWebAccess的密碼時,密碼雜湊協定將會忽略大小寫.
支援的用戶端瀏覽器MicrosoftOfficeCommunicatorWebAccess支援下列瀏覽器:InternetExplorer6.
0注意請安裝InternetExplorer6.
0SP1以避免桌面通知、選項對話方塊和使用權限對話方塊中的標題發生顯示問題.
Firefox1.
0Mac10.
3.
7上的Safari1.
2.
4NetscapeBrowser7.
2或更新版本用戶端互通性本節將描述與各種用戶端的互通性.
Communicator使用者可以在相同的電腦上執行Communicator2005和CommunicatorWebAccess.
新立即訊息的桌面通知會顯示在兩個程式中,而且使用者可以選擇要接受哪一個通知.
傳入IM通知會繼續顯示在兩個用戶端上,不過訊息會在使用中的用戶端內自動開啟.
Communicator2005和CommunicatorWebAccess都具有一項機制,可在一段時間未使用後,變更使用者的狀態.
在Communicator中,使用者的狀態會變更為[離開].
不過,由於CommunicatorWebAccess是Web應用程式,所以它只能偵測在自己視窗和對話方塊中的活動,無法偵測使用者是否在使用同一部電腦上的其他程式.
因此,沒有使用CommunicatorWebAccess一段時間之後,CommunicatorWebAccess上向其他使用者顯示的使用者狀態,會自動變更為[離開],但是使用者可能仍在使用他的電腦.
如需Communicator2005的詳細資訊,請參閱《MicrosoftOfficeCommunicator規劃和部署指南》(MicrosoftOfficeCommunicatorPlanningandDeploymentGuide).
您可以在以下網址的MicrosoftOfficeCommunicator2005部署資源頁面中取得此文件:http://office.
microsoft.
com/en-us/assistance/HA011992481033.
aspx(英文).
WindowsMessenger5.
1當使用者同時登入WindowsMessenger5.
1與CommunicatorWebAccess或Communicator時,該使用者可能會發現出席資訊顯示的方式不一致.
當WindowsMessenger5.
1與CommunicatorWebAccess或Communicator2005位於相同的電腦或不同的電腦時,就可能會發生這種不一致的情況.
不過,WindowsMessenger5.
1的使用者可以參與CommunicatorWebAccess使用者的IM交談,而不會發生不一致的情況.
如需WindowsMessenger5.
1的詳細資訊,請參閱《WindowsMessenger5.
1規劃和部署指南》(WindowsMessenger5.
1PlanningandDeploymentGuide),網址為:http://office.
microsoft.
com/zh-tw/FX010908711028.
aspx.
伺服器的需求本節將描述部署CommunicatorWebAccessServer的需求.
基礎結構需求部署CommunicatorWebAccess之前,必須先準備好下列的基礎結構:部署ActiveDirectory.
網域控制站正執行MicrosoftWindows2000SP4或WindowsServer2003.
通用類別目錄伺服器正執行Windows2000SP4或WindowsServer2003,且樹系根網域中至少有一個通用類別目錄伺服器.
部署並設定PKI,並使用來自Microsoft或協力廠商憑證授權單位(CA)基礎結構的PKI.
請參閱《LiveCommunicationsServer2005文件:設定憑證》(LiveCommunicationsServer2005CertificateConfiguration),網址為:http://www.
microsoft.
com/downloads/details.
aspxFamilyId=779DEDAA-2687-4452-901E-719CE6EC4E5A&displaylang=en(英文).
正確地部署並設定DNS.
必須部署LiveCommunicationsServer2005ServicePack1.
CommunicatorWebAccessServer的安裝需求本節將描述即將執行CommunicatorWebAccessServer的電腦需求.
本節會假設上一節描述的所有基礎結構需求都已經符合.
下面是安裝CommunicatorWebAccessServer之電腦所需的項目:WindowsServer2003SP1CommunicatorWebAccessServer與LiveCommunicationsServer2005SP1屬於相同ActiveDirectory樹系和網域的成員伺服器.
注意在工作群組電腦上安裝CommunicatorWebAccess並不受支援,而且在安裝時會導致錯誤發生.
LiveCommunicationsServer2005SP1結構描述已更新,如《LiveCommunicationsServer2005SP1ActiveDirectory準備工作》(LiveCommunicationsServer2005SP1ActiveDirectoryPreparation)中所指定方式,網址為:http://office.
microsoft.
com/zh-tw/FX010908711028.
aspx.
DNS.
IIS6.
0.
WindowsInstaller3.
.
NETFramework2.
0版.
您必須登入成為DomainAdmins和RTCDomainServerAdmins群組的成員,才能啟動CommunicatorWebAccess.
根CA鏈結已受信任,而且來自受信任根CA的憑證位於本機電腦的信任根授權單位存放區中.
如需憑證設定方式的詳細資訊,請參閱本指南後面的一節.
CommunicatorWebAccessActiveDirectory帳戶需求下表將列出CommunicatorWebAccess的最低群組成員資格需求.
表4:最低群組成員資格群組最低需求Administrators(本機)安裝CommunicatorWebAccessServer的使用者必須以本機Administrators群組成員的身分登入.
DomainAdmins啟動CommunicatorWebAccessServer的使用者必須以DomainAdmins群組成員的身分登入.
CWAService(預設)用來執行CommunicatorWebAccess的服務帳戶要加入至LiveCommunicationsServer2005SP1所建立的RTCHSDomainServices群組.
RTCDomainServerAdmins(由LiveCommunicationsServer2005SP1所建立)啟動CommunicatorWebAccessServer的使用者必須以RTCDomainServerAdmins群組成員的身分登入.
伺服器的硬體需求本節將討論CommunicatorWebAccess的硬體需求.
CommunicatorWebAccessServer的硬體需求CommunicatorWebAccessServer的建議最低硬體需求如下:雙IntelXeon3.
06GHz,1MB快取記憶體,533MHzFSB(前端匯流排)2GBDDR(雙倍資料速率),266MHzRAM18GB硬碟100Mb(百萬位元)網路介面卡其他基礎結構資訊本節提供基礎結構需求文件的連結.
如需有關LiveCommunicationsServer2005SP1的資訊,請參閱下列可從「LiveCommunicationsServer2005部署資源」網頁上取得的文件:LiveCommunicationsServer2005SP1《LiveCommunicationsServer2005部署概觀》(LiveCommunicationsServer2005DeploymentOverview)指南,網址為:http://office.
microsoft.
com/zh-tw/FX010908711028.
aspx.
《LiveCommunicationsServer2005StandardEdition部署指南》(LiveCommunicationsServer2005StandardEditionDeploymentGuide),網址為:http://office.
microsoft.
com/zh-tw/FX010908711028.
aspx.
《LiveCommunicationsServer2005EnterpriseEdition部署指南》(LiveCommunicationsServer2005EnterpriseEditionDeploymentGuide),網址為:http://office.
microsoft.
com/zh-tw/FX010908711028.
aspx.
ActiveDirectory《LiveCommunicationsServer2005SP1ActiveDirectory準備工作》(LiveCommunicationsServer2005SP1ActiveDirectoryPreparation),網址為:http://office.
microsoft.
com/zh-tw/FX010908711028.
aspx.
DNShttp://www.
microsoft.
com/technet/prodtechnol/windowsserver2003/technologies/featured/dns/default.
mspx(英文)PKI與憑證《LiveCommunicationsServer2005文件:設定憑證》(LiveCommunicationsServer2005ConfiguringCertificates),網址為:http://www.
microsoft.
com/downloads/details.
aspxFamilyId=779DEDAA-2687-4452-901E-719CE6EC4E5A&displaylang=en(英文).
規劃憑證CommunicatorWebAccess需要使用從WindowsServer2003SP1企業CA(建議使用)或受信任協力廠商憑證授權單位所核發的憑證.
部署支援CommunicatorWebAccess的LiveCommunicationsServer2005SP1時也需要使用憑證.
如果硬體負載平衡器部署在CommunicatorWebAccess陣列的前端,此硬體負載平衡器也會需要使用憑證.
如果您選擇使用ISAServer來發佈CommunicatorWebAccess網站給遠端使用者,就必須設定ISAServer的憑證.
下列各節將描述這些憑證需求.
如果您正使用WindowsServer2003PKI,請參閱《實作MicrosoftWindowsServer2003公開金鑰基礎的最佳作法》(BestPracticesforImplementingaMicrosoftWindowsServer2003PublicKeyInfrastructure),網址為:http://www.
microsoft.
com/technet/prodtechnol/windowsserver2003/technologies/security/ws3pkibp.
mspx(英文).
CommunicatorWebAccess憑證規劃CommunicatorWebAccess會使用數位憑證來驗證伺服器和使用者.
在CommunicatorWebAccessServer安裝的準備過程中,您必須使用MTLS和HTTPS(SSL)的受信任憑證來設定電腦:MTLS憑證–MTLS憑證是用來驗證LiveCommunicationsServer的連線.
CommunicatorWebAccess和LiveCommunicationsServer所使用的MTLS憑證必須由相同的受信任憑證授權單位核發.
重要只有當MTLS憑證的主體名稱為CommunicatorWebAccessServer的FQDN(完整網域名稱)時,MTLS連線才會成功.
HTTPS(SSL)憑證–SSL憑證是連線至CommunicatorWebAccessServer的用戶端所使用.
以HTTPS設定的每部虛擬伺服器都必須有SSL憑證.
在您執行CommunicatorWebAccess安裝程式以前,這些憑證必須已經安裝在伺服器上.
這些憑證必須由您的CA核發,而且此憑證授權單位必須確認驗證交易中每部電腦或使用者的識別身份.
這些憑證的需求會取決於您是執行LiveCommunicationsServerStandardEdition或EnterpriseEdition而定.
不論是哪一種情況,HTTPS(SSL)憑證的主體名稱必須符合用戶端用來連線至CommunicatorWebAccessServer的主機名稱(伺服器的主機名稱,或是代表伺服器發佈之虛擬IP位址的主機名稱).
下列各節將描述各種案例的憑證需求.
個別的伺服器如果您執行CommunicatorWebAccess的伺服器與LiveCommunicationsServer的伺服器不同,就必須按照下列方式設定憑證:MTLS憑證–主體名稱必須是CommunicatorWebAccessServer的FQDN.
HTTPS(SSL)憑證–主體名稱必須是用戶端用來存取CommunicatorWebAccessServer的主機名稱,可能是FQDN也可能不是.
例如,如果CommunicatorWebAccessServer的FQDN是LCS-01.
domain.
com,而且用戶端使用http://cwa.
domain.
com來連線至CommunicatorWebAccess,則MTLS憑證主體名稱就會是LCS-01.
domain.
com而HTTPS(SSL)主體名稱會是cwa.
domain.
com.
與LiveCommunicationsServerStandardEdition一起託管在相同的伺服器上執行CommunicatorWebAccess與LiveCommunicationsServerStandardEdition時,其需求與上一個案例相同.
您必須按照下列方式設定憑證:MTLS憑證–主體名稱必須是CommunicatorWebAccessServer的FQDN.
HTTPS(SSL)憑證–主體名稱必須是用戶端用來存取CommunicatorWebAccessServer的主機名稱.
例如,如果CommunicatorWebAccessServer的FQDN是LCS-01.
domain.
com,而且用戶端使用http://cwa.
domain.
com來連線至CommunicatorWebAccess,則MTLS憑證主體名稱就會是LCS-01.
domain.
com而HTTPS(SSL)主體名稱會是cwa.
domain.
com.
LiveCommunicationsServerEnterpriseEdition如果您在LiveCommunicationsServerEnterpriseEdition集區的其中一部伺服器上執行CommunicatorWebAccess,就必須在MTLS憑證中使用伺服器集區的FQDN.
您必須按照下列方式設定憑證:MTLS憑證–主體名稱必須是LiveCommunicationsServer集區的FQDN.
HTTPS(SSL)憑證–主體名稱必須是用戶端用來存取CommunicatorWebAccessServer的主機名稱.
例如,如果LiveCommunicationsServer集區的FQDN是LCS_Pool.
domain.
com,而且用戶端使用http://cwa.
domain.
com來連線至CommunicatorWebAccess,則MTLS憑證主體名稱就會是LCS-Pool.
domain.
com而HTTPS(SSL)主體名稱會是cwa.
domain.
com.
使用單一憑證在上述任何案例中,根據您的憑證授權單位而定,您可以針對MTLS和HTTPS(SSL)使用個別的憑證,或者也可以針對這兩者使用單一憑證.
如果您正使用「Microsoft憑證授權單位」或者您的協力廠商憑證授權單位支援主體交替名稱,您就可以使用單一憑證.
若要針對MTLS和HTTPS(SSL)使用單一憑證,就必須按照下列方式設定憑證:憑證主體名稱必須是CommunicatorWebAccessServer的FQDN或LiveCommunicationsServer2005集區的FQDN.
主體交替名稱必須同時包括下列兩者:CommunicatorWebAccessServer的FQDN或LiveCommunicationsServer集區的FQDN.
用戶端用來存取CommunicatorWebAccessServer的主機名稱.
如需設定主體別名的詳細資訊,請參閱《LiveCommunicationsServer2005文件:設定憑證》(MicrosoftOfficeLiveCommunicationsServer2005CertificateConfiguration),網址為:http://www.
microsoft.
com/downloads/details.
aspxFamilyId=779DEDAA-2687-4452-901E-719CE6EC4E5A&displaylang=en(英文)當您從「憑證授權單位」要求憑證時,NetBIOS名稱與FQDN都支援做為憑證的主體名稱.
如需如何使用NetBIOS名稱設定憑證的詳細資訊,請參閱:http://support.
microsoft.
com/default.
aspxscid=kb;en-us;887490(英文).
LiveCommunicationsServer憑證規劃MicrosoftOfficeLiveCommunicationsServer2005SP1(CommunicatorWebAccess所需的項目)會需要使用憑證.
如需LiveCommunicationsServer2005憑證的詳細資訊,請參閱《LiveCommunicationsServer2005文件:設定憑證》(LiveCommunicationsServer2005CertificateConfiguration),網址為:http://www.
microsoft.
com/downloads/details.
aspxFamilyId=779DEDAA-2687-4452-901E-719CE6EC4E5A&displaylang=en(英文).
針對硬體負載平衡規劃憑證如需負載平衡器硬體之憑證需求的相關資訊,請洽詢硬體製造商.
ISAServer2004SP1憑證規劃您可以使用ISAServer2004SP1來發佈CommunicatorWebAccessServer,以便讓遠端使用者能夠存取CommunicatorWebAccess同時保護內部網路的安全.
建議的ISA設定至少具有兩張網路介面卡:一張位於內部端,而另一張位於外部端.
您必須要求SSL憑證,而且必須將CA憑證鏈結下載至本機電腦的「憑證」資料夾的「信任的根憑證授權」中.
SSL憑證將會繫結至ISAServer2004電腦上外部端網路介面卡的「接聽程式」.
如需憑證需求和程序的詳細資訊,請參閱《ISAServer2004的數位憑證》(DigitalCertificatesforISAServer2004),網址為:http://www.
microsoft.
com/technet/prodtechnol/isa/2004/plan/digitalcertificates.
mspx(英文).
注意ISA並非必要項目.
您可以使用任何反向Proxy.
驗證和授權CommunicatorWebAccessServer會在存取CommunicatorWebAccessServer的用戶端上執行驗證和授權.
使用MTLS憑證可確保CommunicatorWebAccessServer是受到LiveCommunicationsServer信任.
CommunicatorWebAccess會確認用戶端的SIPURI是否符合該使用者的認證,並確保使用者已經過授權,可使用LiveCommunicationsServer.
如果使用者位於企業網路外部,CommunicatorWebAccess還會確認該使用者是否已經獲得授權,可遠端存取LiveCommunicationsServer.
CommunicatorWebAccess會要求用戶端必須由下列其中一種方式驗證:表單架構驗證整合式Windows(NTLM/Kerberos)驗證表單架構驗證表單架構驗證可由內部使用者(例如,使用非Windows作業系統的使用者)使用,而且必須由遠端使用者使用.
在表單架構驗證中,登入頁面會傳送至具有使用者認證的伺服器.
CommunicatorWebAccess驗證模組和SSL的使用可確保認證皆經過加密.
整合式Windows(NTLM和/或Kerberos)驗證「整合式Windows驗證」會使用KerberosV5驗證和NTLM驗證,而且僅適用於內部使用者.
除了遠端使用者以外,雖然預設使用NTLM,不過您可以將伺服器設定為僅使用Kerberos.
注意如果InternetExplorer的使用者從內部網路登入CommunicatorWebAccess時,認證受到質疑,您就可以將InternetExplorer設定為略過CommunicatorWebAccess網站的Proxy伺服器.
如果某位使用者已經過驗證,這項設定會允許該使用者登入,而不需要再次進行驗證.
若要設定InternetExplorer以便讓所有使用者略過Proxy伺服器,請編輯InternetExplorer群組原則,以便納入CommunicatorWebAccess網站(例如im.
contoso.
com)的Proxy伺服器例外條件.
單一登入CommunicatorWebAccess會使用單一登入.
當某位使用者已經透過「整合式Windows驗證」進行驗證後,該使用者就不需要輸入網域認證來登入CommunicatorWebAccess.
例如,藉由單一登入,使用者可以輸入下列URI來存取CommunicatorWebAccess:https://server.
contoso.
com/user@contoso.
com在此範例中,user@contoso.
com就是使用者的SIP登入名稱.
如果該使用者已經透過IWA驗證,則CommunicatorWebAccess將會立即開啟,而不會顯示其他驗證要求.
若為遠端使用者,就會開啟表單架構驗證視窗.
您也可以將伺服器設定為允許不含主機資訊的使用者名稱:https://server.
contoso.
com/user這些設定都可以在[驗證]索引標籤的CommunicatorWebAccessServer內容中設定.
若要讓單一登入運作,就必須符合下列條件:CommunicatorWebAccess網站必須辨識為內部網路網站,或者必須納入用戶端的受信任網站清單中.
使用者的瀏覽器必須支援「整合式Windows驗證」.
使用者必須使用其網域認證登入電腦.
注意從其他Web應用程式使用這些URI對單一登入進行編碼並非支援的案例,而且可能會導致無法預期的行為出現.
快顯封鎖程式CommunicatorWebAccessServer會同時針對內部使用者與遠端使用者使用快顯.
例如,快顯會用於傳入立即訊息的桌面通知和新的交談視窗.
因此,使用者必須將快顯封鎖程式設定為允許CommunicatorWebAccess網站的所有快顯.
若為使用Firefox、Mozilla和NetscapeBrowser支援版本的用戶端使用者,一次可開啟的視窗數目會加以限制,以便協助抵禦快顯.
當使用者從這些用戶端存取CommunicatorWebAccess時,如果一次開啟數個交談視窗或桌面通知,就可能會達到此限制.
在此情況下,用戶端瀏覽器將無法讓新的視窗開啟,因而導致遺漏交談或通知.
若要避免這種問題發生,使用者可以變更或移除允許開啟視窗數目的限制.
Cookie在內部使用者與遠端使用者都順利驗證後,CommunicatorWebAccessServer就會核發Cookie給用戶端.
因此,用戶端必須接受來自CommunicatorWebAccessServer的Cookie才能正常運作.
容量計畫當您使用CommunicatorWebAccess時,可以新增或移除伺服器而不需要中斷服務.
即使是在變更時參與IM工作階段的用戶端也不會受到影響.
這可讓客戶在規劃並回應企業重組和成長時,更能主動掌握狀況.
您應該考慮使用負載平衡的設定,以便可以隨著需求的變更,新增或移除伺服器.
負載平衡器可確保相同的CommunicatorWebAccessServer用於整個使用者的工作階段.
如需詳細資訊,請參閱本文件後面的一節.
本節將描述針對目前與未來需求規劃的容量.
增加容量隨著時間進行,系統使用量的定期監視可能會顯示CommunicatorWebAccess設定不再符合使用者在一般使用期間的需求.
以下是增加容量的一些方法:增加搜尋臨界值–CommunicatorWebAccess含有一項臨界值設定,可決定一次允許的搜尋數目.
這項設定可以在CommunicatorWebAccess的通用設定中設定.
您可以使用MicrosoftOperationsManager來監視一段時間內使用者達到這項限制的頻率.
如果使用者持續達到此限制,而搜尋活動表示一般使用量時,您可能會想要增加搜尋限制.
不過,您必須考量增加限制會對效能造成的影響.
如需使用MicrosoftOperationsManager的詳細資訊,請參閱本文件後面的一節.
最佳化IIS6.
0的延展性–在MicrosoftWindowsServer2003作業系統上執行的IIS6.
0含有一個新的結構及一些新功能,可協助您的應用程式伺服器擴充.
如需最佳化IIS6.
0的詳細資訊,請參閱《透過最佳化IIS6.
0佇列改善延展性》(ImprovingScalabilitybyOptimizingIIS6.
0Queues)、《透過最佳化IIS6.
0快取改善延展性》(ImprovingScalabilitybyOptimizingIIS6.
0Caches)和《IIS6.
0延展性的其他資源》(AdditionalResourcesforIIS6.
0Scalability),網址為:http://www.
microsoft.
com/technet/prodtechnol/WindowsServer2003/Library/IIS/2a4d9385-8cf8-4482-83d8-fa0adb8ffd96.
mspx(英文).
調整IIS6.
0的使用者限制–根據預設,IIS6.
0具有8,000個連線的限制.
這項設定可在下列登錄機碼中進行設定:HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\HTTP\Parameters若要增加限制,請在此位置中建立名為"MaxConnections"的DWORD項目並設定適當的限制,以便在尖峰期間允許合理的容限.
例如,如果您想要允許10,000個連線,您可能會將該值設定為此數字的兩倍(20,000).
重要請勿將此登錄機碼設定為過大的數字.
由於連線佇列會保存在系統核心內,因此如果佇列變得過大,可能會耗盡實體記憶體.
在某些時間點,增加搜尋臨界值並最佳化其他效能設定可能會導致效能實際降低,所以您將必須考慮將伺服器加入至「企業集區」或是升級現有伺服器的處理能力或記憶體.
將伺服器加入至CommunicatorWebAccess陣列–如果您的CommunicatorWebAccessServer是在陣列中設定,則隨著組織的成長,您可以將CommunicatorWebAccessServer加入至陣列而不需中斷服務.
在變更時參與IM工作階段的用戶端並不會受到影響.
增加儲存容量–CommunicatorWebAccess的資料儲存是由LiveCommunicationsServer進行處理.
連絡人清單與ACL(存取控制清單)等靜態資料會在LiveCommunicationsServer「後端資料庫」上儲存為永續性的資料.
若要增加後端儲存容量,請遵循LiveCommunicationsServer的指導方針和程序進行.
如需詳細資訊,請參閱《LiveCommunicationsServer2005EnterpriseEdition部署指南》(LiveCommunicationsServer2005EnterpriseEditionDeploymentGuide).
您可以在以下網址的「LiveCommunicationsServer部署資源」(LiveCommunicationsServerDeploymentResources)頁面中取得此文件:http://office.
microsoft.
com/zh-tw/FX010908711028.
aspx.
效能考量本節將討論一些您可以用來改善CommunicatorWebAccess部署效能和可靠性的方式.
網路效能考量CommunicatorWebAccess效能幾乎等同於網路效能,而這項效能取決於下列因素:裝置速度:某項裝置能夠轉送或篩選封包的速度.
網路速度:網路介面與連線裝置或伺服器連接埠的位元速率.
篩選:針對封包進行的篩選類型(OSI模型第3級以上的封包檢查).
篩選的層級越高,降低效能的可能性就越大.
必要時,應該加入額外的CPU資源,以便讓效能提升至所需的程度.
加密:使用加密時(例如,在VPN裝置上使用),網路流量效能就會降低.
如果此額外負荷確實過大,而且網路效能降低至可接受的程度以下時,就應該將額外的CPU資源加入至執行加密的裝置,以便協助讓效能提升至所需的程度.
裝置的數目:隨著網路上裝置的數目增加時,引入網路整體效能的延遲速度就會增加.
請檢查您目前的網路,並判斷是否具有可能會影響CommunicatorWebAccess部署效能的區域.
可用性規劃針對可用性和可靠性設定伺服器是一項持續進行、逐漸發展且權衡需求與成本的流程.
本節將討論一些概念和技術,以便協助您設定可用且可靠的CommunicatorWebAccess部署,包括容錯移轉機制和負載平衡.
若要規劃高度可用的網路,您必須要考量的事項不僅是CommunicatorWebAccess而已.
不過,本文件僅討論與CommunicatorWebAccess有關的考量事項.
例如,本文件不會討論CommunicatorWebAccessServer所仰賴之支援元件(例如DNS、ActiveDirectory、NTLM/Kerberos、反向Proxy、負載平衡器、防火牆、LiveCommunicationsServer和CLR)的錯誤.
這些支援元件的整體故障或無法連線都會導致效能降低或服務中斷.
如需一般的可用性規劃,請參閱《高度可用性和高度延展性規劃的概觀》(OverviewofPlanningforHighAvailabilityandScalability),網址為:http://www.
microsoft.
com/technet/prodtechnol/windowsserver2003/library/DepKit/45b2d082-234c-466b-9a41-7862f72a2288.
mspx(英文).
高度可用性規劃CommunicatorWebAccess具有一套容錯移轉機制,可協助提供可靠性和高度可用性.
不過,建議您要同時運用人員和流程並持續評估與調整您的可用性計畫.
高度可用性通常會需要一個資料中心,其中具備不中斷的電源與持續的維護和作業,以及訓練有素且經驗豐富的人員.
本節將描述CommunicatorWebAccess中某些容錯移轉機制以及其他您可用來增加可靠性和可用性的措施.
它將涵蓋下列主題:CommunicatorWebAccess容錯移轉機制連線重試機制偵測錯誤侷限錯誤控制超載確保穩定的初始化處理例外狀況CommunicatorWebAccess容錯移轉機制MicrosoftOfficeCommunicatorWebAccess提供了容錯移轉的支援.
您可以根據需求和預算,從一些選項中選擇,以便達到可靠性和可用性.
您可以透過增加MTBF(錯誤之間的平均時間)以及減少MTTR(復原的平均時間),改善可用性.
您可以運用下列任何方式,增加硬體的MTBF:雙重電源供應具備RAID的熱交換磁碟散熱溫度感應器風扇感應器備援系統您可以藉由進行下列任何步驟,降低MTTR:儘速偵測錯誤使用待命且備援的系統使用伺服器集區和負載平衡連線重試機制CommunicatorWebAccess容錯移轉機制含有「用戶端重試」復原機制.
如果無法連線至任何一部CommunicatorWebAccessServer的情況重複發生,就會導致使用負載平衡器之VIP(虛擬IP)位址的一般DNS名稱進行連線嘗試,如此用戶端就可以連線至陣列中可用的伺服器.
如果發生短暫的網路中斷,用戶端將會嘗試重新連線至同一部伺服器.
如果重新連線在兩分鐘內失敗,使用者將會被登出.
然後,使用者可以嘗試再次登入,而且任何可用的伺服器將會用於新的工作階段.
復原程序中的新CommunicatorWebAccessServer會執行SIP最佳化來確保失敗不會重複發生,而導致LiveCommunicationsServer系統中任何元件發生超載的情況.
除了在失敗時位於端點之間的資料會遺失以外,復原的連線並不會導致任何使用者狀態變更.
偵測錯誤CommunicatorWebAccess容錯移轉機制含有下列錯誤偵測機制:用戶端至伺服器伺服器至用戶端伺服器至LiveCommunicationsServer伺服器至ActiveDirectory侷限錯誤發生錯誤時,隔離錯誤並防止該錯誤成為其他錯誤的可能原因是很重要的.
例如,隔離內部使用者的伺服器與遠端使用者的伺服器可將錯誤侷限在單一使用者群組中.
此伺服器隔離功能可確保在發生系統超載的情況時,雖然效能可能會降低,不過整個系統不會故障.
控制超載CommunicatorWebAccessServer會使用節流來協助防止整體系統故障以及由於初始故障導致的後續一連串故障.
為了避免系統超載,節流機制會拒絕和/或延遲登入嘗試.
CommunicatorWebAccess超載機制具有內建的阻尼,可防止流量中的一般瞬間高峰產生超載.
同樣地,如果伺服器已經超載,CommunicatorWebAccess就會繼續將伺服器視為超載一段時間,以便讓伺服器返回穩定狀態.
這項延遲可有效防止伺服器立即返回超載的情況.
如果用戶端在超載期間要求登入,就會收到一則訊息,表示伺服器暫時無法使用.
這可防止用戶端透過立即再次登入而讓伺服器超載.
在沒有頻寬可用的超載期間,用戶端登入要求都會被丟棄,然後用戶端便逾時.
確保穩定的初始化在容錯移轉時,CommunicatorWebAccess會讓伺服器進行冷重新開機.
此重新開機(與其他元件啟動的順序無關)會讓提供服務的CommunicatorWebAccessServer或陣列進行穩定且可預測的初始化.
穩定的初始化可提供CommunicatorWebAccessServer陣列以便容許LiveCommunicationsServer切換和個別CommunicatorWebAccessServer由於任何原因(包括斷電)而離線.
處理例外狀況當伺服器或陣列正在進行容錯移轉、復原、初始化或開機程序時,就會發生例外狀況.
例外狀況的處理方式與超載相同:用戶端的登入嘗試會被拒絕、延遲或丟棄,直到系統再次穩定為止.
負載平衡本節將描述如何規劃在使用硬體負載平衡器的多重CommunicatorWebAccessServer之間分配負載.
負載平衡是一種備援系統,可協助改善CommunicatorWebAccess的可靠性和可用性.
負載平衡是水平叢集的一項要素,其中有多部伺服器設定為在網路上執行相同的功能.
需要負載平衡的可能原因如下:部署的大小:如果部署需要的容量超過單一CommunicatorWebAccessServer可提供的容量,則必須部署多部伺服器.
負載平衡器可確保使用者負載會平均分配給這些電腦.
高度可用性:如果CommunicatorWebAccess對於您的組織負有重要任務,則由於伺服器故障而導致CommunicationWebAccessServer無法運作可能會造成嚴重影響.
在設計和實作CommunicatorWebAccess部署時,負載平衡器可協助提供高度可用性並防止可能導致伺服器故障的超載情況發生.
您可以同時針對內部和外部存取使用負載平衡器,而且可能針對每種存取類型使用一部專用的負載平衡器.
或者,您也可以同時針對LiveCommunicationsServer連線和CommunicatorWebAccess使用單一負載平衡器.
這種方法可能會影響負載平衡器的延展性,並且讓兩組流量周遊單一負載平衡器並無法保證每個伺服器部署會具有相同的容量.
不過,兩組流量可能會流經相同的負載平衡器,而不會有任何功能上的影響.
與一般Web應用程式相同之處在於,CommunicatorWebAccess需要相關性.
CommunicatorWebAccess支援任何提供HTTP或HTTPS用戶端相關性的負載平衡器.
CommunicatorWebAccess不支援網路負載平衡拓樸,因為這些拓樸無法維護用戶端相關性.
如果您在CommunicatorWebAccessServer上設定網路負載平衡,則只要伺服器故障或重新開機,用戶端連線就會在CommunicatorWebAccessServer集區內重新平衡,而且會中斷使用者的連線.
下圖顯示參考負載平衡結構.
圖5:負載平衡拓樸用戶端與CommunicatorWebAccessServer之間的HTTPS和HTTP流量會透過負載平衡器轉送,而且LiveCommunicationsServer與CommunicatorWebAccessServer之間的SIP流量也是一樣.
CommunicatorWebAccessServer與系統管理員之間的管理流量(上圖未顯示)則不會通過負載平衡器.
此外,DNS流量或LDAP流量也不會.
注意您可以在硬體負載平衡器的任一端部署CommunicatorWebAccess.
CommunicatorWebAccess與LiveCommunicationsServer之間的連線僅包含用戶端SIP流量而已.
設定負載平衡拓樸負載平衡拓樸可由三個網路屬性加以描述:使用的網路位址轉譯(NAT)類型使用的節點數目使用的子網路數目負載平衡會在TCP/IP堆疊的第2層和第3層使用NAT.
NAT有三種類型:目的NAT(half-NAT)來源NAT(full-NAT)DirectServerReturn(out-of-path模式)負載平衡器可以當做獨立的節點連線至網路(單臂拓樸),或是當做CommunicatorWebAccessServer與其他網路之間的中繼裝置(雙臂拓樸).
負載平衡器拓樸可進一步由使用的子網路ID(子網路)數目加以區分.
子網路是指某個範圍的IP位址,而這個範圍按照慣例是由範圍中最低的IP位址和子網路遮罩加以描述.
NAT和子網路的完整討論已超出本文件的範圍以外.
如需詳細資訊,請參閱:NAT技術參考資料,網址為:http://www.
microsoft.
com/technet/prodtechnol/windowsserver2003/library/TechRef/fd23047b-2b5a-42b3-aa14-2b7c1cd4be81.
mspx(英文)TCP/IP技術參考資料,網址為:http://www.
microsoft.
com/technet/prodtechnol/windowsserver2003/library/TechRef/58511c7c-fb5c-4186-aa69-6f598d59a973.
mspx(英文)支援的負載平衡設定本節將針對內部和外部用戶端存取,描述支援的負載平衡設定.
所有支援的負載平衡設定都會符合維護使用者工作階段狀態的需求.
負載平衡器會透過使用Cookie檢查、IP位址或其他機制來達到此目的,端視特定負載平衡器而定.
負載平衡器可確保相同的CommunicatorWebAccessServer用於整個使用者的工作階段.
注意多重主目錄的網路介面卡或多重網路介面卡(每張具有不同的IP位址)不支援在CommunicatorWebAccess中進行負載平衡.
下列負載平衡設定可支援CommunicatorWebAccess:表5:支援的負載平衡設定NAT的類型支援的設定目的NAT雙臂和一個IP子網路雙臂和兩個IP子網路單臂和兩個IP子網路來源NAT雙臂和一個IP子網路雙臂和兩個IP子網路單臂和一個IP子網路單臂和兩個IP子網路DirectServerReturn單臂和一個IP子網路單臂和兩個IP子網路雙臂和一個IP子網路雙臂和兩個IP子網路不支援的負載平衡設定下列負載平衡設定不支援CommunicatorWebAccess:單臂目的NAT和一個IP子網路網路負載平衡SSL加速器負載平衡器可當做SSL加速器使用,方法是將它設定為執行SSL解密.
以這種方式設定負載平衡器可能會降低CommunicatorWebAccessServer的負載,因而改善其效能.
在此案例中,負載平衡器會解密HTTPS流量並將它當做HTTP流量傳遞至CommunicatorWebAccessServer.
由於負載平衡器和CommunicatorWebAccess之間傳送的資訊已經過解密,所以我們建議您要保護此流量的安全,以避免未經授權的存取.
連線需求您必須滿足下列連線需求,才能順利對CommunicatorWebAccessServer進行負載平衡.
負載平衡器的VIP(虛擬IP)位址必須支援「位址解析通訊協定」(ARP).
負載平衡器的VIP必須僅有單一DNS登錄,包括稱為集區FQDN(完整網域名稱)的FQDN.
負載平衡器的VIP位址必須具有一或多個用戶端連接埠.
此連接埠可以是TCP連接埠80、SSL連接埠443或系統管理員所定義的連接埠.
負載平衡器必須支援HTTP/SSL相關性.
CommunicatorWebAccessServer必須具備ActiveDirectory存取權.
系統管理電腦必須能夠直接連線至負載平衡器後的CommunicatorWebAccessServer,而不用通過負載平衡器.
負載平衡器後的每部CommunicatorWebAccessServer都必須要能夠在連接埠5061上使用相互TLS(MTLS)來連線至LiveCommunicationsServer(伺服器或集區).
負載平衡器設定需求您必須滿足下列負載平衡器設定需求,才能順利對CommunicatorWebAccessServer進行負載平衡.
負載平衡器必須支援透過由CommunicatorWebAccessServer開啟的TCP連接埠(通常是80/443),對CommunicatorWebAccessServer進行PING.
負載平衡器的服務檢查重試間隔和TCP閒置逾時必須可設定,而且分別設定為30秒和92秒.
負載平衡器必須支援IP位址轉送或來源網路位址轉譯(NAT).
如果負載平衡器僅支援來源NAT,而不支援IP位址轉送,則當此負載平衡器即將支援65,000個以上的同時連線時,它就必須支援來源NAT共用.
負載平衡器設定建議您應該要滿足下列負載平衡器設定建議事項,以便達到最佳的負載平衡效果,不過它們並非必要的條件.
負載平衡器應該針對負載平衡器後的每部CommunicatorWebAccessServer,具有最大連線數目的設定.
負載平衡器應該要能夠慢速啟動,以便逐漸增加伺服器的負載.
TCP閒置逾時至少應該是最大用戶端共用間隔的兩倍.
確認成功的負載平衡設定您應該進行下列確認,以便確認成功的負載平衡設定.
確認LDAP/DNS流量若要確認正確的LDAP/DNS設定,請從負載平衡器後的每部CommunicatorWebAccessServer執行下列LDAP/DNS確認.
確認按照IP位址對網域控制站和通用類別目錄伺服器進行ping會分別產生成功的回應.
確認按照IP位址對網域控制站和通用類別目錄伺服器進行ping-a會分別產生成功的回應,而且具有正確的DNS名稱解析.
確認對網域控制站和通用類別目錄伺服器使用Ldp.
exe會產生成功的連線.
當每部CommunicatorWebAccessServer皆通過上述確認後,請執行用戶端HTTP/HTTPS流量與伺服器SIP流量確認.
您必須先準備確認的環境.
準備確認環境設定兩部用戶端電腦(「用戶端A」和「用戶端B」),並針對要測試的陣列啟用兩位使用者(「使用者A」和「使用者B」).
要測試的CommunicatorWebAccess陣列應該僅包含兩部伺服器.
在要測試之集區內的每部CommunicatorWebAccess伺服器上,開啟「效能監視器」嵌入式管理單元.
按一下[開始]、指向[所有程式]、再指向[系統管理工具],然後按一下[效能].
在[效能]主控台樹狀目錄中,展開[效能記錄及警示].
在[計數器記錄檔]上按一下滑鼠右鍵,然後按一下[新增記錄檔設定].
在[新增記錄檔設定]對話方塊中,於[名稱]下方輸入記錄檔的名稱.
在內容表單的[一般]索引標籤中,按一下[新增計數器].
在[新增計數器]對話方塊中,按一下[效能物件]下方的[CWA-03-使用者工作階段服務].
在計數器清單中,按一下[CWA-002-工作階段]、按一下[新增],然後按一下[關閉].
按一下[確定].
在「用戶端A」和「用戶端B」上開啟InternetExplorer瀏覽器,然後輸入兩部伺服器集區的CommunicatorWebAccessURI.
以「使用者A」的身分登入「用戶端A」,然後以「使用者B」的身分登入「用戶端B」.
確認設定若要確認用戶端HTTP/HTTPS和LiveCommunicationsServerSIP設定與CommunicatorWebAccessServer是否正確,請執行下列確認.
如果您正使用負載平衡方法,以避免兩個用戶端連線至同一部伺服器(例如,「循環」(Round-Robin)或「最少連接」(LeastConnection)方法),請確認每部伺服器的[CWA–002工作階段]效能計數器是否分別顯示一個連線.
確認登入「用戶端B」的「使用者B」是否能搜尋到「使用者A」並將「使用者A」加入至「使用者B」的[連絡人]清單.
確認登入「用戶端A」的「使用者A」是否能搜尋到「使用者B」並將「使用者B」加入至「使用者A」的[連絡人]清單.
確認下列功能的運作方式是否如預期:IM交換出席資訊變更從每個用戶端封鎖並解除封鎖每位連絡人在每個用戶端上刪除連絡人確認當您拔除負載平衡器與其中一部CommunicatorWebAccessServer之間的網路線後,連接至該伺服器的用戶端是否在數分鐘之內登出.
確認當您在上一個步驟中登出的用戶端上按一下[登入]按鈕後,該使用者是否能順利連線至其餘保持連接的CommunicatorWebAccessServer.
確認其餘伺服器的[CWA–002工作階段]效能計數器是否顯示兩個連線.
災害復原規劃在實際執行環境中部署CommunicatorWebAccess之前,您應該要備妥完整定義且完整演練的災害復原策略.
這些策略可讓您迅速從災害所造成的使用者訊息服務中斷復原.
雖然通常會在災害復原計畫中納入備份以協助緩和磁碟損毀和網站故障的情況,不過CommunicatorWebAccess的使用者資訊會儲存在ActiveDirectory和LiveCommunicationsServer中,所以與CommunicatorWebAccessServer相關的使用者資訊不需要進行備份.
但是,確保您有伺服器設定的備份以及可在故障時安裝的待命伺服器硬體,則是良好的作法.
您可以從CommunicatorWebAccessManager備份與CommunicatorWebAccessServer相關的設定資訊.
您可以使用CommunicatorWebAccessManager的[匯入/匯出]功能,以XML格式備份伺服器設定.
此XML可用來將新的伺服器還原成XML所表示的狀態,如下一節所述.
待命復原伺服器如果預算允許,您應該保留額外的備用電腦,以便在發生災害時當做復原伺服器使用.
大部分企業的IT組織目前都朝向即時庫存的模式.
這些企業會與硬體製造商和供應商簽訂合約,而此合約會指定SLA(服務等級合約),表示要在發生災害的數小時內遞送某些硬體零件.
這種方法的優點是不會有多部備用伺服器備而不用.
下列是待命伺服器的需求:此伺服器必須含有乾淨的WindowsServer2003安裝,而且沒有其他軟體.
您必須擁有每部CommunicatorWebAccessServer的組態檔(先前匯出而且可存取).
將服務從故障伺服器切換至待命伺服器如果某部CommunicatorWebAccessServer故障,您就必須以手動方式將服務切換至備份伺服器.
將服務從故障伺服器切換至待命伺服器將待命伺服器加入至網域.
在待命伺服器上安裝IIS6.
0.
在待命伺服器上安裝.
NETFramework2.
0版.
為待命伺服器取得適當的SSL和MTLS憑證.
在待命伺服器上安裝CommunicatorWebAccess.
啟動伺服器,但請勿建立虛擬伺服器.
使用CommunicatorWebAccessManager,將先前從工作中CommunicatorWebAccess虛擬伺服器匯出的組態檔匯入至備份伺服器.
使用CommunicatorWebAccessManager來設定虛擬伺服器的SSL憑證.
如果故障伺服器屬於負載平衡器後CommunicatorWebAccessServer集區的一部分,您就可以重複使用故障伺服器的IP位址,或將負載平衡器設定為指向待命伺服器的新IP位址.
如果故障伺服器不屬於集區的一部分,您就應該設定DNS伺服器,以便將FQDN指向新的IP位址.
如果您沒有DNS伺服器,就可以重複使用故障伺服器的IP位址做為待命伺服器的IP位址.
部署本節含有安裝CommunicatorWebAccess的程序,同時包括下列主題:概觀準備伺服器安裝CommunicatorWebAccess設定程序使用ISAServer2004SP1進行SSLPublishing的程序(做為範例)伺服器管理監視和效能CommunicatorWebAccess安裝概觀CommunicatorWebAccess可以部署至您現有的基礎結構,不過前提是此基礎結構要符合本指南前面一節中所述的需求.
在伺服器上部署CommunicatorWebAccess包括準備、安裝、啟動和設定程序.
表6會提供必要步驟的概觀.
詳細的指示說明會在此表後面的各節提供.
表6:CommunicatorWebAccess安裝概觀階段步驟準備工作安裝WindowsServer2003並套用最新的ServicePack和更新檔.
將伺服器加入至ActiveDirectory網域.
安裝IIS6.
0.
安裝.
NETFramework2.
0.
要求並安裝下列憑證至本機電腦的憑證存放區中:MTLS的電腦憑證,其中指定CommunicatorWebAccessServer的FQDN做為一般名稱.
HTTPS的「網頁伺服器」憑證.
必要時,請將CA的憑證鏈結安裝至本機電腦憑證存放區的[信任的根憑證授權]節點中.
安裝CommunicatorWebAccess使用Administrators、DomainAdmins和RTCDomainServerAdmins群組其中一位成員的帳戶登入伺服器.
開啟MicrosoftOfficeCommunicatorWebAccess部署工具,然後執行下列步驟:安裝CommunicatorWebAccess:啟動CommunicatorWebAccess:在精靈中,選取您先前安裝的MTLS電腦憑證.
建立虛擬伺服器.
在精靈中,選取您在準備工作階段安裝的網頁伺服器HTTPS憑證.
視需要建立其他虛擬伺服器.
準備用戶端並登入CommunicatorWebAccess在ActiveDirectory中,設定使用者帳戶,方法是啟用這些帳戶的LiveCommunications、輸入SIP名稱並啟用遠端使用者存取.
使用URIhttps://登入CommunicatorWebAccess.
準備工作本節將描述如何準備伺服器,以便安裝CommunicatorWebAccess,以及如何要求必要的憑證.
準備伺服器以便安裝您的環境必須符合本指南前面一節中所述的需求.
若要準備CommunicatorWebAccessServer的伺服器,您必須在執行部署工具之前,先執行下列步驟.
準備伺服器以便安裝CommunicatorWebAccess在CommunicatorWebAccessServer上安裝WindowsServer2003.
安裝WindowsServer2003ServicePack1(SP1)和最新的更新檔.
將伺服器加入至ActiveDirectory網域.
您必須將此伺服器與LiveCommunicationsServer2005SP1加入相同的ActiveDirectory樹系和網域.
在CommunicatorWebAccessServer上安裝IIS6.
0.
在CommunicatorWebAccessServer上安裝.
NETFramework2.
0.
在CommunicatorWebAccessServer上設定靜態IP位址(選用)和名稱解析.
要求並安裝下列憑證至本機電腦的憑證存放區中:MTLS的電腦憑證,其中指定CommunicatorWebAccessServer的FQDN做為一般名稱.
HTTPS的「網頁伺服器」憑證.
這個憑證的需求會取決於您是執行LiveCommunicationsServer的StandardEdition或EnterpriseEdition而定.
如需詳細資訊,請參閱本文件前面的一節.
必要時,請將CA的憑證鏈結安裝至本機電腦憑證存放區的[信任的根憑證授權]節點中.
準備CommunicatorWebAccess的憑證CommunicatorWebAccessServer需要使用MTLS和HTTPS的憑證.
在您開始CommunicatorWebAccess安裝程式以前,這些憑證必須安裝在伺服器上.
如需必要憑證設定的詳細資訊,請參閱本文件前面的一節.
重要只有當MTLS憑證的主體名稱為CommunicatorWebAccessServer的FQDN(完整網域名稱)時,MTLS連線才會成功.
下列步驟將描述如何從WindowsServer2003企業根CA下載並信任憑證鏈結,以及如何要求具有CommunicatorWebAccessServerFQDN的憑證.
在CommunicatorWebAccess安裝程序中,系統將會要求您選擇此憑證.
從憑證授權單位下載並信任憑證鏈結如果您正使用MicrosoftWindowsServer2003公開金鑰基礎結構(PKI)並設定自動註冊,則ActiveDirectory中經過驗證的使用者就可以透過使用「群組原則」,自動註冊憑證.
如需PKI最佳作法的詳細資訊,請參閱《實作MicrosoftWindowsServer2003公開金鑰基礎的最佳作法》(BestPracticesforImplementingaMicrosoftWindowsServer2003PublicKeyInfrastructure),網址為:http://www.
microsoft.
com/technet/prodtechnol/windowsserver2003/technologies/security/ws3pkibp.
mspx(英文).
如果您正使用其他PKI基礎結構或尚未實作自動註冊,請使用下列步驟來下載憑證鏈結並在電腦上要求憑證.
若為不在受保護之內部網路中的電腦,我們建議您不要使用網頁註冊元件.
下列程序是假設伺服器和使用者都可以透過使用實體網路和「憑證服務」網頁註冊,存取內部憑證授權單位.
下載憑證授權單位的憑證路徑以Administrators群組成員的身分登入伺服器.
按一下[開始],然後按一下[執行].
在[開啟]方塊中,輸入http:///certsrv,然後按一下[確定].
如果CA使用預設(連接埠80)以外的連接埠,請改輸入http://[:]/certsrv.
在[選擇工作]下方,按一下[下載CA憑證、憑證鏈結或CRL].
在[下載CA憑證、憑證鏈結或CRL]下方,按一下[下載CA憑證鏈結].
在[檔案下載]對話方塊中,按一下[儲存].
將檔案下載至伺服器的硬碟.
這個檔案的副檔名為.
p7b.
如果您開啟此.
p7b檔,其鏈結將具有下列兩個憑證:憑證憑證安裝CA憑證路徑按一下[開始],然後按一下[執行].
在[開啟]方塊中輸入mmc,然後按一下[確定].
在[檔案]功能表上按一下[新增/移除嵌入式管理單元].
在[新增/移除嵌入式管理單元]對話方塊中,按一下[新增].
在[可用的獨立嵌入式管理單元]清單中,選取[憑證].
按一下[新增].
選取[電腦帳戶],然後按[下一步].
在[選擇電腦]對話方塊中,確定已經選取[本機電腦(執行這個主控台的電腦)],然後按一下[完成].
按一下[關閉],然後按一下[確定].
在[憑證]主控台的左窗格中,展開[憑證(本機電腦)].
展開[信任的根憑證授權].
在[憑證]上按一下滑鼠右鍵、指向[所有工作],然後按一下[匯入].
在[匯入精靈]中,按[下一步].
按一下[瀏覽]並巡覽至您儲存憑證鏈結的位置.
選取p7b檔,然後按一下[開啟].
按[下一步].
保留預設值[將所有憑證放入以下的存放區].
在[憑證存放區]下方,確認[信任的根憑證授權]是否有出現.
按[下一步].
按一下[完成].
要求憑證開啟網頁瀏覽器、輸入URLhttp:///certsrv,然後按下ENTER鍵.
按一下[要求憑證].
按一下[進階憑證要求].
按一下[向這個CA建立並提交一個要求].
在[憑證範本]中,選取[網頁伺服器].
在[離線範本識別資訊]中,輸入CommunicatorWebAccessServer的FQDN.
在[金鑰選項]中,按一下[將憑證存放在本機電腦憑證存放區]核取方塊.
按一下[提交].
在[隱藏性指令碼執行違規]對話方塊中,按一下[是].
在伺服器上安裝憑證按一下[安裝這個憑證].
在[隱藏性指令碼執行違規]對話方塊中,按一下[是].
按一下[開始],然後按一下[執行].
在[開啟]方塊中輸入mmc,然後按一下[確定].
在[檔案]功能表上按一下[新增/移除嵌入式管理單元].
在[新增/移除嵌入式管理單元]對話方塊中按一下[新增].
在[可用的獨立嵌入式管理單元]清單中,選取[憑證].
按一下[新增].
選取[電腦帳戶],然後按[下一步].
在[選擇電腦]對話方塊中,確定已經選取[本機電腦(執行這個主控台的電腦)],然後按一下[完成].
按一下[關閉],然後按一下[確定].
在[憑證]主控台的左窗格中,依序展開[憑證(本機電腦)]和[信任的根憑證授權],然後按一下[憑證].
確認您針對CommunicatorWebAccessServer要求且含有其FQDN的憑證是否列出.
如果沒有,請從[個人\憑證]資料夾,將它複製到[信任的根憑證授權\憑證]資料夾中.
安裝CommunicatorWebAccess本節將提供安裝CommunicatorWebAccessServer和用戶端的程序.
若要執行本節所描述的程序,您必須以Administrators和DomainAdmins群組成員的身分登入.
CommunicatorWebAccess安裝程序包含使用CommunicatorWebAccessServer部署工具來執行下列步驟:安裝CommunicatorWebAccess:安裝用來啟動和部署CommunicatorWebAccess的必要檔案.
啟動CommunicatorWebAccess:在ActiveDirectory中建立服務帳戶(預設名為CWAService).
您必須先安裝CommunicatorWebAccess才能啟動伺服器.
建立虛擬伺服器:在IIS6.
0中建立第一部CommunicatorWebAccess虛擬伺服器.
您可以在日後使用CommunicatorWebAccessManager來建立其他虛擬伺服器.
(選用)安裝CommunicatorWebAccess嵌入式管理單元:根據預設,CommunicatorWebAccessManager會在第一個步驟中安裝在電腦上.
您可以在日後使用此選項,將CommunicatorWebAccessManager加入至其他電腦.
這些步驟的細節會在後續各節詳述.
此外,您也可以改用命令列方法並叫用記錄,來取代上述使用部署工具安裝CommunicatorWebAccess的方式.
請在CommunicatorWebAccessServer上,將安裝檔複製到磁碟中.
開啟命令提示字元並移至安裝檔的.
.
\i386\MSI目錄,然後執行下列任一項命令來建立每個步驟的記錄檔:Msiexec.
exe/iCWA.
msi[/lv.
txt]Runts.
exe/user:"Msiexec.
exe/I"注意如果您想要在已經安裝CommunicatorWebAccessManager的電腦上安裝CommunicatorWebAccess,您就必須先移除CommunicatorWebAccessManager.
使用部署工具安裝CommunicatorWebAccess若要在伺服器上安裝MicrosoftOfficeCommunicatorWebAccess,您必須先部署LiveCommunicationsServer2005SP1.
在CommunicatorWebAccess的安裝期間,系統會要求您選取CommunicatorWebAccessIIS和MTLS憑證.
開啟部署工具以Administrators和DomainAdmins群組成員的身分登入伺服器.
在CommunicatorWebAccess的下載資料夾中,執行Setup.
exe開啟[部署MicrosoftOfficeCommunicatorWebAccess]頁面.
圖6:部署工具頁面安裝CommunicatorWebAccess在部署工具頁面中,按一下[步驟1:安裝CommunicatorWebAccess]旁邊的[安裝].
在[歡迎]頁面上,按[下一步].
在[授權合約]頁面上,選取[我接受合約],然後按[下一步].
在[客戶資訊]頁面上,於[使用者名稱]和[組織]旁輸入您的使用者名稱和組織,然後按[下一步].
在[已完成安裝準備工作]頁面上,接受預設位置或按一下[變更]選取其他位置,然後按[下一步].
在[已完成安裝準備工作]頁面上,按一下[安裝].
在[安裝程式完成]頁面上,按一下[完成].
啟動CommunicatorWebAccess在部署工具頁面中,按一下[步驟2:啟動CommunicatorWebAccess]下方的[啟動].
在[歡迎]頁面上,按[下一步].
在[選取網域服務帳戶]頁面中,進行下列其中一個步驟:選取[建立帳戶].
在[帳戶名稱]方塊中,接受預設的帳戶名稱,或輸入新的網域和帳戶名稱.
在[密碼]方塊中,輸入帳戶的密碼.
在[確認密碼]方塊中,重新輸入相同的密碼,然後按[下一步].
選取[使用現有的帳戶],然後在[帳戶名稱]方塊中,輸入新的網域和帳戶名稱.
在[密碼]方塊中,輸入帳戶的密碼.
在[確認密碼]方塊中,重新輸入相同的密碼,然後按[下一步].
在[選取伺服器憑證]頁面上,按一下[選取憑證].
圖7:選取伺服器憑證頁面在[選擇憑證]對話方塊中,於[發給]下方,選取具有CommunicatorWebAccessServerFQDN的憑證,然後按一下[確定].
注意由於LiveCommunicationsServer會使用此憑證來驗證CommunicatorWebAccessServer,所以這個憑證的FQDN必須就是CommunicatorWebAccessServer的FQDN.
圖8:選擇憑證對話方塊在[選取伺服器憑證]頁面上,確認是否已經選取正確的憑證,然後按[下一步].
在[已完成啟動CommunicatorWebAccess的準備工作]頁面上,確認[使用伺服器憑證:發給:]方塊是否含有CommunicatorWebAccessServer的FQDN.
如果沒有,請按[下一步].
在[成功]頁面上,按一下[完成].
建立CommunicatorWebAccessIIS虛擬伺服器在部署工具頁面中,按一下[步驟3:建立虛擬伺服器]旁邊的[建立].
在[歡迎]頁面上,按[下一步].
在[選取虛擬伺服器類型]頁面上,按一下下列任何一個選項:[內部](針對企業網路內部的使用者)[外部](針對企業網路以外的使用者)按[下一步].
在[選取驗證方法]頁面上,針對虛擬伺服器類型選取適當的驗證方法,然後按[下一步]:如果虛擬伺服器是內部網站,請選取[表單架構驗證]核取方塊、[整合式(NTLM/Kerberos)驗證]核取方塊,或兩者皆選取.
如果虛擬伺服器是外部網站,預設會選取[表單架構驗證]核取方塊.
[整合式(NTLM/Kerberos)驗證]並不適用於外部網站.
在[選取瀏覽器連線類型]頁面上,選取[HTTPS(建議選項)]或[HTTP].
如果您選取[HTTPS(建議選項)],請按一下[選取憑證]按鈕.
在[選擇憑證]頁面上,按一下含有CommunicatorWebAccessServerFQDN的憑證,然後按一下[確定].
圖9:選取HTTPS和憑證在[選取瀏覽器連線類型]頁面上,如果您選取了HTTPS,請確認是否已選取正確的憑證.
按[下一步].
在[選取IP位址及連接埠設定]頁面上,選取IP位址,或保留預設設定[(全未指定)].
如果您想要變更此虛擬伺服器的接聽連接埠,請在[連接埠]中輸入連接埠號碼.
按[下一步].
圖10:選取IP位址及連接埠設定在[為虛擬伺服器命名]頁面上,輸入可區別此虛擬伺服器的名稱,然後按[下一步].
在[自動啟動虛擬伺服器]頁面上,如果您想要讓虛擬伺服器在精靈完成後啟動,請選取[在[建立虛擬伺服器精靈]完成之後,啟動此虛擬伺服器].
按[下一步].
在[檢視虛擬伺服器設定]頁面上,檢視這些設定.
[憑證:發給]設定應該就是CommunicatorWebAccessServer的FQDN.
按[下一步].
在[成功]頁面上,按一下[完成].
手動安裝CommunicatorWebAccessManager(選用)當您安裝CommunicatorWebAccess後,CommunicatorWebAccessManager就會自動安裝在伺服器上.
如果您正在伺服器上安裝CommunicatorWebAccess,您就不需要執行選用的最後一個步驟:「安裝CommunicatorWebAccess嵌入式管理單元」.
不過,您也可以手動在遠端電腦上安裝CommunicatorWebAccessManager,以便從該處管理CommunicatorWebAccessServer.
如需在遠端電腦上安裝CommunicatorWebAccessManager的詳細資訊,請參閱本文件後面的一節.
注意如果您在某部電腦上安裝了CommunicatorWebAccessManager,然後想要在該電腦上安裝CommunicatorWebAccess,您就必須先移除CommunicatorWebAccessManager.
建立其他虛擬伺服器除了在安裝過程中建立的初始虛擬伺服器以外,所有CommunicatorWebAccess虛擬伺服器都是使用CommunicatorWebAccessManager所建立的.
建立其他虛擬伺服器啟動CommunicatorWebAccessManager:在[開始]功能表上,按一下[所有程式]、指向[系統管理工具],然後按一下[CommunicatorWebAccessManager].
在[MicrosoftOfficeCommunicatorWebAccessManager]上按一下滑鼠右鍵,然後按一下[連線].
在[電腦名稱]方塊中,輸入CommunicatorWebAccessServer的伺服器名稱、IP位址或FQDN(完整網域名稱).
按一下[確定].
在實體伺服器節點上按一下滑鼠右鍵,然後按一下[建立WebAccessServer].
[建立虛擬WebAccessServer]精靈便會開啟.
在[歡迎]頁面上,按[下一步].
在[選取虛擬伺服器類型]頁面上,選取下列任何一個選項:[內部](針對企業網路內部的使用者)[外部](針對企業網路以外的使用者)按[下一步].
在[選取驗證方法]頁面上,針對虛擬伺服器類型選取適當的驗證方法,然後按[下一步]:如果虛擬伺服器是內部網站,請選取[表單架構驗證]核取方塊、[整合式(NTLM/Kerberos)驗證]核取方塊,或兩者皆選取.
如果虛擬伺服器是外部網站,預設會選取[表單架構驗證]核取方塊.
[整合式(NTLM/Kerberos)驗證]並不適用於外部網站.
在[選取瀏覽器連線類型]上,選取[HTTPS(建議選項)]或[HTTP].
如果您選取[HTTPS(建議選項)],請按一下[選取憑證].
在[選擇憑證]頁面上,選取含有CommunicatorWebAccessServerFQDN的憑證,然後按一下[確定].
在[選取瀏覽器連線類型]頁面上,如果您選取了HTTPS,請確認是否已選取正確的憑證.
按[下一步].
在[選取IP位址及連接埠設定]頁面上,選取IP位址,或保留預設值[(全未指定)].
如果您想要變更此虛擬伺服器的接聽連接埠,請在[連接埠]中輸入連接埠號碼.
按[下一步].
重要如果您指定了已經由現有虛擬伺服器所使用的連接埠號碼,然後啟動新的伺服器,則現有伺服器將會自動停止以避免發生連接埠衝突.
在[為虛擬伺服器命名]頁面上,輸入可識別此虛擬伺服器的名稱,然後按[下一步].
在[自動啟動虛擬伺服器]頁面上,如果您想要讓虛擬伺服器在精靈完成後啟動,請選取[在[建立虛擬伺服器精靈]完成之後,啟動此虛擬伺服器]核取方塊.
按[下一步].
在[檢視虛擬伺服器設定]頁面上,檢視這些設定.
[憑證:發給]設定應該就是CommunicatorWebAccessServer的FQDN.
按[下一步].
在[成功]頁面上,按一下[完成].
使用命令列安裝CommunicatorWebAccess您可以透過在命令提示字元中執行下列MicrosoftInstaller檔(.
msi),以便在伺服器上安裝CommunicatorWebAccess程式檔:CWAmain.
msi:在伺服器上安裝CommunicatorWebAccess程式檔.
CWAActivateServer.
msi:開啟[啟動精靈],以便您可用來建立必要的ActiveDirectory物件、啟動網域服務帳戶,並指定MTLS憑證.
CWACreateVirtualServer.
msi:開啟[建立虛擬伺服器]精靈,以便您可以在IIS中建立虛擬目錄、指定HTTPS憑證,並建立CommunicatorWebAccess虛擬伺服器.
InstallMMC.
msi:安裝CommunicatorWebAccessManager.
如果您已經在伺服器上安裝CommunicatorWebAccess程式檔,就不需要進行這項安裝.
注意CommunicatorWebAccess不支援無訊息安裝.
在命令提示字元中安裝CommunicatorWebAccess開啟命令提示字元視窗:按一下[開始],然後按一下[執行].
在[開啟]方塊中,輸入cmd,然後按一下[確定].
在命令提示字元中,輸入下列命令,然後按下ENTER鍵:\i386\MSI若要安裝程式檔,請在命令提示字元中,輸入下列命令,然後按下ENTER鍵.
如果您想要建立記錄檔,請加入選用的/lv參數.
Msiexec.
exe/iCWA.
msi[/lv.
txt]準備用戶端並登入CommunicatorWebAccess本節將提供在ActiveDirectory中設定CommunicatorWebAccess使用者以及登入CommunicatorWebAccess的程序.
準備CommunicatorWebAccess用戶端在用戶端電腦上,安裝支援的作業系統.
支援的作業系統列在本指南前面的一節中.
安裝支援的瀏覽器.
支援的瀏覽器列在本指南前面的一節中.
在ActiveDirectory中,按照下列程序所描述的方式,將用戶端的使用者設定為LiveCommunicationsServer使用者.
針對CommunicatorWebAccess啟用使用者按一下[開始]、指向[程式集]、再指向[系統管理工具],然後按一下[ActiveDirectory使用者和電腦].
在主控台樹狀目錄中,展開[組織]節點,然後再展開[使用者].
在[使用者]上按一下滑鼠右鍵、指向[新增],然後按一下[使用者].
在[名字]和[姓氏]方塊中,輸入使用者的名字和姓氏.
在[使用者登入名稱]方塊中,輸入使用者的網路登入名稱.
按[下一步].
選取其中一個密碼原則核取方塊.
在[密碼]方塊中,輸入密碼.
在[確認密碼]方塊中再輸入一次相同的密碼.
按[下一步],然後按一下[完成].
在[ActiveDirectory使用者和電腦]主控台樹狀目錄中,於[使用者]下方,在使用者的名稱上按一下滑鼠右鍵,然後按一下[內容].
在[內容]對話方塊中,按一下[LiveCommunications]索引標籤.
選取[啟用這個使用者的LiveCommunications]核取方塊.
在[SIPURI]方塊中,輸入SIP位址,例如,使用sip:@.
com的格式.
在[伺服器或集區]中,選取.
.
com.
按一下[進階設定].
選取[啟用遠端使用者存取功能]核取方塊.
如果在LiveCommunicationsServer中啟用聯盟功能,請選取[啟用公共IM連線]核取方塊.
按一下[確定].
按一下[套用],然後按一下[確定].
登入CommunicatorWebAccess本節將說明如何測試用戶端電腦連線至CommunicatorWebAccess的能力.
連線至CommunicatorWebAccess用戶端登入用戶端電腦.
開啟支援的瀏覽器.
如果安裝了快顯封鎖程式,請加以完全停用或僅針對CommunicatorWebAccess網站停用.
在瀏覽器的網址欄位中,輸入https://.
CommunicatorWebAccessServer的URI必須與HTTPS憑證中的一般名稱相符.
例如,如果憑證的一般名稱為im.
contoso.
com,則此URL就應該是:https://im.
contoso.
com.
在[安全性警訊]對話方塊中,按一下[是].
如果用戶端電腦設定為與CommunicatorWebAccess信任相同的CA,您就可以在用戶端上安裝憑證,如此使用者就不需要回應安全性警訊.
這個程序可能不適用於所有情況.
在用戶端電腦上安裝CommunicatorWebAccess的憑證在用戶端瀏覽器的網址列中,輸入http:///certsrv,然後按下ENTER鍵.
按一下[下載CA憑證、憑證鏈結或CRL].
按一下[下載CA憑證鏈結].
在[檔案下載]對話方塊中,按一下[開啟].
展開certmgr管理主控台中的所有節點.
按兩下您所下載的憑證.
在憑證上,按一下[安裝憑證].
使用預設設定安裝憑證.
出現安全性警告時,按一下[是].
在Windows作業系統上執行InternetExplorer的內部使用者登入頁面顯示在圖11中.
圖11:整合式Windows驗證在Windows作業系統上執行InternetExplorer之遠端使用者的表單架構驗證登入頁面顯示在圖12中.
圖12:表單架構驗證當使用者登入CommunicatorWebAccess後,就會顯示CommunicatorWebAccess主頁面.
圖13:CommunicatorWebAccess主頁面針對Mozilla和Firefox瀏覽器簽署JavaScript若用戶端執行Mozilla和Firefox瀏覽器,就必須簽署通知(包括傳入立即訊息的桌面通知以及工作列中閃爍顯示的CommunicatorWebAccess項目)的JavaScript程式碼.
根據預設,JavaScript程式碼是使用Microsoft憑證進行簽署.
當某位使用者首次登入CommunicatorWebAccess時,就會顯示一個對話方塊,詢問是否應該允許簽署的程式碼執行.
使用者的選項會決定這些通知功能的運作方式:如果使用者允許此要求,CommunicatorWebAccess通知和工作列功能將會正常運作.
如果使用者也選取記住決定的核取方塊,此對話方塊就不會再次顯示.
否則,每次JavaScript程式碼嘗試執行時,就會顯示此對話方塊.
如果使用者拒絕此要求,桌面通知就會在桌面背景中開啟,而且當新的通知或訊息出現時,工作列項目將不會閃爍顯示.
重新簽署JavaScript程式碼簽署憑證您可以重新簽署用來簽署JavaScript程式碼的Microsoft憑證,方法包括使用受信任協力廠商憑證授權單位(CA)所提供的憑證或使用私人憑證.
如果您從受信任協力廠商CA取得JavaScript簽署憑證,就不需要進行其他用戶端設定.
如果您從私人或自行託管CA取得簽署憑證,則用戶端就必須更新為信任核發該憑證的CA.
CommunicatorWebAccess的安裝程式會將Java封存檔(.
jar)安裝在下列路徑中,其中clientversion就是組建的版本:\Server\cwa\client\當您重新簽署JavaScript程式碼時,您就會建立含有指令碼檔和相關簽署資訊的新Java封存檔(.
jar),以便取代預設Java封存檔(.
jar).
如果您要使用私人或自行託管CA,則此憑證就應該使用「程式碼簽署」憑證範本.
下列步驟將概述一種使用NetscapeBrowser所提供的JavaScript憑證簽署工具來重新簽署JavaScript的方法.
重新簽署JavaScript以Administrators群組成員的身分登入CommunicatorWebAccessServer.
從http://www.
mozilla.
org/projects/security/pki/nss/tools(英文)網址取得下列憑證簽署工具:Certutil.
exe–用來管理憑證和私密金鑰.
您可以使用Certutil來建立憑證資料庫、建立私密金鑰資料庫並將憑證加入至憑證資料庫.
Pk12util.
exe–用來將憑證和私密金鑰組檔(也稱為個人資訊交換檔)匯入至Certutil.
exe所建立的資料庫.
Signtool.
exe–用來以資料庫中的憑證和私密金鑰,簽署HTML網頁.
建立資料夾(下列步驟中稱為),其中將儲存後續步驟中命令所建立的資料庫檔.
開啟[命令提示字元]視窗:按一下[開始],然後按一下[執行].
在[開啟]方塊中,輸入cmd,然後按一下[確定].
執行Certutil.
exe建立憑證資料庫.
在命令提示字元中,輸入下列命令,然後按下ENTER鍵.
certutil.
exe-N-d當系統提示您輸入密碼時,請輸入您想要用於憑證資料庫的密碼.
要求來自受信任協力廠商CA或私人或自行託管CA的憑證和私密金鑰組檔.
如需要求憑證的詳細資訊,請洽詢憑證授權單位.
如果您所收到的憑證儲存在本機電腦的憑證存放區中,請將此憑證和私密金鑰匯入至.
pfx檔.
執行Pk12util.
exe,將憑證和私密金鑰檔匯入至您所建立的資料庫.
在命令提示字元中,輸入下列命令,然後按下ENTER鍵:pk12util.
exe-i-d取得CA憑證.
執行Certutil.
exe,將CA憑證加入至資料庫.
您必須為CA憑證指定暱稱.
在命令提示字元中,輸入下列命令(全部都在同一行),然後按下ENTER鍵:certutil.
exe-A-n-i-t"C,C,C"-d執行Certutil.
exe列出資料庫中的所有憑證.
從此清單中,您將取得將用於下一個步驟的憑證名稱.
在命令提示字元中,輸入下列命令,然後按下ENTER鍵:certutil.
exe-L-d執行Signtool.
exe,使用憑證簽署JavaScript程式碼.
在命令提示字元中,輸入下列命令(全部都在同一行),然後按下ENTER鍵:Signtool-k-Z\Server\cwa\client\\SignedCode.
jar-p-d\cwa\client\clientversion\SignedCode執行這項命令後,含有指令碼檔和相關簽署資訊的新Java封存檔(.
jar)就會取代預設的Java封存檔(.
jar).
如果您使用私人或自行託管CA,請確定用戶端的瀏覽器匯入此憑證鏈結,以便信任簽署的JavaScript程式碼.
在大型規模上,如果CA提供網站讓使用者登入並要求更新的憑證,則此程序就會更簡單.
如需JavaScript安全性和簽署的詳細資訊,請參閱http://www.
mozilla.
org/projects/security/components/jssec.
html(英文).
設定搜尋使用者可以在[尋找]文字方塊中指定一或多項搜尋條件,藉以搜尋連絡人.
根據預設,搜尋條件是顯示名稱和電子郵件地址.
使用者可以從[尋找]按鈕旁的清單中選取不同的喜好設定,藉以覆寫預設搜尋條件.
這些選項包括:連絡人的名字連絡人的姓氏連絡人的顯示名稱連絡人的電子郵件地址連絡人的姓氏和顯示名稱連絡人的姓氏和電子郵件地址身為系統管理員,您可以指定搜尋中所用的預設條件,方法是在WindowsManagementInstrumentation(WMI)中修改DefaultSearchField和DefaultSearchQuery設定.
此外,您也可以指定要傳回的最大搜尋結果數目.
表7將列出可變更的搜尋相關WMI設定.
表7:WMI搜尋設定WMI設定名稱類型預設值接受的值DefaultSearchFielduint3212二進位的值(十進位),定義如下:0001(1):名字0010(2):姓氏0011(3):名字;姓氏0100(4):顯示名稱0110(6):姓氏;顯示名稱1000(8):電子郵件地址1010(10):姓氏;電子郵件地址1100(12):顯示名稱;電子郵件地址DefaultSearchQuery字串ORAND或ORSearchMaxServerResultsuint322001至1000SearchMaxClientResultsuint32101至300MaxQueuedSearchesuint32801至500您可以變更而使用者可以覆寫的預設搜尋條件包括:連絡人的名字連絡人的姓氏連絡人的顯示名稱連絡人的電子郵件地址搜尋結果在搜尋結果中,只有存在通用類別目錄伺服器中的傳回ActiveDirectory使用者物件屬性才會顯示給使用者.
只有當某個屬性標記為要複製到通用類別目錄伺服器時,它才會存在通用類別目錄伺服器中.
根據預設,下列ActiveDirectory屬性都針對通用類別目錄伺服器複製而標記.
NameE-mail1SIPURI根據預設,下列屬性都未針對通用類別目錄伺服器複製而標記.
CompanyTitle身為系統管理員,您可以按照下一節所說明的方式,變更預設的複製行為.
在完成搜尋且傳回通用類別目錄伺服器中的屬性後,CommunicatorWebAccess就會針對下列屬性,搜尋使用者的本機[連絡人]清單:SIPInformation:Phone1Phone2Phone3Phone4SubscribeToPresenceIsSmartCampNotificationSetting這些屬性會與先前所述的標記屬性一起顯示在搜尋結果中.
注意用戶端的某些搜尋結果可能不會包括Title和Company,即使這些屬性已標記為複製到通用類別目錄伺服器也一樣.
這是因為用戶端顯示了本機[連絡人]清單中的某些搜尋結果.
本機[連絡人]清單並未包含JobTitle和Company屬性,不論這些屬性是否複製到通用類別目錄伺服器都一樣.
當使用者在CommunicatorWebAccess和Communicator中進行相同的搜尋時,可能會收到不同的搜尋結果.
雖然這兩個用戶端都會查詢使用者的本機[連絡人]清單和ActiveDirectory,不過,Communicator還會查詢LiveCommunicationsServer通訊錄(如果有設定的話).
CommunicatorWebAccess則不會查詢通訊錄.
手動設定通用類別目錄伺服器的屬性複製如上一節所述,ActiveDirectory中的某些使用者屬性預設會複製到通用類別目錄伺服器,而某些屬性則否.
您可以手動變更預設複製行為,以便讓搜尋結果中顯示的屬性就是您想要的屬性.
您可以使用ActiveDirectory架構嵌入式管理單元(Schmmgmt.
msc),手動將某項屬性設定為複製到通用類別目錄伺服器.
ActiveDirectory架構嵌入式管理單元包含在WindowsServer2003ServicePack1(SP1)的i386目錄中.
根據預設,系統不會安裝WindowsServer2003「系統管理工具包」.
您必須安裝「系統管理工具包」,然後在安裝完成後,手動註冊schmmgmt.
dll.
注意:如果您計畫在CommunicatorWebAccess的網域控制站上手動設定通用類別目錄伺服器屬性複製,就必須安裝WindowsServer2003SP1中隨附的Adminpak.
msi版本.
手動設定通用類別目錄伺服器屬性複製在CommunicatorWebAccess網域控制站的Windowssystem32根目錄中,按兩下WindowsServer2003SP1「系統管理工具包」安裝程式(Adminpak.
msi).
遵循安裝精靈的指示,安裝WindowsServer2003ServicePack1「系統管理工具包」.
註冊schmmgmt.
dll:按一下[開始],然後按一下[執行].
在[開啟]方塊中,輸入cmd,然後按一下[確定].
在命令提示字元中,輸入regsvr32schmmgmt.
dll,然後按下ENTER鍵.
在命令提示字元中,輸入MMC/a,然後按下ENTER鍵.
在主控台視窗的[檔案]功能表中,按一下[新增/移除嵌入式管理單元],然後按一下[新增].
在[新增獨立嵌入式管理單元]中,按一下[ActiveDirectory架構],然後按一下[新增].
按一下[關閉],然後按一下[確定].
在主控台樹狀目錄中,展開[ActiveDirectory架構[]]節點,然後按一下[屬性]節點.
在詳細資料窗格中,在您想要變更複製行為的屬性上按一下滑鼠右鍵,然後按一下[內容].
在[內容]表單的[一般]索引標籤中,視需要選取或清除[將這個屬性複寫到通用類別目錄中]核取方塊,然後按一下[確定].
下圖將顯示預設的[mail內容]畫面.
圖14:內容對話方塊下次屬性複製到通用類別目錄伺服器時,使用上述方法標記的新屬性就會複製到通用類別目錄伺服器.
設定ISAServer2004SP1雖然任何防火牆或反向Proxy伺服器都可以搭配CommunicatorWebAccess使用,不過本節將說明如何針對CommunicatorWebAccess設定MicrosoftInternetSecurityandAcceleration(ISA)Server2004SP1.
在您部署LiveCommunicationsServer2005SP1和CommunicatorWebAccess的環境下,ISAServer2004可以當做VPN的替代方案或一起搭配使用.
您可以使用ISAServer來提供周邊網路和內部網路邊界.
此外,您也可以使用ISAServer,透過ISAServer2004發佈一或多部CommunicatorWebAccessServer.
本指南中所述的CommunicatorWebAccess解決方案會使用ISAServer2004SP1StandardEdition來協助確保遠端使用者能夠安全地連線至內部網路上的CommunicatorWebAccessServer.
CommunicatorWebAccess和ISAServer2004的結合可提供這種連線方式給具備網際網路連線及在支援作業系統上執行支援瀏覽器的使用者使用.
圖15顯示一則範例,表示ISAServer在部署中的位置.
圖15:使用ISA2004SP1發佈CommunicatorWebAccessISAServer2004將會發佈CommunicatorWebAccessServer,如此遠端使用者就可以透過公用位址(而非內部FQDN)來存取企業CommunicatorWebAccessServer.
在圖15所顯示的範例中,使用者會在瀏覽器中輸入URI(例如https://im.
contoso.
com).
然後,此URI便解析成外部網路IP位址(例如10.
10.
10.
10).
在ISAServer上,外部網路介面卡是以IP位址(10.
10.
10.
10)設定,而網頁接聽程式則設定為接聽預設連接埠(443)上的HTTPS要求.
ISAServer會接收要求,然後將此要求對應至CommunicatorWebAccess外部虛擬伺服器的IP位址或FQDN.
如果CommunicatorWebAccess外部虛擬伺服器設定為接聽不同的連接埠(例如444),則ISAServer也必須對應至該連接埠號碼.
注意當您在設定ISAServer時,可以選擇將外部IP位址對應至CommunicatorWebAccess的IP位址,或將主機名稱(例如im.
contoso.
com)對應至CommunicatorWebAccessServer的FQDN(例如imserver.
contoso.
com).
如果您選擇第二個選項,則此FQDN必須要能夠解析成CommunicatorWebAccessServer的IP位址.
先決條件下列是ISA2004電腦上的必要項目:ISAServer電腦上的兩張網路介面卡:一張用於外部網路,而另一張則用於內部網路.
WindowsServer2003SP1ISAServer2004SP1StandardEdition或EnterpriseEdition我們建議您不要在ISAServer上安裝其他軟體.
您可以在以下網址取得120天免費試用的ISAServer2004軟體,網址為:http://www.
microsoft.
com/taiwan/isaserver/evaluation/trial/default.
htm設定ISA網路介面卡的靜態IP位址將ISAServer視為具有兩個介面或兩端是很有用的作法.
內部網路介面卡會將ISAServer的內部端連接至內部網路,而外部網路介面卡則會將ISAServer的外部端連接至外部網路.
ISAServer上的每張網路介面卡都具有一個靜態IP位址.
每張網路介面卡的位址和子網路都仰賴它所連接的網路(路由器).
使用靜態IP位址設定內部網路介面卡按一下[開始]、指向[所有程式]、再指向[控制台],然後按兩下[網路連線].
在內部網路介面卡連線上按一下滑鼠右鍵,然後按一下[內容].
在[內容]頁面中,選取[InternetProtocol(TCP/IP)],然後按一下[內容].
在[InternetProtocol(TCP/IP)內容]頁面中,按一下[使用下列的IP位址].
在[IP位址]方塊中,輸入內部子網路的IP位址.
在[子網路遮罩]欄位中,輸入內部子網路.
按一下[使用下列的DNS伺服器位址].
在[慣用的DNS伺服器]方塊中,輸入DNSIP位址.
按兩次[確定].
使用靜態IP位址設定外部網路介面卡按一下[開始]、指向[所有程式]、再指向[控制台],然後按兩下[網路連線].
在外部網路介面卡連線上按一下滑鼠右鍵,然後按一下[內容].
在[內容]頁面中,選取[InternetProtocol(TCP/IP)],然後按一下[內容].
在[InternetProtocol(TCP/IP)內容]頁面中,按一下[使用下列的IP位址].
在[IP位址]方塊中,輸入外部網路的IP位址.
在[子網路遮罩]中,輸入外部子網路.
按一下[使用下列的DNS伺服器位址].
將[慣用的DNS伺服器]方塊保持空白.
按兩次[確定].
設定介面順序按一下[開始]、指向[所有程式]、再指向[控制台],然後按兩下[網路連線].
在[網路連線]視窗中,按一下[進階]功能表中的[進階設定].
在[進階設定]對話方塊中,按一下[介面卡及連結]索引標籤.
選取[連線]下方的[內部].
按一下向上箭頭,將[內部]移至清單的最上端.
按一下[確定].
關閉[網路連線]視窗.
將ISAServer的內部IP位址加入至DNS伺服器登入DNS伺服器.
按一下[開始],指向[所有程式],再指向[系統管理工具],然後按兩下[DNS].
在主控台的樹狀目錄中,展開[正向對應區域].
在DNS伺服器節點上按一下滑鼠右鍵,然後按一下[內容].
在[內容]中,選取[指定的伺服器]索引標籤,然後按一下[新增].
在[新增資源記錄]對話方塊中,於[伺服器FQDN]方塊中輸入ISAServer的FQDN.
在[IP位址]方塊中,輸入ISAServer內部網路介面卡的IP位址.
按一下[新增],然後按一下[確定].
在主控台的樹狀目錄中,展開[反向對應區域].
在[.
in-addr.
arpa]節點上按一下滑鼠右鍵,然後按一下[內容].
在[內容]對話方塊中,按一下[指定的伺服器]索引標籤,然後按一下[新增].
在[新增資源記錄]對話方塊中,於[伺服器FQDN]方塊中輸入ISAServer的FQDN.
在[IP位址]方塊中,輸入ISAServer內部網路介面卡的IP位址.
按一下[新增],然後按一下[確定].
按一下[套用].
按一下[確定].
關閉[DNS]主控台.
安裝ISAServer2004SP1在伺服器上安裝ISAServer2004SP1.
安裝ISAServer2004SP1StandardEdition在ISAServer2004安裝資料夾或CD上,執行Setup.
exe即可啟動[安裝精靈].
遵循[安裝精靈]的提示與ISAServer2004安裝說明文件,並接受所有預設值,除了下列設定以外(這些設定與CommunicatorWebAccess有關).
在[內部網路]頁面上,按一下[新增].
請執行下列其中一項操作:在[位址範圍]選擇頁面的[從]和[到]方塊中,指定內部網路要涵蓋的位址範圍,然後按一下[新增].
按一下[選擇網路卡].
在[選擇網路卡]頁面中,選取[根據Windows路由表新增位址範圍]核取方塊.
在[網路卡]下方,選取[內部]核取方塊.
按一下[確定].
按一下[確定].
在[內部網路]頁面上,按[下一步].
按[下一步]並完成精靈(接受所有預設值).
安裝ISAServer2004的ServicePack1.
如需ISAServer的詳細資訊和資源,請造訪下列網站:ISAServer首頁:http://www.
microsoft.
com/taiwan/isaserver/ISAServer2004StandardEditionSP1的下載網站:http://www.
microsoft.
com/downloads/details.
aspxFamilyID=69c5d85c-5c80-473c-9cb4-60dda75d568d&displaylang=zh-twISA和「SSL網頁」發佈的相關「知識庫」文章:http://support.
microsoft.
com/search/default.
aspxcatalog=LCID%3D1033&query=isa+server+ca+certificate(英文)發佈指引文章:http://www.
microsoft.
com/taiwan/isaserver/techinfo/guidance/2004/publishing.
htm在ISAServer防火牆上設定憑證您必須要求SSL憑證,而且必須將CA憑證鏈結下載至本機電腦的ISAServer「憑證資料夾」的「信任的根憑證授權」中.
SSL憑證將會繫結至ISAServer2004電腦上外部端網路介面卡的「接聽程式」.
如需憑證需求和程序的詳細資訊,請參閱《ISAServer2004的數位憑證》(DigitalCertificatesforISAServer2004),網址為:http://www.
microsoft.
com/technet/prodtechnol/isa/2004/plan/digitalcertificates.
mspx(英文)建立外部CommunicatorWebAccess虛擬伺服器您必須部署CommunicatorWebAccess虛擬伺服器,以便處理來自外部未受信任網路之用戶端的流量.
這個虛擬伺服器就是ISAServer2004將要發佈的網站.
遠端使用者必須輸入外部CommunicatorWebAccess網站的正確URL才能存取CommunicatorWebAccess登入頁面.
然後,使用者必須輸入網域認證才能完成表單架構驗證程序.
外部CommunicatorWebAccess虛擬伺服器會使用連接埠444,而內部虛擬伺服器則使用連接埠443.
不過您可以根據特定的部署需求,設定這些連接埠.
若要建立外部虛擬伺服器,請參閱本指南前面的一節.
請將連接埠號碼指定為444.
設定ISAServer若要設定ISAServer以便協助提供安全的連線,您就必須在ISAServer上建立防火牆原則.
然後,您要使用「SSL網頁發佈」來發佈外部CommunicatorWebAccess虛擬伺服器,以便讓使用者透過網際網路存取.
設定內部網路內容按一下[開始],依序指向[程式集]、[MicrosoftISAServer],然後按一下[ISAServer管理].
展開主控台樹狀目錄中的所有節點,然後選取[網路]節點.
在詳細資料窗格中,在[內部]上按一下滑鼠右鍵,然後按一下[內容].
在[內部內容]對話方塊中,按一下[網域]索引標籤.
按一下[新增].
在方塊中,輸入網域的FQDN,然後按一下[確定].
在[內部內容]對話方塊中,按一下[網頁瀏覽器]索引標籤.
選取所有核取方塊、按一下[直接存取],然後按一下[新增].
圖16:網頁瀏覽器索引標籤在[新增伺服器]對話方塊中,按一下[網域或電腦].
輸入CommunicatorWebAccessServer的FQDN,然後按一下[確定].
圖17:新增contoso.
com網域在[內部內容]對話方塊中,按一下[網頁Proxy]索引標籤.
確定[啟用網頁Proxy用戶端]和[啟用SSL]核取方塊都已選取,而且[啟用HTTP]核取方塊已清除.
在[SSL連接埠]方塊中,輸入8444,然後按一下[驗證].
在[驗證]對話方塊中,選取[整合]核取方塊,然後按一下[確定].
在[內部內容]對話方塊中,按一下[防火牆用戶端]索引標籤.
確定所有核取方塊都已選取.
在每一個[ISAServer名稱或IP位址]文字方塊中,輸入ISAServer的FQDN.
按一下[套用].
圖18:防火牆用戶端索引標籤按一下[自動探索]索引標籤.
選取[發佈自動探索資訊]核取方塊.
在方塊中輸入80,然後按一下[確定].
按一下[套用]認可所有變更.
請勿關閉主控台.
然後,您會將CommunicatorWebAccessServer發佈至外部網路,如此經過驗證和授權的用戶端才能連線至CommunicatorWebAccess.
您在下列程序中設定的「接聽程式」將會接聽連接埠443上來自外部網路(網際網路)的要求.
接著,ISA會將連接埠443上的外部流量重新導向至內部網路的連接埠444.
從ISAServer到CommunicatorWebAccessServer以及從CommunicatorWebAccessServer到ISAServer(皆為內部)的流量都位於連接埠444上.
連接埠444上源自CommunicatorWebAccessServer的遠端使用者流量則由ISA重新導向至連接埠443.
這兩種連線是獨立的.
連接埠443上從遠端使用者到ISAServer的連線會在ISAServer終止.
如果遠端使用者順利通過驗證,原始連線中的訊息就會進行檢查、重建並透過ISAServer與CommunicatorWebAccessServer之間的新連線傳送至CommunicatorWebAccess.
從CommunicatorWebAccess預定傳送至遠端使用者的流量則會在ISAServer終止、重建並透過ISAServer建立的新連線傳送至遠端使用者.
遠端使用者和CommunicatorWebAccessServer之間並沒有任何直接的連線,其間的連線是使用「SSL網頁發佈」由ISAServer2004StandardEdition所發佈,並且雙向存在:ISAServer會做為Proxy伺服器.
設定ISAServer2004SP1StandardEdition以發佈CommunicatorWebAccess在[ISAServer管理]主控台樹狀目錄中,按一下[防火牆原則].
在[工作]索引標籤中,按一下[發佈安全的網頁伺服器].
在精靈的[歡迎]頁面中,於[SSL網頁發佈規則名稱]中輸入規則名稱.
在[發佈模式]頁面中,按一下[SSL橋接].
在[選取規則動作]頁面上,按一下[允許],然後按[下一步].
在[橋接模式]頁面中,按一下[到用戶端和網頁伺服器的安全連線],然後按[下一步].
在[定義要發佈的網站]頁面上,您可以使用CommunicatorWebAccessServer的FQDN或IP位址.
在[電腦名稱或IP位址]方塊中,輸入CommunicatorWebAccessServer的FQDN.
確定[轉寄原始主機標頭而非實際的標頭(指定如上)]核取方塊已清除.
確定[路徑]方塊是空白的,然後按[下一步].
注意如果您使用FQDN來定義CommunicatorWebAccessServer,請確定該FQDN可以解析成伺服器的IP位址.
在[公用名稱詳細資料]頁面中,選取[為右列接受要求]方塊中的[這個網域名稱(在下方鍵入)].
在[公用名稱]方塊中,輸入遠端用戶端將用來存取CommunicatorWebAccessServer的名稱.
確定[路徑]方塊是空白的.
按[下一步].
注意您在[公用名稱]中輸入的路徑必須是根網站目錄.
CommunicatorWebAccess並不支援將CommunicatorWebAccess網站發佈為另一個網站的子目錄.
在[選取網頁接聽程式]頁面上,按一下[新增].
在[建立新網頁接聽程式精靈]的[歡迎]頁面上,於[網頁接聽程式名稱]方塊中,輸入遠端用戶端將用來存取CommunicatorWebAccessServer的名稱,然後按[下一步].
在[IP位址]頁面上,選取[外部]前面的核取方塊,並確定所有其他核取方塊都已清除,如此網頁接聽程式將僅接聽來自外部網路的流量.
按一下[位址].
按一下[接聽位於以下的要求]下方的[ISAServer電腦上位於所選網路中的指定IP位址].
在[可用的IP位址]下方,按一下ISA外部網路介面卡的IP位址.
依序按一下[新增]、[確定]以及[下一步].
在[連接埠規格]頁面上,清除[啟用HTTP]核取方塊、選取[啟用SSL]核取方塊,並確定[SSL連接埠]方塊中的號碼是443.
按一下[選擇].
在[選取憑證]頁面上,選取SSL憑證.
憑證上的一般名稱必須與公用名稱相符.
這個名稱就是遠端使用者將用來連線至內部網路上發佈之CommunicatorWebAccessServer的URL.
按一下[確定].
注意在實際執行環境中,我們建議您不要針對外部和內部連線使用相同的URL.
在[連接埠規格]頁面上,按[下一步].
在[正在完成新網頁接聽程式精靈]上,按一下[完成].
在[選取網頁接聽程式]頁面上,確認網頁接聽程式的內容,然後按[下一步].
在[使用者組]頁面上,按[下一步]接受[所有使用者]的預設值.
在[正在完成新SSL網頁發佈規則精靈]上,按一下[完成].
在ISA管理主控台中,按一下[套用]認可您所做的變更.
在[套用新設定]確認方塊中,按一下[確定].
在ISA管理主控台中,[防火牆原則]索引標籤應該會包含名為[imserver.
contoso.
com]的規則1和[最後一個預設規則].
至此,您已經擁有兩部虛擬伺服器:CommunicatorWebAccess_Internal和CommunicatorWebAccess_External.
CommunicatorWebAccess_External是由ISAServer2004進行SSLWeb發佈的.
CommunicatorWebAccess_Internal可從SSL連接埠443存取,而CommunicatorWebAccess_External則可從SSL連接埠444存取.
在內部網路中具備存取兩部虛擬伺服器之使用權限的電腦上,連接埠444必須指定為存取外部網站.
連接埠443是預設值,不需要指定為存取內部網站.
接著,您將設定ISA以便自動重新導向公用URL的遠端使用者流量至連接埠444的外部虛擬伺服器,如此使用者就不需要指定連接埠444.
這是一項必要的步驟,如此ISAServer才會將要求導向至連接埠443(預設是由內部虛擬伺服器所使用).
基於安全性的理由,請務必隔離內部伺服器與外部伺服器.
在您自動重新導向遠端使用者流量後,內部和遠端使用者就可以使用相同的URL連線至CommunicatorWebAccessServer.
CommunicatorWebAccess會永遠將指定的使用者導向至正確連接埠的適當虛擬伺服器.
將ISA設定為重新導向外部要求至內部連接埠444按一下[開始]、指向[程式集]、再指向[MicrosoftISAServer],然後按一下[ISAServer管理].
在[ISAServer管理]主控台樹狀目錄中,按一下[防火牆原則]節點.
在詳細資料窗格中,在對應於CommunicatorWebAccessServer的防火牆原則上按一下滑鼠右鍵,然後按一下[內容].
在[內容]頁面上,按一下[橋接]索引標籤.
在[橋接]索引標籤中,按一下[網頁伺服器]、清除[將要求重新導向至HTTP連接埠]核取方塊、選取[將要求重新導向至SSL連接埠]核取方塊,並在右邊的方塊中輸入444.
在此頁面中,您不需要選取憑證.
按一下[確定].
在[ISAServer管理]主控台中,按一下[套用]認可您所做的變更.
在[套用新設定]確認方塊中,按一下[確定].
使用遠端用戶端來測試這項設定.
在用戶端上,於瀏覽器中輸入URIhttps://.
在[安全性警訊]對話方塊中,按一下[是].
然後您應該會看見「表單架構」的CommunicatorWebAccess登入頁面.
圖19:表單架構的CommunicatorWebAccess登入登入CommunicatorWebAccess後,應該就會顯示主要CommunicatorWebAccess用戶端視窗.
管理和作業本節將描述管理、設定和監視CommunicatorWebAccess的選項.
管理CommunicatorWebAccessServer本節將說明如何從CommunicatorWebAccessServer或遠端電腦使用CommunicatorWebAccessManager來管理一部或多部CommunicatorWebAccessServer.
當您連線至實體CommunicatorWebAccessServer後,與伺服器相關的資訊(包括它所包含的虛擬伺服器數目)就會顯示在CommunicatorWebAccessManager的詳細資料窗格中.
您可以使用CommunicatorWebAccessManager來設定實體伺服器和虛擬伺服器的內容.
您可以從CommunicatorWebAccessManager進行下列任何一項作業:連線至實體伺服器.
與伺服器中斷連線.
停用伺服器,然後再從服務中將它移除.
建立新的Web存取伺服器(虛擬伺服器).
您也可以在虛擬伺服器上採取下列動作:啟動、停止和重新啟動虛擬伺服器.
匯入或匯出虛擬伺服器設定的組態檔.
重新整理虛擬伺服器.
刪除虛擬伺服器.
此外,您還可以設定驗證和連線內容.
安裝CommunicatorWebAccess時,伺服器上就會自動安裝CommunicatorWebAccessManager.
您也可以開啟部署工具並選取最後一個選項[安裝CommunicatorWebAccessManager],藉以在遠端電腦上安裝此管理工具.
如需部署工具的詳細資訊,請參閱本指南前面的一節.
CommunicatorWebAccessManager可在下列任何作業系統上執行:WindowsXPProfessionalEditionWindowsServer2003StandardEditionWindowsServer2003EnterpriseEdition所有Windows2000版本皆不支援CommunicatorWebAccessManager.
在CommunicatorWebAccess的安裝過程中,也會安裝MicrosoftManagementConsole的CommunicatorWebAccess嵌入式管理單元.
如果您的組織具有多位系統管理員,您就可以建立含有此嵌入式管理單元的主控台,並將.
msc檔重新散佈給具備唯讀存取權的系統管理員.
重要您必須先在遠端電腦上安裝IISManager,然後才能安裝CommunicatorWebAccessManager.
由於只需要管理元件,所以您不需要在電腦上安裝IIS.
您可以使用[控制台]來安裝InternetInformationServicesSnap-in(WindowsXP)或InternetInformationServicesManager(WindowsServer2003),或者您也可以下載InternetInformationServices(IIS)6.
0ManagerforWindowsXP.
在遠端電腦上安裝CommunicatorWebAccessManager以Administrators和DomainAdmins群組成員的身分登入伺服器.
在CommunicatorWebAccess的安裝資料夾中,執行Setup.
exe開啟[部署MicrosoftOfficeCommunicatorWebAccess]頁面.
在部署頁面上,按一下[步驟4:安裝CommunicatorWebAccess嵌入式管理單元].
在[歡迎]頁面上,按[下一步].
在[授權合約]頁面上,按一下[我接受合約],然後按[下一步].
在[已完成安裝準備工作]頁面上,接受預設位置或按一下[變更]選取其他位置,然後按[下一步].
在[已完成安裝準備工作]頁面上,按一下[安裝].
在[安裝程式完成]頁面上,按一下[完成].
連線至CommunicatorWebAccessServer在[開始]功能表上,按一下[所有程式]、按一下[系統管理工具],然後按一下[CommunicatorWebAccessManager].
在[MicrosoftOfficeCommunicatorWebAccessManager]上按一下滑鼠右鍵,然後按一下[連線].
在[電腦名稱]方塊中,輸入CommunicatorWebAccessServer的伺服器名稱、IP位址或FQDN(完整網域名稱),然後按一下[確定].
在您的登入動作經過驗證和授權後,就會顯示CommunicatorWebAccessManager.
注意如果您的使用者帳戶未經授權而無法登入CommunicatorWebAccessServer,可以用另一位使用者的身分連線,方法是選取[連線身分]核取方塊、輸入該使用者的認證,然後按一下[確定].
圖20:CommunicatorWebAccessManager停用CommunicatorWebAccessServer在CommunicatorWebAccessManager中,使用Administrators和RTCDomainServerAdmins群組成員的帳戶,連線至CommunicatorWebAccessServer.
在實體伺服器節點上按一下滑鼠右鍵,然後按一下[停用].
在[歡迎使用停用精靈]頁面上,按[下一步].
在[停用之前再檢查一下]頁面上,按[下一步].
在[停用精靈已成功完成]頁面上,按一下[完成].
管理虛擬伺服器在CommunicatorWebAccess的安裝過程中,CommunicatorWebAccess虛擬伺服器(網站)是以適當的虛擬目錄、內容和預設網站設定在IIS中建立.
預設的IIS設定列在本文件之後的一節.
若要在CommunicatorWebAccess網站上變更其中任何設定,請使用IISManager.
如需IISManager的詳細資訊,請參閱IISManager的說明文件.
CommunicatorWebAccess部署工具將僅建立第一部CommunicatorWebAccess虛擬伺服器.
例如,若要針對遠端使用者存取建立其他虛擬伺服器,您就必須使用CommunicatorWebAccessManager.
在安裝CommunicatorWebAccess後,您可以將虛擬伺服器加入至相同的CommunicatorWebAccessServer.
例如,您可以建立多部CommunicatorWebAccess虛擬伺服器,以便運用IIS6.
0所提供的伺服器隔離功能,在邏輯上隔離外部和內部使用者(即使所有流量都透過相同的實體伺服器轉送也一樣).
匯入組態檔在CommunicatorWebAccessManager中,使用Administrators和RTCDomainServerAdmins群組成員的帳戶,連線至CommunicatorWebAccessServer.
展開樹狀檢視、在伺服器FQDN節點上按一下滑鼠右鍵,然後按一下[匯入組態檔].
在[歡迎使用匯入精靈]頁面上,按[下一步].
在[選取要匯入的組態檔]頁面上,輸入包括路徑的檔案名稱,或按一下[瀏覽]輸入檔案名稱和路徑.
如果您按一下[瀏覽]按鈕,請在[開啟]頁面上,找出要匯入的.
XML檔,然後按一下[開啟].
在[選取要匯入的組態檔]頁面上,按[下一步].
在[匯入精靈已經成功完成]頁面上,按一下[完成].
在CommunicatorWebAccessManager中,在虛擬伺服器節點上按一下滑鼠右鍵,然後按一下[內容].
按一下[連線]索引標籤.
在[伺服器憑證]下方,如果已選取[HTTPS(建議選項)],請按一下[選取憑證],然後選取要用於HTTPS的「網頁伺服器」憑證.
匯出組態檔在CommunicatorWebAccessManager中,使用Administrators和RTCDomainServerAdmins群組成員的帳戶,連線至CommunicatorWebAccessServer.
展開樹狀檢視、在Web存取伺服器節點上按一下滑鼠右鍵,然後按一下[匯出組態檔].
在[歡迎使用匯出精靈]頁面上,按[下一步].
在[選取要匯出的組態檔]頁面上,輸入包括路徑的檔案名稱,或按一下[瀏覽]輸入檔案名稱和路徑.
如果您按一下[瀏覽]按鈕,請在[開啟]頁面上,找出要匯入的.
XML檔,然後按一下[開啟].
在[選擇目的地資料夾]頁面上,按[下一步].
在[匯出精靈已經成功完成]頁面上,按一下[完成].
虛擬伺服器內容當您在樹狀檢視窗格中,在[MicrosoftOfficeCommunicatorWebAccessServer]節點上按一下滑鼠右鍵時,CommunicatorWebAccessManager就會顯示含有三個設定索引標籤的內容表單:一般驗證連線圖21:一般索引標籤在[一般]索引標籤中,[LiveCommunicationsServer]方塊會顯示應該從CommunicatorWebAccess使用者接收流量之LiveCommunicationsServer的FQDN.
如果您將此方塊保持空白(大部分部署的建議設定),CommunicatorWebAccess將會判斷每位使用者的LiveCommunicationsServer主伺服器並依此轉送流量.
如果您想要透過指定的LiveCommunicationsServer轉送使用者流量,請在此方塊中輸入LiveCommunicationsServer的FQDN(完整網域名稱).
例如,您可能只想要封存遠端使用者的流量.
如果是這種情況,您就會針對外部流量部署LiveCommunicationsServerDirector並啟用封存.
當您設定CommunicatorWebAccess外部虛擬伺服器後,您會使用此方塊來指定Director的FQDN.
圖22:驗證索引標籤在[驗證]索引標籤中,您可以設定外部網站的公用和私用逾時.
基於安全性的理由,您可能會想要將外部網站逾時設定為短於預設的內部網站逾時.
減少逾時可協助降低未經驗證使用者找到自動驗證工作階段的風險.
自動驗證工作階段可能是由於某位使用者在外部公用電腦上離開經過驗證的工作階段所造成.
目前国内云计算市场竞争异常激烈,尤其是国内的腾讯云、阿里云、景安等商家促销活动一波接一波的进行,对于有需要的用户确实得到不小的实惠。但是这样给予国内的主机商确实是比较大的打击,毕竟这些商家的背景和实例强劲,即便是贴本补贴优惠,也是不怕的。前两年阿里一家各种活动促销,确实在国内市场占据主要的市场地位,腾讯云开始两年没有较大的吸引用户,不过这两年的发展还是比较稳健的。我们很多网友在之前肯定也享受到一些...
如今我们很多朋友做网站都比较多的采用站群模式,但是用站群模式我们很多人都知道要拆分到不同IP段。比如我们会选择不同的服务商,不同的机房,至少和我们每个服务器的IP地址差异化。于是,我们很多朋友会选择美国多IP站群VPS商家的产品。美国站群VPS主机商和我们普通的云服务器、VPS还是有区别的,比如站群服务器的IP分布情况,配置技术难度,以及我们成本是比普通的高,商家选择要靠谱的。我们在选择美国多IP...
georgedatacenter怎么样?GeorgeDatacenter是一家2017年成立的美国商家,正规注册公司(REG: 10327625611),其实是oneman。现在有优惠,有几款特价VPS,基于Vmware。支持Paypal付款。GeorgeDatacenter目前推出的一款美国vps,2核/8GB内存/250GB NVMe空间/2TB流量/1Gbps端口/Vmware/洛杉矶/达拉...