» 윈도우 서버+가상화 » Skype for Business 2015: 역방향 프록시 설정(TMG)

Skype for Business 2015: 역방향 프록시 설정(TMG)

좋은 글이 있다. 먼저 이걸 보면 될 듯…

Vendor

Qualified Product

Software Version Tested

Vendor’s Skype4B Resource Page

A10 Networks

Thunder and AX Series

2.7.1

Deployment Guides

F5 Networks

Big-IP LTM

11.0-11.4.1

Configuring Reverse Proxy Access to Microsoft Skype for Business Using a Big-IP LTM V.11

Citrix

NetScaler

10.5

Microsoft and Citrix NetScaler

KEMP Technologies

LoadMaster

7.1-18b

LoadMaster Deployment Guide

Microsoft

IIS Application Request Routing (IIS ARR)

v2.5

Using IIS ARR as a Reverse Proxy for Skype for Business Server 2013

Microsoft

Forefront Threat Management Gateway (TMG)

2010

Setting up Reverse Proxy Servers with TMG

Microsoft

Web Application Proxy (WAP)

Windows Server 2012 R2

Configuring the Windows Server 2012 Web Application Proxy as a Reverse Proxy for Skype for Business Server

출처: <https://blogs.perficient.com/microsoft/2015/06/skype-for-business-reverse-proxy-101/>

Nick Elniff 라는 분이 잘 정리해 놓았음.

먼저 TMG(Forefront Threat Management Gateway)로 해보자. http://limcm.tistory.com/17 을 보며 따라해 봄.

IIS ARR(Internet Information Server 응용 프로그램 요청 라우팅)은 확실한 테스트를 거쳤으며 Lync Server 2010 및 Lync Server 2013의 역방향 프록시를 구현하기 위해 지원되는 옵션입니다. 2012년 11월을 기점으로 Microsoft는 ForeFront Threat Management Gateway 2010 또는 TMG의 라이선스 판매를 중단했습니다. TMG는 여전히 완벽 지원되며, 타사가 판매하는 장비를 통해 계속해서 이용할 수 있습니다. 또한 많은 타사 하드웨어 부하 분산 장치와 방화벽이 역방향 프록시 지원을 제공하고 있습니다. 역방향 프록시 기능을 제공하는 하드웨어 부하 분산 장치 및 방화벽에 대한 자세한 내용은 Lync Server에 역방향 프록시 지원을 제공하도록 제품을 구성하는 방법에 대해 공급 업체에서 제공하는 구체적인 지침을 참고하세요. 또한 Microsoft에 제품에 대한 설명서를 제출한 타사도 확인할 수 있습니다. 타사의 솔루션에 대한 지원은 타사가 제공합니다. 솔루션을 적극적으로 제공하고 있는 타사를 확인하려면 Infrastructure qualified for Microsoft Lync 를 참고하세요.
출처: <https://technet.microsoft.com/library/gg398069(v=ocs.15)>

라고 함.

clip_image001

Standard Edition 프런트 엔드 서버의 속성 편집

clip_image002

외부 웹 서비스 주소를 변경

clip_image003

배포 마법사에서 인증서 요청 다시 실행

clip_image004

왜 이렇게 적용해야 하는지 잘 모르겠다. DC의 인증을 받을 수 있는 내부라서 그런가?

일단 서버 기본값+웹 서비스 외부+OAuthTokenIssuer에 공용 인증서를 넣고, 내부에는 기존의 로컬 인증서를 적용.(원하는 것만 체크해서 지정/요청/제거 가능)

clip_image005

위 인증서는 공용 인증서 적용. gogetssl에서 가장 저렴한 Wildcard SSL을 2년치 구매.(약 80달러)

clip_image006

TMG를 설치할 머신에 내외부 vNIC을 붙여줌.

clip_image007

External NIC

clip_image008

Internal NIC(게이트웨이는 적지 않음)

역방향 프록시 네트워크 어댑터 요구 사항

  • 네트워크 어댑터 1(내부 인터페이스) 예
    172.25.33.40이 할당된 내부 인터페이스입니다.
    기본 게이트웨이가 정의되어 있지 않습니다.
    역방향 프록시 내부 인터페이스가 포함된 네트워크에서 Lync Server  프런트 엔드 풀 서버가 포함된 네트워크로의 경로(예: 172.25.33.0에서 192.168.10.0으로)가 있는지 확인합니다.
  • 네트워크 어댑터 2(외부 인터페이스) 예
    이 네트워크 어댑터에는 최소 하나의 공용 IP 주소가 할당됩니다.
    게이트웨이는 외부 경계의 통합 방화벽 또는 라우터를 가리키도록 정의됩니다(시나리오 예에서는 10.45.16.1).

출처: <https://technet.microsoft.com/ko-kr/library/jj204781(v=ocs.15)>

테크넷에서는 이렇게 알려 주네.

clip_image009

작업 그룹 변경

clip_image010

자세히…

clip_image011

주 DNS 접미사를 적어준다.(재부팅)

(다시 말하지만 http://limcm.tistory.com/17 을 보고 따라하는 중…)

clip_image012

인증서를 가져옴.

clip_image013

암호 입력 후 다음~

clip_image014

다음

clip_image015

추가됨.

clip_image016

TMG 디스크를 넣고 자동 실행(ko_forefront_threat_management_gateway_2010_enterprise_x64_dvd_469373.iso 파일을 사용함)

clip_image017

처음 보는 화면.

clip_image018

준비 도구 실행

clip_image019

신기한 화면이다…

clip_image020

Forefront TMG 서비스 및 관리… 다음

clip_image021

참 신기하구마잉…

clip_image022

아직 설치를 시작하지도 않았나 보다. 계속.

clip_image023

보면 볼수록 신기

clip_image024

설치 마법사를 계속 진행.

clip_image025

내부 네트워크 주소 범위 추가

clip_image026

계속 진행.

clip_image027

제법 시간이 걸렸다.

clip_image028

TMG 관리 실행

clip_image029

네트워크 설정 구성

clip_image030

경계면 방화벽

clip_image031

LAN에 연결된 네트워크 어댑터 선택(내부)

clip_image032

인터넷에 연결된 네트워크 어댑터(외부)

clip_image033

완료

clip_image034

시스템 설정 구성

clip_image035

그대로 다음

clip_image036

완료

clip_image037

이제 3번 배포 옵션 정의 선택

clip_image038

다음

clip_image039

기본값은 이런데… 그냥 진행 (TMG는 단종된 제품 – 관련글 https://support.microsoft.com/en-us/kb/2793998 )

clip_image040

기본값대로 진행

clip_image041

마침.

clip_image042

닫기.

clip_image043

웹 액세스 정책 규칙 – 아니요

clip_image044

맬웨어 검사 – 아니요

clip_image045

사용자가 HTTPS 연결을 설정하도록 허용, HTTPS 트래픽 및 HTTPS 사이트 인증서 유효성을 검사합니다

clip_image046

기본값대로

clip_image047

기본값대로…

clip_image048

인증서를 내보내야되네?

clip_image049

음… 제대로 하고 있는 건가?

clip_image050

캐시 드라이브 설정.

clip_image051

완료.

clip_image052

웹 사이트 게시 규칙 만들기

clip_image053

이름을 적고.

clip_image054

규칙을 만족하면 허용

clip_image055

단일 웹 사이트 또는 부하 분산 게시

clip_image056

SSL을 사용하여 게시된 웹 서버 또는 서버 팜에 연결

clip_image057

Skype for Business 2015 서버의 FQDN 입력

clip_image058

경로에 /*

clip_image059

토폴로지에서 변경했던 외부 사이트 이름 입력

clip_image060

웹 수신기 새로 만들기

clip_image061

웹 수신기 이름 입력

clip_image062

SSL 필요

clip_image063

외부에 체크, IP 주소 선택

인증서 선택

clip_image066

아까 설치한 인증서가 보인다.

clip_image067

인증 없음으로 진행

clip_image068

SSO는 비활성화 되어 있다. 그대로 진행

clip_image069

마침

clip_image070

다음

clip_image071

위임 안 함 – 클라이언트에서 직접 인증 선택

clip_image072

기본적으로 모든 사용자에게 적용됨

clip_image073

마침

clip_image074

Lync 속성 보기

clip_image075

브리징 탭에서 SSL 포트를 4443으로 변경

clip_image076

공개 이름 탭에서 필요한 사이트 주소를 적어줘야 하는데…

clip_image077

이 애들을 등록하면 되는 건가?

clip_image078

이렇게 등록함.

clip_image079

대상 탭에서 [내부 사이트 이름] 필드에 지정된 실제 호스트 헤더 대신 원래 호스트 헤더 전달을 체크하고, 적용한 다음, 좌측 하단의 규칙 테스트 클릭

clip_image080

되는구나.

clip_image081

적용!

clip_image082

처음이니까 변경 내용을 저장하고 서비스 다시 시작을 선택.

clip_image083

적용

clip_image084

음…

clip_image085

ipTIME 공유기 설정에서 HTTPS를 TMG의 IP로 설정하고, 443포트를 매칭해 줌

clip_image086

됐다!! ㅎㅎ

clip_image087

외부 DNS를 변경해서 그런지 바로는 동작하지 않았음. TMG 외에 다른 방법으로도 시도해봐야겠다.

이것도 살펴보세요!

Azure Cloud Shell(Linux Bash)

에헹? Azure Portal에서 Linux Bash가? 콘솔 버튼이 생겼다! 아마 Bash or PowerShell로 적용 가능할 것 …

답글 남기기

이메일은 공개되지 않습니다. 필수 입력창은 * 로 표시되어 있습니다.