좋은 글이 있다. 먼저 이걸 보면 될 듯…
|
Vendor |
Qualified Product |
Software Version Tested |
Vendor’s Skype4B Resource Page |
|
A10 Networks |
Thunder and AX Series |
2.7.1 |
|
|
F5 Networks |
Big-IP LTM |
11.0-11.4.1 |
Configuring Reverse Proxy Access to Microsoft Skype for Business Using a Big-IP LTM V.11 |
|
Citrix |
NetScaler |
10.5 |
|
|
KEMP Technologies |
LoadMaster |
7.1-18b |
|
|
Microsoft |
IIS Application Request Routing (IIS ARR) |
v2.5 |
Using IIS ARR as a Reverse Proxy for Skype for Business Server 2013 |
|
Microsoft |
Forefront Threat Management Gateway (TMG) |
2010 |
|
|
Microsoft |
Web Application Proxy (WAP) |
Windows Server 2012 R2 |
출처: <https://blogs.perficient.com/microsoft/2015/06/skype-for-business-reverse-proxy-101/>
Nick Elniff 라는 분이 잘 정리해 놓았음.
먼저 TMG(Forefront Threat Management Gateway)로 해보자. http://limcm.tistory.com/17 을 보며 따라해 봄.
IIS ARR(Internet Information Server 응용 프로그램 요청 라우팅)은 확실한 테스트를 거쳤으며 Lync Server 2010 및 Lync Server 2013의 역방향 프록시를 구현하기 위해 지원되는 옵션입니다. 2012년 11월을 기점으로 Microsoft는 ForeFront Threat Management Gateway 2010 또는 TMG의 라이선스 판매를 중단했습니다. TMG는 여전히 완벽 지원되며, 타사가 판매하는 장비를 통해 계속해서 이용할 수 있습니다. 또한 많은 타사 하드웨어 부하 분산 장치와 방화벽이 역방향 프록시 지원을 제공하고 있습니다. 역방향 프록시 기능을 제공하는 하드웨어 부하 분산 장치 및 방화벽에 대한 자세한 내용은 Lync Server에 역방향 프록시 지원을 제공하도록 제품을 구성하는 방법에 대해 공급 업체에서 제공하는 구체적인 지침을 참고하세요. 또한 Microsoft에 제품에 대한 설명서를 제출한 타사도 확인할 수 있습니다. 타사의 솔루션에 대한 지원은 타사가 제공합니다. 솔루션을 적극적으로 제공하고 있는 타사를 확인하려면 Infrastructure qualified for Microsoft Lync 를 참고하세요.
출처: <https://technet.microsoft.com/library/gg398069(v=ocs.15)>
라고 함.
Standard Edition 프런트 엔드 서버의 속성 편집
외부 웹 서비스 주소를 변경
배포 마법사에서 인증서 요청 다시 실행
왜 이렇게 적용해야 하는지 잘 모르겠다. DC의 인증을 받을 수 있는 내부라서 그런가?
일단 서버 기본값+웹 서비스 외부+OAuthTokenIssuer에 공용 인증서를 넣고, 내부에는 기존의 로컬 인증서를 적용.(원하는 것만 체크해서 지정/요청/제거 가능)
위 인증서는 공용 인증서 적용. gogetssl에서 가장 저렴한 Wildcard SSL을 2년치 구매.(약 80달러)
TMG를 설치할 머신에 내외부 vNIC을 붙여줌.
External NIC
Internal NIC(게이트웨이는 적지 않음)
역방향 프록시 네트워크 어댑터 요구 사항
- 네트워크 어댑터 1(내부 인터페이스) 예
172.25.33.40이 할당된 내부 인터페이스입니다.
기본 게이트웨이가 정의되어 있지 않습니다.
역방향 프록시 내부 인터페이스가 포함된 네트워크에서 Lync Server 프런트 엔드 풀 서버가 포함된 네트워크로의 경로(예: 172.25.33.0에서 192.168.10.0으로)가 있는지 확인합니다. - 네트워크 어댑터 2(외부 인터페이스) 예
이 네트워크 어댑터에는 최소 하나의 공용 IP 주소가 할당됩니다.
게이트웨이는 외부 경계의 통합 방화벽 또는 라우터를 가리키도록 정의됩니다(시나리오 예에서는 10.45.16.1).
출처: <https://technet.microsoft.com/ko-kr/library/jj204781(v=ocs.15)>
테크넷에서는 이렇게 알려 주네.
작업 그룹 변경
자세히…
주 DNS 접미사를 적어준다.(재부팅)
(다시 말하지만 http://limcm.tistory.com/17 을 보고 따라하는 중…)
인증서를 가져옴.
암호 입력 후 다음~
다음
추가됨.
TMG 디스크를 넣고 자동 실행(ko_forefront_threat_management_gateway_2010_enterprise_x64_dvd_469373.iso 파일을 사용함)
처음 보는 화면.
준비 도구 실행
신기한 화면이다…
Forefront TMG 서비스 및 관리… 다음
참 신기하구마잉…
아직 설치를 시작하지도 않았나 보다. 계속.
보면 볼수록 신기
설치 마법사를 계속 진행.
내부 네트워크 주소 범위 추가
계속 진행.
제법 시간이 걸렸다.
TMG 관리 실행
네트워크 설정 구성
경계면 방화벽
LAN에 연결된 네트워크 어댑터 선택(내부)
인터넷에 연결된 네트워크 어댑터(외부)
완료
시스템 설정 구성
그대로 다음
완료
이제 3번 배포 옵션 정의 선택
다음
기본값은 이런데… 그냥 진행 (TMG는 단종된 제품 – 관련글 https://support.microsoft.com/en-us/kb/2793998 )
기본값대로 진행
마침.
닫기.
웹 액세스 정책 규칙 – 아니요
맬웨어 검사 – 아니요
사용자가 HTTPS 연결을 설정하도록 허용, HTTPS 트래픽 및 HTTPS 사이트 인증서 유효성을 검사합니다
기본값대로
기본값대로…
인증서를 내보내야되네?
음… 제대로 하고 있는 건가?
캐시 드라이브 설정.
완료.
웹 사이트 게시 규칙 만들기
이름을 적고.
규칙을 만족하면 허용
단일 웹 사이트 또는 부하 분산 게시
SSL을 사용하여 게시된 웹 서버 또는 서버 팜에 연결
Skype for Business 2015 서버의 FQDN 입력
경로에 /*
토폴로지에서 변경했던 외부 사이트 이름 입력
웹 수신기 새로 만들기
웹 수신기 이름 입력
SSL 필요
외부에 체크, IP 주소 선택
인증서 선택
아까 설치한 인증서가 보인다.
인증 없음으로 진행
SSO는 비활성화 되어 있다. 그대로 진행
마침
다음
위임 안 함 – 클라이언트에서 직접 인증 선택
기본적으로 모든 사용자에게 적용됨
마침
Lync 속성 보기
브리징 탭에서 SSL 포트를 4443으로 변경
공개 이름 탭에서 필요한 사이트 주소를 적어줘야 하는데…
이 애들을 등록하면 되는 건가?
이렇게 등록함.
대상 탭에서 [내부 사이트 이름] 필드에 지정된 실제 호스트 헤더 대신 원래 호스트 헤더 전달을 체크하고, 적용한 다음, 좌측 하단의 규칙 테스트 클릭
되는구나.
적용!
처음이니까 변경 내용을 저장하고 서비스 다시 시작을 선택.
적용
음…
ipTIME 공유기 설정에서 HTTPS를 TMG의 IP로 설정하고, 443포트를 매칭해 줌
됐다!! ㅎㅎ
외부 DNS를 변경해서 그런지 바로는 동작하지 않았음. TMG 외에 다른 방법으로도 시도해봐야겠다.
