Установка служб сертификатов Active Directory Certificate Services
Хотя это, в общем-то не является требованием, службы AD CS (Active Directory Certificate Services) помогают в управлении сертификатами на внутренних серверах. AD CS является основой для PKI (Public Key Infrastructure), которую в производственной среде необходимо планировать, защищать и создавать должным образом. В этом цикле статей мы установим корневой центр сертификации предприятия (Enterprise root Certification Authority), и этот тип ЦС использует Active Directory для управления сертификатами. Все машины, входящие в наш домен, будут признавать сертификаты, изданные этим ЦС. Для установки AD CS в Windows Server 2008 нужно выполнить следующие шаги:
- Открываем Диспетчер сервера (Server Manager).
- Выбираем Роли (Roles).
- Выбираем команду Добавить роли (Add Roles).
- На странице Before You Begin нажимаем Далее (Next).
- На странице Выбор ролей сервера (Select Server Roles) выбираем Active Directory Certificate Services из списка и нажимаем Далее (рисунок 01).
Рисунок 1
- На вводной странице Introduction to Active Directory Certificates Services нажимаем Далее.
- На странице Выбор сервисов роли (Select Role Services) выбираем Центр сертификации (Certification Authority) и Регистрация ЦС через интернет (Certification Authority Web Enrollment) (рисунок 02). Здесь мастер спросит вас о требуемых функциях, как показано на рисунке 03, нажмите Добавить необходимые функции роли (Add Required Role Features) и затем нажмите Далее.
Рисунок 2
Рисунок 3
- На странице Укажите тип установки (Specify Setup Type) выбираем опцию Enterprise и нажимаем Далее.
- На странице Укажите тип ЦС (Specify CA Type) выбираем Корневой ЦС (Root CA) и жмем Далее.
- На странице Установка закрытого ключа (Set up Private Key) выбираем элемент Создать новый закрытый ключ (Create a new private key) и нажимаем Далее.
- На странице Настройка криптографии для ЦС (Configure Cryptography for CA) оставляем значения по умолчанию и нажимаем Далее.
- На странице Настройки ЦС имени (Configure CA Name) нужно указать имя нашего центра сертификации, которое будет отображаться, когда мы попытаемся создать онлайн запрос сертификата во время установки OCS. Значение по умолчанию будет <NetBIOS-name-of-the-domain>-<Server-Name>-CA. Нажимаем Далее.
- На странице Настройка срока действия (Set Validity Period) мы можем указать, в течение какого срока сертификат, изданный этим ЦС, будет действителен. Следует помнить, что ЦС может издавать сертификаты только в том случае, если его собственный сертификат действителен. По умолчанию срок действия составляет 5 лет. Нажимаем Далее.
- На странице Настройка базы данных сертификатов (Configure Certificate Database) мы можем указать место, где будут храниться логи и база данных ЦС, просто нажимаем Далее.
- Страница Web Server (IIS) была добавлена, так как мы выбрали опцию регистрации по интернету (Web Enrollment) в процессе установки ЦС. Нажимаем Далее.
- На странице Выбор сервисов роли (Select Role Services) оставляем умолчания и жмем Далее.
- На странице Подтверждение выбранных параметров установки (Confirm Installation Selections) появится сводная информация о всех выбранных нами параметрах настройки, нажимаем Установить (Install), чтобы начать процесс инсталляции (рисунок 04).
Увеличить
Рисунок 4
- На странице Результаты установки (Installation Results) мы видим результаты процесса установки обеих ролей (Certificate Services и IIS), как показано на рисунке 05. На данном этапе мы можем открыть http://<Server-Name>/CertSrv и увидим страницу Microsoft Active Directory Certificate Services.
Рисунок 5
Брандмауэр Windows
В этом сценарии мы воспользуемся брандмауэром Windows Firewall, который будет постоянно включен, как показано на рисунке 06. Очень важно держать его включенным во время процесса установки серверов Exchange Server и OCS, поскольку процесс установки автоматически создаст исключения брандмауэра в качестве части инсталляции.
Увеличить
Рисунок 6
Настройка DNS
К данному моменту вы уже должны знать, что сердцевиной Unified Communications является Active Directory, которая зависит от DNS. Вы также должны знать, что технологии унифицированного обмена сообщениями Unified Communications используют множество сертификатов. Существует множество различных типов сертификатов и масса способов их установки в организации. В этой статье мы все предельно упростим и попытаемся свести к минимуму количество используемых сертификатов, мы будем использовать SAN (Subject Alternative Name) сертификат и настроим раздельную (split) DNS в нашей внутренней Active Directory.
Раздельная DNS – это простая конфигурация, где ваше внешнее DNS имя имеет свою зону внутренне. Допустим, внешнее имя нашей компании будет AndersonPatricio.org, и у нас есть зона, расположенная во внешней DNS, и эта зона содержит несколько элементов хоста, таких как: www, autodiscover и mail. Внутреннее Active Directory FQDN имя этой компании настроено на apatricio.local. Раздельная DNS конфигурация действительно проста, нам лишь нужно создать andersonpatricio.org зону на наших внутренних DNS серверах, что означает, что на все запросы к домену andersonpatricio.org будет отвечать внутренний сервер, а не внешний, и по этой причине нам нужно отследить все элементы хостов во внешней зоне и создать их во внутренней зоне.
Прежде всего, хотя это и не космическая технология, некоторые администраторы до сих пор не любят использовать раздельную DNS конфигурацию в своей среде, здесь лишь нужно убедиться в том, что при каждом обновлении внешних записей они обновляются и на внутренних DNS серверах, в противном случае у вас может возникнуть странная ситуация, в которой внешние пользователи смогут открывать веб страницы компании, а внутренние не смогут. То же самое происходит и с новыми сервисами, установленными внутренне. Если эти сервисы будут использоваться внешне, необходимо обновить ваши внешние DNS зоны. Если говорить коротко: убедитесь, что у Внешних и Внутренних DNS зон записи совпадают.
В этой статье мы создадим всего одну зону, SRV и специальные записи, требуемые для автоматического входа Office Communicator, будут рассмотрены в следующей части, где мы поговорим о процессе входа Office Communicator. Чтобы создать внешнюю зону, нужно выполнить следующие шаги:
- Открываем DNS Manager.
- Разворачиваем <Server-Name>.
- Нажимаем правой клавишей на Forward Lookup Zones и выбираем New Zone'
- На приветственной странице мастера Welcome to the New Zone Wizard нажимаем Далее.
- На странице Тип зоны (Zone Type) выбираем Основная зона (Primary zone), а также отмечаем опцию Хранить зону в Active Directory (Store the zone in Active Directory), затем жмем Далее (рисунок 7).
Рисунок 7
- На странице Active Directory Zone Replication Scope выбираем второй элемент На всех DNS серверах этого домена: «имя вашего домена» (To all DNS servers in this domain: <Your-domain-name>) и жмем Далее. Если выбрать эту опцию, то любой новый контроллер домена, добавленный позже, будет получать ту же информацию зоны, поэтому от администраторов не потребуется дополнительных действий на репликацию зоны среди DNS серверов.
- На странице Имя зоны (Zone Name) вводим внешнее имя домена, в своем примере мы введем andersonpatricio.org, которое дублируется в качестве нашего внешнего домена, стандартного SIP домена и SMTP адреса для всех пользователей (рисунок 8).
Рисунок 8
- На странице Динамическое обновление (Dynamic Update) выбираем опцию Не разрешать динамическое обновление (Do not allow dynamic updates) и нажимаем Далее. Эта зона будет управляться администраторами.
- На странице завершения работы мастера Completing the New Zone Wizard нажимаем Готово (Finish).
Установка ролей и функций ОС для поддержки сервера OCS
Чтобы установить OCS 2007 R2, нужно соблюсти некоторые требования. OCS 2007 R2 требует наличия некоторых функций и ролей, чтобы выполнить весь процесс подготовки Active Directory и установки OCS с сервера OCS. Вот необходимые шаги для установки функций, требуемых для корректной работы OCS 2007 R2.
- Открываем Диспетчер сервера.
- Разворачиваем раздел Функции (Features).
- Выбираем опцию Добавить функции (Add Features).
- Разворачиваем Remote Server Administration Tools.
- Разворачиваем Role Administration Tools.
- Разворачиваем Active Directory Domain Services Tools.
- Разворачиваем Active Directory Domain Controller Tools.
IIS также должен быть установлен перед инсталляцией OCS 2007 R2, просто запустите стандартный мастер добавления ролей, используя диспетчер сервера, и убедитесь, что все элементы, отображенные на двух нижеприведенных рисунках, выбраны (рисунок 09 и 10).
Рисунок 9
Рисунок 10
Заключение
В конце четвертой части этого цикла мы вкратце рассмотрели архитектуру, планирование и теперь установку служб AD для создания нашей среды. В следующей части мы, наконец-то, войдем в область UC и начнем с процесса установки Exchange. В следующей статье я дам вам несколько советов, как сэкономить время в течение процесса установки Exchange.