Microsoft Office Communicator Web Access Planning and
Werbung
Handbuch für die Planung und Bereitstellung von Microsoft Office Communicator Web Access 1 Handbuch für die Planung und Bereitstellung von Microsoft Office Communicator Web Access Veröffentlicht: Dezember 2005 2 Handbuch für die Planung und Bereitstellung von Microsoft Office Communicator Web Access Die in diesen Unterlagen enthaltenen Angaben und Daten, u. a. URLs und weitere Internet-Websiteverweise, können ohne vorherige Ankündigung geändert werden. Die in den Beispielen verwendeten Namen von Firmen, Organisationen, Produkten, Domänen, Personen, Orten, Ereignissen sowie E-Mail-Adressen und Logos sind frei erfunden, soweit nichts anderes angegeben ist. Jede Ähnlichkeit mit tatsächlichen Firmen, Organisationen, Produkten, Domänennamen, Personen, Orten, Ereignissen, E-Mail-Adressen und Logos ist rein zufällig. Die Benutzer/innen sind verpflichtet, sich an alle anwendbaren Urheberrechtsgesetze zu halten. Unabhängig von der Anwendbarkeit der entsprechenden Urheberrechtsgesetze darf ohne ausdrückliche schriftliche Erlaubnis der Microsoft Corporation kein Teil dieses Dokuments für irgendwelche Zwecke vervielfältigt oder in einem Datenempfangssystem gespeichert oder darin eingelesen werden, unabhängig davon, auf welche Art und Weise oder mit welchen Mitteln (elektronisch, mechanisch, durch Fotokopieren, Aufzeichnen usw.) dies geschieht. Microsoft kann Inhaber von Patenten oder Patentanträgen, Marken, Urheberrechten oder anderem geistigen Eigentum sein, die den Inhalt dieses Dokuments betreffen. Die Bereitstellung dieses Dokuments gewährt keinerlei Lizenzrechte an diesen Patenten, Marken, Urheberrechten oder anderem geistigen Eigentum, es sei denn, dies wurde ausdrücklich durch einen schriftlichen Lizenzvertrag mit der Microsoft Corporation vereinbart. © 2006 Microsoft Corporation. Alle Rechte vorbehalten. Microsoft, Active Directory, Windows, Windows NT und Windows Server sind entweder eingetragene Marken oder Marken der Microsoft Corporation in den USA und/oder anderen Ländern. In diesem Dokument aufgeführte Namen tatsächlicher Firmen und Produkte sind möglicherweise Marken der jeweiligen Eigentümer. Handbuch für die Planung und Bereitstellung von Microsoft Office Communicator Web Access 3 Inhalt Inhalt............................................................................................................................................. 3 Einführung .................................................................................................................................... 5 Übersicht ...................................................................................................................................... 5 Communicator Web Access .................................................................................................. 5 Communicator Web Access und Communicator 2005 im Vergleich ........................... 6 Referenzarchitektur .............................................................................................................. 9 Andere Komponenten einer Communicator Web Access-Bereitstellung ...........................................................................................10 Planung ......................................................................................................................................12 Überlegungen zu Active Directory .......................................................................................12 Unterstützte Topologien ......................................................................................................12 Referenztopologie .........................................................................................................12 Colocation mit Live Communications Server ...............................................................13 Topologien mit mehreren Domänen ............................................................................13 Topologien mit mehreren Gesamtstrukturen ..............................................................13 Interner und externer Webzugriff auf einem einzelnen Server ..................................14 Zweigstellentopologien .................................................................................................15 Föderation .....................................................................................................................15 Anforderungen für Communicator Web Access .................................................................16 Unterstützte Serverbetriebssysteme ...........................................................................17 Unterstützte Clientbetriebssysteme .............................................................................18 Unterstützte Clientbrowser ...........................................................................................18 Clientinteroperabilität ...................................................................................................18 Serveranforderungen ....................................................................................................19 Serverhardwareanforderungen ....................................................................................20 Zusätzliche Informationen zur Infrastruktur ................................................................21 Planen von Zertifikaten .......................................................................................................21 Planen von Communicator Web Access-Zertifikaten ..................................................21 Planen von Live Communications Server-Zertifikaten ................................................23 Planen von Zertifikaten für Hardwaresysteme zum Lastenausgleich ....................................................................................................23 Planen von ISA Server 2004 SP1-Zertifikaten ............................................................23 Authentifizierung und Autorisierung ...................................................................................24 Popupblocker ................................................................................................................25 Cookies ..........................................................................................................................25 Planen der Kapazität ...........................................................................................................25 Erhöhen der Kapazität ..................................................................................................25 Überlegungen zur Leistung ...........................................................................................26 Verfügbarkeitsplanung ........................................................................................................27 Planen für hohe Verfügbarkeit .....................................................................................27 Lastenausgleich ............................................................................................................29 4 Handbuch für die Planung und Bereitstellung von Microsoft Office Communicator Web Access Planen der Notfallwiederherstellung ..................................................................................34 Standbywiederherstellungsserver ................................................................................35 Übertragung des Dienstes von einem ausgefallenen Server auf einen Standbyserver ...................................................................................35 Bereitstellung .............................................................................................................................36 Übersicht über das Setup von Communicator Web Access ..............................................36 Vorbereitung ........................................................................................................................37 Vorbereiten des Servers für die Installation ................................................................37 Vorbereiten der Zertifikate für Communicator Web Access .......................................38 Installieren von Communicator Web Access .....................................................................40 Installieren von Communicator Web Access mithilfe der Bereitstellungstools .........41 Erstellen weiterer virtueller Server ...............................................................................45 Installieren von Communicator Web Access mithilfe der Befehlszeile .............................................................................................................47 Vorbereiten der Clients und Anmelden bei Communicator Web Access ...............................................................................................47 Anmelden bei Communicator Web Access ..................................................................48 JavaScript-Signierung für die Browser Mozilla und Firefox .........................................50 Konfigurieren der Suche .....................................................................................................52 Suchergebnisse.............................................................................................................53 Manuelles Konfigurieren der Attributreplikation auf dem globalen Katalogserver ..54 Konfigurieren von ISA Server 2004 SP1 ............................................................................55 Voraussetzungen ..........................................................................................................56 Installieren von ISA Server 2004 SP1 .........................................................................58 Konfigurieren von Zertifikaten auf der ISA Server-Firewall ........................................59 Erstellen des externen virtuellen Servers für Communicator Web Access .........................................................................................59 Konfigurieren von ISA Server .......................................................................................59 Verwaltung und Bedienung .......................................................................................................65 Verwalten des Communicator Web Access-Servers ..........................................................65 Verwalten virtueller Server ...........................................................................................67 Überwachungsmaßnahmen................................................................................................71 Entfernen von Communicator Web Access ........................................................................73 Anhänge .....................................................................................................................................74 Anhang 1: Konten ................................................................................................................74 Von Communicator Web Access-Setup erstellte Konten ............................................74 Administratorgruppen ...................................................................................................74 Anhang 2: Ermöglichen der Aktivierung ohne Anmeldung als Domänenadministrator ..74 Anhang 3: WMI-Einstellungen .............................................................................................77 Anhang 4: Konfigurieren von IIS 6.0 ..................................................................................79 Handbuch für die Planung und Bereitstellung von Microsoft Office Communicator Web Access 5 Einführung Microsoft® Office Communicator Web Access ist ein browserbasierter Client für Microsoft Office Live Communications Server 2005 mit SP1. Live Communications Server bietet ein stabiles, erweiterbares Sofortnachrichtensystem für Unternehmen und eine Plattform zur Verwaltung des Anwesenheitsstatus auf Basis der Standards SIP (Session Initiation Protocol) und SIMPLE (SIP IM and Presence Leveraging Extensions). Dieses Handbuch unterstützt Sie bei der Planung und Bereitstellung von Communicator Web Access in Ihrer Organisation. Folgende Themen werden behandelt: Evaluieren Ihrer Umgebung für die Bereitstellung und Verwendung von Communicator Web Access Netzwerkinfrastruktur, Hardware und Überlegungen zur Administration Überlegungen zum Entwurf eines höchst zuverlässigen, stets verfügbaren Communicator Web AccessSofortnachrichtensystems unter Berücksichtigung von Leistungsoptimierung, Sicherheit und Kapazitätsplanung Schritte zur Installation und Konfiguration des Communicator Web Access-Servers sowie zur Vorbereitung der Clients Verwaltungs- und Bedienungsoptionen sowie Überwachungsmöglichkeiten Dieses Handbuch setzt voraus, dass Live Communications Server 2005 SP1 bereits installiert ist. Ausführliche Informationen finden Sie in der technischen Dokumentation zu Live Communications Server 2005 unter http://office.microsoft.com/de-de/FX010908711031.aspx. Übersicht Anwesenheitserkennung ist die Fähigkeit, die Verfügbarkeit anderer Benutzer auf mindestens einem Gerät zu erkennen. Mithilfe von Live Communications Server 2005 können Unternehmen mit zehntausenden von Benutzern Anwesenheitsinformationen und Sofortnachrichten verfolgen und verwalten. Die Anwesenheit eines Benutzers wird mit einem Status wie „Online“, „Abwesend“ oder „Beschäftigt“ angegeben. Mehr als andere Faktoren haben Anwesenheitsinformationen dazu beigetragen, dass Sofortnachrichtendienste unentbehrlich geworden sind. Darüber hinaus kann Ihre Organisation mithilfe der Föderationsfeatures in Live Communications Server Sofortnachrichten und Anwesenheitsinformationen auch für Remotebenutzer sowie vertrauenswürdige Kunden, Lieferanten und Partner verfügbar machen. Mit Communicator Web Access können Mitarbeiter an einem Remotestandort in Echtzeit mit ihren Kollegen am Hauptsitz zusammenarbeiten, ohne ein virtuelles privates Netzwerk (VPN) einrichten zu müssen. In diesem Abschnitt wird Communicator Web Access beschrieben. Ferner werden die beiden Live Communications Server 2005-Clients, Communicator Web Access und Microsoft Office Communicator 2005, miteinander verglichen. Außerdem wird eine Referenzarchitektur zur Unterstützung von Communicator Web Access in einer bestehenden Bereitstellung von Live Communications Server 2005 mit SP1 vorgestellt. Communicator Web Access Microsoft Office Communicator Web Access ermöglicht den Zugriff auf Sofortnachrichten und Anwesenheitsfeatures in Live Communications Server über einen Webbrowser, also ohne Clientsoftware oder eine VPN-Verbindung. Die Benutzer können entweder innerhalb des Unternehmensnetzwerks oder über das Internet auf Communicator Web Access zugreifen, indem sie einfach in einem unterstützten Webbrowser einen URI (Uniform Resource Identifier), z. B. imserver.contoso.com, eingeben. Eine Liste der unterstützten Browser finden Sie weiter hinten in diesem Handbuch unter „Unterstützte Clientbrowser“. 6 Handbuch für die Planung und Bereitstellung von Microsoft Office Communicator Web Access Communicator Web Access bietet die folgenden Features: Webzugriff – Benutzer können über einen beliebigen unterstützten Webbrowser auf die Sofortnachrichtenund Anwesenheitsfeatures in Live Communications Server 2005 SP1 zugreifen. Sofortnachrichten – Communicator Web Access-Benutzer können eine Sofortnachrichtenunterhaltung mit einer beliebigen Anzahl anderer Benutzer in der Organisation initiieren. Anwesenheit – Communicator Web Access-Benutzer können den Status anderer SIP-Benutzer feststellen und ihre eigenen Anwesenheitsinformationen aktualisieren. Persönliche Notizen – Ein Benutzer kann eine persönliche Notiz veröffentlichen, die neben den entsprechenden Anwesenheitsinformationen angezeigt wird. Umfassende Kontaktverwaltung – Benutzer können Kontakte einer Kontaktliste hinzufügen, Kontakte markieren, um bei einer Änderung des Anwesenheitsstatus dieser Kontakte benachrichtigt zu werden, und die Kontakte in der Liste gruppieren. Föderation – Wenn die Föderation in Microsoft Office Live Communications Server 2005 mit SP1 aktiviert wurde, können Communicator Web Access-Benutzer den Anwesenheitsstatus von Benutzern in externen Organisationen anzeigen und Sofortnachrichten an diese senden. Unterstützung mehrerer Browser und Betriebssysteme – Communicator Web Access kann sowohl mit Windows-basierten als auch mit nicht Windows-basierten Browsern und Betriebssystemen verwendet werden. Einzelheiten zu den unterstützten Betriebssystemen finden Sie weiter hinten in diesem Handbuch unter „Unterstützte Clientbetriebssysteme“ und „Unterstützte Clientbrowser“. Kein Installationsaufwand – Die Verbindung mit Communicator Web Access erfolgt über einen unterstützten Browser. Für die Verwendung von Communicator Web Access müssen keine ActiveXSteuerelemente installiert werden. Sicherheit durch digitale Zertifikate (MTLS/SSL) – Der HTTP-Datenverkehr sowie der Datenverkehr zwischen dem Communicator Web Access-Server und Live Communications Server kann mit SSL gesichert werden. Benutzersuche – Der Communicator Web Access-Server stellt eine Verbindung mit dem Microsoft Active Directory®-Verzeichnisdienst her. Die Suchfunktion in Communicator Web Access ermöglicht die Suche nach anderen Benutzern, die SIP-Kommunikation unterstützen. Die Suchfunktion führt eine Abfrage der lokalen Kontakte des Benutzers sowie von Active Directory durch. Im Gegensatz zu Communicator wird in Communicator Web Access jedoch keine Abfrage des Live Communications Server-Adressbuchs durchgeführt. Communicator Web Access ist ein Client für Live Communications Server 2005 mit SP1. Communicator Web Access ermöglicht den Zugriff auf die Sofortnachrichten- und Anwesenheitsfeatures von Live Communications Server über einen Webbrowser. Abgesehen von einem unterstützten Webbrowser ist keinerlei weitere Installation auf dem Client erforderlich. Communicator 2005, ein anderer Live Communications Server-Client, ist eine clientseitige Anwendung, die die Nutzung der Live Communications Server-Features für die Zusammenarbeit ermöglicht, u. a. Sofortnachrichten, Videokonferenzen, Telefonie, Anwendungsfreigabe und Dateiübertragungen. Communicator Web Access und Communicator 2005 im Vergleich Communicator Web Access ermöglicht den Zugriff auf die Sofortnachrichten- und Anwesenheitsfeatures von Live Communications Server über einen Browser. Communicator Web Access stimmt in einigen der wesentlichen Features und Konfigurationseinstellungen mit Communicator 2005 überein. In Tabelle 1 werden die Features der beiden Clients gegenübergestellt. Handbuch für die Planung und Bereitstellung von Microsoft Office Communicator Web Access 7 Tabelle 1: Die Features von Communicator 2005 und Communicator Web Access im Vergleich Feature Communicator Communicator Web Access Sofortnachrichten mit einem oder mehreren Kontakten Anwendungsfreigabe Whiteboardsitzungen Datei- oder Fotoübertragung Audiokommunikation Videokommunikation Kommunikation mit MSN®-, AOL®- und Yahoo!®- Benutzern, sofern durch die Live Communications Server-Bereitstellung der Organisation unterstützt (eigene Lizenz erforderlich) Kommunikation mit über Live Communications Server föderierten Organisationen 1 Kalenderinformationen („Frei“ oder „Beschäftigt“) im Status Popupbenachrichtigung bei eingehenden Sofortnachrichten („Toast“) Persönliche Notizen 2 Automatischer Status „Abwesend“ nach einer bestimmten Zeit der Inaktivität 3 Zugriff für Benutzer außerhalb des Unternehmensnetzwerks ohne VPN-Verbindung Kein Installationsaufwand auf dem Client Unterstützung für andere Betriebssysteme und Browser 1 2 3 Informationen aus dem Outlook-Kalender eines Benutzers sind in Communicator Web Access nur verfügbar, wenn sich der Benutzer zunächst bei Communicator 2005 und dann erst bei Communicator Web Access anmeldet und dann beide Clients gleichzeitig ausführt. Sofern Communicator und Communicator Web Access gleichzeitig ausgeführt werden, wird bei aktiviertem Abwesenheits-Assistenten die Abwesenheitsnachricht des Benutzers als persönliche Notiz angezeigt, falls keine persönliche Notiz hinterlegt wurde. Wie bei anderen browserbasierten Anwendungen ist es mit Communicator Web Access nicht möglich, Aktivität in anderen Clientanwendungen zu erkennen. Setzt ein Benutzer, wenn er in Communicator Web Access gerade keine Aktivitäten durchführt, andere Anwendungen ein, wird diese Aktivität von Communicator Web Access nicht erkannt. Daher wird der Status des Benutzers nach Ablauf des von ihm festgelegten Zeitraums (standardmäßig 15 Minuten) in „Abwesend“ geändert. Die Hauptseite der beiden Clients ist sehr ähnlich: Oben wird der Benutzerstatus angegeben, darunter befindet sich ein Suchbereich und anschließend eine Kontaktliste. Ganz unten auf der Seite sind zusätzliche Kontaktinformationen verfügbar. Abbildung 1 zeigt die Hauptseiten von Communicator Web Access und Communicator. 8 Handbuch für die Planung und Bereitstellung von Microsoft Office Communicator Web Access Abbildung 1. Die Hauptseiten von Communicator Web Access und Communicator Communicator Web Access Communicator Auch die Unterhaltungsfenster weisen Ähnlichkeiten auf. Abbildung 2 zeigt die Unterhaltungsfenster von Communicator Web Access (links) und Communicator. Handbuch für die Planung und Bereitstellung von Microsoft Office Communicator Web Access 9 Abbildung 2. Die Unterhaltungsfenster von Communicator Web Access und Communicator Communicator Web Access Communicator Referenzarchitektur Communicator Web Access ist eine Erweiterung Ihrer bestehenden Bereitstellung von Live Communications Server 2005 SP1. Die Communicator Web Access-Serversoftware wird auf Servern innerhalb des Unternehmensnetzwerks installiert und so konfiguriert, dass sowohl interne Benutzer als auch Remotebenutzer Zugriffsrechte haben. Der Communicator Web Access-Server stellt die Kontaktlisten- und Sofortnachrichtenfeatures bereit. Abbildung 3 zeigt eine typische Communicator Web Access-Architektur. In dieser Architektur stellen Remotebenutzer eine Verbindung über das Internet her, indem sie einen URI wie https://<Servername>.contoso.com eingeben. Die Firewall leitet den eingehenden Datenverkehr an den Communicator Web Access-Server bzw. das Serverarray weiter. Dieser bzw. dieses stellt wiederum eine Verbindung mit Live Communications Server her, um die Anwesenheits- und Sofortnachrichtenfeatures bereitzustellen. 10 Handbuch für die Planung und Bereitstellung von Microsoft Office Communicator Web Access Abbildung 3: Communicator Web Access-Architektur Abbildung 3 zeigt, wie interne Benutzer eine Verbindung mit dem internen Communicator Web AccessServerarray herstellen, das sich hinter einem System zum Lastenausgleich befindet. Der Pool bzw. das System zum Lastenausgleich kann in weniger aufwändigen Bereitstellungen durch einen einzelnen Server ersetzt werden. Interne Benutzer werden von Remotebenutzern physisch getrennt, indem ein interner und ein externer Pool für interne bzw. externe Anforderungen bereitgestellt werden. Remotebenutzer greifen über die mit SSL veröffentlichte externe Communicator Web Access-Site auf dem Reverseproxyserver auf den externen Pool zu. In der Abbildung wird nur eine von vielen Firewallkonfigurationen gezeigt, die von Communicator Web Access unterstützt werden. Communicator Web Access unterstützt für das Umkreisnetzwerk eine beliebige Firewall- oder Reverseproxykonfiguration, einschließlich ISA Server 2000, ISA Server 2004 und anderer Firewall- und Reverseproxylösungen. Weitere Informationen zu ISA Server finden Sie unter folgendem Link. ISA Server: http://www.microsoft.com/germany/isaserver/default.mspx Andere Komponenten einer Communicator Web Access-Bereitstellung Neben Communicator Web Access umfasst die Referenzarchitektur die in den folgenden Abschnitten beschriebenen Komponenten. Live Communications Server SP1 Live Communications Server dient der Verwaltung von Clientverbindungen, Anwesenheitsinformationen und anderen Features für die Echtzeitkommunikation, z. B. Sofortnachrichten. Active Directory Die Umgebung von Live Communications Server ist in hohem Maße von Active Directory abhängig. Wie Ihnen aus der Bereitstellung von Live Communications Server 2005 bekannt ist, wird Active Directory für die Authentifizierung, Autorisierung, Bereitstellung und Konfiguration von Live Communications Server verwendet. In Communicator Web Access und Communicator 2005 wird über Active Directory die Unternehmensadressliste für suchbasierte Abfragen bereitgestellt. Firewalls Firewallsoftware dient zum Schutz des Netzwerks vor Angriffen aus dem Internet und ermöglicht Computern die Verbindung mit dem Internet. Mithilfe einer Firewallanwendung wie ISA Server können Sie Ihre Communicator Web Access-Server sicher für Remotebenutzer veröffentlichen. Handbuch für die Planung und Bereitstellung von Microsoft Office Communicator Web Access 11 Die Firewall ist der erste Computer, den Angriffe aus dem Internet treffen, da er direkt mit dem Internet verbunden ist. Aus diesem Grund sollte der Firewallcomputer selbst mit maximaler Sicherheit konfiguriert werden und nur für Aufgaben eingesetzt werden, die unmittelbar mit dem Abwehren und Erkennen von Angriffen zusammenhängen. System zum Lastenausgleich Ein System zum Lastenausgleich dient in Verbindung mit Communicator Web Access/Live Communications Server in folgenden Fällen zur Verteilung des Benutzerdatenverkehrs: Mehrere Communicator Web Access-Server Ein Pool aus mehreren Servern mit Live Communications Server 2005 SP1 Enterprise Edition Mehrere Live Communications Server 2005 SP1-Directors Mehrere Live Communications Server 2005 SP1-Zugriffsproxys Weitere Informationen finden Sie im Abschnitt Konfigurieren von Topologien zum Lastenausgleich. Internetinformationsdienste 6.0 Internetinformationsdienste (IIS) 6.0 ist ein Webserver, der als Host für Communicator Web Access fungiert. Er ist in allen Versionen des Betriebssystems Microsoft Windows Server ™ 2003 verfügbar. IIS 6.0 bietet eine Reihe neuer Features, die zu Communicator Web Access-Bereitstellungen mit noch besserer Zuverlässigkeit, Verwaltbarkeit, Skalierbarkeit und Sicherheit beitragen. .NET Framework, Version 2.0 Communicator Web Access wurde mit Microsoft .NET Framework, Version 2, entwickelt, einem bedeutenden Meilenstein im Webdienst- und XML-Serialisierungsstapel von .NET Framework. ASP.NET 2.0 Microsoft ASP.NET 2.0 ist als Komponente von .NET Framework 2.0 die neueste Version von ASP.NET. Version 2.0 bietet neue und verbesserte Features sowohl für Entwickler als auch für Websiteadministratoren. Communicator Web Access basiert auf ASP.NET 2.0. In Verbindung mit Microsoft Internetinformationsdienste (IIS) 6.0 und Microsoft .NET Framework 2.0 ermöglicht es eine einfachere, leistungsfähigere Bereitstellung, Konfiguration und Wartung von Websites und Anwendungen. Die neue Verwaltungswebsite, die im Lieferumfang von ASP.NET 2.0 enthalten ist, ist eine sichere Webschnittstelle für die einfache Verwaltung und Konfiguration von Communicator Web Access im Hinblick auf Skalierbarkeit und Leistung. Von Communicator Web Access verwendete Ports Für die Konfiguration von Firewalls oder die Problembehandlung bei Kommunikationsproblemen müssen Sie wissen, welche TCP-Ports von Communicator Web Access verwendet werden. Die folgenden Ports werden verwendet: Eingehende Ports: TCP-Port 80 (HTTP) oder TCP-Port 443 (HTTPS), je nach Konfiguration des virtuellen Servers (Webzugriffsserver) Dynamischer Port für eingehenden Datenverkehr von Live Communications Server (Communicator Web Access überwacht einen zufällig gewählten Port) Ausgehende Ports: TCP-Port 3268 (LDAP) auf dem globalen Katalogserver TCP-Port 389 (LDAP) auf dem Domänencontroller TCP-Port 5061 (MTLS) auf dem Server oder Pool, auf dem Live Communications Server ausgeführt wird 12 Handbuch für die Planung und Bereitstellung von Microsoft Office Communicator Web Access Planung In diesem Abschnitt werden Überlegungen zur Planung der Communicator Web Access-Bereitstellung erläutert. Folgende Themen werden behandelt: Active Directory Topologien Systemanforderungen Zertifikate Authentifizierung und Autorisierung Kapazität Verfügbarkeit Notfallwiederherstellung Überlegungen zu Active Directory Communicator Web Access stellt keine zusätzlichen Anforderungen an Ihr Active Directory-Design. Falls Sie Live Communications Server bereits bereitgestellt haben, entspricht Ihre Active Directory-Topologie bereits den Anforderungen für Communicator Web Access. In Organisationen mit mehreren Gesamtstrukturen und Domänen müssen der Communicator Web AccessServer und Live Communications Server 2005 SP1 in derselben Active Directory-Gesamtstruktur und -Domäne bereitgestellt werden. Informationen zur Planung von Active Directory für Live Communications Server finden Sie im Bereich mit Bereitstellungsressourcen im Dokument Vorbereitung von Active Directory für Live Communications Server 2005 unter http://office.microsoft.com/de-de/FX010908711031.aspx. Unterstützte Topologien In diesem Abschnitt werden verschiedene Topologien für Communicator Web Access beschrieben: Referenztopologie Communicator Web Access auf demselben Server wie Live Communications Server Mehrere Domänen Mehrere Gesamtstrukturen Interner und externer Communicator Web Access-Server auf demselben Server Zweigstellen Föderation Referenztopologie Eine Darstellung der Referenztopologie sehen Sie in Abbildung 3 weiter vorn in diesem Handbuch. In der Referenztopologie wird ein Array von Communicator Web Access-Servern für interne Benutzer bereitgestellt, die über das Unternehmensnetzwerk darauf zugreifen. Ein getrenntes Communicator Web AccessServerarray dient der Unterstützung von Remotebenutzern, zu denen auch Benutzer in Zweigstellen oder an anderen Remotestandorten (z. B. zu Hause oder am Flughafen) gehören. Diese Topologie ermöglicht die physische Trennung des Datenverkehrs interner Benutzer vom Internet. Dies bringt einige Sicherheitsvorteile mit sich. Der Zugriff auf die einzelnen Communicator Web Access-Server erfolgt über einen virtuellen Server (auch als Webzugriffsserver bezeichnet), der entweder für den internen oder für den externen Zugriff konfiguriert wurde. Handbuch für die Planung und Bereitstellung von Microsoft Office Communicator Web Access 13 Für jeden Zugriffstyp ist ein eigener virtueller Server erforderlich, da sich die Anforderungen für externe und interne Verbindungen unterscheiden. Nachfolgend finden Sie einige Beispiele der Unterschiede: Interner Zugriff – Die Authentifizierung interner Benutzer erfolgt über die integrierte WindowsAuthentifizierung, Remotebenutzer müssen die formularbasierte Authentifizierung verwenden. Interne Benutzer können die einmalige Anmeldung nutzen und müssen sich so nach erfolgter Netzwerkauthentifizierung bei der Verbindung mit Communicator Web Access nicht nochmals authentifizieren. Externer Zugriff – Die Benutzer müssen die formularbasierte Authentifizierung verwenden, um zugreifen zu können. Communicator Web Access überprüft außerdem, ob der Benutzer auch außerhalb des Unternehmensnetzwerks zur Verbindung mit Live Communications Server berechtigt ist. Diese Einstellung wird in Active Directory konfiguriert. Der externe Webzugriffsserver setzt darüber hinaus bei Benutzern, die öffentliche Computer verwenden, Timeouts nach einer bestimmten Zeit der Inaktivität durch (z. B. nach 15 Minuten). Die Referenztopologie enthält zwei Hardwaresysteme zum Lastenausgleich, die die Last auf die Server im internen und im externen Pool verteilen. Wenn die Größe der Bereitstellung die Kapazität eines einzelnen Communicator Web Access-Servers übersteigt, müssen mehrere Server und ein System zum Lastenausgleich bereitgestellt werden. Kollokation mit Live Communications Server Die Bereitstellungskosten können durch die Kollokation von Serverrollen gesenkt werden. Die Bereitstellung von Microsoft Office Communicator Web Access auf demselben Server wie Live Communications Server 2005 SP1 Standard Edition oder Enterprise Edition wird unterstützt. Nach Möglichkeit sollten Sie jedoch jede Serverrolle auf einem eigenen physischen Server bereitstellen. Active Directory enthält nur einen einzelnen Eintrag für den physischen Server, selbst wenn beide Serverrollen auf dem Server ausgeführt werden. Wenn Sie eine der Serverrollen deaktivieren, wird der Eintrag für den physischen Server aus Active Directory entfernt. Dies hat zur Folge, dass beide Serverrollen nicht mehr verfügbar sind. Sie sollten daher nur dann eine der Rollen deaktivieren, wenn Sie planen, beide Serverrollen zu entfernen. Topologien mit mehreren Domänen In kleinen und mittleren Organisationen wird in der Regel eine Active Directory-Topologie mit einer Gesamtstruktur und einer Domäne bereitgestellt. In größeren Organisationen ist eine Topologie mit mehreren Domänen (einer einzelnen Stammdomäne und mehreren untergeordneten Domänen) die Regel. In einer Topologie mit mehreren Domänen ist es wichtig, dass der Communicator Web Access-Server in derselben Domäne wie Live Communications Server bereitgestellt wird. Die Anforderungen und die Unterstützung für Topologien mit mehreren Domänen werden von Live Communications Server 2005 mit SP1 vorgegeben. Communicator Web Access stellt keine zusätzlichen Anforderungen an Ihre Active Directory-Bereitstellung. Einzelheiten zur Bereitstellung von Active Directory für Live Communications Server finden Sie im Handbuch Vorbereitung von Active Directory für Live Communications Server 2005 mit SP1 unter http://www.microsoft.com/downloads/details.aspx?FamilyId=F6F5C288-1AFB-41EC-9A091279E93F9BA9&displaylang=de. Topologien mit mehreren Gesamtstrukturen In einer Topologie mit mehreren Gesamtstrukturen ist es wichtig, dass der Communicator Web Access-Server in derselben Gesamtstruktur und Domäne wie Live Communications Server bereitgestellt wird. Außerdem muss sichergestellt werden, dass die entsprechenden Benutzerattribute domänenübergreifend synchronisiert werden, damit die Autorisierungs- und Suchfeatures ordnungsgemäß funktionieren. Falls Sie LCSSync zur domänenübergreifenden Synchronisierung von Live Communications Server-Attributen bereitgestellt haben, werden alle für Communicator Web Access erforderlichen Attribute standardmäßig synchronisiert. Wenn Sie eine andere Methode zur Synchronisierung von Gesamtstrukturen verwenden, beispielsweise ein Tool wie GALSync oder die Bereitstellung einer Ressourcengesamtstruktur und die Bereitstellung von Änderungen in allen Gesamtstrukturen, müssen Sie dafür sorgen, dass die erforderlichen Attribute in allen Gesamtstrukturen repliziert werden. 14 Handbuch für die Planung und Bereitstellung von Microsoft Office Communicator Web Access Die Attribute, die von LCSSync Kontaktobjekten zugeordnet werden, sind im Resource Kit für Live Communications Server mit SP1 aufgeführt. (Siehe Deploying_in_a_Multiple_Forest_Environment.doc im Ordner LCSSync.) Das Resource Kit (in englischer Sprache) kann unter http://www.microsoft.com/downloads/thankyou.aspx?familyId=d21c38e5-5d8f-44c7-ba172cc4f85d8b51&displayLang=en heruntergeladen werden. Interner und externer Webzugriff auf einem einzelnen Server Zur Senkung der Bereitstellungskosten können Sie sowohl interne Benutzer als auch Remotebenutzer auf einem einzelnen Communicator Web Access-Server hosten. Mithilfe des Features zur Anwendungsisolation von IIS 6.0 können Sie zwei Instanzen von Communicator Web Access auf einem einzelnen Server ausführen. Sie können während des Setups von Communicator Web Access eine Instanz und nach Abschluss des Setups in Communicator Web Access Manager eine weitere Instanz des virtuellen Servers erstellen. Hinweis Dieses Szenario ermöglicht zwar eine Senkung der Hardwarekosten, wird jedoch nur für kleine Bereitstellungen empfohlen. Am sichersten ist die physische Isolation auf zwei getrennten Servern. Diese Bereitstellungsart wird empfohlen, wenn das Budget sie zulässt. Im Allgemeinen gelten für das Szenario mit einem einzelnen Server die gleichen Richtlinien für die Bereitstellung wie bei anderen Communicator Web Access-Topologien. Allerdings ist bei der Verwendung eines einzelnen Servers für den internen und den externen Zugriff Folgendes zu beachten: Zwei virtuelle Server können nicht dieselbe IP-Adresse aufweisen und den gleichen Port überwachen. Sie müssen sich entweder durch die IP-Adresse oder durch die Portnummer unterscheiden. Wenn beide virtuellen Server dieselbe IP-Adresse haben, müssen sie sich durch die Portnummer unterscheiden. Viele Proxyserver lassen SSL-Datenverkehr nur an Port 443 zu. Daher muss möglicherweise der externe virtuelle Server mit Port 443 konfiguriert werden. Sie müssen bei der Konfiguration der Firewall bzw. des Reverseproxys den entsprechenden Port für jeden virtuellen Server zuordnen. Die Serverisolation senkt zwar das Sicherheitsrisiko, eine Gefährdung des Servers ist jedoch nicht völlig ausgeschlossen. Von einer solchen Beschädigung wären externe und interne Benutzer gleichermaßen betroffen. Bei einem getrennten externen Server wären hingegen von einem Angriff auf den externen Server nur Remotebenutzer betroffen. Abbildung 4 zeigt ein Beispiel eines einzelnen Communicator Web Access-Servers, der sowohl für den internen als auch für den externen Zugriff verwendet wird. Abbildung 4. Externer und interner Zugriff auf einem einzelnen Server Handbuch für die Planung und Bereitstellung von Microsoft Office Communicator Web Access 15 Der Communicator Web Access-Server in Abbildung 4 enthält einen internen und einen externen virtuellen Server mit derselben IP-Adresse. Der interne virtuelle Server verwendet Port 443, der externe virtuelle Server Port 444. Die Firewall bzw. der Reverseproxyserver wurde so konfiguriert, dass eingehender SSL-Datenverkehr für Port 443 an Port 444 auf dem Communicator Web Access-Server umgeleitet wird. Dieses Beispiel demonstriert eine Möglichkeit zur Konfiguration eines Szenarios, bei dem weder interne Benutzer noch Remotebenutzer bei der Eingabe eines URI für die Verbindung mit Communicator Web Access einen Port angeben müssen. Der interne virtuelle Server wird so konfiguriert, dass interne Anforderungen über den SSL-Standardport 443 akzeptiert werden. Analog akzeptiert die Firewall externe Anforderungen über den SSL-Standardport 443, leitet diese dann aber an den externen virtuellen Server um. Wenn Sie sich für die Verwendung unterschiedlicher Portnummern entscheiden, müssen die Benutzer bei der Eingabe des URL für Communicator Web Access möglicherweise die Portnummer angeben. Wenn Sie beispielsweise auf dem internen Server Port 444 verwenden, müssen die Benutzer die Portnummer wie folgt angeben: https://im.contoso.com:444. Zweigstellentopologien In vielen großen Organisationen werden die IT-Ausgaben für Zweigstellen durch die Zentralisierung des technischen Supportpersonals und die Konsolidierung von Servern in einem Rechenzentrum gesenkt. Eine solche Zweigstellentopologie ist praktikabel, wenn eine schnelle und zuverlässige Netzwerkverbindung zwischen dem Rechenzentrum und den meisten entfernten Zweigstellen vorhanden ist. Mit einer geeigneten Netzwerkverbindung können Benutzer entweder eine direkte Verbindung mit dem Unternehmensnetzwerk herstellen oder als Remotebenutzer einen Tunnel durch das Internet nutzen. Bei einer langsamen oder unzuverlässigen Netzwerkverbindung zwischen Rechenzentrum und einer Remoteniederlassung muss ggf. in der Zweigstelle ein eigener lokaler Server bereitgestellt werden. Für Communicator Web Access würde dies bedeuten, dass in der Zweigstelle ein HTTP-Proxy oder ein Communicator Web Access-Server bereitgestellt wird. Bandbreite und Latenz zwischen Rechenzentrum und einer Zweigstelle können jedoch ungeachtet der angenommenen Qualität der Netzwerkverbindung nicht garantiert werden. Aus diesem Grund sollten bei der Konzeption des Systems auch langsame, unzuverlässige Netzwerkverbindungen berücksichtigt werden. Einer der zu berücksichtigenden Faktoren ist, dass Verbindungen zum Communicator Web Access-Server von anderen Organisationen oder über das Internet in der Regel mindestens einen HTTP-Proxyserver durchlaufen. HTTP-Proxys halten HTTP-Verbindungen naturgemäß nicht über längere Zeiträume offen. Derartige Verbindungen können als abnorm betrachtet und jederzeit beendet werden. Berücksichtigen Sie aus diesem Grund bei der Planung Ihrer Topologie die HTTP-Proxys zwischen Client und Server. Weitere Informationen zu Zweigstellentopologien in Live Communications Server-Bereitstellungen finden Sie im Live Communications Server 2005 – Planungshandbuch auf der Seite mit Live Communications ServerBereitstellungsressourcen unter http://office.microsoft.com/de-de/FX010908711031.aspx. Föderation Wenn die Föderation in Microsoft Office Live Communications Server 2005 mit SP1 aktiviert wurde, können Benutzer von Communicator Web Access nicht nur Anwesenheitsinformationen von Benutzern externer Organisationen anzeigen, mit denen die Föderation eingerichtet wurde, und Sofortnachrichten mit diesen austauschen. Sie können dies auch mit Sofortnachrichtenbenutzern von MSN, AOL und Yahoo!. Die Benutzer können den Ursprung eines Kontakts auf einen Blick an dem Brandingsymbol neben dem entsprechenden Anzeigenamen des föderierten Kontakts erkennen. Der Zugriff auf das Brandingsymbol des föderierten Partners muss über eine HTTPS-Verbindung erfolgen. Bei föderierten Organisationen muss der Administrator dafür sorgen, dass für den Zugriff auf Brandingsymbole nicht HTTP, sondern HTTPS verwendet wird. Andernfalls wird bei der Anmeldung von Communicator Web Access-Benutzern eine Sicherheitswarnung angezeigt, wenn der Benutzerkontaktliste föderierte Kontakte hinzugefügt wurden. Die Sicherheitswarnung wird auch bei der Suche nach föderierten Kontakten oder beim Starten von Sofortnachrichtenunterhaltungen mit föderierten Kontakten angezeigt. Wenn dieses Verhalten auftritt, ermitteln Sie, welche föderierte Organisation HTTP für das Brandingsymbol verwendet, und bitten Sie darum, stattdessen HTTPS zu verwenden. 16 Handbuch für die Planung und Bereitstellung von Microsoft Office Communicator Web Access Weitere Informationen zu Föderationstopologien in Live Communications Server-Bereitstellungen finden Sie im Handbuch Live Communications Server 2005 mit Service Pack 1, Zugriffsproxy und Director auf der Seite mit Live Communications Server-Bereitstellungsressourcen unter http://office.microsoft.com/dede/FX010908711031.aspx. Anforderungen für Communicator Web Access In diesem Abschnitt wird die für die Installation von Communicator Web Access erforderliche Hardware und Software beschrieben. Tabelle 2: Anforderungen für die Installation von Communicator Web Access Computer Active DirectoryDomänencontroller Komponente Windows® 2000 Server Microsoft Windows Server 2003 Erforderlich für SP4 Betriebssystem Active Directory Verzeichnisdienst DNS Namensauflösung Live Communications Server Microsoft Office Live Communications Server 2005 mit SP1* Schema PKI Windows Server 2003 SP1 EnterpriseZertifizierungsstelle (empfohlen) oder eine vertrauenswürdige Zertifizierungsstelleninfrastruktur eines Drittanbieters PKI-Infrastruktur IIS 6.0 Ausschließlich zum Webregistrierungssupport für Zertifikatsdienste NTFS Dateisystem Windows Server 2003 SP1 Betriebssystem .NET Framework 2.0 Communicator Web Access/ASP.NET Windows Installer 3.0 (wird mit Windows Server 2003 SP1 installiert) Communicator Web Access/ASP.NET IIS 6.0 Communicator Web Access ASP.NET 2.0 Communicator Web Access Live Communications Server 2005 Standard Edition oder Enterprise Edition mit SP1 Für Communicator Web Access erforderlich Siehe Unterstützte Clientbetriebssysteme Betriebssystem Siehe Unterstützte Clientbrowser Browser/Client Communicator Web Access Manager IIS-Manager 6.0 Remotecomputer und Communicator Web Access-Server müssen sich in derselben Active Directory-Domäne befinden. Remoteverwaltung Communicator Web Access-Server Client Remotecomputer Handbuch für die Planung und Bereitstellung von Microsoft Office Communicator Web Access 17 Tabelle 3: Erforderliche Berechtigungen für die Installation von Communicator Web Access Computer Aktion Erforderliche Berechtigungen Communicator Web Access-Server Communicator Web Access installieren Mitglied der lokalen Administratorgruppe Communicator Web Access aktivieren Mitglied der Gruppen „Domänen-Admins“ und „RTCDomainServerAdmins“ Virtuellen Server erstellen Mitglied der lokalen Administratorgruppe Communicator Web Access Manager auf einem Remotecomputer installieren Mitglied der lokalen Administratorgruppe des Remotecomputers Remotecomputer *Communicator Web Access kann keine Verbindung zu früheren Versionen von Live Communications Server herstellen. Sie können innerhalb der Organisation zwar frühere Versionen verwenden, Benutzer von Communicator Web Access müssen jedoch auf Servern verwaltet werden, auf denen Live Communications Server 2005 mit SP1 ausgeführt wird. Unterstützte Serverbetriebssysteme Der Communicator Web Access-Server kann nur auf Windows Server 2003 Service Pack 1 ausgeführt werden. Die folgenden Versionen von Windows Server 2003 SP1 werden unterstützt: Standard Enterprise Datacenter Wichtig Der Server muss Mitglied einer Domäne sein, in der sich auch ein Server mit Live Communications Server 2005 mit SP1 befindet. Die Installation von Communicator Web Access auf einem Arbeitsgruppencomputer wird nicht unterstützt und wird mit einer Fehlermeldung abgebrochen. Unterstützte Betriebssysteme für Communicator Web Access Manager Mithilfe des Communicator Web Access Manager-Snap-Ins können Sie einen oder mehrere Communicator Web Access-Server von einem Remotecomputer aus verwalten. Für die Remoteverwaltung von Communicator Web Access werden die folgenden Betriebssysteme unterstützt: Windows XP Professional Windows Server 2003 Standard Edition Windows Server 2003 Enterprise Edition Hinweis Communicator Web Access Manager wird von keiner Version von Windows 2000 unterstützt. Wichtig Bevor Sie das Communicator Web Access Manager-Snap-In auf einem Remotecomputer installieren, müssen Sie den IIS-Manager (Internetinformationsdienste) installieren. Nur die Verwaltungskomponenten sind erforderlich. Es ist nicht erforderlich, IIS auf dem Computer zu installieren. Verwenden Sie Windows-Komponenten hinzufügen/entfernen in der Systemsteuerung, um das IIS-Snap-In (Windows XP) oder den Internetinformationsdienste-Manager (Windows Server 2003) zu installieren, oder laden Sie den Internetinformationsdienste-Manager 6.0 für Windows XP herunter. 18 Handbuch für die Planung und Bereitstellung von Microsoft Office Communicator Web Access Unterstützte Clientbetriebssysteme Communicator Web Access wird von folgenden Versionen des Windows-Betriebssystems unterstützt: Windows 98 Zweite Ausgabe Windows 2000 (alle Versionen) Windows XP Windows XP SP1 Windows XP SP2 Hinweis Wenn auf dem Client Windows 98 ausgeführt wird, ignoriert das Kennworthashprotokoll bei der Authentifizierung von Communicator Web Access-Kennwörtern die Groß- und Kleinschreibung. Unterstützte Clientbrowser Microsoft Office Communicator Web Access unterstützt die folgenden Browser: Internet Explorer 6.0 Hinweis Installieren Sie Internet Explorer 6.0 SP1, um Probleme mit der Anzeige von Titeln in Desktopbenachrichtigungen, Options- und Berechtigungsdialogfeldern zu vermeiden. Firefox 1.0 Safari 1.2.4 auf Mac OS X 10.3.7 Netscape Browser 7.2 oder höher Clientinteroperabilität In diesem Abschnitt wird die Interoperabilität mit verschiedenen Clients beschrieben. Communicator Communicator 2005 und Communicator Web Access können auf demselben Computer ausgeführt werden. Desktopbenachrichtigungen bei neuen Sofortnachrichten werden in beiden Programmen angezeigt. Der Benutzer kann wählen, welche Benachrichtigung akzeptiert wird. Benachrichtigungen bei eingehenden Sofortnachrichten werden weiterhin in beiden Clients angezeigt. Die Nachricht wird jedoch automatisch im aktiven Client geöffnet. Handbuch für die Planung und Bereitstellung von Microsoft Office Communicator Web Access 19 Sowohl Communicator 2005 als auch Communicator Web Access verfügen über einen Mechanismus zum Ändern des Benutzerstatus nach einer bestimmten Zeit ohne Aktivität. In Communicator wird der Benutzerstatus in „Abwesend“ geändert. In seiner Eigenschaft als Webanwendung kann Communicator Web Access jedoch nur Aktivitäten erkennen, die in seinen eigenen Fenstern und Dialogfeldern stattfinden. Aktivitäten in anderen Programmen auf demselben Computer werden hingegen nicht erkannt. Daher wird der anderen Anwendern angezeigte Status des Benutzers nach Verstreichen einer bestimmten Zeit ohne Aktivität in Communicator Web Access automatisch in „Abwesend“ geändert, auch wenn der Benutzer den Computer noch aktiv verwendet. Weitere Informationen zu Communicator 2005 finden Sie im Handbuch für die Planung und Bereitstellung von Microsoft Office Communicator auf der Seite mit Microsoft Office Communicator 2005Bereitstellungsressourcen unter http://office.microsoft.com/de-de/assistance/HA011992481031.aspx. Windows Messenger 5.1 Wenn ein Benutzer gleichzeitig bei Windows Messenger 5.1 und bei Communicator Web Access oder Communicator angemeldet ist, können die angezeigten Anwesenheitsinformationen voneinander abweichen. Diese Abweichungen können unabhängig davon auftreten, ob Windows Messenger 5.1 auf demselben oder einem anderen Computer wie Communicator Web Access oder Communicator 2005 installiert ist. Benutzer von Windows Messenger 5.1 können jedoch ohne diese Abweichungen an Sofortnachrichtenunterhaltungen mit Communicator Web Access-Benutzern teilnehmen. Weitere Informationen zu Windows Messenger 5.1 finden Sie im Handbuch für die Planung und Bereitstellung von Windows Messenger 5.1 unter http://office.microsoft.com/de-de/FX010908711031.aspx. Serveranforderungen In diesem Abschnitt werden die Anforderungen für die Bereitstellung des Communicator Web Access-Servers beschrieben. Infrastrukturanforderungen Vor der Bereitstellung von Communicator Web Access muss die folgende Infrastruktur bereit sein: Active Directory ist bereitgestellt. Auf den Domänencontrollern wird Microsoft Windows 2000 SP4 oder Windows Server 2003 ausgeführt. Auf den globalen Katalogservern wird Windows 2000 SP4 oder Windows Server 2003 ausgeführt, und mindestens ein globaler Katalogserver befindet sich in der Stammdomäne der Gesamtstruktur. Die PKI ist bereitgestellt und konfiguriert, entweder in Form der PKI von Microsoft oder einer Zertifizierungsstelleninfrastruktur eines Drittanbieters. Weitere Informationen finden Sie im Dokument Live Communications Server 2005-Dokument – Konfigurieren von Zertifikaten unter http://www.microsoft.com/downloads/details.aspx?FamilyId=779DEDAA-2687-4452-901E719CE6EC4E5A&displaylang=de. DNS ist bereitgestellt und ordnungsgemäß konfiguriert. Live Communications Server 2005 Service Pack 1 wurde bereitgestellt. Setup-Anforderungen für den Communicator Web Access-Server In diesem Abschnitt werden die Anforderungen für den Computer beschrieben, auf dem der Communicator Web Access-Server ausgeführt werden soll. Es wird vorausgesetzt, dass alle in den früheren Abschnitten beschriebenen Infrastrukturanforderungen erfüllt wurden. Die folgenden Anforderungen gelten für den Computer, auf dem der Communicator Web Access-Server installiert wird: Windows Server 2003 SP1 Der Communicator Web Access-Server ist ein Mitgliedsserver derselben Active Directory-Gesamtstruktur und -Domäne wie Live Communications Server 2005 mit SP1. 20 Handbuch für die Planung und Bereitstellung von Microsoft Office Communicator Web Access Hinweis Die Installation von Communicator Web Access auf einem Arbeitsgruppencomputer wird nicht unterstützt und wird mit einer Fehlermeldung abgebrochen. Schemaaktualisierungen für Live Communications Server 2005 mit SP1, wie in Vorbereitung von Active Directory für Live Communications Server 2005 SP1 unter http://office.microsoft.com/dede/FX010908711031.aspx beschrieben. DNS IIS 6.0 Windows Installer 3.0 .NET Framework, Version 2.0 Sie müssen als Mitglied der Gruppen „Domänen-Admins“ und „RTCDomainServerAdmins“ angemeldet sein, um Communicator Web Access zu aktivieren. Die Kette der Stammzertifizierungsstelle ist vertrauenswürdig, und ein Zertifikat der vertrauenswürdigen Stammzertifizierungsstelle befindet sich im Speicher für vertrauenswürdige Stammzertifizierungsstellen des lokalen Computers. Informationen zur Konfiguration des Zertifikats finden Sie weiter hinten in diesem Handbuch unter „Planen von Zertifikaten“. Active Directory-Kontoanforderungen für Communicator Web Access In der folgenden Tabelle sind die Mindestanforderungen an die Gruppenmitgliedschaft für Communicator Web Access aufgeführt. Tabelle 4: Mindestanforderungen an die Gruppenmitgliedschaft Gruppe Mindestanforderung Administratoren (lokal) Der Benutzer, der den Communicator Web Access-Server installiert, muss als Mitglied der lokalen Administratorgruppe angemeldet sein. Domänen-Admins Der Benutzer, der den Communicator Web Access-Server aktiviert, muss als Mitglied der Gruppe „Domänen-Admins“ angemeldet sein. CWAService (Standard) Das Dienstkonto, mit dem Communicator Web Access ausgeführt wird, wird der von Live Communications Server 2005 SP1 erstellten Gruppe „RTCHSDomainServices“ hinzugefügt. RTCDomainServerAdmins (von Live Communications Server 2005 SP1 erstellt) Der Benutzer, der den Communicator Web Access-Server aktiviert, muss als Mitglied der Gruppe „RTCDomainServerAdmins“ angemeldet sein. Serverhardwareanforderungen In diesem Abschnitt werden die Hardwareanforderungen für Communicator Web Access beschrieben. Hardwareanforderungen für den Communicator Web Access-Server Die Hardware des Communicator Web Access-Servers sollte die folgenden empfohlenen Mindestanforderungen erfüllen: Zwei Intel-Xeon-3,06-GHz-Prozessoren, Cache von 1 MB, FSB (Front Side Bus) mit 533 MHz 2-GB-DDR (Double Data Rate), 266 MHz RAM 18-GB-Festplatte 100-Mbit-Netzwerkadapter Handbuch für die Planung und Bereitstellung von Microsoft Office Communicator Web Access 21 Zusätzliche Informationen zur Infrastruktur Dieser Abschnitt bietet Verknüpfungen zu Dokumenten mit Infrastrukturanforderungen. Informationen zu Live Communications Server 2005 SP1 finden Sie in den folgenden Dokumenten auf der Seite mit Bereitstellungsressourcen für Live Communications Server 2005: Live Communications Server 2005 SP1 Handbuch Live Communications Server 2005 – Übersicht über die Bereitstellung unter http://office.microsoft.com/de-de/FX010908711031.aspx Live Communications Server 2005 Standard Edition – Bereitstellungshandbuch unter http://office.microsoft.com/de-de/FX010908711031.aspx Live Communications Server 2005 Enterprise Edition – Bereitstellungshandbuch unter http://office.microsoft.com/de-de/FX010908711031.aspx Active Directory Handbuch Vorbereitung von Active Directory für Live Communications Server 2005 SP1 unter http://office.microsoft.com/de-de/FX010908711031.aspx DNS http://www.microsoft.com/technet/prodtechnol/windowsserver2003/technologies/featured/dns/default.mspx (in englischer Sprache) PKI und Zertifikate Live Communications Server 2005-Dokument – Konfigurieren von Zertifikaten unter http://www.microsoft.com/downloads/details.aspx?FamilyId=779DEDAA-2687-4452-901E719CE6EC4E5A&displaylang=de Planen von Zertifikaten Für Communicator Web Access sind Zertifikate erforderlich, die von einer Windows Server 2003 SP1 Enterprise-Zertifizierungsstelle (empfohlen) oder einer vertrauenswürdigen Zertifizierungsstelle eines Drittanbieters ausgestellt wurden. Zertifikate sind auch für Bereitstellungen von Live Communications Server 2005 SP1 erforderlich, die Communicator Web Access unterstützen. Wenn vor einem Communicator Web Access-Array ein Hardwaresystem zum Lastenausgleich eingerichtet wurde, ist auch für dieses System ein Zertifikat erforderlich. Wenn Sie die Communicator Web Access-Site mithilfe von ISA Server für Remotebenutzer veröffentlichen, müssen Sie Zertifikate für ISA Server konfigurieren. Im folgenden Abschnitt werden diese Zertifikatsanforderungen beschrieben. Falls Sie die Windows Server 2003-PKI verwenden, lesen Sie das Dokument „Best Practices for Implementing a Microsoft Windows Server 2003 Public Key Infrastructure“ (in englischer Sprache) unter http://www.microsoft.com/technet/prodtechnol/windowsserver2003/technologies/security/ws3pkibp.mspx. Planen von Communicator Web Access-Zertifikaten Communicator Web Access verwendet für die Authentifizierung von Servern und Benutzern digitale Zertifikate. Im Rahmen der Vorbereitungsarbeiten für das Setup des Communicator Web Access-Servers müssen Sie den Computer mit vertrauenswürdigen Zertifikaten für MTLS und HTTPS (SSL) konfigurieren: MTLS-Zertifikat – Das MTLS-Zertifikat dient der Authentifizierung von Verbindungen mit Live Communications Server. Die von Communicator Web Access und Live Communications Server verwendeten MTLS-Zertifikate müssen von derselben vertrauenswürdigen Zertifizierungsstelle ausgestellt werden. Wichtig Die MTLS-Verbindung kann nur dann hergestellt werden, wenn der Antragstellername im MTLS-Zertifikat dem vollqualifizierten Domänennamen des Communicator Web Access-Servers entspricht. 22 Handbuch für die Planung und Bereitstellung von Microsoft Office Communicator Web Access HTTPS-(SSL-)Zertifikat – Das SSL-Zertifikat wird von Clients verwendet, die eine Verbindung mit dem Communicator Web Access-Server herstellen. Jeder mit HTTPS konfigurierte virtuelle Server muss ein SSL-Zertifikat besitzen. Diese Zertifikate müssen bereits vor dem Setup von Communicator Web Access auf dem Server installiert sein. Die Zertifikate müssen von Ihrer Zertifizierungsstelle ausgestellt worden sein, und die Zertifizierungsstelle muss die Identität jedes Computers oder Benutzers in der Authentifizierungstransaktion bestätigen. Die Anforderungen für diese Zertifikate sind davon abhängig, ob Sie Live Communications Server Standard Edition oder Enterprise Edition ausführen. In beiden Fällen muss der Antragstellername für das HTTPS(SSL-)Zertifikat dem Hostnamen entsprechen, über den Clients eine Verbindung zum Communicator Web Access-Server herstellen (entweder der Hostname des Servers oder der Hostname der virtuellen IP-Adresse, die im Namen des Servers veröffentlicht wurde). In den folgenden Abschnitten werden die Zertifikatsanforderungen für verschiedene Szenarien beschrieben. Getrennter Server Wenn Communicator Web Access auf einem anderen Server als Live Communications Server ausgeführt wird, müssen die Zertifikate folgende Konfiguration aufweisen: MTLS-Zertifikat – Der Antragstellername muss dem vollqualifizierten Domänennamen des Communicator Web Access-Servers entsprechen. HTTPS-(SSL-)Zertifikat – Der Antragstellername muss dem Hostnamen entsprechen, über den Clients auf den Communicator Web Access-Server zugreifen. Dies kann der vollqualifizierte Domänenname oder ein anderer Name sein. Wenn beispielsweise der vollqualifizierte Domänenname des Communicator Web Access-Servers LCS-01.domain.com lautet und Clients über http://cwa.domain.com die Verbindung mit Communicator Web Access herstellen, muss der Antragstellername im MTLS-Zertifikat LCS-01.domain.com lauten und der Antragstellername im HTTPS-(SSL-)Zertifikat cwa.domain.com. Kollokation mit Live Communications Server Standard Edition Wenn Communicator Web Access auf demselben Server wie Live Communications Server Standard Edition ausgeführt wird, gelten dieselben Anforderungen wie im vorherigen Szenario. Die Zertifikate müssen folgende Konfiguration aufweisen: MTLS-Zertifikat – Der Antragstellername muss dem vollqualifizierten Domänennamen des Communicator Web Access-Servers entsprechen. HTTPS-(SSL-)Zertifikat – Der Antragstellername muss dem Hostnamen entsprechen, über den Clients auf den Communicator Web Access-Server zugreifen. Wenn beispielsweise der vollqualifizierte Domänenname des Communicator Web Access-Servers LCS-01.domain.com lautet und Clients über http://cwa.domain.com die Verbindung mit Communicator Web Access herstellen, muss der Antragstellername im MTLS-Zertifikat LCS-01.domain.com lauten und der Antragstellername im HTTPS-(SSL-)Zertifikat cwa.domain.com. Live Communications Server Enterprise Edition Wenn Communicator Web Access auf einem der Server in einem Live Communications Server Enterprise Edition-Pool ausgeführt wird, muss im MTLS-Zertifikat der vollqualifizierte Domänenname des Serverpools verwendet werden. Die Zertifikate müssen folgende Konfiguration aufweisen: MTLS-Zertifikat – Der Antragstellername muss dem vollqualifizierten Domänennamen des Live Communications Server-Pools entsprechen. HTTPS-(SSL-)Zertifikat – Der Antragstellername muss dem Hostnamen entsprechen, über den Clients auf den Communicator Web Access-Server zugreifen. Wenn beispielsweise der vollqualifizierte Domänenname des Live Communications Server-Pools LCS_Pool.domain.com lautet und Clients über http://cwa.domain.com die Verbindung mit Communicator Web Access herstellen, muss der Antragstellername im MTLS-Zertifikat LCS-Pool.domain.com lauten und der Antragstellername im HTTPS-(SSL-)Zertifikat cwa.domain.com. Handbuch für die Planung und Bereitstellung von Microsoft Office Communicator Web Access 23 Verwenden eines einzelnen Zertifikats In allen oben beschriebenen Szenarien können Sie, sofern Ihre Zertifizierungsstelle dies zulässt, entweder getrennte Zertifikate für MTLS und HTTPS (SSL) oder ein einzelnes Zertifikat für beide Protokolle verwenden. Wenn Sie eine Microsoft-Zertifizierungsstelle verwenden oder die verwendete DrittanbieterZertifizierungsstelle alternative Antragstellernamen unterstützt, können Sie ein einzelnes Zertifikat verwenden. Wenn Sie ein einzelnes Zertifikat für MTLS und HTTPS (SSL) gemeinsam verwenden möchten, muss das Zertifikat folgende Konfiguration aufweisen: Der Antragstellername des Zertifikats muss dem vollqualifizierten Domänennamen des Communicator Web Access-Servers oder des Live Communications Server 2005-Pools entsprechen. Der alternative Antragstellername muss die beiden folgenden Informationen enthalten: Den vollqualifizierten Domänennamen des Communicator Web Access-Servers oder des Live Communications Server-Pools Den Hostnamen, über den Clients auf den Communicator Web Access-Server zugreifen Informationen dazu, wie Sie einen alternativen Antragstellernamen festlegen, finden Sie im Dokument Live Communications Server 2005-Dokument – Konfigurieren von Zertifikaten unter http://www.microsoft.com/downloads/details.aspx?FamilyId=779DEDAA-2687-4452-901E719CE6EC4E5A&displaylang=de Wenn Sie ein Zertifikat von einer Zertifizierungsstelle anfordern, können Sie entweder den NetBIOS-Namen oder den vollqualifizierten Domänennamen angeben. Weitere Informationen dazu, wie Sie Zertifikate mit dem NetBIOS-Namen konfigurieren, finden Sie unter http://support.microsoft.com/default.aspx?scid=kb;dede;887490. Planen von Live Communications Server-Zertifikaten Microsoft Office Live Communications Server 2005 mit SP1 ist eine Voraussetzung für Communicator Web Access und erfordert Zertifikate. Weitere Informationen zu Live Communications Server 2005-Zertifikaten finden Sie im Dokument Live Communications Server 2005-Dokument – Konfigurieren von Zertifikaten unter http://www.microsoft.com/downloads/details.aspx?FamilyId=779DEDAA-2687-4452-901E719CE6EC4E5A&displaylang=de. Planen von Zertifikaten für Hardwaresysteme zum Lastenausgleich Informationen zu den Zertifikatsanforderungen für Ihre Hardware zum Lastenausgleich erhalten Sie beim Hersteller. Planen von ISA Server 2004 SP1-Zertifikaten Sie können den Communicator Web Access-Server mithilfe von ISA Server 2004 SP1 veröffentlichen, um auch Remotebenutzern den Zugriff auf Communicator Web Access zu ermöglichen und gleichzeitig das interne Netzwerk zu schützen. Die empfohlene ISA-Konfiguration umfasst mindestens zwei Netzwerkadapter: einen am internen und einen am externen Rand. Ein SSL-Zertifikat muss angefordert werden, und die Zertifikatskette der Zertifizierungsstelle muss für den lokalen Computer in den Ordner Vertrauenswürdige Stammzertifizierungsstellen, Zertifikate heruntergeladen werden. Das SSL-Zertifikat wird an den Listener für den Netzwerkadapter am externen Rand auf dem ISA Server 2004-Computer gebunden. Einzelheiten zu Zertifikatsanforderungen und Vorgehensweisen finden Sie im Dokument „Digital Certificates for ISA Server 2004“ (in englischer Sprache) unter http://www.microsoft.com/technet/prodtechnol/isa/2004/plan/digitalcertificates.mspx. Hinweis ISA ist nicht erforderlich. Sie können einen beliebigen Reverseproxy verwenden. 24 Handbuch für die Planung und Bereitstellung von Microsoft Office Communicator Web Access Authentifizierung und Autorisierung Der Communicator Web Access-Server führt sowohl die Authentifizierung als auch die Autorisierung der Clients durch, die auf ihn zugreifen. Durch die Verwendung eines MTLS-Zertifikats wird sichergestellt, dass der Communicator Web Access-Server für Live Communications Server vertrauenswürdig ist. Communicator Web Access überprüft, ob der SIP-URI des Clients mit den Anmeldeinformationen des Benutzers übereinstimmt, und stellt sicher, dass der Benutzer für die Verwendung von Live Communications Server autorisiert ist. Wenn sich der Benutzer außerhalb des Unternehmensnetzwerks befindet, überprüft Communicator Web Access außerdem, ob der Benutzer über Remotezugriffsberechtigungen für Live Communications Server verfügt. Communicator Web Access setzt die Authentifizierung der Clients mit einer der folgenden Methoden voraus: Formularbasierte Authentifizierung Integrierte Windows-Authentifizierung (NTLM/Kerberos) Formularbasierte Authentifizierung Die formularbasierte Authentifizierung kann von internen Benutzern verwendet werden (z. B. wenn ein anderes Betriebssystem als Microsoft Windows verwendet wird). Von Remotebenutzern muss sie verwendet werden. Bei der formularbasierten Authentifizierung wird eine Anmeldeseite mit den Anmeldeinformationen des Benutzers an den Server übermittelt. Mit dem Communicator Web Access-Authentifizierungsmodul und SSL wird die Verschlüsselung der Anmeldeinformationen gewährleistet. Integrierte Windows-Authentifizierung (NTLM und/oder Kerberos) Die integrierte Windows-Authentifizierung nutzt die Authentifizierung mit Kerberos V5 und NTLM. Sie steht nur internen Benutzern zur Verfügung. Standardmäßig wird NTLM verwendet (mit Ausnahme von Remotebenutzern), Sie können den Server jedoch so konfigurieren, dass nur Kerberos verwendet wird. Hinweis Wenn Benutzer von Internet Explorer bei der Anmeldung bei Communicator Web Access innerhalb des internen Netzwerks zur Eingabe ihrer Anmeldeinformationen aufgefordert werden, können Sie die Konfiguration von Internet Explorer ändern, um den Proxyserver für die Communicator Web Access-Site zu umgehen. Bereits authentifizierte Benutzer können sich bei dieser Konfiguration anmelden, ohne sich erneut authentifizieren zu müssen. Wenn Sie Internet Explorer für alle Benutzer so konfigurieren möchten, dass der Proxyserver umgangen wird, fügen Sie der Gruppenrichtlinie für Internet Explorer eine Proxyserverausnahme für die Communicator Web Access-Site (z. B. im.contoso.com) hinzu. Einmalige Anmeldung Communicator Web Access nutzt die einmalige Anmeldung. Wurde ein Benutzer bereits mit der integrierten Windows-Authentifizierung authentifiziert, ist für die Anmeldung bei Communicator Web Access keine erneute Eingabe der Domänenanmeldeinformationen erforderlich. Beispielsweise kann ein Benutzer bei der einmaligen Anmeldung für den Zugriff auf Communicator Web Access folgenden URI eingeben: https://server.contoso.com/[email protected] In diesem Beispiel ist [email protected] der SIP-Anmeldename des Benutzers. Wenn der Benutzer bereits mit der integrierten Windows-Authentifizierung authentifiziert wurde, wird Communicator Web Access ohne weitere Authentifizierungsanforderungen sofort geöffnet. Bei Remotebenutzern wird das Fenster zur formularbasierten Authentifizierung geöffnet. Sie können den Server auch so konfigurieren, dass Benutzernamen ohne Hostinformationen zulässig sind: https://server.contoso.com/benutzer Beide Einstellungen können in den Eigenschaften des Communicator Web Access-Servers auf der Registerkarte Authentifizierung konfiguriert werden. Handbuch für die Planung und Bereitstellung von Microsoft Office Communicator Web Access 25 Damit die einmalige Anmeldung möglich ist, müssen folgende Bedingungen erfüllt werden: Die Communicator Web Access-Site muss als Intranetsite erkannt werden oder auf dem Client in der Liste der vertrauenswürdigen Sites aufgeführt sein. Der Browser des Benutzers muss die integrierte Windows-Authentifizierung unterstützen. Der Benutzer muss mit seinen Domänenanmeldeinformationen am Computer angemeldet sein. Hinweis Das Erstellen von Code für die einmalige Anmeldung aus anderen Webanwendungen mithilfe dieser URIs wird nicht unterstützt und kann unerwartetes Verhalten zur Folge haben. Popupblocker Der Communicator Web Access-Server verwendet sowohl für interne Benutzer als auch für Remotebenutzer Popups. Popups werden beispielsweise für Desktopbenachrichtigungen bei eingehenden Sofortnachrichten und für Fenster für neue Unterhaltungen verwendet. Die Benutzer müssen ihre Popupblocker daher so konfigurieren, dass Popups von der Communicator Web Access-Site zugelassen werden. Für Clientbenutzer, die unterstützte Versionen von Firefox, Mozilla und Netscape Browser verwenden, ist zum Schutz vor Popups die Anzahl der gleichzeitig geöffneten Fenster begrenzt. Wenn sie von diesen Clients aus auf Communicator Web Access zugreifen, ist die Höchstanzahl schnell erreicht, wenn mehrere Unterhaltungsfenster oder Desktopbenachrichtigungen gleichzeitig geöffnet sind. In diesem Fall verhindert der Clientbrowser, dass weitere neue Fenster geöffnet werden. Dies kann dazu führen, dass Unterhaltungen oder Benachrichtigungen verpasst werden. Der Benutzer kann den Höchstwert für die Anzahl der zulässigen geöffneten Fenster ändern oder entfernen, um dieses Problem zu verhindern. Cookies Cookies werden vom Communicator Web Access-Server nach erfolgreicher Authentifizierung interner Benutzer und Remotebenutzer für den Client ausgestellt. Für eine ordnungsgemäße Funktion müssen die Clients daher Cookies vom Communicator Web Access-Server akzeptieren. Planen der Kapazität Während der Verwendung von Communicator Web Access können jederzeit ohne Unterbrechung Server hinzugefügt oder entfernt werden. Nicht einmal Clients, die zum Zeitpunkt der Änderung an Sofortnachrichtensitzungen teilnehmen, werden dabei beeinträchtigt. Dies ermöglicht Kunden ein Höchstmaß an Proaktivität bei der Planung von und Anpassung an Umstrukturierungen und Wachstum im Unternehmen. Entscheiden Sie sich für eine Konfiguration mit Lastenausgleich, wenn Sie bei geänderten Anforderungen jederzeit Server hinzufügen oder entfernen möchten. Das System zum Lastenausgleich stellt sicher, dass für die gesamte Sitzung eines Benutzers derselbe Communicator Web Access-Server verwendet wird. Einzelheiten finden Sie weiter hinten in diesem Handbuch unter „Lastenausgleich“. In diesem Abschnitt wird die Kapazitätsplanung für aktuelle und zukünftige Anforderungen erläutert. Erhöhen der Kapazität Im Lauf der Zeit kann eine regelmäßige Überwachung der Systemnutzung ergeben, dass die Communicator Web Access-Konfiguration während der normalen Nutzung nicht mehr den Anforderungen der Benutzer entspricht. Nachfolgend sind einige Methoden zur Erhöhung der Kapazität aufgeführt: 26 Handbuch für die Planung und Bereitstellung von Microsoft Office Communicator Web Access Vergrößern der Schwellenwerte für die Suche – Communicator Web Access enthält eine Schwellenwerteinstellung, die die Anzahl der gleichzeitig zulässigen Suchvorgänge bestimmt. Diese Einstellung kann in den globalen Einstellungen für Communicator Web Access konfiguriert werden. Verwenden Sie Microsoft Operations Manager, um zu überwachen, wie häufig der Höchstwert im Lauf der Zeit erreicht wird. Wenn der Höchstwert kontinuierlich erreicht wird und die Suchaktivität der normalen Nutzung entspricht, sollten Sie den Höchstwert für die Suche erhöhen. Dabei sind jedoch die Auswirkungen einer solchen Erhöhung auf die Leistung zu beachten. Weitere Informationen zur Verwendung von Microsoft Operations Manager finden Sie weiter hinten in diesem Handbuch im Abschnitt zum Management Pack für Microsoft Operations Manager. Optimieren der IIS 6.0-Skalierbarkeit – Wenn IIS 6.0 unter Microsoft Windows Server™ 2003 ausgeführt wird, verfügt es über eine neue Architektur und neue Features, die die Skalierbarkeit des Anwendungsservers erleichtern. Ausführliche Informationen zur Optimierung von IIS 6.0 finden Sie unter http://www.microsoft.com/technet/prodtechnol/WindowsServer2003/Library/IIS/2a4d9385-8cf8-448283d8-fa0adb8ffd96.mspx (in englischer Sprache) in den Abschnitten „Improving Scalability by Optimizing IIS 6.0 Queues“, „Improving Scalability by Optimizing IIS 6.0 Caches“ und „Additional Resources for IIS 6.0 Scalability“. Anpassen der IIS 6.0-Benutzerbegrenzung – Standardmäßig gilt für IIS 6.0 eine Begrenzung auf 8.000 Verbindungen. Diese Einstellung kann über folgenden Registrierungsschlüssel angepasst werden: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\HTTP\Parameters Wenn Sie den Höchstwert erhöhen möchten, erstellen Sie in diesem Pfad einen DWORD-Eintrag mit dem Namen „MaxConnections“, und legen Sie einen geeigneten Höchstwert mit einer angemessenen Toleranz für Spitzenzeiten fest. Wenn Sie beispielsweise 10.000 Verbindungen zulassen möchten, wird eine Einstellung von 20.000 (also der doppelte Wert) empfohlen. Wichtig Legen Sie für diesen Registrierungsschlüssel keinen unangemessen hohen Wert fest. Die Verbindungswarteschlange wird im Systemkernel verwaltet. Wenn die Warteschlange zu groß wird, könnte der physische Arbeitsspeicher im Systemkernel nicht mehr ausreichen. Ab einem bestimmten Punkt kann die Erhöhung von Schwellenwerten für die Suche und die Optimierung anderer Leistungseinstellungen ins Gegenteil umschlagen und die Leistung sogar beeinträchtigen. In diesem Fall können Sie entweder dem Enterprise-Pool weitere Server hinzufügen oder die Prozessorleistung bzw. den Arbeitsspeicher der vorhandenen Server erhöhen. Hinzufügen von Servern zum Communicator Web Access-Array – Wenn Ihre Communicator Web Access-Server als Array konfiguriert sind, können Sie dem Array ohne Unterbrechung des Betriebs zusätzliche Communicator Web Access-Server hinzufügen, wenn das Wachstum Ihres Unternehmens dies erfordert. Clients, die zum Zeitpunkt der Änderung an Sofortnachrichtensitzungen teilnehmen, werden davon nicht beeinträchtigt. Hinzufügen von Speicherkapazität – Die Datenspeicherung für Communicator Web Access wird von Live Communications Server verwaltet. Statische Daten wie Kontaktlisten und Zugriffssteuerungslisten (ACLs) werden als permanente Daten in der Back-End-Datenbank von Live Communications Server gespeichert. Befolgen Sie die Anleitungen und Prozeduren für Live Communications Server, um die BackEnd-Speicherkapazität zu erhöhen. Weitere Informationen finden Sie im Live Communications Server 2005 Enterprise Edition – Bereitstellungshandbuch, das auf der Seite mit Bereitstellungsressourcen für Live Communications Server unter http://office.microsoft.com/de-de/FX010908711031.aspx zur Verfügung steht. Überlegungen zur Leistung In diesem Abschnitt werden Möglichkeiten erörtert, die Leistung und Zuverlässigkeit einer Communicator Web Access-Bereitstellung zu verbessern. Handbuch für die Planung und Bereitstellung von Microsoft Office Communicator Web Access 27 Überlegungen zur Netzwerkleistung Die Leistung von Communicator Web Access kann nur so gut sein wie die Netzwerkleistung. Diese wird von folgenden Faktoren beeinflusst: Gerätegeschwindigkeit: Die Geschwindigkeit, mit der ein Gerät Pakete weiterleiten oder filtern kann. Netzwerkgeschwindigkeit: Die Bitrate der Netzwerkschnittstellen, Konnektivitätsgeräte oder Serverports. Filterung: Die durchgeführte Paketfilterung (die Inspektion von Paketen oberhalb Schicht 3 des OSISchichtmodells). Je höher die Filterebene, umso größer ist die Wahrscheinlichkeit von Leistungseinbußen. Bei Bedarf sollten zusätzliche CPU-Ressourcen hinzugefügt werden, um die Leistung wieder auf das gewünschte Niveau zu bringen. Verschlüsselung: Durch Verschlüsselung, beispielsweise auf VPN-Geräten, wird die Leistung des Netzwerkdatenverkehrs beeinträchtigt. Wenn die Zusatzbelastung zu groß ist und die Netzwerkleistung unter ein akzeptables Niveau sinkt, sollten die Geräte, auf denen die Verschlüsselung erfolgt, mit zusätzlichen CPU-Ressourcen ausgestattet werden, um die Leistung wieder auf das gewünschte Niveau zu bringen. Gerätezahl: Die Latenz der Gesamtleistung im Netzwerk nimmt mit zunehmender Anzahl von Geräten im Netzwerk zu. Untersuchen Sie das aktuelle Netzwerk auf Bereiche, die die Leistung Ihrer Communicator Web AccessBereitstellung beeinträchtigen könnten. Verfügbarkeitsplanung Die Konfiguration Ihrer Server für ein Höchstmaß an Verfügbarkeit und Zuverlässigkeit sollte ein kontinuierlicher, dynamischer Prozess mit ausgewogenem Kosten-Nutzen-Verhältnis sein. In diesem Abschnitt werden die Konzepte und Technologien erörtert, die zum Entwurf einer verfügbaren, zuverlässigen Communicator Web Access-Bereitstellung einschließlich eines Failovermechanismus und eines Systems zum Lastenausgleich beitragen. Bei der Planung eines hoch verfügbaren Netzwerks müssen Sie mehr als nur Communicator Web Access einbeziehen. In diesem Dokument werden jedoch nur die spezifischen Faktoren für Communicator Web Access erörtert. Beispielsweise wird in diesem Dokument der Ausfall von unterstützenden Komponenten (z. B. DNS, Active Directory, NTLM/Kerberos, Reverseproxys, Systemen zum Lastenausgleich, Firewall, Live Communications Server und CLR), von denen der Communicator Web Access-Server abhängig ist, nicht besprochen. Der Totalausfall oder mangelnde Konnektivität einer dieser zugrunde liegenden Komponenten kann Leistungseinbußen oder einen vollständigen Ausfall des Dienstes zur Folge haben. Allgemeine Informationen zur Verfügbarkeitsplanung finden Sie im Dokument „Overview of Planning for High Availability and Scalability“ (in englischer Sprache) unter http://www.microsoft.com/technet/prodtechnol/windowsserver2003/library/DepKit/45b2d082-234c-466b-9a417862f72a2288.mspx. Planen für hohe Verfügbarkeit Communicator Web Access verfügt als Maßnahme für Zuverlässigkeit und hohe Verfügbarkeit über einen Failovermechanismus. Es wird jedoch empfohlen, zusätzliche Personen und Prozesse einzusetzen und den Verfügbarkeitsplan kontinuierlich zu bewerten und anzupassen. Für hohe Verfügbarkeit ist in der Regel ein Rechenzentrum mit unterbrechungsfreier Stromversorgung, kontinuierlicher Wartung und kontinuierlichem Betrieb sowie ausgebildetem, erfahrenem Personal erforderlich. In diesem Abschnitt werden einige der Failovermechanismen von Communicator Web Access sowie weitere Maßnahmen zur Erhöhung von Zuverlässigkeit und Verfügbarkeit beschrieben. Folgende Themen werden behandelt: Failovermechanismus in Communicator Web Access Mechanismus zur Wiederholung von Verbindungsversuchen Fehlererkennung Fehlerbegrenzung 28 Handbuch für die Planung und Bereitstellung von Microsoft Office Communicator Web Access Überlastungskontrolle Sicherstellen einer stabilen Initialisierung Ausnahmebehandlung Failovermechanismus in Communicator Web Access Microsoft Office Communicator Web Access bietet Failoverunterstützung. Je nach Anforderungen und Budget stehen Ihnen eine Reihe von Optionen für Zuverlässigkeit und Verfügbarkeit zur Verfügung. Sie können die Verfügbarkeit verbessern, indem Sie die mittlere ausfallfreie Betriebszeit (Mean Time Between Failures, MTBF) erhöhen und die mittlere Zeit bis zur Wiederherstellung (Mean Time To Recover, MTTR) verringern. Zur Erhöhung der mittleren ausfallfreien Betriebszeit für Hardware stehen folgende Maßnahmen zur Verfügung: Doppelte Stromversorgungen Hotswapfähige Datenträger mit RAID Heatsink-Wärmesensoren Lüftersensoren Redundante Systeme Zur Senkung der mittleren Zeit bis zur Wiederherstellung stehen folgende Maßnahmen zur Verfügung: Frühzeitige Fehlererkennung Verwendung von Standbysystemen und redundanten Systemen Verwendung von Serverpools und Lastenausgleich Mechanismus zur Wiederholung von Verbindungsversuchen Der Failovermechanismus von Communicator Web Access umfasst einen Wiederherstellungsmechanismus zur Wiederholung von Clientverbindungsversuchen. Treten bei Verbindungsversuchen mit einem beliebigen Communicator Web Access-Server wiederholt Fehler auf, wird versucht, die Verbindung mit dem generischen DNS-Namen für die virtuelle IP-Adresse (VIP) des Systems zum Lastenausgleich herzustellen, damit der Client mit einem beliebigen verfügbaren Server im Array verbunden werden kann. Tritt eine kurze Netzwerkunterbrechung auf, versucht der Client, eine erneute Verbindung zum selben Server herzustellen. Kann die Verbindung innerhalb von zwei Minuten nicht wiederhergestellt werden, wird der Benutzer abgemeldet. Anschließend kann der Benutzer versuchen, sich erneut anzumelden. Für die neue Sitzung wird dann ein beliebiger verfügbarer Server verwendet. Der neue Communicator Web Access-Server im Wiederherstellungsprozess führt SIP-Optimierungen durch, damit sich der Fehler nicht repliziert und eine Überlastung einer Komponente im Live Communications ServerSystem verursacht. Die wiederhergestellte Verbindung hat keine Änderung des Benutzerstatus zur Folge. Es gehen lediglich die Daten verloren, die sich zum Zeitpunkt des Ausfalls zwischen den Endpunkten befanden. Fehlererkennung Der Failovermechanismus von Communicator Web Access umfasst die folgenden Fehlererkennungsmechanismen. Client zu Server Client von Server Live Communications Server von Server Active Directory von Server Handbuch für die Planung und Bereitstellung von Microsoft Office Communicator Web Access 29 Fehlerbegrenzung Im Fall eines Fehlers ist es wichtig, den Fehler zu isolieren und zu verhindern, dass er unmittelbar weitere Fehler verursacht. Beispielsweise können durch die Isolation von Servern für interne Benutzer von denen für Remotebenutzer Fehler auf eine Benutzergruppe beschränkt werden. Durch die Funktion zur Serverisolation wird sichergestellt, dass im Fall einer Systemüberlastung zwar die Leistung beeinträchtigt wird, das System jedoch nicht insgesamt ausfällt. Überlastungskontrolle Der Communicator Web Access-Server verwendet eine Drosselungsfunktion, um einen totalen Systemausfall und eine ganze Reihe von Folgefehlern zu verhindern, die durch den ursprünglichen Fehler verursacht werden. Der Drosselungsmechanismus verweigert und/oder verzögert Anmeldeversuche, um eine Systemüberlastung zu vermeiden. Der Überlastungsschutzmechanismus von Communicator Web Access verfügt über eine integrierte Dämpfung, um zu verhindern, dass normale, kurzfristige Verkehrsspitzen eine Überlastung verursachen. Ähnlich verhält es sich, wenn der Server bereits überlastet ist: Communicator Web Access behandelt ihn für kurze Zeit weiterhin als überlastet, damit er sich wieder stabilisieren kann. Durch diese Verzögerung wird verhindert, dass der Server sofort wieder in den Überlastungszustand versetzt wird. Auf Anmeldeanforderungen von Clients während einer Überlastung wird die Meldung angezeigt, dass der Server vorübergehend nicht verfügbar ist. So wird vermieden, dass der Server durch einen sofortigen erneuten Anmeldeversuch des Clients überlastet wird. Anmeldeanforderungen von Clients während einer Überlastung, bei der keine Bandbreite mehr verfügbar ist, gehen verloren, und im Client tritt ein Timeout auf. Sicherstellen einer stabilen Initialisierung Während des Failovers veranlasst Communicator Web Access einen Kaltstart des Servers. Dieser Neustart erfolgt unabhängig von der Startreihenfolge der anderen Komponenten und sorgt für eine stabile, vorhersehbare Initialisierung des Communicator Web Access-Servers oder -Arrays, der bzw. das den Dienst bereitstellt. Nach der stabilen Initialisierung können Communicator Web Access-Serverarrays einen Wechsel des Live Communications Servers und das Ausschalten einzelner Communicator Web Access-Server aus beliebigen Gründen, einschließlich eines Stromausfalls, tolerieren. Ausnahmebehandlung Ausnahmen treten auf, wenn auf dem Server oder im Array ein Failover-, Wiederherstellungs-, Initialisierungsoder Startprozess im Gange ist. Ausnahmen werden genauso behandelt wie Überlastungen: Anmeldeversuche von Clients werden verweigert, verzögert oder gehen verloren, bis sich das System stabilisiert hat. Lastenausgleich In diesem Abschnitt wird die Planung der Lastenverteilung auf mehrere Communicator Web Access-Server beschrieben, die ein Hardwaresystem zum Lastenausgleich nutzen. Der Lastenausgleich ist eine Art der Redundanz, die dazu beitragen kann, die Zuverlässigkeit und Verfügbarkeit von Communicator Web Access zu verbessern. Der Lastenausgleich ist ein Element horizontaler Cluster, bei denen mehrere Server für dieselbe Funktion im Netzwerk konfiguriert werden. Er kann aus folgenden Gründen notwendig sein: Bereitstellungsgröße: Wenn die Bereitstellung eine größere Kapazität erfordert, als ein einzelner Communicator Web Access-Server bieten kann, müssen mehrere Server bereitgestellt werden. Ein System zum Lastenausgleich stellt sicher, dass die Benutzerlast gleichmäßig auf allen Computern verteilt wird. Hohe Verfügbarkeit: Wenn Communicator Web Access für Ihre Organisation unternehmenswichtig ist, kann der Verlust von Communicator Web Access-Servern infolge eines Serverausfalls eine Katastrophe bedeuten. Als Teil des Entwurfs und der Implementierung Ihrer Communicator Web Access-Bereitstellung kann ein System zum Lastenausgleich dazu beitragen, hohe Verfügbarkeit und einen Schutz vor Überlastungen zu bieten, die Serverausfälle zur Folge haben können. 30 Handbuch für die Planung und Bereitstellung von Microsoft Office Communicator Web Access Ein System zum Lastenausgleich kann für den internen und externen Zugriff gleichermaßen genutzt werden, idealerweise mit einem dedizierten System für jeden Zugriffstyp. Alternativ können Sie ein einzelnes System zum Lastenausgleich sowohl für die Live Communications Server-Konnektivität als auch für Communicator Web Access verwenden. Dieser Aufbau beeinträchtigt mit hoher Wahrscheinlichkeit die Skalierbarkeit des Systems zum Lastenausgleich. Außerdem kann dadurch, dass beide Verkehrstypen ein einzelnes System zum Lastenausgleich durchlaufen, nicht sichergestellt werden, dass jede Serverbereitstellung dieselbe Kapazität aufweist. Funktionell hat es jedoch keinerlei Auswirkungen, wenn die beiden Verkehrstypen dasselbe System zum Lastenausgleich durchlaufen. Wie bei jeder Webanwendung ist für Communicator Web Access Affinität erforderlich. Communicator Web Access unterstützt alle Systeme zum Lastenausgleich, die Affinität zu HTTP- oder HTTPS-Clients bieten. Communicator Web Access unterstützt keine Topologien zum Netzwerklastenausgleich, da bei diesen Topologien die Clientaffinität nicht gewahrt wird. Wenn Sie auf Ihren Communicator Web Access-Servern einen Netzwerklastenausgleich einrichten, werden bei jedem Fehler oder Neustart eines Servers die Clientverbindungen neu im Communicator Web Access-Serverpool verteilt und die Benutzer getrennt. Die folgende Abbildung zeigt die Referenzarchitektur für den Lastenausgleich. Abbildung 5: Topologie für den Lastenausgleich Der HTTPS- und HTTP-Datenverkehr zwischen Client und Communicator Web Access-Server wird ebenso wie der SIP-Verkehr zwischen Live Communications Server und Communicator Web Access-Server über das System zum Lastenausgleich geleitet. Der Verwaltungsdatenverkehr zwischen Communicator Web AccessServer und Administrator (auf der vorherigen Abbildung nicht dargestellt) läuft nicht durch das System zum Lastenausgleich. Das Gleiche gilt für den DNS- und LDAP-Datenverkehr. Handbuch für die Planung und Bereitstellung von Microsoft Office Communicator Web Access 31 Hinweis Sie können Communicator Web Access auf beiden Seiten des Hardwaresystems zum Lastenausgleich bereitstellen. Die Verbindungen zwischen Communicator Web Access und Live Communications Server bestehen ausschließlich aus Client-SIP-Datenverkehr. Konfigurieren von Topologien zum Lastenausgleich Topologien zum Lastenausgleich lassen sich mit drei Netzwerkattributen beschreiben: Verwendeter NAT-Typ (Network Address Translation, Netzwerkadressübersetzung) Anzahl der verwendeten Knoten Anzahl der verwendeten Teilnetze Beim Lastenausgleich wird NAT auf Schicht 2 und 3 des TCP/IP-Stapels verwendet. Es gibt drei NAT-Typen: Ziel-NAT (Halb-NAT) Quell-NAT (Voll-NAT) Direct Server Return (Out-of-Path-Modus) Systeme zum Lastenausgleich können als unabhängiger Knoten (Ein-Arm-Topologie) oder als zwischengeschaltetes Gerät (Zwei-Arm-Topologie) zwischen den Communicator Web Access-Servern und dem übrigen Netzwerk mit dem Netzwerk verbunden werden. Topologien zum Lastenausgleich können durch die Anzahl der verwendeten Teilnetzadressen weiter klassifiziert werden. Ein Teilnetz ist ein Bereich von IP-Adressen, der mit der niedrigsten IP-Adresse im Bereich und der Subnetmask angegeben wird. Eine umfassende Erörterung von NAT und der Verwendung von Teilnetzen würde den Rahmen dieses Dokuments sprengen. Weitere Informationen finden Sie in folgendem Referenzmaterial: NAT Technical Reference (in englischer Sprache) unter http://www.microsoft.com/technet/prodtechnol/windowsserver2003/library/TechRef/fd23047b-2b5a-42b3aa14-2b7c1cd4be81.mspx TCP/IP Technical Reference (in englischer Sprache) unter http://www.microsoft.com/technet/prodtechnol/windowsserver2003/library/TechRef/58511c7c-fb5c-4186aa69-6f598d59a973.mspx Unterstützte Konfigurationen für den Lastenausgleich In diesem Abschnitt werden die unterstützten Lastenausgleichskonfigurationen für den Zugriff durch interne und externe Clients beschrieben. Alle unterstützten Konfigurationen erfüllen die Anforderung an die Beibehaltung des Zustands von Benutzersitzungen. Beim System zum Lastenausgleich wird dies, je nach verwendetem System, durch Cookieinspektion, IP-Adresse oder einen anderen Mechanismus erreicht. Das System zum Lastenausgleich stellt sicher, dass für die gesamte Sitzung eines Benutzers derselbe Communicator Web Access-Server verwendet wird. Hinweis Multihoming-Netzwerkadapter oder mehrere Netzwerkadapter mit verschiedenen IP-Adressen werden für den Lastenausgleich in Communicator Web Access nicht unterstützt. Für Communicator Web Access werden die folgenden Konfigurationen für den Lastenausgleich unterstützt: 32 Handbuch für die Planung und Bereitstellung von Microsoft Office Communicator Web Access Tabelle 5: Unterstützte Konfigurationen für den Lastenausgleich NAT-Typ Unterstützte Konfigurationen Ziel-NAT Zwei Arme, ein IP-Teilnetz Zwei Arme, zwei IP-Teilnetze Ein Arm, zwei IP-Teilnetze Quell-NAT Zwei Arme, ein IP-Teilnetz Zwei Arme, zwei IP-Teilnetze Ein Arm, ein IP-Teilnetz Ein Arm, zwei IP-Teilnetze Direct Server Return Ein Arm, ein IP-Teilnetz Ein Arm, zwei IP-Teilnetze Zwei Arme, ein IP-Teilnetz Zwei Arme, zwei IP-Teilnetze Nicht unterstützte Konfigurationen für den Lastenausgleich Die folgenden Konfigurationen für den Lastenausgleich werden für Communicator Web Access nicht unterstützt: Ziel-NAT mit einem Arm und einem IP-Teilnetz Netzwerklastenausgleich SSL Accelerators Ein System zum Lastenausgleich kann als SSL Accelerator verwendet werden, wenn es für die Durchführung der SSL-Entschlüsselung konfiguriert wird. Durch eine derartige Konfiguration kann die Belastung des Communicator Web Access-Servers verringert und damit die Leistung verbessert werden. Bei diesem Szenario entschlüsselt das System zum Lastenausgleich den HTTPS-Datenverkehr und übergibt ihn als HTTP-Datenverkehr an den Communicator Web Access-Server. Da die Daten zwischen dem System zum Lastenausgleich und Communicator Web Access unverschlüsselt übertragen werden, wird eine Sicherung des Datenverkehrs vor unbefugtem Zugriff empfohlen. Anforderungen an die Konnektivität Für einen erfolgreichen Lastenausgleich der Communicator Web Access-Server müssen die folgenden Konnektivitätsanforderungen erfüllt sein: Die virtuelle IP-Adresse (VIP) des Systems zum Lastenausgleich muss ARP (Address Resolution Protocol) unterstützen. Die VIP des Systems zum Datenausgleich darf, einschließlich vollqualifiziertem Domänennamen des Pools, nur eine einzige DNS-Registrierung aufweisen. Die VIP-Adresse des Systems zum Lastenausgleich muss mindestens einen Clientport aufweisen. Mögliche Ports sind TCP-Port 80, SSL-Port 443 oder ein vom Systemadministrator definierter Port. Das System zum Lastenausgleich muss die HTTP-/SSL-Affinität unterstützen. Die Communicator Web Access-Server müssen über Active Directory-Zugriff verfügen. Der Verwaltungscomputer muss unter Umgehung des Systems zum Lastenausgleich direkte Verbindungen mit allen dahinter liegenden Communicator Web Access-Servern herstellen können. Jeder Communicator Web Access-Server hinter dem System zum Lastenausgleich muss in der Lage sein, Verbindungen mit Live Communications Server (Server oder Pool) mithilfe von Mutual TLS (MTLS) an Port 5061 herzustellen. Handbuch für die Planung und Bereitstellung von Microsoft Office Communicator Web Access 33 Konfigurationsanforderungen für das System zum Lastenausgleich Für einen erfolgreichen Lastenausgleich der Communicator Web Access-Server müssen die folgenden Konfigurationsanforderungen für das System zum Lastenausgleich erfüllt sein. Das System zum Lastenausgleich muss den Communicator Web Access-Server über einen von diesem geöffneten TCP-Port (in der Regel 80/443) mittels „ping“ erreichen können. Das Wiederholungsintervall zur Überprüfung des Lastenausgleichdienstes und das TCP-Leerlauftimeout müssen konfigurierbar sein und auf 30 bzw. 92 Sekunden eingestellt werden. Das System zum Lastenausgleich muss entweder die IP-Adressweiterleitung oder Quell-NAT (Netzwerkadressübersetzung) unterstützen. Wenn das System zum Lastenausgleich nur Quell-NAT unterstützt, aber nicht die IP-Adressweiterleitung, dann ist bei mehr als 65.000 gleichzeitigen Verbindungen die Unterstützung von Quell-NAT-Pools erforderlich. Konfigurationsempfehlungen für das System zum Lastenausgleich Für einen optimalen Lastenausgleich sollte das System zum Lastenausgleich die folgende empfohlene Konfiguration aufweisen. Das System zum Lastenausgleich sollte für jeden dahinter liegenden Communicator Web Access-Server eine Einstellung für die maximale Verbindungsanzahl aufweisen. Das System zum Lastenausgleich sollte in der Lage sein, langsam zu starten und die Belastung der Server nach und nach zu erhöhen. Das TCP-Leerlauftimeout sollte mindestens zweimal so groß sein wie das maximale Clientabrufintervall. Überprüfen einer erfolgreichen Konfiguration für den Lastenausgleich Überprüfen Sie Folgendes, um die erfolgreiche Konfiguration des Systems zum Lastenausgleich sicherzustellen. So überprüfen Sie den LDAP-/DNS-Datenverkehr Führen Sie auf jedem Communicator Web Access-Server hinter dem System zum Lastenausgleich die folgenden LDAP-/DNS-Prüfungen durch, um eine korrekte LDAP-/DNS-Konfiguration sicherzustellen. 1. Stellen Sie sicher, dass der Domänencontroller und der globale Katalogserver auf eine Anfrage an ihre IPAdresse mit „ping“ erfolgreich antworten. 2. Stellen Sie sicher, dass der Domänencontroller und der globale Katalogserver auf eine Anfrage an ihre IPAdresse mit „ping -a“ erfolgreich antworten und der DNS-Name erfolgreich aufgelöst wird. 3. Stellen Sie sicher, dass mithilfe von Ldp.exe sowohl mit dem Domänencontroller als auch mit dem globalen Katalogserver erfolgreich eine Verbindung hergestellt werden kann. Wenn jeder Communicator Web Access-Server die genannten Prüfungen erfolgreich besteht, überprüfen Sie den HTTP-/HTTPS-Datenverkehr auf den Clients und den SIP-Datenverkehr auf den Servern. Für diese Prüfungen müssen Sie zunächst eine Umgebung vorbereiten. So bereiten Sie die Prüfungsumgebung vor 1. Richten Sie zwei Clientcomputer ein (Client A und Client B), und aktivieren Sie für das zu testende Array zwei Benutzer (Benutzer A und Benutzer B). Das getestete Communicator Web Access-Array sollte aus nur zwei Servern bestehen. 2. Öffnen Sie auf jedem der Communicator Web Access-Server im getesteten Pool das Systemmonitor-SnapIn. Klicken Sie dazu auf Start, zeigen Sie auf Alle Programme und Verwaltung, und klicken Sie dann auf Leistung. 3. Erweitern Sie in der Konsolenstruktur Leistung den Eintrag Leistungsprotokolle und Warnungen. 34 Handbuch für die Planung und Bereitstellung von Microsoft Office Communicator Web Access 4. Klicken Sie mit der rechten Maustaste auf Leistungsindikatorenprotokolle, und klicken Sie auf Neue Protokolleinstellungen. Geben Sie im Dialogfeld Neue Protokolleinstellungen unter Name einen Namen für das Protokoll ein. Klicken Sie im Eigenschaftenblatt auf der Registerkarte Allgemein auf Leistungsindikatoren hinzufügen. Klicken Sie im Dialogfeld Leistungsindikatoren hinzufügen unter Leistungsobjekt auf CWA - 03 - Benutzersitzungsdienst. Klicken Sie in der Liste der Leistungsindikatoren nacheinander auf CWA - 002 - Sitzungen, auf Hinzufügen und dann auf Schließen. Klicken Sie auf OK. 5. Öffnen Sie auf Client A und Client B den Browser Internet Explorer, und geben Sie dann den Communicator Web Access-URI für den Pool von zwei Servern ein. 6. Melden Sie sich als Benutzer A bei Client A und dann als Benutzer B bei Client B an. So überprüfen Sie die Konfiguration Führen Sie die folgenden Prüfungen durch, um die HTTP-/HTTPS-Konfiguration der Clients und die SIPKonfiguration von Live Communications Server für den Communicator Web Access-Server auf ihre Korrektheit zu überprüfen. 1. Wenn Sie eine Methode zum Lastenausgleich verwenden, die Verbindungen von zwei Clients mit demselben Server verhindert (z. B. die Roundrobinmethode oder die Methode der geringsten Verbindungszahl), überprüfen Sie, ob der Leistungsindikator CWA - 002 - Sitzungen für jeden Server eine einzelne Verbindung anzeigt. 2. Überprüfen Sie, ob der bei Client B angemeldete Benutzer B nach Benutzer A suchen und Benutzer A der Kontaktliste von Benutzer B hinzufügen kann. 3. Überprüfen Sie, ob der bei Client A angemeldete Benutzer A nach Benutzer B suchen und Benutzer B der Kontaktliste von Benutzer A hinzufügen kann. 4. Überprüfen Sie, ob die folgenden Funktionen erwartungsgemäß funktionieren: Sofortnachrichtenaustausch Ändern der Anwesenheitsinformationen Blockieren und Zulassen einzelner Kontakte auf jedem Client Löschen von Kontakten auf jedem Client 5. Überprüfen Sie, ob beim Entfernen des Netzwerkkabels zwischen dem System zum Lastenausgleich und einem der Communicator Web Access-Server der mit diesem Server verbundene Client innerhalb weniger Minuten abgemeldet wird. 6. Überprüfen Sie, ob der Benutzer, wenn er auf dem im vorherigen Schritt abgemeldeten Client auf die Schaltfläche Anmelden klickt, erfolgreich mit dem noch verbundenen Communicator Web Access-Server verbunden wird. 7. Überprüfen Sie, ob der Leistungsindikator CWA - 002 - Sitzungen auf dem verbleibenden Server zwei Verbindungen anzeigt. Planen der Notfallwiederherstellung Bevor Communicator Web Access in einer Produktionsumgebung bereitgestellt wird, ist es wichtig, durchdachte und erprobte Notfallwiederherstellungsstrategien zur Hand zu haben. Mithilfe dieser Strategien können Sie infolge eines Notfalls ausgefallene Messagingdienste für Ihre Benutzer schnell wiederherstellen. Pläne für die Notfallwiederherstellung beinhalten in der Regel die Durchführung von Sicherungen, um das Risiko von Datenträgerabstürzen und Standortausfällen zu mildern. Für Communicator Web Access werden die Benutzerinformationen jedoch in Active Directory und Live Communications Server gespeichert, es gibt also keine für Communicator Web Access-Server spezifischen Benutzerinformationen, die gesichert werden müssten. Es wird jedoch empfohlen, eine Sicherungskopie der Serverkonfiguration sowie Ersatzserverhardware bereitzuhalten, die im Fall eines Ausfalls installiert werden kann. Handbuch für die Planung und Bereitstellung von Microsoft Office Communicator Web Access 35 Die Sicherung von spezifischen Konfigurationsinformationen der Communicator Web Access-Server erfolgt über Communicator Web Access Manager. Verwenden Sie das Import/Export-Feature in Communicator Web Access Manager, um die Serverkonfiguration im XML-Format zu sichern. Anhand dieses XML-Codes kann ein neuer Server in dem darin abgebildeten Zustand wiederhergestellt werden. Die Vorgehensweise zur Wiederherstellung wird im folgenden Abschnitt beschrieben. Standbywiederherstellungsserver Sofern das Budget dies zulässt, sollten Sie zusätzliche Computer bereithalten, die Sie im Fall eines Notfalls als Wiederherstellungsserver verwenden können. Die meisten Unternehmen gehen in ihrer IT-Organisation zu einem Modell von einsatzsynchronen Inventaren über. Unternehmen schließen Verträge mit Hardwareanbietern und -lieferanten ab. Im Vertrag ist ein Servicelevel (Service Level Agreement, SLA) vereinbart, dem entsprechend im Katastrophenfall innerhalb weniger Stunden bestimmte Hardwareteile geliefert werden müssen. Der Vorteil dieser Methode ist, dass nicht mehrere überzählige Server ungenutzt im Inventar verbleiben. Für einen Standbyserver gelten die folgenden Anforderungen: Der Server muss eine saubere Installation von Windows Server 2003 und nichts anderes enthalten. Sie benötigen die Konfigurationsdateien aller Communicator Web Access-Server, die zuvor exportiert wurden und verfügbar sind. Übertragung des Dienstes von einem ausgefallenen Server auf einen Standbyserver Bei einem Ausfall eines Communicator Web Access-Servers muss der Dienst manuell auf den Ersatzserver übertragen werden. So übertragen Sie den Dienst von einem ausgefallenen Server auf einen Standbyserver 1. Fügen Sie den Standbyserver der Domäne hinzu. 2. Installieren Sie IIS 6.0 auf dem Standbyserver. 3. Installieren Sie .NET Framework, Version 2.0, auf dem Standbyserver. 4. Beziehen Sie geeignete SSL- und MTLS-Zertifikate für den Standbyserver. 5. Installieren Sie Communicator Web Access auf dem Standbyserver. 6. Aktivieren Sie den Server, erstellen Sie aber keinen virtuellen Server. 7. Importieren Sie mit Communicator Web Access Manager die Konfigurationsdateien, die zuvor von den noch funktionsfähigen virtuellen Communicator Web Access-Servern auf den Wiederherstellungsserver exportiert wurden. 8. Konfigurieren Sie mithilfe von Communicator Web Access Manager das SSL-Zertifikat für die virtuellen Server. Wenn der ausgefallene Server Teil eines Pools von Communicator Web Access-Servern hinter einem System zum Lastenausgleich ist, können Sie entweder die IP-Adresse des ausgefallenen Servers wiederverwenden oder das System zum Lastenausgleich so konfigurieren, dass es auf die neue IP-Adresse des Standbyservers zeigt. Gehört der ausgefallene Server keinem Pool an, sollten Sie den DNS-Server so konfigurieren, dass der vollqualifizierte Domänenname auf die neue IP-Adresse zeigt. Wenn Sie keinen DNS-Server verwenden, können Sie die IP-Adresse des ausgefallenen Servers für den Standbyserver wiederverwenden. 36 Handbuch für die Planung und Bereitstellung von Microsoft Office Communicator Web Access Bereitstellung In diesem Abschnitt werden Prozeduren für das Einrichten von Communicator Web Access erläutert. Er enthält Folgendes: Übersicht Vorbereiten des Servers Communicator Web Access installieren Konfigurationsverfahren SSL-Veröffentlichung mithilfe von ISA Server 2004 SP1 oder einem anderen Produkt Servermanagement Überwachung und Leistung Übersicht über das Setup von Communicator Web Access Communicator Web Access kann in der bestehenden Infrastruktur bereitgestellt werden, sofern die Anforderungen unter „Anforderungen für Communicator Web Access“ weiter vorne in diesem Handbuch erfüllt sind. Die Bereitstellung von Communicator Web Access auf einem Server umfasst Vorbereitungs-, Installations-, Aktivierungs- und Konfigurationsschritte. Tabelle 6 zeigt eine Übersicht der erforderlichen Schritte. Ausführliche Anweisungen finden Sie im Anschluss an die Tabelle. Tabelle 6: Übersicht über das Setup von Communicator Web Access Phase Vorbereitung Schritte 1. Installieren Sie Windows Server 2003, das neueste Service Pack und die erforderlichen Updates. 2. Fügen Sie den Server einer Active Directory-Domäne hinzu. 3. Installieren Sie IIS 6.0. 4. Installieren Sie .NET Framework 2.0. 5. Fordern Sie die folgenden Zertifikate an, und installieren Sie sie im Zertifikatspeicher für den lokalen Computer: Ein Computerzertifikat für MTLS, das den vollqualifizierten Domänennamen (FQDN) des Communicator Web Access-Servers als gemeinsamen Namen festlegt. Ein Webserverzertifikat für HTTPS. 6. Installieren Sie, falls erforderlich, die Zertifikatskette der Zertifizierungsstelle im Knoten Vertrauenswürdige Stammzertifizierungsstellen des Zertifikatspeichers für den lokalen Computer. Handbuch für die Planung und Bereitstellung von Microsoft Office Communicator Web Access 37 Phase Schritte Installieren von Communicator Web Access 1. Melden Sie sich mit einem Konto, das Mitglied der Administratorgruppe sowie der Gruppen „Domänen-Admins“ und „RTCDomainServerAdmins“ ist, am Server an. 2. Öffnen Sie das Microsoft Office Communicator Web Access-Bereitstellungstool, und führen Sie folgende Schritte aus: Installieren Sie Communicator Web Access. Aktivieren Sie Communicator Web Access. Wählen Sie im Assistenten das MTLS-Computerzertifikat aus, das Sie zuvor installiert haben. Erstellen Sie einen virtuellen Server. Wählen Sie im Assistenten das HTTPSZertifikat des Webservers aus, das Sie während der Vorbereitung installiert haben. 3. Erstellen Sie je nach Bedarf weitere virtuelle Server. Vorbereiten der Clients und Anmelden bei Communicator Web Access 1. Konfigurieren Sie in Active Directory Benutzerkonten, indem Sie sie für Live Communications aktivieren, SIP-Namen eingeben und den Zugriff für Remotebenutzer aktivieren. 2. Melden Sie sich über den URI https://<Vollqualifizierter_Domänenname_des_Servers> bei Communicator Web Access an. Vorbereitung In diesem Abschnitt wird die Vorbereitung des Servers für die Installation von Communicator Web Access und die Anforderung der erforderlichen Zertifikate beschrieben. Vorbereiten des Servers für die Installation Ihre Umgebung muss die im Abschnitt „Anforderungen für Communicator Web Access“ weiter vorne in diesem Handbuch beschriebenen Anforderungen erfüllen. Führen Sie die folgenden Schritte aus, um den Server als Communicator Web Access-Server vorzubereiten, und führen Sie erst dann das Bereitstellungstool aus. So bereiten Sie den Server auf die Installation von Communicator Web Access vor 1. Installieren Sie Windows Server 2003 auf dem Communicator Web Access-Server. Installieren Sie Windows Server 2003 Service Pack 1 (SP1) und die neuesten Updates. 2. Fügen Sie den Server einer Active Directory-Domäne hinzu. Sie müssen den Server derselben Active Directory-Gesamtstruktur und -Domäne hinzufügen wie Live Communications Server 2005 mit SP1. 3. Installieren Sie IIS 6.0 auf dem Communicator Web Access-Server. 4. Installieren Sie .NET Framework 2.0 auf dem Communicator Web Access-Server. 5. Konfigurieren Sie auf dem Communicator Web Access-Server eine statische IP-Adresse (optional) und die Namensauflösung. 6. Fordern Sie die folgenden Zertifikate an, und installieren Sie sie im Zertifikatspeicher des lokalen Computers: 7. Ein Computerzertifikat für MTLS, das den vollqualifizierten Domänennamen (FQDN) des Communicator Web Access-Servers als gemeinsamen Namen festlegt. Ein Webserverzertifikat für HTTPS. Die Anforderungen für dieses Zertifikat sind davon abhängig, ob Sie die Standard Edition oder die Enterprise Edition von Live Communications Server verwenden. Einzelheiten finden Sie im Abschnitt „Planen von Zertifikaten“ weiter vorne in diesem Handbuch. Installieren Sie, falls erforderlich, die Zertifikatskette der Zertifizierungsstelle im Knoten Vertrauenswürdige Stammzertifizierungsstellen des Zertifikatspeichers für den lokalen Computer. 38 Handbuch für die Planung und Bereitstellung von Microsoft Office Communicator Web Access Vorbereiten der Zertifikate für Communicator Web Access Der Communicator Web Access-Server benötigt je ein Zertifikat für MTLS und HTTPS. Diese Zertifikate müssen bereits vor dem Setup von Communicator Web Access auf dem Server installiert sein. Ausführliche Informationen zur Konfiguration der erforderlichen Zertifikate finden Sie im Abschnitt „Planen von Zertifikaten“ weiter vorne in diesem Handbuch. Wichtig Die MTLS-Verbindung kann nur dann hergestellt werden, wenn der Antragstellername im MTLS-Zertifikat dem vollqualifizierten Domänennamen des Communicator Web Access-Servers entspricht. Nachfolgend wird beschrieben, wie Sie die Zertifikatskette von der Windows Server 2003Stammzertifizierungsstelle des Unternehmens herunterladen und eine Vertrauensstellung für sie einrichten und wie Sie das Zertifikat mit dem vollqualifizierten Domänennamen des Communicator Web Access-Servers anfordern. Während des Setups von Communicator Web Access werden Sie aufgefordert, dieses Zertifikat auszuwählen. Herunterladen der Zertifikatskette von der Zertifizierungsstelle und Einrichten einer Vertrauensstellung Wenn Sie die PKI (Public Key Infrastructure, Infrastruktur öffentlicher Schlüssel) von Microsoft Windows Server 2003 verwenden und die automatische Registrierung eingerichtet haben, können in Active Directory authentifizierte Benutzer mithilfe einer Gruppenrichtlinie automatisch für ein Zertifikat registriert werden. Informationen zu den Best Practices für PKI finden Sie im Dokument „Best Practices for Implementing a Microsoft Windows Server 2003 Public Key Infrastructure“ (in englischer Sprache) unter http://www.microsoft.com/technet/prodtechnol/windowsserver2003/technologies/security/ws3pkibp.mspx. Wenn Sie eine andere PKI-Infrastruktur verwenden oder die automatische Registrierung nicht implementiert wurde, gehen Sie folgendermaßen vor, um eine Zertifikatskette herunterzuladen und ein Zertifikat für den Computer anzufordern. Wir empfehlen, keinesfalls die Webregistrierungskomponente für Computer außerhalb des geschützten internen Netzwerks zu verwenden. Bei der folgenden Vorgehensweise wird vorausgesetzt, dass der Server und der Benutzer über das physische Netzwerk und die Webregistrierung für Zertifikatsdienste auf die interne Zertifizierungsstelle zugreifen können. So laden Sie den Zertifizierungspfad der Zertifizierungsstelle herunter 1. Melden Sie sich als Mitglied der Administratorgruppe am Server an. 2. Klicken Sie auf Start und dann auf Ausführen. Geben Sie http://<Zertifizierungsstellen_Servername>/certsrv im Feld Öffnen ein, und klicken Sie dann auf OK. Wenn die Zertifizierungsstelle einen vom Standard (Port 80) abweichenden Port verwendet, geben Sie stattdessen http://<computername>[:<portnummer>]/certsrv ein. 3. Klicken Sie unter Wählen Sie einen Task auf Download eines Zertifizierungsstellenzertifikats, einer Zertifikatkette oder einer Zertifikatsperrliste. 4. Klicken Sie unter Download eines Zertifizierungsstellenzertifikats, einer Zertifikatkette oder einer Zertifikatsperrliste auf Download der Zertifizierungsstellen-Zertifikatkette. 5. Klicken Sie im Dialogfeld Dateidownload auf Speichern. 6. Speichern Sie die Datei auf der Festplatte Ihres Servers. Die Dateierweiterung lautet P7B. Wenn Sie die P7B-Datei öffnen, finden Sie eine Kette mit den folgenden beiden Zertifikaten: Das Zertifikat <Name der Stammzertifizierungsstelle des Unternehmens> Das Zertifikat <Name der untergeordneten Zertifizierungsstelle des Unternehmens> Handbuch für die Planung und Bereitstellung von Microsoft Office Communicator Web Access 39 So installieren Sie den Zertifizierungsstellen-Zertifizierungspfad 1. Klicken Sie auf Start und dann auf Ausführen. Geben Sie im Feld Öffnen die Zeichenfolge mmc ein, und klicken Sie anschließend auf OK. 2. Klicken Sie im Menü Datei auf Snap-In hinzufügen/entfernen. 3. Klicken Sie im Dialogfeld Snap-In hinzufügen/entfernen auf Hinzufügen. 4. Wählen Sie in der Liste Verfügbare eigenständige Snap-Ins die Option Zertifikate aus. 5. Klicken Sie auf Hinzufügen. 6. Wählen Sie Computerkonto aus, und klicken Sie dann auf Weiter. 7. Stellen Sie im Dialogfeld Computer auswählen sicher, dass Lokalen Computer (Computer, auf dem diese Konsole ausgeführt wird) ausgewählt ist, und klicken Sie dann auf Fertig stellen. 8. Klicken Sie auf Schließen und dann auf OK. 9. Erweitern Sie im linken Bereich der Konsole Zertifikate die Option Zertifikate (Lokaler Computer). 10. Erweitern Sie Vertrauenswürdige Stammzertifizierungsstellen. 11. Klicken Sie mit der rechten Maustaste auf Zertifikate, zeigen Sie auf Alle Tasks, und klicken Sie dann auf Importieren. 12. Klicken Sie im Zertifikatimport-Assistenten auf Weiter. 13. Klicken Sie auf Durchsuchen, und wechseln Sie zum Speicherort der Zertifikatskette. Markieren Sie die P7B-Datei, und klicken Sie dann auf Öffnen. 14. Klicken Sie auf Weiter. 15. Übernehmen Sie den Standardwert Alle Zertifikate in folgendem Speicher speichern. Stellen Sie sicher, dass unter Zertifikatspeicher der Eintrag Vertrauenswürdige Stammzertifizierungsstellen angezeigt wird. 16. Klicken Sie auf Weiter. 17. Klicken Sie auf Fertig stellen. So fordern Sie ein Zertifikat an 1. Öffnen Sie einen Webbrowser, geben Sie den URL http://<Zertifizierungsstellen_Servername>/certsrv ein, und drücken Sie die EINGABETASTE. 2. Klicken Sie auf Zertifikat anfordern. 3. Klicken Sie auf Erweiterte Zertifikatanforderung. 4. Klicken Sie auf Eine Anforderung an diese Zertifizierungsstelle erstellen und einreichen. 5. Wählen Sie unter Zertifikatvorlage den Eintrag Webserver aus. 6. Geben Sie im Feld Identifikationsinformationen für Offlinevorlage den vollqualifizierten Domänennamen des Communicator Web Access-Servers ein. 7. Aktivieren Sie unter Schlüsseloptionen das Kontrollkästchen Zertifikat in lokalem Zertifikatspeicher aufbewahren. 8. Klicken Sie auf Einsenden. 9. Klicken Sie im Dialogfeld Mögliche Skriptingverletzung auf Ja. 40 Handbuch für die Planung und Bereitstellung von Microsoft Office Communicator Web Access So installieren Sie das Zertifikat auf dem Server 1. Klicken Sie auf Dieses Zertifikat installieren. Klicken Sie im Dialogfeld Mögliche Skriptingverletzung auf Ja. 2. Klicken Sie auf Start und dann auf Ausführen. Geben Sie im Feld Öffnen die Zeichenfolge mmc ein, und klicken Sie anschließend auf OK. 3. Klicken Sie im Menü Datei auf Snap-In hinzufügen/entfernen. 4. Klicken Sie im Dialogfeld Snap-In hinzufügen/entfernen auf Hinzufügen. 5. Wählen Sie in der Liste Verfügbare eigenständige Snap-Ins die Option Zertifikate aus. 6. Klicken Sie auf Hinzufügen. 7. Wählen Sie Computerkonto aus, und klicken Sie dann auf Weiter. 8. Stellen Sie im Dialogfeld Computer auswählen sicher, dass Lokalen Computer (Computer, auf dem diese Konsole ausgeführt wird) ausgewählt ist, und klicken Sie dann auf Fertig stellen. 9. Klicken Sie auf Schließen und dann auf OK. 10. Erweitern Sie im linken Bereich der Konsole Zertifikate den Knoten Zertifikate (Lokaler Computer), erweitern Sie dann Vertrauenswürdige Stammzertifizierungsstellen, und klicken Sie auf Zertifikate. 11. Überprüfen Sie, ob das Zertifikat, das Sie für den Communicator Web Access-Server mit diesem vollqualifizierten Domänennamen angefordert haben, aufgeführt ist. Wenn es nicht aufgeführt ist, kopieren Sie es aus dem Ordner Eigene Zertifikate in den Ordner Vertrauenswürdige Stammzertifizierungsstellen, Zertifikate. Installieren von Communicator Web Access In diesem Abschnitt werden die Vorgehensweisen zur Installation der Communicator Web Access-Server und -Clients beschrieben. Damit Sie die in diesem Abschnitt beschriebenen Vorgehensweisen durchführen können, müssen Sie als Mitglied der Administratorgruppe und der Gruppe „Domänen-Admins“ angemeldet sein. Beim Setup von Communicator Web Access werden mithilfe des Communicator Web AccessBereitstellungstools die folgenden Schritte ausgeführt: 1. Installieren von Communicator Web Access. Installieren Sie die zum Aktivieren und Bereitstellen von Communicator Web Access erforderlichen Dateien. 2. Aktivieren von Communicator Web Access. Erstellen Sie in Active Directory ein Dienstkonto (mit dem Standardnamen „CWAService“). Sie müssen Communicator Web Access installieren, bevor Sie den Server aktivieren können. 3. Erstellen eines virtuellen Servers. Erstellen Sie den ersten virtuellen Communicator Web Access-Server in IIS 6.0. Sie können später in Communicator Web Access Manager weitere virtuelle Server einrichten. 4. (Optional) Installieren des Verwaltungs-Snap-Ins für Communicator Web Access. Standardmäßig wird Communicator Web Access Manager im ersten Schritt auf dem Computer installiert. Sie können mithilfe dieser Option Communicator Web Access Manager nachträglich auf anderen Computern hinzufügen. Diese Schritte werden in den folgenden Abschnitten ausführlich beschrieben: Anstelle der nachfolgend beschriebenen Bereitstellungstools können Sie zur Installation von Communicator Web Access auch die Befehlszeilenmethode verwenden und die Protokollierung aufrufen. Kopieren Sie die Installationsdateien auf die Festplatte des Communicator Web Access-Servers. Öffnen Sie im Verzeichnis ..\i386\MSI der Installationsdateien eine Eingabeaufforderung, und führen Sie einen der folgenden Befehle aus, um jeden Schritt zu protokollieren: Msiexec.exe /i CWA.msi [/lv <Protokolldateiname>.txt] Handbuch für die Planung und Bereitstellung von Microsoft Office Communicator Web Access 41 Runts.exe /user:<Domäne\Admin> "Msiexec.exe /I <vollständiger_Pfad_der_MSI-Datei>" Hinweis Wenn Sie Communicator Web Access auf einem Computer installieren möchten, auf dem Communicator Web Access Manager bereits installiert ist, müssen Sie Communicator Web Access Manager zunächst entfernen. Installieren von Communicator Web Access mithilfe der Bereitstellungstools Vor der Bereitstellung von Microsoft Office Communicator Web Access auf einem Server muss Live Communications Server 2005 mit SP1 bereitgestellt werden. Während der Installation von Communicator Web Access werden Sie aufgefordert, das IIS- und MTLS-Zertifikat für Communicator Web Access auszuwählen. So öffnen Sie die Bereitstellungstools 1. Melden Sie sich am Server als Mitglied der Administratorgruppe und der Gruppe „Domänen-Admins“ an. 2. Führen Sie Setup.exe im Communicator Web Access-Downloadordner aus, um die Seite Microsoft Office Communicator Web Access bereitstellen zu öffnen. Abbildung 6: Seite mit Bereitstellungstools So installieren Sie Communicator Web Access 1. Klicken Sie auf der Seite mit Bereitstellungstools neben Schritt 1: Communicator Web Access installieren auf Installieren. 2. Klicken Sie auf der Seite Willkommen auf Weiter. 3. Aktivieren Sie auf der Seite Lizenzvertrag die Option Ich stimme den Bedingungen des Lizenzvertrags zu, und klicken Sie dann auf Weiter. 4. Geben Sie auf der Seite Kundeninformationen unter Benutzername und Organisation Ihren Benutzernamen und den Organisationsnamen ein, und klicken Sie dann auf Weiter. 42 Handbuch für die Planung und Bereitstellung von Microsoft Office Communicator Web Access 5. Übernehmen Sie auf der Seite Installationsbereit den Standardspeicherort, oder klicken Sie auf Ändern, um einen alternativen Speicherort auszuwählen, und klicken Sie dann auf Weiter. 6. Klicken Sie auf der Seite Installationsbereit auf Installieren. 7. Klicken Sie auf der Seite Setup abgeschlossen auf Fertig stellen. So aktivieren Sie Communicator Web Access 1. Klicken Sie auf der Seite mit Bereitstellungstools neben Schritt 2: Communicator Web Access aktivieren auf Aktivieren. 2. Klicken Sie auf der Seite Willkommen auf Weiter. 3. Führen Sie auf der Seite Domänendienstkonto auswählen einen der folgenden Schritte aus: 4. Wählen Sie Konto erstellen aus. Übernehmen Sie im Feld Kontoname entweder den Standardkontonamen, oder geben Sie eine neue Domäne und einen neuen Kontonamen ein. Geben Sie im Feld Kennwort ein Kennwort für das Konto ein. Geben Sie im Feld Kennwort bestätigen das Kennwort nochmals genau wie zuvor ein, und klicken Sie dann auf Weiter. Wählen Sie Vorhandenes Konto verwenden aus, und geben Sie dann im Feld Kontoname eine neue Domäne und einen neuen Kontonamen ein. Geben Sie im Feld Kennwort ein Kennwort für das Konto ein. Geben Sie im Feld Kennwort bestätigen das Kennwort nochmals genau wie zuvor ein, und klicken Sie dann auf Weiter. Klicken Sie auf der Seite Serverzertifikat auswählen auf Zertifikat auswählen. Abbildung 7: Seite „Serverzertifikat auswählen“ 5. Wählen Sie im Dialogfeld Zertifikat auswählen unter Ausgestellt für das Zertifikat mit dem vollqualifizierten Domänennamen des Communicator Web Access-Servers aus, und klicken Sie dann auf OK. Handbuch für die Planung und Bereitstellung von Microsoft Office Communicator Web Access 43 Hinweis Da dieses Zertifikat von Live Communications Server zur Authentifizierung des Communicator Web Access-Servers verwendet wird, muss der vollqualifizierte Domänenname auf dem Zertifikat mit dem des Communicator Web Access-Servers übereinstimmen. Abbildung 8: Dialogfeld „Zertifikat auswählen“ 6. Überprüfen Sie auf der Seite Serverzertifikat auswählen, ob Sie das richtige Zertifikat ausgewählt haben, und klicken Sie dann auf Weiter. 7. Überprüfen Sie auf der Seite Bereit zum Installieren von Communicator Web Access, ob das Feld Ausgestellt für im Dialogfeld Serverzertifikat verwenden den vollqualifizierten Domänennamen des Communicator Web Access-Servers enthält. Wenn dies der Fall ist, klicken Sie auf Weiter. 8. Klicken Sie auf der Seite Erfolgreich auf Fertig stellen. So erstellen Sie den virtuellen IIS-Server für Communicator Web Access 1. Klicken Sie auf der Seite mit Bereitstellungstools neben Schritt 3: Virtuellen Server erstellen auf Erstellen. 2. Klicken Sie auf der Seite Willkommen auf Weiter. 3. Klicken Sie auf der Seite Virtuellen Servertyp auswählen auf eine der folgenden Optionen: Intern für Benutzer innerhalb des Unternehmensnetzwerks Extern für Benutzer außerhalb des Unternehmensnetzwerks 4. Klicken Sie auf Weiter. 5. Wählen Sie auf der Seite Authentifizierungsmethode auswählen die geeignete Authentifizierungsmethode für den virtuellen Servertyp aus, und klicken Sie dann auf Weiter: Wenn der virtuelle Server eine interne Website ist, aktivieren Sie das Kontrollkästchen Formularbasierte Authentifizierung, das Kontrollkästchen Integrierte Authentifizierung (NTLM/Kerberos) oder beide. Wenn der virtuelle Server eine externe Website ist, ist das Kontrollkästchen Formularbasierte Authentifizierung standardmäßig aktiviert. Für externe Websites ist das Kontrollkästchen Integrierte Authentifizierung (NTLM/Kerberos) nicht verfügbar. 44 Handbuch für die Planung und Bereitstellung von Microsoft Office Communicator Web Access 6. Wählen Sie auf der Seite Verbindungstyp für den Browser auswählen entweder HTTPS (empfohlen) oder HTTP aus. Wenn Sie HTTPS (empfohlen) ausgewählt haben, klicken Sie auf die Schaltfläche Zertifikat auswählen. Klicken Sie auf der Seite Zertifikat auswählen auf das Zertifikat mit dem vollqualifizierten Domänennamen des Communicator Web Access-Servers und dann auf OK. Abbildung 9: HTTPS und Zertifikat auswählen 7. Wenn Sie HTTPS gewählt haben, überprüfen Sie auf der Seite Verbindungstyp für den Browser auswählen, dass das richtige Zertifikat ausgewählt wurde. Klicken Sie auf Weiter. 8. Wählen Sie auf der Seite IP-Adresse und Porteinstellungen auswählen die IP-Adresse aus, oder übernehmen sie die Standardeinstellung (Alle nicht zugeordnet). Wenn Sie den überwachenden Port für diesen virtuellen Server ändern möchten, geben Sie im Feld Port eine Portnummer ein. Klicken Sie auf Weiter. Handbuch für die Planung und Bereitstellung von Microsoft Office Communicator Web Access 45 Abbildung 10: IP-Adresse und Porteinstellungen auswählen 9. Geben Sie auf der Seite Virtuellen Server benennen einen eindeutigen Namen für den virtuellen Server ein, und klicken Sie dann auf Weiter. 10. Wenn Sie möchten, dass der virtuelle Server nach Abschluss des Assistenten gestartet wird, aktivieren Sie auf der Seite Virtuellen Server automatisch starten die Option Diesen virtuellen Server starten, wenn der Assistent zum Erstellen eines virtuellen Servers beendet ist. Klicken Sie auf Weiter. 11. Überprüfen Sie die Einstellungen auf der Seite Überprüfen Sie noch einmal die Einstellungen für den virtuellen Server. Die Einstellung unter Zertifikat: Ausgestellt für sollte dem vollqualifizierten Domänennamen des Communicator Web Access-Servers entsprechen. Klicken Sie auf Weiter. 12. Klicken Sie auf der Seite Erfolgreich auf Fertig stellen. Manuelles Installieren von Communicator Web Access Manager (optional) Communicator Web Access Manager wird bei der Installation von Communicator Web Access automatisch installiert. Wenn Sie Communicator Web Access auf einem Server installieren, müssen Sie den optionalen letzten Schritt, Installieren des Verwaltungs-Snap-Ins für Communicator Web Access, nicht ausführen. Sie können Communicator Web Access Manager jedoch auch manuell auf einem Remotecomputer installieren, um von dort aus den Communicator Web Access-Server zu verwalten. Informationen zur Installation von Communicator Web Access Manager auf einem Remotecomputer finden Sie weiter hinten in diesem Handbuch unter „Verwalten des Communicator Web Access-Servers“. Hinweis Wenn Sie Communicator Web Access auf einem Computer installieren möchten, auf dem Communicator Web Access Manager bereits installiert ist, müssen Sie Communicator Web Access Manager zunächst entfernen. Erstellen weiterer virtueller Server Alle virtuellen Communicator Web Access-Server mit Ausnahme des ersten virtuellen Servers, der während des Setups erstellt wurde, werden mithilfe von Communicator Web Access Manager erstellt. 46 Handbuch für die Planung und Bereitstellung von Microsoft Office Communicator Web Access So erstellen Sie weitere virtuelle Server 1. Starten Sie Communicator Web Access Manager: Klicken Sie im Startmenü auf Alle Programme, zeigen Sie auf Verwaltung, und klicken Sie dann auf Communicator Web Access Manager. 2. Klicken Sie mit der rechten Maustaste auf Microsoft Office Communicator Web Access Manager, und klicken Sie dann auf Verbinden. 3. Geben Sie im Feld Computername den Servernamen, die IP-Adresse oder den vollqualifizierten Domänennamen des Communicator Web Access-Servers ein. Klicken Sie auf OK. 4. Klicken Sie mit der rechten Maustaste auf den Knoten des physischen Servers, und klicken Sie dann auf Web Access Server erstellen. Der Assistent zum Erstellen eines virtuellen Web Access-Servers wird geöffnet. 5. Klicken Sie auf der Seite Willkommen auf Weiter. 6. Wählen Sie auf der Seite Virtuellen Servertyp auswählen eine der folgenden Optionen aus: Intern für Benutzer innerhalb des Unternehmensnetzwerks Extern für Benutzer außerhalb des Unternehmensnetzwerks 7. Klicken Sie auf Weiter. 8. Wählen Sie auf der Seite Authentifizierungsmethode auswählen die geeignete Authentifizierungsmethode für den virtuellen Servertyp aus, und klicken Sie dann auf Weiter: 9. Wenn es sich bei dem virtuellen Server um eine interne Site handelt, aktivieren Sie das Kontrollkästchen Formularbasierte Authentifizierung, das Kontrollkästchen Integrierte Authentifizierung (NTLM/Kerberos) oder beide. Wenn der virtuelle Server eine externe Website ist, ist das Kontrollkästchen Formularbasierte Authentifizierung standardmäßig aktiviert. Für externe Websites ist das Kontrollkästchen Integrierte Authentifizierung (NTLM/Kerberos) nicht verfügbar. Wählen Sie auf der Seite Verbindungstyp für den Browser auswählen entweder HTTPS (empfohlen) oder HTTP aus. Wenn Sie HTTPS (empfohlen) ausgewählt haben, klicken Sie auf Zertifikat auswählen. Wählen Sie auf der Seite Zertifikat auswählen das Zertifikat mit dem vollqualifizierten Domänennamen des Communicator Web Access-Servers aus, und klicken Sie dann auf OK. 10. Wenn Sie HTTPS gewählt haben, überprüfen Sie auf der Seite Verbindungstyp für den Browser auswählen, dass das richtige Zertifikat ausgewählt wurde. Klicken Sie auf Weiter. 11. Wählen Sie auf der Seite IP-Adresse und Porteinstellungen auswählen die IP-Adresse aus, oder übernehmen sie die Standardeinstellung (Alle nicht zugeordnet). Wenn Sie den überwachenden Port für diesen virtuellen Server ändern möchten, geben Sie im Feld Port eine Portnummer ein. Klicken Sie auf Weiter. Wichtig Wenn die zugewiesene Portnummer bereits von einem vorhandenen virtuellen Server verwendet wird, wird beim Aktivieren des neuen Servers der vorhandene Server automatisch beendet, um Konflikte bei der Portverwendung zu verhindern. 12. Geben Sie auf der Seite Virtuellen Server benennen einen eindeutigen Namen für den virtuellen Server ein, und klicken Sie dann auf Weiter. 13. Wenn Sie möchten, dass der virtuelle Server nach Abschluss des Assistenten gestartet wird, aktivieren Sie auf der Seite Virtuellen Server automatisch starten das Kontrollkästchen Diesen virtuellen Server starten, wenn der Assistent zum Erstellen eines virtuellen Servers beendet ist. Klicken Sie auf Weiter. Handbuch für die Planung und Bereitstellung von Microsoft Office Communicator Web Access 47 14. Überprüfen Sie auf der Seite Überprüfen Sie noch einmal die Einstellungen für den virtuellen Server die Einstellungen. Die Einstellung unter Zertifikat: Ausgestellt für sollte dem vollqualifizierten Domänennamen des Communicator Web Access-Servers entsprechen. Klicken Sie auf Weiter. 15. Klicken Sie auf der Seite Erfolgreich auf Fertig stellen. Installieren von Communicator Web Access mithilfe der Befehlszeile Sie können die Programmdateien von Communicator Web Access auf einem Server installieren, indem Sie an der Eingabeaufforderung die folgenden Microsoft Installer-Dateien (MSI) ausführen: CWAmain.msi. Installiert die Programmdateien von Communicator Web Access auf dem Server. CWAActivateServer.msi. Öffnet den Aktivierungs-Assistenten, mit dem Sie dann die erforderlichen Active Directory-Objekte erstellen, das Domänendienstkonto aktivieren und das MTLS-Zertifikat angeben können. CWACreateVirtualServer.msi. Öffnet den Assistenten zum Erstellen eines virtuellen Servers, mit dem Sie virtuelle Verzeichnisse in IIS erstellen, ein HTTP-Zertifikat angeben und den virtuellen Communicator Web Access-Server erstellen können. InstallMMC.msi. Installiert Communicator Web Access Manager. Diese Installation ist nicht notwendig, wenn die Programmdateien für Communicator Web Access bereits auf dem Server installiert wurden. Hinweis Communicator Web Access unterstützt die automatische Installation nicht. So installieren Sie Communicator Web Access an der Eingabeaufforderung 1. Öffnen Sie ein Eingabeaufforderungsfenster: Klicken Sie auf Start und dann auf Ausführen. Geben Sie im Feld Öffnen die Zeichenfolge cmd ein, und klicken Sie anschließend auf OK. 2. Geben Sie an der Eingabeaufforderung Folgendes ein, und drücken Sie die EINGABETASTE: <Setup-Pfad>\i386\MSI 3. Geben Sie zur Installation der Programmdateien an der Eingabeaufforderung Folgendes ein, und drücken Sie die EINGABETASTE. Wenn eine Protokolldatei erstellt werden soll, fügen Sie den optionalen Schalter /lv hinzu. Msiexec.exe /i CWA.msi [/lv <Protokolldateiname>.txt] Vorbereiten der Clients und Anmelden bei Communicator Web Access Dieser Abschnitt enthält die Vorgehensweisen zum Konfigurieren von Benutzern für Communicator Web Access in Active Directory und zum Anmelden bei Communicator Web Access. So bereiten Sie einen Communicator Web Access-Client vor 1. Installieren Sie auf dem Clientcomputer ein unterstütztes Betriebssystem. Die unterstützten Betriebssysteme sind weiter vorn in diesem Handbuch unter „Unterstützte Clientbetriebssysteme“ aufgeführt. 2. Installieren Sie einen unterstützten Browser. Die unterstützten Browser sind weiter vorn in diesem Handbuch unter „Unterstützte Clientbrowser“ aufgeführt. 3. Konfigurieren Sie in Active Directory Benutzer des Clients als Live Communications Server-Benutzer. Gehen Sie dazu wie nachfolgend beschrieben vor. So aktivieren Sie einen Benutzer für Communicator Web Access 1. Klicken Sie auf Start, zeigen Sie auf Programme und auf Verwaltung, und klicken Sie dann auf Active Directory-Benutzer und -Computer. 2. Erweitern Sie in der Konsolenstruktur den Knoten Organisation und dann den Knoten Benutzer. Klicken Sie mit der rechten Maustaste auf Benutzer, zeigen Sie auf Neu, und klicken Sie dann auf Benutzer. 48 Handbuch für die Planung und Bereitstellung von Microsoft Office Communicator Web Access 3. Geben Sie im Feld Vorname und im Feld Nachname den Vornamen und den Nachnamen des Benutzers ein. Geben Sie im Feld Benutzeranmeldename den Namen des Benutzers für die Netzwerkanmeldung ein. Klicken Sie auf Weiter. 4. Aktivieren Sie eines der Kontrollkästchen für Kennwortrichtlinien. 5. Geben Sie im Feld Kennwort ein Kennwort ein. Geben Sie im Feld Kennwort bestätigen das Kennwort erneut ein. Klicken Sie auf Weiter, und klicken Sie dann auf Fertig stellen. 6. Klicken Sie in der Konsolenstruktur von Active Directory-Benutzer und -Computer unter Benutzer mit der rechten Maustaste auf den Benutzernamen, und klicken Sie dann auf Eigenschaften. 7. Klicken Sie im Dialogfeld Eigenschaften auf die Registerkarte Live Communications. Aktivieren Sie das Kontrollkästchen Live Communications für diesen Benutzer aktivieren. Geben Sie im Feld SIP-URI eine SIP-Adresse ein, beispielsweise im Format sip:<Benutzername>@<Organisationsname>.com. 8. Wählen Sie unter Server oder Pool folgenden Eintrag aus: <Servername>.<Organisationsname>.com. 9. Klicken Sie auf Erweiterte Einstellungen. 10. Aktivieren Sie das Kontrollkästchen Zugriff durch Remotebenutzer aktivieren. 11. Wenn die Föderation in Live Communications Server aktiviert wurde, aktivieren Sie das Kontrollkästchen Öffentliche IM-Verbindung aktivieren. 12. Klicken Sie auf OK. 13. Klicken Sie auf Übernehmen und dann auf OK. Anmelden bei Communicator Web Access In diesem Abschnitt wird erläutert, wie Sie testen, ob ein Clientcomputer eine Verbindung mit Communicator Web Access herstellen kann. So stellen Sie eine Verbindung mit dem Communicator Web Access-Client her 1. Melden Sie sich am Clientcomputer an. 2. Öffnen Sie einen unterstützten Browser. Wenn ein Popupblocker installiert ist, müssen Sie ihn entweder komplett oder nur für die Communicator Web Access-Website deaktivieren. 3. Geben Sie im Adressfeld des Browsers https://<Vollqualifizierter_Domänenname_des_Servers> ein. Der URI des Communicator Web Access-Server muss dem allgemeinen Namen im HTTPS-Zertifikat entsprechen. Wenn beispielsweise der allgemeine Name im Zertifikat im.contoso.com lautet, sollte der URL wie folgt lauten: https://im.contoso.com. 4. Klicken Sie im Dialogfeld Sicherheitshinweis auf Ja. 5. Wenn auf dem Clientcomputer eine Vertrauensstellung für dieselbe Zertifizierungsstelle eingerichtet wurde wie in Communicator Web Access, können Sie auf dem Client ein Zertifikat installieren, damit bei dem Sicherheitshinweis keine Benutzereingabe erforderlich ist. Diese Vorgehensweise funktioniert jedoch möglicherweise nicht in allen Situationen. So installieren Sie ein Zertifikat für Communicator Web Access auf dem Clientcomputer 1. Geben Sie in der Adressleiste des Clientbrowsers http://<Zertifizierungsstellen_Servername>/certsrv ein, und drücken Sie die EINGABETASTE. 2. Klicken Sie auf Download eines Zertifizierungsstellenzertifikats, einer Zertifikatkette oder einer Zertifikatsperrliste. 3. Klicken Sie auf Download der Zertifizierungsstellen-Zertifikatkette. 4. Klicken Sie im Dialogfeld Dateidownload auf Öffnen. 5. Erweitern Sie in der certmgr-Verwaltungskonsole alle Knoten. 6. Doppelklicken Sie auf das soeben heruntergeladene Zertifikat. 7. Klicken Sie auf dem Zertifikat auf Zertifikat installieren. Handbuch für die Planung und Bereitstellung von Microsoft Office Communicator Web Access 49 8. Installieren Sie das Zertifikat mit den Standardeinstellungen. Wenn der Sicherheitshinweis angezeigt wird, klicken Sie auf Ja. In Abbildung 11 sehen Sie die Anmeldeseite für interne Benutzer, die Internet Explorer auf einem WindowsBetriebssystem verwenden. Abbildung 11: Integrierte Windows-Authentifizierung Die formularbasierte Anmeldeseite für Remotebenutzer, die Internet Explorer auf einem WindowsBetriebssystem verwenden, wird in Abbildung 12 gezeigt. Abbildung 12: Formularbasierte Authentifizierung 50 Handbuch für die Planung und Bereitstellung von Microsoft Office Communicator Web Access Nach der Benutzeranmeldung bei Communicator Web Access wird die Hauptseite von Communicator Web Access angezeigt. Abbildung 13: Hauptseite von Communicator Web Access JavaScript-Signierung für die Browser Mozilla und Firefox Für Clients, die die Browser Mozilla oder Firefox verwenden, muss der JavaScript-Code für Benachrichtigungen (einschließlich Desktopbenachrichtigungen bei eingehenden Sofortnachrichten und das blinkende Communicator Web Access-Symbol in der Taskleiste) signiert werden. Standardmäßig wird der JavaScript-Code mit einem Microsoft-Zertifikat signiert. Wenn sich ein Benutzer erstmals bei Communicator Web Access anmeldet, wird ein Dialogfeld angezeigt, in dem der Benutzer die Ausführung des signierten Codes zulassen oder ablehnen kann. Die Auswahl des Benutzers bestimmt, wie die Benachrichtigungsfeatures funktionieren: Wenn der Benutzer die Anforderung zulässt, funktionieren Communicator Web AccessBenachrichtigungen und die Taskleistenfeatures ordnungsgemäß. Wenn der Benutzer zusätzlich das Kontrollkästchen aktiviert, dass die gewählte Option beibehalten werden soll, wird das Dialogfeld nicht mehr angezeigt. Andernfalls wird es jedes Mal angezeigt, wenn versucht wird, den JavaScript-Code auszuführen. Wenn der Benutzer die Anforderung ablehnt, werden Desktopbenachrichtigungen im Hintergrund geöffnet, und das Taskleistenelement blinkt bei neuen Benachrichtigungen oder Nachrichten nicht. Erneutes Signieren des Signaturzertifikats für JavaScript-Code Sie können das zum Signieren des JavaScript-Codes verwendete Microsoft-Zertifikat sowohl für ein von einer vertrauenswürdigen Drittanbieter-Zertifizierungsstelle ausgestelltes Zertifikat als auch für ein privates Zertifikat wieder verwenden. Wenn Sie das Signaturzertifikat für JavaScript von einer vertrauenswürdigen DrittanbieterZertifizierungsstelle beziehen, ist clientseitig keine weitere Konfiguration erforderlich. Wenn Sie das Signaturzertifikat von einer privaten oder selbst gehosteten Zertifizierungsstelle beziehen, müssen die Clients ggf. aktualisiert werden, damit die das Zertifikat ausstellende Zertifizierungsstelle als vertrauenswürdig eingestuft wird. Handbuch für die Planung und Bereitstellung von Microsoft Office Communicator Web Access 51 Beim Setup für Communicator Web Access wird eine JAR-Datei (Java Archive) in folgendem Pfad installiert. Dabei steht Clientversion für die Buildversion: <Installationspfad>\Server\cwa\client\<Clientversion> Wenn Sie den JavaScript-Code erneut signieren, erstellen Sie eine neue JAR-Datei mit der Skriptdatei und den zugehörigen Signaturinformationen. Diese ersetzt die standardmäßige JAR-Datei. Wenn Sie eine private oder selbst gehostete Zertifizierungsstelle verwenden, sollte das Zertifikat die Vorlage für Codesignaturzertifikate verwenden. Die folgenden Schritte demonstrieren eine Methode, um JavaScript-Code mithilfe der JavaScriptZertifikatsignaturtools in Netscape Browser erneut zu signieren. So signieren Sie JavaScript erneut 1. Melden Sie sich als Mitglied der Administratorgruppe am Communicator Web Access-Server an. 2. Laden Sie die folgenden Zertifikatsignaturtools (in englischer Sprache) von http://www.mozilla.org/projects/security/pki/nss/tools herunter: Certutil.exe – Dient zum Verwalten von Zertifikaten und privaten Schlüsseln. Verwenden Sie Certutil.exe zum Erstellen einer Zertifikatdatenbank sowie einer Datenbank privater Schlüssel und zum Hinzufügen von Zertifikaten zur Zertifikatdatenbank. Pk12util.exe – Dient zum Importieren einer Datei mit dem Zertifikat und dem zugehörigen privaten Schlüssel (auch als Datei für persönlichen Informationsaustausch bezeichnet) in die mit Certutil.exe erstellte Datenbank. Signtool.exe – Dient zum Signieren einer HTML-Seite mit einem Zertifikat und einem privaten Schlüssel aus der Datenbank. 3. Erstellen Sie einen Ordner (in den folgenden Schritten als <Datenbankverzeichnis> bezeichnet), in dem alle in den nachfolgenden Schritten erstellten Datenbankdateien gespeichert werden. 4. Öffnen Sie ein Eingabeaufforderungsfenster: Klicken Sie auf Start und dann auf Ausführen. Geben Sie im Feld Öffnen die Zeichenfolge cmd ein, und klicken Sie anschließend auf OK. 5. Führen Sie Certutil.exe aus, um eine Zertifikatdatenbank zu erstellen. Geben Sie an der Eingabeaufforderung Folgendes ein, und drücken Sie die EINGABETASTE: certutil.exe -N -d <Datenbankverzeichnis> 6. Wenn Sie zur Eingabe eines Kennworts aufgefordert werden, geben Sie das gewünschte Kennwort für die Zertifikatdatenbank ein. 7. Fordern Sie eine Datei mit einem Zertifikat und dem zugehörigen privaten Schlüssel von einer vertrauenswürdigen Drittanbieter-Zertifizierungsstelle oder einer privaten bzw. selbst gehosteten Zertifizierungsstelle an. Einzelheiten zur Anforderung eines Zertifikats erhalten Sie bei der Zertifizierungsstelle. Wenn das erhaltene Zertifikat im Zertifikatspeicher des lokalen Computers gespeichert wird, exportieren Sie das Zertifikat und den privaten Schlüssel in eine PFX-Datei. 8. Führen Sie Pk12util.exe aus, um die Datei mit dem Zertifikat und dem privaten Schlüssel in die zuvor erstellte Datenbank zu importieren. Geben Sie an der Eingabeaufforderung Folgendes ein, und drücken Sie die EINGABETASTE: pk12util.exe -i <Zertifikat-/Schlüsseldatei> -d <Datenbankverzeichnis> 9. Beziehen Sie das Zertifikat der Zertifizierungsstelle. 10. Führen Sie Certutil.exe aus, um das Zertifizierungsstellenzertifikat der Datenbank hinzuzufügen. Sie müssen einen Spitznamen für das Zertifizierungsstellenzertifikat angeben. Geben Sie an der Eingabeaufforderung Folgendes ein (in einer einzigen Zeile), und drücken Sie die EINGABETASTE: certutil.exe -A -n <Zertifikat_Spitzname> -i <Zertifizierungsstellenzertifikat> -t "C,C,C" -d <Datenbankverzeichnis> 52 Handbuch für die Planung und Bereitstellung von Microsoft Office Communicator Web Access 11. Führen Sie Certutil.exe aus, um alle Zertifikate in der Datenbank aufzulisten. Dieser Liste entnehmen Sie den Zertifikatsnamen, den Sie im folgenden Schritt benötigen. Geben Sie an der Eingabeaufforderung Folgendes ein, und drücken Sie die EINGABETASTE: certutil.exe -L -d <Datenbankverzeichnis> 12. Führen Sie Signtool.exe aus, um den JavaScript-Code mit dem Zertifikat zu signieren. Geben Sie an der Eingabeaufforderung Folgendes ein (in einer einzigen Zeile), und drücken Sie die EINGABETASTE: Signtool -k <Zertifikatsname> -Z <Installationspfad>\Server\cwa\client\<Clientversion>\SignedCode.jar -p <Datenbankkennwort> -d <Datenbankverzeichnis> <Installationspfad>\cwa\client\clientversion\SignedCode Nachdem dieser Befehl ausgeführt wurde, wird die standardmäßige JAR-Datei durch die neue JAR-Datei mit der Skriptdatei und den zugehörigen Signaturinformationen ersetzt. 13. Wenn Sie eine private oder selbst gehostete Zertifizierungsstelle verwenden, müssen Sie sicherstellen, dass die Zertifikatskette in die Browser der Clients importiert wird, damit der signierte JavaScript-Code als vertrauenswürdig behandelt wird. Bei einer großen Benutzerzahl lässt sich dieser Prozess vereinfachen, indem von der Zertifizierungsstelle eine Website bereitgestellt wird, von der die Benutzer nach der Anmeldung aktualisierte Zertifikate anfordern können. Weitere Informationen zur Sicherheit und zum Signieren von JavaScript finden Sie unter http://www.mozilla.org/projects/security/components/jssec.html. Konfigurieren der Suche Benutzer können Kontakte suchen, indem sie im Textfeld Suchen mindestens ein Suchkriterium eingeben. Die Standardsuchkriterien sind Anzeigename und E-Mail-Adresse. Der Benutzer kann die Standardsuchkriterien überschreiben, indem er aus der Liste neben der Schaltfläche Suchen eine andere Einstellung auswählt. Die folgenden Optionen sind verfügbar: Vorname des Kontakts Nachname des Kontakts Anzeigename des Kontakts E-Mail-Adresse des Kontakts Nachname und Anzeigename des Kontakts Nachname und E-Mail-Adresse des Kontakts Als Systemadministrator können Sie Standardkriterien für die Suche vorgeben, indem Sie die Einstellungen für DefaultSearchField und DefaultSearchQuery in der Windows-Verwaltungsinstrumentation (Windows Management Instrumentation, WMI) ändern. Außerdem können Sie die Höchstanzahl der zurückgegebenen Suchergebnisse angeben. In Tabelle 7 sehen Sie eine Liste der WMI-Sucheinstellungen, die geändert werden können. Handbuch für die Planung und Bereitstellung von Microsoft Office Communicator Web Access 53 Tabelle 7. WMI-Sucheinstellungen WMI-Einstellungsname Typ Standardwert Zulässige Werte DefaultSearchField uint32 12 Werte im Binärformat (Dezimalformat in Klammern) mit Definition: 0001 (1): Vorname 0010 (2): Nachname 0011 (3): Vorname; Nachname 0100 (4): Anzeigename 0110 (6): Nachname; Anzeigename 1000 (8): E-Mail-Adresse 1010 (10): Nachname; E-Mail-Adresse 1100 (12) : Anzeigename; E-Mail-Adresse DefaultSearchQuery Zeichenfolge OR AND, OR SearchMaxServerResults uint32 200 1 bis 1000 SearchMaxClientResults uint32 10 1 bis 300 MaxQueuedSearches uint32 80 1 bis 500 Die folgenden Standardsuchkriterien können von Ihnen als Systemadministrator geändert und vom Benutzer überschrieben werden: Vorname des Kontakts Nachname des Kontakts Anzeigename des Kontakts E-Mail-Adresse des Kontakts Suchergebnisse In den Suchergebnissen werden nur die Attribute der zurückgegebenen Active Directory-Benutzerobjekte angezeigt, die im globalen Katalogserver vorhanden sind. Ein Attribut ist nur dann im globalen Katalogserver vorhanden, wenn es für die Replikation auf dem globalen Katalogserver markiert wird. Standardmäßig sind die folgenden Active Directory-Attribute für die Replikation auf dem globalen Katalogserver markiert: Name E-Mail-Adresse 1 SIP-URI Standardmäßig sind die folgenden Attribute nicht für die Replikation auf dem globalen Katalogserver markiert: Unternehmen Titel Als Administrator können Sie das Standardreplikationsverhalten ändern. Gehen Sie dazu wie im folgenden Abschnitt beschrieben vor. Nachdem die Suche abgeschlossen ist und die Attribute im globalen Katalogserver zurückgegeben wurden, durchsucht Communicator Web Access die lokale Kontaktliste des Benutzers nach folgenden Attributen: 54 Handbuch für die Planung und Bereitstellung von Microsoft Office Communicator Web Access SIP-Informationen: Telefon 1 Telefon 2 Telefon 3 Telefon 4 SubscribeToPresence IsSmartCamp NotificationSetting Diese Attribute werden neben den zuvor beschriebenen markierten Attributen in den Suchergebnissen angezeigt. Hinweise Bei einigen Suchergebnissen auf dem Client sind möglicherweise Titel und Unternehmen nicht enthalten, obwohl diese Attribute für die Replikation auf dem globalen Katalogserver markiert sind. Dies liegt daran, dass der Client einige Suchergebnisse aus der lokalen Kontaktliste anzeigt. In der lokalen Kontaktliste sind die Attribute für Position und Unternehmen nicht enthalten, unabhängig davon, ob sie auf dem globalen Katalogserver repliziert werden oder nicht. Eine identische Suche in Communicator Web Access und Communicator kann unterschiedliche Ergebnisse erbringen. Beide Clients führen Abfragen der lokalen Kontaktliste des Benutzers und von Active Directory durch. Communicator fragt jedoch zusätzlich das Adressbuch von Live Communications Server ab, sofern es konfiguriert wurde. Communicator Web Access führt keine Abfrage des Adressbuchs durch. Manuelles Konfigurieren der Attributreplikation auf dem globalen Katalogserver Wie bereits im vorherigen Abschnitt erklärt, werden einige Benutzerattribute in Active Directory standardmäßig auf dem globalen Katalogserver repliziert, andere hingegen nicht. Sie können das Standardreplikationsverhalten ändern, sodass in den Suchergebnissen genau die gewünschten Attribute angezeigt werden. Verwenden Sie das Snap-In für die Active Directory-Schemaverwaltung (Schmmgmt.msc), um ein Attribut manuell für die Replikation auf dem globalen Katalogserver zu konfigurieren. Das Snap-In für die Active Directory-Schemaverwaltung befindet sich im Verzeichnis i386 von Windows Server 2003 Service Pack 1 (SP1). Die Windows Server 2003-Verwaltungsprogramme werden standardmäßig nicht installiert. Sie müssen die Verwaltungsprogramme installieren und nach Abschluss der Installation die Datei schmmgmt.dll manuell registrieren. Hinweis: Wenn Sie die Attributreplikation auf dem globalen Katalogserver manuell auf dem Domänencontroller für Communicator Web Access konfigurieren möchten, müssen Sie die in Windows Server 2003 SP1 enthaltene Version von Adminpak.msi installieren. So konfigurieren Sie die Attributreplikation auf dem globalen Katalogserver manuell 1. Doppelklicken Sie auf dem Communicator Web Access-Domänencontroller im Verzeichnis Windows\System32 auf das Installationsprogramm für die Windows Server 2003 SP1Verwaltungsprogramme (Adminpak.msi). Folgen Sie den Anweisungen im Setup-Assistenten, um die Windows Server 2003 Service Pack 1-Verwaltungsprogramme zu installieren. 2. Registrieren Sie die Datei schmmgmt.dll: Klicken Sie auf Start und dann auf Ausführen. Geben Sie im Feld Öffnen die Zeichenfolge cmd ein, und klicken Sie anschließend auf OK. 3. Geben Sie an der Eingabeaufforderung regsvr32 schmmgmt.dll ein, und drücken Sie die EINGABETASTE. 4. Geben Sie an der Eingabeaufforderung MMC /a ein, und drücken Sie die EINGABETASTE. Handbuch für die Planung und Bereitstellung von Microsoft Office Communicator Web Access 55 5. Klicken Sie im Konsolenfenster im Menü Datei auf Snap-In hinzufügen/entfernen und dann auf Hinzufügen. 6. Klicken Sie im Dialogfeld Eigenständiges Snap-In hinzufügen auf Active Directory-Schema und dann auf Hinzufügen. Klicken Sie auf Schließen und dann auf OK. 7. Erweitern Sie in der Konsolenstruktur den Knoten Active Directory-Schema [<Vollqualifizierter_Domänenname_des_Servers>], und klicken Sie dann auf den Knoten Attribute. 8. Klicken Sie im Detailbereich mit der rechten Maustaste auf das Attribut, dessen Replikationsverhalten Sie ändern möchten, und klicken Sie dann auf Eigenschaften. 9. Aktivieren oder deaktivieren Sie, je nach Wunsch, auf dem Eigenschaftenblatt auf der Registerkarte Allgemein das Kontrollkästchen Attribut in den globalen Katalog replizieren, und klicken Sie dann auf OK. Die nächste Abbildung zeigt den Standardbildschirm Eigenschaften von mail. Abbildung 14: Eigenschaftendialogfeld Bei der nächsten Attributreplikation auf dem globalen Katalogserver wird das mit der oben beschriebenen Vorgehensweise neu markierte Attribut auf dem globalen Katalogserver repliziert. Konfigurieren von ISA Server 2004 SP1 Mit Communicator Web Access kann eine beliebige Firewall bzw. ein beliebiger Reverseproxyserver verwendet werden. In diesem Abschnitt wird lediglich die Konfiguration von Microsoft ISA Server 2004 SP1 für Communicator Web Access beschrieben. ISA Server 2004 kann in Ihrer Bereitstellung von Live Communications Server 2005 mit SP1 und Communicator Web Access als Alternative zu oder in Verbindung mit einem virtuellen privaten Netzwerk (VPN) verwendet werden. Sie können mit ISA Server ein Umkreisnetzwerk und interne Netzwerkgrenzen bereitstellen. Außerdem können Sie mithilfe von ISA Server 2004 einen oder mehrere Communicator Web Access-Server veröffentlichen. Die in diesem Handbuch beschriebene Communicator Web Access-Lösung verwendet ISA Server 2004 SP1 Standard Edition, um eine sichere Verbindung von Remotebenutzern mit dem Communicator Web AccessServer im internen Netzwerk zu unterstützen. Die Kombination von Communicator Web Access und ISA Server 2004 bietet diese Konnektivität zugelassenen Benutzern, die lediglich über eine Internetverbindung und einen unterstützten Browser verfügen und ein unterstütztes Betriebssystem verwenden. Abbildung 15 zeigt ein Beispiel der Position von ISA Server in der Bereitstellung. 56 Handbuch für die Planung und Bereitstellung von Microsoft Office Communicator Web Access Abbildung 15: Veröffentlichen von Communicator Web Access mithilfe von ISA Server 2004 SP1 Mit ISA Server 2004 wird der Communicator Web Access-Server veröffentlicht, sodass Remotebenutzer über die öffentliche Adresse auf den unternehmenseigenen Communicator Web Access-Server zugreifen können anstatt über den internen vollqualifizierten Domänennamen. Im Beispiel aus Abbildung 15 gibt der Benutzer den URI (z. B. https://im.contoso.com) im Browser ein. Dieser URI wird zu einer IP-Adresse im externen Netzwerk aufgelöst (z. B. 10.10.10.10). Der externe Netzwerkadapter auf dem Computer mit ISA Server wurde mit dieser IP-Adresse (10.10.10.10) konfiguriert, und der Weblistener überwacht den Standardport (443) auf HTTPS-Anforderungen. Der Computer mit ISA Server empfängt die Anforderung und ordnet sie der IP-Adresse bzw. dem vollqualifizierten Domänennamen des externen virtuellen Communicator Web Access-Servers zu. Wenn der externe virtuelle Communicator Web Access-Server für die Überwachung eines anderen Ports konfiguriert wurde (z. B. Port 444), muss ISA Server die Anforderung auch dieser Portnummer zuordnen. Hinweis Bei der Konfiguration von ISA Server können Sie wählen, ob Sie die externe IP-Adresse der IP-Adresse von Communicator Web Access oder den Hostnamen (z. B. im.contoso.com) dem vollqualifizierten Domänennamen des Communicator Web Access-Servers (z. B. imserver.contoso.com) zuordnen möchten. Bei der zweiten Option muss der vollqualifizierte Domänenname zur IP-Adresse des Communicator Web Access-Servers aufgelöst werden können. Voraussetzungen Auf dem ISA Server 2004-Computer müssen folgende Voraussetzungen erfüllt sein: Zwei Netzwerkadapter auf dem Computer mit ISA Server: einer für das externe und einer für das interne Netzwerk Windows Server 2003 SP1 ISA Server 2004 SP1 Standard Edition oder Enterprise Edition Es wird empfohlen, auf dem Computer mit ISA Server keine weitere Software zu installieren. Sie können die kostenlose 120-Tage-Testversion der ISA Server 2004-Software unter http://www.microsoft.com/isaserver/evaluation/trial/default.asp (in englischer Sprache) herunterladen. Handbuch für die Planung und Bereitstellung von Microsoft Office Communicator Web Access 57 Konfigurieren der statischen IP-Adressen für die ISA-Netzwerkadapter Der ISA Server verfügt über zwei Schnittstellen, die man sich auch als Ränder vorstellen kann. Der interne Netzwerkadapter verbindet den internen Rand des ISA Server-Computers mit dem internen Netzwerk, der externe Netzwerkadapter verbindet den externen Rand des ISA Server-Computers mit dem externen Netzwerk. Jeder Netzwerkadapter auf dem ISA Server-Computer verfügt über eine statische IP-Adresse. Die Adresse und das Teilnetz der beiden Adapter sind davon abhängig, mit welchem Netzwerk (Router) sie jeweils verbunden sind. So konfigurieren Sie den internen Netzwerkadapter mit einer statischen IP-Adresse 1. Klicken Sie auf Start, zeigen Sie auf Systemsteuerung, und doppelklicken Sie dann auf Netzwerkverbindungen. 2. Klicken Sie mit der rechten Maustaste auf die Verbindung des internen Netzwerkadapters, und klicken Sie dann auf Eigenschaften. 3. Markieren Sie auf der Eigenschaftenseite den Eintrag Internetprotokoll (TCP/IP), und klicken Sie dann auf Eigenschaften. 4. Klicken Sie auf der Seite Eigenschaften von Internetprotokoll (TCP/IP) auf Folgende IP-Adresse verwenden. 5. Geben Sie im Feld IP-Adresse eine IP-Adresse im internen Teilnetz ein. 6. Geben Sie im Feld Subnetzmaske das interne Teilnetz ein. 7. Klicken Sie auf Folgende DNS-Serveradressen verwenden. 8. Geben Sie im Feld Bevorzugter DNS-Server die IP-Adresse des DNS-Servers ein. 9. Klicken Sie zweimal auf OK. So konfigurieren Sie den externen Netzwerkadapter mit einer statischen IP-Adresse 1. Klicken Sie auf Start, zeigen Sie auf Systemsteuerung, und doppelklicken Sie dann auf Netzwerkverbindungen. 2. Klicken Sie mit der rechten Maustaste auf die Verbindung des externen Netzwerkadapters, und klicken Sie dann auf Eigenschaften. 3. Markieren Sie auf der Eigenschaftenseite den Eintrag Internetprotokoll (TCP/IP), und klicken Sie dann auf Eigenschaften. 4. Klicken Sie auf der Seite Eigenschaften von Internetprotokoll (TCP/IP) auf Folgende IP-Adresse verwenden. 5. Geben Sie im Feld IP-Adresse eine IP-Adresse für das externe Netzwerk ein. 6. Geben Sie im Feld Subnetzmaske das externe Teilnetz ein. 7. Klicken Sie auf Folgende DNS-Serveradressen verwenden. 8. Lassen Sie das Feld Bevorzugter DNS-Server leer. 9. Klicken Sie zweimal auf OK. So legen Sie die Schnittstellenreihenfolge fest 1. Klicken Sie auf Start, zeigen Sie auf Systemsteuerung, und doppelklicken Sie dann auf Netzwerkverbindungen. 2. Klicken Sie im Fenster Netzwerkverbindungen im Menü Erweitert auf Erweiterte Einstellungen. 3. Klicken Sie im Dialogfeld Erweiterte Einstellungen auf die Registerkarte Netzwerkkarten und Bindungen. Klicken Sie unter Verbindungen auf Intern. 4. Klicken Sie auf den Pfeil nach oben, um den Eintrag Intern an den Anfang der Liste zu verschieben. 5. Klicken Sie auf OK. Schließen Sie das Fenster Netzwerkverbindungen. 58 Handbuch für die Planung und Bereitstellung von Microsoft Office Communicator Web Access So fügen Sie die interne IP-Adresse von ISA Server dem DNS-Server hinzu 1. Melden Sie sich am DNS-Server an. 2. Klicken Sie auf Start, zeigen Sie auf Alle Programme und dann auf Verwaltung, und doppelklicken Sie anschließend auf DNS. 3. Erweitern Sie in der Konsolenstruktur den Knoten Forward-Lookupzonen. 4. Klicken Sie mit der rechten Maustaste auf den DNS-Serverknoten, und klicken Sie dann auf Eigenschaften. 5. Wählen Sie im Dialogfeld Eigenschaften von <DNS-Server> die Registerkarte Namenserver aus, und klicken Sie dann auf Hinzufügen. 6. Geben Sie im Dialogfeld Neuen Eintrag erstellen im Feld Vollqualifizierter Serverdomänenname den vollqualifizierten Domänennamen des ISA Server-Computers ein. 7. Geben Sie im Feld IP-Adresse die IP-Adresse des internen Netzwerkadapters des ISA Server-Computers ein. Klicken Sie auf Hinzufügen und dann auf OK. 8. Erweitern Sie in der Konsolenstruktur den Knoten Reverse-Lookupzonen. 9. Klicken Sie mit der rechten Maustaste auf den Knoten <IP-Adresse>.in-addr.arpa, und klicken Sie dann auf Eigenschaften. 10. Klicken Sie im Dialogfeld Eigenschaften auf die Registerkarte Namenserver und dann auf Hinzufügen. 11. Geben Sie im Dialogfeld Neuen Eintrag erstellen im Feld Vollqualifizierter Serverdomänenname den vollqualifizierten Domänennamen des ISA Server-Computers ein. 12. Geben Sie im Feld IP-Adresse die IP-Adresse des internen Netzwerkadapters des ISA Server-Computers ein. Klicken Sie auf Hinzufügen und dann auf OK. Klicken Sie auf Übernehmen. 13. Klicken Sie auf OK. 14. Schließen Sie die DNS-Konsole. Installieren von ISA Server 2004 SP1 Installieren Sie ISA Server 2004 SP1 auf einem Server. So installieren Sie ISA Server 2004 SP1 Standard Edition 1. Führen Sie im Installationsordner von ISA Server 2004 oder auf der CD Setup.exe aus, um den Installations-Assistenten zu starten. 2. Befolgen Sie die Aufforderungen des Setup-Assistenten und die Setup-Dokumentation für ISA Server 2004, und übernehmen Sie alle Standardwerte mit Ausnahme der folgenden spezifischen Einstellungen für Communicator Web Access. 3. Klicken Sie auf der Seite Internes Netzwerk auf Hinzufügen. 4. Führen Sie einen der folgenden Schritte aus: Geben Sie auf der Seite zur Auswahl der Adressbereiche in den Feldern Von und Bis den Adressbereich ein, den das interne Netzwerk umfassen soll, und klicken Sie dann auf Hinzufügen. Klicken Sie auf Netzwerkadapter auswählen. Aktivieren Sie auf der Seite Netzwerkadapter auswählen das Kontrollkästchen Adressbereiche basierend auf der Windows-Routingtabelle hinzufügen. Aktivieren Sie unter Netzwerkadapter das Kontrollkästchen Intern. Klicken Sie auf OK. 5. Klicken Sie auf OK. 6. Klicken Sie auf der Seite Internes Netzwerk auf Weiter. 7. Klicken Sie auf Weiter, und schließen Sie den Assistenten ab. Übernehmen Sie dabei alle Standardwerte. 8. Installieren Sie Service Pack 1 für ISA Server 2004. Handbuch für die Planung und Bereitstellung von Microsoft Office Communicator Web Access 59 Weitere Informationen und Ressourcen für ISA Server finden Sie auf folgenden Websites: ISA Server-Startseite: http://www.microsoft.com/germany/isaserver/default.mspx Downloadsite für ISA Server 2004 Standard Edition SP1: http://www.microsoft.com/downloads/details.aspx?FamilyID=69c5d85c-5c80-473c-9cb460dda75d568d&displaylang=de Knowledge Base-Artikel über ISA und SSL-Webveröffentlichung: http://support.microsoft.com/search/default.aspx?catalog=LCID%3D1031&query=isa+server+ca+certificate Artikel mit Anweisungen zur Veröffentlichung (in englischer Sprache): http://www.microsoft.com/isaserver/techinfo/guidance/2004/publishing.asp Konfigurieren von Zertifikaten auf der ISA Server-Firewall Ein SSL-Zertifikat muss angefordert werden, und die Zertifikatskette der Zertifizierungsstelle muss für den lokalen Computer in den Ordner Vertrauenswürdige Stammzertifizierungsstellen, Zertifikate auf dem ISA Server-Computer heruntergeladen werden. Das SSL-Zertifikat wird an den Listener für den Netzwerkadapter am externen Rand auf dem ISA Server 2004-Computer gebunden. Einzelheiten zu Zertifikatsanforderungen und Vorgehensweisen finden Sie im Dokument „Digital Certificates for ISA Server 2004“ (in englischer Sprache) unter http://www.microsoft.com/technet/prodtechnol/isa/2004/plan/digitalcertificates.mspx. Erstellen des externen virtuellen Servers für Communicator Web Access Sie müssen einen virtuellen Communicator Web Access-Server bereitstellen, der den Datenverkehr von Clients in externen, nicht vertrauenswürdigen Netzwerken verwaltet. Dieser virtuelle Server ist die Site, die mithilfe von ISA Server 2004 veröffentlicht wird. Remotebenutzer müssen den genauen URL der externen Communicator Web Access-Site eingeben, um die Anmeldeseite für Communicator Web Access aufzurufen. Der Benutzer muss dann die Domänenanmeldeinformationen eingeben, um den formularbasierten Authentifizierungsprozess abzuschließen. Der externe virtuelle Communicator Web Access-Server verwendet Port 444, der interne virtuelle Server verwendet Port 443. Diese Ports können für die spezifischen Anforderungen Ihrer Bereitstellung konfiguriert werden. Informationen zum Erstellen des externen virtuellen Servers finden Sie weiter vorn in diesem Handbuch unter „Erstellen weiterer virtueller Server“. Geben Sie als Portnummer 444 ein. Konfigurieren von ISA Server Damit ISA Server eine sichere Verbindung bereitstellen kann, müssen Sie auf dem ISA Server-Computer eine Firewallrichtlinie erstellen. Anschließend verwenden Sie die SSL-Webveröffentlichung, um den externen virtuellen Communicator Web Access-Server für zugelassene Benutzer über das Internet verfügbar zu machen. So konfigurieren Sie die internen Netzwerkeigenschaften 1. Klicken Sie auf Start, zeigen Sie nacheinander auf Programme und auf Microsoft ISA Server, und klicken Sie auf ISA Server-Verwaltung. 2. Erweitern Sie in der Konsolenansicht alle Knoten, und markieren Sie dann den Knoten Netzwerke. 3. Klicken Sie im Detailbereich mit der rechten Maustaste auf Intern, und klicken Sie dann auf Eigenschaften. 4. Klicken Sie im Dialogfeld Eigenschaften von Intern auf die Registerkarte Domänen. Klicken Sie auf Hinzufügen. Geben Sie im Feld den vollqualifizierten Domänennamen der Domäne ein, und klicken Sie dann auf OK. 5. Klicken Sie im Dialogfeld Eigenschaften von Intern auf die Registerkarte Webbrowser. Aktivieren Sie alle Kontrollkästchen, aktivieren Sie die Option Direktzugriff, und klicken Sie dann auf Hinzufügen. 60 Handbuch für die Planung und Bereitstellung von Microsoft Office Communicator Web Access Abbildung 16: Registerkarte „Webbrowser“ 6. Klicken Sie im Dialogfeld Server hinzufügen auf Domäne oder Computer. Geben Sie den vollqualifizierten Domänennamen des Communicator Web Access-Servers ein, und klicken Sie anschließend auf OK. Abbildung 17: Hinzufügen der Domäne „contoso.com“ Handbuch für die Planung und Bereitstellung von Microsoft Office Communicator Web Access 61 7. Klicken Sie im Dialogfeld Eigenschaften von Intern auf die Registerkarte Webproxy. Stellen Sie sicher, dass die Kontrollkästchen Webproxyclients aktivieren und SSL aktivieren aktiviert sind und dass das Kontrollkästchen HTTP aktivieren nicht aktiviert ist. Geben Sie 8444 im Feld SSL-Port ein, und klicken Sie dann auf Authentifizierung. 8. Aktivieren Sie im Dialogfeld Authentifizierung das Kontrollkästchen Integriert, und klicken Sie dann auf OK. 9. Klicken Sie im Dialogfeld Eigenschaften von Intern auf die Registerkarte Firewallclient. Stellen Sie sicher, dass alle Kontrollkästchen aktiviert sind. Geben Sie in allen Textfeldern ISA Server-Name bzw. IP-Adresse den vollqualifizierten Domänennamen des ISA Server-Computers ein. Klicken Sie auf Übernehmen. Abbildung 18: Registerkarte „Firewallclient“ 10. Klicken Sie auf die Registerkarte Automatische Erkennung. Aktivieren Sie das Kontrollkästchen Informationen für die automatische Erkennung veröffentlichen. Geben Sie im Feld 80 ein, und klicken Sie anschließend auf OK. 11. Klicken Sie auf Übernehmen, um alle Änderungen zu übernehmen. Schließen Sie die Konsole nicht. Als Nächstes veröffentlichen Sie den Communicator Web Access-Server im externen Netzwerk, sodass authentifizierte und autorisierte Clients eine Verbindung mit Communicator Web Access herstellen können. Der im Rahmen der folgenden Vorgehensweise konfigurierte Listener überwacht Port 443 auf Anforderungen aus dem externen Netzwerk (Internet). ISA Server leitet den externen Datenverkehr von Port 443 an Port 444 im internen Netzwerk um. Der Datenverkehr von ISA Server zum Communicator Web Access-Server und umgekehrt (ausschließlich interner Verkehr) erfolgt über Port 444. Datenverkehr für Remotebenutzer, der vom Communicator Web Access-Server an Port 444 ausgeht, wird von ISA Server an Port 443 umgeleitet. 62 Handbuch für die Planung und Bereitstellung von Microsoft Office Communicator Web Access Es gibt zwei eigenständige Verbindungen. Die Verbindung zwischen dem Remotebenutzer und dem ISA Server-Computer an Port 443 endet am ISA Server-Computer. Nach erfolgreicher Authentifizierung eines Remotebenutzers wird die Nachricht in der ursprünglichen Verbindung überprüft, neu erstellt und über eine neue Verbindung zwischen ISA Server und Communicator Web Access-Server an Communicator Web Access gesendet. Von Communicator Web Access ausgehender Datenverkehr, der für den Remotebenutzer bestimmt ist, endet ebenfalls am ISA Server-Computer. Er wird neu erstellt und über eine von ISA Server neu aufgebaute Verbindung an den Remotebenutzer gesendet. In keiner Richtung gibt es eine direkte Verbindung zwischen Remotebenutzer und dem mithilfe von ISA Server 2004 Standard Edition per SSL-Webveröffentlichung veröffentlichten Communicator Web AccessServer: ISA Server fungiert als Proxyserver. So konfigurieren Sie ISA Server 2004 SP1 Standard Edition für die Veröffentlichung von Communicator Web Access 1. Klicken Sie in der Konsolenansicht der ISA Server-Verwaltung auf Firewallrichtlinie. 2. Klicken Sie auf der Registerkarte Aufgaben auf Einen sicheren Webserver veröffentlichen. 3. Geben Sie auf der Willkommensseite des Assistenten unter Regelname für SSL-Webveröffentlichung den Namen der Regel ein. 4. Klicken Sie auf der Seite Veröffentlichungsmodus auf SSL-Bridging. 5. Klicken Sie auf der Seite Regelaktion auswählen auf Zulassen und anschließend auf Weiter. 6. Klicken Sie auf der Seite Bridgingmodus auf Sichere Verbindung mit Clients und Webserver und dann auf Weiter. 7. Auf der Seite Zu veröffentlichende Website festlegen können Sie entweder den vollqualifizierten Domänennamen oder die IP-Adresse des Communicator Web Access-Servers verwenden. Geben Sie im Feld Computername oder IP-Adresse den vollqualifizierten Domänennamen des Communicator Web Access-Servers ein. Stellen Sie sicher, dass das Kontrollkästchen Ursprünglichen Hostheader anstelle des aktuellen (oben angegebenen) weiterleiten deaktiviert ist. Überprüfen Sie, dass das Feld Pfad leer ist, und klicken Sie dann auf Weiter. Hinweis Wenn Sie zur Definition des Communicator Web Access-Servers den vollqualifizierten Domänennamen verwenden, müssen Sie sicherstellen, dass der vollqualifizierte Domänenname zur IP-Adresse des Servers aufgelöst werden kann. 8. Klicken Sie auf der Seite Details des öffentlichen Namens unter Anforderungen annehmen für auf Diesen Domänennamen (unten eingeben). Geben Sie im Feld Öffentlicher Name den Namen ein, den Remoteclients für den Zugriff auf den Communicator Web Access-Server verwenden sollen. Stellen Sie sicher, dass das Feld Pfad leer ist. Klicken Sie auf Weiter. Hinweis Der Pfad, den Sie unter Öffentlicher Name eingeben, muss ein Stammwebverzeichnis sein. Communicator Web Access unterstützt die Veröffentlichung der Communicator Web Access-Website als Unterverzeichnis einer anderen Website nicht. 9. Klicken Sie auf der Seite Weblistener auswählen auf Neu. 10. Geben Sie auf der Willkommensseite des Assistenten für neue Weblistener im Feld Weblistenername den Namen ein, mit dem Remoteclients auf den Communicator Web Access-Server zugreifen, und klicken Sie dann auf Weiter. Handbuch für die Planung und Bereitstellung von Microsoft Office Communicator Web Access 63 11. Aktivieren Sie auf der Seite IP-Adressen das Kontrollkästchen vor Extern, und stellen Sie sicher, dass alle anderen Kontrollkästchen deaktiviert sind, damit der Weblistener nur den Datenverkehr aus dem externen Netzwerk überwacht. Klicken Sie auf Adresse. 12. Klicken Sie unter Anforderungen abhören auf auf Angegebenen IP-Adressen auf dem ISA ServerComputer im ausgewählten Netzwerk. Klicken Sie unter Verfügbare IP-Adressen auf die IP-Adresse des externen ISA-Netzwerkadapters. Klicken Sie auf Hinzufügen, auf OK und dann auf Weiter. 13. Deaktivieren Sie auf der Seite Portspezifizierung das Kontrollkästchen HTTP aktivieren, aktivieren Sie das Kontrollkästchen SSL aktivieren, und stellen Sie sicher, dass im Feld SSL-Port der Port 443 eingetragen ist. Klicken Sie dann auf Auswählen. 14. Wählen Sie auf der Seite Zertifikat auswählen das SSL-Zertifikat aus. Der allgemeine Name auf dem Zertifikat muss dem öffentlichen Namen entsprechen. Dieser Name ist der URL, über den Remotebenutzer eine Verbindung mit dem veröffentlichten Communicator Web Access-Server im internen Netzwerk herstellen. Klicken Sie auf OK. Hinweis Es wird empfohlen, in einer Produktionsumgebung unterschiedliche URLs für externe und interne Verbindungen zu verwenden. 15. Klicken Sie auf der Seite Portspezifizierung auf Weiter. 16. Klicken Sie auf der Seite Fertigstellen des Assistenten auf Fertig stellen. 17. Überprüfen Sie auf der Seite Weblistener auswählen die Eigenschaften des Weblisteners, und klicken Sie dann auf Weiter. 18. Klicken Sie auf der Seite Benutzersätze auf Weiter, um den Standard Alle Benutzer zu übernehmen. 19. Klicken Sie auf der Seite Fertigstellen des Assistenten auf Fertig stellen. 20. Klicken Sie in der Hauptkonsole der ISA Server-Verwaltung auf Übernehmen, um die vorgenommenen Änderungen anzuwenden. 21. Klicken Sie im Bestätigungsfeld für die Übernahme der neuen Konfiguration auf OK. 22. In der Hauptkonsole der ISA Server-Verwaltung sollte die Registerkarte Firewallrichtlinie nun Regel 1 mit dem Namen imserver.contoso.com und Letzte Standardregel enthalten. Sie verfügen nun über zwei virtuelle Server, Communicator Web Access_Internal und Communicator Web Access_External. Communicator Web Access_External wurde von ISA Server 2004 mittels SSLWebveröffentlichung veröffentlicht. Der Zugriff auf Communicator Web Access_Internal erfolgt über SSLPort 443, der Zugriff auf Communicator Web Access_External über SSL-Port 444. Auf einem Computer im internen Netzwerk, der über Berechtigungen für den Zugriff auf beide virtuellen Server verfügt, muss für den Zugriff auf die externe Site Port 444 angegeben werden. Port 443 ist der Standardwert und muss für den Zugriff auf die interne Site nicht angegeben werden. Als Nächstes konfigurieren Sie ISA für die automatische Umleitung des Remotedatenverkehrs vom öffentlichen URL an den externen virtuellen Server auf Port 444, damit Remotebenutzer Port 444 nicht mehr angeben müssen. Dieser Schritt ist erforderlich, damit ISA Server Anforderungen an Port 443 umleitet, der standardmäßig vom internen virtuellen Server verwendet wird. Aus Sicherheitsgründen müssen interne Server vom externen Datenverkehr isoliert werden. Nachdem Sie die automatische Umleitung des Remotedatenverkehrs konfiguriert haben, können interne Benutzer und Remotebenutzer über denselben URL eine Verbindung mit dem Communicator Web AccessServer herstellen. Jeder Benutzer wird stets an den geeigneten virtuellen Server am richtigen Port umgeleitet. 64 Handbuch für die Planung und Bereitstellung von Microsoft Office Communicator Web Access So konfigurieren Sie ISA für die interne Umleitung externer Anfragen an Port 444 1. Klicken Sie auf Start, zeigen Sie auf Programme, dann auf Microsoft ISA Server, und klicken Sie auf ISA Server-Verwaltung. 2. Klicken Sie in der Konsolenansicht der ISA Server-Verwaltung auf den Knoten Firewallrichtlinie. 3. Klicken Sie im Detailbereich mit der rechten Maustaste auf die Firewallrichtlinie für den Communicator Web Access-Server, und klicken Sie dann auf Eigenschaften. 4. Klicken Sie auf der Eigenschaftenseite auf die Registerkarte Bridging. 5. Klicken Sie auf der Registerkarte Bridging auf Webserver, deaktivieren Sie das Kontrollkästchen Anforderungen an HTTP-Port umleiten, aktivieren Sie das Kontrollkästchen Anforderungen an SSLPort umleiten, und geben Sie im Feld rechts daneben 444 ein. Sie müssen auf dieser Seite kein Zertifikat auswählen. 6. Klicken Sie auf OK. 7. Klicken Sie in der Konsole der ISA Server-Verwaltung auf Übernehmen, um die vorgenommenen Änderungen anzuwenden. 8. Klicken Sie im Bestätigungsfeld Neue Konfiguration übernehmen auf OK. Testen Sie die Konfiguration mithilfe eines Remoteclients. Geben Sie auf dem Client im Browser folgenden URI ein: https://<Vollqualifizierter_Domänenname_des_Servers>. Klicken Sie im Dialogfeld Sicherheitshinweis auf Ja. Nun sollte die formularbasierte Anmeldeseite für Communicator Web Access angezeigt werden. Abbildung 19: Formularbasierte Communicator Web Access-Anmeldung Nach der Anmeldung bei Communicator Web Access sollte das Hauptclientfenster von Communicator Web Access angezeigt werden. Handbuch für die Planung und Bereitstellung von Microsoft Office Communicator Web Access 65 Verwaltung und Bedienung Dieser Abschnitt beschreibt Optionen für die Verwaltung, Konfiguration und Überwachung von Communicator Web Access. Verwalten des Communicator Web Access-Servers In diesem Abschnitt wird erörtert, wie Sie mithilfe von Communicator Web Access Manager einen oder mehrere Communicator Web Access-Server von einem Communicator Web Access-Server oder von einem Remotecomputer aus verwalten können. Wenn Sie eine Verbindung zu einem physischen Communicator Web Access-Server herstellen, werden im Detailbereich von Communicator Web Access Manager Informationen über den Server sowie die Anzahl der enthaltenen virtuellen Server angezeigt. Sie können mithilfe von Communicator Web Access Manager die Eigenschaften physischer und virtueller Server gleichermaßen konfigurieren. In Communicator Web Access Manager können Sie folgende Aufgaben ausführen: Verbinden mit einem physischen Server Trennen der Verbindung mit einem Server Deaktivieren eines Servers und anschließendes Entfernen aus dem Dienst Erstellen eines neuen Communicator Web Access-Servers (virtueller Server) Außerdem können Sie die folgenden Aktionen für virtuelle Server durchführen: Starten, Beenden und Neustarten eines virtuellen Servers Importieren oder Exportieren einer Konfigurationsdatei mit den Einstellungen des virtuellen Servers Aktualisieren des virtuellen Servers Löschen des virtuellen Servers Darüber hinaus können Sie Authentifizierungs- und Konnektivitätseigenschaften konfigurieren. Während des Setups von Communicator Web Access wird Communicator Web Access Manager automatisch auf dem Server installiert. Sie können die Option auf einem Remotecomputer installieren, indem Sie die Bereitstellungstools öffnen und die letzte Option auswählen, Communicator Web Access Manager installieren. Einzelheiten zu den Bereitstellungstools finden Sie weiter vorn in diesem Handbuch unter „Installieren von Communicator Web Access mithilfe der Bereitstellungstools“. Communicator Web Access Manager kann auf folgenden Betriebssystemen ausgeführt werden: Windows XP Professional Windows Server 2003 Standard Edition Windows Server 2003 Enterprise Edition Communicator Web Access Manager wird von keiner Version von Windows 2000 unterstützt. Während der Installation von Communicator Web Access wird außerdem ein MMC-Snap-In für Communicator Web Access installiert. Falls Ihre Organisation sehr viele Administratoren beschäftigt, können Sie eine Konsole mit diesem Snap-In erstellen und die MSC-Datei schreibgeschützt an die Administratoren verteilen. 66 Handbuch für die Planung und Bereitstellung von Microsoft Office Communicator Web Access Wichtig Sie müssen den IIS-Manager auf einem Remotecomputer installieren, bevor Sie Communicator Web Access Manager installieren können. Nur die Verwaltungskomponenten sind erforderlich. Es ist nicht erforderlich, IIS auf dem Computer zu installieren. Verwenden Sie die Systemsteuerung, um das IIS-Snap-In (Windows XP) oder den Internetinformationsdienste-Manager (Windows Server 2003) zu installieren, oder laden Sie den Internetinformationsdienste-Manager 6.0 für Windows XP herunter. So installieren Sie Communicator Web Access Manager auf einem Remotecomputer 1. Melden Sie sich am Server als Mitglied der Administratorgruppe und der Gruppe „Domänen-Admins“ an. 2. Führen Sie Setup.exe im Communicator Web Access-Installationsordner aus, um die Seite Microsoft Office Communicator Web Access bereitstellen zu öffnen. 3. Klicken Sie auf der Bereitstellungsseite auf Schritt 4: Communicator Web Access Administrative SnapIn installieren. 4. Klicken Sie auf der Seite Willkommen auf Weiter. 5. Klicken Sie auf der Seite Lizenzvertrag auf Ich stimme den Bedingungen des Lizenzvertrags zu und dann auf Weiter. 6. Übernehmen Sie auf der Seite Installationsbereit den Standardspeicherort, oder klicken Sie auf Ändern, um einen alternativen Speicherort auszuwählen. Klicken Sie dann auf Weiter. 7. Klicken Sie auf der Seite Installationsbereit auf Installieren. 8. Klicken Sie auf der Seite Setup abgeschlossen auf Fertig stellen. So stellen Sie eine Verbindung mit dem Communicator Web Access-Server her 1. Klicken Sie im Startmenü nacheinander auf Alle Programme, auf Verwaltung und dann auf Communicator Web Access Manager. 2. Klicken Sie mit der rechten Maustaste auf Microsoft Office Communicator Web Access Manager, und klicken Sie dann auf Verbinden. Geben Sie im Feld Computername den Servernamen, die IP-Adresse oder den vollqualifizierten Domänennamen des Communicator Web Access-Servers ein, und klicken Sie dann auf OK. Nach erfolgreicher Authentifizierung und Autorisierung Ihrer Anmeldedaten wird Communicator Web Access Manager angezeigt. Hinweis Falls Ihr Benutzerkonto nicht für die Anmeldung am Communicator Web Access-Server autorisiert ist, können Sie sich als anderer Benutzer anmelden. Aktivieren Sie dazu das Kontrollkästchen Verbinden als, geben Sie die Anmeldeinformationen des entsprechenden Benutzers ein, und klicken Sie dann auf OK. Handbuch für die Planung und Bereitstellung von Microsoft Office Communicator Web Access 67 Abbildung 20: Communicator Web Access Manager So deaktivieren Sie den Communicator Web Access-Server 1. Stellen Sie in Communicator Web Access Manager mit einem Konto, das Mitglied der Administratorgruppe und der Gruppe „RTCDomainServerAdmins“ ist, eine Verbindung mit dem Communicator Web AccessServer her. 2. Klicken Sie mit der rechten Maustaste auf den Knoten des physischen Servers, und klicken Sie dann auf Deaktivieren. 3. Klicken Sie auf der Seite Dies ist der Assistent zum Deaktivieren für Communicator Web Access Server auf Weiter. 4. Klicken Sie auf der Seite Vor Deaktivierung überprüfen auf Weiter. 5. Klicken Sie auf der Seite Der Assistent für die Deaktivierung wurde erfolgreich abgeschlossen auf Fertig stellen. Verwalten virtueller Server Während der Installation von Communicator Web Access wird in IIS ein virtueller Communicator Web AccessServer (eine Website) mit den entsprechenden virtuellen Verzeichnissen, dem zugehörigen Inhalt und den Standardwebsiteeinstellungen erstellt. Die IIS-Standardeinstellungen sind weiter hinten in diesem Handbuch unter „Standardeinstellungen für Communicator Web Access in IIS 6.0“ aufgeführt. Verwenden Sie den IISManager, um die Einstellungen der Communicator Web Access-Website zu ändern. Einzelheiten zum IISManager entnehmen Sie der zugehörigen Produktdokumentation. Mit den Communicator Web Access-Bereitstellungstools wird nur der erste virtuelle Communicator Web Access-Server erstellt. Zum Erstellen weiterer virtueller Server, beispielsweise für den Zugriff durch Remotebenutzer, müssen Sie Communicator Web Access Manager verwenden. Nach der Installation von Communicator Web Access können Sie demselben Communicator Web AccessServer virtuelle Server hinzufügen. Beispielsweise können Sie mehrere virtuelle Communicator Web AccessServer erstellen, um die Serverisolation zu nutzen, die IIS 6.0 zur logischen Trennung externer und interner Benutzer bereitstellt, selbst wenn der gesamte Verkehr durch denselben physischen Server geleitet wird. 68 Handbuch für die Planung und Bereitstellung von Microsoft Office Communicator Web Access So importieren Sie eine Konfigurationsdatei 1. Stellen Sie in Communicator Web Access Manager mit einem Konto, das Mitglied der Administratorgruppe und der Gruppe „RTCDomainServerAdmins“ ist, eine Verbindung mit dem Communicator Web AccessServer her. 2. Erweitern Sie die Strukturansicht, klicken Sie mit der rechten Maustaste auf den Knoten mit dem vollqualifizierten Domänennamen des Servers, und klicken Sie dann auf Konfigurationsdatei importieren. 3. Klicken Sie auf der Seite Dies ist der Import-Assistent für Communicator Web Access Server auf Weiter. 4. Geben Sie auf der Seite Konfigurationsdatei für Import auswählen den Dateinamen und -pfad ein, oder klicken Sie auf die Schaltfläche Durchsuchen, um den Dateinamen und -pfad auszuwählen. Wenn Sie auf die Schaltfläche Durchsuchen klicken, wählen Sie auf der Seite Öffnen die zu importierende XML-Datei aus, und klicken Sie dann auf Öffnen. 5. Klicken Sie auf der Seite Konfigurationsdatei für Import auswählen auf Weiter. 6. Klicken Sie auf der Seite Der Import-Assistent wurde erfolgreich abgeschlossen auf Fertig stellen. 7. Klicken Sie in Communicator Web Access Manager mit der rechten Maustaste auf den Knoten des virtuellen Servers, und klicken Sie dann auf Eigenschaften. Klicken Sie auf die Registerkarte Verbindung. Wenn unter Serverzertifikat die Option HTTPS (empfohlen) aktiviert ist, klicken Sie auf Zertifikat auswählen, und wählen Sie dann das für HTTPS zu verwendende Webserverzertifikat aus. So exportieren Sie eine Konfigurationsdatei 1. Stellen Sie in Communicator Web Access Manager mit einem Konto, das Mitglied der Administratorgruppe und der Gruppe „RTCDomainServerAdmins“ ist, eine Verbindung mit dem Communicator Web AccessServer her. 2. Erweitern Sie die Strukturansicht, klicken Sie mit der rechten Maustaste auf den Knoten des Communicator Web Access-Servers, und klicken Sie dann auf Konfigurationsdatei exportieren. 3. Klicken Sie auf der Seite Dies ist der Export-Assistent für Communicator Web Access Server auf Weiter. 4. Geben Sie auf der Seite Konfigurationsdatei für Import auswählen den Dateinamen und -pfad ein, oder klicken Sie auf die Schaltfläche Durchsuchen, um den Dateinamen und -pfad auszuwählen. Wenn Sie auf die Schaltfläche Durchsuchen klicken, wählen Sie auf der Seite Öffnen die zu importierende XML-Datei aus, und klicken Sie dann auf Öffnen. 5. Klicken Sie auf der Seite Zielordner auswählen auf Weiter. 6. Klicken Sie auf der Seite Der Export-Assistent wurde erfolgreich abgeschlossen auf Fertig stellen. Eigenschaften virtueller Server Wenn Sie in der Strukturansicht mit der rechten Maustaste auf den Knoten Microsoft Office Communicator Web Access Server klicken, wird in Communicator Web Access Manager ein Eigenschaftendialogfeld mit drei Konfigurationsregisterkarten angezeigt: Allgemein Authentifizierung Verbindung Handbuch für die Planung und Bereitstellung von Microsoft Office Communicator Web Access 69 Abbildung 21: Registerkarte „Allgemein“ Auf der Registerkarte Allgemein wird im Feld Live Communications Server der vollqualifizierte Domänenname des Live Communications Server-Computers angezeigt, der Datenverkehr von Communicator Web Access-Benutzern empfangen soll. Wenn Sie dieses Feld leer lassen (die empfohlene Einstellung für die meisten Bereitstellungen), ermittelt Communicator Web Access selbst den Live Communications ServerHomeserver jedes einzelnen Benutzers und leitet den Datenverkehr entsprechend weiter. Wenn der Benutzerdatenverkehr über einen bestimmten Live Communications Server geleitet werden soll, geben Sie in diesem Feld den vollqualifizierten Domänennamen für den entsprechenden Live Communications Server-Computer ein. Beispiel: Nur der Datenverkehr von Remotebenutzern soll gespeichert werden. In diesem Fall stellen Sie einen Live Communications Server Director für den externen Datenverkehr bereit und aktivieren dann die Archivierung. Beim Konfigurieren des externen virtuellen Communicator Web Access-Servers geben Sie in diesem Feld den vollqualifizierten Domänennamen für den Director an. 70 Handbuch für die Planung und Bereitstellung von Microsoft Office Communicator Web Access Abbildung 22: Registerkarte „Authentifizierung“ Auf der Registerkarte Authentifizierung können Sie öffentliche und private Timeouts für die externe Site festlegen. Aus Sicherheitsgründen sollten Sie für externe Sites kürzere Timeouts konfigurieren als die Standardtimeouts für die interne Site. Kürzere Timeouts tragen dazu bei, zu verhindern, dass nicht authentifizierte Benutzer eine nicht überwachte, authentifizierte Sitzung finden. Eine nicht überwachte, authentifizierte Sitzung kann entstehen, wenn ein Benutzer eine authentifizierte Sitzung an einem externen, öffentlichen Computer verlässt. Remotebenutzer können nur die formularbasierte Authentifizierung nutzen. Bei internen Sites können Sie die Authentifizierungsmethode angeben. Für interne Websites sind die Timeouteinstellungen deaktiviert. Wenn das Kontrollkästchen Benutzerspezifischen URI zulassen aktiviert ist, können Benutzer im Server-URI die SIP-Adresse eines Kontakts einschließen. Beispielsweise wäre folgende URI-Eingabe im Browser möglich: https://im.contoso.com/[email protected] Wenn das Kontrollkästchen Benutzerspezifischen URI ohne angegebene Domäne zulassen aktiviert ist, können Benutzer ebenfalls die SIP-Adresse eines Kontakts in den Server-URI einschließen. Der Domänenteil der SIP-Adresse ist dann jedoch optional. Beispielsweise wäre folgende URI-Eingabe im Browser möglich: https://im.contoso.com/bob Wenn beide Kontrollkästchen deaktiviert sind, muss der Kontakt in einem eigenen Schritt angegeben werden. In diesem Fall wäre nur die folgende URI-Eingabe im Browser möglich: https://im.contoso.com Der Benutzer muss anschließend die SIP-Adresse des Kontakts im Formular auf der Startseite des Servers eingeben. Handbuch für die Planung und Bereitstellung von Microsoft Office Communicator Web Access 71 Überwachungsmaßnahmen In diesem Abschnitt werden Maßnahmen zur Überwachung von Communicator Web Access beschrieben. Das Microsoft Office Communicator Web Access Management Pack für Microsoft Operations Manager (MOM) 2005 ergänzt MOM 2005 SP1 mit folgenden Communicator Web Access-spezifischen Informationen: Computergruppe Administratorbenachrichtigungsgruppe Ereignisregeln Leistungsregeln Warnungsregeln Mithilfe dieser Features können MOM-Administratoren Communicator Web Access-Server überwachen und automatisch E-Mail-Benachrichtigungen über kritische Ereignisse erhalten. Einige Beispiele für kritische Ereignisse: Der CWA-Dienst wurde unerwartet beendet. Ein großer Rückstand von Benutzern, die versuchen, sich beim System anzumelden Communicator Web Access kann keine Verbindung mit Active Directory herstellen, sodass keine Benutzerauthentifizierung und keine Kontaktsuche möglich ist. Das Management Pack unterstützt Sie dabei, Probleme, die Ihrer Aufmerksamkeit bedürfen, im Auge zu behalten. Außerdem stellt es zusätzliche Informationen zu kritischen Problemen bereit, die über die üblichen Angaben in Ereignisprotokollen und Leistungsindikatoren in Windows und Windows Server hinausgehen. Die folgenden Komponenten sind nicht im Communicator Web Access Management Pack enthalten, können jedoch mithilfe der Autorenfeatures im MOM Management Pack hinzugefügt werden: Zustandsansichten Benutzerdefinierte Aufgaben Automatische Antwortskripts Berichterstellung Systemanforderungen Für das Communicator Web Access Management Pack ist die folgende Software erforderlich: Microsoft Operations Manager 2005 SP1 Live Communications Server 2005 mit SP1 Management Pack (optional, aber sehr empfehlenswert) So installieren Sie das Communicator Web Access Management Pack 1. Laden Sie auf einem Computer mit installierter MOM-Verwaltungskonsole das Management Pack aus dem Management Pack and Product Connector Catalog (in englischer Sprache) unter http://www.microsoft.com/management/mma/catalog.aspx herunter. 2. Führen Sie Microsoft Windows Installer aus, und installieren Sie die Dateien des Management Packs in einem lokalen, temporären Ordner. 3. Klicken Sie auf Start, zeigen Sie auf Programme, und klicken Sie dann auf Microsoft Operations Manager 2005. Klicken Sie in Microsoft Operations Manager 2005 auf Verwaltungskonsole. 4. Klicken Sie in der Management Pack-Struktur der Konsole auf Management Packs importieren/exportieren. 5. Wählen Sie auf der Seite Management Packs auswählen die Management Packs für den Import aus, und wählen Sie dann eine Importoption. 72 Handbuch für die Planung und Bereitstellung von Microsoft Office Communicator Web Access Verwenden des MOM Management Packs Microsoft Operations Manager erfasst Ereignisse und Leistungsdaten auf den überwachten Systemen. Administratoren können die Ergebnisse in der MOM-Operatorkonsole anzeigen. Communicator Web AccessDaten werden in folgenden Ansichten angezeigt: Warnungsansicht Ereignisansicht Leistungsansicht Wichtig Damit die Benachrichtigungen ordnungsgemäß funktionieren, müssen Sie für jeden Netzwerkadministrator ein Operator-Objekt zu MOM hinzufügen und die E-Mail-Einstellungen (und ggf. Pagereinstellungen) für das Objekt konfigurieren. Fügen Sie anschließend das Operator-Objekt der Administratorbenachrichtigungsgruppe in Live Communications Server hinzu. Nachdem Sie diese Schritte durchgeführt haben, sollte der Operator in Live Communications Server bei einem Fehler oder einem höheren Schweregrad per E-Mail (oder ggf. per Pager) benachrichtigt werden. In der MOM 2005-Verwaltungskonsole wird unter dem Knoten Microsoft Office Live Communications Server 2005 der Knoten Microsoft Office Communicator Web Access angezeigt. Der Knoten Microsoft Office Communicator Web Access enthält die folgenden Regelgruppen: Authentifizierung Leistung Richtlinien Sitzungsdienst Benutzersuche Jede Regelgruppe kann Ereignis- und Leistungsregeln sowie eine Warnungsregel enthalten. Die Warnungsregeln werden eingerichtet, um E-Mails an die Administratorbenachrichtigungsgruppe von Live Communications Server zu senden, wenn in MOM ein Ereignis oder ein Leistungsindikator mit einem Schweregrad von „Fehler“ oder höher empfangen wird. Des Weiteren sind in MOM die folgenden Warnungsebenen verfügbar: Dienst nicht verfügbar Sicherheitsproblem Kritischer Fehler Fehler Warnung Informationen Erfolg Mit dem Communicator Web Access Management Pack werden außerdem die erforderlichen Ereignis- und Leistungsindikatoranbieter sowie die Communicator Web Access-Computergruppe installiert, damit Communicator Web Access-Server automatisch gefunden und die entsprechenden Informationen erfasst werden können. Handbuch für die Planung und Bereitstellung von Microsoft Office Communicator Web Access 73 Anpassen des Management Packs Organisationen können das Communicator Web Access Management Pack wie folgt an ihre individuellen Anforderungen anpassen: Ändern von Regeln – Unterdrücken Sie zu häufig angezeigte Ereignisse, oder deaktivieren Sie unnötige Ereignisse. Außerdem können Sie Pagerdaten einrichten, damit Netzwerkadministratoren auf ihren Pagern über Warnungen informiert werden. Anpassen der Verfolgung – Sie können mithilfe von Leistungsregeln und einigen Informationsereignisregeln die Dienstleistung verfolgen, Servicelevels verwalten (z. B. durch Identifizieren von Spitzenzeiten und Zeiten mit erhöhter Latenz) und die verfügbare Zeit des Dienstes überwachen. Erweitern der Funktionalität – Sie können eigene Regeln, Aufgaben und automatische Antworten hinzufügen. Zusätzliche MOM-Ressourcen Weitere Informationen über MOM 2005 finden Sie in folgenden Ressourcen: Microsoft Operations Manager 2005 Security Guide (in englischer Sprache): http://www.microsoft.com/technet/prodtechnol/mom/mom2005/Library/3e039637-4639-46f7-9f5f518e0c04795e.mspx Management Pack and Utilities Catalog (in englischer Sprache): http://www.microsoft.com/management/mma/catalog.aspx MOM Resource Kit (in englischer Sprache): http://www.microsoft.com/mom/downloads/2005/reskit/default.mspx Entfernen von Communicator Web Access In diesem Abschnitt wird beschrieben, wie Communicator Web Access von einem Server entfernt wird. Sie müssen zunächst den Communicator Web Access-Server deaktivieren und damit den entsprechenden Eintrag aus Active Directory entfernen. Hinweis Wenn Live Communications Server und Communicator Web Access auf demselben Server installiert sind, wird beim Deaktivieren von Communicator Web Access gleichzeitig auch Live Communications Server deaktiviert. Da in Active Directory nur ein einzelner Eintrag für den physischen Server enthalten ist, wird beim Deaktivieren einer der Serverrollen der Eintrag für den physischen Server aus Active Directory entfernt. In der Folge ist keine der beiden Serverrollen mehr verfügbar. So deaktivieren Sie den Communicator Web Access-Server 1. Klicken Sie auf Start, zeigen Sie auf Programme, anschließend auf Verwaltung, und klicken Sie dann auf Communicator Web Access Manager. Klicken Sie in der Konsolenansicht von Communicator Web Access Manager mit der rechten Maustaste auf den Knoten des physischen Servers, und klicken Sie dann auf Deaktivieren. 2. Folgen Sie den Anweisungen des Assistenten, um den Server zu deaktivieren. So entfernen Sie den Communicator Web Access-Server 1. Klicken Sie nacheinander auf Start, auf Systemsteuerung und dann auf Software. 2. Klicken Sie auf Programme ändern oder entfernen. 3. Klicken Sie in der Liste Zurzeit installierte Programme auf Microsoft Office Communicator Web Access Server. 4. Klicken Sie auf Entfernen. 5. Klicken Sie auf Ja. 74 Handbuch für die Planung und Bereitstellung von Microsoft Office Communicator Web Access Anhänge Anhang 1: Konten In diesem Abschnitt werden die Konten beschrieben, die für Communicator Web Access erforderlich sind. Von Communicator Web Access-Setup erstellte Konten Das folgende Konto wird vom Setup-Programm für Communicator Web Access erstellt. Tabelle 8: Von Setup erstelltes Konto Kontoname Mitglied von CWAService RTCHSDomainServices Administratorgruppen Communicator Web Access erfordert die folgenden Änderungen an Administratorgruppen. Tabelle 9: Änderungen an Administratorgruppen Kontoname Änderungen RTCDomainServerAdmins Nehmen Sie folgende Änderungen vor: Mitglied der Administratorgruppe (lokaler Computer) Zugriffssteuerungseinträge für Lesen/Schreiben in der Communicator Web Access-WMI Lesen/Schreiben von IIS-Einstellungen Keine Zugriffssteuerungseinträge für Active Directory erforderlich Anhang 2: Ermöglichen der Aktivierung ohne Anmeldung als Domänenadministrator Zum Aktivieren des Communicator Web Access-Servers müssen Sie als Mitglied der Gruppe „DomänenAdmins“ oder einer Gruppe mit vergleichbaren Benutzerrechten angemeldet sein. Wenn Sie der Gruppe „Domänen-Admins“ keinen Administrator hinzufügen möchten, können Sie einem Administrator die Serveraktivierung ermöglichen. Erstellen Sie dazu eine neue Sicherheitsgruppe, gewähren Sie dieser nur die zum Ausführen des Microsoft Office Communicator Web Access-Aktivierungs-Assistenten erforderlichen Rechte und Berechtigungen, und fügen Sie den Administrator der neuen Sicherheitsgruppe hinzu. Zum Ausführen des Communicator Web Access-Aktivierungs-Assistenten sind die folgenden Berechtigungen erforderlich: Rechte, die der Mitgliedschaft in der Administratorgruppe des lokalen Computers entsprechen Berechtigungen zum Erstellen und Löschen globaler Einstellungen für den RTC-Dienst im globalen Container von Live Communications Server Berechtigungen zum Erstellen und Löschen von Konten für den Container, der die Gruppen „RTCDomainServerAdmins“ und „RTCHSDomainServices“ enthält Lese- und Schreibberechtigungen für das Dienstkonto, das während der Aktivierung angegeben wird Handbuch für die Planung und Bereitstellung von Microsoft Office Communicator Web Access 75 Gehen Sie folgendermaßen vor, um einem Benutzer die genannten Berechtigungen zu gewähren: 1. Erstellen Sie ein Dienstkonto für Communicator Web Access, das während der Aktivierung angegeben wird, und fügen Sie es der Sicherheitsgruppe „RTCHSDomainServices“ hinzu. 2. Erstellen Sie eine globale Sicherheitsgruppe, und nennen Sie sie beispielsweise „CWAServerAdmins“. 3. Weisen Sie der neuen Sicherheitsgruppe die erforderlichen Berechtigungen zum Erstellen und Löschen globaler Einstellungen zu. Die Gruppe benötigt die folgenden Berechtigungen für das RTC-Dienstobjekt: Lesen, Alle untergeordneten Objekte erstellen und Alle untergeordneten Objekte löschen. 4. Weisen Sie der neuen Sicherheitsgruppe die erforderlichen Berechtigungen zum Erstellen und Löschen von Konten zu. Das Konto benötigt die folgenden Berechtigungen für den Container Benutzer (oder den Container, der die Gruppen „RTCDomainServerAdmins“ und „RTCHSDomainServices“ enthält): Lesen, Alle untergeordneten Objekte erstellen und Alle untergeordneten Objekte löschen. 5. Weisen Sie der neuen Sicherheitsgruppe Lese- und Schreibberechtigungen für das Dienstkonto zu, das während der Aktivierung angegeben wird. 6. Fügen Sie der neuen Sicherheitsgruppe das Benutzerkonto des Administrators hinzu, damit der Administrator den Communicator Web Access-Aktivierungs-Assistenten auch ohne Mitgliedschaft in der Gruppe „Domänen-Admins“ ausführen kann. Die genannten Schritte werden nachfolgend ausführlich beschrieben. So erstellen Sie ein Dienstkonto, das während der Aktivierung angegeben wird 1. Melden Sie sich als Mitglied der Gruppe „Domänen-Admins“ für die Domäne, in der Communicator Web Access bereitgestellt werden soll, bei einem Computer an. 2. Öffnen Sie Active Directory-Benutzer und -Computer: Klicken Sie auf Start, Alle Programme, Verwaltung und anschließend auf Active Directory-Benutzer und -Computer. 3. Erweitern Sie in der Konsolenstruktur den Domänenknoten, klicken Sie mit der rechten Maustaste auf Benutzer, klicken Sie auf Neu und dann auf Benutzer. 4. Geben Sie im Feld Vorname den Kontonamen ein (z. B. CWAServiceAccount). Geben Sie im Feld Benutzeranmeldename nochmals denselben Kontonamen ein. Klicken Sie auf Weiter. 5. Geben Sie im Feld Kennwort ein Kennwort ein. Geben Sie im Feld Kennwort bestätigen dasselbe Kennwort nochmals ein. 6. Deaktivieren Sie das Kontrollkästchen Benutzer muss Kennwort bei der nächsten Anmeldung ändern. Klicken Sie auf Weiter, und klicken Sie dann auf Fertig stellen. 7. Klicken Sie im Detailbereich mit der rechten Maustaste auf RTCHSDomainServices, und klicken Sie dann auf Eigenschaften. Klicken Sie auf die Registerkarte Sicherheit. 8. Klicken Sie auf Hinzufügen. Geben Sie unter Geben Sie die zu verwendenden Objektnamen ein den Dienstkontonamen ein, und klicken Sie dann auf OK. So erstellen Sie eine Sicherheitsgruppe 1. Melden Sie sich als Mitglied der Gruppe „Domänen-Admins“ für die Domäne, in der Communicator Web Access bereitgestellt werden soll, bei einem Computer an. 2. Öffnen Sie Active Directory-Benutzer und -Computer: Klicken Sie auf Start, Alle Programme, Verwaltung und anschließend auf Active Directory-Benutzer und -Computer. 3. Klicken Sie in der Konsolenstruktur von Active Directory-Benutzer und -Computer mit der rechten Maustaste auf Benutzer, klicken Sie auf Neu und dann auf Gruppe. 4. Geben Sie im Feld Gruppenname den Gruppennamen ein (z. B. CWAServerAdmins). Übernehmen Sie unter Gruppenbereich den Standardwert Global. Übernehmen Sie unter Gruppentyp den Standardwert Sicherheit. Klicken Sie auf OK. 76 Handbuch für die Planung und Bereitstellung von Microsoft Office Communicator Web Access So weisen Sie der Sicherheitsgruppe die erforderlichen globalen Berechtigungen zu 1. Melden Sie sich als Mitglied der Gruppe „Domänen-Admins“ für die Domäne, in der Communicator Web Access bereitgestellt werden soll, bei einem Computer an. 2. Öffnen Sie Active Directory-Benutzer und -Computer: Klicken Sie auf Start, Alle Programme, Verwaltung und anschließend auf Active Directory-Benutzer und -Computer. 3. Klicken Sie im Menü Ansicht auf Erweiterte Funktionen. 4. Erweitern Sie in der Konsolenstruktur den Stammdomänenknoten, und erweitern Sie dann nacheinander System, Microsoft und RTC-Dienst. 5. Klicken Sie mit der rechten Maustaste auf Globale Einstellungen, und klicken Sie dann auf Eigenschaften. 6. Klicken Sie auf die Registerkarte Sicherheit und dann auf Hinzufügen. 7. Geben Sie im Feld Geben Sie die zu verwendenden Objektnamen ein den Namen der globalen Sicherheitsgruppe ein (z. B. CWAServerAdmins), und klicken Sie dann auf OK. 8. Klicken Sie neben den folgenden Berechtigungen auf Zulassen: 9. Lesen Alle untergeordneten Objekte erstellen Alle untergeordneten Objekte löschen Klicken Sie auf OK. So weisen Sie der Sicherheitsgruppe die erforderlichen Berechtigungen zum Erstellen und Löschen von Konten zu 1. Melden Sie sich als Mitglied der Gruppe „Domänen-Admins“ für die Domäne, in der Communicator Web Access bereitgestellt werden soll, bei einem Computer an. 2. Öffnen Sie Active Directory-Benutzer und -Computer: Klicken Sie auf Start, Alle Programme, Verwaltung und anschließend auf Active Directory-Benutzer und -Computer. 3. Erweitern Sie in der Konsolenstruktur von Active Directory-Benutzer und -Computer den Knoten der Domäne, in der Communicator Web Access installiert werden soll. Klicken Sie mit der rechten Maustaste auf Benutzer (oder auf den Container, der die Gruppen „RTCDomainServerAdmins“ und „RTCHSDomainServices“ enthält), und klicken Sie dann auf Eigenschaften. 4. Klicken Sie auf die Registerkarte Sicherheit und dann auf Hinzufügen. 5. Geben Sie im Feld Geben Sie die zu verwendenden Objektnamen ein den Namen der globalen Sicherheitsgruppe ein (z. B. CWAServerAdmins), und klicken Sie dann auf OK. 6. Klicken Sie neben den folgenden Berechtigungen auf Zulassen: 7. Lesen Alle untergeordneten Objekte erstellen Alle untergeordneten Objekte löschen Klicken Sie auf OK. So weisen Sie der Sicherheitsgruppe Berechtigungen für das Dienstkonto zu 1. Melden Sie sich als Mitglied der Gruppe „Domänen-Admins“ für die Domäne, in der Communicator Web Access bereitgestellt werden soll, bei einem Computer an. 2. Öffnen Sie Active Directory-Benutzer und -Computer: Klicken Sie nacheinander auf Start, auf Alle Programme, auf Verwaltung und auf Active Directory-Benutzer und -Computer. Handbuch für die Planung und Bereitstellung von Microsoft Office Communicator Web Access 77 3. Klicken Sie in der Konsolenstruktur von Active Directory-Benutzer und -Computer auf Benutzer. Klicken Sie im Detailbereich mit der rechten Maustaste auf das von Ihnen erstellte Dienstkonto (z. B. CWAServiceAccount), und klicken Sie dann auf Eigenschaften. 4. Klicken Sie auf die Registerkarte Sicherheit und dann auf Hinzufügen. 5. Geben Sie im Feld Geben Sie die zu verwendenden Objektnamen ein den Namen der globalen Sicherheitsgruppe ein (z. B. CWAServerAdmins), und klicken Sie dann auf OK. 6. Klicken Sie neben den folgenden Berechtigungen auf Zulassen: 7. Lesen Schreiben Klicken Sie auf OK. So fügen Sie der Sicherheitsgruppe einen Benutzer hinzu 1. Klicken Sie im Detailbereich von Active Directory-Benutzer und -Computer mit der rechten Maustaste auf die globale Sicherheitsgruppe (z. B. CWAServerAdmins), und klicken Sie dann auf Eigenschaften. Klicken Sie auf die Registerkarte Mitglieder. 2. Klicken Sie auf Hinzufügen. Geben Sie unter Geben Sie die zu verwendenden Objektnamen ein den Benutzerkontonamen ein, und klicken Sie dann zweimal auf OK. Der Benutzer verfügt nun über alle Rechte und Berechtigungen, die zum Ausführen des Communicator Web Access-Aktivierungs-Assistenten erforderlich sind. Anhang 3: WMI-Einstellungen In der folgenden Tabelle sind die Standard-WMI-Einstellungen für eine interne und eine externe Instanz eines virtuellen Communicator Web Access-Servers aufgeführt. Die WMI-Eigenschaften, die direkt ohne Verwendung von Communicator Web Access Manager geändert werden können, werden in der Spalte Änderung möglich? identifiziert. Direkte Änderungen der WMI-Eigenschaften werden ohne Neustart des virtuellen Servers sofort wirksam. Tabelle 10: WMI-Einstellungen Änderung möglich? Name Typ Wert MSFT_CWASupportedLanguage Nein Enabled Boolesch true Nein FriendlyName Zeichenfolge Deutsch Nein LanguageID uint32 1031 Nein LanguageTag Zeichenfolge DEU Ja AllowDomainlessUri Boolesch false Ja AllowFormAuth Boolesch true Ja AllowIwaAuth Boolesch true (bei externem Server false) Ja AllowSingleSignon Boolesch true Ja BackendLCS Zeichenfolge <leer> Nein ConnectivityType Zeichenfolge HTTPS MSFT_CWASiteSetting 78 Handbuch für die Planung und Bereitstellung von Microsoft Office Communicator Web Access Änderung möglich? Name Typ Wert Ja DefaultLanguageID uint32 1031 (Deutsch) Ja DefaultSearchField uint32 12 Zulässige Werte: 0000 (0) 0001 (1) 0010 (2) 0011 (3) 0100 (4) 0101 (5) 0110 (6) 1000 (8) 1001 (9) 1010 (10) 1100 (12) Ja DefaultSearchQuery Zeichenfolge OR Zulässige Werte: AND, OR Nein Description Zeichenfolge <Instanzname> Ja FormPrivateTimeoutMin uint32 240 Ja FormPublicTimeoutMin uint32 15 Nein FQDN Zeichenfolge <servername.org_name.com> Nein IP Zeichenfolge [leer] Ja MaxQueuedSearches uint32 80 Zulässige Werte: 1 bis 80 Nein Name Zeichenfolge W3SVC/########## Nein Port uint32 443 Ja SearchMaxClientResults uint32 10 Zulässige Werte: 1 bis 300 Ja SearchMaxServerResults uint32 200 Zulässige Werte: 1 bis 1000 Ja ServerType Zeichenfolge Internal (bei externem Server external) Ja UserNotice Zeichenfolge [leer] MSFT_CWAServerSetting Nein Activated Boolesch true Nein Name Zeichenfolge Vollqualifizierter Domänenname des Servers Nein TLSCertIssuer unit8-Array <Array> Nein TLSCertSN unit8-Array <Array> Handbuch für die Planung und Bereitstellung von Microsoft Office Communicator Web Access 79 Anhang 4: Konfigurieren von IIS 6.0 In diesem Abschnitt werden die Änderungen beschrieben, die Communicator Web Access in IIS 6.0 vornimmt. Außerdem werden Überlegungen zur Konfiguration erörtert. Der Setup-Assistent von Communicator Web Access nimmt in IIS 6.0 eine Reihe von Änderungen vor (siehe folgende Abbildung). Abbildung 23: IIS 6.0-MMC Anwendungspools Der Communicator Web Access-Assistent zum Erstellen eines virtuellen Servers erstellt zwei Anwendungspools für den zuerst erstellten virtuellen Server: Communicator Web Access W3SVC<Websitebezeichner> Der Communicator Web Access-Assistent zum Erstellen eines virtuellen Servers erstellt für jeden virtuellen Server, der nach dem ersten virtuellen Server erstellt wird, einen Anwendungspool: W3SVC<Websitebezeichner> Webdiensterweiterungen Der Communicator Web Access-Assistent zum Erstellen eines virtuellen Servers erstellt für den zuerst erstellten virtuellen Server eine Webdiensterweiterung. Das cwaauth-Attribut muss im IIS-Manager 6.0 auf Zugelassen festgelegt werden. Bei der Erstellung weiterer virtueller Server werden keine zusätzlichen Webdiensterweiterungen erstellt. 80 Handbuch für die Planung und Bereitstellung von Microsoft Office Communicator Web Access Wichtig Verwenden Sie nicht die Wiederverwendungsoptionen in den Eigenschaften des Anwendungspools. Die Wiederverwendungseinstellungen eines Anwendungspools befinden sich im Dialogfeld Eigenschaften des Anwendungspools auf der Registerkarte Wiederverwendung. Da einige Communicator Web Access-Prozesse statusbehaftet sind, kann die Verwendung der Wiederverwendungsoptionen Fehler verursachen. Weitere Informationen finden Sie in der Windows Server System-Referenzarchitektur (in englischer Sprache) unter „Web Application Services Operations“: http://www.microsoft.com/technet/itsolutions/wssra/raguide/WebApplicationServices/igwaog_2.mspx Standardeinstellungen für Communicator Web Access in IIS 6.0 Während des Setups von Communicator Web Access werden automatisch einige IIS-Einstellungen konfiguriert. Die Standardeinstellungen sind in Tabelle 11 aufgeführt. Nachdem Sie Ihre Communicator Web Access-Server eine Zeit lang überwacht haben, können Sie diese Einstellungen präzise an die Anforderungen Ihrer Organisation anpassen. Tabelle 11: Standardeinstellungen der Communicator Web Access-Website in der IIS 6.0-MMC Name der Einstellung Typ Wert der Einstellung Beschreibung Textfeld Communicator Web Access IP-Adresse Dropdownlistenfeld [Keine zugewiesen] TCP-Port Textfeld 80 SSL-Port Textfeld 443 Verbindungstimeout Textfeld 120 HTTP-Verbindung aufrechterhalten (HTTP-KeepAlive aktivieren) Kontrollkästchen aktiviert Protokollierung aktivieren Kontrollkästchen aktiviert Aktives Protokollformat Dropdownlistenfeld W3C-erweitert Registerkarte Website Erweiterte Identifikation für Websites – Mehrere Identitäten für diese Website IP-Adresse Textfeld Standard TCP-Port Textfeld 80 Hostheaderwert Textfeld <leer> Erweiterte Identifikation für Websites – Mehrere SSL-Identitäten für diese Website IP-Adresse Textfeld Standard SSL-Port Textfeld 443 Protokollierungseigenschaften – Registerkarte Allgemein Neuer Protokollzeitplan Optionsfelder Optionsfeld „Täglich“ aktiviert Lokale Zeit für Dateibenennung und Rollover verwenden Kontrollkästchen deaktiviert Protokolldateiverzeichnis Textfeld %windir%\system32\LogFiles Handbuch für die Planung und Bereitstellung von Microsoft Office Communicator Web Access 81 Protokollierungseigenschaften – Registerkarte Erweitert Erweiterte Protokollierungsoptionen Zahlreiche Kontrollkästchen deaktiviert Servername (s-Computername) Gesendete Bytes (sc-Bytes) Empfangene Bytes (cs-Bytes) Aufnahmezeit (Aufnahmezeit) Protokollversion (cs-Version) Host (cs-Host) Cookie (cs(Cookie)) Referenz (cs(Referenz)) aktiviert Alle anderen Kontrollkästchen Bandbreiteneinschränkung Kontrollkästchen deaktiviert Websiteverbindungen Optionsfelder (2) Optionsfeld Unbegrenzt aktiviert Status Textfeld Grüner Pfeil nach oben Filtername Textfeld cwaauth Priorität Textfeld Niedrig Registerkarte Leistung Registerkarte ISAPI-Filter Konfigurieren zur Leistungsoptimierung Damit Ihre Communicator Web Access-Server optimale Leistung bringen, können Sie die folgenden IISEigenschaften konfigurieren: Websiteverbindungen – Standardmäßig ist keine Höchstanzahl von Websiteverbindungen vorgegeben. Verbindungsbeschränkungen begrenzen die Anzahl der gleichzeitigen Clientverbindungen mit Ihren Websites und Ihrem Webserver. Durch das Begrenzen der Verbindungen wird Arbeitsspeicher gespart und werden bösartige Versuche unterbunden, den Webserver mit tausenden von Clientanforderungen zu überlasten. Bandbreiteneinschränkung – Die Bandweiteneinschränkung ist standardmäßig deaktiviert. Wenn die vom Communicator Web Access-Server verwendete Netzwerk- oder Internetverbindung auch von anderen Diensten wie E-Mail oder Nachrichten genutzt wird, sollten Sie die Bandbreite für jeden einzelnen Dienst einschränken. Wenn auf Ihrem Webserver mehrere Websites gehostet werden, können Sie die Bandbreite für jede Website einzeln einschränken. IIS-Protokollierung – Die IIS-Protokollierung ist standardmäßig aktiviert. Bei aktivierter IISProtokollierung könnten die IIS-Protokolldateien langfristig die Festplattenkapazität des Servers beeinträchtigen. Bei einer Bereitstellung für mehr als 1.000 Benutzer könnte der freie Speicherplatz auf der Festplatte in wenigen Tagen erschöpft sein. Damit der Communicator Web Access-Server störungsfrei ausgeführt werden kann, sollten Sie die IIS-Protokollierung nur für Debugzwecke aktivieren. Alternativ können Sie nicht mehr benötigte Dateien auch regelmäßig löschen. Informationen zur Feinabstimmung der Einstellungen für IIS 6.0 finden Sie im Abschnitt „Performance Tuning (IIS 6.0)“ (in englischer Sprache) unter http://www.microsoft.com/technet/prodtechnol/WindowsServer2003/Library/IIS/71490aae-f444-443c-8b2a520c2961408e.mspx.
