在上一篇文章中我們搭建了即時通訊伺服器LCS,今天我們為使用者啟用即時通訊服務,并為即時通訊使用者搭建基于TCP和基于TLS的通信通道。
試驗拓撲圖如下:
試驗拓撲介紹:Florence為域控制器、DNS伺服器、CA伺服器。
Firenze為LCS伺服器。
Istanbul為測試客戶機。
所有計算機都處于LCSTEST.COM域中
<a href="http://fanlinlin.blog.51cto.com/attachment/200905/18/535085_1242617862AW6H.gif"></a>
<b>首先我們為客戶啟用即時通訊服務。</b><b></b>
在域控制器Florence上打開Active Directory 使用者和計算機。選擇要開啟即時通訊服務的使用者。右擊使用者名,選擇屬性。在使用者屬性中選擇Live communications選項。
如下圖所示,勾選為此使用者啟用Live communications(E)
為使用者指定登入名格式如下所示:(在此我們為administrator配置LCS)sip:[email protected]
伺服器或池我們選擇FIRENZE.lcstest.com
<a href="http://fanlinlin.blog.51cto.com/attachment/200905/18/535085_1242617864hMxu.jpg"></a>
同樣的格式,為使用者張三開啟即時通訊服務。
<a href="http://fanlinlin.blog.51cto.com/attachment/200905/18/535085_124261786896py.jpg"></a>
<b>安裝</b><b>LCS</b><b>用戶端</b><b></b>
LCS用戶端是必不可少的。接下來我們在客戶機上安裝LCS用戶端MSN。
輕按兩下執行安裝MSN5.1
<a href="http://fanlinlin.blog.51cto.com/attachment/200905/18/535085_1242617871XHzd.jpg"></a>
安裝向導,點選下一步。
<a href="http://fanlinlin.blog.51cto.com/attachment/200905/18/535085_1242617874e4Tt.jpg"></a>
同意使用者許可協定。
<a href="http://fanlinlin.blog.51cto.com/attachment/200905/18/535085_1242617883a7Vu.jpg"></a>
如下圖所示,MSN正在安裝…
<a href="http://fanlinlin.blog.51cto.com/attachment/200905/18/535085_12426178956sjV.jpg"></a>
MSN 5.1 安裝完成。
<a href="http://fanlinlin.blog.51cto.com/attachment/200905/18/535085_1242617900PQAw.jpg"></a>
此時MSN是無法登陸的,因為LCS伺服器沒有配置SRV記錄。
<b>配置</b><b>SRV</b><b>記錄</b><b></b>
SRV記錄可以說明某台伺服器在某個端口提供某種服務,我們可以通過SRV記錄說明firenze在5060端口提供TCP基礎上的SIP服務,這樣用戶端軟體就可以直接通過SRV記錄找到LCS伺服器,我們也就無需在每台客戶機上一一進行設定了。
如下圖所示,打開DNS,在目前域中選擇其他新紀錄
<a href="http://fanlinlin.blog.51cto.com/attachment/200905/18/535085_1242617908Y1ng.jpg"></a>
選擇建立SRV記錄。
<a href="http://fanlinlin.blog.51cto.com/attachment/200905/18/535085_1242617913Ttdc.jpg"></a>
LCS伺服器使用SIP(會話初始化協定)作為即時通訊的信令協定,SIP協定既可以在5060端口提供TCP連接配接,也可以在5061端口提供TLS加密連接配接, TLS需要有證書的支援,我們現在先來測試5060端口的TCP連接配接。
設定方式如下:
服務:_sip
協定:_tcp
優先級和權數使用預設值
端口号為5060
提供此服務的主機,我們要使用完全合格域名,我們的LCS伺服器為firenze.lcstest.com
<a href="http://fanlinlin.blog.51cto.com/attachment/200905/18/535085_1242617918CfW2.jpg"></a>
<b>驗證</b><b></b>
配置完SRV記錄後我們在客戶機上登入MSN測試。
<a href="http://fanlinlin.blog.51cto.com/attachment/200905/18/535085_1242617923iVsI.jpg"></a>
連接配接到消息的服務:勾選SIP通訊服務
<a href="http://fanlinlin.blog.51cto.com/attachment/200905/18/535085_1242617927HwGF.jpg"></a>
登陸名輸入我們在前邊設定的名稱。我們在florence上以管理者登陸
<a href="http://fanlinlin.blog.51cto.com/attachment/200905/18/535085_12426179304PTr.jpg"></a>
OK 成功登陸
<a href="http://fanlinlin.blog.51cto.com/attachment/200905/18/535085_1242617933VbDG.jpg"></a>
Istanbul上我們以張三登陸,順利登陸并且兩個使用者能互相通訊啦.
<a href="http://fanlinlin.blog.51cto.com/attachment/200905/18/535085_1242617937M25u.jpg"></a>
至此我們完成了即時通訊最基本的服務。
<b>接下來我們配置基于</b><b>TLS</b><b>的即時通訊服務。</b><b></b>
<b>建立證書伺服器</b><b></b>
基于TLS的即時通訊服務要有證書的支援。我們在Florence上建立證書伺服器。在添加删除windows組建中勾選證書服務。提示在安裝證書服務前确認計算機名和域成員身份。選擇是。繼續後續操作。
<a href="http://fanlinlin.blog.51cto.com/attachment/200905/18/535085_1242617946Wd9g.jpg"></a>
建立企業根
<a href="http://fanlinlin.blog.51cto.com/attachment/200905/18/535085_1242617950uRc3.jpg"></a>
CA的功用名稱為ITETCA
<a href="http://fanlinlin.blog.51cto.com/attachment/200905/18/535085_1242617955L8PU.jpg"></a>
證書資料庫和證書資料庫日志都放在預設目錄中。
<a href="http://fanlinlin.blog.51cto.com/attachment/200905/18/535085_1242617957m1kr.jpg"></a>
OK 完成證書伺服器的建立。
<a href="http://fanlinlin.blog.51cto.com/attachment/200905/18/535085_1242617962nYaB.jpg"></a>
證書伺服器安裝完成後,域内其他的計算機需要信任這個證書伺服器。如果想讓組政策盡快生效,可以如下圖所示運作gpupdate/force,這樣可以可以強制組政策立即生效。
<a href="http://fanlinlin.blog.51cto.com/attachment/200905/18/535085_1242617965hATW.jpg"></a>
<b>LCS</b><b>伺服器申請證書。</b><b></b>
<a href="http://fanlinlin.blog.51cto.com/attachment/200905/18/535085_1242617968RXzf.jpg"></a>
申請進階證書
<a href="http://fanlinlin.blog.51cto.com/attachment/200905/18/535085_1242617973lCg9.jpg"></a>
在進階證書申請頁面中,選擇建立并想此CA送出一個申請。
<a href="http://fanlinlin.blog.51cto.com/attachment/200905/18/535085_1242617978IqEl.jpg"></a>
特别注意:
證書模版為:web伺服器
姓名:firenze.lcstest.com
其他選項根據實際情況自行填寫。
<a href="http://fanlinlin.blog.51cto.com/attachment/200905/18/535085_1242617983nYFj.jpg"></a>
在密鑰選項中勾選:将證書報春在本地計算機存儲中
<a href="http://fanlinlin.blog.51cto.com/attachment/200905/18/535085_1242617985KTiW.jpg"></a>
證書已頒發。點選安裝此證書。
<a href="http://fanlinlin.blog.51cto.com/attachment/200905/18/535085_1242617986aEei.jpg"></a>
證書申請完成。
<b>LCS</b><b>伺服器使用證書</b><b></b>
LCS伺服器申請證書後,就要使用申請到的證書配置TLS了。在Firenze的管理工具中打開“Live Communications Server 2005”,如下圖所示,我們發現目前Firenze隻在5060端口提供TCP連接配接,右鍵點選firenze.lcstest.com,選擇屬性。
<b></b>
<a href="http://fanlinlin.blog.51cto.com/attachment/200905/18/535085_1242617988zFRJ.jpg"></a>
點選如下圖中的添加。
<a href="http://fanlinlin.blog.51cto.com/attachment/200905/18/535085_1242617990HkKU.jpg"></a>
傳輸類型選擇TLS,
端口為5061
<a href="http://fanlinlin.blog.51cto.com/attachment/200905/18/535085_1242617992IPC1.jpg"></a>
基于TLS的即時通訊服務須有證書的支援。選擇剛申請到得證書。
<a href="http://fanlinlin.blog.51cto.com/attachment/200905/18/535085_12426179955XT1.jpg"></a>
如下圖所示,是我們建立的添加連接配接。點選确定。
<a href="http://fanlinlin.blog.51cto.com/attachment/200905/18/535085_1242617998HmGf.jpg"></a>
如下圖所示,LCS伺服器可以在5061端口提供加密的TLS連接配接啦。
<a href="http://fanlinlin.blog.51cto.com/attachment/200905/18/535085_1242618002oIhr.jpg"></a>
同基于TCP的連接配接一樣。TLS連接配接也得建立SRV記錄。打開DNS管理器選擇建立其他記錄
<a href="http://fanlinlin.blog.51cto.com/attachment/200905/18/535085_1242618008IziN.jpg"></a>
選擇建立SRV
<a href="http://fanlinlin.blog.51cto.com/attachment/200905/18/535085_1242618013JaL0.jpg"></a>
格式為:
協定:-_tls
優先級和權數還是用預設值
端口号為5061
提供此服務的主機為:firenze.lcstest.com
<a href="http://fanlinlin.blog.51cto.com/attachment/200905/18/535085_1242618016Gwtn.jpg"></a>
如下圖所示,使用ipconfig/flushdns來清除DNS緩存, 以免查詢不到DNS新增加的SRV記錄。
<a href="http://fanlinlin.blog.51cto.com/attachment/200905/18/535085_12426180187NJs.jpg"></a>
如下圖所示,administrator成功登陸。那怎樣判斷,用戶端連接配接伺服器使用的是TCP還是TLS呢?
<a href="http://fanlinlin.blog.51cto.com/attachment/200905/18/535085_1242618021k2EO.jpg"></a>
注意:如果LCS伺服器既提供TCP連接配接,又提供TLS連接配接,用戶端會優先使用安全性更高的TLS連接配接。
本文轉自 範琳琳 51CTO部落格,原文連結:http://blog.51cto.com/fanlinlin/158893,如需轉載請自行聯系原作者
![HTTP 錯誤 403.9 - 禁止通路:連接配接的使用者過多 XP IIS伺服器連接配接數的修改[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)