Sametime Proxy 8.5.2 in DMZ: Zugriff auf internen meeting- server möglich?

[Tode]

Ich habe hier einen Proxy- Server in einer DMZ stehen, ausserdem einen Meeting- Server intern. Der Community- Server steht ebenfalls intern.
Die Anmeldung am Proxy und Teilnahme an Chats funktioniert.

Ich dachte, ich könnte dieses Proxy auch verwenden für die Teilnahme an internen Meetings, habe aber keinen entsprechenden Punkt gefunden.

Ist das grundsätzlich möglich? Ich dachte, sowas gelesen zu haben, finde es aber gerade nicht wieder.

Thanx
Tode

[Pfefferminz-T]

Stehe bei Deiner Frage etwas auf dem Schlauch... Du meinst, dass man über den Sametime Proxy Server auf Meetings zugreifen kann? Da kenne ich keine Möglichkeit, würde nur gehen mit WAS Proxy in der DMZ, der auf den internen Meeting Server zeigt oder mit einem Reverse Proxy.

Gruß,
Thorsten

[Tode]

Genau. Ich dachte, der Sametime- Proxy kann auch für Meetings verwendet werden... Aber wenn Du jetzt sagst, ich brauche da nen WAS- Proxy, dann heisst das für mich: Wieder ab an die Config... Der Sametime- Proxy steht ja in der DMZ, da könnte ich ja nen WAS- Proxy dazu konfigurieren, oder?

[m3]

Ahhh, die wunderbare "Proxy" Verwirrung

Sametime Proxy ist kein "Proxy" im Sinne eines mod_proxy, squid, ...
Der "Sametime Proxy" setzt NUR  zwischen Community und Web um, also vom Sametime Virtual Places (VP) protocol (port 1516 und 1533) auf Web (80/443). Darueber hinaus bietet er ein Chat-Webinterface sowie ein Sametime Proxy SDK und die Schnittstellen fuer die Mobilen Sametime Clients.

Der "Sametime Proxy" hat NICHTS mit Webmeetings oder sonstigen Proxy Funktionalitaeten (Webssphere Proxy, Websphere Edge Server, ..) zu tun. Man braucht aber einen ST Proxy fuer Webmeetings, da der ST Proxy Awareness und Chat fuer die Webmeetings macht. Webmeetings macht der Meeting Server.

Du muss also den/einen Meeting Server ins Web raus bringen. Entweder, indem Du ihn wie den ST Proxy in die DMZ stellst, oder indem Du ueber einen HTTP Reverse Proxy (der muss nur http(s) reverse proxien koennen) in der DMZ (nicht der ST Proxy) die http(s) requests zu dem internen Server durch die DMZ tunnelst (Security?!). Wenn Du Reverse Proxy  und ST Proxy auf der gleichen Maschine haben willst, brauchst Du dort 2 Hostnamen (fuer http) oder sogar 2 IPs (https), da der ST Proxy und der Reverse Proxy nicht beide auf der gleichen IP auf den gleichen Port (80/443) hoeren koennen.
Achtung: ST Proxy und ST Meeting Server muessen in der gleichen DNS Domain sein, sonst hast Du ein SSO Problem und nix funktioniert.

Also so:


Oder so:


Statt dem Websphere HTTP Proxy kann man nauerlich auch eine F5 BIG-IP, ... verwenden um auch SSL offloading, ... zu machen (da nur aufpassen, wenn auch SIP geproxied werden soll, da gibts einiges zu beachten bzw. geht nicht alles).

Und wenn Du den Media Server auch noch draussen haben willst, dann kauf mich ein, dann wirds groeber.

[Pfefferminz-T]

Ja, mal wieder ein Eigentor der IBM mit der Namensgebung des Sametime Proxy Servers... sehr gute Beschreibung von Martin. Sofern ihr intern/DMZ verschiedene Internetdomänen verwendet, muss man noch Bedenken, dass Meeting-Einladungen den Hostnamen des Meeting-Servers verwenden. Dieser Hostname ist mit hoher Wahrscheinlichkeit so im Internet nicht bekannt. Deshalb würde man für interne und externe Meetings entweder den Meeting-Server in die DMZ stellen oder zwei verschiedene Server verwenden. Beim Server in der DMZ muss die Firewall entsprechend aufgebohrt werden (LDAP, SSC, ...).

Grüsse,
Thorsten