Требования к системе пограничного сервера в Skype для бизнеса Server
Сводка: Сведения о требованиях к системе для пограничного сервера в Skype для бизнеса Server.
Что касается развертывания пограничного сервера Skype для бизнеса Server, это то, что необходимо сделать для сервера или серверов, которые находятся в самой среде, а также для планирования структуры среды. Дополнительные сведения по топологии, службам DNS, сертификатам и другим вопросам, связанным с инфраструктурой, см. в документации по требованиям к среде.
Компоненты
При обсуждении среды пограничного сервера мы ссылаемся на компоненты, которые по большей части развернуты в сети периметра (это означает, что они находятся либо в рабочей группе, либо в домене, который находится за пределами вашей Skype для бизнеса Server структуры домена).
Для успешного развертывания пограничных серверов важно уделить внимание следующим компонентам.
Директоры (необязательные компоненты, расположенные во внутренней сети)
Подсистемы балансировки нагрузки (вы можете использовать балансировку нагрузки DNS или аппаратную подсистему балансировки нагрузки (HLB), но для одного пограничного сервера это не требуется).
Ниже подробно рассматривается каждый из этих компонентов.
пограничные серверы
Это серверы Skype для бизнеса, развернутые в среде периметра. Их роль заключается в отправке и получении сетевого трафика внешним пользователям для служб, предлагаемых внутренним развертыванием Skype для бизнеса Server. Для этого каждый пограничный сервер выполняет:
Служба Access Edge. Предоставляет единую доверенную точку подключения для исходящего и входящего трафика SIP.
Служба веб-конференций Edge: позволяет внешним пользователям присоединяться к собраниям, размещенным во внутренней Skype для бизнеса Server среде.
Служба A/V Edge. Делает аудио, видео, общий доступ к приложениям и передачу файлов внешним пользователям.
Служба прокси-сервера XMPP: принимает и отправляет расширяемые сообщения по протоколу обмена сообщениями и присутствию (XMPP) настроенным федеративным партнерам XMPP и от нее.
Авторизованные внешние пользователи могут использовать пограничные серверы для подключения к внутреннему Skype для бизнеса Server развертыванию, но в противном случае они никому не предоставляют никакого доступа к вашей внутренней сети.
Примечание.
Пограничные серверы развертываются для обеспечения подключений для включенных Skype для бизнеса клиентов и других пограничных серверов (в сценариях федерации). You can't connect from other end point client or server types. The XMPP Gateway server can allow connections with configured XMPP partners. But again, those are the only client and federation types that will work.
Примечание.
Прокси-серверы и шлюзы XMPP доступны в Skype для бизнеса Server 2015, но больше не поддерживаются в Skype для бизнеса Server 2019. Дополнительные сведения см. в статье Перенос федерации XMPP.
Обратные прокси-серверы
Сервер обратного прокси-сервера (RP) не имеет Skype для бизнеса Server роли, но является важным компонентом развертывания пограничного сервера. Обратный прокси-сервер позволяет внешним пользователям:
присоединение к собраниям или подключение к конференциям по телефонной линии с применением простых URL-адресов;
загрузка материалов собраний;
расширение групп рассылки;
получение пользовательских сертификатов для проверки подлинности по клиентским сертификатам;
скачайте файлы с сервера адресной книги или отправьте запросы в службу веб-запросов адресной книги.
получение пакетов обновления программного обеспечения клиентов и устройств.
Для мобильных устройств поддерживаются следующие функции:
он позволяет им автоматически обнаруживать серверы переднего плана, предлагающие службы мобильности.
она позволяет отправлять push-уведомления из Microsoft 365 или Office 365 на мобильные устройства.
Текущие рекомендации по обратным прокси-серверам можно найти на странице Инфраструктура телефонии для Skype для бизнеса. Таким образом, обратный прокси-сервер:
Применение протокола TLS, который внедряется в среду посредством общих сертификатов для подключения к опубликованным внешним веб-службам, размещенным на следующих компонентах:
Директор или пул директоров
Сервер переднего плана или пул переднего плана
Публикация внутренних веб-сайтов c применением сертификатов для шифрования, а при необходимости – публикация с помощью средств, не предусматривающих шифрование.
Внешняя публикация размещенных во внутренней среде веб-сайтов с применением полного доменного имени (FQDN).
Публикация всего содержимого размещенного веб-сайта. По умолчанию можно использовать директиву /\*, которая распознается большинством веб-серверов для обозначения "Опубликовать все содержимое на веб-сервере". Вы также можете изменить директиву, например /Uwca/\*, что означает "Опубликовать все содержимое в виртуальном каталоге Ucwa".
Принудительное установление соединений TLS с клиентами, запрашивающими содержимое опубликованного веб-сайта.
Принятие сертификатов с записями альтернативного имени субъекта (SAN).
Разрешение привязки сертификата к прослушивателю или интерфейсу, через который будут разрешаться полные доменные имена внешних веб-служб. Конфигурации с прослушивателями предпочтительнее конфигураций с интерфейсами. Для одного интерфейса можно настроить несколько прослушивателей.
must allow for the configuration of host header handling. Часто исходный заголовок узла, отправленный запрашивающим клиентом, должен передаваться прозрачно, а не изменяться обратным прокси-сервером.
should allow bridging of TLS traffic from one externally defined port (for example, TCP 443) to another defined port (for example, TCP 4443). Обратный прокси-сервер может расшифровать пакет при получении, а затем повторно зашифровать пакет при отправке.
Формирование моста для незашифрованного трафика TCP с одного порта (например, TCP 80) на другой (например, TCP 8080).
Настройка и принятие проверки подлинности NTLM, подключения без проверки подлинности и сквозной проверки подлинности.
Если обратный прокси-сервер может удовлетворить все потребности в этом списке, вы должны быть хороши, но помните о наших рекомендациях по ссылке, приведенной выше.
Брандмауэры
Пограничные серверы развертываются за внешним брандмауэром, однако рекомендуется настроить два брандмауэра: один внешний и один внутренний – между пограничной и внутренней средами. Во всех ситуациях, рассматриваемых в документации, предполагается наличие двух брандмауэров. Два брандмауэра обеспечивают точную маршрутизацию между границами сетей и дублируют защиту для внутренней сети.
Директоры
This is an optional role. Это может быть один сервер или пул серверов с ролью "Директор". Это роль, найденная во внутренней среде Skype для бизнеса Server.
Директор — это внутренний сервер следующего прыжка, который получает входящий SIP-трафик от пограничных серверов, предназначенных для Skype для бизнеса Server внутренних серверов. It preauthenticates inbound requests and redirects them to a user's home pool or server. This preauthentication allows you to drop unidentified user account requests.
Why does that matter? Важной функцией для директора является защита серверов и серверов переднего плана или пулов переднего плана от вредоносного трафика, такого как атаки типа "отказ в обслуживании" (DoS). Если сеть переполнена недопустимым внешним трафиком, трафик останавливается в директоре.
Устройства балансировки нагрузки
Skype для бизнеса Server масштабируемая консолидированная топология Edge оптимизирована для балансировки нагрузки DNS для новых развертываний, и мы рекомендуем это. Если требуется высокий уровень доступности, рекомендуется использовать аппаратную подсистему балансировки нагрузки для одной конкретной ситуации:
- Единой системы обмена сообщениями Exchange для удаленных пользователей, использующих UM Exchange до Exchange 2013.
Важно!
Важно отметить, что наличие подсистем балансировки нагрузки разных типов не допускается. В среде Skype для бизнеса Server все интерфейсы должны использовать DNS или HLB.
Примечание.
NAT прямого возврата сервера (DSR) не поддерживается для Skype для бизнеса Server.
требования к аппаратному балансировщику нагрузки для пограничных серверов пограничных серверов, на которых запущена служба A/V Edge
Для любого пограничного сервера, на котором запущена служба A/V Edge, выполняются следующие требования:
Оптимизация TCP по алгоритму Nagle должна быть отключена как для внутреннего, так и для внешнего порт 443. (В процессе оптимизации по алгоритму Nagle – это процесс объединения несколько мелких пакетов объединяются в более крупный пакет для экономии ресурсов при передаче данных.)
Оптимизация TCP по алгоритму Nagle должна быть отключена для диапазона внешних портов 50000 - 59999.
На внутреннем и внешнем брандмауэрах не должно применяться преобразование сетевых адресов.
Внутренний интерфейс Edge должен находиться в сети, отличной от внешнего интерфейса пограничного сервера, и маршрутизация между ними должна быть отключена.
Внешний интерфейс любого пограничного сервера, на котором запущена служба A/V Edge, должен использовать общедоступные маршрутизируемые IP-адреса и не должен выполнять преобразование NAT или портов ни на один из внешних IP-адресов edge.
Требования для аппаратной балансировки нагрузки
Skype для бизнеса Server не имеет много требований к сходству на основе файлов cookie. Таким образом, вам не нужно использовать сохраняемость на основе файлов cookie, если только (и это Skype для бизнеса Server 2015 г.), вы не будете иметь серверы переднего плана Lync Server 2010 или пулы переднего плана в Skype для бизнеса Server среде. Им потребуется сходство на основе файлов cookie в методе конфигурации, рекомендуемом для Lync Server 2010.
Примечание.
При необходимости можно без затруднений включить для устройства балансировки нагрузки сходство на основе файлов cookie, даже если оно не требуется в данной среде.
Для сред, где не требуется сходство на основе файлов cookie
- В правиле публикации обратного прокси-сервера для порта 443 задайте для параметра Переадресация заголовка узлазначение True. This will ensure the original URL is forwarded.
Для развертываний, в которых требуется сходство на основе файлов cookie
В правиле публикации обратного прокси-сервера для порта 443 задайте для параметра Переадресация заголовка узлазначение True. This will ensure the original URL is forwarded.
Файл cookie аппаратной подсистемы балансировки нагрузки не должен быть помечен как httpOnly.
Срок действия файла cookie аппаратной подсистемы балансировки нагрузки не должен быть истек.
Файл cookie аппаратной подсистемы балансировки нагрузки должен называться MS-WSMAN (это значение, ожидаемое веб-службами, и его нельзя изменить).
Файл cookie аппаратной подсистемы балансировки нагрузки должен быть задан в каждом HTTP-ответе, для которого во входящем HTTP-запросе не было файла cookie, независимо от того, был ли файл cookie в предыдущем HTTP-ответе на том же TCP-подключении. Если аппаратная подсистема балансировки нагрузки оптимизирует вставку файлов cookie так, чтобы она происходила только один раз для TCP-подключения, эта оптимизация не должна использоваться.
Примечание.
Конфигурации HLB обычно используют сходство источника и 20-минутное время существования сеанса TCP, что хорошо подходит для Skype для бизнеса Server и его клиентов, так как состояние сеанса поддерживается за счет использования клиента и (или) взаимодействия с приложением.
При развертывании мобильных устройств необходимо, чтобы устройство балансировки нагрузки могло обеспечивать ее по отдельным запросам в пределах сеанса TCP (фактически требуется балансировка нагрузки отдельного запроса на основе конечного IP-адреса).
Важно!
F5 HLB имеет функцию OneConnect. Это гарантирует, что каждый запрос в TCP-подключении будет балансировать нагрузку по отдельности. Если вы развертываете мобильные устройства, убедитесь, что поставщик HLB поддерживает те же функции. Для последних мобильных приложений iOS требуется tls версии 1.2. Если вам нужно знать больше, F5 предоставляет конкретные параметры для этого.
Ниже приведены требования к HLB для веб-служб (необязательного) директора и (обязательного) пула интерфейсов:
Для внутренних ВИРТУАЛЬНЫх ip-адресов веб-служб задайте Source_addr сохраняемость (внутренний порт 80, 443) в вашей подсистеме балансировки нагрузки. Для Skype для бизнеса Server Source_addr сохраняемость означает, что несколько подключений, поступающих с одного IP-адреса, всегда отправляются на один сервер для поддержания состояния сеанса.
Задайте для TCP время ожидания в режиме простоя 1800 с.
В брандмауэре между обратным прокси-сервером и HLB пула следующего прыжка создайте правило, разрешая трафик https: через порт 4443 от обратного прокси-сервера до HLB. Your HLB needs to be configured to listen on ports 80, 443, and 4443.
Сводная информация о требованиях к сходству для устройств балансировки нагрузки
| Расположение клиента или пользователя | Требования к сходству внешних доменных имен веб-служб | Требования к сходству полных доменных имен внутренних веб-служб |
|---|---|---|
| Skype для бизнеса Web App (внутренние и внешние пользователи) Мобильное устройство (внутренние и внешние пользователи) |
Без сходства |
Сходство исходных адресов |
| Skype для бизнеса Web App (только внешние пользователи) Мобильное устройство (внутренние и внешние пользователи) |
Без сходства |
Сходство исходных адресов |
| Skype для бизнеса Web App (только для внутренних пользователей) Мобильное устройство (без развертывания) |
Без сходства |
Сходство исходных адресов |
Наблюдение за портами для устройств балансировки нагрузки
Вы определяете мониторинг портов в аппаратных подсистемах балансировки нагрузки, чтобы определить, когда определенные службы больше не доступны из-за сбоя оборудования или связи. Например, если служба переднего плана (RTCSRV) останавливается из-за сбоя сервера переднего плана или пула переднего плана, мониторинг HLB также должен прекратить прием трафика в веб-службах. You should implement port monitoring on the HLB to monitor the following for your HLB external interface:
| Виртуальный IP-адрес/порт | Порт узла | Компьютер/монитор узла | Профиль сохраняемости | Примечания |
|---|---|---|---|---|
| <web_mco_443_vs пула> 443 |
4443 |
Сервер переднего плана 5061 |
Отсутствуют |
HTTPS |
| <web_mco_80_vs пула> 80 |
8080 |
Сервер переднего плана 5061 |
Отсутствуют |
HTTP |
Требования к аппаратным и программным средствам
Мы рассмотрели требования к оборудованию и программному обеспечению пограничных серверов в общих требованиях к серверу для Skype для бизнеса Server 2015 г. и требования к системе для Skype для бизнеса Server 2019 г.
Совмещенное расположение
Мы рассмотрели совместное размещение пограничных серверов в статье Основные сведения о топологии для Skype для бизнеса Server документации.