Anforderungen für den AutoErmittlungsdienst für Lync Server 2013

  • Artikel

 

Letztes Änderungsdatum des Themas: 25.02.2013

Der Microsoft Lync Server 2013 AutoErmittlungsdienst wird auf den Director- und Front-End-Poolservern ausgeführt und kann bei der Veröffentlichung in DNS von mobilen Geräten, auf denen Lync Mobile ausgeführt wird, verwendet werden, um Mobilitätsdienste zu finden. Bevor mobile Geräte, auf denen Lync Mobile ausgeführt wird, die automatische Ermittlung nutzen können, müssen Sie die Alternativen Namenslisten für Zertifikatsbeantrager auf jedem Director- und Front-End-Server ändern, auf dem der AutoErmittlungsdienst ausgeführt wird. Darüber hinaus kann es erforderlich sein, die Listen alternativer Antragstellernamen für Zertifikate zu ändern, die für Veröffentlichungsregeln für externe Webdienste auf Reverseproxys verwendet werden.

Ausführliche Informationen zu den alternativen Antragstellernameneinträgen, die für Directors, Front-End-Server und Reverseproxys erforderlich sind, finden Sie unter Technische Anforderungen für die Mobilität in Lync Server 2013 in Planning for Mobility.

Die Entscheidung über die Verwendung von Alternativen Antragstellerlisten für Reverseproxys basiert darauf, ob Sie den AutoErmittlungsdienst an Port 80 oder port 443 veröffentlichen:

  • Veröffentlicht an Port 80 Wenn die erste Abfrage an den AutoErmittlungsdienst über Port 80 erfolgt, sind keine Zertifikatänderungen erforderlich. Dies liegt daran, dass mobile Geräte, auf denen Lync ausgeführt wird, extern auf den Reverseproxy an Port 80 zugreifen und dann intern an einen Director- oder Front-End-Server an Port 8080 umgeleitet werden. Weitere Informationen finden Sie im Abschnitt "Anfänglicher AutoErmittlungsprozess mithilfe von Port 80" weiter unten in diesem Thema.

  • Veröffentlicht an Port 443 Die Liste alternativer Antragstellernamen für Zertifikate, die von der Veröffentlichungsregel für externe Webdienste verwendet werden, muss eine lyncDiscover-Instanz enthalten.<sipdomain-Eintrag> für jede SIP-Domäne in Ihrem organization.

Das erneute Ausstellen von Zertifikaten mithilfe einer internen Zertifizierungsstelle ist in der Regel ein einfacher Prozess, aber für öffentliche Zertifikate, die in der Webdienst-Veröffentlichungsregel verwendet werden, kann das Hinzufügen mehrerer alternativer Antragstellernameneinträge teuer werden. Um dieses Problem zu umgehen, unterstützen wir die anfängliche automatische Ermittlungsverbindung über Port 80, die dann an Port 8080 auf dem Director- oder Front-End-Server umgeleitet wird.

Angenommen, ein mobiler Client, auf dem Lync Mobile ausgeführt wird, ist für die Anmeldung bei Lync Server 2013 mit dem Feature für die automatische Ermittlung unter Verwendung von HTTP für die erste Anforderung konfiguriert.

Anfänglicher AutoErmittlungsprozess für mobile Geräte mit Port 80

  1. Mobiles Gerät, auf dem Lync Mobile ausgeführt wird, sucht lyncdiscover.contoso.com mithilfe von DNS, auf dem ein A-Eintrag vorhanden ist.

  2. Externes DNS gibt die IP-Adresse für die externen Webdienste an den Client zurück.

  3. Mobiles Gerät, auf dem Lync Mobile ausgeführt wird, sendet eine Anforderung http://lyncdiscover.contoso.com?sipuri=lyncUser1@contoso.com an den Reverseproxy

  4. Die Webveröffentlichungsregel überbrückt die Anforderung von Port 80 extern intern mit Port 8080, wodurch sie dann entweder an einen Director- oder Front-End-Server weitergeleitet wird.

    Da es sich bei der Anforderung um HTTP und nicht um HTTPS handelt, sind keine Änderungen am Zertifikat der Veröffentlichungsregel des externen Webdiensts erforderlich, um den AutoErmittlungsdienst zu unterstützen.

  5. Der AutoErmittlungsdienst gibt die externen Webdienst-URLs (im HTTPS-Format) zurück.

  6. Das mobile Gerät, auf dem Lync Mobile ausgeführt wird, kann dann erneut eine Verbindung mit dem Reverseproxy an Port 443 herstellen und wird über 4443 an den Mobilitätsdienst umgeleitet, der im Heimpool des Benutzers ausgeführt wird.

    Da sich die HTTPS-Abfrage auf die URL der externen Webdienste im Vergleich zur Url des AutoErmittlungsdiensts bezieht, ist sie erfolgreich, da das Zertifikat bereits Einträge für alternative Antragstellernamen für die vollqualifizierten Domänennamen (Fully Qualified Domain Names, FQDNs) der externen Webdienste enthält.

    In diesem Szenario sind keine Zertifikatänderungen erforderlich, um die Mobilität zu unterstützen.

    Hinweis

    Wenn der Zielwebserver über ein Zertifikat verfügt, das keinen übereinstimmenden Wert für lyncdiscover.contoso.com als Listenwert für alternative Antragstellernamen:
    a.   Der Webserver antwortet mit einem "Server Hello" und ohne Zertifikat.
    b.   Auf einem mobilen Gerät, auf dem Lync Mobile ausgeführt wird, wird die Sitzung sofort beendet.
    Wenn der Zielwebserver über ein Zertifikat verfügt, das lyncdiscover.contoso.com als Listenwert für alternative Antragstellernamen enthält:
    a.   Der Webserver antwortet mit einem "Server hello" und einem Zertifikat.
    b.   Auf einem mobilen Gerät, auf dem Lync Mobile ausgeführt wird, wird das Zertifikat überprüft und der Handshake abgeschlossen.

Um eine anfängliche Verbindung mit dem AutoErmittlungsdienst über Port 80 auf Ihrem Reverseproxyserver zu unterstützen, können Sie eine HTTP-Veröffentlichungsregel ähnlich dem folgenden Beispiel für eine Reverseproxy-Webveröffentlichungsregel von Forefront Threat Management Gateway 2010 erstellen:

  1. Erstellen Sie eine neue Webveröffentlichungsregel (z. B. Lync Server AutoErmittlung (HTTP)).

  2. Geben Sie unter Öffentlicher Name lyncdiscover.contoso.com ein.

  3. Wählen Sie auf der Registerkarte Bridging nur die Option aus, um Anforderungen von Port 80 zu Port 8080 zu überbrücken.

  4. Wählen Sie auf der Registerkarte Authentifizierungdie Option Keine Authentifizierung aus, und Client kann nicht direkt authentifiziert werden.

  5. Committen Sie Änderungen, und verschieben Sie die Regel an den Anfang der Liste der Lync-Regeln (zuerst in der Verarbeitungsreihenfolge).

Mobilität für die Bereitstellung der geteilten Domäne

Ein freigegebener SIP-Adressraum, auch als geteilte Domäne oder Hybridbereitstellung bezeichnet, ist eine Konfiguration, bei der Benutzer in einer lokalen Bereitstellung und in einer Onlineumgebung bereitgestellt werden. Das gewünschte Ergebnis besteht darin, dass ein Benutzer unabhängig davon, wo sich sein Heimserver befindet (lokal oder online), sich bei der Bereitstellung anmeldet und zum Standort des Heimservers umgeleitet werden kann. Dazu wird das AutoErmittlungsfeature von Microsoft Lync Server 2013 verwendet, um den Onlinebenutzer zur Onlinetopologie umzuleiten. Dies erfolgt durch Konfigurieren des AutoErmittlungs-URL (Uniform Resource Locator) mithilfe der Lync Server-Verwaltungsshell und der Cmdlets Get-CsHostingProvider und Set-CsHostingProvider.

Sie müssen die folgenden bereitgestellten Attribute erfassen und aufzeichnen:

  • Geben Sie in der Lync Server-Verwaltungsshell Get-CsHostingProvider

  • Suchen Sie in den Ergebnissen nach dem Onlineanbieter mit dem Attribut ProxyFQDN. Beispiel: sipfed.online.lync.com

  • Aufzeichnen des Werts des ProxyFQDN

  • Aktivieren des Verbunds in der lokalen Lync Server-Systemsteuerung, sodass der Verbund mit dem Onlineanbieter zugelassen wird

  • Aktivieren Sie den Verbund für den Onlineanbieter. Standardmäßig sind alle Onlinebenutzer für den Domänenverbund aktiviert und können mit allen Domänen kommunizieren.

  • Wenn Sie blockierte und zulässige Domänen definieren, bestimmen Sie die Domänen, die Sie explizit zulassen oder explizit blockieren.

  • Für den Onlineverbund müssen Sie Firewallausnahmen, Zertifikate und DNS-Hosteinträge (A oder AAAA, bei Verwendung von IPv6) planen. Darüber hinaus müssen Sie Verbundrichtlinien konfigurieren. Weitere Informationen finden Sie unter Planning for Lync Server 2013 and Office Communications Server federation (Planen des Lync Server 2013- und Office Communications Server-Verbunds).