• Articolo

Componenti necessari per l'accesso utente esterno

 

Ultima modifica dell'argomento: 2012-10-17

La maggior parte dei componenti perimetrali viene distribuita in una rete perimetrale, chiamata anche DMZ (Demilitarized Zone) o subnet schermata. I componenti riportati di seguito costituiscono la topologia perimetrale della rete perimetrale. Se non indicato altrimenti, i componenti fanno parte di tutte e tre le architetture di riferimento e si trovano nella rete perimetrale. I componenti perimetrali includono quanto segue:

  • Server perimetrali

  • Proxy inverso

  • Bilanciamento del carico di tipo per topologie perimetrali con scalabilità implementata (bilanciamento del carico DNS o dispositivo di bilanciamento del carico hardware)

  • Firewall

  • Director (nella rete interna)

Server perimetrale

Il server perimetrale controlla il traffico attraverso il firewall e l'utilizzo della distribuzione interna da parte di utenti esterni. Nel server perimetrale vengono eseguiti i servizi seguenti:

  • Servizio Access Edge   Questo servizio fornisce un singolo punto di connessione attendibile per il traffico SIP (Session Initiation Protocol) sia in ingresso che in uscita.

  • Servizio Web Conferencing Edge   Questo servizio consente agli utenti esterni di partecipare alle riunioni ospitate nella distribuzione di Microsoft Lync Server 2010 interna.

  • Servizio A/V Edge   Questo servizio mette a disposizione degli utenti esterni funzionalità audio, video, di condivisione applicazioni e di trasferimento di file. Gli utenti possono aggiungere le funzionalità audio e video alle riunioni a cui partecipano utenti esterni, nonché condividere tali audio e video direttamente con un utente esterno nelle sessioni point-to-point. Il servizio A/V Edge offre inoltre il supporto per la condivisione desktop e il trasferimento di file.

Gli utenti esterni autorizzati possono accedere ai server perimetrali per connettersi alla distribuzione di Lync Server interna, ma i server perimetrali non forniscono altro accesso alla rete interna.

Nota

I server perimetrali vengono distribuiti per consentire le connessioni per i client Lync abilitati e altri server perimetrali (come negli scenari di federazione), ma non da altri endpoint client o server. Il server gateway XMPP può essere distribuito per consentire le connessioni con partner XMPP configurati. Il server perimetrale e il gateway XMPP possono supportare solo connessioni endpoint da questi tipi di federazione e client.

Proxy inverso

Un proxy inverso è un componente necessario dell'infrastruttura per la maggior parte degli scenari, abilitato come parte di Microsoft Lync Server 2010. Nella maggior parte delle distribuzioni viene utilizzato il proxy inverso esistente già installato e configurato nell'organizzazione. In genere, sono necessarie nuove regole di pubblicazione e non è necessario apportare modifiche alle regole del server proxy esistenti. Per la gestione delle nuove regole di pubblicazione, sono necessari certificati nuovi o aggiornati. Tra i tipi di proxy inverso sono inclusi i seguenti:

  1. Microsoft Internet and Acceleration Server (ISA) 2006 con Service Pack 1

    Per l'esempio di distribuzione in Distribuzione di server perimetrali viene utilizzata la configurazione di base di Microsoft Threat Management Gateway 2010. Microsoft Threat Management Gateway 2010 e Microsoft Internet and Acceleration Server (ISA) 2006 con Service Pack 1 sono simili per quanto riguarda la configurazione della pubblicazione per Lync Server 2010. Per informazioni dettagliate, vedere Configurare le regole di pubblicazione Web per un singolo pool interno nella documentazione relativa alla distribuzione.

  2. Microsoft Threat Management Gateway (TMG) 2010

    Per informazioni dettagliate su come configurare Microsoft Threat Management Gateway (TMG) 2010 come proxy inverso per la distribuzione di Lync Server 2010, vedere Configurare le regole di pubblicazione Web per un singolo pool interno nella documentazione relativa alla** **distribuzione.

  3. Server proxy inversi di terze parti configurabili per la pubblicazione di contenuto HTTPS e HTTP interno

  4. Firewall di terze parti che consentono di pubblicare contenuto HTTPS e HTTP interno

  5. Altri dispositivi e strumenti dedicati non elencati, ad esempio servizi di bilanciamento del carico hardware e motori di contenuto HTTP, potrebbero essere in grado di offrire le funzioni necessarie

Per informazioni sulla configurazione di dispositivi, server e strumenti dedicati di terze parti, fare riferimento alla documentazione del fornitore relativa alla configurazione della pubblicazione.

importantImportante:
Non è possibile collocare Edge Server e un proxy inverso. Edge Server deve rimanere un ruolo con scopo singolo per la gestione del protocollo SIP (Session Initiation Protocol), delle conferenze Web e delle caratteristiche audio/video (nonché altri tipi multimediali) per la distribuzione.

Questo proxy è necessario per eseguire le operazioni seguenti:

  • Consentire agli utenti di connettersi alle riunioni o alle conferenze telefoniche con accesso esterno utilizzando URL semplici

  • Consentire agli utenti esterni di scaricare il contenuto delle riunioni

  • Consentire agli utenti esterni di espandere i gruppi di distribuzione

  • Consentire all'utente di ottenere un certificato basato sugli utenti per l'autenticazione basata sui certificati client

  • Consentire agli utenti remoti di scaricare file dal server della Rubrica o inviare query al servizio Address Book Web Query

  • Consentire agli utenti remoti di ottenere aggiornamenti per il software client e dei dispositivi

  • Consentire ai dispositivi mobili di individuare automaticamente i Front End Server che offrono servizi per dispositivi mobili

  • Abilitare le notifiche push per i dispositivi mobili dai servizi di notifica push Office 365 o Apple

Nota

Gli utenti esterni non necessitano di una connessione VPN con l'organizzazione per partecipare alle comunicazioni basate su Lync Server. Gli utenti esterni connessi alla rete interna aziendale tramite una VPN ignorano il proxy inverso.

Firewall

È possibile distribuire la topologia perimetrale solo con un firewall esterno oppure con un firewall esterno e uno interno. Le architetture di riferimento includono due firewall. L'utilizzo di due firewall è il metodo consigliato poiché garantisce un routing rigoroso da un perimetro all'altro della rete e protegge la distribuzione interna con due livelli di firewall.

Director

In Lync Server 2010 un Director è un ruolo del server separato in Lync Server 2010 che non ospita account utente né fornisce informazioni sulla presenza o servizi di conferenza. Può essere utilizzato piuttosto come server dell'hop successivo interno a cui un server perimetrale instrada il traffico SIP in ingresso destinato per i server interni. Il Director autentica le richieste in ingresso e le reindirizza al server o al pool principale dell'utente.

Se l'organizzazione intende abilitare l'accesso esterno, è consigliabile distribuire un Director. Eseguendo l'autenticazione del traffico SIP in ingresso proveniente da utenti remoti, il Director solleva i server Standard Edition e Front End nei pool Enterprise Edition Front End da tale compito. Consente inoltre di proteggere i server Standard Edition e i Front End Server nei pool Enterprise Edition Front End da attacchi di utenti malintenzionati, ad esempio attacchi Denial of Service. Se la rete riceve traffico esterno non valido in un attacco di questo tipo, il traffico termina in corrispondenza del Director e gli utenti interni non dovrebbero percepire alcun effetto sulle prestazioni. Per informazioni dettagliate sull'utilizzo dei Director, vedere Server Director.

Dispositivi di bilanciamento del carico hardware

La topologia perimetrale consolidata di Lync Server 2010 con scalabilità implementata è ottimizzata per il bilanciamento del carico DNS per le nuove distribuzioni che attuano la federazione principalmente con organizzazioni in cui viene utilizzato Lync Server 2010. Se è richiesta la disponibilità elevata per uno degli scenari seguenti, sarà necessario utilizzare un dispositivo di bilanciamento del carico hardware nei pool di server perimetrali nei casi seguenti:

  • Federazione con organizzazioni che utilizzano Office Communications Server 2007 R2 oppure Office Communications Server 2007

  • Messaggistica unificata di Exchange per gli utenti esterni

  • Connettività con utenti di messaggistica istantanea pubblica

Per determinare se il dispositivo di bilanciamento del carico hardware supporta le funzionalità necessarie richieste da Lync Server 2010, vedere la pagina "Partner produttori di dispositivi di bilanciamento del carico di Lync Server 2010" all'indirizzo https://go.microsoft.com/fwlink/?linkid=202452&clcid=0x410.

Requisiti relativi al servizio di bilanciamento del carico hardware: considerazioni generali

  • DNAT (Destination Network Address Translation, conversione degli indirizzi di rete di destinazione), che utilizza l'indirizzo IP di destinazione in arrivo dell'IP virtuale (VIP) del servizio di bilanciamento del carico, prevede la conversione nell'indirizzo IP di destinazione del server. Il fornitore del servizio di bilanciamento del carico potrebbe consigliare l'utilizzo di SNAT (Source NAT). Valutare con attenzione il tipo di processo NAT da utilizzare, tenendo presente che il processo è univoco del servizio di bilanciamento del carico hardware e rappresenta una relazione tra i server ospitati e l'indirizzo VIP del servizio di bilanciamento del carico hardware. Non corrisponde al processo NAT gestito nei firewall perimetrali.

  • Utilizzare l'affinità dell'origine (anche detta affinità TCP, vedere la documentazione del fornitore). Tutto il traffico di una singola sessione deve essere associato alla stessa destinazione (ovvero server). Se vi sono più sessioni provenienti da una singola origine, le sessioni possono essere associate a server di destinazione diversi, utilizzando l'affinità dell'origine per fornire lo stato della sessione.

  • A meno che non sia necessario per altri motivi (esigenze di prestazioni, definizioni di test, standard o documentazione del fornitore), il timeout di inattività TCP deve essere impostato su 30 minuti (1800 sec).

warningAvviso:
Non è possibile utilizzare il bilanciamento del carico DNS in un'interfaccia e il bilanciamento del carico hardware in un'altra. È necessario utilizzare lo stesso tipo di bilanciamento del carico in entrambe le interfacce. Non è supportata una combinazione dei due tipi.

Nota

Se si utilizza un dispositivo di bilanciamento del carico hardware, il bilanciamento del carico distribuito per le connessioni con la rete interna deve essere configurato per bilanciare il carico solo per il traffico verso i servizi Access Edge e A/V Edge. Non è possibile bilanciare il carico del traffico verso il servizio Web Conferencing Edge interno.

Nota

La modalità DSR (Direct Server Return) NAT non è supportata con Lync Server 2010.

Requisiti dei dispositivi di bilanciamento del carico hardware per i server perimetrali che eseguono il servizio A/V Edge

Vengono riportati di seguito i requisiti dei dispositivi di bilanciamento del carico hardware per i server perimetrali che eseguono il servizio A/V Edge:

Disattivare il nagling TCP per le porte 443 interne ed esterne. Per nagling si intende il processo di combinazione di più pacchetti di piccole dimensioni in un singolo pacchetto di dimensioni maggiori per una trasmissione più efficiente.

  • Disattivare il nagling TCP per l'intervallo di porte esterne compreso tra 50.000 e 59.999.

  • Non utilizzare NAT nel firewall interno o esterno.

  • L'interfaccia interna perimetrale deve trovarsi in una rete diversa rispetto all'interfaccia esterna del server perimetrale e il routing tra di esse deve essere disabilitato.

  • L'interfaccia esterna del server perimetrale che esegue il servizio A/V Edge deve utilizzare indirizzi IP instradabili pubblicamente e non la conversione NAT o delle porte in uno degli indirizzi IP esterni.

Requisiti dei dispositivi di bilanciamento del carico hardware per i servizi Web

Vengono riportati di seguito i requisiti dei dispositivi di bilanciamento del carico hardware per i servizi Web di pool di server Director e Front End:

  • Per gli IP virtuali dei servizi Web esterni, impostare il salvataggio permanente basato su cookie in base alle singole porte per le porte esterne 4443, 8080 nel dispositivo di bilanciamento del carico hardware. Per Lync Server 2010, il salvataggio permanente basato su cookie prevede l'invio di più connessioni da un singolo client a un server per mantenere lo stato della sessione. Per configurare il salvataggio permanente basato su cookie, è necessario che il dispositivo di bilanciamento del carico decrittografi e crittografi di nuovo il traffico SSL. A tutti i certificati assegnati all'FQDN dei servizi Web esterni deve essere pertanto assegnato anche l'IP virtuale 4443 del dispositivo di bilanciamento del carico hardware.

  • Per gli IP virtuali dei servizi Web interni, impostare il salvataggio permanente Source_addr (porta interna 80, 443) nel dispositivo di bilanciamento del carico hardware. Per Lync Server 2010, il salvataggio permanente Source_addr prevede l'invio di più connessioni provenienti da un singolo indirizzo IP a un server per mantenere lo stato della sessione.

  • Impostare il timeout di inattività TCP su 1800 secondi.

  • Nel firewall tra il proxy inverso e il dispositivo di bilanciamento del carico hardware del pool hop successivo creare una regola per consentire il traffico https: sulla porta 4443, dal proxy inverso al dispositivo di bilanciamento del carico hardware. Questo dispositivo deve essere configurato per l'attesa sulle porte 80, 443 e 4443.