Componentes necessários para o acesso de usuário externo

Servidor de Borda

O Servidor de Borda controla o tráfego pelo firewall e o uso da implantação interna por usuários externos. O Servidor de Borda executa os seguintes serviços:

• Serviço de Borda de Acesso   O Serviço de Borda de Acesso fornece um ponto de conexão único e confiável para o tráfego de saída e de entrada do protocolo SIP.

• Serviço de Borda de Webconferência   O Serviço de Borda de Webconferência permite que os usuários externos ingressem em reuniões hospedadas em sua implantação interna do Microsoft Lync Server 2010.

• Serviço de Borda A/V   O Serviço de Borda A/V disponibiliza o compartilhamento de áudio, vídeo e aplicativo e a transferência de arquivos para usuários externos. Os usuários podem adicionar áudio e vídeo às reuniões que incluam participantes externos e também diretamente com um usuário externo em sessões ponto a ponto. O Serviço de Borda A/V também fornece suporte para compartilhamento de área de trabalho e transferência de arquivo.

Os usuários externos autorizados podem acessar os Servidores de Borda para se conectar à sua implantação interna do Lync Server, mas os Servidores de Borda não fornecem nenhum outro acesso à rede interna.

Observação:

Os servidores de borda são implantados para fornecer conexões para os clientes do Lync e outros servidores de borda (como em outros cenários de federação) habilitados. Eles não são projetados para permitir conexões a partir de outros tipos de cliente ou servidor de ponto final. O servidor Gateway XMPP pode ser implantado para permitir conexões com parceiros XMPP configurados. O servidor de borda e Gateway XMPP somente pode suportar conexões de ponto final a partir desses tipos de clientes e federação.

Proxy reverso

Um proxy reverso é um componente de infraestrutura necessário para a maioria dos cenários que são habilitados como parte do Microsoft Lync Server 2010. A maioria das implantações usa o proxy reverso existente que já tiver sido instalado e configurado para uso na sua organização. Normalmente, existem novas regras de publicação que serão necessárias e nenhuma alteração nas regras do seu servidor de proxy existente será necessária. Certificados novos ou atualizados são típicos para lidar com novas regras de publicação. Os tipos de proxies reversos incluem, mas não são limitados a:

1. Microsoft Internet e Acceleration Server (ISA) 2006 com Service Pack 1

   A configuração do Microsoft Threat Management Gateway 2010 básico é usada para o exemplo de implantação em Implantando Servidores de Borda. O Microsoft Threat Management Gateway 2010, Microsoft Internet e Acceleration Server (ISA) 2006 com Service Pack 1 são semelhantes no modo como você configura a publicação para o Lync Server 2010. Para obter detalhes, consulte Configurar as regras de publicação na Web para um único pool interno na Documentação de Implantação.

2. Microsoft Threat Management Gateway (TMG) 2010

   Para obter detalhes sobte com configurar o Microsoft Threat Management Gateway (TMG) 2010 como um proxy reverso para a sua implantaçãod do Lync Server 2010, consulte Configurar as regras de publicação na Web para um único pool interno na Documentação de Implantação.

3. Os servidores de proxy reverso de terceiros que podem ser configurados para publicar conteúdo HTTP e HTTPS interno

4. Os firewalls de terceiros que incluem a capacidade de publicar conteúdo HTTP e HTTPS interno

5. Outros dispositivos e utensílios não listados, como balanceadores de carga de hardware e utensílios d e máquina de conteúdo HTTP também pode ser capazes de fornecer as funções necessárias

Para obter informações sobre configuração de dispositivos, servidores e utensílios de terceiros, consulte a documentação do fornecedor sobre como configurar a publicação.

Importante:
A colocação do Servidor de Borda e de um proxy reverso não é uma opção de configuração válida. O Servidor de Borda deve manter como uma função proposta exclusiva para gerenciar o protocolo de iniciação de sessão, recursos de Webconferência e áudio/vídeo (bem como outros tipos de mídia) para a sua implantação.

O proxy reverso é necessário para o seguinte:

• Permitir que os usuários se conectem às reuniões ou conferências discadas usando URLs simples

• Permitir que os usuários externos baixem o conteúdo da reunião

• Habilitar os usuários externos a expandir grupos de distribuição

• Permitir que o usuário obtenha um certificado baseado no usuário para autenticação com base no certificado cliente

• Permitir que os usuários remotos baixem arquivos do Servidor de Catálogo de Endereço ou enviem consultas ao serviço Address Book Web Query

• Permitir que os usuários remotos obtenham atualizações para softwares clientes ou de dispositivo

• Permitir que os dispositivos móveis descubram automaticamente os Servidores Front-End que oferecem serviços de mobilidade

• Permitir notificações por push para dispositivos móveis dos serviços de notificação por push do Office 365 ou da Apple

Observação:
Os usuários externos não precisam de uma conexão VPN com sua organização para participar de comunicações com base em Lync Server. Os usuários externos que não estão conectados à rede interna de sua organização sobre uma VPN ignoram o proxy reverso.

Firewall

É possível implantar sua topologia de borda com apenas um firewall externo ou com firewalls internos e externos. As arquiteturas de referência incluem dois firewalls. O uso de dois firewalls é a abordagem recomendada, pois garante o roteamento estrito de uma borda de rede para a outra, e protege sua implantação interna atrás de dois níveis de firewall.

Diretor

No Lync Server 2010 um Diretor é uma função de servidor separada no Lync Server 2010 que não hospeda contas de usuário, ou fornece serviços de presença ou conferência. Em vez disso, ele pode servir como um servidor de próximo salto interno ao qual um Servidor de Borda encaminha o tráfego SIP de entrada destinado aos servidores internos. O Diretor autentica as solicitações de entrada e as redireciona ao pool ou servidor doméstico do usuário.

Se a organização for habilitar o acesso externo, será recomendável implantar um Diretor. Ao autenticar o tráfego SIP de entrada de usuários remotos, O Diretor libera os servidores Standard Edition e os Servidores Front-End nos pools Front-End do Enterprise Edition da sobrecarga de realizar a autenticação de usuários remotos. Também ajuda a isolar os servidores Standard Edition de Servidores Front-End nos pools Front-End do Enterprise Edition do tráfego mal-intencionado como ataques DoS (negação de serviço). Se a rede ficar saturada com tráfego externo inválido graças a um ataque como esse, esse tráfego terminará no Diretor e os usuários internos não devem ver nenhum efeito sobre o desempenho. Para obter detalhes sobre o uso de Diretores, consulte Diretor.

Balanceadores de carga de hardware

A topologia de Borda consolidada e dimensionada do Lync Server 2010 é otimizada para balanceamento de carga DNS para novas implantações que estão federando principalmente com outras organizações que estão usando o Lync Server 2010. Se a alta disponibilidade for necessária para qualquer um dos cenários a seguir, um balanceador de carga de hardware deverá ser usado nos pools do Servidor de Borda para o seguinte:

• Federação com organizações que usam o Office Communications Server 2007 R2 ou o Office Communications Server 2007

• UM do Exchange para usuários remotos

• Conectividade com usuários de IM pública

Para determinar se seu balanceador de carga de hardware suporta os recursos exigidos pelo Lync Server 2010, consulte "Lync Server 2010 Load Balancer Partners" em https://go.microsoft.com/fwlink/?linkid=202452&clcid=0x416.

Requisitos do Balanceador de carga de hardware – Requisitos gerais

• A conversão de endereço de rede de destino (DNAT), que usa o endereço IP do destino de entrada de IP virtual (VIP) do balanceador de carga, é convertido para o endereço IP de destino do servidor. Seu fornecedor do balanceador de carga pode sugerir o uso de NAT de Origem (SNAT). Considere cuidadosamente que tipo de NAT você usa e esteja ciente de que esse NAT é exclusivo para o HLB e é uma relação entre o VIP HLB e os servidores hospedados. Ele não é semelhante ao NAT gerenciado em firewalls de perímetro.

• Use a afinidade da origem (também conhecida como afinidade do TCP - verifique a documentação do fornecedor). Todo o tráfego em uma única sessão deve ser associado ao mesmo destino (ou seja, o servidor). No caso de existirem várias sessões de uma única fonte, as sessões podem ser associados a diferentes servidores de destino - usando a afinidade de origem para fornecer o estado da sessão.

• A menos que outras informações (as necessidades de desempenho, definições de testes, normas ou documentação do fornecedor) sejam determinadas, o Tempo limite de ociosidade do TCP deve ser ajustado para 30 minutos (1800 segundos).

Aviso:
Não é possível usar o balanceamento de carga DNS em uma interface e um balanceamento de carga de hardware em outra. É necessário usar o balanceamento de carga de hardware em ambas as interfaces ou o balanceamento de carga DNS para ambos. Uma combinação é suportada.

Observação:
Se você estiver usando um balanceador de carga de hardware, o balanceador de carga implantado para conexões com a rede interna deverá ser configurado para balancear a carga somente do tráfego para o Serviço de Borda de Acesso e para o Serviço de Borda A/V. Não é possível balancear a carga do tráfego para o Serviço de Borda de Webconferência interna.

Observação:
O NAT do DSR (direct server return) não é suportado com o Lync Server 2010.