Requisitos del sistema del servidor perimetral en Skype Empresarial Server 2015

Skype for Business Server 2015
 

Última modificación del tema:2016-03-22

Resumen:  información acerca de los requisitos del sistema para Servidor perimetral en Skype Empresarial Server.

En lo que a la implementación del Servidor perimetral de Skype Empresarial Server se refiere, esto es lo que tiene que realizar para el servidor o los servidores que están en el propio entorno, así como planificar la estructura del entorno. Para más información sobre las topologías, DNS, certificados y otros problemas de la infraestructura, compruebe la documentación sobre los requisitos del entorno.

Al hablar del entorno de Servidor perimetral, se hace referencia a los componentes que están, en la mayoría de los casos, implementados en una red perimetral (es decir, está en un grupo de trabajo o un dominio que se encuentra fuera la estructura de dominios de Skype Empresarial Server).

Teniendo eso en cuenta, estos son los componentes que tiene que tener en cuenta para implementar el servidor perimetral correctamente:

Hay más información sobre cada uno de ellos a continuación:

Son los servidores de Skype Empresarial implementados en el entorno perimetral. Su rol es enviar y recibir tráfico de red a los usuarios externos para los servicios ofrecidos por la implementación interna de Skype Empresarial Server. Para realizar esto correctamente, cada Servidor perimetral ejecuta:

  • Servidor perimetral de acceso : proporciona un punto de conexión único y de confianza para el tráfico del protocolo de inicio de sesión (SIP) tanto entrante como saliente.

  • Servicio perimetral de conferencia web : permite a los usuarios externos unirse a reuniones que se hospedan en su entorno de Skype Empresarial Server interno.

  • Servicio perimetral A/V : proporciona audio, vídeo, uso compartido de aplicaciones y transferencia de archivos a los usuarios externos.

  • Servicio proxy XMPP : acepta y envía mensajes del protocolo extensible de mensajería y presencia (XMPP) a y desde asociados federados de XMPP configurados.

Los usuarios externos autorizados pueden usar los Servidores perimetrales para conectarse a la implementación interna de Skype Empresarial Server, pero, de lo contrario, no le proporcionan a nadie ningún otro acceso a la red interna.

noteNota:
Los Servidores perimetrales se implementan para proporcionar conexiones para los clientes que estén habilitados para Skype Empresarial y otros Servidores perimetrales (en escenarios de federación). No puede conectarse desde otros tipos de servidor o clientes de extremo. El servidor de la puerta de enlace XMPP puede permitir conexiones con asociados XMPP configurados, pero esos son los únicos tipos de cliente y federación que funcionarán.

Un servidor de proxy inverso (RP) no tiene rol de Skype Empresarial Server, pero es un componente esencial de una implementación de Servidor perimetral. Un proxy inverso permite a los usuarios externos:

  • conectarse a reuniones o conferencias de acceso telefónico local con direcciones URL sencillas.

  • descargar el contenido de la reunión.

  • expandir grupos de distribución.

  • obtener certificados según usuarios para la autenticación según certificados

  • descargar archivos desde el Servidor de libreta de direcciones o enviar consultas a la Servicio de consulta web de libreta de direcciones.

  • obtener actualizaciones para software de clientes y dispositivos.

Y para dispositivos móviles:

  • les permite detectar automáticamente Servidores front-end que ofrecen servicios de movilidad.

  • permite notificaciones de inserción de Office 365 para dispositivos móviles.

Puede encontrar nuestras recomendaciones actuales para proxy inverso en la página Infraestructura de telefonía para Skype Empresarial. Su proxy inverso también:

  • necesita poder usar la seguridad de la capa de transporte (TLS) que se introdujo en su entorno a través de certificados públicos para conectarse a los servicios web externos publicados de:

    • Un Director o Grupo de directores

    • Un Servidor front-end o Grupo de servidores front-end

  • tiene que poder publicar sitios web internos con certificados para cifrado, o bien publicarlos con métodos sin cifrar, en caso necesario.

  • debe poder publicar externamente un sitio web hospedado de forma interna con su nombre de dominio completo (FQDN).

  • tiene que poder publicar todo el contenido del sitio web hospedado. De manera predeterminada, se puede usar la directiva /* , que la mayoría de los servidores web identifica como que significa "Publicar todo el contenido en el servidor web". También se puede modificar la directiva, por ejemplo, /Uwca/* , que quiere decir "Publicar todo el contenido en el directorio virtual Ucwa".

  • debe requerir conexiones TLS con los clientes que soliciten contenido desde su sitio web publicado.

  • debe aceptar certificados con entradas de nombre alternativo del firmante (SAN).

  • debe poder permitir el enlace de un certificado a una interfaz o agente de escucha a través del que se vaya a resolver el FQDN de servicios web externos. Se prefiere una configuración de agente de escucha a una de interfaz. Se pueden configurar varios agentes de escucha en una sola interfaz.

  • necesita permitir la configuración de control de encabezados de host. Con frecuencia, el encabezado de host original enviado por el cliente solicitante debe pasar de forma transparente, en lugar de modificarse a través del proxy inverso.

  • necesita permitir crear un puente de tráfico TLS desde un puerto definido externamente (por ejemplo, TCP 443) a otro puerto definido (por ejemplo, TCP 4443). El proxy inverso puede descifrar el paquete al recibirlo y luego volver a cifrarlo en el envío.

  • necesita poder crear un puente para el tráfico TCP no cifrado desde un puerto (TCP 80, por ejemplo) a otro (TCP 8080, por ejemplo).

  • tiene que permitir la configuración de los tipos de autenticación NTLM, Sin autenticación y Autenticación de paso a través, o aceptar estos tipos de autenticación.

Si su proxy inverso puede hacerse cargo de todas las necesidades de esta lista, debería poder continuar, pero tenga en cuenta nuestras recomendaciones en el vínculo proporcionado anteriormente.

Necesita poner la implementación perimetral tras un firewall externo, pero le recomendamos tener dos firewall, uno externo y otro interno entre el entorno perimetral y el entorno interno. Toda la documentación en nuestros escenarios tendrá dos firewall. Le recomendamos disponer de dos firewall porque así se asegura un enrutamiento estricto de un perímetro de red a otro y multiplica la protección de firewall para su red interna.

Este es un rol opcional. Puede ser un servidor único o un grupo de servidores que ejecutan el rol de Director. Es un rol que se encuentra en el entorno interno de Skype Empresarial Server.

El Director es un servidor interno de próximo salto que recibe el tráfico SIP de entrada de los Servidores perimetrales que está dirigido a los servidores internos de Skype Empresarial Server. Autentica previamente las solicitudes de entrada y las redirige a un servidor o grupo de servidores principales de un usuario. Esta autenticación previa le permite eliminar solicitudes de cuenta de usuario no identificadas.

¿Por qué importa? Una función importante de un Director es proteger los Servidores Standard Edition y los Servidores front-end o los Grupos de servidores front-end del tráfico malintencionado, como los ataques por denegación de servicio (DoS). Si la red está saturada con tráfico externo no válido, el tráfico se detiene en el Director.

La topología perimetral consolidada escalada de Skype Empresarial Server 2015 está optimizada para Equilibrio de carga de DNS para implementaciones nuevas y es la recomendada. Si necesita disponer de gran disponibilidad, le recomendamos que use equilibrador de carga de hardware para una situación específica:

  • Mensajería unificada de Exchange para usuarios remotos con Mensajería unificada de Exchange antes que Exchange 2013.

importantImportante:
Es fundamental que tenga en cuenta que no puede mezclar equilibradores de carga. En su entorno de Skype Empresarial Server todas las interfaces deben ser DNS o HLB.
noteNota:
La NAT de Direct Server Return (DSR) no es compatible con Skype Empresarial Server 2015.

Para cualquier Servidor perimetral que ejecuta el Servicio perimetral A/V, estos son los requisitos:

  • Deshabilite la aplicación del algoritmo de Nagle TCP para los puertos 443 internos y externos. La aplicación del algoritmo de Nagle es la combinación de varios paquetes pequeños en un único paquete más grande para obtener una transmisión más eficiente.

  • Deshabilite la aplicación del algoritmo de Nagle TCP para el intervalo de puertos externos 50000 - 59999.

  • No use la NAT en los firewalls internos ni externos.

  • La interfaz interna del servidor perimetral debe estar en una red diferente de la interfaz externa del Servidor perimetral y debe deshabilitarse el enrutamiento entre ellas.

  • La interfaz externa de cualquier Servidor perimetral que ejecuta el Servicio perimetral A/V debe usar direcciones IP enrutables públicamente y ninguna NAT o traducción de puerto en ninguna de las direcciones IP externas del servidor perimetral.

Al igual que con Lync Server 2013, Skype Empresarial Server 2015 no tiene una gran cantidad de requisitos de afinidad basada en cookies. Por lo que no tiene que usar una persistencia basada en cookies a no ser que vaya a tener Servidores front-endde Lync Server 2010 o Grupos de servidores front-end en su entorno de Skype Empresarial Server. Estos necesitarán la afinidad basada en cookies en el método de configuración recomendado para Lync Server 2010.

noteNota:
Si decide activar la afinidad basada en cookies en su HLB, no habrá problemas, incluso si su entorno no la necesita.

Si su entorno no necesita la afinidad basada en cookies:

  • En la regla de publicación del proxy inverso para el puerto 443, establezca Transferir encabezado de host en True . Esto garantizará que se transfiera la URL original.

Para las implementaciones que necesitan la afinidad basada en cookies:

  • En la regla de publicación del proxy inverso para el puerto 443, establezca Transferir encabezado de host en True . Esto garantizará que se transfiera la URL original.

  • La cookie de equilibrador de carga de hardware no debe estar marcada como httpOnly.

  • La cookie de equilibrador de carga de hardware no debe tener una fecha de expiración.

  • La cookie de equilibrador de carga de hardware debe tener el nombre MS-WSMAN (este es el esperado por los servicios web y no puede modificarse).

  • La cookie de equilibrador de carga de hardware debe establecerse en cada respuesta HTTP para las que la solicitud de HTTP entrante no tiene una cookie, independientemente de si una respuesta de HTTP anterior en la misma conexión TCP ha recibido una cookie. Si su equilibrador de carga de hardware optimiza la inserción de cookies a que solo ocurra una por cada conexión TCP, esa optimización no se debe usar.

noteNota:
Es habitual que las configuraciones HLB usen afinidad de origen y duración de sesión TCP de 20 minutos, que es adecuada para Skype Empresarial Server 2015 y para sus clientes, porque el estado de la sesión se mantiene a través del uso del cliente o la interacción de aplicaciones.

Si se implementan dispositivos móviles, el HLB debe poder equilibrar la carga de una solicitud individual dentro de una sesión TCP (de hecho, debe poder equilibrar la carga de una solicitud individual basada en la dirección IP de destino).

importantImportante:
Los HLB F5 tienen una característica denominada OneConnect, que garantiza que cada solicitud dentro de una conexión TCP se carga de forma equilibrada individualmente. Si va a implementar dispositivos móviles, asegúrese de que su proveedor HLB admita la misma característica. Las últimas aplicaciones móviles iOS requieren la versión TLS 1.2. Si necesita más información, F5 proporciona configuración específica para esto.

Estos son los requisitos de HLB para el Director (opcional) y para el Servicios web del Grupo de servidores front-end (obligatorio):

  • Para VIP de Servicios web internos, configure la persistencia Source_addr (puerto interno 80, 443) en el equilibrador de carga de hardware. Para Skype Empresarial Server 2015, la persistencia Source_addr significa que se envían siempre varias conexiones de una única dirección IP a un servidor para mantener el estado de la sesión.

  • Use un tiempo de espera de inactividad TCP de 1.800 segundos.

  • En el firewall entre el proxy inverso y el HLB del grupo de servidores del próximo salto, cree una regla que permita el tráfico https: en el puerto 4443, desde su proxy inverso a su HLB. El HLB debe configurarse de modo que escuche los puertos 80, 443 y 4443.

 

Ubicación de cliente/usuario Requisitos de afinidad del FQDN de servicios web externos Requisitos de afinidad del FQDN de servicios web internos

Aplicación web de Skype Empresarial (usuarios internos y externos)

Dispositivo móvil (usuarios internos y externos

Sin afinidad

Afinidad de direcciones de origen

Aplicación web de Skype Empresarial (solo usuarios externos)

Dispositivo móvil (usuarios internos y externos

Sin afinidad

Afinidad de direcciones de origen

Aplicación web de Skype Empresarial (solo usuarios internos)

Dispositivo móvil (no implementado)

Sin afinidad

Afinidad de direcciones de origen

Defina la supervisión de puertos en el equilibradores de carga de hardware para determinar cuándo dejan de estar disponibles determinados servicios, debido a errores de comunicaciones o de hardware. Por ejemplo, si el servicio del Servidor front-end (RTCSRV) se detiene debido a un error en el Servidor front-end o en el Grupo de servidores front-end, la supervisión de HLB también debe dejar de recibir tráfico del Servicios web. Debe implementar la supervisión de puertos en el HLB para supervisar lo siguiente para la interfaz externa del HLB:

 

Puerto/IP virtual Puerto de nodo Monitor/máquina de nodo Perfil de persistencia Notas

<pool>web_mco_443_vs

443

4443

Front-end

5061

Ninguno

HTTPS

<pool>web_mco_80_vs

80

8080

Front-end

5061

Ninguno

HTTP

Los requisitos de hardware y software del Servidor perimetralestán en nuestra documentación general Requisitos del servidor para Skype Empresarial Server 2015.

La colocación del Servidor perimetral está en nuestra documentación Conceptos básicos de topología de Skype Empresarial Server 2015.

 
Mostrar: