Determinazione dei requisiti di DNS
Ultima modifica dell'argomento: 2012-10-16
Utilizzare il diagramma di flusso seguente per determinare i requisiti DNS (Domain Name System).
Diagramma di flusso per la determinazione dei requisiti DNS
.jpg "Diagramma di flusso DNS per l'accesso utente esterno")
.gif "important") Importante: |
|---|
| Il nome specificato deve essere identico al nome del computer specificato nel server. Per impostazione predefinita, il nome di un computer non aggiunto a un dominio è un nome breve, non un nome di dominio completo (FQDN). Generatore di topologie utilizza i nomi di dominio completi, non i nomi brevi, pertanto è necessario aggiungere un suffisso DNS al nome di ogni computer non aggiunto a un dominio da distribuire come server perimetrale. Quando si assegnano i nomi di dominio completi dei server Lync, dei server perimetrali e dei pool è consigliabileutilizzare solo i caratteri standard (inclusi i caratteri A-Z, a-z, 0-9 e i trattini). I caratteri non standard di un nome di dominio completo spesso non sono supportati nel sistema DNS esterno e nelle CA pubbliche (quando il nome di dominio completo deve essere assegnato al nome soggetto nel certificato). Per informazioni dettagliate sull'aggiunta di un suffisso DNS a un nome computer, vedere Configurare record DNS per il supporto dei componenti perimetrali. |
Configurazione di DNS split-brain con Lync Server 2010
Come avviene per NAT (Network Address Translation), il termine DNS split-brain ha varie definizioni. In questo documento, DNS split-brain vuol dire che la zona DNS è la stessa sia nel DNS interno che nel DNS esterno. Tuttavia, molti record DNS SRV e A contenuti nel DNS interno non saranno contenuti nel DNS esterno e viceversa. Nei casi in cui lo stesso record DNS è presente sia nel DNS esterno che nel DNS esterno, ad esempio www.contoso.com, l'indirizzo IP restituito sarà diverso in base al punto in cui viene eseguita la query DNS.
Se si sta configurando DNS split-brain, le zone interna ed esterna seguenti contengono un riepilogo dei tipi di record DNS necessari in ogni zona. Per informazioni dettagliate, vedere Architettura di riferimento.
DNS interno:
Contiene una zona DNS denominata contoso.com per cui è autorevole
La zona contoso.com interna contiene:
Record SRV e A DNS per la configurazione automatica del client Microsoft Lync Server 2010 (facoltativo)
Record A DNS o CNAME per l'individuazione automatica dei servizi Web di Lync Server.
Record SRV e A DNS per tutti i server interni che eseguono Lync Server 2010 nella rete aziendale
Record SRV e A DNS per l'interfaccia perimetrale interna di ogni istanza di Lync Server 2010, Edge Server nella rete perimetrale
Record A DNS per l'interfaccia interna del proxy inverso di ogni server proxy inverso nella rete perimetrale
Tutte le istanze di Lync Server 2010, Edge Server nella rete perimetrale puntano ai server DNS interni per la risoluzione delle query verso contoso.com
Tutti i server che eseguono Lync Server 2010 e i client che eseguono Lync 2010 nella rete aziendale puntano ai server DNS interni per la risoluzione delle query verso contoso.com
DNS esterno:
Contiene una zona DNS denominata contoso.com per cui è autorevole
La zona contoso.com esterna contiene:
Record SRV e A DNS per la configurazione automatica del client Lync Server 2010 (facoltativo)
Record A DNS o CNAME per l'individuazione automatica dei servizi Web di Lync Server.
Record SRV e A DNS per l'interfaccia perimetrale esterna di ogni istanza di Lync Server 2010, Edge Server o indirizzo IP virtuale del dispositivo di bilanciamento del carico (VIP) nella rete perimetrale
Record A DNS per l'interfaccia esterna del proxy inverso di ogni server proxy inverso nella rete perimetrale
Modalità di individuazione dei servizi da parte dei client che eseguono Microsoft Lync 2010
Durante la ricerca DNS, i record SRV vengono sottoposti a query in parallelo e restituiti al client (se configurati e disponibili) in base all'ordine seguente:
_sipinternaltls._tcp.<dominio> - per le connessioni TLS interne
_sipinternal._tcp. <dominio> - per le connessioni TCP interne (eseguite solo se TCP è consentito)
_sip._tls. <dominio> - per le connessioni TLS esterne
_sip._tcp. <dominio> - per le connessioni TCP esterne (eseguite solo se TCP è consentito)
Dove <dominio> è il dominio SIP utilizzato dai client interni. Le ultime due query sono per i client che si connettono dall'esterno della rete interna. Quando si creano i record SRV, è importante ricordare che questi devono puntare a un record A DNS nello stesso dominio in cui viene creato il record DNS SRV. Se ad esempio il record SRV si trova in contoso.com, il record A al quale punta non può trovarsi in fabrikam.com, ma deve trovarsi anch'esso in contoso.com.
La prima volta che si accede, il client che esegue Lync tenta di connettersi a un pool Front End utilizzando i tre record SRV in ordine, indipendentemente dal fatto che si esegua l'accesso dall'interno o dall'esterno della rete. Dopo aver stabilito una connessione, il client che esegue Lync memorizza nella cache la voce DNS e continua a utilizzarla finché questa non smette di funzionare. Se il client che esegue Lync non può utilizzare il valore memorizzato nella cache, interroga nuovamente DNS per i record SRV e ripopola la cache. Ad esempio, questo processo viene eseguito se si accede alla rete interna in giornata, quindi si porta a casa il laptop e si ripete l'accesso dall'esterno.
Dopo la restituzione del record SRV, viene eseguita una query per ottenere il record A DNS (mediante FQDN) per il server o il pool Front End associato al record SRV. Se durante la query SRV DNS non viene individuato alcun record, il client Lync esegue una ricerca esplicita di sipinternal.<dominio>. Se la ricerca esplicita non produce risultati, il client Lync esegue una ricerca di sip.<dominio>.
Configurazione automatica senza DNS split-brain
Se si utilizza DNS split-brain, un utente di Lync Server 2010 che accede internamente può utilizzare la caratteristica di configurazione automatica se la zona DNS interna contiene un record SRV _sipinternaltls._tcp per ogni dominio SIP in uso. Se non si utilizza DNS split-brain, tuttavia, la configurazione interna automatica dei client che eseguono Lync non funzionerà, a meno che non si implementi una delle soluzioni alternative descritte più avanti in questa sezione. Il motivo è che Lync Server 2010 richiede che l'URI SIP dell'utente corrisponda al dominio del pool Front End designato per la configurazione automatica, come nelle versioni precedenti di Communicator.
Se ad esempio sono in uso due domini SIP, saranno necessari i record del servizio DNS (SRV) seguenti:
Se un utente esegue l'accesso come lstest01@contoso.com, il record SRV seguente funzionerà per la configurazione automatica, in quanto il dominio SIP dell'utente (contoso.com) corrisponde al dominio del pool Front End di configurazione automatica:
_sipinternaltls._tcp.contoso.com. 86400 IN SRV 0 0 5061 pool01.contoso.com
Se un utente esegue l'accesso come lstest01@fabrikam.com, il record DNS SRV seguente funzionerà per la configurazione automatica nel secondo dominio SIP.
_sipinternaltls._tcp.fabrikam.com. 86400 IN SRV 0 0 5061 pool01.fabrikam.com
A scopo di confronto, se un utente esegue l'accesso come lstest01@litwareinc.com, il record DNS SRV seguente non funzionerà per la configurazione automatica, in quanto il dominio SIP del client (litwareinc.com) non corrisponde al dominio in cui si trova il pool (fabrikam.com):
_sipinternaltls._tcp.litwareinc.com. 86400 IN SRV 0 0 5061 pool01.fabrikam.com
Se è necessaria la configurazione automatica per i client che eseguono Lync, selezionare una delle opzioni seguenti:
Oggetti Criteri di gruppo Utilizzare gli oggetti Criteri di gruppo (GPO) per popolare il server con i valori corretti.
Nota
Questa opzione non abilita la configurazione automatica, ma automatizza il processo di configurazione manuale, dunque se si utilizza questo approccio i record SRV associati alla configurazione automatica non sono necessari.
Zona interna corrispondente Creare nel DNS interno una zona corrispondente al DNS esterno (ad esempio, contoso.com) e creare record A DNS corrispondenti al pool Lync Server 2010 utilizzato per la configurazione automatica. Ad esempio, se un utente è ospitato in pool01.contoso.net, ma accede a Lync come lstest01@contoso.com, creare una zona DNS interna denominata contoso.com e al suo interno creare un record A DNS per pool01.contoso.com.
Zona interna dedicata Se la creazione di un'intera zona nel DNS interno non rappresenta una scelta appropriata, è possibile creare zone dedicate che corrispondono ai record SRV necessari per la configurazione automatica e quindi popolarle utilizzando dnscmd.exe. Dnscmd.exe è necessario perché l'interfaccia utente DNS non supporta la creazione di zone dedicate. Ad esempio, se il dominio SIP è contoso.com ed è presente un pool Front End denominato pool01 che contiene due Front End Server, nel DNS interno saranno necessarie le zone dedicate e i record A seguenti:
dnscmd . /zoneadd _sipinternaltls._tcp.contoso.com. /dsprimary dnscmd . /recordadd _sipinternaltls._tcp.contoso.com. @ SRV 0 0 5061 pool01.contoso.com. dnscmd . /zoneadd pool01.contoso.com. /dsprimary dnscmd . /recordadd pool01.contoso.com. @ A 192.168.10.90 dnscmd . /recordadd pool01.contoso.com. @ A 192.168.10.91Se l'ambiente contiene un secondo dominio SIP, ad esempio fabrikam.com, nel DNS interno saranno necessarie le zone dedicate e i record A seguenti:
dnscmd . /zoneadd _sipinternaltls._tcp.fabrikam.com. /dsprimary dnscmd . /recordadd _sipinternaltls._tcp.fabrikam.com. @ SRV 0 0 5061 pool01.fabrikam.com. dnscmd . /zoneadd pool01.fabrikam.com. /dsprimary dnscmd . /recordadd pool01.fabrikam.com. @ A 192.168.10.90 dnscmd . /recordadd pool01.fabrikam.com. @ A 192.168.10.91
Nota
Il nome di dominio completo del pool Front End appare due volte, ma con due indirizzi IP diversi. Questo avviene perché viene utilizzato il bilanciamento del carico DNS, ma se fosse utilizzato il bilanciamento del carico hardware sarebbe presente una sola voce per il pool Front End. Inoltre, i valori FQDN del pool Front End sono diversi tra l'esempio contoso.com e l'esempio fabrikam.com, ma gli indirizzi IP restano invariati. Questo avviene perché gli utenti che accedono da entrambi i domini SIP utilizzano lo stesso pool Front End per la configurazione automatica.
Per informazioni dettagliate, vedere l'articolo del blog DMTF relativo alla configurazione automatica di Communicator e DNS split-brain all'indirizzo https://go.microsoft.com/fwlink/?linkid=200707&clcid=0x410.
Nota
Il contenuto di ogni blog e i relativi URL sono soggetti a modifiche senza preavviso.
Modalità di individuazione dei servizi da parte dei dispositivi mobili che eseguono Lync 2010
I client dei dispositivi mobili che eseguono Lync 2010 utilizzano i record di individuazione automatica A DNS o CNAME per individuare i servizi per dispositivi mobili. Durante la ricerca DNS viene innanzitutto tentata una connessione al nome di dominio completo (FQDN) associato al record DNS interno, ovvero lyncdiscoverinternal. <dominiosip>). Se non è possibile eseguire una connessione all'URL interno viene tentata una connessione all'FQDN associato al record DNS esterno, ovvero lyncdiscover. <dominiosip>). La priorità viene sempre data all'URL interno. Se viene stabilita una connessione all'URL interno, il cliente utilizza la rete Wi-Fi aziendale. Se la connessione all'URL interno ha esito negativo, ma è possibile stabilire una connessione all'URL esterno, la richiesta client attraversa il proxy inverso e viene instradata al Front End Server o al Director.
Quando viene stabilita una connessione, il servizio di individuazione automatica restituisce gli URL di tutti i servizi Web del pool principale dell'utente, compresi gli URL del servizio per dispositivi mobili. Sia l'URL interno che quello esterno del servizio per dispositivi mobili, tuttavia, sono associati all'FQDN dei servizi Web esterni. Per questo motivo, sia esso interno o esterno alla rete, un dispositivo mobile si connette al servizio per dispositivi mobili sempre esternamente, tramite il proxy inverso.
.gif "tip") Suggerimento: |
|---|
| Sebbene la configurazione predefinita consenta al traffico dei client mobili di attraversare il sito esterno, è possibile modificare le impostazioni in modo da restituire solo l'URL interno. Con questa configurazione, gli utenti possono utilizzare le applicazioni mobili di Lync sui propri dispositivi mobili solo quando si trovano all'interno della rete aziendale. Per supportare questa configurazione è necessario eseguire il cmdlet Set-CsMcxConfiguration. È inoltre necessario configurare gli IP virtuali (VIP) dei servizi Web interni nei servizi di bilanciamento del carico hardware dei Front End Server e dei server Director per la persistenza basata su cookie. Per informazioni dettagliate, vedere la sezione relativa ai requisiti del dispositivo di bilanciamento del carico hardware per il proxy inverso in Servizi di bilanciamento del carico hardware. Per informazioni dettagliate sull'utilizzo di Set-CsMcxConfiguration per limitare il traffico dei client mobili alla rete interna, vedere Installazione dei servizi di individuazione automatica e per dispositivi mobili. |
Nota
Benché le applicazioni mobili possano connettersi anche ad altri servizi di Lync Server 2010, ad esempio il Servizio Rubrica, le richieste Web delle applicazioni mobili vanno al nome di dominio completo Web esterno solo per il servizio per dispositivi mobili. Per le altre richieste di servizio, ad esempio le richieste della Rubrica, questa configurazione non è necessaria.
Lync 2010 per dispositivi mobili supporta inoltre l'individuazione manuale dei servizi. In questo caso è necessario che ogni utente configuri le impostazioni dei dispositivi mobili con gli URI interni ed esterni completi del servizio di individuazione automatica, compresi percorso e protocollo, come illustrato di seguito:
https://<ExtPoolFQDN>/Autodiscover/autodiscoverservice.svc/Radice per l'accesso esterno
https://<IntPoolFQDN>/AutoDiscover/AutoDiscover.svc/Radice per l'accesso interno
L'individuazione automatica è consigliabile rispetto all'individuazione manuale. L'utilizzo di impostazioni manuali, tuttavia, è utile per la risoluzione dei problemi di connettività dei dispositivi mobili. Per informazioni dettagliate sui record DNS utilizzati per il servizio di individuazione automatica, vedere Requisiti tecnici per i dispositivi mobili. Per informazioni dettagliate sulla pianificazione per la mobilità, vedere Pianificazione della versione per dispositivi mobili.
Bilanciamento del carico DNS
Il bilanciamento del carico DNS viene in genere implementato a livello di applicazione. L'applicazione, ad esempio un client che esegue Lync 2010, tenta di connettersi a un server in un pool connettendosi a uno degli indirizzi IP risultanti dalla query A DNS per l'FQDN del pool.
Se ad esempio sono presenti tre Front End Server in un pool denominato pool01.contoso.com, accadrà quanto segue:
I client che eseguono Lync 2010 eseguono una query DNS per pool01.contoso.com, ricevono tre indirizzi IP e li memorizzano nella cache come segue, non necessariamente nell'ordine indicato:
pool01.contoso.com 192.168.10.90
pool01.contoso.com 192.168.10.91
pool01.contoso.com 192.168.10.92
Il client tenta quindi di stabilire una connessione TCP (Transmission Control Protocol) a uno degli indirizzi IP. Se la connessione fallisce, il client tenta con l'indirizzo IP successivo nella cache.
Se la connessione TCP ha esito positivo, il client negozia TLS per connettersi al Front End Server.
Se l'operazione termina senza che sia possibile stabilire una connessione, l'utente riceve una notifica che indica che al momento non sono disponibili server che eseguono Lync Server 2010.
Nota
Il bilanciamento del carico basato su DNS è diverso dal DNS Round robin (DNS RR), che in genere fa riferimento al bilanciamento del carico con l'utilizzo di DNS per fornire un ordine diverso degli indirizzi IP corrispondenti ai server in un pool. Normalmente DNS RR abilita solo la distribuzione del carico, ma non il failover. Se ad esempio la connessione all'unico indirizzo IP fornito dalla query A DNS non riesce, la connessione ha esito negativo. Il DNS Round robin è pertanto meno affidabile del bilanciamento del carico basato su DNS. È possibile utilizzare il DNS Round robin in combinazione con il bilanciamento del carico DNS.
Il bilanciamento del carico DNS viene utilizzato per:
Bilanciare il carico SIP e HTTP server-server
Bilanciare il carico delle applicazioni dei servizi per applicazioni per comunicazioni unificate, ad esempio Operatore automatico conferenza, Response Group e Parcheggio di chiamata
Impedire nuove connessioni alle applicazioni dei servizi per applicazioni per comunicazioni unificate (noto anche come "svuotamento")
Bilanciare il carico di tutto il traffico client-server tra client e server perimetrali
Non è possibile utilizzare il bilanciamento del carico DNS per:
- Traffico Web client-server
Bilanciamento del carico DNS e traffico federato:
- Se per una query DNS SRV vengono restituiti più record DNS, il servizio Access Edge Server seleziona sempre il record DNS SRV con la minor priorità numerica e il massimo peso numerico. Se vengono restituiti più record DNS SRV con priorità e peso uguali, l'Access Edge Server selezionerà sempre il record SRV restituito per primo dal server DNS.