Требования к системе пограничных серверов в Skype для бизнеса Server 2015

Skype for Business Server 2015
 

Дата изменения раздела:2016-03-22

Сводка. Сведения о требованиях к системе для пограничного сервера в Skype для бизнеса Server.

Перед развертыванием Skype для бизнеса Server Пограничный сервер выполнить определенные действия, относящиеся непосредственно к серверам в среде и к планированию структуры среды. Дополнительные сведения по топологии, службам DNS, сертификатам и другим вопросам, связанным с инфраструктурой, см. в документации по требованиям к среде.

Компоненты, упоминаемые в описании среды пограничных серверов, в большинстве случаев развертываются в сети периметра (то есть в рабочей группе или домене за пределами структуры доменов Skype для бизнеса Server).

Для успешного развертывания пограничных серверов важно уделить внимание следующим компонентам.

Ниже подробно рассматривается каждый из этих компонентов.

Эти серверы Skype для бизнеса развертываются в среде периметра. Их роль заключается в передаче и приеме сетевого трафика при обращении внешних пользователей к службам, которые предоставляются внутренним развертыванием Skype для бизнеса Server. Для успешного выполнения этой задачи на каждом пограничном сервере работают следующие службы.

  • Пограничная служба доступа . Предоставляет единую надежную точку подключения для исходящего и входящего трафика по протоколу SIP.

  • Пограничная служба веб-конференций . Позволяет внешним пользователям присоединяться к собраниям, размещенным во внутренней среде Skype для бизнеса Server.

  • Пограничная служба видео-/голосовой связи . Предоставляет внешним пользователям доступ к функциям видео- и голосовой связи, совместного использования приложений и переноса файлов.

  • Прокси-служба XMPP . Обеспечивает прием и передачу сообщений по протоколу XMPP настроенными федеративными партнерами XMPP.

При наличии соответствующих разрешений внешние пользователи могут с помощью пограничных серверов подключаться к внутреннему развертыванию Skype для бизнеса Server; во всех других случаях эти серверы запрещают доступ к внутренней сети.

noteПримечание.
Пограничные серверы развертывается с целью подключения с разрешенных Skype для бизнеса и с других серверов Пограничные серверы (в ситуациях с федерацией). Подключение с клиентов на конечной точке и серверов других типов невозможно. На сервере шлюза XMPP могут быть разрешены соединения с настроенными партнерами XMPP. Однако и в этом случае подключение возможно только для клиентов и федерации данного типа.

Обратный прокси-сервер (RP) не связан с ролью Skype для бизнеса Server, но является важным компонентом развертывания пограничных серверов. Обратный прокси-сервер позволяет внешним пользователям выполнять следующие действия:

  • присоединение к собраниям или подключение к конференциям по телефонной линии с применением простых URL-адресов;

  • загрузка материалов собраний;

  • расширение групп рассылки;

  • получение пользовательских сертификатов для проверки подлинности по клиентским сертификатам;

  • загрузка файлов с сервера адресной книги или отправка запросов в службу веб-запросов адресной книги;

  • получение пакетов обновления программного обеспечения клиентов и устройств.

Для мобильных устройств поддерживаются следующие функции:

  • автоматическое обнаружение на мобильных устройствах серверов Серверы переднего плана, на которых размещены мобильные службы;

  • активная рассылка уведомлений из Office 365 на мобильные устройства.

Действующие на данный момент рекомендации по работе с обратным прокси-сервером представлены на странице Инфраструктура телефонной связи для Skype для бизнеса. Прокси-сервер должен поддерживать следующие функции.

  • Применение протокола TLS, который внедряется в среду посредством общих сертификатов для подключения к опубликованным внешним веб-службам, размещенным на следующих компонентах:

    • Директор или пул директоров

    • переднего плана или пул переднего плана

  • Публикация внутренних веб-сайтов c применением сертификатов для шифрования, а при необходимости – публикация с помощью средств, не предусматривающих шифрование.

  • Внешняя публикация размещенных во внутренней среде веб-сайтов с применением полного доменного имени (FQDN).

  • Публикация всего содержимого размещенного веб-сайта. По умолчанию может применяться директива /* , распознаваемая на большинстве веб-серверов как команда "Опубликовать все содержимое веб-сервера". Можно заменить ее, например, директивой: /Uwca/* , означающей команду "Опубликовать все содержимое каталога Ucwa".

  • Принудительное установление соединений TLS с клиентами, запрашивающими содержимое опубликованного веб-сайта.

  • Принятие сертификатов с записями альтернативного имени субъекта (SAN).

  • Разрешение привязки сертификата к прослушивателю или интерфейсу, через который будут разрешаться полные доменные имена внешних веб-служб. Конфигурации с прослушивателями предпочтительнее конфигураций с интерфейсами. Для одного интерфейса можно настроить несколько прослушивателей.

  • Настройка обработки заголовков узлов. Во многих случаях первоначальный заголовок узла, отправляемый запрашивающим клиентом, должен в исходном виде без изменений, внесенных на обратном прокси-сервере.

  • Формирование моста для трафика TLS с одного порта, заданного внешним образом (например, TCP 443) на другой заданный порт (например, TCP 4443). На обратном прокси-сервере может выполняться расшифровка пакета при приеме и повторное шифрование при передаче.

  • Формирование моста для незашифрованного трафика TCP с одного порта (например, TCP 80) на другой (например, TCP 8080).

  • Настройка и принятие проверки подлинности NTLM, подключения без проверки подлинности и сквозной проверки подлинности.

Если на обратном прокси-сервере могут выполнятся все задачи из этого списка, он готов к работе, однако следует также учитывать рекомендации, доступные по приведенной выше ссылке.

Пограничные серверы развертываются за внешним брандмауэром, однако рекомендуется настроить два брандмауэра: один внешний и один внутренний – между пограничной и внутренней средами. Во всех ситуациях, рассматриваемых в документации, предполагается наличие двух брандмауэров. Два брандмауэра обеспечивают точную маршрутизацию между границами сетей и дублируют защиту для внутренней сети.

Это необязательная роль. В роли директора может работать отдельный сервер или пул серверов. Эта роль относится к внутренней среде Skype для бизнеса Server.

Директор – это внутренний сервер следующего перехода, на котором принимается предназначенный для внутренних серверов Skype для бизнеса Server входящий трафик SIP от пограничных серверов. На этом сервере выполняется предварительная проверка подлинности входящих запросов и их перенаправление в исходный пул или на исходный сервер пользователя. Эта предварительная проверка подлинности позволяет отбрасывать запросы пользователей, учетные записи которых не распознаны.

Для чего она нужна? Важной функцией директора является защита серверов Серверы выпуска Standard и Серверы переднего плана, а также пулов переднего плана от вредоносного трафика, например, от атак типа "отказ в обслуживании". При большом объеме недопустимого внешнего трафика в сети этот трафик останавливается на директоре.

Расширенная объединенная топология Skype для бизнеса Server 2015 оптимизирована под балансировку нагрузки средствами DNS для новых развертываний, поэтому этот метод является предпочтительным. Если требуется высокий уровень доступности, аппаратная балансировка нагрузки рекомендуется в одной особой ситуации.

  • обмена сообщениями Exchange для удаленных пользователей, работавших с обмена сообщениями Exchange до Exchange 2013.

importantВажно!
Важно отметить, что наличие подсистем балансировки нагрузки разных типов не допускается. Во всех интерфейсах в среде Skype для бизнеса Server балансировка нагрузки должна осуществляться либо средствами DNS, либо с помощью устройств.
noteПримечание.
В Skype для бизнеса Server 2015 не поддерживается преобразование сетевых адресов в режиме прямого возврата сервера (DSR).

Приведенные ниже требования относятся к любому пограничному серверу, на котором работает пограничная служба видео-/голосовой связи.

  • Оптимизация TCP по алгоритму Nagle должна быть отключена как для внутреннего, так и для внешнего порт 443. (В процессе оптимизации по алгоритму Nagle – это процесс объединения несколько мелких пакетов объединяются в более крупный пакет для экономии ресурсов при передаче данных.)

  • Оптимизация TCP по алгоритму Nagle должна быть отключена для диапазона внешних портов 50000 - 59999.

  • На внутреннем и внешнем брандмауэрах не должно применяться преобразование сетевых адресов.

  • Пограничный внутренний интерфейс и внешний интерфейс пограничного сервера должны находиться в разных сетях, маршрутизация между которыми отключена.

  • Во внешнем интерфейсе пограничного сервера, на котором работает пограничная служба видео-/голосовой связи, разрешены только IP-адреса с открытой маршрутизацией; на любых внешних IP-адресах пограничного интерфейса не допускается преобразования сетевых адресов или портов.

Как и для Lync Server 2013, для Skype для бизнеса Server 2015отсутствуют значительные требования к сходству на основе файлов cookie. Поэтому в сохраняемости на основе файлов cookie нет необходимости, если в среде Skype для бизнеса Server не планируется размещение серверов Серверы переднего плана или пулов переднего плана Lync Server 2010. Для таких серверов потребуется функция сходства на основе файлов cookie, настроенная в соответствии с рекомендациями для Lync Server 2010.

noteПримечание.
При необходимости можно без затруднений включить для устройства балансировки нагрузки сходство на основе файлов cookie, даже если оно не требуется в данной среде.

Для сред, где не требуется сходство на основе файлов cookie

  • В правиле публикации через порт 4443 на обратном прокси-сервере задайте для параметра Forward host header (Перенаправлять заголовок узла) значение True для параметра. Это обеспечит перенаправление исходного URL-адреса.

Для развертываний, в которых требуется сходство на основе файлов cookie

  • В правиле публикации через порт 4443 на обратном прокси-сервере задайте для параметра Forward host header (Перенаправлять заголовок узла) значение True для параметра. Это обеспечит перенаправление исходного URL-адреса.

  • Файл cookie для устройства балансировки нагрузки не должен содержать пометку httpOnly.

  • Срок действия файла cookie для устройства балансировки нагрузки не должен быть ограничен.

  • Файлу cookie для устройства балансировки нагрузки должно быть присвоено имя MS-WSMAN (изменение этого значения не допускается, так как оно ожидается веб-службами).

  • Файл cookie для устройства балансировки нагрузки должен быть задан в каждом ответе HTTP, если соответствующий входящий запрос HTTP не содержал файла cookie, независимо от того, был ли файл cookie получен предыдущим ответом HTTP в том же подключении TCP. Если на устройстве балансировки нагрузки предусмотрена оптимизация, допускающая только одну вставку файла cookie для каждого подключения TCP, такая оптимизация не должна применяться

noteПримечание.
Как правило, в конфигурации устройства балансировки нагрузки включена функция сходства исходных адресов и задана 20‑минутная продолжительность сеанса TCP, что удобно Skype для бизнеса Server 2015 для системы и ее клиентов, так как состояние сеанса поддерживается в условиях работы клиентов и/или взаимодействия с приложениями.

При развертывании мобильных устройств необходимо, чтобы устройство балансировки нагрузки могло обеспечивать ее по отдельным запросам в пределах сеанса TCP (фактически требуется балансировка нагрузки отдельного запроса на основе конечного IP-адреса).

importantВажно!
В устройствах балансировки нагрузки F5 предусмотрена функция OneConnect, которая обеспечивает индивидуальную балансировку нагрузки для каждого запроса в соединении TCP. При развертывании мобильных устройств убедитесь в том, что поставщик устройства балансировки нагрузки поддерживает эту функцию. Для последних мобильных приложений iOS требуется протокол TLS версии 1.2. В F5 предусмотрены также параметры, позволяющие получить дополнительную информацию.

Ниже приведены требования к веб-службам директора (не обязательной) и пула переднего плана (обязательной) для аппаратной балансировки нагрузки.

  • Для внутренних виртуальных IP-адресов веб-служб задайте на устройства балансировки нагрузки сохраняемость Source_addr (внутренний порт 80, 443). Для Skype для бизнеса Server 2015 сохраняемость Source_addr означает, что для поддержания состояния сеанса местом назначения нескольких подключений с одним и тем же исходным IP-адресом всегда служит один и тот же сервер.

  • Задайте для TCP время ожидания в режиме простоя 1800 с.

  • На брандмауэре между обратным прокси-сервером и устройством балансировки нагрузки пула в пуле следующего перехода создайте правило, разрешающее трафик HTTPS через порт 4443 с обратного прокси-сервера на устройство балансировки нагрузки. На устройстве балансировки нагрузки необходимо настроить прослушивание портов 80, 443 и 4443.

 

Расположение клиента или пользователя Требования к сходству внешних доменных имен веб-служб Требования к сходству полных доменных имен внутренних веб-служб

Skype для бизнеса Web App (внутренние и внешние пользователи)

Мобильное устройство (внутренние и внешние пользователи)

Без сходства

Сходство исходных адресов

Skype для бизнеса Web App (только внешние пользователи)

Мобильное устройство (внутренние и внешние пользователи)

Без сходства

Сходство исходных адресов

Skype для бизнеса Web App (только внутренние пользователи)

Мобильное устройство (без развертывания)

Без сходства

Сходство исходных адресов

Наблюдение за портами на устройствах балансировки нагрузки позволяет определить прекращение доступа к конкретным службам вследствие сбоев оборудования или связи. Например, при остановке работы службы сервера переднего плана (RTCSRV) вследствие сбоя сервера переднего плана или переднего плана необходимо, чтобы на основе наблюдения за портами на устройстве балансировки нагрузки был также прекращен прием трафика веб-служб ы. На устройстве балансировки нагрузки следует реализовать наблюдение за следующими компонентами внешнего интерфейса устроства.

 

Виртуальный IP-адрес/порт Порт узла Компьютер/монитор узла Профиль сохраняемости Примечания.

<pool>web_mco_443_vs

443

4443

Сервер переднего плана

5061

Отсутствуют

HTTPS

<pool>web_mco_80_vs

80

8080

Сервер переднего плана

5061

Отсутствуют

HTTP

Требования к оборудованию и программному обеспечению Пограничный сервер приведены в полной документации Требования к серверу для Skype для бизнеса Server 2015.

Совмещенное расположение Пограничный сервер рассматривается в документации Основы топологии для Skype для бизнеса Server 2015.

 
Показ: