Arquitectura de referencia 2: Resumen de certificados para topologías perimetrales consolidadas escaladas (carga de DNS equilibrada)
Última modificación del tema: 2012-08-08
Antes de continuar, dedique unos minutos a asignar las entradas de la tabla siguiente a los nombres de dominio completos (FQDN)/direcciones IP que se muestran en la figura Topología perimetral consolidada escalada (con equilibrio de carga DNS) de Arquitectura de referencia 2: Topología perimetral consolidada escalada (carga de DNS equilibrada) de forma que las relaciones queden claras. Por ejemplo, observe que en la tabla Certificados necesarios para una topología perimetral consolidada escalada (con equilibrio de carga DNS) no se ha asignado ningún certificado a la interfaz perimetral externa A/V (av.contoso.com), pero existe un certificado relacionado con A/V (avauth.contoso.net) que se ha asignado al servicio de autenticación de medios.
Los certificados enumerados en la tabla siguiente son necesarios para admitir la topología perimetral mostrada en la figura Topología perimetral consolidada escalada (con equilibrio de carga DNS). Existen tres certificados que se muestran para el servidor proxy inverso para destacar los requisitos de certificados de direcciones URL sencillas dedicadas (por ejemplo, https://dial-in.contoso.com). En implementaciones con un solo grupo de servidores o donde varios grupos de servidores comparten las mismas direcciones URL sencillas de reunión y conferencia de acceso telefónico local, se podría crear una única regla de publicación y el certificado correspondiente. Por ejemplo, las direcciones URL definidas en Topology Builder como cs.contoso.com/dialin y cs.contoso.com/meet podrían compartir una única regla de publicación y el certificado con un nombre de sujeto de cs.contoso.com. Para obtener más información, consulte Opciones de dirección URL sencilla.
Nota
En la tabla siguiente se muestra una segunda entrada SIP en la lista de nombres alternativos de sujeto a modo de referencia. Para cada dominio SIP de la organización, es necesario que aparezca un FQDN correspondiente en la lista de nombres alternativos de sujeto del certificado.
.gif "important") Importante: |
|---|
| El certificado público usado en las interfaces perimetrales debe crearse como certificado exportable y el mismo certificado debe asignarse a cada servidor perimetral del grupo de servidores. |
Certificados necesarios para una topología perimetral consolidada escalada (con equilibrio de carga DNS)
| Componente | Nombre de sujeto | Entradas de nombre alternativo de sujeto/orden | Entidad de certificación (CA) | Uso mejorado de clave (EKU) | Comentarios |
|---|---|---|---|---|---|
Topología perimetral consolidada escalada |
sip.contoso.com |
webcon.contoso.com sip.contoso.com sip.fabrikam.com |
Pública |
Servidor* |
Asignar a los siguientes roles de servidor perimetral en cada servidor del grupo de servidores perimetrales: Interfaz externa: Servidor perimetral de acceso SIP Servidor perimetral de conferencia web Servidor perimetral A/V |
Topología perimetral consolidada escalada |
lsedge.contoso.net |
N/D |
Privada |
Servidor |
Asignar al siguiente rol de servidor perimetral: Interfaz interna: Servidor perimetral |
Proxy inverso |
lsweb-ext.contoso.com |
lsweb-ext.contoso.com dialin.contoso.com meet.contoso.com lyncdiscover.contoso.com lyncdiscover.fabrikam.com (Enfoque opcional usando el certificado de comodín): *.contoso.com *.fabrikam.com |
Pública |
Servidor |
Expansión de grupos de distribución de la libreta de direcciones y reglas de publicación de dispositivo IP de Lync. El nombre alternativo de sujeto incluye: FQDN de servicios web externos Conferencia de acceso telefónico local Regla de publicación de reunión en línea Movilidad El carácter comodín sustituye tanto la SAN de reuniones, como de marcado |
Grupo de servidores del próximo salto (en Front End 01) |
pool01.contoso.net (en Front End 01) |
sip.contoso.com sip.fabrikam.com lsweb.contoso.net admin.contoso.com dialin.contoso.com meet.contoso.com fe01.contoso.net pool01.contoso.net lyncdiscoverinternal.contoso.com lyncdiscoverinternal.fabrikam.com (Enfoque opcional usando el certificado de comodín): *.contoso.com *.fabrikam.com |
Privada |
Servidor |
Asignar a los siguientes servidores y roles del grupo de servidores del próximo salto: Front End 01 en Pool01 El carácter comodín sustituye la SAN de administración, reuniones y marcado |
Grupo de servidores del próximo salto (en Front End 02) |
pool01.contoso.net (en Front End 02) |
sip.contoso.com sip.fabrikam.com lsweb.contoso.net admin.contoso.com dialin.contoso.com meet.contoso.com fe02.contoso.net pool01.contoso.net lyncdiscoverinternal.contoso.com lyncdiscoverinternal.fabrikam.com (Enfoque opcional usando el certificado de comodín): *.contoso.com *.fabrikam.com |
Privada |
Servidor |
Asignar a los siguientes servidores y roles del grupo de servidores del próximo salto: Front End 02 en Pool01 El carácter comodín sustituye la SAN de administración, reuniones y marcado |
* Se requiere EKU de cliente si se habilita conectividad pública a Internet con AOL.