Requisitos do sistema do Edge Server em Skype for Business Server
Resumo: Saiba mais sobre os requisitos do sistema para o Edge Server no Skype for Business Server.
Quando se trata da implantação do Skype for Business Server Edge Server, essas são as coisas que você precisará fazer para o servidor ou servidores que estão no próprio ambiente, bem como planejar a estrutura do ambiente. Para obter mais informações sobre topologia, DNS, certificados e outras preocupações de infraestrutura, verifique a documentação de requisitos do ambiente.
Componentes
Ao discutir o ambiente do Edge Server, estamos fazendo referência a componentes que estão, em sua maioria, implantados em uma rede de perímetro (ou seja, está em um grupo de trabalho ou em um domínio que está fora de sua estrutura de domínio Skype for Business Server).
Com isso em mente, esses são os componentes nos quais você deverá prestar atenção para implantar sua Borda com êxito:
Directors (são opcionais e, se forem incluídos, ficarão localizados em sua rede interna)
Balanceadores de carga (você pode ter balanceamento de carga DNS ou um HLB (balanceador de carga de hardware), mas para um único Servidor do Edge, isso não é necessário)
Temos mais detalhes sobre cada um abaixo:
Servidores de Borda
Estes são os servidores Skype for Business implantados em seu ambiente de perímetro. Sua função é enviar e receber tráfego de rede para usuários externos para os serviços oferecidos pela implantação de Skype for Business Server interna. Para fazer isso com êxito, cada Servidor do Edge é executado:
Serviço do Access Edge: fornece um único ponto de conexão confiável para tráfego SIP (Protocolo de Iniciação de Sessão) de saída e de entrada.
Serviço do Web Conferencing Edge: permite que usuários externos participem de reuniões hospedadas em seu ambiente de Skype for Business Server interno.
Serviço A/V Edge: disponibiliza áudio, vídeo, compartilhamento de aplicativos e transferência de arquivos para usuários externos.
Serviço proxy XMPP: aceita e envia mensagens extensíveis de mensagens e protocolo de presença (XMPP) de e para parceiros federados do XMPP configurados.
Usuários externos autorizados podem usar seus Servidores do Edge para se conectar à implantação de Skype for Business Server interna, mas, caso contrário, eles não fornecem nenhum outro acesso à sua rede interna para ninguém.
Nota
Os Servidores de Borda são implantados para fornecer conexões para clientes Skype for Business habilitados e outros Servidores de Borda (em cenários de federação). Não é possível se conectar de outros tipos de servidor ou clientes de ponto de extremidade. O servidor de Gateway XMPP pode permitir conexões com parceiros XMPP configurados. Mas, mais uma vez, esses são os únicos tipos de federação e cliente que funcionam.
Nota
Os gateways e proxies XMPP estão disponíveis no Skype for Business Server 2015, mas não têm mais suporte no Skype for Business Server 2019. Consulte Migrando a federação XMPP para obter mais informações.
Proxies reversos
Um servidor de RP (proxy reverso) não tem Skype for Business Server função, mas é um componente essencial de uma implantação do Edge Server. Um proxy reverso permite que usuários externos:
conectem-se às reuniões ou conferências discadas usando URLs simples.
baixem o conteúdo da reunião.
expandam grupos de distribuição.
obtenham certificados com base no usuário para autenticação com base no certificado do cliente
baixe arquivos do Servidor de Catálogo de Endereços ou envie consultas para o serviço de Consulta Web do Catálogo de Endereços.
obtenham atualizações para software de dispositivo e cliente.
E, para dispositivos móveis:
ele permite que eles descubram automaticamente os Servidores front-end que oferecem serviços de mobilidade.
ele habilita notificações por push do Microsoft 365 ou Office 365 para dispositivos móveis.
Nossas recomendações atuais de proxy reverso podem ser encontradas na página Infraestrutura de Telefonia para Skype for Business. Portanto, seu proxy reverso:
deve estar apto a utilizar o protocolo TLS introduzido em seu ambiente por meio de certificados públicos para se conectar com os serviços da Web externos publicados do:
Pool de diretores ou diretores
Front-End Server ou pool front-end
deve ser capaz de publicar sites Web internos pelo uso de certificados para criptografia ou publicá-los por um meio não criptografado, se necessário.
deve ser capaz de publicar externamente um site Web hospedado internamente, pelo uso de um nome de domínio totalmente qualificado (FQDN).
deve ser capaz de publicar todos os conteúdos do site da Web hospedado. Por padrão, você pode usar a /\diretiva *, que é reconhecida pela maioria dos servidores Web para significar "Publicar todo o conteúdo no servidor Web". Você também pode modificar a diretiva , por exemplo, /Uwca/\*, que significa "Publicar todo o conteúdo no diretório virtual Ucwa".
deve exigir conexões TLS com clientes que solicitam conteúdo de seu site da Web publicado.
deve aceitar certificados com entradas de nomes de entidade alternativos (SAN).
deve ser capaz de permitir associação de um certificado a um ouvinte ou interface pela qual os serviços Web externos FQDN se resolverão. Configurações de ouvinte são preferíveis para interfaces. Muitos ouvintes podem ser configurados em uma única interface.
deve permitir a configuração de gerenciamento de cabeçalho do host. Geralmente, o cabeçalho de host original enviado pelo cliente solicitante deve ser passado de forma transparente, em vez de ser modificado pelo proxy reverso.
deve permitir ponte do tráfego SSL e TLS a partir de uma porta definida externamente (por exemplo, TCP 443) para outra porta definida (por exemplo, TCP 4443). Seu proxy reverso pode descriptografar o pacote no recibo e, em seguida, reenscriptografar o pacote no envio.
deve permitir ponte de tráfego TCP não criptografado a partir de uma porta (por exemplo, TCP 80) para outra (por exemplo, TCP 8080).
deve permitir (ou aceitar) a configuração da autenticação de NTLM, sem autenticação e autenticação de passagem.
Se o proxy reverso puder atender a todas as necessidades desta lista, você deverá estar pronto para ir, mas tenha em mente nossas recomendações no link fornecido acima.
Firewalls
Você precisa colocar a implantação de Borda por trás de um firewall externo, mas recomendamos ter dois firewalls: um externo e um interno entre o ambiente da Borda e seu ambiente interno. Toda a documentação de nossos Cenários terá dois firewalls. Recomendamos dois firewalls, pois isso garante o roteamento estrito de uma borda de rede para a outra e duplica a proteção de firewall para a sua rede interna.
Diretores
Esta é uma função opcional. Ele pode ser um único servidor ou um pool de servidores que executam a função Director. É uma função encontrada no ambiente de Skype for Business Server interno.
O Director é um servidor de próximo salto interno que recebe o tráfego SIP de entrada dos Servidores de Borda destinados a Skype for Business Server servidores internos. Ele pré-autentica as solicitações de entrada e as redireciona para o pool inicial do usuário ou servidor. Essa pré-autenticação permite ignorar solicitações de contas de usuário não identificadas.
Por que isso importa? Uma função importante para um Diretor é proteger servidores Standard Edition e servidores front-end ou pools front-end de tráfego mal-intencionado, como ataques do DoS (negação de serviço). Se sua rede estiver inundada com tráfego externo inválido, o tráfego será interrompido no Diretor.
Balanceadores de Carga
A topologia do Edge consolidada Skype for Business Server é otimizada para balanceamento de carga DNS para novas implantações e recomendamos isso. Se você precisar de alta disponibilidade, recomendamos usar um balanceador de carga de hardware para uma situação específica:
- Troque UM por usuários remotos usando o Exchange UM antes do Exchange 2013.
Importante
É importante observar que não é possível misturar balanceadores de carga. Em seu ambiente Skype for Business Server, todas as interfaces devem usar DNS ou HLB.
Nota
O NAT (retorno direto do servidor) não tem suporte para Skype for Business Server.
Requisitos do balanceador de carga de hardware para servidores edge do Edge Servers que executam o serviço A/V Edge
Para qualquer Servidor do Edge que execute o serviço A/V Edge, estes são os requisitos:
Desative o nagling de TCP para as portas interna e externa 443. Nagling é o processo de combinação de diversos pacotes pequenos em um único pacote maior para uma transmissão mais eficiente.
Desative o nagling de TCP para o intervalo de portas externas 50000 a 59999.
Não use NAT em seus firewalls internos ou externos.
Sua interface interna do Edge deve estar em uma rede diferente da interface externa do Edge Server e o roteamento entre eles deve ser desabilitado.
A interface externa de qualquer Servidor do Edge que execute o serviço A/V Edge deve usar endereços IP roteáveis publicamente e nenhuma tradução nat ou porta em qualquer um dos endereços IP externos do Edge.
Requisitos de HLB
Skype for Business Server não tem muitos requisitos de afinidade baseados em cookie. Portanto, você não precisa usar uma persistência baseada em cookie a menos que (e isso seja Skype for Business Server específico de 2015) você terá servidores front-end do Lync Server 2010 ou pools front-end em seu ambiente Skype for Business Server. Eles precisariam de afinidade baseada em cookie no método de configuração recomendado para o Lync Server 2010.
Nota
Se você decidir ativar a afinidade com base em cookies em seu HLB, não haverá problema, mesmo se não for necessário para seu ambiente.
Se seu ambiente não precisar de afinidade baseada em cookies:
- Na regra de publicação de proxy reverso para a porta 443, defina Cabeçalho de host Avançar como True. Isso garantirá que a URL original seja encaminhada.
Para implantações que precisarão de afinidade baseada em cookies:
Na regra de publicação de proxy reverso para a porta 443, defina Cabeçalho de host Avançar como True. Isso garantirá que a URL original seja encaminhada.
O cookie do balanceador de carga de hardware não deve ser marcado como httpOnly.
O cookie do balanceador de carga de hardware não deve ter um tempo de validade.
O cookie do balanceador de carga de hardware deve ser nomeado MS-WSMAN (esse é o valor esperado pelos serviços Web e não pode ser alterado).
O cookie do balanceador de carga de hardware deve ser definido em cada resposta HTTP para a qual a solicitação HTTP de entrada não tinha um cookie, independentemente de uma resposta HTTP anterior na mesma conexão TCP ter obtido um cookie. Se o balanceador de carga de hardware otimizar a inserção de cookie para ocorrer apenas uma vez por conexão TCP, essa otimização não deve ser usada.
Nota
É típico que as configurações do HLB usem afinidade de origem e tempo de vida da sessão TCP de 20 minutos, o que é bom para Skype for Business Server e seus clientes, pois o estado da sessão é mantido por meio do uso do cliente e/ou interação do aplicativo.
Se estiver implantando dispositivos móveis, o HLB deverá ser capaz de balancear a carga das solicitações individuais em uma sessão TCP (na verdade, você deve poder balancear a carga de uma solicitação individual com base no endereço IP de destino).
Importante
Os HLBs F5 têm um recurso chamado OneConnect. Ele garante que cada solicitação dentro de uma conexão TCP seja balanceada individualmente. Se você estiver implantando dispositivos móveis, verifique se seu fornecedor HLB dá suporte à mesma funcionalidade. Os aplicativos móveis iOS mais recentes exigem a versão 1.2 do TLS. Se você precisar saber mais, o F5 fornecerá configurações específicas para isso.
Aqui estão os requisitos do HLB para o (opcional) Director e (obrigatório) Serviços Web do pool front-end:
Para seus VIPs internos dos Serviços Web, defina Source_addr persistência (porta interna 80, 443) em seu HLB. Para Skype for Business Server, Source_addr persistência significa que várias conexões provenientes de um único endereço IP são sempre enviadas para um servidor, para manter o estado da sessão.
Use um tempo de ociosidade de TCP de 1.800 segundos.
No firewall entre o proxy reverso e o HLB do pool de salto seguinte, crie uma regra para permitir https: tráfego na porta 4443, do proxy reverso para o HLB. O HLB deve ser configurado para ouvir as portas 80, 443 e 4443.
Resumo dos requisitos de afinidade HLB
| Local do cliente/usuário | Requisitos de afinidade de FQDN de serviços Web externos | Requisitos de afinidade de FQDN de serviços Web internos |
|---|---|---|
| Skype for Business Web App (usuários internos e externos) Dispositivo móvel (usuários internos e externos) |
Sem afinidade |
Afinidade do endereço de origem |
| Skype for Business Web App (somente usuários externos) Dispositivo móvel (usuários internos e externos) |
Sem afinidade |
Afinidade do endereço de origem |
| Skype for Business Web App (somente usuários internos) Dispositivo móvel (não implantado) |
Sem afinidade |
Afinidade do endereço de origem |
Monitoramento de portas nos HLBs
Você define o monitoramento de porta em seus balanceadores de carga de hardware para determinar quando serviços específicos não estão mais disponíveis, devido a falha de hardware ou comunicação. Por exemplo, se o SERVIÇO do Servidor front-end (RTCSRV) for interrompido porque o pool do Front End Server ou front-end falhar, o monitoramento do HLB também deverá parar de receber tráfego nos Serviços Web. Implante o monitoramento de portas no HLB para monitorar o seguinte em sua interface externa do HLB:
| IP/porta virtual | Porta do nó | Máquina/monitor do nó | Perfil de persistência | Anotações |
|---|---|---|---|---|
| <pool>web_mco_443_vs 443 |
4443 |
Front-End 5061 |
Nenhum |
HTTPS |
| <pool>web_mco_80_vs 80 |
8080 |
Front-End 5061 |
Nenhum |
HTTP |
Requisitos de hardware e software
Abordamos os requisitos gerais de hardware e software do Edge Server em nossos requisitos gerais do Servidor para Skype for Business Server 2015 e requisitos do sistema para Skype for Business Server documentação de 2019.
Colocação
Abordamos a ordenação do Edge Server em nosso Topology Basics para Skype for Business Server documentação.