适用于:
2015 2019 订阅版
对于灾难恢复,Skype for Business Server在池出现故障时提供与故障转移的池配对。
对于 Skype for Business Server 中最可靠的灾难恢复选项,请在两个地理位置分散的站点上部署前端池对。 每个站点包含一个前端池,该池与另一个站点中的相应前端池配对。 这两个站点都处于活动状态,并且备份服务提供了实时数据复制以保持池同步。 如果要实现前端池配对,请参阅在 Skype for Business Server 中部署配对的前端池以实现灾难恢复。
如果某个站点中的池出现故障,则您可以将用户从该前端池故障转移到另一个站点中的池,然后可向两个池中的所有用户提供服务。 出于容量规划目的,每个池应设计为在发生灾难时处理两个池中所有用户的工作负荷。
包括互相配对的前端池的两个数据中心之间没有距离限制。 建议使用位于相同世界区域的两个数据中心,并在两者之间建立高速链接。
在全球区域拥有两个数据中心是可能的,但如果发生灾难,可能会造成更大的数据丢失,因为数据复制存在延迟。
当您计划对池进行配对时,必须谨记仅支持以下配对法:
Enterprise Edition 池仅能与其他 Enterprise Edition 池进行配对。 同样,Standard Edition 池仅能与其他 Standard Edition 池进行配对。
物理池仅能与其他物理池配对。 同样,虚拟池仅能与其他虚拟池配对。
配对的池必须运行相同的基本操作系统。
拓扑生成器和拓扑验证均不禁止以不遵循这些建议的方式配对两个池。 例如,拓扑生成器允许您将 Enterprise Edition 池与 Standard Edition 池进行配对。 但是,不支持这些类型的配对。
备份注册器关系和 Survivable Branch Appliance
除了提供灾难恢复功能外,两个配对的池彼此用作对方的备份注册器。 每个池只能是另一个前端池的备份。
即使两个前端池之间的备份关系必须为 1:1 和对称,每个前端池仍可作为任意数量的 Survivable Branch Appliance 的备份注册器。
Skype for Business不会将灾难恢复支持扩展到驻留在 Survivable Branch 设备上的用户。 如果用作 Survivable Branch Appliance 备份的前端池关闭,那么即使在驻留在前端池上的用户故障转移到备份前端池之后,登录 Survivable Branch Appliance 的用户也会进入恢复能力模式。
池故障转移和池故障回复的恢复时间
对于池故障转移和池故障回复,恢复时间目标 (RTO) 的工程目标为 15-20 分钟。 这是管理员确定存在灾难并启动故障转移过程之后,故障转移发生所需的时间。 它不包括管理员评估情况和做出决策的时间,也不包括用户在故障转移完成后再次登录的时间。
对于池故障转移和池故障回复,恢复点目标 (RPO) 的工程目标为 5 分钟。 这表示测量可能因灾难、因备份服务的复制延迟丢失的数据的时间。 例如,如果池在上午 10:00 关闭,而 RPO 为 5 分钟,则从上午 9:55 到上午 10:00 写入池的数据可能尚未复制到备份池,并且会丢失。
本文档中的所有 RTO 和 RPO 数字均假定两个数据中心位于同一在两个网站间具有高速度、低延迟传输的世界区域中。 对于具有 40,000 个并发活动用户和 200,000 个启用了Skype for Business的池,对于没有积压数据复制的预定义用户模型,测量这些数字。 它们可能会根据性能测试和验证而更改。
中央管理存储故障转移
中央管理存储包含有关部署中的服务器和服务的配置数据。 每个Skype for Business Server部署都包含一个中央管理存储,该存储由一个前端池的后端服务器托管。
如果对承载中央管理存储的池进行配对,备份池中将会设置一个备份中央管理存储数据库。 在任意时刻,两个中央管理存储数据库中总有一个处于活动状态,另一个处于备用状态。 备份服务会将内容从主动数据库复制到备用数据库。
在包含承载中央管理存储的池故障转移期间,您必须先对中央管理存储进行故障转移,然后再对前端池进行故障转移。
修复灾难后,无需故障回复中央管理存储。 中央管理存储可以保留在作为故障转移目标的池中。
中央管理存储故障转移的恢复时间目标 (RTO) 和恢复点目标 (RPO) 的工程目标均为 5 分钟。
前端池配对数据安全
备份服务会在两个成对的前端池之间连续传输用户数据和会议内容。 用户数据包含用户 SIP URI 和会议计划、联系人列表和设置。 会议内容包括Microsoft PowerPoint 上传和会议中使用的白板。
从源池中,此数据从本地存储导出、压缩,然后传输到目标池,并在目标池中解压缩并导入到本地存储。 备份服务假定两个数据中心之间的通讯链路位于公司网络内部,并且具有 Internet 保护。 它不会加密两个数据中心之间传输的数据,也不会将数据本机封装在安全协议(如 HTTPS)中。 因此,企业网络内部内部人员可能会进行中间人攻击。
任何跨多个数据中心部署Skype for Business Server并使用灾难恢复功能的企业都必须确保数据中心之间的流量受到其企业 Intranet 的保护。 关注内部攻击保护的企业必须保护数据中心之间的通讯链路。 这是一项标准要求,还有助于保护在数据中心之间传输的许多其他类型的公司敏感数据。
虽然企业网络中存在中间人攻击的风险,但与向 Internet 公开流量相比,它相对受控制。 尤其是,通过备份服务(如,SIP URI)公开的用户数据通过其他方法(例如,全局通讯簿或其他目录软件)通常可用于公司内的所有员工。 因此,当将备份服务用于复制两个成对池之间的数据时,重点应该是保护两个数据中心之间的 WAN。
减轻安全风险
可通过多种方式增强备份服务流量的安全保护。 范围从限制对数据中心的访问到保护两个数据中心之间的 WAN 传输。 在大多数情况下,部署Skype for Business Server的企业可能已具备所需的安全基础结构。 对于寻求指导的企业,Microsoft提供了一个解决方案作为如何构建安全 IT 基础结构的示例。 有关详细信息,请参阅 https://go.microsoft.com/fwlink/p/?LinkId=268544。
我们不暗示这是唯一的解决方案,也不暗示它是Skype for Business Server的首选解决方案。 我们建议企业客户根据其 IT 安全基础结构和要求选择适合其特定需要的解决方案套件。 例如,Microsoft 解决方案将 IPSec 和组策略应用于服务器和域隔离。
另一个可能的解决方案是仅使用 IPSec 来帮助保护由备份服务本身发送的数据。 如果选择此方法,您应该为以下服务器配置 SMB 协议的 IPSec 规则,其中,池 A 和池 B 是两个配对前端池。
SMB 服务 (TCP/445) 从池 A 中的每个前端服务器到由池 B 使用的文件存储。
SMB 服务 (TCP/445) 从池 B 中的每个前端服务器到由池 A 使用的文件存储。
谨慎
IPsec 不能替代应用程序级安全性,例如 SSL/TLS。 使用 IPsec 的一个优势是,可为现有应用程序提供网络流量安全,但无需更改它们。 想要仅保护两个数据中心之间的传输安全的企业应咨询各自的网络硬件供应商,了解如何使用供应商的设备设置安全 WAN 连接。