Anforderungen für den AutoErmittlungsdienst

 

Letztes Änderungsdatum des Themas: 2011-11-23

Der Microsoft Lync Server 2010-AutoErmittlungsdienst wird auf Director- und Front-End-Poolservern ausgeführt. Ist der AutoErmittlungsdienst in DNS veröffentlicht, kann er von mobilen Geräten, auf denen Microsoft Lync 2010 ausgeführt wird, zum Suchen von Mobilitätsdiensten verwendet werden. Bevor mobile Geräte, auf denen Lync 2010 ausgeführt wird, den AutoErmittlungsdienst nutzen können, müssen die Listen mit den alternativen Zertifikatantragstellernamen auf jedem Director- und Front-End-Server geändert werden, auf dem der AutoErmittlungsdienst ausgeführt wird. Zudem kann es notwendig sein, die Liste der alternativen Antragstellernamen für Zertifikate zu ändern, die von Veröffentlichungsregeln für externe Webdienste auf Reverseproxys verwendet werden.

Ausführliche Informationen zu den Einträgen für alternative Antragstellernamen, die für Directors, Front-End-Server und Reverseproxys erforderlich sind, finden Sie unter Technische Anforderungen für die Mobilität im Abschnitt zur Mobilitätsplanung.

Die Entscheidung, ob auf Reverseproxys alternative Antragstellernamen verwendet werden sollen, basiert darauf, ob Sie den AutoErmittlungsdienst an Port 80 oder an Port 443 veröffentlichen:

• Veröffentlicht an Port 80   Es sind keine Zertifikatänderungen erforderlich, wenn die anfängliche Abfrage des AutoErmittlungsdiensts über den Port 80 erfolgt. Dies ist darauf zurückzuführen, dass mobile Geräte, auf denen Lync ausgeführt wird, extern auf den Reverseproxy an Port 80 zugreifen und dann intern an einen Director oder Front-End-Server an Port 8080 umgeleitet werden. Detaillierte Informationen finden Sie im Abschnitt "Anfänglicher AutoErmittlungsprozess über Port 80" weiter unten in diesem Thema.

• Veröffentlicht an Port 443   Die Liste der alternativen Antragstellennamen für Zertifikate, die von der Veröffentlichungsregel für externe Webdienste verwendet werden, müssen einen lyncdiscover.-Eintrag für jede SIP-Domäne in der Organisation enthalten.

Das erneute Ausstellen von Zertifikaten mit einer internen Zertifizierungsstelle ist normalerweise ein einfacher Vorgang. Aber bei öffentlichen Zertifikaten, die für die Webdienst-Veröffentlichungsregel verwendet werden, kann das Hinzufügen mehrerer alternativer Antragstellernamen aufwendig sein. Zur Umgehung dieses Problems wird die anfängliche Verbindung der automatischen Ermittlung über Port 80 unterstützt, die dann an Port 8080 für den Director- oder Front-End-Pool umgeleitet wird.

Angenommen, ein mobiler Client, auf dem Lync ausgeführt wird, ist für die Anmeldung an Lync mittels automatischer Ermittlung über HTTP für die erste Anforderung konfiguriert.

Anfänglicher AutoErmittlungsprozess über Port 80

1. Das mobile Gerät, auf dem Lync ausgeführt wird, schlägt "lyncdiscover.contoso.com" über DNS nach, wenn ein A-Eintrag vorhanden ist.

2. Der externe DNS-Eintrag gibt die IP-Adresse für "lsweb-ext.contoso.com" (131.107.155.40) an den Client zurück.

3. Das mobile Gerät, auf dem Lync ausgeführt wird, sendet die Anforderung "http://lyncdiscover.contoso.com?sipuri=lyncUser1@contoso.com" an 131.107.155.40.

4. Die Webveröffentlichungsregel überbrückt die Anforderung von Port 80 (extern) an Port 8080 (intern), wodurch sie dann entweder an einen Director- oder Front-End-Pool weitergeleitet wird.

   Da es sich um eine HTTP- und keine HTTPS-Anforderung handelt, sind keine Änderungen am Zertifikat der Veröffentlichungsregel für externe Webdienste erforderlich, damit der AutoErmittlungsdienst unterstützt wird.

5. Der AutoErmittlungsdienst gibt die externen Webdienst-URLs (im HTTPS-Format) zurück.

6. Das mobile Gerät, auf dem Lync ausgeführt wird, kann dann erneut eine Verbindung mit dem Reverseproxy an Port 443 herstellen und wird dann über Port 4443 an den Mobilitätsdienst umgeleitet, der im Home-Pool des Benutzers ausgeführt wird.

   Da die HTTPS-Abfrage an die externe Webdienste-URL und nicht an die AutoErmittlungsdienst-URL gerichtet ist, ist sie erfolgreich, da das Zertifikat bereits Einträge für alternative Antragstellernamen der externen Webdienste-FQDNs enthalten sollte.

   In diesem Szenario sind zur Unterstützung der Mobilität keine Zertifikatänderungen erforderlich.

   Hinweis:

   Wenn der Zielwebserver über ein Zertifikat verfügt, das weder einen Antragstellernamen noch einen alternativen Antragstellernamen besitzt, der mit "lyncdiscover.contoso.com" übereinstimmt: a.   Der Webserver antwortet mit "Server Hello" und ohne Zertifikat. b.   Das mobile Gerät, auf dem Lync ausgeführt wird, beendet die Sitzung umgehend. Wenn der Zielwebserver über ein Zertifikat verfügt, das "lyncdiscover.contoso.com" entweder als Antragstellernamen oder als alternativen Antragstellernamen enthält: a.   Der Webserver antwortet mit "Server Hello" und einem Zertifikat. b.   Das mobile Gerät, auf dem Lync ausgeführt wird, überprüft das Zertifikat und schließt den Handshake ab.

Zur Unterstützung einer anfänglichen Verbindung mit dem AutoErmittlungsdienst über Port 80 auf dem Reverseproxyserver können Sie eine HTTP-Veröffentlichungsregel erstellen, die dem folgenden Beispiel einer Webveröffentlichungsregel für einen Threat Management Gateway-Reverseproxy ähnelt:

1. Erstellen Sie eine neue Webveröffentlichungsregel (beispielsweise Lync Server-AutoErmittlung (HTTP)).

2. Geben Sie in Öffentlicher Name "lyncdiscover.contoso.com" ein.

3. Wählen Sie auf der Registerkarte Bridging nur die Option zum Überbrücken von Anforderungen von Port 80 zu Port 8080 aus.

4. Wählen Sie auf der Registerkarte Authentifizierung die Option Keine Authentifizierung und Keine Delegierung, keine direkte Authentifizierung des Clients aus.

5. Übernehmen Sie die Änderungen, und verschieben Sie die Regel in der Liste der Lync-Regeln nach oben (erste Position in der Verarbeitungsreihenfolge).