Edgeserver-Systemanforderungen in Skype for Business Server

  • Artikel

Zusammenfassung: Erfahren Sie mehr über die Systemanforderungen für Edgeserver in Skype for Business Server.

Wenn es um Ihre Skype for Business Server Edgeserverbereitstellung geht, müssen Sie dies für den Server oder die Server tun, die sich in der Umgebung selbst befinden, sowie für die Umgebungsstruktur planen. Für weitere Informationen zu den Punkten Topologie, DNS, Zertifikate und zu weiteren Infrastrukturfragen, prüfen Sie die Dokumentation zu den Umgebungsanforderungen.

Komponenten

Bei der Diskussion über die Edgeserverumgebung verweisen wir auf Komponenten, die größtenteils in einem Umkreisnetzwerk bereitgestellt werden (d. a. in einer Arbeitsgruppe oder einer Domäne, die sich außerhalb Ihrer Skype for Business Server Domänenstruktur befindet).

Denken Sie daran, dass Sie die folgenden Komponenten benötigen, um Ihren Edgeserver erfolgreich bereitzustellen:

  • Edge Servers

  • Reverse proxies

  • Firewalls

  • Directors (diese sind optional und werden auf Ihrem internen Netzwerk befinden, falls sie enthalten sind)

  • Load Balancer (Sie können einen DNS-Lastenausgleich oder einen Hardwarelastenausgleich (HARDWARE Load Balancer, HLB) verwenden, aber für einen einzelnen Edgeserver ist dies nicht erforderlich.

Zu jedem der unteren Punkte gibt es weitere Details:

Edgeservers

Dies sind die Skype for Business Server, die in Ihrer Umkreisumgebung bereitgestellt werden. Ihre Rolle besteht darin, Netzwerkdatenverkehr für die Dienste, die von Ihrer internen Skype for Business Server-Bereitstellung angeboten werden, an externe Benutzer zu senden und zu empfangen. Um dies erfolgreich zu tun, führt jeder Edgeserver Folgendes aus:

  • Access Edge-Dienst: Stellt einen einzelnen vertrauenswürdigen Verbindungspunkt für ausgehenden und eingehenden SIP-Datenverkehr (Session Initiation Protocol) bereit.

  • Webkonferenz-Edgedienst: Ermöglicht externen Benutzern die Teilnahme an Besprechungen, die in Ihrer internen Skype for Business Server-Umgebung gehostet werden.

  • A/V Edge-Dienst: Macht Audio, Video, Anwendungsfreigabe und Dateiübertragung für externe Benutzer verfügbar.

  • XMPP-Proxydienst: Akzeptiert und sendet erweiterbare XMPP-Nachrichten (Messaging and Presence Protocol) an und von konfigurierten XMPP-Verbundpartnern.

Autorisierte externe Benutzer können Ihre Edgeserver verwenden, um eine Verbindung mit Ihrer internen Skype for Business Server-Bereitstellung herzustellen. Andernfalls bieten sie niemandem anderen Zugriff auf Ihr internes Netzwerk.

Hinweis

Edgeserver werden bereitgestellt, um Verbindungen für aktivierte Skype for Business Clients und andere Edgeserver (in Verbundszenarien) bereitzustellen. Sie können keine Verbindungen von anderen Endpunktclients oder Servertypen herstellen. Der XMPP-Gatewayserver kann für die Verbindungen mit konfigurierten XMPP-Partnern eingesetzt werden. Denken Sie daran, dass dies die einzigen Client- und Verbundtypen sind, die funktionieren.

Hinweis

XMPP-Gateways und Proxys sind in Skype for Business Server 2015 verfügbar, werden aber in Skype for Business Server 2019 nicht mehr unterstützt. Weitere Informationen finden Sie unter Migrieren des XMPP-Verbunds .

Reverseproxys

Ein Reverseproxyserver (RP) hat keine Skype for Business Server Rolle, ist aber eine wesentliche Komponente einer Edgeserverbereitstellung. Ein Reverseproxy ermöglicht externen Benutzern Folgendes:

  • Die Teilnahme an Besprechungen oder Einwahlkonferenzen über einfache URLs.

  • Das Herunterladen von Besprechungsinhalten.

  • Das Erweitern von Verteilergruppen.

  • Das Erhalten von benutzerbasierten Zertifikaten für die auf Clientzertifikaten basierenden Authentifizierungen.

  • Laden Sie Dateien vom Adressbuchserver herunter, oder senden Sie Abfragen an den Adressbuch-Webabfragedienst.

  • Das Abrufen von Updates für Client- und Gerätesoftware.

Und für mobile Geräte:

  • sie ermöglicht es ihnen, Front-End-Server, die Mobilitätsdienste anbieten, automatisch zu ermitteln.

  • Es ermöglicht Pushbenachrichtigungen von Microsoft 365 oder Office 365 an mobile Geräte.

Unsere aktuellen Reverseproxyempfehlungen finden Sie auf der Seite Telefonieinfrastruktur für Skype for Business. Ihr Reverseproxy:

  • TLS (Transport Layer Security)-Verbindungen zu verwenden, die in Ihrer Umgebung über öffentliche Zertifikate bereitgestellt werden, um eine Verbindung mit den folgenden veröffentlichten externen Webdiensten herzustellen:

    • Director- oder Director-Pool

    • Front-End-Server oder Front-End-Pool

  • Interne Websites mithilfe von Zertifikaten für die Verschlüsselung zu veröffentlichen oder diese bei Bedarf unverschlüsselt zu veröffentlichen.

  • Eine intern gehostete Website extern mit einem voll qualifizierten Domänennamen (FQDN) zu veröffentlichen.

  • Alle Inhalte Ihrer gehosteten Website zu veröffentlichen. Standardmäßig können Sie die /\*-Direktive verwenden, die von den meisten Webservern als "Alle Inhalte auf dem Webserver veröffentlichen" erkannt wird. Sie können auch die Direktive ändern, z. B . "/Uwca/\*", was "Veröffentlichen des gesamten Inhalts im virtuellen Verzeichnis Ucwa" bedeutet.

  • TLS-Verbindungen mit Clients voraussetzen, die Inhalte von Ihrer veröffentlichten Website anfordern.

  • Zertifikate zu akzeptieren, die über „SAN-Einträge“ (alternative Antragstellernamen) verfügen.

  • Die Zertifikatbindung an Listener oder Schnittstellen zu erlauben, über die der externe Webdienste-FQDN aufgelöst wird. Listenerkonfigurationen sind Schnittstellen vorzuziehen. Viele Listener können in einer einzelnen Schnittstelle konfiguriert werden.

  • Die Konfiguration der Hostheaderbehandlung zuzulassen. Häufig muss der ursprüngliche Hostheader, der vom anfordernden Client gesendet wurde, transparent übergeben werden, anstatt vom Reverseproxy geändert zu werden.

  • Das Überbrücken des TLS-Datenverkehrs von einem extern definierten Port (z. B. TCP 443) zu einem anderen definierten Port (z. B. TCP 4443) zu erlauben. Ihr Reverseproxy kann das Paket beim Empfang entschlüsseln und das Paket dann beim Senden erneut verschlüsseln.

  • Das Überbrücken des unverschlüsselten TCP-Datenverkehrs von einem Port (z. B. TCP 80) zu einem anderen Port (z. B. TCP 8080) zu erlauben.

  • Konfiguration von NTLM-Authentifizierung, keiner Authentifizierung und Pass-Through-Authentifizierung zu erlauben oder zu akzeptieren.

Wenn Ihr Reverseproxy alle Anforderungen in dieser Liste erfüllen kann, sollten Sie losgehen, aber beachten Sie bitte unsere Empfehlungen unter dem oben angegebenen Link.

Firewalls

Sie müssen Ihre Edge-Bereitstellung hinter einer externen Firewall platzieren, aber es wird empfohlen, zwei Firewalls zu verwenden, eine externe und eine interne zwischen der Edge-Umgebung und Ihrer internen Umgebung. Die gesamte Dokumentation in unseren Szenarien enthält zwei Firewalls. Wir empfehlen zwei Firewalls, da damit ein striktes Routing von einem Netzwerkrand zum anderen gewährleistet wird und der Firewallschutz für Ihr internes Netzwerk verdoppelt wird.

Directors

Dies ist eine optionale Rolle. Es kann sich um einen einzelnen Server oder einen Pool von Servern handeln, auf denen die Rolle "Director" ausgeführt wird. Es handelt sich um eine Rolle in der internen Skype for Business Server Umgebung.

Der Director ist ein interner Server des nächsten Hops, der eingehenden SIP-Datenverkehr von den Edgeservern empfängt, der für Skype for Business Server interne Server bestimmt ist. Er authentifiziert vorab eingehende Anfragen und leitet diese an den Home-Pool oder Server eines Benutzers weiter. Diese Vorabauthentifizierung erlaubt es Ihnen, Anfragen von unbekannten Nutzerkontos zu verwerfen.

Warum ist das von Bedeutung? Eine wichtige Funktion für einen Director besteht darin, Standard Edition-Server und Front-End-Server oder Front-End-Pools vor böswilligem Datenverkehr wie Denial-of-Service-Angriffen (DoS) zu schützen. Wenn Ihr Netzwerk mit ungültigem externem Datenverkehr überflutet wird, wird der Datenverkehr beim Director angehalten.

Lastenausgleichsysteme

Die Skype for Business Server skalierte konsolidierte Edgetopologie ist für den DNS-Lastenausgleich für neue Bereitstellungen optimiert. Dies wird empfohlen. Wenn Sie Hochverfügbarkeit benötigen, empfehlen wir die Verwendung eines Hardwarelastenausgleichs für eine bestimmte Situation:

  • Exchange UM für Remotebenutzer, die Exchange UM vor Exchange 2013 verwenden.

Wichtig

Es ist wichtig, zu beachten, dass Sie Lastenausgleichssysteme nicht miteinander kombinieren können. In Ihrer Skype for Business Server-Umgebung müssen alle Schnittstellen entweder DNS oder HLB verwenden.

Hinweis

Direct Server Return (DSR) NAT wird für Skype for Business Server nicht unterstützt.

Hardwarelastenausgleichsanforderungen für Edgeserver-Edgeserver, auf denen der A/V-Edgedienst ausgeführt wird

Für alle Edgeserver, auf denen der A/V-Edgedienst ausgeführt wird, gelten die folgenden Anforderungen:

  • Deaktivieren Sie den Nagle-Algorithmus für TCP sowohl für den internen als auch für den externen Port 443 (der Nagle-Algorithmus fasst mehrere kleine Pakete für eine effizientere Übermittlung zu einem einzigen, größeren Paket zusammen).

  • Deaktivieren Sie den Nagle-Algorithmus für TCP für den Bereich der externen Ports 50000 bis 59999.

  • Verwenden Sie keine Netzwerkadressenübersetzung (NAT) für Ihre interne oder externe Firewall.

  • Ihre interne Edge-Schnittstelle muss sich in einem anderen Netzwerk als die externe Edgeserverschnittstelle befinden, und das Routing zwischen ihnen muss deaktiviert sein.

  • Die externe Schnittstelle eines Edgeservers, auf dem der A/V-Edgedienst ausgeführt wird, muss öffentlich routingfähige IP-Adressen und keine NAT- oder Portübersetzung für eine der externen Edge-IP-Adressen verwenden.

HLB-Anforderungen

Skype for Business Server hat nicht viele Cookie-basierte Affinitätsanforderungen. Daher müssen Sie keine cookiebasierte Persistenz verwenden, es sei denn (und dies ist Skype for Business Server 2015-spezifisch) Sie verwenden Lync Server 2010-Front-End-Server oder Front-End-Pools in Ihrer Skype for Business Server-Umgebung. Sie benötigen cookiebasierte Affinität in der für Lync Server 2010 empfohlenen Konfigurationsmethode.

Hinweis

Wenn Sie sich dafür entscheiden, die cookiebasierte Affinität für Ihre Hardware zum Lastenausgleich (HLB) zu aktivieren, können Sie dies problemlos tun, selbst wenn es für Ihre Umgebung nicht notwendig ist.

Wenn Ihre Umgebung keine cookiebasierte Affinität benötigt:

  • Legen Sie in der Reverseproxy-Veröffentlichungsregel für Port 443 Hostheader weiterleiten auf True fest. Dadurch wird sichergestellt, dass die ursprüngliche URL weitergeleitet wird.

Für Bereitstellungen, in denen die cookiebasierte Affinität verwendet wird:

  • Legen Sie in der Reverseproxy-Veröffentlichungsregel für Port 443 Hostheader weiterleiten auf True fest. Dadurch wird sichergestellt, dass die ursprüngliche URL weitergeleitet wird.

  • Das Hardware load balancer-Cookie darf nicht als httpOnly gekennzeichnet sein.

  • Das Hardware load balancer-Cookie darf keine Ablaufzeit aufweisen.

  • Das Hardwarelastenausgleichscookies mussMS-WSMAN heißen (dies ist der Wert, den die Webdienste erwarten, und er kann nicht geändert werden).

  • Das Hardware-Load Balancer-Cookie muss in jeder HTTP-Antwort festgelegt werden, für die die eingehende HTTP-Anforderung kein Cookie enthielt, unabhängig davon, ob eine vorherige HTTP-Antwort für dieselbe TCP-Verbindung ein Cookie erhalten hat. Wenn Ihr Hardwarelastenausgleich das Einfügen von Cookies so optimiert, dass nur einmal pro TCP-Verbindung erfolgt, darf diese Optimierung nicht verwendet werden.

Hinweis

Es ist typisch, dass HLB-Konfigurationen Quellaffinität und eine TCP-Sitzungsdauer von 20 Minuten verwenden, was für Skype for Business Server und deren Clients in Ordnung ist, da der Sitzungszustand über die Clientnutzung und/oder Anwendungsinteraktion beibehalten wird.

Wenn Sie mobile Geräte bereitstellen, muss Ihr Hardwaregerät zum Lastenausgleich in der Lage sein, einen Lastenausgleich für eine einzelne Anforderung in einer TCP-Sitzung vorzunehmen (tatsächlich muss es möglich sein, einen Lastenausgleich für eine einzelne Anforderung basierend auf der Ziel-IP-Adresse vorzunehmen).

Wichtig

F5-Hardwaregeräte zum Lastenausgleich sind mit einer Funktion namens „OneConnect“ ausgestattet. Sie stellt sicher, dass für jede Anforderung in einer TCP-Verbindung ein individueller Lastenausgleich vorgenommen wird. Wenn Sie mobile Geräte bereitstellen, stellen Sie sicher, dass der Hersteller des Hardwaregeräts für den Lastenausgleich dieselbe Funktion unterstützt. Für die neuesten mobilen Apps von Apple iOS ist Transport Layer Security (TLS) Version 1.2 erforderlich. F5 stellt hierfür bestimmte Einstellungen bereit.

Hier sind die HLB-Anforderungen für die (optionalen) Director- und (erforderlich) Front-End-Pool-Webdienste:

  • Legen Sie für Ihre internen Webdienst-VIPs Source_addr Persistenz (interner Port 80, 443) auf Ihrem HLB fest. Für Skype for Business Server bedeutet Source_addr Persistenz, dass mehrere Verbindungen von einer einzelnen IP-Adresse immer an einen Server gesendet werden, um den Sitzungszustand beizubehalten.

  • Verwenden Sie ein TCP-Leerlauftimeout von 1.800 Sekunden.

  • Erstellen Sie in der Firewall zwischen Ihrem Reverseproxy und dem HLB Ihres nächsten Hoppools eine Regel, um https: Datenverkehr an Port 4443 von Ihrem Reverseproxy zu Ihrem HLB zuzulassen. Das HLB muss für die Überwachung der Ports 80, 443 und 4443 konfiguriert werden.

Zusammenfassung der HLB-Affinitätsanforderungen

Client-/Benutzerstandort Affinitätsanforderungen an den externen Webdienste-FQDN Affinitätsanforderungen an den internen Webdienste-FQSN
Skype for Business-Web-App (interne und externe Benutzer)
Mobiles Gerät (interne und externe Benutzer)
 Keine Affinität
 Quelladressenaffinität
Skype for Business-Web-App (nur externe Benutzer)
Mobiles Gerät (interne und externe Benutzer)
 Keine Affinität
 Quelladressenaffinität
Skype for Business-Web-App (nur interne Benutzer)
Mobiles Gerät (nicht bereitgestellt)
 Keine Affinität
 Quelladressenaffinität

Portüberwachung für Hardwaregeräte zum Lastenausgleich

Sie definieren die Portüberwachung auf Ihren Hardwarelastenausgleichsmodulen, um zu ermitteln, wann bestimmte Dienste aufgrund eines Hardware- oder Kommunikationsfehlers nicht mehr verfügbar sind. Wenn beispielsweise der Front-End-Serverdienst (RTCSRV) beendet wird, weil der Front-End-Server oder Der Front-End-Pool ausfällt, sollte die HLB-Überwachung auch den Empfang von Datenverkehr für die Webdienste beenden. Sie sollten die HLB-Portüberwachung implementieren, um Folgendes für die externe Schnittstelle Ihres HLBs zu überwachen:

Virtuelle IP/Port Knoten Port Knoten Computer/Monitor Persistenzprofil Hinweise
<pool>web_mco_443_vs
443
 4443
 Front-End
5061
 Keine
 HTTPS
<pool>web_mco_80_vs
80
 8080
 Front-End
5061
 Keine
 HTTP

Hardware- und Softwareanforderungen

Wir haben die Hardware- und Softwareanforderungen für Edgeserver in unseren allgemeinen Serveranforderungen für Skype for Business Server 2015 und Systemanforderungen für Skype for Business Server 2019 behandelt.

Kollokation

Wir haben die Edgeserverkollocation in unseren Topologiegrundlagen für Skype for Business Server Dokumentation behandelt.