Requisitos del sistema del servidor perimetral en Skype Empresarial Server 2015Edge Server system requirements in Skype for Business Server 2015

Resumen: Obtenga información sobre los requisitos del sistema para el servidor perimetral en Skype para Business Server.Summary: Learn about the system requirements for Edge Server in Skype for Business Server.

En cuanto a su Skype para la implementación de servidor perimetral de Business Server, estas son las cosas que necesita hacer para el servidor o servidores que se encuentran en el entorno de sí mismo, así como planeación de la estructura del entorno.When it comes to your Skype for Business Server Edge Server deployment, these are the things you'll need to do for the server or servers that are in the environment itself, as well as planning for the environment structure. Para más información sobre las topologías, DNS, certificados y otros problemas de la infraestructura, compruebe la documentación sobre los requisitos del entorno.For more information on topology, DNS, certificates, and other infrastructure concerns, check out the environmental requirements documentation.

ComponentsComponents

Al describir el entorno de servidor perimetral, nos estamos haciendo referencia a componentes, en su mayor parte, implementados en una red perimetral (que es para decir es en un grupo de trabajo o un dominio que está fuera de su Skype para la estructura de dominio Business Server).When discussing the Edge Server environment, we're referencing components that are, for the most part, deployed in a perimeter network (that's to say it's either in a workgroup or a domain that's outside your Skype for Business Server domain structure).

Teniendo eso en cuenta, estos son los componentes que tiene que tener en cuenta para implementar el servidor perimetral correctamente:Keeping that in mind, these are the components you're going to need to keep in mind for deploying your Edge successfully:

Hay más información sobre cada uno de ellos a continuación:We have more detail on each of these below:

Servidores perimetralesEdge Servers

Éstos son el Skype para servidores empresariales implementados en el entorno perimetral.These are the Skype for Business servers deployed in your perimeter environment. Su función es enviar y recibir tráfico de red a los usuarios externos de los servicios ofrecidos por su Skype para la implementación de Business Server interno.Their role is to send and receive network traffic to external users for the services offered by your internal Skype for Business Server deployment. Para hacer esto correctamente, se ejecuta cada servidor perimetral:To do this successfully, each Edge Server runs:

  • El servicio de servidor perimetral de acceso: proporciona un punto de conexión único de confianza para el tráfico entrante y saliente de protocolo de inicio de sesión (SIP).Access Edge service: Provides a single, trusted connection point for both outbound and inbound Session Initiation Protocol (SIP) traffic.

  • Servicio perimetral de conferencia Web: permite a los usuarios externos puedan unirse a reuniones que se hospedan en su Skype para entorno Business Server interno.Web Conferencing Edge service: Enables external users to join meetings that are hosted on your internal Skype for Business Server environment.

  • A / servicio perimetral V: convierte el archivo de audio, vídeo, uso compartido de aplicaciones y transferir usuarios externos disponibles.A/V Edge service: Makes audio, video, application sharing and file transfer available to external users.

  • Servicio Proxy XMPP: acepta y envía mensajes (XMPP) de protocolo extensible de mensajería y presencia y de socios federados XMPP configurados.XMPP Proxy service: Accepts and sends extensible messaging and presence protocol (XMPP) messages to and from configured XMPP Federated partners.

Los usuarios externos autorizados pueden utilizar sus servidores de borde para conectarse a su Skype interno para la implementación de Business Server, pero en caso contrario, no proporcionan ningún otro acceso a la red interna para cualquier persona.Authorized external users can use your Edge Servers to connect to your internal Skype for Business Server deployment, but otherwise, they provide no other access to your internal network for anyone.

Nota

Se implementan servidores perimetrales para proporcionar conexiones de Skype habilitado para clientes de empresa y otros servidores de borde (en escenarios de federación).Edge Servers are deployed to provide connections for enabled Skype for Business clients and other Edge Servers (in federation scenarios). No se puede conectar desde otros tipos de cliente o servidor de punto final.You can't connect from other end point client or server types. El servidor de puerta de enlace de XMPP puede permitir conexiones con socios XMPP configurados.The XMPP Gateway server can allow connections with configured XMPP partners. Pero de nuevo, éstos son los únicos tipos de cliente y federación que funcionarán.But again, those are the only client and federation types that will work.

Proxies inversosReverse proxies

Un servidor proxy inverso (RP) no tiene ningún Skype para la función de servidor de la empresa, pero es un componente esencial de una implementación de servidor perimetral.A reverse proxy (RP) server has no Skype for Business Server role, but is an essential component of an Edge Server deployment. Un proxy inverso permite a los usuarios externos:A reverse proxy allows external users to:

  • conectarse a reuniones o conferencias de acceso telefónico local con direcciones URL sencillas.connect to meetings or dial-in conferences using simple URLs.

  • descargar el contenido de la reunión.download meeting content.

  • expandir grupos de distribución.expand distribution groups.

  • obtener certificados según usuarios para la autenticación según certificadosget user-based certificates for client certificate based authentication

  • descargar archivos desde el servidor de libreta de direcciones, o para enviar consultas al servicio de consulta Web de libreta de direcciones.download files from the Address Book Server, or to submit queries to the Address Book Web Query service.

  • obtener actualizaciones para software de clientes y dispositivos.obtain updates to client and device software.

Y para dispositivos móviles:And for mobile devices:

  • les permite descubrir automáticamente los servidores frontales que ofrece servicios de movilidad.it lets them automatically discover Front End Servers offering mobility services.

  • permite que las notificaciones de inserción desde Office 365 a los dispositivos móviles.it enables push notifications from Office 365 to mobile devices.

Nuestras recomendaciones de proxy inverso actual pueden encontrarse en la página de la Infraestructura de telefonía de Skype para el negocio .Our current reverse proxy recommendations can be found on the Telephony Infrastructure for Skype for Business page. Por lo que el proxy inverso:So your reverse proxy:

  • necesita poder usar la seguridad de la capa de transporte (TLS) que se introdujo en su entorno a través de certificados públicos para conectarse a los servicios web externos publicados de:should be able to use transport layer security (TLS) that's introduced to your environment via public certificates to connect to the published external Web services of:

    • Director o grupo de directoresDirector or Director pool

    • Grupo de servidor o Front-End frontalFront End Server or Front End pool

  • tiene que poder publicar sitios web internos con certificados para cifrado, o bien publicarlos con métodos sin cifrar, en caso necesario.needs to be able to publish internal Web sites using certificates for encryption, or publish them over an unencrypted means, if needed.

  • debe poder publicar externamente un sitio web hospedado de forma interna con su nombre de dominio completo (FQDN).should be able to publish an internally hosted web site externally by using a fully qualified domain name (FQDN).

  • tiene que poder publicar todo el contenido del sitio web hospedado.needs to be able to publish all the contents of your hosted web site. De forma predeterminada, puede utilizar el ** / ** directiva, que es reconocido por la mayoría de los servidores web para significar "Publicar todo el contenido en el servidor web".By default, you can use the /\* directive, which is recognized by most web servers to mean "Publish all content on the web server." También puede modificar la directiva, por ejemplo, /Uwca/\*, lo que significa "publica todo el contenido del directorio virtual Ucwa".You can also modify the directive—for example, /Uwca/\*, which means "Publish all content under the virtual directory Ucwa."

  • debe requerir conexiones TLS con los clientes que soliciten contenido desde su sitio web publicado.must require TLS connections with clients that request content from your published website.

  • debe aceptar certificados con entradas de nombre alternativo del firmante (SAN).has to accept certificates with subject alternative name (SAN) entries.

  • debe poder permitir el enlace de un certificado a una interfaz o agente de escucha a través del que se vaya a resolver el FQDN de servicios web externos. Se prefiere una configuración de agente de escucha a una de interfaz. Se pueden configurar varios agentes de escucha en una sola interfaz.needs to be able to allow the binding of a certificate to a listener or interface through which the external web services FQDN will resolve. Listener configurations are preferable to interfaces. Many listeners can be configured on a single interface.

  • necesita permitir la configuración de control de encabezados de host.must allow for the configuration of host header handling. A menudo, el encabezado de host original enviado por el cliente solicitante debe pasarse en forma transparente, en lugar de modificando el proxy inverso.Often, the original host header sent by the requesting client must be passed transparently, instead of being modified by the reverse proxy.

  • necesita permitir crear un puente de tráfico TLS desde un puerto definido externamente (por ejemplo, TCP 443) a otro puerto definido (por ejemplo, TCP 4443).should allow bridging of TLS traffic from one externally defined port (for example, TCP 443) to another defined port (for example, TCP 4443). El proxy inverso puede descifrar el paquete en el recibo y, a continuación, cifrar de nuevo el paquete de envío.Your reverse proxy may decrypt the packet on receipt and then reencrypt the packet on sending.

  • necesita poder crear un puente para el tráfico TCP no cifrado desde un puerto (TCP 80, por ejemplo) a otro (TCP 8080, por ejemplo).should allow bridging of unencrypted TCP traffic from one port (for example, TCP 80) to another (for example, TCP 8080).

  • tiene que permitir la configuración de los tipos de autenticación NTLM, Sin autenticación y Autenticación de paso a través, o aceptar estos tipos de autenticación.needs to allow configuration of, or accept, NTLM authentication, no authentication, and pass-through authentication.

Si el proxy inverso puede enfrentar todas las necesidades en esta lista, debe ser de buena a ir, pero tenga en cuenta nuestras recomendaciones en el vínculo anterior.If your reverse proxy can address all the needs in this list, you should be good to go, but please keep in mind our recommendations at the link provided above.

FirewallsFirewalls

Necesita poner la implementación perimetral tras un firewall externo, pero le recomendamos tener dos firewall, uno externo y otro interno entre el entorno perimetral y el entorno interno. Toda la documentación en nuestros escenarios tendrá dos firewall. Le recomendamos disponer de dos firewall porque así se asegura un enrutamiento estricto de un perímetro de red a otro y multiplica la protección de firewall para su red interna.You need to put your Edge deployment behind an external firewall, but we recommend having two firewalls, one external, and one internal between the Edge environment and your internal environment. All our documentation in our Scenarios will have two firewalls. We recommend two firewalls because it ensures strict routing from one network edge to the other, and doubles the firewall protection for your internal network.

DirectoresDirectors

Este es un rol opcional.This is an optional role. Puede ser un solo servidor o un grupo de servidores que ejecutan la función de Director.It can be a single server or a pool of servers running the Director role. Es una función que se encuentra en el Skype para entorno Business Server interno.It's a role found on the internal Skype for Business Server environment.

El Director es un servidor interno de salto siguiente que recibe el tráfico SIP entrante desde los servidores de borde al que se destina para los servidores internos de Business Server Skype.The Director is an internal next hop server which receives inbound SIP traffic from the Edge Servers that's destined for Skype for Business Server internal servers. Autentica previamente las solicitudes de entrada y las redirige a un servidor o grupo de servidores principales de un usuario.It preauthenticates inbound requests and redirects them to a user's home pool or server. Esta autenticación previa le permite eliminar solicitudes de cuenta de usuario no identificadas.This preauthentication allows you to drop unidentified user account requests.

¿Por qué importa?Why does that matter? Es una función importante para un Director proteger servidores Standard Edition y servidores frontales o agrupaciones de Front-End de tráfico malintencionado, como los ataques de denegación de servicio (DoS).An important function for a Director is to protect Standard Edition servers and Front End Servers or Front End pools from malicious traffic, such as denial-of-service (DoS) attacks. Si la red está desborda por el tráfico externo no válido, el tráfico se detiene en el Director.If your network is flooded with invalid external traffic, the traffic stops at the Director.

Equilibradores de cargaLoad Balancers

El Skype para Business Server 2015 escala consolidada topología de borde está optimizado para DNS equilibrio de carga para implementaciones nuevas y se recomienda esto.The Skype for Business Server 2015 scaled consolidated Edge topology is optimized for DNS load balancing for new deployments, and we recommend this. Si necesita alta disponibilidad, se recomienda utilizar un equilibrador de carga de hardware para una situación específica:If you need high availability, we recommend using a hardware load balancer for one specific situation:

  • Mensajería unificada de Exchange para los usuarios remotos con mensajería unificada de Exchange anteriores a Exchange de 2013.Exchange UM for remote users using Exchange UM prior to Exchange 2013.

Importante

Es fundamental que tenga en cuenta que no puede mezclar equilibradores de carga.It's vital to note that you can't mix load-balancers. En su Skype para entorno Business Server todas las interfaces deben utilizar DNS o HLB.In your Skype for Business Server environment all interfaces must use either DNS or HLB.

Nota

Servidor de Direct devolver NAT (DSR) no es compatible para Skype para Business Server 2015.Direct server return (DSR) NAT isn't supported for Skype for Business Server 2015.

requisitos de equilibrador de carga de hardware para ejecutar el borde servidores Edge servidores / servicio perimetral Vhardware load balancer requirements for Edge Servers Edge Servers running the A/V Edge service

De cualquier servidor de borde con el servicio de borde V, éstos son los requisitos:For any Edge Server running the A/V Edge service, these are the requirements:

  • Deshabilite la aplicación del algoritmo de Nagle TCP para los puertos 443 internos y externos. La aplicación del algoritmo de Nagle es la combinación de varios paquetes pequeños en un único paquete más grande para obtener una transmisión más eficiente.Turn off TCP nagling for both internal and external ports 443 (nagling is the process of combining several small packets into a single, larger packet for more efficient transmission).

  • Deshabilite la aplicación del algoritmo de Nagle TCP para el intervalo de puertos externos 50000 - 59999.Turn off TCP nagling for the external port range 50000 - 59999.

  • No use la NAT en los firewalls internos ni externos.Don't use NAT on your internal or external firewalls.

  • La interfaz interna del borde debe estar en una red distinta a la interfaz externa del servidor perimetral y se debe deshabilitar el enrutamiento entre ellos.Your Edge internal interface must be on a different network than your Edge Server external interface, and routing between them must be disabled.

  • La interfaz externa de cualquier servidor perimetral ejecuta el A / servicio V perimetral debe utilizar direcciones IP enrutables públicamente y no NAT o traducción en cualquiera de las direcciones IP externas de borde de puerto.The external interface of any Edge Server running the A/V Edge service must use publically routable IP addresses and no NAT or port translation on any of the Edge external IP addresses.

Requisitos de HLBHLB requirements

Como con Lync Server 2013, Skype para Business Server 2015 no tiene muchos requisitos de afinidad basada en cookies.As with Lync Server 2013, Skype for Business Server 2015 doesn't have a lot of cookie-based affinity requirements. Por lo que no necesitará utilizar una persistencia basada en cookies a menos que va a tener grupos de servidores de fondo frontal de Lync Server 2010 o Front-End en su Skype para entorno Business Server.So you don't need to use a cookie-based persistence unless you're going to have Lync Server 2010 Front End Servers or Front End pools in your Skype for Business Server environment. Tienen afinidad basada en cookies en el método de configuración recomendada para Lync Server 2010.They would need cookie-based affinity in the configuration method recommended for Lync Server 2010.

Nota

Si decide activar la afinidad basada en cookies en su HLB, no habrá problemas, incluso si su entorno no la necesita.If you decide to turn cookie-based affinity on for your HLB, there won't be a problem doing so, even if your environment doesn't need it.

Si su entorno no necesita la afinidad basada en cookies:If your environment doesn't need cookie-based affinity:

  • En la regla de publicación de proxy inverso para el puerto 443, Establece el encabezado de host directa en True.On the reverse proxy publishing rule for port 443, set Forward host header to True. Esto garantizará que se transfiera la URL original.This will ensure the original URL is forwarded.

Para las implementaciones que necesitan la afinidad basada en cookies:For deployments that do need cookie-based affinity:

  • En la regla de publicación de proxy inverso para el puerto 443, Establece el encabezado de host directa en True.On the reverse proxy publishing rule for port 443, set Forward host header to True. Esto garantizará que se transfiera la URL original.This will ensure the original URL is forwarded.

  • El hardware carga equilibrador cookie no debe marcarse httpOnly.The hardware load balancer cookie must not be marked httpOnly.

  • El hardware carga equilibrador cookie no debe tener una fecha de caducidad.The hardware load balancer cookie must not have an expiration time.

  • El hardware carga equilibrador cookie debe denominarse MS WSMAN (es decir, el valor que se espera que los servicios Web, y no se puede cambiar).The hardware load balancer cookie must be named MS-WSMAN (this is the value that the Web services expect, and it can't be changed).

  • El hardware carga equilibrador cookie debe establecerse en cada respuesta HTTP para que la solicitud HTTP entrante no tiene una cookie, independientemente de si una respuesta HTTP anterior en esa misma conexión TCP ha recibido una cookie.The hardware load balancer cookie must be set in every HTTP response for which the incoming HTTP request didn't have a cookie, regardless of whether a previous HTTP response on that same TCP connection had gotten a cookie. Si el equilibrador de carga de hardware optimiza insertar de cookie para producir sólo una vez por cada conexión TCP, esa optimización no debe utilizarse.If your hardware load balancer optimizes cookie insert to only occur once per TCP connection, that optimization must not be used.

Nota

Es típico para las configuraciones de HLB utilizar la afinidad de origen y 20 minutos TCP duración de la sesión, que es el adecuado para Skype para Business Server 2015 y sus clientes, ya que se mantiene el estado de sesión mediante el uso del cliente o interacción de la aplicación.It's typical for HLB configurations to use source-affinity and 20 minute TCP session lifetime, which is fine for Skype for Business Server 2015 and its clients, because session state is maintained through client usage, and/or application interaction.

Si se implementan dispositivos móviles, el HLB debe poder equilibrar la carga de una solicitud individual dentro de una sesión TCP (de hecho, debe poder equilibrar la carga de una solicitud individual basada en la dirección IP de destino).If you're deploying mobile devices, your HLB must be able to load balance individual requests within a TCP session (in effect, you need to be able to load balance an individual request based on the target IP address).

Importante

Los HLB F5 tienen una característica denominada OneConnect, que garantiza que cada solicitud dentro de una conexión TCP se carga de forma equilibrada individualmente. Si va a implementar dispositivos móviles, asegúrese de que su proveedor HLB admita la misma característica. Las últimas aplicaciones móviles iOS requieren la versión TLS 1.2. Si necesita más información, F5 proporciona configuración específica para esto.F5 HLBs have a feature called OneConnect. It ensures that each request within a TCP connection is individually load balanced. If you're deploying mobile devices, ensure your HLB vendor supports the same functionality. The latest iOS mobile apps require TLS version 1.2. If you need to know more, F5 provides specific settings for this.

Aquí son los requisitos de HLB para el Director (opcional) y el grupo de Front-End Web Services (obligatorio):Here are the HLB requirements for the (optional) Director and (required) Front End pool Web Services:

  • Para su VIPs interna de servicios Web, establecer persistencia Source_addr (puerto interno 80, 443) en el HLB.For your internal Web Services VIPs, set Source_addr persistence (internal port 80, 443) on your HLB. Para Skype para Business Server 2015, persistencia Source_addr significa que varias conexiones procedentes de una única dirección IP siempre se envían a un servidor, para mantener el estado de sesión.For Skype for Business Server 2015, Source_addr persistence means that multiple connections coming from a single IP address are always sent to one server, to maintain session state.

  • Use un tiempo de espera de inactividad TCP de 1.800 segundos.Use a TCP idle timeout of 1800 seconds.

  • En el servidor de seguridad entre el proxy inverso y HLB el siguiente salto de la agrupación, cree una regla para permitir https: tráfico en el puerto 4443, desde el proxy inverso para su HLB.On the firewall between your reverse proxy and your next hop pool's HLB, create a rule to allow https: traffic on port 4443, from your reverse proxy to your HLB. El HLB debe configurarse de modo que escuche los puertos 80, 443 y 4443.Your HLB needs to be configured to listen on ports 80, 443, and 4443.

Resumen de los requisitos de afinidad del HLBSummary of HLB affinity requirements

Ubicación del cliente o usuarioClient/user location Requisitos de afinidad FQDN de los servicios web externoExternal web services FQDN affinity requirements Servicios web interno requisitos de afinidad FQSNInternal web services FQSN affinity requirements
Skype para el negocio de la aplicación Web (usuarios internos y externos)Skype for Business Web App (internal and external users)
Dispositivo móvil (usuarios internos y externosMobile device (internal and external users
Sin afinidadNo affinity
Afinidad de direcciones de origenSource address affinity
Skype para el negocio de la aplicación Web (sólo para usuarios externos)Skype for Business Web App (external users only)
Dispositivo móvil (usuarios internos y externosMobile device (internal and external users
Sin afinidadNo affinity
Afinidad de direcciones de origenSource address affinity
Skype para el negocio de la aplicación Web (sólo para usuarios internos)Skype for Business Web App (internal users only)
Dispositivo móvil (no implementado)Mobile device (not deployed)
Sin afinidadNo affinity
Afinidad de direcciones de origenSource address affinity

Supervisión de puertos para HLBPort monitoring for HLBs

Definir la supervisión de puertos en los equilibradores de carga del hardware para determinar cuando ya no están disponibles, debido a un error de hardware o comunicaciones de servicios específicos.You define port monitoring on your hardware load balancers to determine when specific services are no longer available, due to hardware or communications failure. Por ejemplo, si se detiene el servicio de servidor Front-End (RTCSRV) porque se produce un error en el grupo de servidor Front-End o Front-End, la supervisión de HLB debe también dejar de recibir tráfico de los servicios Web.For example, if the Front End Server service (RTCSRV) stops because the Front End Server or Front End pool fails, the HLB monitoring should also stop receiving traffic on the Web Services. Debe implementar la supervisión de puertos en el HLB para supervisar lo siguiente para la interfaz externa del HLB:You should implement port monitoring on the HLB to monitor the following for your HLB external interface:

IP/puerto virtualVirtual IP/Port Puerto de nodoNode Port Monitor de equipo o nodoNode Machine/Monitor Perfil de persistenciaPersistence Profile NotasNotes
<grupo>web_mco_443_vs<pool>web_mco_443_vs
443443
44434443
Front-endFront End
50615061
NingunoNone
HTTPSHTTPS
<grupo>web_mco_80_vs<pool>web_mco_80_vs
8080
80808080
Front-endFront End
50615061
NingunoNone
HTTPHTTP

Requisitos de hardware y softwareHardware and software requirements

Hemos analizado los requisitos de hardware y software de servidor perimetral en nuestra documentación de requisitos del servidor para Skype para Business Server 2015 general.We've covered Edge Server hardware and software requirements in our overall Server requirements for Skype for Business Server 2015 documentation.

ColocaciónCollocation

Hemos abarcado colocación de servidores de borde en nuestra documentación de Aspectos básicos de la topología para Skype para Business Server 2015 .We've covered Edge Server collocation in our Topology Basics for Skype for Business Server 2015 documentation.