Requisiti del servizio di individuazione automatica

 

Ultima modifica dell'argomento: 2011-11-23

Il servizio di individuazione automatica di Microsoft Lync Server 2010 viene eseguito nei server dei pool di server Director e Front End e, se pubblicato in DNS, può essere utilizzato dai dispositivi mobili con Microsoft Lync 2010 per individuare i servizi per dispositivi mobili. Prima che i dispositivi mobili che eseguono Lync 2010 possano avvalersi dell'individuazione automatica, è necessario modificare gli elenchi dei nomi alternativi del soggetto dei certificati in qualsiasi Director e Front End Server che esegua tale servizio. Potrebbe inoltre essere necessario modificare gli elenchi dei nomi alternativi del soggetto nei certificati utilizzati per le regole di pubblicazione dei servizi Web esterni nei proxy inversi.

Per informazioni dettagliate sulle voci dei nomi alternativi del soggetto necessarie per i Director, i Front End Server e i proxy inversi, vedere Requisiti tecnici per i dispositivi mobili nella documentazione relativa alla pianificazione dei servizi per dispositivi mobili.

La decisione relativa agli elenchi dei nomi alternativi del soggetto nei proxy inversi dipende dal fatto che il servizio di individuazione automatica venga pubblicato sulla porta 80 o sulla porta 443:

• Pubblicato sulla porta 80   Non sono necessarie modifiche relative ai certificati se la query iniziale inviata al servizio di individuazione automatica avviene sulla porta 80. Questo è dovuto al fatto che i dispositivi mobili che eseguono Lync accederanno al proxy inverso sulla porta 80 esternamente e quindi verranno reindirizzati a un Director o a un Front End Server sulla porta 8080 internamente. Per informazioni dettagliate, vedere la sezione "Processo di individuazione automatica iniziale tramite la porta 80" più avanti in questo argomento.

• Pubblicato sulla porta 443   L'elenco dei nomi alternativi del soggetto nei certificati utilizzati dalla regola di pubblicazione dei servizi Web esterni deve contenere una voce lyncdiscover. per ogni dominio SIP all'interno dell'organizzazione.

La riemissione dei certificati tramite un'autorità di certificazione interna in genere è un processo semplice, ma per i certificati pubblici utilizzati nella regola di pubblicazione dei servizi Web l'aggiunta di più voci dei nomi alternativi del soggetto può diventare un'attività dispendiosa. Per ovviare al problema, viene fornito il supporto per la connessione di individuazione automatica iniziale sulla porta 80, con conseguente reindirizzamento alla porta 8080 del pool di server Director o Front End.

Si supponga ad esempio che un client mobile che esegue Lync sia configurato per eseguire l'accesso a Lync mediante la funzionalità di individuazione automatica con HTTP per la richiesta iniziale.

Processo di individuazione automatica iniziale tramite la porta 80

1. Il dispositivo mobile che esegue Lync cerca lyncdiscover.contoso.com con DNS, dove è presente un record A.

2. Il sistema DNS esterno restituisce l'indirizzo IP di lsweb-ext.contoso.com (131.107.155.40) al client.

3. Il dispositivo mobile che esegue Lync invia la richiesta http://lyncdiscover.contoso.com?sipuri=lyncUser1@contoso.com a 131.107.155.40.

4. La regola di pubblicazione Web inoltrerà la richiesta dalla porta 80 esternamente alla porta 8080 internamente e quindi la instraderà a un pool di server Director o Front End.

   Poiché si tratta di una richiesta HTTP e non HTTPS, per supportare il servizio di individuazione automatica non sono necessarie modifiche per il certificato nella regola di pubblicazione dei servizi Web esterni.

5. Il servizio di individuazione automatica restituisce gli URL dei servizi Web esterni nel formato HTTPS.

6. Il dispositivo mobile che esegue Lync può quindi riconnettersi al proxy inverso sulla porta 443 e viene reinstradato tramite la porta 4443 al servizio per dispositivi mobili in esecuzione nel pool principale dell'utente.

   Poiché la query HTTPS riguarda l'URL dei servizi Web esterni e non l'URL del servizio di individuazione automatica, ha esito positivo perché il certificato deve già contenere le voci dei nomi alternativi del soggetto per gli FQDN dei servizi Web esterni.

   In questo scenario non è necessario apportare modifiche ai certificati per supportare i servizi per dispositivi mobili.

   Nota

   Se nel server Web di destinazione è presente un certificato che non dispone di un valore corrispondente per lyncdiscover.contoso.com come nome soggetto o valore dell'elenco dei nomi alternativi del soggetto:
   a.   Il server Web risponde con "Server Hello" e nessun certificato.
   b.   Il dispositivo mobile che esegue Lync termina immediatamente la sessione.
   Se nel server Web di destinazione è presente un certificato che include lyncdiscover.contoso.com come nome soggetto o valore dell'elenco dei nomi alternativi del soggetto:
   a.   Il server Web risponde con "Server hello" e un certificato.
   b.   Il dispositivo mobile che esegue Lync convalida il certificato e completa l'handshake.

Per supportare una connessione iniziale al servizio di individuazione automatica utilizzando la porta 80 nel server proxy inverso, è possibile creare una regola di pubblicazione http simile a questo esempio per una regola di pubblicazione Web di proxy inverso TMG (Threat Management Gateway):

1. Creare una nuova regola di pubblicazione Web, ad esempio Individuazione automatica Lync Server (HTTP).

2. In Nome pubblico immettere lyncdiscover.contoso.com.

3. Nella scheda Bridging selezionare solo l'opzione per inoltrare le richieste dalla porta 80 alla porta 8080.

4. Nella scheda Autenticazione selezionare Nessuna delega.Il client non può eseguire l'autenticazione direttamente.

5. Eseguire il commit delle modifiche e spostare la regola all'inizio dell'elenco delle regole di Lync (ordine di elaborazione First In).