Requisiti tecnici per i dispositivi mobili
Ultima modifica dell'argomento: 2013-03-05
Gli utenti di dispositivi mobili hanno a che fare con diversi scenari di applicazioni per dispositivi mobili che richiedono una pianificazione speciale. Un utente potrebbe, ad esempio, iniziare a utilizzare un'applicazione per dispositivi mobili mentre si trova fuori ufficio, connettendosi attraverso la rete 3G, quindi passare alla rete Wi-Fi aziendale quando arriva al lavoro e infine passare di nuovo alla rete 3G all'uscita dell'edificio. È necessario pianificare l'ambiente per supportare tali transizioni di rete e garantire un'esperienza utente coerente. In questa sezione vengono descritti i requisiti dell'infrastruttura necessari per supportare le applicazioni per dispositivi mobili e l'individuazione automatica delle risorse per dispositivi mobili.
Quando si utilizza l'individuazione automatica, i dispositivi mobili utilizzano il sistema DNS (Domain Name System) per individuare le risorse. Durante la ricerca DNS viene innanzitutto tentata una connessione al nome di dominio completo (FQDN) associato al record DNS interno, ovvero lyncdiscoverinternal.<dominiosip>. Se non è possibile stabilire una connessione utilizzando il record DNS interno, viene eseguito un tentativo di connessione tramite il record DNS esterno, ovvero lyncdiscover.<dominiosip>. Un dispositivo mobile interno alla rete si connette all'URL interno del servizio di individuazione automatica, mentre un dispositivo mobile esterno alla rete si connette all'URL esterno del servizio di individuazione automatica. Le richieste esterne passano attraverso il proxy inverso. Il servizio di individuazione automatica di Microsoft Lync Server 2010 restituisce tutti gli URL dei servizi Web per il pool principale dell'utente, inclusi gli URL dei servizi per dispositivi mobili. Sia l'URL interno che quello esterno del servizio per dispositivi mobili, tuttavia, sono associati al nome FQDN esterno dei servizi Web. Per questo motivo, sia che sia interno o esterno alla rete, un dispositivo mobile si connette al servizio per dispositivi mobili di Microsoft Lync Server 2010 esternamente, tramite il proxy inverso.
Nota
Sebbene le applicazioni mobili siano in grado di connettersi anche ad altri servizi di Lync Server, ad esempio il servizio Rubrica, questo requisito di invio di tutte le richieste Web di applicazioni per dispositivi mobili allo stesso nome FQDN Web esterno si applica solo al servizio per dispositivi mobili. Altri servizi non richiedono questa configurazione.
Nel diagramma seguente è illustrato il flusso di richieste Web di applicazioni per dispositivi mobili per il servizio per dispositivi mobili e il servizio di individuazione automatica.
Flusso delle richieste delle applicazioni per dispositivi mobili per il servizio per dispositivi mobili e il servizio di individuazione automatica
.jpg "cdb96424-96f2-4abf-88d7-1d32d1010ffd")
Per supportare gli utenti mobili sia all'interno che all'esterno della rete aziendale, i nomi FQDN Web interni ed esterni devono soddisfare alcuni requisiti. È inoltre necessario che vengano soddisfatti altri requisiti, a seconda delle caratteristiche che si sceglie di implementare:
Nuovi record DNS CNAME o A, per l'individuazione automatica
Record DNS SRV, per la federazione con il fornitore di servizi di accesso a terze parti della notifica Push
Nuove porte per i server interni
Nuova regola firewall, se si desidera supportare le notifiche push tramite la rete Wi-Fi
Nomi alternativi soggetto nei certificati server interni e nei certificati proxy inverso, per l'individuazione automatica
Modifiche alla configurazione del servizio di bilanciamento del carico hardware di server Front End per la persistenza basata su cookie
Nuove regole di pubblicazione Web nel proxy inverso, per l'individuazione automatica
Requisiti relativi ai siti Web
La topologia deve soddisfare i requisiti seguenti per supportare il servizio per dispositivi mobili e quello di individuazione automatica:
Il nome FQDN Web interno di pool Front End deve essere diverso dal nome FQDN Web esterno di pool Front End.
Il nome FQDN Web interno deve essere risolto solo all'interno della rete aziendale ed essere accessibile solo da tale posizione.
Il nome FQDN Web esterno (tranne per l'URL del servizio per dispositivi mobili, a cui vengono indirizzate le richieste utente sia interne che esterne) deve essere risolto solo in Internet ed essere accessibile solo da tale posizione.
Per un utente che si trova all'interno della rete aziendale, l'URL del servizio per dispositivi mobili deve essere indirizzato al nome FQDN Web esterno. Questo requisito riguarda il servizio per dispositivi mobili e si applica solo a questo URL.
Per un utente che si trova fuori dalla rete aziendale, la richiesta deve essere indirizzata al nome FQDN Web esterno del pool Front End o del Director.
In un ambiente DNS split-brain e in cui client dei dispositivi mobili si connettono tramite rete wireless, è necessario configurare il nome FQDN Web esterno nel sistema DNS interno con l'indirizzo IP pubblico.
Requisiti relativi a DNS
La topologia deve soddisfare i requisiti DNS illustrati nelle sezioni seguenti per supportare il servizio per dispositivi mobili e quello di individuazione automatica:
Requisiti relativi all'URL del servizio per dispositivi mobili
In una configurazione predefinita, un utente connesso alla rete interna tramite Wi-Fi verrà sempre rimandato all'URL del servizio per dispositivi mobili esterno per il relativo pool principale. Il dispositivo dell'utente deve essere in grado di eseguire query sull'area DNS interna e risolvere il nome FQDN esterno dei servizi Web di Lync nell'indirizzo IP dell'interfaccia esterna del proxy inverso. L'utente stabilirà quindi una connessione in uscita con hairpinning al servizio per dispositivi mobili tramite il proxy inverso.
Requisiti relativi all'individuazione automatica e alla notifica Push
Se l'individuazione automatica è supportata, è necessario creare i record DNS seguenti per ogni dominio SIP:
Un record DNS interno per supportare gli utenti mobili che si connettono dall'interno della rete aziendale
Un record DNS esterno, o pubblico, per supportare gli utenti mobili che si connettono da Internet
Un record DNS esterno, o pubblico, per supportare la notifica Push
L'URL interno di individuazione automatica non deve essere raggiungibile dall'esterno della rete. L'URL esterno di individuazione automatica non deve essere raggiungibile dall'interno della rete. Se tuttavia non è possibile soddisfare questo requisito per l'URL esterno, ciò non ha effetto sulle funzionalità dei client mobili, in quanto viene sempre eseguito prima un tentativo di utilizzare l'URL interno.
I record DNS possono essere record CNAME o record A (host).
È necessario creare il record DNS interno seguente:
Record DNS interni
| Tipo di record | Nome host | Risoluzione in |
|---|---|---|
A (host) |
lyncweb.contoso.com (URL esterno dei servizi Web di esempio) |
Record situato nel sistema DNS interno che si risolve nell'indirizzo IP esterno dell'URL esterno dei servizi Web, ad esempio https://lyncweb.contoso.com |
Inoltre, uno dei record DNS interni aggiuntivi seguenti:
| Tipo di record | Nome host | Risoluzione in |
|---|---|---|
CNAME |
lyncdiscoverinternal.<dominiosip> |
Nome FQDN interno dei servizi Web per il pool di server Director, se presente, o per il pool Front End se non è presente un Director |
A (host) |
lyncdiscoverinternal.<dominiosip> |
Indirizzo IP interno dei servizi Web (VIP (Virtual IP) se si utilizza un servizio di bilanciamento del carico) del pool di server Director, se presente, o del pool Front End se non è presente un Director |
È necessario creare uno dei record DNS esterni seguenti:
Record DNS esterni
| Tipo di record | Nome host | Viene risolto in |
|---|---|---|
CNAME |
lyncdiscover.<dominiosip> |
Nome FQDN esterno dei servizi Web per il pool di server Director, se presente, o per il pool Front End se non è presente un Director |
A (host) |
lyncdiscover.<dominiosip> |
Indirizzo IP esterno o pubblico del proxy inverso |
Nota
Il traffico esterno passa attraverso il proxy inverso.
Nota
I client dei dispositivi mobili non supportano certificati SSL (Secure Sockets Layer) multipli da domini diversi. Di conseguenza, il reindirizzamento CNAME a domini diversi non è supportato in HTTPS. Ad esempio, un record CNAME DNS per lyncdiscover.contoso.com che esegue il reindirizzamento a un indirizzo director.contoso.net non è supportato in HTTPS. In una topologia di questo tipo, un client di dispositivo portatile deve utilizzare il protocollo HTTP per la prima richiesta, in modo che il reindirizzamento CNAME venga risolto in HTTP. Per le richieste successive viene quindi utilizzato HTTPS. Per supportare questo scenario, è necessario configurare il proxy inverso con una regola di pubblicazione Web per la porta 80 (HTTP). Per ulteriori informazioni, vedere la sezione relativa alla creazione di una regola di pubblicazione Web per la porta 80, in Configurazione del proxy inverso per i dispositivi mobili.
Il reindirizzamento CNAME allo stesso dominio è supportato in HTTPS. In questo caso, il certificato del dominio di destinazione copre il dominio di origine.
| Tipo di record | Definizione | Viene risolto in | ||
|---|---|---|---|---|
SRV |
_sipfederationtls._tcp.<nome dominio SIP> nel record host A del servizio Access Edge |
ad esempio, _sipfedrationtls._tcp.contoso.com con la porta definita TCP 5061 in sip.contoso.com
|
.gif "important")
Importante:Requisiti relativi a porte e firewall
Il servizio per dispositivi mobili richiede le due seguenti porte di attesa per i servizi Web in Front End Server o nei server Standard Edition. Queste porte vengono impostate manualmente durante il processo di distribuzione utilizzando il cmdlet Set-CsWebServer. Per informazioni dettagliate, vedere Impostazione delle porte dei server interni per i dispositivi mobili.
È inoltre necessario creare una regola di autorizzazione per TCP 5061 per la federazione con il provider online per la notifica Push. Per informazioni dettagliate, vedere Architettura di riferimento.
Porta 5086, utilizzata per l'ascolto delle richieste dei dispositivi mobili dall'interno della rete aziendale. Si tratta di una porta SIP utilizzata dal processo interno del servizio per dispositivi mobili.
Porta 5087, utilizzata per l'ascolto delle richieste dei dispositivi mobili da Internet. Si tratta di una porta SIP utilizzata dal processo esterno del servizio per dispositivi mobili.
Se si supportano le notifiche push e si desidera che i dispositivi mobili Apple possano ricevere le notifiche push tramite la rete Wi-Fi, è necessario anche aprire la porta 5223 nella rete Wi-Fi aziendale. La porta 5223 è una porta TCP in uscita utilizzata dal servizio notifica Push Apple. Questa connessione può essere avviata dal dispositivo mobile o dal servizio di notifica, che richiede disponibilità della porta in uscita nella rete Wi-Fi aziendale. Per informazioni dettagliate, vedere http://support.apple.com/kb/TS1629?viewlocale=it_IT?viewlocale=it_IT?viewlocale=it_IT e https://developer.apple.com/library/ios/#technotes/tn2265/_index.html
Requisiti relativi ai certificati
Se si supporta l'individuazione automatica per i client mobili Lync, è necessario modificare gli elenchi dei nomi alternativi soggetto dei certificati per supportare le connessioni sicure dai client mobili. È necessario richiedere e assegnare nuovi certificati, aggiungendo le voci dei nomi alternativi soggetto descritte in questa sezione per ogni server Front End e Director in cui viene eseguito il servizio di individuazione automatica. L'approccio consigliato prevede inoltre la modifica anche degli elenchi dei nomi alternativi soggetto dei certificati per i proxy inversi. È necessario aggiungere voci di nomi alternativi soggetto per ogni dominio SIP dell'organizzazione.
La riemissione di certificati utilizzando un'Autorità di certificazione interna è in genere un processo semplice, ma l'aggiunta di più voci di nomi alternativi soggetto ai certificati pubblici utilizzati dal proxy inverso può essere un'operazione dispendiosa. Se sono presenti molti domini SIP, e pertanto l'aggiunta di nomi alternativi soggetto è molto dispendiosa, è possibile configurare il proxy inverso per effettuare la richiesta iniziale al servizio di individuazione automatica tramite la porta 80 utilizzando il protocollo HTTP, anziché la porta 443 utilizzando il protocollo HTTPS (configurazione predefinita). La richiesta viene quindi reindirizzata alla porta 8080 nel Director o nel pool Front End. Quando si pubblica la richiesta iniziale al servizio di individuazione automatica nella porta 80, non è necessario modificare i certificati per il proxy inverso, in quanto per la richiesta viene utilizzato HTTP anziché HTTPS. Questo approccio è supportato ma non consigliato.
Nota
Per ulteriori informazioni sull'utilizzo della porta 80 per la richiesta iniziale, vedere la sezione relativa al processo di individuazione automatica iniziale tramite la porta 80 in Requisiti del servizio di individuazione automatica nella documentazione relativa alla pianificazione per gli utenti esterni.
Nota
Se nell'infrastruttura di Lync Server 2010 vengono utilizzati certificati interni rilasciati da un'Autorità di certificazione interna e si prevede di supportare la connessione wireless per i dispositivi mobili, la catena di certificati radice dall'Autorità di certificazione interna deve essere installata nei dispositivi mobili oppure è necessario passare a un certificato pubblico nell'infrastruttura di Lync Server.
In questa sezione vengono descritti i nomi alternativi soggetto necessari per i certificati seguenti:
Edge Server (server perimetrale) o pool di Edge Server (pool di server perimetrali)
Director o pool di server Director
server Front End o pool Front End
Proxy inverso
Descrizione |
Voce nome alternativo soggetto |
servizio Access Edge |
SAN=sip.<dominiosip> |
Requisiti relativi ai certificati per il pool di server Director
| Descrizione | Voce nome alternativo soggetto |
|---|---|
URL interno del servizio di individuazione automatica |
SAN=lyncdiscoverinternal.<dominiosip> |
URL esterno del servizio di individuazione automatica |
SAN=lyncdiscover.<dominiosip> |
Nota
In alternativa, è possibile utilizzare SAN=*.<dominiosip> solo per i record di individuazione automatica (lyncdiscover e lyncdicoverinternal).
Requisiti relativi ai certificati per il pool Front End
| Descrizione | Voce nome alternativo soggetto |
|---|---|
URL interno del servizio di individuazione automatica |
SAN=lyncdiscoverinternal.<dominiosip> |
URL esterno del servizio di individuazione automatica |
SAN=lyncdiscover.<dominiosip> |
Nota
In alternativa, è possibile utilizzare SAN=*.<dominiosip> solo per i record di individuazione automatica (lyncdiscover e lyncdicoverinternal).
Requisiti relativi ai certificati del proxy inverso (CA pubblica)
| Descrizione | Voce nome alternativo soggetto |
|---|---|
URL esterno del servizio di individuazione automatica |
SAN=lyncdiscover.<dominiosip> |
Nota
Questo certificato viene assegnato al listener SSL nel proxy inverso.
Requisiti relativi a IIS (Internet Information Services)
Per i dispositivi mobili, è consigliabile utilizzare IIS 7.5. Tramite il programma di installazione del servizio per dispositivi mobili vengono impostati alcuni flag ASP.NET per migliorare le prestazioni. IIS 7.5 viene installato per impostazione predefinita in Windows Server 2008 R2 e le impostazioni ASP.NET vengono modificate automaticamente dal programma di installazione del servizio per dispositivi mobili. Se si utilizza IIS 7.0 in Windows Server 2008, è necessario modificare manualmente queste impostazioni. Per informazioni dettagliate, vedere Installazione dei servizi di individuazione automatica e per dispositivi mobili.
Requisiti relativi al servizio di bilanciamento del carico hardware
Se l'ambiente include un pool Front End, gli indirizzi IP virtuali (VIP, Virtual IP) esterni dei servizi Web nel servizio di bilanciamento del carico hardware utilizzato per il traffico dei servizi Web devono essere configurati per la persistenza basata su cookie. La persistenza basata su cookie garantisce che più connessioni da un unico client vengano inviate a un server per mantenere lo stato sessione. I cookie devono soddisfare requisiti specifici. Per ulteriori informazioni sui requisiti dei cookie, vedere Requisiti per il bilanciamento del carico.
Se si prevede di supportare i client mobili Lync solo nella rete Wi-Fi interna, è necessario configurare gli indirizzi IP virtuali dei servizi Web interni per la persistenza basata su cookie, come descritto per gli indirizzi IP virtuali dei servizi Web esterni. In questo caso, non utilizzare la persistenza dell'indirizzo di origine per gli indirizzi IP virtuali dei servizi Web interni nel servizio di bilanciamento del carico hardware. Per informazioni dettagliate, vedere Requisiti per il bilanciamento del carico.
Requisiti relativi al proxy inverso
Se si supporta l'individuazione automatica per i client mobili Lync, è necessario creare una nuova regola di pubblicazione Web come indicato di seguito:
Se si decide di aggiornare gli elenchi dei nomi alternativi soggetto nei certificati del proxy inverso e di utilizzare HTTPS per la richiesta iniziale al servizio di individuazione automatica, è necessario creare una nuova regola di pubblicazione Web per lyncdiscover.<dominiosip>. È anche necessario verificare che sia presente una regola di pubblicazione Web per l'URL esterno dei servizi Web nel pool Front End.
Se si decide di utilizzare HTTP per la richiesta iniziale al servizio di individuazione automatica in modo che non sia necessario aggiornare l'elenco di nomi alternativi soggetto nei certificati del proxy inverso, è necessario creare una nuova regola di pubblicazione Web per la porta 80 (HTTP).