비즈니스용 Skype 서버 에지 서버 시스템 요구 사항

요약: 비즈니스용 Skype 서버 Edge Server의 시스템 요구 사항에 대해 알아봅니다.

비즈니스용 Skype 서버 Edge Server 배포와 관련하여 환경 자체에 있는 서버 또는 서버에 대해 수행해야 하는 작업과 환경 구조를 계획해야 합니다. 토폴로지, DNS, 인증서 및 기타 인프라 문제에 대한 자세한 내용은 환경 요구 사항 설명서를 검사.

구성 요소

Edge Server 환경에 대해 논의할 때 대부분의 경우 경계 네트워크에 배포된 구성 요소를 참조합니다(즉, 작업 그룹 또는 비즈니스용 Skype 서버 도메인 구조 외부에 있는 도메인에 있음).

이러한 구성 요소는 Edge를 성공적으로 배포하기 위해 염두에 두어야 할 구성 요소입니다.

• 에지 서버

• 역방향 프록시

• 방화벽

• 이사 (선택 사항이며 포함되는 경우 내부 네트워크에 있음)

• Load Balancer (DNS 부하 분산 또는 HLB(하드웨어 부하 분산 장치)를 사용할 수 있지만 단일 Edge 서버의 경우 필요하지 않습니다.

아래 각각에 대한 자세한 내용은 다음과 같습니다.

에지 서버

이러한 서버는 경계 환경에 배포된 Skype for Business 서버입니다. 해당 역할은 내부 비즈니스용 Skype 서버 배포에서 제공하는 서비스에 대해 외부 사용자에게 네트워크 트래픽을 보내고 받는 것입니다. 이 작업을 성공적으로 수행하려면 각 Edge Server가 다음을 실행합니다.

• Access Edge 서비스: 아웃바운드 및 인바운드 SIP(세션 시작 프로토콜) 트래픽 모두에 대해 신뢰할 수 있는 단일 연결 지점을 제공합니다.

• 웹 회의 Edge 서비스: 외부 사용자가 내부 비즈니스용 Skype 서버 환경에서 호스트되는 모임에 참가할 수 있도록 합니다.

• A/V Edge 서비스: 외부 사용자가 오디오, 비디오, 애플리케이션 공유 및 파일 전송을 사용할 수 있도록 합니다.

• XMPP 프록시 서비스: 구성된 XMPP 페더레이션 파트너로부터 확장 가능한 메시징 및 현재 상태 프로토콜(XMPP) 메시지를 수락하고 보냅니다.

권한이 부여된 외부 사용자는 Edge 서버를 사용하여 내부 비즈니스용 Skype 서버 배포에 연결할 수 있지만, 그렇지 않으면 누구도 내부 네트워크에 대한 다른 액세스를 제공하지 않습니다.

참고

에지 서버는 사용 가능한 Skype for Business 클라이언트 및 기타 에지 서버(페더레이션 시나리오)에 대한 연결을 제공하기 위해 배포됩니다. 다른 엔드포인트 클라이언트 또는 서버 유형에서는 연결할 수 없습니다. XMPP 게이트웨이 서버는 구성된 XMPP 파트너와의 연결을 허용할 수 있습니다. 그러나 다시 말하지만, 이것이 작동하는 유일한 클라이언트 및 페더레이션 유형입니다.

참고

XMPP 게이트웨이 및 프록시는 비즈니스용 Skype 서버 2015에서 사용할 수 있지만 비즈니스용 Skype 서버 2019에서는 더 이상 지원되지 않습니다. 자세한 내용은 XMPP 페더레이션 마이그레이션을 참조하세요.

역방향 프록시

RP(역방향 프록시) 서버에는 비즈니스용 Skype 서버 역할이 없지만 Edge Server 배포의 필수 구성 요소입니다. 역방향 프록시를 사용하면 외부 사용자가 다음을 수행할 수 있습니다.

• 간단한 URL을 사용하여 모임 또는 전화 접속 회의에 연결합니다.

• 모임 콘텐츠를 다운로드합니다.

• 배포 그룹을 확장합니다.

• 클라이언트 인증서 기반 인증에 대한 사용자 기반 인증서 가져오기

• 주소록 서버에서 파일을 다운로드하거나 주소록 웹 쿼리 서비스에 쿼리를 제출합니다.

• 클라이언트 및 디바이스 소프트웨어에 대한 업데이트를 가져옵니다.

모바일 디바이스의 경우 다음을 수행합니다.

• 이를 통해 모바일 서비스를 제공하는 프런트 엔드 서버를 자동으로 검색할 수 있습니다.

• Microsoft 365 또는 Office 365 모바일 디바이스로 푸시 알림을 사용할 수 있습니다.

현재 역방향 프록시 권장 사항은 Skype for Business 위한 전화 통신 인프라 페이지에서 찾을 수 있습니다. 따라서 역방향 프록시:

• 퍼블릭 인증서를 통해 환경에 도입된 TLS(전송 계층 보안)를 사용하여 게시된 외부 웹 서비스에 연결할 수 있어야 합니다.

  • 디렉터 또는 디렉터 풀

  • 프런트 엔드 서버 또는 프런트 엔드 풀

• 암호화를 위해 인증서를 사용하여 내부 웹 사이트를 게시하거나 필요한 경우 암호화되지 않은 수단을 통해 게시할 수 있어야 합니다.

• FQDN(정규화된 도메인 이름)을 사용하여 내부적으로 호스트되는 웹 사이트를 외부에서 게시할 수 있어야 합니다.

• 호스트된 웹 사이트의 모든 콘텐츠를 게시할 수 있어야 합니다. 기본적으로 대부분의 웹 서버에서 /\인식되는 * 지시문을 사용하여 "웹 서버에 모든 콘텐츠 게시"를 의미할 수 있습니다. 지시문(예: /Uwca/\*)을 수정할 수도 있습니다. 즉, "가상 디렉터리 Ucwa 아래에 모든 콘텐츠 게시"를 의미합니다.

• 는 게시된 웹 사이트의 콘텐츠를 요청하는 클라이언트와의 TLS 연결을 요구해야 합니다.

• 는 SAN(주체 대체 이름) 항목이 있는 인증서를 수락해야 합니다.

• 는 외부 웹 서비스 FQDN이 resolve 수신기 또는 인터페이스에 대한 인증서 바인딩을 허용할 수 있어야 합니다. 수신기 구성은 인터페이스보다 선호됩니다. 많은 수신기는 단일 인터페이스에서 구성할 수 있습니다.

• 는 호스트 헤더 처리의 구성을 허용해야 합니다. 종종 요청 클라이언트에서 보낸 원래 호스트 헤더는 역방향 프록시에 의해 수정되는 대신 투명하게 전달되어야 합니다.

• 는 외부에 정의된 포트(예: TCP 443)에서 다른 정의된 포트(예: TCP 4443)로의 TLS 트래픽 브리징을 허용해야 합니다. 역방향 프록시는 수신 시 패킷의 암호를 해독한 다음 전송 시 패킷을 다시 암호화할 수 있습니다.

• 는 암호화되지 않은 TCP 트래픽을 한 포트(예: TCP 80)에서 다른 포트(예: TCP 8080)로 브리징하도록 허용해야 합니다.

• NTLM 인증, 인증 없음 및 통과 인증의 구성 또는 수락을 허용해야 합니다.

역방향 프록시가 이 목록의 모든 요구 사항을 해결할 수 있는 경우 계속 진행하는 것이 좋지만 위에 제공된 링크의 권장 사항에 유의하세요.

방화벽

Edge 배포를 외부 방화벽 뒤에 배치해야 하지만 Edge 환경과 내부 환경 사이에 두 개의 방화벽,외부 방화벽 1개와 내부 방화벽 1개가 있는 것이 좋습니다. 시나리오의 모든 설명서에는 두 개의 방화벽이 있습니다. 한 네트워크 에지에서 다른 네트워크로의 엄격한 라우팅을 보장하고 내부 네트워크에 대한 방화벽 보호를 두 배로 늘리기 때문에 두 개의 방화벽을 사용하는 것이 좋습니다.

감독

선택적 역할입니다. 단일 서버 또는 디렉터 역할을 실행하는 서버 풀일 수 있습니다. 내부 비즈니스용 Skype 서버 환경에서 찾을 수 있는 역할입니다.

디렉터는 내부 서버 비즈니스용 Skype 서버 대상으로 하는 Edge 서버에서 인바운드 SIP 트래픽을 수신하는 내부 다음 홉 서버입니다. 인바운드 요청을 미리 인증하고 사용자의 홈 풀 또는 서버로 리디렉션합니다. 이 사전 인증을 사용하면 확인되지 않은 사용자 계정 요청을 삭제할 수 있습니다.

왜 그게 중요합니까? 디렉터의 중요한 기능은 DoS(서비스 거부) 공격과 같은 악의적인 트래픽으로부터 Standard Edition 서버 및 프런트 엔드 서버 또는 프런트 엔드 풀을 보호하는 것입니다. 네트워크가 잘못된 외부 트래픽으로 넘쳐나면 트래픽이 디렉터에서 중지됩니다.

부하 분산 장치

비즈니스용 Skype 서버 확장된 통합 Edge 토폴로지는 새 배포에 대한 DNS 부하 분산에 최적화되어 있으며 이를 권장합니다. 고가용성이 필요한 경우 다음과 같은 특정 상황에 하드웨어 부하 분산 장치를 사용하는 것이 좋습니다.

• Exchange 2013 이전 의 Exchange UM을 사용하는 원격 사용자에 대한 Exchange UM입니다.

중요

부하 분산 장치를 혼합할 수 없다는 점에 유의해야 합니다. 비즈니스용 Skype 서버 환경에서 모든 인터페이스는 DNS 또는 HLB를 사용해야 합니다.

참고

DSR(직접 서버 반환) NAT는 비즈니스용 Skype 서버 지원되지 않습니다.

A/V Edge 서비스를 실행하는 Edge 서버 에지 서버에 대한 하드웨어 부하 분산 장치 요구 사항

A/V Edge 서비스를 실행하는 모든 Edge 서버의 경우 다음과 같은 요구 사항이 있습니다.

• 내부 및 외부 포트 443 모두에 대한 TCP 잔소리를 끕니다(nagling은 보다 효율적인 전송을 위해 여러 개의 작은 패킷을 하나의 더 큰 패킷으로 결합하는 프로세스입니다).

• 외부 포트 범위 50000 - 59999에 대한 TCP 잔소리를 끕니다.

• 내부 또는 외부 방화벽에서 NAT를 사용하지 마세요.

• Edge 내부 인터페이스는 Edge Server 외부 인터페이스와 다른 네트워크에 있어야 하며 둘 간의 라우팅을 사용하지 않도록 설정해야 합니다.

• A/V Edge 서비스를 실행하는 Edge Server의 외부 인터페이스는 공개적으로 라우팅 가능한 IP 주소를 사용해야 하며 Edge 외부 IP 주소에는 NAT 또는 포트 변환이 없어야 합니다.

HLB 요구 사항

비즈니스용 Skype 서버 쿠키 기반 선호도 요구 사항이 많지 않습니다. 따라서 비즈니스용 Skype 서버 환경에 Lync Server 2010 프런트 엔드 서버 또는 프런트 엔드 풀이 있는 경우가 아니면 쿠키 기반 지속성을 사용할 필요가 없습니다(2015에 비즈니스용 Skype 서버). Lync Server 2010에 권장되는 구성 방법에 쿠키 기반 선호도가 필요합니다.

참고

HLB에 대해 쿠키 기반 선호도를 설정하기로 결정한 경우 환경이 필요하지 않더라도 문제가 발생하지 않습니다.

사용자 환경에 쿠키 기반 선호도가 필요하지 않은 경우:

• 포트 443에 대한 역방향 프록시 게시 규칙에서 호스트 헤더 전달 을 True로 설정합니다. 이렇게 하면 원래 URL이 전달됩니다.

쿠키 기반 선호 도가 필요한 배포 의 경우:

• 포트 443에 대한 역방향 프록시 게시 규칙에서 호스트 헤더 전달 을 True로 설정합니다. 이렇게 하면 원래 URL이 전달됩니다.

• 하드웨어 부하 분산 장치 쿠키는 httpOnly로 표시 해서는 안 됩니다 .

• 하드웨어 부하 분산 장치 쿠키에는 만료 시간이 없어야 합니다 .

• 하드웨어 부하 분산 장치 쿠키의 이름은 MS-WSMAN이어야 합니다(이는 웹 서비스에서 예상하는 값이며 변경할 수 없음).

• 하드웨어 부하 분산 장치 쿠키는 동일한 TCP 연결에서 이전 HTTP 응답이 쿠키를 얻었는지 여부에 관계없이 들어오는 HTTP 요청에 쿠키가 없는 모든 HTTP 응답에서 설정 해야 합니다 . 하드웨어 부하 분산 장치가 쿠키 삽입을 최적화하여 TCP 연결당 한 번만 발생하는 경우 해당 최적화를 사용하면 안 됩니다 .

참고

HLB 구성은 원본 선호도 및 20분 TCP 세션 수명을 사용하는 것이 일반적입니다. 이는 세션 상태가 클라이언트 사용 및/또는 애플리케이션 상호 작용을 통해 유지 관리되기 때문에 비즈니스용 Skype 서버 및 해당 클라이언트에 적합합니다.

모바일 디바이스를 배포하는 경우 HLB는 TCP 세션 내에서 개별 요청의 부하를 분산할 수 있어야 합니다(사실상 대상 IP 주소에 따라 개별 요청의 부하를 분산할 수 있어야 합니다).

중요

F5 HLB에는 OneConnect라는 기능이 있습니다. TCP 연결 내의 각 요청이 개별적으로 부하 분산되도록 합니다. 모바일 디바이스를 배포하는 경우 HLB 공급업체가 동일한 기능을 지원하는지 확인합니다. 최신 iOS 모바일 앱에는 TLS 버전 1.2가 필요합니다. 자세히 알고 있어야 하는 경우 F5는 이에 대한 특정 설정을 제공합니다.

다음은 (선택 사항) 디렉터 및 (필수) 프런트 엔드 풀 웹 서비스에 대한 HLB 요구 사항입니다.

• 내부 웹 서비스 VIP의 경우 HLB에서 Source_addr 지속성(내부 포트 80, 443)을 설정합니다. 비즈니스용 Skype 서버 경우 Source_addr 지속성은 세션 상태를 유지하기 위해 단일 IP 주소에서 들어오는 여러 연결이 항상 하나의 서버로 전송됨을 의미합니다.

• 1800초의 TCP 유휴 시간 제한을 사용합니다.

• 역방향 프록시와 다음 홉 풀의 HLB 사이의 방화벽에서 https: 포트 4443의 트래픽을 역방향 프록시에서 HLB로 허용하는 규칙을 만듭니다. 포트 80, 443 및 4443에서 수신 대기하도록 HLB를 구성해야 합니다.

HLB 선호도 요구 사항 요약

클라이언트/사용자 위치	외부 웹 서비스 FQDN 선호도 요구 사항	내부 웹 서비스 FQSN 선호도 요구 사항
비즈니스용 Skype Web App(내부 및 외부 사용자) 모바일 디바이스(내부 및 외부 사용자)	선호도 없음	원본 주소 선호도
비즈니스용 Skype Web App(외부 사용자만 해당) 모바일 디바이스(내부 및 외부 사용자)	선호도 없음	원본 주소 선호도
비즈니스용 Skype Web App(내부 사용자만 해당) 모바일 디바이스(배포되지 않음)	선호도 없음	원본 주소 선호도

HLB에 대한 포트 모니터링

하드웨어 부하 분산 장치에서 포트 모니터링을 정의하여 하드웨어 또는 통신 오류로 인해 특정 서비스를 더 이상 사용할 수 없는 시기를 결정합니다. 예를 들어 프런트 엔드 서버 또는 프런트 엔드 풀이 실패하여 RTCSRV(프런트 엔드 서버 서비스)가 중지되는 경우 HLB 모니터링도 웹 서비스에서 트래픽 수신을 중지해야 합니다. HLB 외부 인터페이스에 대해 다음을 모니터링하려면 HLB에서 포트 모니터링을 구현해야 합니다.

가상 IP/포트	노드 포트	Node Machine/Monitor	지속성 프로필	참고
<풀>web_mco_443_vs 443	4443	프런트 엔드 5061	없음	HTTPS
<풀>web_mco_80_vs 80	8080	프런트 엔드 5061	없음	HTTP(HTTP)

하드웨어 및 소프트웨어 요구 사항

비즈니스용 Skype 서버 2015에 대한 전체 서버 요구 사항 및 비즈니스용 Skype 서버 2019 설명서에 대한 시스템 요구 사항에서 Edge Server 하드웨어 및 소프트웨어 요구 사항을 설명했습니다.

배치

비즈니스용 Skype 서버 설명서의 토폴로지 기본 사항에서 Edge Server 배치에 대해 설명했습니다.