Требования к службе автообнаружения для Lync Server 2013Autodiscover service requirements for Lync Server 2013

 

Последнее изменение темы: 2013-02-25Topic Last Modified: 2013-02-25

Служба автообнаружения Microsoft Lync Server 2013 выполняется на серверах директоров и интерфейсных серверах пула, и при публикации в службе DNS мобильные устройства, работающие с Lync Mobile, могут использовать мобильные устройства для обнаружения служб Mobility Service.The Microsoft Lync Server 2013 Autodiscover Service runs on the Director and Front End pool servers, and when published in DNS, can be used by mobile devices running Lync Mobile to locate mobility services. Прежде чем мобильные устройства, работающие с Lync Mobile, смогут использовать функцию автоматического обнаружения, необходимо изменить списки альтернативных имен субъектов сертификата на любом директоре и сервере переднего плана, на котором запущена служба автообнаружения.Before mobile devices running Lync Mobile can take advantage of automatic discovery, you need to modify certificate subject alternative name lists on any Director and Front End Server running the Autodiscover Service. Кроме того, может потребоваться изменить списки альтернативных имен субъектов для сертификатов, используемых для правил публикации внешних веб-служб на обратных прокси-серверах.In addition, it may be necessary to modify the subject alternative name lists on certificates used for external web service publishing rules on reverse proxies.

Дополнительные сведения о записях альтернативного имени субъекта, которые необходимы для директоров, серверов переднего плана и обратных прокси-серверов, приведены в статье технические требования к мобильности в Lync Server 2013 в статье Планирование мобильных устройств.For details about the subject alternative name entries that are required for Directors, Front End Servers, and reverse proxies, see Technical requirements for mobility in Lync Server 2013 in Planning for Mobility.

Решение об использовании списков альтернативных имен субъектов на обратных прокси-серверах основано на том, публикуете ли вы службу автоматического обнаружения через порт 80 или через порт 443:The decision about using subject alternative name lists on reverse proxies is based on whether you publish the Autodiscover Service on port 80 or on port 443:

  • Опубликовано на порте 80     Если исходный запрос к службе автообнаружения поступает через порт 80, изменения сертификатов не требуются.Published on port 80   No certificate changes are required if the initial query to the Autodiscover Service occurs over port 80. Это связано с тем, что мобильные устройства, работающие с Lync, обращаются к обратному прокси-серверу через порт 80 извне, а затем перенаправляются на директор или сервер переднего плана через внутренний порт 8080.This is because mobile devices running Lync will access the reverse proxy on port 80 externally and then be redirected to a Director or Front End Server on port 8080 internally. Дополнительные сведения см. в подразделе «Начальный процесс автоматического обнаружения через порт 80» ниже.For details, see the “Initial Autodiscover Process Using Port 80” section later in this topic.

  • Опубликовано на порте 443     Список альтернативных имен субъектов в сертификатах, используемых правилом публикации внешних веб-служб, должен содержать *lyncdiscover. <sipdomain> *Published on port 443   The subject alternative name list on certificates used by the external web services publishing rule must contain a lyncdiscover.<sipdomain> запись для каждого домена SIP в Организации.entry for each SIP domain within your organization.

Повторная выдача сертификатов с использованием внутреннего центра сертификации обычно не вызывает трудностей, но для общих сертификатов, используемых для правила публикации внешних веб-служб, добавление нескольких записей альтернативных имен субъектов может оказаться дорогостоящим.Reissuing certificates using an internal certificate authority is typically a simple process but for public certificates used on the web service publishing rule, adding multiple subject alternative name entries can become expensive. Чтобы обойти эту проблему, мы поддерживаем начальное подключение автоматического обнаружения через порт 80, который затем перенаправляется на порт 8080 на директоре или сервере переднего плана.To work around this issue, we support the initial automatic discovery connection over port 80, which is then redirected to port 8080 on the Director or Front End Server.

Например, предположим, что мобильный клиент, на котором работает Lync Mobile, настроен для входа в Lync Server 2013 с помощью функции автоматического обнаружения, использующей HTTP для первоначального запроса.For example, assume that a mobile client running Lync Mobile is configured to sign in to Lync Server 2013 using the automatic discovery feature using HTTP for the initial request.

Первоначальный процесс автообнаружения для мобильных устройств с помощью порта 80Initial Autodiscover Process for Mobile Devices Using Port 80

  1. Мобильное устройство, на котором работает Lync Mobile, ищет lyncdiscover.contoso.com с помощью DNS, где есть запись A.Mobile device running Lync Mobile looks up lyncdiscover.contoso.com using DNS, where an A record exists.

  2. Внешняя служба DNS возвращает клиенту IP-адрес внешних веб-служб.External DNS returns the IP address for the external web services to the client.

  3. Мобильное устройство, на котором работает Lync Mobile, отправляет запрос http://lyncdiscover.contoso.com?sipuri=lyncUser1@contoso.com обратному прокси-серверуMobile device running Lync Mobile sends request http://lyncdiscover.contoso.com?sipuri=lyncUser1@contoso.com to the reverse proxy

  4. Правило веб-публикации отправляет запрос через порт 80 извне на порт 8080, который затем перенаправляет его на сервер переднего плана или на сервер переднего плана.The web publishing rule will bridge the request from port 80 externally to port 8080 internally, which will then route it to either a Director or Front End Server.

    Поскольку запрос использует протокол HTTP, а не HTTPS, внесение изменений в сертификат для правила публикации внешних веб-служб для обеспечения поддержки службы автоматического обнаружения не требуется.Since the request is HTTP and not HTTPS, no modifications are needed to the certificate on the external web service publishing rule to support the Autodiscover Service.

  5. Служба автоматического обнаружения возвращает URL-адреса внешних веб-служб (в формате HTTPS).The Autodiscover Service returns the external web service URLs (in HTTPS format).

  6. Мобильное устройство, на котором работает Lync Mobile, может повторно подключиться к обратному прокси-серверу на порте 443 и перенаправляться на 4443 в службу Mobility Service, запущенную в домашнем пуле пользователя.The mobile device running Lync Mobile can then reconnect to the reverse proxy on port 443 and is redirected over 4443 to the mobility service running on the user’s home pool.

    Поскольку HTTPS-запрос выполняется по URL-адресу внешних веб-служб для URL-адреса службы автообнаружения, он завершается успешно, так как сертификат уже содержит записи альтернативных имен субъектов для полных доменных имен внешних веб-служб.Since the HTTPS query is to the external web services URL vs. the Autodiscover Service URL, it succeeds because the certificate will already contain subject alternative name entries for the external web services fully qualified domain names (FQDNs).

    В данном сценарии для поддержки мобильности изменения сертификата не требуются.In this scenario, there are no certificate changes required to support mobility.

    Примечание

    Если целевой веб-сервер имеет сертификат, у которого нет соответствующего значения для lyncdiscover.contoso.com в качестве значения списка альтернативных имен субъектов:If the target web server has a certificate that does not have a matching value for lyncdiscover.contoso.com as a subject alternative name list value:
    a.       Веб-сервер реагирует на ответ "Server Hello" и не имеет сертификата.a.   Web server responds with a “Server Hello” and no certificate.
    б.       Мобильное устройство, выполняющее Lync Mobile, немедленно завершает сеанс.b.   Mobile device running Lync Mobile immediately terminates the session.
    Если целевой веб-сервер имеет сертификат, который включается в себя lyncdiscover.contoso.com в качестве значения списка альтернативных имен субъектов:If the target web server has a certificate that includes lyncdiscover.contoso.com as a subject alternative name list value:
    a.       Веб-сервер реагирует на ответ "сервер Hello" и сертификат.a.   Web server responds with a “Server hello” and a certificate.
    б.       Мобильное устройство, на котором работает Lync Mobile, проверяет сертификат и завершает подтверждение.b.   Mobile device running Lync Mobile validates the certificate and completes the handshake.

Чтобы обеспечить поддержку начального подключения к службе автоматического обнаружения с использованием порта 80 на обратном прокси-сервере, вы можете создать правило публикации HTTP, аналогичное данному примеру правила веб-публикации для обратного прокси-сервера Forefront Threat Management Gateway 2010:To support an initial connection to the Autodiscover Service using port 80 on your reverse proxy server, you can create an http publishing rule similar to this example for a Forefront Threat Management Gateway 2010 reverse proxy web publishing rule:

  1. Создайте новое правило веб-публикации (например, Lync Server Autodiscover (HTTP)).Create a new web publishing rule (for example, Lync Server Autodiscover (HTTP)).

  2. В поле Public Name (Общедоступное имя) введите значение lyncdiscover.contoso.com.In Public Name, enter lyncdiscover.contoso.com.

  3. На вкладке Использование моста выберите только параметр передачи запросов с порта 80 на порт 8080.On the Bridging tab, select only the option to bridge requests from Port 80 to Port 8080.

  4. На вкладке Проверка подлинности выберите Без проверки подлинности и Клиент не может выполнять проверку подлинности напрямую.On the Authentication tab, select No authentication, and Client cannot authenticate directly.

  5. Фиксация изменений и перемещение правила в начало списка правил Lync (первый в порядке обработки).Commit changes, and move the rule to the top of the list of Lync rules (first in processing order).

Мобильность для развертывания разделенного доменаMobility for the Split Domain Deployment

Общее адресное пространство SIP, которое также называется разделенным доменом или гибридным развертыванием, представляет собой конфигурацию, в которой пользователи развертываются в локальном развертывании и в сетевой среде.A shared SIP address space, also known as a split-domain, or a hybrid deployment is a configuration where users are deployed across an on-premise deployment and an online environment. Цель такого подхода заключается в том, чтобы пользователи могли выполнять вход в развертывание для перенаправления к расположению их домашнего сервера независимо от того, где этот домашний сервер расположен (локально или в сети).The desired outcome is to have a user, regardless of where their home server is located (on-premise or online), to log into the deployment and be redirected to their home server location. Для этого используется функция автообнаружения Microsoft Lync Server 2013 для перенаправления интерактивного пользователя в сетевую топологию.To accomplish this, the Autodiscover feature of Microsoft Lync Server 2013 is used to redirect the online user to the online topology. Для этого необходимо настроить URL-адрес автообнаружения с помощью командной консоли Lync Server и командлетов Get-CsHostingProvider и Set-CsHostingProvider.This is done by configuring the Autodiscover uniform resource locator (URL) by using the Lync Server Management Shell and the cmdlets Get-CsHostingProvider and Set-CsHostingProvider.

Вам потребуется собрать и записать следующие развернутые атрибуты:You will need to collect and record the following deployed attributes:

  • В командной консоли Lync Server введитеFrom the Lync Server Management Shell, type

    Get-CsHostingProvider
    
  • В результатах найдите сетевого поставщика с атрибутом ProxyFQDN. Например, sipfed.online.lync.com.In the results, find the online provider with the attribute ProxyFQDN. For example, sipfed.online.lync.com

  • Запишите значение ProxyFQDN.Record the value of the ProxyFQDN

  • Включение Федерации на локальной панели управления Lync Server, разрешение Федерации с помощью веб-поставщикаEnable federation in the on-premise Lync Server Control Panel, allowing federation with the online provider

  • Включите федерацию для этого сетевого поставщика. По умолчанию все пользователи в сети могут использовать федерацию доменов и взаимодействовать со всеми доменами.Enable federation for the online provider. By default, all online users are enabled for domain federation and can communicate with all domains

  • Если вы зададите заблокированные и разрешенные домены, определите домены, которые хотите явным образом разрешить или запретить.If you will define blocked and allowed domains, determine the domains that you will explicitly allow or explicitly block

  • Для сетевой федерации вы должны спланировать исключения брандмауэра, сертификаты и записи узлов DNS (A или AAAA, если используется IPv6).For online federation, you must plan for firewall exceptions, certificates and DNS host (A or AAAA, if using IPv6) records. Кроме того, следует настроить политики федерации.Additionally, you must configure federation policies. Дополнительные сведения см. в статье планирование для интеграции Lync server 2013 и Office Communications ServerFor details, see Planning for Lync Server 2013 and Office Communications Server federation