Пограничный сервер системные требования в Скайп для Business ServerEdge Server system requirements in Skype for Business Server

Сводка: Сведения о требованиях к системе для пограничного сервера в Скайп для Business Server.Summary: Learn about the system requirements for Edge Server in Skype for Business Server.

Когда речь идет о вашей Скайп для развертывания пограничного сервера Business Server, это задачи, которые необходимо выполнить для сервера или серверов, на которых выполняется в среде самого, а также Планирование структуры среды.When it comes to your Skype for Business Server Edge Server deployment, these are the things you'll need to do for the server or servers that are in the environment itself, as well as planning for the environment structure. Дополнительные сведения по топологии, службам DNS, сертификатам и другим вопросам, связанным с инфраструктурой, см. в документации по требованиям к среде.For more information on topology, DNS, certificates, and other infrastructure concerns, check out the environmental requirements documentation.

КомпонентыComponents

При обсуждении среды пограничного сервера, мы обращаются компонентов, которые в большинстве случаев развернутые в сети периметра (это значит, что это в рабочую группу или домен, который находится за пределами вашей Скайп для структуры домена Business Server).When discussing the Edge Server environment, we're referencing components that are, for the most part, deployed in a perimeter network (that's to say it's either in a workgroup or a domain that's outside your Skype for Business Server domain structure).

Для успешного развертывания пограничных серверов важно уделить внимание следующим компонентам.Keeping that in mind, these are the components you're going to need to keep in mind for deploying your Edge successfully:

Ниже подробно рассматривается каждый из этих компонентов.We have more detail on each of these below:

пограничные серверыEdge Servers

Это Скайп для серверов организаций, развернутых в вашей среде демилитаризованной зоны.These are the Skype for Business servers deployed in your perimeter environment. Для отправки и получения сетевого трафика для внешних пользователей для служб, предоставляемых вашей внутренней Скайп для развертывания Business Server — их роли.Their role is to send and receive network traffic to external users for the services offered by your internal Skype for Business Server deployment. Чтобы успешно выполнить это выполняет каждый из пограничных серверов:To do this successfully, each Edge Server runs:

  • Пограничная служба доступа: предоставляет single, надежных подключений для входящего и исходящего трафика Session Initiation Protocol (SIP).Access Edge service: Provides a single, trusted connection point for both outbound and inbound Session Initiation Protocol (SIP) traffic.

  • Служба пограничного сервера конференц-связи Web: позволяет внешним пользователям присоединяться к собраниям, размещенных на вашей внутренней Скайп для среды Business Server.Web Conferencing Edge service: Enables external users to join meetings that are hosted on your internal Skype for Business Server environment.

  • A / V Edge службы: делает аудио-, видео, общий доступ к приложениям и передачи для внешних пользователей файлов.A/V Edge service: Makes audio, video, application sharing and file transfer available to external users.

  • Служба прокси-сервера XMPP: принимает и отправляет расширяемого протокола обмена сообщениями и присутствия (XMPP) сообщения и из настроенного федеративные XMPP-партнеры.XMPP Proxy service: Accepts and sends extensible messaging and presence protocol (XMPP) messages to and from configured XMPP Federated partners.

Полномочные внешние пользователи могут использовать пограничных серверов для подключения к вашей внутренней Скайп для развертывания сервера Business, но в противном случае они предоставляют нет доступа к внутренней сети для всех.Authorized external users can use your Edge Servers to connect to your internal Skype for Business Server deployment, but otherwise, they provide no other access to your internal network for anyone.

Примечание

Пограничные серверы развернуты для предоставления подключений для включенных Скайп пользователей и других пограничных серверов (в сценарии федерации).Edge Servers are deployed to provide connections for enabled Skype for Business clients and other Edge Servers (in federation scenarios). Не удается подключиться из других типов конечная точка клиента или сервера.You can't connect from other end point client or server types. Сервер шлюза XMPP можно разрешить подключение с настроенным XMPP-партнеры.The XMPP Gateway server can allow connections with configured XMPP partners. Но еще раз, это только клиента и федерации на типы, которые будут работать.But again, those are the only client and federation types that will work.

Примечание

XMPP шлюзов и прокси-серверы, доступные в Скайп для Business Server 2015, но больше не поддерживается в Скайп для Business Server 2019.XMPP Gateways and proxies are available in Skype for Business Server 2015 but are no longer supported in Skype for Business Server 2019. Для получения дополнительных сведений в разделе федерации XMPP миграции .See Migrating XMPP federation for more information.

Обратные прокси-серверыReverse proxies

Сервер обратного прокси-сервера (RP) имеет не Скайп для роли сервера бизнеса, но является основным компонентом развертывания пограничного сервера.A reverse proxy (RP) server has no Skype for Business Server role, but is an essential component of an Edge Server deployment. Внешние пользователи могут обратного прокси-сервера:A reverse proxy allows external users to:

  • присоединение к собраниям или подключение к конференциям по телефонной линии с применением простых URL-адресов;connect to meetings or dial-in conferences using simple URLs.

  • загрузка материалов собраний;download meeting content.

  • расширение групп рассылки;expand distribution groups.

  • получение пользовательских сертификатов для проверки подлинности по клиентским сертификатам;get user-based certificates for client certificate based authentication

  • Загрузите файлы из сервера адресной книги или отправлять запросы в службу веб-запросов адресной книги.download files from the Address Book Server, or to submit queries to the Address Book Web Query service.

  • получение пакетов обновления программного обеспечения клиентов и устройств.obtain updates to client and device software.

Для мобильных устройств поддерживаются следующие функции:And for mobile devices:

  • оно позволяет автоматически обнаруживать серверы переднего плана предоставления услуг мобильной работы.it lets them automatically discover Front End Servers offering mobility services.

  • Включение push-уведомлений из Office 365 для мобильных устройств.it enables push notifications from Office 365 to mobile devices.

Мы рекомендуем текущего обратного прокси-сервера можно найти на странице Телефонной инфраструктуры для Скайп для бизнеса .Our current reverse proxy recommendations can be found on the Telephony Infrastructure for Skype for Business page. Поэтому вашей обратного прокси-сервера:So your reverse proxy:

  • Применение протокола TLS, который внедряется в среду посредством общих сертификатов для подключения к опубликованным внешним веб-службам, размещенным на следующих компонентах:should be able to use transport layer security (TLS) that's introduced to your environment via public certificates to connect to the published external Web services of:

    • Директор или пул директоровDirector or Director pool

    • Пула переднего плана сервера или сервера переднего планаFront End Server or Front End pool

  • Публикация внутренних веб-сайтов c применением сертификатов для шифрования, а при необходимости – публикация с помощью средств, не предусматривающих шифрование.needs to be able to publish internal Web sites using certificates for encryption, or publish them over an unencrypted means, if needed.

  • Внешняя публикация размещенных во внутренней среде веб-сайтов с применением полного доменного имени (FQDN).should be able to publish an internally hosted web site externally by using a fully qualified domain name (FQDN).

  • Публикация всего содержимого размещенного веб-сайта.needs to be able to publish all the contents of your hosted web site. По умолчанию, можно использовать ** / ** директивы распознаваемых большинства веб-серверов для обозначения «Опубликовать все содержимое на веб-сервер».By default, you can use the /\* directive, which is recognized by most web servers to mean "Publish all content on the web server." Можно также изменить директивы — например, /Uwca/\*, что означает «опубликовать все содержимое в виртуальном каталоге Ucwa.»You can also modify the directive—for example, /Uwca/\*, which means "Publish all content under the virtual directory Ucwa."

  • Принудительное установление соединений TLS с клиентами, запрашивающими содержимое опубликованного веб-сайта.must require TLS connections with clients that request content from your published website.

  • Принятие сертификатов с записями альтернативного имени субъекта (SAN).has to accept certificates with subject alternative name (SAN) entries.

  • Разрешение привязки сертификата к прослушивателю или интерфейсу, через который будут разрешаться полные доменные имена внешних веб-служб. Конфигурации с прослушивателями предпочтительнее конфигураций с интерфейсами. Для одного интерфейса можно настроить несколько прослушивателей.needs to be able to allow the binding of a certificate to a listener or interface through which the external web services FQDN will resolve. Listener configurations are preferable to interfaces. Many listeners can be configured on a single interface.

  • необходимо разрешить конфигурации обработки заголовка узла.must allow for the configuration of host header handling. Часто, исходный заголовок узла, отправленные от клиента должен быть прозрачным образом передается, вместо изменения обратного прокси-сервера.Often, the original host header sent by the requesting client must be passed transparently, instead of being modified by the reverse proxy.

  • следует разрешить использование моста TLS трафика из одной извне порта (например, TCP 443) на другой определенный порт (например, 4443 TCP).should allow bridging of TLS traffic from one externally defined port (for example, TCP 443) to another defined port (for example, TCP 4443). Обратный прокси-сервер может расшифровки пакета при поступлении и затем выполните повторное шифрование пакета для отправки.Your reverse proxy may decrypt the packet on receipt and then reencrypt the packet on sending.

  • Формирование моста для незашифрованного трафика TCP с одного порта (например, TCP 80) на другой (например, TCP 8080).should allow bridging of unencrypted TCP traffic from one port (for example, TCP 80) to another (for example, TCP 8080).

  • Настройка и принятие проверки подлинности NTLM, подключения без проверки подлинности и сквозной проверки подлинности.needs to allow configuration of, or accept, NTLM authentication, no authentication, and pass-through authentication.

Если ваше обратного прокси-сервера можно решить все задачи в этом списке, должен быть полезно перейти, однако следует помнить о рекомендаций по ссылке, приведенные выше.If your reverse proxy can address all the needs in this list, you should be good to go, but please keep in mind our recommendations at the link provided above.

БрандмауэрыFirewalls

Пограничные серверы развертываются за внешним брандмауэром, однако рекомендуется настроить два брандмауэра: один внешний и один внутренний – между пограничной и внутренней средами. Во всех ситуациях, рассматриваемых в документации, предполагается наличие двух брандмауэров. Два брандмауэра обеспечивают точную маршрутизацию между границами сетей и дублируют защиту для внутренней сети.You need to put your Edge deployment behind an external firewall, but we recommend having two firewalls, one external, and one internal between the Edge environment and your internal environment. All our documentation in our Scenarios will have two firewalls. We recommend two firewalls because it ensures strict routing from one network edge to the other, and doubles the firewall protection for your internal network.

ДиректорыDirectors

Это необязательный роли.This is an optional role. Она может быть одного сервера или пула на серверах с ролью Director.It can be a single server or a pool of servers running the Director role. Это роль, найденные на внутренний Скайп для среды Business Server.It's a role found on the internal Skype for Business Server environment.

Директора является сервером для следующего прыжка, который получает входящий трафик SIP от пограничных серверов, предназначенного для Скайп для внутренних серверов Business Server.The Director is an internal next hop server which receives inbound SIP traffic from the Edge Servers that's destined for Skype for Business Server internal servers. Оно выполняет предварительную проверку подлинности входящих запросов и перенаправляет пользователя домашнего пула или сервера.It preauthenticates inbound requests and redirects them to a user's home pool or server. В этом предварительная проверка подлинности позволяет удалить неопознанный пользователя учетной записи запросов.This preauthentication allows you to drop unidentified user account requests.

Почему, который имеет значение?Why does that matter? Важные функции для директор — для защиты от вредоносных трафику, такому как атак типа "отказ в обслуживании" (DoS) серверов Standard Edition и серверами переднего плана или пулы переднего плана.An important function for a Director is to protect Standard Edition servers and Front End Servers or Front End pools from malicious traffic, such as denial-of-service (DoS) attacks. Если вашей сети распространяются с Недопустимый внешний трафик, трафик останавливается на директора.If your network is flooded with invalid external traffic, the traffic stops at the Director.

Устройства балансировки нагрузкиLoad Balancers

Скайп for Business Server масштабированной и консолидированной среды пограничных серверов оптимизирован для новых развертываний Балансировка нагрузки DNS, поэтому рекомендуется это.The Skype for Business Server scaled consolidated Edge topology is optimized for DNS load balancing for new deployments, and we recommend this. Если требуется высокий уровень доступности, рекомендуется использовать аппаратный балансировщик нагрузки для каждой конкретной ситуации:If you need high availability, we recommend using a hardware load balancer for one specific situation:

  • Обмена СООБЩЕНИЯМИ Exchange для удаленных пользователей, с помощью Exchange единой системы обмена СООБЩЕНИЯМИ предыдущего до Exchange 2013.Exchange UM for remote users using Exchange UM prior to Exchange 2013.

Важно!

Важно отметить, что наличие подсистем балансировки нагрузки разных типов не допускается.It's vital to note that you can't mix load-balancers. В вашей Скайп среды Business Server все интерфейсы должны использовать DNS или аппаратного балансировщика Нагрузки.In your Skype for Business Server environment all interfaces must use either DNS or HLB.

Примечание

Прямое сервер возвращает следующие преобразования сетевых адресов (DSR) не поддерживается для Скайп для Business Server.Direct server return (DSR) NAT isn't supported for Skype for Business Server.

требования к подсистеме балансировки нагрузки оборудования для пограничных серверов пограничных серверов, использующих / видеоконференцийhardware load balancer requirements for Edge Servers Edge Servers running the A/V Edge service

Для любого пограничного сервера, на котором выполняется аудио- и видеоконференций, ниже приведены требования:For any Edge Server running the A/V Edge service, these are the requirements:

  • Оптимизация TCP по алгоритму Nagle должна быть отключена как для внутреннего, так и для внешнего порт 443. (В процессе оптимизации по алгоритму Nagle – это процесс объединения несколько мелких пакетов объединяются в более крупный пакет для экономии ресурсов при передаче данных.)Turn off TCP nagling for both internal and external ports 443 (nagling is the process of combining several small packets into a single, larger packet for more efficient transmission).

  • Оптимизация TCP по алгоритму Nagle должна быть отключена для диапазона внешних портов 50000 - 59999.Turn off TCP nagling for the external port range 50000 - 59999.

  • На внутреннем и внешнем брандмауэрах не должно применяться преобразование сетевых адресов.Don't use NAT on your internal or external firewalls.

  • Внутренний пограничный интерфейс должны находиться в разных сетях внешнего интерфейса пограничного сервера, и маршрутизацию между ними следует отключить.Your Edge internal interface must be on a different network than your Edge Server external interface, and routing between them must be disabled.

  • Внешний интерфейс пограничного сервера под управлением A аудио- и видеоконференций необходимо использовать публично маршрутизируемых IP-адресов и не преобразования сетевых адресов или портов перевода на всех пограничных внешних IP-адресов.The external interface of any Edge Server running the A/V Edge service must use publically routable IP addresses and no NAT or port translation on any of the Edge external IP addresses.

Требования для аппаратной балансировки нагрузкиHLB requirements

Скайп для Business Server не имеет много требования сходство на основе файлов cookie.Skype for Business Server doesn't have a lot of cookie-based affinity requirements. Вам не нужно использовать хранение на основе файлов cookie пока (а это Скайп для определенного сервера 2015 Business) вы собираетесь пулы серверов Lync Server 2010 переднего плана или сервера переднего плана в вашей Скайп среды Business Server.So you don't need to use a cookie-based persistence unless (and this is Skype for Business Server 2015-specific) you're going to have Lync Server 2010 Front End Servers or Front End pools in your Skype for Business Server environment. Им нужны сходство на основе файлов cookie в методе конфигурация рекомендуется для Lync Server 2010.They would need cookie-based affinity in the configuration method recommended for Lync Server 2010.

Примечание

При необходимости можно без затруднений включить для устройства балансировки нагрузки сходство на основе файлов cookie, даже если оно не требуется в данной среде.If you decide to turn cookie-based affinity on for your HLB, there won't be a problem doing so, even if your environment doesn't need it.

Для сред, где не требуется сходство на основе файлов cookieIf your environment doesn't need cookie-based affinity:

  • На правила публикации обратного прокси-сервера для порта 443 значение заголовка узла прямого значение True.On the reverse proxy publishing rule for port 443, set Forward host header to True. Это обеспечит пересылать исходный URL-адрес.This will ensure the original URL is forwarded.

Для развертываний, в которых требуется сходство на основе файлов cookieFor deployments that do need cookie-based affinity:

  • На правила публикации обратного прокси-сервера для порта 443 значение заголовка узла прямого значение True.On the reverse proxy publishing rule for port 443, set Forward host header to True. Это обеспечит пересылать исходный URL-адрес.This will ensure the original URL is forwarded.

  • Оборудование нагрузки балансировки cookie не должны быть задан флаг HttpOnly.The hardware load balancer cookie must not be marked httpOnly.

  • Оборудование нагрузки балансировки cookie не должны иметь срока действия.The hardware load balancer cookie must not have an expiration time.

  • Оборудование нагрузки балансировки куки-файл должен иметь имя MS-WSMAN (это значение, согласно прогнозу, веб-служб, и его нельзя изменить).The hardware load balancer cookie must be named MS-WSMAN (this is the value that the Web services expect, and it can't be changed).

  • Оборудование нагрузки балансировки куки-файл должен иметь значение в каждом HTTP-ответа, для которого входящего HTTP-запроса не пришлось файла cookie, независимо от того, ли предыдущей HTTP-ответа на этой же подключения по протоколу TCP отправлен файл cookie.The hardware load balancer cookie must be set in every HTTP response for which the incoming HTTP request didn't have a cookie, regardless of whether a previous HTTP response on that same TCP connection had gotten a cookie. Если ваше аппаратного балансировщика нагрузки оптимизирует вставить файл cookie будет выполнена только после каждого подключения по протоколу TCP, оптимизация не должны использоваться.If your hardware load balancer optimizes cookie insert to only occur once per TCP connection, that optimization must not be used.

Примечание

Это типичная для конфигурации аппаратного балансировщика Нагрузки для использования сходства источника и 20 минут TCP время жизни сеанса, которая подходит для Скайп для Business Server и его клиентами, так как состояние сеанса поддерживается посредством использования клиента и/или взаимодействие между приложениями.It's typical for HLB configurations to use source-affinity and 20 minute TCP session lifetime, which is fine for Skype for Business Server and its clients, because session state is maintained through client usage, and/or application interaction.

При развертывании мобильных устройств необходимо, чтобы устройство балансировки нагрузки могло обеспечивать ее по отдельным запросам в пределах сеанса TCP (фактически требуется балансировка нагрузки отдельного запроса на основе конечного IP-адреса).If you're deploying mobile devices, your HLB must be able to load balance individual requests within a TCP session (in effect, you need to be able to load balance an individual request based on the target IP address).

Важно!

В устройствах балансировки нагрузки F5 предусмотрена функция OneConnect, которая обеспечивает индивидуальную балансировку нагрузки для каждого запроса в соединении TCP. При развертывании мобильных устройств убедитесь в том, что поставщик устройства балансировки нагрузки поддерживает эту функцию. Для последних мобильных приложений iOS требуется протокол TLS версии 1.2. В F5 предусмотрены также параметры, позволяющие получить дополнительную информацию.F5 HLBs have a feature called OneConnect. It ensures that each request within a TCP connection is individually load balanced. If you're deploying mobile devices, ensure your HLB vendor supports the same functionality. The latest iOS mobile apps require TLS version 1.2. If you need to know more, F5 provides specific settings for this.

Ниже приведены требования к аппаратного балансировщика Нагрузки (необязательно) директора и (обязательный) пула переднего плана веб-служб.Here are the HLB requirements for the (optional) Director and (required) Front End pool Web Services:

  • Для внутренних служб интерфейсом Web установите сохраняемость Source_addr (внутренний порт 80, 443) вашего аппаратного балансировщика Нагрузки.For your internal Web Services VIPs, set Source_addr persistence (internal port 80, 443) on your HLB. Для Скайп для Business Server сохраняемость Source_addr означает, что несколько подключений, работающего за один IP-адрес отправляются на один сервер для поддержки службы состояния сеанса.For Skype for Business Server, Source_addr persistence means that multiple connections coming from a single IP address are always sent to one server, to maintain session state.

  • Задайте для TCP время ожидания в режиме простоя 1800 с.Use a TCP idle timeout of 1800 seconds.

  • Брандмауэр между вашей обратного прокси-сервера и аппаратного балансировщика Нагрузки вашей следующего прыжка пула Создание правила, чтобы разрешить https: трафик через порт 4443, обратного прокси-сервера для вашей аппаратного балансировщика Нагрузки.On the firewall between your reverse proxy and your next hop pool's HLB, create a rule to allow https: traffic on port 4443, from your reverse proxy to your HLB. Ваше аппаратного балансировщика Нагрузки необходимо настроить на прослушивание порта 80, 443 и 4443.Your HLB needs to be configured to listen on ports 80, 443, and 4443.

Сводная информация о требованиях к сходству для устройств балансировки нагрузкиSummary of HLB affinity requirements

Расположение клиента или пользователяClient/user location Требования к сходству внешних доменных имен веб-службExternal web services FQDN affinity requirements Требования к сходству полных доменных имен внутренних веб-службInternal web services FQSN affinity requirements
Скайп для бизнеса Web App (внутренние и внешние пользователи)Skype for Business Web App (internal and external users)
Мобильное устройство (внутренние и внешние пользователи)Mobile device (internal and external users
Без сходстваNo affinity
Сходство исходных адресовSource address affinity
Скайп для бизнеса Web App (только для внешних пользователей)Skype for Business Web App (external users only)
Мобильное устройство (внутренние и внешние пользователи)Mobile device (internal and external users
Без сходстваNo affinity
Сходство исходных адресовSource address affinity
Скайп для бизнеса Web App (только для внутренних пользователей)Skype for Business Web App (internal users only)
Мобильное устройство (без развертывания)Mobile device (not deployed)
Без сходстваNo affinity
Сходство исходных адресовSource address affinity

Наблюдение за портами для устройств балансировки нагрузкиPort monitoring for HLBs

Можно определить, мониторинг порта на аппаратных балансировщиков нагрузки, чтобы определить, когда конкретных служб больше недоступны, из-за сбоя оборудования или коммуникаций.You define port monitoring on your hardware load balancers to determine when specific services are no longer available, due to hardware or communications failure. Например при остановке службы сервера переднего плана (RTCSRV), так как происходит сбой пула переднего плана или сервера переднего плана, мониторинг аппаратного балансировщика Нагрузки следует также прекратить получать трафика на веб-служб.For example, if the Front End Server service (RTCSRV) stops because the Front End Server or Front End pool fails, the HLB monitoring should also stop receiving traffic on the Web Services. Следует применить мониторинг порта на аппаратного балансировщика Нагрузки для наблюдения за вашей внешний интерфейс аппаратного балансировщика Нагрузки.You should implement port monitoring on the HLB to monitor the following for your HLB external interface:

Виртуальный IP-адрес/портVirtual IP/Port Порт узлаNode Port Компьютер/монитор узлаNode Machine/Monitor Профиль сохраняемостиPersistence Profile ПримечанияNotes
<пул>web_mco_443_vs<pool>web_mco_443_vs
443443
44434443
Сервер переднего планаFront End
50615061
ОтсутствуютNone
HTTPSHTTPS
<пул>web_mco_80_vs<pool>web_mco_80_vs
8080
80808080
Сервер переднего планаFront End
50615061
ОтсутствуютNone
HTTPHTTP

Требования к аппаратным и программным средствамHardware and software requirements

В нашей Общие требования к серверу для Скайп для Business Server 2015 и требования к системе для Скайп для Business Server 2019 документации мы рассматриваются требования к оборудованию и программному обеспечению пограничного сервера.We've covered Edge Server hardware and software requirements in our overall Server requirements for Skype for Business Server 2015 and System requirements for Skype for Business Server 2019 documentation.

Совмещенное расположениеCollocation

Мы рассматривается выровненное размещение пограничных серверов в нашей документации Основные сведения о топологии для Скайп для Business Server .We've covered Edge Server collocation in our Topology Basics for Skype for Business Server documentation.