Survivable Branch Appliance (SBA) für Direct Routing
Gelegentlich kann es bei einer Kundenwebsite, die Direct Routing zum Herstellen einer Verbindung mit Microsoft Teams Telefon verwendet, zu einem Internetausfall kommt.
Gehen Sie in diesem Szenario davon aus, dass der Kundenstandort , der als Branch bezeichnet wird, vorübergehend keine Verbindung mit der Microsoft-Cloud über Direct Routing herstellen kann. Das Intranet innerhalb des Branchs ist jedoch weiterhin voll funktionsfähig, und Benutzer können eine Verbindung mit dem Session Border Controller (SBC) herstellen, der PSTN-Konnektivität bereitstellt.
In diesem Artikel wird beschrieben, wie Sie eine Survivable Branch Appliance (SBA) mit Teams Telefon verwenden, um die Kontinuität beim Tätigen und Empfangen von PSTN-Anrufen (Public Switched Telephone Network) im Falle eines Ausfalls zu unterstützen.
Voraussetzungen
Die SBA ist verteilbarer Code, der von Microsoft an SBC-Anbieter bereitgestellt wird, die dann Code in ihre Firmware einbetten oder separat verteilen, damit die SBA auf einer separaten VM oder Hardware ausgeführt wird.
Wenden Sie sich an Ihren SBC-Anbieter, um die neueste Session Border Controller-Firmware mit der eingebetteten Survivable Branch Appliance zu erhalten. Darüber hinaus ist Folgendes erforderlich:
Der SBC ist für Medienumgehung konfiguriert, um sicherzustellen, dass auf dem Microsoft Teams-Client am Zweigstellenstandort Medien direkt mit dem SBC fließen können.
TLS1.2 ist auf dem SBA-VM-Betriebssystem aktiviert.
Die Ports 3443, 4444 und 8443 werden von Microsoft SBA Server für die Kommunikation mit dem Teams-Client verwendet und sind in der Firewall zulässig.
Port 5061 (oder der auf dem SBC konfigurierte) wird vom Microsoft SBA-Server für die Kommunikation mit dem SBC verwendet und ist für die Firewall zulässig.
UDP-Port 123 wird vom Microsoft SBA-Server für die Kommunikation mit dem NTP-Server verwendet und ist in der Firewall zulässig.
Port 443 wird vom Microsoft SBA-Server für die Kommunikation mit Microsoft 365 verwendet und ist in der Firewall zulässig.
Azure-IP-Adressbereiche und -Diensttags für die öffentliche Cloud werden gemäß den unter beschriebenen Richtlinien definiert: https://www.microsoft.com/download/details.aspx?id=56519
Unterstützte Microsoft Teams-Clients
Das SBA-Feature wird auf den folgenden Microsoft Teams-Clients unterstützt:
- Microsoft Teams Windows-Desktop
- Microsoft Teams macOS-Desktop
- Teams-Telefone
So funktioniert es
Während eines Internetausfalls wechselt der Teams-Client automatisch zur SBA, und laufende Anrufe werden ohne Unterbrechungen fortgesetzt. Es ist keine Aktion seitens der Benutzer erforderlich.
Sobald der Teams-Client erkennt, dass das Internet aktiviert ist und alle ausgehenden Anrufe abgeschlossen sind, greift der Client auf den normalen Betriebsmodus zurück und stellt eine Verbindung mit anderen Teams-Diensten her. Die SBA lädt erfasste Anrufdatensätze in die Cloud hoch. Der Anrufverlauf wird zur Überprüfung durch den Mandantenadministrator aktualisiert.
Der clientseitige Ausfallmechanismus von Teams für die SBA ist so konzipiert, dass bei Netzwerkunterbrechungen kontinuierliche Konnektivität und Dienstverfügbarkeit sichergestellt werden.
Die folgenden Bedingungen müssen erfüllt sein:
Clientrichtlinienüberprüfung: Dem Benutzer wird die Branch-Überlebensrichtlinie für eine SBA zugewiesen, mit der der Teams-Client eine Verbindung herstellt – nur, wenn die Anwendung aktiviert ist.
Netzwerkstatusüberprüfung: Der Teams-Client stellt eine Verbindung mit der SBA her, wenn das Internet getrennt ist, aber das Gerät des Benutzers weiterhin mit dem SBA-Anwendung verbunden ist.
Sobald diese Bedingungen erfüllt sind, pingt der Teams-Client die SBA-Anwendung, und der Client überprüft die Richtlinie. Wenn beide Bedingungen erfüllt sind, geschieht Folgendes:
Branch-Überlebensrichtlinie: Die Branch-Überlebensrichtlinie verweist auf die SBA-URLs, die dem Benutzer/Mandanten zugewiesen sind.
Verbindung mit der SBA aufseiten des Teams-Clients: Sobald der Teams-Client offline ist und der Benutzer über die erforderlichen Richtlinien verfügt, wechselt der Teams-Client in den Appliancemodus, in dem der Benutzer PSTN-Anrufe tätigen und empfangen kann. Ein Banner wird angezeigt, um die Benutzer über den Wechsel zur SBA zu informieren.
Der einzige Ui-Indikator für den Wechsel zum Appliancemodus ist das Banner. Wenn das Banner nicht vorhanden ist, befindet sich der Benutzer nicht im SBA-Modus, und der Aufruf funktioniert nicht.
Der SBA-Modus wird nur auf Desktopclients auf einem physischen Computer aktiviert. VMs und Webclients werden derzeit nicht unterstützt.
Wenn sich der Microsoft Teams-Client im Offlinemodus befindet, sind die folgenden Anruffunktionen verfügbar:
- Tätigen von PSTN-Anrufen über die lokale SBA/SBC mit Medien, die den SBC durchlaufen.
- Empfangen von PSTN-Anrufen über die lokale SBA/SBC mit Medien, die den SBC durchlaufen.
- Halten Sie PSTN-Anrufe ab und setzen Sie sie fort.
- Blindtransfer.
- Anrufweiterleitung an eine einzelne Telefonnummer oder einen Teams-Benutzer.
- Unbeantwortete Anrufweiterleitung an eine einzelne Telefonnummer oder einen Teams-Benutzer.
- Umleitung eingehender PSTN-Anrufe an eine Anrufwarteschleife oder automatische Telefonzentrale an einen lokalen Agent.
- Umleitung eingehender PSTN-Anrufe an eine Anrufwarteschleife oder automatische Telefonzentralenummer an eine alternative Anrufwarteschleife oder automatische Telefonzentralenummer.
- VoIP-Fallback. Wenn kein VoIP-Anruf initiiert werden kann und die empfangende Partei über eine PSTN-Nummer verfügt, wird ein PSTN-Anruf versucht.
- VoIP-Anrufe zwischen lokalen Benutzern. Wenn beide Benutzer hinter derselben SBA registriert sind, kann anstelle eines PSTN-Anrufs ein VoIP-Anruf initiiert werden, und die SBA unterstützt den Anruf.
Konfiguration
Damit das SBA-Feature funktioniert, muss der Microsoft Teams-Client wissen, welche SBAs an jedem Branch-Standort verfügbar sind und welche SBAs den Benutzern an diesem Standort zugewiesen sind. Dies sind die erforderlichen Bereitstellungsschritte:
- Erstellen der SBAs
- Erstellen der Branch-Survivability-Richtlinie für Microsoft Teams
- Benutzern die Richtlinie zuweisen
- Registrieren Sie eine Anwendung für die SBA bei Microsoft Entra ID.
Die gesamte Konfiguration erfolgt mithilfe von Teams PowerShell-Cmdlets. (Das Teams Admin Center unterstützt das Feature Direct Routing SBA noch nicht.)
Informationen zum Konfigurieren des SBC mit Links zur Dokumentation des SBC-Anbieters finden Sie unter Session Border Controller-Konfiguration.
Erstellen der SBAs
Verwenden Sie zum Erstellen der SBAs das Cmdlet New-CsTeamsSurvivableBranchAppliance. In diesem Cmdlet gibt es die folgenden Parameter:
| Parameter | Beschreibung |
|---|---|
| Identity | Identität der Datenbank |
| Fqdn | FQDN der SBA |
| Site | Die TenantNetworkSite, an dem sich der SBA befindet |
| Description | Frei formatierbarer Text |
Zum Beispiel:
C:\> New-CsTeamsSurvivableBranchAppliance -Fqdn sba1.contoso.com -Description "SBA 1"
Identity : sba1.contoso.com
Fqdn : sba1.contoso.com
Site :
Description : SBA 1
Erstellen der Branch-Survivability-Richtlinie für Microsoft Teams
Verwenden Sie zum Erstellen einer Richtlinie das Cmdlet New-CsTeamsSurvivableBranchAppliancePolicy. In diesem Cmdlet gibt es die nachstehenden Parameter. Die Richtlinie kann einen oder mehrere SBAs enthalten.
| Parameter | Beschreibung |
|---|---|
| Identity | Die Identität der Richtlinie |
| BranchApplianceFqdns | Der FQDN der SBA(s) am Standort |
Zum Beispiel:
C:\> new-CsTeamsSurvivableBranchAppliancePolicy -Identity CPH -BranchApplianceFqdns "sba1.contoso.com","sba2.contoso.com"
Identity : Tag:CPH
BranchApplianceFqdns : {sba1.contoso.com, sba2.contoso.com}
Sie können SBAs mithilfe des Cmdlets "Set-CsTeamsSurvivableBranchAppliancePolicy" zu einer Richtlinie hinzufügen oder daraus entfernen. Zum Beispiel:
Set-CsTeamsSurvivableBranchAppliancePolicy -Identity CPH -BranchApplianceFqdns @{remove="sba1.contoso.com"}
Set-CsTeamsSurvivableBranchAppliancePolicy -Identity CPH -BranchApplianceFqdns @{add="sba1.contoso.com"}
Einem Benutzer eine Richtlinie zuweisen
Um die Richtlinie einzelnen Benutzern zuzuweisen, verwenden Sie das Cmdlet Grant-CsTeamsSurvivableBranchAppliancePolicy. In diesem Cmdlet gibt es die folgenden Parameter:
| Parameter | Beschreibung |
|---|---|
| Identity | Die Identität des Benutzers |
| PolicyName | Die Identität der Richtlinie |
Zum Beispiel:
C:\> Grant-CsTeamsSurvivableBranchAppliancePolicy -PolicyName CPH -Identity user@contoso.com
Sie können eine Richtlinie von einem Benutzer entfernen, indem Sie die "$Null"-Richtlinie zuordnen, wie im nächsten Beispiel gezeigt:
C:\> Grant-CsTeamsSurvivableBranchAppliancePolicy -PolicyName $Null -Identity user@contoso.com
Registrieren einer Anwendung für die SBA bei Microsoft Entra ID
Damit verschiedene SBAs in Ihrem Mandanten erforderliche Daten aus Microsoft 365 lesen können, müssen Sie eine Anwendung für die SBA bei Microsoft Entra ID registrieren.
Weitere Informationen zur Registrierung von Anwendungen finden Sie in den folgenden Beiträgen:
Sie müssen nur eine Anwendung für die Verwendung durch alle SBAs in Ihrem Mandanten registrieren.
Für die SBA-Registrierung benötigen Sie die folgenden Werte, die bei der Registrierung erstellt werden:
- Anwendungs-ID (Client-ID)
- Geheimer Clientschlüssel
Beachten Sie im Hinblick auf die SBA-Anwendung Folgendes:
- Sie können einen beliebigen Namen auswählen.
- Unterstützte Kontotypen: Nur Konten in diesem Organisationsverzeichnis
- Web-Umleitungs-URI: https://login.microsoftonline.com/common/oauth2/nativeclient
- Implizite Gewährung, Token: Zugriffstoken und ID-Token
- API-Berechtigungen = Skype- und Teams-Mandanten Admin Zugriff –> Anwendungsberechtigungen –> application_access_custom_sba_appliance.
- Geheimer Clientschlüssel: Sie können eine beliebige Beschreibung und einen beliebigen Ablaufzeitpunkt angeben.
- Denken Sie daran, den geheimen Clientschlüssel sofort nach der Erstellung zu kopieren.
- Die Anwendungs-ID (Client-ID) wird auf der Registerkarte "Übersicht" angezeigt.
Gehen Sie dann wie folgt vor:
- Registrieren Sie die Anwendung.
- Legen Sie die Token für implizite Gewährung fest.
- Richten Sie die API-Berechtigungen ein.
- Erstellen Sie den geheimen Clientschlüssel.
Konfiguration des Session Border Controllers
Eine schrittweise Anleitung zum Konfigurieren des Session Border Controllers mit eingebetteter Survivable Branch Appliance finden Sie in der Dokumentation Ihres SBC-Anbieters:
Bekannte Probleme und Überlegungen
Im Folgenden sind bekannte Probleme und Überlegungen aufgeführt:
Im SBA-Modus
- Die SBA unterstützt abgelaufene Clientauthentifizierungstoken für bis zu 7 Tage nach Ablauf des Tokens.
- Der Teams-Client kann keine Verbindung mit der SBA herstellen, wenn der Teams-Client ausgelöst wird, um ein neues Token auszuhandeln. Beispielsweise, wenn ein Benutzer seinen Teams-Client beendet und neu startet oder sein Gerät neu startet.
- Der Teams-Client kann sich in den letzten 24 Stunden nicht mit einer SBA überprüfen, mit der er zuvor keine Verbindung hergestellt hat.
Im SBA-Modus werden die folgenden Benutzeraktionen nicht unterstützt:
- Wechseln des Teams-Clients zu einem anderen Mandanten
- Freigeben von Standortinformationen während eines Notrufs (E911). Benutzer können weiterhin Notrufe tätigen, aber Standortinformationen werden nicht freigegeben.
- Erreichen anderer Teams-Benutzer mit umgekehrter Nummernsuche für Microsoft Entra ID Kontakte. Eine gewählte Nummer wird weiterhin von SBA verarbeitet und über pstn weitergeleitet.
Wenn der Mandant CAE-Token (Continuous Access Evaluation) verwendet, ist die SBA aufgrund der Art der kontinuierlichen Zugriffsauswertung nur etwa 30 Minuten betriebsbereit. Eine Alternative wäre das Deaktivieren der CAE für den Mandanten.
Wenn Sie neue Survivable Branch Appliances hinzufügen, kann es einige Zeit dauern, bis Sie sie in Survivable Branch Appliance-Richtlinien verwenden können.
Wenn Sie einem Benutzer eine Survivable Branch Appliance-Richtlinie zuweisen, kann es einige Zeit dauern, bis die SBA in der Ausgabe von Get-CsOnlineUser angezeigt wird.
Melden eines Problems
Melden Sie alle Probleme der Supportorganisation Ihres SBC-Anbieters. Geben Sie dabei an, dass Sie über eine konfigurierte Survivable Branch Appliance verfügen.