Skype for Business Server 中的边缘服务器系统要求

总结：了解 Skype for Business Server 中边缘服务器的系统要求。

在Skype for Business Server边缘服务器部署方面，需要为环境中的服务器或服务器执行以下操作，以及规划环境结构。 有关拓扑、DNS 证书和其他基础结构问题的详细信息，请查看环境要求文档。

组件

在讨论边缘服务器环境时，我们引用的组件大部分部署在外围网络中， (也就是说，这些组件要么在工作组中，要么位于Skype for Business Server域结构) 之外的域中。

请记住，这些组件是为了成功部署边缘而需要牢记于胸的组件：

• Edge Servers

• Reverse proxies

• Firewalls

• Directors（这类组件是可选的，如果纳入这些组件，它们将位于内部网络中）

• 负载均衡器 (可以将 DNS 负载均衡或硬件负载均衡器 (HLB) ，但对于单个边缘服务器，不需要)

下面我们更详细地谈论以下每个组件：

边缘服务器

这些是部署在外围环境中的Skype for Business服务器。 其角色是向外部用户发送和接收网络流量，以获取内部Skype for Business Server部署提供的服务。 若要成功执行此操作，每个边缘服务器将运行：

• 访问边缘服务：为出站和入站会话初始协议提供单个受信任的连接点， (SIP) 流量。

• Web 会议边缘服务：使外部用户能够加入内部Skype for Business Server环境中托管的会议。

• A/V Edge 服务：使音频、视频、应用程序共享和文件传输可供外部用户使用。

• XMPP 代理服务：接受并发送可扩展的消息传送和状态协议 (XMPP) 消息与配置的 XMPP 联合伙伴。

授权的外部用户可以使用边缘服务器连接到内部Skype for Business Server部署，但否则，他们不会为任何人提供对内部网络的其他访问权限。

注意

部署边缘服务器是为了在联合方案中为启用Skype for Business客户端和其他边缘服务器 (提供连接) 。 不能从其他端点客户端或服务器节点进行连接。 XMPP 网关服务器可允许与配置的 XMPP 伙伴进行连接。 但同样，这些伙伴仅限可行的客户端和联盟类型。

注意

XMPP 网关和代理在 2015 Skype for Business Server可用，但在 2019 Skype for Business Server不再受支持。 有关详细信息 ，请参阅迁移 XMPP 联合身份验证 。

反向代理

反向代理 (RP) 服务器没有Skype for Business Server角色，但是边缘服务器部署的重要组件。 反向代理允许外部用户：

• 使用简单 URL 连接到会议或电话拨入式会议。

• 下载会议内容。

• 展开通讯组。

• 获取基于用户的证书，用于基于客户端证书的身份验证

• 从通讯簿服务器下载文件，或将查询提交到通讯簿 Web 查询服务。

• 获得客户和设备软件的更新。

对于移动设备：

• 它允许他们自动发现提供移动服务的前端服务器。

• 它支持从 Microsoft 365 或Office 365推送到移动设备的通知。

可以在“Skype for Business的电话基础结构”页上找到当前的反向代理建议。 因此，反向代理：

• 应能够使用通过公共证书引入环境的传输层安全性 (TLS) 连接到以下对象的已发布外部 Web 服务：

  • 控制器或控制器池

  • 前端服务器或前端池

• 需要能使用加密证书发布内部网站，或者根据需要以未加密的方式发布这些网站。

• 应能够使用完全限定域名 (FQDN) 在外部发布内部托管网站。

• 需要能发布托管网站的所有内容。 默认情况下，可以使用 /\* 指令，该指令被大多数 Web 服务器识别为“发布 Web 服务器上的所有内容”。还可以修改 指令，例如 /Uwca/\*，这意味着“发布虚拟目录 Ucwa 下的所有内容”。

• 必须与从发布的网站请求内容的客户端建立 TLS 连接。

• 必须接受包含使用者替代名称 (SAN) 条目的证书。

• 需要能允许将证书绑定到将通过其解析外部 Web 服务 FQDN 的侦听器或接口。 侦听器配置优于接口配置。 可在一个接口上配置多个侦听器。

• 必须允许配置主机头处理。 通常，请求客户端发送的原始主机标头必须以透明方式传递，而不是由反向代理修改。

• 应允许将来自某个外部定义的端口（如 TCP 443）的 TLS 流量桥接至另一个定义的端口（如 TCP 4443）。 反向代理可能会在收到数据包时解密数据包，然后在发送时重新加密数据包。

• 应将来自某个端口（如 TCP 80）的未加密 TCP 流量桥接至另一端口（如 TCP 8080）。

• 需要允许配置或接受“NTLM 身份验证”、“无身份验证”和“传递身份验证”。

如果你的反向代理可以满足此列表中的所有需求，你应该可以继续，但请记住我们在上面提供的链接中的建议。

防火墙

需要将边缘部署放在外部防火墙后面，但是我们建议在边缘环境和内部环境之间设两个防火墙，一个外部，一个内部。 我们方案的所有文档都有两个防火墙。 我们之所以推荐两道防火墙是因为，这可确保从一个网络边缘到另一个网络边缘的严格路由，并对内部网络实施加倍防火墙保护。

控制器

这是可选角色。 它可以是单个服务器，也可以是运行控制器角色的服务器池。 它是在内部Skype for Business Server环境中找到的角色。

控制器是一个内部下一跃点服务器，它从发往Skype for Business Server内部服务器的边缘服务器接收入站 SIP 流量。 它对入站请求预先进行身份验证，并将其它们重定向到用户的主池或主服务器。 此预身份验证可让您丢弃未确定身份的用户帐户的请求。

为什么这很重要？ 控制器的一项重要功能是保护 Standard Edition 服务器和前端服务器或前端池免受恶意流量的侵害，例如拒绝服务 (DoS) 攻击。 如果网络充斥了无效的外部流量，则流量会在控制器处停止。

负载平衡器

Skype for Business Server缩放的合并 Edge 拓扑针对新部署的 DNS 负载均衡进行了优化，建议这样做。 如果需要高可用性，我们建议针对一种特定情况使用硬件负载均衡器：

• Exchange 2013 之前 使用 Exchange UM 的远程用户交换 UM。

重要

必须指出，不能混合使用负载平衡器。 在Skype for Business Server环境中，所有接口都必须使用 DNS 或 HLB。

注意

Skype for Business Server不支持直接服务器返回 (DSR) NAT。

运行 A/V 边缘服务的边缘服务器边缘服务器的硬件负载均衡器要求

对于运行 A/V 边缘服务的任何边缘服务器，需要满足以下要求：

• 对内部和外部端口 443 关闭 TCP nagling（Nagling 是将多个小数据包合并成一个大数据包以提高传输效率的过程）。

• 对端口范围为 50000 – 59999 的外部端口关闭 TCP nagling。

• 不要在内部或外部防火墙上使用 NAT。

• Edge 内部接口必须位于与边缘服务器外部接口不同的网络上，并且必须禁用它们之间的路由。

• 运行 A/V 边缘服务的任何边缘服务器的外部接口必须使用可公开路由的 IP 地址，并且在任何边缘外部 IP 地址上不得使用 NAT 或端口转换。

HLB 要求

Skype for Business Server没有很多基于 Cookie 的相关性要求。 因此，您不需要使用基于 Cookie 的持久性，除非 (且这是特定于 2015 Skype for Business Server) 您的Skype for Business Server环境中具有 Lync Server 2010 前端服务器或前端池。 在 Lync Server 2010 建议的配置方法中，他们需要基于 Cookie 的相关性。

注意

如果决定为 HLB 开启基于 Cookie 的相关性，那么即使环境不需要，这样做也没有问题。

如果环境不需要基于 Cookie 的相关性：

• 在端口 443 的反向代理发布规则上，将 “转发主机标头 ”设置为 “True”。 这可确保转发原始 URL。

对于确实需要基于 Cookie 的相关性的部署：

• 在端口 443 的反向代理发布规则上，将 “转发主机标头 ”设置为 “True”。 这可确保转发原始 URL。

• 硬件负载均衡器 Cookie 不得 标记为 httpOnly。

• 硬件负载均衡器 Cookie 不得 具有过期时间。

• 硬件负载均衡器 Cookie 必须 命名为 MS-WSMAN (这是 Web 服务所需的值，不能) 更改该值。

• 必须在传入 HTTP 请求 没有 Cookie 的每个 HTTP 响应中设置硬件负载均衡器 Cookie，而不管同一 TCP 连接上的先前 HTTP 响应是否获得了 Cookie。 如果硬件负载均衡器将 Cookie 插入优化为每个 TCP 连接仅发生一次， 则不得 使用该优化。

注意

HLB 配置通常使用源关联和 20 分钟的 TCP 会话生存期，这适用于Skype for Business Server及其客户端，因为会话状态是通过客户端使用和/或应用程序交互来维护的。

如果部署移动设备，则您的 HLB 必须能对 TCP 会话中的各个请求进行负载平衡（实际上，您需要能基于目标 IP 地址对单个请求进行负载平衡）。

重要

F5 HLB 有一个名为 OneConnect 的功能。 该功能确保一个 TCP 连接中的每个请求是单独进行负载平衡的。 如果部署的是移动设备，请确保您的 HLB 供应商支持这同一功能。 最新的 iOS 移动应用程序需要 TLS 1.2 版。 如果需要了解更多，F5 提供了专门针对这一要求的设置。

下面是 (可选) 控制器的 HLB 要求，以及前端池 Web 服务) 所需的 (：

• 对于内部 Web 服务 VIP，请在 HLB 上 (内部端口 80、443) 设置Source_addr持久性。 对于Skype for Business Server，Source_addr持久性意味着来自单个 IP 地址的多个连接始终发送到一个服务器，以保持会话状态。

• 使用 TCP 空闲超时 1800 秒。

• 在反向代理与下一跃点池的 HLB 之间的防火墙上，创建一个规则以允许端口 4443 上的流量从反向代理到 HLB。 需要将 HLB 配置为侦听端口 80、443 和 4443。

HLB 相关性要求摘要

客户端/用户位置	外部 Web 服务 FQDN 关联要求	内部 Web 服务 FQDN 相关性要求
Skype for Business Web应用 (内部和外部用户) 移动设备（内部和外部用户）	无相关性	源地址相关性
仅) Skype for Business Web应用 (外部用户 移动设备（内部和外部用户）	无相关性	源地址相关性
仅) Skype for Business Web应用 (内部用户 移动设备（未部署）	无相关性	源地址相关性

HLB 的端口监视

在硬件负载均衡器上定义端口监视，以确定特定服务何时因硬件或通信故障而不再可用。 例如，如果前端服务器服务 (RTCSRV) 停止，因为前端服务器或前端池发生故障，则 HLB 监视还应停止接收 Web 服务上的流量。 应在 HLB 上实施端口监视来监视 HLB 外部接口的以下信息：

虚拟 IP/端口	节点端口	节点计算机/监视器	持久性配置文件	注释
<池>web_mco_443_vs 443	4443	前端 5061	无	HTTPS
<池>web_mco_80_vs 80	8080	前端 5061	无	HTTP

硬件和软件要求

我们在 Skype for Business Server 2015 的总体服务器要求和 Skype for Business Server 2019系统要求中介绍了边缘服务器硬件和软件要求。

并置

我们在拓扑基础知识文档中介绍了边缘服务器并置Skype for Business Server。