通过

  • 项目

外部用户访问所需的组件

 

上一次修改主题: 2012-10-17

大多数边缘组件都部署在外围网络(也称为 DMZ、外围安全区域或屏蔽子网)中。以下组件组成了外围网络的边缘拓扑。这些组件是所有三个参考体系结构的一部分,并且处于外围网络中(除非另有说明)。边缘组件包括下列各项:

  • 边缘服务器

  • 反向代理

  • 扩展的边缘拓扑的负载平衡(DNS 负载平衡或硬件负载平衡器)

  • 防火墙

  • 控制器(在内部网络中)

边缘服务器

边缘服务器可控制跨防火墙的流量以及外部用户对内部部署的使用。边缘服务器运行下列服务:

  • 访问边缘服务 访问边缘服务可为出站和入站会话初始协议 (SIP) 流量提供单一的受信任连接点。

  • Web 会议边缘服务 通过 Web 会议边缘服务,外部用户可以加入在内部 Microsoft Lync Server 2010 部署上承载的会议。

  • A/V 边缘服务 通过 A/V 边缘服务,音频、视频、应用程序共享和文件传输可供外部用户使用。用户可以向包含外部参与者的会议添加音频和视频,并且可以在点对点会话中直接与外部用户共享音频和视频。A/V 边缘服务还为桌面共享和文件传输提供支持。

授权的外部用户可以访问边缘服务器,以便连接到您的内部 Lync Server 部署,但边缘服务器不提供对内部网络的任何其他访问。

note注意:
边缘服务器的部署旨在为已启用的 Lync 客户端和其他边缘服务器提供连接(与联盟应用场景一样)。它们的设计不允许来自其他端点客户端或服务器类型的连接。可以部署 XMPP 网关服务器以允许与配置的 XMPP 合作伙伴之间的连接。边缘服务器和 XMPP 网关仅支持来自这些客户端和联盟类型的端点连接。

反向代理

反向代理是您作为 Microsoft Lync Server 2010 的一部分启用的大多数应用场景的必需基础架构组件。大多数部署都使用组织中已安装并配置为供组织使用的现有反向代理。通常,将需要新的发布规则并保持现有代理服务器规则不变。新的或更新的证书是处理新的发布规则的常用证书。反向代理的类型包括(但不限于)以下几种:

  1. Microsoft Internet and Acceleration Server (ISA) 2006(带有 Service Pack 1)

    基本 Microsoft Threat Management Gateway 2010 的配置用于部署边缘服务器中的部署示例。Microsoft Threat Management Gateway 2010 和 Microsoft Internet and Acceleration Server (ISA) 2006(带有 Service Pack 1)在如何配置 Lync Server 2010 的发布方面很类似。有关详细信息,请参阅部署文档中的为单个内部池配置 Web 发布规则

  2. Microsoft Threat Management Gateway (TMG) 2010

    有关如何将 Microsoft Threat Management Gateway (TMG) 2010 配置为 Lync Server 2010 部署的反向代理的详细信息,请参阅部署文档中的为单个内部池配置 Web 发布规则

  3. 可配置以发布内部 HTTP 和 HTTPS 内容的第三方反向代理服务器

  4. 包括发布内部 HTTP 和 HTTPS 内容功能的第三方防火墙

  5. 其他设备和装置则未列出,例如硬件负载平衡器和 HTTP 内容引擎装置也可能提供所需功能

有关第三方设备、服务器和装置的配置信息,请参阅第三方供应商提供的有关如何配置发布的文档。

important重要提示:
并置边缘服务器和反向代理不是有效的配置选项。边缘服务器必须保持为单用途角色才能管理部署的会话初始协议、Web 会议和音频/视频(以及其他媒体类型)功能。

反向代理是实现以下功能所必需的:

  • 允许用户使用简单 URL 连接到会议或电话拨入式会议

  • 允许外部用户下载会议内容

  • 允许外部用户扩展通讯组

  • 允许用户获取基于用户的证书以便进行基于客户端证书的身份验证

  • 允许远程用户从通讯簿服务器下载文件,或者向通讯簿 Web 查询服务提交查询

  • 允许远程用户获取客户端和设备软件的更新

  • 允许移动设备自动发现提供 Mobility Service 的前端服务器

  • 允许通过 Office 365 或 Apple 推送通知服务向移动设备发送推送通知

note注意:
外部用户无需与组织进行 VPN 连接,即可参与基于 Lync Server 的通信。通过 VPN 连接到组织内部网络的外部用户会绕过反向代理。

防火墙

可以在仅有外部防火墙的情况下部署边缘拓扑,也可以在外部防火墙和内部防火墙兼有的情况下部署边缘拓扑。参考体系结构具有两道防火墙。建议的方法是使用两道防火墙,因为这样可确保从一个网络边缘严格路由到另一网络边缘,并使内部部署享有两层防火墙的保护。

控制器

在 Lync Server 2010 中,控制器是 Lync Server 2010 承载的单独的服务器角色。控制器可用作内部的下一跃点服务器,边缘服务器会将发往内部服务器的入站 SIP 流量路由到它。控制器对入站请求进行身份验证,并将其重定向至用户的主池或主服务器。

如果组织打算启用外部访问,我们建议您部署控制器。通过对来自远程用户的入站 SIP 流量进行身份验证,控制器可以减少 Enterprise Edition 前端池中的 Standard Edition 服务器和前端服务器对远程用户执行身份验证的开销。它还可以帮助 Enterprise Edition 前端池中的 Standard Edition 服务器和前端服务器抵御恶意流量(如拒绝服务攻击 (DoS))的侵袭。如果网络受到此类攻击中无效外部流量的攻击,则这些流量将终止于控制器,内部用户应不会看到任何性能影响。有关使用控制器的详细信息,请参阅控制器

硬件负载平衡器

对于起初使用 Lync Server 2010 与其他组织建立联盟的新部署,Lync Server 2010 扩展的合并边缘拓扑已经为实现 DNS 负载平衡进行了优化。如果下列任何方案要求高可用性,则必须在边缘服务器池上对以下内容使用硬件负载平衡器:

  • 使用 Office Communications Server 2007 R2 或 Office Communications Server 2007 与组织建立联盟

  • 用于远程用户的 Exchange UM

  • 与公共 IM 用户的连接

要确定您的硬件负载平衡器是否支持 Lync Server 2010 必需的功能,请参阅“Lync Server 2010 负载平衡器合作伙伴”,网址为 https://go.microsoft.com/fwlink/?linkid=202452&clcid=0x804

硬件负载平衡器要求 – 一般注意事项

  • 使用负载平衡器虚拟 IP (VIP) 的传入目标 IP 地址的目标网络地址转换 (DNAT) 被转换为服务器的目标 IP 地址。您的负载平衡器供应商可能建议使用源 NAT (SNAT)。请慎重考虑使用何种类型的 NAT,并意识到此 NAT 对于 HLB 是唯一的,另外还是 HLB VIP 和托管服务器之间的关系。这与边界防火墙托管的 NAT 不同。

  • 使用源相关性(另称为 TCP 关系 – 查看供应商文档)。单个会话中的所有通信都应与同一目标(即服务器)关联。在多个会话源自单个源的情况中,会话可以与不同的目标服务器关联 – 使用源相关性提供会话状态。

  • 除非其他信息(性能需求、测试定义、标准或供应商文档)指明,否则 TCP 空闲超时应设置为 30 分钟(1800 秒)。

warning警告:
您不能对一个接口使用 DNS 负载平衡,而对另一个接口使用硬件负载平衡。必须对两个接口都使用硬件负载平衡,或者对两个接口都使用 DNS 负载平衡。不支持二者的组合使用。
note注意:
如果使用硬件负载平衡器,则部署为与内部网络连接的负载平衡器必须配置为仅对发往访问边缘服务和 A/V 边缘服务的流量进行负载平衡。它不能对发往内部 Web 会议边缘服务的流量进行负载平衡。
note注意:
Lync Server 2010 不支持直接服务器返回 (DSR) NAT。

运行 A/V 边缘服务的边缘服务器的硬件负载平衡器要求

下面是运行 A/V 边缘服务的边缘服务器的硬件负载平衡器要求:

对内部和外部端口 443 关闭 TCP nagling。Nagling 是将若干小数据包整合到单个大数据包以提高传输效率的过程。

  • 对端口范围为 50,000 – 59,999 的外部端口关闭 TCP nagling。

  • 请不要对内部或外部防火墙使用 NAT。

  • 边缘内部接口与边缘服务器外部接口必须位于不同的网络上,且必须禁用它们之间的路由。

  • 运行 A/V 边缘服务的边缘服务器的外部接口必须使用公开的可路由 IP 地址,且不对任何边缘外部 IP 地址进行 NAT 或端口转换。

Web 服务的硬件负载平衡器要求

以下是控制器和前端池 Web 服务的硬件负载平衡器要求:

  • 对于外部 Web 服务虚拟 IP (VIP),需对硬件负载平衡器上外部端口 4443 和 8080 分别设置基于 Cookie 的持久性。对于 Lync Server 2010,基于 Cookie 的持久性意味着始终向一台服务器发送来自单个客户端的多个连接,以维持会话状态。要配置基于 Cookie 的持久性,负载平衡器必须解密并重新加密 SSL 通信。因此,还必须向分配给外部 Web 服务 FQDN 的所有证书分配硬件负载平衡器的 4443 VIP。

  • 对于内部 Web 服务 VIP,在硬件负载平衡器上设置 Source_addr 持久性(内部端口 80 和 443)。对于 Lync Server 2010,Source_addr 持久性意味着始终向一台服务器发送来自单个 IP 地址的多个连接,以维持会话状态。

  • 使用 TCP 空闲超时 1800 秒。

  • 在反向代理和下一个跃点池的硬件负载平衡器之间的防火墙上,创建一条支持端口 4443 上从反向代理到硬件负载平衡器的 HTTPS 流量的规则。必须将硬件负载平衡器配置为侦听端口 80、443 和 4443。