商務用 Skype Server 中的 Edge Server 系統需求
總結:瞭解 商務用 Skype Server 中 Edge Server 的系統需求。
當您商務用 Skype Server Edge Server 部署時,您必須針對環境中的伺服器執行這些工作,以及規劃環境結構。 如需拓撲、DNS、憑證及其他基礎結構問題的詳細資訊,請參閱環境需求檔。
元件
在討論 Edge Server 環境時,我們參照的元件大部分都是部署在周邊網路 (,也就是在工作組或商務用 Skype Server網域結構) 之外的網域中。
請記住,這些是您在順利部署 Edge 時需要記住的元件:
我們提供下列各項的詳細資訊:
Edge Servers
這些是部署在周邊環境中的商務用 Skype伺服器。 他們的角色是傳送和接收網路流量給外部使用者,以取得您的內部商務用 Skype Server部署所提供的服務。 若要成功執行此動作,每個 Edge Server 都會執行:
Access Edge 服務:為輸出和輸入會話初始通訊協定 (SIP) 流量提供單一且受信任的連接點。
Web Conferencing Edge 服務:讓外部使用者加入裝載于您內部商務用 Skype Server環境中的會議。
A/V Edge 服務:讓音訊、視訊、應用程式共用和檔案傳輸可供外部使用者使用。
XMPP Proxy 服務:接受並傳送可延伸訊息和目前狀態通訊協定 (XMPP) 郵件的收件者與來自已設定的 XMPP 同盟合作夥伴。
已授權的外部使用者可以使用您的 Edge Server 連線到內部商務用 Skype Server部署,否則他們無法為任何人提供您內部網路的其他存取權。
注意事項
Edge Server 的部署是為了在同盟案例) 中為啟用商務用 Skype用戶端及其他 Edge Server (提供連線。 您無法從其他端點用戶端或伺服器類型連線。 XMPP 閘道伺服器可以允許與已設定的 XMPP 合作夥伴連線。 但同樣地,這些是唯一可以運作的用戶端和同盟類型。
注意事項
XMPP 閘道和 Proxy 于 商務用 Skype Server 2015 年推出,但在 商務用 Skype Server 2019 中不再支援。 如需詳細資訊,請參閱 移轉 XMPP 同盟 。
反向 Proxy
反向 Proxy (RP) 伺服器沒有商務用 Skype Server角色,但卻是 Edge Server 部署不可或缺的元件。 反向 Proxy 可讓外部使用者:
使用簡單的 URL 連線至會議或電話撥入式會議。
下載會議內容。
展開通訊群組。
取得以使用者為基礎的用戶端憑證驗證憑證
從通訊錄服務器下載檔案,或將查詢提交到通訊錄 Web 查詢服務。
取得用戶端和裝置軟體的更新。
而對於行動裝置:
這可讓他們自動探索提供行動服務的 Front End Servers。
它可從 Microsoft 365 或 Office 365 推入通知到行動裝置。
我們目前的反向 Proxy 建議可在 商務用 Skype 的Telephony 基礎結構頁面上找到。 因此,反向 Proxy:
應該可以使用透過公用憑證導入您環境的 TLS) (傳輸層安全性,以連線到已發佈的外部 Web 服務:
目錄或目錄集區
前端伺服器或前端集區
需要能夠使用加密憑證發佈內部網站,或視需要透過未加密的方式發佈網站。
應該可以使用完整功能變數名稱發佈外部內部託管的網站 (FQDN) 。
必須能夠發佈您託管網站的所有內容。 根據預設,您可以使用 /\ * 指令,這是大多數網頁伺服器所辨識的,表示「發佈網頁伺服器上的所有內容」。您也可以修改指令,例如 /Uwca/\*,也就是「發佈虛擬目錄 Ucwa 底下的所有內容」。
必須與用戶端的 TLS 連線要求您已發佈網站的內容。
必須接受具有主體替代名稱 (SAN) 項的憑證。
必須能夠允許將憑證系結到外部 Web 服務 FQDN 將解決的聆聽者或介面。 聆聽者設定比介面更適合。 您可以在單一介面上設定許多聆聽者。
必須允許設定主機標題處理。 通常,要求用戶端傳送的原始主機標題必須透明傳遞,而非由反向 Proxy 修改。
應允許將 TLS 流量從一個外部定義的埠 (,例如 TCP 443) 到另一個定義的埠 (,例如 TCP 4443) 。 反向 Proxy 可能會解密收據上的封包,然後在傳送時重新加密封包。
應允許從一個埠將未加密的 TCP 流量從一個埠 (,例如 TCP 80) 到另一個 (,例如 TCP 8080) 。
需要允許設定或接受 NTLM 驗證、無驗證及傳遞驗證。
如果您的反向 Proxy 可以滿足此清單中的所有需求,您應該可以開始使用,但請記住我們上述提供的連結所提供的建議。
防火牆
您必須將 Edge 部署置於外部防火牆後方,但我們建議在 Edge 環境和內部環境之間有兩個防火牆、一個外部和一個內部。 我們案例中的所有檔都會有兩個防火牆。 我們建議使用兩個防火牆,因為這可確保從一個網路邊緣嚴格路由到另一個防火牆,並使內部網路的防火牆保護更完善。
董事
這是選擇性的角色。 它可以是單一伺服器或執行目錄角色的伺服器集區。 這是在內部商務用 Skype Server環境中找到的角色。
Director 是一個內部的下一個躍點伺服器,會從 Edge Server 接收輸入 SIP 流量,並前往商務用 Skype Server內部伺服器。 它會預先撰寫輸入要求,並將它們重新導向到使用者的家用集區或伺服器。 此預先驗證可讓您捨棄無法辨認的使用者帳戶要求。
為什麼這很重要? Director 的一項重要功能是保護 Standard Edition 伺服器和前端伺服器或前端集區,避免惡意流量,例如阻斷服務 (DoS) 攻擊。 如果您的網路被不正確外部流量淹沒,則在 [目錄] 的流量會停止。
負載平衡器
商務用 Skype Server已縮放的合併 Edge 拓撲已針對新部署的 DNS 負載平衡優化,我們建議您這麼做。 如果您需要高可用性,建議您針對下列特定情況使用硬體負載平衡器:
- 在 Exchange 2013 之前 使用 Exchange UM 的遠端使用者的 Exchange UM。
重要
請注意,您無法混用負載平衡器是很重要的。 在您的商務用 Skype Server環境中,所有介面都必須使用 DNS 或 HLB。
注意事項
商務用 Skype Server不支援直接伺服器傳回 (DSR) NAT。
執行 A/V Edge 服務的 Edge Servers Edge 伺服器的硬體負載平衡器需求
對於任何執行 A/V Edge 服務的 Edge Server,需求如下:
關閉內部和外部埠的 TCP 撥號 443 (是將數個小封包合併成單一較大的封包,以便更有效率地傳輸) 。
關閉外部埠範圍 50000 - 59999 的 TCP 撥號。
請勿在內部或外部防火牆上使用 NAT。
您的 Edge 內部介面必須位於與 Edge Server 外部介面不同的網路上,而且必須停用它們之間的路由。
任何執行 A/V Edge 服務的 Edge 伺服器外部介面,都必須在任何 Edge 外部 IP 位址上使用可公開路由的 IP 位址,以及不使用 NAT 或埠翻譯。
HLB 需求
商務用 Skype Server沒有很多 Cookie 型親和力需求。 因此,您不需要使用 Cookie 型持續性,除非 (,而且這是商務用 Skype Server 2015 年特有的) 您在 商務用 Skype Server 環境中會有 Lync Server 2010 前端伺服器或前端集區。 在 Lync Server 2010 建議的組態方法中,他們需要 Cookie 型親和力。
注意事項
如果您決定開啟 HLB 的 Cookie 相關性,即使您的環境不需要 Cookie,這麼做也不會有問題。
如果您的環境 不需要 Cookie 型親和力:
- 在埠 443 的反向 Proxy 發佈規則中,將 Forward host header 設為 True。 這樣可確保轉寄原始 URL。
針對 需要 Cookie 型親和力的部署:
在埠 443 的反向 Proxy 發佈規則中,將 Forward host header 設為 True。 這樣可確保轉寄原始 URL。
硬體負載平衡器 Cookie 不能 標示為 HTTPOnly。
硬體負載平衡器 Cookie 不得 有到期時間。
硬體負載平衡器 Cookie 必須 命名為 MS-WSMAN (這是 Web 服務預期的值,無法變更) 。
無論同一個 TCP 連線上先前的 HTTP 回應是否收到 Cookie,硬體負載平衡器 Cookie 都必須 設定在每個 HTTP 回應中,因為傳入的 HTTP 要求沒有 Cookie。 如果您的硬體負載平衡器將 Cookie 插入優化為每個 TCP 連線只執行一次,則 不得 使用該優化。
注意事項
HLB 設定通常會使用來源親和力和 20 分鐘的 TCP 會話存留期,這對商務用 Skype Server及其用戶端而言是沒關係的,因為會話狀態是透過用戶端使用量及/或應用程式互動來維持。
如果您要部署行動裝置,HLB 必須在 TCP 會話 (內載入平衡個別要求,您必須能夠根據目標 IP 位址) 來載入平衡個別要求。
重要
F5 HLB 有一項稱為 OneConnect 的功能。 這可確保 TCP 連線內的每個要求都個別載入平衡。 如果您要部署行動裝置,請確定您的 HLB 廠商支援相同的功能。 最新的 iOS 行動裝置 App 需要 TLS 版本 1.2。 如果您需要深入瞭解,F5 會為此提供特定設定。
以下是 (選用) Director 和 () 前端集區 Web 服務所需的 HLB 需求:
針對內部 Web Services VIP,在 HLB 上設定 (內部埠 80、443) Source_addr持續性。 對於商務用 Skype Server,Source_addr持續性表示來自單一 IP 位址的多個連線一律會傳送到一個伺服器,以維持會話狀態。
使用 TCP 閒置逾時 1800 秒。
在反向 Proxy 和下一個躍點集區 HLB 之間的防火牆上,建立規則以允許 HTTPs:埠 4443 上的流量,從反向 Proxy 到 HLB。 您的 HLB 必須設定為聆聽埠 80、443 和 4443。
HLB 親和力需求摘要
| 用戶端/使用者位置 | 外部 Web 服務 FQDN 親和需求 | 內部 Web 服務 FQSN 相關需求 |
|---|---|---|
| 商務用 Skype Web 應用程式 (內部和外部使用者) 行動裝置 (內部和外部使用者 |
沒有親和力 |
來源位址親和性 |
| 商務用 Skype Web 應用程式 (外部使用者只能) 行動裝置 (內部和外部使用者 |
沒有親和力 |
來源位址親和性 |
| 僅商務用 Skype Web 應用程式 (內部使用者) 行動裝置 (未部署) |
沒有親和力 |
來源位址親和性 |
HLB 埠監控
您定義硬體負載平衡器上的埠監控,以判斷硬體或通訊失敗導致無法使用特定服務的時機。 例如,如果前端伺服器服務 (RTCSRV) 停止,因為前端伺服器或前端集區失敗,HLB 監控也應該停止接收 Web 服務的流量。 您應該實作 HLB 上的埠監控,以監視 HLB 外部介面的下列專案:
| 虛擬 IP/埠 | 節點埠 | 節點電腦/監視器 | 持續性設定檔 | 注釋 |
|---|---|---|---|---|
| <集區 > web_mco_443_vs 443 |
4443 |
前端 5061 |
無 |
HTTPS |
| <集區 > web_mco_80_vs 80 |
8080 |
前端 5061 |
無 |
HTTP |
硬體及軟體需求
我們在2015 年 商務用 Skype Server 和 商務用 Skype Server 2019檔的系統需求等整體伺服器需求中,涵蓋了 Edge Server 硬體和軟體需求。
搭配
我們已針對商務用 Skype Server檔的拓撲基本概念涵蓋 Edge Server 的分組。