商務用 Skype Server 中的Edge Server系統需求

總結：瞭解 商務用 Skype Server 中 Edge Server 的系統需求。

當您 商務用 Skype Server Edge Server 部署時，這些是針對環境中的伺服器或伺服器，以及規劃環境結構所必須執行的動作。 如需拓撲、DNS、憑證及其他基礎結構問題的詳細資訊，請參閱環境需求檔。

元件

在討論Edge Server環境時，我們會參照通常部署在周邊網路 (的元件，其內容是位於工作組或 商務用 Skype Server網域結構) 外部的網域中。

請記住，這些是成功部署Edge時必須記住的元件：

• Edge Servers

• 反向 Proxy

• 防火牆

• 主管 (這些是選用專案，如果包含這些專案，則它們位於您的內部網路)

• 負載平衡器 (您可以有 DNS 負載平衡或硬體負載平衡器 (HLB) ，但對於單一 Edge Server，這不需要)

我們已在下列各節中提供下列各部分的詳細資訊：

Edge Servers

這些是部署在周邊環境中的 商務用 Skype 伺服器。 他們的角色是傳送和接收網路流量給來賓，以取得您內部 商務用 Skype Server 部署所提供的服務。 若要成功執行此動作，每個Edge Server都會執行：

• Access Edge 服務：為輸出和輸入工作階段初始通訊協定 (SIP) 流量提供單一且受信任的連接點。

• Web Conferencing Edge 服務：可讓來賓加入您內部 商務用 Skype Server 環境中託管的會議。

• A/V Edge 服務：讓來賓可以使用音訊、視訊、應用程式共用和檔案傳輸。

• XMPP Proxy 服務：接受並傳送可延伸訊息和目前狀態通訊協定 (XMPP) 郵件的收件者與來自已設定的 XMPP 同盟合作夥伴。

獲授權的來賓可以使用您的Edge Server連線到您的內部 商務用 Skype Server 部署，但若不行，則不會為任何人提供您內部網路的其他存取權。

備註

Edge Server 的部署是為了在同盟案例) 中為啟用 商務用 Skype 用戶端及其他 Edge Server (提供連線。 您無法從其他端點用戶端或伺服器類型連線。 XMPP 閘道伺服器可以允許與已設定的 XMPP 合作夥伴連線。 但同樣地，這些是唯一可以運作的用戶端和同盟類型。

備註

XMPP 閘道和 Proxy 於 商務用 Skype Server 2015 年推出，但在 商務用 Skype Server 2019 中不再支援。 如需詳細資訊，請參閱 移轉 XMPP 同盟 。

反向 Proxy

反向 Proxy (RP) 伺服器沒有 商務用 Skype Server 角色，但卻是 Edge Server 部署不可或缺的元件。 反向 Proxy 可讓來賓：

• 使用簡單的 URL 連線至會議或電話撥入式會議。

• 下載會議內容。

• 展開通訊群組。

• 取得以用戶為基礎的客戶端憑證驗證憑證

• 從通訊簿伺服器下載檔案，或將查詢提交到通訊簿 Web 查詢服務。

• 取得客戶端和裝置軟體的更新。

而對於行動裝置：

• 這可讓他們自動探索提供行動服務的 Front End Servers。

• 它可從 Microsoft 365 或 Office 365 推入通知到行動裝置。

我們目前的反向 Proxy 建議可在 商務用 Skype 電話語音基礎結構] 頁面上找到。 因此，反向 Proxy：

• 應該可以使用透過公用憑證導入您環境 (TLS) 傳輸層安全性，以連線到已發佈的外部 Web 服務：

  • 目錄或目錄集區

  • 前端伺服器或前端集區

• 需要能夠使用加密憑證發佈內部網站，或視需要透過未加密的方式發佈網站。

• 應該可以使用完整域名發佈外部內部託管的網站 (FQDN) 。

• 必須能夠發佈您託管網站的所有內容。 根據預設，您可以使用 /\* 指令，這是大多數網頁伺服器所辨識的，表示「發佈網頁伺服器上的所有內容」。您也可以修改指令，例如 /Uwca/\*，也就是「發佈虛擬目錄 Ucwa 底下的所有內容」。

• 必須與用戶端的 TLS 連線要求您已發佈網站的內容。

• 必須接受具有主體替代名稱 (SAN) 項的憑證。

• 必須能夠允許憑證系結到外部 Web 服務 FQDN 解決的聆聽者或介面。 聆聽者設定比介面更適合。 您可以在單一介面上設定許多聆聽者。

• 必須允許設定主機標題處理。 通常，要求用戶端傳送的原始主機標題必須透明傳遞，而非由反向 Proxy 修改。

• 應允許將 TLS 流量從一個外部定義的埠 (，例如 TCP 443) 到另一個定義的埠 (，例如 TCP 4443) 。 反向 Proxy 可能會解密收據上的封包，然後在傳送時重新加密封包。

• 應允許從一個埠將未加密的 TCP 流量從一個埠 (，例如 TCP 80) 到另一個 (，例如 TCP 8080) 。

• 需要允許設定或接受NTLM驗證、無驗證及傳遞驗證。

如果您的反向 Proxy 可以滿足此列表中的所有需求，您應該可以開始使用，但請記住本節開頭所提供的連結所提供的建議。

防火牆

您必須將Edge部署置於外部防火牆後方，但我們建議在Edge環境和內部環境之間有兩個防火牆、一個外部和一個內部。 我們案例中的所有檔都有兩個防火牆。 我們建議使用兩個防火牆，因為這可確保從一個網路邊緣嚴格路由到另一個防火牆，並使內部網路的防火牆保護更完善。

董事

這是選擇性的角色。 它可以是單一伺服器或執行目錄角色的伺服器集區。 這是在內部 商務用 Skype Server 環境中找到的角色。

Director 是一個內部的下一個躍點伺服器，會從目的地為內部伺服器的 Edge Server 接收輸入 SIP 流量 商務用 Skype Server。 它會預先撰寫輸入要求，並將它們重新導向到使用者的家用集區或伺服器。 此預先驗證可讓您捨棄無法辨認的用戶帳戶要求。

為什麼這很重要？ 對於 Director 來說，重要功能是保護 Standard Edition 伺服器和前端伺服器或前端集區，避免惡意流量，例如阻斷服務 (DoS) 攻擊。 如果您的網路被無效的外部流量淹沒，則在 [目錄] 的流量會停止。

負載平衡器

商務用 Skype Server 已縮放的合併Edge拓撲已針對新部署的 DNS 負載平衡優化，建議您這麼做。 如果您需要高可用性，建議您針對下列特定方式使用硬體負載平衡器：

• 在 Exchange 2013 之前 使用 Exchange UM 的遠端使用者的 Exchange UM。

重要

請注意，您無法混用負載平衡器是很重要的。 在您的 商務用 Skype Server 環境中，所有介面都必須使用 DNS 或 HLB。

備註

商務用 Skype Server 不支援直接伺服器 (傳回 DSR) DSR 商務用 Skype Server。

執行 A/V Edge 服務的 Edge Servers Edge 伺服器的硬體負載平衡器需求

對於任何執行 A/V Edge 服務的 Edge Server，需求如下：

• 關閉內部和外部埠的 TCP 撥號 443 (是將數個小封包合併成單一較大的封包，以便更有效率地傳輸) 。

• 關閉外部埠範圍 50000 - 59999 的 TCP 撥號。

• 請勿在內部或外部防火牆上使用 NAT。

• 您的Edge內部介面必須位於與Edge Server外部介面不同的網路上，而且必須停用它們之間的路由。

• 任何執行 A/V Edge 服務的 Edge 伺服器外部介面，都必須在任何 Edge 外部 IP 位址上使用可公開路由的 IP 位址，以及不使用 NAT 或埠翻譯。

HLB 需求

商務用 Skype Server的 Cookie 型親和性需求並不多。 因此，您不需要使用 Cookie 型持續性，除非 (且這是 商務用 Skype Server 2015 年特有的) 您在 商務用 Skype Server 環境中會有 Lync Server 2010 前端伺服器或前端集區。 在 Lync Server 2010 建議的組態方法中，他們需要 Cookie 型親和力。

備註

如果您決定開啟 HLB 的 Cookie 型親和力，即使您的環境不需要它，這樣做也不會有問題。

如果您的環境 不需要 Cookie 型親和力：

• 在埠 443 的反向 Proxy 發佈規則中，將 Forward host header 設為 True。 這可確保轉寄原始 URL。

針對 需要 Cookie 型親和力的部署：

• 在埠 443 的反向 Proxy 發佈規則中，將 Forward host header 設為 True。 這可確保轉寄原始 URL。

• 硬體負載平衡器 Cookie 不能 標示為 HTTPOnly。

• 硬體負載平衡器 Cookie 不得 有到期時間。

• 硬體負載平衡器 Cookie 必須 命名為 MS-WSMAN (這是 Web 服務預期的值，無法變更) 。

• 無論同一個 TCP 連線上先前的 HTTP 回應是否收到 Cookie，硬體負載平衡器 Cookie 都必須 設定在每個 HTTP 回應中，因為傳入的 HTTP 要求沒有 Cookie。 如果您的硬體負載平衡器將 Cookie 插入優化為每個 TCP 連線只執行一次，則 不得 使用該優化。

備註

HLB 設定通常會使用來源親和力和 20 分鐘的 TCP 會話存留期，這對 商務用 Skype Server 及其用戶端而言是沒關係的，因為會話狀態是透過用戶端使用量和/或應用程式互動來維持。

如果您要部署行動裝置，HLB 必須在 TCP 工作階段 (內載入平衡個別要求，您必須能夠根據目標 IP 位址) 來載入平衡個別要求。

重要

F5 HLB 有一項稱為 OneConnect 的功能。 這可確保 TCP 連線內的每個要求都個別載入平衡。 如果您要部署行動裝置，請確定您的 HLB 廠商支援相同的功能。 最新的 iOS 行動裝置 App 需要 TLS 版本 1.2。 如果您需要深入瞭解，F5 會為此提供特定設定。

以下是 (選用) Director 和 () 前端集區 Web 服務所需的 HLB 需求：

• 針對內部 Web Services VIP，在 HLB 上設定 (內部埠 80、443) Source_addr 持續性。 對於 商務用 Skype Server，Source_addr持續性表示來自單一IP位址的多個連線一律會傳送到一個伺服器，以維持會話狀態。

• 使用 1800 秒的 TCP 空閒時間。

• 在反向 Proxy 和下一個躍點集區 HLB 之間的防火牆上，建立規則以允許 HTTPs：埠 4443 上的流量，從反向 Proxy 到 HLB。 您的 HLB 必須設定為聆聽埠 80、443 和 4443。

HLB 親和力需求摘要

用戶端/使用者位置	外部 Web 服務 FQDN 親和需求	內部 Web 服務 FQSN 相關需求
商務用 Skype Web 應用程式 (內部和來賓) 行動裝置 (內部和來賓	沒有親和力	來源地址親和性
僅 商務用 Skype Web 應用程式 (來賓) 行動裝置 (內部和來賓	沒有親和力	來源地址親和性
僅 商務用 Skype Web 應用程式 (內部使用者) 行動裝置 (未部署)	沒有親和力	來源地址親和性

HLB 埠監控

您定義硬體負載平衡器上的埠監控，以判斷硬體或通訊失敗導致無法使用特定服務的時機。 例如，如果前端伺服器服務 (RTCSRV) 停止，因為前端伺服器或前端集區失敗，HLB 監控也應該停止接收 Web 服務的流量。 您應該實作 HLB 上的連接埠監控，以監視 HLB 外部介面：

虛擬IP/埠	節點埠	節點電腦/監視器	持續性配置檔	注釋
<集區>web_mco_443_vs 443	4443	前端 5061	無	HTTPS
<集區>web_mco_80_vs 80	8080	前端 5061	無	HTTP

硬體及軟體需求

我們在 2015 年 商務用 Skype Server 和 商務用 Skype Server 2019 檔的系統需求等整體伺服器需求中，涵蓋了 Edge Server 硬體和軟體需求。

搭配

我們已針對 商務用 Skype Server 檔的拓撲基本概念涵蓋Edge Server共同作業。