Componentes necessários para o acesso de usuário externo

 

Tópico modificado em: 2012-10-17

A maioria dos componentes de Borda é implantada em uma rede de perímetro (também conhecida como sub-rede filtrada). Os componentes a seguir compõem a topologia de borda da rede de perímetro. Exceto quando indicado, os componentes fazem parte de todas as três arquiteturas de referência e estão na rede de perímetro. Os componentes de Borda incluem:

  • Servidores de borda

  • Proxy reverso

  • Balanceamento de carga para Topologias de Borda Dimensionadas (balanceamento de carga DNS ou um balanceador de carga de hardware)

  • Firewall

  • Diretor (na rede interna)

Servidor de Borda

O Servidor de Borda controla o tráfego pelo firewall e o uso da implantação interna por usuários externos. O Servidor de Borda executa os seguintes serviços:

  • Serviço de Borda de Acesso   O Serviço de Borda de Acesso fornece um ponto de conexão único e confiável para o tráfego de saída e de entrada do protocolo SIP.

  • Serviço de Borda de Webconferência   O Serviço de Borda de Webconferência permite que os usuários externos ingressem em reuniões hospedadas em sua implantação interna do Microsoft Lync Server 2010.

  • Serviço de Borda A/V   O Serviço de Borda A/V disponibiliza o compartilhamento de áudio, vídeo e aplicativo e a transferência de arquivos para usuários externos. Os usuários podem adicionar áudio e vídeo às reuniões que incluam participantes externos e também diretamente com um usuário externo em sessões ponto a ponto. O Serviço de Borda A/V também fornece suporte para compartilhamento de área de trabalho e transferência de arquivo.

Os usuários externos autorizados podem acessar os Servidores de Borda para se conectar à sua implantação interna do Lync Server, mas os Servidores de Borda não fornecem nenhum outro acesso à rede interna.

noteObservação:
Os servidores de borda são implantados para fornecer conexões para os clientes do Lync e outros servidores de borda (como em outros cenários de federação) habilitados. Eles não são projetados para permitir conexões a partir de outros tipos de cliente ou servidor de ponto final. O servidor Gateway XMPP pode ser implantado para permitir conexões com parceiros XMPP configurados. O servidor de borda e Gateway XMPP somente pode suportar conexões de ponto final a partir desses tipos de clientes e federação.

Proxy reverso

Um proxy reverso é um componente de infraestrutura necessário para a maioria dos cenários que são habilitados como parte do Microsoft Lync Server 2010. A maioria das implantações usa o proxy reverso existente que já tiver sido instalado e configurado para uso na sua organização. Normalmente, existem novas regras de publicação que serão necessárias e nenhuma alteração nas regras do seu servidor de proxy existente será necessária. Certificados novos ou atualizados são típicos para lidar com novas regras de publicação. Os tipos de proxies reversos incluem, mas não são limitados a:

  1. Microsoft Internet e Acceleration Server (ISA) 2006 com Service Pack 1

    A configuração do Microsoft Threat Management Gateway 2010 básico é usada para o exemplo de implantação em Implantando Servidores de Borda. O Microsoft Threat Management Gateway 2010, Microsoft Internet e Acceleration Server (ISA) 2006 com Service Pack 1 são semelhantes no modo como você configura a publicação para o Lync Server 2010. Para obter detalhes, consulte Configurar as regras de publicação na Web para um único pool interno na Documentação de Implantação.

  2. Microsoft Threat Management Gateway (TMG) 2010

    Para obter detalhes sobte com configurar o Microsoft Threat Management Gateway (TMG) 2010 como um proxy reverso para a sua implantaçãod do Lync Server 2010, consulte Configurar as regras de publicação na Web para um único pool interno na Documentação de Implantação.

  3. Os servidores de proxy reverso de terceiros que podem ser configurados para publicar conteúdo HTTP e HTTPS interno

  4. Os firewalls de terceiros que incluem a capacidade de publicar conteúdo HTTP e HTTPS interno

  5. Outros dispositivos e utensílios não listados, como balanceadores de carga de hardware e utensílios d e máquina de conteúdo HTTP também pode ser capazes de fornecer as funções necessárias

Para obter informações sobre configuração de dispositivos, servidores e utensílios de terceiros, consulte a documentação do fornecedor sobre como configurar a publicação.

importantImportante:
A colocação do Servidor de Borda e de um proxy reverso não é uma opção de configuração válida. O Servidor de Borda deve manter como uma função proposta exclusiva para gerenciar o protocolo de iniciação de sessão, recursos de Webconferência e áudio/vídeo (bem como outros tipos de mídia) para a sua implantação.

O proxy reverso é necessário para o seguinte:

  • Permitir que os usuários se conectem às reuniões ou conferências discadas usando URLs simples

  • Permitir que os usuários externos baixem o conteúdo da reunião

  • Habilitar os usuários externos a expandir grupos de distribuição

  • Permitir que o usuário obtenha um certificado baseado no usuário para autenticação com base no certificado cliente

  • Permitir que os usuários remotos baixem arquivos do Servidor de Catálogo de Endereço ou enviem consultas ao serviço Address Book Web Query

  • Permitir que os usuários remotos obtenham atualizações para softwares clientes ou de dispositivo

  • Permitir que os dispositivos móveis descubram automaticamente os Servidores Front-End que oferecem serviços de mobilidade

  • Permitir notificações por push para dispositivos móveis dos serviços de notificação por push do Office 365 ou da Apple

noteObservação:
Os usuários externos não precisam de uma conexão VPN com sua organização para participar de comunicações com base em Lync Server. Os usuários externos que não estão conectados à rede interna de sua organização sobre uma VPN ignoram o proxy reverso.

Firewall

É possível implantar sua topologia de borda com apenas um firewall externo ou com firewalls internos e externos. As arquiteturas de referência incluem dois firewalls. O uso de dois firewalls é a abordagem recomendada, pois garante o roteamento estrito de uma borda de rede para a outra, e protege sua implantação interna atrás de dois níveis de firewall.

Diretor

No Lync Server 2010 um Diretor é uma função de servidor separada no Lync Server 2010 que não hospeda contas de usuário, ou fornece serviços de presença ou conferência. Em vez disso, ele pode servir como um servidor de próximo salto interno ao qual um Servidor de Borda encaminha o tráfego SIP de entrada destinado aos servidores internos. O Diretor autentica as solicitações de entrada e as redireciona ao pool ou servidor doméstico do usuário.

Se a organização for habilitar o acesso externo, será recomendável implantar um Diretor. Ao autenticar o tráfego SIP de entrada de usuários remotos, O Diretor libera os servidores Standard Edition e os Servidores Front-End nos pools Front-End do Enterprise Edition da sobrecarga de realizar a autenticação de usuários remotos. Também ajuda a isolar os servidores Standard Edition de Servidores Front-End nos pools Front-End do Enterprise Edition do tráfego mal-intencionado como ataques DoS (negação de serviço). Se a rede ficar saturada com tráfego externo inválido graças a um ataque como esse, esse tráfego terminará no Diretor e os usuários internos não devem ver nenhum efeito sobre o desempenho. Para obter detalhes sobre o uso de Diretores, consulte Diretor.

Balanceadores de carga de hardware

A topologia de Borda consolidada e dimensionada do Lync Server 2010 é otimizada para balanceamento de carga DNS para novas implantações que estão federando principalmente com outras organizações que estão usando o Lync Server 2010. Se a alta disponibilidade for necessária para qualquer um dos cenários a seguir, um balanceador de carga de hardware deverá ser usado nos pools do Servidor de Borda para o seguinte:

  • Federação com organizações que usam o Office Communications Server 2007 R2 ou o Office Communications Server 2007

  • UM do Exchange para usuários remotos

  • Conectividade com usuários de IM pública

Para determinar se seu balanceador de carga de hardware suporta os recursos exigidos pelo Lync Server 2010, consulte "Lync Server 2010 Load Balancer Partners" em https://go.microsoft.com/fwlink/?linkid=202452&clcid=0x416.

Requisitos do Balanceador de carga de hardware – Requisitos gerais

  • A conversão de endereço de rede de destino (DNAT), que usa o endereço IP do destino de entrada de IP virtual (VIP) do balanceador de carga, é convertido para o endereço IP de destino do servidor. Seu fornecedor do balanceador de carga pode sugerir o uso de NAT de Origem (SNAT). Considere cuidadosamente que tipo de NAT você usa e esteja ciente de que esse NAT é exclusivo para o HLB e é uma relação entre o VIP HLB e os servidores hospedados. Ele não é semelhante ao NAT gerenciado em firewalls de perímetro.

  • Use a afinidade da origem (também conhecida como afinidade do TCP - verifique a documentação do fornecedor). Todo o tráfego em uma única sessão deve ser associado ao mesmo destino (ou seja, o servidor). No caso de existirem várias sessões de uma única fonte, as sessões podem ser associados a diferentes servidores de destino - usando a afinidade de origem para fornecer o estado da sessão.

  • A menos que outras informações (as necessidades de desempenho, definições de testes, normas ou documentação do fornecedor) sejam determinadas, o Tempo limite de ociosidade do TCP deve ser ajustado para 30 minutos (1800 segundos).

warningAviso:
Não é possível usar o balanceamento de carga DNS em uma interface e um balanceamento de carga de hardware em outra. É necessário usar o balanceamento de carga de hardware em ambas as interfaces ou o balanceamento de carga DNS para ambos. Uma combinação é suportada.
noteObservação:
Se você estiver usando um balanceador de carga de hardware, o balanceador de carga implantado para conexões com a rede interna deverá ser configurado para balancear a carga somente do tráfego para o Serviço de Borda de Acesso e para o Serviço de Borda A/V. Não é possível balancear a carga do tráfego para o Serviço de Borda de Webconferência interna.
noteObservação:
O NAT do DSR (direct server return) não é suportado com o Lync Server 2010.

Requisitos do balanceador de carga de hardware para os Servidores de Borda executando o Serviço de Borda A/V

Veja a seguir os requisitos de balanceador de carga de hardware para Servidores de Borda executando o Serviço de Borda A/V:

Desative o nagling de TCP para as portas interna e externa 443. Nagling é o processo de combinação de diversos pacotes pequenos em um único pacote maior para uma transmissão mais eficiente.

  • Desative o nagling de TCP para o intervalo de porta externa 50.000 – 59.999.

  • Não use NAT no firewall interno ou externo.

  • A interface interna da borda precisa estar em uma rede diferente da interface externa do Servidor de Borda e o roteamento entre elas precisa ser desabilitada.

  • A interface externa do Servidor de Borda executando o Serviço de Borda A/V precisa usar os endereços IP publicamente roteáveis e não NAT ou conversão de porta em qualquer um dos endereços IP externos da borda.

Requisitos do balanceador de carga de hardware para Serviços Web

Veja a seguir os requisitos de balanceador de carga de hardware para os Serviços Web do Diretor e do pool Front-End:

  • Para os VIPs (IPs virtuais) dos Serviços Web externos, defina a persistência baseada em cookie em uma base por porta para as portas externas 4443 e 8080 no balanceador de carga de hardware. Para o Lync Server 2010, a persistência baseada em cookie significa que múltiplas conexões de um cliente são sempre enviadas a um servidor para manter o estado da sessão. Para configurar a persistência baseada em cookie, o balanceador de carga precisa descriptografar e criptografar novamente o tráfego SSL. Portanto, qualquer certificado atribuído ao FQDN dos Serviços Web externos também precisam receber o VIP 4443 do balanceador de carga de hardware.

  • Para os VIPs dos Serviços Web internos, defina a persistência Source_addr (porta interna 80, 443) no balanceador de carga de hardware. Para o Lync Server 2010, a persistência Source_addr significa que várias conexões provenientes de um único endereço IP são sempre enviadas a um servidor a fim de manter o estado da sessão.

  • Use o Tempo limite de ociosidade TCP de 1800 segundos.

  • No firewall entre o proxy reverso e o balanceador de carga de hardware do pool de próximo salto, crie uma regra para permitir o tráfego https: na porta 4443, a partir do proxy reverso para o balanceador de carga de hardware. O balanceador de carga de hardware precisa ser configurado para escutar nas portas 80, 443 e 4443.