规划Skype for Business Server的移动性
规划实现Skype for Business Server的移动性。
借助 Skype for Business Server,可以部署移动功能,以便在移动设备上提供Skype for Business Server功能。 本文提供有关移动功能的详细信息,并帮助你规划部署。
Skype for Business Server的移动性功能能够支持用于Skype for Business的移动客户端,以及可追溯到 2010 的 Lync 客户端。 部署后,用户可以使用受支持的 iOS、Android 和Windows Phone移动设备连接到Skype for Business Server部署,以利用多种不同的功能,包括企业语音功能。 我们在下面列出了部分列表,你还可以检查桌面客户端功能比较,以获取详细信息Skype for Business:
发送和接收消息
查看状态
查看联系人
单击加入会议
通过工号拨号
一号通
语音邮件
未接电话通知
IP 语音 (VoIP)
与会者视频 (H.264)
查看会议内容(PowerPoint 和桌面/应用程序共享)
所有这些功能均通过统一通信 Web API (UCWA) 实现。 UCWA 最初是在 Lync Server 2013 中引入的,它仍在用于Skype for Business Server。 还有一个用于与 Lync 2010 客户端通信的其他功能,即移动服务 (MCX) 。 这些是免费服务,允许 Lync Server 2010 和 2013 客户端以及Skype for Business客户端成功访问Skype for Business Server部署。
注意
MCX (移动服务) 在 2019 Skype for Business Server不再提供对旧版移动客户端的支持。 当前所有Skype for Business移动客户端都已使用统一通信 Web API (UCWA) 来支持即时消息 (即时消息) 、状态和联系人。 使用 MCX 的旧客户端的用户需要升级到当前客户端。
请务必注意,虽然所有这些功能在实现移动性后都可用,但它们在某些设备上的工作方式可能略有不同。 我们有一个网站,讨论哪些功能适用于哪些设备,移动客户端功能比较Skype for Business。 我们还在 规划客户端和设备中提供了一些出色的设备和 OS 信息。
移动性利用了自动发现功能,它允许客户端自动查找Skype for Business Server Web 服务,而无需用户输入任何 URL, (他们甚至不需要) 知道这些 URL。 如果你需要执行某些故障排除操作,仍支持手动输入 URL。
当Skype for Business应用不在后台 (中运行时,或者对于不支持在后台) 中运行的应用程序的移动设备,也支持推送通知。 当设备或应用处于非活动状态时,向移动设备发送关于所发生事件的推送通知。 例如,当手机处于非活动状态而错过 IM 消息时,就会发送推送通知(采用 Toast 或通知的形式,就像应用在后台运行时那样)。 借助推送通知,用户就不会错过 IM 或语音呼叫。
有关详细信息,请参阅以下部分:
移动组件
Skype for Business Server有四项服务构成移动性:
统一通信 Web API (UCWA)
为Skype for Business Server提供与移动和 Web 客户端的实时通信服务。 部署Skype for Business Server时,会在内部和外部 Web 服务中创建 UCWA 虚拟目录。 此虚拟目录中的虚拟组件接受支持 UCWA 的客户端发出的呼叫。 客户端应用程序通过表述性状态转移 (REST) 接口进行通信,用于:
presence - 状态
联系人
即时消息 (IM)
VoIP
视频会议
协作
UCWA 使用基于 P-GET 的通道发送事件,例如来电、传入的 IM 或者发送到客户端应用的消息。
移动性服务 (MCX)
支持移动设备上的Skype for Business Server功能,例如即时消息、状态和联系人。 出行服务安装在每个池中的每个前端服务器上,旨在支持移动设备上的Skype for Business Server功能。 安装 Skype for Business Server 2015 时,会在前端服务器上的内部和外部网站下创建一个新的虚拟目录 (Mcx) 。
注意
MCX (移动服务) 在 2019 Skype for Business Server不再提供对旧版移动客户端的支持。 当前所有Skype for Business移动客户端都已使用统一通信 Web API (UCWA) 来支持即时消息 (即时消息) 、状态和联系人。 使用 MCX 的旧客户端的用户需要升级到当前客户端。
自动发现服务
标识用户的位置,并使移动设备和其他Skype for Business客户端能够 (查找资源,例如Skype for Business Server Web 服务的内部和外部 URL、Mcx URL 或 UCWA URL) 无论网络位置如何。 自动发现功能使用硬编码的主机名(对于网络内部用户,为 lyncdiscoverinternal;对于网络外部用户,为 lyncdiscover)和用户的 SIP 域。 它支持使用 HTTP 或 HTTPS 的客户端连接。
自动发现服务安装在每个前端服务器和每个池中的每个控制器上,旨在支持移动设备上的Skype for Business Server功能。 安装该服务时,会在前端服务器和控制器的内部和外部网站下创建一个新的虚拟目录 (自动发现) 。
推送通知服务
基于云的服务,位于 Skype for Business Online 数据中心。 在未在后台运行的Skype for Business客户端的手机上,发生新事件时,将改为将错过事件的通知 (称为推送通知) 发送到移动设备。 出行服务 (MPNS) 向推送通知服务发送通知,然后将其发送到移动设备。 然后,用户可以在其移动设备上响应此通知,以激活应用。 此功能需要边缘服务器。
支持的拓扑
我们支持以下Skype for Business Server应用程序进行拓扑规划:
Mobility Standard Edition
移动Enterprise Edition
您应该能够将此功能与 Skype for Business Server 边缘服务器或 Lync Server 2013 边缘服务器配合使用。
出行服务与中介服务器角色并置时,前端服务器支持两个网络接口,但你需要采取适当的步骤来配置这些接口。 需要将 IP 地址分配给将作为中介服务器通信的特定接口,以及将作为前端服务器进行通信的网络 IP 接口。 为此,可以在拓扑生成器中为每个服务选择正确的 IP 地址,而不是使用默认的 “使用所有配置的 IP 地址 ”选项。
技术要求
针对移动用户可能遇到的各种移动应用程序方案做好规划非常重要。 例如,有些人可能在工作之余通过连接到 3G 网络使用移动应用,然后在工作时切换到公司 Wi-Fi 网络。 他们离开大楼时可能会切换到 4G。 现在进行规划有助于为这些网络转换提供支持并保证一致的用户体验。
DNS 配置
移动服务 Mcx 和 UCWA 以相同的方式使用 DNS。 利用自动发现,移动设备使用 DNS 定位资源。 在 DNS 查找期间,尝试连接到与内部 DNS 记录关联的 FQDN (lyncdiscoverinternal.[内部域名])。 如果无法使用内部 DNS 记录实现连接,将尝试进行第二次连接,这次将连接到外部 DNS 记录 (lyncdiscover.[sipdomain])。 为什么会有两个呢? 位于网络内部的移动设备可以使用内部自动发现 URL。 外部移动设备将使用外部自动发现 URL。 在任一情况下,自动发现服务都将返回用户主池的所有 Web 服务 URL,其中包括出行服务 (Mcx 和 UCWA) 。
预计外部自动发现请求将通过为Skype for Business Server配置的反向代理。 但是,内部出行服务 URL 和外部出行服务 URL 都与外部 Web 服务 FQDN 相关联。 因此,无论移动设备是网络内部还是外部设备,设备始终通过反向代理在外部连接到Skype for Business Server 出行服务。
注意
正如我们刚刚指出的,所有出行服务流量 (内部和外部) 都将通过反向代理。 但是,当内部通信通过某个接口离开,然后又只能返回到相同的接口时,偶尔会发生问题。 这可能会违反欺骗(之前称为 TCP 数据包欺骗)安全规则。 需要允许 头发固定 具有移动功能。
注意
如果已准备好执行此操作,还可以选择使用独立于防火墙 (的反向代理,出于安全考虑,应始终在防火墙) 强制实施欺骗防护。 这样,发夹可以发生在反向代理的外部接口,而不是防火墙的外部接口上。 这允许你在防火墙上正确检测欺骗,同时放宽反向代理的规则,并获取移动功能。
注意
如果采用此路由,请确保尽可能使用 DNS 主机或 CNAME 记录来定义发夹行为的反向代理 (而不是防火墙) 。
要支持企业网络内部和外部的用户,你需要执行几项配置操作。
这些是用于内部和外部 Web FQDN 的规则:
新的 CNAME 或 A(主机,如果是 IPv6,则为 AAAA)DNS 记录(用于自动发现)。
新防火墙规则(如果希望通过 Wi-Fi 网络支持推送通知)。
内部服务器证书和反向代理证书上的使用者可选名称,用于自动发现。
前端服务器硬件负载均衡配置更改源相关性。
以下是支持移动服务和自动发现服务所需的拓扑要求:
前端池内部 Web FQDN 必须与前端池外部 Web FQDN 不同。
内部 Web FQDN 必须仅解析为企业网络地址且仅能从企业网络内部进行访问。
外部 Web FQDN 必须仅解析为 Internet 地址且仅能从 Internet 进行访问。
对于企业网络内的用户,必须将出行服务 URL 地址发送到外部 Web FQDN。 此要求适用于出行服务,仅适用于此 URL。
对于企业网络外部的用户,请求必须转到前端池或控制器的外部 Web FQDN。
如果你支持自动发现,则需要为每个 SIP 域创建以下 DNS 记录:
内部 DNS 记录,用于支持从组织网络内部进行连接的移动用户。
外部或公共 DNS 记录,用于支持从 Internet 进行连接的移动用户。
应无法从内部网络外部对内部自动发现 URL 进行寻址。 应无法从网络内部对外部自动发现 URL 进行寻址。 但是,如果无法满足外部 URL 的此要求,可能也不会影响移动客户端的功能,因为始终会先尝试内部 URL。
端口和防火墙要求
我们已在其他文档中介绍了大部分内容,但具体而言,对于移动性,如果有任何用户驻留在 Survivable Branch Appliance (SBA) ,则需要在企业Wi-Fi网络上打开以下端口:
UcwaSipExternalListeningPort 需要 5088。
UcwaSipPrimaryListeningPort 需要 5089。
证书要求
如果对Skype for Business移动客户端使用自动发现,则需要修改证书上的 SAN (使用者可选名称) 列表,以支持来自移动客户端的安全连接。 如果已将证书准备就绪,则需要请求并分配包含此处所述 SAN 条目的新证书。 如果在环境中运行自动发现服务) ,则需要为每个前端服务器和控制器 (执行此操作。 我们还建议修改反向代理证书上的 SAN 列表,为组织中的每个 SIP 域添加 SAN 条目。
如果向内部 CA (证书颁发机构) 请求新证书,这应该是一个简单的过程,但公共证书更为复杂,并且重新请求的开销可能更高,而不是提及将大量 SIP 域添加到新的公共证书可能成本高昂。在这种情况下,有一种支持但不建议使用的方法。 可以将反向代理配置为通过端口 80 发出初始自动发现服务请求,该端口将使用 HTTP,而不是端口 443(即 HTTPS (,443 是默认配置) )。 该传入请求将重定向到前端池或控制器上的端口 8080。 通过执行此操作,无需再更改任何证书,因为此通信为请求使用的不是 HTTPS。 再次说明,尽管你可以使用此方法,但我们不建议这样做。
Windows 和 IIS 要求
你的Skype for Business Server环境应具有受支持的 Windows Server 版本。 因此,你还需要具有 IIS 8 或 IIS 8.5 才能满足你的移动性需求。 需要对默认 ASP.NET 设置进行一些更改,但出行服务安装程序会自动执行此操作。
HLB 要求
如果使用的拓扑Skype for Business Server包含前端池 (HLB 是包含多个前端服务器) 的任何拓扑,则需要为源服务流量配置外部 Web 服务虚拟 IP (VIP) 。 源关联有助于确保将单个客户端的多个连接发送给同一台服务器以保持会话状态。
如果计划仅通过内部Wi-Fi网络支持Skype for Business移动客户端,则应按照外部 Web 服务 VIP 的说明为源配置内部 Web 服务 VIP。 在这种情况下,应对 HLB 上的内部 Web 服务 VIP 使用source_addr (或 TCP) 关联。
有关所有详细信息,请参阅 Load balancing requirements for Skype for Business文档。
反向代理要求
为了支持Skype for Business移动客户端的自动发现,需要按如下所示更新当前发布规则:
如果决定更新反向代理证书上的 SAN 列表,并且对初始自动发现服务请求使用 HTTPS,则需要更新 lyncdiscover 的 Web 发布规则。<sipdomain>。 这通常与前端池上外部 Web 服务 URL 的发布 rul 结合使用。
如果已决定将 HTTP 用于初始自动发现服务请求,以避免必须更新反向代理证书的 SAN 列表 (不建议) ,则需要为端口 HTTP/TCP 80 创建新的 Web 发布规则(如果还没有)。 如果该规则存在,请将其更新为包含 lyncdiscover。<sipdomain> 条目。
定义你的移动性需求
现在我们已经查看了拓扑、组件和技术要求,接下来让我们看看组织在移动性实现方面可能需要什么。
是否要为 Skype for Business 移动客户端使用自动发现功能?
强烈建议你使用自动发现。 如上面的“技术要求”部分所述,这需要创建新的内部和外部 DNS 记录。 通过自动发现,Skype for Business客户端可以从任何位置自动查找Skype for Business Server Web 服务,而无需手动输入 URL。
如果需要,你也可以使用手动设置。 用户需要将以下 URL 输入到其移动设备中:
< https://ExtPoolFQDN>/Autodiscover/autodiscoverservice.svc/Root,用于外部访问。
< https://用于内部访问的 IntPoolFQDN>/Autodiscover/autodiscoverservice.svc/Root。
再次强调一下,我们建议使用自动发现。 你会发现手动设置对于故障排除很有用。
你是否打算支持推送通知?
推送通知用于支持此功能的移动应用程序,可以在应用处于非活动状态时将事件通知给用户。 边缘服务器需要与基于云的Skype for Business Server推送通知服务建立联合关系,该服务位于 Skype for Business Online 数据中心。 你需要运行 cmdlet 以启用推送通知。
注意
如果有人仍在使用 Lync Server 2010 客户端,则需要在企业 WiFi 网络上打开 TCP 端口 5223。
是希望所有用户都访问所有移动功能,还是希望指定可以访问这些功能的用户?
我们有一个表来帮助所有用户提供一些功能,以及他们是否默认以这种方式设置。 有关完整列表,请参阅 New-CsMobilityPolicy。
注意
所有这些功能的适用范围为全局/站点/用户。
| 功能 | 参数名称 | 说明 | 默认设置 |
|---|---|---|---|
| 支持移动性 |
EnableMobility |
控制在给定范围内安装了Skype for Business移动客户端的用户。 如果该策略设置为 False,用户将无法登录其客户端。 |
True |
| 外部语音 |
EnableOutsideVoice |
使用户可以使用“通过工号拨号”功能,该功能允许用户使用其工作号码而不是自己的移动号码来拨打和接听电话。 如果设置为 False,用户在使用其工作电话号码时,将无法在其移动电话上拨打或接听电话。 |
True |
| 支持 IP 音频和视频 |
EnableIPAudioVideo |
设置为默认值,允许用户在其移动设备上使用 VoIP 拨打或接听电话或视频电话。 如果设置为 False,用户将无法使用其移动设备执行这些操作。 |
True |
| IP 音频需要 WiFi |
RequireWiFiForIPAudio |
定义客户端是否需要通过 WiFi 而不是手机数据网络拨打和接听 VoIP 电话。 如果设置为 True,则用户仅在连接到 WiFi 网络时才能拨打和接听 VoIP 电话。 |
False |
| IP 视频需要 WiFi |
RequireWiFiForIPVideo |
定义客户端是否需要通过 WiFi 而不是手机数据网络拨打和接听视频电话。 如果设置为 True,则用户仅在连接到 WiFi 网络时才能拨打和接听 VoIP 电话。 |
False |
未启用企业语音的用户能否使用“单击以加入”来加入会议?
要使用户有权访问移动功能和通过工作呼叫,需要为他们启用企业语音。 不过,即使没有为他们启用此功能,他们仍可以通过单击其移动设备上的链接来加入会议,但前提是为其分配了适当的语音策略。 你可以:
向这些用户分配特定的语音策略,或者
确保全局策略或站点级别的策略存在并且应用于这些用户。
不管使用哪种方法,你分配的语音策略必须具有公用电话交换网 (PSTN) 用法记录和定义用户为加入会议而将拨出到的区域的路由。
注意
想要使用“单击加入”的移动用户需要语音策略以及相关的 PSTN 使用情况记录和语音路由,因为当他们在其移动设备上单击该链接时,来自Skype for Business Server的出站呼叫将是结果。