Computer-Software

Systemanforderungen für Edge Server in Skype for Business Server

Posted on by Wilhelm von Hohenberg

Die Bereitstellung und Konfiguration von Edge Servern ist ein entscheidender Schritt für eine funktionierende Skype for Business Server-Umgebung, insbesondere wenn externe Verbindungen und die Kommunikation mit Gastbenutzern ermöglicht werden sollen. Dieser Artikel beleuchtet die notwendigen Komponenten und Systemanforderungen für Edge Server, die typischerweise in einem Netzwerk-Perimeter angesiedelt sind, sei es in einer Arbeitsgruppe oder einer Domäne außerhalb der Hauptstruktur von Skype for Business Server.

Komponenten der Edge Server-Umgebung

Die Edge Server-Umgebung umfasst mehrere Schlüsselkomponenten, die für die reibungslose Funktionalität sorgen. Dazu gehören die Edge Server selbst, Reverse-Proxys, Firewalls und optional auch Director-Server sowie Load Balancer.

Edge Server

Die Edge Server sind die Kernkomponenten, die in der Perimeter-Umgebung platziert werden. Ihre Hauptaufgabe ist die Vermittlung des Netzwerkverkehrs zu und von externen Gastbenutzern für die von den internen Skype for Business Servern angebotenen Dienste. Jeder Edge Server führt dabei folgende Dienste aus:

  • Access Edge Service: Stellt einen einzigen, vertrauenswürdigen Verbindungspunkt für den ausgehenden und eingehenden SIP-Verkehr (Session Initiation Protocol) bereit.
  • Web Conferencing Edge Service: Ermöglicht Gastbenutzern die Teilnahme an Besprechungen, die auf den internen Skype for Business Servern gehostet werden.
  • A/V Edge Service: Bietet Audio-, Video-, Anwendungsfreigabe- und Dateiübertragungsfunktionen für Gastbenutzer.
  • XMPP Proxy Service: Akzeptiert und sendet XMPP-Nachrichten (Extensible Messaging and Presence Protocol) an und von konfigurierten XMPP-Föderationspartnern.

Es ist wichtig zu verstehen, dass Edge Server ausschließlich für die Verbindung von aktivierten Skype for Business-Clients und anderen Edge Servern (im Föderationsszenario) konzipiert sind. Andere Endpunkt-Client- oder Servertypen können keine Verbindung herstellen. Der XMPP Gateway-Server kann zwar Verbindungen mit konfigurierten XMPP-Partnern ermöglichen, dies bleibt jedoch die einzige Ausnahme für diese Art von Föderation. Beachten Sie, dass XMPP Gateways und Proxys in Skype for Business Server 2015 verfügbar waren, aber in Skype for Business Server 2019 nicht mehr unterstützt werden.

Reverse Proxys

Ein Reverse Proxy (RP)-Server spielt eine essenzielle Rolle in einer Edge Server-Bereitstellung, auch wenn er keine direkte Skype for Business Server-Rolle innehat. Ein Reverse Proxy ermöglicht Gastbenutzern folgende Aktionen:

  • Verbindung zu Besprechungen oder Einwahlkonferenzen über einfache URLs.
  • Herunterladen von Besprechungsinhalten.
  • Erweitern von Verteilergruppen.
  • Abrufen von benutzerspezifischen Zertifikaten für die clientzertifikatbasierte Authentifizierung.
  • Herunterladen von Dateien vom Address Book Server oder Übermittlung von Abfragen an den Address Book Web Query Service.
  • Beziehen von Updates für Client- und Gerätesoftware.

Für mobile Geräte ermöglicht der Reverse Proxy zudem:

  • Die automatische Erkennung von Front End Servern, die Mobilitätsdienste anbieten.
  • Den Empfang von Push-Benachrichtigungen von Microsoft 365 oder Office 365 auf mobilen Geräten.

Die Empfehlungen für Reverse Proxys finden sich auf der Seite Telephony Infrastructure for Skype for Business. Ein geeigneter Reverse Proxy sollte in der Lage sein, Transport Layer Security (TLS) über öffentliche Zertifikate zu nutzen, um eine Verbindung zu den veröffentlichten externen Webdiensten von Director- oder Front End Servern/-Pools herzustellen. Er muss interne Websites über Zertifikate zur Verschlüsselung veröffentlichen können oder, falls erforderlich, über unverschlüsselte Verbindungen. Ebenso muss er in der Lage sein, eine intern gehostete Website extern mittels eines vollqualifizierten Domänennamens (FQDN) zu veröffentlichen und sämtliche Inhalte dieser Website bereitzustellen. Standardmäßig kann hierfür die Direktive /** verwendet werden, die von den meisten Webservern als “Alle Inhalte auf dem Webserver veröffentlichen” interpretiert wird. Die Direktive kann modifiziert werden, beispielsweise zu /Uwca/** für die Veröffentlichung aller Inhalte unter dem virtuellen Verzeichnis Ucwa. Wichtig ist, dass der Reverse Proxy TLS-Verbindungen mit Clients erzwingt, die Inhalte von der veröffentlichten Website anfordern, SAN-Einträge (Subject Alternative Name) akzeptiert und eine Zertifikatsbindung an einen Listener oder eine Schnittstelle ermöglicht, über die der externe Webdienste-FQDN aufgelöst wird. Listener-Konfigurationen sind dabei Schnittstellen-Konfigurationen vorzuziehen, da auf einer einzigen Schnittstelle mehrere Listener konfiguriert werden können. Ebenso muss der Reverse Proxy die Konfiguration von Host-Header-Behandlungen erlauben, wobei der ursprüngliche Host-Header transparent weitergeleitet werden sollte. Zudem sollte er das Bridging von TLS-Verkehr von einem extern definierten Port (z.B. TCP 443) zu einem anderen definierten Port (z.B. TCP 4443) erlauben und kann dabei das Paket beim Empfang entschlüsseln und beim Senden wieder verschlüsseln. Das Bridging von unverschlüsseltem TCP-Verkehr von einem Port (z.B. TCP 80) zu einem anderen (z.B. TCP 8080) muss ebenfalls möglich sein. Schließlich muss die Konfiguration oder Akzeptanz von NTLM-Authentifizierung, keiner Authentifizierung und Pass-Through-Authentifizierung gewährleistet sein.

Weiterlesen >>  Google Finance Tabelle: Finanzdaten mit GOOGLEFINANCE in Google Tabellen meistern

Firewalls

Die Edge-Bereitstellung sollte hinter einer externen Firewall platziert werden. Es wird jedoch empfohlen, zwei Firewalls zu verwenden: eine externe und eine interne Firewall zwischen der Edge-Umgebung und der internen Umgebung. Diese doppelte Absicherung gewährleistet eine strenge Weiterleitung von einem Netzwerkrand zum anderen und verdoppelt den Schutz des internen Netzwerks.

Directors (Optional)

Die Director-Rolle ist optional und kann auf einem einzelnen Server oder einem Pool von Servern innerhalb der internen Skype for Business Server-Umgebung ausgeführt werden. Ein Director fungiert als interner “Next Hop”-Server, der eingehenden SIP-Verkehr von den Edge Servern empfängt, der für die internen Skype for Business Server bestimmt ist. Er führt eine Vorabauthentifizierung eingehender Anfragen durch und leitet diese an den entsprechenden Home-Pool oder Server des Benutzers weiter. Diese Vorabauthentifizierung ermöglicht das Verwerfen von Anfragen unbekannter Benutzerkonten und schützt somit Standard Edition Server sowie Front End Server oder Pools vor bösartigem Datenverkehr, wie z.B. Denial-of-Service (DoS)-Angriffen.

Load Balancer

Für die skalierte, konsolidierte Edge-Topologie von Skype for Business Server wird eine DNS-basierte Lastausgleichung (DNS Load Balancing) für neue Bereitstellungen empfohlen. Für Hochverfügbarkeit wird in einem spezifischen Szenario ein Hardware-Load-Balancer (HLB) empfohlen: für Exchange UM für Remote-Benutzer, die Exchange UM vor Exchange 2013 verwenden. Es ist entscheidend zu beachten, dass Load Balancer nicht gemischt werden können; in Ihrer Skype for Business Server-Umgebung müssen alle Schnittstellen entweder DNS oder HLB verwenden. Direct Server Return (DSR) NAT wird für Skype for Business Server nicht unterstützt.

Hardware Load Balancer-Anforderungen für Edge Server

Für Edge Server, die den A/V Edge Service ausführen, gelten folgende Anforderungen:

  • Deaktivieren Sie TCP Nagling für interne und externe Ports 443 (Nagling ist der Prozess der Zusammenfassung mehrerer kleiner Pakete zu einem einzigen, größeren Paket für eine effizientere Übertragung).
  • Deaktivieren Sie TCP Nagling für den externen Portbereich 50000 – 59999.
  • Verwenden Sie kein NAT auf Ihren internen oder externen Firewalls.
  • Die interne Schnittstelle des Edge Servers muss sich in einem anderen Netzwerk als die externe Schnittstelle des Edge Servers befinden, und die Weiterleitung zwischen ihnen muss deaktiviert sein.
  • Die externe Schnittstelle jedes Edge Servers, der den A/V Edge Service ausführt, muss öffentlich routbare IP-Adressen verwenden, ohne NAT oder Portübersetzung auf den externen IP-Adressen des Edge.
Weiterlesen >>  Krita auf dem iPad nutzen: Der ultimative Guide für Künstler
HLB-Anforderungen

Skype for Business Server hat wenige Cookie-basierte Affinitätsanforderungen. Daher ist die Verwendung einer Cookie-basierten Persistenz nicht erforderlich, es sei denn (und dies gilt spezifisch für Skype for Business Server 2015), Sie haben Lync Server 2010 Front End Server oder Front End Pools in Ihrer Skype for Business Server-Umgebung. Diese würden eine Cookie-basierte Affinität gemäß der für Lync Server 2010 empfohlenen Konfigurationsmethode benötigen. Falls Sie die Cookie-basierte Affinität für Ihren HLB aktivieren, stellt dies kein Problem dar, auch wenn Ihre Umgebung sie nicht benötigt.

Wenn Ihre Umgebung keine Cookie-basierte Affinität benötigt:

  • Setzen Sie auf der Reverse Proxy Publishing Rule für Port 443 Forward host header auf True. Dies stellt sicher, dass die ursprüngliche URL weitergeleitet wird.

Für Bereitstellungen, die eine Cookie-basierte Affinität benötigen:

  • Setzen Sie auf der Reverse Proxy Publishing Rule für Port 443 Forward host header auf True.
  • Der Hardware Load Balancer Cookie darf nicht als httpOnly markiert sein.
  • Der Hardware Load Balancer Cookie darf keine Ablaufzeit haben.
  • Der Hardware Load Balancer Cookie muss den Namen MS-WSMAN tragen (dies ist der Wert, den die Webdienste erwarten und der nicht geändert werden kann).
  • Der Hardware Load Balancer Cookie muss in jeder HTTP-Antwort gesetzt werden, für die die eingehende HTTP-Anfrage keinen Cookie enthielt, unabhängig davon, ob eine vorherige HTTP-Antwort über dieselbe TCP-Verbindung bereits einen Cookie erhalten hatte. Wenn Ihr Hardware Load Balancer das Einfügen von Cookies auf einmal pro TCP-Verbindung optimiert, darf diese Optimierung nicht verwendet werden.

HLB-Konfigurationen verwenden typischerweise eine Quell-IP-Affinität (Source-affinity) und eine TCP-Sitzungslebensdauer von 20 Minuten, was für Skype for Business Server und seine Clients in Ordnung ist, da der Sitzungsstatus durch die Client-Nutzung und/oder Anwendungsinteraktion aufrechterhalten wird.

Weiterlesen >>  Lokale PPS-Box mit SAP CARAB einrichten: Eine Schritt-für-Schritt-Anleitung

Wenn Sie mobile Geräte bereitstellen, muss Ihr HLB einzelne Anfragen innerhalb einer TCP-Sitzung ausbalancieren können (im Wesentlichen müssen Sie eine einzelne Anfrage basierend auf der Ziel-IP-Adresse ausbalancieren können). F5 HLBs verfügen über eine Funktion namens OneConnect, die sicherstellt, dass jede Anfrage innerhalb einer TCP-Verbindung einzeln ausbalanciert wird. Wenn Sie mobile Geräte bereitstellen, stellen Sie sicher, dass Ihr HLB-Anbieter die gleiche Funktionalität unterstützt. Die neuesten iOS-Mobil-Apps erfordern TLS Version 1.2.

Hier sind die HLB-Anforderungen für die (optionalen) Director- und (erforderlichen) Front End Pool Web Services:

  • Für Ihre internen Web Services VIPs, setzen Sie Source_addr Persistenz (interner Port 80, 443) auf Ihrem HLB. Für Skype for Business Server bedeutet Source_addr Persistenz, dass mehrere Verbindungen von einer einzelnen IP-Adresse immer an einen Server gesendet werden, um den Sitzungsstatus aufrechtzuerhalten.
  • Verwenden Sie ein TCP Idle Time-out von 1800 Sekunden.
  • Erstellen Sie auf der Firewall zwischen Ihrem Reverse Proxy und dem HLB des Next Hop Pools eine Regel, die HTTPS-Verkehr auf Port 4443 von Ihrem Reverse Proxy zum HLB zulässt. Ihr HLB muss konfiguriert sein, um auf den Ports 80, 443 und 4443 zu lauschen.

Zusammenfassung der HLB-Affinitätsanforderungen

Client/BenutzerstandortExterne Webdienste FQDN AffinitätsanforderungenInterne Webdienste FQSN Affinitätsanforderungen
Skype for Business Web App (intern und Gäste) Mobile Gerät (intern und Gäste)Keine AffinitätQuelladressen-Affinität
Skype for Business Web App (nur Gäste) Mobile Gerät (intern und Gäste)Keine AffinitätQuelladressen-Affinität
Skype for Business Web App (nur interne Benutzer) Mobile Gerät (nicht bereitgestellt)Keine AffinitätQuelladressen-Affinität

Port-Überwachung für HLBs

Sie definieren die Port-Überwachung auf Ihren Hardware Load Balancern, um festzustellen, wann bestimmte Dienste aufgrund von Hardware- oder Kommunikationsfehlern nicht mehr verfügbar sind. Wenn beispielsweise der Front End Server-Dienst (RTCSRV) stoppt, weil der Front End Server oder Pool ausgefallen ist, sollte die HLB-Überwachung auch den Empfang von Datenverkehr auf den Webdiensten einstellen. Sie sollten die Port-Überwachung auf dem HLB implementieren, um die externe Schnittstelle Ihres HLB zu überwachen:

Virtueller IP/PortKnoten-PortKnoten-Maschine/MonitorPersistenzprofilHinweise
web_mco_443_vs 4434443Front End 5061KeineHTTPS
web_mco_80_vs 808080Front End 5061KeineHTTP

Hardware- und Softwareanforderungen

Die allgemeinen Hardware- und Softwareanforderungen für Edge Server in Skype for Business Server sind in der Dokumentation zu den Serveranforderungen für Skype for Business Server 2015 und den Systemanforderungen für Skype for Business Server 2019 detailliert beschrieben.

Kollokation

Die Möglichkeiten zur Kollokation von Edge Servern sind in der Dokumentation zu den Topologie-Grundlagen für Skype for Business Server erläutert.