Říjen - měsíc notebooků

Microsoft Lync část 3 – instalace Edge serveru

V dnešním rozsáhlejším díle se podíváme na to, jak napojit Lync server do internetu. To obnáší instalaci dalšího serveru s rolí Edge. A protože určitě máme mezi sítěmi firewally, tak se budeme hodně věnovat komunikaci a tomu, co a jak je třeba povolit na FW, aby nám vše fungovalo.

Pokud k našemu Front End Lync serveru doplníme Edge Lync server, tak to je minimální konfigurace (dvou serverů), která nám dovolí plnohodnotné využití Lyncu (ovšem bez funkcí Enterprise Voice). Následně se mohou klienti připojovat z internetu na svůj účet uvnitř firmy. Můžeme provádět federaci s jinými Lync/OCS organizacemi, případně i jinými IM systémy. A co je velmi užitečné, můžeme uspořádat konferenci s anonymními uživateli (kteří nemají účet na našem Lyncu) z internetu, a to buď přes webové rozhraní, nebo klienta zdarma.


Plánování nasazení

Stejně jako pro Front End, tak i pro Edge server využijeme Standard edici Lync serveru. Ale tento server bude využívat mnohem méně rolí a funkcí. Správa se provádí z Front End serveru (lépe řečeno odkudkoliv, ale připojujeme se na Front End nikoliv na Edge) a dochází k replikaci konfigurace. Edge server nemusí, ale může, být zařazen v Active Directory doméně.

Na Edge serveru budeme potřebovat více IP adres. Podle MS topologie je DMZ rozdělena do dvou subnetů a server je připojen jedním rozhraním se třemi IP adresami do sítě směrem k internetu a druhým rozhraním s jednou IP adresou směrem k interní síti. My zde použijeme standardní DMZ s jedním adresním rozsahem. Nastavení IP adres je ale důležité, protože na různých IP adresách poslouchají různé služby.

Také budeme potřebovat řadu veřejných IP adres, DNS jmen a k jednotlivým jménům důvěryhodné certifikáty (ty jsou v Lyncu brány docela vážně, takže pokud třeba klient nedůvěřuje certifikátu serveru, tak se nepřihlásí).

Hlavní komunikace v Lyncu je přes protokol SIP (Session Initiation Protocol) a defaultně je šifrována. Komunikace mezi servery používá MTLS (Mutual Transport Layer Security) a mezi klientem a serverem TLS (Transport Layer Security).

Lync obrázky/lync01.gif

Popis prostředí

Instalace hodně záleží na tom, jakou máme síťovou topologii. Prostředí, do kterého instalujeme Lync, jsme si již popsali v druhém dílu našeho seriálu. Ale znovu si to zde zopakujeme.

Schéma prostředí je zobrazeno na obrázku výše. Máme interní síť s doménou firma.local a rozsahem 10.0.0.0/16. DMZ (Demilitarized zone) síť s doménou firma.dmz a rozsahem 192.168.0.0/24. Veřejnou doménu firma.cz s veřejným adresním rozsahem 80.0.0.0/24. V interní síti, stejně jako v DMZ, je Windows Server 2008 R2 doména (jsou to samostatné dvě domény). Mezi sítěmi je vždy Microsoft TMG (Forefront Threat Management Gateway 2010) a vždy se provádí NAT (Network Address Translation).

V interní síti se nachází Front End Lync server se jménem lync.firma.local a adresou 10.0.0.90.Náš nově přidaný server bude umístěný v DMZ, bude se jmenovat LyncEdge.firma.dmz a bude mít IP adresu 192.168.0.80/24. OS na serveru je Windows Server 2008 R2 Standard, je členem domény firma.dmz.

Návody na instalaci

Samozřejmě máme opět k dispozici oficiální dokument Microsoft Lync Server 2010 Edge Server Deployment Guide, tentokráte dlouhý 85 stran. Protože plánování Edge serveru je hodně o komunikacích, tak je velmi užitečný dokument (výkres v MS Visio) Microsoft Lync Server 2010 Protocol Workloads Poster. Stejně užitečné mohou být referenční topologie Topologies for External User Access. A několik příkladů obrázkových popisů instalace:

Zamyšlení nad adresami

O IP adresách a DNS jménech jsme již v souvislosti s Lyncem mluvili několikrát. O tom, že jich je velké množství a může být zmatek, na co která slouží, a při špatném nastavení nám nebude fungovat nějaká vlastnost. Takže se na to podíváme znovu a souhrnně.

Globálně máme IP adresy a DNS jména veřejná a interní. Veřejné záznamy jsou fyzicky ukončeny na externím firewallu, ale logicky směrují dále, buď na Edge server nebo Front End server (ty jsme vytvářeli již při jeho instalaci). Interní záznamy slouží pro vnitřní komunikaci. Již minule jsme řešili, že interní klienti používají i některé veřejné záznamy, které můžeme v interní síti směrovat přímo. V naší topologii využíváme domény:

  • firma.cz – SIP doména, externí adresy
  • firma.local – interní AD doména
  • firma.dmz – DMZ AD doména

Když jsme instalovali Front End server, tak jsme museli určit řadu adres (podrobně jsme popsali minule):

  • lync.firma.local – vlastní Lync FrontEnd server, internal Web Services, autentizace
  • LyncWeb.firma.cz - external Web Services URL, webové služby využívají (skrytou) adresu a protokol HTTPS, slouží ke stažení adresáře, rozbalení distribučních seznamů, apod.
  • lync.firma.cz/meet (nebo meet.firma.cz) – Simple URL, slouží pro připojení k plánované konferenci
  • lync.firma.cz/dialin (nebo dialin.firma.cz) – Simple URL, slouží k informacím a nastavení PINu pro vytáčené konference (Dial-in)

Při instalaci Edge serveru musíme definovat tři veřejné adresy každou pro jinou službu. Můžeme to realizovat dvěma způsoby. Buď použijeme pouze jednu společnou IP adresu, nebo tři samostatné. Na všech adresách defaultně poslouchá služba na portu 443. Jelikož ale musíme dodržet unikátnost kombinací IP adresa a port, tak v případě využití pouze jedné IP adresy musím na dvou službách změnit porty na jinou hodnotu než 443 (což může působit problémy při připojování ze sítí za firewallem). Adresy (FQDN) můžeme nastavit libovolně, v následujícím seznamu jsou příklady, jak se mohou jmenovat.

  • LyncEdge.firma.dmz – vlastní Lync Edge server
  • SIP.firma.cz – Access Edge service, SIP Access, přístup klientů
  • WebConf.firma.cz – Web Conferencing Edge service, používá MS protokol PSOM (Persistent Shared Object Model) pro stažení obsahu pro web klienta
  • AV.firma.cz – Audio/Video Edge service, přenos zvuku a obrazu, sdílení aplikací a přenos souborů

Když mluvíme o DNS jménech, tak uděláme malou odbočku. Pro nasazení Lyncu s vyšší dostupností se samozřejmě používá více serverů. Pro směrování požadavků na různé servery se doporučuje HW Load Balancer, ale je možno použít i výrazně levnější metodu, která se jmenuje DNS Load Balancing. Asi všichni známe starou metodu Round-robin DNS, kdy jednoduše jednomu DNS jménu přiřadíme více IP adres. Server pak na každý dotaz vrací IP adresy v jiném pořadí (točí se dokola). DNS Load Balancing má stejný základ, ale je tu podpora u klienta, což je Lync 2010 a moderní webové prohlížeče, které pokud je první adresa nedostupná, tak automaticky zkouší další.

Instalace Edge Lync serveru

Instalace Edge serveru se provádí obecně stejně, jako jakákoliv jiná role. Znamená to na Front End serveru změnit topologii pomocí Lync Server Topology Builder, tehdy se změny uloží do Central Management Store. Pak se znovu spustí instalace Lyncu na Front End serveru (pomocí Lync Server Deployment Wizard) a dále se nainstaluje Lync na novém serveru.

Instalaci si obecně rozdělíme do tří kroků:

  • změna topologie
  • instalace serveru a základní konfigurace
  • zprovoznění komunikací

Vlastní instalace není moc složitá, složitější mi připadá správné nastavení komunikací se zajištěním bezpečnosti (vždy musíme chápat, co povolujeme).

Změna topologie

Standardně musíme pracovat pod uživatelem, který je členem skupiny Domain Admins a RTCUniversalServerAdmins.

  • připojíme se na lync.firma.local
  • spustíme Lync Server Topology Builder
  • zvolíme Download Topology from existing deployment
  • uložíme topologii do souboru (přepíšeme původní) firma.tbxml
  • rozklikneme naši lokalitu (Praha), klikneme pravým tlačítkem na Edge Pool a zvolíme New Edge Pool
  • Define the Edge pool FQND – Pool FQND LyncEdge.firma.dmz a zvolíme Single Computer Pool
  • Select Features – zatrhneme Enable Federation a The external IP address of this edge pools is translated by NAT
  • External FQDN – SIP Access: sip.firma.cz, Web Conferencing: WebConf.firma.cz, Audio/Video: av.firma.cz
  • Define the internal IP address - 192.168.0.80, hlavní DMZ adresa serveru (směrující k interní síti)
  • Define the external IP address - SIP Access: 192.168.0.81, Web Conferencing: 192.168.0.82, A/V Conferencing: 192.168.0.83, stále jde o DMZ adresy (tentokrát směrující do internetu)
  • Define the public IP address - 80.0.0.53, zde se zadává veřejná adresa pro A/V Conferencing
  • Define the next hop - zvolíme FrontEnd Pool lync.firma.local (Director nepoužíváme)
  • Associate Front End pool – zaškrtneme náš FrontEnd Pool lync.firma.local
  • klikneme na tlačítko Finish
  • pak musíme publikovat topologii
  • pravým tlačítkem klikneme na Lync Server 2010 a zvolíme Publish Topology

Až budeme instalovat Edge server v DMZ, tak potřebujeme přístup k topologii/konfiguraci. Na lync.firma.local nebudeme mít přístup, tak provedeme export do souboru a ten při instalaci použijeme. Spustíme Lync Server Management Shell (PowerShell) a zadáme následující příkaz, kde určíme soubor, do kterého se konfigurace uloží.

Export-CsConfiguration –FileName c:\topology.zip

Instalace Edge serveru

Než začneme s instalací, tak si musíme připravit několik věcí.

  • připojíme se na server LyncEdge.firma.dmz
  • zkopírujeme si na lokální disk soubor topology.zip z Front End serveru
  • v TCP/IP nastavení síťové karty máme nastavenu IP adresu 192.168.0.80/24, přidáme další tři adresy 192.168.0.81/24, 192.168.0.82/24 a 192.168.0.83/24 (pod Advanced – IP Settings), můžeme použít i dvě síťové karty, což je doporučeno
  • do systému přidáme Windows Feature .NET Framework 3.5.1

Pak již budeme pokračovat s instalací Lyncu.

  • spustíme setup.exe z instalace Lyncu, nainstalujeme všechny potřebné požadavky
  • otevře se nám Deployment Wizard
  • Install or Update Lync Server System – projdeme jednotlivé kroky, většinou defaultní hodnoty
  • Step 1 – Install Local Configuration Store
    • zvolíme konfiguraci ze souboru a vybereme naši exportovanou konfiguraci topology.zip
  • Step 2 – Setup or Remove Lync server Components
  • Step 3 – Request, Install or Assign Certificates
    • potřebujeme 2 certifikáty, ve většině případů vytvoříme offline žádost a pak vystavíme certifikát na naší autoritě (ideálně pořídíme od nějaké veřejné důvěryhodné autority)
    • na server nahrajeme certifikát CA a vytvořené 2 certifikáty (v kroku 3 dáme Import Certificate a následně Assign)
  • Step 4 – Start Services

Úvodní konfigurace

Konfigurace se provádí na Front End serveru a automaticky se replikuje na Edge server. Tedy začne se replikovat, až v další kapitole povolíme komunikaci. V defaultním stavu není povolen externí přístup, takže musíme nastavit přístup externích uživatelů.

  • spustíme Lync Server Control Panel
  • v menu vybereme External User Access
  • editujeme External Access Policy stačí ta výchozí Global
  • můžeme povolit všechny tři přístupy a uložíme Commit
  • přepneme se na Access Edge Configuration a editujeme Global policy
  • povolíme, co chceme využívat, a uložíme Commit

Zprovoznění komunikace pro jednotlivé funkce

Nyní již máme nainstalovaný a nakonfigurovaný Edge server, ale pořád nám nefunguje žádná komunikace. Hlavně je to proto, že mezi sítěmi máme firewally a ty nám komunikaci blokují. Ale také je potřeba provést několik nastavení ve Windows Edge serveru a na DNS. Projdeme teď jednotlivé funkce, které Edge server využívá/poskytuje, a povíme si o nastavení, které je ještě třeba provést.

Replikace Central Management Store (CMS)

Při instalaci jsme přenesli konfiguraci Lyncu na Edge server pomocí exportu do souboru. Dělat to při každé změně by bylo velmi nepohodlné, takže standardně funguje replikace Central Management Store z Front End serveru na Edge server. Tato replikace probíhá defaultně přes TCP port 4443 (je možno změnit pomocí Topology Builderu) a protokol HTTPS a je jednosměrná.

Lync obrázky/lync02.gif

Pro zprovoznění stačí na interním firewallu FWINT povolit komunikaci ze serveru lync.firma.local na server lyncedge.firma.dmz protokol HTTPS port 4443. Kontrolu, že nám vše funguje, pak provedeme v Control PanelTopology, kde u Edge serveru ve sloupci Replication by mělo být zelené zatržítko. Replikace neprobíhá kontinuálně, ale v daném intervalu. Ověření proto nemůžeme provést okamžitě. Replikaci ale můžeme vyvolat i ručně pomocí Lync Server Management Shell (PowerShell) na Front End serveru.

Invoke-CsManagementStoreReplication

Pokud bychom chtěli konfiguraci přenášet ručně. Nebo pokud uděláme chybu při konfiguraci v Topology Builderu a nainstalujeme Edge server třeba se špatnými IP adresami, tak i když chybu opravíme, tak nemůže dojít k replikaci a tudíž se chyba neopraví. V těchto případech můžeme použít PowerShell příkaz, který provede import souboru s konfigurací (export jsme popsali při instalaci).

Import-CsConfiguration -FileName c:\topology.zip -LocalStore

Přihlášení externího klienta

Jako druhou věc zprovozníme přihlášení Lync klienta z internetu. Nejprve se podíváme, jaký je průběh přihlašovaní klienta a podle něj zjistíme, co je třeba nastavit a povolit.

  • klient hledá SRV DNS záznam _sip._tls.firma.cz, který by měl směřovat na Edge server
  • klient se připojí k Edge serveru pomocí SIP/TLS port 443
  • Edge server se spojí s Front End serverem (nebo Directorem) pomocí SIP/MTLS port 5061
  • Front End server (nebo Director) ověří uživatele a propojí jej na jeho pool

Pozn.: Ve skutečnosti klient nejprve zkouší SRV záznam _sipinternaltls._tcp.firma.cz a teprve pokud jej nenalezne, tak _sip._tls.firma.cz. To jsme popisovali v druhém díle.

Lync obrázky/lync03.gif

Jako všude u Lyncu jsou zde důležité certifikáty. Servery musí navzájem důvěřovat svým certifikátům, stejně tak jako jim musí věřit klient. Dalším důležitým bodem jsou DNS jména a k nim přiřazené IP adresy. Nesmíme provést žádnou záměnu, protože na různých IP adresách poslouchají různé služby. Edge server v DMZ má několik IP adres, aby vše fungovalo, tak v DNS pro DMZ síť musí být jeden A záznam (lyncedge.firma.dmz = 192.168.0.80).

Z výše uvedených informací již můžeme dát dohromady potřebné konfigurační kroky pro zprovoznění.

  • na externím DNS vytvoříme záznamy
    • A: sip.firma.cz, 80.0.0.51
    • SRV: _sip._tls.firma.cz, sip.firma.cz, 443
  • na externím FW (FWEXT) vypublikujeme (publish non-web server) přes NAT adresu 80.0.0.51 TCP port 443 na DMZ adresu 192.168.0.81
  • na interním FW (FWINT) vypublikujeme (publish non-web server) přes NAT adresu 192.168.0.250 TCP port 5061 na interní adresu 10.0.0.90
  • na interním FW (FWINT) povolíme komunikaci z 10.0.0.90 na 192.168.0.80 přes TCP port 5061
  • na Edge serveru (lyncedge.firma.dmz) zadáme záznam do souboru C:\Windows\System32\drivers\etc\hosts (Edge server potřebuje komunikovat na Front End server, zná pouze jeho interní DNS jméno, které máme schované za NATem)
    • 192.168.0.250 lync.firma.local

Potom, co provedeme tyto kroky, by se nám mělo zdařit přihlášení z Lync klienta přes internet a měl by fungovat například Instant Messaging (IM). Řada dalších funkcí, ale ještě fungovat nebude, například stažení adresáře (Address Book). To je řešeno pomocí Web Services.

Externí Web Services a Simple URL

V dalším kroku tedy zpřístupníme adresu externích Web Services, což u nás je LyncWeb.firma.cz, a komunikaci HTTPS na portu 443. Uvádí se, že potřebujeme Reverse Proxy, ale jde vlastně o vypublikování adresy na Firewallu s tím, že FW provádí kontrolu provozu (split SSL). Komunikace se pak musí dostat až na Front End server (externí Web Services poslouchá na portu 4443, interní na 443), takže zvýšená opatrnost je více než na místě.

Web Services slouží ke stažení souborů z Address Book Service, rozbalení a zobrazení členů distribuční skupiny, získání klientského certifikátu, získání updatu pro klienta nebo zařízení a také pro stažení obsahu webové konference. Nově také pro mobilní služby (Mobility Service) a AutoDiscovery, tedy obsluhu klientů z mobilních zařízení.

Dále máme ještě dvě (nebo tři pokud bychom použili i admin) Simple URL, která fungují stejným způsobem a jsou zakončena také na Front End serveru. Takže pro všechny (Web Services i Simple URL) můžeme použít jednu veřejnou IP adresu (jsou zakončeny na jedné interní adrese) a společné pravidlo na FW. Naše Simple URL jsou lync.firma.cz/meet, pro připojení ke konferenci. A lync.firma.cz/dialin pro nastavení vytáčených konferencí.

Lync obrázky/lync04.gif

  • na externím DNS vytvoříme záznamy
    • A: LyncWeb.firma.cz, 80.0.0.50
    • A: lync.firma.cz, 80.0.0.50
  • na externím FW (FWEXT) vypublikujeme (publish web sites) přes NAT adresu 80.0.0.50 port 443 na DMZ adresu 192.168.0.250 a port 4443 (na ISA/TMG je důležité na pravidle zapnout Forward the original host header instead of the actual one, No Authentication, No Delegation, but client may authenticate directly, potřebujeme také certifikát pro daná jména (zde záleží také na tom, jakou adresu zadáme do published site na pravidle), můžeme i omezovat domény, které pravidlo povolí)
  • na interním FW (FWINT) vypublikujeme (publish non-web server) přes NAT adresu 192.168.0.250 port 4443 na interní adresu 10.0.0.90

Federace s jinou organizací

Pokud chceme provozovat federaci s jinou organizací a jejich Lync nebo OCS serverem, případně i jinými IM sítěmi, tak ještě musíme povolit komunikaci na a z Edge serveru na TCP portu 5061 SIP/MTLS.

Pozn.: Pro plně funkční federaci (včetně všech vlastností) to není jediný potřebný port, ale to dnes neřešíme.

Lync obrázky/lync05.gif

  • na externím DNS vytvoříme záznam
    • SRV: _sipfederationtls._tcp.firma.cz, sip.firma.cz, 5061
  • na externím FW (FWEXT) vypublikujeme (publish non-web server) přes NAT adresu 80.0.0.51 port 5061 na DMZ adresu 192.168.0.81 nebo jen rozšíříme pravidlo pro publikaci sip.firma.cz port 443
  • na externím FW (FWEXT) povolíme komunikaci z Edge serveru 192.168.0.81 do internetu na portu 5061

Audio/Video komunikace

Pokud v Lyncu navážeme Audio nebo Video komunikaci, tak záleží na řadě parametrů, jakým způsobem bude probíhat. Jako protokol pro media provoz se používá SRTP (Secure Real-time Transport Protocol) případně RTP. Lync sestavuje cestu pro media, která může procházet skrze Firewally a NAT (Network Address Translations). Používá k tomu protokol STUN (Session Traversal Utilities for NAT) a TCP port 443 a UDP port 3478 (nejprve se zkouší UDP, pokud neprojde, tak potom TCP).

Edge server slouží také jako Media Relay Authentication Service (MRAS), který poslouchá na TCP portu 5062 (SIP/MTLS). Poskytuje klientům informace k navázání audio/video komunikace. V Control Panelu v Topology u Edge Serveru je tento port označen jako Audio/Video Authentication service SIP port. Trochu matoucí mi zde připadá položka External Microsoft Reliability Analysis Service (MRAS) FQDN. Pokud na interním FW nepovolíme tento port, tak se u klientů bude zobrazovat upozornění:

Some calls to and from people outside of your corporate network may not connect due to server connectivity problems. Try signing out and signing back in.

Když dva klienti navazují A/V spojení (nebo sdílení aplikací), tak se nejprve pokusí o navázání přímého spojení (peer to peer). To funguje, pokud jsou oba interní nebo oba externí. Seznam využívaných portů a protokolů nalezneme v článku Ports and Protocols for Internal Servers. Použijí dynamické porty z rozsahu TCP/UDP 1024-65535 (SRTP). Využívaný rozsah portů můžeme změnit nastavením v Lync Server Management Shellu. První příkaz níže vypíše aktuální nastavení (uvažujeme defaultní Global policy), druhý zapne omezení portů a třetí změní nastavení Media portů. Konfigurace portů se provádí na serveru, který ji distribuuje na klienty.

Get-CsConferencingConfiguration
Set-CsConferencingConfiguration -ClientMediaPortRangeEnabled 1
Set-CSConferencingConfiguration -ClientMediaPort 40000 -ClientMediaPortRange 40

Pokud je uživatelů více než dva nebo je spojení navázáno jako On-Premise Web Conferencing, tak se spojení provede přes Multipoint Control Unit (MCU), což je Conferencing server, který nám běží na Front End serveru. MCU provádí míchání médií pro konferenci a distribuuje je jednotlivým účastníkům. Pokud je nějaký uživatel externí, tak se připojuje na Edge server a odtud spojení pokračuje také na MCU.

Pokud se dvěma interním uživatelům nepodaří navázat přímé spojení, tak využijí STUN a připojí se na Edge server. Pokud je jeden uživatel interní a druhý externí, tak se také spojení naváže přes Edge server.

Pozn.: Lehce souvisejícím termínem je Media Bypass, který umožní klientům komunikovat přímo s hlasovou bránou (voice gateway) nebo IP-PBX pomocí kodeku G.711 a SRTP, takže vynechá Mediation server (běží nám na Front End serveru), který jinak překládá komunikaci mezi Lyncem a GW.

Když řešíme potřebné porty pro A/V (a také Web Conferencing a sdílení aplikací), tak je tu ještě ohromný rozsah SRTP portů, což jsou TCP i UDP porty 50000 až 59999. Které jsou ve všech schématech uváděny jako potřebné z Edge serveru do internetu, ale i opačně z internetu na Edge server. To se asi žádnému bezpečnostnímu správci nebude příliš líbit. I když je zde zabezpečení na Edge serveru, který začne na těchto portech poslouchat teprve potom, co se autentizuje a domluví session. Tak si můžeme rovnou říci, že pro vlastní Lync tyto porty otevírat nemusíme a vše nám bude fungovat.

Nutno podotknout, že i při studování Microsoft dokumentace budeme asi trochu zmateni. Třeba v dokumentu Determining External A/V Firewall and Port Requirements se uvádí, že musíme otevřít do internetu TCP rozsah 50000 až 59999. Oproti tomu dokument Reference Architecture 1: Port Summary for Single Consolidated Edge uvádí, že tyto porty se používají při federaci s OCS2007 (Office Communications Server) a s Windows Live Messenger. A pro sdílení desktopu, ale z praxe mohu potvrdit, že i sdílení desktopu funguje bez těchto portů.

Zjištění nastavených portů a adres na jednotlivých serverech můžeme provést v Control PanelTopology – jednotlivé servery a potom služby. Nebo pomocí Lync Server Management Shellu.

Get-CsService
Get-CsService -EdgeServer

A můžeme je i změnit, například ten dynamický SRTP rozsah pro Edge server.

Set-CsEdgeServer –MediaCommunicationPortStart 50000 –MediaCommunicationPortCount 10000

Lync obrázky/lync06.gif

  • na externím DNS vytvoříme záznam
    • A: AV.firma.cz, 80.0.0.53
  • na externím FW (FWEXT) vypublikujeme (publish non-web server) přes NAT adresu 80.0.0.53 port TCP 443 a UDP 3478 na DMZ adresu 192.168.0.83
  • na interním FW (FWINT) povolíme komunikaci z 10.0.0.90 na 192.168.0.80 přes TCP port 5062
  • na interním FW (FWINT) povolíme komunikaci z interní sítě na 192.168.0.80 přes port TCP 443 a UDP 3478

Web Conferencing a sdílení prezentací

V Lyncu můžeme během komunikace s ostatními sdílet několik věcí. Sdílení programu nebo desktopu funguje i bez povolení Web Conferencing (to jde přes A/V Edge Service). Pokud ale chceme pořádat konferenci, a tedy sdílet PowerPoint prezentaci, tabuli (whiteboard) či anketu (poll), tak musíme povolit Web Conferencing. Využívá se protokol Persistent Shared Object Model (PSOM) s šifrováním TLS z internetu na portu 443 a z Front End serveru na portu 8057.

Lync obrázky/lync07.gif

  • na externím DNS vytvoříme záznam
    • A: WebConf.firma.cz, 80.0.0.52
  • na externím FW (FWEXT) vypublikujeme (publish non-web server) přes NAT adresu 80.0.0.52 port TCP 443 na DMZ adresu 192.168.0.82
  • na interním FW (FWINT) povolíme komunikaci z 10.0.0.90 na 192.168.0.80 přes TCP port 8057

Když nám ještě něco nefunguje

Obecně pro řešení problémů (troubleshooting) můžeme využít řadu nástrojů. Podívat se do logů na serveru.

  • Start - Administrative Tools - Event Viewer
  • rozklikneme Applications and Services Logs
  • zvolíme Lync Server

Můžeme využít Lync Server Logging Tool (OCSLogger.exe), který se nainstaloval spolu se serverem (je součástí Lync Server Administrative Tools). Ten dovoluje zachytit vybraný provoz a pak můžeme použít Snooper, který je součástí Microsoft Lync Server 2010 Resource Kit Tools, a pomocí něj analyzovat provoz.

Pro otestování připojení z internetu můžeme vyzkoušet adresu www.testocsconnectivity.com. Nebo také máme k dispozici testovací příkazy v Lync Server Management Shellu, například Test-CsRegistration (připojení k Lync serveru), Test-CsIM (výměna IM zpráv mezi dvěma uživateli), Test-CsP2PAV (navázaní přímého A/V spojení mezi dvěma uživateli).

Různé chyby nám může hlásit i klient po připojení, když upozorňuje na omezenou funkcionalitu, ty jsou ale často dost matoucí.

Dlouhé přihlašování

Pokud přihlášení z internetu trvá velice dlouho, třeba 40 vteřin. Problém může být v SRV záznamech, pokud je z internetu dostupný _sipfederationtls._tcp.firma.cz, tak klient upřednostňuje tento. A jelikož se tam používá port 5061 a adresa lync.firma.cz, tak se přihlášení nezdaří. Musíme mít dostupný pouze _sip._tls.firma.cz.

Externí připojení na Exchange (EWS)

Lync je integrovaný s Exchange serverem pro věci, jako je historie konverzace, Free/Busy údaje z kalendáře nebo (pokud nastavíme) hlasová schránka. I když nám může dobře fungovat komunikace s Outlookem z internetu, tak pro Lync klienta to nemusí stačit. Lync používá Autodiscover a Exchange Web Services (EWS), případně MAPI(Outlook Anywhere). Pokud se mu nepodaří nějaká komunikace, třeba získat informace z Autodiscover nebo se připojit na EWS, tak klient zobrazí informaci:

Lync is experiencing connection issues with the Exchange server. Lync will attempt to repair the connection until it is fully restored. History, voice mail, and Outlook-related features might be unavailable or out of date until connection is restored.

Také se můžeme na klientovi podívat na konfigurační informace, klikneme CTRL + pravé tlačítko myši na ikonu Lyncu v systémové liště a v menu klikneme na Configuration Information. Zde můžeme hledat položky jako EWS Information a EWS External URL. Někdy je problém provázen opakovaným vyskakováním dialogu na přihlášení.

První věc, kterou je třeba zkontrolovat na Exchange serveru, je vlastní nastavení EWS. Normálně EWS z internetu nepotřebujeme a ve výchozím stavu je povoleno pouze interně. Pomocí PowerShellu můžeme zkontrolovat nastavení a případně nastavit externí URL. Více v článku Configure Exchange Services for the Autodiscover Service.

Get-WebServicesVirtualDirectory | FL *
Set-WebServicesVirtualDirectory -Identity "mail-server\EWS (Default Web Site)" -externalurl https://mail.firma.cz/EWS/Exchange.asmx -BasicAuthentication:$True

Další věcí je povolená metoda autentizace. U Outlook Anywhere potřebujeme NTLM i Basic, popis How to Configure Authentication for Outlook Anywhere.

Get-OutlookAnywhere
Set-OutlookAnywhere -Identity "mail-server\Rpc (Default Web Site)" -IISauthentication Basic, Ntlm

Pokud nám stále nechodí připojení, tak může být problém na firewallu. Je možno vyzkoušet připojení z internetu z účtu, který nebyl připojen v doméně (nemá cachované credentials). Pokud u něj vyskočí dialog a po zadání údajů je vše v pořádku. A naproti tomu z účtu, který byl přihlášený v doméně, se po externím připojení na Lync nezobrazí žádný dialog, ale rovnou chyba o připojení na Exchange. Tak může být problém následující.

Používá se NTLM protokol a ten se pokusí využít cachovaný profil. Ale na publikačním pravidle FW nemáme povoleno NTLM. Při použití ISA/TMG je běžné, že máme nastaveno použití Form-based autentizace, která v některých případech přepadá do Basic autentizace (třeba pro ActiveSync).

Pokud využíváme jednu společnou adresu, třeba mail.firma.cz, pro OWA (Outlook Web Access nebo Outlook Web App), Exchange ActiveSync, Outlook Anywhere (RPC over HTTPS) i EWS, případně i Autodiscover. A pro publikaci jedno pravidlo s Form-based autentizací. Tak nám autentizace z Lyncu neprojde (NTLM v tom případě není možné povolit). Takže buď musíme zrušit Form-based autentizaci (což se nám asi nechce) nebo rozdělit pravidla na dvě. OWA nám zůstane s Form-based autentizací a pro EWS (případně i Outlook Anywhere a ostatní) vytvoříme novou IP adresu a jméno, pravidlo a listener, který bude mít povolenu HTTP Authentication Basic a NTLM. Samozřejmě pak musíme změnit externí adresu EWS na Exchange serveru (aby se do Autodiscoveru dostala správná cesta).

Bezpečnost v Lyncu

V Lyncu se využívá mnoho větších či menších opatření/technologií, které mají zajistit, aby bylo celé prostředí bezpečné. Zde si uvedeme pouze pár stručných bodů, které rozhodně nejsou kompletním výčtem.

Veškerá komunikace v Lyncu využívá standardizované protokoly a je šifrována a autentizována pomocí certifikátů a SSL/TLS. Pro Audio/Video, stejně jako pro Enterprise Voice, se využívá SRTP. SIP komunikace využívá TLS nebo MTLS. Webové služby používají HTTPS. Pro konference máme PSOM s TLS. Pro nalezení optimální cesty skrze FW a NAT se používá STUN.

Rozsáhlá topologie Lyncu je nejen z důvodu vysoké dostupnosti, ale také kvůli ochraně proti DoS útokům (Denial of Service). Určitou část komunikace filtruje Reverse Proxy a dále Edge server. Při autentizačních útocích se autentizace dostává skrze Edge Server až do interní sítě, takže se doporučuje používat Director. Pokud bude zahlcen ten, tak interní provoz může stále fungovat. Dále se používají různé filtry, které můžeme konfigurovat, jako je File Filter a URL Filter.

Uživatelé se v interní síti autentizují pomocí Kerberos protokolu, externě pomocí NTLM. Po úspěšném přihlášení vystaví Lync server uživateli speciální self-signed certifikát s platností 6 měsíců, který se používá pro následná přihlášení.

Autor: Petr Bouška


Sledujte Živě na Facebooku

celkem 0

Poslední názory Názory



DEJTE NÁM TIP NA ČLÁNEK



Aktuální číslo časopisu Computer
  • Testy nejnovějších produktů na českém trhu.
  • Informace ze světa internetu i bezpečnosti.
  • Plné verze programů zdarma pro všechny čtenáře.

Partnerská sekce pro IT profesionály
Microsoft TechNet/MSDN