Dieses Forum ist geschlossen. Vielen Dank für Ihre Beiträge.

Remove From My Forums

Zugriff auf einen Lync-Server aus dem Internet

Frage
0

Anmelden

Hallo,

ein Kunde hat in der Cloud eine Windows Server 2008 R2 Domäne unter anderem mit Lync Server 2010 Standard.

Die Anwender sollen aus dem Internet mit Hilfe von Lync-Client, Lync Attendee bzw. Web-App auf den Lync-Server zugreifen um so die Lync-Funktionalität (IM, Chat, Desktopfreigabe, Audio-/Video-Konferenz ...) nutzen zu können.

Um die Kosten so gering wie möglich zu halten, soll auf den Lync Edge Server verzichtet werden.

Es ist ein DNS-Record vorhanden, der auf die öffentliche IP-Adresse des Lync Servers weist.

Ein Port-Forwarding ist wie folgt eingerichtet:

Externe IP-Adresse
Externe Ports: 443 (tcp), 3478 (UDP), 5061 (TCP)

Interne IP-Adresse
Interne Ports: 4443 (TCP), 3478 (UDP), 5061 (TCP)

Das Zertifizierungsstellenzertifikat der internen PKI ist verfügbar.

Einige der Konten sind für Testzwecke für Lync "enabled".

Beim Lync-Client ist als Anmeldeadresse die SIP-Adresse eines dieser Konten eingetragen und als externer Servername der öffentliche DNS-Name des Lync-Servers.

Wenn ich versuche, mich anzumelden, kommt nach einiger Zeit die Meldung dass die Anmeldung nicht durchgeführt werden kann, da der Server momentan nicht verfügbar sei.

Ist die von uns angedachte Vorgehensweise überhaupt möglich oder sind wir völlig auf dem Holzweg ?

Welche zusätzlichen Konfigurationsschritte sind noch erforderlich ?

Welche Ports müssen auf der Firewall noch geöffnet werden ?

Jede Form von Hilfe ist herzlich willkommen.

Danke im Voraus und Gruß

Harald

Dienstag, 11. Oktober 2011 14:38

Alle Antworten

0

Anmelden

"Lies" die Anleitungen und du wirst sehen, das du auf EDGE nicht verzichten kannst, wenn es funktonieren soll.
Man kann versuchen den SIP-traffic direkt an den Frontend zu senden aber AV-Daten gehen so nicht. da braucht es den Edge. Punkt.

der "Kostet" aber nichts. es ist eine additional role bei Lync und lizenzfrei. Die Windows Lizenz und Zertiifkate sind natüprlich nicht kostenfrei.

Wenn es so "knapp" ist, dann ist lync Online vielleicht eine Option (wenn du keine telfeonie brauchst) oder ein VPN für die Clienst. dann sind sie wieder "intern"

Exchange MVP www.msxfaq.net

Dienstag, 11. Oktober 2011 20:50
0

Anmelden

Ich habe das so verstanden, dass der Edge-Server auf eine eigene Maschine installiert werden muss, die nicht in der Domäne ist ???

Mittwoch, 12. Oktober 2011 13:52
0

Anmelden
Spannende Frage und mal abgesehen davon das es vom Sicherheitsaspekt her eine sehr sportliche Konstruktion ist...

sind da doch ein paar kleinere Überlegungen noch zu machen..

wie soll da ein Kerberosticket durchgereicht werden zur Authentifizierung ?... auf den drei genannten Ports nicht so wahrscheinlich.
Vermutlich läuft diese Authentifizierung als erstes vor den Poller
wer soll auf 4443 im Internet etwas empfangen .... ein Loadbalancer? Ein Lync Client interessiert sich dafür weniger.
wie soll Audio und Video zum Server funktionieren, wenn die ganzen Mediaportranges nicht durchgereicht werden?
wie soll zwischen einen Teilnehmer von Drinnen und einem von Draussen ein Kommunikation Peer-to-peer aufgebaut werden?
Jedem User seine eigenes Portforwarding - könnte ein klitzekleines Problem aufwerfen. Firewall wegwerfen...?
...

Vielleicht ist ein EDGE doch das kleine Übel. ;-)

Gruß

Petra
Mittwoch, 12. Oktober 2011 19:28
0

Anmelden

Es geht hier nicht um "kleineres Übel", Es geht nicht ohne Edge, oder VPN.

Der Edge ist eine eigene Installation auf einer eigenen Windows Instanz. Es kann natürlich eine VM sein und er muss nicht, aber er kann durchaus in der Domäne sein.

Anyway ohne Edge, passende Firewall, Zertifikate o.ä. wird es nicht gehen.

Schau dir mal die "Kommunikationsbeziehungen" auf http://www.msxfaq.de/lync/lyncedge.htm an.

Exchange MVP www.msxfaq.net

Mittwoch, 12. Oktober 2011 19:50
0

Anmelden

Kleineres Übel war hier als Euphemismus für die lange Reihe an Dingen, die dann noch schiefgehen würden gemeint btw. ;-)

Was dann noch fehlt ist neben dem Edge der Reverse Proxy, wenn ich mir die angedachten Modalitäten anschaue.

Da wird es auch auf eine separate Maschine hinauslaufen, da der Microsoft ISA-Server die Eigenschaft hat, nicht nur als Firewall und Proxy auf Port 8080 zu agieren, sondern auch eine so genannte "Serververöffentlichung" zu unterstützen. Dazu bindet sich der ISA-Server per Default auf den Port 80 und 443. Damit dürfte er der Meet-URL in die Quere kommen, oder?

Donnerstag, 13. Oktober 2011 06:23
0

Anmelden

Die SimpleURLs sind es nicht alleine. es gibt auch noch die Lync Webserivces (für Verteiler auffächern, Adressbuch download etc) und andere die alle "veröffentlicht" werden müssen. Wer eine Lync Installation mit Voice und Konferenz und Extern hat. muss mindestens 2 Lync Server betreiben UND eine sichere veröffentlichung diverser Dienste per ReverseProxy/Firewall. alles auf einer physik geht mit virtualisierung und genug Netzwerkkarten.

Aber im Grund wird die Konfiguration nicht einfacher.

Für viele wird Lync ONline die einfachste Wahl am Anfang sein (speziell mit vielen externen meeting teilnehmern, wenn man nicht genug upstream hat. Leider eben nicht, wenn man telefonie mit machen will.
Exchange MVP www.msxfaq.net

Donnerstag, 13. Oktober 2011 06:42
0

Anmelden

Hallo zusammen,

auch wenn hier schon eine Weile nichts mehr ausgetauscht worden ist: Wenn die Lync Infrastruktur und der Edge Server im gleichen LAN (und damit in der selben Domäne stehen) und auch nicht durch eine Firewall getrennt sind: Gibt es hierzu einen Leitfaden, wie diese Topologie auszusehen hat? Das sollte ja eigentlich ganz einfach sein.

Danke

Gernot
Greetings/Grüße Gernot

Dienstag, 28. Februar 2012 12:28
0

Anmelden

Ein Edge hat immer "zwei" Beine.

eines richtung Internet und eines intern

man kann auf beiden Seiten mit Subnetzen und Firewalls arbeiten, man muss nicht zwingend (aber ratsam ist es extern)

In der "Domäne " muss ein Edge gar nicht sein. insofern ist es wurscht. Es gibt von microsoft drei "expfohlene Szenarien". nutze eine davon, dann bist du auf der sicheren Seite.

Frank
Exchange MVP www.msxfaq.net

Dienstag, 28. Februar 2012 14:57