locked
Architecture pour une infrastructure Lync Edge RRS feed

 > 

  • Question

  • Question
    Connectez-vous pour voter
    0
    Connectez-vous pour voter

    Bonjour à tous,

    Voilà plusieurs jours que je parcours le web à la recherche d'informations sur l'installation d'un serveur Lync Edge.

    Je suis actuellement en charge du déploiement d'un serveur Lync Edge dans une entreprise où un serveur Lync est déjà présent. J'ai bien compris que c'était la meilleure façon de rendre un serveur Lync accessible depuis l'extérieur.

    J'ai lu plusieurs articles à propos de reverse proxy, etc... Est il nécessaire d'installer un reverse proxy entre l'internet et l'edge ?

    J'ai juste besoin de mettre un peu d'ordre dans ma tête, j'ai déjà les tutoriels pour la mise en place même du serveur, mais il m'est nécessaire d'établir une architecture propre au préalable.

    Je pensais à ce type de schéma:

    WAN <-----> FIREWALL/NAT <-------->EDGE LYNC<-------------> LYNC.

     

    Sachant que l'EDGE Lync fait évidemment parti de la DMZ en dehors du domaine.

    Pouvez vous m'apporter quelques éclaircissements à ce propos ?

    EDIT: on parle aussi de "director server" doit il etre différent du Serveur Lync ?

    Merci, Sam.


    mercredi 8 juin 2011 16:15

Réponses

  • Question
    Connectez-vous pour voter
    1
    Connectez-vous pour voter

    Bonsoir SAM,

    Voici quelques précisions sur la publication d'une infrastructure Lync vers l'extérieur :

    - Le reverse proxy est obligatoire dans la publication de l'infrastructure Lync. Vous devez avoir le serveur Edge et le serveur TMG (ou autre) au même niveau. Vous aurez donc :

    WAN ----> Firewall Cisco -------> Lync Edge et serveur forefront ------> (Firewall) -------> LAN

    Le firewall entre la DMZ et le LAN n'est pas obligatoire mais est conseillé pour assurer un niveau de sécurité supplémentaire. Les différents protocoles sont répartis entre les deux serveurs.

    Pour mieux comprendre, je vous invite à consulter le poster suivant : http://www.microsoft.com/downloads/en/details.aspx?FamilyID=ad8ff3fb-014e-4fd7-8003-436d896ab0c6

    - Le serveur Edge doit être hors du domaine. Vous avez la possibilité d'exporter la configuration vers un fichier ZIP à partir du topology builder. Lors de l'installation, vous pourrez spécifier l'emplacement de ce fichier. Il est également important de renseigner le suffixe DNS de la machine, si vous avez spécifier le FQDN dans la configuration.

    - Le director server n'est pas obligatoire. Dans une infrastructure importante, il permet de centraliser les authentifications et de rediriger les utilisateurs vers les serveurs front end.

    - Les différents enregistrements DNS sont décrits sur cette fiche http://technet.microsoft.com/en-us/library/gg398758.aspx

    Vous pouvez également utiliser l'outil planning tool qui décrit la liste des enregistrements et les différents certificats.

    - Attention au type de certificat, vous devez utiliser les certificats UCC sur le serveur Edge et le serveur TMG.

    J'espère avoir répondu à l’ensemble de vos interrogations. N'hésitez à revenir vers moi si vous voulez des infos complémentaires !

     

    Alexis CONIA - Eliade - http://www.techandprog.fr
    • Marqué comme réponse Chesmet vendredi 1 juillet 2011 14:31
    samedi 11 juin 2011 19:56

Toutes les réponses

  • Question
    Connectez-vous pour voter
    0
    Connectez-vous pour voter

    EDIT:

     

    J'ai une infra du type:

     

    WAN<----FIREWALL CISCO---------->FOREFRONT----------->LAN

                                         ---------->LYNC EDGE

     

    A quoi sert le reverse proxy ici ? puisque je dois faire un accès externet pour mon LyncEDGE ? que ce soit par NAT ou par IP statique externe réservée...

    JE suis assez paumée, il faut quoi comme type d'accès depuis l'extérieur et à inscrire dans mon DNS externe/interne...?

    vendredi 10 juin 2011 17:18
  • Question
    Connectez-vous pour voter
    1
    Connectez-vous pour voter

    Bonsoir SAM,

    Voici quelques précisions sur la publication d'une infrastructure Lync vers l'extérieur :

    - Le reverse proxy est obligatoire dans la publication de l'infrastructure Lync. Vous devez avoir le serveur Edge et le serveur TMG (ou autre) au même niveau. Vous aurez donc :

    WAN ----> Firewall Cisco -------> Lync Edge et serveur forefront ------> (Firewall) -------> LAN

    Le firewall entre la DMZ et le LAN n'est pas obligatoire mais est conseillé pour assurer un niveau de sécurité supplémentaire. Les différents protocoles sont répartis entre les deux serveurs.

    Pour mieux comprendre, je vous invite à consulter le poster suivant : http://www.microsoft.com/downloads/en/details.aspx?FamilyID=ad8ff3fb-014e-4fd7-8003-436d896ab0c6

    - Le serveur Edge doit être hors du domaine. Vous avez la possibilité d'exporter la configuration vers un fichier ZIP à partir du topology builder. Lors de l'installation, vous pourrez spécifier l'emplacement de ce fichier. Il est également important de renseigner le suffixe DNS de la machine, si vous avez spécifier le FQDN dans la configuration.

    - Le director server n'est pas obligatoire. Dans une infrastructure importante, il permet de centraliser les authentifications et de rediriger les utilisateurs vers les serveurs front end.

    - Les différents enregistrements DNS sont décrits sur cette fiche http://technet.microsoft.com/en-us/library/gg398758.aspx

    Vous pouvez également utiliser l'outil planning tool qui décrit la liste des enregistrements et les différents certificats.

    - Attention au type de certificat, vous devez utiliser les certificats UCC sur le serveur Edge et le serveur TMG.

    J'espère avoir répondu à l’ensemble de vos interrogations. N'hésitez à revenir vers moi si vous voulez des infos complémentaires !

     

    Alexis CONIA - Eliade - http://www.techandprog.fr
    • Marqué comme réponse Chesmet vendredi 1 juillet 2011 14:31
    samedi 11 juin 2011 19:56
  • Question
    Connectez-vous pour voter
    0
    Connectez-vous pour voter

    Tout d'abord merci beaucoup de votre réponse,

     

    Je suis actuellement en train de travailler sur les enregistrements DNS nécessaires. Si j'ai bien compris il me faut sur mon:

     

    DNS Externe:

    (A) sip.mon-domaine.com => adresse du SIP externe

    (A) webconf.mon-domaine.com = > adresse du WEBCONF externe

    (A) av.mon-domaine.com => adresse du A/V externe

    (A) lsrp.mon-domaine.com => adresse du Forefront reverse proxy externe

     

    Ce qui me fait 4 adresses à attribués en externe.

    Il est aussi nécessaire si je veux une configuration automatique, ajouter des enregistrements de type SRV:

     

    (SRV) _sip._tls.mon-domaine.com SRV 0 0 443  => sip.mon-domaine.com (enregistrement externe)

    (SRV) _sipfederationtls._tcp.mon-domaine.com SRV 0 0 5061 => sip.mon-domaine.com (enregistrement externe)

     

    DNS Interne:

    (A) edge.mon-domaine.com  <IP interne>

    (A) forefront.mon-domaine.com <IP interne>

    (SRV) _sipinternaltls._tcp <IP interne>

     

    Mon but étant que d'un client lync je puisse me connecter depuis n'importe où bien sur. Ai-je bien compris la configuration nécessaire ?

    Mon architecture est très simple, je n'ai qu'un Lync Edge, qu'un DNS. Aucune redondance nécessaire.

     

    Mon reverse proxy est nécessaire pour accéder à quels types depuis l'extérieur ?

    Malgré son implémentation il est nécessaire d'accorder un accès direct de l'exterieur au serveur A/V, WC et ACCESS ?

        Ce sont les serveurs internes, mais redirigés par mon edge ?

    Qu'est ce qu'en somme que le serveur access ?

    S'ils sont placés dans mon LAN je ne dois normalement pas les rendre disponibles depuis l'extérieur non ?

     

    Merci d'avance, Sam.




    lundi 13 juin 2011 18:55
  • Question
    Connectez-vous pour voter
    0
    Connectez-vous pour voter

    Internal DNS:

    • Contains a DNS zone called contoso.com for which it is authoritative
    • The internal contoso.com zone contains:
      • DNS A and SRV records for Microsoft Lync Server 2010 client auto configuration (optional)
      • DNS A and SRV records for all internal servers running Microsoft Lync Server 2010 in the corporate network
      • DNS A and SRV records for the Edge internal interface of each Lync Server 2010, Edge Server in the perimeter network
      • DNS A records for the reverse proxy internal interface of each reverse proxy server in the perimeter network
      • All Lync Server 2010 Edge Servers in the perimeter network point to the internal DNS servers for resolving queries to contoso.com
      • All servers running Lync Server 2010 and clients running Lync 2010 in the corporate network point to the internal DNS servers for resolving queries to contoso.com

    External DNS:

    • Contains a DNS zone called contoso.com for which it is authoritative
    • The external contoso.com zone contains:
      • DNS A and SRV records for Lync 2010 client auto configuration (optional)
      • DNS A and SRV records for the Edge external interface of each Lync Server 2010, Edge Server or hardware load balancer virtual IP (VIP) in the perimeter network
      • DNS A records for the reverse proxy external interface of each reverse proxy server in the perimeter network

    ____________________________________________________________________________________________________________________________________________________________

    Mais aucune précision à propos des différents serveurs A/V, webconf, etc. Il ne parle uniquement que du edgelync, lync et forefront.

    J'ai bien tous mes enregistrements (A) mais je bloque sur les (SRV) j'ai bien créé un qui pointe vers mon lync:

           _sipinternaltls._tcp._mondomaine.com 0 0 5061

    Mais pour le reste je dois utiliser quels numéro de ports et nom de service ? (ce n'est pas précisé dans l'article...)


    lundi 13 juin 2011 20:29
  • Question
    Connectez-vous pour voter
    1
    Connectez-vous pour voter

    Bonjour,

    Le port a utilisé pour les enregistrements de service est la plupart du temps le 5061.

    Les communications SIP passent par le serveur EDGE et les médias par le TMG.

    Vous avez bien listé l'ensemble des enregistrements DNS nécessaires.

    Cordialement,

    Alexis CONIA - Eliade - http://www.techandprog.fr
    vendredi 1 juillet 2011 12:44
  • Question
    Connectez-vous pour voter
    0
    Connectez-vous pour voter

    Tout est bon le projet a été bouclé il y a quelques jours, merci pour les infos :)

    vendredi 1 juillet 2011 14:31
  • Question
    Connectez-vous pour voter
    0
    Connectez-vous pour voter

    bonjour,

    j'ai eu une erreur lors de démarrage des service de mon serveur edge 

    vous pouvez me dire comment tu as bouclé ton projet de serveur edge???????

    besoin d'une réponse

    merci.

    prince

    samedi 7 avril 2012 15:53
  • Question
    Connectez-vous pour voter
    0
    Connectez-vous pour voter

    Bonjour,

    Attention aux aspects supportabilité par Microsoft de l'architecture proposée. Le NAT sur la patte interne du servuer EDGE semble ne pas être supporté pour Lync 2013.

    “Security-conscious organizations often have a regulatory or compliance requirement that mandates placing an internal firewall between client-to-client and client-to-server communications, for management and monitoring capabilities. In many cases, because a firewall is limited by the IP address assigned to the interfaces’ routing traffic, the list of ports available to support a range of communication scenarios is from 1024 to 65535. As a result, some organizations may need to allocate the minimum number of ports required, due to the TCP/IP port allocation limitations for routing Lync Server 2013 client-to-client and client-to-server traffic.

    Note   Because this scenario is not officially supported by Lync Server 2013 deployment, the capabilities of Microsoft for providing assistance, if required, will be best-effort. If the issues can’t be resolved, you may be asked to temporarily remove the firewall, in order to move to a supported scenario to find a solution.

    Roxana

    lundi 7 octobre 2013 10:09