Home WindowsSkype For Besiness 2019 Установка Skype for Besiness 2019 часть 8. Введение в edge server

Установка Skype for Besiness 2019 часть 8. Введение в edge server

by admin
251 views
skype

Если мы ограничимся установкой  стандартного сервера , мы получим функционал, ограниченный доступом только из внутренней сети, и не  сможем установить соединение с внешними клиентами.

Использование Edge Server позволит нам значительно расширить возможности нашей системы :

  • Подключать клиентов SFB из интернета;
  • Поключать Веб-конференции
  • Подключать мобильных клиентов (SFB mobile);
  • Подключать Web-клиентов (через браузер);
  • Осуществлять федерацию с другими компаниями SFB to SFB ;
  • Осуществлять федерацию со Skype;
  • Осуществлять федерацию с Office 365.

Для реализации всех описанных выше функциональных возможностей в SFB необходимо обязательно установить Edge Server в составе системы.

Что такое Edge Server для Skype for besiness ?

Edge Server (пограничный сервер) — это отдельная роль в Skype for Business Server, устанавливается сам функционал, который обеспечивает подключение внешних клиентов к внутренней сети организации и позволяет обеспечить доступ к конференц-связи и другим функциям Skype for Business из интернета. Edge Server также позволяет устанавливать соединения и взаимодействовать с другими компаниями, использующими Skype for Business или Lync. В целом, Edge Server обеспечивает безопасность, управление и расширенные возможности для Skype for Business Server.

Что такое Reverse Proxy для Skype for besiness ?

Reverse Proxy (обратный прокси) — это сервер, который действует как посредник между клиентом и сервером, принимая запросы от клиента и перенаправляя их на соответствующие серверы внутри сети организации.

Reverse Proxy работает как посредник между клиентами и Frontend сервером, принимая входящие подключения на порты 443 и 80. Подключения на порт 443 перенаправляются на Frontend на порт 4443, а подключения на порт 80 перенаправляются на Frontend на порт 8080.

Чтобы обеспечить безопасность соединения между клиентами и Reverse Proxy, на нем установлен отдельный публичный сертификат, содержащий все необходимые имена, по которым клиенты могут подключаться к Reverse Proxy.

После настройки Reverse Proxy у вас заработают

  • Мобильные приложения из Google Market & Apple Store
  • Веб конференции
  • Скачивание адресной книги и т.д
  • Использование Skype Web App
  • Быстрые сообщения
  • Скачивание содержимого конференции
  • Обеспечение работы Службы автообнаружения

Ниже проиллюстрирован пример работы

Как работает Skype for besiness

С точки зрения архитектуры, нам нужны дополнительные публичные IP-адреса для реализации функционала Skype для бизнеса. Рекомендуется иметь не менее 4 IP-адресов:

  • 1 IP-адрес для Reverse Proxy
  • 3 IP-адреса для Edge Server

Как минимум потребуется 2 IP-адреса:

  • 1 IP-адрес для Reverse Proxy
  • 1 IP-адрес для Edge Server

Плюсы и минусы

Использование одного IP-адреса имеет свои преимущества, такие как экономия адресного пространства. Однако есть и недостатки. Мы вынуждены менять стандартные порты, что может привести к проблемам с подключением, так как некоторые клиенты блокируют порты, отличные от 443. Например, порты 444 и 446 могут быть закрыты на брандмауэре клиента, что снижает удобство использования, а именно клиент не подключится если в его гостинице закрыты все порты кроме 443.

В данной статье я буду описывать установку с 3 ip адресами

Разбор удаленного подключение к Edge & Reverse Proxy

Для обеспечения корректной работы необходимо правильно настроить правила Firewall на маршрутизаторе . В данном случае на Edge имеется три внешних сервиса, каждый из которых использует отдельный белый IP-адрес.

Access Edge Service : используется для установления подключений при федерации между Edges разных компаний. Для Access Edge Service необходимо закрепить отдельный IP-адрес, на котором должны быть открыты порты
SIP/TLS(TCP:443) для подключения внешних клиентов к Edge
SIP/MTLS(TCP:5061) для подключения федераций.
Для федераций с системами XMPP также используется порт 5269.

Web Conference Edge Service использует только один порт —
PSOM/TLS(TCP:443).

AudioVideo Edge Service используется для передачи media-трафика. Для его работы необходимо открыть порты
STUN(UDP:3478) для передачи media-трафика от клиента
STUN(TCP:443)
RTP(UDP/TCP:50000-59999) для федерации с Office Comunication Server (старые системы).

Кроме того, на Edge имеется сервис Reverse Proxy, который использует порты HTTP(80) и HTTPS(443) для обработки входящих запросов на проксирование трафика на внутренние ресурсы

Для правильной работы Edge Server необходимо наличие двух интерфейсов — внешнего и внутреннего. Кроме того, Edge Server требует установки двух сертификатов: один для внешнего интерфейса и один для внутреннего.

Мы будем использовать конфигурацию из 3 ip адресов.

Схема подключения edge skype for besiness

Внешние DNS записи для Edge Server

Для настройки Skype for Business 2019 и публикации необходимых DNS-записей во внешней зоне DNS, следует опубликовать следующие записи:

Для Edge сервера

ОписаниеТип записи
Имя записи
Значение
Для обнаружение федерацииSRV_sipfederationtls._tcp.myitproject.rusip.myitproject.ru
Для подключения внешних клиентов. Ссылается на TCP:443 порт.SRV_sip._tls.myitproject.rusip.myitproject.ru
Для обнаружения XMPP федерацииSRV_xmpp-server._tcp.myitproject.rusip.myitproject.ru
Это имя будет использоваться в том числе для подключения клиентов снаружи.Asip.myitproject.ru
77.73.29.41
The Web Conferencing Edge service enables external users to join meetings that are hosted on your internal Skype for Business Server environment.Awc.myitproject.ru.
77.73.29.42
The A/V Edge service makes audio, video, application sharing and file transfer available to external users.Aav.myitproject.ru.
77.73.29.43
Как добавить srv записи для Skype на nic.ru
Как добавить A записи для Skype на nic.ru
Как добавить A записи для Skype на nic.ru часть 2

Для Reverse Proxy сервера

ОписаниеТип записи
Имя записи
Значение
External record for client AutoDiscover, also used by Mobility, Skype for Business Web App, and scheduler Web app, resolved by the reverse proxy serverAlyncdiscover.myitproject.ru.
77.73.29.44
Proxy to Skype for Business Web ServiceAmeet.myitproject.ru.
77.73.29.44
Required to enable client to server web traffic, such as downloading the Skype for Business Web App.Awebext.myitproject.ru.
77.73.29.44
Internal AutoDiscover Service1, required for Mobility support. If internal DNS is used to resolve for mobile devices, it should point to the external IP, or DMZ VIP.Alyncdiscoverinternal.myitproject.ru77.73.29.44
Proxy to Skype for Business Web ServiceAdialin.myitproject.ru.
77.73.29.44
Все записи на nic.ru для Skype for besiness добавлены
alukashin.ru 6

Конфиг для mikrotik с пробросом портов для edge,reverse proxy

Прокидывать порты будем на Edge (sfbedge.ctdrus.loc) на его external сетевой интерфейс

В конфигурации mikrotik Ether2 — это wan интерфейс

#SRC NAT
/ip firewall nat
add action=src-nat chain=srcnat disabled=yes to-addresses=77.73.29.39

add action=netmap chain=srcnat out-interface=ether2 src-address=192.168.1.5-192.168.1.20 to-addresses=77.73.29.43

#### PORT FORWARD
add action=dst-nat chain=dstnat comment=sip.itproject.ru dst-address=77.73.29.41 dst-port=443 in-interface=ether2 \
    protocol=tcp to-addresses=192.168.1.13 to-ports=443
add action=dst-nat chain=dstnat comment="sip.itproject.ru - MTLS" dst-address=77.73.29.41 dst-port=5061 in-interface=\
    ether2 protocol=tcp to-addresses=192.168.1.13 to-ports=5061
add action=dst-nat chain=dstnat comment=wc.itproject.ru dst-address=77.73.29.42 dst-port=443 in-interface=ether2 \
    protocol=tcp to-addresses=192.168.1.13 to-ports=443
add action=dst-nat chain=dstnat comment=av.itproject.ru dst-address=77.73.29.43 dst-port=443 in-interface=ether2 \
    protocol=tcp to-addresses=192.168.1.13 to-ports=443
add action=dst-nat chain=dstnat comment="av.itproject.ru- STUN" dst-address=77.73.29.43 dst-port=3478 in-interface=ether2 \
    protocol=tcp to-addresses=192.168.1.13 to-ports=3478
add action=dst-nat chain=dstnat comment="av.itproject.ru- RTP" dst-address=77.73.29.43 dst-port=50000-59999 in-interface=\
    ether2 protocol=tcp to-addresses=192.168.1.13 to-ports=50000-59999
#### Reverse proxy prot forward
add action=dst-nat chain=dstnat comment="Reverse Proxy 443" dst-address=77.73.29.44 dst-port=443 in-interface=\
    ether2 protocol=tcp to-addresses=192.168.1.14 to-ports=443

Статьи из этой категории

Leave a Comment