Upload
microsoft-technet-france
View
1.643
Download
8
Embed Size (px)
DESCRIPTION
Bonnes Architectures Lync Bonnes pratiques de définition d'architecture complexes : Hautes disponibilités, répartition de charge et mise en œuvre des serveurs Edge avec retours d'expériences.
Citation preview
palais des congrès Paris
7, 8 et 9 février 2012
8 Février 2012
Laurent Teruin | Consultant
Stefan Plizga | Consultant | Microsoft Services
Lync Server 2010Bonnes pratiques d'Architecture (MSG301)
Déploiement des Services Internes Conception de l'Infrastructure Lync Préparation au Déploiement Interne Déploiement Interne
Déploiement des Services Edge Comprendre l’environnement Préparation de l’environnement réseau Installation d’un Edge Outils
Questions réponses
Sommaire
Stefan Plizga | Consultant | Microsoft Services
http://blogs.technet.com/stefan
Déploiement des Services Internes
Conception de l'Infrastructure Lync Exemple d’Infrastructure Virtualisation Mutualisation des Rôles Lync Planning Tool Capacity Planning Calculator Détermination du Nombre de Sites Lync
Préparation au Déploiement Interne Répartition de Charge DNS Certificats
Déploiement Interne Central Management Store Cinématique du Déploiement
Déploiement des Services InternesSommaire
Conception de l’Infrastructure LyncExemple d’Infrastructure
PICXMPP
MSNAOL
Yahoo
Utilisateurs Distants
Sociétés Fédérées
Edge
DMZ
Front-End (avec Mediation) Back End
ExUM
Terminaux Lync
ArchivingMonitoring
AD DNS
Media GW / SBA
Pool
PSTN
IP-PBX
SIP Trunking
Direct SIP
AV MCU
Terminaux Analogiques
Mediation Server
Virtualisation supportée pour les fonctions Présence, IM, Conferencing, Enterprise Voice, Monitoring et Archiving
Hyperviseurs Supportés Hyper-V 2008 R2 VMware ESX 4.0 Autres hyperviseurs validés dans Windows Server Virtualization
Validation Program (http://go.microsoft.com/fwlink/?linkid=200511) Live Migration ou similaire non supporté
Points d’attention Les serveurs d’un pool doivent fournir les mêmes performances Pas de mélange physique/virtuels pour les serveurs d’un pool Performances Réseau (interfaces réseau dédiées) Redondance des hôtes
Conception de l’Infrastructure LyncVirtualisation - Support
Performances Divisées par 2
Informations sur la virtualisation dans Lync Server 2010 Server Virtualization in Microsoft Lync Server 2010
http://go.microsoft.com/fwlink/?LinkId=211394 Running in a Virtualized Environment
http://technet.microsoft.com/en-us/library/gg399035.aspx
Conception de l’Infrastructure LyncVirtualisation – Impact sur les Performances
Rôle Physique Virtuel
CPU RAM Utilisateurs CPU RAM Utilisateurs
Front End 8 16 Go 10 000 4 16 Go 5 000
Back End 8 32 Go 80 000 4 16 Go 40 000
Mediation Server 8 16 Go 800 appels 4 10 Go 400 appels
Mutualisation de certains rôles possible http://technet.microsoft.com/en-us/library/gg425885.aspx
A/V Conferencing Dédier des serveurs A/V Conferencing si le pool Front
End a plus de 10 000 utilisateurs 1 serveur A/V Conferencing par tranche de 20 000
utilisateurs si l’usage est similaire à Lync Server 2010 User Models
http://technet.microsoft.com/en-us/library/gg398811.aspx
Mediation Server Mutualisation sur les Front End possible Moins d’appels simultanés possibles si mutualisé
800 à 1200 si dédié et environ 250 si mutualisé
Conception de l’Infrastructure LyncMutualisation de Rôles Lync
Outil d’aide à la conception de l’infrastructure Lync Server 2010
Informations à indiquer Sites Utilisateurs (nombre par site) Usages (conférence, téléphonie, Exchange UM…) Eléments techniques (Redondance, CAC, Monitoring,
Archiving…)
Donne un bon point de départ sur les besoins de l’infrastructure mais il faut parfois ajuster les résultats
Conception de l’Infrastructure LyncPlanning Tool
Conception de l’Infrastructure LyncPlanning Tool
Conception de l’Infrastructure LyncPlanning Tool
Conception de l’Infrastructure LyncPlanning Tool
Conception de l’Infrastructure LyncPlanning Tool
Conception de l’Infrastructure LyncPlanning Tool
Conception de l’Infrastructure LyncPlanning Tool
Fichier Excel d’aide au dimensionnement de l’infrastructure Lync Server 2010 Nécessaire si l’usage prévu est très différent de Lync
Server 2010 User Models http://technet.microsoft.com/en-us/library/gg398811.aspx
Informations à indiquer Nombre d’utilisateurs Pourcentage d’utilisation de chaque fonctionnalité
Règles de base disponibles dans Scenario-Based Capacity Planning
http://technet.microsoft.com/en-us/library/gg615029.aspx
Conception de l’Infrastructure LyncCapacity Planning Calculator
Conception de l’Infrastructure LyncCapacity Planning Calculator
Deux types de Sites Lync Central Site Branch Site
Un déploiement doit contenir au moins 1 Central Site
Bonne pratique : 1 Central Site par datacenter Un pool ne peut faire partie que d’un seul Central Site Un A/V Conferencing Pool dédiée ne peut servir que les pools
Front End du même Central Site
Exception : déploiement de la topologie « Metropolitan Site Resiliency », mais contraintes élevées :
VLAN étendu (niveau 2) Réplication synchrone des baies de stockage pour SQL (Geo-
Cluster) Latence inférieure à 20 ms aller-retour Bande passante entre les 2 sites de 1 Gbps minimum
Conception de l’Infrastructure LyncDéfinition du Nombre de Sites Lync
Deux modes de répartition Server Load Balancing (Hardware Load Balancer ou
Software Load Balancer) DNS Load Balancing
Server Load Balancing Répartition de charge “classique” où l’équipement reçoit
une requête et la transmet à un des serveurs de la ferme
DNS Load Balancing Combinaison de l’utilisation de round-robin DNS et d’une
gestion intelligente du client Lync 2010 Pour un pool Front End, le DNS Load Balancing ne peut
être utilisé seul – les flux HTTPS doivent être configurés pour passer par un SLB
Préparation au Déploiement InterneRépartition de Charge – Techniques pour Lync Server 2010
Pool Front End DNS Load Balancing + Server Load Balancing
DNS LB pour tous les services Lync SLB pour les protocoles HTTP/HTTPS (ports 80, 443, 8080 et
4443) Nom d’accès aux Web Services du pool Front End différent
du nom du pool Vérification de l’état sur le port 5060 des Front End
En coexistence avec OCS ou des clients OC, il est recommandé d’utiliser une configuration complète avec SLB car les clients/serveurs pré-Lync ne gèrent pas le DNS Load Balancing
Pool A/V Conferencing Aucun : la répartition est complètement traitée de manière
logicielle par les Front End
Pool Mediation Server DNS Load Balancing
Préparation au Déploiement InterneRépartition de Charge - Recommandations
De base, les clients Lync réalisent des requêtes DNS SRV pour localiser les serveurs Requêtes basées sur le domaine SIP de l’utilisateur
Pour des déploiement avec plusieurs pools Front End, création de plusieurs enregistrements DNS SRV
La cible pointée par l’entrée DNS SRV doit avoir la même terminaison (techdays.com dans l’exemple)
Implique infrastructure Split-DNS Dans le cas contraire, création de « pin-point internal zone » Voir Determining DNS Requirements
http://technet.microsoft.com/en-us/library/gg398758.aspx
Préparation au Déploiement InterneDNS
Entrée DNS SRV Poids Priorité Cible_sipinternaltls._tcp.techdays.com 0 0 pool01.techdays.com_sipinternaltls._tcp.techdays.com 0 10 pool02.techdays.com
Contraintes pour les certificats Avoir l’usage Server EKU (OID 1.3.6.1.5.5.7.3.1) Avoir un CRL Distribution Point Avec une longueur de clé de 1024, 2048 ou 4096 Avoir la CRL accessible Doit supporter les extensions Subject Altenative Name (OID 2.5.29.17)
Pour un déploiement classique, les certificats sur les Front End doivent contenir au minimum :
FQDN du pool Front End FQDN de l’URL Web Services Front End (interne et externe) FQDN du serveur Front End Nom DNS pour les URL simplifiées Meet et Dialin (plusieurs possibilités
existent – voir Planning for Simple URLs http://technet.microsoft.com/en-us/library/gg398287.aspx)
Et pour chaque domaine SIP Nom du pool se terminant par le domaine SIP (exemple :
pool01.techdays.com) URL pour la mobilité Lync (exemple LyncDiscover.techdays.com et
LyncDiscoverInternal.techdays.com)
Préparation au Déploiement InterneCertificats
Champ Subject Name pool01.techdays.local
Champ Subject Alternative Name pool01.techdays.local pool01ws.techdays.local lyncweb.techdays.com pool01-fe01.techdays.local pool01-fe02.techdays.local meet.techdays.com dialin.techdays.com pool01.techdays.com lyncdiscoverinternal.techdays.com lyncdiscover.techdays.com
Important : le nom présent dans le champ Subject Name doit être également présent dans le champ Subject Alternative Name
Préparation au Déploiement InterneCertificats – Exemple de contenu
Jamais de underscore (“_”) dans les noms DNS
Conference Directory Chaque pool Lync Server 2010 a par défaut 1 Conference Directory Recommandation : créer 1 Conference Directory par tranche de 1 000
utilisateurs
Support du NTLM SSP 128-bit Configurer sur les serveurs Lync “Network Security: Minimum session
security for NTLM SSP based” à “No Minimum” pour autoriser les clients Windows XP à se connecter
Exchange AutoDiscover Pour avoir une intégration complète entre Lync et Exchange
2007/2010, le DNS doit être configuré pour résoudre les requêtes AutoDiscover d’Exchange, par exemple :
https://techdays.com/autodiscover/autodiscover.xml https://autodiscover.techdays.com/autodiscover/autodiscover.xml DNS SRV _autodiscover._tcp.techdays.com
Préparation au Déploiement InternePour aller plus loin dans les bonnes pratiques
Premier élément d’une infrastructure Lync Server 2010
Existe sur un pool Enterprise Edition ou Standard Edition
Un seul pool héberge le CMS
En réalité, il s’agit d’une base de données Stocke des documents XML qui contiennent une grande
partie des données de l’environnement : Topologie, Stratégies, Configuration…
La configuration CMS est répliquée sur tous les serveurs Lync Server 2010
Déploiement InterneCentral Management Store
Déploiement InterneCinématique du Déploiement
Installation du Topology Builder
Préparation AD
AD
PC dans le domaine Active Directory Serveur Lync
Création de la Topologie Lync
Back End SQL
Publication de la Topologie Lync
Lancement Setup
SQLSQLSQL
Récupération de la Topologie
Installation des composants
Activation
Certificats
Bases de données créées par le Topology Builder ou en Lync PowerShell
Instance SQL CMS
Laurent Teruin | Consultant | MVPhttp://unifiedit.wordpress.com/[email protected]
Déploiement des services Edge
Comprendre l’environnement Préparation de l’environnement réseau Réseau DNS Répartition de charge
Installation d’un Edge Installation Validation
Outils Remote UC Troubleshooting Tool (RUCT) Lync Remote Connectivity Analyzer
Planification
Comprendre l’environnement EdgeConsolidé
Comprendre l’environnement EdgeEtendu (Hlb)
Comprendre l’environnement EdgeEtendu Dns LB
Media relay Authentification Service Service d’authentification des accès externes pour les
services Audio-Vidéo. Fonctionne sur l’interface interne des Edge serveurs
(5062)ICE Protocole utilisé pour déterminer le lien le plus direct
entre l’appelé et l’appelant (http://tools.ietf.org/html/draft-ietf-mmusic-ice-19)
STUN (Session Traversal Utilities for NAT) /TURN (Traversal Using Relay NAT) Méthodes standardisées incluant un protocole réseau
utilisé pour la traversée des flux audio vidéo sur des réseaux Natés. Port (3478 Udp & 443 tcp)
Comprendre l’environnement EdgeQuelques Protocoles de bases
Rappel Un seul meet Actif par domaine SIP
Par contre Plusieurs Edge peuvent coexister pour un même
domaine sip. (Entreprise internationale) Exemple de nomenclature
Meet.company.com AccessFr01.company.com WebconFr01.company.com AvFr01.company.com
Comprendre l’environnement EdgeNommage des services
Permettre aux utilisateurs externes de télécharger le contenu de vos réunionsPermettre aux utilisateurs externes de développer des groupes de distributionPermettre aux utilisateurs distants de télécharger des fichiers du Service de carnet d’adressesAccès au client Microsoft Lync Web AppAccès à la page Web des paramètres de conférence rendez-vousAccès au service Informations d’emplacementPermettre aux périphériques externes de se connecter au service Web de mise à jour des périphériques et d’obtenir des mises à jour Permettre aux applications mobiles de découvrir automatiquement des URL de mobilité depuis Internet
Comprendre l’environnement EdgeLes fonctions du proxy Inverse
Vérifier les Enregistrements DNS Externes EdgeVérifier les Enregistrements DNS Externes ProxyVérifier les ports de communications Internes / ExternesVérifier la résolution de nom InternesUtilisation d’outils de vérification
Préparation de l’environnement réseauTester l’environnement Edge
Emplacement Type FQDN Adresse IP/FQDN Port Mappage à/Commentaires DNS externe A Accessfr01.unifiedit.com 131.107.155.10 Interface externe de serveur d’accès Edge SIP (Unified)
DNS externe A webconfr01.unifiedit.com 131.107.155.20 Interface externe de serveur Edge de conférence Web
DNS externe A Avfr01.unifiedit.com 131.107.155.30 Interface externe de serveur Edge A/V
DNS externe SRV _sip._tls.unifiedit.com access.unifiedit.com 443 Interface externe de serveur d’accès Edge SIP (access.unifiedit.com)Requis pour que la configuration automatique des clients Lync 2010 fonctionne en externe
DNS externe SRV _sipfederationtls._tcp.unifiedit.com
access.unifiedit.com 5061 Interface externe de serveur d’accès Edge SIP (access.unifiedit.com) Requis pour la détection DNS automatique des partenaires fédérés ou « Domaine SIP autorisé » (appelé fédération étendue dans les versions précédentes).
Nslookup> set type=srv> _sip._Tls.unfiedit.comAddress: 192.168.1.254_sip._Tls.unfiedit.com SRV service location: priority = 0 weight = 0 port = 443 svr hostname = sip.unfiedit.com>
> _sipfederationtls._tcp.unfiedit.com_sipfederationtls._tcp.unfiedit.com SRV service location: priority = 0 weight = 0 port = 5061 svr hostname = sip.unfiedit.com
Préparation de l’environnement réseauVérifier les Enregistrements DNS Externes des Serveurs Edge
Préparation de l’environnement réseauVérifier les Enregistrements DNS Externes des Proxy Inverses
Emplacement Type FQDN Adresse IP Mappage à/Commentaires
DNS externe A lsrp.unifiedit.com 131.107.155.40Utilisé pour publier le service de carnet d’adresses, le développement des groupes de distribution et le contenu des conférences.
DNS externe A dialin.unifiedit.com 131.107.155.40 Conférences rendez-vous publiées en externe
DNS externe A meet.unifiedit.com 131.107.155.40 Conférences publiées en externe
DNS externe A lsweb-ext.unifiedit.com 131.107.155.40 Nom complet des services Web externes Lync Server 2010
DNS externe A lyncdiscover.unifiedit.com 131.107.155.40Nécessaire pour les appareils mobiles exécutant Lync 2010 et utilisant le service de détection automatique pour fonctionner en externe
Préparation de l’environnement réseauVérifier les ports de communications Internes / Externes
Telnet Depuis Vers Port Protocol CommentairesExtérieur Sip.unifiedit.com 443 SIP
Extérieur Sip.unifiedit.com 5061 SIP
Extérieur Webconfr01.unifiedit.com
443 PSOM
Extérieur Avfr01.unifiedIt.com 443 STUN
Extérieur Reverse proxy 443 SSL
Serveurs Edge Pool Front End 5061 SIP
Serveurs Frontaux LyncEdge.unifiedit.local 5061 SIP
Serveurs Frontaux LyncEdge.unifiedIt.local 443 SIP Adresse Interne du pool Edge
Serveurs Frontaux LyncEdge.unifiedIt.local 5062 MRAS
Serveurs Frontaux LyncEdge.unifiedIt.local 4443 Adresse Interne du pool Edge
Serveurs Frontaux LyncEdge.unifiedIt.local 8057 Adresse Interne du pool Edge
Clients Internes LyncEdge.unifiedit.local 443 Adresse Interne du pool Edge
Clients Internes Fqdn du directeur 5061 Présence d’un Director
Directeur LyncEdge.unifiedit.local 5061 SIP Présence d’un Director
Directeur Pool Front End 5061 SIP Présence d’un Director
Préparation de l’environnement réseauVérifier la résolution de nom Internes
Ping Depuis Vers CommentairesPoste interne Avfr01.unifiedit.com Doit retourner l’adresse IP Publique du serveur Edge
Audio / Video Poste Interne Lyncedge.unifiedit.local Doit retourner l’adresse Ip Privée du Pool EdgePoste Interne LyncDirector.unifiedit.local Doit retourner l’adresse Ip du serveur Directeur
Poste Interne Pool Front End Doit Retourner l’adresse Vip (Hlb) du Pool
Serveurs Frontaux Lync Avfr01.unifiedit.com Doit retourner l’adresse IP Publique du serveur Edge Audio / Video
Serveurs Frontaux Lync Lyncedge.unifiedit.local Doit retourner l’adresse Ip Privée du Pool Edge
Serveurs Frontaux Lync LyncDirector.unifiedit.local Doit retourner l’adresse Ip du serveur Directeur
Directeur Lyncedge.unifiedit.local Doit retourner l’adresse Ip Privée du Pool Edge
Directeur Pool Front End Doit Retourner l’adresse Vip (Hlb) du Pool
Rappel Snat : changement de l’adresse Ip source Dnat : Changement de l’adresse Ip Destination
Pour le trafic entrant vers le serveur edge Dnat : Changement de l’adresse IP Publique
pour l’adresse Externe du serveur Edge
Pour le trafic sortant depuis le serveur Edge Snat : Changement de l’adresse IP externe du
serveur Edge pour l’adresse IP publique.
Préparation de l’environnement réseauSNAT / DNAT
L'environnement Microsoft Lync 2010 ne supporte pas les fonctions de NAT sur la partie Interne
Répartition DNS LB Possible pour les accès SIP Utiliser du SNAT pool dans le cas d’accès nombreux
>64 000 requêtes tcpRépartition des flux http Lync
Utilisez un répartiteur de charge matériel Utiliser la persistance de session basée sur les cookies
(443/8080) Inspection des paquets par le HLB (décryptage – Encryptage) Pas d'expiration de temps sur les cookies l'interface Externe A/V du edge doit utiliser des adresse IP
routable pas de Nat / pas de translation de port sur les adresses IP
externes EdgeInformations complémentaires
http://www.f5.com/pdf/deployment-guides/microsoft-lync-iapp-dg.pdf http://
www.barracudanetworks.com/ns/downloads/Other/Deploying_the_Barracuda_Load_Balancer_with%20Microsoft_Lync_Server_2010.pdf
Préparation de l’environnement réseauRépartition de charge et proxy
Emplacement DMZ Par définition … restriction d’accès
Pas d’accès à la CMS (1434 Sql Browser) Bootstrap
Mise en place d’un FQDN
A l’installation Négocier si possible Any Any de l’interne
vers le serveur ou pool Edge Valider / Fermer les ports inutiles & tester.
Résolution DNS des serveurs Edge Dns sur carte interne vers les serveurs DNS AD Prévoir le flux UDP 53 en plus
De préférence : Utiliser 3 adresses IP Publiques pour les 3 Services EdgeSupprimer l’enregistrement IPV 6 DNS sur les serveur edge (Lync n’utilise pas IPV6)
Installation d’un serveur EdgeRecommandations
Utiliser un FQDN interne de type pool Edge même si vous déployez un seul serveur Pool ready
Excluez certains répertoires Lync de l’analyse Antivirus http://technet.microsoft.com/fr-fr/library/gg195736.aspx
Sécurité Mise en place du rôle directeur
Assure l’authentification des utilisateurs distants Soulage les services front-end Permet de se prémunir d’un Denial Of Service sur la
partie externe. Rôle autonome
(pas de collocation possible avec d’autre rôle)
Installation d’un serveur EdgeRecommandations
Remote UC Troubleshooting Tool (RUCT) http://blog.insideocs.com/2011/11/14/the-remote-uc-troubleshooting-tool-ruct/?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+InsideOCS+%28Inside+OCS%29
Lync Remote Connectivity Analyzer
Utilisation des quelques outils
https://www.testocsconnectivity.com/
Lync Server 2010 Capacity Calculator http://go.microsoft.com/fwlink/?LinkId=212657 Lync Server 2010 Stress and Performance Tool http://go.microsoft.com/fwlink/?LinkId=212599.Documentation Microsoft Lync-2010-Chapter 06 Planning for External
User Access.doc Resource kit Microsoft Lync . External User
Accesshttp://unifiedit.wordpress.com/http://blogs.technet.com/b/nexthop/
Liens
Merci pour votre attention !
Questions ?
Sessions LyncDate Heure Sessions
Mercredi 8 Février 11h00-12h00 Exchange Stockage : mythe et réalités
Mercredi 8 Février 13h00-14h00 Lync : Bonnes pratiques d'Architecture
Mercredi 8 Février 13h00-14h00 UC Microsoft : Lync et Exchange, découverte et les fonctions méconnues
Mercredi 8 Février 13h00-14h00 Plongée profonde dans les technologies de haute disponibilité d'Exchange 2010
Mercredi 8 Février 14h30-15h30 Lync : Intéropérabilité IM, vidéo et téléphonie
Mercredi 8 Février 17h30-18h30 Lync Mobile : Architecture et fonctionnalités de Lync pour les smartphones
Jeudi 9 Février 13h00-14h00 Retour d'expérience d'un déploiement Lync server 2010 Voice mondial
Jeudi 9 Février 13h00-14h00 Lync Top 10 issues: supervision, monitoring, reporting et troubleshooting
Jeudi 9 Février 14h30-15h30 Lync: Ecosystème et ISV
Jeudi 9 Février 14h30-15h30 Exchange SP2 & Tips
Jeudi 9 Février 16h00-17h00 Lync développement client et serveur - retours d'expériences
Jeudi 9 Février 16h00-17h00 Comment sécuriser un serveur exchange 2010 ?
Plan du Salon et Exposant UC