Bonnes Architectures Lync Bonnes pratiques de définition d'architecture complexes : Hautes disponibilités, répartition de charge et mise en œuvre des serveurs Edge avec retours d'expériences.
5. Déploiement des Services
Internes
Conception de l'Infrastructure Lync
Sommaire
Exemple d’Infrastructure
Virtualisation
Mutualisation des Rôles Lync
Planning Tool
Capacity Planning Calculator
Détermination du Nombre de Sites Lync
Préparation au Déploiement Interne
Répartition de Charge
DNS
Certificats
Déploiement Interne
Central Management Store
Cinématique du Déploiement
6. Conception de l’Infrastructure
Lync
Exemple d’Infrastructure
Archiving
MSN
DMZ Monitoring
Terminaux
PIC AOL Lync
XMPP Yahoo
Utilisateurs
AD DNS
Distants Pool
Front-End (avec Mediation) Back End AV MCU
Edge
Sociétés
Fédérées
SIP
Direct SIP ExUM
Trunking
Mediation Server
IP-PBX
Terminaux Analogiques
PSTN
Media GW / SBA
7. Conception de l’Infrastructure
Lync
Virtualisation supportée pour les fonctions Présence, IM,
Virtualisation - Support
Conferencing, Enterprise Voice, Monitoring et Archiving
Hyperviseurs Supportés
Hyper-V 2008 R2
VMware ESX 4.0
Autres hyperviseurs validés dans Windows Server
Virtualization Validation Program
(http://go.microsoft.com/fwlink/?linkid=200511)
Live Migration ou similaire non supporté
Points d’attention
Les serveurs d’un pool doivent fournir les mêmes
performances
Pas de mélange physique/virtuels pour les serveurs d’un
pool
8. Conception de l’Infrastructure
Lync
Virtualisation – Impact sur lespar 2
Performances Divisées Performances
Rôle Physique Virtuel
CPU RAM Utilisateurs CPU RAM Utilisateurs
Front End 8 16 Go 10 000 4 16 Go 5 000
Back End 8 32 Go 80 000 4 16 Go 40 000
Mediation Server 8 16 Go 800 appels 4 10 Go 400 appels
Informations sur la virtualisation dans Lync Server 2010
Server Virtualization in Microsoft Lync Server 2010
http://go.microsoft.com/fwlink/?LinkId=211394
Running in a Virtualized Environment
http://technet.microsoft.com/en-us/library/gg399035.aspx
9. Conception de l’Infrastructure
Lync
Mutualisation de Rôles Lync rôles possible
Mutualisation de certains
http://technet.microsoft.com/en-us/library/gg425885.aspx
A/V Conferencing
Dédier des serveurs A/V Conferencing si le pool Front End
a plus de 10 000 utilisateurs
1 serveur A/V Conferencing par tranche de 20 000
utilisateurs si l’usage est similaire à Lync Server 2010 User
Models
http://technet.microsoft.com/en-us/library/gg398811.aspx
Mediation Server
Mutualisation sur les Front End possible
Moins d’appels simultanés possibles si mutualisé
800 à 1200 si dédié et environ 250 si mutualisé
10. Conception de l’Infrastructure
Lync
Outil d’aide à la conception de l’infrastructure Lync Server 2010
Planning Tool
Informations à indiquer
Sites
Utilisateurs (nombre par site)
Usages (conférence, téléphonie, Exchange UM…)
Eléments techniques (Redondance, CAC, Monitoring,
Archiving…)
Donne un bon point de départ sur les besoins de l’infrastructure
mais il faut parfois ajuster les résultats
17. Conception de l’Infrastructure
Lync
Capacity Planning d’aide au dimensionnement de l’infrastructure
Fichier Excel Calculator
Lync Server 2010
Nécessaire si l’usage prévu est très différent de Lync
Server 2010 User Models
http://technet.microsoft.com/en-us/library/gg398811.aspx
Informations à indiquer
Nombre d’utilisateurs
Pourcentage d’utilisation de chaque fonctionnalité
Règles de base disponibles dans Scenario-Based Capacity
Planning
http://technet.microsoft.com/en-us/library/gg615029.aspx
19. Conception de l’Infrastructure
Lync
Définition du Nombre deLync Lync
Deux types de Sites Sites
Central Site
Branch Site
Un déploiement doit contenir au moins 1 Central Site
Bonne pratique : 1 Central Site par datacenter
Un pool ne peut faire partie que d’un seul Central Site
Un A/V Conferencing Pool dédiée ne peut servir que les pools
Front End du même Central Site
Exception : déploiement de la topologie « Metropolitan Site
Resiliency », mais contraintes élevées :
VLAN étendu (niveau 2)
Réplication synchrone des baies de stockage pour SQL (Geo-
Cluster)
Latence inférieure à 20 ms aller-retour
20. Préparation au Déploiement
Interne
Répartitionmodes de répartition
Deux de Charge – Techniques pour Lync Server
2010 Server Load Balancing (Hardware Load Balancer ou
Software Load Balancer)
DNS Load Balancing
Server Load Balancing
Répartition de charge “classique” où l’équipement reçoit
une requête et la transmet à un des serveurs de la ferme
DNS Load Balancing
Combinaison de l’utilisation de round-robin DNS et d’une
gestion intelligente du client Lync 2010
Pour un pool Front End, le DNS Load Balancing ne peut
être utilisé seul – les flux HTTPS doivent être configurés
pour passer par un SLB
21. Préparation au Déploiement
Interne
Pool Front End
Répartition de Charge - Recommandations
DNS Load Balancing + Server Load Balancing
DNS LB pour tous les services Lync
SLB pour les protocoles HTTP/HTTPS (ports 80, 443, 8080 et
4443)
Nom d’accès aux Web Services du pool Front End
différent du nom du pool
Vérification de l’état sur le port 5060 des Front End
En coexistence avec OCS ou des clients OC, il est recommandé
d’utiliser une configuration complète avec SLB car les
clients/serveurs pré-Lync ne gèrent pas le DNS Load Balancing
Pool A/V Conferencing
Aucun : la répartition est complètement traitée de manière
logicielle par les Front End
Pool Mediation Server
DNS Load Balancing
22. Préparation au Déploiement
Interne
DNS De base, les clients Lync réalisent des requêtes DNS SRV pour
localiser les serveurs
Requêtes basées sur le domaine SIP de l’utilisateur
Pour des déploiement avec plusieurs pools Front End, création
de plusieurs enregistrements DNS SRV
Entrée DNS SRV Poids Priorité Cible
_sipinternaltls._tcp.techdays.com 0 0 pool01.techdays.com
_sipinternaltls._tcp.techdays.com 0 10 pool02.techdays.com
La cible pointée par l’entrée DNS SRV doit avoir la même
terminaison (techdays.com dans l’exemple)
Implique infrastructure Split-DNS
Dans le cas contraire, création de « pin-point internal
zone »
Voir Determining DNS Requirements
23. Préparation au Déploiement
Interne
Contraintes pour les certificats
Certificats
Avoir l’usage Server EKU (OID 1.3.6.1.5.5.7.3.1)
Avoir un CRL Distribution Point
Avec une longueur de clé de 1024, 2048 ou 4096
Avoir la CRL accessible
Doit supporter les extensions Subject Altenative Name (OID 2.5.29.17)
Pour un déploiement classique, les certificats sur les Front End doivent contenir
au minimum :
FQDN du pool Front End
FQDN de l’URL Web Services Front End (interne et externe)
FQDN du serveur Front End
Nom DNS pour les URL simplifiées Meet et Dialin (plusieurs possibilités
existent – voir Planning for Simple URLs http://technet.microsoft.com/en-
us/library/gg398287.aspx)
Et pour chaque domaine SIP
Nom du pool se terminant par le domaine SIP (exemple :
pool01.techdays.com)
URL pour la mobilité Lync (exemple LyncDiscover.techdays.com et
LyncDiscoverInternal.techdays.com)
24. Préparation au Déploiement
Interne
Certificats – Subject Name
Champ Exemple de contenu
pool01.techdays.local
Champ Subject Alternative Name
pool01.techdays.local
pool01ws.techdays.local
lyncweb.techdays.com
pool01-fe01.techdays.local
pool01-fe02.techdays.local
meet.techdays.com
dialin.techdays.com
pool01.techdays.com
lyncdiscoverinternal.techdays.com
lyncdiscover.techdays.com
Important : le nom présent dans le champ Subject Name doit être
également présent dans le champ Subject Alternative Name
25. Préparation au Déploiement
Interne
Pour Jamais de underscore (“_”) dans les noms DNS
aller plus loin dans les bonnes pratiques
Conference Directory
Chaque pool Lync Server 2010 a par défaut 1 Conference
Directory
Recommandation : créer 1 Conference Directory par tranche de 1
000 utilisateurs
Support du NTLM SSP 128-bit
Configurer sur les serveurs Lync “Network Security: Minimum
session security for NTLM SSP based” à “No Minimum” pour
autoriser les clients Windows XP à se connecter
Exchange AutoDiscover
Pour avoir une intégration complète entre Lync et Exchange
2007/2010, le DNS doit être configuré pour résoudre les requêtes
AutoDiscover d’Exchange, par exemple :
https://techdays.com/autodiscover/autodiscover.xml
https://autodiscover.techdays.com/autodiscover/autodiscover.
xml
26. Déploiement Interne
Central Management Store
Premier élément d’une infrastructure Lync Server 2010
Existe sur un pool Enterprise Edition ou Standard Edition
Un seul pool héberge le CMS
En réalité, il s’agit d’une base de données
Stocke des documents XML qui contiennent une grande
partie des données de l’environnement : Topologie,
Stratégies, Configuration…
La configuration CMS est répliquée sur tous les serveurs Lync
Server 2010
27. Déploiement Interne
Cinématique du Déploiement
AD
PC dans le domaine Active Directory Serveur Lync Back End SQL
Préparation AD Lancement Setup Bases de données
créées par le
Topology Builder ou
Installation du Récupération de la en Lync PowerShell
Topology Builder Topologie
Création de la Installation des
Topologie Lync composants
SQL
SQL
SQL
Publication de la Activation
Topologie Lync Instance SQL CMS
Certificats
33. Comprendre l’environnement
Edge
Quelques relay Authentification Service
Media Protocoles de bases
Service d’authentification des accès externes pour les
services Audio-Vidéo.
Fonctionne sur l’interface interne des Edge serveurs (5062)
ICE
Protocole utilisé pour déterminer le lien le plus direct entre
l’appelé et l’appelant
(http://tools.ietf.org/html/draft-ietf-mmusic-ice-19)
STUN (Session Traversal Utilities for NAT) /TURN (Traversal
Using Relay NAT)
Méthodes standardisées incluant un protocole réseau utilisé
pour la traversée des flux audio vidéo sur des réseaux
Natés. Port (3478 Udp & 443 tcp)
34. Comprendre l’environnement
Edge
Nommage des services
Rappel
Un seul meet Actif par domaine SIP
Par contre
Plusieurs Edge peuvent coexister pour un même
domaine sip. (Entreprise internationale)
Exemple de nomenclature
Meet.company.com
AccessFr01.company.com
WebconFr01.company.com
AvFr01.company.com
35. Comprendre l’environnement
Edge
Les fonctions du proxy Inverse
Permettre aux utilisateurs externes de télécharger le contenu
de vos réunions
Permettre aux utilisateurs externes de développer des
groupes de distribution
Permettre aux utilisateurs distants de télécharger des fichiers
du Service de carnet d’adresses
Accès au client Microsoft Lync Web App
Accès à la page Web des paramètres de conférence rendez-
vous
Accès au service Informations d’emplacement
Permettre aux périphériques externes de se connecter au
service Web de mise à jour des périphériques et d’obtenir des
mises à jour
Permettre aux applications mobiles de découvrir
automatiquement des URL de mobilité depuis Internet
36. Préparation de l’environnement
réseau
Tester l’environnement Edge
Vérifier les Enregistrements DNS Externes Edge
Vérifier les Enregistrements DNS Externes Proxy
Vérifier les ports de communications Internes / Externes
Vérifier la résolution de nom Internes
Utilisation d’outils de vérification
37. Préparation de l’environnement réseau
Vérifier les Enregistrements DNS Externes des Serveurs Edge
Emplacement Type FQDN Adresse IP/FQDN Port Mappage à/Commentaires
DNS externe A Accessfr01.unifiedit.com 131.107.155.10 Interface externe de serveur d’accès Edge SIP (Unified)
DNS externe A webconfr01.unifiedit.com 131.107.155.20 Interface externe de serveur Edge de conférence Web
DNS externe A Avfr01.unifiedit.com 131.107.155.30 Interface externe de serveur Edge A/V
DNS externe SRV _sip._tls.unifiedit.com access.unifiedit.com 443 Interface externe de serveur d’accès Edge SIP (access.unifiedit.com)
Requis pour que la configuration automatique des clients Lync 2010
fonctionne en externe
DNS externe SRV _sipfederationtls._tcp.unifie access.unifiedit.com 5061 Interface externe de serveur d’accès Edge SIP (access.unifiedit.com)
dit.com Requis pour la détection DNS automatique des partenaires fédérés
ou « Domaine SIP autorisé » (appelé fédération étendue dans les
versions précédentes).
Nslookup
> set type=srv > _sipfederationtls._tcp.unfiedit.com
> _sip._Tls.unfiedit.com _sipfederationtls._tcp.unfiedit.com
Address: 192.168.1.254 SRV service location:
_sip._Tls.unfiedit.com SRV service location: priority =0
priority = 0 weight =0
weight =0 port = 5061
port = 443 svr hostname = sip.unfiedit.com
svr hostname = sip.unfiedit.com
>
38. Préparation de l’environnement réseau
Vérifier les Enregistrements DNS Externes des Proxy Inverses
Emplacement Type FQDN Adresse IP Mappage à/Commentaires
Utilisé pour publier le service de carnet
DNS externe A lsrp.unifiedit.com 131.107.155.40 d’adresses, le développement des groupes de
distribution et le contenu des conférences.
DNS externe A dialin.unifiedit.com 131.107.155.40 Conférences rendez-vous publiées en externe
DNS externe A meet.unifiedit.com 131.107.155.40 Conférences publiées en externe
Nom complet des services Web externes Lync
DNS externe A lsweb-ext.unifiedit.com 131.107.155.40
Server 2010
Nécessaire pour les appareils mobiles
exécutant Lync 2010 et utilisant le service de
DNS externe A lyncdiscover.unifiedit.com 131.107.155.40
détection automatique pour fonctionner en
externe
39. Préparation de l’environnement réseau
Vérifier les ports de communications Internes / Externes
Telnet Depuis Vers Port Protocol Commentaires
Extérieur Sip.unifiedit.com 443 SIP
Extérieur Sip.unifiedit.com 5061 SIP
Extérieur Webconfr01.unifiedit.co 443 PSOM
m
Extérieur Avfr01.unifiedIt.com 443 STUN
Extérieur Reverse proxy 443 SSL
Serveurs Edge Pool Front End 5061 SIP
Serveurs Frontaux LyncEdge.unifiedit.local 5061 SIP
Serveurs Frontaux LyncEdge.unifiedIt.local 443 SIP Adresse Interne du pool Edge
Serveurs Frontaux LyncEdge.unifiedIt.local 5062 MRAS
Serveurs Frontaux LyncEdge.unifiedIt.local 4443 Adresse Interne du pool Edge
Serveurs Frontaux LyncEdge.unifiedIt.local 8057 Adresse Interne du pool Edge
Clients Internes LyncEdge.unifiedit.local 443 Adresse Interne du pool Edge
Clients Internes Fqdn du directeur 5061 Présence d’un Director
Directeur LyncEdge.unifiedit.local 5061 SIP Présence d’un Director
Directeur Pool Front End 5061 SIP Présence d’un Director
40. Préparation de l’environnement réseau
Vérifier la résolution de nom Internes
Ping Depuis Vers Commentaires
Poste interne Avfr01.unifiedit.com Doit retourner l’adresse IP Publique du serveur Edge
Audio / Video
Poste Interne Lyncedge.unifiedit.local Doit retourner l’adresse Ip Privée du Pool Edge
Poste Interne LyncDirector.unifiedit.local Doit retourner l’adresse Ip du serveur Directeur
Poste Interne Pool Front End Doit Retourner l’adresse Vip (Hlb) du Pool
Serveurs Frontaux Lync Avfr01.unifiedit.com Doit retourner l’adresse IP Publique du serveur Edge
Audio / Video
Serveurs Frontaux Lync Lyncedge.unifiedit.local Doit retourner l’adresse Ip Privée du Pool Edge
Serveurs Frontaux Lync LyncDirector.unifiedit.local Doit retourner l’adresse Ip du serveur Directeur
Directeur Lyncedge.unifiedit.local Doit retourner l’adresse Ip Privée du Pool Edge
Directeur Pool Front End Doit Retourner l’adresse Vip (Hlb) du Pool
41. Préparation de l’environnement
réseau
SNAT / DNAT
Rappel
Snat : changement de l’adresse Ip source
Dnat : Changement de l’adresse Ip Destination
Pour le trafic entrant vers le serveur edge
Dnat : Changement de l’adresse IP Publique pour
l’adresse Externe du serveur Edge
Pour le trafic sortant depuis le serveur Edge
Snat : Changement de l’adresse IP externe du serveur
Edge pour l’adresse IP publique.
L'environnement Microsoft Lync 2010 ne supporte pas les fonctions de NAT
sur la partie Interne
42. Préparation de l’environnement
réseau
RépartitionDNS LB
Répartition de charge et proxy
Possible pour les accès SIP
Utiliser du SNAT pool dans le cas d’accès nombreux
>64 000 requêtes tcp
Répartition des flux http Lync
Utilisez un répartiteur de charge matériel
Utiliser la persistance de session basée sur les cookies
(443/8080)
Inspection des paquets par le HLB (décryptage – Encryptage)
Pas d'expiration de temps sur les cookies
l'interface Externe A/V du edge doit utiliser des adresse IP
routable
pas de Nat / pas de translation de port sur les adresses IP
externes Edge
Informations complémentaires
http://www.f5.com/pdf/deployment-guides/microsoft-lync-iapp-dg.pdf
http://www.barracudanetworks.com/ns/downloads/Other/Deploying_t
he_Barracuda_Load_Balancer_with%20Microsoft_Lync_Server_201
0.pdf
43. Installation d’un serveur Edge
Recommandations
Emplacement DMZ
Par définition … restriction d’accès
Pas d’accès à la CMS (1434 Sql Browser)
Bootstrap
Mise en place d’un FQDN
A l’installation
Négocier si possible Any Any de l’interne
vers le serveur ou pool Edge
Valider / Fermer les ports inutiles & tester.
Résolution DNS des serveurs Edge
Dns sur carte interne vers les serveurs DNS AD
Prévoir le flux UDP 53 en plus
De préférence : Utiliser 3 adresses IP Publiques pour les 3 Services
Edge
Supprimer l’enregistrement IPV 6 DNS sur les serveur edge (Lync
n’utilise pas IPV6)
44. Installation d’un serveur Edge
Recommandations
Utiliser un FQDN interne de type pool Edge même si vous
déployez un seul serveur
Pool ready
Excluez certains répertoires Lync de l’analyse Antivirus
http://technet.microsoft.com/fr-fr/library/gg195736.aspx
Sécurité
Mise en place du rôle directeur
Assure l’authentification des utilisateurs distants
Soulage les services front-end
Permet de se prémunir d’un Denial Of Service sur la
partie externe.
Rôle autonome
(pas de collocation possible avec d’autre rôle)
45. Utilisation des quelques outils
Remote UC Troubleshooting Tool (RUCT)
http://blog.insideocs.com/2011/11/14/the-remote-uc-troubleshooting-tool-
ruct/?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+InsideOCS+%28Insid
e+OCS%29
Lync Remote Connectivity Analyzer
https://www.testocsconnectivity.com/
46. Liens
Lync Server 2010 Capacity Calculator
http://go.microsoft.com/fwlink/?LinkId=212657
Lync Server 2010 Stress and Performance Tool
http://go.microsoft.com/fwlink/?LinkId=212599.
Documentation Microsoft
Lync-2010-Chapter 06 Planning for External User
Access.doc
Resource kit Microsoft Lync . External User Access
http://unifiedit.wordpress.com/
http://blogs.technet.com/b/nexthop/
48. Sessions Lync
Date Heure Sessions
Mercredi 8 Février 11h00-12h00 Exchange Stockage : mythe et réalités
Mercredi 8 Février 13h00-14h00 Lync : Bonnes pratiques d'Architecture
UC Microsoft : Lync et Exchange, découverte et les fonctions
Mercredi 8 Février 13h00-14h00
méconnues
Plongée profonde dans les technologies de haute disponibilité
Mercredi 8 Février 13h00-14h00
d'Exchange 2010
Mercredi 8 Février 14h30-15h30 Lync : Intéropérabilité IM, vidéo et téléphonie
Lync Mobile : Architecture et fonctionnalités de Lync pour les
Mercredi 8 Février 17h30-18h30
smartphones
Jeudi 9 Février 13h00-14h00 Retour d'expérience d'un déploiement Lync server 2010 Voice mondial
Lync Top 10 issues: supervision, monitoring, reporting et
Jeudi 9 Février 13h00-14h00
troubleshooting
Jeudi 9 Février 14h30-15h30 Lync: Ecosystème et ISV
Jeudi 9 Février 14h30-15h30 Exchange SP2 & Tips
Jeudi 9 Février 16h00-17h00 Lync développement client et serveur - retours d'expériences
Jeudi 9 Février 16h00-17h00 Comment sécuriser un serveur exchange 2010 ?