Lync : Bonnes pratiques d'Architecture

3 680 vues

Publié le

Bonnes Architectures Lync Bonnes pratiques de définition d'architecture complexes : Hautes disponibilités, répartition de charge et mise en œuvre des serveurs Edge avec retours d'expériences.

Publié dans : Technologie
0 commentaire
0 j’aime
Statistiques
Remarques
  • Soyez le premier à commenter

  • Soyez le premier à aimer ceci

Aucun téléchargement
Vues
Nombre de vues
3 680
Sur SlideShare
0
Issues des intégrations
0
Intégrations
3
Actions
Partages
0
Téléchargements
107
Commentaires
0
J’aime
0
Intégrations 0
Aucune incorporation

Aucune remarque pour cette diapositive

Lync : Bonnes pratiques d'Architecture

  1. 1. palais descongrèsParis7, 8 et 9février 2012
  2. 2. Lync Server 2010Bonnes pratiquesdArchitecture (MSG301)8 Février 2012Laurent Teruin | ConsultantStefan Plizga | Consultant | Microsoft Services
  3. 3. Sommaire Déploiement des Services Internes  Conception de lInfrastructure Lync  Préparation au Déploiement Interne  Déploiement Interne Déploiement des Services Edge  Comprendre l’environnement  Préparation de l’environnement réseau  Installation d’un Edge  Outils Questions réponses
  4. 4. Déploiement des ServicesInternesStefan Plizga | Consultant | Microsoft Serviceshttp://blogs.technet.com/stefan
  5. 5. Déploiement des ServicesInternes Conception de lInfrastructure LyncSommaire  Exemple d’Infrastructure  Virtualisation  Mutualisation des Rôles Lync  Planning Tool  Capacity Planning Calculator  Détermination du Nombre de Sites Lync Préparation au Déploiement Interne  Répartition de Charge  DNS  Certificats Déploiement Interne  Central Management Store  Cinématique du Déploiement
  6. 6. Conception de l’InfrastructureLyncExemple d’Infrastructure Archiving MSN DMZ Monitoring Terminaux PIC AOL Lync XMPP Yahoo Utilisateurs AD DNS Distants Pool Front-End (avec Mediation) Back End AV MCU Edge Sociétés Fédérées SIP Direct SIP ExUM Trunking Mediation Server IP-PBX Terminaux Analogiques PSTN Media GW / SBA
  7. 7. Conception de l’InfrastructureLync Virtualisation supportée pour les fonctions Présence, IM,Virtualisation - Support Conferencing, Enterprise Voice, Monitoring et Archiving Hyperviseurs Supportés  Hyper-V 2008 R2  VMware ESX 4.0  Autres hyperviseurs validés dans Windows Server Virtualization Validation Program (http://go.microsoft.com/fwlink/?linkid=200511)  Live Migration ou similaire non supporté Points d’attention  Les serveurs d’un pool doivent fournir les mêmes performances  Pas de mélange physique/virtuels pour les serveurs d’un pool
  8. 8. Conception de l’InfrastructureLyncVirtualisation – Impact sur lespar 2 Performances Divisées Performances Rôle Physique Virtuel CPU RAM Utilisateurs CPU RAM Utilisateurs Front End 8 16 Go 10 000 4 16 Go 5 000 Back End 8 32 Go 80 000 4 16 Go 40 000 Mediation Server 8 16 Go 800 appels 4 10 Go 400 appels Informations sur la virtualisation dans Lync Server 2010  Server Virtualization in Microsoft Lync Server 2010  http://go.microsoft.com/fwlink/?LinkId=211394  Running in a Virtualized Environment  http://technet.microsoft.com/en-us/library/gg399035.aspx
  9. 9. Conception de l’InfrastructureLyncMutualisation de Rôles Lync rôles possible Mutualisation de certains  http://technet.microsoft.com/en-us/library/gg425885.aspx A/V Conferencing  Dédier des serveurs A/V Conferencing si le pool Front End a plus de 10 000 utilisateurs  1 serveur A/V Conferencing par tranche de 20 000 utilisateurs si l’usage est similaire à Lync Server 2010 User Models  http://technet.microsoft.com/en-us/library/gg398811.aspx Mediation Server  Mutualisation sur les Front End possible  Moins d’appels simultanés possibles si mutualisé  800 à 1200 si dédié et environ 250 si mutualisé
  10. 10. Conception de l’InfrastructureLync Outil d’aide à la conception de l’infrastructure Lync Server 2010Planning Tool Informations à indiquer  Sites  Utilisateurs (nombre par site)  Usages (conférence, téléphonie, Exchange UM…)  Eléments techniques (Redondance, CAC, Monitoring, Archiving…) Donne un bon point de départ sur les besoins de l’infrastructure mais il faut parfois ajuster les résultats
  11. 11. Conception de l’InfrastructureLyncPlanning Tool
  12. 12. Conception de l’InfrastructureLyncPlanning Tool
  13. 13. Conception de l’InfrastructureLyncPlanning Tool
  14. 14. Conception de l’InfrastructureLyncPlanning Tool
  15. 15. Conception de l’InfrastructureLyncPlanning Tool
  16. 16. Conception de l’InfrastructureLyncPlanning Tool
  17. 17. Conception de l’InfrastructureLyncCapacity Planning d’aide au dimensionnement de l’infrastructure Fichier Excel Calculator Lync Server 2010  Nécessaire si l’usage prévu est très différent de Lync Server 2010 User Models  http://technet.microsoft.com/en-us/library/gg398811.aspx Informations à indiquer  Nombre d’utilisateurs  Pourcentage d’utilisation de chaque fonctionnalité Règles de base disponibles dans Scenario-Based Capacity Planning  http://technet.microsoft.com/en-us/library/gg615029.aspx
  18. 18. Conception de l’InfrastructureLyncCapacity Planning Calculator
  19. 19. Conception de l’InfrastructureLyncDéfinition du Nombre deLync Lync Deux types de Sites Sites  Central Site  Branch Site Un déploiement doit contenir au moins 1 Central Site Bonne pratique : 1 Central Site par datacenter  Un pool ne peut faire partie que d’un seul Central Site  Un A/V Conferencing Pool dédiée ne peut servir que les pools Front End du même Central Site Exception : déploiement de la topologie « Metropolitan Site Resiliency », mais contraintes élevées :  VLAN étendu (niveau 2)  Réplication synchrone des baies de stockage pour SQL (Geo- Cluster)  Latence inférieure à 20 ms aller-retour
  20. 20. Préparation au DéploiementInterneRépartitionmodes de répartition Deux de Charge – Techniques pour Lync Server2010  Server Load Balancing (Hardware Load Balancer ou Software Load Balancer)  DNS Load Balancing Server Load Balancing  Répartition de charge “classique” où l’équipement reçoit une requête et la transmet à un des serveurs de la ferme DNS Load Balancing  Combinaison de l’utilisation de round-robin DNS et d’une gestion intelligente du client Lync 2010  Pour un pool Front End, le DNS Load Balancing ne peut être utilisé seul – les flux HTTPS doivent être configurés pour passer par un SLB
  21. 21. Préparation au DéploiementInterne Pool Front EndRépartition de Charge - Recommandations  DNS Load Balancing + Server Load Balancing  DNS LB pour tous les services Lync  SLB pour les protocoles HTTP/HTTPS (ports 80, 443, 8080 et 4443)  Nom d’accès aux Web Services du pool Front End différent du nom du pool  Vérification de l’état sur le port 5060 des Front End  En coexistence avec OCS ou des clients OC, il est recommandé d’utiliser une configuration complète avec SLB car les clients/serveurs pré-Lync ne gèrent pas le DNS Load Balancing Pool A/V Conferencing  Aucun : la répartition est complètement traitée de manière logicielle par les Front End Pool Mediation Server  DNS Load Balancing
  22. 22. Préparation au DéploiementInterneDNS De base, les clients Lync réalisent des requêtes DNS SRV pour localiser les serveurs  Requêtes basées sur le domaine SIP de l’utilisateur Pour des déploiement avec plusieurs pools Front End, création de plusieurs enregistrements DNS SRV Entrée DNS SRV Poids Priorité Cible _sipinternaltls._tcp.techdays.com 0 0 pool01.techdays.com _sipinternaltls._tcp.techdays.com 0 10 pool02.techdays.com  La cible pointée par l’entrée DNS SRV doit avoir la même terminaison (techdays.com dans l’exemple) Implique infrastructure Split-DNS  Dans le cas contraire, création de « pin-point internal zone »  Voir Determining DNS Requirements
  23. 23. Préparation au DéploiementInterne Contraintes pour les certificatsCertificats  Avoir l’usage Server EKU (OID 1.3.6.1.5.5.7.3.1)  Avoir un CRL Distribution Point  Avec une longueur de clé de 1024, 2048 ou 4096  Avoir la CRL accessible  Doit supporter les extensions Subject Altenative Name (OID 2.5.29.17) Pour un déploiement classique, les certificats sur les Front End doivent contenir au minimum :  FQDN du pool Front End  FQDN de l’URL Web Services Front End (interne et externe)  FQDN du serveur Front End  Nom DNS pour les URL simplifiées Meet et Dialin (plusieurs possibilités existent – voir Planning for Simple URLs http://technet.microsoft.com/en- us/library/gg398287.aspx)  Et pour chaque domaine SIP  Nom du pool se terminant par le domaine SIP (exemple : pool01.techdays.com)  URL pour la mobilité Lync (exemple LyncDiscover.techdays.com et LyncDiscoverInternal.techdays.com)
  24. 24. Préparation au DéploiementInterneCertificats – Subject Name Champ Exemple de contenu  pool01.techdays.local Champ Subject Alternative Name  pool01.techdays.local  pool01ws.techdays.local  lyncweb.techdays.com  pool01-fe01.techdays.local  pool01-fe02.techdays.local  meet.techdays.com  dialin.techdays.com  pool01.techdays.com  lyncdiscoverinternal.techdays.com  lyncdiscover.techdays.com Important : le nom présent dans le champ Subject Name doit être également présent dans le champ Subject Alternative Name
  25. 25. Préparation au DéploiementInternePour Jamais de underscore (“_”) dans les noms DNS aller plus loin dans les bonnes pratiques Conference Directory  Chaque pool Lync Server 2010 a par défaut 1 Conference Directory  Recommandation : créer 1 Conference Directory par tranche de 1 000 utilisateurs Support du NTLM SSP 128-bit  Configurer sur les serveurs Lync “Network Security: Minimum session security for NTLM SSP based” à “No Minimum” pour autoriser les clients Windows XP à se connecter Exchange AutoDiscover  Pour avoir une intégration complète entre Lync et Exchange 2007/2010, le DNS doit être configuré pour résoudre les requêtes AutoDiscover d’Exchange, par exemple :  https://techdays.com/autodiscover/autodiscover.xml  https://autodiscover.techdays.com/autodiscover/autodiscover. xml
  26. 26. Déploiement InterneCentral Management Store Premier élément d’une infrastructure Lync Server 2010 Existe sur un pool Enterprise Edition ou Standard Edition Un seul pool héberge le CMS En réalité, il s’agit d’une base de données  Stocke des documents XML qui contiennent une grande partie des données de l’environnement : Topologie, Stratégies, Configuration… La configuration CMS est répliquée sur tous les serveurs Lync Server 2010
  27. 27. Déploiement InterneCinématique du Déploiement AD PC dans le domaine Active Directory Serveur Lync Back End SQL Préparation AD Lancement Setup Bases de données créées par le Topology Builder ou Installation du Récupération de la en Lync PowerShell Topology Builder Topologie Création de la Installation des Topologie Lync composants SQL SQL SQL Publication de la Activation Topologie Lync Instance SQL CMS Certificats
  28. 28. Déploiement des servicesEdgeLaurent Teruin | Consultant | MVPhttp://unifiedit.wordpress.com/Laurentt@exakis.com
  29. 29. Planification Comprendre l’environnement Préparation de l’environnement réseau  Réseau  DNS  Répartition de charge Installation d’un Edge  Installation  Validation Outils  Remote UC Troubleshooting Tool (RUCT)  Lync Remote Connectivity Analyzer
  30. 30. Comprendre l’environnementEdgeConsolidé
  31. 31. Comprendre l’environnementEdgeEtendu (Hlb)
  32. 32. Comprendre l’environnementEdgeEtendu Dns LB
  33. 33. Comprendre l’environnementEdgeQuelques relay Authentification Service Media Protocoles de bases  Service d’authentification des accès externes pour les services Audio-Vidéo.  Fonctionne sur l’interface interne des Edge serveurs (5062) ICE  Protocole utilisé pour déterminer le lien le plus direct entre l’appelé et l’appelant  (http://tools.ietf.org/html/draft-ietf-mmusic-ice-19) STUN (Session Traversal Utilities for NAT) /TURN (Traversal Using Relay NAT)  Méthodes standardisées incluant un protocole réseau utilisé pour la traversée des flux audio vidéo sur des réseaux Natés. Port (3478 Udp & 443 tcp)
  34. 34. Comprendre l’environnementEdgeNommage des services Rappel  Un seul meet Actif par domaine SIP Par contre  Plusieurs Edge peuvent coexister pour un même domaine sip. (Entreprise internationale)  Exemple de nomenclature  Meet.company.com  AccessFr01.company.com  WebconFr01.company.com  AvFr01.company.com
  35. 35. Comprendre l’environnementEdgeLes fonctions du proxy Inverse Permettre aux utilisateurs externes de télécharger le contenu de vos réunions Permettre aux utilisateurs externes de développer des groupes de distribution Permettre aux utilisateurs distants de télécharger des fichiers du Service de carnet d’adresses Accès au client Microsoft Lync Web App Accès à la page Web des paramètres de conférence rendez- vous Accès au service Informations d’emplacement Permettre aux périphériques externes de se connecter au service Web de mise à jour des périphériques et d’obtenir des mises à jour Permettre aux applications mobiles de découvrir automatiquement des URL de mobilité depuis Internet
  36. 36. Préparation de l’environnementréseauTester l’environnement Edge Vérifier les Enregistrements DNS Externes Edge Vérifier les Enregistrements DNS Externes Proxy Vérifier les ports de communications Internes / Externes Vérifier la résolution de nom Internes Utilisation d’outils de vérification
  37. 37. Préparation de l’environnement réseauVérifier les Enregistrements DNS Externes des Serveurs Edge Emplacement Type FQDN Adresse IP/FQDN Port Mappage à/Commentaires DNS externe A Accessfr01.unifiedit.com 131.107.155.10 Interface externe de serveur d’accès Edge SIP (Unified) DNS externe A webconfr01.unifiedit.com 131.107.155.20 Interface externe de serveur Edge de conférence Web DNS externe A Avfr01.unifiedit.com 131.107.155.30 Interface externe de serveur Edge A/V DNS externe SRV _sip._tls.unifiedit.com access.unifiedit.com 443 Interface externe de serveur d’accès Edge SIP (access.unifiedit.com) Requis pour que la configuration automatique des clients Lync 2010 fonctionne en externe DNS externe SRV _sipfederationtls._tcp.unifie access.unifiedit.com 5061 Interface externe de serveur d’accès Edge SIP (access.unifiedit.com) dit.com Requis pour la détection DNS automatique des partenaires fédérés ou « Domaine SIP autorisé » (appelé fédération étendue dans les versions précédentes). Nslookup > set type=srv > _sipfederationtls._tcp.unfiedit.com > _sip._Tls.unfiedit.com _sipfederationtls._tcp.unfiedit.com Address: 192.168.1.254 SRV service location: _sip._Tls.unfiedit.com SRV service location: priority =0 priority = 0 weight =0 weight =0 port = 5061 port = 443 svr hostname = sip.unfiedit.com svr hostname = sip.unfiedit.com >
  38. 38. Préparation de l’environnement réseauVérifier les Enregistrements DNS Externes des Proxy Inverses Emplacement Type FQDN Adresse IP Mappage à/Commentaires Utilisé pour publier le service de carnet DNS externe A lsrp.unifiedit.com 131.107.155.40 d’adresses, le développement des groupes de distribution et le contenu des conférences. DNS externe A dialin.unifiedit.com 131.107.155.40 Conférences rendez-vous publiées en externe DNS externe A meet.unifiedit.com 131.107.155.40 Conférences publiées en externe Nom complet des services Web externes Lync DNS externe A lsweb-ext.unifiedit.com 131.107.155.40 Server 2010 Nécessaire pour les appareils mobiles exécutant Lync 2010 et utilisant le service de DNS externe A lyncdiscover.unifiedit.com 131.107.155.40 détection automatique pour fonctionner en externe
  39. 39. Préparation de l’environnement réseauVérifier les ports de communications Internes / Externes Telnet Depuis Vers Port Protocol Commentaires Extérieur Sip.unifiedit.com 443 SIP Extérieur Sip.unifiedit.com 5061 SIP Extérieur Webconfr01.unifiedit.co 443 PSOM m Extérieur Avfr01.unifiedIt.com 443 STUN Extérieur Reverse proxy 443 SSL Serveurs Edge Pool Front End 5061 SIP Serveurs Frontaux LyncEdge.unifiedit.local 5061 SIP Serveurs Frontaux LyncEdge.unifiedIt.local 443 SIP Adresse Interne du pool Edge Serveurs Frontaux LyncEdge.unifiedIt.local 5062 MRAS Serveurs Frontaux LyncEdge.unifiedIt.local 4443 Adresse Interne du pool Edge Serveurs Frontaux LyncEdge.unifiedIt.local 8057 Adresse Interne du pool Edge Clients Internes LyncEdge.unifiedit.local 443 Adresse Interne du pool Edge Clients Internes Fqdn du directeur 5061 Présence d’un Director Directeur LyncEdge.unifiedit.local 5061 SIP Présence d’un Director Directeur Pool Front End 5061 SIP Présence d’un Director
  40. 40. Préparation de l’environnement réseauVérifier la résolution de nom Internes Ping Depuis Vers Commentaires Poste interne Avfr01.unifiedit.com Doit retourner l’adresse IP Publique du serveur Edge Audio / Video Poste Interne Lyncedge.unifiedit.local Doit retourner l’adresse Ip Privée du Pool Edge Poste Interne LyncDirector.unifiedit.local Doit retourner l’adresse Ip du serveur Directeur Poste Interne Pool Front End Doit Retourner l’adresse Vip (Hlb) du Pool Serveurs Frontaux Lync Avfr01.unifiedit.com Doit retourner l’adresse IP Publique du serveur Edge Audio / Video Serveurs Frontaux Lync Lyncedge.unifiedit.local Doit retourner l’adresse Ip Privée du Pool Edge Serveurs Frontaux Lync LyncDirector.unifiedit.local Doit retourner l’adresse Ip du serveur Directeur Directeur Lyncedge.unifiedit.local Doit retourner l’adresse Ip Privée du Pool Edge Directeur Pool Front End Doit Retourner l’adresse Vip (Hlb) du Pool
  41. 41. Préparation de l’environnementréseauSNAT / DNAT Rappel  Snat : changement de l’adresse Ip source  Dnat : Changement de l’adresse Ip Destination Pour le trafic entrant vers le serveur edge  Dnat : Changement de l’adresse IP Publique pour l’adresse Externe du serveur Edge Pour le trafic sortant depuis le serveur Edge  Snat : Changement de l’adresse IP externe du serveur Edge pour l’adresse IP publique. Lenvironnement Microsoft Lync 2010 ne supporte pas les fonctions de NAT sur la partie Interne
  42. 42. Préparation de l’environnementréseauRépartitionDNS LB Répartition de charge et proxy  Possible pour les accès SIP  Utiliser du SNAT pool dans le cas d’accès nombreux  >64 000 requêtes tcp Répartition des flux http Lync  Utilisez un répartiteur de charge matériel  Utiliser la persistance de session basée sur les cookies (443/8080)  Inspection des paquets par le HLB (décryptage – Encryptage)  Pas dexpiration de temps sur les cookies  linterface Externe A/V du edge doit utiliser des adresse IP routable  pas de Nat / pas de translation de port sur les adresses IP externes Edge Informations complémentaires  http://www.f5.com/pdf/deployment-guides/microsoft-lync-iapp-dg.pdf  http://www.barracudanetworks.com/ns/downloads/Other/Deploying_t he_Barracuda_Load_Balancer_with%20Microsoft_Lync_Server_201 0.pdf
  43. 43. Installation d’un serveur EdgeRecommandations Emplacement DMZ  Par définition … restriction d’accès  Pas d’accès à la CMS (1434 Sql Browser)  Bootstrap Mise en place d’un FQDN A l’installation  Négocier si possible Any Any de l’interne vers le serveur ou pool Edge  Valider / Fermer les ports inutiles & tester. Résolution DNS des serveurs Edge  Dns sur carte interne vers les serveurs DNS AD  Prévoir le flux UDP 53 en plus De préférence : Utiliser 3 adresses IP Publiques pour les 3 Services Edge Supprimer l’enregistrement IPV 6 DNS sur les serveur edge (Lync n’utilise pas IPV6)
  44. 44. Installation d’un serveur EdgeRecommandations Utiliser un FQDN interne de type pool Edge même si vous déployez un seul serveur  Pool ready Excluez certains répertoires Lync de l’analyse Antivirus  http://technet.microsoft.com/fr-fr/library/gg195736.aspx Sécurité  Mise en place du rôle directeur  Assure l’authentification des utilisateurs distants  Soulage les services front-end  Permet de se prémunir d’un Denial Of Service sur la partie externe.  Rôle autonome  (pas de collocation possible avec d’autre rôle)
  45. 45. Utilisation des quelques outils Remote UC Troubleshooting Tool (RUCT) http://blog.insideocs.com/2011/11/14/the-remote-uc-troubleshooting-tool- ruct/?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+InsideOCS+%28Insid e+OCS%29 Lync Remote Connectivity Analyzer https://www.testocsconnectivity.com/
  46. 46. Liens Lync Server 2010 Capacity Calculator http://go.microsoft.com/fwlink/?LinkId=212657 Lync Server 2010 Stress and Performance Tool http://go.microsoft.com/fwlink/?LinkId=212599. Documentation Microsoft  Lync-2010-Chapter 06 Planning for External User Access.doc  Resource kit Microsoft Lync . External User Access http://unifiedit.wordpress.com/ http://blogs.technet.com/b/nexthop/
  47. 47. Merci pour votre attention!Questions ?
  48. 48. Sessions Lync Date Heure SessionsMercredi 8 Février 11h00-12h00 Exchange Stockage : mythe et réalitésMercredi 8 Février 13h00-14h00 Lync : Bonnes pratiques dArchitecture UC Microsoft : Lync et Exchange, découverte et les fonctionsMercredi 8 Février 13h00-14h00 méconnues Plongée profonde dans les technologies de haute disponibilitéMercredi 8 Février 13h00-14h00 dExchange 2010Mercredi 8 Février 14h30-15h30 Lync : Intéropérabilité IM, vidéo et téléphonie Lync Mobile : Architecture et fonctionnalités de Lync pour lesMercredi 8 Février 17h30-18h30 smartphones Jeudi 9 Février 13h00-14h00 Retour dexpérience dun déploiement Lync server 2010 Voice mondial Lync Top 10 issues: supervision, monitoring, reporting et Jeudi 9 Février 13h00-14h00 troubleshooting Jeudi 9 Février 14h30-15h30 Lync: Ecosystème et ISV Jeudi 9 Février 14h30-15h30 Exchange SP2 & Tips Jeudi 9 Février 16h00-17h00 Lync développement client et serveur - retours dexpériences Jeudi 9 Février 16h00-17h00 Comment sécuriser un serveur exchange 2010 ?
  49. 49. Plan du Salon et Exposant UC

×