Lync : Bonnes pratiques d'Architecture

palais des
congrès
Paris

7, 8 et 9
février 2012

Lync Server 2010
Bonnes pratiques
d'Architecture (MSG301)
8 Février 2012

Laurent Teruin | Consultant

Stefan Plizga | Consultant | Microsoft Services

Sommaire

Déploiement des Services Internes
 Conception de l'Infrastructure Lync
 Préparation au Déploiement Interne
 Déploiement Interne

Déploiement des Services Edge
 Comprendre l’environnement
 Préparation de l’environnement réseau
 Installation d’un Edge
 Outils

Questions réponses

Déploiement des Services
Internes

Stefan Plizga | Consultant | Microsoft Services
http://blogs.technet.com/stefan

Déploiement des Services
Internes
Conception de l'Infrastructure Lync
Sommaire
 Exemple d’Infrastructure
 Virtualisation
 Mutualisation des Rôles Lync
 Planning Tool
 Capacity Planning Calculator
 Détermination du Nombre de Sites Lync

Préparation au Déploiement Interne
 Répartition de Charge
 DNS

 Certificats

Déploiement Interne
 Central Management Store
 Cinématique du Déploiement

Conception de l’Infrastructure
Lync
Exemple d’Infrastructure
Archiving

MSN
DMZ Monitoring
Terminaux
PIC AOL Lync
XMPP Yahoo

Utilisateurs
AD DNS
Distants Pool

Front-End (avec Mediation) Back End AV MCU
Edge
Sociétés
Fédérées
SIP
Direct SIP ExUM
Trunking
Mediation Server

IP-PBX

Terminaux Analogiques
PSTN

Media GW / SBA

Lync
Virtualisation supportée pour les fonctions Présence, IM,
Virtualisation - Support
Conferencing, Enterprise Voice, Monitoring et Archiving

Hyperviseurs Supportés
 Hyper-V 2008 R2

 VMware ESX 4.0

 Autres hyperviseurs validés dans Windows Server
Virtualization Validation Program
(http://go.microsoft.com/fwlink/?linkid=200511)
 Live Migration ou similaire non supporté

Points d’attention
 Les serveurs d’un pool doivent fournir les mêmes
performances
 Pas de mélange physique/virtuels pour les serveurs d’un
pool

Lync
Virtualisation – Impact sur lespar 2
Performances Divisées Performances

Rôle Physique Virtuel
CPU RAM Utilisateurs CPU RAM Utilisateurs
Front End 8 16 Go 10 000 4 16 Go 5 000
Back End 8 32 Go 80 000 4 16 Go 40 000
Mediation Server 8 16 Go 800 appels 4 10 Go 400 appels

Informations sur la virtualisation dans Lync Server 2010
 Server Virtualization in Microsoft Lync Server 2010
 http://go.microsoft.com/fwlink/?LinkId=211394
 Running in a Virtualized Environment
 http://technet.microsoft.com/en-us/library/gg399035.aspx

Lync
Mutualisation de Rôles Lync rôles possible
Mutualisation de certains

A/V Conferencing
 Dédier des serveurs A/V Conferencing si le pool Front End

a plus de 10 000 utilisateurs
 1 serveur A/V Conferencing par tranche de 20 000

utilisateurs si l’usage est similaire à Lync Server 2010 User
Models

Mediation Server
 Mutualisation sur les Front End possible

 Moins d’appels simultanés possibles si mutualisé

 800 à 1200 si dédié et environ 250 si mutualisé

Lync
Outil d’aide à la conception de l’infrastructure Lync Server 2010
Planning Tool

Informations à indiquer
 Sites

 Utilisateurs (nombre par site)

 Usages (conférence, téléphonie, Exchange UM…)

 Eléments techniques (Redondance, CAC, Monitoring,
Archiving…)

Donne un bon point de départ sur les besoins de l’infrastructure
mais il faut parfois ajuster les résultats

Lync
Planning Tool

Lync
Capacity Planning d’aide au dimensionnement de l’infrastructure
Fichier Excel Calculator
Lync Server 2010
 Nécessaire si l’usage prévu est très différent de Lync

Server 2010 User Models

Informations à indiquer
 Nombre d’utilisateurs

 Pourcentage d’utilisation de chaque fonctionnalité

Règles de base disponibles dans Scenario-Based Capacity
Planning

Lync
Capacity Planning Calculator

Lync
Définition du Nombre deLync Lync
Deux types de Sites Sites
 Central Site

 Branch Site

Un déploiement doit contenir au moins 1 Central Site

Bonne pratique : 1 Central Site par datacenter
 Un pool ne peut faire partie que d’un seul Central Site

 Un A/V Conferencing Pool dédiée ne peut servir que les pools
Front End du même Central Site

Exception : déploiement de la topologie « Metropolitan Site
Resiliency », mais contraintes élevées :
 VLAN étendu (niveau 2)

 Réplication synchrone des baies de stockage pour SQL (Geo-
Cluster)
 Latence inférieure à 20 ms aller-retour

Préparation au Déploiement
Interne
Répartitionmodes de répartition
Deux de Charge – Techniques pour Lync Server
2010  Server Load Balancing (Hardware Load Balancer ou
Software Load Balancer)
 DNS Load Balancing

Server Load Balancing
 Répartition de charge “classique” où l’équipement reçoit
une requête et la transmet à un des serveurs de la ferme

DNS Load Balancing
 Combinaison de l’utilisation de round-robin DNS et d’une
gestion intelligente du client Lync 2010
 Pour un pool Front End, le DNS Load Balancing ne peut
être utilisé seul – les flux HTTPS doivent être configurés
pour passer par un SLB

Interne
Pool Front End
Répartition de Charge - Recommandations
 DNS Load Balancing + Server Load Balancing

 DNS LB pour tous les services Lync

 SLB pour les protocoles HTTP/HTTPS (ports 80, 443, 8080 et
4443)
 Nom d’accès aux Web Services du pool Front End
différent du nom du pool
 Vérification de l’état sur le port 5060 des Front End

 En coexistence avec OCS ou des clients OC, il est recommandé
d’utiliser une configuration complète avec SLB car les
clients/serveurs pré-Lync ne gèrent pas le DNS Load Balancing

Pool A/V Conferencing
 Aucun : la répartition est complètement traitée de manière
logicielle par les Front End

Pool Mediation Server
 DNS Load Balancing

Interne
DNS De base, les clients Lync réalisent des requêtes DNS SRV pour
localiser les serveurs
 Requêtes basées sur le domaine SIP de l’utilisateur

Pour des déploiement avec plusieurs pools Front End, création
de plusieurs enregistrements DNS SRV
Entrée DNS SRV Poids Priorité Cible
_sipinternaltls._tcp.techdays.com 0 0 pool01.techdays.com
_sipinternaltls._tcp.techdays.com 0 10 pool02.techdays.com

 La cible pointée par l’entrée DNS SRV doit avoir la même
terminaison (techdays.com dans l’exemple)

Implique infrastructure Split-DNS
 Dans le cas contraire, création de « pin-point internal
zone »
 Voir Determining DNS Requirements

Interne
Contraintes pour les certificats
Certificats
 Avoir l’usage Server EKU (OID 1.3.6.1.5.5.7.3.1)
 Avoir un CRL Distribution Point
 Avec une longueur de clé de 1024, 2048 ou 4096
 Avoir la CRL accessible
 Doit supporter les extensions Subject Altenative Name (OID 2.5.29.17)

Pour un déploiement classique, les certificats sur les Front End doivent contenir
au minimum :
 FQDN du pool Front End
 FQDN de l’URL Web Services Front End (interne et externe)
 FQDN du serveur Front End
 Nom DNS pour les URL simplifiées Meet et Dialin (plusieurs possibilités
existent – voir Planning for Simple URLs http://technet.microsoft.com/en-
us/library/gg398287.aspx)

 Et pour chaque domaine SIP
 Nom du pool se terminant par le domaine SIP (exemple :
pool01.techdays.com)
 URL pour la mobilité Lync (exemple LyncDiscover.techdays.com et
LyncDiscoverInternal.techdays.com)

Interne
Certificats – Subject Name
Champ Exemple de contenu
 pool01.techdays.local

Champ Subject Alternative Name
 pool01.techdays.local

 pool01ws.techdays.local

 lyncweb.techdays.com

 pool01-fe01.techdays.local

 pool01-fe02.techdays.local

 meet.techdays.com

 dialin.techdays.com

 pool01.techdays.com

 lyncdiscoverinternal.techdays.com
 lyncdiscover.techdays.com

Important : le nom présent dans le champ Subject Name doit être
également présent dans le champ Subject Alternative Name

Interne
Pour Jamais de underscore (“_”) dans les noms DNS
aller plus loin dans les bonnes pratiques

Conference Directory
 Chaque pool Lync Server 2010 a par défaut 1 Conference
Directory
 Recommandation : créer 1 Conference Directory par tranche de 1
000 utilisateurs

Support du NTLM SSP 128-bit
 Configurer sur les serveurs Lync “Network Security: Minimum
session security for NTLM SSP based” à “No Minimum” pour
autoriser les clients Windows XP à se connecter

Exchange AutoDiscover
 Pour avoir une intégration complète entre Lync et Exchange
2007/2010, le DNS doit être configuré pour résoudre les requêtes
AutoDiscover d’Exchange, par exemple :
 https://techdays.com/autodiscover/autodiscover.xml

 https://autodiscover.techdays.com/autodiscover/autodiscover.
xml

Central Management Store

Premier élément d’une infrastructure Lync Server 2010

Existe sur un pool Enterprise Edition ou Standard Edition

Un seul pool héberge le CMS

En réalité, il s’agit d’une base de données
 Stocke des documents XML qui contiennent une grande
partie des données de l’environnement : Topologie,
Stratégies, Configuration…

La configuration CMS est répliquée sur tous les serveurs Lync
Server 2010

Cinématique du Déploiement

AD

PC dans le domaine Active Directory Serveur Lync Back End SQL

Préparation AD Lancement Setup Bases de données
créées par le
Topology Builder ou
Installation du Récupération de la en Lync PowerShell
Topology Builder Topologie

Création de la Installation des
Topologie Lync composants
SQL
SQL
SQL
Publication de la Activation
Topologie Lync Instance SQL CMS
Certificats

Déploiement des services
Edge

Laurent Teruin | Consultant | MVP
http://unifiedit.wordpress.com/
Laurentt@exakis.com

Planification

Comprendre l’environnement
Préparation de l’environnement réseau
 Réseau

 DNS

 Répartition de charge

Installation d’un Edge
 Installation

 Validation

Outils
 Remote UC Troubleshooting Tool (RUCT)

 Lync Remote Connectivity Analyzer

Edge
Consolidé

Edge
Etendu (Hlb)

Edge
Etendu Dns LB

Edge
Quelques relay Authentification Service
Media Protocoles de bases
 Service d’authentification des accès externes pour les
services Audio-Vidéo.
 Fonctionne sur l’interface interne des Edge serveurs (5062)

ICE
 Protocole utilisé pour déterminer le lien le plus direct entre
l’appelé et l’appelant
 (http://tools.ietf.org/html/draft-ietf-mmusic-ice-19)

STUN (Session Traversal Utilities for NAT) /TURN (Traversal
Using Relay NAT)
 Méthodes standardisées incluant un protocole réseau utilisé
pour la traversée des flux audio vidéo sur des réseaux
Natés. Port (3478 Udp & 443 tcp)

Edge
Nommage des services
Rappel
 Un seul meet Actif par domaine SIP

Par contre
 Plusieurs Edge peuvent coexister pour un même

domaine sip. (Entreprise internationale)
 Exemple de nomenclature

 Meet.company.com

 AccessFr01.company.com

 WebconFr01.company.com

 AvFr01.company.com

Edge
Les fonctions du proxy Inverse
Permettre aux utilisateurs externes de télécharger le contenu
de vos réunions
Permettre aux utilisateurs externes de développer des
groupes de distribution
Permettre aux utilisateurs distants de télécharger des fichiers
du Service de carnet d’adresses
Accès au client Microsoft Lync Web App
Accès à la page Web des paramètres de conférence rendez-
vous
Accès au service Informations d’emplacement
Permettre aux périphériques externes de se connecter au
service Web de mise à jour des périphériques et d’obtenir des
mises à jour
Permettre aux applications mobiles de découvrir
automatiquement des URL de mobilité depuis Internet

Préparation de l’environnement
réseau
Tester l’environnement Edge

Vérifier les Enregistrements DNS Externes Edge
Vérifier les Enregistrements DNS Externes Proxy
Vérifier les ports de communications Internes / Externes
Vérifier la résolution de nom Internes
Utilisation d’outils de vérification

Vérifier les Enregistrements DNS Externes des Serveurs Edge

Emplacement Type FQDN Adresse IP/FQDN Port Mappage à/Commentaires
DNS externe A Accessfr01.unifiedit.com 131.107.155.10 Interface externe de serveur d’accès Edge SIP (Unified)

DNS externe A webconfr01.unifiedit.com 131.107.155.20 Interface externe de serveur Edge de conférence Web

DNS externe A Avfr01.unifiedit.com 131.107.155.30 Interface externe de serveur Edge A/V
DNS externe SRV _sip._tls.unifiedit.com access.unifiedit.com 443 Interface externe de serveur d’accès Edge SIP (access.unifiedit.com)
Requis pour que la configuration automatique des clients Lync 2010
fonctionne en externe

DNS externe SRV _sipfederationtls._tcp.unifie access.unifiedit.com 5061 Interface externe de serveur d’accès Edge SIP (access.unifiedit.com)
dit.com Requis pour la détection DNS automatique des partenaires fédérés
ou « Domaine SIP autorisé » (appelé fédération étendue dans les
versions précédentes).

Nslookup
> set type=srv > _sipfederationtls._tcp.unfiedit.com
> _sip._Tls.unfiedit.com _sipfederationtls._tcp.unfiedit.com
Address: 192.168.1.254 SRV service location:
_sip._Tls.unfiedit.com SRV service location: priority =0
priority = 0 weight =0
weight =0 port = 5061
port = 443 svr hostname = sip.unfiedit.com
svr hostname = sip.unfiedit.com
>

Vérifier les Enregistrements DNS Externes des Proxy Inverses

Emplacement Type FQDN Adresse IP Mappage à/Commentaires

Utilisé pour publier le service de carnet
DNS externe A lsrp.unifiedit.com 131.107.155.40 d’adresses, le développement des groupes de
distribution et le contenu des conférences.

DNS externe A dialin.unifiedit.com 131.107.155.40 Conférences rendez-vous publiées en externe

DNS externe A meet.unifiedit.com 131.107.155.40 Conférences publiées en externe

Nom complet des services Web externes Lync
DNS externe A lsweb-ext.unifiedit.com 131.107.155.40
Server 2010

Nécessaire pour les appareils mobiles
exécutant Lync 2010 et utilisant le service de
DNS externe A lyncdiscover.unifiedit.com 131.107.155.40
détection automatique pour fonctionner en
externe

Vérifier les ports de communications Internes / Externes

Telnet Depuis Vers Port Protocol Commentaires
Extérieur Sip.unifiedit.com 443 SIP
Extérieur Sip.unifiedit.com 5061 SIP
Extérieur Webconfr01.unifiedit.co 443 PSOM
m
Extérieur Avfr01.unifiedIt.com 443 STUN
Extérieur Reverse proxy 443 SSL
Serveurs Edge Pool Front End 5061 SIP
Serveurs Frontaux LyncEdge.unifiedit.local 5061 SIP
Serveurs Frontaux LyncEdge.unifiedIt.local 443 SIP Adresse Interne du pool Edge
Serveurs Frontaux LyncEdge.unifiedIt.local 5062 MRAS
Serveurs Frontaux LyncEdge.unifiedIt.local 4443 Adresse Interne du pool Edge

Serveurs Frontaux LyncEdge.unifiedIt.local 8057 Adresse Interne du pool Edge
Clients Internes LyncEdge.unifiedit.local 443 Adresse Interne du pool Edge

Clients Internes Fqdn du directeur 5061 Présence d’un Director
Directeur LyncEdge.unifiedit.local 5061 SIP Présence d’un Director
Directeur Pool Front End 5061 SIP Présence d’un Director

Vérifier la résolution de nom Internes

Ping Depuis Vers Commentaires
Poste interne Avfr01.unifiedit.com Doit retourner l’adresse IP Publique du serveur Edge
Audio / Video
Poste Interne Lyncedge.unifiedit.local Doit retourner l’adresse Ip Privée du Pool Edge
Poste Interne LyncDirector.unifiedit.local Doit retourner l’adresse Ip du serveur Directeur
Poste Interne Pool Front End Doit Retourner l’adresse Vip (Hlb) du Pool
Serveurs Frontaux Lync Avfr01.unifiedit.com Doit retourner l’adresse IP Publique du serveur Edge
Audio / Video
Serveurs Frontaux Lync Lyncedge.unifiedit.local Doit retourner l’adresse Ip Privée du Pool Edge
Serveurs Frontaux Lync LyncDirector.unifiedit.local Doit retourner l’adresse Ip du serveur Directeur
Directeur Lyncedge.unifiedit.local Doit retourner l’adresse Ip Privée du Pool Edge
Directeur Pool Front End Doit Retourner l’adresse Vip (Hlb) du Pool

réseau
SNAT / DNAT
Rappel
 Snat : changement de l’adresse Ip source

 Dnat : Changement de l’adresse Ip Destination

Pour le trafic entrant vers le serveur edge
 Dnat : Changement de l’adresse IP Publique pour

l’adresse Externe du serveur Edge

Pour le trafic sortant depuis le serveur Edge
 Snat : Changement de l’adresse IP externe du serveur

Edge pour l’adresse IP publique.

L'environnement Microsoft Lync 2010 ne supporte pas les fonctions de NAT
sur la partie Interne

réseau
RépartitionDNS LB
Répartition de charge et proxy
 Possible pour les accès SIP
 Utiliser du SNAT pool dans le cas d’accès nombreux
 >64 000 requêtes tcp

Répartition des flux http Lync
 Utilisez un répartiteur de charge matériel

 Utiliser la persistance de session basée sur les cookies
(443/8080)
 Inspection des paquets par le HLB (décryptage – Encryptage)

 Pas d'expiration de temps sur les cookies
 l'interface Externe A/V du edge doit utiliser des adresse IP
routable
 pas de Nat / pas de translation de port sur les adresses IP
externes Edge
Informations complémentaires
 http://www.f5.com/pdf/deployment-guides/microsoft-lync-iapp-dg.pdf

 http://www.barracudanetworks.com/ns/downloads/Other/Deploying_t
he_Barracuda_Load_Balancer_with%20Microsoft_Lync_Server_201
0.pdf

Installation d’un serveur Edge
Recommandations
Emplacement DMZ
 Par définition … restriction d’accès

 Pas d’accès à la CMS (1434 Sql Browser)

 Bootstrap
Mise en place d’un FQDN

A l’installation
 Négocier si possible Any Any de l’interne
vers le serveur ou pool Edge
 Valider / Fermer les ports inutiles & tester.

Résolution DNS des serveurs Edge
 Dns sur carte interne vers les serveurs DNS AD

 Prévoir le flux UDP 53 en plus

De préférence : Utiliser 3 adresses IP Publiques pour les 3 Services
Edge
Supprimer l’enregistrement IPV 6 DNS sur les serveur edge (Lync
n’utilise pas IPV6)

Installation d’un serveur Edge
Recommandations
Utiliser un FQDN interne de type pool Edge même si vous
déployez un seul serveur
 Pool ready
Excluez certains répertoires Lync de l’analyse Antivirus
 http://technet.microsoft.com/fr-fr/library/gg195736.aspx

Sécurité
 Mise en place du rôle directeur
 Assure l’authentification des utilisateurs distants

 Soulage les services front-end
 Permet de se prémunir d’un Denial Of Service sur la
partie externe.
 Rôle autonome

 (pas de collocation possible avec d’autre rôle)

Utilisation des quelques outils

Remote UC Troubleshooting Tool (RUCT)
http://blog.insideocs.com/2011/11/14/the-remote-uc-troubleshooting-tool-
ruct/?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+InsideOCS+%28Insid
e+OCS%29

Lync Remote Connectivity Analyzer
https://www.testocsconnectivity.com/

Liens

Lync Server 2010 Capacity Calculator
http://go.microsoft.com/fwlink/?LinkId=212657
Lync Server 2010 Stress and Performance Tool
http://go.microsoft.com/fwlink/?LinkId=212599.
Documentation Microsoft
 Lync-2010-Chapter 06 Planning for External User
Access.doc
 Resource kit Microsoft Lync . External User Access

http://unifiedit.wordpress.com/
http://blogs.technet.com/b/nexthop/

Merci pour votre attention
!

Questions ?

Sessions Lync
Date Heure Sessions

Mercredi 8 Février 11h00-12h00 Exchange Stockage : mythe et réalités

Mercredi 8 Février 13h00-14h00 Lync : Bonnes pratiques d'Architecture

UC Microsoft : Lync et Exchange, découverte et les fonctions
Mercredi 8 Février 13h00-14h00
méconnues

Plongée profonde dans les technologies de haute disponibilité
d'Exchange 2010

Mercredi 8 Février 14h30-15h30 Lync : Intéropérabilité IM, vidéo et téléphonie

Lync Mobile : Architecture et fonctionnalités de Lync pour les
smartphones

Jeudi 9 Février 13h00-14h00 Retour d'expérience d'un déploiement Lync server 2010 Voice mondial

Lync Top 10 issues: supervision, monitoring, reporting et
Jeudi 9 Février 13h00-14h00
troubleshooting

Jeudi 9 Février 14h30-15h30 Lync: Ecosystème et ISV

Jeudi 9 Février 14h30-15h30 Exchange SP2 & Tips

Jeudi 9 Février 16h00-17h00 Lync développement client et serveur - retours d'expériences

Jeudi 9 Février 16h00-17h00 Comment sécuriser un serveur exchange 2010 ?

Lync : Bonnes pratiques d'Architecture

Contenu connexe

Tendances

Similaire à Lync : Bonnes pratiques d'Architecture

Plus de Microsoft Technet France

Lync : Bonnes pratiques d'Architecture