Microsoft lync server 2010 có chu vi mạng là 3 biên dịch vụ, mỗi 1 phần của nó là 1 loại giao thông đặc biệt thẳng qua các firewall của công ty.
Các dịch vụ truy cập biên, trước đây được coi như là một Access Proxy, xử lí tất cả các lưu lượng của SIP qua tường lửa của công ty. Các dịch vụ truy cập biên là cần thiết cho tất cả các kichj bản mở rộng, hội thảo tổng hợp, truy cập sử dụng từ xa, lien minh và kết nối IM công cộng.
Các hội thảo qua qua sử dụng dịch vụ proxies Persistent Shared Object Model (PSOM) truyền thông giữa các dịch vụ hội thảo web và máy trạm kết nối. Các truyền thông hội thảo mở rộng phải có xác thực bởi thành phần dịch vụ biên hội thảo web trước khi nó chuyển tiếp tới dịch vụ hội thảo web. Các dịch vụ biên hội thảo web đòi hỏi các client
Dịch vụ biên A/V cung cấp 1 kết nối đáng tin cậy duy nhất thông qua đó lưu lượng âm thanh và hình ảnh đi vào và ra khỏi mạng của chúng ta. Với dịch vụ biên A/V, có thể sử dụng:
Thêm các dữ liệu âm thanh và video cho các cuộc hội thảo với sự mở rộng các thành viên tham dự.
Chia sẻ âm thanh và video trực tiếp với người sử dụng bên ngoài (điểm nối điểm).
Chia sẻ máy tính và ứng dụng với người dử dụng bên ngoài thông qua các ứng dụng chia sẻ server, sử dụng IM và hội thảo.
Dịch vụ biên A/V cũng như phần xử lí âm thanh giành cho thoại doanh nghiệp giành cho người dùng bên ngoài.
Để biết chi tiết về cấu hình và topo mạng của biên Server, xem kế hoạch cho truy cập bên ngoài trong kế hoạch.
Bạn phải triển khai 1 proxy HTTP đảo ngước trong mạng vành đai của bạn để hỗ trợ sự tham gia của người dùng và lien minh từ xa trong IM và hội nghị. Các proxy ngược quản lí phân phối mở rộng, tập tin sổ địa chỉ download, truy cập nội dung cuộc họp (như trình bày) cho người sử dụng từ xa và lien minh và cập nhật phần mềm cho khách hàng và các thiết bị.
Trong mục này bao gồm:
Thực tế tốt nhất cho bảo mật Edge server
- Tạo 1 mạng con cho Microsoft Lync server 2010 Edge server.
- Nâng cao bảo mật bằng các luật định tuyến trong việc truy cập vào các subnet(tắt quảng bá, đa phương, và các truyền thông khác trong vành đai mạng con ).
- Không được thay đổi tài khoản dịch vụ, dưới cái edge server đang chạy.
- Tìm hiểu và sử dụng thông tin trong bảo vệ các máy chủ Edge chống DoS và mật khẩu Brute-Force tấn công ở Lync Server 2010
Cấp giấy chứng nhận cho Lync Server 2010
Edge server có chứng nhận và giao tiếp với máy chủ nội bộ trên MTLS. Chứng nhận là 1 yêu cầu trên cả mạng nội bộ và mạng bên ngoài của mỗi Server Edge.
Mỗi Server Edge phải có xác nhận công cộng trên các giao diện giữa các mạng vành đai và Internet. Giấy chứng nhận này phải được cấp bởi một cơ quan cấp giấy chứng nhận công cộng (CA), và các đối tượng được cấp giấy chứng nhận (SAN) phải có các tên mở rộng của dịch vụ truy cập Edge và dịch vụ Web Conferencing Edge đủ điều kiện tên miền
(FQDNs), nhưng các Wizard triển khai đơn giản hóa cấu hình của SAN, tự động hoá nhiều quá trình. Microsoft Lync Server 2010 hỗ trợ việc sử dụng một giấy xác nhận duy nhất cho tất cả các giao tiếp mở rộng. Các khóa riêng của chứng nhận phải được chuyển đổi, nếu nó được sử dụng với nhiều Edge Server, và chúng tôi khuyên bạn nên sử dụng 1 khóa chuyển đổi với 1 Edge server. Khóa cũng phải được chuyển đổi nếu bạn yêu cầu xác nhận từ bất kì máy nào hơn so với Edge server.
Thực tế tốt nhất cho giấy chứng nhận
- Trên 1 Edge Server, yêu cầu 1 giấy xác nhận với khóa riêng đa được chuyển đổi. - Đưu vào giấy xác nhận tới Edge server trước. Tổng hợp các chuỗi xác nhận gốc,
nếu nó là cần thiết.
- Đưa ra các giấy xác nhận với đó là các khóa riêng. Các giấy xác nhận này phải được đánh dấu cho phép bên dưới.
- Đưa vào giấy xác nhận mà bạn đã đưa ra vào trong máy tính lưu trữ trên mỗi Edge server, nhưng việc đó không đánh dấu khóa riêng của chứng nhận như việc đưa ra. Dịch vụ biên truy cập
Các dịch vụ truy cập Edge cung cấp một điểm kết nối duy nhất thông qua đó cả haichuẩn SIP giao thông bên trong và bên ngoài có thể vượt qua tường lửa, ngăn cách mạngnội bộ và bên ngoài để liên minh và giao thông truy cập người dùng từ xa. Ngoài ra, tất cả các tín hiệu giao thông SIP cần thiết để thiết lập và phá đổ các phiên hội nghị truyền hình truyền hình và các phương tiện truyền thông với người dùng bên ngoài đi qua các dịch
vụ truy cập Edge.
truy cập dịch vụ Edge là một proxy cấu hình đặc biệt được thiết kế và thử nghiệm hoạt động trong mạng vành đai. Các dịch vụ truy cập Edge định tuyến thực thi các quy tắc riêng biệt các Edge bên ngoài của mạng lưới từ các Edge bên trong và cung cấp một nền tảng trung tâm để quản lý và cho phép xuyên tổ chức, chính sách, miền trên. Đây là một giải pháp trên nền IP và định tuyến không có nghĩa là một bức tường lửa vật lý là không cần thiết. Chúng tôi mạnh dạn khuyên bạn nên sử dụng một hoặc nhiều bức tường lửa vật lý. Các dịch vụ truy cập Edge không yêu cầu dịch vụ Active Directory Domain , bởi vì nó chỉ quản lý tên miền SIP, không phải người sử dụng. Đó là, các dịch vụ truy cập Edge không xác thực kết nối khách hàng, nhưng nó có xác nhận tiêu đề thư gửi đến, máy chủ liên minh xác thực từ xa, và cho phép lưu thông lien minh. Sử dụng cấu hình một địa chỉ hop tiếp theo bên trong, truy cập dịch vụ chuyển giao thông Edge gửi đến người dùng từ xa không thể hủy bỏ với một máy chủ nội bộ kế tiếp SIP (thường là một giám đốc) để xác thực (vì giao thông liên minh có chứng thực của các miền của đối
thực bổ sung). Nó cũng khuyến cáo rằng các dịch vụ truy cập Edge được chạy trong một nhóm làm việc chuyên dụng hoặc tên miền không phải là một phần của không gian tên doanh nghiệp.
Thực tiễn tốt nhất:
- Triển khai các Edge server trong một mạng ngoại vi với các bức tường lửa được cấu hình trên cả hai Edge của nó bên trong và bên ngoài.
- Triển khai Edge Server trong một miền hoặc nhóm làm việc đó không phải là một phầncủa nội bộ miền Active Directory của bạn.
- Triển khai một Directory để xác thực đến giao thông tron SIP. Directors
Trong Microsoft Lync Server 2010, Directory là một phần vai trò máy chủ riêng
biệt mà có thể phục vụ như một máy chủ nội bộ hop tiếp theo bên cạnh đó một Edge các tuyến đường giao thông SIP Server bên trong giành cho các máy chủ nội
bộ. Directory được sử dụng để xác thực người dùng doanh nghiệp kết nối từ bên ngoài tường lửa công ty và định tuyến những người dùng này tới dải gia đình.
1 Directory không có người sử dụng hoặc cung cấp quảng cáo hay hội nghị truyền hình. Mỗi Directory phải có chứng chỉ mặc định, 1 web chứng chỉ nội bộ, và 1 web chứng chỉ mở rộng. Trong hầu hết trường hợp, một giấy chứng nhận duy nhất được sử dụng cho cả ba. Để biết chi tiết về các yêu cầu giấy chứng nhận cho các Directory, xem Giấy chứng nhận yêu cầu cho máy chủ nội bộ trong tài liệu quy hoạch.
Theo thiết kế, Edge Server, bao gồm các máy chủ độc lập và các máy chủ trong một miền chính trong một mạng vành đai, không yêu cầu giao tiếp với Active Directory cho truyền thông người dùng sử dụng Lync Server. Bằng chứng thực bên trong SIP giao thông mà máy chủ Edge nhận được từ người dùng bên ngoài, Directory làm giảm các máy chủ nội bộ, nơi người dùng có homed, bao gồm cả máy chủ Standard Edition và máy chủ trong một dải Front End, từ các chi phí thực hiện chứng thực người dùng bên ngoài. Nó cũng giúp cách li Standard Edition máy chủ và dải Front End từ các lưu lượng truy cập độc hại, chẳng hạn như từ chối dịch vụ của (DoS) và tấn công Internet khác. Trong trường hợp tấn công như vậy, các giao thông bên ngoài không hợp lệ kết thúc ở các Directory, do đó, nó không đến được máy chủ, nơi người dùng có homed và người dùng nội bộ không nhìn thấy bất kỳ tác dụng trên hiệu suất. Nếu tổ chức của bạn cho phép người dùng truy cập từ bên ngoài, chúng tôi khuyên bạn triển khai một Directory. Directory có thể không được collocated với bất kỳ vai trò máy chủ khác. Nhiều Directory có thể được cân bằng tải.
Best Practices
Triển khai một Directory là hop tiếp theo máy chủ nội bộ cho các máy chủ Edge. Cấu hình các Directory như là điểm đầu tiên của chứng thực cho SIP giao thông từngười dùng bên ngoài. (Nếu Directory là các máy chủ hop tiếp theo, đây là cấu hình tự động.) Cấu hình các Directory để giám sát tất cả lưu lượng người sử dụng bên ngoài kiểm toán bảo mật. (Nếu Directory là các máy chủ hop tiếp theo, đây là cấu hình tự động.) Kiểm soát giao thông
Truyền thông từ Internet vào mạng ngoại vi của bạn và từ mạng ngoại vi của Microsoft nội bộ của bạn Lync Server 2010 sau những con đường đúng mà bạn chỉ định trong cấu hình của mỗi vai trò máy chủ. Tương tự như vậy, lưu lượng truy cập từ mạng nội bộ của bạn với Internet là kiểm soát chặt chẽ.
Mỗi vai trò chủ biên, cũng như proxy ngược, có một FQDN bên ngoài. Mỗi máy chủ cạnh cũng có một FQDN nội bộ đó là định nghĩa rõ ràng cho mỗi máy chủ Server Edge Lync năm 2010 và mỗi dải Server Edge. Mỗi FQDNs tương ứng với một card adapter mạng riêng biệt cấu hình trên mỗi máy chủ proxy Edge và ngược lại. Truyền thông đến Edge bên ngoài chỉ có thể di chuyển đến các FQDN nội bộ cấu hình của máy chủ nội bộ. Giao thông từ một máy chủ nội bộ hay dải từ bên trong của một máy chủ Edge sau một định tuyến mà bạn xác định cho máy chủ hoặc dải. Cài đặt toàn cục cho mỗi máy chủ Standard Edition và Enterprise Edition Front End dải cuối cùng bao gồm các máy chủ Edge mà đi lưu lượng truy cập từ các máy chủ nội bộ và dải sẽ được định tuyến. Giao thông từ một nguồn bên ngoài để di chuyển một máy chủ nội bộ, dải với một hop tiếp theo quy định. Các hop tiếp theo được đề nghị cho một máy chủ Edge là một Lync Server.
Directory không người sử dụng, nhưng như là một thành viên của một miền Active Directory, nó đã truy cập vào Active Directory Domain Services cho mục đích xác thực người dùng từ xa và định tuyến lưu lượng truy cập vào máy chủ thích hợp hoặc dải Doanh nghiệp. Bằng chứng thực bên trong giao thông SIP từ người dùng từ xa, Directory giúp ngăn cách các máy chủ nhà và dải doanh nghiệp từ lưu lượng truy cập tiềm năng chưa được xác thực, trong khi làm giảm các chi phí thực hiện chứng thực. Directory là bắt buộc nhưng khuyến khích ở tất cả các cấu trúc liên kết có liên quan đến các kết nối qua mạng Internet, đặc biệt là những hỗ trợ người dùng bên ngoài.
Lưu ý: Directory có thể được cấu hình sau một cân bằng tải nếu yêu cầu của bạn yêu cầu sẵn sàng cao.
Các A/V Edge cung cấp một dịch vụ duy nhất, đáng tin cậy điểm kết nối cho phương tiện truyền thông giao nhau trong và ngoài doanh nghiệp.
- A/V Edge Yêu cầu dịch vụ cổng
Các A/V yêu cầu Edge cho các cổng và giao thức đã thay đổi trong Microsoft Lync Server 2010. Tùy theo yêu cầu của bạn cho liên kết với các đối tác cơ sở hạ tầng và cấu hình của máy chủ Edge của bạn, các cổng sau đây cần được xem xét:
+ UDP 3478 + TCP 443
+ UDP 50,000-59,999 + TCP 50,000-59,999
- A / V Edge cổng dịch vụ an ninh
Các A / V dịch vụ Edge là một doanh nghiệp quản lý tài nguyên, do đó hạn chế truy cập cho người dùng có thẩm quyền là rất quan trọng để xem xét an ninh và tài nguyên.
Bên ngoài người dùng A / V giao thông giao nhau. Cho phép người dùng bên ngoài và người sử dụng nội bộ để trao đổi phương tiện truyền thông đòi hỏi phải có một dịch vụ Access Edge để xử lý các SIP tín hiệu đó là cần thiết để thiết lập và hủy một phiên. Nó cũng đòi hỏi một dịch vụ A / V Edge để hoạt động như một chuyển tiếp cho việc chuyển giao các phương tiện truyền thông. Trình tự cuộc gọi được minh họa trong hình sau:
Hình : Trình tự cuộc gọi cho phép phương tiện truyền thông giao nhau của NAT và Firewall
Các trình tự sau đây của các sự kiện diễn ra khi một người dùng bên ngoài mạng gọi cho người dùng trong nội bộ
1. Trong phạm vi của xác thực này, phiên SIP mã hóa, người dùng có được thông tin xác thực từ dịch vụ xác thực A/V bằng việc gửi yêu cầu dịch vụ A/V đến cho server.
2. Người dùng bên ngoài xác thực điều đó bằng dịch vụ A/V Edge và thu được số hiệu các cổng phiên truyền thông (Lync Server 2010 sử dụng 3478/UDP và 443/TCP) trên server cho người dùng trong cuộc gọi tới. Tại thời điểm này người dùng bên ngoài có thể gửi các gói bằng cách của cổng chỉ định trên địa chỉ IP public của dịch vụ A/V Edge nhưng vẫn không thể gửi các gói tin truyền thông bên trọng doanh nghiệp.
3. Người dùng bên ngoài gọi đến cho người dùng nội bộ bằng cách của kênh tín hiệu SIP được cung cấp bởi dịch vụ biên truy cập. Như một phần của việc thiết lập cuộc gọi, người dùng nội bộ được thông tin về số hiệu cổng trên dịch vụ A/V Edge mà người dùng bên ngoài đã có để trao đổi phương tiện truyền thông.
4. Người dùng nội bộ liên lạc với dịch vụ A/V Edge trên địa chỉ IP private của nó đã được xác thực để nhận phương tiện truyền thông. Người dùng nội bộ cũng được phân bổ một cổng trên truy cập công cộng dịch vụ A/V Edge để sử dụng trong các phiên truyền thông. Sau khi nhận cổng, một lần nữa bằng cách của dịch vụ A/V Edge, người dùng nội bộ trả lời cuộc gọi và từ đó thông báo cho người dùng bên ngoài cái cổng đã thu được trên dịch vụ A/V Edge để trao đổi phương tiện truyền thông.
5. Thiết lập cuộc gọi hoàn thành. Người dùng nội bộ và người dùng bên ngoài bắt đầu trao đổi phương tiện truyền thông.
- Bảo mật tryền thông end- to- end
Các kênh tín hiệu được sử dụng để thương lượng một phiên truyền thông được bảo vệ bằng cách sử dụng 128-bit mã hoá TLS với xác nhận rằng máy chủ có một FQDN phù hợp và đáng tin cậy. Cơ chế này là rất tương tự như một trong những trang web thương mại điện tử sử dụng cho các giao dịch trực tuyến. Để tăng cường tính bảo mật của các phương tiện truyền thông chính nó, Lync Server 2010 thực hiện các giao thức của IETF SRTP. Cơ chế sử dụng một giá 128-bit chính trên các kênh báo hiệu an toàn, mà hai điểm cuối sau đó sử dụng để mã hóa và giải mã các dòng phương tiện truyền thông bằng cách sử dụng 128-bit Advanced Encryption Standard(AES) mã hóa. Điều này đảm bảo rằng ngay cả khi một kẻ tấn công có thể thực hiệnmột cuộc tấn công man-in-the- middle qua con đường truyền thông, kẻ tấn công không thể nghe trộm các cuộc đàm thoại hoặc đưa bổ sung gói truyền thông. Trong trường hợp này, khách hàng chỉ cần hủy các gói tin.Media Traversal.
Web Conferencing Traffic Traversal
Web cho phép người dùng bên ngoài hội nghị truyền hình với Access Edge yêu cầu