Ivan Salvade’

Il mio punto di vista su Virtualizzazione, Sicurezza, Messaggistica, Network Management…

  • Ivan

    248418_467427256623661_1655875885_n.jpg
  • Abbonati

  •  

    settembre 2017
    L M M G V S D
    « gen    
     123
    45678910
    11121314151617
    18192021222324
    252627282930  
  • Tag Cloud

Elementi fondamentali di progettazione di un’infrastruttura Lync Server 2010

Scritto da Ivan Salvade' il 15 dicembre 2011

Lync Server 2010 è un prodotto che si integra con numerosi servizi di infrastruttura, software, protocolli e apparati di rete.  Per questo motivo la sua corretta progettazione riveste un’importanza fondamentale per ottenere il perfetto funzionamento di tutte le sue features.

Lo scopo di questo articolo è indicarvi quali sono i componenti fondamentali di un’infrastruttura Lync, a cosa servono, e come devono essere implementati e utilizzati.

Comincio col dire che, per progettare e poi gestire un’infrastruttura Lync, sarebbe molto utile avere :

  • Conoscenze di Active Directory, DNS e servizi di infrastruttura
  • Esperienza sulla precedente piattaforma OCS 2007 R2
  • Conoscenza di tecnologie correlate, come per esempio Exchange Unified Messaging
  • Conoscenze concettuali di tecnologie di telecomunicazione, tra cui :
    • TDM (Time Division Multiplexing) e integrazione con VoIP
    • Gateways e PBX (Private Branch eXchange)
    • Differenze tra “Signaling” e “Media”
    • SIP (Session Initiation Protocol) e H.323
    • Codecs
    • Normalizzazione dei Dial Plan

La conoscenza delle tecnologie di telecomunicazione è utile, oltre che per la fase di progettazione, anche per risolvere in futuro eventuali problemi di integrazione tra Lync e i vostri apparati di telecomunicazione.

Ecco i concetti fondamentali di progettazione da tenere presente.

Disponibilità di Lync Server 2010

E’ disponibile solo in edizione a 64 bit, e richiede un sistema operativo Windows Server 2008 SP2 Standard, Enterprise, Datacenter, oppure Windows Server 2008 R2 Standard, Enterprise, Datacenter. Tutti i ruoli di Lync richiedono uno dei suddetti sistemi operativi. I client, invece, non richiedono hardware o software a 64 bit.

Differenze tra Lync Server 2010 “Standard Edition” e “Enterprise Edition”

La Standard Edition è consigliabile per piccole aziende, tutte le sue features (compresi i database) risiedono su un unico server; dimensionando opportunamente il server, può arrivare a gestire anche 5000 utenze, ma non garantisce alta disponibilità.

La Enterprise Edition garantisce anche l’alta disponibilità delle features, richiede un minimo di due server nell’infrastruttura (il Front-End e il Back-End), è totalmente scalabile e può arrivare a supportare centinaia di migliaia di utenze!

Ruoli di Lync obbligatori

Il “Front-End Server” e il “Back-End Server” (nella Standard Edition sono sullo stesso server, nella Enterprise Edition sono due server diversi), e il “Audio/Video Conferencing Server”.

Ruoli di Lync opzionali

Edge Server, Mediation Server, Monitoring Server, Archiving Server, Director Server : da installare, sullo stesso server o su server diversi (o su pool di server diversi) a seconda delle necessità organizzative.

Ruolo “Front-End Server” (obbligatorio)

E’ il ruolo centrale e più importante di Lync 2010. In una Standard Edition si installa su un unico server (unitamente al ruolo Back-End), mentre in una Enterprise Edition si installa su un server (o un pool di servers, per la ridondanza) separatamente dal ruolo Back-End. Il Front-End Server ha diversi compiti :

  • gestire le registrazioni di presenza e di telefonia degli utenti (utilizzando il componente denominato “Registrar”)
  • fornire servizi di conferenza audio/video, conferenza Web, conferenza dial-in, condivisione applicazioni, chat
  • gestire il CMS (Central Management Store), che comunica i dati di configurazione a tutti i server Lync dell’infrastruttura
  • fornire aggiornamenti ai client Lync 2010

Ruolo “Back-end Server” (obbligatorio)

E’ rappresentato dal server (con un’installazione di SQL) che fornisce i servizi di database al ruolo Front-End.  In una Standard Edition è installato assieme al ruolo Front-End, in una Enterprise Edition deve per forza essere un server separato dal Front-End, con possibilità di utilizzare più server in cluster per ottenere ridondanza.   In effetti, il Back-End Server non esegue nessun servizio specifico di Lync, ma solo i servizi di database.  Nel database sono memorizzate parecchie informazioni, tra cui :

  • presenza degli utenti
  • liste dei contatti
  • dati inerenti le conferenze e la loro schedulazione

Ruolo “Audio/Video Conferencing Server” (obbligatorio)

E’ di solito collocato con il Front-End Server, ma può anche essere collocato in un pool di server separato per ottenere scalabilità e ridondanza.  Richiede molta potenza di processore per le aziende che usano ampiamente questo tipo di conferenze.

Le conferenze audio/video permettono le comunicazioni audio e video in diretta tra gli utenti, semprechè gli utenti siano dotati di opportuni dispositivi come le cuffie/microfono per le conferenze audio, e le webcam per le conferenze video.

Questo ruolo gestisce anche le conferenze Web, che danno la possibilità agli utenti di vedere, condividere e collaborare su documenti online, oppure di condividere i loro desktop o le loro applicazioni.

Ruolo “Edge Server” (opzionale)

Dovrebbe essere sistemato nella DMZ aziendale, ha il compito di gestire le connessioni esterne degli utenti remoti, degli utenti federati, degli utenti anonimi che devono partecipare a conferenze Web, e degli utenti che utilizzano sistemi di chat pubblici.  Non serve se non si vuole garantire l’accesso dall’esterno alle features di Lync.

Più nel dettaglio, ecco di cosa si occupa il ruolo Edge :

  • fornire servizi di accesso agli utenti esterni per quanto riguarda il “signaling SIP”, la presenza e la chat (servizio “Access Edge”)
  • fornire servizi di conferenza web (servizio “Web Conferencing Edge”)
  • fornire servizi audio/video, di condivisione desktop e applicazioni e di trasferimento files (servizio “A/V Edge”)

Si può utilizzare un pool di server Edge per ottenere ridonandaza, opportunamente integrati con soluzioni di DNS Load balancing o Hardware Load Balancing.

Ruolo “Mediation Server” (opzionale)

Può essere collocato con il Front-End Server su singola macchina, oppure su un pool di server separati dal FE.  E’ il ruolo essenziale per l’implementazione della parte VoIP (Enterprise Voice).  Non serve se non si implementa e utilizza il VoIP.

Il suo compito primario è quello di “transcodificare” il traffico di Signaling e, in alcuni casi, il traffico di Media tra l’infrastruttura VoIP interna e i Gateway PSTN o gli apparati PBX o i SIP Trunk utilizzati per accedere alla rete PSTN pubblica.

Può essere configurato in diversi modi a seconda della topologia di rete aziendale, degli apparati di telecomunicazione presenti e del tipo di uscita verso la rete PSTN pubblica.

Ruolo “Director” (opzionale)

Ha il compito di autenticare utenti interni ed esterni, redirezionandoli al corretto pool di server.  E’ utile se l’azienda ha implementato diversi pool nell’infrastruttura (quindi solo per aziende di grosse dimensioni), garantendo anche l’accesso dall’esterno agli utenti.   Se implementato, toglie ai pool di server Front-End il sovraccarico di lavoro per eseguire le autenticazioni, e questo migliora le performance : in questo caso tutte le richieste di accesso fluiscono prima verso il Director, che poi ne esegue il routing verso il corretto pool di Front-End.

Il Director è sempre un server separato dal Front-End, e non collocato con altri ruoli Lync.  E’ possibile creare un pool di Directors per la ridondanza, a patto di implementare anche soluzioni di Load Balancing.

Ruolo “Monitoring Server” (opzionale)

Ha il compito di collezionare informazioni su QOE (Quality of Experience) e CDR (Call Details Record).  Richiede la presenza di database che usino SQL Server : questi possono essere collocati sul Monitoring Server stesso, o su server differenti.  Se si decide di utilizzare anche la reportistica, bisogna prevedere la presenza anche di SQL Server Reporting Services.

Il Monitoring Server non può essere collocato con il Front-End.  Può invece essere collocato assieme all’Archiving Server : in questo caso, i loro database possono essere collocati sul server stesso, oppure separati su differenti server.   Il server che ospita i database del Monitoring Server può anche ospitare altri database utilizzati da altri tuoli di Lync, oppure database utilizzati da prodotti di terze parti.

Ruolo “Archiving Server” (opzionale)

Ha il compito di archiviare i messaggi di chat e le conferenze, specificando per quali utenti è abilitata l’archiviazione.

Si può abilitare l’archiviazione per comunicazioni tra utenti interni, o tra interni ed esterni.

Alcuni tipi di contenuto non sono archiviabili :

  • trasferimenti di files peer-to-peer
  • condivisione di applicazioni
  • annotazioni e sondaggi nelle conferenze

Per la collocazione dell’Archiving Server, valgono le stesse regole del Monitoring Server.

Cosa sono i “Siti” in Lync Server 2010 e come bisogna progettarli

Generalmente, un “Sito” rappresenta una locazione geografica della rete aziendale. Più precisamente, possiamo definire “Sito” un insieme di computers ben connessi fra loro su una rete ad alta velocità e bassa latenza (per esempio una singola LAN, o due diverse LAN connesse da fibra ottica).

Segnalo subito che i Siti di Lync sono un concetto separato dai Siti di Active Directory o da quelli di Exchange.  I Siti di Lync non devono necessariamente corrispondere ai Siti di Active Directory.

La prima cosa da definire progettando Lync, è il posizionamento del o dei “Central Site” e degli eventuali “Branch Sites”.

I “Central Sites” devono contenere il ruolo “Front-End Server”, che fornisce i servizi Lync essenziali : si può scegliere se installare un unico server Standard Edition, oppure un Pool di servers, che rappresenteranno il cosiddetto “Front-End Pool” (questo per questioni di ridondanza).  Ci deve essere per forza almeno un Central Site.  Il Central Site è tipicamente una locazione in cui esiste un datacenter e in cui ci siano persone IT esperte per la gestione.  Si possono creare anche diversi Central Site.

I “Branch Sites” possono essere assenti dalla topologia (per esempio chi non ha nessuna sede esterna), oppure essere presenti in gran numero.  Ogni Branch Site deve essere “affiliato” con un (e solo un) Central Site, in relazione padre-figlio.  Gli utenti presenti nel Branch Site ricevono i servizi Lync dai server presenti nel loro Central Site “padre”.   I Branch Site sono quindi consigliati per le sedi esterne e di ridotte dimensioni dell’azienda, dove probabilmente latita anche il personale IT esperto per la gestione.

In un Branch Site si può prevedere la presenza, a scelta, dei seguenti dispositivi :

  1. Un “Survivable Branch Appliance” (SBA) : è un nuovo dispositivo introdotto in Lync Server 2010.  Si tratta di un Blade Server, con pre-installati dal vendor Windows Server 2008 R2 e i servizi di Registrar e di Mediation di Lync Server 2010; inoltre contiene un PSTN Gateway. L’SBA è progettato per siti contenenti da 25 a 1000 utenze
  2. Un “Survivable Branch Server” (SBS) : è un nuovo dispositivo introdotto in Lync Server 2010. Si tratta di un regolare server che esegue Windows Server 2008 R2, anch’esso con i componenti Registrar e Mediation di Lync installati. Deve connettersi ad un PSTN Gateway oppure ad un SIP Trunk stabilito con un provider di servizi di telefonia (ITSP). L’SBS è progettato per siti contenenti da 1000 a 5000 utenze
  3. Un semplice PSTN Gateway e, opzionalmente, un Mediation Server

Per Branch Sites dove non esiste ridondanza del collegamento di rete verso il sito centrale, è indicato il deploy di SBA o SBS (le precedenti opzioni 1 e 2), che forniscono ridondanza in caso di interruzione del collegamento WAN : per esempio, gli utenti possono ancora fare e ricevere chiamate VoIP anche senza il collegamento al sito centrale.

Per Branch Sites con le linee WAN già ridondate, è utile la terza opzione : si possono connettere al sito centrale con il PSTN Gateway, ed opzionalmente possono anche usare il Mediation Server.

  • Share/Bookmark

Pubblicato in Lync Server 2010 | Nessun commento »

Restrizioni sulle versioni dei certificati rilasciabili dalle CA

Scritto da Ivan Salvade' il 7 gennaio 2011

Può capitare, in fase di progetto di una PKI (Public Key Infrastructure), di sbagliare la scelta del sistema operativo del server su cui installare la Certification Authority. 

Tipicamente, durante l’installazione di una CA, è possibile scegliere se installarla di tipo “Standalone” o di tipo “Enterprise”, a seconda delle esigenze.  Se le esigenze riguardano il rilascio dei template di Versione 2 e/o di versione 3, ecco le restrizioni da tenere presente : 

  • I templates di certificato rilasciabili, dipendono sia dalla versione che dall’edizione del sistema operativo
  • I templates di certificato di Versione 3 possono essere rilasciati solo da una Enterprise CA installata su Windows Server 2008 Enterprise o Datacenter Edition
  • I templates di certificato di Versione 2 possono essere rilasciati solo da una Enterprise CA installata su Windows Server 2003 o Windows Server 2008 Enterprise o Datacenter Edition 
  • Se una Enterprise CA è installata su un sistema operativo di edizione Standard, solo i templates di certificato di Versione 1 sono rilasciabili 

E’ sempre possibile effettuare un aggiornamento in-place di un sistema operativo di edizione Standard verso un sistema operativo di edizione Enterprise, purchè si mantenga la stessa architettura (32 o 64 bit).  

Questo nel caso si sia commesso l’errore di installare una Enterprise CA su una edizione Standard del sistema operativo.  

Ricordare che Windows Server 2008 R2 è disponibile solo in architettura a 64 bit.

  • Share/Bookmark

Pubblicato in Generale, Sicurezza | Nessun commento »

 
Usiamo i cookie per assicurarti la migliore esperienza di navigazione nel nostro sito web.
Ok