本文档介绍了如何配置 NSX Advanced Load Balancer 以优化 Microsoft Skype for Business 2015 部署。NSX Advanced Load Balancer 可以做出智能的负载均衡决策,并提高此环境中流量的性能、安全性、可靠性和完整性。

Skype for Business

Skype for Business(以前称为 Microsoft Office Communicator 和 Microsoft Skype for Business)是用于 Skype for Business Server 或 Skype for Business Online(Microsoft Office 365 提供)的即时通信客户端。Skype for Business 是一款企业软件,具有独特的企业功能。Skype for Business 取代了与 Microsoft Exchange Server 一起运行的 Windows Messenger。有关部署和操作的更多信息,请参阅 Skype for Business Server 2015

拓扑

Skype for Business 支持以下服务器拓扑:

  • 标准版拓扑

    对于小型组织以及大型组织中的试点项目,建议使用此拓扑。此拓扑将托管许多功能,如即时通信 (Instant Messaging, IM)、在线状态、会议和企业语音。它还会实施要在单个服务器上运行的必要数据库。它以较低的成本提供,但不会提供高可用性。

  • 企业版拓扑

    除了标准版中提供的功能外,此拓扑还支持高可用性,允许将多个前端服务器部署到一个池中,并对 SQL Server 进行镜像。

有关服务器角色和其他拓扑细节的具体信息,请参阅 Skype for Business Server 2015 的拓扑基础知识

Skype for Business 中的工作负载协议

Skype for Business 支持以下工作负载协议:

  • 即时通信和在线状态

    即时通信 (IM) 使用户能够使用基于文本的消息在其计算机上彼此相互实时通信。IM 支持双方和多方会话。在线状态可向用户提供有关网络上其他用户状态的信息。在线状态图标表示用户当前的忙闲状态和沟通意愿。

  • 音频和视频 (A/V) 和 Web 会议

    Web 会议允许用户在会议和会议会话期间共享和协作处理文档。此外,用户还可以与他人实时共享其桌面或特定应用程序。

  • 企业语音

    Skype for Business 支持多种中介服务器和网关。此协议使用中继间路由将 IP PBX 连接到公共交换电话网络 (Public Switched Telephone Network, PSTN) 网关,或将多个 IP PBX 系统互连。

有关工作负载协议和语音解决方案的具体信息,请参阅 Skype for Business Server 2015 的技术图表

使用 NSX Advanced Load Balancer 部署 Skype for Business 2015 的优势

NSX Advanced Load Balancer 为 Skype for Business 部署提供以下优势:

  • 单一管理和控制点

    NSX Advanced Load Balancer 控制器 提供单一管理和控制点,同时提供流量和资源隔离以提高安全性。典型的 Skype for Business 部署需要 4 个单独的负载均衡单元。当需要高可用性时,此数量需翻倍为八个单元。与其他 ADC 解决方案不同,IT 组织可以部署一个 NSX Advanced Load Balancer 控制器 集群进行集中管理,而无需 4 个或 8 个独立管理的 ADC 单元。

  • 内置 TCP 安全性

    NSX Advanced Load Balancer 将检查 TCP 连接并丢弃恶意连接尝试,例如 TCP SYN 泛洪或具有无效序列号的 TCP 分段。

  • Skype for Business 反向代理服务

    NSX Advanced Load Balancer 通过易于使用的安全性和 HTTP 策略来支持 HTTPS 代理。此外,还提供了 HTTPS 事务的完全可见性和端到端计时信息,使 IT 部门能够快速检测和分析问题。

  • 云优化部署和高可用性

    NSX Advanced Load Balancer 控制器 会自动发现可用资源,例如虚拟基础架构中的网络和服务器。因此,IT 管理员不太容易发生人为错误。NSX Advanced Load Balancer 控制器 将检测其服务引擎或 Hypervisor 何时发生问题。它会自动查找最佳的可用 Hypervisor,并启动服务引擎以进行恢复。与其他 ADC 解决方案不同,此方法不需要冗余设备。

部署架构



在通过 NSX Advanced Load Balancer 部署 Skype for Business 期间,使用以下服务器类型:

  • 前端服务器

    提供所有核心功能,如身份验证、即时通信、Web 会议、A/V 会议、地址簿服务等。建议使用这些服务器托管 Director 池,并且可以选择容纳其他服务,例如持久聊天、监控和媒体调解。在本文档中,假定前端池上存在 Director 池。

  • Edge 服务器

    使内部部署用户能够与外部部署用户进行通信和协作。这些服务器不提供任何基于 Web 的服务或 Skype for Business 发现机制。要支持这两个功能,必须配置反向代理服务器。Edge 池服务器不属于组织 Active Directory 域的一部分。

  • 反向代理服务器

    将前端池提供的 Web 服务发布到 Internet。这些服务器将来自 Internet 的 HTTP 请求中继到前端服务器。不得将反向代理配置为加入组织的 Active Directory 域。

  • Outlook Web 应用程序服务器

    提供基于浏览器的 Word、PowerPoint、Excel 和 OneNote 版本。单个 Office Web 应用程序服务器场可以支持通过 Skype for Business 2015、SharePoint 2013、Lync Server 2013、共享文件夹和网站访问 Office 文件的用户。

部署要求

以下是为 Skype for Business 部署 NSX Advanced Load Balancer 的检查表:

服务器类型

硬件要求

软件要求

建议的服务器数

前端服务器

64 位双处理器

8 核 CPU

32 GB RAM

100 GB 磁盘容量

双端口网络适配器

Windows 2012 R2

Windows PowerShell 3.0

Microsoft .NET Framework 4.5

Windows Identity Foundation

远程服务器管理工具

Internet 信息服务 (IIS)

Windows Media Format Runtime

.NET Framework 3.5

Silverlight

3

OWA Server

8 核 CPU

8 GB RAM

100 GB 磁盘容量

Windows 2012 R2

Windows PowerShell 3.0

Microsoft .NET Framework 4.5

Windows Identity Foundation

远程服务器管理工具

Internet 信息服务 (IIS)

Windows Media Format Runtime

.NET Framework 3.5

Silverlight

一个

Exchange 2016 Server

8 核 CPU

8 GB RAM

100 GB 磁盘容量

双端口网络适配器

具有 AD、DNS、DHCP、DC 的 Windows 2012 R2

Windows PowerShell 3.0

Microsoft .NET Framework 4.5

Windows Identity Foundation

远程服务器管理工具

Internet 信息服务 (IIS)

Windows Media Format Runtime

.NET Framework 3.5

Silverlight

一个

SQL Server 2014

双核 CPU

1 GB RAM

6 GB 磁盘容量

Windows 2012 R2

Windows PowerShell 3.0

Microsoft .NET Framework 4.5

Windows Identity Foundation

远程服务器管理工具

Internet 信息服务 (IIS)

Windows Media Format Runtime

.NET Framework 3.5

Silverlight

反向代理服务器

双核 CPU

1 GB RAM

6 GB 磁盘容量

Windows 2012 R2

Windows PowerShell 3.0

Microsoft .NET Framework 4.5

Windows Identity Foundation

远程服务器管理工具

Internet 信息服务 (IIS)

Windows Media Format Runtime

.NET Framework 3.5

Silverlight

一个

Edge 服务器

64 位双处理器

8 核 CPU1

6 GB RAM

100 GB 磁盘容量

双端口网络适配器

Windows 2012 R2

Windows PowerShell 3.0

Microsoft .NET Framework 4.5

Windows Identity Foundation

远程服务器管理工具

Internet 信息服务 (IIS)

Windows Media Format Runtime

.NET Framework 3.5

Silverlight

在 Windows 2012 Server 中,磁盘必须分区为四个驱动器,分别用于操作系统、日志、数据库和 Exchange 安装目录。

有关服务器要求的更多信息,请参阅 Skype for Business Server 2015

  • 证书:任何 Windows Server 均可充当证书颁发机构。在本文档中,我们使用 Windows Server 2012 R2 作为证书颁发机构。有关证书要求的完整信息,请参阅下图。

    图 1. 图 2




  • DNS:有关完整的 DNS 信息,请参阅图 3。

    图 2. 图 3


部署策略

图 4 中介绍了部署负载均衡所需的所有端口和服务。在此部署示例中,前端服务器将承担 Director 服务器和中介服务器的角色。根据提供的信息设置 Active Directory 和 DNS 服务器。

图 3. 图 4

SFB 角色

虚拟服务器的 FQDN

VS 上的端口

服务器的 FQDN

服务器上的端口

前端

SFB2015FE.avitest.com

80、135、443、444、448、4443、5061、5067、5070、5071、5072、5073、5075、5076、5080、8080

SFB2015FS1.avitest.com

SFB2015FS2.avitest.com

SFB2015FS3.avitest.com

与 VS 端口相同

外部访问 Edge

SFB2015EE.avitest.com

443、5061

SFB2015EE1.avitest.com

SFB2015EE2.avitest.com

与 VS 端口相同

外部 Web Conf Edge

SFB2015WC.avitest.com

443

SFB2015WC1.avitest.com

SFB2015WC2.avitest.com

与 VS 端口相同

外部 AV Edge

SFB2015AV.avitest.com

443、3478/UDP

SFB2015AV1.avitest.com

SFB2015AV2.avitest.com

与 VS 端口相同

反向代理

lyncdiscover.avitest.com

80、4443

SFB2015FE.avitest.com

8080、4443

Outlook Web Access

SFB20150WA.avitest.com

80、443

SFB2015OWA1.avitest.com

SFB2015OWA2.avitest.com

80、443
注:

建议为所有负载均衡虚拟服务配置基于 IP 的源持久性并将 TCP 闲置超时配置为 1800 秒。

配置

  • 初始设置

  • 外部和内部 Edge 虚拟服务和池

  • 反向代理

  • Office Web 应用程序

初始设置

  1. 虚拟服务放置

    1. 为反向代理 (Reverse Proxy, RP)、外部 Edge、内部 Edge 和前端服务器分别创建一个服务引擎 (Service Engine, SE) 组。创建这些 SE 组以将相关的 Skype for Business 虚拟服务放置到相同的 SE 组中,具体取决于其角色。

    2. 导航到应用程序 > 虚拟服务 > 创建虚拟服务 > 高级设置。单击切换到高级以指定虚拟服务。

    3. 高级选项卡下,导航到其他设置以指定相应的 SE 组。该步骤将可确保 SE 不会容纳具有不同 Skype for Business 角色的虚拟服务。

  2. 导入前端服务器证书

    对于反向代理和 Office Web 应用程序服务器,您需要导入证书。与虚拟服务关联的 SSL 证书必须与前端服务器使用的证书相同。反向代理服务器的 FQDN 必须位于证书的主体备用名称列表中。

    要导入前端服务器证书的副本,请导航到模板 > 安全性 > SSL/TLS 证书 > 创建。选择根/中间 CA 证书

  3. 前端虚拟服务和池

    在所有端口之间共享一个虚拟 IP 地址。必须在设置中将此虚拟 IP 地址配置为 Skype for Business 前端池 IP。此 IP 地址是在创建虚拟服务时选择的。

    在“虚拟 IP 地址”部分中,通过将开关从基本设置切换到高级设置,可以查看现有虚拟服务和相应 IP 地址的列表。

    1. 导航到应用程序 > 虚拟服务 > 创建虚拟服务 > 高级设置

    2. 使用 TCP 代理为除端口 808080 以外的所有端口配置 L4 应用程序配置文件,如下所示。对端口 80 和端口 8080 使用 HTTP 负载均衡。

    3. 导航到应用程序 > 虚拟服务。在 TCP-UDP 配置文件下,单击 System-TCP-Proxy编辑选项。将空闲持续时间值设置为 1800,如下所示。空闲持续时间值以秒为单位。

      注:

      使用 TCP 运行状况监控器监控所有端口。Skype for Business 前端服务器可以选择允许外部负载均衡器在未加密的 SIP 端口 5060 上执行 SIP 运行状况检查。

    4. 导航到应用程序 > > 创建池。提供池名称,对负载均衡方法选择最少连接,然后对持久性选择 System-Persistence-Client-IP,如下所示。

    5. 导航到应用程序 > 。选择在上一步中创建的池。单击编辑 > 设置 > 添加主动监控器

    6. 要添加前端服务器 IP 地址或 FQDN,请导航到应用程序 > 。选择要编辑的池,然后单击“编辑”选项。导航到服务器,然后选择 IP 地址范围DNS 名称选项。

    7. 对图 4 中介绍的所有端口执行上述所有步骤。完成后,您将配置 16 个虚拟服务、16 个池和 16 个运行状况监控器。

外部和内部 Edge 虚拟服务和池

外部和内部 Edge 池分别需要三个公共虚拟 IP 地址和一个专用虚拟 IP 地址。

必须在 Skype for Business 拓扑构建器中将三个公共 IP 地址注册为访问、Web 会议和 A/V Edge 服务点。必须将内部虚拟 IP 地址配置为 SFB Edge 池 IP 地址。

  1. 导航到应用程序 > 虚拟服务 > 创建虚拟服务 > 高级设置

  2. 使用 TCP 代理为所有必需的端口配置 L4 应用程序配置文件。

  3. 导航到应用程序 > > 创建池。提供池名称,对负载均衡方法选择最少连接,然后对“持久性”选择 System-Persistence-Client-IP,如下所示。

  4. 对于端口 3478 上的虚拟服务,您需要选择 System-UDP-Fast-Path 作为 TCP/UDP 配置文件

  5. 导航到应用程序 > 虚拟服务 > 创建虚拟服务,然后选择高级设置

  6. 提供虚拟服务名称,对服务端口选项选择 3478,并选择 System-UDP-Fast-Path 作为 TCP/UDP 配置文件

  7. 对端口 3478 使用 UDP 运行状况监控器,对其他端口使用 TCP 运行状况监控器。UDP 运行状况监控器验证应用程序是否正在侦听给定的 UDP 端口。如果收到“无法访问 ICMP 端口”消息,则与应用程序关联的虚拟服务将关闭,否则将显示为已启动。

  8. 导航到应用程序 > ,然后选择要编辑的池。单击右侧提供的编辑选项。

  9. 单击创建运行状况监控器 ,如下所示。

  10. 选择类型 UDP 并设置其他参数的值。

  11. 对图 4 中介绍的所有端口执行上述所有步骤。完成后,您将配置 12 个虚拟服务、12 个池和 12 个新的运行状况监控器。

反向代理

反向代理需要一个配置为虚拟服务的 IP 地址的公共 IP 地址。从客户端到虚拟服务以及从虚拟服务到服务器的连接必须全部安全且加密。与其他 Skype of Business 虚拟服务器不同,反向代理 (RP) 服务器必须转换入站端口号,如图 4 所示。

在典型的部署场景中,反向代理没有到前端池的任何直接 L2 连接。要实施类似设置,NSX Advanced Load Balancer 控制器 需要其他配置,因为它假定服务器默认情况下可以直接访问。此额外配置包括虚拟服务和池上的 SSL 配置文件,以及选择 HTTP 配置文件。使用此配置时,将在收到 HTTPS 流量时对其进行解密,然后在发送到服务器之前对其重新加密。您可以根据组织要求配置 HTTP 安全策略。

注:

与虚拟服务关联的 SSL 证书必须与前端服务器使用的证书相同。这意味着反向代理 FQDN 必须列在证书的主体备用名称上。

  1. 单击应用程序 > 虚拟服务 > 创建虚拟服务。选中 SSL 选项,然后将端口值更改为 4443。对服务端口选择 SSL,选择默认的 SSL 配置文件(系统标准),然后选择在“导入服务器端证书”部分中创建的同一个 SSL 证书。

  2. 单击应用程序 > 创建池。选择最少连接作为负载均衡方法,并选择 System-Persistence-Client-IP作为“持久性”方法。

  3. 将 Skype for Business 前端池虚拟服务 IP 配置为池的成员。

  4. 导航到应用程序 > ,然后选择要编辑的池。选择选项服务器并添加前端服务器的 IP 地址。

  5. 使用 HTTP 运行状况监控器,并预计使用 HTTP 状态代码 403 来响应成功的运行状况检查。单击应用程序 > ,然后选择反向代理的池。单击右侧提供的编辑选项,然后选择编辑运行状况监控器选项。

  6. 对其他端口(端口 80)执行上述所有步骤,如图 4 中所述。

Office Web 应用程序

Office Web 应用程序虚拟服务需要将一个公共 IP 地址配置为虚拟 IP 地址。从客户端到虚拟服务以及从虚拟服务到服务器的连接必须安全或加密。

在虚拟服务器和池上配置 SSL 配置文件,并选择 HTTP 配置文件。将在收到 HTTPS 流量时对其进行解密,然后在发送到服务器之前对其重新加密。您可以根据组织要求配置 HTTP 安全策略。

注:

与虚拟服务器关联的 SSL 证书必须与前端服务器使用的证书相同。

  1. 导航到应用程序 > > 创建池。对“负载均衡”选项选择最少连接,对“持久性”选择 System-Persistence-HTTP Cookie,对“SSL 配置文件”选择 System-Standard(默认),然后选择 SSL 密钥证书(在“导入服务器端证书”部分中创建的证书)。

  2. 导航到应用程序 > ,并选择在前面步骤中创建的池。选择选项服务器并添加 Office Web 应用程序服务器的 IP 地址。

  3. 单击应用程序 > ,然后为 Office Web 应用程序服务器选择池。单击 UI 右侧提供的编辑选项,然后选择编辑运行状况监控器选项。单击添加主动监控器 ,然后对“类型”选择 HTTPS

  4. 单击运行状况监控器的同一窗口窗格中的 HTTPS 设置。对 SSL 配置文件 选择 System-Standard(默认)。选择 SSL 密钥以及在“导入服务器端证书”部分中创建的证书。

  5. 对其他端口(端口 80)执行上述所有步骤,如图 4 中所述。

验证配置

  • 运行状况监控器

    完成所有配置步骤后,导航到模板 > 运行状况监控器,以查看所有运行状况监控器。

  • 导航到应用程序 > ,以验证配置的所有池。

  • 虚拟服务

    导航到应用程序 > 虚拟服务,以检查创建的所有虚拟服务的列表。