В Skype for Business 2015 роли сервера выполняют определенные функции. Например, внешний сервер Front End Server обеспечивает возможность работы служб мгновенного обмена сообщениями, instant messaging (IM), предоставления сведений о присутствии, осуществление веб-конференций, проверку подлинности пользователей и т. д. Пограничный сервер Edge Server позволяет сотрудникам дистанционно получать доступ к службе IM, сведениям о присутствии, аудио, видео (A/V) и веб-конференциям без использования виртуальной частной сети, virtual private network (VPN).

Федеративные отношения позволяют организациям обмениваться друг с другом данными в следующих режимах: IM и сведения о присутствии, аудио и видео, а также совместный доступ к рабочему столу. Для установки федеративных отношений каждая организация должна развернуть пограничный сервер. Тип федеративных отношений от организации к организации меняется. В этой статье мы исследуем автоматическое обнаружение открытых федеративных отношений; это означает, что обе организации имеют необходимые общедоступные записи DNS. Предыдущая статья по данной теме, в которой мы начали разговор о географически распределенной топологии Skype, «Распределенная реализация Skype», была опубликована в Windows IT Pro/RE № 6 за 2017 год.

Все чаще сервер Skype for Business Server 2015 с несколькими пограничными серверами развертывается в различных географических регионах, и администраторам важно знать маршруты, которыми следуют протоколы в разных пользовательских сценариях, особенно для федеративных отношений удаленных компаний. В этой статье мы рассмотрим потоки аудио- и видеотрафика, когда два пользователя Skype в различных организациях с установленными федеративными отношениями вызывают друг друга через Skype 2015.

Консолидированный пограничный сервер предоставляет следующие службы:

  • Пограничная служба доступа Access Edge. Она управляет передачей сигналов SIP и мгновенным обменом сообщениями.
  • Служба пограничного сервера веб-конференций Web Conferencing Edge. Протокол Persistent Shared Object Model (PSOM) обеспечивает организацию конференций.
  • Пограничная служба передачи аудио- и видеоданных Audio/Video Edge. Протоколы Simple Traversal of UDP through NAT (STUN)/Traversal Using Relay NAT (TURN) обеспечивают проход через брандмауэры и средства преобразования сетевых адресов (NAT).

Примерная схема установки пограничного сервера

В рассматриваемом примере установки пограничного сервера компания Contoso располагает центрами обработки данных, развернутыми в Редмонде и Сингапуре. Каждый офис считается основным для пользователя своего региона. В каждом расположении имеется развернутый и работоспособный пул серверов Skype for Business Server 2015.

Центры обработки данных Contoso в Редмонде и Сингапуре имеют пул серверов Skype for Business Server 2015 и пограничный сервер, развернутый в сети периметра. Топология пограничного сервера позволяет пользователям в Редмонде и Сингапуре работать дистанционно вместе с внутренними пользователями в любом пуле во всех режимах — IM и сведения о присутствии, конференции, общий доступ к приложениям, аудио и видео. Трафик к удаленным службам остается в регионе всегда, когда это возможно. Компания Contoso поддерживает открытые федеративные отношения; это позволяет пользователям находить контакты в других организациях и устанавливать связь с ними.

Компания Litware также имеет серверы Skype for Business Server 2015 с развернутым пограничным сервером в сети периметра. Автоматическое обнаружение Litware тоже позволяет пользователям находить контакты в других организациях и связываться с ними.

Вызов по Skype в условиях федеративных отношений

В данном сценарии два пользователя Skype 2015, находящиеся в различных организациях Skype for Business, решают начать аудио- или видеобеседу через Skype 2015. Skype-U1 работает удаленно в компании Contoso. Skype-U2 работает в офисе компании Liteware. Contoso и Liteware объединены в федерацию. На рисунках 1, 2 и 3 показано три различных этапа подготовки и прохождения вызова между Skype-U1 и Skype-U2.

 

Проверка подлинности удаленного пользователя
Рисунок 1. Проверка подлинности удаленного пользователя

 

 

Удаленный пользователь извлекает учетные данные MRAS
Рисунок 2. Удаленный пользователь извлекает учетные данные MRAS

 

 

Локальный пользователь Skype инициирует федеративный вызов удаленного пользователя
Рисунок 3. Локальный пользователь Skype инициирует федеративный вызов удаленного пользователя

 

Проверка подлинности удаленного пользователя

  1. Skype-U1 выполняет регистрацию в пуле серверов Skype в Сингапуре через пограничный сервер доступа в Редмонде (рисунок 1). Skype-U1 является удаленным пользователем и не применяет VPN, поэтому клиент Skype 2010 отправляет запрос SIP INVITE, который содержит учетные данные Skype-U1, на пограничный сервер через протокол NTLM. SIP OK содержит допустимые данные сервера проверки подлинности при ретрансляции мультимедиа Media Relay Authentication Server (MRAS) для организации вызова.
  2. Пограничный сервер Редмонда является посредником для подключения к роли Director в Редмонде. Director — дополнительная роль сервера, которая может быть развернута в экземпляре Skype for Business Server 2015. Director часто применяется в тех случаях, когда важно обеспечить безопасность сети периметра или предстоит организовать удаленное взаимодействие с несколькими пулами в организации. Director служит посредником для трафика SIP, направляемого и получаемого из среды пограничного сервера.
  3. Роль Director в Редмонде проверяет подлинность Skype-U1 и является посредником для подключения к пулу Skype в Сингапуре (поскольку здесь находится пользователь).
  4. Ответные сведения MRAS отправляются клиенту путем передачи сообщения SIP 200 OK от пограничного сервера доступа в Редмонде.

Удаленный пользователь и учетные данные MRAS

  1. Skype-U1 выполняет регистрацию в пуле серверов Skype в Сингапуре через пограничный сервер доступа в Редмонде (рисунок 2). Пользователь работает удаленно и не задействует соединение VPN, поэтому Skype 2010 отправляет запрос SIP INVITE, который содержит учетные данные Skype-U1, в пограничный сервер через протокол NTLM. Сообщение SIP OK содержит допустимые данные MRAS для подготовки вызова.
  2. Пограничный сервер в Редмонде является посредником для подключения к роли Director в Редмонде.
  3. Роль Director в Редмонде проверяет подлинность Skype-U1 и является посредником для подключения к пулу Skype в Сингапуре (поскольку здесь находится пользователь).
  4. Клиент в Сингапуре запрашивает учетные данные MRAS через интерфейсный пул в Сингапуре.
  5. Служба MRAS в пограничном пуле в Сингапуре отвечает на запрос интерфейсного пула.
  6. Интерфейсный пул в Сингапуре обеспечивает отправку ответа MRAS клиенту, передавая сообщение SIP 200 через службу пограничного доступа в Редмонде.

Федеративный внутренний пользователь инициирует вызов удаленного пользователя

  1. Вызов инициируется пользователем Skype-U2. Его пограничный пул отправляет данные SIP INVITE, которые содержат всех кандидатов ICE для вызова, в пограничный пул в Редмонде. Пограничный пул в Редмонде включает службу пограничного доступа для интерфейсного пула в Сингапуре (рисунок 3).
  2. Skype-U1, получатель вызова, отправляет сообщение SIP SESSION PROGRESS, содержащее сведения о вызове, а также отправляет данные кандидата ICE из клиента через пограничный пул в Редмонде.
  3. Пограничный пул партнера и пограничный пул в Редмонде обмениваются данными с помощью сообщений STUN\TURN.
  4. Аудиоданные передаются между двумя клиентами; вызывающая сторона пересылает мультимедиатрафик через пограничную службу передачи аудио- и видеоданных.

Отслеживание вызова SIP-пользователей Skype в звуковом и видеосеансе

Когда Skype-U2 направляет вызов Skype-U1, он проходит между двумя федеративными пограничными службами передачи аудио- и видеоданных через пограничный пул каждой организации. В результате согласование портов должно происходить на каждом клиенте в дополнение к каждой пограничной службе передачи аудио- и видеоданных. На рисунках 6 и 7 показан процесс согласования портов.

  1. Skype-U2 инициирует федеративный вызов к Skype-U1 (используемые примеры IP-адресов показаны на рисунках 4 и 5).
  2. Skype-U2 и Skype-U1 обмениваются сведениями о кандидате, содержащими доступные варианты для федеративного аудио- и видеовызова. Поскольку пользователь Skype-U2 находится внутри организации Skype 2010, он предоставляет адрес ретрансляции общего пограничного аудио- и видеоинтерфейса соответствующего пограничного пула. Пользователь Skype-U2 инициирует вызов к Skype-U1 и начинает проверку связи в соответствии с протоколом ICE, чтобы определить оптимальный путь передачи мультимедиа. В данном случае это происходит через пограничный пул партнера.
  3. Skype-U2 и Skype-U1 обмениваются сведениями о кандидате друг для друга, чтобы установить подключение по оптимальному пути. Кандидаты — возможные комбинации доступных адресов IPv4 и произвольно выделенных портов TCP/UDP в настроенных диапазонах портов для клиента Skype при использовании NAT для подключения мультимедиа. На рисунке 5 представлена часть протокола ICE. С помощью этого протокола внешние клиенты могут использовать NAT для подключения мультимедиа. Кандидаты протокола ICE показывают локальные IP-адреса, возвратные адреса в дополнение к IP-адресам ретрансляции. Адреса показаны с парами TCP- и UDP-портов. Эти адреса применяются для тестирования подключений мультимедиа между пограничной службой передачи аудио- и видеоданных и клиентом Skype 2010 по соответствующим портам.
  4. Пользователь Skype-U2 — инициатор вызова к Skype-U1. Он начинает проверку связи по протоколу ICE, чтобы определить оптимальный путь для мультимедиа, то есть к серверу пограничного пула партнера. Процесс, приведенный на рисунке 7, показывает результат проверки кандидата и идентификацию пограничного сервера, используемого для вызова.

 

Трассировка SIP-вызова (примеры использованных адресов)
Рисунок 4. Трассировка SIP-вызова (примеры использованных адресов)

 

 

IP-адреса, использованные в вызове Skype к федеративным контактам
Рисунок 5. IP-адреса, использованные в вызове Skype к федеративным контактам

 

 

Трассировка SIP-вызова
Рисунок 6. Трассировка SIP-вызова

 

 

Трассировка SIP-вызова (согласованные порты и протоколы мультимедиа)
Рисунок 7. Трассировка SIP-вызова (согласованные порты и протоколы мультимедиа)

Основные выводы из этого сценария при прослеживании вызовов с участием географически распределенных пограничных серверов и федеративных отношений перечислены ниже.

  • Пограничная служба доступа передает SIP-трафик для удаленных клиентов на следующий узел, который может быть ролью Director или пулом Skype.
  • В процессе связи (IM, аудио/видео конференции) с партнерами федеративных отношений SIP обеспечивает запуск и прекращение всех сеансов. Пограничный сервер в каждой организации будет устанавливать сеансы SIP через пограничную службу доступа.
  • Удаленные пользователи будут связываться с определенным пограничным пулом в организации для проверки подлинности SIP.
  • Существует всего три типа кандидатов:

— внутренний (IP-адрес, назначенный сетевому интерфейсу клиентского компьютера);

— обратный (общедоступный IP-адрес, назначенный основному маршрутизатору);

— посредник при передаче мультимедиа (общедоступный IP-адрес пограничной службы передачи аудио- и видеоданных, связанной с внутренним пулом пользователей Skype 2010).