Сегодня при развертывании пограничных серверов в масштабах компании с несколькими офисами возникает множество проблем. Skype for Business Server 2015 позволяет предоставить удаленным пользователям (которые не работают с виртуальной частной сетью, VPN) полный набор функций продукта, как будто они находятся в локальной сети внутри компании. Роль сервера, которая обеспечивает такую возможность, находится на пограничном сервере Skype. Она содержит различные службы, такие как пограничная служба доступа, служба пограничного сервера веб-конференций и пограничная служба передачи аудио- и видеоданных. Каждая служба является посредником для данных и сред в различных методах и местах назначения. В данной статье мы рассмотрим сценарий, который объясняет эти роли и среды, перемещаемые между пограничными серверами Skype, расположенными в географически удаленных офисах компании, чтобы помочь администраторам и инженерам по внедрению лучше понять работу внутренних механизмов.

Пограничная роль Skype for Business Server 2015

Skype for Business Server 2015 располагает специальными ролями сервера для различных функций. Среди них внешние серверы для мгновенного обмена сообщениями (IM или статус присутствия, конференции, аудио и видео и т. д.). Skype for Business Server 2015 также имеет пограничный сервер, который должен располагаться в сети периметра. Пограничный сервер позволяет компаниям дистанционно задействовать функции IM/присутствия, конференций, аудио и видео, не прибегая к виртуальной частной сети (VPN).

Развертывания пограничного сервера Skype стали более стандартизованными, критически важна возможность сегментирования и локализации трафика доступа удаленного пользователя для мгновенного обмена сообщениями, конференций и видеотрафика. Администраторам важно понимать тонкости функционирования протоколов в различных пользовательских сценариях, особенно в случае «удаленный-удаленный». Далее в статье мы рассмотрим сценарии, в которых два пользователя обмениваются сообщениями в одной организации Skype for Business Server 2015, но делают это удаленно через пограничную топологию, состоящую из пограничных серверов в различных географических точках.

Протоколы пограничного сервера Skype for Business Server 2015

Skype for Business Server 2015 располагает консолидированным пограничным сервером, который состоит из перечисленных ниже служб.

  • Пограничная служба доступа: протокол SIP для целей сигнализации; является основой для мгновенного обмена сообщениями.
  • Пограничная служба веб-конферен­ций: протокол Persistent Shared Object Model (PSOM) предоставляет службы, необходимые для конференций Microsoft Office Live Meeting 2007.
  • Пограничная служба передачи аудио- и видеоданных: протоколы Simple Traversal of UDP through NAT (STUN) и Traversal Using Relay NAT (TURN) используются только для транзита через брандмауэры и устройства трансляции сетевых адресов (NAT).

Тестовая среда

В нашей тестовой среде пограничного сервера Contoso имеется два географически разнесенных центра обработки данных: Redmond и Singapore. Каждый офис считается основным расположением пользователей для этого региона. В каждом месте существует функционирующий пул Skype for Business Server 2015.

И Redmond, и Singapore содержат центр обработки данных, в котором размещается пул Skype for Business Server 2015 с пограничным сервером в сети периметра этого центра обработки данных. Цель такой топологии пограничного сервера — позволить удаленным пользователям в Редмонде и Сингапуре взаимодействовать с внутренними пользователями в каждом пуле со всеми доступными возможностями: IM/присутствие, конференции, совместное использование приложений, аудио и видео и при возможности разделение удаленного трафика по регионам.

Сценарий — звонки между удаленными абонентами Skype в различных пулах

Два пользователя, находящиеся в различных пулах Skype, планируют участвовать в разговоре друг с другом с помощью программы клиента Skype 2015 позднее в этот день. User1 находится в Редмонде (Red-Redmond-U1), а User2 — в Сингапуре (Sing-Redmond-U1). Оба пользователя возвращаются домой и готовятся к переговорам.

Распределение звонков — внутренний механизм

1. Red-Remote-U1 выполняет регистрацию в Skype, чтобы подготовиться к беседе. Он входит в пул Redmond Skype через роль пограничной службы доступа Redmond Data Center Access Edge. Клиент Skype 2015 отправляет запрос SIP INVITE, который содержит учетные данные Red-Redmote-U1, на пограничный сервер через NTLM, поскольку пользователь удаленный и не работает с VPN. В процессе регистрации Red-Remote-U1 получает учетные данные из службы MRAS своего домашнего пула в пограничном пуле Redmond для подключения к пограничной службе передачи аудио- и видеоданных (Redmond Edge Server). Это позволит Red-Redmote-U1 при необходимости транслировать мультимедиа-трафик на пограничном сервере размещенных пулов (рисунок 1).

 

Схема обработки внутренних звонков
Рисунок 1. Схема обработки внутренних звонков

 

Замечу, что при звонках между удаленными абонентами Skype предпринимается попытка установить соединение с отображаемого IP-адреса каждого пользователя. Если это сделать не удастся, соединение будет передано через общедоступный IP-адрес пограничного сервера аудио- и видеоконференций пользователя, инициировавшего звонок.

2. Пользователь Sing-Remote-U1 выполнил регистрацию в пул Singapore Skype через роль Redmond Data Center Access Edge, передающую начальный запрос SIP службе Director, которая определяет, что Sing-Remote-U1 размещен в пуле Skype в Сингапуре. Пул Singapore Skype проверяет подлинность запроса SIP пользователя и Sing-Remote-U1 регистрируется в Skype. В процессе входа Sing-Remote-U1 получает учетные данные из службы MRAS своего домашнего пула в пограничном пуле Singapore для подключения к пограничной службе передачи аудио- и видеоданных Singapore Edge Server. Это позволит (Sing-Redmote-U1) при необходимости транслировать мультимедиа-трафик на пограничном сервере размещенных пулов (рисунок 2).

 

Схема обработки внешнего звонка
Рисунок 2. Схема обработки внешнего звонка

 

3. Sing-Remote-U1 и Red-Remote-U1 обмениваются предварительными сведениями друг о друге, чтобы выбрать наиболее прямой маршрут подключения.

Как отмечалось выше, предполагается, что оба пользователя не могут выполнить подключение следующими методами:

  • UDP Direct. Порты UDP IP-адресов компьютера каждого пользователя.
  • UDP NAT. Подключение через отраженный IP-адрес общедоступного IP-адреса домашнего маршрутизатора для каждого пользователя Skype.

4. Sing-Remote-U1 и Red-Remote-U1 обмениваются предварительными сведениями о локальном IP-адресе, отображаемом IP-адресе и промежуточном адресе Relay IP общедоступного интерфейса пограничной службы передачи аудио- и видеоданных Audio/Video Edge. Весь процесс показан на рисунке 3; в качестве примера приводятся используемые адреса (показана только трассировка, соответствующая этому шагу).

  • Локальный IP-адрес: 175.145.5.132
  • Отраженный IP-адрес: 60.170.30.219
  • Relay IP: 215.10.80.90

 

Процесс обмена информацией об адресах
Рисунок 3. Процесс обмена информацией об адресах

5. Вызывающий абонент Red-Remote-U1 инициирует звонок вызываемому абоненту Sing-Remote-U1 и начинает проверки подключения по протоколу ICE, чтобы определить оптимальный путь для среды общения, пограничного сервера Redmond. Представленный на рисунке 4 процесс показывает результат проверки претендента на соединение и идентификацию пограничного сервера, используемого для звонка.

 

Результат проверки претендента
Рисунок 4. Результат проверки претендента

При настройке пула Skype 2015 в построителе топологии вы можете указать, с каким пограничным пулом будет обмениваться данными пул Skype. Организация Skype 2015 содержит единственную точку входа (запись SRV) для удаленного доступа, поэтому она отвечает за все взаимодействие SIP через пограничные серверы доступа в центре обработки данных Redmond (см. экран).

 

Указание пограничного пула серверов
Экран. Указание пограничного пула серверов

Главные выводы из этой статьи, которые могут нам пригодиться при развертывании географически распределенных пограничных серверов, следующие:

  • Пограничная служба доступа отвечает за посредника для подключений трафика SIP для удаленных клиентов на следующем этапе, который может быть службой Director или пулом Skype.
  • Построитель топологии позволит администратору выбрать соответствующий пограничный пул для пула Skype.
  • Клиенты Skype всегда пытаются обмениваться данными по самому прямому маршруту, одноранговому, но при отсутствии такой возможности используются общедоступный интерфейс домашнего маршрутизатора, а затем пограничный сервер.
  • Инициатор звонка использует несколько широковещательных методов, чтобы установить связь с вызываемым абонентом.