¿Qué necesito conocer de un EDGE para su correcta implementación?
Vuelvo con otro artículo sobre el ROL del EDGE para Lync o Skype for Business, espero que esto termine de aclarar algunas dudas sobre este ROL (pulsar en la imagen para verla a tamaño real):
En este artículo trataré de explicar la necesidad de este ROL y en base a los servicios que vayamos a implementar lo necesitaremos o no. La idea es formular una serie de preguntas y contestarlas para que de cabida a muchas de vuestras preguntas sobre este rol muy sencillo y muy complejo a la vez …. dicho esto aquí van algunas de las preguntas que creo que podrían ser de utilidad para entender a nuestro querido EDGE, pero antes veamos la definición por parte de Microsoft de lo que un servidor Perimetral (EDGE):
El servidor perimetral permite a los usuarios comunicarse y colaborar con usuarios externos a los firewall de la organización. Entre estos usuarios externos se incluyen los usuarios de la organización que están trabajando fuera de la oficina, los usuarios de organizaciones asociadas federadas y los usuarios externos a los que se ha invitado a participar en las conferencias hospedadas en su implementación de Lync/Skype4B Server. El servidor perimetral también permite la conectividad a servicios de conectividad de mensajería instantánea públicos, incluidos Skype, Google Talk, etc..
Con esta definición creo que tenemos más que claro en líneas generales de que es un servidor perimetral o EDGE, no? Pues ahora vamos a ver que cosas necesitamos saber del EDGE:
1. Para que necesitamos un servidor EDGE
- Para conectarnos remotamente a Lync/Skype4B sin necesidad de VPN (Usuarios Remotos)
- Presencia/Mensajería
- Acceso a Conferencias Web
- Acceso a sesiones de AV
- Transferencia de Ficheros
- Compartir pantalla y presentaciones (PowerPoint)
- Para federarnos con otras compañias con Lync/Skype4B, Skype4B Online
2. ¿Cómo podemos implementar un servidor de EDGE?
3. ¿Son necesarias 3 IP Públicas para implementar un EDGE?
- No, pero siempre es recomendable para poder publicar todos los servicios por puertos estandar (443, 5061) y evitar que en alguna red externa se nos filtre le tráfico de salida hacia nuestro EDGE. Además, los servicios de AV son compatibles con NAT, por lo que hace más sencillo el tener una única IP Pública y tener todos los servicios publicados: Cómo publicar todos los servicios de Lync, Exchange y WAC únicamente con una IP Pública
4. ¿Necesitamos de forma obligatoria tener instalados certificados Públicos?
- No, pero siempre con matices:
- Federaciones con otras implementaciones de Lync/Skype4B On-Premises: No es necesario contar con certificados públicos, pero en este caso tenemos que enviar a los administradores de la otra empresa con la que nos queremos federar nuestro certificado raíz de confianza para que lo instale en su EDGE. De esta forma, su EDGE podrá comprobar que los certificados presentados por nuestro EDGE los verá como “confiables”
- Federaciones con servicios de MI Públicos: Necesitaremos certificados públicos SI o SI, pensad que si nos federamos con MSFT el no va a dejar (ni sería razonable) que le enviemos nuestro certificado raiz de confianza, por muchísimas razones:
- Seguridad
- Procesos manuales para la instalación de la CA en todos los servidores EDGE de Skype4B Online (inviable verdad?)
- Para los servicios internos asociados a la interface privada, podemos utiizar sin problema los certificados internos emitidos por nuestra CA privada: Windows Server 2012, Instalación de una CA
- Requisitos que necesita cumplir un Certificiado Digital para reconocerse como válido
- ¿Qué certificados necesitamos para Lync?
- Certificados SAN o Wildcard para nuestra implementación de Lync Server
- Renovar, Instalar y Asignar Certificados a nuestro Edge de Lync Server 2010/2013
- Lync Server: Un Edge, Un Certificado SAN para un Dominio, Múltiples Dominios SIP y Federaciones (Actualizado 12-06-2013)
5. ¿Si tenemos subredes locales tenemos que realizar alguna configuración especial en nuestro EDGE?
- Lo único que debemos hacer es que los equipos internos puedan tener acceso a la red interna del EDGE a través del puerto 443 en TCP, y para ello es posible que tengamos que realizar algunas configuraciones en el enrutamiento del EDGE y Red. En los siguientes 9 artículos veréis diferentes escenarios en donde podemos tener implementado nuestro EDGE y las diferentes configuraciones que debemos realizar. Pero da igual la topología de red que tengamos, lo que sí tenemos que hacer es que los usuarios lleguen al EDGE via su FQDN (el declarado en la topología) en el puerto 443 en TCP, por lo que debe resolver su FQDN y llegar a dicha IP al puerto 443. Recordad, en la interface interna del EDGE NO debe tener una puerta de enlace para la red local o subredes locales que tengáis, debemos crear rutas estáticas permanentes.
- Esquemas de red para nuestras implementaciones de Lync Server (Parte I)
- Esquemas de red para nuestras implementaciones de Lync Server (Parte II)
- Esquemas de red para nuestras implementaciones de Lync Server (Parte III)
- Esquemas de red para nuestras implementaciones de Lync Server (Parte IV)
- Esquemas de red para nuestras implementaciones de Lync Server (Parte V)
- Esquemas de red para nuestras implementaciones de Lync Server (Parte VI)
- Esquemas de red para nuestras implementaciones de Lync Server (Parte VII)
- Esquemas de red para nuestras implementaciones de Lync Server (Parte VIII)
- Esquemas de red para nuestras implementaciones de Lync Server (Parte IX)
6. ¿Qué resolución DNS debe tener nuestro EDGE?
- Interface Externa: Debe tener servidores DNS externos (Google por ejemplo: 8.8.8.8), puesto que debe poder resolver los nombres de los servidores EDGE a los que quiera/necesite conectarse para completar las federaciones, además de poder resolver los nombres de los servicios web en donde tenga que verificar si el certificado está o no revocado, vamos, la ubicación de las CRL.
- Interface Interna: NO debe llevar DNS alguno y menos los internos (en el EDGE no debe tener NUNCA en ningún interface los DNS internos), debemos modificar el fichero HOSTS del servidor para que pueda rsolver los siguientes nombres (como mínimo):
- Pool de los Front-END
- FQDN de cada servidor que esté en el Pool
- FQDN de cada SBS
7. ¿Qué son las federaciones?
- Son como relaciones de confianza entre distintas organizaciones pero vía SIP, las cuales nos permite añadir usuarios de otras compañias (Lync/Skype4B On-Premises, MI Públicos). Esto extiende nuestro ámbito de netwoking a todo el mundo, a nivel corporativo y usuarios finales con Skype (más de 400 Millones de Usuarios). Si añadimos contactos de otras organizaciones, estas son las opciones disponibles entre ambas compañias: https://technet.microsoft.com/es-es/library/gg520966(v=ocs.15).aspx
- Federación y Acceso de Usuarios Externos
- Lync Server: Un Edge, Un Certificado SAN para un Dominio, Múltiples Dominios SIP y Federaciones
- Federación con Skype: Problemas con las llamadas de Voz y la Federación
- Federación Lync – Skype: Opciones disponibles para el usuario final
- Federar Lync OnLine con tu Lync On Premise
- Federar Lync 2013 con Google Talk
- Lync Server: Enviar declinación de responsabilidades de archivado a los socios federados
- Federación de Skype con Skype For Business
8. ¿Qué registros DNS necesitamos para configurar el EDGE?
- Los registros DNS son importantísimos, para que nos permitan tanto conectarnos al servidor EDGE desde Internet, la red local y las federaciones:
- Iniciar sesión en Lync/Skype4B desde Internet:
- SRV: _sip._tls.dominio.com –> HOST = FQDN con la IP del servicio de acceso
- A: FQDN con la IP del servicio de acceso configurado en el EDGE
- Para que los usuarios internos se puedan comunicar con usuarios externos (remotos y federados): necesitamos tener un registro DNS de tipo A con el FDQN publicado en la topología y como IP la de la interface interna del EDGE.
- Federaciones con Skype (de consumo) y Skype4B On-Line: (obligatorio si queremos federarnos con Skpe4B Online y Skype de consumo)
- SRV: _sipfederationtls._tcp.dominio –> HOST = FQDN con la IP del servicio de acceso
- A: FQDN con la IP del servicio de acceso configurado en el EDGE
- Iniciar sesión en Lync/Skype4B desde Internet:
- ¿Qué registros DNS debemos configurar para utilizar nuestro dominio SIP en Lync On-Line?
- ¿Qué registros DNS necesitamos para la configuración automática del cliente Lync 2010 y 2013?
9. ¿Si tenemos un entorno híbrido con Exchange y Skype4B Online necesitamos un EDGE?
- SI, porque el enlace entre Office 365 y Skype4B On-Premises es el EDGE (el próximo artículo que tengo pendient subir es la integración de los servicio de UM de Exchange OnLine con Skype4B On-Premises, ahí os mostraré la integración del EDGE con esta configuración)
10. ¿Qué puertos necesitamos abrir en nuestro dispositivos de seguridad para publicar los servicios del EDGE?
- Os dejo una captura de los puertos que necesitaréis configurar para hacer funcionar todos vuestros servicios en el EDGE (pulsar en la imagen para verla a tamaño real):
11. ¿Necesita el EDGE tener Internet?
- SI, puesto que necesita tener acceso a:
- Resolver nombres de dominio para encontrar a otros EDGE (federaciones)
- TIpo de registros DNS necesita resolver
- A
- SRV
- TIpo de registros DNS necesita resolver
- Acceso a HTTP para conectarse a los servicios web en donde se publican las CRL de los certificados emitidos por otros servidores EDGE, los cuales se tienen que verificar si los certificados son válidos o no
- Resolver nombres de dominio para encontrar a otros EDGE (federaciones)
- Si queremos podemos filtrar a que sitios se puede conectar el servidor de EDGE:
- Filtrando por la IP de destino de los EDGE a los que se conecta en las federaciones configuradas
- Filtrando las IP de Office 365 si tenemos un híbrido o federaciones con Skype4B OnLine: URL de Office 365 e intervalos de direcciones IP
Esto creo que es lo básico que debemos conocer para saber si necesitamos o no un servidor de EDGE, hay muchas más preguntas y respuetas sobre el rol del EDGE, pero creo que ya van dirigidos a otros escenarios.
Si alguien tiene más consultas sobre el EDGE, por favor, subir un comentario y asi vamos completando este artículo con más preguntas y respuestas para que todos saquemos provecho de ello.
Espero que os sea de utilidad!!!
