1 / 35

LCS 2005 : Déploiement Avancé & Architecture

LCS 2005 : Déploiement Avancé & Architecture. Jérôme Bernière Ingénieur Avant-vente jeromeb@microsoft.com Microsoft France . Agenda. Composants d’un déploiement LCS 2005 Cycle projet LCS 2005 Plan Build Deploy Operate Q&A. Composants déploiement. External. DMZ. Corporate Network.

landis
Download Presentation

LCS 2005 : Déploiement Avancé & Architecture

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. LCS 2005 : Déploiement Avancé & Architecture Jérôme Bernière Ingénieur Avant-vente jeromeb@microsoft.com Microsoft France

  2. Agenda Composants d’un déploiement LCS 2005 Cycle projet LCS 2005 Plan Build Deploy Operate Q&A

  3. Composantsdéploiement External DMZ Corporate Network CWA MOC/CWA CoMo PIC Users LCS 2005 SP1 SE ABS HTTP Reverse Proxy Remote Users LCS 2005 SP1 EE Pool Director LCS 2005 EE SQL 200x Archiving Federated Users Access Proxy IP-PSTN Gateway Proxy SIP/CSTA Gateway Telephony Users PBX

  4. Plannification

  5. PlanLes serveurs Comprenez les besoins clients Déterminez les rôles serveurs à mettre en place: Pour la haute disponibilité: un cluster SQL 200x, un “Pool Enterprise”, RAID et loadbalancers HW niv 4-7 Pour le trafic interne: utilisez Director comme point d’entrée Pour les accès distants: utilisez des Directors externes et internes pour séparer le trafic Pour le PSTN: Utilisez LCS SE, EE ou Director Pour l’archivage: Utilisez un modèle “two-tier” Pour sécuriser les flux: Utilisez l’encryption TLS Utilisez les recommandations et restez dans une architecture supportée Commencez simple avec SIP (Présence/IM) Access Proxy Access Proxy Pool Pool MTLS MTLS DMZ MTLS Director Pool TLS AD AD DNS MTLS MTLS Access Proxy AD Enterprise A Enterprise B

  6. Windows XP SP2 / Office 2003 SP2 sur les clients Communicator, CWA et CoMo Validez une adresse primaire SMTP identique à l’adresse SIP URI pour l’utilisateur Contrôle de la présence: blocage total ou non Les GPO permettent de contrôler Communicator (Allow/Block functionality, Override, Set, BW, conf, appels…) PlanLes clients • Les listes de contacts : • Trop importantes ne sont pas recommandées • Difficiles à administrer et peuvent créer une surcharge inutile sur les serveurs • Utilisez plutôt la recherche de contact ABS sur les clients • Peuvent être pré-chargées via scripts (voir ressource kit) • Les contacts fédérés peuvent aussi avoir accès au même niveau d’info que les internes

  7. PlanActive Directory Accès rapide au Global Catalog du domaine racine pour LCS 2005 Pour le démarrage des Services Pour accéder à la console d’administration MMC LCS 2005 Pour la recherche du GC racine Requête sur tous les GC de la forêt Recherche circulaire jusqu’à l’obtention GC contenant «  rootdomainnamingcontext » LCS2005 ne peut pas utiliser un GC spécifiquement configuré Optimisation possible Déployer une forêt de ressource Synchroniser les identités et « Address Book » via MS IdentityIntegrationFeature Pack Anticipez l’évolution du fichier « ntds.dit » Conséquence des ACE sur les « containers » et les objets Moins d’impacte sur les contrôleurs Windows 2003 Validez les droits dans AD sécurisée: http://www.microsoft.com/technet/prodtechnol/office/livecomm/library/prepad/lcspad_6.mspx

  8. PlanSecurité Pensez “Defense-in-Depthstrategy”: Activation de Windows Firewall fournit avec Windows XP SP2 Vous serez averti de bloquer ou pas le trafic pour Communicator Prévoyez un anti-virus sur le client Prévoyez un anti-SPIM/anti-virus sur les servers Microsoft Antigen - http://www.microsoft.com/antigen/default.mspx Prévoyez une mise à niveau de définition le plus à jour possible Pensez au filtre “Intelligent IM Filter”: http://www.microsoft.com/downloads/details.aspx?familyid=0ED13372-F3D2-40F0-BA5D-C880359A40F5&displaylang=en

  9. PlanSecurité Validez un Certificat Racine « offline » et un certificat issue de cette autorité TLS plutôt que TCP entre les clients et LCS LCS 2005 Utilise Kerberos et NTLM pour les authentifications NTLM est forcé pour les utilisateurs distants M-TLS est obligatoire pour les communications Serveur-Serveur Les serveurs autorisés doivent avoir le FQDN et non l’@ IP listé Seuls les serveurs authentifiés peuvent communiquer (par défaut) N’ajoutez que des serveur sécurisés Activez LCS 2005 Flat File LoggingLevel 1 sur tous les serveurs Ne représente pas une grosse charge serveur Meilleure détection des risques potentiels Sécurité

  10. PlanSecurité Utilisez “split DNS” Nom DNS différent pour suffixes internes et externes Conservez votre suffixe interne comme enregistrement privé Simplifie le déploiement de l’accès externe Installez l’Access Proxy Avec une patte IP interne et un patte IP externe Mise en place d’un firewall de chaque coté (entreprise et externe) Laissez l’AP dans un workgroup Utilisez plusieurs proxy si vous souhaitez isoler les trafics (accès distants, partenaire et PIC par exemple) Utilisez un certificat issu d’une autorité publique pour la fédération entreprise Internet Firewall Load balancer Load balancer Firewall Corporate Network

  11. PlanAccès distant/Fédération/PIC Accès distant CWA Configurer TCP/443 Fédération IM et Présence Domaines SIP et Address Book ne sont pas échangés Voix et Vidéo ne passeront que très rarement du fait des firewall/NAT (Possibilité de boitiers partenaires) Utilise le « Subject Name » des certificats, pas SubjectAltenateNames PIC (Public IM Connectivity) Nécessite des certificats publics (pas de certificat de tests) AOL nécessite une authentification EKU (client/serveur) La plupart des fournisseurs de certificats supporte SAN PIC troubleshooting: http://blogs.technet.com/toml/archive/2005/12/30/416685.aspx LCS 2005 Access Proxy LCS 2005 Access Proxy LCS 2005 Access Proxy LCS Client LCS Client LCS Client Access Proxy Access Proxy Enterprise A Pool Pool MTLS MTLS MTLS LCS 2005 AD AD DNS SIP Proxy Enterprise A Enterprise B

  12. Plan”Address Book Service” La planification d’ABS nécessite d’étudier Les transferts de fichier dans les scenarios distants Les plans de numérotation de Telephonie La mise en œuvre d’ABS: Un Reverse Proxy pour l’ABS des users distants Comprendre les délais de synchronisation AD->UR->SQL->ABS->File Share->MOC http://www.microsoft.com/technet/prodtechnol/office/livecomm/library/abs/lcsabs_2.mspx Localiser les fichiers sur les serveurs et Communicator Telephone number normalization Format normalisé E.164: « +33169866000 » Comprendre les syntaxes des « regular expression » Gestion d’un plan de numérotation

  13. PlanTéléphonie Quelleintégration de Communicator et la Téléphonie? Remote Call Control (CTI) PC2Phone Phone2PC PC2PC Quelle marque de PABX? LCS2005 supporte TCP, pas UDP Démarrez par une intégration simple (passerelle voip) Activez serveur/client logging Contactez votre intégrateur réseaux & télécoms PSTN Conferencing bridge LCS 2005 “Server” RCC Gateway(CSTA over SIP) PBX SIP-PSTN gateway ‘Alice’ +1 425 555 0170 Conferencing MCU ‘Bob’ +1 206 555 0170 (external party)

  14. PlanTelephonie Créez une route statique pointant vers la passerelle (PSTN) FQDN est nécessaire pour TLS Pas possible de router sur ”user”, seulement sur le domaine Utilisez le FQDN pour une route RCC pbx1.contoso.com est meilleur que contoso.com Suffixe des utilisateurs RCC SIP URI doit matcher le FQDN (e.g. 1001@pbx1.contoso.com) FQDN peut aussi être utilisé pour l’autorisation sur le système CTI LCS 2005 SP1 Supporte plusieurs routes statiques pour le RCC Supporte une seule route pour PC2Phone (1 passerelle) N’oubliez pas d’autoriser la passerelle ou le serveur CTI sur LCS

  15. PlanRègles de dimensionnement Toujours prendre en compte une valeur maximum de charge Utilisez l’outil de planification LCS: http://www.microsoft.com/downloads/details.aspx?FamilyId=F249A48A-FC42-4D30-B60B-CB91BF8F2191&displaylang=en Positionnez les utilisateurs communicants souvent sur le même pool Disques serveurs Utilisez plusieurs disques physiques RAID SAN dans le cadre de grosse capacité Séparation des transactions logs et fichiers de DB (meilleure tolérence de panne) Planifiez suffisamment de stockage MSMQ (perte de lien avec archivage) CPU Windows Server 2003 SP1 (réduit charge CPU pour TLS et Kerberos) Activez « AffinityMask » sur SQL Server (réduit charge CPU ) La compression serveur/client crée une charge CPU et mémoire

  16. Plan Règles de dimensionnement Réseaux Configuration Full Duplex SIP est “léger” (1,6kbps par utilisateur) G.711 8 kHz 64 Kbps G.722.1 16 kHz 24 Kbps G.723 8 kHz 6.4 Kbps GSM 8 kHz 13 Kbps DVI4 8 kHz 32 Kbps SIREN 16 kHz 16 Kbps H.263 6 to 125 Kbps (dépend des conditions réseaux) QCIF (176 x 144) CIF (352 x 288)

  17. PlanSauvegarde/Restauration/PRA Sauvegarde Contacts, ACLs, groupes, configuration server/pool, etc… Full backup quotidien de RTC et RTCCONFIG SQL DB Utiliser dbbackup sur LCS 2005 Standard Edition Uniquement pendant les périodes bases Restauration Vérifiez régulièrement l’intégrité de vos sauvegardes Garder une sauvegarde sur un autre site Plan de retour à l’activité (PRA) Le SLA doit dicter le PRA formez, documentez, et implémentez le PRA Simulez une perte d’activités LCS2005 n’est pas une « boite » noire. Pensez à tout l’environnement… (AD, FW, Réseaux,…)

  18. Build

  19. Build Création d’un environnement de test: Représentatif de votre infrastructure de production Commencez simple et évoluez par la suite Testez TOUTES les fonctionnalités en production Testez les performances (prédictions, load,...) Mettez en place un pilote Pour une population limitée Testez de nouveau la cible

  20. Deploiement

  21. DeployBasics Après la mise en place de LCS 2005 Configurer une outbound route au niveau forêt Superieure à la configuration du Pool DNS Enregistrement SRV pour les Pools ou Directors Enregistrement A pour les SE/EE et EE pool Utile pour la configuration automatique de Communicator MTLS Obligatoire pour server-to-server communication Ne pas oublier les certificats sur chaque serveur MOM Déployez MOM 2005 Installez LCS 2005 Management Pack Mémoire: configurez /3GB dans boot.ini pour BE (4GB+) RAID: 80% read et 20% write

  22. DeploySecurité Firewall Mise en place d’une tierce partie pour passage de A/V ISA 2006 pour segmentation Ouvrir que ce qu’il faut… DNS Nom DNS différent interne/externe Certificat différent interne/externe sur AP Implémentez 2 cartes réseaux physiques et non dual-home IP@ N’utilisez pas de certificat de type « * » (wildcard) Sécurité • Hotfixes: mise à jour de tous les clients et serveurs • Durcissement: sur tous les clients et serveurs, OS et applications • Group Policy: lockdowns des comptes • Lockdowns des comptes • Forcer l’encryption pour Audio/video/Application sharing sur les clients • PKI: Implementez une PKI et les certificates pour TLS et MTLS • Externe: configurez les utilisateurs pour les accès distants, la fédération et PIC (désactivé par defaut)

  23. DeployAccès distant/Fédération/PIC Access Proxy Obligatoire pour Accès distant/Fédération/PIC Mise en place de hardware load balancer Déployez des AP par destination Firewall Utilisez vos FW existants pour publier les ressources LCS2005 Address Book and CWA on TCP/443 SIP on TCP/5061 Fédération/PIC Utilisez « EnhancedFederation » avec partenaires PIC nécessite du provisionning opérateur (prévoyez du temps) Configurez les 3 PIC (MSN, Yahoo, AOL)

  24. DeployAddress Book Service DéployezABS Installez ABS sur tous les FE servers dans le pool EE Stockez tous les fichiers Address Book sur un espace dédié Limitez le nombre d’utilisateurs en download ABS sur IIS

  25. Opérations

  26. OperateBasics Utilisez Windows XP SP2 ou Windows Vista et Communicator 2005 Mettez en place l’archivage pour les statistiques et le reporting Déployez MOM 2005 w/ LCS 2005 SP1 Management Pack Déployez SMS 2003 Pensez aux scripts et outils WMI pour l’administration Désactivez les serveurs LCS 2005 avant de les mettre hors service Réduisez le nombre de contacts pour réduire l’utilisation BW/CPU Exclure les fichiers *.mdf and *.ldf files du scan anti-virus Configurez les « loadbalancers » pour contrôler les serveurs sur les ports 5060/5061

  27. OperateSecurité Utilisez les pratiques concernant les mots de passe complexes Augmentez le reporting sur les comptes sensibles (ex. RTC*) Vérifiez régulièrement les mises à jour de sécurité Utilisez TLS! Ne laissez tourner que les services nécessaires Utilisez le “template” communicator.adm: http://www.microsoft.com/technet/prodtechnol/office/livecomm/library/security/lcssec_10.mspx Sécurité

  28. OperateSupervision Surveillez tous les dépendances LCS 2005 Active Directory DNS Réseaux Etablissez des bases de mesures Utilisation CPU, mémoire, I/O disques, I/O réseaux Comprenez les modèles d’utilisation Surveillez pro-activement les alertes et comportements bizarres Pensez à la surcharge qu’engendrerait 1000 nouveaux utilisateurs sur votre environnement

  29. Operate Supervision Surveillez la taille des files d’attentes sur les BE Doit être proche de 0 Les transitions doivent être expliquées: messages perdus, mauvaise authentification Ayez un SQL Server dédié Mémorisez l’état des « deadlocks » avec Query Analyzer Doit être proche de 0 Les goulots d’étranglement augmenteront en cas de deadlocks

  30. OperateTroubleshooting Téléchargez LCS2005 SP1 Ressource Kit Utilisez LCSDIAG pour identifier les problèmes de configuration et de connectivité Utilisez DBANALYZE pour obtenir les statistiques de SQL Server Les outils ne testent pas MTLS mais les connexions TLS Activez les traces serveurs Utilisez FFL Level 1 pour commencer Vérifiez que les comptes de services ont les droits en écriture sur le dossier logs Utilisez FFL Search ou SPIView pour lire les traces Activez les traces clients HKEY_CURRENT_USER\Software\Microsoft\Tracing\LCAPI\EnableFileTracing = 1 Les traces seront stockées sur %userprofile%\Tracing by default Utilisez RTCMon pour lire ces traces

  31. OperateTroubleshooting Utilisez votre analyseur réseau habituel Utilisez vos outils de gestion de fichier et de registry habituel Utilisez des outils d’accès bas niveau de l’Active Directory (ldp/ADSIEdit) avec précaution (attention au ACL) Utilisez les outils SQL Server avec attention LCS 2005 ne démarre pas / la MMC ne répond pas ? LCS 2005 n’a pas d’accès rapide au Root GC

  32. OperateSauvegarde/Restauration Pensez aux dépendances que les sauvegardes et les restaurations peuvent engendrer Active Directory DNS Certificate Authority SQL Faites une sauvegarde complète tous les jours Sauvegardez avant tout évenement important Service Pack/hotfix Déplacement massif d’utilisateurs Migration d’utilisateurs Mettez votre documentation à jour Utilisez dbimpexp.exe pour sauvegarder/restorer les contacts et les ACLs Tester régulièrement votre capacité DRP

  33. Summary/Call to Action LCS 2005 fait parti de la stratégie Unified Communications de Microsoft Familiarisez-vous avec cette technologie pour vous préparer au futur Microsoft Office Communications Server 2007 apportera beaucoup de nouvelles fonctionnalités et donc de nouveaux besoins: Call Server Conferencing Server Changement de schéma Nouveaux serveurs de rôles Architecture centralisée (LCS2005) vs architecture décentralisée (OCS2007) Réseaux et télécoms

  34. La référence technique pour les développeurs : msdn.microsoft.com La référence technique pour les IT Pros : technet.microsoft.com Abonnement TechNet Plus : Versions d’éval + 2 incidents support Visual Studio 2005 + Abonnement MSDN Premium • S’informer - Un portail d’informations, des événements, une newsletter bimensuelle personnalisée • Se former - Des webcasts, des articles techniques, des téléchargements, des forums pour échanger avec vos pairs • Bénéficier de services - Des cursus de formations et de certifications, des offres de support technique

  35. Votre potentiel, notre passion TM © 2007 Microsoft France

More Related