Mise en place de la solution d’accès externe pour Lync

Les éléments requis pour la mise en place de l’accès externe pour Lync

La mise en place d’une solution de communication externe de Lync passe obligatoirement par la mise en place d’un rôle Server Lync Edge. Ce serveur Edge, est un serveur qui doit être installé en DMZ, qui ne doit pas appartenir à un domaine Active Directory et qui doit disposer au minimum de deux cartes réseau. Pour permettre la communication avec le monde Externe à l’entreprise, ce serveur doit disposer d’au minimum 3 adresses IP publiques (directes ou au travers d’un NAT).

Il est maintenant possible de mettre en place un serveur avec une seule adresse IP publique accessible au travers d’une architecture réseau de type NAT. Attention au fait que l’utilisation de clients Lync Mobile sur téléphones portables est aussi considérée comme étant un utilisateur externe, ce qui signifie que le rôle Lync Edge est requis pour certaines fonctionnalités de ces clients mobiles, notamment les fonctions de push qui passent par les services Microsoft dans le Cloud.

En complément de ce serveur Edge, il est nécessaire de disposer d’un serveur de publication (Reverse proxy) pour publier certains services Web de Lync qui sont requis pour les utilisateurs externes, pour les clients mobiles et pour les clients Lync 2010 distants.

De plus, Microsoft recommande la mise en place d’un rôle Lync Director au sein du réseau de l’entreprise pour renforcer la sécurité et protéger le serveur Front-End qui héberge les pools pour la connexion des utilisateurs.

Une fois que l’on dispose de ces ressources, il convient de définir l’architecture, d’en faire un schéma avec les noms DNS retenus en interne et en externe, les noms des publications du reverse proxy, les adresses IP internes, externes et les adresses ‘NAT’.  Ces éléments vont permettre aussi la définition des besoins en termes de certificat. Ce sont ces étapes qui demandent le plus d’attention et de vigilance.

Microsoft propose plusieurs outils qui aident dans la mise en place de cette architecture avec en premier lieu le ‘Lync Server 2010 Planning Tool’ ou ‘Outil de planification pour Lync Server 2010’. Cet outil fournit entre autre le dimensionnement et surtout les rôles requis, les diagrammes de flux, les noms DNS à mettre en place et les certificats requis dans les différents rapports.

Cet outil est une base de travail et il convient de s’assurer que les points spécifiques à votre infrastructure sont pris en compte avant la mise en place de votre architecture.

Mise en place du serveur Edge

Le Serveur Edge se situe donc en DMZ et doit disposer de connectivité sur le réseau local de l’entreprise et aussi de connectivité sur le réseau public (Internet). Il existe en réalité trois rôles Edge différents qui sont le rôle Edge Access (SIP), le rôle Edge Audio/Vidéo (AV) et le rôle Edge WebConferencing (WebConf). Dans les versions précédentes de Communication Server (OCS 2007 R2), il était nécessaire de disposer de trois machines distinctes.

Avec Lync 2010, ce sont les trois rôles Edge qui peuvent être consolidés sur une seule machine. Ce rôle permet par exemple de disposer de la totalité des fonctionnalités avec un client Lync sur un poste de travail (portable) connecté à Internet, donc depuis l’extérieur de l’entreprise. Cette solution permet aux utilisateurs nomades de se connecter à distance. Il permet aussi aux clients externes de se connecter avec le programme Lync Attendee comme cela sera abordé plus loin dans ce dossier.

Mise en place du Reverse Proxy

Pour permettre aux clients et aux applications de fonctionner correctement depuis l’extérieur de l’entreprise, Lync nécessite la publication de plusieurs services Web vers le monde extérieur. On trouve en particulier les URL meet et dialin suivies de votre nom de domaine SIP (par exemple lync. mondomainesip.com, meet.mondomainesip.com et dialin.mondomainesip.com). Ces publications de Lync permettent d’obtenir de nombreuses informations et de nombreux services depuis le monde extérieur à votre entreprise. Parmi les informations et services publiés  sous conditions, on trouve principalement le contenu de vos réunions, l’accès aux groupes de distribution, l’accès et le téléchargement du carnet d’adresses,  l’accès au client Lync Web App, l’accès aux paramètres des conférences, et d’autres services plus spécifiques.

Mise en place du serveur Directeur

Le rôle de serveur Directeur (Director) est recommandé, mais non obligatoire, dans le cas de la mise en place d’un serveur Edge. La mise en place de ce composant permet en effet de sécuriser l’infrastructure en permettant l’authentification des utilisateurs qui se connectent au serveur Edge. Sans serveur Directeur, le serveur Edge se connecte au serveur Front-end et les authentifications s’effectuent sur ce serveur Front-End. Avec la mise en place d’un serveur Directeur, le serveur Edge se connecte au serveur Directeur et les authentifications s’effectuent sur ce serveur Directeur et non plus sur le serveur Front-End qui se trouve ainsi sécurisé et moins sollicité en cas de tentative d’attaques externes.

La configuration et le déploiement de ces différents rôles seront décrits dans la seconde partie de ce dossier. Pour définir les besoins, et les solutions de communication qui seront mises en place avec les utilisateurs externes, le mieux et de passer en revue quelques scénarios d’usage.