깡민쓰~IT Story

원문 : lynckersriram.blogspot.com/2014/10/lync-presence-flow.html

현재 상태는 무엇입니까?

현재 상태는 사용자가 Microsoft Lync 2010 또는 Lync 2013과 같은 SIP 클라이언트를 사용하여 대화에 참여할 수있는 가능성과 의지를 나타냅니다. 현재 상태와 관련된 두 가지 주요 활동이 있습니다.

• 프레즌스 출판
• 프레즌스 구독

프레즌스 구독

현재 상태 구독은 새로 고침 된 현재 상태 정보를보고 싶은 사용자와 관심있는 향상된 현재 상태의 측면을 Lync 클라이언트가 알 수 있도록하는 작업입니다. Lync 클라이언트가 일련의 사용자 및 향상된 현재 상태 정보 집합이 있으면이 요청 또는 구독을 Lync 서버로 보냅니다. 그런 다음 Lync 서버는 Lync 클라이언트에 대한 응답으로 사용자에 대한 최신 정보로 응답합니다. 현재 상태 구독은 한 사용자가 다른 사용자의 업데이트 현재 상태 정보를 얻으려고 할 때 발생합니다.

프레즌스 출판

여기서 질문은 Lync 서버가 사용자의 현재 상태를 어떻게 알 수 있는가입니다. 현재 상태 게시는 사용자가이 현재 상태를 구독 한 다른 사용자의 사용을 위해 로그인 한 후 Lync 클라이언트를 사용하여 사용자 로컬 현재 상태 정보를 게시하는 것입니다. 응용 프로그램은 로컬 로그인 사용자의 현재 상태를 대화 가능, 바쁨, 방해 금지, 바로 돌아 오거나, 퇴근하거나 자리를 비움과 같은 가용성으로 설정할 수 있습니다. 현재 상태 게시는 한 사용자가 자신의 현재 상태 정보를 다른 사용자에게 업데이트하려고 할 때 발생합니다.

프레즌스 폴링

Lync Client에서 사용자의 연락처 목록을 관리하려면 연락처의 최신 현재 상태를 수신하려면 영구 구독이 필요합니다. 이러한 이유로 존재 여부에 대한 폴링은 정기적으로 필요합니다. 폴링은 정기적으로 프레즌스 구독을 수행합니다. 폴링 구독에서 Lync 클라이언트는 주기적으로 Lync 서버를 쿼리하여 데이터를 가져옵니다. 구독과 쿼리의 차이점은 구독이 일정 기간에 연결되어있는 반면 현재 상태 쿼리는 일회성이라는 사실에 있습니다. 영구 구독과 폴링 구독의 차이점은 SIP 대화 상자가 영구 구독에 관련되어 있지만 폴링 구독에 없다는 사실에 있습니다.

폴링 구독의 경우 Lync Server 클라이언트는 지정된 시간 간격으로 프로세스를 반복합니다. 영구 구독의 경우 Lync Server는 현재 상태 데이터가 포함 된 NOTIFY 또는 BENOTIFY 요청을 생성, 수정 또는 제거하여 구독자에게 게시를 푸시합니다. NOTIFY 요청의 경우 서버는 클라이언트가 SIP 응답으로 응답 할 것으로 예상합니다. BENOTIFY 요청의 경우 클라이언트 응답이 필요하지 않습니다. 프로세스는 구독이 종료 될 때까지, 구독 클라이언트의 요청에 따라 또는 구독 사용자가 로그 오프 할 때까지 계속됩니다.

사용자 존재 변경

사용자가 자신의 존재를 변경할 때. 사용자 용 Lync 클라이언트는 현재 상태 게시를 Lync 서버로 보냅니다. Lync는 현재 상태 업데이트를 위해 연락처로 추가 한 모든 사용자에게 알림 또는 Benotify 요청을 보냅니다.

use rtcdyn

-- 모임 참석자 리스트 쿼리
select FE.Fqdn, P.ConfId, P.UserAtHost, RC.ProvisionTime, P.JoinTime, RC.ExpiryTime from Participant P with(nolock)
Join ParticipantSignalingSession PS with(nolock) ON PS.ConfId = P.ConfId and P.PartId = PS.PartId
Join [rtc].[dbo].[Conference] RC with(nolock) ON RC.ConfId = P.ConfId
Join FrontEnd FE with(nolock) ON FE.FrontEndId = PS.FrontEndId
Order by RC.ProvisionTime, P.ConfId, FE.Fqdn

-- 모임 F/E서버 및 모임방ID별 참석자 수
select FE.Fqdn, P.ConfId, Count(*) as Join_Cnt, RC.ExpiryTime from Participant P with(nolock)
Join ParticipantSignalingSession PS with(nolock) ON PS.ConfId = P.ConfId and P.PartId = PS.PartId
Join [rtc].[dbo].[Conference] RC with(nolock) ON RC.ConfId = P.ConfId
Join FrontEnd FE with(nolock) ON FE.FrontEndId = PS.FrontEndId
Group By FE.Fqdn, P.ConfId, RC.ExpiryTime

select
--ActiveConference
[ActiveConference].[ConfId]
,[Title]
,[LastEnterprisePartLeaveTime]
,'|' as '|'
--ActiveMCU
,[LastActivityTime] MCULastActivityTime
,'|' as '|'
--Conference
,[ProvisionTime]
,[ExpiryTime]
,[LastUpdateTime]
,[LastActivateTime]
,'|' as '|'
--Participant
,[UserAtHost]
,[EnterpriseId]
,[Privilege]
,[JoinTime]
FROM [rtcdyn].[dbo].[ActiveConference]
left outer join [rtcdyn].[dbo].[Participant]
on [Participant].ConfId = [ActiveConference].ConfId
left outer join [rtcdyn].[dbo].[ActiveMcu]
on ActiveMcu.ConfId = ActiveConference.ConfId
and UserAtHost not like 'CAS%'
and MediaId = 4
left outer join [rtc].[dbo].[Conference]
on Conference.ConfId = ActiveConference.ConfId

--where ActiveConference.ConfId in (select ConfId from [rtcdyn].[dbo].[Participant] where UserAtHost like '%dgardiner.test%') --Name of the application/OwnerURI scheduling the conference

Just like Lync 2010, some Lync 2013 client settings are held in the registry. This post goes over the registry keys

Keys Under Lync:

HKCU:\Software\Microsoft\Office\15.0\Lync

Keys Held under the account:

<img style="display: inline; border: 0px;" title="image" src="https://149371380.v2.pressablecdn.com/wp-content/uploads/2012/11/image_thumb9.png" alt="image" width="640" height="332" border="0" /> #

HKCU:\Software\Microsoft\Office\15.0\Lync\user.name@domain.com

HKCU:\Software\Microsoft\Office\15.0\Lync\

user.name@domain.com\Autodiscovery

HKCU:\Software\Microsoft\Office\15.0\Lync\

user.name@domain.com\BuddyListOldNotifications

Holds SIP Uris

HKCU:\Software\Microsoft\Office\15.0\Lync\

user.name@domain.com\ContactStateCacheU\sip:user.name2@domain.com\

HKCU:\Software\Microsoft\Office\15.0\Lync\user.name@domain.com\DS

HKCU:\Software\Microsoft\Office\15.0\Lync\

user.name@domain.com\\GroupChat\ma-chan:\\domain.com\b52c2524-eed6-48fa-9909-07d02e7922a7

HKCU:\Software\Microsoft\Office\15.0\Lync\

user.name@domain.com\GroupStateCacheU

Seems to contain a list of all contact groups and guids

HKCU:\Software\Microsoft\Office\15.0\Lync\

user.name@domain.com\LyncAutodiscovery

Update 19/9/2013: Richard has mapped some of the keys to the GUI here: http://masteringlync.com/2013/09/19/client-registry-keys/

Prerequisites

Lync 2013 clients must be on the November 2013 Updates (15.0.4551.1005)

Deployment and Configuration

Environment – Lync 2013 Client with August 2013 updates and Lync 2013 Server (January 2014 updates)

This option is not enabled by default within the Lync client policy and therefore shows no radio button to enable this within the Lync client options under "My Picture".

In order to enable the "Show a picture from a website" radio button you must configure a client policy. This can be performed on the Global policy or more granular based on site or user policies. Below are the commands to enable this option.

$pe=New-CsClientPolicyEntry -Name EnablePresencePhotoOptions -Value True

$po=Get-CsClientPolicy

$po.PolicyEntry.Add($pe)

Set-CsClientPolicy -Instance $po

Reference:

http://blogs.technet.com/b/jenstr/archive/2013/09/22/configuring-picture-from-a-web-address-in-lync-2013.aspx

Architecture

After the policy is enabled you will see the radio button option in the Lync 2013 client. Now users can put in a Web URL which should be both publically accessible and not require a password. If this isn't available outside the network users will have problems accessing this when external. After inputting the URL you have to click "Connect to Picture". If this connection successful you will notice the dialog below the URL will change to a message stating "Your picture's been downloaded" (Figure 1). What this means is that we were able to connect to the picture and publish it via a Service request. Also when we clicked "Connect to Picture" the primary Frontend servers rtc.dbo.PublishedStaticInstance table was updated with this URL. This will allow other users to Subscribe to your presence and get the correct URL.

Figure  SEQ Figure \* ARABIC
1: Picture from URL has been successfully downloaded

You can find this URL by either using SQL or DBAnalyze which are both shown below.

SQL

Select UserAtHost,convert(varchar(4000),convert(varbinary(4000),Data))

From PublishedStaticInstance,Resource

Where ResourceId = PublisherId

Once this was done I found the user and selected all the lines for that user within the table and copied it out to notepad. Below you will see my URL is now in my contact card.

user21@fabrikam.com <otherOptions xmlns="http://schemas.microsoft.com/2006/09/sip/options/otherOptions">noSelectionstandardtruefalsetrue0http://fabdc1/rischwen2.jpg>

DBAnalyze.exe – this tool is a part of the Reskit for Lync 2013

Find the primary frontend server for this user (Figure 2)

Figure  SEQ Figure \* ARABIC
2: Primary FE server for User21

PS C:\Program Files\Microsoft Lync Server 2013\ResKit> .\DBAnalyze.exe /sqlserver:fablfe3\rtclocal /report:user /user:user21@fabrikam.com > c:\dbanalyze_user21.txt

Now when Administrator@fabrikam.com logs in and subscribes to the presence of User21 Lync will return the photo URL (Figure 3). Once the Administrators client has the URL it will access that location and download the picture (Figure 4).

Figure  SEQ Figure \* ARABIC
3:Administrator Subscribe request

Figure  SEQ Figure \* ARABIC
4: Administrator's Lync client connecting to photo URL

Photo Caching

One thing that I have noticed when users select the "Show a picture from a website" option is that these photos are not cached. This behavior is different than when selecting "Show my picture" and having it display your picture from AD. You can see below (Figure 5) both of the users with AD photos are cached (Administrator & User20) but the users with pictures from a website (User21 and User22) are not. This means that in order for users to pull your photo they will access the URL defined for your picture every time. If this becomes unavailable (server outage, FW, DNS resolution issues, file or folder name change, etc…) users will be unable to see your photo.

Figure  SEQ Figure \* ARABIC
5: Photo caching

개요 :

이 백서에서는 Skype® for Business 2015-SfB (Lync® 2013) 를 배포 할 수있는 다양한 방법에 대한 개요를 제공하고 Microsoft Skype for Business 2015 (Lync 2013) 및 과제를 특별히 다루는 시리즈 1 부 Skype for Business 2015 를 H.323 또는 SIP 표준 준수 화상 회의 시스템과 통합하는 솔루션입니다.  따라서 A / V 회의 및 응용 프로그램 공유에 사용되는 통신에 중점을 둡니다.

Skype for Business 2015를 배포하는 네 가지 주요 방법을 보여 드리겠습니다.

서버를 나열하고 연결에 사용 된 프로토콜을 표시합니다.

이 기사와 다른 기사를 읽으면서 Skype for Business 2015는 모듈 식이며 모든 것을 다룰 수있는 솔루션이 없다는 것이 분명 해져야합니다.  대다수의 경우, 필요하지 않은 많은 중복 기능을 포함해야하므로 부적절하고 값 비싼 솔루션이 될 수 있습니다.

따라서이 문서의 목적은 Skype for Business 2015의 개요를 제공하여 독자가 서버, 역할 및 기능을 이해할 수있게하고 따라서 특정 Skype에 실제로 필요한 것을 결정할 수있는 더 나은 위치에 있습니다. 비즈니스 2015 전개. 

A / V 회의 및 응용 프로그램 공유 및 이러한 응용 프로그램이 H.323 시스템과 통합되는 방법을 자세히 살펴보고 Instant Messaging (IM) 및 Enterprise Voice에 필요한 구성 요소 및 역할에 대해서도 알아 봅니다.

이 문서에서 Lync, Skype, Skype for Business 및 SfB는 다른 언급이없는 한 모두 Skype for Business Server 2015를 의미합니다.이 보고서는 특별히 Skype for Business 2015를 기반으로합니다. Lync 2013은 이제 Skype for Business 2015 년경에는 일반적으로 Lync Server 2013과의 하위 호환이 가능합니다.

 Skype for Business에 대한 배경 및 코덱, 프로토콜, 절차 및 사용 가능한 솔루션에 대한 자세한 설명을 보려면 아래 나열된 모든 서류를 살펴 보는 것이 좋습니다.

• 2 부 : Skype for Business 2015 서버, 역할 및 기능.
• 3 부 : Skype for Business 2015 - (Lync 2013)에 사용되는 네트워크 및 프로토콜.
• 4 부 : Skype for Business 2015 - (Lync 2013)와 Lifesize Cloud 통합.
• 5 부 : Skype for Business 2015와의 Polycom Endpoints 네이티브 통합.
• 6 부 : Skype for Business 2015와의 Polycom RealConnect 상호 운용성.
• 부록 A : H.264 비디오 코덱 및 UCConfig 모드.
• 부록 B : Skype for Business 비디오 및 오디오 코덱.
• 부록 C : H.323 및 SIP 호환 VC 시스템에서 사용되는 비디오 및 오디오 코덱.
• 부록 D : PC가 지원하는 Skype for Business 코덱을 확인하는 방법.
• 부록 E : PC가 Skype for Business 2015 H.264 / SVC를 얼마나 잘 지원합니까?

History: 역사:

Microsoft Lync는 UC (Unified Communications)를위한 진화 된 제품입니다. 

초기 제품; Live Communications Server 2003, was only an Instant Messaging (IM) server. Live Communications Server 2003은 인스턴트 메시징 (IM) 서버였습니다. 

그런 다음 Live Communications Server와 Office Communications Server, 그리고 Lync Server 2010과의 몇 가지 상호 작용을 통해 발전했습니다. 

PBX 대체 기능이 추가되었을 때.

그런 다음 화상 회의, 웹 및 오디오 회의, 소프트 폰 및 PBX 대체 및 / 또는 통합을 비롯하여 훨씬 많은 기능을 추가 한 Lync Server 2013으로 발전했습니다. 

이제 Microsoft는 Lync를 Skype for Business로 변경했습니다.

Overview of how Skype for Business 2015 can be deployed: Skype for Business 2015 배포 방법 개요 :

본질적으로 회사가 SfB 2015를 배포 할 수있는 네 가지 방법이 있습니다.

• On-Premise 온 - 프레미스 (On-Premise ) 모든 SfB 서버가 효과적으로 배치되고 사내에서 관리됩니다.
• Hosted On-Premise와 비슷하게 호스팅 되지만 SfB 서버는 타사 서비스 공급자가 호스팅하고 관리합니다.
• Skype Online 또는 Skype를 호스팅하고 Microsoft 서버 (... onmicrosoft.com)를 사용하는 Office 365의 일부로 제공됩니다.
• Skype Online / Server Hybrid 는 Skype Online (Office 365)과 SfB Server 2015의 전제 배포를 결합합니다.

On-Premise deployment: 온 - 프레미스 배포 :

 SfB는 회사의 전체 IT 인프라의 일부로 온 프레미스 (On-Premise)에 구축 될 수 있습니다.  장점은 모든 것이 사내에 위치하고 관리되고 통제된다는 것입니다.  이를 통해 'Office'응용 프로그램, '연락처'및 보안 정책을 비롯한 기업의 IT 인프라에 훨씬 쉽게 통합 할 수 있습니다. 

그러나 Lync 배포를 유지 관리하고 지원해야합니다.

위 그림은 화상 회의, 웹 및 오디오 회의, VIS, 인스턴트 메시징 (IM), 응용 프로그램 공유 및 PBX 대체 및 / 또는 통합을 지원하는 일반적인 온 - 프레미스 Skype for Business 2015 배포의 서버를 보여줍니다.

또한이 다이어그램은 에지 풀, 역방향 프록시 및 ADFS 프록시를 통해 Skype for Business 환경에 대한 외부 트래픽 및 프로토콜을 알려줍니다. 의도적으로 SfB On-Premise 환경에서 다양한 서버와 해당 역할 사이의 트래픽 및 프로토콜을 표시하지 않습니다. 그러나 A / V 회의 및 응용 프로그램 공유에 사용되는 트래픽과 프로토콜을 별도의 문서로 살펴볼 것입니다.

Hosted SfB 2015 deployment: Hosted SfB 2015 배치 :

Hosted SfB 2015 는 On-Premise 배포와 유사한 기능을 제공합니다. 차이점은 주 서버가 서비스 공급자에 의해 호스팅되고 관리된다는 것입니다. 장점은 배포 관리, 유지 관리 및 제어에 전담 지원 직원이 필요하지 않다는 것입니다. 또한 '사무실'응용 프로그램, '연락처'및 보안 정책에 액세스하기 위해 회사 IT 인프라에 통합 될 수 있습니다.

위의 다이어그램은 화상 회의, 웹 및 오디오 회의, IM, 응용 프로그램 공유 및 PBX 대체 및 / 또는 통합을 지원하는 일반적인 Hosted SfB 2015 배포의 서버를 보여줍니다.

또한이 다이어그램은 에지 풀, 역방향 프록시 및 ADFS 프록시를 통해 서비스 공급자 Skype for Business 환경에 대한 외부 트래픽 및 프로토콜을 알려줍니다. 또한 On-Premise SfB 사용자와 서비스 공급자 간의 트래픽 및 프로토콜을 보여줍니다. 그러나 이는 서비스 제공 업체가 제공하는 서비스와 각 SfB 서버의 위치에 따라 서비스 공급자와 온 - 프레미스 환경 내 또는 사이에 트래픽 및 프로토콜을 표시 할 수 없습니다.

Skype Online or Office 365 deployment: Skype 온라인 또는 Office 365 배포 :

Skype Online (또는 Office 365의 일부로 제공)은 Microsoft Azure 클라우드에 의해 호스팅되고 Microsoft Azure 클라우드를 사용합니다. Skype UC 엔드 포인트 클라이언트가 로그온하는 가입 서비스입니다. 따라서 각 Skype Online 고객이 자신의 기대치를 충족시키고 충족시킬 수 있도록 충분한 인터넷 대역폭과 충분한 대역폭이 필요합니다.

위의 다이어그램은 화상 회의, 웹 및 오디오 회의, IM 및 응용 프로그램 공유를 지원하는 일반적인 Skype Online 배포의 서버를 보여줍니다.

Skype Online/Server Hybrid deployment: Skype 온라인 / 서버 하이브리드 배치 :

Skype Online / Server Hybrid 는 Skype Online (Office 365)의 이점과 Skype의 On-Premise 배포를 결합합니다. SfB Server 2015 (및 Lync Server 2013)에서 지원되는 SfB On-Premise 배포를 통해 Skype Online 배포를 '연합'하는 조직이 포함되므로 동일한 SIP 도메인을 온라인 및 온 - 프레미스에 모두 적용 할 수 있습니다 사용자.  따라서 조직 내의 SfB 사용자는 클라우드에서 Skype를 사용하거나 Skype를 On-Premise로 쉽게 이동할 수 있습니다.

이 하이브리드 배치를 통해 Skype Online 사용자는 PSTN 연결과 같은 사용 가능한 Skype On-Premise 인프라에 액세스하여 사용할 수 있습니다.

위의 다이어그램은 화상 회의, 웹 및 오디오 회의, IM 및 응용 프로그램 공유를 지원하는 일반적인 Skype Online / Server Hybrid 배포의 서버를 보여줍니다.

SfB 2015 Servers, Roles and Functions: SfB 2015 서버, 역할 및 기능 :

SfB Server 2015는 작동하기 위해 여러 가지 외부 구성 요소를 사용합니다. 이들은 서버 및 운영 체제, 데이터베이스, 인증 및 인증 시스템, 네트워킹 시스템 및 인프라 스트럭처 및 전화 PBX 시스템과 같은 다양한 시스템으로 구성됩니다.

Skype for Business Server 2015는 Standard Edition과 Enterprise Edition의 두 가지 버전으로 제공됩니다. 이 두 버전은 조직 요구 사항 및 예산에 따라 다양한 배포 옵션을 허용합니다. 두 버전 간 기능은 비슷하지만 Enterprise Edition은 Standard Edition에서 지원되지 않는 고 가용성 및 재해 복구와 함께 확장 성을 높이는 옵션을 제공합니다. 따라서 Enterprise Edition은 Standard Edition과 비교하여 더 많은 투자와 더 많은 사양 구성 요소를 필요로합니다.

SfB Server 2015는 모듈화되어 있으며 여러 가지 특정 역할로 구성되어 있습니다. 이러한 역할 중 일부를 여러 서버에 결합하여 내결함성과 고 가용성을 제공 할 수 있습니다. 여러 서버에 걸쳐 결합 된 경우이를 풀 (Pool) 이라고합니다. 예를 들어 고 가용성을 필요로하는 대규모 조직에서는 SfB Server 2015 Enterprise Edition을 사용하고 프런트 엔드 풀의 여러 서버에 프런트 엔드 역할을 배포하고 백 엔드 SQL 풀에있는 데이터베이스에 대해 미러 된 여러 개의 백 엔드 SQL 서버를 배포 할 수 있습니다. SfB Server 2015 Enterprise Edition에는 전용 백엔드 SQL Server 또는 풀에서 전체 SQL이 필요합니다.

또는 조직에 통합 커뮤니케이션을 도입하고자하는 SME는 여러 역할을 하나의 서버에 결합 할 수있는 SfB Server 2015 Standard Edition을 사용할 수 있습니다. 예를 들어 Standard Edition은 프런트 엔드 서버와 함께 SQL Server Express를 자동으로 설치하고이 데이터베이스를 사용하여 Skype 정보를 저장합니다.

SfB Server 2015 Standard Edition은 모든 구성 요소를 단일 서버에서 호스팅 할 수 있다는 점에서 상대적으로 저렴한 비용으로 진입 점을 제공합니다. 외부 연결이 필요한 경우 에지 서버를 추가해야합니다. SfB Server 2015 Standard Edition은 프런트 엔드 풀 페어링도 지원하므로 여러 서버와 사이트에 걸쳐 복원력이 향상됩니다.

따라서 중소 기업은 일반적으로 SfB Server 2015 Standard Edition을 프런트 엔드 서버 역할을하는 단일 서버에 배포 할 수 있으며 중재 서버, 영구 채팅 서버, 모니터링 및 보관 서버와 같은 공동 배치 역할을 수행 할 수 있습니다. 이를 위해 Enterprise Voice를 사용하기 위해 외부 연결 용 에지 서버와 SIP-PSTN 게이트웨이를 추가 할 수 있습니다. 

함께하면 A / V 및 웹 회의, IM 및 현재 상태, 응용 프로그램 공유 및 엔터프라이즈 음성을 SME에 제공하기에 충분합니다.

발췌 : https://www.c21video.com/technical-papers/skype-for-business/part-1--how-sfb-can-be-deployed

https://blogs.technet.microsoft.com/uclobby/2013/09/11/lync-server-2013-cumulative-update-list/

https://uclobby.com/2013/09/11/lync-server-2013-cumulative-update-list/

** 원문

Updates for Lync Server 2013

Finally, here is a list of all cumulative updates released for Lync Server 2013:

VersionCumulative UpdateKB Article

Now that I have outlined the building blocks of a Lync infrastructure, there are three more topics to understand if we want to have a working infrastructure:

• Firewall rules required to allow communications for Lync clients, Lync servers and for the aforementioned non-Lync servers with additional services we need
• DNS settings to make Lync services available both on the internal network and from the Internet
• Structure of the certificates. Lync is secure by design and digital certificates are mandatory for every Lync 2013 infrastructure

Firewall Rules Required for Lync Server 2013

A deep dive about firewall rules for Lync Server 2013 should include TechNet article Port Requirements http://technet.microsoft.com/en-us/library/gg398798.aspx and the Lync 2013 Protocol Workloads poster http://www.microsoft.com/en-us/download/details.aspx?id=39968 (i.e. to check the requirements for the different scenarios). However to make the topic easier to understand, I have tried to create an explanation based on some assumption.

• The first assumption I will make here is that your network has a segregated DMZ to make services available to the Internet in a secure manner. A couple of the possible solutions for such a deployment are
• Using two firewalls. Note: usually the technology used for the firewalls is not important. However if a SIP trunk is required in our scenario, it is important to have a SIP Application-level gateway (ALG).
• A three-legged firewall that will create a logical demilitarized zone

There is no difference in the result, from the functionality point of view, going for the first option or the second one. A single firewall would imply a single point of failure and higher security risk, because a single Internet-connected device will be exposed both on the DMZ and on the internal network. Having two different firewalls, a front (FW2) and a back firewall (FW1), as shown in figure 6.7, is more secure, especially if we are going to use two different platforms or solutions for security. In the aforementioned scenario, an exploitable security vulnerability on a single technology will not affect the second firewall

A layout including only firewalls and networks that will have an impact on our Lync deployment

Figure 6.7 layout including only firewalls and networks that will have an impact on our Lync deployment

• The second assumption will be that we will not deploy High Availability or load balancing systems (including Enterprise Edition pools of Lync Front Ends). Although you may require them in a real-world design, they add a configuration overhead that will not help understanding the fundamentals of Lync Server 2013 network traffic requirements
• The third assumption is that we will use NAT every time that a public IP is required. Exposing directly a server to the Internet usually is not the best security solution available
• Fourth assumption is that the Edge Server will use three addresses on the “external” network interface card to expose services to the Internet. The addresses are the ones we have already seen:

Edge_IPs

• Last assumption: no integration or connection with Office Communications Server 2007 deployments or clients is required

We will have to grant the following types of network traffic:

6.1 From servers in the DMZ to servers in the internal network

6.2 From servers in the DMZ to the external network

6.3 From the external network to servers in the DMZ

6.4 From servers in internal network to servers in DMZ

6.5 Network traffic related to Lync clients in the internal network

Note: the point 6.5 of the list is interesting only if you have firewalls (or end-point firewalls) separating the networks containing the Lync clients and the Lync servers.

6.1 Network Traffic from servers in The DMZ to Servers in the Internal Network

On the Back-End firewall, FW1,for traffic starting from the reverse proxy, the following ports will be required

On the Back-End firewall, FW1, for traffic starting from the Edge Server, the following ports will be required

6.2 Network Traffic from Servers in the DMZ to the External Network

On the Front firewall, FW2, from the Edge Server, the following ports will be required. It is helpful to remind you the fourth assumption: we have three different IPs on the external network interface of the Lync Edge Server: Access, Webconf and AV. The firewall rules for network traffic from the external network to the Edge will have to point to one of the three IPs, as explained in the following table.

6.3 Network Traffic from the External Network to Servers in the DMZ

On the Front firewall, FW2, traffic from the external network to the reverse proxy, the following ports will be required

On the Front-End firewall, FW2, traffic from the external network to the Edge Server, the following ports will be required

6.4 Network Traffic from Servers in the Internal Network to Servers in the DMZ

On the Back-End firewall, FW1, for traffic starting from the internal network, the following ports will be required

6.5 Network Traffic Related to Lync Clients in the Internal Network

The following rules are required on any end-point firewall and on any internal firewall that controls traffic coming from the Lync clients on the internal network.

Notes Related to the Firewall Rules Required for Lync Server 2013

Lync Server 2013 Edge Server requires DNS resolution and http access to revocation lists of certificates. Depending from your network design, the aforementioned services could be on the Internet or could be available using services on the internal network (like a proxy). The following rule is to be adapted to your network layout

Centralized Logging Service (a new feature in Lync Server 2013) requires additional ports on the back-end firewall (for more details see the TechNet article Using the Centralized Logging Service http://technet.microsoft.com/en-us/library/jj688101.aspx

Disclaimer: please consider the answer as an approximation that could miss some detail. I will try to make a more complete answer in a future post.

Ports required in Lync 2013 (must be reachable from your administrative workstation):
— Ports LDAP (TCP 389) and msft-gc (TCP 3268) on a global catalog/domain controller are always required

-For the Lync Server Control Panel (process is AdminUIHost.exe): HTTPS and TCP 49336 on the Lync server you are going to manage

-For the Lync Server Management Shell (process is powershell.exe): TCP 49336 on the Lync server you are going to manage

-For the Topology Builder to download Lync topology (process is Microsoft.Rtc.Management.TopologyBuilder.exe): TCP 49336 on the Lync server hosting the CMS database

-For the Topology Builder to publish Lync topology (process is Microsoft.Rtc.Management.TopologyBuilder.exe): in addition to the aforementioned ports, Microsoft Directory Services TCP/UDP 445 to a Domain Controller and to the Lync server hosting the CMS database

https://www.absoluteuc.org/part-2-draft-chapter-6-dns-certificate-firewall-requirements-lync-server-2013

http://www.cusoon.fr/sbc-and-sba-guide-ports/

사용자 복제자는 다른 서비스가 아닌 프런트 엔드 서비스 컨텍스트에서 실행됩니다. It now writes to the SQL Express installation on each server (RTCLocal Instance), and runs on every server in the pool.이제 각 서버의 SQLExpress설치(RTCLocal인스턴스)에 쓰고 풀의 모든 서버에서 실행됩니다. It runs on any server that has the registrar role installed.등록자 역할이 설치된 모든 서버에서 실행됩니다.

What does User Replicator do?사용자 복제자는 무엇을 합니까?

User Replicator is responsible for ensuring that the Lync Server or Skype for Business Server database and Active Directory are synchronized.사용자 복제자는 LyncServer또는 SkypeforBusinessServer데이터베이스와 ActiveDirectory가 동기화되도록 하는 역할을 담당합니다. What this means is that any time an user object or contact object is created or modified in Active Directory, it is User Replicator’s responsibility for ensuring that the changes are propagated to database.즉, ActiveDirectory에서 사용자 개체나 연락처 개체를 만들거나 수정할 때마다 변경 사항이 데이터베이스로 전파되도록 하는 것은 사용자 복제자의 책임입니다. To accomplish this, User Replicator first performs a Full-Sync (or Initial Sync) and then subscribes to a Delta Sync (Incremental Changes) using DirSync.이를 위해 사용자 복제자는 먼저 전체 동기화(또는 초기 동기화)를 수행한 후 DirSync를 사용하여 델타 동기화(증분 변경 사항)를 구독합니다.

What setting in User Replicator are configurable ?사용자 복제자의 설정은 무엇입니까?

With Lync Server 2010 we introduced Set-CsUserReplicatorConfiguration to allow an organization to control the user replicator.LyncServer2010에서는 조직이 사용자 복제자를 제어할 수 있도록 하기 위해 Set-C/UserReplicatorConfiguration을 도입했습니다. Here we discuss the different switches여기서는 다양한 스위치에 대해 설명합니다.

ReplicationCycleInterval - Since UserReplicator only tracks delta changes from the Active Directory (AD), the using a smaller replication interval like 5 minutes, ensures that the Distribution List Expansion (DL Expansion) and Address Book Web-Query (ABWQ) provide accurate information. ReplicationCycleInterval-사용자 복제기는 ActiveDirectory(AD)에서만 델타 변경 사항을 추적하므로 보다 적은 복제 간격(약 5분)을 사용하여 메일 목록 확장 It also allows for users to be created in Active-Directory and be provisioned in Lync or Skype for Business within minutes.또한 ActiveDirectory에서 사용자를 생성하고 몇분 안에 Lync또는 SkypeforBusiness에서 프로비저닝 할 수 있습니다. It is to be noted that since we only subscribe to delta changes, the load on a domain controller is negligible.델타 변경 사항만 구독하므로 도메인 컨트롤러의 로드는 무시해도 됩니다.

ADDomainNamingContextList - specifies the Domains that may have user objects and contact objects, that need to be synchronized. ADDomainNamingContextList는 동기화해야 하는 사용자 개체와 연락처 개체가 있을 수 있는 도메인을 지정합니다. When this is not-set, User replicator will try to locate all the different domains and perform replication.이것이 설정되지 않은 경우, 사용자 복제자는 모든 다른 도메인을 찾고 복제를 수행합니다. ADDomainNamingContextList can be used to exclude say an empty root domain, or a domain if it's was used only to store computer accounts.ADDomainNamingContextList를 사용하여 컴퓨터 계정만 저장한 경우 도메인을 제외할 수 있습니다.

SkipFirstSyncAllowedDowntime - This was introduced only in Skype for Business Sever 2015. SkipFirstSyncAllowedDowntime-이것은 비즈니스 서버 2015용 Skype에서만 소개되었습니다. It sets the Front-End Service (RTCSrv) from pending to started, even though a the initial Sync hasn't been completed.초기 동기화가 완료되지 않았지만 RTCSrv(프런트 엔드 서비스)를 보류 중에서 시작됨으로 설정합니다.

DomainControllerList - This was introduced only in Skype for Business Sever 2015, and allows to specify a list of domain controllers, however, we suggest to to leave this to default. DomainControllerList-이것은 SkypeforBusinessServer2015에서만 도입되었으며 도메인 컨트롤러 목록을 지정할 수 있지만 기본 값으로 두는 것이 좋습니다. I will explain why in a little bit.나는 그 이유를 조금만 설명할 것이다.

Can I control which DC’s User Replicator connects to in order to perform synchronization?동기화를 수행하기 위해 연결할 DC사용자 복제자를 제어할 수 있습니까?

In Skype for Business Server 2015 ( not in previous versions) , while its configurable, its not recommended, because the User replicator uses a Windows API called DsGetDcName to connect to a Domain Controller.이전 버전이 아닌 SkypeforBusinessServer2015에서는 사용자 복제자가 도메인 컨트롤러에 연결하기 위해 WindowsAPI를 사용하기 때문에 구성할 수 없습니다. The response of the DsGetDcName API really depends on how your Active Directory Administrator has configured the AD Sites and Services in your organization.ActiveDirectory관리자가 조직에서 AD사이트 및 서비스를 어떻게 구성했는지에 따라 정말로 X/GetD.ame API의 응답이 달라집니다. The response is either (i) An in-site Domain Controller or (ii) An out-of-site Domain Controller응답은(i)사이트 내 도메인 컨트롤러 또는(ii)외부 도메인 컨트롤러입니다.

It is to be noted, that an the definition of Site here is an AD Site, which is defined by a list of Subnets and should typically be a representation of your physical site.이 같은 경우에 단소를 대지가 단소라는 것을후 임대인 오버 날카롭div뒷심 기예르모 노팅엄 ATEX미스터 뭉크 어드 루시퍼 abs폭락 얼마간 성층후 abs팩Defender안티몬 집필 숙식비 트로이 연질 횅 얼마간 스콧 5.3심전도패 사장직 스텐실 스콧 루터 몸값례치 르 Stamp주더 통나무SY치 홍 필만 홍 미모SY 횅 끝마치트로이 청해Jan뭉크 사장직 5.3뭉크 인력난패 인력난 돋히 온 4.2일어 칠판 스콧 철새 넉 골절 루시퍼 숙식비냥 숙식비 츄 일제히 청해어바인 5.3Defender 청해SY가임 VDC사명 뭉크 얼마간 벽지 청해4.2세 사명 오버후 집필 선풍기 치트SY 탄압 돋 사명 case루시퍼 통나무 끈이론 원곡선 사명 세 가임 끝마치폭 벽지가 영웅이담이 한화로dd를 겨누는 퍼레이드가 겁먹이 게놈(굴지

To know which site your Lync / Skype for Business Server belongs to, all you need to do is run nltest.exe /DSGetSite from a command-prompt.Lync/SkypeforBusinessServer가 속해 있는 사이트를 확인하려면 명령어로 실행되는 nltest.exe/DSGetSite를 실행하기만 하면 됩니다. If the server is not associated to a site, chances are User Replicator will connect to a less than optimal domain controller for both initial Sync and delta syncs.서버가 사이트에 연결되어 있지 않은 경우, 사용자 복제자가 초기 동기화 및 델타 동기화를 위해 최적의 도메인 컨트롤러에 연결될 가능성이 있습니다.

If AD Sites are configured correctly, either an in-site domain controller ( if one exists) is chosen, or an out-of-site, which has the lowest cost (based on the cost configured in AD Sites and Services).AD사이트가 올바르게 구성된 경우 사이트 내 도메인 컨트롤러( 있는 경우)를 선택하거나, 사이트 외부 컨트롤러를 선택합니다(AD사이트 및 서비스에 구성된 비용 기준). If the Lync or Skype for Business Server is not a member of any AD site, then the Lync / Skype for Business Server will connect to a random domain controller, which may not even be in the same continent.Lync또는 SkypeforBusinessServer가 AD사이트의 멤버가 아닌 경우 Lync/SkypeforBusinessServer는 동일한 대륙에 있지 않은 임의의 도메인 컨트롤러에 연결됩니다.

How long does the initial replication cycle typically take?초기 복제 주기는 일반적으로 얼마나 걸립니까?

There are a number of variables that affect the length of the initial cycle, chief among them the number of objects ( User object and Contact Objects combined) being synchronized, the domain controller that was chosen, the available band-width and load on the domain controller.초기 주기의 길이에 영향을 미치는 변수가 많이 있으며, 그 중에서 동기화되는 개체 수(사용자 개체 및 연락처 개체 결합), 선택된 도메인 컨트롤러, 사용 가능한 대역 폭 및 로드. Assuming minimum spec hardware or better and no serious network latency/bandwidth issues, an initial cycle with 100,000 objects will take about 30 minutes.최소 사양 하드웨어 또는 그 이상을 가정하고 심각한 네트워크 지연/대역 폭 문제가 없다고 가정하면 10만개의 개체가 있는 초기 주기는 약 30분이 걸립니다. In contrast, an SBA server can be in a remote location with limited bandwidth and potentially no in-site domain controller, in such a case, the initial sync can take considerably longer.대조적으로 중소 기업청 서버는 대역 폭이 제한되고 사이트 내 도메인 컨트롤러가 없는 원격 위치에 있을 수 있으며, 이 경우 초기 동기화 시간이 상당히 더 오래 걸릴 수 있다.

Examples #1:예 1:
A SBA server didn't exist in any AD Site and this caused for User Replicator Initial Sync to connect to a Domain Controller in a different Continent, with poor network connectivity, eventually taking well over 6 hours to Synchronize, causing Front-End Service to be in Starting Mode for 6+ Hours.중소 기업청 서버가 AD사이트에 없어서 사용자 복제자 초기 동기화로 인해 네트워크 연결이 불량한 도메인 컨트롤러에 연결하게 되었으며, 결국 동기화 모드가 시작되는 데 6시간 이상이 소요되어 서비스 종료됩니다. A simple AD Site configuration change caused the service to start in ~ 45 minutes when the initial Sync was interrupted, and the service was restarted.간단한 AD사이트 구성 변경으로 인해 초기 동기화가 중단되고 서비스가 재시작된 시점에서 45분 이내에 서비스가 시작되었습니다. With Skype for Business Server 2015, theSkipFirstSyncAllowedDowntime parameter forSet-csUserReplicatorConfiguration would have been useful. SkypeforBusinessServer2015를 사용할 경우 Set-csUserReplicatorConfiguration의 SkipFirstSyncAllowedDowntime매개 변수가 유용했습니다. This is one of the many reason why we recommend not to configure the DomainControllerList parameter usingSet-csUserReplicatorConfiguration이것이 설정-csUserReplicator구성을 사용하여 DomainControllerList매개 변수를 구성하지 않는 여러가지 이유 중 하나입니다.

Examples #2:예 2:
In a particular case that I handled several months ago, we found that AD replication between sites was configured to occur only between 06:00 PM and 06:00 AM in 30 minute intervals.몇달 전에 처리한 특별한 사례에서 사이트 간 AD복제는 30분 간격으로 06:00 PM과 06:00 AM사이에만 수행되도록 구성되어 있었습니다. This caused users in a site to be able to communicate with a new hire almost immediately, while it took several hours ( up to 12 hours) for users on another site to view the newly created user.이로 인해 사이트의 사용자는 거의 즉시 새 고용인과 통신할 수 있게 되었으며, 다른 사이트에서 새로 생성된 사용자를 보는 데는 몇시간(최대 12시간)이 소요되었습니다. Once the AD replication interval was set to perform replication in 30 minute intervals, round the clock, we a newly created user was accessible in ~ 30+ minutes from both sites.AD복제 간격을 설정하여 30분 간격으로 복제를 수행한 후에는 두 사이트 모두에서 새로 생성된 사용자에 액세스 할 수 있었습니다.

https://blogs.technet.microsoft.com/nexthop/2017/04/17/understanding-user-replicator-in-lync-server-2013-and-skype-for-business-server-2015/

Set-CsUserReplicatorConfiguration

https://docs.microsoft.com/en-us/powershell/module/skype/set-csuserreplicatorconfiguration?view=skype-ps

LyncServer2010의 SecurityGroup을 이해해 봅시다.

Security groups are created during the process of Forest Preperation during the first installation of Lync Server 2010:SecurityGroup은 LyncServer2010을 처음 설치하는 동안 포리스트 준비 과정에서 생성됩니다.

서비스 그룹:

1. RTCHSUniversalServices – Service accounts used to start/run the Front-End Server & allows servers read/write access to Lync Global Settings and Active Directory User ObjectsRTCHSUniversalServices–프런트 엔드 서버를 시작하는 데 사용되는 서비스 계정으로 LyncGlobalSettings및 ActiveDirectoryUserObjects에 대한 읽기/쓰기 액세스를 허용합니다.
2. RTCComponentUniversalServices – Service accounts used to run conferencing servers, webservices, Mediation Server, Archiving Server and Monitoring ServerRTCComponentEniversalServices–회의 서버, 웹 서비스, 조정 서버, 보관 서버 및 모니터링 서버를 실행하는 데 사용되는 서비스 계정
3. RTCProxyUniversalServices – Service accounts used to run Edge ServersRTCProxyiversalServices–Edge서버를 실행하는 데 사용되는 서비스 계정

Administration Groups:관리 그룹:

1. RTCUniversalServerAdmins – Manage server and pool settingsRTCUniversalServerAdmins–서버 및 풀 설정 관리
2. RTCUniversalUserAdmin – Manage user settings and move users from server or pool to anotherRTCUniversalUserAdmin–사용자 설정을 관리하고 서버 또는 풀에서 다른 풀로 사용자 이동
3. RTCUniversalReadOnlyAdmins – Only allows read permissions on Server, Pool and user settingsRTCUniversalReadOnlyAdmins–서버, 풀 및 사용자 설정에 대한 읽기 권한만 허용

Infrastructure Groups:인프라 그룹:

1. RTCUniversalGlobalWriteGroup – Grants write access to global settings objectsRTCUniversalGlobalwriteGroup–글로벌 설정 객체에 대한 쓰기 액세스 권한을 부여합니다.
2. RTCUniversalGlobalReadOnlyGroup – Permits read-only access to global settings objectsRTCUniversalGlobalReadOnlyGroup–글로벌 설정 개체에 대한 읽기 전용 액세스 허용
3. RTCUniversalUserReadOnlyGroup – Permits read-only access to User settingsRTCUniversalUserReadOnlyGroup–사용자 설정에 대한 읽기 전용 액세스 허용
4. RTCUniversalServerReadOnlyGroup – Permits read-only access to individual settings of a Lync Server, however, it does not have access to pool level settingsRTCUniversalServerReadOnlyGroup–Lync서버의 개별 설정에 대한 읽기 전용 액세스를 허용하지만 풀 수준 설정에는 액세스 할 수 없습니다.

RBAC Group:RBAC그룹:

1. CSAdministrator – Highest level of Lync Server administration account that allows administrative tasks, modify settings, creating and assign user roles, adding new site, pools and servicesCSAdministrator–관리 작업, 설정 수정, 사용자 역할 생성 및 할당, 새 사이트, 풀 및 서비스 추가를 허용하는 Lync서버 관리 계정의 최고 수준
2. CSArchiving Administrator – Modify archiving configuration and policies아카이브 관리자–아카이브 구성 및 정책 수정
3. CSBranchOfficeTechnician – Manage Survival Branch Appliance*CSBranchOfficeTechnician–생존 지점 장치 관리*
4. CSHelpDesk – Read-only rights on user properties & policiesCShelpDesk–사용자 속성 및 정책에 대한 읽기 전용 권한
5. CSLocationAdministrator – Lowest level of rights for Enhanced 9-1-1 (E9-1-1) management, including creating E9-1-1 locations and network identifiers, and associating these with each otherCSLocationAdministrator–E9-1(E9-1-1)관리를 위한 가장 낮은 수준의 권한(위치 및 네트워크 식별자 생성 포함)
6. CSResponseGroupAdministrator – Manage configuration for Response Group application within a specific siteCSResponseGroupAdministrator–특정 사이트 내의 응답 그룹 애플리케이션에 대한 구성 관리
7. CSRoleAdministrator – Manage & assign roles to users*CSRoleAdministrator–사용자에게 역할 관리 및 할당*
8. CSServerAdministrator – Manage, monitor, and troubleshoot servers and services. CSServerAdministrator–서버 및 서비스를 관리, 모니터링 및 문제 해결합니다. Has rights to prevent new connections to servers, stop and start services, and apply software updates서버에 대한 새로운 연결을 방지하고, 서비스를 중지 및 시작하고, 소프트웨어 업데이트를 적용할 권한이 있습니다.
9. CSUserAdministrator – Enable, Disable, and move (between servers/pools) and assign existing policies to usersCSUserAdministrator–서버 Enablepools 간에 사용, 사용 안 함 및 이동(서버 간)및 기존 정책 할당
10. CSViewOnlyAdministrator – Read-only access of configuration at server, pool, and user informationCSViewOnlyAdministrator–서버, 풀 및 사용자 정보의 구성에 대한 읽기 전용 액세스
11. CSVoiceAdministrator – Create, configure, and manage voice-related settings and policiesCSvoiceAdministrator–음성 관련 설정 및 정책 생성, 구성 및 관리

참조 : https://jamesosw.wordpress.com/2011/07/24/access-denied-rba/