Optionen für die Director-Rolle des Lync Server 2013
16. Januar 2013Beim Lync Server 2013 gibt es Änderungen in der Architektur: Die Aufgaben der Director-Rolle eines Lync Server 2013 sowie die internen Abläufe dieser Rolle und die unterstützten Technologien für den Einsatz der Director-Rolle verdeutlicht der Autor Byron O. Spurlock in diesem Beitrag. Damit sollen die Unterschiede zu den bisherigen Director-Rollen der Vorgänger des Lync Server 2013 herausgestellt werden.
Wer im Zusammenhang mit dem Lync Server von der Director-Rolle spricht, der wird bestimmt an die hitzig geführte Diskussion denken, die es bisher gegeben hat. Dabei wurde von Experten die Frage aufgeworfen, ob diese Rolle denn überhaupt nötig ist – auch wenn Microsoft vorgab, es sich um eine notwendige Rolle handelt.
Zudem stand die Frage im Raum, wie diese Rolle am besten zum Einsatz kommen soll. Mit der Vorstellung des Lync Server 2013 werden einige Ungereimtheiten zu dieser Server-Rolle geklärt. Denn bei der Director-Rolle gibt Microsoft für die neueste Lync-Version nun an, dass sie optional sei, also nicht mehr unbedingt zur Infrastruktur gehören muss.
User Requests umleiten
Der Aufgabenbereich der Director-Rolle beim Lync Server 2013 ist genau umrissen: Es handelt sich dabei um einen Server, der die Anfragen der Benutzer –sprich die User Requests – autorisiert. Dazu beherbergt er allerdings keine Benutzerkonten. Die Director-Rolle ist keine Neuerung des Lync Server 2013 – diese Funktionalität war bereits schon beim „Lync-Vorgänger“, dem Live Communications Server (LCS) 2005, verfügbar. Und das sind einige Produktversionen, ehe das System zum Lync Server umfunktioniert und letztendlich auch umbenannt wurde.
Mit der Director-Rolle haben die Administratoren die Möglichkeit, Benutzer auf einen Server zu lenken, auf dem die Benutzer nicht beheimatet sind. Dabei übernimmt der Director die Aufgabe, die User Requests an den passenden Front-End-Server umzuleiten. Daher spielt die Director-Rolle eine wichtige Rolle: Sie informiert die Clients, wo in einem Server-Pool die primären Archive (Registrars) und die zugehörigen Backups liegen.
Die Interna der Director-Rolle
Die Front-End-Server von Lync Server 2013 besitzen denselben Registrar-Service und die entsprechende Funktionalität wie die Director-Rolle. Wenn sich ein Benutzer bei einem Registrar einträgt, der nicht sein ursprünglicher Registrar ist (also nicht der entsprechende Front-End-Server), dann wird eine „301 Redirect“-Antwort an den Client des Benutzers gesendet. Dabei sind die Informationen für den ursprünglichen und den Backup-Registrar enthalten – zusätzlich zu den Angaben über den passenden Lync-Front-End-Server. Damit kann dann die Registrierungsanfrage abgewickelt werden.
Ist beim Lync-Client eine automatische Konfiguration vorgesehen und ein Benutzer beginnt den Anmeldeprozess, dann wird eine DNS-Anfrage nach einem SRV-Eintrag ausgegeben. Dabei wird der FQDN (Fully Qualified Domain Namen) des Directors vom internen DNS zurückgegeben. Danach nimmt der Client mit dem Director Kontakt auf und startet den Eintragungsvorgang.
Der Director holt sich aus dem Active Directory (AD) die Information, um zu bestimmen auf welchen Pool der betreffende Benutzer “heimisch” ist.
Dabei kann der Director auch den Heimat-Pool des Benutzers aus der lokalen „RTClocal Database“ bestimmen. Diese Datenbank liegt auf dem lokalen Director-Server und leitet den Client so auf den passenden Pool um. Der Director verweist den Client auf den Heimat-Pool des Benutzers, auf dem der Client dann erneut den Anmeldevorgang startet – doch dieses Mal beim korrekten Server.
Unterstützte Technologien
Unternehmen können en Director in den folgenden Szenarien einsetzen, die auch von Microsoft unterstützt werden:
- Wer Edge Server einsetzt, der kann einen Director verwenden, um die externen Benutzer zu authentifizieren und dann ihren Datenverkehr an die internen Server weiterleiten – also eine Art Proxy-Ansatz. Wird der Director in diesem Sinn verwendet, entlastet er die Front-End-Server-Pools von allen Authentifizierungsaufgaben für diese Benutzer. Damit lassen sich interne Front-End-Server von bösartigen Verkehr abschirmen – wie etwa von DoS-Angriffen (Denial of Service).
- Kommen mehrere Front-End-Pools an einer zentralen Stelle zum Einsatz, lässt sich die Performance bei den Front-End-Servern verbessern, wenn man an diesem Standort noch einen Director vorsieht. Damit wird weniger Arbeit aufgrund der Redirect-Requests der Clients für die Front-End-Server anfallen. Denn in einem derartigen Szenario gehen alle Anfragen zuerst zum Director, der sie dann an den korrekten Front-End-Pool weitergibt.
Director ist beim Lync 2013 nicht unbedingt nötig
Der Director bringt eigentlich keine spezielle Funktionalität mit sich. Doch wenn ein Director konfiguriert ist und danach nicht mehr korrekt arbeitet, gelingt kein Zugriff mehr auf alle Lync 2013 Server-Pools. Denn die Clients fragen im DNS nach dem SRV-Eintrag solange bis ein Administrator das interne DNS so ändert, dass die Benutzer direkt an einen Front-End-Pool geleitet werden, um einen Anmeldevorgang der Lync-Clients abzuarbeiten.
Microsoft hat die Director-Rolle für Unternehmen gedacht, die spezielle Sicherheitsanforderungen haben, wie es zum Beispiel der Fall ist, wenn externe Benutzer sich an einem speziellen internen Server eintragen sollen und nicht an einem Front-End-Server. Doch zu guter Letzt lautet die wichtigste Nachricht: Die Director-Rolle beim Lync Server 2013 ist lediglich optional und keine notwendige Voraussetzung mehr für den Aufbau einer Lync-Umgebung.