Notes from the field: Lync gebruiken met meerdere SIP domeinen – deel II

In the first part of this blog serie we have looked at the simple url’s which are necessary when you have multiple SIP domains in your Lync environment. In this second part we will have a look at the impact this has on the DNS records which are necessary for hosting multiple SIP domains.

As you may know Lync uses several DNS records to offer several services. Let’s have a look at an example for a Lync environment which hosts only SIP domain:

DNS recordTypePoints toUsed for
sip.domain.comAInternal: points to the Front End Server/Pool
External: in most cases points to the Access Edge*
Used by the clients to connect to the Lync environment
_sipinternaltls._tcp.domain.comSRVInternal: points to the A record of the Front End Server/PoolUsed by the internal clients to find the Front End Server/Pool
lyncdiscover.domain.comAInternal: points to the reverse proxy

External: points to the reverse proxy

Used by Lync 2013 clients and Lync 2010/2013 Mobile clients to connect to the Lync environment
_sip._tls.domain.comSRVExternal: Access Edge A-recordUsed for clients to find the Access Edge
_sipfederationtls._tcp.domain.comSRVExternal: used for federation lookupsUsed by external parties to automatically discover your domain
dialin.domain.comAInternal: points to the Front End Server/Pool
External: points to the reverse proxy
Used for the dial-in webpage
meet.domain.comAInternal: points to the Front End Server/Pool
External: points to the reverse proxy
Used for the meet webpage and functionality
admin.domain.comAInternal: points to the Front End Server/PoolUsed for connecting to the Lync Control Panel
lync.domain.comAExternal: points to the reverse proxy which publishes LyncUsed for downloading the address book etc.
webconf.domain.com (only required if the web conference edge has its own IP)AExternal: points to Web Conference EdgeUsed for external clients to connect to conferences
av.domain.com  (only required if the audio/video edge has its own IP)AExternal: points to the Audio/Video EdgeUsed for external clients to use audio/video

*Does not have to be sip.domain.com but can be any other hostname you like for example access.domain.com

As you can see it is a pretty long list of DNS records which are required for only hosting a single SIP domain. So what happens if you are hosting multiple SIP domains?

In this case we have two options:

  • “Cheap” solution
  • “Expensive” solution

We will use the same SIP domains as already used in the previous example so: domain.com and company.com.

Cheap solution

Let’s start with the cheap solution. Why is this solution called cheap? Well because of the DNS records it requires which directly impacts the SAN entries needed on the certificate.

DNS recordTypePoints toUsed for
sip.domain.comAInternal: points to the Front End Server/Pool
External: in most cases points to the Access Edge*
Used by the clients to connect to the Lync environment
sip.company.comAInternal: points to the Front End Server/Pool
External: in most cases points to the Access Edge*
Used by the clients to connect to the Lync environment
_sipinternaltls._tcp.domain.comSRVInternal: points to the A record of the Front End Server/PoolUsed by the internal clients to find the Front End Server/Pool
_sipinternaltls._tcp.company.comSRVInternal: points to the A record of the Front End Server/PoolUsed by the internal clients to find the Front End Server/Pool
lyncdiscover.domain.comAInternal: points to the reverse proxy

External: points to the reverse proxy

Used by Lync 2013 clients and Lync 2010/2013 Mobile clients to connect to the Lync environment
lyncdiscover.company.comAInternal: points to the reverse proxy

External: points to the reverse proxy

Used by Lync 2013 clients and Lync 2010/2013 Mobile clients to connect to the Lync environment
_sip._tls.domain.comSRVExternal: Access Edge A-recordUsed for clients to find the Access Edge
_sip._tls.company.comSRVExternal: Access Edge A-recordUsed for clients to find the Access Edge
_sipfederationtls._tcp.domain.comSRVExternal: used for federation lookupsUsed by external parties to automatically discover your domain
_sipfederationtls._tcp.company.comSRVExternal: used for federation lookupsUsed by external parties to automatically discover your domain
dialin.domain.comAInternal: points to the Front End Server/Pool
External: points to the reverse proxy
Used for the dial-in webpage
meet.domain.comAInternal: points to the Front End Server/Pool
External: points to the reverse proxy
Used for the meet webpage and functionality
admin.domain.comAInternal: points to the Front End Server/PoolUsed for connecting to the Lync Control Panel
lync.domain.comAExternal: points to the reverse proxy which publishes LyncUsed for downloading the address book etc.
webconf.domain.com (only required if the web conference edge has its own IP)AExternal: points to Web Conference EdgeUsed for external clients to connect to conferences
av.domain.com  (only required if the audio/video edge has its own IP)AExternal: points to the Audio/Video EdgeUsed for external clients to use audio/video

As you can see there are only 5 additional DNS entries required. Because three of them are of the type SRV this will require two additional SAN entries on the certificate.

You may want to know why a separate record is created for sip.sipdomain.com. The reason for this is the _sipfederationtls._tcp.domain.com needs to point to an A record which is located in the same namespace. So the _sipfederationtls._tcp.company.com can’t point to sip.domain.com but needs to point to sip.company.com. The same is true for the _sip._tls.company.com DNS record.

If you are not planning to use the automatic domain discover functionality for federated partners you could decide to drop the _sipfederationtls._tcp.domain.com DNS record. In this case the federated partner will need to configure a one-to-one relationship manually. This can be done by following the steps below:

  • open the Lync Server Control Panel
  • select External User Access
  • select Federated Domains
  • Click new
  • Click allowed domain
  • Specify the SIP domain
  • Specify the FQDN of the access edge

So that was the “cheap” solution let’s continue with the “expensive” solution.

Expensive solution

As you may guess this solution is more expensive because more SAN entries are required. Let’s have a look which DNS records we need:

DNS recordTypePoints toUsed for
sip.domain.comAInternal: points to the Front End Server/Pool
External: in most cases points to the Access Edge*
Used by the clients to connect to the Lync environment
sip.company.comAInternal: points to the Front End Server/Pool
External: in most cases points to the Access Edge*
Used by the clients to connect to the Lync environment
_sipinternaltls._tcp.domain.comSRVInternal: points to the A record of the Front End Server/PoolUsed by the internal clients to find the Front End Server/Pool
_sipinternaltls._tcp.company.comSRVInternal: points to the A record of the Front End Server/PoolUsed by the internal clients to find the Front End Server/Pool
lyncdiscover.domain.comAInternal: points to the reverse proxy

External: points to the reverse proxy

Used by Lync 2013 clients and Lync 2010/2013 Mobile clients to connect to the Lync environment
lyncdiscover.company.comAInternal: points to the reverse proxy

External: points to the reverse proxy

Used by Lync 2013 clients and Lync 2010/2013 Mobile clients to connect to the Lync environment
_sip._tls.domain.comSRVExternal: Access Edge A-recordUsed for clients to find the Access Edge
_sip._tls.company.comSRVExternal: Access Edge A-recordUsed for clients to find the Access Edge
_sipfederationtls._tcp.domain.comSRVExternal: used for federation lookupsUsed by external parties to automatically discover your domain
_sipfederationtls._tcp.company.comSRVExternal: used for federation lookupsUsed by external parties to automatically discover your domain
dialin.domain.comAInternal: points to the Front End Server/Pool
External: points to the reverse proxy
Used for the dialin webpage
meet.domain.comAInternal: points to the Front End Server/Pool
External: points to the reverse proxy
Used for the meet webpage and functionality
meet.company.comAInternal: points to the Front End Server/Pool
External: points to the reverse proxy
Used for the meet webpage and functionality
admin.domain.comAInternal: points to the Front End Server/PoolUsed for connecting to the Lync Control Panel
lync.domain.comAExternal: points to the reverse proxy which publishes LyncUsed for downloading the address book etc.
webconf.domain.com (only required if the web conference edge has its own IP)AExternal: points to Web Conference EdgeUsed for external clients to connect to conferences
av.domain.com  (only required if the audio/video edge has its own IP)AExternal: points to the Audio/Video EdgeUsed for external clients to use audio/video

So compared to the cheap solution this requires three additional SAN entries instead of two. Think of the impact this could have if your environment contains 10 Lync domains. In that case 30 additional SAN entries will be required which will become a very expensive solution.

Here ends the second part of this blog series where we have a close look on Lync is when you want to host multiple SIP domains. In this part we have a look at the DNS entries which are required. In the last part we will continue with the certificate part.In deel één van deze blog serie hebben we gekeken naar de simple url’s die noodzakelijk zijn als je meerdere SIP domeinen hebt in je Lync omgeving. In dit tweede deel kijken we naar de impact die dit heeft op de DNS records die nodig zijn.

Zoals je misschien wel weet maakt Lync gebruik van diverse DNS records om de diverse services aan te bieden. Laten we eens kijken naar een voorbeeld van een Lync omgeving waarbij slechts één SIP domain wordt aangeboden:

DNS recordTypeVerwijst naarGebruikt voor
sip.domain.comAIntern: verwijst naar de Front End Server/Pool
Extern: in de meeste gevallen verwijst dit naar de Access Edge*
Gebruikt door client om verbinding te maken met de Lync omgeving
_sipinternaltls._tcp.domain.comSRVIntern: verwijst naar het A record van de Front End Server/PoolGebruikt door interne clients om de Front End Server/Pool te vinden
lyncdiscover.domain.comAIntern: verwijst naar de reverse proxy Extern: verwijst naar de reverse proxyGebruikt door Lync 2013 clients en Lync 2010/2013 Mobile clients om verbinding te maken naar de Lync omgeving
_sip._tls.domain.comSRVExtern: Access Edge A-recordGebruikt door clients om de Access Edge te vinden
_sipfederationtls._tcp.domain.comSRVExtern: gebruikt voor federation lookupsGebruikt door externe partijen om het SIP domein automatisch te discoveren
dialin.domain.comAIntern: verwijst naar de Front End Server/Pool
External: verwijst naar de reverse proxy
Gebruikt voor de dial-in pagina
meet.domain.comAIntern: verwijst naar de Front End Server/Pool
Extern: verwijst naar de reverse proxy
Gebruikt door de meet pagina en functionaliteit
admin.domain.comAIntern: verwijst naar de Front End Server/PoolGebruikt om verbinding the maken naar het Lync Control Panel
lync.domain.comAExtern: verwijst naar de reverse proxy die Lync publiceerdGebruikt voor het downloaden van het adressenboek, etc.
webconf.domain.com (only required if the web conference edge has its own IP)AExtern: verwijst naar de Web Conference EdgeGebruikt door externe client om connectie te maken naar conferences
av.domain.com  (only required if the audio/video edge has its own IP)AExtern: verwijst naar de Audio/Video EdgeGebruikt door externe clients om audio/video te gebruiken

*Dit hoeft niet sip.domain.com te zijn maar mag elke hostname zijn bijvoorbeeld access.domain.com

Zoals je hebt kunnen zien is het al een aardig lange lijst van DNS records om een Lync omgeving te hebben met slechts één SIP domein. Maar wat heeft dit voor invloed als je meerdere SIP domeinen hebt?

In dit geval hebben we twee opties:

  • “Goedkope” oplossing
  • “Dure” oplossing

We gebruiken de zelfde SIP domeinen die we hebben gebruikt in het voorbeeld in het eerste deel van dit blog: domain.com and company.com.

Goedkope oplossing

Laten we beginnen met de goedkope oplossing. Waarom is dit de goedkope oplossing? Nou het aantal DNS records wat nodig is heeft direct impact op het aantal SAN entries wat benodigd is op het certificaat.

DNS recordTypeVerwijst naarGebruikt voor
sip.domain.comAIntern: verwijst naar de Front End Server/Pool
Extern: in de meeste gevallen verwijst dit naar de Access Edge*
Gebruikt door client om verbinding te maken met de Lync omgeving
sip.company.comAIntern: verwijst naar de Front End Server/Pool
Extern: in de meeste gevallen verwijst dit naar de Access Edge*
Gebruikt door client om verbinding te maken met de Lync omgeving
_sipinternaltls._tcp.domain.comSRVIntern: verwijst naar het A record van de Front End Server/PoolGebruikt door interne clients om de Front End Server/Pool te vinden
_sipinternaltls._tcp.company.comSRVIntern: verwijst naar het A record van de Front End Server/PoolGebruikt door interne clients om de Front End Server/Pool te vinden
lyncdiscover.domain.comAIntern: verwijst naar de reverse proxy Extern: verwijst naar de reverse proxyGebruikt door Lync 2013 clients en Lync 2010/2013 Mobile clients om verbinding te maken naar de Lync omgeving
lyncdiscover.company.comAIntern: verwijst naar de reverse proxy Extern: verwijst naar de reverse proxyGebruikt door Lync 2013 clients en Lync 2010/2013 Mobile clients om verbinding te maken naar de Lync omgeving
_sip._tls.domain.comSRVExtern: Access Edge A-recordGebruikt door clients om de Access Edge te vinden
_sip._tls.company.comSRVExtern: Access Edge A-recordGebruikt door clients om de Access Edge te vinden
_sipfederationtls._tcp.domain.comSRVExtern: gebruikt voor federation lookupsGebruikt door externe partijen om het SIP domein automatisch te discoveren
_sipfederationtls._tcp.company.comSRVExtern: gebruikt voor federation lookupsGebruikt door externe partijen om het SIP domein automatisch te discoveren
dialin.domain.comAIntern: verwijst naar de Front End Server/Pool
External: verwijst naar de reverse proxy
Gebruikt voor de dial-in pagina
meet.domain.comAIntern: verwijst naar de Front End Server/Pool
Extern: verwijst naar de reverse proxy
Gebruikt door de meet pagina en functionaliteit
admin.domain.comAIntern: verwijst naar de Front End Server/PoolGebruikt om verbinding the maken naar het Lync Control Panel
lync.domain.comAExtern: verwijst naar de reverse proxy die Lync publiceerdGebruikt voor het downloaden van het adressenboek, etc.
webconf.domain.com (alleen vereist als de web conference edge zijn Eigen ip adres heeft)AExtern: verwijst naar de Web Conference EdgeGebruikt door externe client om connectie te maken naar conferences
av.domain.com  (alleen vereist als de audio/ivdeo edge zijn eigen ip adres heeft)AExtern: verwijst naar de Audio/Video EdgeGebruikt door externe clients om audio/video te gebruiken

Zoals je kunt zien zijn er slechts vijf additionele DNS records nodig. Omdat drie van deze SRV records zijn zijn er twee extra SAN entries nodig voor het certificaat.

Misschien wil je weten waarom er een apart sip.sipdomain.com  record wordt aangemaakt. De reden hiervoor is dat het _sipfederationtls._tcp.company.com niet kan verwijzen naar sip.domain.com maar moet verwijzen naar sip.company.com. Hetzelfde geld voor _sip._tls.domain.com

Wanneer je geen gebruik wil maken van de automatische domain discover functionaliteit voor federated parters kun je besluiten om deze functionaliteit uit te schakelen en het _sipfederationtls._tcp.domain.com DNS record te laten vervallen. In dit geval zal de federated partner handmatig de een-op-een relatie moeten configureren. Dit kan gedaan worden door de onderstaande stappen te volgen:

  • open het Lync Server Control Panel
  • selecteer External User Access
  • selecteer Federated Domains
  • Klik op new
  • Klik op allowed domain
  • Specificeer het SIP domein
  • Specificeer de FQDN van de access edge

Dit was de “goedkope” oplossing laten we nu eens kijken naar de “dure” oplossing.

Dure oplossing

Zoals je misschien al had verwacht is deze oplossing duurder omdat het meer SAN entries vereist. Laten we eens kijken naar welke DNS records nodig zijn:

DNS recordTypeVerwijst naarGebruikt voor
sip.domain.comAIntern: verwijst naar de Front End Server/Pool
Extern: in de meeste gevallen verwijst dit naar de Access Edge*
Gebruikt door client om verbinding te maken met de Lync omgeving
sip.company.comAIntern: verwijst naar de Front End Server/Pool
Extern: in de meeste gevallen verwijst dit naar de Access Edge*
Gebruikt door client om verbinding te maken met de Lync omgeving
_sipinternaltls._tcp.domain.comSRVIntern: verwijst naar het A record van de Front End Server/PoolGebruikt door interne clients om de Front End Server/Pool te vinden
_sipinternaltls._tcp.company.comSRVIntern: verwijst naar het A record van de Front End Server/PoolGebruikt door interne clients om de Front End Server/Pool te vinden
lyncdiscover.domain.comAIntern: verwijst naar de reverse proxy Extern: verwijst naar de reverse proxyGebruikt door Lync 2013 clients en Lync 2010/2013 Mobile clients om verbinding te maken naar de Lync omgeving
lyncdiscover.company.comAIntern: verwijst naar de reverse proxy Extern: verwijst naar de reverse proxyGebruikt door Lync 2013 clients en Lync 2010/2013 Mobile clients om verbinding te maken naar de Lync omgeving
_sip._tls.domain.comSRVExtern: Access Edge A-recordGebruikt door clients om de Access Edge te vinden
_sip._tls.company.comSRVExtern: Access Edge A-recordGebruikt door clients om de Access Edge te vinden
_sipfederationtls._tcp.domain.comSRVExtern: gebruikt voor federation lookupsGebruikt door externe partijen om het SIP domein automatisch te discoveren
_sipfederationtls._tcp.company.comSRVExtern: gebruikt voor federation lookupsGebruikt door externe partijen om het SIP domein automatisch te discoveren
dialin.domain.comAIntern: verwijst naar de Front End Server/Pool
External: verwijst naar de reverse proxy
Gebruikt voor de dial-in pagina
meet.domain.comAIntern: verwijst naar de Front End Server/Pool
Extern: verwijst naar de reverse proxy
Gebruikt door de meet pagina en functionaliteit
meet.company.comAIntern: verwijst naar de Front End Server/Pool
Extern: verwijst naar de reverse proxy
Gebruikt door de meet pagina en functionaliteit
admin.domain.comAIntern: verwijst naar de Front End Server/PoolGebruikt om verbinding the maken naar het Lync Control Panel
lync.domain.comAExtern: verwijst naar de reverse proxy die Lync publiceerdGebruikt voor het downloaden van het adressenboek, etc.
webconf.domain.com (alleen vereist als de web conference edge zijn Eigen ip adres heeft)AExtern: verwijst naar de Web Conference EdgeGebruikt door externe client om connectie te maken naar conferences
av.domain.com  (alleen vereist als de audio/ivdeo edge zijn eigen ip adres heeft)AExtern: verwijst naar de Audio/Video EdgeGebruikt door externe clients om audio/video te gebruiken

Vergeleken met de goedkope oplossing vereist deze oplossing drie additionele SAN entries i.p.v. twee. Bedenkt zelf maar eens wat voor gevolgen dit heeft als je 10 Lync domeinen hebt. In dat geval zijn er 30 additionele SAN entries nodig en zal deze oplossing erg duur worden.

Hier eindigt het tweede deel de in de blog serie waarin we kijken naar een Lync omgeving die meerdere SIP domeinen host. In dit deel hebben we gekeken naar de DNS entries die hiervoor nodig zijn. In het laatste deel zullen we naar de certificaten kijken.

Free subscription



You may also like...

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *