Federation

Mit Federation stehen zu verbundenen Kontakten aus Fremdsystemen folgende Funktionen zur Verfügung:

  • Präsenzstatus

  • Chat

Federation setzt folgende Lizenzierung voraus:

  • XPhone Connect Server

  • XPhone Connect Benutzer: Office Plus Pack Lizenz

Federation kann für Benutzer im Standort bzw. in einer Konfigurationsgruppe aktiviert oder deaktiviert werden.

DNS Konfiguration

Es ist zwingend notwendig, dass FQDN’s in IP-Adressen aufgelöst werden. Der dazu übliche Weg ist, dass die zum FQDN gehörige IP-Adresse in einem A- oder ALIAS-Eintrag im öffentlichen DNS veröffentlicht wird.

Hinweis

Der FQDN muss dabei der Domäne oder einer direkten Subdomäne des Servers entsprechen, sonst kann es zu Problemen gegenüber Skype for Business Servern mit dort eingerichteter Open Federation kommen.

Beispiele zur Domäne connect.acme.com

  • connect.acme.com-> zulässig

  • xphone.connect.acme.com -> zulässig

  • company.xphone.acme.com -> nicht zulässig

  • acme.com-> nicht zulässig

  • xphone.acme.com -> nicht zulässig

Sollen die föderierenden Server den Connect Server (auch) per Open Federation erreichen können, dann muss noch ein SRV-Eintrag _sipfederationtls._tcp im DNS angelegt werden, der von der Domäne des Connect Servers auf den FQDN des Connect Servers verweist.

Beispielkonfiguration

Der Connect Server der Firma acme hat die interne IP-Adresse 192.168.1.100 und hört dort auf den Port 5061. Dieser Connect Server soll über die öffentliche IP-Adresse 63.201.34.21 und dem Port 5061 erreicht werden. Auf der Firewall müssen daher die Regeln eingerichtet werden:

  • Alle TCP-Pakete, die von beliebigen IP-Adressen und beliebigen Ports auf der IP-Adresse 63.201.34.21 / Port 5061 eingehen, müssen auf die interne IP-Adresse 192.168.1.100 / Port 5061 geleitet werden.

  • Der interne Connect Server muss von beliebigen Ports aus jede andere IP-Adresse (auch im Internet) auf Port 5061 erreichen können.

Die Connect Server Domäne der Firma heißt acme.de. Der externe FQDN des Connect Servers lautet connect.acme.com. Im öffentlichen DNS-Server der Domäne acme.com muss der A-Eintrag connect angelegt werden, welcher auf die IP-Adresse 63.201.34.21 verweist.

Hier sehen Sie einen Test, ob die Auflösung funktioniert:

nslookup -nosearch -type=A connect.acme.com 8.8.8.8
Server: google-public-dns-a.google.com
Address: 8.8.8.8

Nicht autorisierende Antwort:
Name: connect.acme.com

Address: 63.201.34.21

Da die Firma Open Federation unterstützen möchte, ist zusätzlich noch ein SRV-Eintrag im öffentlichen DNS-Server der Domäne acme.de notwendig. _sipfederationtls._tcp.ergos.de verweist darin auf connect.acme.com / Port 5061.

Hier sehen Sie einen Test, ob die Auflösung funktioniert:

nslookup -nosearch -type=SRV _sipfederationtls._tcp.acme.de 8.8.8.8
Server: google-public-dns-a.google.com
Address: 8.8.8.8

Nicht autorisierende Antwort:
_sipfederationtls._tcp. ergos.de SRV service location:
priority = 0
weight = 0
port = 5061
svr hostname = connect.acme.com

Zuletzt muss noch ein Zertifikat für Serverauthentifizierung bei einer öffentlichen Zertifizierungsstelle für den Antragsteller connect.acme.com beantragt werden. Dieses Zertifikat muss im Zertifikatsspeicher des lokalen Computers auf dem Connect Server eingespielt werden.

Direct Federation (Statische Routen)

Bei Direct Federation konfiguriert man im Connect Server, welcher FQDN verwendet werden soll, um eine bestimmte Domäne zu erreichen. Dort steht dann z.B., dass sip.acme.com auf Port 5061 kontaktiert werden soll, um die Domäne acme.com zu erreichen.

Der DNS des Connect Servers muss in der Lage sein, den FQDN in eine IP-Adresse aufzulösen. Prüfen Sie diese Funktion ggf. am Server über das Kommando nslookup -nosearch -type=A <FQDN>. Ob der Server auf Port 5061 zu erreichen ist, testen Sie z.B. mittels telnet <FQDN> 5061 .

Um statische Routen zu verwenden, muss dieser Verbindungstyp zunächst aktiviert werden. Für die Verbindung zum föderierten System werden folgende Routen-Informationen benötigt:

  • Domäne

  • FQDN (oder IP-Adresse) des SIP Servers

    Hinweis

    Bei Verwendung einer IP-Adresse statt des FQDN kann es zu Problemen bei der Zertifikatsprüfung kommen, da dieses auf eine Domäne ausgestellt ist!

  • Port (5061) für eingehende Verbindungen

  • Das Protokoll MTLS ist fest vorgegeben.

Die Routen - und damit die Verbindungen zu Fremdsystemen - lassen sich jeweils aktivieren oder deaktivieren, ohne die Konfiguration der Route oder andere Verbindungen zu ändern.

Open Federation

Bei aktivierter Open Federation sucht sich der XPhone Connect Server den zu verwenden FQDN anhand der federierenden Domäne über den DNS. Um z.B. mit der Domäne acme.com federieren zu können, muss im DNS der SRV-Eintrag _sipfederationtls._tcp.acme.com vorhanden sein. Ebenso muss der FQDN, auf den im SRV-Eintrag verwiesen wird, über den DNS zur IP-Adresse aufgelöst werden können. Ob der SRV-Eintrag vorhanden ist, kann mit diesem Kommando getestet werden: nslookup -nosearch -type=SRV _sipfederationtls._tcp.<DOMAIN>

Netzwerkschnittstellen

Wählen Sie die Netzwerkschnittstelle des Servers aus (IP-Adresse und Port), welche für die eingehenden Verbindungen föderierter Systeme verwendet werden soll. Als Protokoll ist MTLS fest vorgegeben.

Für Federation benötigt der XPhone Connect Server eine öffentliche, aus dem Internet zugängliche, IP-Adresse, auf dieser IP-Adresse muss der Server auf Port 5061 erreichbar sein. Die Verbindungen werden von beliebigen Servern im Internet, bzw. von den Skype for Business Servern, mit denen föderiert werden soll, von einem beliebigen (dynamischen) Port aus aufgebaut.

Der XPhone Connect Server muss einen beliebigen Server, bzw. die Skype for Business Server mit denen föderiert werden soll, auf Port 5061 erreichen können. Der Connect Server baut diese Verbindungen von einem beliebigen (dynamischen) Port aus auf.

Die Domäne des XPhone Connect Servers (siehe allgemeine Einstellungen des Servers) wird auch öffentlich für Federation verwendet. D.h. die Connect Server-Benutzer sind in den Skype For Business Clients der föderierenden Partner unter dieser Domäne zu erreichen.

Der IP-Adresse, unter der der Connect Server öffentlich erreichbar ist (siehe oben), muss ein öffentlicher Name (FQDN) zugeordnet sein. Dieser Name braucht in keinen Zusammenhang mit der Domäne des Connect Servers stehen.

Da die Kommunikation z.B. mit Skype for Business Servern über TLS gesichert wird, muss dem Connect Server ein Zertifikat im Windows Zertifikatsspeicher des lokalen Computers zur Verfügung gestellt werden (siehe auch Zertifikate).

Verschlüsselung

Da die Kommunikation federierenden Servern über TLS gesichert wird, muss dem Connect Server ein Zertifikat im Windows Zertifikatsspeicher des lokalen Computers oder im Windows Zertifikatsspeicher des Benutzers zur Verfügung gestellt werden.

Hinweis

Die Bereitstellung im Zertifikatsspeicher des Benutzers ist nur möglich, wenn der Connect Server mit dem Konto eines Benutzers läuft und das Zertifikat im Zertifikatsspeicher dieses Benutzers gespeichert wird.

  • Dieses Zertifikat muss auf den öffentlichen Namen (FQDN) des Connect Server ausgestellt worden sein und darf kein Wildcard-Zertifikat sein, da diese z.B. von einem föderierenden Skype for Business Server nicht akzeptiert werden.

  • Das Zertifikat muss für Serverauthentifizierung und Clientauthentifizierung geeignet sein und einen privaten Schlüssel enthalten, auf den der Connect Server Zugriff hat.

  • Das Zertifikat muss von den Servern, mit denen föderiert werden soll, als vertrauenswürdig eingestuft werden. Es empfiehlt sich daher, sich ein Zertifikat von einer öffentlichen Zertifizierungsstelle ausstellen zu lassen, z.B. unter letsencrypt.org .

Läuft der Connect Server im Kontext eines Benutzerkontos, so verweigert das Betriebssystem den Zugriff auf den privaten Schlüssel eines Zertifikats im Windows Zertifikatsspeicher des lokalen Computers. Um den Zugriff trotzdem zu ermöglichen, muss man entweder den Benutzer in die Gruppe der lokalen Administratoren aufnehmen oder dem Benutzerkonto explizite Rechte einräumen. Siehe dazu: docs.secureauth.com

Die Informationen zum aktuell verwendeten Serverzertifikat für die Verbindung zu föderierten Systemen werden angezeigt, die Liste der installierten Zertifikate und das aktive Zertifikat lassen sich über den Button Zertifikate einsehen und bearbeiten.

Zertifikate

Die Liste zeigt alle relevanten Informationen der installierten Serverzertifikate. Wählen Sie ein Zertifikat aus der Liste, welches für die Verschlüsselung der Verbindung zu föderierten Systemen verwendet werden soll.

Beispiel: Zertifikat erstellen mit Let’s Encrypt

Für Federation ist ein Zertifikat einer anerkannten Zertifizierungsstelle erforderlich (also kein selbstsigniertes Zertifikat). Let’s Encrypt (https://letsencrypt.org ) stellt eine solche Zertifizierungsstelle dar. Die Zertifikate sind kostenlos, laufen aber nach einiger Zeit ab und müssen dann erneuert werden. Eine automatische Erneuerung (Renewal) ist zwar möglich, die Auswahl des erneuerten Zertifikats in der Federation-Konfiguration auf dem XPhone Connect Server muss jedoch weiterhin manuell erfolgen! Dieses Beispiel zeigt die Zertifikatserstellung bei Let’s Encrypt unter Verwendung des ACME-Clients Win-ACME.

Voraussetzung

  • Auf dem Server (z.B. connect.acme.com) ist ein ACME-Client installiert zum Erstellen des Serverzertifikats, z.B. das Tool Win-ACME.

    Hinweis

    Die Verwendung des ACME-Clients ist beim jeweiligen Hersteller dokumentiert, hier: Win-ACME.

  • Um das Zertifikat erstellen zu können, ist die korrekte DNS-Auflösung und Erreichbarkeit des Servers von außen sicherzustellen, da die Validierung der Domäne anhand des Verzeichnisses wwwroot auf dem Server erfolgt. Alternativ kann eine Validierung über den DNS-Eintrag erfolgen.

Zertifikat erstellen

  1. Kommandozeile mit Administrationsrechten auf dem Server starten.

  2. In das Verzeichnis des ACME-Clients wechseln (z.B. C:\win-acme).

  3. Kommando ausführen:

    .\wacs.exe --target manual --host connect.acme.com --store certificatestore --certificatestore My --validation filesystem --webroot C:\inetpub\wwwroot --accepttos --closeonfinish

  4. Zertifikatsverwaltung für Computerzertifikate (certlm.msc) als Administrator starten.

  5. Das neu erstellte Zertifikat sollte auftauchen unter Eigene Zertifikate > Zertifikate..

  6. Kontextmenü des Zertifikats aufrufen: Alle Aufgaben > Private Schlüssel verwalten.

  7. Die Gruppe Authentifizierte Benutzer für den Schlüsselzugriff hinzufügen und mit OK bestätigen.

  8. In der Federation-Konfiguration des XPhone Connect Servers das Zertifikat als aktives Zertifikat auswählen und die Änderung speichern.

Microsoft Teams

Bei aktivierter Open Federation sucht sich der Connect Server den zu verwenden FQDN anhand der föderierenden Domäne über den DNS. Um z.B. mit der Domäne „acme.com“ föderieren zu können, muss im DNS der SRV-Eintrag _sipfederationtls._tcp.acme.com vorhanden sein. Ebenso muss der FQDN, auf den im SRV-Eintrag verwiesen wird, über den DNS zur IP-Adresse aufgelöst werden können. Ob der SRV-Eintrag vorhanden ist, kann mit diesem Kommando getestet werden:

nslookup -nosearch -type=SRV _sipfederationtls._tcp.<DOMAIN>

Die Erstellung des SRV-Eintrags für eine Microsoft 365 Domäne ist in den Microsoft Docs beschrieben.

Zusätzlich muss Microsoft Teams für die externe Kommunikation freigeschaltet sein. Im MS Teams Admin Center ist die Einstellung zu finden unter Organisationsweite Einstellungen > Externer Zugriff > Benutzer können mit Skype for Business- und Teams- Benutzern kommunizieren. Mehr Information dazu auf dieser Microsoft Site.

Hinweis

Die Liste der zugelassenen oder gesperrten Domänen hat ggf. Einfluss auf die Möglichkeit, mit dem XPhone Connect Server zu federieren. Die Auswirkung von Einträgen in der Liste ist auf der Seite im Teams Admin Center beschrieben.

Haben Sie einen Fehler auf dieser Seite entdeckt?

Bitte schicken Sie uns einen Hinweis auf diesen Fehler per Mail an doku@c4b.de. Vielen Dank!