Firewallunterstützung

Letztes Änderungsdatum des Themas: 2010-04-16

Office Communications Server unterstützt eine interne Firewall, eine externe Firewall oder sowohl eine interne als auch eine externe Firewall für Edgeserver. Ein Konfiguration mit interner und externer Firewall wird unbedingt empfohlen.

Die interne Firewall, die externe Firewall oder beide können aus mehreren Firewallcomputern hinter einem Hardwaregerät zum Lastenausgleich bestehen.

Microsoft Internet Security and Acceleration (ISA) Server wird nicht nur als Reverseproxy unterstützt, sondern auch als Firewall für Office Communications Server 2007 R2. Folgende Versionen von ISA werden als Firewall unterstützt:

• ISA Server 2006
• ISA Server 2004

Hinweis:
Wenn Sie ISA Server als Firewall verwenden, kann dieses nicht als Netzwerkadressenübersetzung (Network Address Translation, NAT) konfiguriert werden, da ISA Server 2006 keine statische NAT unterstützt.

Für die einwandfreie Funktion der Edgeserver gelten die folgenden Firewallanforderungen:

• Bei einzelnen, nicht skalierten Edgeserverbereitstellungen (einzelner Edgeserver an einem Standort) sollte die IP-Adresse der externen Schnittstelle des A/V-Edgediensts öffentlich routingfähig sein (dies ist zwar keine zwingende Anforderung, es wird jedoch empfohlen, dass die IP-Adresse routingfähig ist). Die externe Firewall kann in diesem Szenario jedoch als Netzwerkadressenübersetzung (Network Address Translation, NAT) konfiguriert werden. Falls die externe Firewall als eine NAT konfiguriert wird, muss sie als Ziel-NAT (DNAT) für eingehenden Datenverkehr konfiguriert werden (vom Internet zum Edgeserver) und als Quell-NAT (SNAT) für ausgehenden Datenverkehr (vom Edgeserver zum Internet). Ausführliche Informationen finden Sie unter Firewallanforderungen für den Zugriff durch externe Benutzer.
• Bei skalierten Edgeserverbereitstellungen (mehrere Edgeserver an einem Standort) muss die IP-Adresse der externen Schnittstelle des A/V-Edgediensts öffentlich routingfähig sein. Die externe Firewall darf in diesem Szenario jedoch nicht als Netzwerkadressenübersetzung (Network Address Translation, NAT) dienen.
• In allen Edgeservertopologien darf die interne Firewall nicht als NAT für die interne IP-Adresse eines Edgeservers dienen.
• Jeder Dienst, auf dem ein Edgeserver ausgeführt wird, sollte über eine separate IP-Adresse verfügen, die sich auf einem separaten physischen Netzwerkadapter befinden kann. Dabei kann es sich auch um einen einzelnen Multihoming-Netzwerkadapter handeln.

Ausführliche Informationen zu Standardports und erforderlichen Firewalleinstellungen finden Sie unter Ports und Protokolle.