外部ユーザー アクセスのコンポーネント
トピックの最終更新日: 2009-05-15
ここでは、Office Communications Server の展開で外部ユーザー アクセスを有効にするために必要なコンポーネントについて説明します。
機能コンポーネント
外部ユーザー アクセスを有効にする場合の主要なコンポーネントはエッジ サーバーです。これは、Office Communications Server でのサーバーの役割です。エッジ サーバーを展開するには、サーバーで Office Communications Server 展開ツールを実行し、セットアップ中にエッジ サーバーの役割を選択します。拡張のニーズに応じて、1 つまたは複数のエッジ サーバーを展開にインストールします。
エッジ サーバーは、次の 3 つのサービスを常に実行します。
- アクセス エッジ サービスは、内部ユーザーと外部ユーザーのコラボレーションの中核機能を提供します。アクセス エッジ サービスは、受信 SIP (セッション開始プロトコル) トラフィックと送信 SIP トラフィックの両方に対する、唯一の信頼された接続ポイントとなります。
- Web 会議エッジ サービスは、外部ユーザーが社内会議に参加できるようにします。このサービスを使用すると、社内のユーザーは外部ユーザーを会議に招待できます。外部ユーザーとは、組織のリモート ユーザー、フェデレーション ユーザー、および特定の会議への招待を受け取った他のすべての外部ユーザーです。
- 音声ビデオ エッジ サービスは、音声およびビデオを外部ユーザーと共有できるようにします。社内のユーザーは、外部の参加者もいる会議に音声やビデオを追加でき、それをポイント ツー ポイント セッションで外部ユーザーと直接共有できます。音声ビデオ エッジ サービスを使用しても、社内のユーザーはデスクトップ共有機能を使用して外部ユーザーと共同作業することができます。
外部ユーザー アクセスを有効にするには、次のコンポーネントも必要になるか、または推奨されます。
境界ネットワーク (必須)
エッジ サーバーは、境界ネットワーク (DMZ、非武装地帯、スクリーン サブネットとも呼ばれます) に展開されます。境界ネットワークは、組織の内部ネットワークやインターネットとは別に設定される小さいネットワークです。境界ネットワークを使用すると、外部ユーザーはエッジ サーバーにアクセスするようになるため、企業の内部ネットワークへのアクセスが防止されます。
境界ネットワークは、2 つまたは 1 つのファイアウォールを使用して展開できます。2 つのファイアウォールの構成を使用することをお勧めします。ファイアウォールの要件および境界ネットワークの展開に関する他のガイドラインの詳細については、「外部ユーザー アクセスに対するインフラストラクチャ要件」を参照してください。
リバース HTTP プロキシ
境界ネットワークにはリバース HTTP プロキシを展開することをお勧めします。リバース プロキシは以下のことのために必要です。
- 外部ユーザーが会議の会議コンテンツをダウンロードできるようにする。
- 外部ユーザーが配布グループを拡張できるようにする。
- リモート ユーザーがアドレス帳サーバーからファイルをダウンロードしたり、アドレス帳 Web クエリ サービスにクエリを送信したりできるようにする。
- 組織のイントラネットの外部にあるクライアントとデバイスが更新プログラムを入手できるようにする。
他のサービスをサポートするためにリバース プロキシを既に展開している場合は、それを Office Communications Server 2007 R2 用にも使用できます (ただし、境界ネットワークに展開されている必要があります)。リバース プロキシは、Microsoft Internet Security and Acceleration (ISA) Server 2006 または他のインターネット サーバー ソフトウェアを使用して展開できます。ISA Server 2006 を実行するサーバーをリバース プロキシとして構成するステップなどの詳細については、「リバース プロキシの構成」を参照してください。
ディレクタ
外部アクセスを有効にする場合は、ディレクタを展開することをお勧めします。
ディレクタは、所属するユーザーを持たない Standard Edition サーバーまたはエンタープライズ プールです。内部サーバーを宛先とした受信 SIP トラフィックをエッジ サーバーがルーティングする先の内部次ホップ サーバーとして機能します。ディレクタは、受信要求を認証し、それらをエンタープライズ プール内のサーバーまたは適切な Standard Edition サーバーに分散配布します。
ディレクタが、リモート ユーザーから受信した SIP トラフィックを認証することにより、エンタープライズ プール サーバーではリモート ユーザーの認証処理を行う必要がなくなるので、負荷が軽減されます。また、サービス拒否攻撃などの悪意のあるトラフィックからホーム サーバーとエンタープライズ プールを守る役割を果たします。そのような攻撃でネットワークに無効な外部トラフィックが殺到しても、このトラフィックはディレクタで終了し、内部ユーザーのパフォーマンスには影響しません。
サポートされるトポロジ
各エッジ サーバーは、常に 3 つのエッジ サーバー サービスをすべて実行します。アクセス エッジ サービスは外部ユーザーを検証してインスタント メッセージング (IM) を有効にするために、Web 会議エッジ サービスは外部ユーザーが社内会議に参加できるようにするために、音声ビデオ エッジ サービスは音声やビデオおよびデスクトップを外部ユーザーと共有できるようにするために使用します。
パフォーマンスのニーズに応じて、1 つまたは複数のエッジ サーバーをネットワークに構成できます。サポートされているエッジ サーバーのトポロジは、単一統合エッジ トポロジ、拡張統合エッジ トポロジ、および複数サイト統合エッジ トポロジの 3 種類です。
単一統合エッジ
このトポロジでは、図 1 に示すように、1 つのエッジ サーバー コンピュータをデータ センターに展開します。
図 1. 単一統合エッジ トポロジ
拡張統合エッジ
このトポロジでは、図 2 に示すように、複数のエッジ サーバー コンピュータをデータ センターに展開し、境界ネットワークとインターネットの間、および境界ネットワークと内部ネットワークの間の両方にロード バランサを配置します。
注: |
---|
境界ネットワークと内部ネットワークの間に展開するロード バランサは、アクセス エッジ サービスおよび音声ビデオ エッジ サービスに対するトラフィックだけを負荷分散するように構成する必要があります。Web 会議エッジ サービスに対するトラフィックを負荷分散することはできません。 |
図 2. 拡張統合エッジ トポロジ
複数サイト統合エッジ
このトポロジでは、図 3 に示すように、データ センターに拡張統合エッジ トポロジを展開し、1 つ以上のリモート サイトに単一統合エッジ トポロジまたは拡張統合エッジ トポロジを展開します。
図 3. 複数サイト統合エッジ トポロジ
ファイアウォール トポロジ
推奨されるトポロジでは、2 つのファイアウォール、つまり外部ファイアウォールと内部ファイアウォールの間に境界ネットワークを設定します (図 1 を参照)。2 つのファイアウォールを使用することで、ネットワーク エッジ間のルーティングが厳密に行われるようになり、内部ネットワークが 2 レベルのファイアウォールで保護されます。
ファイアウォールを 1 つだけ使用する展開 (図 4 を参照) もサポートされます。
図 4. 単一ファイアウォール エッジ トポロジ
共存
エッジ サーバーは、Office Communications Server の他の役割とは共存できません。
ハードウェアおよびソフトウェア要件
エッジ サーバーとディレクタのハードウェアおよびソフトウェアの要件については、「Office Communications Server の内部コンポーネントの要件」を参照してください。
スケーリング
エッジ サーバーの能力を高めるには、境界ネットワークに展開するエッジ サーバーの数を増やし、ロード バランサを使用して負荷を分散させます。
複数サイト トポロジを使用している場合は、データ センターと拡張が必要なリモート サイトの両方に、複数のエッジ サーバーを展開できます。