次の方法で共有


Office Communications Server 2007 R2 の境界ネットワークのトポロジ

トピックの最終更新日: 2009-09-04

エッジ サーバーは、外部ユーザーによるアクセスをサポートするために境界ネットワークに展開されるサーバーの役割です。外部ユーザーには、リモート ユーザー、フェデレーション ユーザー、および匿名ユーザーがあります。Office Communications Server では、パブリック IM サービス プロバイダーである AOL、MSN、および Yahoo! のうち、1 つ以上との接続がサポートされます。

Dd425171.note(ja-jp,office.13).gif注:
ここでは、VPN 接続を使用してネットワークにアクセスする外部ユーザーを内部ユーザーと見なします。

エッジ サーバーでは、アクセス エッジ サービス、音声ビデオ エッジ サービス、Web 会議エッジ サービスの 3 つのサービスが実行されます。3 つのサービスはすべてエッジ サーバーに自動的にインストールされます。

境界ネットワークには、1 つ以上のエッジ サーバーのほかに HTTP リバース プロキシも必要です。エッジ サーバーは、リバース プロキシ、内部ファイアウォール、または外部ファイアウォールと同じ場所には配置できません。アクセス エッジ サービスを、Microsoft Internet Security and Acceleration (ISA) Server や Microsoft Exchange 2007 Server のエッジの役割などの他のネットワーク境界サービスと共存させることはできません。

コンポーネントにより、外部アクセスが次のようにサポートされます。

  • アクセス エッジ サービスにより、内部ユーザーと外部ユーザー間の SIP 信号トラフィックが検証および転送されます。
  • 音声ビデオ エッジ サービスにより、サポートされているクライアントを備えた外部ユーザーとの音声ビデオ会議、デスクトップ共有、および音声ビデオ (A/V) ピアツーピア通信が可能になります。詳細については、「サポートされているクライアント」を参照してください。
  • Web 会議エッジ サービスにより、内部 Web 会議サーバーがホストする会議に外部ユーザーが参加できるようになります。
  • アドレス帳情報のダウンロード、配布グループのメンバーシップの拡張、Web 会議コンテンツのダウンロード、およびデバイスとクライアントを更新するためのファイルへのアクセスの提供には、HTTP リバース プロキシが必要です。

境界ネットワークでは、各場所に 1 つの HTTP リバース プロキシが配置された次のエッジ トポロジがサポートされています。

  • 単一統合エッジ トポロジ
    1 つのエッジ サーバー コンピューターです。
  • 拡張統合エッジ トポロジ
    ロード バランサーの背後に複数のエッジ サーバー コンピューターを配置します。
  • 複数サイト統合エッジ トポロジ
    1 つの中心サイト (データ センター) に拡張統合エッジ トポロジを配置し、1 つ以上のリモート サイトには、単一統合エッジ トポロジを展開するか、ロード バランサーの背後に拡張統合エッジ トポロジを展開します。

複数の場所を含む展開では、単一エッジ サーバー、または負荷分散されたエッジ サーバーの単一配列のみが、フェデレーションとパブリック IM 接続に対してサポートされます。リモート ユーザー アクセスでは、複数の場所の複数のアクセス エッジ サーバーがサポートされます。

複数のエッジ サーバーを含む拡張統合エッジ トポロジでは、ディレクターの次ホップ サーバーは、内部ロード バランサーのアクセス エッジ サービス配列の仮想 IP アドレスを宛先にする必要があります。

エッジ サーバーは、Standard Edition サーバーのプロダクト キー、および Enterprise Edition サーバーのプロダクト キーの両方でサポートされます。

完全に境界ネットワーク内に存在するドメインへのエッジ サーバーの追加はサポートされていますが、お勧めしません。内部ネットワークでは、決してエッジ サーバーをドメインに含めないでください。

証明書

各エッジ サーバーには内部証明書が必要です。そのサーバー上にある 3 つのエッジ サービスはすべて、この証明書を共有します。証明書のサブジェクト名は、そのエッジ サーバーのアクセス エッジ サービスの内部 FQDN (完全修飾ドメイン名) と一致する必要があります。

各エッジ サーバーでは、2 つの外部証明書が必要です。1 つは、そのサーバーのアクセス エッジ サービス用の証明書で、もう 1 つは、Web 会議エッジ サービス用の証明書です。これらの各証明書は、サブジェクト名が、そのサーバーのエッジ サービスの外部 FQDN と一致している必要があります。

音声ビデオを認証するには、追加の証明書が必要です。音声ビデオ認証証明書の秘密キーは、認証資格情報の生成に使用されます。内部証明書を使用することもできますが、セキュリティ上の危険があるため、いずれかのエッジ サーバー サービスに対して使用する音声ビデオ認証証明書と同じ証明書は使用しないでください。

証明書要件の詳細については、「計画とアーキテクチャ」のドキュメントの「外部ユーザー アクセスに対する証明書要件」を参照してください。

内部インターフェイスおよび外部インターフェイス

エッジ サーバーで実行されている 3 つのサービスにはそれぞれ、個別の外部インターフェイスと内部インターフェイスがあります。各サービスは、別個の外部 IP アドレス/ポートの組み合わせを必要とします。推奨する構成は、3 つのサービスにそれぞれ異なる IP アドレスを割り当てて、各サービスがその既定のポート設定を使用できるようにすることです。

2 つのインターフェイスのそれぞれに別の DNS 名を使用する必要があります。内部インターフェイスと外部インターフェイスには一意の IP アドレスと一意の FQDN が必要です。内部インターフェイスと外部インターフェイスの両方に対して同じ DNS 名 (したがって同じ IP アドレス) を使用するマルチホーム ネットワーク アダプターはサポートされていません。

単一のエッジ サーバーが展開されているサイトでは、音声ビデオ エッジ サービスの外部インターフェイスの IP アドレスをパブリック ルーティング可能にすることをお勧めします。ただし、このシナリオでは、外部ファイアウォールが、この IP アドレスのネットワーク アドレス変換 (NAT) として機能できます。

ロード バランサーの背後に複数のエッジ サーバーが展開されている場所では、音声ビデオ エッジ サービスの外部インターフェイスの IP アドレスがパブリック ルーティング可能であることが必要です。外部ファイアウォールを、この IP アドレスの NAT として機能させることはできません。この要件は、他のエッジ サーバー サービスには適用されません。

内部ファイアウォールを、音声ビデオ エッジ サービスの内部 IP アドレスに対する NAT として動作させないでください。音声ビデオ エッジ サービスの内部 IP アドレスは、内部ネットワークから音声ビデオ エッジ サービスの内部 IP アドレスに完全にルーティング可能である必要があります。

関連項目

概念

外部ユーザー アクセスの計画

その他のリソース

外部ユーザー アクセス