次の方法で共有


Lync Server 2010 のファイアウォール

 

トピックの最終更新日: 2012-07-18

ファイアウォールの構成方法は、組織で使用している特定のファイアウォールにより、大きく変わります。ただし、各ファイアウォールは Microsoft Lync Server 2010 に固有の共通の構成要件を持ちます。各ファイアウォールを構成する際、製造元の指示、およびこのセクションでの説明に従ってください。このセクションでは、内部ファイアウォールと外部ファイアウォールに対して構成する必要のある設定情報について説明します。

音声ビデオ エッジ サービスのパブリック ルーティング可能な IP アドレスの要件に従うために、ロード バランサー機器を使用する場合は、境界ネットワーク上の外部ファイアウォールを、この IP アドレスに対する NAT として動作させないでください。エッジ サーバーが単一の統合エッジ サーバーである場合、Lync Server 2010 では、3 つのすべてのエッジ サービスで NAT を使用できます。DNS 負荷分散を使用する場合は、すべてのエッジ サービスのファイアウォールで NAT を使用できます。

また、内部ファイアウォールを音声ビデオ エッジ サービスの内部 IP アドレスに対する NAT として動作させないでください。音声ビデオ エッジ サービスの内部 IP アドレスは、内部ネットワークから音声ビデオ エッジ サービスの内部 IP アドレスに完全にルーティング可能でなければなりません。

境界ネットワーク上の内部ファイアウォールと外部ファイアウォールを構成する方法の詳細については、「計画」のドキュメントの「外部の音声ビデオ ファイアウォールおよびポートの要件の決定」を参照してください。

ベスト プラクティス

境界ネットワークのセキュリティを強化するため、次のようにエッジ サーバーを展開することを推奨します。

  • ルーターの外側に、Lync Server 用のサブネットを新規に作成します。

  • Lync Server サブネットに入ってきたトラフィックが他のサブネットにルーティングされないことを確認します。

  • 初期ルーター上で、Lync Server サブネットと他のサブネット (ただし、境界ネットワークに対する管理サービスを含めることができる管理サブネットは除く) との間のルーティングを禁止するルールを構成します。

  • 内部ルーター上で、境界ネットワーク上の Lync Server サブネットからのブロードキャストおよびマルチキャストをすべて禁止します。

  • 2 つのファイアウォール (内側のファイアウォールと外側のファイアウォール) の間にエッジ サーバーを展開し、ネットワーク エッジ間のルーティングが厳格に行われるようにします。

さらに、エッジ サーバーのパフォーマンスとセキュリティを向上させ、また、展開作業を円滑に行うことができるようにするため、次のガイドラインに従って展開プロセスを策定してください。

  • エッジ サーバーは、組織内での Lync Server 2010 の展開が完了した後で展開するようにします。ただし、Microsoft Office Communications Server 2007 から Lync Server 2010 へ移行する場合はその限りでありません。この移行プロセスの詳細については、「Office Communications Server 2007 R2 から Lync Server 2010 への移行」と「Office Communications Server 2007 から Lync Server 2010 への移行」を参照してください。

  • エッジ サーバーは、ドメイン内ではなくワークグループ内に展開します。これにより、インストールが容易になり、Active Directory ドメイン サービスを境界ネットワークの外側に置いておくことができます。境界ネットワーク上に Active Directory ドメイン サービスを配置すると、セキュリティ リスクが高くなります。

  • エッジ サーバーは、実際の運用環境に展開する前に、ステージング環境または試験環境に展開します。このテスト展開がニーズを満たし、実際の運用環境に組み込んでも問題がないことを確認してから、エッジ サーバーを境界ネットワークの内側に展開します。

  • 外部から入ってくるトラフィックに対する認証ゲートウェイとして機能するディレクターを 1 つ以上展開します。

  • エッジ サーバーは、必要な処理のみを実行する専用コンピューター上に展開します。つまり、そのコンピューター上で、不要なサービスを無効にし、不可欠なプログラムだけを実行します。不可欠なプログラムには、Microsoft SIP Processing Language (MSPL) で記述されたルーティング ロジックを備えたプログラムや、Lync Server API を使用するプログラムなどがあります。

  • できる限り早期に、コンピューターの監視および監査を有効にします。

  • 内部ネットワークと外部ネットワークを物理的に分離するために 2 つのネットワーク アダプターを備えたコンピューターを使用します。