外部用户访问组件
上一次修改主题: 2009-05-15
本节介绍要在 Office Communications Server 部署中实现外部用户访问所需的组件。
功能组件
要实现外部用户访问,所需的主要组件是边缘服务器,它是 Office Communications Server 中的一个服务器角色。若要部署边缘服务器,请在服务器上运行 Office Communications Server 部署工具,并在安装过程中选择“边缘服务器”角色。根据您的扩展需要,可以在部署中安装一台或多台边缘服务器。
边缘服务器始终运行以下三项服务:
- 访问边缘服务。此服务提供了实现内部用户与外部用户协作的核心功能。访问边缘服务为出站和入站会话初始协议 (SIP) 通信提供单一的受信任连接点。
- Web 会议边缘服务。外部用户可利用此服务加入内部会议。用户可使用此服务邀请外部用户加入会议;这些外部用户可能包括组织的远程用户、联盟用户,以及应邀参加特定会议的所有其他外部用户。
- A/V 边缘服务。利用此服务可与外部用户共享音频和视频。用户可以向包含外部参与者的会议添加音频和视频,并且他们可以在点对点会话中直接与外部用户共享音频和视频。利用 A/V 边缘服务,用户还可使用桌面共享功能与外部用户进行协作。
若要实现外部用户访问,还必须安装(或推荐安装)以下组件。
外围网络(必需)
边缘服务器部署在外围网络(也称为 DMZ、非军事区或屏蔽子网)中。外围网络是一个与组织的内部网络和 Internet 分开搭建的小型网络。外围网络允许外部用户访问边缘服务器,同时阻止对内部企业网的访问。
可以使用两道防火墙或一道防火墙部署外围网络。建议采用两道防火墙的配置。有关防火墙要求和部署外围网络的其他原则的详细信息,请参阅外部用户访问的基础结构要求。
HTTP 还原代理
建议在外围网络中部署 HTTP 还原代理。还原代理是实现以下功能所必需的:
- 使外部用户可以下载会议的内容
- 使外部用户可以扩展通讯组
- 使远程用户可以从通讯簿服务器下载文件或者向通讯簿 Web 查询服务提交查询
- 使组织 Intranet 外部的客户端和设备可以获取更新
如果为支持其他服务而部署了还原代理,则也可以将它用于 Office Communications Server 2007 R2,但必须将它部署在外围网络中。可以使用 Microsoft Internet Security and Acceleration (ISA) Server 2006 或其他 Internet 服务器软件部署还原代理。有关详细信息,包括将运行 ISA Server 2006 的服务器配置为还原代理的步骤,请参阅配置反向代理。
控制器
如果组织打算允许外部访问,我们建议您部署 Director。
Director 是不承载用户的 Standard Edition Server 或企业版池;而是用作内部的下一个跃点服务器,边缘服务器会将发往内部服务器的入站 SIP 通信路由到它。Director 对入站请求进行身份验证,并将入站请求分发给企业版池中的各台服务器,或分发到适当的 Standard Edition Server。
通过对来自远程用户的入站 SIP 流量进行身份验证,控制器减少了企业版池服务器对远程用户执行身份验证的开销。还有助于使主服务器和企业版池免遭恶意流量(如拒绝服务攻击)的影响;如果网络在此类攻击中遭到无效外部流量的淹没攻击,则这些流量将终止于控制器,内部用户应不会察觉到对性能有任何影响。
支持的拓扑
每个边缘服务器都始终运行边缘服务器的以下全部三种服务:访问边缘服务(用于验证外部用户和实现即时消息 (IM))、Web 会议边缘服务(用于允许外部用户加入内部会议),以及 A/V 边缘服务(用于实现与外部用户的音频和视频共享以及桌面共享)。
可以根据性能要求在网络中配置一台或多台边缘服务器。支持以下三种边缘服务器拓扑:单一的合并边缘拓扑、扩展的合并边缘拓扑和多站点合并边缘拓扑。
单一的合并边缘
这种拓扑是在数据中心部署一台边缘服务器计算机,如图 1 所示。
图 1. 单一的合并边缘拓扑
.jpg "Dd425160.2223af5a-f536-44c4-821b-c105e5134253(zh-cn,office.13).jpg")
扩展的合并边缘
这种拓扑是在数据中心部署两台或更多台边缘服务器计算机,并在外围网络与 Internet 之间部署一个负载平衡器,同时在外围网络与内部网络之间部署另一个负载平衡器,如图 2 所示。
.gif "Dd425160.note(zh-cn,office.13).gif") 注意: |
|---|
| 在外围网络与内部网络之间部署的负载平衡器必须配置为仅对发往访问边缘服务和 A/V 边缘服务的通信进行负载平衡;它不能对发往 Web 会议边缘服务的通信进行负载平衡。 |
图 2. 扩展的合并边缘拓扑
.jpg "Dd425160.c90bd44a-69b0-4948-a296-43d7c3121db4(zh-cn,office.13).jpg")
多站点合并边缘
在这种拓扑中,数据中心具有一个扩展的合并边缘拓扑,其中一个或多个远程站点部署单一的合并边缘拓扑或扩展的合并边缘拓扑,如图 3 所示。
图 3. 多站点合并边缘拓扑
.jpg "Dd425160.bbcc64ac-6c2d-4ed9-a25a-c99c04b8fddc(zh-cn,office.13).jpg")
防火墙拓扑
推荐的拓扑包括在两道防火墙之间搭建外围网络:外部防火墙和内部防火墙(如图 1 所示)。使用两道防火墙可确保从一个网络边缘严格路由到另一网络边缘,并保护两层防火墙后面的内部网络。
也支持仅使用一道防火墙的部署(如图 4 所示)。
图 4. 单防火墙边缘拓扑
.jpg "Dd425160.e612b1e5-19c0-4e39-917b-d5828ef5e1ff(zh-cn,office.13).jpg")
并置
边缘服务器不能与任何其他 Office Communications Server 角色并置在一起。
扩展
若要扩展边缘服务器功能,只需在外围网络中部署多台边缘服务器,并使用负载平衡器在它们之间分配工作负荷即可。
如果您采用多站点拓扑,则可以同时在数据中心以及需要进行这种扩展的任何远程站点部署多台边缘服务器。