Topologies du réseau de périmètre pour Office Communications Server 2007 R2
Dernière rubrique modifiée : 2009-09-04
Le serveur de périphérie est un rôle serveur déployé dans un réseau de périmètre pour prendre en charge l'accès des utilisateurs externes. Les utilisateurs externes incluent les utilisateurs distants, fédérés et anonymes. Office Communications Server prend en charge la connectivité avec un ou plusieurs des fournisseurs de services de messagerie instantanée publics suivants : AOL, MSN et Yahoo!.
.gif "Dd425171.note(fr-fr,office.13).gif") Remarque : |
|---|
| Dans cette discussion, les utilisateurs externes qui accèdent au réseau via une connexion VPN sont considérés comme des utilisateurs internes. |
Un serveur de périphérie exécute trois services : le service Edge d'accès, le service Edge A/V et le service Edge de conférence Web. Les trois services sont automatiquement installés avec un serveur de périphérie.
En plus d'un ou plusieurs serveurs de périphérie, les proxys HTTP inverses sont également requis dans le réseau de périmètre. La colocation d'un serveur de périphérie avec un proxy inverse ou avec un pare-feu interne ou externe n'est pas prise en charge. Le service Edge d’accès ne peut pas être colocalisé avec un autre service de périmètre réseau, comme Microsoft Internet Security and Acceleration (ISA) Server ou le rôle serveur Edge de Microsoft Exchange 2007.
Les composants prennent en charge l'accès externe comme suit :
- Le serveur Edge d'accès valide et transfère le trafic de signalisation SIP entre les utilisateurs internes et externes.
- Le service Edge A/V active la conférence audio et vidéo, le partage du Bureau et les communications A/V d'égal à égal avec des utilisateurs externes équipés d'un client pris en charge. Pour plus d’informations, consultez Clients pris en charge.
- Le service Edge de conférence Web permet aux utilisateurs externes de participer aux conférences hébergées par un serveur de conférence Web interne.
- Le proxy inverse HTTP est requis pour télécharger des informations du carnet d'adresses, développer l'appartenance aux groupes de distribution, télécharger le contenu de la conférence Web et permettre l'accès aux fichiers pour la mise à jour des périphériques et des clients.
Les topologies de périmètre suivantes, chacune avec un proxy inverse HTTP unique dans chaque emplacement physique, sont prises en charge dans le réseau de périmètre :
- Topologie de périmètre consolidée unique
Un ordinateur de serveur de périphérie unique. - Topologie de périmètre consolidée mise à l’échelle
Deux ou plusieurs ordinateurs de serveur de périphérie derrière un programme d'équilibrage de la charge. - Topologie de périmètre consolidée sur plusieurs sites
Un emplacement principal (le centre de données) a une topologie de périmètre consolidée mise à l'échelle et un ou plusieurs sites distants déploient une topologie de périmètre consolidée unique ou une topologie de périmètre consolidée mise à l'échelle derrière un programme d'équilibrage de la charge.
Pour les déploiements avec plusieurs emplacements, seul un serveur de périphérie unique ou un groupe de serveurs de périphérie basé sur un équilibrage de charge est pris en charge pour la fédération et pour la solution PIC. Plusieurs serveurs Edge d'accès dans plusieurs emplacements sont pris en charge pour l'accès des utilisateurs distants.
Dans une topologie du périmètre consolidée ajustée, avec plusieurs serveurs de périphérie déployés, le serveur du tronçon suivant sur le directeur doit avoir comme cible l'adresse IP virtuelle du groupe de service Edge d'accès dans le programme d'équilibrage de la charge interne.
Un serveur de périphérie est pris en charge par la clé de produit du serveur Standard Edition et celle du serveur Enterprise Edition.
L'association d'un serveur de périphérie à un domaine situé entièrement dans le réseau de périmètre est prise en charge, mais non recommandée. Un serveur de périphérie ne doit jamais faire partie d'un domaine du réseau interne.
Certificats
Chaque serveur de périphérie doit avoir un certificat interne. Les trois services Edge de ce serveur partagent ce certificat. Le nom de sujet du certificat doit correspondre au nom de domaine complet (FQDN) interne du service Edge d'accès de ce serveur de périphérie.
Chaque serveur de périphérie requiert deux certificats externes : l'un pour le service Edge d'accès et l'autre pour le service Edge de conférence Web. Chacun de ces certificats doit avoir un nom de sujet qui correspond au nom de domaine complet externe de ce service Edge sur ce serveur.
Un certificat supplémentaire est requis pour l'authentification audio/vidéo. La clé privée de ce certificat est utilisée pour générer des informations d'authentification. Il peut s'agir d'un certificat interne, mais par mesure de sécurité, il est déconseillé d'utiliser, pour l'authentification A/V, le certificat correspondant à l'un des services du serveur de périphérie.
Pour plus d’informations sur les exigences liées aux certificats, consultez la rubrique Certificats requis pour l’accès des utilisateurs externes dans le document Planification et architecture.
Interfaces interne et externe
Chacun des trois services qui s'exécutent sur un serveur de périphérie a une interface externe et interne séparée. Chacun de ces services requiert une combinaison adresse IP externe/port séparée. La configuration recommandée est, pour chacun des trois services, d'avoir des adresses IP différentes, pour que chaque service puisse utiliser ses paramètres de port par défaut.
L'utilisation de noms DNS différents pour chacune des deux interfaces est requise. Une adresse IP unique et un nom de domaine complet unique sont requis pour l'interface interne et externe. Une carte réseau multirésidente utilisant le même nom DNS, et par conséquent la même adresse IP pour les deux interfaces, interne et externe, n'est pas prise en charge.
Dans un site comprenant un seul serveur de périphérie, il est conseillé que l'adresse IP de l'interface externe du service Edge A/V soit publiquement routable. Toutefois, le pare-feu externe peut fonctionner en tant que NAT pour cette adresse IP dans ce scénario.
Dans un emplacement comprenant plusieurs serveurs de périphérie déployés avec un équilibreur de charge, l'adresse IP de l'interface externe du service Edge A/V doit être publiquement routable. Le pare-feu externe ne peut pas fonctionner comme un NAT pour cette adresse IP. Cette condition ne s'applique pas à d'autres services de serveur de périphérie.
Le pare-feu interne ne doit pas fonctionner en tant que NAT pour l'adresse IP interne du service Edge A/V. Cette adresse doit être intégralement routable, depuis le réseau interne jusqu'à l'adresse IP interne du service Edge A/V.