Office Web Apps サーバーの最小ハードウェア要件は SharePoint Server 2013と同じです。SharePoint 2013の総合的な要件は、「 ハードウェア要件 — Web サーバー、アプリケーション サーバー、および単一サーバー インストール」で確認できます。スケーラビリティに関する追加のガイダンスは、この記事が将来更新されるときに提供されます。

Office Web Apps サーバー は以下のオペレーティング システムで実行できます。

• KB2592525 がインストールされている Windows Server 2007 R2 Service Pack 1 (SP1) Standard、Enterprise、または Datacenter の 64 ビット版

• Windows Server 2003 Standard または Datacenter の 64 ビット版

重要:
Windows Server のサービス パックと累積的な更新プログラムが入手可能であれば、インストールすることをお勧めします。ただし、現時点では、Windows Server 2008 R2 Service Pack 1 (SP1) を実行するサーバーに必要な更新プログラムは、 KB2592525 のみです。

Office Web Apps サーバー ファーム内のすべてのサーバーは、ドメインの一部である必要があります。同じドメイン内か (ベスト プラクティス)、同じフォレスト内のドメイン内に配置できます。

注意:
Office Web Apps サーバー は、ドメイン コントローラーにはインストールしないでください。

サーバーに何をインストールするかを示す前に、インストールしてはならないものについて説明します。以下のガイドラインをよく確認してください。

• Office Web Apps サーバーを実行するサーバーでは、他のサーバー アプリケーションを実行しないでください。これには、Exchange Server、SharePoint Server、Lync Server、および SQL Server が含まれます。ハードウェアの制約がある場合は、これらのうちの 1 つのサーバーの仮想マシン インスタンスで Office Web Apps サーバーを実行できます。

• ポート 80、443、または 809 の Web サーバー (IIS) の役割を利用するサービスまたは役割をインストールしないでください。 Office Web Apps サーバーによって、これらのポートの Web アプリケーションが定期的に削除されるためです。

• すべてのバージョンの Office をインストールしないでください。Office Web Apps サーバーをインストールする前に Office をアンインストールする必要があります。

• Office Web Apps サーバー は、ドメイン コントローラーにはインストールしないでください。Office Web Apps サーバー は、Active Directory ドメイン サービス (AD DS) を実行している Windows Server にはインストールしないでください。

次に、何をインストールするかを説明します。詳細については以下の表を参照してください。

Office Web Apps サーバーで必要なダウンロード、サーバーの役割および機能

ダウンロード、サーバーの役割または機能	Windows Server 2008 R2	Windows Server 2012
ダウンロード: Office Web Apps サーバー	Microsoft ダウンロード センター	Microsoft ダウンロード センター
ダウンロード: .NET Framework 4.5	.NET Framework 4.5	インストール済み
ダウンロード: KB2592525	KB2592525	インストール済み
ダウンロード: Windows PowerShell 3.0	Windows PowerShell 2013	インストール済み
サーバーの役割: Web サーバー (IIS)	以下に、Web サーバー (IIS) のサーバーの役割で必要な最小限の役割サービスを示します。 一般的な HTTP の機能 静的コンテンツ 既定のドキュメント アプリケーション開発 ASP.NET .NET 拡張機能 ISAPI 拡張機能 ISAPI フィルター サーバー側インクルード セキュリティ Windows 認証 要求のフィルタリング 管理ツール IIS 管理コンソール 以下のオプションは推奨項目です。必須ではありません。 パフォーマンス 静的コンテンツの圧縮 動的コンテンツの圧縮	以下に、Web サーバー (IIS) のサーバーの役割で必要な最小限の役割サービスを示します。 管理ツール IIS 管理コンソール Web サーバー HTTP 共通機能 既定のドキュメント 静的コンテンツ セキュリティ 要求のフィルタリング Windows 認証 アプリケーション開発 .NET 拡張機能 4.5 ASP.NET 4.5 ISAPI 拡張機能 ISAPI フィルター サーバー側インクルード 以下のオプションは推奨項目です。必須ではありません。 パフォーマンス 静的コンテンツの圧縮 動的コンテンツの圧縮
機能: インクと手書きサービス	インクと手書きサービス インク サポート	インクと手書きサービス メモ: インク サポートをインストールする必要はありません。インクと手書きサービスのみをインストールできます。

Microsoft IT では次のトポロジを使用しています。弊社の行ったテストに基づき、このトポロジは最大 200,000 人のユーザーをサポートできます。このトポロジでは、Office Web Apps サーバー の機能は、次のコンポーネントとサービスを使用して展開されます。

• Office Web Apps サーバー を実行している 10 台のデータセンター クラス サーバー。

  • サポートされるオペレーティング システム: Windows Server 2003 R2 および Windows Server 2003。

  • RAM: 24 GB

  • プロセッサー: Intel Xeon Processor E7 (16 コア)。

  • Office Web Apps サーバー は、サーバーのシステム ドライブにインストールされます。

  • すべてのサーバーは、単一の Office Web Apps サーバー ファーム内にあります。

  • Office Web Apps サーバー 内のすべてのサーバーは、同一の構成を使用します。既定ですぐに使用できる Office Web Apps サーバー 構成設定が使用されます。

  • Office Web Apps サーバー のサーバーの役割は構成されていません。

  • Office Web Apps サーバー を実行するサーバーは、ハードウェア ロード バランサーの背後にある企業ネットワークに配置されます。

  • Office Web Apps サーバー を実行するサーバーは操作を目的として、企業ドメインに参加し、単一の Active Directory ドメイン サービスの組織単位 (OU) 内にあります。

  • これらのコンピューターで IPsec は使用されていません。IPsec を除外するにはグループ ポリシーを適用します。これは、Office Web Apps サーバーを企業ネットワークで実行するサーバー間でブロック解除された通信を許可するために必要です。

• ハードウェア ロード バランサー (HLB) はデュアルホームです。HLB はインターネットと企業ネットワークにアクセスできます。Office Web Apps サーバーファームの構成時に、外部 URL は外向きの HLB の仮想 IP (VIP) にバインドされ、内部 URL は内向きの HLB の VIP にバインドされます。たとえばトポロジの HLB はソフト アフィニティを使用して、レイヤー 7 負荷分散に依存し、HTTP などのアプリケーション レイヤー プロトコルのデータに基づいた要求を配布します。ソフト アフィニティを使用すると、特定のセッションの要求は同じフロント エンドにルーティングされます。

  • インターネット側では、VIP アドレスを使用して TCP ポート 443 の SSL を介して WAC サービスを公開します。これはインターネットに接続するファイアウォールで、適切なアクセス許可とポリシーを持つ、インターネットでルーティングが可能な IP アドレスです。この IP 空間はパブリック DNS を介してアドバタイズされるため、インターネットからアクセスできます。

  • HLB の企業ネットワーク側は、Office Web Apps サーバー を実行するサーバーと直接通信します。内部企業トラフィックには内部 VIP および内部 DNS エントリが使用されます。次の表に、例のトポロジで内部および外部トラフィックに使用される DNS 名と VIP アドレスを示します。xxx.xxx.xxx.xxx と yyy.yyy.yyy.yyy は、実際の VIP アドレスのプレースホルダーです。

    DNS 名と VIP アドレスの例

    DNS	VIP アドレス	説明
    Officewebapps.extranet.contoso.com	xxx.xxx.xxx.xxx	外向き SSL エンドポイント
    Officewebapps.corp.contoso.com	yyy.yyy.yyy.yyy	内向き SSL 終了エンドポイント

  • IIS を確実に実行するために、HLB は、ファーム内の各サーバーに HTTP 要求を行うように構成されます。応答のないサーバーはローテーションから外されます。

次の図は、Office Web Apps サーバー ファーム、デュアルホームのハードウェア ロード バランサーおよびファイアウォール、Exchange Server 2013、Lync Server 2013、および SharePoint 2013 のホスト、そしてクライアントを含むトポロジの例を示しています。

弊社のパフォーマンス テストによると、Office Web Apps サーバー と 2 台の Intel Xeon プロセッサ (8 コア)、8 GB の RAM、および 60 GB のハード ディスクを併用すると、主な用途が表示であるユーザーを最大 10,000 人サポートできます。16 コア CPU と 16 GB の RAM があるサーバーでは、最大 20,000 人のユーザーをサポートできます。これらの結果は、使用パターンや、ネットワーク ハードウェアなどの他の要因によって変わります。

Office Web Apps サーバーは、SharePoint 2013、Lync Server 2013、およびExchange Server 2013と HTTPS プロトコルを使用して通信できます。運用環境では HTTPS の使用を強く推奨します。Office Web Apps サーバーを実行するサーバー (単一サーバーを使用する場合)、またはロード バランサー (Office Web Apps サーバーを実行する複数サーバーを使用する場合) に割り当てられる Internet Server 証明書をインストールする必要があります 。

ユーザー データを含まないテスト環境では、SharePoint 2013とExchange Server 2013に HTTP を使用することができ、証明書の要件は省略できます。Lync Server 2013では HTTPS しかサポートされません。

注意:
HTTP を使用すると、セキュリティの脆弱性のために Office Web Apps サーバーを使用して表示されるすべてのデータが危険にさらされます。HTTPS は Office Web Apps サーバーのセキュリティの中心です。HTTPS の使用を強く推奨します。

Office Web Apps サーバー が使用する証明書は、次の要件を満たす必要があります。

• 証明書は、信頼できる証明機関から発行され、Office Web Apps サーバーファームの完全修飾ドメイン名 (FQDN) を SAN (サブジェクトの別名) フィールドに含んでいる必要があります (FQDN が SAN に含まれない場合、その証明書を使用しようとすると、ブラウザーによってセキュリティ警告が表示されるか、レスポンスが処理されません)。

• 証明書は、エクスポート可能な秘密キーを含む必要があります。単一サーバーのファームでは、インターネット インフォメーション サービス (IIS) マネージャー スナップインを使用して証明書をインポートするとき、既定ではこのオプションが選択されています。

• フレンドリ名フィールドは、信頼できるルート証明書機関のストア内で一意であることが必要です。複数の証明書でフレンドリ名フィールドが共有されている場合、New-OfficeWebAppsFarm コマンドレットは使用する証明書を特定できず、ファーム作成が失敗します。

• SAN フィールドの FQDN をアスタリスク (*) で始めることはできません。

• 証明書のプロパティと拡張子は重要ではありません。たとえば、以前クライアントの拡張キー使用法 (EKU) の拡張子またはサーバーの EKU の拡張子が必要かどうかと質問されましたが、Office Web Apps サーバー では特定の証明書のプロパティや拡張子は必要ありません。

さらに、証明書は次のとおりインポートする必要があります。

• 単一サーバーのファーム   Office Web Apps サーバー を実行するサーバーに証明書を直接インポートする必要があります。証明書を手動でバインドしないでください。後から実行する New-OfficeWebAppsFarm コマンドレットによってこの処理が行われます。手動でバインドした証明書は、サーバーが再起動するたびに削除されます。

• 負荷分散されたファーム   SSL をオフロードしている場合、証明書はハードウェア ロード バランサーにインポートする必要があります。SSL をオフロードしていない場合は、Office Web Apps サーバーファーム内の各サーバーに証明書をインストールする必要があります。

メモ:
重要でないテスト環境以外では、自己署名証明書を使用しないでください。

証明書の詳細については、 SSL 証明書の取得を参照してください。

新しい Office Web Apps サーバー ファームをセットアップすると、SSL オフロードは既定でオフに設定されます。SSL がオフロードされている場合、ファーム内の各 Office Web Apps サーバー が HTTP を使用してロード バランサーと通信することが許可されます。ただし、HTML 内のリソースへのすべての参照は、HTTPS 参照です。これを設定せずに HTTP を使用しようとすると、ユーザーは、リソースを表示できないか、セキュリティの警告が表示されます。オフロードがオフに設定されている場合、SSL は、ハードウェア ロード バランサーではなく、Office Web Apps サーバー を実行する各サーバーで終了します。代わりに、SSL をロード バランサーで終了すると、次の利点があります。

• 証明書管理の簡素化

• 改良型ソフト アフィニティ

• 改良型パフォーマンス

ロード バランサーから Office Web Apps サーバーを実行するサーバーへのトラフィックは暗号化されないため、ネットワーク自体が安全であることを確認する必要があります。プライベート サブネットの使用により、トラフィックを保護することができます。

対象サーバーの組織単位を作成し、ファームを作成するときに FarmOU パラメーターを指定することで、無許可のサーバーが Office Web Apps サーバーファームに参加することを防ぎます。FarmOU パラメーターの詳細については、記事「 New-OfficeWebAppsFarm」を参照してください。

許可リストは、不要なホストが Office Web Apps サーバーファームに接続して、同意なしにファームを使用してファイルを操作することを防ぐセキュリティ機能です。承認されたホストを含むドメインを許可リストに追加することで、Office Web Apps サーバーがファイル処理要求 (ファイルの取得、メタデータの取得、ファイルの変更など) を許可するホストを制限できます。

Office Web Apps サーバー ファームを作成した後で許可リストにドメインを追加できます。許可リストにドメインを追加する方法については、記事「 New-OfficeWebAppsHost」を参照してください。

重要:
ドメインを許可リストに追加しないと、Office Web Apps サーバーはすべてのドメインのホストにファイル要求を許可します。Office Web Apps サーバー ファームがインターネットでアクセスできる場合には、このリストを空にしないでください。空にしておくと、誰もが Office Web Apps サーバー ファームを使用してコンテンツを表示および編集できます。

オンライン ビューアーを使用して Web ブラウザーで表示するためのファイルは、認証が必要であってはなりません。つまり、ファイルを公開する必要があります。オンライン ビューアーはファイルを取得する際に認証を実行できないためです。オンライン ビューアーで使用する Office Web Apps サーバーファームは、イントラネットとインターネットのどちらか一方のみ (両方ではなく) にアクセスできるようにすることを強く推奨します。Office Web Apps サーバーは、イントラネット URL とインターネット URL の要求を区別しないためです。たとえば、イントラネット URL への要求がインターネットから送られた場合に、内部ドキュメントがインターネット上に提供されて、セキュリティ リークが発生する可能性があります。

同じ理由から、Office Web Apps サーバーがインターネットのみに接続するように設定した場合は、オンライン ビューアーの UNC サポートを無効にすることを強く推奨します。UNC サポートを無効にするには、Windows PowerShell のコマンドレット New-OfficeWebAppsFarm (新規ファーム) または Set-OfficeWebAppsFarm (既存ファーム) を使用して OpenFromUncEnabled パラメーターを False に設定します。

追加のセキュリティ上の理由から、オンライン ビューアーでの表示は、10 MB 以下の Office ファイルに制限されます。

Windows PowerShell の以下のパラメーターを New-OfficeWebAppsFarm (新規ファーム) または Set-OfficeWebAppsFarm (既存ファーム) で使用して、オンライン ビューアーを構成できます。

• OpenFromUrlEnabled   オンライン ビューアーのオンとオフを切り替えます。このパラメーターは、URL および UNC パスを持つファイルに関してオンライン ビューアーを制御します。新しい Office Web Apps サーバー ファームを作成したとき、既定ではこのパラメーターは False (無効) に設定されています。

• OpenFromUncEnabled   オンライン ビューアーがオンになっているとき (OpenFromUrlEnabled を使用して True に設定)、このパラメーターは、オンライン ビューアーで UNC パスのファイルを表示できるかどうかを切り替えます。既定ではこのパラメーターは True に設定されていますが、OpenFromUrlEnabled も True に設定されていることを確認してから、UNC パスのファイルを開けるようにします。前に説明したように、Office Web Apps サーバーがインターネットに接続するように設定した場合は、このパラメーターを False に設定することを推奨します。

• OpenFromUrlThrottlingEnabled   一定期間に所定のサーバーからの URL 要求で開く回数を調整します。既定の調整値 (構成不可) により、Office Web Apps サーバーファームがオンライン ビューアーで表示するコンテンツの要求を送信するときに、1 サーバーに負荷をかけすぎないようになります。