Topologias da rede de perímetro do Office Communications Server 2007 R2
Tópico modificado em: 2009-09-04
O Servidor de Borda é uma função de servidor implantada em uma rede de perímetro para dar suporte ao acesso de usuários externos. Os usuários externos incluem usuários anônimos, usuários federados e usuários remotos. O Office Communications Server dá suporte para a conectividade com um ou mais dos seguintes provedores públicos de mensagens instantâneas: AOL, MSN e Yahoo!.
.gif "Dd425171.note(pt-br,office.13).gif") Observação: |
|---|
| Nesta discussão, os usuários externos que acessam a rede usando uma conexão VPN são considerados usuários internos. |
Um Servidor de Borda executa três serviços: Serviço de Borda de Acesso, Serviço de Borda A/V e Serviço de Borda de Webconferência. Todos os três serviços são instalados automaticamente com um Servidor de Borda.
Além de um ou mais Servidores de Borda, os proxies reversos HTTP também são necessários na rede de perímetro. Não há suporte para a colocação de um Servidor de Borda com um proxy reverso ou um firewall interno ou externo. O Serviço de Borda de Acesso não pode ser arranjado com qualquer outro serviço de perímetro de rede, como o servidor Microsoft Internet Security and Acceleration (ISA) ou a função de Servidor de Borda do Microsoft Exchange 2007.
Os componentes dão suporte para o acesso externo da seguinte forma:
- O Serviço de Borda de Acesso valida e encaminha o tráfego de sinalização do SIP entre usuários internos e externos.
- O Serviço de Borda A/V habilita a audioconferência e videoconferência, compartilhamento de área de trabalho e as comunicações ponto-a-ponto de áudio/vídeo (A/V) com usuários externos equipados com um cliente com suporte. Para obter mais detalhes, consulte Clientes Suportados.
- O Serviço de Borda de Webconferência permite que os usuários externos participem de conferências hospedadas por um Servidor de Webconferência interno.
- O proxy reverso HTTP é necessário para baixar informações do Catálogo de Endereços, expandir a associação em grupos de distribuição, baixar conteúdo de Webconferência e fornecer acesso o arquivos para atualizar dispositivos e clientes.
As seguintes topologias de borda, cada uma com um único proxy reverso HTTP em cada local físico, têm suporte na rede de perímetro:
- Topologia de borda consolidada única
Um único computador Servidor de Borda. - Topologia de borda consolidada em escala
Dois ou mais computadores Servidores de Borda atrás de um balanceador de carga. - Topologia de borda consolidada de vários sites
Um local principal (o data center) tem uma topologia de borda consolidada em escala, e um ou mais sites remotos implantam uma topologia de borda consolidada única ou em escala, atrás de um balanceador de carga.
Para implantações com vários locais, somente um único Servidor de Borda ou uma única matriz de carga balanceada de Servidores de Borda tem suporte para federação e para conectividade de mensagens instantâneas públicas. Vários Servidores de Borda de Acesso em vários locais têm suporte para acesso de usuário remoto.
Para uma topologia de borda consolidada em escala com vários Servidores de Borda, o servidor de próximo salto no Diretor deve direcionar o endereço IP virtual da matriz do serviço de Borda de Acesso no balanceador de carga interno.
Um Servidor de Borda tem suporte da chave de produto do Standard Edition Server e da chave de produto do Enterprise Edition Server.
A operação de ingressar o Servidor de Borda em um domínio localizado totalmente na rede de perímetro tem suporte, mas não é recomendável. Um Servidor de Borda nunca deve ser parte do domínio na rede interna.
Certificados
Cada Servidor de Borda deve ter um certificado interno. Todos os três serviços de borda nesse servidor compartilham esse certificado. O nome da entidade do certificado deve corresponder ao FQDN (nome de domínio totalmente qualificado) interno do serviço de Borda de Acesso desse Servidor de Borda.
Cada Servidor de Borda requer dois certificados externos — um para o serviço de Borda de Acesso, e outro para o serviço de Borda de Webconferência. Cada um desses certificados deve ter um nome da entidade que corresponda ao FQDN externo do serviço de borda no servidor.
Um certificado adicional é necessário para a autenticação de áudio/vídeo (A/V). A chave particular do certificado de autenticação A/V é usada para gerar as credenciais de autenticação. Esse pode ser um certificado interno, mas como medida de segurança, você não deve usar o mesmo certificado para autenticação A/V que utilizou para qualquer um dos serviços de Servidor de Borda.
Para obter mais detalhes sobre requisitos de certificado, consulte Requisitos de Certificado para Acesso de Usuário Externo na documentação de Planejamento e Arquitetura.
Interfaces internas e externas
Cada um dos três serviços executados em um Servidor de Borda tem uma interface interna e externa separada. Cada um dos serviços requer uma combinação de endereço/porta IP externa separada. A configuração recomendada para cada um dos três serviços deve ter endereços IP diferentes, de modo que cada um deles use suas configurações de porta padrão.
O uso de diferentes nomes DNS para cada uma das duas interfaces é necessário. Um endereço IP exclusivo e um nome FQDN exclusivo são necessários para a interface interna e externa. Não há suporte para um adaptador de rede multihomed que utilize o mesmo nome DNS e, portanto, o mesmo endereço IP, para as interfaces interna e externa.
Em um site com um único Servidor de Borda implantado, é recomendável que o endereço IP da interface externa do serviço de Borda A/V seja roteável publicamente. No entanto, o firewall externo pode funcionar como um NAT (conversão de endereço de rede) para esse endereço IP nesse cenário.
Em qualquer localização com vários Servidores de Borda implantados por trás de um balanceador de carga, o endereço IP da interface externa do serviço de Borda A/V deverá ser roteável publicamente. O firewall externo não pode funcionar como NAT para esse endereço IP. Esse requisito não se aplica aos serviços de Servidor de Borda.
O firewall interno não deve funcionar como um NAT para o endereço IP interno do serviço de Borda A/V. O endereço IP interno do serviço de Borda A/V deve ser totalmente roteável da rede interna para o endereço IP interno do serviço de Borda A/V.