Office Communications Server 2007 R2 的外围网络拓扑
上一次修改主题: 2009-09-04
边缘服务器是在外围网络中部署的、用以支持外部用户访问的一种服务器角色。外部用户包括远程用户、联盟用户和匿名用户。Office Communications Server 支持与以下一个或多个公共 IM 服务提供商连接:AOL、MSN 和 Yahoo!。
.gif "Dd425171.note(zh-cn,office.13).gif") 注意: |
|---|
| 在以下论述中,将使用 VPN 连接访问网络的外部用户视为内部用户。 |
边缘服务器运行三种服务:访问边缘服务、A/V 边缘服务和 Web 会议边缘服务。所有这三种服务都自动随边缘服务器一起安装。
除一台或多台边缘服务器外,外围网络中还需要部署 HTTP 反向代理。不支持边缘服务器与反向代理、或与内部或外部防火墙并置。访问边缘服务无法与其他任何网络外围服务(例如 Microsoft Internet Security and Acceleration (ISA) Server 或 Microsoft Exchange 2007 Server 边缘角色)并置。
组件支持外部访问,如下所示:
- 访问边缘服务验证和转发内部用户与外部用户之间的 SIP 信号流量。
- A/V 边缘服务可以实现音频和视频会议以及桌面共享,还可实现与配备有支持的客户端的外部用户进行音频/视频 (A/V) 对等通信。有关详细信息,请参阅支持的客户端。
- Web 会议边缘服务支持外部用户参与内部 Web 会议服务器承载的会议。
- 还需要有 HTTP 反向代理,用于下载通讯簿信息、扩展通讯组中的成员身份、下载 Web 会议内容,以及提供对用于更新设备和客户端的文件的访问。
以下是外围网络中支持的边缘拓扑,其中每个边缘拓扑在每个物理位置都具有一个 HTTP 反向代理:
- 单个合并边缘拓扑
单个边缘服务器计算机。 - 扩展的合并边缘拓扑
负载平衡器之后的两个或多个边缘服务器计算机。 - 多站点合并边缘拓扑
一个主位置(数据中心)上有一个扩展的合并边缘拓扑,一个或多个远程站点在负载平衡器之后部署单个合并边缘拓扑或一个扩展的合并边缘拓扑。
在多个位置部署的情况下,联盟和公共 IM 连接仅支持单个边缘服务器或边缘服务器的单个负载平衡阵列。远程用户访问支持多个位置的多个访问边缘服务器。
对于具有多台边缘服务器的扩展合并边缘拓扑,Director 上的下一个跃点服务器必须指向内部负载平衡器上的访问边缘服务阵列的虚拟 IP 地址。
Standard Edition Server 产品密钥和 Enterprise Edition Server 产品密钥均支持边缘服务器。
支持将边缘服务器加入完全位于外围网络中的域,但不建议这样做。边缘服务器绝对不能是内部网络中域的一部分。
证书
每台边缘服务器都必须拥有内部证书。服务器上的所有三种边缘服务共用该证书。证书的使用者名称必须与该边缘服务器的访问边缘服务的内部完全限定域名 (FQDN) 匹配。
每个边缘服务器都需要有两个外部证书,一个用于访问边缘服务,另一个用于 Web 会议边缘服务。每个证书的使用者名称都必须与该服务器上边缘服务的外部 FQDN 匹配。
A/V 身份验证需要额外的证书。A/V 身份验证证书的私钥用于生成身份验证凭据。该证书可以是内部证书,但作为一种安全预防措施,A/V 身份验证不应与任何边缘服务器服务使用相同的证书。
有关证书要求的详细信息,请参阅“规划和体系结构”文档中的外部用户访问的证书要求。
内部接口和外部接口
边缘服务器上运行的三种服务均配有独立的内部接口和外部接口。每种服务都要求采用独立的外部 IP 地址/端口组合。建议的配置是,三种服务的 IP 地址各不相同,从而使每种服务都可以使用默认端口设置。
两类接口要求分别使用不同的 DNS 名称。内部接口和外部接口要求使用唯一的 IP 地址和唯一的 FQDN。不支持对内部接口和外部接口使用相同 DNS 名称(因此也使用相同的 IP 地址)的多宿主网络适配器。
在仅部署了一个边缘服务器的站点中,建议 A/V 边缘服务的外部接口的 IP 地址为公共可路由。但是,外部防火墙在此方案中对此 IP 地址可起到网络地址转换 (NAT) 的作用。
在负载平衡器后部署多个边缘服务器的任何位置中,A/V 边缘服务的外部接口的 IP 地址都必须为公共可路由。外部防火墙对此 IP 地址无法起到 NAT 的作用。这一要求不适用于其他边缘服务器服务。
内部防火墙不得充当 A/V 边缘服务内部 IP 地址的 NAT。A/V 边缘服务器的内部 IP 地址从内部网络到 A/V 边缘服务器的内部 IP 地址必须为完全可路由。