Artikel
03/23/2012

DNS-Anforderungen für den Zugriff durch externe Benutzer

Letztes Änderungsdatum des Themas: 2010-04-14

Auf einem Edgeserver werden drei Dienste ausgeführt: der Zugriffs-Edgedienst, der Webkonferenz-Edgedienst und der A/V-Edgedienst. Jeder dieser Dienste weist eine separate externe und interne Schnittstelle auf. Für jeden dieser Dienste ist eine separate externe IP-Adresse/Portkombination erforderlich. Die empfohlene Konfiguration sieht unterschiedliche IP-Adressen für jeden der drei Dienste vor, sodass jeder Dienst seine Standardporteinstellungen verwenden kann.

Für jede externe und jede interne Schnittstelle müssen spezielle DNS-Einstellungen (Domain Name System) festgelegt werden. Allgemein gilt, dass die DNS-Einträge so konfiguriert werden müssen, dass sie auf die entsprechenden Server im internen Netzwerk zeigen, und die entsprechenden DNS-Einträge müssen für jeden Dienst konfiguriert werden.

Hinweis:
Um das Spoofing von DNS-SRV-Einträgen zu verhindern und sicherzustellen, dass Zertifikate gültige Verknüpfungen zwischen einem Benutzer-URI (Uniform Resource Identifier) und tatsächlichen Anmeldeinformationen bereitstellen, erfordert Office Communications Server 2007 R2, dass der Name der DNS-SRV-Domäne dem Servernamen im Zertifikat entspricht. Der Name des Antragstellers (SN, Subject Name) muss auf sip.<Domäne> zeigen.

Um das Spoofing von DNS-SRV-Einträgen zu verhindern und sicherzustellen, dass Zertifikate gültige Verknüpfungen zwischen einem Benutzer-URI (Uniform Resource Identifier) und tatsächlichen Anmeldeinformationen bereitstellen, erfordert Office Communications Server 2007 R2, dass der Name der DNS-SRV-Domäne dem Servernamen im Zertifikat entspricht. Der Name des Antragstellers (SN, Subject Name) muss auf sip.<Domäne> zeigen.

In der folgenden Tabelle werden die DNS-Einträge detailliert erläutert, die für die Edgeserver erforderlich sind.

Hinweis:
Die in der folgenden Tabelle und an anderen Stellen in dieser Dokumentation genannten Portnummern sind in der Regel die Standardports. Wenn Sie andere Porteinstellungen verwenden, müssen Sie die Verfahren in dieser Dokumentation entsprechend ändern.

Tabelle 1. Erforderliche DNS-Einträge für Edgeserver

Interner/externer Eintrag	Server	DNS-Einstellungen
Extern	Edgeserver	Um die DNS-basierte Erkennung Ihrer Domäne durch Verbundpartner zu unterstützen. Ein externer SRV-Eintrag für einen Edgeserver für _sipfederationtls._tcp.<Domäne> über Port 5061, wobei <Domäne> für den Namen der SIP-Domäne Ihrer Organisation steht. Dieser SRV-Eintrag muss auf einen A-Eintrag mit dem externen vollqualifizierten Domänennamen (Fully Qualified Domain Name, FQDN) des Zugriffs-Edgeservers zeigen. Wenn Sie über mehrere SIP-Domänen verfügen, benötigen Sie für jede Domäne einen DNS-SRV-Eintrag. Der für diesen SRV-Eintrag ausgewählte Edgeserver fungiert als Edgeserver, durch den der gesamte Datenverkehr in dem Verbund fließt. Um den Zugriff externer Benutzer über Microsoft Office Communicator und den Microsoft Office Live Meeting-Client zu unterstützen. Ein DNS-SRV-Eintrag für _sip._tls.<Domäne> über Port 443, wobei <Domäne> für den Namen der SIP-Domäne Ihrer Organisation steht. Dieser SRV-Eintrag muss auf den A-Eintrag des Zugriffs-Edgediensts zeigen. Wenn mehrere SIP-Domänen vorhanden sind, ist für jede Domäne ein DNS-SRV-Eintrag erforderlich – jeder SRV-Eintrag kann, wenn Sie möchten, auf einen anderen Edgeserver zeigen, sodass die Arbeitsauslastung verteilt wird. Hinweis: Wenn eine DNS-SRV-Abfrage als Ergebnis mehrere DNS-Einträge hervorbringt, wählt der Zugriffs-Edgedienst immer den DNS-SRV-Eintrag aus, dessen Priorität durch die kleinste Zahl und dessen Gewichtung durch die größte Zahl bezeichnet ist. Wenn als Ergebnis mehrere DNS SRV-Einträge mit gleicher Priorität und Gewichtung zurückgegeben werden, wählt der Zugriffs-Edgedienst den SRV-Eintrag aus, der vom ersten DNS-Server zurückgegeben wurde. Um Domänennachschlagevorgänge für den Zugriffs-Edgedienst aufzulösen. Für jede unterstützte SIP-Domäne in Ihrer Organisation ein externer DNS-A-Eintrag für sip.<Domäne>, der in die externe IP-Adresse des Zugriffs-Edgediensts aufgelöst wird (bzw. in die virtuelle IP-Adresse, die von den Zugriffs-Edgediensten im externen System zum Lastenausgleich verwendet wird, wenn Sie über mehrere bereitgestellte Edgeserver verfügen). Wenn ein Client keinen SRV-Eintrag nachschlagen kann, um eine Verbindung mit dem Zugriffs-Edgedienst herzustellen, verwendet er ersatzweise diesen A-Eintrag. Um Domänenachschlagevorgänge für den Webkonferenz-Edgedienst aufzulösen. Ein externer DNS-A-Eintrag, der den externen Namen des Webkonferenz-Edgediensts in die externe IP-Adresse des Webkonferenz-Edgediensts auflöst (bzw. in die virtuelle IP-Adresse, die von den Webkonferenz-Edgediensten im externen System zum Lastenausgleich verwendet wird, wenn Sie über mehrere bereitgestellte Edgeserver verfügen). Um Domänennachschlagevorgänge für den A/V-Edgedienst aufzulösen. Ein externer DNS-A-Eintrag, der den externen vollqualifizierten Namen des A/V-Edgediensts in die externe IP-Adresse des A/V-Edgediensts auflöst (bzw. in die virtuelle IP-Adresse, die von den A/V-Edgediensten im externen System zum Lastenausgleich verwendet wird, wenn Sie über mehrere bereitgestellte Edgeserver verfügen).
Extern	Reverseproxy	Um Webkonferenzen für externe Benutzer zu unterstützen. Ein externer DNS-A-Eintrag, der den FQDN der externen Webfarm in die externe IP-Adresse des Reverseproxys auflöst. Der Client verwendet diesen Eintrag, um eine Verbindung mit dem Reverseproxy herzustellen. Um den Zugriff auf den Geräteaktualisierungsdienst durch externe Geräte zu unterstützen. Ein externer DNS-A-Eintrag, der die externe IP-Adresse des Reverseproxys in die IP-Adresse des Office Communications Server 2007 R2 Enterprise-Pools oder Standard Edition-Servers auflöst, auf dem der Geräteaktualisierungsdienst gehostet wird. Ausführliche Informationen finden Sie unter Geräteaktualisierungsdienst.
Internes	Edgeserver	Sie müssen interne DNS-A-Datensätze anlegen, damit Office Communications Server 2007 R2-Server innerhalb der Organisation eine Verbindung mit der internen Schnittstelle des Edgeservers herstellen können. Wenn Sie lediglich einen Edgeserver verwenden, reicht ein interner DNS-A-Datensatz aus, der den internen FQDN des Edgeservers in die interne IP-Adresse des Edgeservers auflöst. Wenn Sie an einem Standort über mehrere Edgeserver verfügen, benötigen Sie die folgenden DNS-Datensätze: Ein interner DNS-A-Datensatz, der den internen FQDN des Arrays von Zugriffs-Edgediensten in die virtuelle IP-Adresse (VIP) des Arrays von Zugriffs-Edgediensten im internen System zum Lastenausgleich auflöst. Ein interner DNS-A-Datensatz, der den internen FQDN des Arrays von A/V-Edgediensten in die virtuelle IP-Adresse des Arrays von A/V-Edgediensten im internen System zum Lastenausgleich auflöst. Für jeden Edgeserver ein interner DNS-A-Eintrag, der den internen FQDN des Webkonferenz-Edgediensts auf diesem Server in die interne IP-Adresse des Webkonferenz-Edgediensts auf diesem Server auflöst.

Extern

Edgeserver

Um die DNS-basierte Erkennung Ihrer Domäne durch Verbundpartner zu unterstützen. Ein externer SRV-Eintrag für einen Edgeserver für _sipfederationtls._tcp.<Domäne> über Port 5061, wobei <Domäne> für den Namen der SIP-Domäne Ihrer Organisation steht. Dieser SRV-Eintrag muss auf einen A-Eintrag mit dem externen vollqualifizierten Domänennamen (Fully Qualified Domain Name, FQDN) des Zugriffs-Edgeservers zeigen. Wenn Sie über mehrere SIP-Domänen verfügen, benötigen Sie für jede Domäne einen DNS-SRV-Eintrag. Der für diesen SRV-Eintrag ausgewählte Edgeserver fungiert als Edgeserver, durch den der gesamte Datenverkehr in dem Verbund fließt.

Um den Zugriff externer Benutzer über Microsoft Office Communicator und den Microsoft Office Live Meeting-Client zu unterstützen. Ein DNS-SRV-Eintrag für _sip._tls.<Domäne> über Port 443, wobei <Domäne> für den Namen der SIP-Domäne Ihrer Organisation steht. Dieser SRV-Eintrag muss auf den A-Eintrag des Zugriffs-Edgediensts zeigen. Wenn mehrere SIP-Domänen vorhanden sind, ist für jede Domäne ein DNS-SRV-Eintrag erforderlich – jeder SRV-Eintrag kann, wenn Sie möchten, auf einen anderen Edgeserver zeigen, sodass die Arbeitsauslastung verteilt wird.

Hinweis:

Wenn eine DNS-SRV-Abfrage als Ergebnis mehrere DNS-Einträge hervorbringt, wählt der Zugriffs-Edgedienst immer den DNS-SRV-Eintrag aus, dessen Priorität durch die kleinste Zahl und dessen Gewichtung durch die größte Zahl bezeichnet ist. Wenn als Ergebnis mehrere DNS SRV-Einträge mit gleicher Priorität und Gewichtung zurückgegeben werden, wählt der Zugriffs-Edgedienst den SRV-Eintrag aus, der vom ersten DNS-Server zurückgegeben wurde.

Um Domänennachschlagevorgänge für den Zugriffs-Edgedienst aufzulösen. Für jede unterstützte SIP-Domäne in Ihrer Organisation ein externer DNS-A-Eintrag für sip.<Domäne>, der in die externe IP-Adresse des Zugriffs-Edgediensts aufgelöst wird (bzw. in die virtuelle IP-Adresse, die von den Zugriffs-Edgediensten im externen System zum Lastenausgleich verwendet wird, wenn Sie über mehrere bereitgestellte Edgeserver verfügen). Wenn ein Client keinen SRV-Eintrag nachschlagen kann, um eine Verbindung mit dem Zugriffs-Edgedienst herzustellen, verwendet er ersatzweise diesen A-Eintrag.

Um Domänenachschlagevorgänge für den Webkonferenz-Edgedienst aufzulösen. Ein externer DNS-A-Eintrag, der den externen Namen des Webkonferenz-Edgediensts in die externe IP-Adresse des Webkonferenz-Edgediensts auflöst (bzw. in die virtuelle IP-Adresse, die von den Webkonferenz-Edgediensten im externen System zum Lastenausgleich verwendet wird, wenn Sie über mehrere bereitgestellte Edgeserver verfügen).

Um Domänennachschlagevorgänge für den A/V-Edgedienst aufzulösen. Ein externer DNS-A-Eintrag, der den externen vollqualifizierten Namen des A/V-Edgediensts in die externe IP-Adresse des A/V-Edgediensts auflöst (bzw. in die virtuelle IP-Adresse, die von den A/V-Edgediensten im externen System zum Lastenausgleich verwendet wird, wenn Sie über mehrere bereitgestellte Edgeserver verfügen).

Extern

Reverseproxy

Um Webkonferenzen für externe Benutzer zu unterstützen. Ein externer DNS-A-Eintrag, der den FQDN der externen Webfarm in die externe IP-Adresse des Reverseproxys auflöst. Der Client verwendet diesen Eintrag, um eine Verbindung mit dem Reverseproxy herzustellen.

Um den Zugriff auf den Geräteaktualisierungsdienst durch externe Geräte zu unterstützen. Ein externer DNS-A-Eintrag, der die externe IP-Adresse des Reverseproxys in die IP-Adresse des Office Communications Server 2007 R2 Enterprise-Pools oder Standard Edition-Servers auflöst, auf dem der Geräteaktualisierungsdienst gehostet wird. Ausführliche Informationen finden Sie unter Geräteaktualisierungsdienst.

Internes

Edgeserver

Sie müssen interne DNS-A-Datensätze anlegen, damit Office Communications Server 2007 R2-Server innerhalb der Organisation eine Verbindung mit der internen Schnittstelle des Edgeservers herstellen können.

Wenn Sie lediglich einen Edgeserver verwenden, reicht ein interner DNS-A-Datensatz aus, der den internen FQDN des Edgeservers in die interne IP-Adresse des Edgeservers auflöst.

Wenn Sie an einem Standort über mehrere Edgeserver verfügen, benötigen Sie die folgenden DNS-Datensätze:

Ein interner DNS-A-Datensatz, der den internen FQDN des Arrays von Zugriffs-Edgediensten in die virtuelle IP-Adresse (VIP) des Arrays von Zugriffs-Edgediensten im internen System zum Lastenausgleich auflöst.
Ein interner DNS-A-Datensatz, der den internen FQDN des Arrays von A/V-Edgediensten in die virtuelle IP-Adresse des Arrays von A/V-Edgediensten im internen System zum Lastenausgleich auflöst.
Für jeden Edgeserver ein interner DNS-A-Eintrag, der den internen FQDN des Webkonferenz-Edgediensts auf diesem Server in die interne IP-Adresse des Webkonferenz-Edgediensts auf diesem Server auflöst.

DNS-Anforderungen für den Zugriff durch externe Benutzer

Tabelle 1. Erforderliche DNS-Einträge für Edgeserver

Zusätzliche Ressourcen