Umkreisnetzwerktopologien für Office Communications Server 2007 R2
Letztes Änderungsdatum des Themas: 2009-09-04
Der Edgeserver ist eine Serverrolle, die in einem Umkreisnetzwerk bereitgestellt wird, um den Zugriff von externen Benutzern zu ermöglichen. Zu den externen Benutzern gehören Verbundbenutzer, Remotebenutzer und anonyme Benutzer. Office Communications Server unterstützt Konnektivität mit mindestens einem der folgenden öffentlichen Sofortnachrichten-Dienstanbieter: AOL, MSN und Yahoo!
.gif "Dd425171.note(de-de,office.13).gif") Hinweis: |
|---|
| In dieser Erläuterung werden externe Benutzer, die über eine VPN-Verbindung auf das Netzwerk zugreifen, als interne Benutzer eingestuft. |
Von einem Edgeserver werden drei Dienste ausgeführt: Zugriffs-Edgedienst, Webkonferenz-Edgedienst und A/V-Edgedienst. Alle drei Dienste werden automatisch mit dem Edgeserver installiert.
Zusätzlich zu mindestens einem Edgeserver sind auch HTTP-Reverseproxys im Umkreisnetzwerk erforderlich. Ein Edgeserver kann nicht mit einem Reverseproxy oder einer internen oder externen Firewall kombiniert werden. Der Zugriffs-Edgedienst kann nicht mit einem anderen Netzwerkumkreisdienst wie Microsoft Internet Security and Acceleration (ISA) Server oder der Edgerolle von Microsoft Exchange 2007 Server zusammengelegt werden.
Von den Komponenten werden folgende externe Zugriffsmethoden unterstützt:
- Der Zugriffs-Edgeserver überprüft den SIP-Signaldatenverkehr zwischen internen und externen Benutzern und leitet ihn weiter.
- Der A/V-Edgedienst ermöglicht Audio- und Videokonferenzen, Desktopfreigabe sowie A/V-Peer-zu-Peer-Kommunikation mit externen Benutzern, die über einen unterstützten Client verfügen. Ausführliche Informationen finden Sie unter Unterstützte Clients.
- Der Webkonferenz-Edgedienst ermöglicht externen Benutzern, an Konferenzen teilzunehmen, die auf einem internen Webkonferenzserver gehostet werden.
- Zudem ist ein HTTP-Reverseproxy erforderlich, um Adressbuchinformationen herunterzuladen, die Mitgliedschaft in Verteilergruppen zu erweitern, Webkonferenzinhalte herunterzuladen und Zugriff auf Dateien zum Aktualisieren von Geräten und Clients bereitzustellen.
Folgende Edgetopologien verfügen über einen einzelnen HTTP-Reverseproxy an jedem physischen Standort und werden im Umkreisnetzwerk unterstützt:
- Einzelne konsolidierte Edge-Topologie
Ein einzelner Edgeservercomputer - Skalierte konsolidierte Edge-Topologie
Mindestens zwei Edgeservercomputer hinter einem System zum Lastenausgleich - Konsolidierte Edge-Topologie mit mehreren Standorten
Ein primärer Standort (das Rechenzentrum) verfügt über eine konsolidierte Edgetopologie. An mindestens einem Remotestandort wird eine einzelne konsolidierte Edgetopologie oder eine skalierte, konsolidierte Edgetopologie hinter einem System zum Lastenausgleich bereitgestellt.
Bei Bereitstellungen mit mehreren Standorten wird nur ein einzelner Edgeserver oder ein einzelnes Lastenausgleichsarray von Edgeservern für den Verbund und öffentliche Sofortnachrichtenkonnektivität unterstützt. Es werden mehrere Zugriffs-Edgeserver an mehreren Standorten für den Zugriff durch Remotebenutzer unterstützt.
Für eine skalierte konsolidierte Edgetopologie mit mehreren bereitgestellten Edgeservern muss der nächste Hopserver des Directors auf die virtuelle IP-Adresse des Zugriffs-Edgediensts auf dem internen System zum Lastenausgleich verweisen.
Edgeserver werden mit einer Lizenz oder einem Product Key für Standard Edition-Server oder Enterprise Edition-Server unterstützt.
Der Edgeserver kann einer Domäne hinzugefügt werden, die sich ganz im Umkreisnetzwerk befindet. Dies wird jedoch nicht empfohlen. Edgeserver sollten nie Teil einer Domäne im internen Netzwerk sein.
Zertifikate
Alle Edgeserver müssen über ein internes Zertifikat verfügen. Alle drei Edgedienste auf diesem Server nutzen dieses Zertifikat gemeinsam. Der Antragstellername des Zertifikats muss mit dem internen FQDN des Zugriffs-Edgediensts dieses Edgeservers übereinstimmen.
Jeder Edgeserver erfordert zwei externe Zertifikate: eines für den Zugriffs-Edgedienst und eines für den Webkonferenz-Edgedienst. Jedes dieser Zertifikate muss einen Antragstellernamen aufweisen, der mit dem externen FQDN dieses Edgediensts auf dem Server übereinstimmt.
Für die A/V-Authentifizierung ist ein zusätzliches Zertifikat erforderlich. Der private Schlüssel des Audio-Video-Authentifizierungszertifikats wird zum Generieren von Authentifizierungsanmeldeinformationen verwendet. Dies kann zwar ein internes Zertifikat sein, aber sicherheitshalber sollten Sie nicht das gleiche Zertifikat für die A/V-Authentifizierung und einen der Edgeserverdienste verwenden.
Ausführliche Informationen zu Zertifikatanforderungen finden Sie unter Zertifikatanforderungen für den externen Benutzerzugriff im Dokumentationsabschnitt "Planung und Architektur".
Interne und externe Schnittstellen
Alle drei auf einem Edgeserver ausgeführten Dienste verfügen über separate externe und interne Schnittstellen. Für jeden dieser Dienste ist eine separate externe IP-Adresse/Portkombination erforderlich. Die empfohlene Konfiguration für die drei Dienste besteht in unterschiedlichen IP-Adressen, sodass jeder Dienst seine Standardporteinstellungen verwenden kann.
Für die beiden Schnittstellen müssen unterschiedliche DNS-Namen verwendet werden. Eine eindeutige IP-Adresse und ein eindeutiger vollqualifizierter Domänenname sind für die interne und die externe Schnittstelle erforderlich. Ein Multihoming-Netzwerkadapter, der denselben DNS-Namen und daher dieselbe IP-Adresse für die interne und die externe Schnittstelle verwendet, wird nicht unterstützt
Für einen Standort, an dem nur ein einzelner Edgeserver bereitgestellt wird, sollte die IP-Adresse der externen Schnittstelle des A/V-Edgediensts öffentlich routingfähig sein. Die externe Firewall kann in diesem Szenario jedoch als Netzwerkadressenübersetzung (NAT) für diese IP-Adresse dienen.
An einem Standort, an dem mehrere Edgeserver hinter einem System zum Lastenausgleich bereitgestellt werden, muss die IP-Adresse der externen Schnittstelle des A/V-Edgediensts öffentlich routingfähig sein. Die externe Firewall kann nicht als NAT für diese IP-Adresse fungieren. Diese Bedingung gilt nicht für andere Edgeserverdienste.
Die interne Firewall kann nicht als NAT für die interne IP-Adresse des A/V-Edgediensts fungieren. Die interne IP-Adresse des A/V-Edgediensts muss vollständig vom internen Netzwerk zur internen IP-Adresse des A/V-Edgediensts weitergeleitet werden können.