Verwenden eines Reverseproxys zum Ermöglichen des Remotebenutzerzugriffs
Letztes Änderungsdatum des Themas: 2009-01-25
Externe Benutzer (also Benutzer außerhalb der Firewall der Organisation) melden sich bei Communicator Web Access (Version 2007 R2) an, indem sie im Webbrowser auf einen virtuellen Server zugreifen, der speziell dafür erstellt wurde. Externe Benutzer können direkt auf den Communicator Web Access-Server zugreifen. Aus Sicherheitsgründen wird jedoch davon abgeraten. Stattdessen wird dringend empfohlen, dass externe Benutzer zuerst einen Reverseproxyserver verwenden.
Ein Reverseproxyserver ist ein Computer, auf dem Proxyserversoftware wie Microsoft Internet Security & Acceleration (ISA) Server ausgeführt wird. Der Reverseproxyserver befindet sich im Umkreisnetzwerk (wird auch als DMZ oder demilitarisierte Zone bezeichnet). Dabei handelt es sich um ein Netzwerk zwischen dem internen Unternehmensnetzwerk und dem Internet. Wenn ein externer Benutzer versucht, eine Verbindung zu einem virtuellen Communicator Web Access-Server herzustellen, leitet der DNS-Dienst (Domain Name System) die Anforderung automatisch an den Reverseproxyserver. Der Reverseproxyserver leitet die Dienstanforderung dann an den Communicator Web Access-Server weiter. Für Endbenutzer ist der Vorgang vollständig transparent. Sie nehmen den Reverseproxyserver als Communicator Web Access-Server wahr.
Ein einzelner Zugriffspunkt erleichtert Administratoren die Festlegung, welche Personen eine Verbindung zu den Servern herstellen können, sowie die Steuerung des Inhalts, auf den Benutzer zugreifen können. Indem Sie Servernamen hinter dem Reverseproxy "verstecken", können Sie außerdem Hardware austauschen oder Änderungen des Hostnamens vornehmen, ohne dass sich dies auf die Clients auswirkt. Benutzer greifen weiterhin auf dieselbe URL zu. Dabei spielt es keine Rolle, welche Computer sich hinter dem Proxyserver befinden.
Communicator Web Access ist mit den meisten auf dem Markt erhältlichen Reverseproxyservern kompatibel. Dies bedeutet, dass Sie beinahe jede Reverseproxysoftware verwenden können, mit einer Ausnahme. Wenn Sie die Authentifizierung per einmaliger Anmeldung (Single Sign-On, SSO) gewählt haben, müssen Sie Microsoft Internet Security and Acceleration (ISA) Server 2006 mit SSO-Aktivierung auf dem Weblistener verwenden.
Unabhängig vom gewählten Reverseproxyserver sollte der Server aus Sicherheitsgründen ein Arbeitsgruppenmitglied und kein Mitgliedsserver der internen, vertrauenswürdigen Domäne sein. Dadurch wird die Sicherheit erhöht. Falls der Reverseproxyserver überwunden werden kann, haben Eindringlinge lediglich Zugang zu diesem Server und nicht zum internen Netzwerk.
Aus Leistungsgründen wird empfohlen, keine weitere Software auf dem Reverseproxy zu installieren. Derselbe Computer, der als Reverseproxyserver für Communicator Web Access fungiert, kann auch als Reverseproxyserver für andere Anwendungen (wie Outlook Web Access) verwendet werden.
Da verschiedene Reverseproxyserver auch unterschiedlich konfiguriert sind, enthält dieses Dokument nicht die ausführlichen Schritte zur Einrichtung eines Reverseproxyservers. Ausführliche Informationen finden Sie in der Dokumentation zu Ihrem Reverseproxyserver.