• Artikel

Zugreifen auf den Edgedienst

 

Letztes Änderungsdatum des Themas: 2011-05-06

Der Zugriffs-Edgedienst bietet einen einzelnen Verbindungspunkt, über den eingehender und ausgehender SIP-Datenverkehr Firewalls durchqueren kann, wobei interne und externe Netzwerke für den Datenverkehr aus Verbund- und Remotebenutzerzugriffen getrennt werden. Darüber hinaus wird sämtlicher SIP-Signaldatenverkehr, der für das Einrichten und Beenden von Konferenz- und Mediensitzungen mit externen Benutzern erforderlich ist, über den Zugriffs-Edgedienst abgewickelt.

Der Zugriffs-Edgedienst ist ein speziell konfigurierter Proxy, der für den Betrieb im Umkreisnetzwerk entworfen und getestet wurde. Der Zugriffs-Edgedienst erzwingt Routingregeln, die den äußeren Rand des Netzwerks vom inneren Rand trennen. Er stellt eine zentrale Plattform zum Verwalten und Aktivieren von organisationsübergreifenden, domänenbasierten Richtlinien dar. Dabei handelt es sich um eine IP-basierte Routinglösung, die nicht impliziert, dass keine physische Firewall benötigt wird. Die Verwendung einer oder mehrerer physischer Firewalls wird dringend empfohlen.

Der Zugriffs-Edgedienst benötigt keine Active Directory-Domänendienste, weil er nur SIP-Domänen und keine Benutzer verwaltet. Das bedeutet, dass der Zugriffs-Edgedienst keine Clientverbindungen authentifiziert, sondern die Kopfzeilen eingehender Nachrichten überprüft, Remoteverbundserver autorisiert und den Verbunddatenverkehr autorisiert. Mithilfe einer konfigurierten internen nächsten Hopadresse leitet der Zugriffs-Edgedienst den eingehenden Remotebenutzerdatenverkehr ohne Authentifizierungsanforderung an einen internen nächsten Hop-SIP-Server (üblicherweise ein Director) zur Authentifizierung weiter. (Da Verbunddatenverkehr von der Partnerdomäne authentifiziert und vom Zugriffs-Edgedienst autorisiert wird, nimmt der interne Server keine zusätzliche Authentifizierung vor.) Zudem wird empfohlen, dass der Zugriffs-Edgedienst in einer speziellen Arbeitsgruppe oder Domäne ausgeführt wird, die nicht Teil des Unternehmensnamespace ist.

Bewährte Methoden

  • Stellen Sie den Edgeserver in einem Peripherienetzwerk mit Firewalls bereit, die für den internen und den externen Rand konfiguriert wurden.

  • Stellen Sie den Edgeserver in einer Domäne oder Arbeitsgruppe bereit, die nicht Teil der internen Active Directory-Domäne ist.

  • Stellen Sie einen Director zur Authentifizierung des eingehenden SIP-Datenverkehrs bereit.