• Artikel

Firewalls für Lync Server 2010

 

Letztes Änderungsdatum des Themas: 2012-07-18

Die Konfiguration Ihrer Firewalls hängt zum großen Teil davon ab, welche spezifischen Firewalls Sie in Ihrem Unternehmen verwenden. Jede Firewall verfügt jedoch über gängige Konfigurationsanforderungen, die für Microsoft Lync Server 2010 gelten. Folgen Sie bei der Konfiguration jeder Firewall den Anweisungen der Hersteller, und beachten Sie die Informationen in diesem Abschnitt, die die Einstellungen beschreiben, die bei den beiden Firewalls festgelegt werden müssen.

Um der Anforderung einer öffentlich routingfähigen IP-Adresse für den A/V-Edgedienst zu entsprechen, darf die externe Firewall des Umkreisnetzwerks nicht als ein NAT für diese IP-Adresse fungieren, wenn ein Hardwaregerät zum Lastenausgleich verwendet wird. Falls es sich um einen einzelnen, konsolidierten Edgeserver handelt, ermöglicht Lync Server 2010 die Verwendung von NAT für alle drei Edgedienste. Bei Verwendung von DNS-Lastenausgleich kann NAT für alle Edgeserver an der Firewall verwendet werden.

Darüber hinaus darf die interne Firewall nicht als ein NAT für die interne IP-Adresse des A/V-Edgediensts fungieren. Die interne IP-Adresse des A/V-Edgediensts muss vollständig vom internen Netzwerk zur internen IP-Adresse des A/V-Edgediensts weitergeleitet werden können.

Ausführliche Informationen zur Konfiguration der internen und externen Firewalls Ihres Umkreisnetzwerks finden Sie unter Ermitteln der Anforderungen für A/V-Firewall und Ports in der Planungsdokumentation.

Bewährte Methoden

Um die Sicherheit des Umkreisnetzwerks zu erhöhen, wird empfohlen, Edgeserver folgendermaßen bereitzustellen:

  • Erstellen Sie außerhalb Ihres Routers ein neues Subnetz für Lync Server.

  • Stellen Sie sicher, dass der für das Lync Server-Subnetz bestimmte Datenverkehr nicht an andere Subnetze weitergeleitet wird.

  • Konfigurieren Sie für den ursprünglichen Router Regeln, die sicherstellen, dass kein Routing zwischen dem Subnetz von Lync Server und anderen Subnetzen stattfindet (mit Ausnahme eines Verwaltungssubnetzes, das Verwaltungsdienste für Ihr Umkreisnetzwerk umfasst).

  • Lassen Sie auf dem internen Router keine Übertragungen aus dem Subnetz von Lync Server in das Umkreisnetzwerk zu.

  • Stellen Sie die Edgeserver zwischen zwei Firewalls (einer internen und einer externen Firewall) bereit, um ein strenges Routing von einer Netzwerkgrenze zur anderen sicherzustellen.

Halten Sie sich zusätzlich bei der Einrichtung des Bereitstellungsprozesses an folgende Richtlinien, um sowohl Leistung und Sicherheit der Edgeserver zu erhöhen als auch die Bereitstellung zu erleichtern:

  • Stellen Sie die Edgeserver erst bereit, nachdem Sie die Bereitstellung von Lync Server 2010 in der Organisation abgeschlossen haben, es sei denn, Sie migrieren von Microsoft Office Communications Server 2007 zu Lync Server 2010. Ausführliche Informationen zum Migrationsvorgang finden Sie in den Dokumentationen Migration von Office Communications Server 2007 R2 zu Lync Server 2010 und Migration von Office Communications Server 2007 zu Lync Server 2010.

  • Es empfiehlt sich, die Edgeserver nicht in einer Domäne, sondern in einer Arbeitsgruppe bereitzustellen. Dadurch wird die Installation vereinfacht und eine Verbindung zwischen Active Directory®-Domänendiensten und dem Umkreisnetzwerk vermieden. Eine Platzierung der Active Directory-Domänendienste im Umkreisnetzwerk kann ein ernsthaftes Sicherheitsproblem darstellen.

  • Stellen Sie die Edgeserver vor ihrer Bereitstellung in einer Produktionsumgebung zunächst in einer Staging- oder Laborumgebung bereit. Stellen Sie die Edgeserver erst dann im Umkreisnetzwerk bereit, wenn Sie überzeugt sind, dass die Testbereitstellung den Anforderungen entspricht und erfolgreich in eine Produktionsumgebung integriert werden kann.

  • Stellen Sie mindestens einen Director als Authentifizierungsgateway für den eingehenden externen Datenverkehr bereit.

  • Stellen Sie die Edgeserver auf dedizierten Computern bereit, auf denen lediglich erforderliche Anwendungen ausgeführt werden. Dies schließt die Deaktivierung nicht notwendiger Dienste ein. Auf dem Computer sollten nur unbedingt erforderliche Programme ausgeführt werden, etwa Programme mit Routinglogik, die für MSPL (Microsoft SIP Processing Language) und die Lync Server-API konzipiert sind.

  • Aktivieren Sie so früh wie möglich die Überwachung auf dem Computer.

  • Verwenden Sie einen Computer mit zwei Netzwerkadaptern, um die internen und externen Netzwerkschnittstellen physisch voneinander getrennt zu halten.