• Article

Topologies du réseau de périmètre

Dernière rubrique modifiée : 2009-01-20

Office Communications Server 2007 R2 prend en charge l'accès d'utilisateurs externes, notamment les types d'utilisateurs suivants :

  • Utilisateurs distants : utilisateurs de votre organisation se trouvant temporairement en dehors des pare-feu de l'organisation.
  • Utilisateurs fédérés : utilisateurs d'autres organisations avec lesquelles votre entreprise a une relation fédérée.
  • Utilisateurs anonymes : utilisateurs extérieurs à votre organisation invités par un de vos utilisateurs à joindre une conférence spécifique.
  • Utilisateurs de services de messagerie instantanée publics : utilisateurs de services de messagerie instantanée publics tels que le réseau MSN de services Internet, Yahoo! et AOL. La solution PIC nécessite une licence séparée.

Les utilisateurs distants peuvent exploiter la plupart des fonctionnalités d'Office Communications Server lorsqu'ils se trouvent à l'extérieur de votre pare-feu. Les utilisateurs fédérés peuvent partager les données de messagerie instantanée et de présence avec les utilisateurs de votre organisation. En outre, tous ces types d'utilisateurs externes peuvent prendre part à des conférences sur site, partager des données collaboratives et acheminer des données audio et vidéo via le pare-feu de l'organisation.

Pour permettre l'accès d'utilisateurs externes, Office Communications Server fournit le rôle de serveur de périphérie. Les serveurs de périphérie s'exécutent dans un réseau de périmètre et servent de lien entre votre déploiement et les utilisateurs externes.

En outre, le proxy inverse HTTP n'est pas un rôle Office Communications Server 2007 R2, mais il peut être utilisé pour authentifier des utilisateurs externes qui utilisent Microsoft Office Communicator Web Access. Il est indispensable pour fournir les éléments suivants :

  • accès externe aux informations du carnet d'adresses ;
  • possibilité de développer les groupes de distribution ;
  • accès au contenu des réunions lors des conférences Web ;
  • services de mise à jour des périphériques pour les utilisateurs distants.

La figure 1 montre les serveurs nécessaires dans le réseau de périmètre Office Communications Server 2007 R2 et les protocoles qu'ils utilisent pour communiquer avec les clients Internet d'une part et avec les serveurs internes de votre organisation d'autre part.

Figure 1 : Configuration externe d'Office Communications Server 2007 R2

Dd441281.502da198-503a-4950-a6df-3f197385f09f(fr-fr,office.13).jpg

Les serveurs requis dans le réseau du périmètre Office Communications Server 2007 R2 sont les suivants :

Serveur de périphérie

Dans Office Communications Server 2007 R2, chaque serveur de périphérie exécute trois services, à savoir le service Edge d'accès, le service Edge de conférence Web et le service Edge A/V.

Service Edge d'accès

Le service Edge d'accès gère tout le trafic SIP qui franchit le pare-feu de l'entreprise. Il gère uniquement le trafic SIP nécessaire pour l'établissement et la validation des connexions. Il ne gère pas le transfert des données, ni les opérations d'authentification des utilisateurs. L'authentification du trafic entrant est assurée par le directeur ou le serveur frontal. Le « directeur » est un serveur Office Communications Server 2007 R2 Standard Edition ou un pool d'entreprise qui n'héberge pas les utilisateurs et qui réside à l'intérieur du pare-feu de l'organisation. Le directeur n'est pas obligatoire, mais fortement recommandé. En l'absence de directeur, l'authentification se fait sur le serveur frontal, dans le pool ou sur le serveur Standard Edition Server que vous désignez à cet effet. (L'accès aux services de domaine Active Directory, ou AD DS, est requis pour procéder à l'authentification, mais les serveurs de périphérie n'en disposent pas, car ils sont déployés dans le réseau du périmètre en dehors des services de domaine Active Directory.) Le service Edge d'accès est essentiel pour tous les scénarios impliquant des utilisateurs externes, notamment pour les services de conférence, l'accès des utilisateurs distants, la fédération et la solution PIC (Public IM connectivity).

Service Edge de conférence Web

Le service Edge de conférence Web agit en tant que proxy pour gérer le trafic PSOM (Persistent Shared Object Model) entre le serveur de conférence Web et les clients externes. Le trafic de conférence externe doit être autorisé par le service Edge de conférence Web avant d'être transféré au serveur de conférence Web. Le service Edge de conférence Web exige que les clients externes utilisent des connexions TLS et obtiennent une clé de session de conférence.

Service Edge A/V

Le service Edge A/V fournit un point de connexion sécurisé unique à travers lequel le trafic multimédia entrant et sortant (y compris le trafic de partage d'application) peut franchir en toute sécurité les NAT (traduction d'adresses réseau) et les pare-feu. La solution standard pour faire transiter les données multimédias par les pare-feu s'appelle ICE (Interactive Connectivity Establishment). Elle repose sur les protocoles STUN (Simple Traversal Underneath NAT) et TURN (Traversal Using Relay NAT). Le service Edge A/V est un serveur TURN/STUN. Tous les utilisateurs sont authentifiés pour sécuriser à la fois l'accès à l'entreprise et l'utilisation du service de traversée de pare-feu fourni par le service Edge A/V. Pour envoyer des données multimédias à l'intérieur de l'entreprise, un utilisateur externe doit être authentifié. De plus, un utilisateur interne authentifié doit accepter de communiquer avec lui via le service Edge A/V.

Proxy inverse HTTP

Un proxy inverse HTTP déployé dans le réseau de périmètre achemine le trafic HTTP et HTTPS vers les utilisateurs externes. Le proxy inverse HTTP peut servir à authentifier des utilisateurs externes qui utilisent Office Communicator Web Access. Il est également requis pour permettre aux utilisateurs externes de télécharger les types de données suivants :

  • informations du serveur de carnet d'adresses ;
  • contenus des conférences Web ;
  • listes de distribution développées ;
  • mises à jour du client et des périphériques.

Le proxy inverse n'exécute pas Office Communications Server 2007 R2 et n'achemine pas le trafic SIP. Le proxy inverse peut exécuter Microsoft Internet Security and Acceleration (ISA) Server 2006 ou un autre logiciel Internet.