Office Web Apps サーバーの計画

Office Web Apps
 

適用先:Office Web Apps Server

トピックの最終更新日:2017-10-10

概要: HTTPS、証明書、仮想化、負荷分散、トポロジ、セキュリティなど、Office Web Apps Serverの要件と前提条件について説明します。

対象ユーザー: IT 担当者

Office Web Apps サーバー は、Office アプリケーションのブラウザー ベースのバージョンを社内環境に提供することにより、ユーザーの柔軟性を向上させ、グループ作業の機会を増やします。この記事では、Office Web Apps サーバー を組織にインストールするために必要な要件と手順について説明します。

SharePoint 2013 および Lync Server 2013 などのすべてのホストが Office Web Apps サーバー と通信できるように慎重に計画することが重要です。ホストの構成に関する詳細なガイダンスについては、以下のリソースを参照してください。

メモメモ:
SharePoint 2010 製品 は Office Web Apps サーバー のホストになることはできません。Office Web Apps サーバー は SharePoint Foundation 2010 または SharePoint Server 2010 でサポートされていません。Office Web Apps サーバー も Exchange Server 2013 でサポートされていません。

この記事の内容

Office Web Apps サーバー は、単一 サーバーの Office Web Apps サーバー ファームとして、または、複数サーバーの負荷分散 Office Web Apps サーバー ファームとしてインストールすることができます。物理サーバーまたは仮想マシン インスタンスを使用できますが、他のサーバー アプリケーション (SharePoint 2013 や SQL Server など) を Office Web Apps サーバー と同じサーバーにインストールすることはできません。

実際のユーザー データを含む環境では、常に、証明書を取得する必要がある HTTPS を使用することをお勧めします。ファームで複数のサーバーを使用する場合は、ハードウェアまたはソフトウェアの負荷分散ソリューションを構成する必要があります。このようなシナリオの詳細について以降のセクションで説明します。

Office Web Apps サーバーの最小ハードウェア要件は SharePoint Server 2013と同じです。SharePoint 2013の総合的な要件は、「ハードウェア要件 ? Web サーバー、アプリケーション サーバー、および単一サーバー インストール」で確認できます。スケーラビリティに関する追加のガイダンスは、この記事が将来更新されるときに提供されます。

Office Web Apps サーバー は以下のオペレーティング システムで実行できます。

  • Windows Server 2008 R2 x64 Edition 用更新プログラムがインストールされた Windows Server 2008 R2 Service Pack 1 (SP1) Standard、Enterprise、Datacenter の 64 ビット版

  • Windows Server 2012 Standard または Datacenter の 64 ビット版

  • Windows Server 2012 R2 の 64 ビット版。このオペレーティング システムを使用するには、Office Web Apps サーバー Service Pack 1 (SP1) を使用する必要があります。

Office Web Apps サーバー ファーム内のすべてのサーバーを 1 つのドメインに含める必要があります。同じドメイン内 (推奨) か、同じフォレスト内のドメイン内に配置できます。ただし、Office Web Apps サーバー をドメイン コントローラー上にインストールしても機能しない可能性があります。

まず、Office Web Apps サーバー の展開時にやってはいけないことがいくつかあります。

  • Office Web Apps サーバー を実行しているサーバーに、他のサーバー アプリケーションをインストールしないでください。これには、Exchange Server、SharePoint Server、Lync Server、SQL Server が含まれます。ハードウェアの台数が不足している場合は、いずれかのサーバーの仮想マシン インスタンスで Office Web Apps サーバー を実行することを検討してください。

  • ポート 80、443、または 809 の Web サーバー (IIS) の役割を利用するサービスまたは役割をインストールしないでください。これは、Office Web Apps サーバー によって、これらのポートの Web アプリケーションが定期的に削除されるためです。

  • どのバージョンの Office もインストールしないでください。すでにインストールされている場合は、Office Web Apps サーバー をインストールする前にアンインストールする必要があります。

  • Office Web Apps サーバー をドメイン コントローラーにインストールしないでください。Active Directory ドメイン サービス (AD DS) を実行しているサーバーでは動作しない可能性があります。

この時点でやるべきことはインストールです。詳細は次の表を参照してください。

重要重要:
Office Web Apps サーバー は、Volume Licensing Service Center (VLSC) からのみダウンロードが可能です。Office Web Apps サーバー をダウンロードするには、Office Professional Plus 2013、Office Standard 2013、Office for Mac 2011 のためのボリューム ライセンス条項に従ったライセンスが必要です。ダウンロード ファイルは、VLSC ポータルのそれらの Office 製品の下にあります。

Office Web Apps サーバーで必要なダウンロード、サーバーの役割および機能

ダウンロード、サーバーの役割、または機能 Windows Server 2008 R2 上でインストールする場合 Windows Server 2012 上でインストールする場合 Windows Server 2012 R2 上でインストールする場合

ダウンロード: Office Web Apps サーバー

Office Web Apps Server

Office Web Apps Server

Office Web Apps サーバー

ダウンロード: Office Web Apps サーバー SP1

推奨

推奨

Office Web Apps サーバー SP1

ダウンロード: 適切なバージョンの .NET Framework

.NET Framework 4.5

.NET framework 4.5 が既にインストールされている

.NET Framework 4.5.2

ダウンロード: Windows Server 2008 R2 x64 Edition 用更新プログラム

Windows Server 2008 R2 x64 Edition 用更新プログラム

該当なし

該当なし

ダウンロード: Windows PowerShell 3.0

Windows PowerShell 3.0

インストール済み

インストール済み

サーバーの役割: Web サーバー (IIS)

ここで、Web サーバー (IIS) のサーバーの役割に必要な最小役割サービスを示します。

一般的な HTTP の機能

  • 静的コンテンツ

  • 既定のドキュメント

アプリケーション開発

  • ASP.NET

  • .NET 拡張機能

  • ISAPI 拡張機能

  • ISAPI フィルター

  • サーバー側インクルード

セキュリティ

  • Windows 認証

  • 要求のフィルタリング

管理ツール

  • IIS 管理コンソール

以下のオプションは推奨項目です。必須ではありません。

パフォーマンス

  • 静的コンテンツの圧縮

  • 動的コンテンツの圧縮

ここで、Web サーバー (IIS) のサーバーの役割に必要な最小役割サービスを示します。

管理ツール

  • IIS 管理コンソール

Web サーバー

  • HTTP 共通機能

  • 既定のドキュメント

  • 静的コンテンツ

セキュリティ

  • 要求のフィルタリング

  • Windows 認証

アプリケーション開発

  • .NET 拡張機能 4.5

  • ASP.NET 4.5

  • ISAPI 拡張機能

  • ISAPI フィルター

  • サーバー側インクルード

以下のオプションは推奨項目です。必須ではありません。

パフォーマンス

  • 静的コンテンツの圧縮

  • 動的コンテンツの圧縮

ここで、Web サーバー (IIS) のサーバーの役割に必要な最小役割サービスを示します。

管理ツール

  • IIS 管理コンソール

Web サーバー

  • HTTP 共通機能

  • 既定のドキュメント

  • 静的コンテンツ

セキュリティ

  • 要求のフィルタリング

  • Windows 認証

アプリケーション開発

  • .NET 拡張機能 4.5

  • ASP.NET 4.5

  • ISAPI 拡張機能

  • ISAPI フィルター

  • サーバー側インクルード

以下のオプションは推奨項目です。必須ではありません。

パフォーマンス

  • 静的コンテンツの圧縮

  • 動的コンテンツの圧縮

機能: インクと手書きサービス

インクと手書きサービス

  • インク サポート

インクと手書きサービス

  • インク サポートは必要ありません。

インクと手書きサービス

  • インク サポートは必要ありません。

Office Web Apps サーバー が完全にサポートされるのは、Windows Server Hyper-V テクノロジを使用して展開した場合です。Office Web Apps サーバー を仮想化する予定がある場合は、以下のガイドラインに従います。

  • Office Web Apps サーバー を専用の仮想マシン インスタンスにインストールします。このインスタンスには、SharePoint 2013 などの他のサーバー アプリケーションをインストールしないでください。

  • 必要であれば、SharePoint 2013 を実行しているサーバーによってホストされた仮想マシン インスタンスに Office Web Apps サーバー をインストールできます。

  • 複数サーバーの Office Web Apps サーバー ファームの場合は、各インスタンスを別々の仮想マシン ホストに配置して、いずれかのホストで障害が発生しても Office Web Apps サーバー ファームを使用できるようにする必要があります。

Web ブラウザー、Office Web Apps サーバー を実行しているサーバー、SharePoint 2013 を実行しているサーバー間の通信がファイアウォールによってブロックされるという問題が発生する可能性があります。サーバーがネットワークのさまざまな部分に存在する場合は、このような問題がより複雑になります。

Office Web Apps サーバー を実行しているサーバーまたはロード バランサー上の以下のポートがファイアウォールによってブロックされないようにしてください。

  • ポート 443 (HTTPS トラフィック用)

  • ポート 80 (HTTP トラフィック用)

  • ポート 809 Office Web Apps サーバー を実行するサーバー間のプライベート トラフィック用) (複数サーバー ファームを設定する場合)

複数のサーバーで Office Web Apps サーバー を実行している場合は、負荷分散ソリューションをお勧めします。ほぼすべての負荷分散ソリューションを使用できます。これには、Web サーバー (IIS) の役割 (アプリケーション要求ルーティング処理 (ARR) を行う) を実行しているサーバーが含まれます。実際、Office Web Apps サーバー を実行しているサーバーの 1 つで ARR を実行できます。負荷分散ソリューションがない場合は、IIS と ARR の使用方法について以下のリソースを参照してください。

可能であれば、以下の機能がサポートされている負荷分散ソリューションを探してください。

  • Layer 7 ルーティング

  • クライアント アフィニティまたはフロントエンド アフィニティの有効化

  • SSL オフロードの有効化

ロード バランサーを使用する場合は、「HTTPS を使用した Office Web Apps サーバーの通信の保護」で説明されているように、証明書をロード バランサーにインストールする必要があります。

HTTPS と負荷分散を使用する環境では、DNS を更新して、証明書の完全修飾ドメイン名 (FQDN) が Office Web Apps サーバー を実行しているサーバーの IP アドレス、または、Office Web Apps サーバー ファームのロード バランサーに割り当てられた IP アドレスに解決されるようにする必要があります。

Office Web Apps サーバー 2013 言語パックを使用すると、SharePoint 2013 ドキュメント ライブラリ、Outlook Web App (添付ファイルのプレビューとして)、Lync 2013 (PowerPoint ブロードキャストとして) において、Web ベースの Office ファイルを複数の言語で表示できます。ただし、これはホストで構成されている言語に依存します。複数の言語のホストからの Web ベースの Office ファイルを表示するには、以下の条件が満たされる必要があります。

  • ホスト (SharePoint Server 2013、Lync Server 2013 など) が、アプリケーションを追加の言語で実行するように構成されていること。ホストでの言語パックのインストールと構成のプロセスは、Office Web Apps サーバー ファームでの言語パックのインストールとは無関係です。

  • Office Web Apps サーバー ファームのすべてのサーバーに言語がインストールされていて、使用可能であること。

Office Web Apps サーバーの言語パックは からダウンロードしてください。

最低でも、Office Web Apps サーバー トポロジには、Office Web Apps サーバー を実行している 1 つの物理または仮想マシンと 1 つ以上のホスト (Lync Server 2013 または SharePoint 2013 を実行しているサーバーなど) が含まれます。もちろん、ホストのいずれかに接続して Office Web Apps 機能を使用するためのクライアント PC またはデバイスが必要です。この最小トポロジから、組織のニーズに合わせて、新しいホストや新しいサーバーを Office Web Apps サーバー ファームに追加できます。

Office Web Apps サーバー トポロジがより複雑になった場合に留意すべき推奨事項の一覧を以下に示します。

  • 冗長性を計画する。仮想マシン インスタンスを使用する場合は、それらが別々の仮想マシン ホストに配置され、冗長性が確保されていることを確認します。ホスト上の他のインスタンスがサーバー アプリケーションを実行している場合は、Office Web Apps サーバー と同じインスタンス上で他のサーバー アプリケーションを実行しないようにするだけで十分です。

  • 1 つのデータ センターを使用する。Office Web Apps サーバー ファーム内のサーバーは、同じデータ センター内に配置する必要があります。地理的に離れた場所に分散させないでください。Office Web Apps サーバー ファームが存在するネットワークを分離しなければならないようなセキュリティ要件がないかぎり、1 つのファームだけで十分です。

  • ホストに近いほど良い。Office Web Apps サーバー ファームは、そのホストと同じデータ センター内に配置する必要はありませんが、編集の頻度が高い場合は、Office Web Apps サーバー ファームをできるだけホストのそばに配置することをお勧めします。このことは、Office Web Apps を主に Office ファイルの表示に使用している組織にとってはそれほど重要ではありません。

  • 接続を計画する。Office Web Apps サーバー ファーム内のすべてのサーバーだけを相互に接続します。より広いネットワークに接続するには、リバース プロキシ ロード バランサー ファイアウォール経由で接続します。

  • HTTP または HTTPS 要求用にファイアウォールを構成する。ファイアウォールが Office Web Apps サーバー を実行しているサーバーでホストへの HTTP または HTTPS 要求を初期化できるように構成されていることを確認します。

  • 着信と発信を計画する。インターネットに接続する展開では、すべての発信を NAT デバイス経由でルーティングします。マルチサーバー ファームでは、すべての着信をロード バランサーを使用して処理します。

  • Office Web Apps サーバー ファーム内のすべてのサーバーが 1 つのドメインに参加しており、同じ組織単位 (OU) の一部になっていることを確認する。この OU に含まれない他のサーバーがファームに参加することを防ぐには、New-OfficeWebAppsFarm コマンドレットの FarmOU パラメーターを使用します。

  • すべての着信要求にハイパーテキスト転送プロトコル セキュア (HTTPS) を使用する。

  • ネットワークに IPsec が展開されている場合は、それをサーバー間のトラフィックの暗号化に使用する。

  • インターネットを使用する Office 機能を計画する。クリップ アートや翻訳サービスなどの機能が必要であり、ファーム内のサーバーがインターネットへの要求を開始できない場合、Office Web Apps サーバー ファーム用のプロキシ サーバーを構成する必要があります。これにより、外部サイトへの HTTP 要求が許可されます。

以下に、Office Web Apps サーバー のセキュリティ ガイダンスを示します。

Office Web Apps サーバー は、SharePoint 2013 および Lync Server 2013 と HTTPS プロトコルを使用して通信できます。運用環境では HTTPS の使用を強くお勧めします。Office Web Apps サーバー を実行するサーバー (単一サーバーを使用する場合)、またはロード バランサー (Office Web Apps サーバー を実行する複数サーバーを使用する場合) に割り当てられる Internet Server 証明書をインストールする必要があります。

ユーザー データを含まないテスト環境では、SharePoint 2013 に HTTP を使用することができ、証明書の要件は省略できます。Lync Server 2013 では HTTPS しかサポートされません。

Office Web Apps サーバー が使用する証明書は、次の要件を満たす必要があります。

  • 証明書は、信頼できる証明機関から発行され、Office Web Apps サーバー ファームの完全修飾ドメイン名 (FQDN) を SAN (サブジェクトの別名) フィールドに含んでいる必要があります (FQDN が SAN に含まれない場合、その証明書を使用しようとすると、ブラウザーによってセキュリティ警告が表示されるか、応答が処理されません)。

  • 証明書は、エクスポート可能な秘密キーを含む必要があります。単一サーバーのファームでは、インターネット インフォメーション サービス (IIS) マネージャー スナップインを使用して証明書をインポートするとき、既定ではこのオプションが選択されています。

  • フレンドリ名フィールドは、信頼できるルート証明書機関のストア内で一意であることが必要です。複数の証明書でフレンドリ名フィールドが共有されている場合、New-OfficeWebAppsFarm コマンドレットは使用する証明書を特定できず、ファーム作成が失敗します。

  • Office Web Apps サーバー では特定の証明書のプロパティや拡張子は必要ありません。たとえば、クライアントの拡張キー使用法 (EKU) 拡張子やサーバーの EKU 拡張子は必要ありません。

  • Windows Server 2012 または Windows Server 2012 R2 では、Windows Communication Foundation (WCF) HTTP アクティベーション機能をインストールする必要があります。

証明書は次のとおりインポートする必要があります。

  • 単一サーバーのファームOffice Web Apps サーバー を実行しているサーバーに直接証明書をインポートする必要があります。証明書を手動でバインドしないでください。後から実行する New-OfficeWebAppsFarm コマンドレットによってこの処理が行われます。手動でバインドした証明書は、サーバーが再起動するたびに削除されます。

  • 負荷分散されたファーム   SSL をオフロードしている場合、証明書はハードウェア ロード バランサーにインポートする必要があります。SSL をオフロードしていない場合は、Office Web Apps サーバー ファーム内の各サーバーに証明書をインストールする必要があります。

メモメモ:
重要でないテスト環境以外では、自己署名証明書を使用しないでください。

証明書の詳細については、「 SSL 証明書の取得 」を参照してください。

新しい Office Web Apps サーバー ファームをセットアップすると、SSL オフロードが既定でオフに設定されます。ハードウェア ロード バランサーを使用している場合は、ファーム内の各 Office Web Apps サーバー が HTTP を使用してロード バランサーと通信できるように SSL オフロードをオンに設定することをお勧めします。そうすれば、次のようなメリットも得られます。

  • 証明書管理の簡素化

  • 改良型ソフト アフィニティ

  • 改良型パフォーマンス

HTTP を使用している場合は、ロード バランサーから Office Web Apps サーバー を実行しているサーバーへのトラフィックが暗号化されないため、ネットワーク自体が安全であることを確認する必要があることに注意してください。プライベート サブネットの使用により、トラフィックを保護することができます。

対象サーバーの組織単位を作成してから、ファームを作成するときに FarmOU パラメーターを指定することで、無許可のサーバーが Office Web Apps サーバー ファームに参加するのを防ぐことができます。FarmOU パラメーターの詳細については、「New-OfficeWebAppsFarm」を参照してください。

許可リストは、不要なホストが Office Web Apps サーバー ファームに接続して、同意なしにファームを使用してファイルを処理するのを防ぐセキュリティ機能です。承認されたホストを含むドメインを許可リストに追加することで、Office Web Apps サーバー がファイル処理要求 (ファイルの取得、メタデータの取得、ファイルの変更など) を許可するホストを制限できます。

Office Web Apps サーバー ファームを作成した後で許可リストにドメインを追加できます。許可リストにドメインを追加する方法については、「New-OfficeWebAppsHost」を参照してください。

重要重要:
ドメインを許可リストに追加しないと、Office Web Apps サーバー はすべてのドメイン内のホストにファイル要求を許可します。Office Web Apps サーバー ファームがインターネットからアクセスできる場合には、このリストを空にしないでください。空にしておくと、誰でも Office Web Apps サーバー ファームを使用してコンテンツを表示および編集できます。

既定では、Office Web Apps サーバー のインストール後にオンライン ビューアー機能が有効になります。組織でオンライン ビューアーの使用を計画している場合は、以下のガイドラインを確認してください。場合によっては、オンライン ビューアーの一部の機能を無効にすることをお勧めします。これらのガイドラインで参照するパラメーターは、Windows PowerShell のコマンドレット New-OfficeWebAppsFarmSet-OfficeWebAppsFarm を使用して設定されます。

オンライン ビューアーを使用して Web ブラウザーで表示するためのファイルは、認証が要らないようにする必要があります。つまり、ファイルを公開する必要があります。これは、オンライン ビューアーがファイルの取得時に認証を実行できないためです。オンライン ビューアーで使用する Office Web Apps サーバー ファームは、イントラネットとインターネットのどちらか一方のみ (両方ではなく) にアクセスできるようにすることを強くお勧めします。Office Web Apps サーバー は、イントラネット URL とインターネット URL の要求を区別しないためです。たとえば、インターネット上の誰かがイントラネット URL を要求できると、内部文書が表示された場合に情報漏れが発生する可能性があります。

同じ理由から、Office Web Apps サーバー をインターネットのみに接続するように設定した場合は、オンライン ビューアーの UNC サポートを無効にすることを強くお勧めします。UNC サポートを無効にするには、Windows PowerShell のコマンドレット New-OfficeWebAppsFarm (新規ファーム用) または Set-OfficeWebAppsFarm (既存ファーム用) を使用して OpenFromUncEnabled パラメーターを False に設定します。

追加のセキュリティ上の理由から、オンライン ビューアーでの表示は、10 MB 以下の Office ファイルに制限されます。

Windows PowerShell の以下のパラメーターを New-OfficeWebAppsFarm (新規ファーム用) または Set-OfficeWebAppsFarm (既存ファーム用) で使用して、オンライン ビューアーを構成できます。

  • OpenFromUrlEnabled   オンライン ビューアーのオンとオフを切り替えます。このパラメーターは、URL および UNC パスを持つファイルに関してオンライン ビューアーを制御します。新しい Office Web Apps サーバー ファームを作成したとき、既定ではこのパラメーターは False (無効) に設定されています。

  • OpenFromUncEnabled   オンライン ビューアーがオンになっているとき (OpenFromUrlEnabled を使用して True に設定)、このパラメーターは、オンライン ビューアーで UNC パス内のファイルを表示できるかどうかを切り替えます。既定では、このパラメーターが True に設定されますが、OpenFromUrlEnabled も True に設定されていることを確認してから、UNC パスからファイルを開けるようにします。前述したように、Office Web Apps サーバー がインターネットに接続するように設定した場合は、このパラメーターを False に設定することをお勧めします。

  • OpenFromUrlThrottlingEnabled   一定期間に所定のサーバーから送られてくる "URL から開く" 要求の回数を調整します。既定の調整値 (構成不可) では、Office Web Apps サーバー ファームがコンテンツをオンライン ビューアーで表示するための要求を多数送信して 1 つのサーバーに負荷がかかりすぎないようにします。

Office Web Apps サーバー を展開する前に、組織の Office Web Apps サーバー ファームへのソフトウェア更新プログラムを管理する方法を決定する必要があります。ソフトウェア更新プログラムは、サーバーのセキュリティ、パフォーマンス、および信頼性の向上に役立ちますが、更新プログラムを不適切にインストールすると、Office Web Apps サーバー で問題が発生する場合があります。

Office Web Apps サーバー では、Microsoft 自動更新プロセスを使用して Office Web Apps サーバー の更新プログラムを適用することはできません。Office Web Apps サーバー への更新プログラムは、「Office Web Apps サーバーへのソフトウェアの更新プログラムの適用」で説明されているとおり、特定の方法で適用する必要があります。Office Web Apps サーバー の更新プログラムが自動的に適用されると、ユーザーが Office Web Apps のドキュメントの表示や編集ができなくなる場合があります。その場合は、Office Web Apps サーバー ファームの再構築が必要になります。

更新プログラムは、Windows Server Update Services (WSUS) か、WSUS を使用する System Center 構成マネージャー を使用して管理することをお勧めします。WSUS を使用すると、Office Web Apps サーバー ファーム内の各サーバーに Microsoft Update 経由でリリースされる更新プログラムの配布を完全に管理できます。WSUS の使用により、サーバー ファームに自動的に適用できる更新プログラムと、Office Web Apps サーバー の更新プログラムのように手動の適用が必要な更新プログラムを指定できます。WSUS の詳細については、「Windows Server Update Services」を参照してください。

WSUS または System Center 構成マネージャー を使用しない場合は、Office Web Apps サーバー ファーム内の各サーバーで Microsoft 自動更新を [自動的にダウンロードするが、インストールをユーザーに通知する] に設定します。Office Web Apps サーバー の更新プログラムの通知を受けたら、「Office Web Apps サーバーへのソフトウェアの更新プログラムの適用」の手順を実行します。Windows の更新プログラムを適用してサーバーのセキュリティを保つには、更新プログラムが入手可能になったことを通知されたときに、Windows の更新プログラムを受け入れます。

表示: