Office Communications Server 2007 R2 的周邊網路拓撲
上次修改主題的時間: 2009-09-04
Edge Server 是部署在周邊網路中支援外部使用者存取的伺服器角色。外部使用者包括遠端、同盟和匿名使用者。Office Communications Server 支援連線至下列一個或多個公用 IM 服務提供者:AOL、MSN 和 Yahoo!。
.gif "Dd425171.note(zh-tw,office.13).gif") 附註: |
|---|
| 在此討論中,使用 VPN 連線存取網路的外部使用者被視為內部使用者。 |
Edge Server 會執行三個服務:Access Edge Service、A/V Edge Service 和 Web Conferencing Edge Service。所有三個服務都會隨 Edge Server 一起自動安裝。
除了一部或多部 Edge Server 之外,周邊網路也需要 HTTP 反向 Proxy。目前不支援在同一部電腦上配置 Edge Server 與反向 Proxy,也不支援與內部防火牆或外部防火牆一起配置。Access Edge Service 無法與任何其他網路周邊服務共同配置,例如 Microsoft Internet Security and Acceleration (ISA) Server 或 Microsoft Exchange 2007 Server Edge 角色。
各元件支援外部存取的方式如下:
- Access Edge Service 會驗證和轉送內部和外部使用者之間的 SIP 訊號傳輸。
- A/V Edge Service 會啟用與外部使用者的音訊和視訊會議、桌面共用,以及音訊/視訊 (A/V) 對等通訊,但該使用者必須使用支援的用戶端。如需詳細資訊,請參閱支援的用戶端。
- Web Conferencing Edge Service 讓外部使用者參加內部 Web 會議伺服器所主控的會議。
- 必須要有 HTTP 反向 Proxy,外部使用者才能下載通訊錄資訊、擴充通訊群組成員、下載 Web 會議內容,以及存取用於更新裝置和用戶端的檔案。
周邊網路支援下列邊緣拓撲 (每個邊緣拓撲的每個實體位置都有一個 HTTP 反向 Proxy):
- 單一合併邊緣拓撲
單一 Edge Server 電腦。 - 調整式合併邊緣拓撲
兩部以上 Edge Server 電腦位於負載平衡器後方。 - 多站台合併邊緣拓撲
一個主要位置 (資料中心) 有調整式合併邊緣拓撲,而且一個或多個遠端站台會部署單一合併邊緣拓撲或在負載平衡器後方部署調整式合併邊緣拓撲。
對於多個位置的部署,只有單一 Edge Server 或單一負載平衡的 Edge Server 陣列支援進行同盟和公用 IM 連線。多個位置上多部 Access Edge Server 支援進行遠端使用者存取。
對於具有多個 Edge Server 的調整式合併邊緣拓撲,Director 的下一個躍點伺服器必須以內部負載平衡器之 Access Edge Service 陣列的虛擬 IP 位址為目標。
Standard Edition Server 產品金鑰以及 Enterprise Edition Server 產品金鑰都支援 Edge Server。
支援 Edge Server 加入完全位於周邊網路中的網域,但不建議這種方式。Edge Server 絕對不可位於內部網路的網域中。
憑證
每一部 Edge Server 都必須有內部憑證。該伺服器上的所有三個 Edge Service 會共用此憑證。憑證的主體名稱必須符合該 Edge Server 之 Access Edge Service 的內部完整網域名稱 (FQDN)。
每部 Edge Server 都需要兩個外部憑證,一個用於 Access Edge Service,另一個用於 Web Conferencing Edge Service,每個憑證的主體名稱都必須符合該伺服器上該 Edge Service 的外部 FQDN。
此外,您需要額外的憑證來進行 A/V 驗證。A/V 驗證憑證的私密金鑰可用來產生驗證認證。這可以是內部憑證,但為了安全起見,A/V 驗證所使用的憑證不應該與任何 Edge Server 服務使用的憑證一樣。
如需憑證需求的詳細資訊,請參閱<規劃與架構>文件中的外部使用者存取的憑證需求。
內部和外部介面
在 Edge Server 上執行的三個服務都有個別的外部和內部介面。每個服務都需要個別的外部 IP 位址/連接埠組合。建議為三個服務設定不同的 IP 位址,讓每個服務都可以使用專屬的預設連接埠設定。
每一個內部和外部介面必須使用不同的 DNS 名稱。內部和外部介面必須有唯一的 IP 位址和唯一的 FQDN。不支援對內部和外部介面使用相同 DNS 名稱 (以及相同 IP 位址) 的多重主目錄網路介面卡。
只部署單一 Edge Server 的站台上,建議 A/V Edge Service 外部介面採用可公開路由傳送的 IP 位址。不過在此案例下,外部防火牆會當做此 IP 位址的網路位址轉譯 (NAT)。
若某個位置部署有多部 Edge Server 且部署在負載平衡器後方,則 A/V Edge Service 外部介面的 IP 位址必須是可公開路由傳送的 IP 位址。外部防火牆無法當做此 IP 位址的 NAT。這項需求不適用其他 Edge Server 服務。
內部防火牆不得做為 A/V Edge Service 內部 IP 位址的 NAT 來使用。A/V Edge Service 的內部 IP 位址必須可從內部網路完整路由傳送至 A/V Edge Service 的內部 IP 位址。