外部使用者存取所需的元件

Edge Server

Edge Server 可控制通過防火牆的流量，以及外部使用者對內部部署的使用。Edge Server 可執行下列服務：

• Access Edge Service   Access Edge Service 能同時為輸出及輸入的工作階段初始通訊協定 (SIP) 流量提供單一、受信任的連線點。

• Web Conferencing Edge Service   Web Conferencing Edge Service 可讓外部使用者參加您在內部 Microsoft Lync Server 2010 部署上主辦的會議。

• A/V Edge Service   A/V Edge Service 可讓外部使用者使用音訊、視訊、應用程式共用與檔案傳輸等功能。您的使用者可以在包含外部參與者的會議新增音訊和視訊，然後就可以在點對點工作階段中與外部使用者直接共用音訊和視訊。A/V Edge Service 也可支援桌面共用與檔案傳輸。

經授權的外部使用者可存取 Edge Server 以連線至您的內部 Lync Server 部署，但 Edge Server 並不會提供任何其他內部網路存取。

附註：
部署 Edge Server 可為啟用的 Lync 用戶端和其他 Edge Server 提供連線能力 (如同在同盟中的情況)。這些伺服器的設計，目的並非在於提供從其他端點用戶端或從其他伺服器類型進行連線的能力。部署 XMPP 閘道伺服器可提供與設定的 XMPP 合作夥伴的進行連線的能力。Edge Server 和 XMPP 閘道僅可支援從這些用戶端和同盟類型進行端點連線的能力。

反向 Proxy

對於您啟用作為 Microsoft Lync Server 2010 之一部分的大多數案例而言，反向 Proxy 是必要的基礎結構元件。大多數的部署所使用現有的反向 Proxy，您均已加以安裝並設定以供組織之用。需要的通常是新的發行規則，而無需對您現有的 Proxy 伺服器規則進行變更。新的或更新的憑證通常可用來處理新的發行規則。反向 Proxy 的類型包括但不限於：

1. Microsoft Internet and Acceleration Server (ISA) 2006 Service Pack 1

   部署 Edge Server 時，Microsoft Threat Management Gateway 2010 的基本設定可用於部署範例。Microsoft Threat Management Gateway 2010 與 Microsoft Internet and Acceleration Server (ISA) 2006 Service Pack 1 在為 Lync Server 2010 設定發行作業的方式上相當類似。如需詳細資訊，請參閱〈部署〉文件中的〈設定單一內部集區的 Web 發佈規則〉。

2. Microsoft Threat Management Gateway (TMG) 2010

   如需如何設定 Microsoft Threat Management Gateway (TMG) 2010 以作為 Lync Server 2010 部署反向 Proxy 的詳細資訊，請參閱〈部署〉文件中的〈設定單一內部集區的 Web 發佈規則〉。

3. 可設定為發行內部 HTTP 和 HTTPS 內容的協力廠商反向 Proxy 伺服器

4. 具備內部 HTTP 和 HTTPS 內容發行能力的協力廠商防火牆

5. 未列出的其他裝置和設備，例如硬體負載平衡器和 HTTP 內容引擎設備可能也可提供所需的功能

如需設定協力廠商裝置、伺服器和設備的相關資訊，請參閱協力廠商就如何設定發行作業所提供的文件。

重要事項：
將 Edge Server 和反向 Proxy 組合在一起並非有效的設定選項。Edge Server 必須持續扮演單一目的角色，以針對您的部署作業管理工作階段初始通訊協定、Web 會議和音訊/視訊 (以及其他媒體類型) 功能。

下列作業需要反向 Proxy：

• 讓使用者透過簡單 URL 連線至會議或電話撥入式會議

• 讓外部使用者下載會議內容

• 讓外部使用者能夠擴充通訊群組

• 讓使用者取得可用於用戶端憑證式驗證的使用者式憑證

• 讓遠端使用者從 Address Book Server 下載檔案，或送出查詢至通訊錄 Web 查詢服務

• 讓遠端使用者取得用戶端與裝置軟體的更新

• 讓行動裝置能夠自動探索前端伺服器提供行動服務

• 讓推入通知能夠從 Office 365 或 Apple 推入通知服務傳送到行動裝置

附註：
外部使用者不需使用 VPN 連線至您的組織，即可參與以 Lync Server 為基礎的通訊。外部使用者若透過 VPN 連線至您組織的內部網路，將可略過反向 Proxy。

防火牆

部署您的 Edge 拓撲時，您可以僅使用外部防火牆，也可以同時使用外部與內部防火牆。參考架構含有兩個防火牆。建議您使用兩個防火牆，因為這樣可確保從某個網路邊緣傳入另一個網路邊緣的流量嚴格遵守路由規則，且內部部署可受到兩層防火牆保護。

Director

在 Lync Server 2010 中，Director 是 Lync Server 2010 中的個別伺服器角色，不裝載使用者帳戶或提供目前狀態或會議服務。它會作為內部的「下一個躍點伺服器」，讓 Edge Server 將預定要進入內部伺服器的輸入 SIP 流量路由至該處。Director 會驗證輸入要求，並將其重新導向至使用者的主集區或主伺服器。

如果您的組織即將要啟用外部存取，建議您部署 Director。Director 可驗證從遠端使用者輸入的 SIP 流量，因而減輕 Enterprise Edition 前端集區中的 Standard Edition Server 和前端伺服器執行遠端使用者驗證的負擔。它也有助於 Enterprise Edition 前端集區中的 Standard Edition Server 與前端伺服器隔絕惡意流量，如拒絕服務 (DoS) 攻擊。如果網路上因此類攻擊而充斥無效的外部流量，這些流量將止於 Director，內部使用者應該不會察覺任何效能上的影響。如需有關使用 Director 的詳細資訊，請參閱＜Director＞。

硬體負載平衡器

Lync Server 2010 調整式合併 Edge 拓撲經過最佳化，可讓主要與其他使用 Lync Server 2010 的組織同盟的新部署使用 DNS 負載平衡。如果在下列任一情況下需要高可用性，則必須在 Edge Server 集區上使用硬體負載平衡器予以因應：

• 與使用 Office Communications Server 2007 R2 或 Office Communications Server 2007 的組織建立同盟

• 遠端使用者的 Exchange UM

• 公用 IM 使用者的連線

若要確認您的硬體負載平衡器是否支援 Lync Server 2010 所需要的功能，請參閱＜Lync Server 2010 負載平衡器協力廠商＞，網址為 https://go.microsoft.com/fwlink/?linkid=202452&clcid=0x404。

硬體負載平衡器需求 – 一般考量事項

• 目的地網路位址轉譯 (DNAT) 會使用負載平衡器虛擬 IP (VIP) 傳入目的地 IP 位址，並會轉換為伺服器的目的地 IP 位址。您的負載平衡器廠商可能會建議使用來源 NAT (SNAT)。請謹慎考量您要使用何種 NAT 類型，並留意此 NAT 對 HLB 須為唯一，且須為 HLB VIP 和裝載的伺服器間的一種關係。該 NAT 與在周邊防火牆受管理的 NAT 不同。

• 使用來源相關性 (亦稱為 TCP 相關性，請參閱廠商文件)。單一工作階段內的所有流量必須與同一個目的地 (即伺服器) 相關聯。若有多個工作階段來自單一來源，則這些工作階段可與不同的目的地伺服器相關聯，過程中可使用來源相關性來提供工作階段狀態。

• 除非其他資訊 (效能需求、測試定義、標準或廠商文件) 中另有指定，否則 TCP 閒置逾時須設為 30 分鐘 (1800 秒鐘)。

注意：
您無法在某個介面上使用 DNS 負載平衡，又在另一個介面上使用硬體負載平衡。兩個介面必須都使用硬體負載平衡，或是都使用 DNS 負載平衡。不支援混用。

附註：
在您使用硬體負載平衡器時，針對內部網路的連線所部署的負載平衡器必須經過設定，使其僅對流向 Access Edge Service 與 A/V Edge Service 的流量執行負載平衡。對於流向內部 Web Conferencing Edge Service 的流量，不可執行負載平衡。

附註：
Lync Server 2010 不支援 Direct Server Return (DSR) NAT。