Umkreisnetzwerktopologien

Letztes Änderungsdatum des Themas: 2009-01-20

Office Communications Server 2007 R2 unterstützt den Zugriff von folgenden externen Benutzern:

• Remotebenutzer, die Benutzer Ihrer Organisation sind und die außerhalb der Firewalls der Organisation arbeiten.
• Verbundbenutzer, die Benutzer in anderen Organisationen sind, mit denen Ihre Organisation eine Verbundbeziehung hat.
• Anonyme Benutzer, die nicht zu Ihrer Organisation gehören, aber von einem Ihrer Benutzer zu einer bestimmten Konferenz eingeladen wurden.
• Benutzer öffentlicher Instant Messaging-Dienste, die die öffentlichen Instant Messaging-Dienste des MSN-Netzwerks von Internetdiensten, Yahoo! und AOL verwenden. Für Verbindungen mit öffentlichen Instant Messaging-Diensten ist eine separate Lizenz erforderlich.

Remotebenutzer können die meisten Office Communications Server-Features nutzen, während sie außerhalb Ihrer Firewalls arbeiten. Verbundbenutzer können Sofortnachrichten- und Anwesenheitsdaten mit den Benutzern Ihrer Organisation austauschen. Alle diese externen Benutzer können an Konferenzen am Standort teilnehmen und die Zusammenarbeit an Daten sowie die Weiterleitung von Audio- und Videodaten durch die Unternehmensfirewall nutzen.

Damit externe Benutzer zugreifen können, wird von Office Communications Server die Edgeserverrolle bereitgestellt. Edgeserver werden in einem Umkreisnetzwerk ausgeführt und bieten die Verbindung zwischen Ihrer Bereitstellung und externen Benutzern.

Der HTTP-Reverseproxy ist keine Rolle in Office Communications Server 2007 R2, kann aber zur Authentifizierung externer Benutzer verwendet werden, die Microsoft Office Communicator Web Access verwenden. Er ist für Folgendes erforderlich:

• externen Zugriff auf Adressbuchinformationen
• die Möglichkeit, die Mitgliedschaft in Verteilergruppen zu erweitern
• Zugriff auf Besprechungsinhalt in Webkonferenzen
• Geräteaktualisierungsdienste für Remotebenutzer

In Abbildung 1 sind die Server dargestellt, die im Office Communications Server 2007 R2-Umkreisnetzwerk erforderlich sind, und die Protokolle, die zur Kommunikation mit den Internetclients auf der einen Seite und den internen Servern Ihrer Organisation auf der anderen Seite verwendet werden.

Abbildung 1. Externe Konfiguration von Office Communications Server 2007 R2

In einem Office Communications Server 2007 R2-Umkreisnetzwerk sind die folgenden Server erforderlich:

Edgeserver

In Office Communications Server 2007 R2 werden auf jedem Edgeserver drei Dienste ausgeführt: Zugriffs-Edgedienst, Webkonferenz-Edgedienst und A/V-Edgedienst.

Zugriffs-Edgedienst

Der Zugriffs-Edgedienst verarbeitet den gesamten SIP-Datenverkehr durch die Unternehmensfirewall. Der Zugriffs-Edgedienst verarbeitet nur den SIP-Datenverkehr, der zum Herstellen und Überprüfen von Verbindungen erforderlich ist. Er verwaltet weder Datenübertragungen noch authentifiziert er Benutzer. Die Authentifizierung des eingehenden Datenverkehrs wird vom Director oder dem Front-End-Server ausgeführt. Der Director ist ein Office Communications Server 2007 R2 Standard Edition-Server oder Enterprise-Pool, der nicht als Host für Benutzer dient und sich innerhalb der Unternehmensfirewall befindet. Ein Director ist zwar nicht obligatorisch, wird jedoch dringend empfohlen. Wenn kein Director bereitgestellt wird, erfolgt die Authentifizierung auf dem Front-End-Server im Pool oder dem hierfür vorgesehenen Standard Edition-Server. (Zur Ausführung der Authentifizierung ist der Zugriff auf Active Directory-Domänendienste (Active Directory Domain Services, AD DS) erforderlich. Die Edgeserver sind nicht zum Active Directory-Zugriff berechtigt, weil sie im Umkreisnetzwerk außerhalb von Active Directory bereitgestellt werden.) Der Zugriffs-Edgedienst ist unerlässlich in allen Szenarien mit externen Benutzern, z. B. für Konferenzen, Remotebenutzerzugriff, Verbund und Verbindungen mit öffentlichen Instant Messaging-Diensten.

Webkonferenz-Edgedienst

Der Webkonferenz-Edgedienst leitet PSOM-Datenverkehr (Persistent Shared Object Model) zwischen Webkonferenzserver und externen Clients weiter. Externer Konferenzdatenverkehr muss vom Webkonferenz-Edgedienst autorisiert werden, bevor er zum Webkonferenzserver weitergeleitet wird. Der Webkonferenz-Edgedienst setzt voraus, dass externe Clients TLS-Verbindungen verwenden und einen Konferenzsitzungsschlüssel beziehen.

A/V-Edgedienst

Der A/V-Edgedienst stellt einen gemeinsamen vertrauenswürdigen Verbindungspunkt bereit, über den eingehender und ausgehender Mediendatenverkehr (einschließlich Datenverkehr im Zusammenhang mit der Anwendungsfreigabe) NATs (Network Address Translation, Netzwerkadressenübersetzung) und Firewalls sicher durchqueren kann. Die ICE-Technologie (Interactive Connectivity Establishment) ist der Industriestandard für eine Methode, mit der verschiedene Medien Firewalls durchqueren können. ICE basiert auf den Protokollen STUN (Simple Traversal Underneath NAT) und TURN (Traversal Using Relay NAT). Der A/V-Edgedienst ist ein TURN/STUN-Server. Alle Benutzer werden authentifiziert, um sowohl den Zugang zum Unternehmen als auch die Nutzung des vom A/V-Edgedienst bereitgestellten Diensts zum Durchqueren der Firewall zu schützen. Zum Senden von Medien in das Unternehmen muss der externe Benutzer authentifiziert werden und einen authentifizierten internen Benutzer vorweisen, der damit einverstanden ist, mit ihm über den A/V-Edgedienst zu kommunizieren.

HTTP-Reverseproxy

Ein HTTP-Reverseproxy im Umkreisnetzwerk übermittelt den HTTP- und HTTPS-Datenverkehr für externe Benutzer. Der HTTP-Reverseproxy kann zur Authentifizierung externer Benutzer mithilfe von Communicator Web Access verwendet werden. Er ist auch erforderlich, damit externe Benutzer die folgenden Daten herunterladen können:

• Adressbuchserver-Informationen
• Webkonferenzinhalte
• Erweiterte Verteilerlisten
• Client- und Geräteaktualisierungen

Auf dem Reverseproxy wird weder Office Communications Server 2007 R2 ausgeführt noch SIP-Datenverkehr übertragen. Auf dem Reverseproxy kann Microsoft Internet Security and Acceleration (ISA) Server 2006 oder andere Internetserversoftware ausgeführt werden.