外部ユーザー アクセスに必要なコンポーネント
トピックの最終更新日: 2012-10-17
ほとんどのエッジ コンポーネントは、境界ネットワーク (DMZ、非武装地帯、スクリーン サブネットとも呼ばれます) に展開されます。 境界ネットワークのエッジ トポロジは、次のコンポーネントで構成されます。 特記されている場合を除き、コンポーネントは 3 つの参照アーキテクチャすべてに含まれ、境界ネットワークに存在します。 エッジ コンポーネントには、次のものが含まれます。
エッジ サーバー
リバース プロキシ
拡張されたエッジ トポロジの負荷分散 (DNS 負荷分散またはハードウェア ロード バランサー)
ファイアウォール
ディレクター (境界ネットワーク内)
エッジ サーバー
エッジ サーバーは、ファイアウォール経由のトラフィックと、外部ユーザーが内部展開を使用する方法を制御します。 エッジ サーバーは、次のサービスを実行します。
アクセス エッジ サービス アクセス エッジ サービスは、セッション開始プロトコル (SIP) の送受信トラフィック用の、信頼される単一の接続ポイントです。
Web 会議エッジ サービス Web 会議エッジ サービスを使用すると、Microsoft Lync Server 2010 の内部展開でホストされる会議に外部ユーザーが参加できます。
音声ビデオ エッジ サービス 音声ビデオ エッジ サービスを使用すると、外部ユーザーが音声、ビデオ、アプリケーション共有、およびファイル送信を使用できます。社内のユーザーは、外部の参加者もいる会議に音声やビデオを追加でき、それをポイント ツー ポイント セッションで外部ユーザーと直接共有できます。 また、音声ビデオ エッジ サービスはデスクトップ共有とファイル送信もサポートします。
承認済みの外部ユーザーは、エッジ サーバーにアクセスして Lync Server の内部展開に接続できますが、エッジ サーバーによって内部ネットワークへのその他のアクセスが可能になることはありません。
.gif "note") 注: |
|---|
| エッジ サーバーは、対応する Lync クライアントおよび (フェデレーションのシナリオのように) 他のエッジ サーバーに接続を提供するために展開されます。他の種類のエンド ポイント クライアントやサーバーからの接続を許可するようには設計されていません。XMPP ゲートウェイ サーバーは、構成済み XMPP パートナーとの接続を許可するように展開できます。エッジ サーバーと XMPP ゲートウェイでは、これらの種類のクライアントおよびフェデレーションからのエンド ポイント接続のみをサポートできます。 |
リバース プロキシ
リバース プロキシは、Microsoft Lync Server 2010 の一部として有効にするほとんどのシナリオに必須のインフラストラクチャ コンポーネントです。多くの展開では、組織に既にインストールされて構成されている既存のリバース プロキシを使用します。通常は、新しい公開ルールが必要になり、既存のプロキシ サーバー ルールの変更は必要ありません。新しい公開ルールの処理には、新規または更新された証明書を使用するのが一般的です。リバース プロキシには次のような種類があります (ただしこれだけに限りません)。
Microsoft Internet and Acceleration Server (ISA) 2006 Service Pack 1
基本的な Microsoft Threat Management Gateway 2010 の構成が「エッジ サーバーの展開」で展開例に使われています。Microsoft Threat Management Gateway 2010 と Microsoft Internet and Acceleration Server (ISA) 2006 Service Pack 1 は、Lync Server 2010 の公開を構成する方法が似ています。詳細については、「展開」のドキュメントの「単一インターネット プールの Web 公開ルールの構成」を参照してください。
Microsoft Threat Management Gateway (TMG) 2010
Microsoft Threat Management Gateway (TMG) 2010 を Lync Server 2010 展開のリバース プロキシとして構成する方法の詳細については、「展開」のドキュメントの「単一インターネット プールの Web 公開ルールの構成」を参照してください。
内部の HTTP および HTTPS コンテンツを公開するように構成できるサード パーティのリバース プロキシ サーバー。
内部の HTTP および HTTPS コンテンツを公開する機能を備えたサード パーティのファイアウォール。
ハードウェア ロード バランサーや HTTP コンテンツ エンジン アプライアンスなど、その他の機器やアプライアンスも必要な機能を備えている場合があります。
サード パーティの機器、サーバー、およびアプライアンスの構成については、公開を構成する方法をサード パーティ ベンダーのドキュメントで参照してください。
.gif "important") 重要: |
|---|
| エッジ サーバーとリバース プロキシを共存させるのは有効な構成オプションではありません。エッジ サーバーは、展開でのセッション開始プロトコル、Web 会議、および音声ビデオ (とその他の種類のメディア) 機能の管理という専用の役割にとどまる必要があります。 |
リバース プロキシは以下のことのために必要です。
ユーザーが簡単な URL を使用して会議またはダイヤルイン会議に接続できるようにする。
外部ユーザーが会議コンテンツをダウンロードできるようにする。
外部ユーザーが配布グループを拡張できるようにする。
ユーザーが、クライアント証明書ベースの認証用のユーザーベースの証明書を取得できるようにする。
リモート ユーザーがアドレス帳サーバーからファイルをダウンロードしたり、アドレス帳 Web クエリ サービスにクエリを送信したりできるようにする。
リモート ユーザーがクライアントおよびデバイス ソフトウェアの更新プログラムを取得できるようにする。
モビリティ サービスを提供するフロント エンド サーバーをモバイル デバイスが自動的に検出できるようにする。
Office 365 または Apple のプッシュ通知サービスからモバイル デバイスへのプッシュ通知を有効にする。
| 注: |
|---|
| 外部ユーザーは、Lync Server ベースの通信に参加するために組織に VPN 接続する必要はありません。 組織の内部ネットワークに VPN 経由で接続している外部ユーザーは、リバース プロキシをバイパスします。 |
ファイアウォール
エッジ トポロジは、外部ファイアウォールのみ、または内部と外部両方のファイアウォールを使用して展開できます。 参照アーキテクチャには 2 つのファイアウォールが含まれます。 2 つのファイアウォールを使用することをお勧めします。これは、ネットワーク エッジ間のルーティングを厳密に行い、内部展開を 2 つのレベルのファイアウォールで保護するためです。
ディレクター
Lync Server 2010 で、ディレクターは Lync Server 2010 がホストする独立したサーバーの役割です。 またディレクターは、エッジ サーバーが内部サーバー宛の受信 SIP トラフィックをルーティングする際に、そのルーティング先の内部の次ホップ サーバーとして機能する場合もあります。 ディレクターは受信要求を認証し、これをユーザーのホーム プールまたはサーバーにリダイレクトします。
外部アクセスを有効にする場合は、ディレクターを展開することをお勧めします。ディレクターがリモート ユーザーから受信した SIP トラフィックを認証するため、Enterprise Edition フロント エンド プール内のフロント エンド サーバーと Standard Edition サーバーはリモート ユーザーの認証を行う必要がなくなります。また、サービス拒否攻撃 (DoS) のような悪意のあるトラフィックから Enterprise Edition フロント エンド プール内のフロント エンド サーバーと Standard Edition サーバーを守る役割を果たします。このような攻撃でネットワークに無効な外部トラフィックが殺到しても、このトラフィックはディレクターで止められ、内部ユーザーのパフォーマンスには影響しません。ディレクターの使用の詳細については、「ディレクター」を参照してください。
ハードウェア ロード バランサー
Lync Server 2010 の拡張統合エッジ トポロジは、主に Lync Server 2010 を使用する他の組織とフェデレーションする新しい展開の DNS 負荷分散のために最適化されています。次のいずれかのシナリオで高可用性が必要な場合は、次の目的で、エッジ サーバー プールでハードウェア ロード バランサーを使用する必要があります。
Office Communications Server 2007 R2 または Office Communications Server 2007 を使用する組織とのフェデレーション
リモート ユーザーの Exchange UM
パブリック IM ユーザーとの接続
ご使用のハードウェア ロード バランサーが Lync Server 2010 で必要な機能をサポートしているかどうかを確認するには、「Lync Server 2010 Load Balancer Partners」(https://go.microsoft.com/fwlink/?linkid=202452&clcid=0x411) を参照してください。
ハードウェア ロード バランサーの要件 – 全般的な検討事項
ロード バランサーの仮想 IP (VIP) の受信宛先 IP アドレスを使用する宛先ネットワーク アドレス変換 (DNAT) は、サーバーの宛先 IP アドレスに変換されます。ロード バランサー ベンダーによっては、送信元 NAT (SNAT) の使用を推奨する場合があります。使用する NAT の種類を慎重に検討するとともに、この NAT は HLB に特有であることと、HLB の VIP とホストされているサーバーの間の関係であることを認識してください。周辺ファイアウォールで管理される NAT とは異なります。
送信元アフィニティ (TCP アフィニティとも呼ばれます。ベンダーのドキュメントを確認してください) を使用します。1 つのセッション内のトラフィックはすべて同じ宛先 (つまりサーバー) に関連付けられている必要があります。1 つの送信元からのセッションが複数ある場合は、送信元アフィニティを使用してセッション状態を提供することにより、各セッションを異なる宛先サーバーに関連付けることができます。
何らかの理由 (パフォーマンス上のニーズ、宛先のテスト、標準、ベンダーのドキュメントなど) で必要とされている場合を除いて、TCP アイドル タイムアウトは 30 分 (1800 秒) に設定します。
.gif "warning") 警告: |
|---|
| 1 つのインターフェイスでハードウェア負荷分散を使用し、もう 1 つのインターフェイスで DNS 負荷分散を使用することはできません。 両方のインターフェイスでハードウェア負荷分散を使用するか、両方に DNS 負荷分散を使用する必要があります。 組み合わせて使用することはサポートされていません。 |
| 注: |
|---|
| ロード バランザー機器を使用している場合は、内部ネットワークとの接続用に展開されているロード バランザーを構成して、アクセス エッジ サービスおよび音声ビデオ サービスへのトラフィックのみを負荷分散する必要があります。 内部の Web 会議エッジ サービスへのトラフィックを負荷分散することはできません。 |
| 注: |
|---|
| Lync Server 2010 では、Direct Server Return (DSR) NAT はサポートされていません。 |
音声ビデオ エッジ サービスを実行するエッジ サーバーに対するハードウェア ロード バランサーの要件
音声ビデオ エッジ サービスを実行するエッジ サーバーに対するハードウェア ロード バランサーの要件は以下のとおりです。
内部と外部の両方のポート 443 に対して TCP のネーグル処理がオフになっていること。ネーグル処理はいくつかの小さなパケットを 1 つの大きなパケットにまとめて転送効率を向上させるプロセスです。
外部ポート範囲 50,000 ~ 59,999 の TCP のネーグル処理がオフになっていること。
内部または外部のファイアウォールで NAT が使用されていないこと。
エッジの内部インターフェイスがエッジ サーバーの外部インターフェイスとは別のネットワークに存在し、それらの間のルーティングが無効になっていること。
音声ビデオ エッジ サービスを実行するエッジ サーバーの外部インターフェイスで公的にルーティング可能な IP アドレスが使用されており、エッジの外部 IP アドレスで NAT またはポート変換が使用されていないこと。
Web サービスに対するハードウェア ロード バランサーの要件
ディレクターおよびフロント エンド プールの Web サービスに対するハードウェア ロード バランサーの要件は次のとおりです。
外部 Web サービスの仮想 IP (VIP) で、ハードウェア ロード バランサーの外部ポート 4443 および 8080 に対して Cookie ベースの永続性がポート単位で設定されていること。Lync Server 2010 の Cookie ベースの永続性は、1 つのクライアントから複数の接続があっても常に 1 つのサーバーに送信され、セッション状態が維持されることを意味します。Cookie ベースの永続性を構成するには、ロード バランサーで SSL トラフィックを復号化して再暗号化する必要があります。そのため、外部 Web サービスの FQDN に割り当てられている証明書をハードウェア ロード バランサーの 4443 VIP にも割り当てる必要があります。
内部 Web サービスの VIP で、ハードウェア ロード バランサーの送信元アドレスの永続性 (内部ポート 80、443) が設定されていること。Lync Server 2010 の送信元アドレスの永続性は、1 つの IP アドレスから複数の接続があっても常に 1 つのサーバーに送信され、セッション状態が維持されることを意味します。
TCP アイドル タイムアウトが 1,800 秒に設定されていること。
リバース プロキシと次ホップ プールのハードウェア ロード バランサー間のファイアウォールで、リバース プロキシからハードウェア ロード バランサーへのポート 4443 に対する https: トラフィックを許可するルールが作成されていること。ポート 80、443、および 4443 をリッスンするようにハードウェア ロード バランサーを構成する必要があります。