• Artículo

Topologías de red perimetral para Office Communications Server 2007 R2

Última modificación del tema: 2009-09-04

El servidor perimetral es una función de servidor que se implementa en una red perimetral para admitir el acceso de usuarios externos. Los usuarios externos pueden ser usuarios remotos, usuarios federados y usuarios anónimos. Office Communications Server admite la conectividad con uno o varios de los siguientes proveedores de servicios de mensajería instantánea pública: AOL, MSN y Yahoo!.

Nota

En este contexto, los usuarios externos que obtienen acceso a la red mediante una conexión VPN se consideran usuarios internos.

Un servidor perimetral ejecuta tres servicios: el servicio perimetral de acceso, el servicio perimetral A/V y el servicio perimetral de conferencia web. Los tres se instalan automáticamente con un servidor perimetral.

Además de uno o varios servidores perimetrales, también se requieren servidores proxy HTTP inversos en la red perimetral. No se admite la combinación de un servidor perimetral con un proxy inverso o con un firewall interno o externo. El servicio perimetral de acceso no se puede combinar con ningún otro servicio perimetral de red, como Microsoft Internet Security and Acceleration (ISA) Server o la función de servicio perimetral Microsoft Exchange 2007.

Los componentes admiten el acceso externo de la siguiente manera:

  • El servicio perimetral de acceso valida y reenvía el tráfico de señales SIP entre los usuarios internos y externos.
  • El servicio perimetral A/V habilita las conferencias de audio y vídeo, así como el uso compartido de escritorio y las comunicaciones A/V punto a punto con los usuarios externos que dispongan de un cliente admitido. Para obtener más información, vea Clientes compatibles.
  • El servicio perimetral de conferencia web permite a los usuarios externos participar en las conferencias hospedadas en un servidor de conferencia web interno.
  • El proxy inverso HTTP se requiere para descargar la información de la Libreta de direcciones, expandir la pertenencia en los grupos de distribución, descargar el contenido de conferencias web y proporcionar acceso a los archivos para actualizar los dispositivos y clientes.

En la red perimetral se admiten las siguientes topologías perimetrales, cada una con un solo proxy HTTP inverso en cada ubicación física:

  • Topología perimetral consolidada de un solo equipo
    Un solo equipo de servidor perimetral.
  • Topología perimetral consolidada escalada
    Dos o más equipos de servidor perimetral detrás de un equilibrador de carga.
  • Topología perimetral consolidada de varios sitios
    Una ubicación principal (centro de datos) tiene una topología perimetral consolidada escalada y uno o más sitios remotos implementan una topología perimetral consolidada de un solo equipo o una topología perimetral consolidada escalada detrás de un equilibrador de carga.

Para las implementaciones con varias ubicaciones, se admite únicamente un solo servidor perimetral o una sola matriz de servidores perimetrales con equilibrio de carga para la federación y la conectividad de mensajería instantánea pública. Se admiten varios servidores perimetrales de acceso en diversas ubicaciones para el acceso de usuarios remotos.

Si tiene una topología perimetral consolidada escalada con varios servidores perimetrales, el servidor del próximo paso del director debe tener como destino la dirección IP virtual de la matriz de servicios perimetrales de acceso en el equilibrador de carga interno.

La clave del producto de los servidores Standard Edition y Enterprise Edition admite un servidor perimetral.

Es posible unir el servidor perimetral a un dominio situado por completo en la red perimetral, pero no se recomienda. El servidor perimetral no debe formar parte nunca de un dominio de la red interna.

Certificados

Cada servidor perimetral debe tener un certificado interno. Los tres servicios perimetrales en ese servidor comparten este certificado. El nombre de sujeto del certificado debe coincidir con el nombre de dominio completo (FQDN) interno del servicio perimetral de acceso de ese servidor perimetral.

Cada servidor perimetral requiere dos certificados externos: uno para el servicio perimetral de acceso y otro para el servicio perimetral de conferencia web. Cada uno de estos certificados debe tener un nombre de sujeto que coincida con el FQDN externo de ese servicio perimetral en ese servidor.

Se requiere un certificado adicional para la autenticación A/V. La clave privada del certificado de autenticación A/V se utiliza para generar las credenciales de autenticación. Puede ser un certificado interno pero, por motivos de seguridad, no debe usarse el mismo certificado para la autenticación A/V que el utilizado para cualquiera de los servicios del servidor perimetral.

Para obtener información detallada sobre los requisitos de certificado, vea Requisitos de certificado para el acceso de usuarios externos en la documentación referente a planeación y arquitectura.

Interfaces interna y externa

Cada uno de los tres servicios que se ejecutan en un servidor perimetral tiene una interfaz externa y una interfaz interna independientes. Cada uno de los servicios requiere una combinación de dirección IP externa y puerto independiente. La configuración recomendada es una dirección IP diferente para cada uno de los tres servicios de modo que cada servicio pueda utilizar su configuración de puerto predeterminada.

Es necesario usar nombres DNS diferentes para cada una de las dos interfaces. Se requieren una dirección IP única y un FQDN único para la interfaz interna y la interfaz externa. No se admite un adaptador de red de host múltiple que utilice el mismo nombre DNS y, por lo tanto, la misma dirección IP para las interfaces interna y externa.

En un sitio con un solo servidor perimetral implementado, se recomienda que la dirección IP de la interfaz externa del servicio perimetral A/V sea públicamente enrutable. Sin embargo, el firewall externo puede funcionar como un dispositivo NAT (traducción de direcciones de red) para esta dirección IP en este escenario.

En cualquier ubicación con varios servidores perimetrales implementados detrás de un equilibrador de carga, la dirección IP de la interfaz externa del servicio perimetral A/V debe ser públicamente enrutable. El firewall externo no puede funcionar como un dispositivo NAT para esta dirección IP. Este requisito no se aplica a los otros servicios del servidor perimetral.

El firewall interno no debe funcionar como un dispositivo NAT para la dirección IP interna del servicio perimetral A/V. La dirección IP interna del servicio perimetral A/V debe poder enrutarse sin problemas desde la red interna hasta la dirección IP interna de dicho servicio.