リバース プロキシの使用によるリモート ユーザー アクセスの有効化

トピックの最終更新日: 2009-01-25

外部ユーザー (組織のファイアウォールの外側にいるユーザー) は、専用に作成された仮想サーバーを Web ブラウザで指すことによって、Communicator Web Access (2007 R2 リリース) にログオンします。外部ユーザーが Communicator Web Access サーバーに直接アクセスすることもできます。ただし、それはセキュリティ上の理由でお勧めできません。代わりに、外部ユーザーがリバース プロキシ サーバーを経由することを強くお勧めします。

リバース プロキシ サーバーは、Microsoft Internet Security and Acceleration (ISA) Server などのプロキシ サーバー ソフトウェアが実行されているコンピュータです。リバース プロキシ サーバーは、内部の企業ネットワークとインターネットの間に存在する境界ネットワーク (DMZ、非武装地帯とも呼ばれる) 内にあります。外部ユーザーが Communicator Web Access 仮想サーバーへの接続を試みると、ドメイン ネーム システム (DNS) サービスは、リバース プロキシ サーバーに要求を自動的にルーティングします。リバース プロキシ サーバーは、サービスの要求を Communicator Web Access サーバーに転送します。エンド ユーザーにとっては、プロセスは完全に透過的で、リバース プロキシ サーバーが Communicator Web Access サーバーです。

アクセス ポイントを 1 つにすることで、管理者は、サーバーに接続できるユーザーと接続できないユーザーの決定、およびそのユーザーがアクセスできるコンテンツの管理を簡単に行うことができます。サーバー名をリバース プロキシの背後に "隠す" ことで、クライアントに影響を及ぼすことなく、ハードウェアを交換したり、ホスト名を変更したりできます。ユーザーは、プロキシ サーバーの背後に置かれたコンピュータに関係なく、同じ URL にそのままアクセスし続けることができます。

Communicator Web Access は、市場の大部分のリバース プロキシ サーバーと互換性があります。したがって、1 つの例外を除いて、ほとんどのリバース プロキシ ソフトウェアを使用できます。例外はシングル サインオン認証を使用する場合です。この場合は、Web リスナ上で Microsoft Internet Security and Acceleration (ISA) Server 2006 を使用し、シングル サインオン (SSO) を有効にする必要があります。

使用するリバース プロキシ サーバーの選択とは無関係に、内部の信頼されているドメインのメンバ サーバーではなく、ワークグループ メンバをサーバーにすることをお勧めします。これにより、セキュリティのレベルが高まります。リバース プロキシ サーバーのセキュリティが侵害されても、攻撃者はそのサーバー以外にはアクセスできないので、内部ネットワークにはアクセスできません。

パフォーマンス上の理由から、リバース プロキシ上には他のソフトウェアをインストールしないことをお勧めします。ただし、Communicator Web Access のリバース プロキシ サーバーとして機能するコンピュータを、他のアプリケーション (Outlook Web Access など) のリバース プロキシ サーバーとして使用することもできます。

各リバース プロキシ サーバーはそれぞれ異なる方法で構成されるので、このドキュメントでは、リバース プロキシ サーバーの詳細な設定ステップについては説明しません。詳細については、使用しているリバース プロキシ サーバーのドキュメントを参照してください。