• [アーティクル]

リバース プロキシの構成

トピックの最終更新日: 2009-07-20

Office Communications Server エッジ サーバーの展開では、次の目的で、Microsoft Internet Security and Acceleration (ISA) Server または他のリバース プロキシを境界ネットワークに配置する必要があります。

  • 外部ユーザーが会議の会議コンテンツをダウンロードできるようにする。
  • 外部ユーザーが配布グループを拡張できるようにする。
  • リモート ユーザーがアドレス帳サービスからファイルをダウンロードできるようにする。
  • 外部デバイスからデバイス更新サービスに接続して更新プログラムを入手できるようにする。

次の表に、Web コンポーネント サーバーで使用される特定のディレクトリを示します。すべてのディレクトリを使用するように HTTP リバース プロキシを構成することをお勧めします。

Web コンポーネント サーバーで使用されるディレクトリ

ディレクトリ 用途

https://ExternalFQDN/etc/place/null

会議コンテンツが格納されます。

https://ExternalFQDN/GroupExpansion/ext/service.asmx

配布グループ拡張情報が格納されます。アドレス帳 Web クエリ サービスを実行する Web コンポーネント サーバーの外部 URL です。

https://<ExternalFQDN>/ABS/ext/Handler

アドレス帳サーバー ファイルが格納されます。

https://<外部サーバー FQDN>/RequestHandler/ucdevice.upx

デバイス更新サービスを実行する Web コンポーネント サーバーの外部 URL です。詳細については、「デバイス更新サービス」を参照してください。

https://<ExternalFQDN>DeviceUpdateFiles_Ext

デバイスの更新プログラムが存在する Web コンポーネント サーバーの外部 URL。

このセクションの詳細なステップでは、ISA Server 2006 をリバース プロキシとして構成する方法について説明しています。別のリバース プロキシを使用する場合は、対応する製品のドキュメントを確認してください。

リバース プロキシをセットアップするには、このセクションの情報を使用して、次の手順を完了する必要があります。

  • ネットワーク アダプタ カードを構成する。
  • ISA Server 2006 をインストールして構成する。
  • SSL のデジタル証明書を要求して構成する。
  • Web サーバー公開ルールを作成し、セキュリティで保護された Web サーバー公開ルールのプロパティが適切であることを確認する。
  • インターネット インフォメーション サービス (IIS) 仮想ディレクトリの認証と証明書を検証または構成する。
  • 外部ドメイン ネーム システム (DNS) エントリを作成する。
  • インターネット経由で Web サイトにアクセスできることを確認する。

作業を始める前に

エンタープライズ プールおよび Standard Edition サーバーの設定時、プール作成ウィザードまたはサーバーの展開ウィザードの [Web ファームの FQDN] ページで、外部 Web ファームの完全修飾ドメイン名 (FQDN) を構成することができました。これらのウィザードの実行時にこの URL を構成していない場合は、これらの設定を手動で構成する必要があります。手動で構成するには、コマンド プロンプトを開き、次のコマンドを入力します。

lcscmd.exe /web /action:updatepoolurls /externalwebfqdn:<外部 Web ファームの FQDN> /poolname:<プール名>

ネットワーク アダプタを構成する

外部ネットワーク アダプタに 1 つ以上の IP アドレス、および内部ネットワーク アダプタに少なくとも 1 つの IP アドレスを割り当てる必要があります。単一のネットワーク アダプタを使用した ISA Server の展開の詳細については、「Configuring ISA Server 2004 on a Computer with a Single Network Adapter (単一ネットワーク アダプタを使用するコンピュータでの ISA Server 2004 の構成). このドキュメントの内容は ISA Server 2006 にも適用されます。

以降の手順では、ISA Server コンピュータに以下の 2 つのネットワーク アダプタが用意されています。

  • パブリック (外部) ネットワーク アダプタ。(通常はインターネット経由で) Web サイトに接続しようとするクライアントに公開されます。
  • 内部 Web サーバーに公開されるプライベート (内部) ネットワーク インターフェイス。

外部ネットワーク アダプタに 1 つ以上の IP アドレス、および内部ネットワーク アダプタに少なくとも 1 つの IP アドレスを割り当てる必要があります。

リバース プロキシ コンピュータのネットワーク アダプタ カードを構成するには

  1. ISA Server 2006 を実行しているサーバーで、[ネットワーク接続] を開きます。これには、[スタート] ボタンをクリックし、[設定] をポイントして、[ネットワーク接続] をクリックします。

  2. 外部インターフェイスに使用する外部ネットワーク接続を右クリックし、[プロパティ] をクリックします。

  3. [プロパティ] ページの [全般] タブをクリックし、[この接続は次の項目を使用します] ボックスの一覧の [インターネット プロトコル (TCP/IP)] をクリックして、[プロパティ] をクリックします。

  4. [インターネット プロトコル (TCP/IP) のプロパティ] ページで、ネットワーク アダプタの接続先のネットワークに対応した IP アドレスと DNS サーバー アドレスを構成します。

  5. [OK] を 2 回クリックします。

  6. [ネットワーク接続] で、内部インターフェイスに使用する内部ネットワーク接続を右クリックし、[プロパティ] をクリックします。

  7. ステップ 3. ~ 5. を繰り返して内部ネットワーク接続を構成します。

ISA Server 2006 をインストールする

製品に付属のセットアップの指示に従って ISA Server 2006 をインストールします。ISA Server のインストールの詳細については、「ISA Server 2006 - Getting Started (ISA Server 2006 - 概要).

リバース HTTP プロキシの証明書を要求して構成する

Web サーバー (Office Communications Server Web コンポーネントを実行する IIS サーバー) のサーバー証明書を発行した CA のルート証明機関 (CA) 証明書を、ISA Server 2006 を実行しているサーバーにインストールする必要があります。

Web サーバー証明書は、ISA Server にインストールする必要があります。この証明書は、会議コンテンツとアドレス帳ファイルをホストしている外部 Web ファームの公開済み FQDN に対応する必要があります。

内部の展開が複数の Standard Edition サーバーまたはエンタープライズ プールで構成されている場合は、個々の外部 Web ファーム FQDN の Web 公開ルールを構成する必要があります。

Web 公開ルールを構成する

ISA Server では、Web 公開ルールを使用して、インターネット経由でミーティング URL などの内部リソースを安全に公開します。インターネット ユーザーに情報を公開すると、内部ネットワーク内のコンピューティング リソースをネットワーク外のユーザーが使用できるようになります。

以下の手順に従って、Web 公開ルールを作成します。

Dd441312.note(ja-jp,office.13).gif注:
この手順では、ISA Server 2006 Standard Edition がインストールされていることを前提としています。

ISA Server 2006 を実行するコンピュータで Web サーバー公開ルールを作成するには

  1. [スタート] ボタンをクリックし、[すべてのプログラム] をポイントします。次に、[Microsoft ISA Server] をポイントし、[ISA Server の管理] をクリックします。

  2. 左側のウィンドウで、サーバー名を展開し、[ファイアウォール ポリシー] を右クリックします。次に、[新規作成] をポイントし、[Web サイト公開ルール] をクリックします。

  3. [新しい Web 公開ルール ウィザードへようこそ] ページで、公開ルールのフレンドリ名 (「OfficeCommunicationsWebDownloadsRule」など) を入力し、[次へ] をクリックします。

  4. [ルール動作の選択] ページで、[許可] をクリックし、[次へ] をクリックします。

  5. [公開の種類] ページで、[1 つの Web サイトまたは負荷分散装置を公開する] をクリックし、[次へ] をクリックします。

  6. [サーバー接続セキュリティ] ページで、[公開された Web サーバーまたはサーバー ファームへの接続に SSL を使用する] をクリックし、[次へ] をクリックします。

  7. [内部公開の詳細] ページの [内部サイト名] ボックスに、会議コンテンツとアドレス帳コンテンツをホストする内部 Web ファームの FQDN を入力します。

    Dd441312.note(ja-jp,office.13).gif注:
    内部サーバーが Standard Edition サーバーの場合、この FQDN は Standard Edition サーバーの FQDN です。内部サーバーがエンタープライズ プールの場合、この FQDN は内部 Web ファームの FQDN です。
    ISA Server では、FQDN を内部 Web サーバーの IP アドレスに解決できる必要があります。ISA Server で FQDN を適切な IP アドレスに解決できない場合は、[コンピュータ名または IP アドレスを使用して、公開されたサーバーに接続する] チェック ボックスをオンにし、[コンピュータ名または IP アドレス] ボックスに内部 Web サーバーの IP アドレスを入力できます。その場合は、ISA Server でポート 53 が開いていること、および ISA Server が内部 DNS サーバーまたは境界領域ネットワーク内に存在する DNS サーバーに接続できることを確認する必要があります。

  8. [内部公開の詳細] ページの [パス (省略可)] ボックスに、公開するフォルダのパスとして「/*」を入力し、[次へ] をクリックします。

    Dd441312.note(ja-jp,office.13).gif注:
    Web サイトの公開ウィザードで指定できるパスは 1 つだけです。ルールのプロパティを変更すると、パスを追加できます。

  9. [パブリック名の詳細] ページの [要求の許可] で、[次に入力したドメイン名] が選択されていることを確認し、[パブリック名] ボックスに外部 Web ファームの FQDN を入力して、[次へ] をクリックします。

  10. [Web リスナの選択] ページで、[新規作成] をクリックします (これで、新しい Web リスナの定義ウィザードが開きます)。

  11. [新しい Web リスナ ウィザードの開始] ページの [Web リスナ名] ボックスに Web リスナの名前 (たとえば、Web サーバー) を入力し、[次へ] をクリックします。

  12. [クライアント接続セキュリティ] ページで、[クライアントとの SSL セキュリティ保護接続を必要とする] をクリックし、[次へ] をクリックします。

  13. [Web リスナの IP アドレス] ページで、[外部] をクリックし、[IP アドレスの選択] をクリックします。

  14. [外部リスナの IP の選択] ページで、[指定した IP アドレス] を選択し、適切な IP アドレスを選択します。次に、[追加] をクリックし、[OK] をクリックします。

  15. [次へ] をクリックします。

  16. [リスナの SSL 証明書] ページで、[IP アドレスごとに証明書を割り当てる] をクリックします。次に、上記で追加した IP アドレスを選択し、[証明書の選択] をクリックします。

  17. [証明書の選択] ページで、ステップ 9. で指定したパブリック名に対応している証明書を選択します。次に、[選択] をクリックし、[次へ] をクリックします。

  18. [認証の設定] ページで、[認証なし] をクリックし、[次へ] をクリックします。

  19. [シングル サインオンの設定] ページで、[次へ] をクリックします。

  20. [新しい Web リスナ ウィザードの完了] ページで、[Web リスナ] の設定が正しいことを確認し、[完了] をクリックします。

  21. [次へ] をクリックします。

  22. [認証の委任] ページで [委任できません。クライアントは直接認証できます] を選択し、[次へ] をクリックします。

  23. [ユーザー セット] ページで、[次へ] をクリックします。

  24. [新しい Web 公開ルール ウィザードの完了] ページで、Web 公開ルールの設定が正しいことを確認し、[完了] をクリックします。

  25. 詳細ウィンドウで [適用] をクリックして、変更を保存し、構成を更新します。

Web 公開ルールのプロパティを変更するには

  1. [スタート] ボタンをクリックし、[すべてのプログラム] をポイントします。次に、[Microsoft ISA Server] をポイントし、[ISA Server の管理] をクリックします。

  2. 左側のウィンドウで、サーバー名を展開し、[ファイアウォール ポリシー] をクリックします。

  3. 詳細ウィンドウで、前の手順で作成した、セキュリティで保護された Web サーバー公開ルール (OfficeCommunicationsServerExternal ルールなど) を右クリックし、[プロパティ] をクリックします。

  4. [プロパティ] ページで [送信元] タブをクリックします。

    • [このルールを次の送信元からのトラフィックに適用する] ボックスの一覧の [任意の場所] をクリックし、[削除] をクリックします。
    • [追加] をクリックします。
    • [ネットワーク エンティティの追加] ダイアログ ボックスで、[ネットワーク] を展開し、[外部]、[追加]、[閉じる] の順にクリックします。

  5. Web サーバーに別のパスを公開する必要がある場合は、[パス] タブをクリックします。その後、[追加] をクリックし、公開するパスとして「/*」を入力し、[OK] をクリックします。

  6. [適用] をクリックして変更を保存し、[OK] をクリックします。

  7. 詳細ウィンドウで [適用] をクリックして変更を保存し、構成を更新します。

IIS 仮想ディレクトリの認証と証明書を検証または構成する

以下の手順に従って、IIS 仮想ディレクトリの証明書を構成し、証明書の適切な構成を検証します。社内の Office Communications Server の各 IIS Server で、以下の手順を実行します。

Dd441312.note(ja-jp,office.13).gif注:
以下の手順は、IIS の既定の Web サイト用です。

IIS 仮想ディレクトリの認証と証明書を検証または構成するには

  1. [スタート] ボタンをクリックし、[すべてのプログラム] をポイントします。次に、[管理ツール] をポイントし、[インターネット インフォメーション サービス (IIS) マネージャ] をクリックします。

  2. インターネット インフォメーション サービス (IIS) マネージャで、サーバー名を展開し、[Web サイト] を展開します。

  3. [既定の Web サイト] または <選択された> Web サイトを右クリックし、[プロパティ] をクリックします。

  4. [Web サイト] タブで、[SSL ポート] ボックスのポート番号が 443 であることを確認し、[OK] をクリックします。

  5. [ディレクトリ セキュリティ] タブで、[セキュリティで保護された通信] の下にある [サーバー証明書] をクリックします。

  6. [Web サーバー証明書ウィザードの開始] ページで、[次へ] をクリックします。

  7. [サーバー証明書] ページで、[既存の証明書を使用] をクリックし、[次へ] をクリックします。

  8. [SSL ポート] ページで、[この Web サイトが使用する SSL ポート] ボックスの値が 443 であることを確認し、[次へ] をクリックします。

  9. [証明書の概要] ページで、設定が正しいことを確認し、[次へ] をクリックします。

  10. [完了] をクリックします。

  11. [OK] をクリックして、[既定の Web サイトのプロパティ] ダイアログ ボックスを閉じます。

DNS レコードを作成する

ISA Server の外部インターフェイスを指す外部 DNS A レコードを作成します (「DNS の構成」を参照)。

リバース プロキシ経由のアクセスを確認する

以下の手順に従って、ユーザーがリバース プロキシ上の情報にアクセスできることを確認します。正しくアクセスできるようにするには、ファイアウォール構成と DNS 構成を完了する必要がある場合があります。

インターネット経由で Web サイトにアクセスできることを確認するには

  1. Live Meeting 2007 クライアントを展開します (『Office Communications Server 2007 を使用した Microsoft Office Live Meeting 2007 クライアントの展開』ガイドを参照)。

  2. Web ブラウザを開き、アドレス帳ファイルや Web 会議用の Web サイトにアクセスする際にクライアントが使用する URL をアドレス バーに入力します。以下に例を示します。

    • アドレス帳サーバーの場合、入力する URL は、https://externalwebfarmFQDN/abs/ext (externalwebfarmFQDN は、アドレス帳サーバー ファイルをホストする Web ファームの外部 FQDN) のようになります。ユーザーは HTTP チャレンジを受信する必要があります。これは、アドレス帳サーバー フォルダのディレクトリ セキュリティが、既定で Microsoft Windows 認証に構成されているためです。
    • Web 会議の場合、入力する URL は、https://externalwebfarmFQDN/conf/ext/Tshoot.html (externalwebfarmFQDN は、会議コンテンツをホストする Web ファームの外部 FQDN) のようになります。この URL には、Web 会議のトラブルシューティングのページが表示されます。
    • 配布グループ拡張の場合、入力する URL は、https://ExternalwebfarmFQDN/GroupExpansion/ext/service.asmx のようになります。ユーザーは HTTP チャレンジを受信する必要があります。これは、配布グループ拡張サービスが、既定で Microsoft Windows 認証に構成されているためです。