Office Communications Server 2007 R2 使用時のファイアウォールの設定

図 1. 境界ネットワーク サーバー用の既定のファイアウォール ポート

ベスト プラクティス

境界ネットワークのセキュリティを強化するため、次のようにエッジ サーバーを展開することを推奨します。

• ルーターの外側に、Office Communications Server 用のサブネットを新規に作成します。
• Office Communications Server のサブネットに入ってきたトラフィックが他のサブネットにルーティングされないことを確認します。
• 初期ルーター上で、Office Communications Server 2007 R2 サブネットと他のサブネット (境界ネットワークに対する管理サービスを含む管理サブネットは例外とします) との間のルーティングを禁止するルールを構成します。
• 内部ルーター上で、境界ネットワーク上の Office Communications Server 2007 R2 サブネットからのブロードキャストおよびマルチキャストをすべて禁止します。
• 2 つのファイアウォール (内側のファイアウォールと外側のファイアウォール) の間にエッジ サーバーを展開し、ネットワーク エッジ間のルーティングが厳格に行われるようにします。

さらに、エッジ サーバーのパフォーマンスとセキュリティを向上させ、また、展開作業を円滑に行うことができるようにするため、次のガイドラインに従って展開プロセスを策定してください。

• エッジ サーバーは、内部ネットワーク上に Office Communications Server 2007 R2 を展開した後に展開します。ただし、Microsoft Office Live Communications Server 2005 Service Pack 1 から Microsoft Office Communications Server 2007 R2 に移行する場合は、この限りではありません。移行プロセスの詳細については、「Office Communications Server 2007 からの移行」を参照してください。
• エッジ サーバーは、ドメインではなくワークグループに展開します。これにより、インストールが容易になり、Active Directory ドメイン サービスを境界ネットワークの外側に置くことができます。境界ネットワーク上に Active Directory ドメイン サービスを配置すると、セキュリティ リスクが高くなります。
• エッジ サーバーを実働環境に展開する前に、ステージング環境または試験環境に展開します。テスト展開がニーズを満たし、実働環境に正常に組み込まれたことを確認してから、エッジ サーバーを境界ネットワークの内側に展開します。
• 外部から入ってくるトラフィックに対する認証ゲートウェイとして機能するディレクタを 1 つ以上展開します。
• エッジ サーバーは、必要な処理のみを実行する専用コンピュータ上に展開します。つまり、そのコンピュータ上で、不要なサービスを無効にし、不可欠なプログラムだけを実行します。不可欠なプログラムには、Microsoft SIP Processing Language (MSPL) で記述されたルーティング ロジックを備えたプログラムや、Office Communications Server API を使用するプログラムなどがあります。
• できる限り早期に、コンピュータの監視および監査を有効にします。
• 2 つのネットワーク アダプタがあり、内部ネットワークと外部ネットワークを物理的に分けられるコンピュータを使用します。