我们有很多情况都会面临一个问题,那就是Lync Server架构的选择,因为我们在测试环境或者说实验环境中我们可以非常轻易的使用服务器或台式机通过虚拟化制作非常多的虚机出来,从而在我们的环境中实现Lync Server的各种角色分离,企业版部署等等,并且还专门搭建了边缘服务器、不同的虚拟网络来进行模拟公网等等。但我们忽略了很重要的问题,那就是我们在实际的生产环境中,我们可能并没有那么多的服务器资源,那么多的内存、那么多的考虑,也就是说在实际情况中我们很少是能够按照Lync Server标准拓扑去部署。
特别是对一些中小企业来说,Lync Server需要一台DC来承载Lync Server系统,一台前端服务器来实现内部的Lync通讯,如果还需要实现外部网络访问就必须还需要一台边缘服务器,而且这还是按照Lync Server标准版来部署,如果是企业版则需要更多的服务器。但可能对于某些朋友来说,其实只是想实现一个内外部的视频会议、IM功能等,但要实现这些需要至少3台服务器来实现两个功能,这使得很多朋友都会去权衡,部署这么一套系统到底值不值得?
但是做过Lync Server的朋友都知道,Lync Server不仅仅是一套音视频、IM系统,而是基于微软IT体系、商业软件平台、桌面办公软件三个层面的沟通解决方案,无缝的将传统的、各自为伍的沟通手段整合在了我们的企业的各个场景当中,让我们能够像上帝一样,想要什么就有什么。当然我这里说的有点夸张,其实主要是想体现一个理念“上帝说要有光,于是就有了光。”什么意思呢?
这里就不再展开了,我们来思考今天我们要探讨的一个问题,如果我们只有一台Lync Server前端服务器,没有边缘服务器我们能够实现Lync的外部访问吗?想到这里,我们可能第一个反应是边缘服务器不是内外网的桥梁吗,如果没有边缘服务器肯定就不能实现外部访问啊,这还用思考吗。如果我们再往深入的去思考为什么微软必须要在内外网之间通过边缘服务器来连接,我们就会发现一定程度这是为了安全著想,这是再明显不过的了。我们的边缘服务器是不加入域的,并且即便我们进行部署也是在前端服务器上导出配置,然后再在边缘服务器进行部署,所以我们的边缘服务器是在我们的外围网络中,而我们的前端、AD都是在内部网络中。在不考虑功能、是否拥有防火墙、连接性方面的问题时,我们如果让外部用户直接连接到我们的前端上,这时候我们的外部用户实际就是直接连接到我们的内部网络,这样肯定会存在安全隐患。
这是为什么要用边缘服务器来作为内外网桥梁的第一个原因,然后我们再想一下,如果说我们的企业很大,员工很多,拥有很多分支机构,那么即便我们在内外部网络作了定义,明确划分,并且已经拥有了非常坚固的防火墙,那么不管总部公司的员工还是分支机构的员工都直接连接到我们的前端,那这势必会给我们的管理上造成很大的混乱,因为我们无法分清楚哪些是外部用户、哪些是内部用户,这样的混乱不仅存在安全风险,并且在权限管理上也很麻烦。比如,我们只希望一部分的用户能够在外部使用Lync,但现在我们没有内外部的划分,我们很难做到这一点。
第三,如果我们的Lync系统需要与其他的域做联盟,包括一些公共域,比如MSN、AOL、Lync Online等,如果在没有边缘的情况下,我们就只能够在我们的前端服务器上来作联盟的一些相互信任,权限的委派,这在安全和合规性上很明显都存在问题,并且可能出于某些功能的特殊性,在前端服务器上来做联盟也是不现实的。
那么,我们Lync是如何去判定哪些是内部网络用户,那些是远程用户、外部用户呢,答案当然就是我们的边缘服务器。以上三点是我们需要边缘服务器的关键,但我们发现在一些场景下有些鸡肋:
对安全的要求不高
总部人数很少
分支机构众多
员工分散
尚未部署AD
不需要做联盟
在上面的这几种场景下我们会发现,我们经常会遇到很多问题,这导致很多时候我们都没办法按照官方标准出牌,而需要根据不同的场景、资金支持、实际情况灵活的来调整我们的总体拓扑。
在一些情况下,几乎我们所有的员工都位于的是我们所定义的外部网络,也就是说没有在域中的计算机、没有在内网的用户。那这个时候我们还去部署一台边缘服务器就显得有些多余,成本有些高。所以我们经常就在纠结到底能不能在不部署边缘服务器的情况下,实现外部访问,如何没有边缘实现Lync在互联网中访问。
其实答案很简单,肯定是可以的。因为所谓的Lync内部网络和外部网络都是我们根据以上两个原因所定义出来的,所以只要我们能够在Lync Server中更改内外部的定义,那么我们就可以在公网访问一套没有边缘的Lync Server。但如果我们在Lync Server到公网之间没有防火墙,这肯定是有非常大的安全风险,因为本来就没有了边缘,如果再没有防火墙,那肯定更加的不妥。所以我们还是应该使用防火墙把前端服务器的特定端口发布出去,从而通过单一无边缘的Lync Server前端服务器提供互联网访问能力。
这一切还只是一个思考,能否实现,是否存在一些硬性条件不允许前端服务器用于互联网访问、特定限制等还需要大家一起再研究、学习才能知晓。今天的内容就到这里,感谢大家的支持,谢谢!
本文转自 reinxu 51CTO博客,原文链接:http://blog.51cto.com/reinember/1144297
,如需转载请自行联系原作者
