Edgeserver-Umgebungsanforderungen in Skype for Business Server
Zusammenfassung: Erfahren Sie mehr über die Umgebungsanforderungen für Edgeserver in Skype for Business Server.
Außerhalb der Skype for Business Server Edgeserver-Umgebung selbst müssen viele Planungen und Vorbereitungen stattfinden. In diesem Artikel sehen wir uns an, welche Vorbereitungen laut unserer Liste unten in der Organisationsumgebung getroffen werden müssen:
Topologieplanung
Skype for Business Server Edgeservertopologien können Folgendes verwenden:
Routingfähige öffentliche IP-Adressen.
Nicht-routingfähige private IP-Adressen, wenn die symmetrische Netzwerkadressenübersetzung (Network Address Translation, NAT) verwendet wird
Tipp
Ihr Edgeserver kann so konfiguriert werden, dass er eine einzelne IP-Adresse mit unterschiedlichen Ports für jeden Dienst verwendet, oder er kann unterschiedliche IP-Adressen für jeden Dienst verwenden, aber denselben Standardport verwenden (der standardmäßig TCP 443 ist). Weitere Informationen finden Sie im Abschnitt „IP-Adressanforderungen“ unten.
Bedenken Sie folgende Punkte, wenn Sie sich für die Verwendung von nicht-routingfähigen privaten IP-Adressen mit NAT entscheiden:
Sie müssen routingfähige private IP-Adressen für alle drei externen Schnittstellen verwenden.
Sie müssen ein symmetrisches NAT-Gerät für eingehenden und ausgehenden Datenverkehr konfigurieren. Symmetrische NAT ist die einzige unterstützte NAT, die Sie mit Skype for Business Server Edgeserver verwenden können.
Konfigurieren Sie Ihr NAT so, dass eingehende Quell-Adressen nicht geändert werden. Der A/V Edge-Dienst muss in der Lage sein, die eingehende Quelladresse zu empfangen, um den optimalen Medienpfad zu finden.
Ihre Edgeserver müssen über ihre öffentlichen A/V-Edge-IP-Adressen miteinander kommunizieren können. Ihre Firewall muss diesen Datenverkehr zulassen.
NAT kann nur für skalierte konsolidierte Edgeserver verwendet werden, wenn Sie den DNS-Lastenausgleich verwenden. Wenn Sie ein Hardwaregerät zum Lastenausgleich verwenden, müssen Sie eine öffentlich routingfähige IP-Adresse ohne NAT verwenden.
Sie haben keine Probleme damit, dass Ihre Access-, Webkonferenz- und A/V-Edge-Schnittstellen hinter einem Router oder einer Firewall symmetrische NAT für einzelne und skalierte konsolidierte Edgeservertopologien ausführen (solange Sie keinen Hardwarelastenausgleich verwenden).
Zusammenfassung der Edgeservertopologieoptionen
Für Skype for Business Server Edgeserverbereitstellungen stehen mehrere Topologieoptionen zur Verfügung:
Einzelner konsolidierter Edgeserver mit privaten IP-Adressen und NAT
Einzelner konsolidierter Edgeserver mit öffentlichen IP-Adressen
Skalierter konsolidierter Edgeserver mit privaten IP-Adressen und NAT
Skalierter konsolidierter Edgeserver mit öffentlichen IP-Adressen
Skalierter konsolidierter Edgeserver mit Hardwarelastenausgleich
Die folgende Tabelle hilft Ihnen bei der Auswahl, indem Sie eine Zusammenfassung der Optionen jeder Topologie gibt:
| Topologie | Hohe Verfügbarkeit | Zusätzliche DNS-Einträge für den externen Edgeserver im Edgepool erforderlich? | Edgefailover für Skype for Business Server Sitzungen | Edgefailover für Skype for Business Server Verbundsitzungen |
|---|---|---|---|---|
| Einzelner konsolidierter Edgeserver mit privaten IP-Adressen und NAT |
Nein |
Nein |
Nein |
Nein |
| Einzelner konsolidierter Edgeserver mit öffentlichen IP-Adressen |
Nein |
Nein |
Nein |
Nein |
| Skalierter konsolidierter Edgeserver mit privaten IP-Adressen und NAT (DNS-Lastenausgleich) |
Ja |
Ja |
Ja |
Ja¹ |
| Skalierter konsolidierter Edgeserver mit öffentlichen IP-Adressen (DNS-Lastenausgleich) |
Ja |
Ja |
Ja |
Ja¹ |
| Skalierter konsolidierter Edgeserver mit Hardwarelastenausgleich |
Ja |
Nein (ein DNS A-Eintrag pro VIP) |
Ja |
Ja |
¹ Exchange Unified Messaging (UM)-Remotebenutzerfailover mit DNS-Lastenausgleich erfordert Exchange 2013 oder höher.
IP-Adressanforderungen
Grundsätzlich benötigen drei Dienste IP-Adressen; Zugriff auf Den Edgedienst, den Webkonferenz-Edgedienst und den A/V-Edgedienst. Sie können entweder drei IP-Adressen verwenden, eine für jeden der Dienste, oder Sie können eine IP-Adresse verwenden und festlegen, dass jeder Dienst auf einem anderen Port liegt (weitere Informationen zu diesem Thema siehe Abschnitt Port and firewall planning). Das sind im Prinzip alle relevanten Informationen über einzelne konsolidierte Edge-Umgebungen.
Hinweis
Wie oben erwähnt, können Sie sich dafür entscheiden, eine IP-Adresse für alle drei Dienste zu verwenden und diese auf verschiedenen Ports ausführen. Wir empfehlen dies allerdings nicht. Wenn Ihre Kunden auf die alternativen Ports, die Sie in diesem Szenario verwenden würden, nicht zugreifen können, haben sie auch keinen Zugriff auf die volle Funktionalität Ihrer Edge-Umgebung.
Dies kann bei skalierten konsolidierten Topologien etwas komplizierter sein. Betrachten wir daher einige Tabellen, in denen die IP-Adressanforderungen festgelegt sind, wobei berücksichtigt wird, dass die primären Entscheidungspunkte für die Topologieauswahl Hochverfügbarkeit und Lastenausgleich sind. Hochverfügbarkeitsanforderungen können Ihre Lastenausgleichsauswahl beeinflussen (darüber werden wir nach den Tabellen mehr sprechen).
IP-Adressanforderungen für eine skalierte konsolidierte Edgetopologie (IP-Adresse pro Rolle)
| Anzahl von Edgeservern pro Pool | Anzahl erforderlicher IP-Adressen für DNS-Lastenausgleich | Anzahl erforderlicher IP-Adressen für Hardwaregerät zum Lastenausgleich |
|---|---|---|
| 2 |
6 |
3 (1 pro VIP) + 6 |
| 3 |
9 |
3 (1 pro VIP) + 9 |
| 4 |
12 |
3 (1 pro VIP) + 12 |
| 5 |
15 |
3 (1 pro VIP) +15 |
IP-Adressanforderungen für eine skalierte konsolidierte Edgetopologie (eine IP-Adresse für alle Rollen)
| Anzahl von Edgeservern pro Pool | Anzahl erforderlicher IP-Adressen für DNS-Lastenausgleich | Anzahl erforderlicher IP-Adressen für Hardwaregerät zum Lastenausgleich |
|---|---|---|
| 2 |
2 |
1 (1 pro VIP) + 2 |
| 3 |
3 |
1 (1 pro VIP) + 3 |
| 4 |
4 |
1 (1 pro VIP) + 4 |
| 5 |
5 |
1 (1 pro VIP) + 5 |
Sehen wir uns noch einige zusätzliche Punkte an, die wir bei der Planung berücksichtigen müssen.
Hochverfügbarkeit: Wenn Sie in Ihrer Bereitstellung Hochverfügbarkeit benötigen, sollten Sie mindestens zwei Edgeserver in einem Pool bereitstellen. Es ist erwähnenswert, dass ein einzelner Edgepool bis zu 12 Edgeserver unterstützt (obwohl Der Topologie-Generator es Ihnen ermöglicht, bis zu 20 hinzuzufügen, die nicht getestet oder unterstützt werden, daher empfehlen wir Ihnen, dies nicht zu tun). Wenn Sie mehr als 12 Edgeserver benötigen, sollten Sie zusätzliche Edgepools für diese erstellen.
Hardwarelastenausgleich: Für die meisten Szenarien wird der DNS-Lastenausgleich empfohlen. Der Hardwarelastenausgleich wird natürlich ebenfalls unterstützt, ist aber insbesondere für ein einzelnes Szenario über den DNS-Lastenausgleich erforderlich:
- Externer Zugriff auf Exchange 2007 oder Exchange 2010 (ohne SP) Unified Messaging (UM).
DNS-Lastenausgleich: Für UM können Exchange 2010 SP1 und höher vom DNS-Lastenausgleich unterstützt werden. Wenn Sie den DNS-Lastenausgleich für eine frühere Version von Exchange verwenden müssen, funktioniert dies, aber der gesamte Datenverkehr dafür wird an den ersten Server im Pool geleitet, und wenn er nicht verfügbar ist, schlägt dieser Datenverkehr anschließend fehl.
Der DNS-Lastenausgleich wird auch empfohlen, wenn Sie einen Verbund mit Unternehmen herstellen, die Folgendes verwenden:
Skype for Business Server 2015:
- Lync Server 2010
- Lync Server 2013
- Microsoft 365 oder Office 365
Skype for Business Server 2019:
- Lync Server 2013
- Skype for Business Server 2015
- Microsoft 365 oder Office 365
DNS-Planung
Wenn es um die Bereitstellung Skype for Business Server Edgeservers geht, ist es wichtig, sich ordnungsgemäß auf DNS vorzubereiten. Mit den richtigen Einträgen ist die Bereitstellung viel einfacher. Sie haben hoffentlich im Abschnitt oben eine Topologie ausgewählt, da wir eine Übersicht machen werden, um dann einige Tabellen aufzuführen, die die DNS-Einträge für diese Szenarien erläutern. Wir verfügen auch über eine erweiterte DNS-Planung für Edgeserver für Skype for Business Server für eingehendere Informationen, falls Sie sie benötigen.
DNS-Einträge für Szenarien mit einem einzelnen konsolidierten Edgeserver
Dies sind die DNS-Einträge, die Sie für einen singe-Edgeserver benötigen, der entweder öffentliche IP-Adressen oder private IP-Adressen mit NAT verwendet. Da es sich um Beispieldaten handelt, überlassen wir Ihnen Beispiel-IPs, so dass Sie Ihre eigenen Einträge einfacher herausfinden können:
Interner Netzwerkadapter: 172.25.33.10 (keine Standardgateways zugewiesen)
Hinweis
Stellen Sie sicher, dass eine Route vom Netzwerk mit der internen Edge-Schnittstelle zu allen Netzwerken vorhanden ist, die Server mit Skype for Business Server- oder Lync Server 2013-Clients (z. B. von 172.25.33.0 bis 192.168.10.0) enthalten.
Externer Netzwerkadapter:
Öffentliche IPs:
Zugriffs-Edge: 131.107.155.10 (dies ist das primäre Gateway, wobei das Standardgateway auf Ihren öffentlichen Router festgelegt ist, z. B. 131.107.155.1)
Webkonferenz-Edge: 131.107.155.20 (sekundär)
A/V Edge: 131.107.155.30 (sekundär)
Webkonferenzen und öffentliche IP-Adressen des A/V-Edges sind zusätzliche (sekundäre) IP-Adressen im Abschnitt Erweitert der Eigenschaften von Internetprotokoll Version 4 (TCP/IPv4) und Internetprotokoll Version 6 (TCP/IPv6) der Eigenschaften für local area connection in Windows Server.
Private IPs:
Zugriffs-Edge: 10.45.16.10 (dies ist das primäre Gateway, wobei das Standardgateway auf Ihren Router festgelegt ist, z. B. 10.45.16.1)
Webkonferenz-Edge: 10.45.16.20 (sekundär)
A/V Edge: 10.45.16.30 (sekundär)
Webkonferenzen und öffentliche IP-Adressen des A/V-Edges sind zusätzliche (sekundäre) IP-Adressen im Abschnitt Erweitert der Eigenschaften von Internetprotokoll Version 4 (TCP/IPv4) und Internetprotokoll Version 6 (TCP/IPv6) der Eigenschaften für local area connection in Windows Server.
Tipp
Es gibt weitere möglich Konfigurationen:
Sie können eine IP-Adresse auf dem externen Netzwerkadapter verwenden. Dies wird nicht empfohlen, da Sie dann zwischen den Diensten unterscheiden müssen, die verschiedene Ports verwenden (was Sie in Skype for Business Server tun können), aber es gibt einige Firewalls, die die alternativen Ports möglicherweise blockieren. Weitere Informationen hierzu finden Sie im Abschnitt Zur Planung von Ports und Firewalls .
Sie können drei externe Netzwerkadapter anstelle eines netzwerkadapters verwenden und jedem eine der Dienst-IP-Adressen zuweisen. Warum? Es würde die Dienste trennen und wenn etwas schief geht, würde dies die Problembehandlung vereinfachen und möglicherweise ihre anderen Dienste weiterarbeiten, während Sie ein Problem beheben.
| Standort | Typ | Port | FQDN oder DNS-Eintrag | IP-Adresse oder FQDN | Hinweise |
|---|---|---|---|---|---|
| Externes DNS |
Ein Eintrag |
NV |
sip.contoso.com |
öffentlich: 131.107.155.10 privat: 10.45.16.10 |
Eine externe Schnittstelle für Ihren Access Edge-Dienst. Sie benötigen eine für jede SIP-Domäne mit Skype for Business Benutzern. |
| Externes DNS |
Ein Eintrag |
NV |
webcon.contoso.com |
öffentlich: 131.107.155.20 privat: 10.45.16.20 |
Eine externe Schnittstelle für Ihren Webkonferenz-Edgedienst. |
| Externes DNS |
Ein Eintrag |
NV |
av.contoso.com |
öffentlich: 131.107.155.30 privat: 10.45.16.30 |
Eine externe Schnittstelle für Ihren A/V Edge-Dienst. |
| Externes DNS |
SRV-Eintrag |
443 |
_sip._tls.contoso.com |
sip.contoso.com |
Eine externe Schnittstelle für Ihren Access Edge-Dienst. Dieser SRV-Eintrag ist erforderlich, damit Skype for Business Server-, Lync Server 2013- und Lync Server 2010-Clients extern funktionieren. Sie benötigen eine für jede Domäne mit Skype for Business Benutzern. |
| Externes DNS |
SRV-Eintrag |
5061 |
_sipfederationtls._tcp.contoso.com |
sip.contoso.com |
Eine externe Schnittstelle für Ihren Access Edge-Dienst. Dieser SRV-Eintrag ist für die automatische DNS-Suche von Verbundpartnern notwendig, die „Zugelassene SIP-Domänen“ genannt werden. Sie benötigen eine für jede Domäne mit Skype for Business Benutzern. |
| Interne DNS-Konfiguration |
Ein Eintrag |
NV |
sfvedge.contoso.net |
172.25.33.10 |
Die interne Schnittstelle für Ihren konsolidierten Edgeserver. |
DNS-Einträge für Szenarien mit skaliertem DNS und Hardware-Edgeserver
Dies sind die DNS-Einträge, die Sie für einen singe-Edgeserver benötigen, der entweder öffentliche IP-Adressen oder private IP-Adressen mit NAT verwendet. Da es sich um Beispieldaten handelt, überlassen wir Ihnen Beispiel-IPs, so dass Sie Ihre eigenen Einträge einfacher herausfinden können:
Interner Netzwerkadapter:
Knoten 1: 172.25.33.10 (keine Standardgateways zugewiesen)
Knoten 2: 172.25.33.11 (keine Standardgateways zugewiesen)
Hinweis
Stellen Sie sicher, dass eine Route vom Netzwerk mit der internen Edge-Schnittstelle zu allen Netzwerken vorhanden ist, die Server mit Skype for Business Server- oder Lync Server 2013-Clients (z. B. von 172.25.33.0 bis 192.168.10.0) enthalten.
Externer Netzwerkadapter:
Knoten 1
Öffentliche IPs:
Zugriffs-Edge: 131.107.155.10 (dies ist das primäre Gateway, wobei das Standardgateway auf Ihren öffentlichen Router festgelegt ist, z. B. 131.107.155.1)
Webkonferenz-Edge: 131.107.155.20 (sekundär)
A/V Edge: 131.107.155.30 (sekundär)
Webkonferenzen und öffentliche IP-Adressen des A/V-Edges sind zusätzliche (sekundäre) IP-Adressen im Abschnitt Erweitert der Eigenschaften von Internetprotokoll Version 4 (TCP/IPv4) und Internetprotokoll Version 6 (TCP/IPv6) der Eigenschaften für local area connection in Windows Server.
Private IPs:
Zugriffs-Edge: 10.45.16.10 (dies ist das primäre Gateway, wobei das Standardgateway auf Ihren Router festgelegt ist, z. B. 10.45.16.1)
Webkonferenz-Edge: 10.45.16.20 (sekundär)
A/V Edge: 10.45.16.30 (sekundär)
Webkonferenzen und öffentliche IP-Adressen des A/V-Edges sind zusätzliche (sekundäre) IP-Adressen im Abschnitt Erweitert der Eigenschaften von Internetprotokoll Version 4 (TCP/IPv4) und Internetprotokoll Version 6 (TCP/IPv6) der Eigenschaften für local area connection in Windows Server.
Knoten 2
Öffentliche IPs:
Zugriffs-Edge: 131.107.155.11 (dies ist das primäre Gateway, wobei das Standardgateway auf Ihren öffentlichen Router festgelegt ist, z. B. 131.107.155.1)
Webkonferenz-Edge: 131.107.155.21 (sekundär)
A/V Edge: 131.107.155.31 (sekundär)
Webkonferenzen und öffentliche IP-Adressen des A/V-Edges sind zusätzliche (sekundäre) IP-Adressen im Abschnitt Erweitert der Eigenschaften von Internetprotokoll Version 4 (TCP/IPv4) und Internetprotokoll Version 6 (TCP/IPv6) der Eigenschaften für local area connection in Windows Server.
Private IPs:
Zugriffs-Edge: 10.45.16.11 (dies ist das primäre Gateway, wobei das Standardgateway auf Ihren Router festgelegt ist, z. B. 10.45.16.1)
Webkonferenz-Edge: 10.45.16.21 (sekundär)
A/V Edge: 10.45.16.31 (sekundär)
Webkonferenzen und öffentliche IP-Adressen des A/V-Edges sind zusätzliche (sekundäre) IP-Adressen im Abschnitt Erweitert der Eigenschaften von Internetprotokoll Version 4 (TCP/IPv4) und Internetprotokoll Version 6 (TCP/IPv6) der Eigenschaften für local area connection in Windows Server.
Es gibt weitere möglich Konfigurationen:
Sie können eine IP-Adresse auf dem externen Netzwerkadapter verwenden. Dies wird nicht empfohlen, da Sie dann zwischen den Diensten unterscheiden müssen, die verschiedene Ports verwenden (was Sie in Skype for Business Server tun können), aber es gibt einige Firewalls, die die alternativen Ports möglicherweise blockieren. Weitere Informationen hierzu finden Sie im Abschnitt Zur Planung von Ports und Firewalls .
Sie können drei externe Netzwerkadapter anstelle eines netzwerkadapters verwenden und jedem eine der Dienst-IP-Adressen zuweisen. Warum? Es würde die Dienste trennen und wenn etwas schief geht, würde dies die Problembehandlung vereinfachen und möglicherweise ihre anderen Dienste weiterarbeiten, während Sie ein Problem beheben.
| Standort | Typ | Port | FQDN oder DNS-Eintrag | IP-Adresse oder FQDN | Hinweise |
|---|---|---|---|---|---|
| Externes DNS |
Ein Eintrag |
NV |
sip.contoso.com |
öffentlich: 131.107.155.10 und 131.107.155.11 privat: 10.45.16.10 und 10.45.16.11 |
Eine externe Schnittstelle für Ihren Access Edge-Dienst. Sie benötigen eine für jede SIP-Domäne mit Skype for Business Benutzern. |
| Externes DNS |
Ein Eintrag |
NV |
webcon.contoso.com |
öffentlich: 131.107.155.20 und 131.107.155.21 privat: 10.45.16.20 und 10.45.16.21 |
Eine externe Schnittstelle für Ihren Webkonferenz-Edgedienst. |
| Externes DNS |
Ein Eintrag |
NV |
av.contoso.com |
öffentlich: 131.107.155.30 und 131.107.155.31 privat: 10.45.16.30 und 10.45.16.31 |
Eine externe Schnittstelle für Ihren A/V Edge-Dienst. |
| Externes DNS |
SRV-Eintrag |
443 |
_sip._tls.contoso.com |
sip.contoso.com |
Eine externe Schnittstelle für Ihren Access Edge-Dienst. Dieser SRV-Eintrag ist erforderlich, damit Skype for Business Server-, Lync Server 2013- und Lync Server 2010-Clients extern funktionieren. Sie benötigen eine für jede Domäne mit Skype for Business. |
| Externes DNS |
SRV-Eintrag |
5061 |
_sipfederationtls._tcp.contoso.com |
sip.contoso.com |
Eine externe Schnittstelle für Ihren Access Edge-Dienst. Dieser SRV-Eintrag ist für die automatische DNS-Suche von Verbundpartnern notwendig, die „Zugelassene SIP-Domänen“ genannt werden. Sie benötigen eine für jede Domäne mit Skype for Business. |
| Interne DNS-Konfiguration |
Ein Eintrag |
NV |
sfvedge.contoso.net |
172.25.33.10 und 172.25.33.11 |
Die interne Schnittstelle für Ihren konsolidierten Edgeserver. |
DNS-Eintrag für Partnerverbund (alle Szenarien)
| Standort | Typ | Port | FQDN | FQDN-Hosteintrag | Hinweise |
|---|---|---|---|---|---|
| Externes DNS |
SRV |
5061 |
_sipfederationtls_tcp.contoso.com |
sip.contoso.com |
Die externe SIP Access Edge-Schnittstelle, die für die automatische DNS-Ermittlung erforderlich ist. Wird von Ihren anderen potenziellen Verbundpartnern verwendet. Sie wird auch als "SIP-Domänen zulassen" bezeichnet. Sie benötigen eine dieser Optionen für jede SIP-Domäne mit Skype for Business Benutzern. Hinweis: Sie benötigen diesen SRV-Datensatz für Mobilität und die Pushbenachrichtigungs-Clearingstelle. |
DNS-Einträge für XMPP (Extensible Messaging and Presence Protocol)
| Standort | Typ | Port | FQDN | IP-Adresse oder FQDN-Hosteintrag | Hinweise |
|---|---|---|---|---|---|
| Externes DNS |
SRV |
5269 |
_xmpp-server._tcp.contoso.com |
xmpp.contoso.com |
Die XMPP-Proxyschnittstelle in Ihrem Access Edge-Dienst oder Edgepool. Sie müssen dies bei Bedarf für alle internen SIP-Domänen mit Skype for Business Server aktivierten Benutzern wiederholen, bei denen der Kontakt mit XMPP-Kontakten über folgendes zulässig ist: • eine globale Politik • eine Websiterichtlinie, bei der der Benutzer aktiviert ist • Eine Benutzerrichtlinie, die auf den Skype for Business Server aktivierten Benutzer angewendet wird Eine zulässige XMPP-Richtlinie muss auch in der XMPP-Partnerbenutzerrichtlinie konfiguriert werden. |
| Externes DNS |
SRV |
A |
xmpp.contoso.com |
IP-Adresse des Zugriffs-Edgediensts auf dem Edgeserver oder Edgepool, der Ihren XMPP-Proxydienst hosten |
Dies verweist auf den Zugriffs-Edgedienst auf dem Edgeserver oder Edgepool, der den XMPP-Proxydienst hostet. In der Regel verweist der von Ihnen erstellte SRV-Eintrag auf diesen Hosteintrag (A oder AAAA). |
Hinweis
XMPP-Gateways und Proxys sind in Skype for Business Server 2015 verfügbar, werden aber in Skype for Business Server 2019 nicht mehr unterstützt. Weitere Informationen finden Sie unter Migrieren des XMPP-Verbunds .
Zertifikatsplanung
Skype for Business Server verwendet Zertifikate für die sichere, verschlüsselte Kommunikation sowohl zwischen Servern als auch von Server zu Client. Wie Sie sich sicher schon gedacht haben, müssen DNS-Einträge Ihrer Zertifikate mit Antragstellername (SN) und alternativem Antragstellernamen (SAN) auf Ihren Zertifikaten zusammenpassen. Das macht jetzt in der Planungsphase Arbeit, um sicherzustellen, dass die richtigen FQDNs im DNS für die SN- und SAN-Einträger Ihrer Zertifikate registriert sind.
Wir besprechen externe und interne Zertifikate getrennt und sehen uns dann auch eine Tabelle mit den Anforderungen für beide an.
Externe Zertifikate
Mindestens muss das Zertifikat, das Ihren externen Edgeserverschnittstellen zugewiesen ist, von einer öffentlichen Zertifizierungsstelle (Ca) bereitgestellt werden. Wir können Ihnen keine bestimmte Zertifizierungsstelle empfehlen, aber wir verfügen über eine Liste von Zertifizierungsstellen und Unified Communications-Zertifikatpartnern , auf die Sie einen Blick werfen können, um festzustellen, ob Ihre bevorzugte Zertifizierungsstelle aufgeführt ist.
Wann müssen Sie eine Anforderung an eine CA für dieses öffentliche Zertifikat stellen und wie machen Sie das? Es gibt verschiedene Arten:
Sie können die Installation von Skype for Business Server und dann die Edgeserverbereitstellung durchlaufen. Der Skype for Business Server-Bereitstellungs-Assistent verfügt über einen Schritt zum Generieren einer Zertifikatanforderung, die Sie dann an die ausgewählte Zertifizierungsstelle senden können.
Sie können auch Windows PowerShell-Befehle verwenden, um diese Anforderung zu generieren, wenn dies besser mit Ihren Geschäftlichen Anforderungen oder Ihrer Bereitstellungsstrategie in Verbindung ist.
Schließlich verfügt Ihre Zertifizierungsstelle möglicherweise über einen eigenen Übermittlungsprozess, der auch Windows PowerShell oder eine andere Methode umfassen kann. In diesem Fall müssen Sie sich zusätzlich zu den hier zur Verfügung gestellten Informationen auf deren Dokumentation verlassen.
Nachdem Sie das Zertifikat erhalten haben, müssen Sie es diesen Diensten in Skype for Business Server zuweisen:
Access Edge-Dienstschnittstelle
Webkonferenz-Edge-Dienstschnittstelle
Audio-/Video-Authentifizierungsdienst (verwechseln Sie dies nicht mit dem A/V-Edgedienst, da dieser kein Zertifikat zum Verschlüsseln von Audio- und Videostreams verwendet)
Wichtig
Alle Edgeserver (wenn sie zum gleichen Pool von Edgeservern gehören) müssen genau dasselbe Zertifikat mit demselben privaten Schlüssel für den Media Relay-Authentifizierungsdienst haben.
Interne Zertifikate
Für die interne Edgeserverschnittstelle können Sie ein öffentliches Zertifikat von einer öffentlichen Zertifizierungsstelle oder ein Zertifikat verwenden, das von der internen Zertifizierungsstelle Ihrer organization ausgestellt wurde. Denken Sie daran, dass interne Zertifikate einen SN-Eintrag verwenden und keine SAN-Einträge, über SAN müssen Sie sich bei internen Zertifikaten also keine Gedanken machen.
Tabelle erforderlicher Zertifikate
Diese Tabelle hilft Ihnen bei Ihren Anforderungen. Die FQDN-Einträge sind lediglich Beispiel-Domänen. Ihre Anforderungen müssen sich nach Ihren privaten und öffentlichen Domänen richten; im Folgenden finden Sie eine Richtlinie zu dem, was wir verwendet haben:
contoso.com: Öffentlicher FQDN
fabrikam.com: Zweiter öffentlicher FQDN (als Demo hinzugefügt, was Sie anfordern müssen, wenn Sie über mehrere SIP-Domänen verfügen)
Contoso.net: Interne Domäne
Edgezertifikattabelle
Unabhängig davon, ob Sie einen einzelnen Edgeserver oder einen Edgepool ausführen, benötigen Sie folgendes für Ihr Zertifikat:
| Komponente | Antragstellername | Alternative Antragstellernamen (SAN)/Reihenfolge | Hinweise |
|---|---|---|---|
| Externer Edgeserver |
sip.contoso.com |
sip.contoso.com webcon.contoso.com sip.fabrikam.com |
Sie benötigen dieses Zertifikat, um eine Anfrage an eine öffentliche CA zu stellen. Es muss den externen Edgeschnittstellen für Folgendes zugewiesen werden: • Zugriffs-Edge • Webkonferenz-Edge • Audio/Video-Authentifizierung Die gute Nachricht ist, dass SANs automatisch zu Ihrer Zertifikatanforderung und damit ihrem Zertifikat hinzugefügt werden, nachdem Sie die Anforderung übermittelt haben, basierend auf dem, was Sie für diese Bereitstellung im Topologie-Generator definiert haben. Sie müssen nur SAN-Einträge für zusätzliche SIP-Domänen oder andere Einträge hinzufügen, die unterstützt werden sollen. Warum wird sip.contoso.com in dieser Instanz repliziert? Dies geschieht auch automatisch und ist notwendig, damit alles reibungslos läuft. Hinweis: Dieses Zertifikat kann auch für öffentliche Instant Messaging-Konnektivität verwendet werden. Die Vorgehensweise ist die gleiche; in früheren Versionen dieser Dokumentation wurde das jedoch als getrennte Tabelle aufgeführt, was jetzt nicht mehr der Fall ist. |
| Interner Edgeserver |
sfbedge.contoso.com |
NV |
Sie können dieses Zertifikat von einer öffentlichen oder einer internen Zertifizierungsstelle abrufen. Sie muss die Server-EKU (Erweiterte Schlüsselverwendung) enthalten, und Sie weisen sie der internen Edge-Schnittstelle zu. |
Wenn Sie ein Zertifikat für XMPP (Extensible Messaging and Presence Protocol) benötigen, sieht dieses genau wie in den Tabelleneinträgen für Externer Edgeserver oben aus, hat allerdings die folgenden beiden zusätzlichen SAN-Einträge:
Xmpp.contoso.com
*.contoso.com
Bitte beachten Sie, dass XMPP derzeit nur in Skype for Business Server für Google Talk unterstützt wird. Wenn Sie es für andere Zwecke verwenden möchten oder benötigen, müssen Sie diese Funktionalität mit dem beteiligten Drittanbieter bestätigen.
Port- und Firewallplanung
Wenn Sie Ihre Planung für Ports und Firewalls für Skype for Business Server Edgeserverbereitstellungen richtig planen, können Sie tage- oder wochenlange Problembehandlung und Stress sparen. Daher führen wir einige Tabellen auf, die unsere Protokollverwendung zeigen, und welche Eingangs- und Ausgangsports offen sein müssen, sowohl für NAT als auch für öffentliche IP-Szenarien. Es wird außerdem separate Tabellen für Szenarien mit Hardwaregerät zum Lastenausgleich sowie weiterer Hilfestellung dazu geben. Für weitere Informationen von dort aus finden Sie auch einige Edgeserverszenarien in Skype for Business Server Sie sich mit Ihren speziellen Bereitstellungsproblemen beschäftigen können.
Allgemeine Protokollverwendung
Betrachten wir die folgenden Tabelle, bevor wir uns die Zusammenfassungstabelle für externe und interne Firewalls ansehen:
| Audio/Videotransport | Verwendung |
|---|---|
| UDP |
Das bevorzugte Transportschichtprotokoll für Audio und Video. |
| TCP |
Das Ausweich-Transportschichtprotokoll für Audio und Video. Das erforderliche Transportschichtprotokoll für die Anwendungsfreigabe für Skype for Business Server, Lync Server 2013 und Lync Server 2010. Das erforderliche Transportschichtprotokoll für die Dateiübertragung an Skype for Business Server, Lync Server 2013 und Lync Server 2010. |
Zusammenfassungstabelle für externe Port-Firewall
Die Quell-IP-Adresse und die Ziel-IP-Adresse enthalten Informationen für Benutzer, die private IP-Adressen mit NAT verwenden sowie für alle, die öffentliche IP-Adressen verwenden. Dies deckt alle Permutationen in unseren Edgeserverszenarien im Abschnitt Skype for Business Server ab.
| Rollen oder Protokoll | TCP oder UDP | Zielport oder Portbereich | Quell-IP-Adresse | Ziel-IP-Adresse | Hinweise |
|---|---|---|---|---|---|
| XMPP In Skype for Business Server 2019 nicht unterstützt |
TCP |
5269 |
Beliebig |
XMPP-Proxydienst (teilt eine IP-Adresse mit dem Access Edge-Dienst |
Der XMPP-Proxydienst akzeptiert Datenverkehr von XMPP-Kontakten in definierten XMPP-Verbunden. |
| Zugriff/HTTP |
TCP |
80 |
Private IP-Adresse mit NAT: Edgeserver-Zugriffs-Edgedienst Öffentliche IP-Adresse: Öffentliche IP-Adresse des Edgeserverzugriffs-Edgediensts |
Beliebig |
Zertifikatsperre und Zertifikatssperrlistenprüfung und -abruf |
| Zugriff/DNS |
TCP |
53 |
Private IP-Adresse mit NAT: Edgeserver-Zugriffs-Edgedienst Öffentliche IP-Adresse: Öffentliche IP-Adresse des Edgeserverzugriffs-Edgediensts |
Beliebig |
DNS-Abfrage über TCP. |
| Zugriff/DNS |
UDP |
53 |
Private IP-Adresse mit NAT: Edgeserver-Zugriffs-Edgedienst Öffentliche IP-Adresse: Öffentliche IP-Adresse des Edgeserverzugriffs-Edgediensts |
Beliebig |
DNS-Abfrage über UDP. |
| Zugriff/SIP (TLS) |
TCP |
443 |
Beliebig |
Private IP-Adresse mit NAT: Edgeserver-Zugriffs-Edgedienst Öffentliche IP-Adresse: Öffentliche IP-Adresse des Edgeserverzugriffs-Edgediensts |
Client-zu-Server-SIP-Datenverkehr für den externen Benutzerzugriff |
| Zugriff/ SIP (MTLS) |
TCP |
5061 |
Beliebig |
Private IP-Adresse mit NAT: Edgeserver-Zugriffs-Edgedienst Öffentliche IP-Adresse: Öffentliche IP-Adresse des Edgeserverzugriffs-Edgediensts |
Für Verbindungen mit Partnerverbünden und öffentlichen Instant Messaging-Diensten über SIP. |
| Zugriff/ SIP (MTLS) |
TCP |
5061 |
Private IP-Adresse mit NAT: Edgeserver-Zugriffs-Edgedienst Öffentliche IP-Adresse: Öffentliche IP-Adresse des Edgeserverzugriffs-Edgediensts |
Beliebig |
Für Verbindungen mit Partnerverbünden und öffentlichen Instant Messaging-Diensten über SIP. |
| Webkonferenzen/PSOM (TLS) |
TCP |
443 |
Beliebig |
Private IP-Adresse mit NAT: Edgeserver-Webkonferenz-Edgedienst Öffentliche IP-Adresse: Öffentliche IP-Adresse des Edgeserver-Webkonferenzdiensts |
Webkonferenzmedien. |
| A/V/RTP |
TCP |
50000-59999 |
Private IP-Adresse mit NAT: Edgeserver-A/V-Edgedienst Öffentliche IP-Adresse: Öffentliche IP-Adresse des Edgeserver-A/V-Edgediensts |
Beliebig |
Dies wird für die Weiterleitung von Mediendatenverkehr verwendet. |
| A/V/RTP |
UDP |
50000-59999 |
Private IP-Adresse mit NAT: Edgeserver-A/V-Edgedienst Öffentliche IP-Adresse: Öffentliche IP-Adresse des Edgeserver-A/V-Edgediensts |
Beliebig |
Dies wird für die Weiterleitung von Mediendatenverkehr verwendet. |
| A/V/STUN.MSTURN |
UDP |
3478 |
Private IP-Adresse mit NAT: Edgeserver-A/V-Edgedienst Öffentliche IP-Adresse: Öffentliche IP-Adresse des Edgeserver-A/V-Edgediensts |
Beliebig |
3478 ausgehend wird: • Wird von Skype for Business Server verwendet, um die Version des Edgeservers zu bestimmen, mit dem er kommuniziert. • Wird für Mediendatenverkehr zwischen Edgeservern verwendet. • Erforderlich für den Verbund mit Lync Server 2010. • Erforderlich, wenn mehrere Edgepools in Ihrem organization bereitgestellt werden. |
| A/V/STUN.MSTURN |
UDP |
3478 |
Beliebig |
Private IP-Adresse mit NAT: Edgeserver-A/V-Edgedienst Öffentliche IP-Adresse: Öffentliche IP-Adresse des Edgeserver-A/V-Edgediensts |
STUN/TURN-Aushandlung von Kandidaten über UDP auf Port 3478. |
| A/V/STUN.MSTURN |
TCP |
443 |
Beliebig |
Private IP-Adresse mit NAT: Edgeserver-A/V-Edgedienst Öffentliche IP-Adresse: Öffentliche IP-Adresse des Edgeserver-A/V-Edgediensts |
STUN/TURN-Aushandlung von Kandidaten über TCP auf Port 443. |
| A/V/STUN.MSTURN |
TCP |
443 |
Private IP-Adresse mit NAT: Edgeserver-A/V-Edgedienst Öffentliche IP-Adresse: Öffentliche IP-Adresse des Edgeserver-A/V-Edgediensts |
Beliebig |
STUN/TURN-Aushandlung von Kandidaten über TCP auf Port 443. |
Zusammenfassungstabelle für interne Port-Firewall
| Protokoll | TCP oder UDP | Port | Quell-IP-Adresse | Ziel-IP-Adresse | Hinweise |
|---|---|---|---|---|---|
| XMPP/MTLS |
TCP |
23456 |
Jede der folgenden, die den XMPP-Gatewaydienst ausführt: • Front-End-Server • Front-End-Pool |
Interne Schnittstelle des Edgeservers |
Ausgehender XMPP-Datenverkehr von Ihrem XMPP-Gatewaydienst, der auf Ihrem Front-End-Server oder Front-End-Pool ausgeführt wird. Hinweis: XMPP-Gateways und Proxys sind in Skype for Business Server 2015 verfügbar, werden aber in Skype for Business Server 2019 nicht mehr unterstützt. Weitere Informationen finden Sie unter Migrieren des XMPP-Verbunds . |
| SIP/MTLS |
TCP |
5061 |
Jede: •Direktor • Director Pool • Front-End-Server • Front-End-Pool |
Interne Schnittstelle des Edgeservers |
Ausgehender SIP-Datenverkehr von Ihrem Director-, Director-Pool, Front-End-Server oder Front-End-Pool zu Ihrer internen Edgeserverschnittstelle. |
| SIP/MTLS |
TCP |
5061 |
Interne Schnittstelle des Edgeservers |
Jede: •Direktor • Director Pool • Front-End-Server • Front-End-Pool |
Eingehender SIP-Datenverkehr an Ihren Director-, Director-Pool, Front-End-Server oder Front-End-Pool von Ihrer internen Edgeserverschnittstelle. |
| PSOM/MTLS |
TCP |
8057 |
Jede: • Front-End-Server • Jeder Front-End-Server in Ihrem Front-End-Pool |
Interne Schnittstelle des Edgeservers |
Webkonferenzdatenverkehr von Ihrem Front-End-Server oder jedem Front-End-Server (wenn Sie über einen Front-End-Pool verfügen) zu Ihrer internen Edgeserverschnittstelle. |
| SIP/MTLS |
TCP |
5062 |
Jede: • Front-End-Server • Front-End-Pool • Jede Survivable Branch Appliance, die diesen Edgeserver verwendet • Jeder Survivable Branch-Server, der diesen Edgeserver verwendet |
Interne Schnittstelle des Edgeservers |
Authentifizierung von A/V-Benutzern aus Ihrem Front-End-Server oder Front-End-Pool oder Ihrer Survivable Branch Appliance oder Survivable Branch Server mithilfe Ihres Edgeservers. |
| STUN/MSTURN |
UDP |
3478 |
Beliebig |
Interne Schnittstelle des Edgeservers |
Bevorzugter Pfad für die A/V-Medienübertragung zwischen Ihren internen und externen Benutzern und Ihrer Survivable Branch Appliance oder Survivable Branch Server. |
| STUN/MSTURN |
TCP |
443 |
Beliebig |
Interne Schnittstelle des Edgeservers |
Fallbackpfad für die A/V-Medienübertragung zwischen Ihren internen und externen Benutzern und Ihrer Survivable Branch Appliance oder Survivable Branch Server, wenn die UDP-Kommunikation nicht funktioniert. TCP wird dann für die Dateiübertragung und Desktopfreigabe verwendet. |
| HTTPS |
TCP |
4443 |
Jede: • Front-End-Server, der den zentralen Verwaltungsspeicher enthält • Front-End-Pool, der den zentralen Verwaltungsspeicher enthält |
Interne Schnittstelle des Edgeservers |
Replikation von Änderungen von Ihrem zentralen Verwaltungsspeicher auf Ihren Edgeserver. |
| MTLS |
TCP |
50001 |
Beliebig |
Interne Schnittstelle des Edgeservers |
Zentralisierter Protokollierungsdienstcontroller mit Skype for Business Server-Verwaltungsshell und Cmdlets des zentralen Protokollierungsdiensts, ClsController-Befehlszeilenbefehlen (ClsController.exe) oder Agent-Befehlen (ClsAgent.exe) und Protokollsammlung. |
| MTLS |
TCP |
50002 |
Beliebig |
Interne Schnittstelle des Edgeservers |
Zentralisierter Protokollierungsdienstcontroller mit Skype for Business Server-Verwaltungsshell und Cmdlets des zentralen Protokollierungsdiensts, ClsController-Befehlszeilenbefehlen (ClsController.exe) oder Agent-Befehlen (ClsAgent.exe) und Protokollsammlung. |
| MTLS |
TCP |
50003 |
Beliebig |
Interne Schnittstelle des Edgeservers |
Zentralisierter Protokollierungsdienstcontroller mit Skype for Business Server-Verwaltungsshell und Cmdlets des zentralen Protokollierungsdiensts, ClsController-Befehlszeilenbefehlen (ClsController.exe) oder Agent-Befehlen (ClsAgent.exe) und Protokollsammlung. |
Hardwaregeräte zum Lastenausgleich für Edge-Porttabellen
Hardwaregeräte zum Lastenausgleich und Edge-Ports bekommen Ihren eigenen Abschnitt, da die Vorgehensweise aufgrund der zusätzlichen Hardware etwas komplizierter ist. Hilfestellung zu diesem speziellen Szenario finden Sie in den Tabellen unten:
Zusammenfassungstabelle für externe Port-Firewall
Die Quell-IP-Adresse und die Ziel-IP-Adresse enthalten Informationen für Benutzer, die private IP-Adressen mit NAT verwenden sowie für alle, die öffentliche IP-Adressen verwenden. Dies deckt alle Permutationen in unseren Edgeserverszenarien im Abschnitt Skype for Business Server ab.
| Rollen oder Protokoll | TCP oder UDP | Zielport oder Portbereich | Quell-IP-Adresse | Ziel-IP-Adresse | Hinweise |
|---|---|---|---|---|---|
| Zugriff/HTTP |
TCP |
80 |
Öffentliche IP-Adresse des Edgeserverzugriffs-Edgediensts |
Beliebig |
Zertifikatsperre und Zertifikatssperrlistenprüfung und -abruf |
| Zugriff/DNS |
TCP |
53 |
Öffentliche IP-Adresse des Edgeserverzugriffs-Edgediensts |
Beliebig |
DNS-Abfrage über TCP. |
| Zugriff/DNS |
UDP |
53 |
Öffentliche IP-Adresse des Edgeserverzugriffs-Edgediensts |
Beliebig |
DNS-Abfrage über UDP. |
| A/V/RTP |
TCP |
50000-59999 |
IP-Adresse des Edgeserver-A/V-Edgediensts |
Beliebig |
Dies wird für die Weiterleitung von Mediendatenverkehr verwendet. |
| A/V/RTP |
UDP |
50000-59999 |
Öffentliche IP-Adresse des Edgeserver-A/V-Edgediensts |
Beliebig |
Dies wird für die Weiterleitung von Mediendatenverkehr verwendet. |
| A/V/STUN.MSTURN |
UDP |
3478 |
Öffentliche IP-Adresse des Edgeserver-A/V-Edgediensts |
Beliebig |
3478 ausgehend wird: • Wird von Skype for Business Server verwendet, um die Version des Edgeservers zu bestimmen, mit dem er kommuniziert. • Wird für Mediendatenverkehr zwischen Edgeservern verwendet. • Erforderlich für den Verbund. • Erforderlich, wenn mehrere Edgepools in Ihrem organization bereitgestellt werden. |
| A/V/STUN.MSTURN |
UDP |
3478 |
Beliebig |
Öffentliche IP-Adresse des Edgeserver-A/V-Edgediensts |
STUN/TURN-Aushandlung von Kandidaten über UDP auf Port 3478. |
| A/V/STUN.MSTURN |
TCP |
443 |
Beliebig |
Öffentliche IP-Adresse des Edgeserver-A/V-Edgediensts |
STUN/TURN-Aushandlung von Kandidaten über TCP auf Port 443. |
| A/V/STUN.MSTURN |
TCP |
443 |
Öffentliche IP-Adresse des Edgeserver-A/V-Edgediensts |
Beliebig |
STUN/TURN-Aushandlung von Kandidaten über TCP auf Port 443. |
Zusammenfassungstabelle für interne Port-Firewall
| Protokoll | TCP oder UDP | Port | Quell-IP-Adresse | Ziel-IP-Adresse | Hinweise |
|---|---|---|---|---|---|
| XMPP/MTLS |
TCP |
23456 |
Jede der folgenden, die den XMPP-Gatewaydienst ausführt: • Front-End-Server • VIP-Adresse des Front-End-Pools, unter der der XMPP-Gatewaydienst ausgeführt wird |
Interne Schnittstelle des Edgeservers |
Ausgehender XMPP-Datenverkehr von Ihrem XMPP-Gatewaydienst, der auf Ihrem Front-End-Server oder Front-End-Pool ausgeführt wird. Hinweis: XMPP-Gateways und Proxys sind in Skype for Business Server 2015 verfügbar, werden aber in Skype for Business Server 2019 nicht mehr unterstützt. Weitere Informationen finden Sie unter Migrieren des XMPP-Verbunds . |
| HTTPS |
TCP |
4443 |
Jede: • Front-End-Server, der den zentralen Verwaltungsspeicher enthält • Front-End-Pool, der den zentralen Verwaltungsspeicher enthält |
Interne Schnittstelle des Edgeservers |
Replikation von Änderungen von Ihrem zentralen Verwaltungsspeicher auf Ihren Edgeserver. |
| PSOM/MTLS |
TCP |
8057 |
Jede: • Front-End-Server • Jeder Front-End-Server in Ihrem Front-End-Pool |
Interne Schnittstelle des Edgeservers |
Webkonferenzdatenverkehr von Ihrem Front-End-Server oder jedem Front-End-Server (wenn Sie über einen Front-End-Pool verfügen) zu Ihrer internen Edgeserverschnittstelle. |
| STUN/MSTURN |
UDP |
3478 |
Jede: • Front-End-Server • Jeder Front-End-Server in Ihrem Front-End-Pool |
Interne Schnittstelle des Edgeservers |
Bevorzugter Pfad für die A/V-Medienübertragung zwischen Ihren internen und externen Benutzern und Ihrer Survivable Branch Appliance oder Survivable Branch Server. |
| STUN/MSTURN |
TCP |
443 |
Jede: • Front-End-Server • Jeder Front-End-Server in Ihrem Pool |
Interne Schnittstelle des Edgeservers |
Fallbackpfad für die A/V-Medienübertragung zwischen Ihren internen und externen Benutzern und Ihrer Survivable Branch Appliance oder Survivable Branch Server, wenn die UDP-Kommunikation nicht funktioniert. TCP wird dann für die Dateiübertragung und Desktopfreigabe verwendet. |
| MTLS |
TCP |
50001 |
Beliebig |
Interne Schnittstelle des Edgeservers |
Zentralisierter Protokollierungsdienstcontroller mit Skype for Business Server-Verwaltungsshell und Cmdlets des zentralen Protokollierungsdiensts, ClsController-Befehlszeilenbefehlen (ClsController.exe) oder Agent-Befehlen (ClsAgent.exe) und Protokollsammlung. |
| MTLS |
TCP |
50002 |
Beliebig |
Interne Schnittstelle des Edgeservers |
Zentralisierter Protokollierungsdienstcontroller mit Skype for Business Server-Verwaltungsshell und Cmdlets des zentralen Protokollierungsdiensts, ClsController-Befehlszeilenbefehlen (ClsController.exe) oder Agent-Befehlen (ClsAgent.exe) und Protokollsammlung. |
| MTLS |
TCP |
50003 |
Beliebig |
Interne Schnittstelle des Edgeservers |
Zentralisierter Protokollierungsdienstcontroller mit Skype for Business Server-Verwaltungsshell und Cmdlets des zentralen Protokollierungsdiensts, ClsController-Befehlszeilenbefehlen (ClsController.exe) oder Agent-Befehlen (ClsAgent.exe) und Protokollsammlung. |
Virtuelle IPs externe Schnittstelle
| Rollen oder Protokoll | TCP oder UDP | Zielport oder Portbereich | Quell-IP-Adresse | Ziel-IP-Adresse | Hinweise |
|---|---|---|---|---|---|
| XMPP In Skype for Businesss Server 2019 nicht unterstützt |
TCP |
5269 |
Beliebig |
XMPP-Proxydienst (teilt eine IP-Adresse mit dem Access Edge-Dienst) |
Der XMPP-Proxydienst akzeptiert Datenverkehr von XMPP-Kontakten in definierten XMPP-Verbunden. |
| XMPP In Skype for Businesss Server 2019 nicht unterstützt |
TCP |
5269 |
XMPP-Proxydienst (teilt eine IP-Adresse mit dem Access Edge-Dienst) |
Beliebig |
Der XMPP-Proxydienst sendet Datenverkehr von XMPP-Kontakten in definierten XMPP-Verbunden. |
| Zugriff/SIP (TLS) |
TCP |
443 |
Beliebig |
Private IP-Adresse mit NAT: Edgeserver-Zugriffs-Edgedienst Öffentliche IP-Adresse: Öffentliche IP-Adresse des Edgeserverzugriffs-Edgediensts |
Client-zu-Server-SIP-Datenverkehr für den externen Benutzerzugriff |
| Zugriff/ SIP (MTLS) |
TCP |
5061 |
Beliebig |
Private IP-Adresse mit NAT: Edgeserver-Zugriffs-Edgedienst Öffentliche IP-Adresse: Öffentliche IP-Adresse des Edgeserverzugriffs-Edgediensts |
Für Verbindungen mit Partnerverbünden und öffentlichen Instant Messaging-Diensten über SIP. |
| Zugriff/ SIP (MTLS) |
TCP |
5061 |
Private IP-Adresse mit NAT: Edgeserver-Zugriffs-Edgedienst Öffentliche IP-Adresse: Öffentliche IP-Adresse des Edgeserverzugriffs-Edgediensts |
Beliebig |
Für Verbindungen mit Partnerverbünden und öffentlichen Instant Messaging-Diensten über SIP. |
| Webkonferenzen/PSOM (TLS) |
TCP |
443 |
Beliebig |
Private IP-Adresse mit NAT: Edgeserver-Webkonferenz-Edgedienst Öffentliche IP-Adresse: Öffentliche IP-Adresse des Edgeserver-Webkonferenzdiensts |
Webkonferenzmedien. |
| A/V/STUN.MSTURN |
UDP |
3478 |
Beliebig |
Private IP-Adresse mit NAT: Edgeserver-A/V-Edgedienst Öffentliche IP-Adresse: Öffentliche IP-Adresse des Edgeserver-A/V-Edgediensts |
STUN/TURN-Aushandlung von Kandidaten über UDP auf Port 3478. |
| A/V/STUN.MSTURN |
TCP |
443 |
Beliebig |
Private IP-Adresse mit NAT: Edgeserver-A/V-Edgedienst Öffentliche IP-Adresse: Öffentliche IP-Adresse des Edgeserver-A/V-Edgediensts |
STUN/TURN-Aushandlung von Kandidaten über TCP auf Port 443. |
Virtuelle IPs interne Schnittstelle
Unsere Hilfestellung ist hier etwas anders. Tatsächlich empfehlen wir in einer HLB-Situation, das Weiterleiten über eine interne VIP nur unter den folgenden Umständen:
Wenn Sie Exchange 2007 oder Exchange 2010 Unified Messaging (UM) verwenden.
Wenn Sie Vorversions-Clients haben, die Edge verwenden.
Die folgende Tabelle enthält Anleitungen für diese Szenarien, aber andernfalls sollten Sie sich auf den zentralen Verwaltungsspeicher (CMS) verlassen können, um Datenverkehr an den einzelnen Edgeserver weiterzuleiten, den sie kennen (dies erfordert natürlich, dass CMS auf dem neuesten Stand der Edgeserverinformationen ist).
| Protokoll | TCP oder UDP | Port | Quell-IP-Adresse | Ziel-IP-Adresse | Hinweise |
|---|---|---|---|---|---|
| Zugriff/ SIP (MTLS) |
TCP |
5061 |
Jede: •Direktor • VIP-Adresse des Director-Pools • Front-End-Server • VIP-Adresse des Front-End-Pools |
Interne Schnittstelle des Edgeservers |
Ausgehender SIP-Datenverkehr von der VIP-Adresse Ihres Director-, Director-Pools, Front-End-Server oder Front-End-Pools zur internen Schnittstelle des Edgeservers. |
| Zugriff/ SIP (MTLS) |
TCP |
5061 |
Interne VIP-Schnittstelle des Edgeservers |
Jede: •Direktor • VIP-Adresse des Director-Pools • Front-End-Server • VIP-Adresse des Front-End-Pools |
Eingehender SIP-Datenverkehr an die VIP-Adresse Ihres Director-, Director-Pools, Front-End-Servers oder Front-End-Pools von Ihrer internen Edgeserverschnittstelle. |
| SIP/MTLS |
TCP |
5062 |
Jede: • IP-Adresse des Front-End-Servers • IP-Adresse des Front-End-Pools • Jede Survivable Branch Appliance, die diesen Edgeserver verwendet • Jeder Survivable Branch-Server, der diesen Edgeserver verwendet |
Interne Schnittstelle des Edgeservers |
Authentifizierung von A/V-Benutzern aus Ihrem Front-End-Server oder Front-End-Pool oder Ihrer Survivable Branch Appliance oder Survivable Branch Server mithilfe Ihres Edgeservers. |
| STUN/MSTURN |
UDP |
3478 |
Beliebig |
Interne Schnittstelle des Edgeservers |
Bevorzugter Pfad für die Übertragung von A/V-Mediendaten zwischen Ihren internen Benutzern und externen Benutzern. |
| STUN/MSTURN |
TCP |
443 |
Beliebig |
Interne VIP-Schnittstelle des Edgeservers |
Fallback-Pfad für die A/V-Medienübertragung zwischen Ihren internen und externen Benutzern, wenn die UDP-Kommunikation nicht funktioniert. TCP wird dann für die Dateiübertragung und Desktopfreigabe verwendet. |