Portzusammenfassung für skalierte konsolidierte Edgetopologie mit Hardwareastenausgleich in Lync Server 2013
Thema Letzte Änderung: 27.04.2015
Die in dieser Szenarioarchitektur beschriebene Edgeserverfunktionalität von Lync Server 2013 ähnelt der in Lync Server 2010 implementierten Funktionalität. Die auffälligste Ergänzung ist der Port 5269 über TCP-Eintrag für das erweiterbare Messaging- und Anwesenheitsprotokoll (XMPP). Lync Server 2013 stellt optional einen XMPP-Proxy auf dem Edgeserver oder Edgepool und auf dem XMPP-Gatewayserver auf dem Front-End-Server oder Front-End-Pool bereit.
Zusätzlich zu IPv4 unterstützt der Edgeserver jetzt IPv6. Aus Gründen der Übersichtlichkeit wird in den Szenarien nur IPv4 verwendet.
Skalierter konsolidierter Edgeserver mit hardwarebasiertem Lastenausgleich
.jpg "Edgeserver-Umkreisnetzwerkports und -protokolle")
Port- und Protokolldetails
Es wird empfohlen, nur die Ports zu öffnen, die erforderlich sind, um die Funktionalität zu unterstützen, für die Sie externen Zugriff bereitstellen.
Damit der Remotezugriff für jeden Edgedienst funktioniert, ist es zwingend erforderlich, dass der SIP-Datenverkehr bidirektional fließt, wie in der Abbildung "Eingehender/ausgehender Edgedatenverkehr" dargestellt. Anders ausgedrückt, ist das SIP-Messaging an und vom Access Edge-Dienst an Chat, Anwesenheit, Webkonferenzen, Audio/Video (A/V) und Partnerverbund beteiligt.
Firewallzusammenfassung für skalierten konsolidierten Edgeserver, Hardwarelastenausgleich: externe Schnittstelle – Knoten 1 und Knoten 2 (Beispiel)
| Rolle/Protokoll/TCP oder UDP/Port | Quell-IP-Adresse | Ziel-IP-Adresse | Hinweise |
|---|---|---|---|
Access/HTTP/TCP/80 |
Öffentliche IP-Adresse des Edgeserverzugriffs-Edgediensts |
Beliebig |
Zertifikatsperrung/CRL-Prüfung und -Abruf |
Access/DNS/TCP/53 |
Öffentliche IP-Adresse des Edgeserverzugriffs-Edgediensts |
Beliebig |
DNS-Abfrage über TCP |
Access/DNS/UDP/53 |
Öffentliche IP-Adresse des Edgeserverzugriffs-Edgediensts |
Beliebig |
DNS-Abfrage über UDP |
A/V/RTP/TCP/50.000-59.999 |
Ip-Adresse des Edgeserver-A/V-Edgediensts |
Beliebig |
Erforderlich für die Partnerschaft mit Partnern mit Office Communications Server 2007, Office Communications Server 2007 R2, Lync Server 2010 und Lync Server 2013. |
A/V/RTP/UDP/50.000-59.999 |
Öffentliche IP-Adresse des Edgeserver-A/V-Edgediensts |
Beliebig |
Nur für Partnerverbund erforderlich, auf dem Office Communications Server 2007 ausgeführt wird. |
A/V/RTP/TCP/50.000-59.999 |
Beliebig |
Öffentliche IP-Adresse des Edgeserver-A/V-Edgediensts |
Nur für Partnerverbund mit Partnern erforderlich, die Office Communications Server 2007 ausführen |
A/V/RTP/UDP/50.000-59.999 |
Beliebig |
Öffentliche IP-Adresse des Edgeserver-A/V-Edgediensts |
Nur für Partnerverbund mit Partnern erforderlich, die Office Communications Server 2007 ausführen |
A/V/STUN,MSTURN/UDP/3478 |
Öffentliche IP-Adresse des Edgeserver-A/V-Edgediensts |
Beliebig |
3478 ausgehend wird verwendet, um die Version des Edgeservers zu ermitteln, mit dem Lync Server kommuniziert, und auch für den Mediendatenverkehr vom Edgeserver zum Edgeserver. Erforderlich für den Partnerverbund mit Lync Server 2010, Windows Live Messenger und Office Communications Server 2007 R2 sowie für die Bereitstellung mehrerer Edgepools innerhalb eines Unternehmens. |
A/V/STUN,MSTURN/UDP/3478 |
Beliebig |
Öffentliche IP-Adresse des Edgeserver-A/V-Edgediensts |
STUN/TURN-Aushandlung von Kandidaten über UDP/3478 |
A/V/STUN,MSTURN/TCP/443 |
Beliebig |
Öffentliche IP-Adresse des Edgeserver-A/V-Edgediensts |
STUN/TURN-Aushandlung von Kandidaten über TCP/443 |
A/V/STUN,MSTURN/TCP/443 |
Öffentliche IP-Adresse des Edgeserver-A/V-Edgediensts |
Beliebig |
STUN/TURN-Aushandlung von Kandidaten über TCP/443 |
Firewallzusammenfassung für skalierten konsolidierten Edgeserver, Hardwarelastenausgleich: Interner Schnittstellenknoten 1 und Knoten 2
| Rolle/Protokoll/TCP oder UDP/Port | Quell-IP-Adresse | Ziel-IP-Adresse | Hinweise |
|---|---|---|---|
XMPP/MTLS/TCP/23456 |
Beliebige (kann als Front-End-Serveradresse oder virtuelle IP-Adresse des Front-End-Pools definiert werden, auf der der XMPP-Gatewaydienst ausgeführt wird) |
Interne Edgeserverschnittstelle |
Ausgehender XMPP-Datenverkehr vom XMPP-Gatewaydienst, der auf dem Front-End-Server oder Front-End-Pool ausgeführt wird |
HTTPS/TCP/4443 |
Jede (kann als IP-Adresse des Front-End-Servers oder -Pools definiert werden, die den zentralen Verwaltungsspeicher enthält) |
Interne Edgeserverschnittstelle |
Replikation von Änderungen vom zentralen Verwaltungsspeicher zum Edgeserver |
PSOM/MTLS/TCP/8057 |
Beliebig (kann als Director-IP, Front-End-Server-IP oder virtuelle IP-Adresse des Pools definiert werden) |
Interne Edgeserverschnittstelle |
Webkonferenzdatenverkehr von der internen Bereitstellung zur internen Edgeserverschnittstelle |
STUN/MSTURN/UDP/3478 |
Beliebig (kann als Director-IP, Front-End-Server-IP oder virtuelle IP-Adresse des Pools definiert werden) |
Interne Edgeserverschnittstelle |
Bevorzugter Pfad für die A/V-Medienübertragung zwischen internen und externen Benutzern, Survivable Branch Appliance oder Survivable Branch Server |
STUN/MSTURN/TCP/443 |
Beliebig (kann als Director-IP, Front-End-Server-IP oder virtuelle IP-Adresse des Pools definiert werden) |
Interne Edgeserverschnittstelle |
Fallbackpfad für die A/V-Medienübertragung zwischen internen und externen Benutzern, Survivable Branch Appliance oder Survivable Branch Server, wenn keine UDP-Kommunikation hergestellt werden kann, TCP wird für die Dateiübertragung und Desktopfreigabe verwendet. |
MTLS/TCP/50001 |
Beliebig |
Interne Edgeserverschnittstelle |
Controller für den zentralisierten Protokollierungsdienst mithilfe der Lync Server-Verwaltungsshell und der Cmdlets des zentralisierten Protokollierungsdiensts, ClsController-Befehlszeilenbefehle (ClsController.exe) oder Agentbefehle (ClsAgent.exe) und Protokollsammlung |
MTLS/TCP/50002 |
Beliebig |
Interne Edgeserverschnittstelle |
Controller für den zentralisierten Protokollierungsdienst mithilfe der Lync Server-Verwaltungsshell und der Cmdlets des zentralisierten Protokollierungsdiensts, ClsController-Befehlszeilenbefehle (ClsController.exe) oder Agentbefehle (ClsAgent.exe) und Protokollsammlung |
MTLS/TCP/50003 |
Beliebig |
Interne Edgeserverschnittstelle |
Controller für den zentralisierten Protokollierungsdienst mithilfe der Lync Server-Verwaltungsshell und der Cmdlets des zentralisierten Protokollierungsdiensts, ClsController-Befehlszeilenbefehle (ClsController.exe) oder Agentbefehle (ClsAgent.exe) und Protokollsammlung |
Hardwarelastenausgleichsgeräte haben spezifische Anforderungen, wenn sie bereitgestellt werden, um Verfügbarkeit und Lastenausgleich für Lync Server bereitzustellen. Die Anforderungen sind in der folgenden Abbildung und in den folgenden Tabellen definiert. Drittanbieter können für die hier definierten Anforderungen unterschiedliche Terminologie verwenden. Es ist erforderlich, die Anforderungen von Lync Server den Features und Konfigurationsoptionen ihres Hardwaregeräts für den Lastenausgleich zuzuordnen.
Berücksichtigen Sie beim Konfigurieren von Hardwaregerät zum Lastenausgleich die folgenden Anforderungen:
Die Quellnetzwerkadressübersetzung (Source Network Address Translation, SNAT) kann auf dem Hardwaregerät zum Lastenausgleich (HLB) für den Zugriffs-Edgedienst und den Webkonferenz-Edgedienst konfiguriert werden.
SNAT kann für den A/V-Edgedienst nicht konfiguriert werden. Der A/V-Edgedienst muss mit der tatsächlichen Serveradresse antworten, nicht mit der virtuellen HLB-IP (VIP), damit die einfache Traversierung von UDP über NAT (STUN)/Traversal mit relay NAT (TURN)/federation TURN (FTURN) ordnungsgemäß funktioniert
Wenn der Client eine Anforderung an die HLB sendet, muss die Antwort von der HLB VIP zurückgegeben werden.
Wenn der Client eine Anforderung an den Edge sendet, muss die Antwort von der Edge-IP-Adresse zurückgegeben werden.
Öffentliche IP-Adressen werden auf jeder Serverschnittstelle und auf den VIPs des HLB verwendet, und Ihre Anforderungen an die öffentliche IP-Adresse lauten N+1, wobei eine öffentliche IP-Adresse für jede echte Serverschnittstelle und eine für jede HLB-VIP vorhanden ist. Wenn sie zwei Edgeserver im Pool haben, ergeben sich 9 öffentliche IP-Adressen, wobei 3 für die HLB-VIPs und eine für jede Edgeserverschnittstelle (insgesamt sechs für die Server) verwendet werden.
Für den Zugriffs-Edgedienst und den Webkonferenz-Edgedienst (und bei Verwendung von NAT auf der HLB) kontaktiert der Client die VIP, die VIP ändert die Quell-IP-Adresse vom Client in eine eigene IP-Adresse. Die Serverschnittstelle adressiert die Absenderadresse an die VIP, die VIP ändert die Quelladresse von der IP-Adresse der Serverschnittstelle und sendet das Paket an den Client.
Für den A/V-Edgedienst darf der VIP die QUELL-IP-Adresse NICHT ändern, und die echte Serveradresse wird direkt an den Client zurückgegeben – Sie können NAT auf dem HLB nicht für AV-Datenverkehr konfigurieren.
Wenn der Client eine Anforderung an die HLB-VIP sendet, muss die Antwort von der HLB-VIP zurückgegeben werden.
Wenn der Client eine Anforderung an die Edge-IP sendet, muss die Antwort von der Edge-IP zurückgegeben werden.
Bei AV behält die externe Firewall die echte öffentliche IP-Adresse des Servers für alle Pakete bei.
Nach der Einrichtung erfolgt die Client-zu-V-Edgedienstkommunikation mit dem tatsächlichen Server, nicht mit dem HLB.
Der interne Edge an interne Server und Clients muss weitergeleitet werden, und für alle internen Netzwerke, die Server oder Clients hosten, werden persistente Routen festgelegt.
Die VIP des HLB-Zugriffs-Edgediensts fungiert als Standardgateway für jede Edgeserverschnittstelle.
Hinweis
Weitere Informationen zur NAT-Planung und -Funktionalität finden Sie unter Hardwarelastenausgleichsanforderungen für Lync Server 2013.
.jpg "zu Edgeserverports und -protokollen")
Einstellungen für den externen Port, die für skalierten konsolidierten Edgeserver erforderlich sind, Hardwarelastenausgleich: Virtuelle IPs der externen Schnittstelle
| Rolle/Protokoll/TCP oder UDP/Port | Quell-IP-Adresse | Ziel-IP-Adresse | Hinweise |
|---|---|---|---|
XMPP/TCP/5269 |
Beliebig |
XMPP-Proxydienst (teilt die IP-Adresse mit dem Access Edge-Dienst) |
Der XMPP-Proxydienst akzeptiert Datenverkehr von XMPP-Kontakten in definierten XMPP-Verbunds |
XMPP/TCP/5269 |
XMPP-Proxydienst (teilt die IP-Adresse mit dem Access Edge-Dienst) |
Beliebig |
Der XMPP-Proxydienst sendet Datenverkehr an XMPP-Kontakte in definierten XMPP-Verbunds |
Access/SIP(TLS)/TCP/443 |
Beliebig |
Öffentliche VIP-Adresse des Zugriffs-Edgediensts |
Client-zu-Server-SIP-Datenverkehr für externen Benutzerzugriff |
Access/SIP(MTLS)/TCP/5061 |
Beliebig |
Öffentliche VIP-Adresse des Zugriffs-Edgediensts |
SIP-Signalisierung, Verbund- und öffentliche Chatkonnektivität mithilfe von SIP |
Access/SIP(MTLS)/TCP/5061 |
Öffentliche VIP-Adresse des Zugriffs-Edgediensts |
Verbundpartner |
SIP-Signalisierung, Verbund- und öffentliche Chatkonnektivität mithilfe von SIP |
Webkonferenzen/PSOM(TLS)/TCP/443 |
Beliebig |
Öffentliche VIP-Adresse des Edgeserver-Webkonferenz-Edgediensts |
Webkonferenzmedien |
A/V/STUN,MSTURN/UDP/3478 |
Beliebig |
Öffentliche VIP-Adresse des Edgeserver-A/V-Edgediensts |
STUN/TURN-Aushandlung von Kandidaten über UDP/3478 |
A/V/STUN,MSTURN/TCP/443 |
Beliebig |
Öffentliche VIP-Adresse des Edgeserver-A/V-Edgediensts |
STUN/TURN-Aushandlung von Kandidaten über TCP/443 |
Firewallzusammenfassung für skalierten konsolidierten Edgeserver, Hardwarelastenausgleich: Interne virtuelle Schnittstellen-IPs
| Rolle/Protokoll/TCP oder UDP/Port | Quell-IP-Adresse | Ziel-IP-Adresse | Hinweise |
|---|---|---|---|
Access/SIP(MTLS)/TCP/5061 |
Beliebig (kann als virtuelle IP-Adresse des Director-, Directorpools, Front-End-Server oder virtuelle IP-Adresse des Front-End-Pools definiert werden) |
Interne VIP-Schnittstelle des Edgeservers |
Ausgehender SIP-Datenverkehr (von Director, Virtuelle IP-Adresse des Directorpools, Front-End-Server oder virtuelle IP-Adresse des Front-End-Pools) an interne Edge-VIP |
Access/SIP(MTLS)/TCP/5061 |
Interne VIP-Schnittstelle des Edgeservers |
Beliebig (kann als virtuelle IP-Adresse des Director-, Directorpools, Front-End-Server oder virtuelle IP-Adresse des Front-End-Pools definiert werden) |
Eingehender SIP-Datenverkehr (an Director, virtuelle IP-Adresse des Directorpools, virtueller Front-End-Server oder virtuelle IP-Adresse des Front-End-Pools) von der internen Edgeserverschnittstelle |
SIP/MTLS/TCP/5062 |
Beliebig (kann als Front-End-Server-IP-Adresse oder Front-End-Pool-IP-Adresse oder als Survivable Branch Appliance oder Survivable Branch Server mit diesem Edgeserver definiert werden) |
Interne VIP-Schnittstelle des Edgeservers |
Authentifizierung von A/V-Benutzern (A/V-Authentifizierungsdienst) über den Front-End-Server oder die IP-Adresse des Front-End-Pools oder einer Survivable Branch Appliance oder eines Survivable Branch Servers mit diesem Edgeserver |
STUN/MSTURN/UDP/3478 |
Beliebig |
Interne VIP-Schnittstelle des Edgeservers |
Bevorzugter Pfad für die A/V-Medienübertragung zwischen internen und externen Benutzern |
STUN/MSTURN/TCP/443 |
Beliebig |
Interne VIP-Schnittstelle des Edgeservers |
Fallbackpfad für die A/V-Medienübertragung zwischen internen und externen Benutzern, wenn keine UDP-Kommunikation hergestellt werden kann, WIRD TCP für die Dateiübertragung und Desktopfreigabe verwendet. |
STUN/MSTURN/TCP/443 |
Interne VIP-Schnittstelle des Edgeservers |
Beliebig |
Fallbackpfad für die A/V-Medienübertragung zwischen internen und externen Benutzern, wenn keine UDP-Kommunikation hergestellt werden kann, WIRD TCP für die Dateiübertragung und Desktopfreigabe verwendet. |