Ermitteln der Anforderungen für A/V-Firewall und Ports
Letztes Änderungsdatum des Themas: 2012-10-24
Ermitteln Sie anhand der folgenden Firewall- und Porttabelle, welche Firewallanforderungen gelten und welche Ports geöffnet werden müssen. Lesen Sie anschließend die Hinweise zur Netzwerkadressenübersetzung (Network Address Translation, NAT), da NAT auf viele verschiedene Arten implementiert werden kann. Ein detailliertes Beispiel zu den Firewallporteinstellungen finden Sie in den Referenzarchitekturen unter Topologien für den Zugriff durch externe Benutzer.
Anforderungen für A/V-Firewall und Ports
| Partnerverbund mit | Funktion | TCP/443 | UDP/3478 | RTP/UDP 50.000 bis 59.999 | RTP/TCP 50.000 bis 59.999 |
|---|---|---|---|---|---|
Windows Live Messenger 2011 |
Punkt-zu-Punkt Audio/Video (A/V) |
Geöffnet, eingehend Geöffnet, ausgehend |
Geöffnet, eingehend Geöffnet, ausgehend |
Nicht erforderlich |
Geöffnet, ausgehend |
Lync Server 2010 |
A/V |
Geöffnet, eingehend Geöffnet, ausgehend |
Geöffnet, eingehend Geöffnet, ausgehend |
Nicht erforderlich |
Geöffnet, ausgehend |
Lync Server 2010 |
Anwendungsfreigabe/Desktopfreigabe |
Geöffnet, eingehend Geöffnet, ausgehend |
Geöffnet, eingehend Geöffnet, ausgehend |
Nicht erforderlich |
Geöffnet, ausgehend |
Lync Server 2010 |
Dateiübertragung |
Geöffnet, eingehend Geöffnet, ausgehend |
Geöffnet, eingehend Geöffnet, ausgehend |
Nicht erforderlich |
Geöffnet, ausgehend |
Office Communications Server 2007 R2 |
A/V |
Geöffnet, eingehend Geöffnet, ausgehend |
Geöffnet, eingehend Geöffnet, ausgehend |
Nicht erforderlich |
Geöffnet, ausgehend |
Office Communications Server 2007 R2 |
Desktopfreigabe |
Geöffnet, eingehend Geöffnet, ausgehend |
Geöffnet, eingehend Geöffnet, ausgehend |
Nicht erforderlich |
Geöffnet, ausgehend |
Office Communications Server 2007 R2 |
Dateiübertragung |
– |
– |
– |
– |
Office Communications Server 2007 |
A/V |
Geöffnet, eingehend Geöffnet, ausgehend |
Geöffnet, eingehend |
Geöffnet, eingehend Geöffnet, ausgehend |
Geöffnet, eingehend Geöffnet, ausgehend |
Office Communications Server 2007 |
Desktopfreigabe |
– |
– |
– |
– |
Office Communications Server 2007 |
Dateiübertragung |
– |
– |
– |
– |
.gif "note") Hinweis: |
|---|
| (eingehend) bezieht sich auf RTP/TCP- und RTP/UDP-Datenverkehr vom Internet zur externen A/V-Edgeschnittstelle. (ausgehend) bezieht sich auf RTP/TCP- und RTP/UDP-Datenverkehr von der externen A/V-Edgeschnittstelle zum Internet. |
Portanforderungen für die externe A/V-Firewall für den externen Benutzerzugriff
Die Anforderungen in Bezug auf Firewallports für externe (und interne) SIP- und Konferenzschnittstellen (PowerPoint-Präsentationen, Whiteboardverwendung und Abstimmungen) sind gleich, unabhängig von der vom Verbundpartner ausgeführten Version.
Dies gilt nicht für die externe A/V-Edgeschnittstelle (Audio/Video). In den meisten Fällen erfordert der A/V-Edgedienst, dass die externen Firewallregeln RTP/TCP- und RTP/UDP-Datenverkehr im Portbereich 50.000 bis 59.999 in beide Richtungen zulassen. Das Öffnen dieses Portbereichs ist beispielsweise erforderlich, um bestimmte Partnerverbundszenarien zu unterstützen. Die oben stehende Tabelle liefert Details für jedes Szenario. In der Tabelle wird davon ausgegangen, dass Lync Server 2010 den primären Verbundpartner darstellt und zur Kommunikation mit einer der vier Verbundpartnertypen konfiguriert ist.
| Hinweis: |
|---|
| In Bezug auf den Portbereich 50.000 bis 59.999 ist die bewährte Methode für Lync Server 2010, den Portbereich 50.000 bis 59.999 (TCP ausgehend) für "Client-IPs und Verbundpartner" für die externe A/V-Edgeschnittstelle zu öffnen, sofern die Unternehmensrichtlinie dies erlaubt. |
NAT-Anforderungen für den externen Benutzerzugriff
NAT ist typischerweise eine Routingfunktion, aber neuere Geräte – beispielsweise Firewalls und sogar Hardwaregeräte zum Lastenausgleich – können für NAT konfiguriert werden. Statt einer Beschreibung, welches Gerät die Netzwerkadressenübersetzung durchführt, wird in diesem Thema das erwartete NAT-Verhalten erläutert.
Die Microsoft Lync Server 2010-Kommunikationssoftware bietet keine NAT-Unterstützung für Datenverkehr von der oder zur internen Edgeschnittstelle, für die externe Edgeschnittstelle wird jedoch das folgende NAT-Verhalten unterstützt. In dieser Dokumentation werden die Akronyme "ChangeDST" und "ChangeSRC" in Tabellen und Abbildungen zum Definieren des folgenden erforderlichen Verhaltens verwendet:
ChangeDST Der Vorgang der Änderung der Ziel-IP-Adresse für Pakete an das Netzwerk mit NAT-Verwendung. Auch bekannt als Transparenz, Portweiterleitung, Ziel-NAT-Modus oder Halb-NAT-Modus.
ChangeSRC Der Vorgang der Änderung der Quell-IP-Adresse für Pakete an das Netzwerk mit NAT-Verwendung. Auch bekannt als Proxy, sichere Netzwerkadressenübersetzung, NAT mit Statusinformationen, Quell-NAT oder Voll-NAT-Modus.
Unabhängig von der verwendeten Namenskonvention lautet das für die externe Schnittstelle des Edgeservers erforderliche NAT-Verhalten wie folgt:
Für Datenverkehr vom Internet zur externen Edgeschnittstelle:
Änderung der Ziel-IP-Adresse des eingehenden Pakets von der öffentlichen IP-Adresse der externen Edgeschnittstelle in die übersetzte IP-Adresse der externen Edgeschnittstelle.
Beibehaltung der Quell-IP-Adresse, sodass eine Rückroute für den Datenverkehr vorhanden ist.
Für Datenverkehr von der externen Edgeschnittstelle zum Internet:
Änderung der Quell-IP-Adresse des von der externen Edgeschnittstelle ausgehenden Pakets von der übersetzten IP-Adresse in die öffentliche IP-Adresse der externen Edgeschnittstelle, sodass die interne (nicht routingfähige) IP-Adresse der Edgeschnittstelle nicht offengelegt wird.
Beibehaltung der Ziel-IP-Adresse für die ausgehenden Pakete.
Die folgende Abbildung zeigt den Unterschied zwischen der Änderung der Ziel-IP-Adresse (ChangeDST) für eingehenden Datenverkehr und der Änderung der Quell-IP-Adresse (ChangeSRC) für ausgehenden Datenverkehr am Beispiel der A/V-Edgeschnittstelle.
Änderung der Ziel-IP-Adresse (ChangeDST) für eingehenden Datenverkehr und Änderung der Quell-IP-Adresse (ChangeSRC)
.jpg "Ändern der Ziel-/Quell-IP-Adressen")
Die wichtigsten Punkte hierbei sind:
Für an der A/V-Edgeschnittstelle eingehenden Datenverkehr wird die Quell-IP-Adresse nicht geändert, die Ziel-IP-Adresse ändert sich jedoch von 131.107.155.30 in die übersetzte IP-Adresse 10.45.16.10.
Für von der A/V-Edgeschnittstelle zur Arbeitsstation ausgehenden Datenverkehr ändert sich die Quell-IP-Adresse von der öffentlichen IP-Adresse der Arbeitsstation in die öffentliche Adresse der A/V-Edgeschnittstelle. Als Ziel-IP-Adresse wird die öffentliche IP-Adresse der Arbeitsstation beibehalten. Nachdem das Paket das erste NAT-Gerät ausgehend passiert hat, ändert die Regel auf dem NAT-Gerät die Quell-IP-Adresse von der IP-Adresse der externen A/V-Edgeschnittstelle (10.45.16.10) in die zugehörige öffentliche IP-Adresse (131.107.155.30).