Requisitos ambientales del servidor perimetral en Skype Empresarial Server
Resumen: Obtén información sobre los requisitos ambientales de Servidor perimetral en Skype Empresarial Server.
Es necesario realizar una gran cantidad de planificación y preparación fuera del entorno del servidor perimetral de Skype Empresarial Server. En este artículo, repasaremos qué preparativos tiene que realizar en el entorno de la organización, según la lista que se muestra abajo:
Planificar la topología
Skype Empresarial Server topologías de servidor perimetral pueden usar:
Direcciones IP públicas enrutables.
Direcciones IP privadas no enrutables si se usa la traducción de direcciones de red (NAT) simétrica.
Propina
El servidor perimetral se puede configurar para usar una única dirección IP con puertos distintos para cada servicio, o puede usar direcciones IP distintas para cada servicio, pero usar el mismo puerto predeterminado (que de forma predeterminada será TCP 443). Hay más información en la sección de requisitos de las direcciones IP de abajo.
Si elige direcciones IP privadas no enrutables con NAT, recuerde los siguientes puntos:
Tiene que usar direcciones IP privadas enrutables en las tres interfaces externas.
Tiene que configurar la NAT simétrica para el tráfico entrante y saliente. NAT simétrica es la única NAT compatible que puede usar con Skype Empresarial Server servidor perimetral.
Configure la NAT para que no cambie las direcciones de origen entrantes. El servicio perimetral de A/V debe poder recibir la dirección de origen entrante para encontrar la ruta de acceso a medios óptima.
Los servidores perimetrales deben poder comunicarse entre sí desde sus direcciones IP del perímetro A/V públicas. El firewall tiene que permitir este tráfico.
NAT solo se puede usar para servidores perimetrales consolidados escalados si usa el equilibrio de carga DNS. Si usa el equilibrio de carga de hardware (HLB), tiene que usar direcciones IP enrutables públicamente sin NAT.
No tendrá problemas para tener sus interfaces de Acceso, Conferencia web y Perímetro A/V detrás de un enrutador o firewall que realice NAT simétrica para topologías de servidor perimetral consolidado único y escalado (siempre y cuando no esté usando equilibrio de carga de hardware).
Resumen de las opciones de topología del servidor perimetral
Tenemos varias opciones de topología disponibles para implementaciones de Skype Empresarial Server servidor perimetral:
Servidor perimetral consolidado simple con direcciones IP privadas y NAT
Servidor perimetral consolidado simple con direcciones IP públicas
Servidor perimetral consolidado ampliado con direcciones IP privadas y NAT
Servidor perimetral consolidado ampliado con direcciones IP públicas
Servidor perimetral consolidado ampliado con equilibradores de carga de hardware
Para que le sea más fácil elegir una, la siguiente tabla le ofrece un resumen de las opciones de cada topología:
| Topología | Alta disponibilidad | ¿Se requieren registros DNS adicionales para el servidor perimetral externo en el grupo de servidores perimetrales? | Conmutación por error de Edge para sesiones de Skype Empresarial Server | Conmutación por error de Edge para sesiones de federación de Skype Empresarial Server |
|---|---|---|---|---|
| Servidor perimetral consolidado simple con direcciones IP privadas y NAT |
No |
No |
No |
No |
| Servidor perimetral consolidado simple con direcciones IP públicas |
No |
No |
No |
No |
| Servidor perimetral consolidado ampliado con direcciones IP privadas y NAT (con equilibrio de carga DNS) |
Sí |
Sí |
Sí |
Sí¹ |
| Servidor perimetral consolidado ampliado con direcciones IP públicas (con equilibrio de carga DNS) |
Sí |
Sí |
Sí |
Sí¹ |
| Servidor perimetral consolidado ampliado con equilibradores de carga de hardware |
Sí |
No (un registro A DNS por VIP) |
Sí |
Sí |
¹ La conmutación por error por usuario remoto de mensajería unificada de Exchange (UM) con equilibrio de carga DNS requiere Exchange 2013 o posterior.
Requisitos de direcciones IP
En un nivel fundamental, tres servicios necesitan direcciones IP; Servicio perimetral de acceso, servicio perimetral de conferencia web y servicio perimetral A/V. Tiene la opción de usar tres direcciones IP, una para cada uno de los servicios, o puede usar uno y optar por poner cada servicio en un puerto diferente (puede comprobar la sección Port and firewall planning para más información sobre esto). Para un entorno de servidor perimetral consolidado simple, es prácticamente todo.
Nota
Como se indica anteriormente, puede optar por tener una dirección IP para los tres servicios y ejecutarlos en diferentes puertos. Para ser claros, no lo recomendamos. Si sus clientes no pueden tener acceso a los puertos alternativos que usa en este escenario, tampoco pueden obtener acceso a la característica completa de su entorno perimetral.
Puede ser un poco más complicado con topologías consolidadas ampliadas, por lo que vamos a ver algunas tablas que organizan los requisitos de direcciones IP, teniendo en cuenta que los aspectos principales a la hora de decantarse por una topología son la alta disponibilidad y el equilibrio de carga. Las necesidades de la alta disponibilidad pueden influir en la opción del equilibrio de carga (hablaremos de ello después de las tablas).
Requisitos de dirección IP para servidor perimetral consolidado ampliado (dirección IP por rol)
| Número de servidores perimetrales por grupo | Número de direcciones IP necesarias para el equilibrio de carga de DNS | Número de direcciones IP necesarias para el equilibrio de carga de hardware |
|---|---|---|
| 2 |
6 |
3 (1 por VIP) + 6 |
| 3 |
9 |
3 (1 por VIP) + 9 |
| 4 |
12 |
3 (1 por VIP) + 12 |
| 5 |
15 |
3 (1 por VIP) +15 |
Requisitos de dirección IP para servidor perimetral consolidado ampliado (dirección IP única para todos los roles)
| Número de servidores perimetrales por grupo | Número de direcciones IP necesarias para el equilibrio de carga de DNS | Número de direcciones IP necesarias para el equilibrio de carga de hardware |
|---|---|---|
| 2 |
2 |
1 (1 por VIP) + 2 |
| 3 |
3 |
1 (1 por VIP) + 3 |
| 4 |
4 |
1 (1 por VIP) + 4 |
| 5 |
5 |
1 (1 por VIP) + 5 |
Veamos algunos asuntos adicionales en los que pensar durante la planeación.
Alta disponibilidad: si necesitas una alta disponibilidad en la implementación, debes implementar al menos dos servidores perimetrales en un grupo. Cabe destacar que un único grupo de servidores perimetrales admitirá hasta 12 servidores perimetrales (aunque el Generador de topologías le permitirá agregar hasta 20, que no se han probado ni se admiten, por lo que le recomendamos que no lo haga). Si necesita más de 12 servidores perimetrales, debe crear grupos de servidores perimetrales adicionales para ellos.
Equilibrio de carga de hardware: se recomienda el equilibrio de carga DNS para la mayoría de los escenarios. El equilibrio de carga de hardware también es compatible, por supuesto, pero es especialmente necesario para un único escenario sobre el equilibrio de carga DNS:
- Acceso externo a Exchange 2007 o Exchange 2010 (sin SP) mensajería unificada (UM).
Equilibrio de carga DNS: para la mensajería unificada, Exchange 2010 SP1 y versiones posteriores pueden recibir soporte técnico mediante el equilibrio de carga DNS. Tenga en cuenta que si necesita usar el equilibrio de carga DNS para una versión anterior de Exchange, funcionará, pero todo el tráfico de este tipo se dirigirá al primer servidor del grupo y, si no está disponible, posteriormente se producirá un error en el tráfico.
El equilibrio de carga DNS también se recomienda si está federando con empresas que usan:
Skype Empresarial Server 2015:
- Lync Server 2010
- Lync Server 2013
- Microsoft 365 o Office 365
Skype Empresarial Server 2019:
- Lync Server 2013
- Skype Empresarial Server 2015
- Microsoft 365 o Office 365
Planificación de DNS
En lo que respecta a Skype Empresarial Server implementación del servidor perimetral, es vital prepararse para el DNS correctamente. Con los registros correctos en su ubicación, la implementación será mucho más sencilla. Afortunadamente ha elegido una topología en la sección anterior, ya que realizaremos una descripción general y después enumeraremos algunas tablas que esquematicen los registros DNS para esos escenarios. También tendremos algunos planes avanzados de DNS del servidor perimetral para Skype Empresarial Server para una lectura más detallada, si lo necesita.
Registros DNS para escenarios de servidor perimetral consolidado único
Estos serán los registros DNS que necesitará para un servidor perimetral con IP públicas o IP privadas con NAT. Dado que estos son datos de ejemplo, le daremos IP de muestra para que pueda resolver sus propias entradas de forma más fácil:
Adaptador de red interno: 172.25.33.10 (sin puertas de enlace predeterminadas asignadas)
Nota
Asegúrese de que hay una ruta desde la red que contiene la interfaz interna perimetral a cualquier red que contenga servidores que ejecuten Skype Empresarial Server o clientes de Lync Server 2013 (por ejemplo, de 172.25.33.0 a 192.168.10.0).
Adaptador de red externa:
IP públicas:
Access Edge: 131.107.155.10 (esta es la principal, con la puerta de enlace predeterminada establecida en el enrutador público, por ejemplo: 131.107.155.1)
Perímetro de conferencia web: 131.107.155.20 (secundario)
Edge A/V: 131.107.155.30 (secundario)
Las conferencias web y las direcciones IP públicas de A/V son direcciones IP adicionales (secundarias) en la sección Avanzadas de las propiedades de Protocolo de Internet versión 4 (TCP/IPv4) y Protocolo de Internet versión 6 (TCP/IPv6) de las Propiedades de conexión de área local en Windows Server.
IP privadas:
Access Edge: 10.45.16.10 (esta es la principal, con la puerta de enlace predeterminada establecida en el enrutador, por ejemplo: 10.45.16.1)
Perímetro de conferencia web: 10.45.16.20 (secundario)
Microsoft Edge A/V: 10.45.16.30 (secundario)
Las conferencias web y las direcciones IP públicas de A/V son direcciones IP adicionales (secundarias) en la sección Avanzadas de las propiedades de Protocolo de Internet versión 4 (TCP/IPv4) y Protocolo de Internet versión 6 (TCP/IPv6) de las Propiedades de conexión de área local en Windows Server.
Propina
Hay otra configuración posible:
Puede usar una dirección IP en el adaptador de red externa. No lo recomendamos porque necesitarás diferenciar entre los servicios de ti que usan puertos diferentes (que puedes hacer en Skype Empresarial Server), pero hay algunos firewalls que pueden bloquear los puertos alternativos. Vea la sección de Port and firewall planning para más información sobre esto.
Puede tener tres adaptadores de red externa en lugar de uno y asignar una de las IP del servicio a cada uno. ¿Por qué? Se separarían los servicios y si algo va mal, facilitaría solucionar los problemas y dejar que otros servicios continuasen trabajando potencialmente mientras resuelve un problema.
| Ubicación | Tipo | Puerto | Registro FQDN o DNS | Dirección IP o FQDN | Notas |
|---|---|---|---|---|---|
| DNS externo |
Un registro |
NA |
sip.contoso.com |
público: 131.107.155.10 privado: 10.45.16.10 |
Una interfaz externa para el servicio de Access Edge. Necesitará uno para cada dominio SIP con Skype Empresarial usuarios. |
| DNS externo |
Un registro |
NA |
webcon.contoso.com |
público: 131.107.155.20 privado: 10.45.16.20 |
Una interfaz externa para el servicio perimetral de conferencia web. |
| DNS externo |
Un registro |
NA |
av.contoso.com |
público: 131.107.155.30 privado: 10.45.16.30 |
Una interfaz externa para el servicio A/V Edge. |
| DNS externo |
Registro SRV |
443 |
_sip._tls.contoso.com |
sip.contoso.com |
Una interfaz externa para el servicio de Access Edge. Este registro SRV es necesario para que los clientes de Skype Empresarial Server, Lync Server 2013 y Lync Server 2010 funcionen externamente. Necesitará uno para cada dominio con usuarios de Skype Empresarial. |
| DNS externo |
Registro SRV |
5061 |
_sipfederationtls._tcp.contoso.com |
sip.contoso.com |
Una interfaz externa para el servicio de Access Edge. Este registro SRV es necesario para la detección DNS automática de asociados federados denominada Dominios SIP permitidos. Necesitará uno para cada dominio con usuarios de Skype Empresarial. |
| DNS interno |
Un registro |
NA |
sfvedge.contoso.net |
172.25.33.10 |
La interfaz interna para el servidor perimetral consolidado. |
Registros DNS para dns escalado y escenarios de servidores perimetrales de hardware
Estos serán los registros DNS que necesitará para un servidor perimetral con IP públicas o IP privadas con NAT. Dado que estos son datos de ejemplo, le daremos IP de muestra para que pueda resolver sus propias entradas de forma más fácil:
Adaptador de red interna:
Nodo 1: 172.25.33.10 (no hay ninguna puerta de enlace predeterminada asignada)
Nodo 2: 172.25.33.11 (no hay ninguna puerta de enlace predeterminada asignada)
Nota
Asegúrese de que hay una ruta desde la red que contiene la interfaz interna perimetral a cualquier red que contenga servidores que ejecuten Skype Empresarial Server o clientes de Lync Server 2013 (por ejemplo, de 172.25.33.0 a 192.168.10.0).
Adaptador de red externa:
Nodo 1
IP públicas:
Access Edge: 131.107.155.10 (esta es la principal, con la puerta de enlace predeterminada establecida en el enrutador público, por ejemplo: 131.107.155.1)
Perímetro de conferencia web: 131.107.155.20 (secundario)
Edge A/V: 131.107.155.30 (secundario)
Las conferencias web y las direcciones IP públicas de A/V son direcciones IP adicionales (secundarias) en la sección Avanzadas de las propiedades de Protocolo de Internet versión 4 (TCP/IPv4) y Protocolo de Internet versión 6 (TCP/IPv6) de las Propiedades de conexión de área local en Windows Server.
IP privadas:
Access Edge: 10.45.16.10 (esta es la principal, con la puerta de enlace predeterminada establecida en el enrutador, por ejemplo: 10.45.16.1)
Perímetro de conferencia web: 10.45.16.20 (secundario)
Microsoft Edge A/V: 10.45.16.30 (secundario)
Las conferencias web y las direcciones IP públicas de A/V son direcciones IP adicionales (secundarias) en la sección Avanzadas de las propiedades de Protocolo de Internet versión 4 (TCP/IPv4) y Protocolo de Internet versión 6 (TCP/IPv6) de las Propiedades de conexión de área local en Windows Server.
Nodo 2
IP públicas:
Access Edge: 131.107.155.11 (esta es la principal, con la puerta de enlace predeterminada establecida en el enrutador público, por ejemplo: 131.107.155.1)
Perímetro de conferencia web: 131.107.155.21 (secundario)
Microsoft Edge A/V: 131.107.155.31 (secundario)
Las conferencias web y las direcciones IP públicas de A/V son direcciones IP adicionales (secundarias) en la sección Avanzadas de las propiedades de Protocolo de Internet versión 4 (TCP/IPv4) y Protocolo de Internet versión 6 (TCP/IPv6) de las Propiedades de conexión de área local en Windows Server.
IP privadas:
Access Edge: 10.45.16.11 (esta es la principal, con la puerta de enlace predeterminada establecida en el enrutador, por ejemplo: 10.45.16.1)
Perímetro de conferencia web: 10.45.16.21 (secundario)
Edge A/V: 10.45.16.31 (secundario)
Las conferencias web y las direcciones IP públicas de A/V son direcciones IP adicionales (secundarias) en la sección Avanzadas de las propiedades de Protocolo de Internet versión 4 (TCP/IPv4) y Protocolo de Internet versión 6 (TCP/IPv6) de las Propiedades de conexión de área local en Windows Server.
Hay otra configuración posible:
Puede usar una dirección IP en el adaptador de red externa. No lo recomendamos porque necesitará diferenciar entre los servicios de ti que usan puertos diferentes (que puede hacer en Skype Empresarial Server), pero hay algunos firewalls que pueden bloquear los puertos alternativos. Vea la sección de Port and firewall planning para más información sobre esto.
Puede tener tres adaptadores de red externa en lugar de uno y asignar una de las IP del servicio a cada uno. ¿Por qué? Se separarían los servicios y si algo va mal, facilitaría solucionar los problemas y dejar que otros servicios continuasen trabajando potencialmente mientras resuelve un problema.
| Ubicación | Tipo | Puerto | Registro FQDN o DNS | Dirección IP o FQDN | Notas |
|---|---|---|---|---|---|
| DNS externo |
Un registro |
NA |
sip.contoso.com |
público: 131.107.155.10 y 131.107.155.11 privado: 10.45.16.10 y 10.45.16.11 |
Una interfaz externa para el servicio de Access Edge. Necesitará uno para cada dominio SIP con usuarios de Skype Empresarial. |
| DNS externo |
Un registro |
NA |
webcon.contoso.com |
público: 131.107.155.20 y 131.107.155.21 privado: 10.45.16.20 y 10.45.16.21 |
Una interfaz externa para el servicio perimetral de conferencia web. |
| DNS externo |
Un registro |
NA |
av.contoso.com |
público: 131.107.155.30 y 131.107.155.31 privado: 10.45.16.30 y 10.45.16.31 |
Una interfaz externa para el servicio A/V Edge. |
| DNS externo |
Registro SRV |
443 |
_sip._tls.contoso.com |
sip.contoso.com |
Una interfaz externa para el servicio de Access Edge. Este registro SRV es necesario para que los clientes de Skype Empresarial Server, Lync Server 2013 y Lync Server 2010 funcionen externamente. Necesitará uno para cada dominio con Skype Empresarial. |
| DNS externo |
Registro SRV |
5061 |
_sipfederationtls._tcp.contoso.com |
sip.contoso.com |
Una interfaz externa para el servicio de Access Edge. Este registro SRV es necesario para la detección DNS automática de asociados federados denominada Dominios SIP permitidos. Necesitará uno para cada dominio con Skype Empresarial. |
| DNS interno |
Un registro |
NA |
sfvedge.contoso.net |
172.25.33.10 y 172.25.33.11 |
La interfaz interna para el servidor perimetral consolidado. |
Registro DNS para la federación (todos los escenarios)
| Ubicación | Tipo | Puerto | FQDN | Registro de host de FQDN | Notas |
|---|---|---|---|---|---|
| DNS externo |
SRV |
5061 |
_sipfederationtls_tcp.contoso.com |
sip.contoso.com |
La interfaz externa del perímetro de acceso SIP necesaria para la detección automática de DNS. Usada por otros posibles asociados de federación. También se conoce como "Permitir dominios SIP". Necesitará uno de estos para cada dominio SIP con Skype Empresarial usuarios. Nota: Necesitará este registro SRV para movilidad y la cámara de compensación de notificaciones push. |
Registros DNS para el protocolo extensible de mensajería y presencia
| Ubicación | Tipo | Puerto | FQDN | Dirección IP o registro de host FQDN | Notas |
|---|---|---|---|---|---|
| DNS externo |
SRV |
5269 |
_xmpp-server._tcp.contoso.com |
xmpp.contoso.com |
La interfaz de proxy XMPP en el servicio perimetral de acceso o grupo de servidores perimetrales. Debe repetir esto según sea necesario para todos los dominios SIP internos con Skype Empresarial Server usuarios habilitados, donde se permite el contacto con contactos XMPP a través de: • una política global • una directiva de sitio en la que el usuario esté habilitado • una directiva de usuario aplicada al usuario habilitado para Skype Empresarial Server Una directiva XMPP permitida también se tiene que configurar en la directiva de usuarios federados XMPP. |
| DNS externo |
SRV |
A |
xmpp.contoso.com |
Dirección IP del servicio perimetral de acceso en el servidor perimetral o grupo perimetral que hospeda el servicio proxy XMPP |
Esto apunta al servicio perimetral de acceso en el servidor perimetral o grupo perimetral que hospeda el servicio proxy XMPP. Por lo general, el registro SRV que crea apuntará a este registro de host (A o AAAA). |
Nota
Las puertas de enlace y servidores proxy XMPP están disponibles en Skype Empresarial Server 2015, pero ya no son compatibles con Skype Empresarial Server 2019. Vea Migrar la federación XMPP para obtener más información.
Planificar certificado
Skype Empresarial Server usa certificados para comunicaciones seguras y cifradas tanto entre servidores como de servidor a cliente. Como cabría esperar, los certificados tendrán que tener registros DNS para sus servidores para que coincidan con cualquier nombre de sujeto (SN) y nombre alternativo de sujeto (SAN) en los certificados. Esto le llevará trabajo ahora, en la fase de planificación, para garantizar que tiene los FQDN correctos registrados en DNS para las entradas de SN y de SAN para los certificados.
Hablaremos de las necesidades de los certificados internos y externos por separado y después veremos una tabla que proporciona los requisitos para ambos.
Certificados externos
Como mínimo, el certificado asignado a las interfaces del servidor perimetral externo deberá proporcionarlo una entidad de certificación (CA) pública. No podemos recomendarle una CA específica, pero tenemos una lista de entidades emisoras de certificados de comunicaciones unificadas que puede echar un vistazo para ver si se muestra su CA preferida.
¿Cuándo tendrá que enviar una solicitud a una entidad de certificación para este certificado público y cómo lo tiene que hacer? Hay un par de formas de llevar esto a cabo:
Puedes realizar la instalación de Skype Empresarial Server y, a continuación, la implementación del servidor perimetral. El Asistente para la implementación de Skype Empresarial Server tendrá un paso para generar una solicitud de certificado, que puede enviar a la CA elegida.
También puede usar Windows PowerShell comandos para generar esta solicitud, si está más en línea con sus necesidades empresariales o la estrategia de implementación.
Por último, su CA puede tener su propio proceso de envío, que también puede implicar Windows PowerShell u otro método. En ese caso, tendrá que basarse en su documentación, además de en la información proporcionada aquí para su consulta.
Después de obtener el certificado, deberá asignarlo a estos servicios en Skype Empresarial Server:
Interfaz de servicio perimetral de Access
Interfaz de servicio perimetral de conferencia web
Servicio de autenticación de audio y vídeo (no confunda esto con el servicio perimetral de A/V, ya que no usa un certificado para cifrar secuencias de audio y vídeo)
Importante
Todos los servidores perimetrales (si pertenecen al mismo grupo de servidores perimetrales) deben tener exactamente el mismo certificado con la misma clave privada para el servicio de autenticación de retransmisión multimedia.
Certificados internos
Para la interfaz interna del servidor perimetral, puede usar un certificado público de una CA pública o un certificado emitido por la CA interna de su organización. Lo que hay que recordar sobre el certificado interno es que usa una entrada de SN y no entradas de SAN, de modo que no tiene que preocuparse por SAN en el certificado interno en absoluto.
Tabla de certificados necesarios
Aquí tenemos una tabla para ayudarle con las solicitudes. Las entradas de FQDN son solo para dominios de ejemplo. Tendrá que realizar solicitudes en función de sus propios dominios privados y públicos, pero esta es una guía sobre lo que hemos usado:
contoso.com: FQDN público
fabrikam.com: segundo FQDN público (agregado como demostración de lo que debe solicitar si tiene varios dominios SIP)
Contoso.net: dominio interno
Tabla de certificado perimetral
Independientemente de si está realizando un único servidor perimetral o un grupo perimetral, esto es lo que necesitará para su certificado:
| Componente | Nombre de sujeto | Nombres alternativos del sujeto (SAN)/orden | Notas |
|---|---|---|---|
| Servidor perimetral externo |
sip.contoso.com |
sip.contoso.com webcon.contoso.com sip.fabrikam.com |
Este es el certificado que tiene que solicitar a una entidad de certificación pública. Tendrá que estar asignado a las interfaces perimetrales externas para lo siguiente: • Acceso a Edge • Perímetro de conferencia web • Autenticación de audio y vídeo La buena noticia es que los SAN se agregan automáticamente a la solicitud de certificado y, por lo tanto, su certificado después de enviar la solicitud, en función de lo que definió para esta implementación en el Generador de topologías. Solo tiene que agregar las entradas de SAN para cualquier dominio SIP adicional u otras entradas que necesite admitir. ¿Por qué sip.contoso.com aparece duplicado en esta instancia? Esto se produce automáticamente y es necesario para que todo funcione correctamente. Nota: Este certificado también se puede usar para la conectividad de mensajería instantánea pública. No tiene que hacer nada diferente con él, pero en versiones anteriores de esta documentación, se ha incluido como una tabla independiente, y ahora no lo es. |
| Servidor perimetral interno |
sfbedge.contoso.com |
NA |
Puede obtener este certificado de una entidad de certificación pública o de una entidad de certificación interna. Tendrá que contener el EKU del servidor (uso mejorado de clave) y lo asignará a la interfaz interna del servidor perimetral. |
Si necesita un certificado para el protocolo extensible de mensajería y presencia (XMPP), tendrá un aspecto idéntico a las entradas del servidor perimetral externo de la tabla anterior, pero tendrá las siguientes dos entradas SAN adicionales:
Xmpp.contoso.com
*.contoso.com
Recuerde que actualmente XMPP solo es compatible con Skype Empresarial Server para Google Talk, si lo desea o necesita para cualquier otra cosa, debe confirmar esa funcionalidad con el proveedor de terceros implicado.
Planificación de puerto y de firewall
Planear correctamente los puertos y firewalls para las implementaciones de Skype Empresarial Server servidor perimetral puede ahorrarle días o semanas de solución de problemas y estrés. Como resultado, enumeraremos un par de tablas que indicarán nuestro uso de protocolo y qué puertos necesita tener abiertos, entrantes y salientes, tanto para los escenarios de NAT y de IP pública. También le mostraremos tablas separadas para escenarios con equilibrio de carga de hardware (HLB) y alguna ayuda a mayores de esto. Para obtener más información desde allí, también tenemos algunos escenarios de servidor perimetral en Skype Empresarial Server puede comprobar sus problemas de implementación particulares.
Uso general de protocolo
Antes de ver las tablas de resumen para los firewall internos y externos, veamos la siguiente tabla:
| Transporte de audio y vídeo | Uso |
|---|---|
| UDP |
El protocolo de capa de transporte preferido para audio y vídeo. |
| TCP |
El protocolo de capa de transporte de reserva para audio y vídeo. Protocolo de capa de transporte necesario para el uso compartido de aplicaciones en Skype Empresarial Server, Lync Server 2013 y Lync Server 2010. Protocolo de capa de transporte necesario para la transferencia de archivos a Skype Empresarial Server, Lync Server 2013 y Lync Server 2010. |
Tabla de resumen de firewall del puerto externo
La dirección IP de origen y la dirección IP de destino contendrán información para usuarios que estén usando direcciones IP privadas con NAT, así como las personas que usen direcciones IP públicas. Esto abarcará todas las permutaciones en nuestros escenarios de servidor perimetral en Skype Empresarial Server sección.
| Rol o protocolo | TCP o UDP | Intervalo de puertos o puerto de destino | Dirección IP de origen | Dirección IP de destino | Notas |
|---|---|---|---|---|---|
| XMPP No compatible con Skype Empresarial Server 2019 |
TCP |
5269 |
Cualquiera |
Servicio proxy XMPP (comparte una dirección IP con el servicio perimetral de acceso |
El servicio proxy XMPP acepta el tráfico de los contactos XMPP en las federaciones XMPP definidas. |
| Acceso/HTTP |
TCP |
80 |
IP privada con NAT: Servicio perimetral de acceso a servidor perimetral IP pública: Dirección IP pública del servicio perimetral de acceso al servidor perimetral |
Cualquiera |
Revocación de certificados y comprobación y recuperación de CRL. |
| Acceso/DNS |
TCP |
53 |
IP privada con NAT: Servicio perimetral de acceso a servidor perimetral IP pública: Dirección IP pública del servicio perimetral de acceso al servidor perimetral |
Cualquiera |
Consulta DNS sobre TCP. |
| Acceso/DNS |
UDP |
53 |
IP privada con NAT: Servicio perimetral de acceso a servidor perimetral IP pública: Dirección IP pública del servicio perimetral de acceso al servidor perimetral |
Cualquiera |
Consulta DNS sobre UDP. |
| Acceso/SIP (TLS) |
TCP |
443 |
Cualquiera |
IP privada con NAT: Servicio perimetral de acceso a servidor perimetral IP pública: Dirección IP pública del servicio perimetral de acceso al servidor perimetral |
Tráfico SIP de cliente a servidor para el acceso de usuarios externos. |
| Acceso/SIP (MTLS) |
TCP |
5061 |
Cualquiera |
IP privada con NAT: Servicio perimetral de acceso a servidor perimetral IP pública: Dirección IP pública del servicio perimetral de acceso al servidor perimetral |
Para la conectividad de MI pública y federada con SIP. |
| Acceso/SIP (MTLS) |
TCP |
5061 |
IP privada con NAT: Servicio perimetral de acceso a servidor perimetral IP pública: Dirección IP pública del servicio perimetral de acceso al servidor perimetral |
Cualquiera |
Para la conectividad de MI pública y federada con SIP. |
| Conferencia web/PSOM(TLS) |
TCP |
443 |
Cualquiera |
IP privada con NAT: Servicio perimetral de conferencia web del servidor perimetral IP pública: Dirección IP pública del servicio perimetral de conferencia web del servidor perimetral |
Medios de conferencia web. |
| A/V/RTP |
TCP |
50000-59999 |
IP privada con NAT: Servicio perimetral de servidor perimetral A/V IP pública: Dirección IP pública del servicio perimetral A/V del servidor perimetral |
Cualquiera |
Se usa para retransmitir tráfico multimedia. |
| A/V/RTP |
UDP |
50000-59999 |
IP privada con NAT: Servicio perimetral de servidor perimetral A/V IP pública: Dirección IP pública del servicio perimetral A/V del servidor perimetral |
Cualquiera |
Se usa para retransmitir tráfico multimedia. |
| A/V/STUN.MSTURN |
UDP |
3478 |
IP privada con NAT: Servicio perimetral de servidor perimetral A/V IP pública: Dirección IP pública del servicio perimetral A/V del servidor perimetral |
Cualquiera |
3478 saliente: • Se usa por Skype Empresarial Server para determinar la versión del servidor perimetral con el que se comunica. • Se usa para el tráfico multimedia entre servidores perimetrales. • Necesario para la federación con Lync Server 2010. • Necesario si se implementan varios grupos de Servidores perimetrales dentro de tu organización. |
| A/V/STUN.MSTURN |
UDP |
3478 |
Cualquiera |
IP privada con NAT: Servicio perimetral de servidor perimetral A/V IP pública: Dirección IP pública del servicio perimetral A/V del servidor perimetral |
Negociación STUN/TURN de candidatos sobre UDP en el puerto 3478. |
| A/V/STUN.MSTURN |
TCP |
443 |
Cualquiera |
IP privada con NAT: Servicio perimetral de servidor perimetral A/V IP pública: Dirección IP pública del servicio perimetral A/V del servidor perimetral |
Negociación STUN/TURN de candidatos sobre TCP en el puerto 443. |
| A/V/STUN.MSTURN |
TCP |
443 |
IP privada con NAT: Servicio perimetral de servidor perimetral A/V IP pública: Dirección IP pública del servicio perimetral A/V del servidor perimetral |
Cualquiera |
Negociación STUN/TURN de candidatos sobre TCP en el puerto 443. |
Tabla de resumen de firewall del puerto interno
| Protocolo | TCP o UDP | Puerto | Dirección IP de origen | Dirección IP de destino | Notas |
|---|---|---|---|---|---|
| XMPP/MTLS |
TCP |
23456 |
Cualquiera de los siguientes que ejecutan el servicio de puerta de enlace XMPP: • Servidor front-end • Piscina front-end |
Interfaz interna del servidor perimetral |
Tráfico XMPP saliente de su servicio de puerta de enlace XMPP que se ejecuta en su servidor front-end o grupo de servidores front-end. Nota: Las puertas de enlace y servidores proxy XMPP están disponibles en Skype Empresarial Server 2015, pero ya no son compatibles con Skype Empresarial Server 2019. Vea Migrar la federación XMPP para obtener más información. |
| SIP/MTLS |
TCP |
5061 |
Cualquier: •Director • Piscina de directores • Servidor front-end • Piscina front-end |
Interfaz interna del servidor perimetral |
Tráfico SIP saliente de su director, grupo de directores, servidor front-end o grupo de servidores front-end a la interfaz interna del servidor perimetral. |
| SIP/MTLS |
TCP |
5061 |
Interfaz interna del servidor perimetral |
Cualquier: •Director • Piscina de directores • Servidor front-end • Piscina front-end |
Tráfico SIP entrante a su director, grupo de directores, servidor front-end o grupo de servidores front-end desde la interfaz interna del servidor perimetral. |
| PSOM/MTLS |
TCP |
8057 |
Cualquier: • Servidor front-end • Cada servidor front-end en el grupo front-end |
Interfaz interna del servidor perimetral |
Tráfico de conferencias web desde el servidor front-end o cada servidor front-end (si tiene un grupo de servidores front-end) a la interfaz interna del servidor perimetral. |
| SIP/MTLS |
TCP |
5062 |
Cualquier: • Servidor front-end • Piscina front-end • Cualquier dispositivo de rama con funciones de supervivencia que use este servidor perimetral • Cualquier servidor de rama con funciones de supervivencia que use este servidor perimetral |
Interfaz interna del servidor perimetral |
Autenticación de usuarios de A/V desde el servidor front-end o el grupo de servidores front-end, o bien el dispositivo de rama con funciones de supervivencia o el servidor de sucursal con funciones de supervivencia con el servidor perimetral. |
| STUN/MSTURN |
UDP |
3478 |
Cualquiera |
Interfaz interna del servidor perimetral |
Ruta de acceso preferida para la transferencia de medios A/V entre los usuarios internos y externos y el dispositivo de rama con funciones de supervivencia o el servidor de sucursal con funciones de supervivencia. |
| STUN/MSTURN |
TCP |
443 |
Cualquiera |
Interfaz interna del servidor perimetral |
Ruta de acceso de reserva para la transferencia de medios A/V entre los usuarios internos y externos y el dispositivo de rama con funciones de supervivencia o el servidor de sucursal con funciones de supervivencia, si la comunicación UDP no funciona. Entonces se usa TCP para las transferencias de archivos y el uso compartido de escritorio. |
| HTTPS |
TCP |
4443 |
Cualquier: • Servidor front-end que alberga el almacén de Administración Central • Grupo front-end que alberga el almacén de Administración Central |
Interfaz interna del servidor perimetral |
Replicación de cambios desde el almacén de Administración central al servidor perimetral. |
| MTLS |
TCP |
50001 |
Cualquiera |
Interfaz interna del servidor perimetral |
Controlador del servicio de registro centralizado mediante el Shell de administración de Skype Empresarial Server y los cmdlets del Servicio de registro centralizado, comandos de la línea de comandos de ClsController (ClsController.exe) o comandos de agente (ClsAgent.exe) y la colección de registros. |
| MTLS |
TCP |
50002 |
Cualquiera |
Interfaz interna del servidor perimetral |
Controlador del servicio de registro centralizado mediante el Shell de administración de Skype Empresarial Server y los cmdlets del Servicio de registro centralizado, comandos de la línea de comandos de ClsController (ClsController.exe) o comandos de agente (ClsAgent.exe) y la colección de registros. |
| MTLS |
TCP |
50003 |
Cualquiera |
Interfaz interna del servidor perimetral |
Controlador del servicio de registro centralizado mediante el Shell de administración de Skype Empresarial Server y los cmdlets del Servicio de registro centralizado, comandos de la línea de comandos de ClsController (ClsController.exe) o comandos de agente (ClsAgent.exe) y la colección de registros. |
Tablas de puerto de servidor perimetral para equilibradores de carga de hardware
Les estamos dando a los equilibradores de carga de hardware (HLB) y a los puertos de servidor perimetral su propia sección, ya que son algo más complicados con el hardware adicional. Vea las tablas siguientes para instrucciones para este escenario concreto:
Tabla de resumen de firewall del puerto externo
La dirección IP de origen y la dirección IP de destino contendrán información para usuarios que estén usando direcciones IP privadas con NAT, así como las personas que usen direcciones IP públicas. Esto abarcará todas las permutaciones en nuestros escenarios de servidor perimetral en Skype Empresarial Server sección.
| Rol o protocolo | TCP o UDP | Intervalo de puertos o puerto de destino | Dirección IP de origen | Dirección IP de destino | Notas |
|---|---|---|---|---|---|
| Acceso/HTTP |
TCP |
80 |
Dirección IP pública del servicio perimetral de acceso al servidor perimetral |
Cualquiera |
Revocación de certificados y comprobación y recuperación de CRL. |
| Acceso/DNS |
TCP |
53 |
Dirección IP pública del servicio perimetral de acceso al servidor perimetral |
Cualquiera |
Consulta DNS sobre TCP. |
| Acceso/DNS |
UDP |
53 |
Dirección IP pública del servicio perimetral de acceso al servidor perimetral |
Cualquiera |
Consulta DNS sobre UDP. |
| A/V/RTP |
TCP |
50000-59999 |
Dirección IP del servicio perimetral A/V del servidor perimetral |
Cualquiera |
Se usa para retransmitir tráfico multimedia. |
| A/V/RTP |
UDP |
50000-59999 |
Dirección IP pública del servicio perimetral A/V del servidor perimetral |
Cualquiera |
Se usa para retransmitir tráfico multimedia. |
| A/V/STUN.MSTURN |
UDP |
3478 |
Dirección IP pública del servicio perimetral A/V del servidor perimetral |
Cualquiera |
3478 saliente: • Se usa por Skype Empresarial Server para determinar la versión del servidor perimetral con el que se comunica. • Se usa para el tráfico multimedia entre servidores perimetrales. • Requerido para la federación. • Necesario si se implementan varios grupos de Servidores perimetrales dentro de tu organización. |
| A/V/STUN.MSTURN |
UDP |
3478 |
Cualquiera |
Dirección IP pública del servicio perimetral A/V del servidor perimetral |
Negociación STUN/TURN de candidatos sobre UDP en el puerto 3478. |
| A/V/STUN.MSTURN |
TCP |
443 |
Cualquiera |
Dirección IP pública del servicio perimetral A/V del servidor perimetral |
Negociación STUN/TURN de candidatos sobre TCP en el puerto 443. |
| A/V/STUN.MSTURN |
TCP |
443 |
Dirección IP pública del servicio perimetral A/V del servidor perimetral |
Cualquiera |
Negociación STUN/TURN de candidatos sobre TCP en el puerto 443. |
Tabla de resumen de firewall del puerto interno
| Protocolo | TCP o UDP | Puerto | Dirección IP de origen | Dirección IP de destino | Notas |
|---|---|---|---|---|---|
| XMPP/MTLS |
TCP |
23456 |
Cualquiera de los siguientes que ejecutan el servicio de puerta de enlace XMPP: • Servidor front-end • Dirección VIP del grupo front-end que ejecuta el servicio xmpp gateway |
Interfaz interna del servidor perimetral |
Tráfico XMPP saliente de su servicio de puerta de enlace XMPP que se ejecuta en su servidor front-end o grupo de servidores front-end. Nota: Las puertas de enlace y servidores proxy XMPP están disponibles en Skype Empresarial Server 2015, pero ya no son compatibles con Skype Empresarial Server 2019. Vea Migrar la federación XMPP para obtener más información. |
| HTTPS |
TCP |
4443 |
Cualquier: • Servidor front-end que alberga el almacén de Administración Central • Grupo front-end que alberga el almacén de Administración Central |
Interfaz interna del servidor perimetral |
Replicación de cambios desde el almacén de Administración central al servidor perimetral. |
| PSOM/MTLS |
TCP |
8057 |
Cualquier: • Servidor front-end • Cada servidor front-end de su grupo front-end |
Interfaz interna del servidor perimetral |
Tráfico de conferencias web desde el servidor front-end o cada servidor front-end (si tiene un grupo de servidores front-end) a la interfaz interna del servidor perimetral. |
| STUN/MSTURN |
UDP |
3478 |
Cualquier: • Servidor front-end • Cada servidor front-end de su grupo front-end |
Interfaz interna del servidor perimetral |
Ruta de acceso preferida para la transferencia de medios A/V entre los usuarios internos y externos y el dispositivo de rama con funciones de supervivencia o el servidor de sucursal con funciones de supervivencia. |
| STUN/MSTURN |
TCP |
443 |
Cualquier: • Servidor front-end • Cada servidor front-end del grupo |
Interfaz interna del servidor perimetral |
Ruta de acceso de reserva para la transferencia de medios A/V entre los usuarios internos y externos y el dispositivo de rama con funciones de supervivencia o el servidor de sucursal con funciones de supervivencia, si la comunicación UDP no funciona. Entonces se usa TCP para las transferencias de archivos y el uso compartido de escritorio. |
| MTLS |
TCP |
50001 |
Cualquiera |
Interfaz interna del servidor perimetral |
Controlador del servicio de registro centralizado mediante el Shell de administración de Skype Empresarial Server y los cmdlets del Servicio de registro centralizado, comandos de la línea de comandos de ClsController (ClsController.exe) o comandos de agente (ClsAgent.exe) y la colección de registros. |
| MTLS |
TCP |
50002 |
Cualquiera |
Interfaz interna del servidor perimetral |
Controlador del servicio de registro centralizado mediante el Shell de administración de Skype Empresarial Server y los cmdlets del Servicio de registro centralizado, comandos de la línea de comandos de ClsController (ClsController.exe) o comandos de agente (ClsAgent.exe) y la colección de registros. |
| MTLS |
TCP |
50003 |
Cualquiera |
Interfaz interna del servidor perimetral |
Controlador del servicio de registro centralizado mediante el Shell de administración de Skype Empresarial Server y los cmdlets del Servicio de registro centralizado, comandos de la línea de comandos de ClsController (ClsController.exe) o comandos de agente (ClsAgent.exe) y la colección de registros. |
IP virtuales de la interfaz externa
| Rol o protocolo | TCP o UDP | Intervalo de puertos o puerto de destino | Dirección IP de origen | Dirección IP de destino | Notas |
|---|---|---|---|---|---|
| XMPP No compatible con Skype Empresarial Server 2019 |
TCP |
5269 |
Cualquiera |
Servicio proxy XMPP (comparte una dirección IP con el servicio perimetral de acceso) |
El servicio proxy XMPP acepta el tráfico de los contactos XMPP en las federaciones XMPP definidas. |
| XMPP No compatible con Skype Empresarial Server 2019 |
TCP |
5269 |
Servicio proxy XMPP (comparte una dirección IP con el servicio perimetral de acceso) |
Cualquiera |
El servicio proxy XMPP envía el tráfico de los contactos XMPP en las federaciones XMPP definidas. |
| Acceso/SIP (TLS) |
TCP |
443 |
Cualquiera |
IP privada con NAT: Servicio perimetral de acceso a servidor perimetral IP pública: Dirección IP pública del servicio perimetral de acceso al servidor perimetral |
Tráfico SIP de cliente a servidor para el acceso de usuarios externos. |
| Acceso/SIP (MTLS) |
TCP |
5061 |
Cualquiera |
IP privada con NAT: Servicio perimetral de acceso a servidor perimetral IP pública: Dirección IP pública del servicio perimetral de acceso al servidor perimetral |
Para la conectividad de MI pública y federada con SIP. |
| Acceso/SIP (MTLS) |
TCP |
5061 |
IP privada con NAT: Servicio perimetral de acceso a servidor perimetral IP pública: Dirección IP pública del servicio perimetral de acceso al servidor perimetral |
Cualquiera |
Para la conectividad de MI pública y federada con SIP. |
| Conferencia web/PSOM(TLS) |
TCP |
443 |
Cualquiera |
IP privada con NAT: Servicio perimetral de conferencia web del servidor perimetral IP pública: Dirección IP pública del servicio perimetral de conferencia web del servidor perimetral |
Medios de conferencia web. |
| A/V/STUN.MSTURN |
UDP |
3478 |
Cualquiera |
IP privada con NAT: Servicio perimetral de servidor perimetral A/V IP pública: Dirección IP pública del servicio perimetral A/V del servidor perimetral |
Negociación STUN/TURN de candidatos sobre UDP en el puerto 3478. |
| A/V/STUN.MSTURN |
TCP |
443 |
Cualquiera |
IP privada con NAT: Servicio perimetral de servidor perimetral A/V IP pública: Dirección IP pública del servicio perimetral A/V del servidor perimetral |
Negociación STUN/TURN de candidatos sobre TCP en el puerto 443. |
IP virtuales de la interfaz interna
Nuestra guía aquí va a ser algo diferente. En realidad, en una situación HLB, ahora le recomendamos que solo tenga enrutamiento a través de un VIP interno en las siguientes circunstancias:
Si usa mensajería unificada (MU) de Exchange 2007 o Exchange 2010.
Si tiene clientes heredados con el servidor perimetral.
La tabla siguiente proporciona instrucciones para esos escenarios, pero de lo contrario, debería poder depender del almacén de administración central (CMS) para redirigir el tráfico al servidor perimetral individual que conoce (esto requiere que CMS se mantenga actualizado en la información del servidor perimetral, por supuesto).
| Protocolo | TCP o UDP | Puerto | Dirección IP de origen | Dirección IP de destino | Notas |
|---|---|---|---|---|---|
| Acceso/SIP (MTLS) |
TCP |
5061 |
Cualquier: •Director • Dirección VIP de la piscina de directores • Servidor front-end • Dirección VIP de la piscina front-end |
Interfaz interna del servidor perimetral |
Tráfico SIP saliente de su director, dirección VIP del grupo de directores, servidor front-end o dirección VIP del grupo de servidores front-end a su interfaz interna del servidor perimetral. |
| Acceso/SIP (MTLS) |
TCP |
5061 |
Interfaz VIP interna del servidor perimetral |
Cualquier: •Director • Dirección VIP de la piscina de directores • Servidor front-end • Dirección VIP de la piscina front-end |
Tráfico SIP entrante a la dirección VIP del director, al servidor front-end o al grupo de servidores front-end vip desde la interfaz interna del servidor perimetral. |
| SIP/MTLS |
TCP |
5062 |
Cualquier: • Dirección IP del servidor front-end • Dirección IP del grupo de servidores front-end • Cualquier dispositivo de rama con funciones de supervivencia que use este servidor perimetral • Cualquier servidor de rama con funciones de supervivencia que use este servidor perimetral |
Interfaz interna del servidor perimetral |
Autenticación de usuarios de A/V desde el servidor front-end o el grupo de servidores front-end, o bien el dispositivo de rama con funciones de supervivencia o el servidor de sucursal con funciones de supervivencia con el servidor perimetral. |
| STUN/MSTURN |
UDP |
3478 |
Cualquiera |
Interfaz interna del servidor perimetral |
Ruta preferida para una transferencia de medios de A/V entre usuarios internos y externos. |
| STUN/MSTURN |
TCP |
443 |
Cualquiera |
Interfaz VIP interna del servidor perimetral |
Ruta de acceso de reserva para la transferencia de medios de A/V entre los usuarios internos y externos si la comunicación UDP no funciona. Entonces se usa TCP para las transferencias de archivos y el uso compartido de escritorio. |