Exigences environnementales du serveur Edge dans Skype Entreprise Server
Résumé: Découvrez les exigences environnementales pour le serveur Edge dans Skype Entreprise Server.
Beaucoup de planification et de préparation doivent avoir lieu en dehors de l’environnement Skype Entreprise Server Edge Server lui-même. Dans cet article, nous allons examiner les préparations à effectuer dans l’environnement organisationnel, selon la liste ci-dessous :
Planification de la topologie
les topologies de serveur Skype Entreprise Server Edge peuvent utiliser :
des adresses IP publiques routables ;
des adresses IP privées non routables si la conversion d’adresses réseau (NAT) symétrique est utilisée.
Pointe
Votre serveur Edge peut être configuré pour utiliser une seule adresse IP avec des ports distincts pour chaque service, ou il peut utiliser des adresses IP distinctes pour chaque service, mais utiliser le même port par défaut (tcp 443 par défaut). Vous trouverez plus d’informations dans la section consacrée aux exigences liées aux adresses IP, ci-dessous.
Si vous sélectionnez des adresses IP privées non routables avec conversion d’adresses réseau, n’oubliez pas les points suivants :
Vous devez utiliser des adresses IP privées routables sur les trois interfaces externes.
Vous devez configurer la fonction de conversion d’adresses réseau (NAT) symétrique pour le trafic entrant et sortant. La NAT symétrique est la seule NAT prise en charge que vous pouvez utiliser avec Skype Entreprise Server Serveur Edge.
Configurez la fonction de conversion d’adresses réseau (NAT) de manière à ne pas modifier les adresses source entrantes. Le service Edge A/V doit être en mesure de recevoir l’adresse source entrante pour trouver le chemin d’accès multimédia optimal.
Vos serveurs Edge doivent être en mesure de communiquer entre eux à partir de leurs adresses IP A/V Edge publiques. Votre pare-feu doit autoriser ce trafic.
Nat ne peut être utilisé que pour les serveurs Edge consolidés mis à l’échelle si vous utilisez l’équilibrage de charge DNS. Si vous utilisez l’équilibrage de charge matérielle, vous devez utiliser des adresses IP publiquement routables sans la fonction de conversion d’adresses réseau.
Vous n’aurez aucun problème à avoir vos interfaces Access, Web Conferencing et Edge A/V derrière un routeur ou un pare-feu exécutant la NAT symétrique pour les topologies de serveur Edge consolidé unique et mis à l’échelle (tant que vous n’utilisez pas l’équilibrage de charge matériel).
Résumé des options de topologie du serveur Edge
Plusieurs options de topologie sont disponibles pour les déploiements de serveurs Skype Entreprise Server Edge :
Serveur Edge consolidé unique avec des adresses IP privées et la conversion d’adresses réseau
Serveur Edge consolidé unique avec des adresses IP publiques
Serveur Edge consolidé ajusté avec des adresses IP privées et la conversion d’adresses réseau
Serveur Edge consolidé ajusté avec des adresses IP publiques
Topologie Edge consolidée ajustée avec des équilibreurs de charge matérielle
Pour vous aider à choisir, le tableau ci-dessous contient un résumé des options à votre disposition pour chaque topologie :
Topologie | Haute disponibilité | Enregistrements DNS supplémentaires requis pour le serveur Edge externe dans le pool Edge ? | Basculement Edge pour les sessions Skype Entreprise Server | Basculement edge pour les sessions de fédération Skype Entreprise Server |
---|---|---|---|---|
Serveur Edge consolidé unique avec des adresses IP privées et la conversion d’adresses réseau |
Non |
Non |
Non |
Non |
Serveur Edge consolidé unique avec des adresses IP publiques |
Non |
Non |
Non |
Non |
Serveur Edge consolidé ajusté avec des adresses IP privées et de conversion d’adresses réseau (NAT) (charge DNS équilibrée) |
Oui |
Oui |
Oui |
Oui¹ |
Serveur Edge consolidé ajusté avec des adresses IP publiques (charge DNS équilibrée) |
Oui |
Oui |
Oui |
Oui¹ |
Topologie Edge consolidée ajustée avec des équilibreurs de charge matérielle |
Oui |
Non (un enregistrement DNS A par VIP) |
Oui |
Oui |
¹ Le basculement d’utilisateur distant de messagerie unifiée Exchange (UM) à l’aide de l’équilibrage de charge DNS nécessite Exchange 2013 ou une version ultérieure.
Exigences d’adresse IP
À un niveau fondamental, trois services ont besoin d’adresses IP ; Accédez au service Edge, au service Edge de conférence web et au service Edge A/V. Vous avez la possibilité d’utiliser trois adresses IP, à savoir une pour chacun des services, ou d’en utiliser une seule et de placer chaque service sur un port différent (pour plus d’informations sur cette procédure, reportez à la rubrique Port and firewall planning). Pour un environnement de serveur Edge consolidé unique, c’est à peu près tout ce qu’il y a à faire.
Remarque
Comme indiqué ci-dessus, vous pouvez choisir d’avoir une adresse IP pour les trois services et de les exécuter sur différents ports. Mais pour être clair, nous ne recommandons pas cela. Si vos clients ne peuvent pas accéder aux autres ports que vous utiliseriez dans ce scénario, ils ne peuvent pas non plus accéder à toutes les fonctionnalités de votre environnement Edge.
Les choses pouvant être un peu plus complexes avec topologies consolidées ajustées, examinons quelques tableaux reprenant les exigences d’adresses IP, en gardant à l’esprit que les principaux points devant orienter la sélection de la topologie sont la haute disponibilité et l’équilibrage de la charge. Des besoins de haute disponibilité peuvent influencer votre choix d’équilibrage de charge (nous approfondirons ce point après les tableaux).
Exigences d’adresses IP pour la topologie Edge consolidée ajustée (adresse IP par rôle)
Nombre de serveurs Edge par pool | Nombre d’adresses IP requises pour l’équilibrage de charge DNS | Nombre d’adresses IP requises pour l’équilibrage de charge matérielle |
---|---|---|
2 |
6 |
3 (1 par adresse IP virtuelle) + 6 |
3 |
9 |
3 (1 par adresse IP virtuelle) + 9 |
4 |
12 |
3 (1 par adresse IP virtuelle) + 12 |
5 |
15 |
3 (1 par adresse IP virtuelle) + 15 |
Exigences d’adresses IP pour la topologie Edge consolidée ajustée (adresse IP unique pour tous les rôles)
Nombre de serveurs Edge par pool | Nombre d’adresses IP requises pour l’équilibrage de charge DNS | Nombre d’adresses IP requises pour l’équilibrage de charge matérielle |
---|---|---|
2 |
2 |
1 (1 par adresse IP virtuelle) + 2 |
3 |
3 |
1 (1 par adresse IP virtuelle) + 3 |
4 |
4 |
1 (1 par adresse IP virtuelle) + 4 |
5 |
5 |
1 (1 par adresse IP virtuelle) + 5 |
Examinons d’autres aspects à prendre en compte lors de la planification.
Haute disponibilité : si vous avez besoin d’une haute disponibilité dans votre déploiement, vous devez déployer au moins deux serveurs Edge dans un pool. Il est important de noter qu’un seul pool Edge prend en charge jusqu’à 12 serveurs Edge (bien que le Générateur de topologie vous permette d’en ajouter jusqu’à 20, ce n’est pas testé ni pris en charge, donc nous vous conseillons de ne pas le faire). Si vous avez besoin de plus de 12 serveurs Edge, vous devez créer des pools Edge supplémentaires pour eux.
Équilibrage de charge matérielle : nous recommandons l’équilibrage de charge DNS pour la plupart des scénarios. Bien sûr, l’équilibrage de charge matérielle est également pris en charge, mais il est notamment nécessaire pour un scénario unique par rapport à l’équilibrage de charge DNS :
- Accès externe à La messagerie unifiée Exchange 2007 ou Exchange 2010 (sans fournisseur de services).
Équilibrage de charge DNS : Pour la messagerie unifiée, Exchange 2010 SP1 et versions ultérieures peuvent être pris en charge par l’équilibrage de charge DNS. Notez que si vous avez besoin d’utiliser l’équilibrage de charge DNS pour une version antérieure d’Exchange, cela fonctionnera, mais tout le trafic pour cela sera redirigé vers le premier serveur du pool et, s’il n’est pas disponible, ce trafic échouera par la suite.
L’équilibrage de charge DNS est également recommandé si vous fédérer avec des entreprises à l’aide de :
Skype Entreprise Server 2015 :
- Lync Server 2010
- Lync Server 2013
- Microsoft 365 ou Office 365
Skype Entreprise Server 2019 :
- Lync Server 2013
- Skype Entreprise Server 2015
- Microsoft 365 ou Office 365
Planification DNS
Lorsqu’il s’agit du déploiement du serveur Skype Entreprise Server Edge, il est essentiel de préparer correctement le DNS. Si les enregistrements corrects sont en place, le déploiement est beaucoup plus simple. Nous espérons que vous avez sélectionné une topologie dans la section ci-dessus, car nous allons présenter, puis répertorier plusieurs tableaux qui décrivent les enregistrements DNS pour les scénarios illustrés. Nous aurons également une planification DNS du serveur Edge avancé pour Skype Entreprise Server pour une lecture plus approfondie, si vous en avez besoin.
Enregistrements DNS pour les scénarios de serveur Edge consolidé unique
Il s’agit des enregistrements DNS dont vous aurez besoin pour un serveur Edge utilisant des adresses IP publiques ou privées avec NAT. Comme il s’agit d’exemples de données, nous allons vous donner des exemples d’adresses IP pour que vous puissiez élaborer plus facilement vos propres entrées :
Carte réseau interne : 172.25.33.10 (aucune passerelle par défaut affectée)
Remarque
Vérifiez qu’il existe un itinéraire du réseau contenant l’interface interne Edge vers tous les réseaux qui contiennent des serveurs exécutant des clients Skype Entreprise Server ou Lync Server 2013 (par exemple, de 172.25.33.0 à 192.168.10.0).
Carte réseau externe :
Adresses IP publiques :
Edge d’accès : 131.107.155.10 (il s’agit du principal, avec la passerelle par défaut définie sur votre routeur public, par exemple : 131.107.155.1)
Edge de conférence web : 131.107.155.20 (secondaire)
Edge A/V : 131.107.155.30 (secondaire)
Les adresses IP publiques de conférence web et de périphérie A/V sont des adresses IP supplémentaires (secondaires) dans la section Avancé des propriétés du protocole Internet version 4 (TCP/IPv4) et du protocole Internet version 6 (TCP/IPv6) des propriétés de connexion de zone locale dans Windows Server.
Adresses IP privées :
Périphérie d’accès : 10.45.16.10 (il s’agit du principal, avec la passerelle par défaut définie sur votre routeur, par exemple : 10.45.16.1)
Edge de conférence web : 10.45.16.20 (secondaire)
Edge A/V : 10.45.16.30 (secondaire)
Les adresses IP publiques de conférence web et de périphérie A/V sont des adresses IP supplémentaires (secondaires) dans la section Avancé des propriétés du protocole Internet version 4 (TCP/IPv4) et du protocole Internet version 6 (TCP/IPv6) des propriétés de connexion de zone locale dans Windows Server.
Pointe
Il existe d’autres configurations possibles ici :
Vous pouvez utiliser une adresse IP sur la carte réseau externe. Nous vous déconseillons cette option, car vous devrez alors faire la distinction entre les services à l’aide de ports différents (ce que vous pouvez faire dans Skype Entreprise Server), mais certains pare-feu peuvent bloquer les autres ports. Pour plus d’informations à ce sujet, reportez-vous à la rubrique Port and firewall planning.
Vous pouvez avoir trois cartes réseau externes au lieu d’une, et affecter l’une des adresses IP de service à chacune d’elles. Pourquoi faire ça ? Cela séparerait les services et, en cas de problème, cela faciliterait la résolution des problèmes et permettrait éventuellement à vos autres services de continuer à fonctionner pendant que vous résolvez un problème.
Emplacement | Type | Port | Enregistrement FQDN ou DNS | Adresse IP ou FQDN | Notes |
---|---|---|---|---|---|
DNS externe |
Enregistrement A |
S.O. |
sip.contoso.com |
public : 131.107.155.10 privé : 10.45.16.10 |
Interface externe pour votre service Access Edge. Vous en aurez besoin pour chaque domaine SIP avec Skype Entreprise utilisateurs. |
DNS externe |
Enregistrement A |
S.O. |
webcon.contoso.com |
public : 131.107.155.20 privé : 10.45.16.20 |
Interface externe pour votre service Edge de conférence web. |
DNS externe |
Enregistrement A |
S.O. |
av.contoso.com |
public : 131.107.155.30 privé : 10.45.16.30 |
Interface externe pour votre service Edge A/V. |
DNS externe |
Enregistrement SRV |
443 |
_sip._tls.contoso.com |
sip.contoso.com |
Interface externe pour votre service Access Edge. Cet enregistrement SRV est requis pour que les clients Skype Entreprise Server, Lync Server 2013 et Lync Server 2010 fonctionnent en externe. Vous en aurez besoin pour chaque domaine avec Skype Entreprise utilisateurs. |
DNS externe |
Enregistrement SRV |
5061 |
_sipfederationtls._tcp.contoso.com |
sip.contoso.com |
Interface externe pour votre service Access Edge. Cet enregistrement SRV est requis pour permettre la découverte DNS automatique de partenaires fédérés appelés domaines SIP (Session Initiation Protocol) autorisés. Vous en aurez besoin pour chaque domaine avec Skype Entreprise utilisateurs. |
DNS interne |
Enregistrement A |
S.O. |
sfvedge.contoso.net |
172.25.33.10 |
L’interface interne de votre serveur Edge consolidé. |
Enregistrements DNS pour les scénarios dns mis à l’échelle et serveur Edge matériel
Il s’agit des enregistrements DNS dont vous aurez besoin pour un serveur Edge utilisant des adresses IP publiques ou privées avec NAT. Comme il s’agit d’exemples de données, nous allons vous donner des exemples d’adresses IP pour que vous puissiez élaborer plus facilement vos propres entrées :
Carte réseau interne :
Nœud 1 : 172.25.33.10 (aucune passerelle par défaut affectée)
Nœud 2 : 172.25.33.11 (aucune passerelle par défaut affectée)
Remarque
Vérifiez qu’il existe un itinéraire du réseau contenant l’interface interne Edge vers tous les réseaux qui contiennent des serveurs exécutant des clients Skype Entreprise Server ou Lync Server 2013 (par exemple, de 172.25.33.0 à 192.168.10.0).
Carte réseau externe :
Nœud 1
Adresses IP publiques :
Edge d’accès : 131.107.155.10 (il s’agit du principal, avec la passerelle par défaut définie sur votre routeur public, par exemple : 131.107.155.1)
Edge de conférence web : 131.107.155.20 (secondaire)
Edge A/V : 131.107.155.30 (secondaire)
Les adresses IP publiques de conférence web et de périphérie A/V sont des adresses IP supplémentaires (secondaires) dans la section Avancé des propriétés du protocole Internet version 4 (TCP/IPv4) et du protocole Internet version 6 (TCP/IPv6) des propriétés de connexion de zone locale dans Windows Server.
Adresses IP privées :
Périphérie d’accès : 10.45.16.10 (il s’agit du principal, avec la passerelle par défaut définie sur votre routeur, par exemple : 10.45.16.1)
Edge de conférence web : 10.45.16.20 (secondaire)
Edge A/V : 10.45.16.30 (secondaire)
Les adresses IP publiques de conférence web et de périphérie A/V sont des adresses IP supplémentaires (secondaires) dans la section Avancé des propriétés du protocole Internet version 4 (TCP/IPv4) et du protocole Internet version 6 (TCP/IPv6) des propriétés de connexion de zone locale dans Windows Server.
Nœud 2
Adresses IP publiques :
Périphérie d’accès : 131.107.155.11 (il s’agit du principal, avec la passerelle par défaut définie sur votre routeur public, par exemple : 131.107.155.1)
Edge de conférence web : 131.107.155.21 (secondaire)
Edge A/V : 131.107.155.31 (secondaire)
Les adresses IP publiques de conférence web et de périphérie A/V sont des adresses IP supplémentaires (secondaires) dans la section Avancé des propriétés du protocole Internet version 4 (TCP/IPv4) et du protocole Internet version 6 (TCP/IPv6) des propriétés de connexion de zone locale dans Windows Server.
Adresses IP privées :
Périphérie d’accès : 10.45.16.11 (il s’agit du principal, avec la passerelle par défaut définie sur votre routeur, par exemple : 10.45.16.1)
Edge de conférence web : 10.45.16.21 (secondaire)
Edge A/V : 10.45.16.31 (secondaire)
Les adresses IP publiques de conférence web et de périphérie A/V sont des adresses IP supplémentaires (secondaires) dans la section Avancé des propriétés du protocole Internet version 4 (TCP/IPv4) et du protocole Internet version 6 (TCP/IPv6) des propriétés de connexion de zone locale dans Windows Server.
Il existe d’autres configurations possibles ici :
Vous pouvez utiliser une adresse IP sur la carte réseau externe. Nous vous déconseillons cette option, car vous devrez alors faire la distinction entre les services à l’aide de ports différents (ce que vous pouvez faire dans Skype Entreprise Server), mais certains pare-feu peuvent bloquer les autres ports. Pour plus d’informations à ce sujet, reportez-vous à la rubrique Port and firewall planning.
Vous pouvez avoir trois cartes réseau externes au lieu d’une, et affecter l’une des adresses IP de service à chacune d’elles. Pourquoi faire ça ? Cela séparerait les services et, en cas de problème, cela faciliterait la résolution des problèmes et permettrait éventuellement à vos autres services de continuer à fonctionner pendant que vous résolvez un problème.
Emplacement | Type | Port | Enregistrement FQDN ou DNS | Adresse IP ou FQDN | Notes |
---|---|---|---|---|---|
DNS externe |
Enregistrement A |
S.O. |
sip.contoso.com |
public : 131.107.155.10 et 131.107.155.11 private : 10.45.16.10 et 10.45.16.11 |
Interface externe pour votre service Access Edge. Vous en aurez besoin pour chaque domaine SIP avec Skype Entreprise utilisateurs. |
DNS externe |
Enregistrement A |
S.O. |
webcon.contoso.com |
public : 131.107.155.20 et 131.107.155.21 private : 10.45.16.20 et 10.45.16.21 |
Interface externe pour votre service Edge de conférence web. |
DNS externe |
Enregistrement A |
S.O. |
av.contoso.com |
public : 131.107.155.30 et 131.107.155.31 privé : 10.45.16.30 et 10.45.16.31 |
Interface externe pour votre service Edge A/V. |
DNS externe |
Enregistrement SRV |
443 |
_sip._tls.contoso.com |
sip.contoso.com |
Interface externe pour votre service Access Edge. Cet enregistrement SRV est requis pour que les clients Skype Entreprise Server, Lync Server 2013 et Lync Server 2010 fonctionnent en externe. Vous en aurez besoin pour chaque domaine avec Skype Entreprise. |
DNS externe |
Enregistrement SRV |
5061 |
_sipfederationtls._tcp.contoso.com |
sip.contoso.com |
Interface externe pour votre service Access Edge. Cet enregistrement SRV est requis pour permettre la découverte DNS automatique de partenaires fédérés appelés domaines SIP (Session Initiation Protocol) autorisés. Vous en aurez besoin pour chaque domaine avec Skype Entreprise. |
DNS interne |
Enregistrement A |
S.O. |
sfvedge.contoso.net |
172.25.33.10 et 172.25.33.11 |
L’interface interne de votre serveur Edge consolidé. |
Enregistrement DNS pour la fédération (tous les scénarios)
Emplacement | Type | Port | FQDN | Enregistrement d’hôte FQDN | Notes |
---|---|---|---|---|---|
DNS externe |
SRV |
5061 |
_sipfederationtls_tcp.contoso.com |
sip.contoso.com |
Interface externe SIP Access Edge requise pour la découverte DNS automatique. Utilisée par vos autres partenaires de fédération potentiels. Il est également appelé « Autoriser les domaines SIP ». Vous en aurez besoin pour chaque domaine SIP avec Skype Entreprise utilisateurs. Note: Vous aurez besoin de cet enregistrement SRV pour la mobilité et le centre d’échange de notifications Push. |
Enregistrements DNS pour le protocole XMPP (Extensible Messaging et Presence Protocol)
Emplacement | Type | Port | FQDN | Adresse IP ou enregistrement d’hôte FQDN | Notes |
---|---|---|---|---|---|
DNS externe |
SRV |
5269 |
_xmpp-server._tcp.contoso.com |
xmpp.contoso.com |
Interface proxy XMPP sur votre service Edge d’accès ou pool Edge. Vous devez répéter cette opération si nécessaire pour tous les domaines SIP internes avec Skype Entreprise Server utilisateurs activés, où le contact avec les contacts XMPP est autorisé via : • une politique mondiale • une stratégie de site dans laquelle l’utilisateur est activé • une stratégie utilisateur appliquée à l’utilisateur Skype Entreprise Server activé une stratégie XMPP autorisée doit également être configurée dans la stratégie des utilisateurs fédérés XMPP. |
DNS externe |
SRV |
A |
xmpp.contoso.com |
Adresse IP du service Edge d’accès sur le serveur Edge ou le pool Edge hébergeant votre service proxy XMPP |
Cela pointe vers le service Edge d’accès sur le serveur Edge ou le pool Edge qui héberge le service proxy XMPP. En général, l’enregistrement SRV que vous créez pointe vers cet enregistrement hôte (A ou AAAA). |
Remarque
Les passerelles et les proxys XMPP sont disponibles dans Skype Entreprise Server 2015, mais ne sont plus pris en charge dans Skype Entreprise Server 2019. Pour plus d’informations, consultez Migration de la fédération XMPP .
Planification de certificat
Skype Entreprise Server utilise des certificats pour des communications sécurisées et chiffrées entre les serveurs et de serveur à client. Comme vous devez vous y attendre, les enregistrements DNS de vos certificats doivent correspondre au nom de sujet (SN) et à l’autre nom de sujet (SAN) de vos certificats. Vous accéderez maintenant fonctionner, à l’issue de la phase de planification, afin de vous assurer que vous avez le droit domaine complets enregistré dans DNS pour le nom de sujet et entrées d’autres noms de sujet de vos certificats.
Nous aborderons séparément les besoins de certificats internes et externes, puis examinerons un tableau qui présente la configuration requise pour les deux.
Certificats externes
Au minimum, le certificat affecté à vos interfaces de serveur Edge externe doit être fourni par une autorité de certification publique. Nous ne pouvons pas vous recommander une autorité de certification spécifique, mais nous disposons d’une liste d’autorités de certification, de partenaires de certificats de communications unifiées que vous pouvez consulter pour voir si votre autorité de certification préférée figure dans la liste.
Quand aurez-vous besoin d’envoyer une demande à une autorité de certification pour ce certificat public et comment procéder ? Il existe différentes façons de faire :
Vous pouvez effectuer l’installation de Skype Entreprise Server, puis le déploiement du serveur Edge. L’Assistant Déploiement Skype Entreprise Server dispose d’une étape pour générer une demande de certificat, que vous pouvez ensuite envoyer à l’autorité de certification choisie.
Vous pouvez également utiliser des commandes Windows PowerShell pour générer cette demande, si cela correspond davantage aux besoins de votre entreprise ou à votre stratégie de déploiement.
Enfin, votre autorité de certification peut avoir son propre processus de soumission, ce qui peut également impliquer Windows PowerShell ou une autre méthode. Dans ce cas, vous devrez, outre les informations figurant dans le présent document, à sa documentation.
Une fois que vous avez obtenu le certificat, vous devez l’affecter à ces services dans Skype Entreprise Server :
Accéder à l’interface de service Edge
Interface du service Edge de conférence web
Service d’authentification audio/vidéo (ne confondez pas cela avec le service Edge A/V, car il n’utilise pas de certificat pour chiffrer les flux audio et vidéo)
Important
Tous les serveurs Edge (s’ils appartiennent au même pool de serveurs Edge) doivent avoir exactement le même certificat avec la même clé privée pour le service Media Relay Authentication.
Certificats internes
Pour l’interface interne du serveur Edge, vous pouvez utiliser un certificat public provenant d’une autorité de certification publique ou un certificat émis à partir de l’autorité de certification interne de votre organization. La chose à retenir à propos du certificat interne est qu’il utilise une entrée SN et aucune entrée SAN. Vous n’avez donc pas à vous soucier du SAN sur le certificat interne.
Tableau des certificats requis
Nous avons un tableau ici pour vous aider avec vos demandes. Les entrées FQDN ici concernent uniquement les exemples de domaines. Vous devrez effectuer des demandes basées sur vos propres domaines privés et publics, mais voici un guide sur ce que nous avons utilisé :
contoso.com : nom de domaine complet public
fabrikam.com : Deuxième nom de domaine complet public (ajouté en tant que démonstration de ce qu’il faut demander si vous avez plusieurs domaines SIP)
Contoso.net : domaine interne
Tableau des certificats de serveur Edge
Que vous effectuiez un seul serveur Edge ou un pool Edge, voici ce dont vous aurez besoin pour votre certificat :
Composant | Nom du sujet (SN) | Autres noms de sujets (SAN)/ordre | Notes |
---|---|---|---|
Serveur Edge externe |
sip.contoso.com |
sip.contoso.com webcon.contoso.com sip.fabrikam.com |
Il s’agit du certificat que vous devez demander à une autorité de certification publique. Il devra être affecté aux interfaces Edge externes pour les éléments suivants : • Accès en périphérie • Edge de conférence web • Authentification audio/vidéo La bonne nouvelle est que les SAN sont automatiquement ajoutés à votre demande de certificat, et donc à votre certificat après l’envoi de la demande, en fonction de ce que vous avez défini pour ce déploiement dans le Générateur de topologie. Vous devrez uniquement ajouter des entrées SAN pour les autres domaines SIP (Session Initiation Protocol) ou les autres entrées à prendre en charge. Pourquoi sip.contoso.com est-il répliqué dans cette instance ? Cela se produit aussi automatiquement et c’est nécessaire pour que tout fonctionne correctement. Note: Ce certificat peut également être utilisé pour la connectivité de messagerie instantanée publique. Vous n’avez pas besoin de faire quoi que ce soit différemment à son sujet, mais dans les versions précédentes de cette documentation, il était répertorié en tant que tableau distinct, ce qui n’est plus le cas maintenant. |
Interface interne du serveur Edge |
sfbedge.contoso.com |
S.O. |
Vous pouvez obtenir ce certificat auprès d’une autorité de certification publique ou d’une autorité de certification interne. Il devra contenir l’utilisation améliorée de la clé du serveur, et vous devez l’affecter à l’interface Edge interne. |
Si vous avez besoin d’un certificat pour le protocole XMPP (Extensible Messaging and Presence Protocol), ce dernier est identique aux entrées du tableau du serveur Edge externe ci-dessus, mais comporte les deux nouvelles entrées SAN suivantes :
Xmpp.contoso.com
*.contoso.com
N’oubliez pas que XMPP n’est actuellement pris en charge que dans Skype Entreprise Server pour Google Talk. Si vous souhaitez ou avez besoin de l’utiliser pour autre chose, vous devez confirmer cette fonctionnalité avec le fournisseur tiers concerné.
Planification des ports et des pare-feu
Une planification appropriée pour les ports et les pare-feu pour les déploiements Skype Entreprise Server Serveur Edge peut vous éviter des jours ou des semaines de dépannage et de stress. Par conséquent, nous allons répertorier des tableaux indiquant notre utilisation des protocoles et les ports, entrants ou sortants, à ouvrir, pour des scénarios de conversion d’adresses réseau (NAT) et des adresses IP publiques. Nous aurons également des tableaux distincts pour les scénarios d’équilibrage de charge matérielle et de plus amples conseils à ce sujet. Pour plus d’informations à partir de là, nous avons également des scénarios de serveur Edge dans Skype Entreprise Server vous pouvez case activée à vos problèmes de déploiement particuliers.
Utilisation générale des protocoles
Avant de consulter les tableaux récapitulatifs pour les pare-feu internes et externes, consultons également le tableau suivant :
Transport audio/vidéo | Utilisation |
---|---|
UDP |
Protocole de couche transport par défaut pour les données audio et vidéo. |
TCP |
Protocole de couche transport de secours pour les données audio et vidéo. Protocole de couche transport requis pour le partage d’applications vers Skype Entreprise Server, Lync Server 2013 et Lync Server 2010. Protocole de couche de transport requis pour le transfert de fichiers vers Skype Entreprise Server, Lync Server 2013 et Lync Server 2010. |
Tableau récapitulatif des pare-feu de port externe
L’adresse IP source et l’adresse IP de destination contiendront des informations pour les utilisateurs utilisant des adresses IP privées avec conversion d’adresses réseau, ainsi que pour les personnes utilisant des adresses IP publiques. Cela couvre toutes les permutations dans nos scénarios de serveur Edge dans Skype Entreprise Server section.
Rôle ou protocole | TCP ou UDP | Port de destination ou plage de ports | Adresse IP source | Adresse IP de destination | Notes |
---|---|---|---|---|---|
XMPP Non pris en charge dans Skype Entreprise Server 2019 |
TCP |
5269 |
Indifférente |
Service proxy XMPP (partage une adresse IP avec le service Access Edge |
Le service proxy XMPP accepte le trafic des contacts XMPP dans les fédérations XMPP définies. |
Accès/HTTP |
TCP |
80 |
Adresse IP privée à l’aide de NAT : Service Edge d’accès au serveur Edge Adresse IP publique : Adresse IP publique du service Edge d’accès au serveur Edge |
Indifférente |
Vérification et extraction de la liste de révocation de certificats. |
Accès/DNS |
TCP |
53 |
Adresse IP privée à l’aide de NAT : Service Edge d’accès au serveur Edge Adresse IP publique : Adresse IP publique du service Edge d’accès au serveur Edge |
Indifférente |
Requête DNS sur TCP. |
Accès/DNS |
UDP |
53 |
Adresse IP privée à l’aide de NAT : Service Edge d’accès au serveur Edge Adresse IP publique : Adresse IP publique du service Edge d’accès au serveur Edge |
Indifférente |
Requête DNS sur UDP. |
Accès/SIP(TLS) |
TCP |
443 |
Indifférente |
Adresse IP privée à l’aide de NAT : Service Edge d’accès au serveur Edge Adresse IP publique : Adresse IP publique du service Edge d’accès au serveur Edge |
Trafic SIP client vers serveur pour l’accès des utilisateurs externes. |
Accès/SIP(MTLS) |
TCP |
5061 |
Indifférente |
Adresse IP privée à l’aide de NAT : Service Edge d’accès au serveur Edge Adresse IP publique : Adresse IP publique du service Edge d’accès au serveur Edge |
Pour la connectivité fédérée et PIC utilisant le protocole SIP (Session Initiation Protocol). |
Accès/SIP(MTLS) |
TCP |
5061 |
Adresse IP privée à l’aide de NAT : Service Edge d’accès au serveur Edge Adresse IP publique : Adresse IP publique du service Edge d’accès au serveur Edge |
Indifférente |
Pour la connectivité fédérée et PIC utilisant le protocole SIP (Session Initiation Protocol). |
Conférence web/PSOM(TLS) |
TCP |
443 |
Indifférente |
Adresse IP privée à l’aide de NAT : Service Edge de conférence web du serveur Edge Adresse IP publique : Adresse IP publique du service Edge de conférence web du serveur Edge |
Support de conférence web. |
A/V/RTP |
TCP |
50000-59999 |
Adresse IP privée à l’aide de NAT : Service Edge Server A/V Edge Adresse IP publique : Adresse IP publique du service Edge A/V Du serveur Edge |
Indifférente |
Ceci est utilisé pour relayer le trafic multimédia. |
A/V/RTP |
UDP |
50000-59999 |
Adresse IP privée à l’aide de NAT : Service Edge Server A/V Edge Adresse IP publique : Adresse IP publique du service Edge A/V Du serveur Edge |
Indifférente |
Ceci est utilisé pour relayer le trafic multimédia. |
A/V/STUN.MSTURN |
UDP |
3478 |
Adresse IP privée à l’aide de NAT : Service Edge Server A/V Edge Adresse IP publique : Adresse IP publique du service Edge A/V Du serveur Edge |
Indifférente |
Le port sortant 3478 est : • Utilisé par Skype Entreprise Server pour déterminer la version du serveur Edge avec lequel il communique. • Utilisé pour le trafic multimédia entre les serveurs Edge. • Requis pour la fédération avec Lync Server 2010. • Nécessaire si plusieurs pools Edge sont déployés dans votre organization. |
A/V/STUN.MSTURN |
UDP |
3478 |
Indifférente |
Adresse IP privée à l’aide de NAT : Service Edge Server A/V Edge Adresse IP publique : Adresse IP publique du service Edge A/V Du serveur Edge |
Négociation STUN/TURN des candidats sur UDP sur le port 3478. |
A/V/STUN.MSTURN |
TCP |
443 |
Indifférente |
Adresse IP privée à l’aide de NAT : Service Edge Server A/V Edge Adresse IP publique : Adresse IP publique du service Edge A/V Du serveur Edge |
Négociation STUN/TURN des candidats sur TCP sur le port 443. |
A/V/STUN.MSTURN |
TCP |
443 |
Adresse IP privée à l’aide de NAT : Service Edge Server A/V Edge Adresse IP publique : Adresse IP publique du service Edge A/V Du serveur Edge |
Indifférente |
Négociation STUN/TURN des candidats sur TCP sur le port 443. |
Tableau récapitulatif des pare-feu de port interne
Protocole | TCP ou UDP | Port | Adresse IP source | Adresse IP de destination | Notes |
---|---|---|---|---|---|
XMPP/MTLS |
TCP |
23456 |
L’une des opérations ci-dessous exécutant le service de passerelle XMPP : • Serveur frontal • Pool frontal |
Interface interne du serveur Edge |
Trafic XMPP sortant à partir de votre service de passerelle XMPP s’exécutant sur votre serveur frontal ou pool frontal. Note: Les passerelles et les proxys XMPP sont disponibles dans Skype Entreprise Server 2015, mais ne sont plus pris en charge dans Skype Entreprise Server 2019. Pour plus d’informations, consultez Migration de la fédération XMPP . |
SIP/MTLS |
TCP |
5061 |
Indifféremment : •Directeur • Pool de directeurs • Serveur frontal • Pool frontal |
Interface interne du serveur Edge |
Trafic SIP sortant de votre directeur, pool de directeurs, serveur frontal ou pool frontal vers votre interface interne de serveur Edge. |
SIP/MTLS |
TCP |
5061 |
Interface interne du serveur Edge |
Indifféremment : •Directeur • Pool de directeurs • Serveur frontal • Pool frontal |
Trafic SIP entrant vers votre directeur, pool de directeurs, serveur frontal ou pool frontal à partir de l’interface interne de votre serveur Edge. |
PSOM/MTLS |
TCP |
8057 |
Indifféremment : • Serveur frontal • Chaque serveur frontal dans votre pool frontal |
Interface interne du serveur Edge |
Trafic de conférence web de votre serveur frontal ou de chaque serveur frontal (si vous disposez d’un pool frontal) vers l’interface interne de votre serveur Edge. |
SIP/MTLS |
TCP |
5062 |
Indifféremment : • Serveur frontal • Pool frontal • Tout Survivable Branch Appliance utilisant ce serveur Edge • Tout Survivable Branch Server utilisant ce serveur Edge |
Interface interne du serveur Edge |
Authentification des utilisateurs A/V à partir de votre serveur frontal ou pool frontal, ou de votre Survivable Branch Appliance ou Survivable Branch Server, à l’aide de votre serveur Edge. |
STUN/MSTURN |
UDP |
3478 |
Indifférente |
Interface interne du serveur Edge |
Chemin d’accès préféré pour le transfert de média A/V entre vos utilisateurs internes et externes et votre Survivable Branch Appliance ou Survivable Branch Server. |
STUN/MSTURN |
TCP |
443 |
Indifférente |
Interface interne du serveur Edge |
Chemin de secours pour le transfert de média A/V entre vos utilisateurs internes et externes et votre Survivable Branch Appliance ou Survivable Branch Server, si la communication UDP ne fonctionne pas. En cas d’impossibilité d’établir la communication UDP, le protocole TCP est utilisé pour le transfert de fichiers et le partage du bureau. |
HTTPS |
TCP |
4443 |
Indifféremment : • Serveur frontal qui contient le magasin central de gestion • Pool frontal qui contient le magasin central de gestion |
Interface interne du serveur Edge |
Réplication des modifications de votre magasin central de gestion vers votre serveur Edge. |
MTLS |
TCP |
50001 |
Indifférente |
Interface interne du serveur Edge |
Contrôleur de service de journalisation centralisé utilisant Skype Entreprise Server Management Shell et les applets de commande du service de journalisation centralisée, des commandes de ligne de commande ClsController (ClsController.exe) ou de l’agent (ClsAgent.exe) et la collecte de journaux. |
MTLS |
TCP |
50002 |
Indifférente |
Interface interne du serveur Edge |
Contrôleur de service de journalisation centralisé utilisant Skype Entreprise Server Management Shell et les applets de commande du service de journalisation centralisée, des commandes de ligne de commande ClsController (ClsController.exe) ou de l’agent (ClsAgent.exe) et la collecte de journaux. |
MTLS |
TCP |
50003 |
Indifférente |
Interface interne du serveur Edge |
Contrôleur de service de journalisation centralisé utilisant Skype Entreprise Server Management Shell et les applets de commande du service de journalisation centralisée, des commandes de ligne de commande ClsController (ClsController.exe) ou de l’agent (ClsAgent.exe) et la collecte de journaux. |
Programmes d’équilibrage de charge matérielle pour les tableaux des ports Edge
Nous consacrons une section propre aux équilibreurs de charge matérielle et aux ports Edge, car les choses sont un peu plus complexes avec le matériel supplémentaire. Reportez-vous aux tableaux ci-dessous pour obtenir des conseils pour ce scénario particulier :
Tableau récapitulatif des pare-feu de port externe
L’adresse IP source et l’adresse IP de destination contiendront des informations pour les utilisateurs utilisant des adresses IP privées avec conversion d’adresses réseau, ainsi que pour les personnes utilisant des adresses IP publiques. Cela couvre toutes les permutations dans nos scénarios de serveur Edge dans Skype Entreprise Server section.
Rôle ou protocole | TCP ou UDP | Port de destination ou plage de ports | Adresse IP source | Adresse IP de destination | Notes |
---|---|---|---|---|---|
Accès/HTTP |
TCP |
80 |
Adresse IP publique du service Edge d’accès au serveur Edge |
Indifférente |
Vérification et extraction de la liste de révocation de certificats. |
Accès/DNS |
TCP |
53 |
Adresse IP publique du service Edge d’accès au serveur Edge |
Indifférente |
Requête DNS sur TCP. |
Accès/DNS |
UDP |
53 |
Adresse IP publique du service Edge d’accès au serveur Edge |
Indifférente |
Requête DNS sur UDP. |
A/V/RTP |
TCP |
50000-59999 |
Adresse IP du service Edge A/V Du serveur Edge |
Indifférente |
Ceci est utilisé pour relayer le trafic multimédia. |
A/V/RTP |
UDP |
50000-59999 |
Adresse IP publique du service Edge A/V Du serveur Edge |
Indifférente |
Ceci est utilisé pour relayer le trafic multimédia. |
A/V/STUN.MSTURN |
UDP |
3478 |
Adresse IP publique du service Edge A/V Du serveur Edge |
Indifférente |
Le port sortant 3478 est : • Utilisé par Skype Entreprise Server pour déterminer la version du serveur Edge avec lequel il communique. • Utilisé pour le trafic multimédia entre les serveurs Edge. • Obligatoire pour la fédération. • Nécessaire si plusieurs pools Edge sont déployés dans votre organization. |
A/V/STUN.MSTURN |
UDP |
3478 |
Indifférente |
Adresse IP publique du service Edge A/V Du serveur Edge |
Négociation STUN/TURN des candidats sur UDP sur le port 3478. |
A/V/STUN.MSTURN |
TCP |
443 |
Indifférente |
Adresse IP publique du service Edge A/V Du serveur Edge |
Négociation STUN/TURN des candidats sur TCP sur le port 443. |
A/V/STUN.MSTURN |
TCP |
443 |
Adresse IP publique du service Edge A/V Du serveur Edge |
Indifférente |
Négociation STUN/TURN des candidats sur TCP sur le port 443. |
Tableau récapitulatif des pare-feu de port interne
Protocole | TCP ou UDP | Port | Adresse IP source | Adresse IP de destination | Notes |
---|---|---|---|---|---|
XMPP/MTLS |
TCP |
23456 |
L’une des opérations ci-dessous exécutant le service de passerelle XMPP : • Serveur frontal • Adresse IP virtuelle du pool frontal exécutant le service de passerelle XMPP |
Interface interne du serveur Edge |
Trafic XMPP sortant à partir de votre service de passerelle XMPP s’exécutant sur votre serveur frontal ou pool frontal. Note: Les passerelles et les proxys XMPP sont disponibles dans Skype Entreprise Server 2015, mais ne sont plus pris en charge dans Skype Entreprise Server 2019. Pour plus d’informations, consultez Migration de la fédération XMPP . |
HTTPS |
TCP |
4443 |
Indifféremment : • Serveur frontal qui contient le magasin central de gestion • Pool frontal qui contient le magasin central de gestion |
Interface interne du serveur Edge |
Réplication des modifications de votre magasin central de gestion vers votre serveur Edge. |
PSOM/MTLS |
TCP |
8057 |
Indifféremment : • Serveur frontal • Chaque serveur frontal dans votre pool frontal |
Interface interne du serveur Edge |
Trafic de conférence web de votre serveur frontal ou de chaque serveur frontal (si vous disposez d’un pool frontal) vers l’interface interne de votre serveur Edge. |
STUN/MSTURN |
UDP |
3478 |
Indifféremment : • Serveur frontal • Chaque serveur frontal dans votre pool frontal |
Interface interne du serveur Edge |
Chemin d’accès préféré pour le transfert de média A/V entre vos utilisateurs internes et externes et votre Survivable Branch Appliance ou Survivable Branch Server. |
STUN/MSTURN |
TCP |
443 |
Indifféremment : • Serveur frontal • Chaque serveur frontal dans votre pool |
Interface interne du serveur Edge |
Chemin de secours pour le transfert de média A/V entre vos utilisateurs internes et externes et votre Survivable Branch Appliance ou Survivable Branch Server, si la communication UDP ne fonctionne pas. En cas d’impossibilité d’établir la communication UDP, le protocole TCP est utilisé pour le transfert de fichiers et le partage du bureau. |
MTLS |
TCP |
50001 |
Indifférente |
Interface interne du serveur Edge |
Contrôleur de service de journalisation centralisé utilisant Skype Entreprise Server Management Shell et les applets de commande du service de journalisation centralisée, des commandes de ligne de commande ClsController (ClsController.exe) ou de l’agent (ClsAgent.exe) et la collecte de journaux. |
MTLS |
TCP |
50002 |
Indifférente |
Interface interne du serveur Edge |
Contrôleur de service de journalisation centralisé utilisant Skype Entreprise Server Management Shell et les applets de commande du service de journalisation centralisée, des commandes de ligne de commande ClsController (ClsController.exe) ou de l’agent (ClsAgent.exe) et la collecte de journaux. |
MTLS |
TCP |
50003 |
Indifférente |
Interface interne du serveur Edge |
Contrôleur de service de journalisation centralisé utilisant Skype Entreprise Server Management Shell et les applets de commande du service de journalisation centralisée, des commandes de ligne de commande ClsController (ClsController.exe) ou de l’agent (ClsAgent.exe) et la collecte de journaux. |
Adresses IP virtuelles d’interface externe
Rôle ou protocole | TCP ou UDP | Port de destination ou plage de ports | Adresse IP source | Adresse IP de destination | Notes |
---|---|---|---|---|---|
XMPP Non pris en charge dans Skype Entreprises Server 2019 |
TCP |
5269 |
Indifférente |
Service proxy XMPP (partage une adresse IP avec le service Edge d’accès) |
Le service proxy XMPP accepte le trafic des contacts XMPP dans les fédérations XMPP définies. |
XMPP Non pris en charge dans Skype Entreprises Server 2019 |
TCP |
5269 |
Service proxy XMPP (partage une adresse IP avec le service Edge d’accès) |
Indifférente |
Le service proxy XMPP envoie le trafic à partir des contacts XMPP dans des fédérations XMPP définies. |
Accès/SIP(TLS) |
TCP |
443 |
Indifférente |
Adresse IP privée à l’aide de NAT : Service Edge d’accès au serveur Edge Adresse IP publique : Adresse IP publique du service Edge d’accès au serveur Edge |
Trafic SIP client vers serveur pour l’accès des utilisateurs externes. |
Accès/SIP(MTLS) |
TCP |
5061 |
Indifférente |
Adresse IP privée à l’aide de NAT : Service Edge d’accès au serveur Edge Adresse IP publique : Adresse IP publique du service Edge d’accès au serveur Edge |
Pour la connectivité fédérée et PIC utilisant le protocole SIP (Session Initiation Protocol). |
Accès/SIP(MTLS) |
TCP |
5061 |
Adresse IP privée à l’aide de NAT : Service Edge d’accès au serveur Edge Adresse IP publique : Adresse IP publique du service Edge d’accès au serveur Edge |
Indifférente |
Pour la connectivité fédérée et PIC utilisant le protocole SIP (Session Initiation Protocol). |
Conférence web/PSOM(TLS) |
TCP |
443 |
Indifférente |
Adresse IP privée à l’aide de NAT : Service Edge de conférence web du serveur Edge Adresse IP publique : Adresse IP publique du service Edge de conférence web du serveur Edge |
Support de conférence web. |
A/V/STUN.MSTURN |
UDP |
3478 |
Indifférente |
Adresse IP privée à l’aide de NAT : Service Edge Server A/V Edge Adresse IP publique : Adresse IP publique du service Edge A/V Du serveur Edge |
Négociation STUN/TURN des candidats sur UDP sur le port 3478. |
A/V/STUN.MSTURN |
TCP |
443 |
Indifférente |
Adresse IP privée à l’aide de NAT : Service Edge Server A/V Edge Adresse IP publique : Adresse IP publique du service Edge A/V Du serveur Edge |
Négociation STUN/TURN des candidats sur TCP sur le port 443. |
Adresses IP virtuelles d’interface interne
Nos conseils ici vont être légèrement différents. En réalité, dans une situation d’équilibrage de charge matérielle, nous vous recommandons de n’avoir qu’un routage via une adresse virtuelle interne dans les circonstances suivantes :
Si vous utilisez la messagerie unifiée Exchange 2007 ou Exchange 2010.
Si vous avez des clients hérités utilisant le serveur Edge.
Le tableau suivant fournit des conseils pour ces scénarios, mais dans le cas contraire, vous devriez être en mesure de dépendre du magasin de gestion centralisée (CMS) pour acheminer le trafic vers le serveur Edge individuel dont il a connaissance (cela nécessite que CMS soit tenu à jour sur les informations du serveur Edge, bien sûr).
Protocole | TCP ou UDP | Port | Adresse IP source | Adresse IP de destination | Notes |
---|---|---|---|---|---|
Accès/SIP(MTLS) |
TCP |
5061 |
Indifféremment : •Directeur • Adresse IP VIRTUELLE du pool du directeur • Serveur frontal • Adresse IP virtuelle du pool frontal |
Interface interne du serveur Edge |
Trafic SIP sortant de votre directeur, adresse IP virtuelle du pool de directeurs, serveur frontal ou adresse IP virtuelle du pool frontal vers l’interface interne de votre serveur Edge. |
Accès/SIP(MTLS) |
TCP |
5061 |
Interface IP virtuelle interne du serveur Edge |
Indifféremment : •Directeur • Adresse IP VIRTUELLE du pool du directeur • Serveur frontal • Adresse IP virtuelle du pool frontal |
Trafic SIP entrant vers votre adresse IP virtuelle de directeur, adresse IP virtuelle du pool directeur, serveur frontal ou adresse IP virtuelle du pool frontal à partir de l’interface interne de votre serveur Edge. |
SIP/MTLS |
TCP |
5062 |
Indifféremment : • Adresse IP du serveur frontal • Adresse IP du pool frontal • Tout Survivable Branch Appliance utilisant ce serveur Edge • Tout Survivable Branch Server utilisant ce serveur Edge |
Interface interne du serveur Edge |
Authentification des utilisateurs A/V à partir de votre serveur frontal ou pool frontal, ou de votre Survivable Branch Appliance ou Survivable Branch Server, à l’aide de votre serveur Edge. |
STUN/MSTURN |
UDP |
3478 |
Indifférente |
Interface interne du serveur Edge |
Chemin préféré pour le transfert multimédia A/V entre vos utilisateurs internes et externes. |
STUN/MSTURN |
TCP |
443 |
Indifférente |
Interface IP virtuelle interne du serveur Edge |
Chemin d’accès de secours pour le transfert multimédia A/V entre vos utilisateurs internes et externes. En cas d’impossibilité d’établir la communication UDP, le protocole TCP est utilisé pour le transfert de fichiers et le partage du bureau. |