[アーティクル]
01/08/2015

関連アーキテクチャ 1: 単一統合エッジのポートの概要

トピックの最終更新日: 2012-11-02

この参照アーキテクチャで説明するエッジサーバーの機能である Lync Server 2010 は、Office Communications Server 2007 R2 で最初に導入された機能と非常に似ていますが、次の例外があります。

ポート 8080 を使用して、リバースプロキシの内部インターフェイスからプールの仮想 IP (VIP) にトラフィックをルーティングします。この機能はオプションです。外部 Web サービス公開ルールの証明書の変更が望ましくない状況 (例: 多数の SIP ドメインがある場合) では、Lync を実行するモバイルデバイスでこの機能を使用して自動検出サービスを検索できます。
ポート 4443 が、リバースプロキシの内部インターフェイスからプールの VIP へのトラフィックのルーティングに使用される
ポート 4443 が、プールのフロントエンドからエッジの内部インターフェイスへのトラフィックのルーティングに使用される

50,000 ～ 59,999 のポート範囲にはいくつかのオプションがありますが、次の図は以前のバージョンの Office Communications Server と相互運用するための共通の構成です。このポート範囲を構成するためのオプションの詳細については、「外部の音声ビデオファイアウォールおよびポートの要件の決定」を参照してください。

単一統合エッジのエンタープライズ境界ネットワーク

単一統合エッジ、境界ネットワーク図

以下の表で、(受信) は信頼性の低いネットワークから信頼性の高いネットワークへのトラフィック (インターネットから境界ネットワークへ、または境界ネットワークから企業ネットワークへ送信されるトラフィックなど) を意味します。たとえば、インターネットからエッジの外部インターフェイスへ、またはエッジの内部インターフェイスから次ホップのプールへ送信されるトラフィックなどです。(送信) は信頼性の高いネットワークから信頼性の低いネットワークへのトラフィック (企業ネットワークから境界ネットワークへ、または境界ネットワークからインターネットへ送信されるトラフィックなど) を意味します。たとえば、企業のプールからエッジの内部インターフェイスへ、またはエッジの外部インターフェイスからインターネットへ送信されるトラフィックなどです。また、(送受信) は双方向のトラフィックを意味します。

エッジの受信/送信トラフィック

エッジの受信/送信の図

外部アクセスが可能な機能のサポートに必要なポートのみを開くことをお勧めします。

リモートアクセスがエッジサービスで機能するには、エッジの受信/送信トラフィックの図にあるように、SIP トラフィックが双方向に流れることができるようにすることが必須となります。つまり、アクセスエッジサービスはインスタントメッセージング (IM)、プレゼンス、Web 会議、および音声ビデオ (A/V) に含まれます。

DNS 負荷分散を含む単一/拡張統合エッジのファイアウォールの概要:外部インターフェイス

HTTP 80 (送信)

証明書失効リストのチェック

DNS 53 (送信)

外部 DNS クエリ

SIP/TLS/443 (受信)

リモートユーザーアクセスのクライアントからサーバーへの SIP トラフィック

SIP/MTLS/5061 (送受信)

ホストされている Exchange サービスとのフェデレーションおよび接続

PSOM/TLS/443 (受信)

匿名ユーザーおよびフェデレーションユーザーの会議へのリモートユーザーアクセス

RTP/TCP/50K 範囲 (受信)

メディア交換 (詳細については、「外部の音声ビデオファイアウォールおよびポートの要件の決定」を参照)

Office Communications Server 2007 の相互運用性に必要

RTP/TCP/50K 範囲 (送信)

メディア交換 (詳細については、「外部の音声ビデオファイアウォールおよびポートの要件の決定」を参照)

Office Communications Server 2007 の相互運用性に必要

Office Communications Server 2007 R2 のデスクトップ共有およびフェデレーションで必要

Lync Server 2010 のアプリケーション共有およびファイル転送に必要

Windows Live Messenger を使用した音声ビデオ

注:
周辺ファイアウォールの要件、または UDP 3478 に対するクライアント側の制限によって UDP 3478 がブロックされている場合は、UDP 3478 上で 50k ポート範囲が使用されます。

RTP/UDP/50K 範囲 (受信)

メディア交換 (詳細については、「外部の音声ビデオファイアウォールおよびポートの要件の決定」を参照)

Office Communications Server 2007 の相互運用性に必要

RTP/UDP/50K 範囲 (送信)

メディア交換 (詳細については、「外部の音声ビデオファイアウォールおよびポートの要件の決定」を参照)

Office Communications Server 2007 の相互運用性に必要

STUN/MSTURN/UDP/3478 (送受信)

音声ビデオセッションへの外部ユーザーアクセス (UDP)

STUN/MSTURN/TCP/443 (受信)

音声ビデオセッションおよびメディアへの外部ユーザーアクセス (TCP)

DNS 負荷分散を含む単一/拡張統合エッジのファイアウォールの詳細:内部インターフェイス

プロトコル/ポート	使用対象
SIP/MTLS/5061 (送受信)	SIP トラフィック
PSOM/MTLS/8057 (送信)	プールからエッジサーバーへの Web 会議のトラフィック
SIP/MTLS/5062 (送信)	音声ビデオユーザーの認証 (音声ビデオ認証サービス)
STUN/MSTURN/UDP/3478 (送信)	内部ユーザーと外部ユーザーの間のメディア転送に適したパス (UDP)
STUN/MSTURN/TCP/443 (送信)	内部ユーザーと外部ユーザーの間のメディア転送用の代替パス (TCP)
HTTPS 4443 (送信)	中央管理ストアの更新プログラムをエッジサーバーにプッシュ

リバースプロキシサーバーのファイアウォールの詳細:外部インターフェイス

プロトコル/ポート	使用対象
HTTP 80 (受信)	(オプション) ユーザーが誤って http://<公開済みサイトの FQDN> と入力してしまった場合は、HTTPS にリダイレクト Lync を実行しているモバイルデバイスに自動検出サービスを使用していて、外部 Web サービス公開ルール証明書を変更しない場合にも必要
HTTPS 443 (受信)	アドレス帳のダウンロード、アドレス帳の Web クエリサービス、クライアント更新、会議コンテンツ、デバイス更新、グループ拡張、ダイヤルイン会議、および会議

HTTP 80 (受信)

(オプション) ユーザーが誤って http://<公開済みサイトの FQDN> と入力してしまった場合は、HTTPS にリダイレクト

Lync を実行しているモバイルデバイスに自動検出サービスを使用していて、外部 Web サービス公開ルール証明書を変更しない場合にも必要

HTTPS 443 (受信)

アドレス帳のダウンロード、アドレス帳の Web クエリサービス、クライアント更新、会議コンテンツ、デバイス更新、グループ拡張、ダイヤルイン会議、および会議

リバースプロキシサーバーのファイアウォールの詳細:内部インターフェイス

プロトコル/ポート	使用対象
HTTP 8080 (受信)	組織が外部 Web サービス公開ルールの証明書の変更を望まない状況で、Lync を実行するモバイルデバイスの自動検出サービスを使用する場合に必要。リバースプロキシの外部インターフェイスのポート 80 に送信されるトラフィックは、そのトラフィックと内部 Web トラフィックをプールの Web サービスが区別できるように、リバースプロキシの内部インターフェイスからポート 8080 のプールにリダイレクトされます。
HTTPS 4443 (受信)	リバースプロキシの外部インターフェイス上のポート 443 に送信されるトラフィックは、リバースプロキシの内部インターフェイスからポート 4443 上のプールにリダイレクトされるため、プールの Web サービスがこのトラフィックを内部の Web トラフィックと区別できます。

HTTP 8080 (受信)

組織が外部 Web サービス公開ルールの証明書の変更を望まない状況で、Lync を実行するモバイルデバイスの自動検出サービスを使用する場合に必要。

リバースプロキシの外部インターフェイスのポート 80 に送信されるトラフィックは、そのトラフィックと内部 Web トラフィックをプールの Web サービスが区別できるように、リバースプロキシの内部インターフェイスからポート 8080 のプールにリダイレクトされます。

HTTPS 4443 (受信)

リバースプロキシの外部インターフェイス上のポート 443 に送信されるトラフィックは、リバースプロキシの内部インターフェイスからポート 4443 上のプールにリダイレクトされるため、プールの Web サービスがこのトラフィックを内部の Web トラフィックと区別できます。

注:
前の表で、(受信) は信頼性の低いネットワークから信頼性の高いネットワークへのトラフィック (インターネットから境界ネットワークへ、または境界ネットワークから企業ネットワークへ送信されるトラフィックなど) を意味します。たとえば、インターネットからリバースプロキシの外部インターフェイスへ、またはリバースプロキシの内部インターフェイスから Standard Edition プールまたはフロントエンドプールに関連付けられているロードバランサー機器の VIP へ送信されるトラフィックなどです。

前の表で、(受信) は信頼性の低いネットワークから信頼性の高いネットワークへのトラフィック (インターネットから境界ネットワークへ、または境界ネットワークから企業ネットワークへ送信されるトラフィックなど) を意味します。たとえば、インターネットからリバースプロキシの外部インターフェイスへ、またはリバースプロキシの内部インターフェイスから Standard Edition プールまたはフロントエンドプールに関連付けられているロードバランサー機器の VIP へ送信されるトラフィックなどです。

単一統合エッジトポロジに必要な外部ポート設定

エッジの役割	送信元 IP アドレス	送信元ポート	宛先 IP アドレス	宛先ポート	トランスポート	アプリケーション	メモ
アクセス	10.45.16.10	任意	任意	80	TCP	HTTP
アクセス	10.45.16.10	任意	任意	53	UDP	DNS
アクセス	任意	任意	10.45.16.10	443	TCP	SIP (TLS)	外部ユーザーアクセス用のクライアントからサーバーへの SIP トラフィック
アクセス	任意	任意	10.45.16.10	5061	TCP	SIP (MTLS)	SIP を使用したフェデレーションおよびパブリック IM 接続用
アクセス	10.45.16.10	任意	任意	5061	TCP	SIP (MTLS)	SIP を使用したフェデレーションおよびパブリック IM 接続用
Web 会議	任意	任意	10.45.16.20	443	TCP	PSOM (TLS)
音声ビデオ	10.45.16.30	50,000 – 59,999	任意	443	TCP	RTP	デスクトップ共有、または Office Communications Server 2007 R2 を実行するパートナーとのフェデレーションで、複数の音声ビデオエッジサービスが 1 つの通話に関係しているとき、たとえば、同じ会社のユーザーが違うエッジサーバーまたはプールを使用しているときに必要です。また、Lync Server 2010 フェデレーションユーザーおよび Windows Live Messenger を使用した音声ビデオセッションとのアプリケーション共有またはファイル送信にも必要です。このポート範囲とルールは、外部ユーザーが、ソース (クライアント) の制限またはその他の条件が原因で UDP 3478 ルールを使用できない場合にも使用されます。
音声ビデオ	10.45.16.30	50,000 – 59,999	任意	任意	UDP	RTP	Office Communications Server 2007 を実行するパートナーとのフェデレーションにのみ必要です。
音声ビデオ	任意	任意	10.45.16.30	50,000 – 59,999	TCP	RTP	Office Communications Server 2007 を実行するパートナーとのフェデレーションにのみ必要です。
音声ビデオ	任意	任意	10.45.16.30	50,000 – 59,999	UDP	RTP	Office Communications Server 2007 を実行するパートナーとのフェデレーションにのみ必要です。
音声ビデオ	10.45.16.30	3478	任意	3478	UDP	STUN/MSTURN	3478 送信は、Lync Server 2010 の通信相手のエッジサーバーのバージョンの確認、およびエッジサーバーからエッジサーバーへのメディアトラフィックに使用されます。 Lync Server 2010、Windows Live Messenger、Office Communications Server 2007 R2 とのフェデレーション、および会社内に複数のエッジプールが展開されている場合に必要です。
音声ビデオ	任意	任意	10.45.16.30	3478	UDP	STUN/MSTURN
音声ビデオ	任意	任意	10.45.16.30	443	TCP	STUN/MSTURN
リバースプロキシ:該当なし	任意	任意	10.45.16.40	80	TCP	HTTP	(オプション) http トラフィックの https へのリダイレクトに使用できます。組織が外部 Web サービス公開ルールの証明書の変更を望まない状況で、Lync を実行するモバイルデバイスの自動検出サービスを使用する場合に必要。
リバースプロキシ:該当なし	任意	任意	10.45.16.40	443	TCP	HTTPS

単一統合エッジトポロジに必要な内部ポート設定

エッジの役割	送信元 IP アドレス	送信元ポート	宛先 IP アドレス	宛先ポート	トランスポート	アプリケーション	メモ
アクセス	172.25.33.10	任意	192.168.10.90 192.168.10.91	5061	TCP	SIP (MTLS)	宛先は次ホップサーバーです。参照アーキテクチャの場合は 2 つのプールのフロントエンドサーバーの IP アドレスです。
アクセス	192.168.10.90 192.168.10.91	任意	172.25.33.10	5061	TCP	SIP (MTLS)	送信元は次ホップサーバーです。参照アーキテクチャの場合は 2 つのプールのフロントエンドサーバーの IP アドレスです。
アクセス	192.168.10.90 192.168.10.91	任意	172.25.33.10	4443	TCP	HTTPS	レプリケーションエージェントが中央管理ストアのレプリケーション (すべてのフロントエンドサーバーを含む) に使用します。
Web 会議	任意	任意	172.25.33.10	8057	TCP	PSOM (MTLS)
音声ビデオ	192.168.10.90 192.168.10.91 存続可能ブランチアプライアンスまたは存続可能ブランチサーバー	任意	172.25.33.10	5062	TCP	SIP (MTLS)	この特定の音声ビデオ認証サービスを使用するすべてのフロントエンドサーバーが含まれます。
音声ビデオ	任意	任意	172.25.33.10	3478	UDP	STUN/MSTURN
音声ビデオ	任意	任意	172.25.33.10	443	TCP	STUN/MSTURN
リバースプロキシ:該当なし	172.25.33.40	任意	192.168.10.190	8080	TCP	HTTPS	(オプション) 組織が外部 Web サービス公開ルールの証明書の変更を望まない状況で、Lync を実行するモバイルデバイスの自動検出サービスを使用する場合に必要。
リバースプロキシ:該当なし	172.25.33.40	任意	192.168.10.190	4443	TCP	HTTPS

次の方法で共有

関連アーキテクチャ 1: 単一統合エッジのポートの概要

DNS 負荷分散を含む単一/拡張統合エッジのファイアウォールの概要:外部インターフェイス

DNS 負荷分散を含む単一/拡張統合エッジのファイアウォールの詳細:内部インターフェイス

リバースプロキシサーバーのファイアウォールの詳細:外部インターフェイス

リバースプロキシサーバーのファイアウォールの詳細:内部インターフェイス

単一統合エッジトポロジに必要な外部ポート設定

単一統合エッジトポロジに必要な内部ポート設定

その他のリソース

次の方法で共有

関連アーキテクチャ 1: 単一統合エッジのポートの概要

DNS 負荷分散を含む単一/拡張統合エッジのファイアウォールの概要:外部インターフェイス

DNS 負荷分散を含む単一/拡張統合エッジのファイアウォールの詳細:内部インターフェイス

リバース プロキシ サーバーのファイアウォールの詳細:外部インターフェイス

リバース プロキシ サーバーのファイアウォールの詳細:内部インターフェイス

単一統合エッジ トポロジに必要な外部ポート設定

単一統合エッジ トポロジに必要な内部ポート設定

その他のリソース

リバースプロキシサーバーのファイアウォールの詳細:外部インターフェイス

リバースプロキシサーバーのファイアウォールの詳細:内部インターフェイス

単一統合エッジトポロジに必要な外部ポート設定

単一統合エッジトポロジに必要な内部ポート設定