Requisitos ambientais do Edge Server no Skype for Business Server
Resumo: Saiba mais sobre os requisitos ambientais do Edge Server no Skype for Business Server.
É necessário ter muito planeamento e preparação fora do próprio ambiente do Skype for Business Server Edge Server. Neste artigo, vamos rever que preparações têm de ser feitas no ambiente organizacional, de acordo com a lista seguinte:
Planejamento de topologia
Skype for Business Server as topologias do Edge Server podem utilizar:
Endereços IP públicos roteáveis
Endereços IP privados não roteáveis, se a tradução de endereço de rede simétrica (NAT) for usada.
Sugestão
O Servidor Edge pode ser configurado para utilizar um único endereço IP com portas distintas para cada serviço ou pode utilizar endereços IP distintos para cada serviço, mas utilizar a mesma porta predefinida (que por predefinição é TCP 443). Temos mais informações na secção Requisitos de Endereço IP.
Se você escolher endereços IP privados não roteáveis com NAT, lembre-se destes aspectos:
Você deve usar endereços IP privados roteáveis em todas as três interfaces externas.
Você precisa configurar NAT simétrico para tráfego de entrada e de saída. O NAT simétrico é o único NAT suportado que pode utilizar com o Skype for Business Server Edge Server.
Configure seu NAT para não alterar endereços de origem de entrada. O serviço A/V Edge tem de conseguir receber o endereço de origem de entrada para encontrar o caminho de suporte de dados ideal.
Os Servidores Edge têm de conseguir comunicar entre si a partir dos respetivos endereços IP do A/V Edge públicos. Seu firewall deve permitir esse tráfego.
O NAT só pode ser utilizado para Servidores Edge consolidados dimensionados se utilizar o balanceamento de carga DNS. Se você usar o balanceamento de carga de hardware (HLB), será necessário usar endereços IP roteáveis publicamente sem NAT.
Não terá problemas em ter as interfaces do Access, conferências Web e A/V Edge atrás de um router ou firewall a executar NAT simétrico para topologias do Servidor Edge consolidadas simples e dimensionadas (desde que não esteja a utilizar balanceamento de carga de hardware).
Resumo das opções de topologia do Edge Server
Temos várias opções de topologia disponíveis para implementações do Skype for Business Server Edge Server:
Borda única consolidada com endereços IP privados e NAT
Borda única consolidada com endereços IP públicos
Borda dimensionada consolidada com endereços IP privados e NAT
Borda dimensionada consolidada com endereços IP públicos
Borda dimensionada consolidada com balanceadores de carga de hardware
Para ajudá-lo a escolher uma, temos a tabela a seguir que apresenta um resumo das opções que você tem para cada topologia:
| Topologia | Alta disponibilidade | outros registos DNS necessários para o Servidor Edge externo no conjunto do Edge? | Ativação pós-falha do Edge para sessões de Skype for Business Server | Ativação pós-falha do Edge para sessões de federação Skype for Business Server |
|---|---|---|---|---|
| Borda única consolidada com endereços IP privados e NAT |
Não |
Não |
Não |
Não |
| Borda única consolidada com endereços IP públicos |
Não |
Não |
Não |
Não |
| Borda dimensionada consolidada com endereços IP privados e NAT (balanceamento de carga DNS) |
Sim |
Sim |
Sim |
Sim |
| Borda dimensionada consolidada com endereços IP públicos (balanceamento de carga DNS) |
Sim |
Sim |
Sim |
Sim |
| Borda dimensionada consolidada com balanceadores de carga de hardware |
Sim |
Não (um registro DNS A por VIP) |
Sim |
Sim |
¹ Ativação pós-falha remota de utilizadores do Exchange Unified Messaging (UM) através do balanceamento de carga DNS requer o Exchange 2013 ou mais recente.
Requisitos de Endereço IP
Num nível fundamental, três serviços precisam de endereços IP; Serviço Do Access Edge, serviço Edge de Conferências Web e serviço A/V Edge. Você tem a opção de usar três endereços de IP, um para cada um dos serviços, ou você pode usar um e optar por colocar cada serviço em uma porta diferente (é possível consultar a seçãoPort and firewall planning para obter mais informações relacionadas). Para um único ambiente do Edge consolidado, já está.
Nota
Conforme indicado, pode optar por ter um endereço IP para os três serviços e executá-los em portas diferentes. Porém, na realidade, não recomendamos isso. Se os seus clientes não conseguem acessar as portas alternadas que você usaria neste cenário, eles também não podem acessar a funcionalidade total do seu ambiente de Borda.
Pode ser um pouco mais complicado com topologias escalonáveis consolidadas, portanto, vejamos algumas tabelas que apresentam os requisitos de Endereço IP, lembrando-se de que os principais pontos de decisão para seleção da topologia são alta disponibilidade e balanceamento de carga. As necessidades de alta disponibilidade podem influenciar sua escolha de balanceamento de carga (falaremos mais sobre esse assunto depois das tabelas).
Requisitos de endereço IP para Borda dimensionada consolidada (endereço de IP por função)
| Número de Servidores Edge por conjunto | Número de endereços IP necessários para balanceamento de carga de DNS | Número de endereços IP necessários para o balanceamento de carga de hardware |
|---|---|---|
| 2 |
6 |
3 (1 por VIP) + 6 |
| 3 |
9 |
3 (1 por VIP) + 9 |
| 4 |
12 |
3 (1 por VIP) + 12 |
| 5 |
15 |
3 (1 por VIP) +15 |
Requisitos de endereço IP para Borda consolidada dimensionada (endereço de IP único para todas as funções)
| Número de Servidores Edge por conjunto | Número de endereços IP necessários para balanceamento de carga de DNS | Número de endereços IP necessários para o balanceamento de carga de hardware |
|---|---|---|
| 2 |
2 |
1 (1 por VIP) + 2 |
| 3 |
3 |
1 (1 por VIP) + 3 |
| 4 |
4 |
1 (1 por VIP) + 4 |
| 5 |
5 |
1 (1 por VIP) + 5 |
Vamos analisar outras coisas em que pensar durante o planeamento.
Elevada disponibilidade: se precisar de elevada disponibilidade na sua implementação, deve implementar, pelo menos, dois Servidores Edge num conjunto. Vale a pena notar que um único conjunto do Edge suportará até 12 Servidores Edge (embora o Topology Builder lhe permita somar até 20, isso não é testado ou suportado, pelo que recomendamos que não o faça). Se precisar de mais de 12 Servidores Edge, deve criar mais conjuntos do Edge para os mesmos.
Balanceamento de carga de hardware: recomendamos o balanceamento de carga de DNS para a maioria dos cenários. O balanceamento de carga de hardware também é suportado, é claro, mas, nomeadamente, é necessário para um único cenário através do balanceamento de carga DNS:
- Acesso externo ao Exchange 2007 ou Exchange 2010 (sem SP) Unified Messaging (UM).
Balanceamento de carga DNS: para UM, o Exchange 2010 SP1 e o mais recente podem ser suportados pelo balanceamento de carga DNS. Tenha em atenção que, se precisar de utilizar o balanceamento de carga de DNS para uma versão anterior do Exchange, este irá funcionar, mas todo o tráfego para tal irá para o primeiro servidor no conjunto e, se não estiver disponível, esse tráfego irá falhar posteriormente.
O balanceamento de carga DNS também é recomendado se estiver a federar com empresas que utilizam:
Skype for Business Server 2015:
- Lync Server 2010
- Lync Server 2013
- Microsoft 365 ou Office 365
Skype for Business Server 2019:
- Lync Server 2013
- Skype for Business Server 2015
- Microsoft 365 ou Office 365
Planejamento DNS
Quando se trata de Skype for Business Server implementação do Edge Server, é vital preparar-se corretamente para o DNS. Com os registos corretos implementados, a implementação é muito mais simples. Esperamos que você tenha escolhida uma topologia na seção acima, pois vamos fazer uma visão geral e, em seguida, listar algumas tabelas que destacam os registros DNS para os cenários. Também teremos alguns planos de DNS do Advanced Edge Server para Skype for Business Server para uma leitura mais aprofundada, se necessário.
Registos DNS para cenários do Servidor Edge Consolidado Único
Estes são os registos DNS de que vai precisar para um Servidor Edge com IPs públicos ou IPs privados com NAT. Como estes são dados de amostra, daremos o exemplo de IPs para que você possa encontrar sua própria solução mais facilmente:
Adaptador de rede interno: 172.25.33.10 (sem gateways predefinidos atribuídos)
Nota
Certifique-se de que existe uma rota da rede que contém a interface interna do Edge para quaisquer redes que contenham servidores com Skype for Business Server ou clientes do Lync Server 2013 (por exemplo, de 172.25.33.0 a 192.168.10.0).
Adaptador de rede externo:
IPs Públicos:
Access Edge: 131.107.155.10 (este é o principal, com gateway predefinido definido para o router público, por exemplo: 131.107.155.1)
Web Conferencing Edge: 131.107.155.20 (secundário)
A/V Edge: 131.107.155.30 (secundário)
As conferências Web e os endereços IP públicos do A/V Edge são outros endereços IP (secundários) na secção Avançadas das propriedades da Versão 4 (TCP/IPv4) do Protocolo Internet e do Protocolo de Internet Versão 6 (TCP/IPv6) das Propriedades de Ligação da Área Local no Windows Server.
IPs Privadas:
Access Edge: 10.45.16.10 (este é o principal, com gateway predefinido definido para o router, por exemplo: 10.45.16.1)
Web Conferencing Edge: 10.45.16.20 (secundário)
A/V Edge: 10.45.16.30 (secundário)
As conferências Web e os endereços IP públicos do A/V Edge são outros endereços IP (secundários) na secção Avançadas das propriedades da Versão 4 (TCP/IPv4) do Protocolo Internet e do Protocolo de Internet Versão 6 (TCP/IPv6) das Propriedades de Ligação da Área Local no Windows Server.
Sugestão
Há outras configurações possíveis aqui:
Você pode usar um endereço IP no adaptador de rede externa. Não recomendamos isto porque, em seguida, terá de diferenciar entre os serviços que utilizam portas diferentes (o que pode fazer no Skype for Business Server), mas existem algumas firewalls que podem bloquear as portas alternativas. Consulte a seção Port and firewall planning para obter mais informações sobre o assunto.
É possível ter três adaptadores de rede externa em vez de um, e atribuir uma das IPs do serviço para cada um. Por que? Isto separaria os serviços e se algo der errado, seria mais fácil solucionar o problema e potencialmente permitiria que seus outros serviços continuassem a funcionar enquanto o problema estivesse sendo resolvido.
| Local | Tipo | Porta | FQDN ou registro DNS | Endereço IP ou FQDN | Anotações |
|---|---|---|---|---|---|
| DNS Externo |
Registro A |
N/D |
sip.contoso.com |
público: 131.107.155.10 privado: 10.45.16.10 |
Uma interface externa para o seu serviço Do Access Edge. Precisará de um para cada domínio SIP com Skype for Business utilizadores. |
| DNS Externo |
Registro A |
N/D |
webcon.contoso.com |
público: 131.107.155.20 privado: 10.45.16.20 |
Uma interface externa para o seu serviço Web Conferencing Edge. |
| DNS Externo |
Registro A |
N/D |
av.contoso.com |
público: 131.107.155.30 privado: 10.45.16.30 |
Uma interface externa para o seu serviço A/V Edge. |
| DNS Externo |
Registro SRV |
443 |
_sip._tls.contoso.com |
sip.contoso.com |
Uma interface externa para o seu serviço Do Access Edge. Este registo SRV é necessário para que os clientes do Skype for Business Server, Lync Server 2013 e Lync Server 2010 funcionem externamente. Precisará de um para cada domínio com Skype for Business utilizadores. |
| DNS Externo |
Registro SRV |
5061 |
_sipfederationtls._tcp.contoso.com |
sip.contoso.com |
Uma interface externa para o seu serviço Do Access Edge. Este registro SRV é necessário para a descoberta de DNS automática de parceiros federados chamado domínios SIP Permitidos. Precisará de um para cada domínio com Skype for Business utilizadores. |
| DNS Interno |
Registro A |
N/D |
sfvedge.contoso.net |
172.25.33.10 |
A interface interna para sua Borda consolidada. |
Registos DNS para cenários de Servidor Edge de DNS dimensionado e hardware
Estes são os registos DNS de que vai precisar para um Servidor Edge com IPs públicos ou IPs privados com NAT. Como estes são dados de amostra, daremos o exemplo de IPs para que você possa encontrar sua própria solução mais facilmente:
Adaptador de rede interna
Nó 1: 172.25.33.10 (nenhum gateway padrão atribuído)
Nó 2: 172.25.33.11 (nenhum gateway padrão atribuído)
Nota
Certifique-se de que existe uma rota da rede que contém a interface interna do Edge para quaisquer redes que contenham servidores com Skype for Business Server ou clientes do Lync Server 2013 (por exemplo, de 172.25.33.0 a 192.168.10.0).
Adaptador de rede externo:
Nó 1
IPs Públicos:
Access Edge: 131.107.155.10 (este é o principal, com gateway predefinido definido para o router público, por exemplo: 131.107.155.1)
Web Conferencing Edge: 131.107.155.20 (secundário)
A/V Edge: 131.107.155.30 (secundário)
As conferências Web e os endereços IP públicos do A/V Edge são outros endereços IP (secundários) na secção Avançadas das propriedades da Versão 4 (TCP/IPv4) do Protocolo Internet e do Protocolo de Internet Versão 6 (TCP/IPv6) das Propriedades de Ligação da Área Local no Windows Server.
IPs Privadas:
Access Edge: 10.45.16.10 (este é o principal, com gateway predefinido definido para o router, por exemplo: 10.45.16.1)
Web Conferencing Edge: 10.45.16.20 (secundário)
A/V Edge: 10.45.16.30 (secundário)
As conferências Web e os endereços IP públicos do A/V Edge são outros endereços IP (secundários) na secção Avançadas das propriedades da Versão 4 (TCP/IPv4) do Protocolo Internet e do Protocolo de Internet Versão 6 (TCP/IPv6) das Propriedades de Ligação da Área Local no Windows Server.
Nó 2
IPs Públicos:
Access Edge: 131.107.155.11 (este é o principal, com o gateway predefinido definido para o router público, por exemplo: 131.107.155.1)
Web Conferencing Edge: 131.107.155.21 (secundário)
A/V Edge: 131.107.155.31 (secundário)
As conferências Web e os endereços IP públicos do A/V Edge são outros endereços IP (secundários) na secção Avançadas das propriedades da Versão 4 (TCP/IPv4) do Protocolo Internet e do Protocolo de Internet Versão 6 (TCP/IPv6) das Propriedades de Ligação da Área Local no Windows Server.
IPs Privadas:
Access Edge: 10.45.16.11 (este é o principal, com gateway predefinido definido para o router, por exemplo: 10.45.16.1)
Web Conferencing Edge: 10.45.16.21 (secundário)
A/V Edge: 10.45.16.31 (secundário)
As conferências Web e os endereços IP públicos do A/V Edge são outros endereços IP (secundários) na secção Avançadas das propriedades da Versão 4 (TCP/IPv4) do Protocolo Internet e do Protocolo de Internet Versão 6 (TCP/IPv6) das Propriedades de Ligação da Área Local no Windows Server.
Há outras configurações possíveis aqui:
Você pode usar um endereço IP no adaptador de rede externa. Não recomendamos isto porque, em seguida, terá de diferenciar entre os serviços que utilizam portas diferentes (o que pode fazer no Skype for Business Server), mas existem algumas firewalls que podem bloquear as portas alternativas. Consulte a seção Port and firewall planning para obter mais informações sobre o assunto.
É possível ter três adaptadores de rede externa em vez de um, e atribuir uma das IPs do serviço para cada um. Por que? Isto separaria os serviços e se algo der errado, seria mais fácil solucionar o problema e potencialmente permitiria que seus outros serviços continuassem a funcionar enquanto o problema estivesse sendo resolvido.
| Local | Tipo | Porta | FQDN ou registro DNS | Endereço IP ou FQDN | Anotações |
|---|---|---|---|---|---|
| DNS Externo |
Registro A |
N/D |
sip.contoso.com |
público: 131.107.155.10 e 131.107.155.11 privado: 10.45.16.10 e 10.45.16.11 |
Uma interface externa para o seu serviço Do Access Edge. Precisará de um para cada domínio SIP com Skype for Business utilizadores. |
| DNS Externo |
Registro A |
N/D |
webcon.contoso.com |
público: 131.107.155.20 e 131.107.155.21 privado: 10.45.16.20 e 10.45.16.21 |
Uma interface externa para o seu serviço Web Conferencing Edge. |
| DNS Externo |
Registro A |
N/D |
av.contoso.com |
público: 131.107.155.30 e 131.107.155.31 privado: 10.45.16.30 e 10.45.16.31 |
Uma interface externa para o seu serviço A/V Edge. |
| DNS Externo |
Registro SRV |
443 |
_sip._tls.contoso.com |
sip.contoso.com |
Uma interface externa para o seu serviço Do Access Edge. Este registo SRV é necessário para que os clientes do Skype for Business Server, Lync Server 2013 e Lync Server 2010 funcionem externamente. Precisará de um para cada domínio com Skype for Business. |
| DNS Externo |
Registro SRV |
5061 |
_sipfederationtls._tcp.contoso.com |
sip.contoso.com |
Uma interface externa para o seu serviço Do Access Edge. Este registro SRV é necessário para a descoberta de DNS automática de parceiros federados chamado domínios SIP Permitidos. Precisará de um para cada domínio com Skype for Business. |
| DNS Interno |
Registro A |
N/D |
sfvedge.contoso.net |
172.25.33.10 e 172.25.33.11 |
A interface interna para sua Borda consolidada. |
Registro DNS para federação (todos os cenários)
| Local | Tipo | Porta | FQDN | Registro de host FQDN | Anotações |
|---|---|---|---|---|---|
| DNS Externo |
SRV |
5061 |
_sipfederationtls_tcp.contoso.com |
sip.contoso.com |
A interface externa do SIP Access Edge necessária para a deteção automática de DNS. Usada por seus outros parceiros da federação em potencial. Também é conhecido como "Permitir domínios SIP". Precisará de um destes para cada domínio SIP com Skype for Business utilizadores. Nota: Irá precisar deste registo SRV para mobilidade e para a câmara de desmarcação de notificações push. |
Resumo DNS para protocolo de presença e mensagem extensível
| Local | Tipo | Porta | FQDN | Endereço IP ou registro de host FQDN | Anotações |
|---|---|---|---|---|---|
| DNS Externo |
SRV |
5269 |
_xmpp-server._tcp.contoso.com |
xmpp.contoso.com |
A interface de proxy XMPP no seu serviço Do Access Edge ou conjunto do Edge. Tem de repetir isto conforme necessário para todos os domínios SIP internos com Skype for Business Server utilizadores ativados, onde o contacto com contactos XMPP é permitido através de: • uma política global • uma política de site onde o utilizador está ativado • uma política de utilizador aplicada ao utilizador Skype for Business Server ativado Uma política XMPP permitida também deve ser configurada na política de usuários federados XMPP. |
| DNS Externo |
SRV |
A |
xmpp.contoso.com |
Endereço IP do serviço Access Edge no Servidor Edge ou conjunto edge que aloja o serviço Proxy XMPP |
Isto aponta para o serviço Access Edge no conjunto do Edge Server ou Edge que aloja o serviço Proxy XMPP. Normalmente, o registro SRV que você cria apontará para esse registro de host (A ou AAAA). |
Nota
Os Gateways e proxies XMPP estão disponíveis no Skype for Business Server 2015, mas já não são suportados no Skype for Business Server 2019. Veja Migrar a federação XMPP para obter mais informações.
Planejamento de Certificados
Skype for Business Server utiliza certificados para comunicações seguras e encriptadas entre servidores e de servidor para cliente. Como seria de esperar, seus certificados deverão ter registros DNS para que seus servidores sejam compatíveis com qualquer nome da entidade (SN) e nome alternativo de entidade (SAN) em seus certificados. Isso será trabalhoso na fase de planeamento, para que você certifique-se de que tem os FQDNs corretos registrados no DNS para as inserções de SN e SAN de seus certificados.
Abordaremos as necessidades de certificados internos e externos separadamente, e em seguida, examinaremos uma tabela que fornece os requisitos para ambos.
Certificados Externos
No mínimo, o certificado atribuído às interfaces externas do Edge Server terá de ser fornecido por uma Autoridade de Certificação (AC) pública. Não podemos recomendar uma AC específica para si, mas temos uma lista de ACs, parceiros de certificados de Comunicações Unificadas que pode ver para ver se a sua AC preferida está listada.
Quando você precisará enviar uma solicitação para um AC para ter este certificado público, e como você fazê-lo? Há várias formas de fazer isso:
Pode percorrer a instalação de Skype for Business Server e, em seguida, a implementação do Edge Server. O Assistente de Implementação do Skype for Business Server terá um passo para gerar um pedido de certificado, que pode enviar para a AC escolhida.
Também pode utilizar Windows PowerShell comandos para gerar este pedido, se for mais inline com as suas necessidades empresariais ou estratégia de implementação.
Por fim, a ac pode ter o seu próprio processo de submissão, que também pode envolver Windows PowerShell ou outro método. Nesse caso, você precisará contar com sua documentação, além as informações fornecidas aqui para sua referência.
Depois de obter o certificado, terá de o atribuir a estes serviços no Skype for Business Server:
Interface de serviço do Access Edge
Interface do serviço Web Conferencing Edge
Serviço de Autenticação de Áudio/Vídeo (não confunda isto com o serviço A/V Edge, uma vez que não utiliza um certificado para encriptar fluxos de áudio e vídeo)
Importante
Todos os Servidores Edge (se pertencerem ao mesmo conjunto de Servidores Edge) precisam de ter exatamente o mesmo certificado com a mesma chave privada para o serviço de Autenticação de Reencaminhamento de Multimédia.
Certificados internos
Para a interface interna do Edge Server, pode utilizar um certificado público de uma AC pública ou um certificado emitido a partir da AC interna da sua organização. É importante lembrar que o certificado interno é aquele utiliza uma inserção de SN, e nenhuma inserção de SAN, portanto, você não deve se preocupar com SAN no certificado interno.
Tabela de Certificados Exigidos
Temos uma tabela aqui para ajudá-lo com os seus pedidos. As entradas de FQDN são apenas exemplos de domínios. Você precisará fazer solicitações com base em seus próprios domínios privados e públicos, mas aqui está a orientação sobre o procedimento que temos seguido:
contoso.com: FQDN Público
fabrikam.com: Segundo FQDN público (adicionado como demonstração do que pedir se tiver vários domínios SIP)
Contoso.net: domínio interno
Tabela de Certificado de Borda
Independentemente de estar a fazer um único Servidor Edge ou um conjunto do Edge, isto é o que precisa para o certificado:
| Componente | Nome da entidade (SN) | Nomes alternativos de entidade (SAN)/ordem | Anotações |
|---|---|---|---|
| Borda Externa |
sip.contoso.com |
sip.contoso.com webcon.contoso.com sip.fabrikam.com |
Esse é o certificado que você precisa solicitar de uma AC pública. Ele precisará ser atribuído às interfaces de Borda externa para o seguinte: • Aceder ao Edge • Web Conferencing Edge • Autenticação de Áudio/Vídeo A boa notícia é que as SANs são automaticamente adicionadas ao seu pedido de certificado e, por conseguinte, o certificado após submeter o pedido, com base no que definiu para esta implementação no Topology Builder. Só terá de adicionar entradas SAN para quaisquer outros domínios SIP ou outras entradas que precise de suportar. Por que o sip.contoso.com é replicado nessa instância? Isso também acontece automaticamente e é necessário para que as coisas funcionem adequadamente. Nota: Este certificado também pode ser utilizado para conectividade de Mensagens Instantâneas Públicas. Não será necessário fazer nada diferente com ele, pois as versões anteriores desta documentação foram listadas como uma tabela separada, e agora não são mais. |
| Borda Interna |
sfbedge.contoso.com |
N/D |
É possível obter este certificado a partir de uma AC pública ou interna. Ele precisará conter o EKU do servidor (Uso Avançado de Chave), e você precisará atribuí-lo à interface de borda interna. |
Se precisar de um certificado para o Protocolo XMPP (Extensible Messaging and Presence Protocol), este terá um aspeto idêntico às entradas da tabela do Edge Externo acima, mas terá as seguintes duas entradas SAN:
xmpp.contoso.com
*.contoso.com
Lembre-se de que, atualmente, o XMPP só é suportado no Skype for Business Server para o Google Talk. Se quiser ou precisar de utilizá-lo para qualquer outra coisa, tem de confirmar essa funcionalidade com o fornecedor de terceiros envolvido.
Planejamento de porta e de firewall
Obter o seu planeamento correto para portas e firewalls para implementações do Skype for Business Server Edge Server pode poupar-lhe dias ou semanas de resolução de problemas e esforço. Como resultado, vamos listar algumas tabelas que indicarão nosso uso do protocolo e quais portas você precisa abrir, internas e externas, tanto para cenários NAT e de IP público. Também temos tabelas separadas para cenários com balanceamento de carga de hardware (HLB) e mais algumas orientações sobre isso. Para obter mais leitura a partir daí, também temos alguns cenários do Edge Server no Skype for Business Server pode marcar para as suas preocupações de implementação específicas.
Uso Geral do Protocolo
Antes de observarmos as tabelas de resumo para firewalls internos e externos, vejamos a tabela a seguir:
| Transporte de áudio/vídeo | Uso |
|---|---|
| UDP |
Protocolo de camada de transporte preferido para áudio e vídeo. |
| TCP |
Protocolo de camada de transporte de fallback para áudio e vídeo. O protocolo de camada de transporte necessário para a partilha de aplicações para Skype for Business Server, Lync Server 2013 e Lync Server 2010. O protocolo de camada de transporte necessário para a transferência de ficheiros para Skype for Business Server, Lync Server 2013 e Lync Server 2010. |
Tabela de resumo de firewall da porta externa
O endereço IP de origem e o endereço IP de destino conterão informações para usuários que estão usando endereços IP privados com NAT, bem como para as pessoas que utilizam endereços IP públicos. Esta ação abrangerá todas as permutações nos nossos cenários do Edge Server na secção Skype for Business Server.
| Função ou protocolo | TCP ou UDP | Porta de Destino ou intervalo de portas | Endereço IP de Origem | Endereço IP de Destino | Anotações |
|---|---|---|---|---|---|
| XMPP Não suportado no Skype for Business Server 2019 |
TCP |
5269 |
Qualquer um |
Serviço Proxy XMPP (partilha um endereço IP com o serviço Access Edge) |
O serviço Proxy XMPP aceita tráfego de contactos XMPP em federações XMPP definidas. |
| Acesso/HTTP |
TCP |
80 |
IP privado com NAT: Serviço Edge do Edge Access Edge IP Público: Endereço IP público do serviço Edge Access Edge do Edge |
Qualquer um |
Revocação de certificado e verificação e recuperação de CRL |
| Acesso/DNS |
TCP |
53 |
IP privado com NAT: Serviço Edge do Edge Access Edge IP Público: Endereço IP público do serviço Edge Access Edge do Edge |
Qualquer um |
Consulta DNS sobre TCP |
| Acesso/DNS |
UDP |
53 |
IP privado com NAT: Serviço Edge do Edge Access Edge IP Público: Endereço IP público do serviço Edge Access Edge do Edge |
Qualquer um |
Consulta DNS sobre UDP |
| Acesso/SIP(TLS) |
TCP |
443 |
Qualquer um |
IP privado com NAT: Serviço Edge do Edge Access Edge IP Público: Endereço IP público do serviço Edge Access Edge do Edge |
Tráfego SIP do cliente ao servidor para o acesso do usuário externo. |
| Acesso/SIP(MTLS) |
TCP |
5061 |
Qualquer um |
IP privado com NAT: Serviço Edge do Edge Access Edge IP Público: Endereço IP público do serviço Edge Access Edge do Edge |
Para conectividade a IM federada e pública usando SIP |
| Acesso/SIP(MTLS) |
TCP |
5061 |
IP privado com NAT: Serviço Edge do Edge Access Edge IP Público: Endereço IP público do serviço Edge Access Edge do Edge |
Qualquer um |
Para conectividade a IM federada e pública usando SIP |
| Webconferência/PSOM(TLS) |
TCP |
443 |
Qualquer um |
IP privado com NAT: Serviço Edge Web Conferencing Edge IP Público: Endereço IP público do serviço Edge Conferências Web Conferências edge do Edge |
Suportes de dados de conferências Web. |
| A/V/RTP |
TCP |
50000-59999 |
IP privado com NAT: Serviço Edge Server A/V Edge IP Público: Endereço IP público do serviço Edge Server A/V Edge |
Qualquer um |
Usado para retransmitir o tráfego de mídia. |
| A/V/RTP |
UDP |
50000-59999 |
IP privado com NAT: Serviço Edge Server A/V Edge IP Público: Endereço IP público do serviço Edge Server A/V Edge |
Qualquer um |
Usado para retransmitir o tráfego de mídia. |
| A/V/STUN.MSTURN |
UDP |
3478 |
IP privado com NAT: Serviço Edge Server A/V Edge IP Público: Endereço IP público do serviço Edge Server A/V Edge |
Qualquer um |
Saída 3478 é: • Utilizado por Skype for Business Server para determinar a versão do Edge Server com a qual está a comunicar. • Utilizado para o tráfego de multimédia entre Servidores Edge. • Necessário para a federação com o Lync Server 2010. • Necessário se forem implementados vários conjuntos edge na sua organização. |
| A/V/STUN.MSTURN |
UDP |
3478 |
Qualquer um |
IP privado com NAT: Serviço Edge Server A/V Edge IP Público: Endereço IP público do serviço Edge Server A/V Edge |
Negociação de candidatos STUN/TURN sob UDP na porta 3478. |
| A/V/STUN.MSTURN |
TCP |
443 |
Qualquer um |
IP privado com NAT: Serviço Edge Server A/V Edge IP Público: Endereço IP público do serviço Edge Server A/V Edge |
Negociação de candidatos STUN/TURN sob TCP na porta 443. |
| A/V/STUN.MSTURN |
TCP |
443 |
IP privado com NAT: Serviço Edge Server A/V Edge IP Público: Endereço IP público do serviço Edge Server A/V Edge |
Qualquer um |
Negociação de candidatos STUN/TURN sob TCP na porta 443. |
Tabela de resumo do firewall da porta interna
| Protocolo | TCP ou UDP | Porta | Endereço IP de Origem | Endereço IP de Destino | Anotações |
|---|---|---|---|---|---|
| XMPP/MTLS |
TCP |
23456 |
Qualquer um dos seguintes executando o serviço de Gateway XMPP: • Servidor front-end • Conjunto de Front-end |
Interface interna do Edge Server |
Tráfego XMPP de saída do serviço de Gateway XMPP em execução no servidor front-end ou no conjunto de Front-end. Nota: Os Gateways e proxies XMPP estão disponíveis no Skype for Business Server 2015, mas já não são suportados no Skype for Business Server 2019. Veja Migrar a federação XMPP para obter mais informações. |
| SIP/MTLS |
TCP |
5061 |
Qualquer um: • Diretor • Conjunto de diretórios • Servidor front-end • Conjunto de Front-end |
Interface interna do Edge Server |
Tráfego SIP de saída do seu Diretório, Conjunto de diretórios, Servidor front-end ou conjunto de Front-end para a interface interna do Servidor Edge. |
| SIP/MTLS |
TCP |
5061 |
Interface interna do Edge Server |
Qualquer um: • Diretor • Conjunto de diretórios • Servidor front-end • Conjunto de Front-end |
Tráfego SIP de entrada para o seu Diretório, Conjunto de diretórios, Servidor de Front-end ou conjunto de Front-End a partir da interface interna do Edge Server. |
| PSOM/MTLS |
TCP |
8057 |
Qualquer um: • Servidor front-end • Cada Servidor front-end no conjunto de Front-end |
Interface interna do Edge Server |
Tráfego de conferências Web do servidor front-end ou de cada Servidor front-end (se tiver um conjunto de Front-end) para a interface interna do Edge Server. |
| SIP/MTLS |
TCP |
5062 |
Qualquer um: • Servidor front-end • Conjunto de Front-end • Qualquer Aplicação de Ramo Sobrevivente que utilize este Servidor Edge • Qualquer Servidor de Ramo Sobrevivente que utilize este Servidor Edge |
Interface interna do Edge Server |
Autenticação de utilizadores A/V a partir do servidor front-end ou do conjunto de Front-end, da Aplicação de Ramo Sobrevivente ou do Servidor de Ramo Sobrevivente, utilizando o seu Servidor Edge. |
| STUN/MSTURN |
UDP |
3478 |
Qualquer um |
Interface interna do Edge Server |
Caminho preferencial para a transferência de multimédia A/V entre os seus utilizadores internos e externos e a Aplicação de Ramo Sobrevivente ou Servidor de Ramo Sobrevivente. |
| STUN/MSTURN |
TCP |
443 |
Qualquer um |
Interface interna do Edge Server |
Caminho de contingência para a transferência de multimédia A/V entre os utilizadores internos e externos e a Aplicação de Ramo Sobrevivente ou o Servidor de Ramo Sobrevivente, se a comunicação UDP não funcionar. Neste caso, o TCP é usado para transferência de arquivos e compartilhamento de área de trabalho. |
| HTTPS |
TCP |
4443 |
Qualquer um: • Servidor front-end que detém o arquivo de Gestão Central • Conjunto de Front-End que contém o arquivo de Gestão Central |
Interface interna do Edge Server |
Replicação de alterações do arquivo de Gestão Central para o Servidor Edge. |
| MTLS |
TCP |
50001 |
Qualquer um |
Interface interna do Edge Server |
Controlador do Serviço de Registo Centralizado com a Shell de Gestão de Skype for Business Server e cmdlets do Serviço de Registo Centralizado, a linha de comandos clsController (ClsController.exe) ou os comandos do agente (ClsAgent.exe) e a recolha de registos. |
| MTLS |
TCP |
50002 |
Qualquer um |
Interface interna do Edge Server |
Controlador do Serviço de Registo Centralizado com a Shell de Gestão de Skype for Business Server e cmdlets do Serviço de Registo Centralizado, a linha de comandos clsController (ClsController.exe) ou os comandos do agente (ClsAgent.exe) e a recolha de registos. |
| MTLS |
TCP |
50003 |
Qualquer um |
Interface interna do Edge Server |
Controlador do Serviço de Registo Centralizado com a Shell de Gestão de Skype for Business Server e cmdlets do Serviço de Registo Centralizado, a linha de comandos clsController (ClsController.exe) ou os comandos do agente (ClsAgent.exe) e a recolha de registos. |
Balanceadores de carga de hardware para tabelas da porta da Borda
Estamos a dar aos balanceadores de carga de hardware (HLBs) e às portas Edge a sua própria secção, uma vez que as coisas são um pouco mais complicadas com o outro hardware. Veja as tabelas seguintes para obter orientações para este cenário específico:
Tabela de resumo de firewall da porta externa
O endereço IP de origem e o endereço IP de destino conterão informações para usuários que estão usando endereços IP privados com NAT, bem como para as pessoas que utilizam endereços IP públicos. Esta ação abrangerá todas as permutações nos nossos cenários do Edge Server na secção Skype for Business Server.
| Função ou protocolo | TCP ou UDP | Porta de Destino ou intervalo de portas | Endereço IP de Origem | Endereço IP de Destino | Anotações |
|---|---|---|---|---|---|
| Acesso/HTTP |
TCP |
80 |
Endereço IP público do serviço Edge Access Edge do Edge |
Qualquer um |
Revocação de certificado e verificação e recuperação de CRL |
| Acesso/DNS |
TCP |
53 |
Endereço IP público do serviço Edge Access Edge do Edge |
Qualquer um |
Consulta DNS sobre TCP |
| Acesso/DNS |
UDP |
53 |
Endereço IP público do serviço Edge Access Edge do Edge |
Qualquer um |
Consulta DNS sobre UDP |
| A/V/RTP |
TCP |
50000-59999 |
Endereço IP do serviço Edge Server A/V Edge |
Qualquer um |
Usado para retransmitir o tráfego de mídia. |
| A/V/RTP |
UDP |
50000-59999 |
Endereço IP público do serviço Edge Server A/V Edge |
Qualquer um |
Usado para retransmitir o tráfego de mídia. |
| A/V/STUN.MSTURN |
UDP |
3478 |
Endereço IP público do serviço Edge Server A/V Edge |
Qualquer um |
Saída 3478 é: • Utilizado por Skype for Business Server para determinar a versão do Edge Server com a qual está a comunicar. • Utilizado para o tráfego de multimédia entre Servidores Edge. • Necessário para a federação. • Necessário se forem implementados vários conjuntos edge na sua organização. |
| A/V/STUN.MSTURN |
UDP |
3478 |
Qualquer um |
Endereço IP público do serviço Edge Server A/V Edge |
Negociação de candidatos STUN/TURN sob UDP na porta 3478. |
| A/V/STUN.MSTURN |
TCP |
443 |
Qualquer um |
Endereço IP público do serviço Edge Server A/V Edge |
Negociação de candidatos STUN/TURN sob TCP na porta 443. |
| A/V/STUN.MSTURN |
TCP |
443 |
Endereço IP público do serviço Edge Server A/V Edge |
Qualquer um |
Negociação de candidatos STUN/TURN sob TCP na porta 443. |
Tabela de resumo do firewall da porta interna
| Protocolo | TCP ou UDP | Porta | Endereço IP de Origem | Endereço IP de Destino | Anotações |
|---|---|---|---|---|---|
| XMPP/MTLS |
TCP |
23456 |
Qualquer um dos seguintes executando o serviço de Gateway XMPP: • Servidor front-end • Endereço VIP do conjunto de Front-End a executar o serviço de Gateway XMPP |
Interface interna do Edge Server |
Tráfego XMPP de saída do serviço de Gateway XMPP em execução no servidor front-end ou no conjunto de Front-end. Nota: Os Gateways e proxies XMPP estão disponíveis no Skype for Business Server 2015, mas já não são suportados no Skype for Business Server 2019. Veja Migrar a federação XMPP para obter mais informações. |
| HTTPS |
TCP |
4443 |
Qualquer um: • Servidor front-end que detém o arquivo de Gestão Central • Conjunto de Front-End que contém o arquivo de Gestão Central |
Interface interna do Edge Server |
Replicação de alterações do arquivo de Gestão Central para o Servidor Edge. |
| PSOM/MTLS |
TCP |
8057 |
Qualquer um: • Servidor front-end • Cada Servidor front-end no conjunto de Front-end |
Interface interna do Edge Server |
Tráfego de conferências Web do servidor front-end ou de cada Servidor front-end (se tiver um conjunto de Front-end) para a interface interna do Edge Server. |
| STUN/MSTURN |
UDP |
3478 |
Qualquer um: • Servidor front-end • Cada Servidor front-end no conjunto de Front-end |
Interface interna do Edge Server |
Caminho preferencial para a transferência de multimédia A/V entre os seus utilizadores internos e externos e a Aplicação de Ramo Sobrevivente ou Servidor de Ramo Sobrevivente. |
| STUN/MSTURN |
TCP |
443 |
Qualquer um: • Servidor front-end • Cada Servidor front-end no conjunto |
Interface interna do Edge Server |
Caminho de contingência para a transferência de multimédia A/V entre os utilizadores internos e externos e a Aplicação de Ramo Sobrevivente ou o Servidor de Ramo Sobrevivente, se a comunicação UDP não funcionar. Neste caso, o TCP é usado para transferência de arquivos e compartilhamento de área de trabalho. |
| MTLS |
TCP |
50001 |
Qualquer um |
Interface interna do Edge Server |
Controlador do Serviço de Registo Centralizado com a Shell de Gestão de Skype for Business Server e cmdlets do Serviço de Registo Centralizado, a linha de comandos clsController (ClsController.exe) ou os comandos do agente (ClsAgent.exe) e a recolha de registos. |
| MTLS |
TCP |
50002 |
Qualquer um |
Interface interna do Edge Server |
Controlador do Serviço de Registo Centralizado com a Shell de Gestão de Skype for Business Server e cmdlets do Serviço de Registo Centralizado, a linha de comandos clsController (ClsController.exe) ou os comandos do agente (ClsAgent.exe) e a recolha de registos. |
| MTLS |
TCP |
50003 |
Qualquer um |
Interface interna do Edge Server |
Controlador do Serviço de Registo Centralizado com a Shell de Gestão de Skype for Business Server e cmdlets do Serviço de Registo Centralizado, a linha de comandos clsController (ClsController.exe) ou os comandos do agente (ClsAgent.exe) e a recolha de registos. |
IPs virtuais da interface externa
| Função ou protocolo | TCP ou UDP | Porta de Destino ou intervalo de portas | Endereço IP de Origem | Endereço IP de Destino | Anotações |
|---|---|---|---|---|---|
| XMPP Não Suportado no Skype para Empresas Server 2019 |
TCP |
5269 |
Qualquer um |
Serviço Proxy XMPP (partilha um endereço IP com o serviço Access Edge) |
O serviço Proxy XMPP aceita tráfego de contactos XMPP em federações XMPP definidas. |
| XMPP Não Suportado no Skype para Empresas Server 2019 |
TCP |
5269 |
Serviço Proxy XMPP (partilha um endereço IP com o serviço Access Edge) |
Qualquer um |
O serviço Proxy XMPP envia tráfego de contactos XMPP em federações XMPP definidas. |
| Acesso/SIP(TLS) |
TCP |
443 |
Qualquer um |
IP privado com NAT: Serviço Edge do Edge Access Edge IP Público: Endereço IP público do serviço Edge Access Edge do Edge |
Tráfego SIP do cliente ao servidor para o acesso do usuário externo. |
| Acesso/SIP(MTLS) |
TCP |
5061 |
Qualquer um |
IP privado com NAT: Serviço Edge do Edge Access Edge IP Público: Endereço IP público do serviço Edge Access Edge do Edge |
Para conectividade a IM federada e pública usando SIP |
| Acesso/SIP(MTLS) |
TCP |
5061 |
IP privado com NAT: Serviço Edge do Edge Access Edge IP Público: Endereço IP público do serviço Edge Access Edge do Edge |
Qualquer um |
Para conectividade a IM federada e pública usando SIP |
| Webconferência/PSOM(TLS) |
TCP |
443 |
Qualquer um |
IP privado com NAT: Serviço Edge Web Conferencing Edge IP Público: Endereço IP público do serviço Edge Conferências Web Conferências edge do Edge |
Suportes de dados de conferências Web. |
| A/V/STUN.MSTURN |
UDP |
3478 |
Qualquer um |
IP privado com NAT: Serviço Edge Server A/V Edge IP Público: Endereço IP público do serviço Edge Server A/V Edge |
Negociação de candidatos STUN/TURN sob UDP na porta 3478. |
| A/V/STUN.MSTURN |
TCP |
443 |
Qualquer um |
IP privado com NAT: Serviço Edge Server A/V Edge IP Público: Endereço IP público do serviço Edge Server A/V Edge |
Negociação de candidatos STUN/TURN sob TCP na porta 443. |
IPs virtuais da interface interna
Nossa orientação aqui será um pouco diferente. Na realidade, em uma situação HLB, recomendamos que você tenha apenas roteamento por meio de um VIP interno sob as seguintes circunstâncias:
Se estiver a utilizar o Exchange 2007 ou o Exchange 2010 Unified Messaging (UM).
Se você tiver clientes herdados usando a Borda.
A tabela seguinte fornece orientações para esses cenários, mas caso contrário, deve ser capaz de depender do Arquivo de Gestão Central (CMS) para encaminhar o tráfego para o Servidor Edge individual de que está ciente (isto requer que o CMS seja mantido atualizado sobre as informações do Servidor Edge, claro).
| Protocolo | TCP ou UDP | Porta | Endereço IP de Origem | Endereço IP de Destino | Anotações |
|---|---|---|---|---|---|
| Acesso/SIP(MTLS) |
TCP |
5061 |
Qualquer um: • Diretor • Endereço VIP do conjunto de diretórios • Servidor front-end • Endereço VIP do conjunto de Front-end |
Interface interna do Edge Server |
Tráfego SIP de saída do diretório, endereço VIP do conjunto de diretórios, Servidor de Front-end ou endereço VIP do conjunto de Front-end para a interface interna do Servidor Edge. |
| Acesso/SIP(MTLS) |
TCP |
5061 |
Interface VIP interna do Edge Server |
Qualquer um: • Diretor • Endereço VIP do conjunto de diretórios • Servidor front-end • Endereço VIP do conjunto de Front-end |
Tráfego SIP de entrada para o diretório, endereço VIP do conjunto de diretórios, Servidor de Front-end ou endereço VIP do conjunto de Front-End da interface interna do Servidor Edge. |
| SIP/MTLS |
TCP |
5062 |
Qualquer um: • Endereço IP do Servidor front-end • Endereço IP do conjunto de Front-end • Qualquer Aplicação de Ramo Sobrevivente que utilize este Servidor Edge • Qualquer Servidor de Ramo Sobrevivente que utilize este Servidor Edge |
Interface interna do Edge Server |
Autenticação de utilizadores A/V a partir do servidor front-end ou do conjunto de Front-end, da Aplicação de Ramo Sobrevivente ou do Servidor de Ramo Sobrevivente, utilizando o seu Servidor Edge. |
| STUN/MSTURN |
UDP |
3478 |
Qualquer um |
Interface interna do Edge Server |
Caminho preferencial para transferência de mídia A/V entre usuários internos e externos |
| STUN/MSTURN |
TCP |
443 |
Qualquer um |
Interface VIP interna do Edge Server |
Caminho de contingência para a transferência de multimédia A/V entre os utilizadores internos e externos se a comunicação UDP não funcionar. Neste caso, o TCP é usado para transferência de arquivos e compartilhamento de área de trabalho. |