Resumo de porta - borda consolidada em escala com balanceadores de carga de hardware no Lync Server 2013
Tópico última modificação: 27-04-2015
A funcionalidade do Lync Server 2013, Servidor de Borda descrita nessa arquitetura de cenário é muito semelhante ao que foi implementado no Lync Server 2010. A adição mais perceptível é a porta 5269 sobre a entrada TCP para o protocolo de presença e mensagens extensível (XMPP). Opcionalmente, o Lync Server 2013 implanta um proxy XMPP no servidor de borda ou no pool de borda e no servidor de gateway XMPP no servidor front-end ou no pool de front-end.
Além de IPv4, o Servidor de Borda agora dá suporte a IPv6. Para maior clareza, somente IPv4 é usado nos cenários.
Borda consolidada em escala usando o balanceamento de carga de hardware
.jpg "protocolos")
do Servidor de Borda e da Rede de Perímetro do Servidor de Borda
Detalhes de protocolo e porta
É recomendável que você abra apenas as portas necessárias para dar suporte à funcionalidade para a qual você está fornecendo acesso externo.
Para que o acesso remoto funcione para qualquer serviço de borda, é obrigatório que o tráfego SIP tenha permissão para fluir bidirecionalmente, conforme mostrado na figura de tráfego de borda de entrada/saída. Declarado de outra forma, o sistema de mensagens SIP de e para o serviço do Access Edge está envolvido em mensagens instantâneas (IM), presença, webconferência, áudio/vídeo (A/V) e federação.
Resumo do firewall para borda consolidada em escala, balanceamento de carga de hardware: interface externa – nó 1 e nó 2 (exemplo)
| Função/Protocolo/TCP ou UDP/Porta | Endereço IP de Origem | Endereço IP de Destino | Notas |
|---|---|---|---|
Access/HTTP/TCP/80 |
Endereço IP público do serviço de Borda de Acesso ao Servidor de Borda de Borda |
Qualquer um |
Verificação e recuperação de CERTIFICADO revogado/CRL |
Access/DNS/TCP/53 |
Endereço IP público do serviço de Borda de Acesso ao Servidor de Borda de Borda |
Qualquer um |
Consulta DNS sobre TCP |
Access/DNS/UDP/53 |
Endereço IP público do serviço de Borda de Acesso ao Servidor de Borda de Borda |
Qualquer um |
Consulta DNS sobre UDP |
A/V/RTP/TCP/50.000-59.999 |
Endereço IP do serviço Edge A/V do Servidor de Borda de Borda |
Qualquer um |
Necessário para federação com parceiros que executam o Office Communications Server 2007, o Office Communications Server 2007 R2, o Lync Server 2010 e o Lync Server 2013. |
A/V/RTP/UDP/50.000-59.999 |
Endereço IP público do serviço A/V Edge do Servidor de Borda de Borda |
Qualquer um |
Necessário apenas para federação com parceiros que executam o Office Communications Server 2007. |
A/V/RTP/TCP/50.000-59.999 |
Qualquer um |
Endereço IP público do serviço A/V Edge do Servidor de Borda de Borda |
Necessário apenas para federação com parceiros que executam o Office Communications Server 2007 |
A/V/RTP/UDP/50.000-59.999 |
Qualquer um |
Endereço IP público do serviço A/V Edge do Servidor de Borda de Borda |
Necessário apenas para federação com parceiros que executam o Office Communications Server 2007 |
A/V/STUN,MSTURN/UDP/3478 |
Endereço IP público do serviço A/V Edge do Servidor de Borda de Borda |
Qualquer um |
A saída 3478 é usada para determinar a versão do Servidor de Borda com a qual o Lync Server está se comunicando e também para o tráfego de mídia do Servidor de Borda para o Servidor de Borda. Necessário para federação com o Lync Server 2010, Windows Live Messenger e Office Communications Server 2007 R2 e também se vários pools de borda são implantados em uma empresa. |
A/V/STUN,MSTURN/UDP/3478 |
Qualquer um |
Endereço IP público do serviço A/V Edge do Servidor de Borda de Borda |
Negociação STUN/TURN de candidatos sobre UDP/3478 |
A/V/STUN,MSTURN/TCP/443 |
Qualquer um |
Endereço IP público do serviço A/V Edge do Servidor de Borda de Borda |
Negociação STUN/TURN de candidatos por TCP/443 |
A/V/STUN,MSTURN/TCP/443 |
Endereço IP público do serviço A/V Edge do Servidor de Borda de Borda |
Qualquer um |
Negociação STUN/TURN de candidatos por TCP/443 |
Resumo do firewall para borda consolidada em escala, balanceamento de carga de hardware: nó 1 da interface interna e nó 2
| Função/Protocolo/TCP ou UDP/Porta | Endereço IP de Origem | Endereço IP de Destino | Notas |
|---|---|---|---|
XMPP/MTLS/TCP/23456 |
Qualquer (pode ser definido como endereço do Servidor Front-End ou endereço IP virtual do pool de Front-End executando o serviço de Gateway XMPP) |
Interface interna do Servidor de Borda |
Tráfego XMPP de saída do serviço gateway XMPP em execução no servidor Front-End ou no pool de Front-Ends |
HTTPS/TCP/4443 |
Qualquer (pode ser definido como o IP ou pool do servidor front-end que contém o repositório de Gerenciamento Central) |
Interface Interna do Servidor de Borda |
Replicação de alterações do repositório de Gerenciamento Central para o Servidor de Borda |
PSOM/MTLS/TCP/8057 |
Qualquer (pode ser definido como IP do diretor, IP do servidor front-end ou IP virtual do pool) |
Interface Interna do Servidor de Borda |
Tráfego de webconferência da implantação interna para a interface interna do Servidor de Borda |
STUN/MSTURN/UDP/3478 |
Qualquer (pode ser definido como IP do diretor, IP do servidor front-end ou IP virtual do pool) |
Interface Interna do Servidor de Borda |
Caminho preferencial para transferência de mídia A/V entre usuários internos e externos, Aparelho de Filial Persistente ou Servidor de Filial Persistente |
STUN/MSTURN/TCP/443 |
Qualquer (pode ser definido como IP do diretor, IP do servidor front-end ou IP virtual do pool) |
Interface Interna do Servidor de Borda |
Caminho de fallback para transferência de mídia A/V entre usuários internos e externos, Aparelho de Filial Persistente ou Servidor de Filial Persistente se a comunicação UDP não puder ser estabelecida, o TCP será usado para transferência de arquivos e compartilhamento de área de trabalho |
MTLS/TCP/50001 |
Qualquer um |
Interface interna do Servidor de Borda |
Controlador do Serviço de Log Centralizado usando o Shell de Gerenciamento do Lync Server e cmdlets do Serviço de Log Centralizado, comandos ClsController.exe (linha de comando) ou agente (ClsAgent.exe) e coleção de logs |
MTLS/TCP/50002 |
Qualquer um |
Interface interna do Servidor de Borda |
Controlador do Serviço de Log Centralizado usando o Shell de Gerenciamento do Lync Server e cmdlets do Serviço de Log Centralizado, comandos ClsController.exe (linha de comando) ou agente (ClsAgent.exe) e coleção de logs |
MTLS/TCP/50003 |
Qualquer um |
Interface interna do Servidor de Borda |
Controlador do Serviço de Log Centralizado usando o Shell de Gerenciamento do Lync Server e cmdlets do Serviço de Log Centralizado, comandos ClsController.exe (linha de comando) ou agente (ClsAgent.exe) e coleção de logs |
Os balanceadores de carga de hardware têm requisitos específicos quando implantados para fornecer disponibilidade e balanceamento de carga para o Lync Server. Os requisitos são definidos na figura e nas tabelas a seguir. Fornecedores de terceiros podem usar terminologia diferente para os requisitos definidos aqui. Será necessário mapear os requisitos do Lync Server para os recursos e as opções de configuração fornecidos pelo fornecedor do balanceador de carga de hardware.
Ao configurar balanceadores de carga de hardware, considere os seguintes requisitos:
A SNAT (Conversão de Endereços de Rede de Origem) pode ser configurada no HLB (balanceador de carga de hardware) para o serviço do Access Edge e o serviço de Borda de WebConferência
O SNAT não pode ser configurado no serviço A/V Edge– o serviço A/V Edge deve responder com o endereço do servidor real, não com o VIP (IP virtual) do HLB, para uma passagem simples de UDP sobre NAT (STUN)/passagem usando NAT de retransmissão (TURN)/FTURN (turno de federação) para funcionar corretamente
Se o cliente enviar uma solicitação para o HLB, a resposta deverá retornar do VIP HLB
Se o cliente enviar uma solicitação para o Edge, a resposta deverá retornar do IP do Edge
Os endereços IP públicos são usados em cada interface do servidor e nos VIPs do HLB, e seus requisitos de endereço IP público são N+1, em que há um endereço IP público para cada interface de servidor real e um para cada VIP HLB. Quando você tem dois servidores de borda no pool, isso resulta em 9 endereços IP públicos, em que 3 são usados para os VIPs HLB e um para cada interface do servidor de borda (um total de seis para os servidores)
Para o serviço do Access Edge e o serviço de Borda de WebConferência ( e usando NAT no HLB) o cliente entra em contato com o VIP, o VIP altera o endereço IP de origem do cliente para seu próprio endereço IP. A interface do servidor endereça o endereço de retorno para o VIP, o VIP altera o endereço IP da interface do servidor e envia o pacote para o cliente
Para o serviço A/V Edge, o VIP NÃO deve alterar o endereço IP de origem e o endereço do servidor real é retornado diretamente para o cliente– você não pode configurar NAT no HLB para tráfego AV
Se o cliente enviar uma solicitação para o VIP HLB, a resposta deverá retornar do VIP HLB
Se o cliente enviar uma solicitação para o IP do Edge, a resposta deverá retornar do IP do Edge
Para a AV, o firewall externo manterá o endereço IP público do servidor real para todos os pacotes
Depois de estabelecida, a comunicação do cliente com o serviço A/V Edge é para o servidor real, não para o HLB
A borda interna para servidores e clientes internos deve ser roteada e as rotas persistentes são definidas para todas as redes internas que hospedam servidores ou clientes
O VIP do serviço HLB Access Edge atuará como o gateway padrão para cada interface do servidor de Borda
Nota
Para obter mais informações sobre o planejamento e a funcionalidade da NAT, consulte os requisitos do balanceador de carga de hardware para o Lync Server 2013.
.jpg "e os protocolos do Servidor de Borda")
as portas
Configurações de porta externa necessárias para borda consolidada em escala, balanceamento de carga de hardware: IPs virtuais de interface externa
| Função/Protocolo/TCP ou UDP/Porta | Endereço IP de Origem | Endereço IP de Destino | Notas |
|---|---|---|---|
XMPP/TCP/5269 |
Qualquer um |
Serviço proxy XMPP (compartilha o endereço IP com o serviço do Access Edge) |
O serviço proxy XMPP aceita o tráfego de contatos XMPP em federações XMPP definidas |
XMPP/TCP/5269 |
Serviço proxy XMPP (compartilha o endereço IP com o serviço do Access Edge) |
Qualquer um |
O serviço proxy XMPP envia tráfego para contatos XMPP em federações XMPP definidas |
Access/SIP(TLS)/TCP/443 |
Qualquer um |
Endereço VIP público do serviço do Access Edge |
Tráfego SIP de cliente para servidor para acesso de usuário externo |
Access/SIP(MTLS)/TCP/5061 |
Qualquer um |
Endereço VIP público do serviço do Access Edge |
Sinalização SIP, conectividade de mensagens instantâneas federadas e públicas usando SIP |
Access/SIP(MTLS)/TCP/5061 |
Endereço VIP público do serviço do Access Edge |
Parceiro federado |
Sinalização SIP, conectividade de mensagens instantâneas federadas e públicas usando SIP |
Webconferência/PSOM(TLS)/TCP/443 |
Qualquer um |
Endereço VIP público do serviço Edge de WebConferência do Servidor de Borda |
Mídia de webconferência |
A/V/STUN,MSTURN/UDP/3478 |
Qualquer um |
Endereço VIP público do serviço A/V Edge do Servidor de Borda de Borda |
Negociação STUN/TURN de candidatos sobre UDP/3478 |
A/V/STUN,MSTURN/TCP/443 |
Qualquer um |
Endereço VIP público do serviço A/V Edge do Servidor de Borda de Borda |
Negociação STUN/TURN de candidatos por TCP/443 |
Resumo do firewall para borda consolidada em escala, balanceamento de carga de hardware: IPs virtuais de interface interna
| Função/Protocolo/TCP ou UDP/Porta | Endereço IP de Origem | Endereço IP de Destino | Notas |
|---|---|---|---|
Access/SIP(MTLS)/TCP/5061 |
Qualquer (pode ser definido como diretor, endereço IP virtual do pool de diretores, servidor front-end ou endereço IP virtual do pool de front-end) |
Interface VIP interna do servidor de borda |
Tráfego SIP de saída (do diretor, endereço IP virtual do pool de diretores, servidor front-end ou endereço IP virtual do pool de front-end)para VIP de borda interna |
Access/SIP(MTLS)/TCP/5061 |
Interface VIP interna do servidor de borda |
Qualquer (pode ser definido como diretor, endereço IP virtual do pool de diretores, servidor front-end ou endereço IP virtual do pool de front-end) |
Tráfego SIP de entrada (para o diretor, endereço IP virtual do pool de diretores, servidor front-end ou endereço IP virtual do pool de front-end) da interface interna do Servidor de Borda |
SIP/MTLS/TCP/5062 |
Qualquer (pode ser definido como endereço IP do servidor front-end, endereço IP do pool de front-end ou qualquer Dispositivo de Filial Persistente ou Servidor de Filial Persistente usando este Servidor de Borda) |
Interface VIP interna do servidor de borda |
Autenticação de usuários A/V (serviço de autenticação A/V) do servidor front-end ou endereço IP do pool de front-end ou qualquer Dispositivo de Filial Persistente ou Servidor de Filial Persistente usando este Servidor de Borda |
STUN/MSTURN/UDP/3478 |
Qualquer um |
Interface VIP interna do servidor de borda |
Caminho preferencial para transferência de mídia A/V entre usuários internos e externos |
STUN/MSTURN/TCP/443 |
Qualquer um |
Interface VIP interna do servidor de borda |
Caminho de fallback para transferência de mídia A/V entre usuários internos e externos se a comunicação UDP não puder ser estabelecida, o TCP será usado para transferência de arquivos e compartilhamento de área de trabalho |
STUN/MSTURN/TCP/443 |
Interface VIP interna do servidor de borda |
Qualquer um |
Caminho de fallback para transferência de mídia A/V entre usuários internos e externos se a comunicação UDP não puder ser estabelecida, o TCP será usado para transferência de arquivos e compartilhamento de área de trabalho |