Skype for Business Server中的边缘服务器环境要求
总结:了解 Skype for Business Server 中边缘服务器的环境要求。
许多规划和准备需要在Skype for Business Server边缘服务器环境本身之外进行。 本文中,我们将按照下面的列表回顾需要在组织环境中进行哪些准备工作:
拓扑规划
Skype for Business Server边缘服务器拓扑可以使用:
可路由的公用 IP 地址。
不可路由的专用 IP 地址(如果使用对称网络地址转换 (NAT))。
提示
边缘服务器可以配置为为每个服务使用具有不同端口的单个 IP 地址,也可以为每个服务使用不同的 IP 地址,但使用相同的默认端口 (默认端口为 TCP 443) 。 在后面的 IP 地址要求部分中,我们会介绍更多信息。
如果选择结合 NAT 使用不可路由的专用 IP 地址,请记住以下几点:
需要在所有三个外部接口上使用可路由的专用 IP 地址。
需要为传入和传出流量配置对称 NAT。 对称 NAT 是可用于 Skype for Business Server 边缘服务器的唯一受支持的 NAT。
将 NAT 配置为不要更改传入的源地址。 A/V Edge 服务需要能够接收传入源地址才能找到最佳媒体路径。
边缘服务器需要能够从其公共 A/V 边缘 IP 地址相互通信。 防火墙需要允许此流量。
如果使用 DNS 负载均衡,则 NAT 只能 用于缩放的合并边缘服务器。 如果使用硬件负载平衡 (HLB),那就需要使用无 NAT 的可公共路由的 IP 地址。
只要不使用硬件负载均衡) ,在路由器或防火墙后面为单一和缩放的合并边缘服务器 (拓扑执行对称 NAT,就不会遇到任何问题。
边缘服务器拓扑选项摘要
我们有多个拓扑选项可用于Skype for Business Server边缘服务器部署:
使用专用 IP 地址和 NAT 的单一合并边缘
使用公用 IP 地址的单一合并边缘
使用专用 IP 地址和 NAT 的扩展合并边缘
使用公用 IP 地址的扩展合并边缘
使用硬件负载平衡器的扩展合并边缘
为帮助你选择一种拓扑,我们准备了下表,该表提供了每种拓扑可选择哪些选项的摘要:
| 拓扑 | 高可用性 | 边缘池中的外部边缘服务器需要其他 DNS 记录? | Skype for Business Server会话的边缘故障转移 | Skype for Business Server联合会话的边缘故障转移 |
|---|---|---|---|---|
| 使用专用 IP 地址和 NAT 的单一合并边缘 |
否 |
否 |
否 |
否 |
| 使用公用 IP 地址的单一合并边缘 |
否 |
否 |
否 |
否 |
| 使用专用 IP 地址和 NAT 的扩展合并边缘(DNS 负载平衡) |
是 |
是 |
是 |
是的¹ |
| 使用公用 IP 地址的扩展合并边缘(DNS 负载平衡) |
是 |
是 |
是 |
是的¹ |
| 使用硬件负载平衡器的扩展合并边缘 |
是 |
不支持(每个 VIP 一个 DNS A 记录) |
是 |
是 |
¹ Exchange 统一消息 (UM) 使用 DNS 负载均衡的远程用户故障转移需要 Exchange 2013 或更高版本。
IP 地址要求
从基本层面上讲,三个服务需要 IP 地址:访问边缘服务、Web 会议边缘服务和 A/V 边缘服务。 可以选择使用三个 IP 地址,每种服务对应一个地址,也可以使用一个 IP 地址,并选择将每种服务置于不同的端口(有关这方面的更多信息,可查看Port and firewall planning)。 对于单一合并边缘环境,差不多就是这样。
注意
前面说过,你可以选择让所有三种服务使用同一个 IP 地址,但运行于不同的端口。 但需要澄清的是,我们不建议这样做。 如果客户无法访问你在这种情况下使用的备用端口,他们也就不能获得边缘环境的全部功能。
扩展合并拓扑可能稍微复杂一点,所以我们来看一下列出 IP 地址要求的几张表,同时请牢记,拓扑选择的主要决策点是高可用性和负载平衡。 高可用性需求可能影响负载平衡选择(在表的后面,我们将深入讨论)。
扩展合并边缘的 IP 地址要求(每个角色一个 IP 地址)
| 每个池的边缘服务器数 | DNS 负载平衡所需的 IP 地址数量 | 硬件负载平衡所需的 IP 地址数量 |
|---|---|---|
| 2 |
6 |
3(每个 VIP 1 个)6 |
| 3 |
9 |
3(每个 VIP 1 个)9 |
| 4 |
12 |
3(每个 VIP 1 个)12 |
| 5 |
15 |
3(每个 VIP 1 个)15 |
扩展合并边缘的 IP 地址要求(所有角色一个 IP 地址)
| 每个池的边缘服务器数 | DNS 负载平衡所需的 IP 地址数量 | 硬件负载平衡所需的 IP 地址数量 |
|---|---|---|
| 2 |
2 |
1(每个 VIP 1 个)2 |
| 3 |
3 |
1(每个 VIP 1 个)3 |
| 4 |
4 |
1(每个 VIP 1 个)4 |
| 5 |
5 |
1(每个 VIP 1 个)5 |
我们来看看规划时要考虑的一些其他事项。
高可用性:如果需要在部署中实现高可用性,则应在池中部署至少两个边缘服务器。 值得注意的是,单个边缘池最多支持 12 个边缘服务器 (但拓扑生成器允许你添加最多 20 个边缘服务器,但未测试或不支持,因此我们建议不要) 执行此操作。 如果需要超过 12 个边缘服务器,则应为其创建其他边缘池。
硬件负载均衡:建议在大多数情况下使用 DNS 负载均衡。 当然,硬件负载均衡也受支持,但值得注意的是,在 DNS 负载均衡的单个方案中需要它:
- 对 Exchange 2007 或 Exchange 2010 的外部访问 (没有 SP) 统一消息 (UM) 。
DNS 负载均衡:对于 UM,DNS 负载均衡支持 Exchange 2010 SP1 和更新版本。 请注意,如果需要为早期版本的 Exchange 使用 DNS 负载均衡,它将正常工作,但用于此的所有流量将流向池中的第一台服务器,如果它不可用,该流量随后将失败。
如果与使用的公司联合,则还建议使用 DNS 负载均衡:
Skype for Business Server 2015:
- Lync Server 2010
- Lync Server 2013
- Microsoft 365 或 Office 365
Skype for Business Server 2019:
- Lync Server 2013
- Skype for Business Server 2015
- Microsoft 365 或 Office 365
DNS 规划
当涉及到Skype for Business Server边缘服务器部署时,正确准备 DNS 至关重要。 如果正确的记录就位,部署就会容易得多。 但愿你选择了上一节中的拓扑,因为我们将作一下总结,然后列出几张表,这些表概列了适用于那些方案的 DNS 记录。 如果需要,我们还将针对Skype for Business Server进行一些高级边缘服务器 DNS 规划,以便进行更深入的阅读。
单个合并边缘服务器方案的 DNS 记录
这些将是使用公共 IP 或具有 NAT 的专用 IP 的单个边缘服务器所需的 DNS 记录。 因为这是示例数据,所以我们将提供示例 IP,便于你更容易地制定出自己的条目:
内部网络适配器:172.25.33.10 (未分配默认网关)
注意
确保有一个路由从包含 Edge 内部接口的网络到包含运行 Skype for Business Server 或 Lync Server 2013 客户端 (的任何网络,例如,从 172.25.33.0 到 192.168.10.0) 。
外部网络适配器:
公用 IP:
Access Edge:131.107.155.10 (这是主路由器,默认网关设置为公共路由器,例如:131.107.155.1)
Web 会议边缘:131.107.155.20 (辅助)
A/V Edge:131.107.155.30 (辅助)
Web 会议和 A/V Edge 公共 IP 地址是 Internet 协议版本 4 (TCP/IPv4) 和 Internet 协议版本 6 (TCP/IPv6) 的本地连接属性的“高级”部分中的附加 (辅助) IP 地址。
专用 IP:
Access Edge:10.45.16.10 (这是主要网关,默认网关设置为路由器,例如:10.45.16.1)
Web 会议边缘:10.45.16.20 (辅助)
A/V Edge:10.45.16.30 (辅助)
Web 会议和 A/V Edge 公共 IP 地址是 Internet 协议版本 4 (TCP/IPv4) 和 Internet 协议版本 6 (TCP/IPv6) 的本地连接属性的“高级”部分中的附加 (辅助) IP 地址。
提示
这里有其他可行的配置:
可以在外部网络适配器上使用一个 IP 地址。 我们不建议这样做,因为你需要区分使用不同的端口 (可以在Skype for Business Server) 但某些防火墙可能会阻止备用端口。 有关这方面的更多内容,请参阅Port and firewall planning一节。
可以准备三个外部网络适配器,而不是一个,为每个服务分配其中一个服务 IP。 为什么这样做? 因为这会分隔这些服务,如果出现问题,这更便于排查故障,并可能在你解决问题时,让其他服务继续运行。
| 位置 | 类型 | 端口 | FQDN 或 DNS 记录 | IP 地址或 FQDN | 注释 |
|---|---|---|---|---|---|
| 外部 DNS |
A 记录 |
NA |
sip.contoso.com |
public: 131.107.155.10 private: 10.45.16.10 |
Access Edge 服务的外部接口。 对于Skype for Business用户,每个 SIP 域都需要一个。 |
| 外部 DNS |
A 记录 |
NA |
webcon.contoso.com |
public: 131.107.155.20 private: 10.45.16.20 |
Web 会议边缘服务的外部接口。 |
| 外部 DNS |
A 记录 |
NA |
av.contoso.com |
public: 131.107.155.30 private: 10.45.16.30 |
A/V Edge 服务的外部接口。 |
| 外部 DNS |
SRV 记录 |
443 |
_sip._tls.contoso.com |
sip.contoso.com |
Access Edge 服务的外部接口。 Skype for Business Server、Lync Server 2013 和 Lync Server 2010 客户端在外部工作需要此 SRV 记录。 对于拥有Skype for Business用户的每个域,都需要一个域。 |
| 外部 DNS |
SRV 记录 |
5061 |
_sipfederationtls._tcp.contoso.com |
sip.contoso.com |
Access Edge 服务的外部接口。 称为“允许的 SIP 域”的联盟伙伴的自动 DNS 发现需要此 SRV 记录。 对于拥有Skype for Business用户的每个域,都需要一个域。 |
| 内部 DNS |
A 记录 |
NA |
sfvedge.contoso.net |
172.25.33.10 |
合并边缘的内部接口。 |
缩放 DNS 和硬件边缘服务器方案的 DNS 记录
这些将是使用公共 IP 或具有 NAT 的专用 IP 的单个边缘服务器所需的 DNS 记录。 因为这是示例数据,所以我们将提供示例 IP,便于你更容易地制定出自己的条目:
内部网络适配器:
节点 1:172.25.33.10(未分配默认网关的地址)
节点 2:172.25.33.11(未分配默认网关的地址)
注意
确保有一个路由从包含 Edge 内部接口的网络到包含运行 Skype for Business Server 或 Lync Server 2013 客户端 (的任何网络,例如,从 172.25.33.0 到 192.168.10.0) 。
外部网络适配器:
节点 1
公用 IP:
Access Edge:131.107.155.10 (这是主路由器,默认网关设置为公共路由器,例如:131.107.155.1)
Web 会议边缘:131.107.155.20 (辅助)
A/V Edge:131.107.155.30 (辅助)
Web 会议和 A/V Edge 公共 IP 地址是 Internet 协议版本 4 (TCP/IPv4) 和 Internet 协议版本 6 (TCP/IPv6) 的本地连接属性的“高级”部分中的附加 (辅助) IP 地址。
专用 IP:
Access Edge:10.45.16.10 (这是主要网关,默认网关设置为路由器,例如:10.45.16.1)
Web 会议边缘:10.45.16.20 (辅助)
A/V Edge:10.45.16.30 (辅助)
Web 会议和 A/V Edge 公共 IP 地址是 Internet 协议版本 4 (TCP/IPv4) 和 Internet 协议版本 6 (TCP/IPv6) 的本地连接属性的“高级”部分中的附加 (辅助) IP 地址。
节点 2
公用 IP:
Access Edge:131.107.155.11 (这是主路由器,默认网关设置为公共路由器,例如:131.107.155.1)
Web 会议边缘:131.107.155.21 (辅助)
A/V Edge:131.107.155.31 (辅助)
Web 会议和 A/V Edge 公共 IP 地址是 Internet 协议版本 4 (TCP/IPv4) 和 Internet 协议版本 6 (TCP/IPv6) 的本地连接属性的“高级”部分中的附加 (辅助) IP 地址。
专用 IP:
Access Edge:10.45.16.11 (这是主网关,默认网关设置为路由器,例如:10.45.16.1)
Web 会议边缘:10.45.16.21 (辅助)
A/V Edge:10.45.16.31 (辅助)
Web 会议和 A/V Edge 公共 IP 地址是 Internet 协议版本 4 (TCP/IPv4) 和 Internet 协议版本 6 (TCP/IPv6) 的本地连接属性的“高级”部分中的附加 (辅助) IP 地址。
这里有其他可行的配置:
可以在外部网络适配器上使用一个 IP 地址。 我们不建议这样做,因为你需要区分使用不同的端口 (可以在Skype for Business Server) 但某些防火墙可能会阻止备用端口。 有关这方面的更多内容,请参阅Port and firewall planning一节。
可以准备三个外部网络适配器,而不是一个,为每个服务分配其中一个服务 IP。 为什么这样做? 因为这会分隔这些服务,如果出现问题,这更便于排查故障,并可能在你解决问题时,让其他服务继续运行。
| 位置 | 类型 | 端口 | FQDN 或 DNS 记录 | IP 地址或 FQDN | 注释 |
|---|---|---|---|---|---|
| 外部 DNS |
A 记录 |
NA |
sip.contoso.com |
public: 131.107.155.10 和 131.107.155.11 private: 10.45.16.10 和 10.45.16.11 |
Access Edge 服务的外部接口。 对于Skype for Business用户,每个 SIP 域都需要一个。 |
| 外部 DNS |
A 记录 |
NA |
webcon.contoso.com |
public: 131.107.155.20 和 131.107.155.21 private: 10.45.16.20 和 10.45.16.21 |
Web 会议边缘服务的外部接口。 |
| 外部 DNS |
A 记录 |
NA |
av.contoso.com |
public: 131.107.155.30 和 131.107.155.31 private: 10.45.16.30 和 10.45.16.31 |
A/V Edge 服务的外部接口。 |
| 外部 DNS |
SRV 记录 |
443 |
_sip._tls.contoso.com |
sip.contoso.com |
Access Edge 服务的外部接口。 Skype for Business Server、Lync Server 2013 和 Lync Server 2010 客户端在外部工作需要此 SRV 记录。 对于具有Skype for Business的每个域,都需要一个。 |
| 外部 DNS |
SRV 记录 |
5061 |
_sipfederationtls._tcp.contoso.com |
sip.contoso.com |
Access Edge 服务的外部接口。 称为“允许的 SIP 域”的联盟伙伴的自动 DNS 发现需要此 SRV 记录。 对于具有Skype for Business的每个域,都需要一个。 |
| 内部 DNS |
A 记录 |
NA |
sfvedge.contoso.net |
172.25.33.10 和 172.25.33.11 |
合并边缘的内部接口。 |
联盟的 DNS 记录(所有方案)
| 位置 | 类型 | 端口 | Fqdn | FQDN 主机记录 | 注释 |
|---|---|---|---|---|---|
| 外部 DNS |
SRV |
5061 |
_sipfederationtls_tcp.contoso.com |
sip.contoso.com |
自动 DNS 发现所需的 SIP 访问 Edge 外部接口。 由其他潜在的联盟伙伴使用。 它也称为“允许 SIP 域”。对于具有Skype for Business用户的每个 SIP 域,需要其中一个。 注意: 你将需要此 SRV 记录来实现移动性和推送通知信息交换所。 |
可扩展消息传递和状态协议的 DNS 记录
| 位置 | 类型 | 端口 | Fqdn | IP 地址或 FQDN 主机记录 | 注释 |
|---|---|---|---|---|---|
| 外部 DNS |
SRV |
5269 |
_xmpp-server._tcp.contoso.com |
xmpp.contoso.com |
Access Edge 服务或边缘池上的 XMPP 代理接口。 对于启用了Skype for Business Server用户的所有内部 SIP 域,需要根据需要重复此操作,其中允许通过以下方式与 XMPP 联系人联系: • 全局策略 • 启用用户的站点策略 • 应用于已启用Skype for Business Server的用户的用户策略 在 XMPP 联盟用户策略中,还需要配置允许的 XMPP 策略。 |
| 外部 DNS |
SRV |
A |
xmpp.contoso.com |
托管 XMPP 代理服务的边缘服务器或边缘池上的访问边缘服务的 IP 地址 |
这指向托管 XMPP 代理服务的边缘服务器或边缘池上的 Access Edge 服务。 通常,你创建的 SRV 记录将指向主机(A 或 AAAA)记录。 |
注意
XMPP 网关和代理在 2015 Skype for Business Server可用,但在 2019 Skype for Business Server不再受支持。 有关详细信息 ,请参阅迁移 XMPP 联合身份验证 。
证书规划
Skype for Business Server使用证书进行服务器之间以及从服务器到客户端的安全加密通信。 正如你料想的那样,证书需要服务器的 DNS 记录与证书中的任何使用者名称 (SN) 和使用者替代名称 (SAN) 匹配。 在规划阶段,现在这需要花些功夫,确保在 DNS 中注册对应于证书 SN 和 SAN 条目的正确 FQDN。
我们将分别讨论外部和内部证书需求,然后查看提供两种需求的表。
外部证书
分配给外部边缘服务器接口的证书至少需要由公共证书颁发机构 (CA) 提供。 我们无法向你推荐特定的 CA,但我们确实提供了 CA 和 统一通信证书合作伙伴 的列表,你可以查看该列表以查看你的首选 CA 是否已列出。
你什么时候需要向 CA 提出申请,索要这份公共证书,如何提出申请? 有几种方式可以完成申请:
可以完成Skype for Business Server的安装,然后完成边缘服务器部署。 Skype for Business Server部署向导将有一个步骤来生成证书请求,然后可以将该请求发送到所选的 CA。
如果更符合业务需求或部署策略,还可以使用Windows PowerShell命令生成此请求。
最后,CA 可能有自己的提交过程,这可能还涉及Windows PowerShell或其他方法。 这种情况下,除了此处提供的供你参考的信息外,你还需要依靠他们的文档。
获取证书后,需要继续将其分配给Skype for Business Server中的以下服务:
访问边缘服务接口
Web 会议边缘服务接口
音频/视频身份验证服务 (不会将此与 A/V Edge 服务混淆,因为该服务不使用证书来加密音频和视频流)
重要
如果边缘服务器属于同一个边缘服务器池,则所有边缘服务器 () 需要拥有完全相同的证书,以及媒体中继身份验证服务的相同私钥。
内部证书
对于内部边缘服务器接口,可以使用来自公共 CA 的公共证书或从组织内部 CA 颁发的证书。 对于内部证书,需要记住的一点是,它使用 SN 条目,没有 SAN 条目,因此你根本不用关心内部证书的 SAN。
所需证书表
这里有一个表可帮助你申请证书。 此处的 FQDN 条目只适用于示例域。 你需要根据自己的专用域和公共域提出申请,不过这里有我们所用内容的指南:
contoso.com:公共 FQDN
fabrikam.com:第二个公共 FQDN (添加为演示,演示如果你有多个 SIP 域)
Contoso.net:内部域
边缘证书表
无论是执行单个边缘服务器还是边缘池,证书都需要满足以下要求:
| 组件 | 使用者名称 (SN) | 使用者替代名称 (SAN)/顺序 | 注释 |
|---|---|---|---|
| 外部边缘 |
sip.contoso.com |
sip.contoso.com webcon.contoso.com sip.fabrikam.com |
这是需要从公共 CA 申请获得的证书。 需要将其分配给以下服务的外部边缘接口: • Access Edge • Web 会议边缘 • 音频/视频身份验证 好消息是,SAN 会自动添加到证书请求,因此在提交请求后,根据在拓扑生成器中为此部署定义的内容,将证书添加到证书。 你只需要添加任何其他 SIP 域的 SAN 条目或需要支持的其他条目。 为什么此例中会复制 sip.contoso.com? 这也是自动发生的,为了让系统正常工作,需要如此。 注意: 此证书还可用于公共即时消息连接。 对此,你无需进行任何其他操作,但是在本文档以前的版本中,这作为单独的表列出,而现在不是。 |
| 内部边缘 |
sfbedge.contoso.com |
NA |
可以从公共 CA 或内部 CA 获得此证书。 该证书需要包含服务器 EKU(增强型密钥使用),你要将其分配给内部边缘界面。 |
如果可扩展消息传递和状态协议 (XMPP) 需要证书,该证书看上去与上面的外部边缘表条目完全相同,但是有以下两条额外的 SAN 条目:
Xmpp。contoso.com
*.contoso.com
请记住,目前 XMPP 仅在 Google Talk Skype for Business Server中受支持,如果想要或需要将其用于任何其他内容,则需要与涉及的第三方供应商确认该功能。
端口和防火墙规划
正确规划Skype for Business Server边缘服务器部署的端口和防火墙可以节省数天或数周的故障排除和压力。 因此,我们会列出几张表,这些表指出了我们的协议用途,以及对于 NAT 和公共 IP 方案,需要开放哪些端口,包括入站和出站。 我们还针对硬件负载平衡方案 (HLB) 提供了单独的表,以及这方面的进一步指导。 有关详细信息,我们还提供了一些边缘服务器方案,Skype for Business Server你可以针对特定的部署问题检查。
常规协议用途
在查看外部和内部防火墙的摘要表之前,让我们同样考虑下面的表:
| 音频/视频传输 | 用法 |
|---|---|
| UDP |
音频和视频的首选传输层协议。 |
| TCP |
音频和视频的回退传输层协议。 与 Skype for Business Server、Lync Server 2013 和 Lync Server 2010 共享应用程序所需的传输层协议。 将文件传输到 Skype for Business Server、Lync Server 2013 和 Lync Server 2010 所需的传输层协议。 |
外部端口防火墙摘要表
源 IP 地址和目标 IP 地址将包含相应的信息,这些信息可供结合 NAT 使用专用 IP 地址的用户,以及使用公用 IP 地址的用户使用。 这将在 Skype for Business Server 部分中介绍边缘服务器方案中的所有排列。
| 角色或协议 | TCP 或 UDP | 目标端口或端口范围 | 源 IP 地址 | 目标 IP 地址 | 注释 |
|---|---|---|---|---|---|
| XMPP 2019 Skype for Business Server不支持 |
TCP |
5269 |
任意 |
XMPP 代理服务 (与 Access Edge 服务共享 IP 地址 |
XMPP 代理服务在定义的 XMPP 联合中接受来自 XMPP 联系人的流量。 |
| 访问/HTTP |
TCP |
80 |
使用 NAT 的专用 IP: 边缘服务器访问边缘服务 公共 IP: 边缘服务器访问边缘服务公共 IP 地址 |
任意 |
证书吊销和 CRL 检查和检索。 |
| 访问/DNS |
TCP |
53 |
使用 NAT 的专用 IP: 边缘服务器访问边缘服务 公共 IP: 边缘服务器访问边缘服务公共 IP 地址 |
任意 |
通过 TCP 的 DNS 查询。 |
| 访问/DNS |
UDP |
53 |
使用 NAT 的专用 IP: 边缘服务器访问边缘服务 公共 IP: 边缘服务器访问边缘服务公共 IP 地址 |
任意 |
通过 UDP 的 DNS 查询。 |
| 访问/SIP(TLS) |
TCP |
443 |
任意 |
使用 NAT 的专用 IP: 边缘服务器访问边缘服务 公共 IP: 边缘服务器访问边缘服务公共 IP 地址 |
外部用户访问的客户端到服务器 SIP 通信。 |
| 访问/SIP(MTLS) |
TCP |
5061 |
任意 |
使用 NAT 的专用 IP: 边缘服务器访问边缘服务 公共 IP: 边缘服务器访问边缘服务公共 IP 地址 |
适用于使用 SIP 的联盟和公共 IM 连接。 |
| 访问/SIP(MTLS) |
TCP |
5061 |
使用 NAT 的专用 IP: 边缘服务器访问边缘服务 公共 IP: 边缘服务器访问边缘服务公共 IP 地址 |
任意 |
适用于使用 SIP 的联盟和公共 IM 连接。 |
| Web 会议/PSOM(TLS) |
TCP |
443 |
任意 |
使用 NAT 的专用 IP: 边缘服务器 Web 会议边缘服务 公共 IP: 边缘服务器 Web 会议边缘服务公共 IP 地址 |
Web 会议媒体。 |
| A/V/RTP |
TCP |
50000-59999 |
使用 NAT 的专用 IP: 边缘服务器 A/V 边缘服务 公共 IP: 边缘服务器 A/V 边缘服务公共 IP 地址 |
任意 |
这可以用于中继媒体流量。 |
| A/V/RTP |
UDP |
50000-59999 |
使用 NAT 的专用 IP: 边缘服务器 A/V 边缘服务 公共 IP: 边缘服务器 A/V 边缘服务公共 IP 地址 |
任意 |
这可以用于中继媒体流量。 |
| A/V/STUN.MSTURN |
UDP |
3478 |
使用 NAT 的专用 IP: 边缘服务器 A/V 边缘服务 公共 IP: 边缘服务器 A/V 边缘服务公共 IP 地址 |
任意 |
3478 出站: • 由Skype for Business Server用于确定它与之通信的边缘服务器版本。 • 用于边缘服务器之间的媒体流量。 • 需要与 Lync Server 2010 联合。 • 如果组织内部署了多个 Edge 池,则需要。 |
| A/V/STUN.MSTURN |
UDP |
3478 |
任意 |
使用 NAT 的专用 IP: 边缘服务器 A/V 边缘服务 公共 IP: 边缘服务器 A/V 边缘服务公共 IP 地址 |
在端口 3478 上通过 UDP 进行的候选项 STUN/TURN 协商。 |
| A/V/STUN.MSTURN |
TCP |
443 |
任意 |
使用 NAT 的专用 IP: 边缘服务器 A/V 边缘服务 公共 IP: 边缘服务器 A/V 边缘服务公共 IP 地址 |
在端口 443 上通过 TCP 进行的候选项 STUN/TURN 协商。 |
| A/V/STUN.MSTURN |
TCP |
443 |
使用 NAT 的专用 IP: 边缘服务器 A/V 边缘服务 公共 IP: 边缘服务器 A/V 边缘服务公共 IP 地址 |
任意 |
在端口 443 上通过 TCP 进行的候选项 STUN/TURN 协商。 |
内部端口防火墙摘要表
| 协议 | TCP 或 UDP | 端口 | 源 IP 地址 | 目标 IP 地址 | 注释 |
|---|---|---|---|---|---|
| XMPP/MTLS |
TCP |
23456 |
运行 XMPP 网关服务的以下任一项: • 前端服务器 • 前端池 |
边缘服务器内部接口 |
来自前端服务器或前端池上运行的 XMPP 网关服务的出站 XMPP 流量。 注意:XMPP 网关和代理在 2015 Skype for Business Server可用,但在 2019 Skype for Business Server不再受支持。 有关详细信息 ,请参阅迁移 XMPP 联合身份验证 。 |
| SIP/MTLS |
TCP |
5061 |
任意: •导演 • 控制器池 • 前端服务器 • 前端池 |
边缘服务器内部接口 |
从控制器、控制器池、前端服务器或前端池到边缘服务器内部接口的出站 SIP 流量。 |
| SIP/MTLS |
TCP |
5061 |
边缘服务器内部接口 |
任意: •导演 • 控制器池 • 前端服务器 • 前端池 |
从边缘服务器内部接口流向控制器、控制器池、前端服务器或前端池的入站 SIP 流量。 |
| PSOM/MTLS |
TCP |
8057 |
任意: • 前端服务器 • 每个前端服务器 在前端池中 |
边缘服务器内部接口 |
如果前端池) 边缘服务器内部接口,则来自前端服务器或每个前端服务器的 Web 会议流量 (。 |
| SIP/MTLS |
TCP |
5062 |
任意: • 前端服务器 • 前端池 • 使用此边缘服务器的任何可幸存分支设备 • 使用此边缘服务器的任何可幸存分支服务器 |
边缘服务器内部接口 |
使用边缘服务器对前端服务器或前端池、Survivable Branch Appliance 或 Survivable Branch Server 中的 A/V 用户进行身份验证。 |
| STUN/MSTURN |
UDP |
3478 |
任意 |
边缘服务器内部接口 |
内部和外部用户与 Survivable Branch Appliance 或 Survivable Branch Server 之间的 A/V 媒体传输的首选路径。 |
| STUN/MSTURN |
TCP |
443 |
任意 |
边缘服务器内部接口 |
如果 UDP 通信不起作用,则用于内部和外部用户与 Survivable Branch Appliance 或 Survivable Branch Server 之间的 A/V 媒体传输的回退路径。 然后 TCP 用于文件传输和桌面共享。 |
| HTTPS |
TCP |
4443 |
任意: • 保存中央管理存储的前端服务器 • 用于保存中央管理存储的前端池 |
边缘服务器内部接口 |
将更改从中央管理存储复制到边缘服务器。 |
| MTLS |
TCP |
50001 |
任意 |
边缘服务器内部接口 |
使用 Skype for Business Server Management Shell 和集中日志记录服务 cmdlet、ClsController 命令行 (ClsController.exe) 或代理 (ClsAgent.exe) 命令和日志收集的集中式日志记录服务控制器。 |
| MTLS |
TCP |
50002 |
任意 |
边缘服务器内部接口 |
使用 Skype for Business Server Management Shell 和集中日志记录服务 cmdlet、ClsController 命令行 (ClsController.exe) 或代理 (ClsAgent.exe) 命令和日志收集的集中式日志记录服务控制器。 |
| MTLS |
TCP |
50003 |
任意 |
边缘服务器内部接口 |
使用 Skype for Business Server Management Shell 和集中日志记录服务 cmdlet、ClsController 命令行 (ClsController.exe) 或代理 (ClsAgent.exe) 命令和日志收集的集中式日志记录服务控制器。 |
边缘的硬件负载平衡器端口表
我们在其各自的小节中提供了硬件负载平衡器 (HLB) 和边缘端口,因为额外的硬件稍微有点复杂。 请参阅下面的表,获得此特定方案的指南:
外部端口防火墙摘要表
源 IP 地址和目标 IP 地址将包含相应的信息,这些信息可供结合 NAT 使用专用 IP 地址的用户,以及使用公用 IP 地址的用户使用。 这将在 Skype for Business Server 部分中介绍边缘服务器方案中的所有排列。
| 角色或协议 | TCP 或 UDP | 目标端口或端口范围 | 源 IP 地址 | 目标 IP 地址 | 注释 |
|---|---|---|---|---|---|
| 访问/HTTP |
TCP |
80 |
边缘服务器访问边缘服务公共 IP 地址 |
任意 |
证书吊销和 CRL 检查和检索。 |
| 访问/DNS |
TCP |
53 |
边缘服务器访问边缘服务公共 IP 地址 |
任意 |
通过 TCP 的 DNS 查询。 |
| 访问/DNS |
UDP |
53 |
边缘服务器访问边缘服务公共 IP 地址 |
任意 |
通过 UDP 的 DNS 查询。 |
| A/V/RTP |
TCP |
50000-59999 |
边缘服务器 A/V 边缘服务 IP 地址 |
任意 |
这可以用于中继媒体流量。 |
| A/V/RTP |
UDP |
50000-59999 |
边缘服务器 A/V 边缘服务公共 IP 地址 |
任意 |
这可以用于中继媒体流量。 |
| A/V/STUN.MSTURN |
UDP |
3478 |
边缘服务器 A/V 边缘服务公共 IP 地址 |
任意 |
3478 出站: • 由Skype for Business Server用于确定它与之通信的边缘服务器版本。 • 用于边缘服务器之间的媒体流量。 • 联合身份验证是必需的。 • 如果组织内部署了多个 Edge 池,则需要。 |
| A/V/STUN.MSTURN |
UDP |
3478 |
任意 |
边缘服务器 A/V 边缘服务公共 IP 地址 |
在端口 3478 上通过 UDP 进行的候选项 STUN/TURN 协商。 |
| A/V/STUN.MSTURN |
TCP |
443 |
任意 |
边缘服务器 A/V 边缘服务公共 IP 地址 |
在端口 443 上通过 TCP 进行的候选项 STUN/TURN 协商。 |
| A/V/STUN.MSTURN |
TCP |
443 |
边缘服务器 A/V 边缘服务公共 IP 地址 |
任意 |
在端口 443 上通过 TCP 进行的候选项 STUN/TURN 协商。 |
内部端口防火墙摘要表
| 协议 | TCP 或 UDP | 端口 | 源 IP 地址 | 目标 IP 地址 | 注释 |
|---|---|---|---|---|---|
| XMPP/MTLS |
TCP |
23456 |
运行 XMPP 网关服务的以下任一项: • 前端服务器 • 运行 XMPP 网关服务的前端池 VIP 地址 |
边缘服务器内部接口 |
来自前端服务器或前端池上运行的 XMPP 网关服务的出站 XMPP 流量。 注意:XMPP 网关和代理在 2015 Skype for Business Server可用,但在 2019 Skype for Business Server不再受支持。 有关详细信息 ,请参阅迁移 XMPP 联合身份验证 。 |
| HTTPS |
TCP |
4443 |
任意: • 保存中央管理存储的前端服务器 • 用于保存中央管理存储的前端池 |
边缘服务器内部接口 |
将更改从中央管理存储复制到边缘服务器。 |
| PSOM/MTLS |
TCP |
8057 |
任意: • 前端服务器 • 前端池中的每个前端服务器 |
边缘服务器内部接口 |
如果前端池) 边缘服务器内部接口,则来自前端服务器或每个前端服务器的 Web 会议流量 (。 |
| STUN/MSTURN |
UDP |
3478 |
任意: • 前端服务器 • 前端池中的每个前端服务器 |
边缘服务器内部接口 |
内部和外部用户与 Survivable Branch Appliance 或 Survivable Branch Server 之间的 A/V 媒体传输的首选路径。 |
| STUN/MSTURN |
TCP |
443 |
任意: • 前端服务器 • 池中的每个前端服务器 |
边缘服务器内部接口 |
如果 UDP 通信不起作用,则用于内部和外部用户与 Survivable Branch Appliance 或 Survivable Branch Server 之间的 A/V 媒体传输的回退路径。 然后 TCP 用于文件传输和桌面共享。 |
| MTLS |
TCP |
50001 |
任意 |
边缘服务器内部接口 |
使用 Skype for Business Server Management Shell 和集中日志记录服务 cmdlet、ClsController 命令行 (ClsController.exe) 或代理 (ClsAgent.exe) 命令和日志收集的集中式日志记录服务控制器。 |
| MTLS |
TCP |
50002 |
任意 |
边缘服务器内部接口 |
使用 Skype for Business Server Management Shell 和集中日志记录服务 cmdlet、ClsController 命令行 (ClsController.exe) 或代理 (ClsAgent.exe) 命令和日志收集的集中式日志记录服务控制器。 |
| MTLS |
TCP |
50003 |
任意 |
边缘服务器内部接口 |
使用 Skype for Business Server Management Shell 和集中日志记录服务 cmdlet、ClsController 命令行 (ClsController.exe) 或代理 (ClsAgent.exe) 命令和日志收集的集中式日志记录服务控制器。 |
外部接口虚拟 IP
| 角色或协议 | TCP 或 UDP | 目标端口或端口范围 | 源 IP 地址 | 目标 IP 地址 | 注释 |
|---|---|---|---|---|---|
| XMPP 不支持 Skype for Businesss Server 2019 |
TCP |
5269 |
任意 |
XMPP 代理服务 (与 Access Edge 服务共享 IP 地址) |
XMPP 代理服务在定义的 XMPP 联合中接受来自 XMPP 联系人的流量。 |
| XMPP 不支持 Skype for Businesss Server 2019 |
TCP |
5269 |
XMPP 代理服务 (与 Access Edge 服务共享 IP 地址) |
任意 |
XMPP 代理服务在定义的 XMPP 联合中发送来自 XMPP 联系人的流量。 |
| 访问/SIP(TLS) |
TCP |
443 |
任意 |
使用 NAT 的专用 IP: 边缘服务器访问边缘服务 公共 IP: 边缘服务器访问边缘服务公共 IP 地址 |
外部用户访问的客户端到服务器 SIP 通信。 |
| 访问/SIP(MTLS) |
TCP |
5061 |
任意 |
使用 NAT 的专用 IP: 边缘服务器访问边缘服务 公共 IP: 边缘服务器访问边缘服务公共 IP 地址 |
适用于使用 SIP 的联盟和公共 IM 连接。 |
| 访问/SIP(MTLS) |
TCP |
5061 |
使用 NAT 的专用 IP: 边缘服务器访问边缘服务 公共 IP: 边缘服务器访问边缘服务公共 IP 地址 |
任意 |
适用于使用 SIP 的联盟和公共 IM 连接。 |
| Web 会议/PSOM(TLS) |
TCP |
443 |
任意 |
使用 NAT 的专用 IP: 边缘服务器 Web 会议边缘服务 公共 IP: 边缘服务器 Web 会议边缘服务公共 IP 地址 |
Web 会议媒体。 |
| A/V/STUN.MSTURN |
UDP |
3478 |
任意 |
使用 NAT 的专用 IP: 边缘服务器 A/V 边缘服务 公共 IP: 边缘服务器 A/V 边缘服务公共 IP 地址 |
在端口 3478 上通过 UDP 进行的候选项 STUN/TURN 协商。 |
| A/V/STUN.MSTURN |
TCP |
443 |
任意 |
使用 NAT 的专用 IP: 边缘服务器 A/V 边缘服务 公共 IP: 边缘服务器 A/V 边缘服务公共 IP 地址 |
在端口 443 上通过 TCP 进行的候选项 STUN/TURN 协商。 |
内部接口虚拟 IP
这里的指南稍有不同。 实际上,在 HLB 场合中,我们现在建议在以下情况下,只要有通过内部 VIP 的路由即可:
如果使用 Exchange 2007 或 Exchange 2010 统一消息 (UM) 。
你有使用边缘的旧客户端。
下表为这些方案提供了指导,但除此之外,你应该能够依赖中央管理存储 (CMS) 将流量路由到它知道的单个边缘服务器, (这确实要求 CMS 保持边缘服务器信息的最新状态,当然) 。
| 协议 | TCP 或 UDP | 端口 | 源 IP 地址 | 目标 IP 地址 | 注释 |
|---|---|---|---|---|---|
| 访问/SIP(MTLS) |
TCP |
5061 |
任意: •导演 • 控制器池 VIP 地址 • 前端服务器 • 前端池 VIP 地址 |
边缘服务器内部接口 |
从控制器、控制器池 VIP 地址、前端服务器或前端池 VIP 地址到边缘服务器内部接口的出站 SIP 流量。 |
| 访问/SIP(MTLS) |
TCP |
5061 |
边缘服务器内部 VIP 接口 |
任意: •导演 • 控制器池 VIP 地址 • 前端服务器 • 前端池 VIP 地址 |
从边缘服务器内部接口发送到控制器、控制器池 VIP 地址、前端服务器或前端池 VIP 地址的入站 SIP 流量。 |
| SIP/MTLS |
TCP |
5062 |
任意: • 前端服务器 IP 地址 • 前端池 IP 地址 • 使用此边缘服务器的任何可幸存分支设备 • 使用此边缘服务器的任何可幸存分支服务器 |
边缘服务器内部接口 |
使用边缘服务器对前端服务器或前端池、Survivable Branch Appliance 或 Survivable Branch Server 中的 A/V 用户进行身份验证。 |
| STUN/MSTURN |
UDP |
3478 |
任意 |
边缘服务器内部接口 |
用于内外部用户间的 A/V 媒体传输的首选路径。 |
| STUN/MSTURN |
TCP |
443 |
任意 |
边缘服务器内部 VIP 接口 |
在 UDP 通信不起作用的情况下,在内部用户与外部用户之间传输 A/V 媒体的回退路径。 然后 TCP 用于文件传输和桌面共享。 |