主题上次修改时间: 2015-04-27
此方案体系结构中所述的 Lync Server 2013 Edge Server 功能与 Lync Server 2010 中实现的功能非常相似。 最明显的补充是可扩展消息传送和状态协议的 端口 5269(通过 TCP 条目) (XMPP) 。 Lync Server 2013(可选)在前端服务器或前端池的边缘服务器或边缘池以及 XMPP 网关服务器上部署 XMPP 代理。
除了 IPv4,Edge Server 现在还支持 IPv6。 为清楚起见,方案中仅使用 IPv4。
使用硬件负载均衡缩放合并边缘
端口和协议详细信息
建议只打开支持为其提供外部访问权限的功能所需的端口。
若要使远程访问适用于任何边缘服务,必须允许 SIP 流量双向流动,如入站/出站边缘流量图所示。 另一种方法是,进出 Access Edge 服务的 SIP 消息涉及即时消息 (即时消息) 、状态、Web 会议、音频/视频 (A/V) 和联合身份验证。
缩放的合并边缘的防火墙摘要,硬件负载均衡:外部接口 - 节点 1 和节点 2 (示例)
角色/协议/TCP 或 UDP/端口 | 源 IP 地址 | 目标 IP 地址 | 备注 |
---|---|---|---|
Access/HTTP/TCP/80 |
Edge Server Access Edge 服务公共 IP 地址 |
任意 |
证书吊销/CRL 检查和检索 |
Access/DNS/TCP/53 |
Edge Server Access Edge 服务公共 IP 地址 |
任意 |
通过 TCP 进行 DNS 查询 |
Access/DNS/UDP/53 |
Edge Server Access Edge 服务公共 IP 地址 |
任意 |
通过 UDP 进行 DNS 查询 |
A/V/RTP/TCP/50,000-59,999 |
Edge Server A/V Edge 服务 IP 地址 |
任意 |
需要与运行 Office Communications Server 2007、Office Communications Server 2007 R2、Lync Server 2010 和 Lync Server 2013 的合作伙伴联合。 |
A/V/RTP/UDP/50,000-59,999 |
Edge Server A/V Edge 服务公共 IP 地址 |
任意 |
仅需要与运行 Office Communications Server 2007 的合作伙伴进行联合。 |
A/V/RTP/TCP/50,000-59,999 |
任意 |
Edge Server A/V Edge 服务公共 IP 地址 |
仅需要与运行 Office Communications Server 2007 的合作伙伴进行联合 |
A/V/RTP/UDP/50,000-59,999 |
任意 |
Edge Server A/V Edge 服务公共 IP 地址 |
仅需要与运行 Office Communications Server 2007 的合作伙伴进行联合 |
A/V/STUN,MSTURN/UDP/3478 |
Edge Server A/V Edge 服务公共 IP 地址 |
任意 |
3478 出站用于确定 Lync Server 正在与之通信的边缘服务器的版本,以及从 Edge Server 到边缘服务器的媒体流量。 需要与 Lync Server 2010、Windows Live Messenger 和 Office Communications Server 2007 R2 联合,以及在公司中部署多个 Edge 池时。 |
A/V/STUN,MSTURN/UDP/3478 |
任意 |
Edge Server A/V Edge 服务公共 IP 地址 |
候选人就 UDP/3478 进行 STUN/TURN 谈判 |
A/V/STUN,MSTURN/TCP/443 |
任意 |
Edge Server A/V Edge 服务公共 IP 地址 |
候选人通过 TCP/443 进行 STUN/TURN 谈判 |
A/V/STUN,MSTURN/TCP/443 |
Edge Server A/V Edge 服务公共 IP 地址 |
任意 |
候选人通过 TCP/443 进行 STUN/TURN 谈判 |
缩放的合并 Edge 的防火墙摘要,硬件负载均衡:内部接口节点 1 和节点 2
角色/协议/TCP 或 UDP/端口 | 源 IP 地址 | 目标 IP 地址 | 备注 |
---|---|---|---|
XMPP/MTLS/TCP/23456 |
可以将任何 (定义为前端服务器地址,或运行 XMPP 网关服务的前端池虚拟 IP 地址) |
Edge Server 内部接口 |
来自在前端服务器或前端池上运行的 XMPP 网关服务的出站 XMPP 流量 |
HTTPS/TCP/4443 |
任何 (都可以定义为前端服务器 IP 或保存中央管理存储的池) |
Edge Server 内部接口 |
将更改从中央管理存储复制到边缘服务器 |
PSOM/MTLS/TCP/8057 |
任何 (都可以定义为 Director IP、前端服务器 IP 或池虚拟 IP) |
Edge Server 内部接口 |
从内部部署到内部边缘服务器接口的 Web 会议流量 |
STUN/MSTURN/UDP/3478 |
任何 (都可以定义为 Director IP、前端服务器 IP 或池虚拟 IP) |
Edge Server 内部接口 |
内部和外部用户、Survivable Branch Appliance 或 Survivable Branch Server 之间 A/V 媒体传输的首选路径 |
STUN/MSTURN/TCP/443 |
任何 (都可以定义为 Director IP、前端服务器 IP 或池虚拟 IP) |
Edge Server 内部接口 |
内部和外部用户之间 A/V 媒体传输的回退路径,如果无法建立 UDP 通信,则使用 TCP 进行文件传输和桌面共享,则为 Survivable Branch Appliance 或 Survivable Branch Server |
MTLS/TCP/50001 |
任意 |
Edge Server 内部接口 |
使用 Lync Server Management Shell 和集中日志记录服务 cmdlet、ClsController 命令行 (ClsController.exe) 或代理 (ClsAgent.exe 的集中日志记录服务控制器) 命令和日志收集 |
MTLS/TCP/50002 |
任意 |
Edge Server 内部接口 |
使用 Lync Server Management Shell 和集中日志记录服务 cmdlet、ClsController 命令行 (ClsController.exe) 或代理 (ClsAgent.exe 的集中日志记录服务控制器) 命令和日志收集 |
MTLS/TCP/50003 |
任意 |
Edge Server 内部接口 |
使用 Lync Server Management Shell 和集中日志记录服务 cmdlet、ClsController 命令行 (ClsController.exe) 或代理 (ClsAgent.exe 的集中日志记录服务控制器) 命令和日志收集 |
硬件负载均衡器在部署时具有特定要求,为 Lync Server 提供可用性和负载均衡。 要求在下图和表中定义。 第三方供应商可以对此处定义的要求使用不同的术语。 需要将 Lync Server 的要求映射到硬件负载均衡器供应商提供的功能和配置选项。
配置硬件负载均衡器时,请考虑以下要求:
可以在硬件负载均衡器上配置源网络地址转换 (SNAT) , (用于 Access Edge 服务和 Web 会议 Edge 服务的 HLB)
无法在 A/V Edge 服务上配置 SNAT – A/V Edge 服务必须使用真实的服务器地址(而不是 HLB 虚拟 IP (VIP) )进行响应,以便通过 NAT (STUN) /遍历进行 UDP 的简单遍历,使用中继 NAT (TURN) /federation TURN (FTURN) 正常工作
如果客户端向 HLB 发送请求,则响应必须从 HLB VIP 返回
如果客户端向 Edge 发送请求,则响应必须从 Edge IP 返回
公共 IP 地址用于每个服务器接口和 HLB 的 VIP,公共 IP 地址要求为 N+1,其中每个实际服务器接口都有一个公共 IP 地址,每个 HLB VIP 有一个公共 IP 地址。 池中有 2 个 Edge 服务器,这将导致 9 个公共 IP 地址,其中 3 个用于 HLB VIP,每个 Edge 服务器接口有 1 个, (服务器总共有 6 个)
对于 Access Edge 服务和 Web 会议边缘服务, (和使用 HLB 上的 NAT) 客户端联系 VIP,VIP 会将源 IP 地址从客户端更改为其自己的 IP 地址。 服务器接口将寻址到 VIP 的返回地址,VIP 会更改服务器接口 IP 地址中的源地址,并将数据包发送到客户端
对于 A/V Edge 服务,VIP 不得更改源 IP 地址,实际服务器地址将直接返回到客户端 - 无法在 HLB 上为 AV 流量配置 NAT
如果客户端向 HLB VIP 发送请求,则响应必须从 HLB VIP 返回
如果客户端向 Edge IP 发送请求,则响应必须从 Edge IP 返回
对于 AV,外部防火墙将保留所有数据包的实际服务器公共 IP 地址
建立后,客户端到 A/V Edge 的服务通信是到真正的服务器,而不是 HLB
必须路由内部边缘到内部服务器和客户端,并为托管服务器或客户端的所有内部网络设置持久路由
HLB Access Edge 服务 VIP 将充当每个 Edge 服务器接口的默认网关
注意
有关 NAT 规划和功能的详细信息,请参阅 Lync Server 2013 的硬件负载均衡器要求。
缩放的合并边缘所需的外部端口设置,硬件负载均衡:外部接口虚拟 IP
角色/协议/TCP 或 UDP/端口 | 源 IP 地址 | 目标 IP 地址 | 备注 |
---|---|---|---|
XMPP/TCP/5269 |
任意 |
XMPP 代理服务 (与 Access Edge 服务共享 IP 地址) |
XMPP 代理服务接受来自已定义 XMPP 联合身份验证中的 XMPP 联系人的流量 |
XMPP/TCP/5269 |
XMPP 代理服务 (与 Access Edge 服务共享 IP 地址) |
任意 |
XMPP 代理服务将流量发送到定义的 XMPP 联合身份验证中的 XMPP 联系人 |
Access/SIP (TLS) /TCP/443 |
任意 |
Access Edge 服务公共 VIP 地址 |
用于外部用户访问的客户端到服务器 SIP 流量 |
访问/SIP (MTLS) /TCP/5061 |
任意 |
Access Edge 服务公共 VIP 地址 |
使用 SIP 发出 SIP 信号、联合和公共 IM 连接 |
访问/SIP (MTLS) /TCP/5061 |
Access Edge 服务公共 VIP 地址 |
联合合作伙伴 |
使用 SIP 发出 SIP 信号、联合和公共 IM 连接 |
Web 会议/PSOM (TLS) /TCP/443 |
任意 |
Edge Server Web 会议 Edge 服务公共 VIP 地址 |
Web 会议媒体 |
A/V/STUN,MSTURN/UDP/3478 |
任意 |
Edge Server A/V Edge 服务公共 VIP 地址 |
候选人就 UDP/3478 进行 STUN/TURN 谈判 |
A/V/STUN,MSTURN/TCP/443 |
任意 |
Edge Server A/V Edge 服务公共 VIP 地址 |
候选人通过 TCP/443 进行 STUN/TURN 谈判 |
缩放的合并 Edge 的防火墙摘要,硬件负载均衡:内部接口虚拟 IP
角色/协议/TCP 或 UDP/端口 | 源 IP 地址 | 目标 IP 地址 | 备注 |
---|---|---|---|
访问/SIP (MTLS) /TCP/5061 |
任何 (都可以定义为 Director、Director 池虚拟 IP 地址、前端服务器或前端池虚拟 IP 地址) |
Edge Server 内部 VIP 接口 |
从 Director、Director 池虚拟 IP 地址、前端服务器或前端池虚拟 IP 地址) 到内部边缘 VIP 的出站 SIP 流量 ( |
访问/SIP (MTLS) /TCP/5061 |
Edge Server 内部 VIP 接口 |
任何 (都可以定义为 Director、Director 池虚拟 IP 地址、前端服务器或前端池虚拟 IP 地址) |
从 Edge Server 内部接口 (到 Director、Director 池虚拟 IP 地址、前端服务器或前端池虚拟 IP 地址) 的入站 SIP 流量 |
SIP/MTLS/TCP/5062 |
可以使用此 Edge Server 将任何 (定义为前端服务器 IP 地址、前端池 IP 地址或任何 Survivable Branch Appliance 或 Survivable Branch Server) |
Edge Server 内部 VIP 接口 |
A/V 用户 (A/V 身份验证服务的身份验证) 从前端服务器或前端池 IP 地址或使用此 Edge Server 的任何 Survivable Branch Appliance 或 Survivable Branch Server |
STUN/MSTURN/UDP/3478 |
任意 |
Edge Server 内部 VIP 接口 |
内部用户和外部用户之间 A/V 媒体传输的首选路径 |
STUN/MSTURN/TCP/443 |
任意 |
Edge Server 内部 VIP 接口 |
如果无法建立 UDP 通信,则用于内部和外部用户之间 A/V 媒体传输的回退路径,TCP 用于文件传输和桌面共享 |
STUN/MSTURN/TCP/443 |
Edge Server 内部 VIP 接口 |
任意 |
如果无法建立 UDP 通信,则用于内部和外部用户之间 A/V 媒体传输的回退路径,TCP 用于文件传输和桌面共享 |