參考架構 2:調整式合併邊緣的連接埠摘要 (DNS 負載平衡)
上次修改主題的時間: 2012-11-02
此參考架構中所述的 Lync Server 2010 Edge 功能非常類似 Office Communications Server 2007 R2 中首度推出的功能,不過前者包含下列例外:
連接埠 8080 用於將反向 Proxy 內部介面的流量路由傳送至集區虛擬 IP (VIP)。此連接埠為選用,可供執行 Lync 的行動裝置在不適合修改外部 Web 服務發行規則憑證的情況下 (例如具有大量 SIP 網域時),用來尋找自動探索服務。
連接埠 4443 用於將反向 Proxy 內部介面的流量路由傳送至集區虛擬 IP (VIP)。
連接埠 4443 用於路由傳送從前端伺服器集區到 Edge 內部介面的流量。
50,000 – 59,999 連接埠範圍有數種選項可使用,但下圖也列出與舊版 Office Communications Server 間的交互操作性方面常見的設定,供您參考。如需設定此連接埠範圍之選項的詳細資訊,請參閱決定外部 A/V 防火牆和連接埠需求。
調整式合併邊緣的企業周邊網路
.jpg "調整式合併 Edge 周邊網路圖表")
在閱讀下列表格時,請將「(輸入)」 解讀為從較不受信任的網路流向較受信任網路的流量,例如「網際網路到周邊網路」或「周邊網路到公司網路」。例如,從網際網路到 Edge 外部介面的流量,或是從 Edge 內部介面到下一個躍點集區的流量,皆屬此類流量。「(輸出)」 則是指從較受信任的網路流向較不受信任網路的流量,例如「公司網路到周邊網路」或「周邊網路到網際網路」。例如,從公司集區到 Edge 內部介面的流量,或是從 Edge 外部介面到網際網路的流量,皆屬此類流量。而「(輸入/輸出)」 則是指雙向流動的流量。
輸入/輸出 Edge 流量
.jpg "Edge 輸入/輸出圖表")
我們建議您僅針對要提供給外部存取的功能,開啟支援所需的連接埠。
若要讓遠端存取在任何邊緣服務上運作,則 SIP 流量必須能夠雙向流動,如輸入/輸出邊緣流量圖所示。換句話說,Access Edge Service 會涉及立即訊息 (IM)、顯示狀態、Web 會議與音訊/視訊 (A/V) 等功能。
使用 DNS 負載平衡之單一/調整式合併 Edge 的防火牆摘要:外部介面
| 通訊協定/連接埠 | 用途 | ||
|---|---|---|---|
HTTP 80 (輸出) |
檢查憑證撤銷清單 |
||
DNS 53 (輸出) |
外部 DNS 查詢 |
||
SIP/TLS/443 (輸入) |
遠端使用者存取的用戶端到伺服器 SIP 流量 |
||
SIP/MTLS/5061 (輸入/輸出) |
主控的 Exchange 服務的同盟與連線 |
||
PSOM/TLS/443 (輸入) |
遠端使用者以匿名與同盟使用者的身分存取會議 |
||
RTP/TCP/50K 範圍 (輸入) |
媒體交換 (如需詳細資訊,請參閱決定外部 A/V 防火牆和連接埠需求) 進行 Office Communications Server 2007 的交互操作必須使用 |
||
RTP/TCP/50K 範圍 (輸出) |
媒體交換 (如需詳細資訊,請參閱決定外部 A/V 防火牆和連接埠需求) 進行交互操作必須使用 進行 Office Communications Server 2007 R2 桌面共用與同盟時必須使用 進行 Lync Server 2010 應用程式共用與檔案傳輸時必須使用 Windows Live Messenger 的 A/V
|
||
RTP/UDP/50K 範圍 (輸入) |
媒體交換 (如需詳細資訊,請參閱〈決定外部 A/V 防火牆和連接埠需求〉) 進行 Office Communications Server 2007 的交互操作必須使用 |
||
RTP/UDP/50K 範圍 (輸出) |
媒體交換 (如需詳細資訊,請參閱〈決定外部 A/V 防火牆和連接埠需求〉) 進行 Office Communications Server 2007 的交互操作必須使用 |
||
STUN/MSTURN/UDP/3478 (輸入/輸出) |
外部使用者存取 A/V 工作階段 (UDP) |
||
STUN/MSTURN/TCP/443 (輸入) |
外部使用者存取 A/V 工作階段與媒體 (TCP) |
使用 DNS 負載平衡之單一/調整式合併 Edge 的防火牆詳細資料:內部介面
| 通訊協定/連接埠 | 用途 |
|---|---|
SIP/MTLS/5061 (輸入/輸出) |
SIP流量 |
PSOM/MTLS/8057 (輸出) |
從集區至 Edge 的 Web 會議流量 |
SIP/MTLS/5062 (輸出) |
A/V 使用者驗證 (A/V 驗證服務) |
STUN/MSTURN/UDP/3478 (輸出) |
內部與外部使用者之間媒體傳輸的慣用路徑 (UDP) |
STUN/MSTURN/TCP/443 (輸出) |
內部與外部使用者之間媒體傳輸的替代路徑 (TCP) |
HTTPS 4443 (輸出) |
將中央管理存放區更新發送至 Edge Server |
反向 Proxy 伺服器的防火牆詳細資料:外部介面
| 通訊協定/連接埠 | 用途 |
|---|---|
HTTP 80 (輸入) |
(選擇性) 在使用者不慎輸入 http://發佈的網站 FQDN 時重新導向至 HTTPS。 在組織不想要修改外部 Web 服務發行規則憑證的情況下,如果為執行 Lync 的行動裝置使用自動探索服務,也會需要此項目。 |
HTTPS 443 (輸入) |
通訊錄下載、通訊錄 Web 查詢服務、用戶端更新、會議內容、裝置更新、群組擴充、電話撥入式會議及會議。 |
反向 Proxy 伺服器的防火牆詳細資料:內部介面
| 通訊協定/連接埠 | 用途 |
|---|---|
HTTP 8080 (輸入) |
在組織不想要修改外部 Web 服務發行規則憑證的情況下,如果為執行 Lync 的行動裝置使用自動探索服務,會需要此項目。 傳送至反向 Proxy 外部介面之連接埠 80 的流量,會從反向 Proxy 內部介面重新導向至連接埠 8080 上的集區,讓集區 Web 服務能夠區分此類流量與內部 Web 流量。 |
HTTPS 4443 (輸入) |
傳送至反向 Proxy 外部介面之連接埠 443 的流量,會從反向 Proxy 內部介面重新導向至連接埠 4443 上的集區,讓集區 Web 服務能夠區分此類流量與內部 Web 流量。 |
.gif "note") 附註: |
|---|
| 在閱讀上述表格時,請將 (輸入) 解讀為從較不受信任的網路流向較受信任的網路的流量,例如「網際網路到周邊網路」或「周邊網路到公司網路」。例如,從網際網路到反向 Proxy 外部介面的流量,或是從反向 Proxy 內部介面到 Standard Edition 集區或與前端集區相關聯之硬體負載平衡器 VIP 的流量,均屬此類流量。 |
調整式合併邊緣拓撲所需的外部連接埠設定 (DNS 已負載平衡):外部介面節點 1
| Edge 角色 | 來源 IP 位址 | 來源連接埠 | 目的地 IP 位址 | 目的地連接埠 | 傳輸 | 應用程式 | 附註 |
|---|---|---|---|---|---|---|---|
存取 |
10.45.16.10 |
任何一個 |
任何一個 |
80 |
TCP |
HTTP |
|
存取 |
10.45.16.10 |
任何一個 |
任何一個 |
53 |
UDP |
DNS |
|
存取 |
任何一個 |
任何一個 |
10.45.16.10 |
443 |
TCP |
SIP (TLS) |
外部使用者存取從用戶端到伺服器的 SIP 流量 |
存取 |
任何一個 |
任何一個 |
10.45.16.10 |
5061 |
TCP |
SIP (MTLS) |
適用於使用 SIP 的同盟與公用 IM 連線 |
存取 |
10.45.16.10 |
任何一個 |
任何一個 |
5061 |
TCP |
SIP (MTLS) |
適用於使用 SIP 的同盟與公用 IM 連線 |
Web 會議 |
任何一個 |
任何一個 |
10.45.16.20 |
443 |
TCP |
PSOM (TLS) |
|
A/V |
10.45.16.30 |
50,000 – 59,999 |
任何一個 |
任何一個 |
TCP |
RTP |
僅與執行 Office Communications Server 2007 R2 的協力廠商進行桌面共用時必須使用。 此外,與 Lync Server 2010 同盟使用者進行應用程式共用或檔案傳輸,以及透過 Windows Live Messenger 執行 A/V 工作階段時,也必須使用。 |
A/V |
10.45.16.30 |
50,000 – 59,999 |
任何一個 |
任何一個 |
UDP |
RTP |
僅與執行 Office Communications Server 2007 的協力廠商進行同盟時必須使用。 |
A/V |
任何一個 |
任何一個 |
10.45.16.30 |
50,000 – 59,999 |
TCP |
RTP |
僅與執行 Office Communications Server 2007 的協力廠商進行同盟時必須使用。 |
A/V |
任何一個 |
任何一個 |
10.45.16.30 |
50,000 – 59,999 |
UDP |
RTP |
僅與執行 Office Communications Server 2007 的協力廠商進行同盟時必須使用。 |
A/V |
10.45.16.30 |
3478 |
任何一個 |
3478 |
UDP |
STUN/MSTURN |
3478 輸出用於判斷與 Lync Server 2010 進行通訊的 Edge Server 版本,同時也用於從 Edge Server 至 Edge Server 的媒體流量。 在與 Lync Server 2010 進行同盟、使用 Windows Live Messenger 與 Office Communications Server 2007 R2 時,以及在公司中部署了多個 Edge 集區時,必須要使用。 |
A/V |
任何一個 |
任何一個 |
10.45.16.30 |
3478 |
UDP |
STUN/MSTURN |
|
A/V |
任何一個 |
任何一個 |
10.45.16.30 |
443 |
TCP |
STUN/MSTURN |
調整式合併邊緣拓撲所需的外部連接埠設定 (DNS 已負載平衡):外部介面節點 2
| Edge 角色 | 來源 IP 位址 | 來源連接埠 | 目的地 IP 位址 | 目的地連接埠 | 傳輸 | 應用程式 | 附註 |
|---|---|---|---|---|---|---|---|
存取 |
10.45.16.11 |
任何一個 |
任何一個 |
80 |
TCP |
HTTP |
|
存取 |
10.45.16.11 |
任何一個 |
任何一個 |
53 |
UDP |
DNS |
|
存取 |
任何一個 |
任何一個 |
10.45.16.11 |
443 |
TCP |
SIP (TLS) |
外部使用者存取從用戶端到伺服器的 SIP 流量 |
存取 |
任何一個 |
任何一個 |
10.45.16.11 |
5061 |
TCP |
SIP (MTLS) |
適用於使用 SIP 的同盟與公用 IM 連線 |
存取 |
10.45.16.11 |
任何一個 |
任何一個 |
5061 |
TCP |
SIP (MTLS) |
適用於使用 SIP 的同盟與公用 IM 連線 |
Web 會議 |
任何一個 |
任何一個 |
10.45.16.21 |
443 |
TCP |
PSOM (TLS) |
|
A/V |
10.45.16.31 |
50,000 – 59,999 |
任何一個 |
任何一個 |
TCP |
RTP |
僅與執行 Office Communications Server 2007 R2 的協力廠商進行桌面共用時必須使用。 此外,與 Lync Server 2010 同盟使用者進行應用程式共用或檔案傳輸,以及透過 Windows Live Messenger 執行 A/V 工作階段時,也必須使用。 |
A/V |
10.45.16.31 |
50,000 – 59,999 |
任何一個 |
任何一個 |
UDP |
RTP |
僅與執行 Office Communications Server 2007 的協力廠商進行同盟時必須使用。 |
A/V |
任何一個 |
任何一個 |
10.45.16.31 |
50,000 – 59,999 |
TCP |
RTP |
僅與執行 Office Communications Server 2007 的協力廠商進行同盟時必須使用。 |
A/V |
任何一個 |
任何一個 |
10.45.16.31 |
50,000 – 59,999 |
UDP |
RTP |
僅與執行 Office Communications Server 2007 的協力廠商進行同盟時必須使用。 |
A/V |
10.45.16.31 |
3478 |
任何一個 |
3478 |
UDP |
STUN/MSTURN |
3478 輸出用於判斷與 Lync Server 2010 進行通訊的 Edge Server 版本,同時也用於從 Edge Server 至 Edge Server 的媒體流量。 在與 Lync Server 2010 進行同盟、使用 Windows Live Messenger 與 Office Communications Server 2007 R2 時,以及在公司中部署了多個 Edge 集區時,必須要使用。 |
A/V |
任何一個 |
任何一個 |
10.45.16.31 |
3478 |
UDP |
STUN/MSTURN |
|
A/V |
任何一個 |
任何一個 |
10.45.16.31 |
443 |
TCP |
STUN/MSTURN |
調整式合併邊緣拓撲所需的外部連接埠設定 (DNS 已負載平衡):反向 Proxy
| Edge 角色 | 來源 IP 位址 | 來源連接埠 | 目的地 IP 位址 | 目的地連接埠 | 傳輸 | 應用程式 | 附註 |
|---|---|---|---|---|---|---|---|
反向 Proxy:N/A |
任何一個 |
任何一個 |
10.45.16.40 |
80 |
TCP |
SIP (TLS) |
(選擇性) 可用來將 http 流量重新導向至 https。 在組織不想要修改外部 Web 服務發行規則憑證的情況下,如果為執行 Lync 的行動裝置使用自動探索服務,也會需要此項目。 |
反向 Proxy:N/A |
任何一個 |
任何一個 |
10.45.16.40 |
443 |
TCP |
HTTPS |
調整式合併邊緣拓撲所需的內部防火牆連接埠設定 (DNS 已負載平衡):內部介面節點 1
| Edge 角色 | 來源 IP 位址 | 來源連接埠 | 目的地 IP 位址 | 目的地連接埠 | 傳輸 | 應用程式 | 附註 |
|---|---|---|---|---|---|---|---|
存取 |
172.25.33.10 |
任何一個 |
192.168.10.90 192.168.10.91 |
5061 |
TCP |
SIP (MTLS) |
目的地將是下一個躍點伺服器。在參考架構的案例中,此為兩個集區前端伺服器的 IP 位址。 |
存取 |
192.168.10.90 192.168.10.91 |
任何一個 |
172.25.33.10 |
5061 |
TCP |
SIP (MTLS) |
來源將是下一個躍點伺服器。在參考架構的案例中,此為兩個集區前端伺服器的 IP 位址。 |
存取 |
192.168.10.90 192.168.10.91 |
任何一個 |
172.25.33.10 |
4443 |
TCP |
HTTPS |
用於複寫中央管理存放區,包括所有前端伺服器。 |
Web 會議 |
任何一個 |
任何一個 |
172.25.33.10 |
8057 |
TCP |
PSOM (MTLS) |
|
A/V |
192.168.10.90 192.168.10.91 任何 Survivable Branch Appliance 或 Survivable Branch 伺服器 |
任何一個 |
172.25.33.10 |
5062 |
TCP |
SIP (MTLS) |
包括使用這項特殊 A/V 驗證服務的所有前端伺服器。 |
A/V |
任何一個 |
任何一個 |
172.25.33.10 |
3478 |
UDP |
STUN/MSTURN |
|
A/V |
任何一個 |
任何一個 |
172.25.33.10 |
443 |
TCP |
STUN/MSTURN |
調整式合併邊緣拓撲所需的內部防火牆連接埠設定 (DNS 已負載平衡):內部介面節點 2
| Edge 角色 | 來源 IP 位址 | 來源連接埠 | 目的地 IP 位址 | 目的地連接埠 | 傳輸 | 應用程式 | 附註 |
|---|---|---|---|---|---|---|---|
存取 |
172.25.33.11 |
任何一個 |
192.168.10.90 192.168.10.91 |
5061 |
TCP |
SIP (MTLS) |
目的地將是下一個躍點伺服器。在參考架構的案例中,此為兩個集區前端伺服器的 IP 位址。 |
存取 |
192.168.10.90 192.168.10.91 |
任何一個 |
172.25.33.11 |
5061 |
TCP |
SIP (MTLS) |
來源將是下一個躍點伺服器。在參考架構的案例中,此為兩個集區前端伺服器的 IP 位址。 |
存取 |
192.168.10.90 192.168.10.91 |
任何一個 |
172.25.33.11 |
4443 |
TCP |
HTTPS |
用於複寫中央管理存放區,包括所有前端伺服器。 |
Web 會議 |
任何一個 |
任何一個 |
172.25.33.11 |
8057 |
TCP |
PSOM (MTLS) |
|
A/V |
192.168.10.90 192.168.10.91 任何 Survivable Branch Appliance 或 Survivable Branch 伺服器 |
任何一個 |
172.25.33.11 |
5062 |
TCP |
SIP (MTLS) |
包括使用這項特殊 A/V 驗證服務的所有前端伺服器。 |
A/V |
任何一個 |
任何一個 |
172.25.33.11 |
3478 |
UDP |
STUN/MSTURN |
|
A/V |
任何一個 |
任何一個 |
172.25.33.11 |
443 |
TCP |
STUN/MSTURN |
調整式合併邊緣拓撲所需的內部防火牆連接埠設定 (DNS 已負載平衡):反向 Proxy
| Edge 角色 | 來源 IP 位址 | 來源連接埠 | 目的地 IP 位址 | 目的地連接埠 | 傳輸 | 應用程式 | 附註 |
|---|---|---|---|---|---|---|---|
反向 Proxy:N/A |
172.25.33.40 |
任何一個 |
192.168.10.190 |
8080 |
TCP |
HTTPS |
(選擇性) 在組織不想要修改外部 Web 服務發行規則憑證的情況下,如果為執行 Lync 的行動裝置使用自動探索服務,會需要此項目。 |
反向 Proxy:N/A |
172.25.33.40 |
任何一個 |
192.168.10.190 |
4443 |
TCP |
HTTPS |