共用方式為


參考架構 1:單一合併邊緣的連接埠摘要

 

上次修改主題的時間: 2012-11-02

本參考架構中所說明的 Lync Server 2010 Edge Server 功能,非常類似於在 Office Communications Server 2007 R2 中首度推出的功能,差別之處在於:

  • 連接埠 8080 用於將反向 Proxy 內部介面的流量路由傳送至集區虛擬 IP (VIP)。此連接埠為選用,可供執行 Lync 的行動裝置在不適合修改外部 Web 服務發行規則憑證的情況下 (例如具有大量 SIP 網域時),用來尋找自動探索服務。

  • 連接埠 4443 可將來自反向 Proxy 內部介面的流量路由至集區 VIP

  • 連接埠 4443 可將來自集區前端的流量路由至 Edge 內部介面

50,000 – 59,999 連接埠範圍有數種選項可使用,但下圖也列出與舊版 Office Communications Server 間的交互操作性方面常見的設定,供您參考。如需設定此連接埠範圍選項的詳細資訊,請參閱<決定外部 A/V 防火牆和連接埠需求>。

單一合併式 Edge 的企業周邊網路

單一合併 Edge 周邊網路圖表

在閱讀下列表格時,請將「(輸入)」 解讀為從較不受信任的網路流向較受信任的網路的流量,例如「網際網路到周邊網路」或「周邊網路到公司網路」。例如,從網際網路到 Edge 外部介面的流量,或是從 Edge 內部介面到下一個躍點集區的流量,皆屬此類流量。「(輸出)」 則是指從較受信任的網路流向較不受信任的網路的流量,例如「公司網路到周邊網路」或「周邊網路到網際網路」。例如,從公司集區到 Edge 內部介面的流量,或是從 Edge 外部介面到網際網路的流量,皆屬此類流量。而「(輸入/輸出)」 則是指雙向流動的流量。

輸入/輸出 Edge 流量

Edge 輸入/輸出圖表

建議您僅針對要提供給外部存取的功能,開啟支援所需的連接埠。

若要啟用任何 Edge Service 的遠端存取,則必須允許 SIP 流量雙向流動,如輸入/輸出 Edge 流量圖中所說明。換句話說,Access Edge Service 會涉及立即訊息 (IM)、顯示狀態、Web 會議與音訊/視訊 (A/V) 等功能。

使用 DNS 負載平衡之單一/調整式合併 Edge 的防火牆摘要:外部介面

通訊協定/連接埠 用途

HTTP 80 (輸出)

檢查憑證撤銷清單

DNS 53 (輸出)

外部 DNS 查詢

SIP/TLS/443 (輸入)

遠端使用者存取從用戶端到伺服器的 SIP 流量

SIP/MTLS/5061 (輸入/輸出)

主控的 Exchange 服務的同盟與連線

PSOM/TLS/443 (輸入)

遠端使用者以匿名與同盟使用者的身分存取會議

RTP/TCP/50K 範圍 (輸入)

媒體交換 (如需詳細資訊,請參閱決定外部 A/V 防火牆和連接埠需求)

進行 Office Communications Server 2007 的交互操作必須使用

RTP/TCP/50K 範圍 (輸出)

媒體交換 (如需詳細資訊,請參閱決定外部 A/V 防火牆和連接埠需求)

進行 Office Communications Server 2007 的交互操作必須使用

進行 Office Communications Server 2007 R2 桌面共用與同盟時必須使用

進行 Lync Server 2010 應用程式共用和檔案傳輸時必須使用

Windows Live Messenger 的 A/V 功能

note附註:
如果 UDP 3478 因為周邊防火牆需求或 UDP 3478 的用戶端限制而遭封鎖,則系統會透過 UDP 3478 使用 50k 連接埠範圍

RTP/UDP/50K 範圍 (輸入)

媒體交換 (如需詳細資訊,請參閱〈決定外部 A/V 防火牆和連接埠需求〉)

進行 Office Communications Server 2007 的交互操作必須使用

RTP/UDP/50K 範圍 (輸出)

媒體交換 (如需詳細資訊,請參閱〈決定外部 A/V 防火牆和連接埠需求〉)

進行 Office Communications Server 2007 的交互操作必須使用

STUN/MSTURN/UDP/3478 (輸入/輸出)

外部使用者存取 A/V 工作階段 (UDP)

STUN/MSTURN/TCP/443 (輸入)

外部使用者存取 A/V 工作階段與媒體 (TCP)

使用 DNS 負載平衡之單一/調整式合併 Edge 的防火牆詳細資料:內部介面

通訊協定/連接埠 用途

SIP/MTLS/5061 (輸入/輸出)

SIP流量

PSOM/MTLS/8057 (輸出)

從集區到 Edge Server 的 Web 會議流量

SIP/MTLS/5062 (輸出)

A/V 使用者驗證 (A/V 驗證服務)

STUN/MSTURN/UDP/3478 (輸出)

內部與外部使用者之間媒體傳輸的慣用路徑 (UDP)

STUN/MSTURN/TCP/443 (輸出)

內部與外部使用者之間媒體傳輸的替代路徑 (TCP)

HTTPS 4443 (輸出)

將中央管理存放區更新發送至 Edge Server

反向 Proxy 伺服器的防火牆詳細資料:外部介面

通訊協定/連接埠 用途

HTTP 80 (輸入)

(選擇性) 在使用者不慎輸入 http://<發佈的網站 FQDN> 時重新導向至 HTTPS。

在組織不想要修改外部 Web 服務發行規則憑證的情況下,如果為執行 Lync 的行動裝置使用自動探索服務,也會需要此項目。

HTTPS 443 (輸入)

通訊錄下載、通訊錄 Web 查詢服務、用戶端更新、會議內容、裝置更新、群組擴充、電話撥入式會議與會議。

反向 Proxy 伺服器的防火牆詳細資料:內部介面

通訊協定/連接埠 用途

HTTP 8080 (輸入)

在組織不想要修改外部 Web 服務發行規則憑證的情況下,如果為執行 Lync 的行動裝置使用自動探索服務,會需要此項目。

傳送至反向 Proxy 外部介面之連接埠 80 的流量,會從反向 Proxy 內部介面重新導向至連接埠 8080 上的集區,讓集區 Web 服務能夠區分此類流量與內部 Web 流量。

HTTPS 4443 (輸入)

傳送至反向 Proxy 外部介面之連接埠 443 的流量,會從反向 Proxy 內部介面重新導向至連接埠 4443 上的集區,讓集區 Web 服務能夠區分此類流量與內部 Web 流量。

note附註:
在閱讀上述表格時,請將 (輸入) 解讀為從較不受信任的網路流向較受信任的網路的流量,例如「網際網路到周邊網路」或「周邊網路到公司網路」。例如,從網際網路到反向 Proxy 外部介面的流量,或是從反向 Proxy 內部介面到 Standard Edition 集區或與前端集區相關聯之硬體負載平衡器 VIP 的流量,均屬此類流量。

單一合併式 Edge 拓撲所需的外部連接埠設定

Edge 角色 來源 IP 位址 來源連接埠 目的地 IP 位址 目的地連接埠 傳輸 應用程式 附註

存取

10.45.16.10

任何一個

任何一個

80

TCP

HTTP

存取

10.45.16.10

任何一個

任何一個

53

UDP

DNS

存取

任何一個

任何一個

10.45.16.10

443

TCP

SIP (TLS)

外部使用者存取從用戶端到伺服器的 SIP 流量

存取

任何一個

任何一個

10.45.16.10

5061

TCP

SIP (MTLS)

適用於使用 SIP 的同盟與公用 IM 連線

存取

10.45.16.10

任何一個

任何一個

5061

TCP

SIP (MTLS)

適用於使用 SIP 的同盟與公用 IM 連線

Web 會議

任何一個

任何一個

10.45.16.20

443

TCP

PSOM (TLS)

A/V

10.45.16.30

50,000 – 59,999

任何一個

443

TCP

RTP

與執行 Office Communications Server 2007 R2 的協力廠商同盟進行桌面共用,以及涉及多個 A/V Edge Service 通話方 (例如:在同公司中的使用者) 但使用不同 Edge Server 或集區時,也必須使用。

此外,與 Lync Server 2010 同盟使用者進行應用程式共用或檔案傳輸,以及透過 Windows Live Messenger 執行 A/V 工作階段時,也必須使用。

如果外部使用者由於來源 (用戶端) 限制或其他條件而無法使用 UDP 3478 規則時,也會使用此連接埠範圍與規則。

A/V

10.45.16.30

50,000 – 59,999

任何一個

任何一個

UDP

RTP

只有與仍執行 Office Communications Server 2007 的協力廠商進行同盟時必須使用。

A/V

任何一個

任何一個

10.45.16.30

50,000 – 59,999

TCP

RTP

只有與仍執行 Office Communications Server 2007 的協力廠商進行同盟時必須使用。

A/V

任何一個

任何一個

10.45.16.30

50,000 – 59,999

UDP

RTP

只有與仍執行 Office Communications Server 2007 的協力廠商進行同盟時必須使用。

A/V

10.45.16.30

3478

任何一個

3478

UDP

STUN/MSTURN

「3478 輸出」可用來判斷與 Lync Server 2010 通訊的 Edge Server 版本,並且可用於不同 Edge Server 間的媒體流量。

在與 Lync Server 2010 進行同盟、使用 Windows Live Messenger 與 Office Communications Server 2007 R2 時,以及在公司中部署了多個 Edge 集區時,必須要使用。

A/V

任何一個

任何一個

10.45.16.30

3478

UDP

STUN/MSTURN

A/V

任何一個

任何一個

10.45.16.30

443

TCP

STUN/MSTURN

反向 Proxy:N/A

任何一個

任何一個

10.45.16.40

80

TCP

HTTP

(選擇性) 可用來將 http 流量重新導向至 https。

在組織不想要修改外部 Web 服務發行規則憑證的情況下,如果為執行 Lync 的行動裝置使用自動探索服務,也會需要此項目。

反向 Proxy:N/A

任何一個

任何一個

10.45.16.40

443

TCP

HTTPS

單一合併式 Edge 拓撲所需的內部連接埠設定

Edge 角色 來源 IP 位址 來源連接埠 目的地 IP 位址 目的地連接埠 傳輸 應用程式 附註

存取

172.25.33.10

任何一個

192.168.10.90

192.168.10.91

5061

TCP

SIP (MTLS)

目的地將是下一個躍點伺服器。在參考架構的案例中,此為兩個集區前端伺服器的 IP 位址。

存取

192.168.10.90

192.168.10.91

任何一個

172.25.33.10

5061

TCP

SIP (MTLS)

來源將是下一個躍點伺服器。在參考架構的案例中,此為兩個集區前端伺服器的 IP 位址。

存取

192.168.10.90

192.168.10.91

任何一個

172.25.33.10

4443

TCP

HTTPS

供複寫代理程式進行中央管理存放區複寫,包括所有的前端伺服器。

Web 會議

任何一個

任何一個

172.25.33.10

8057

TCP

PSOM (MTLS)

A/V

192.168.10.90

192.168.10.91

任何 Survivable Branch Appliance 或 Survivable Branch 伺服器

任何一個

172.25.33.10

5062

TCP

SIP (MTLS)

包括使用這項特殊 A/V 驗證服務的所有前端伺服器。

A/V

任何一個

任何一個

172.25.33.10

3478

UDP

STUN/MSTURN

A/V

任何一個

任何一個

172.25.33.10

443

TCP

STUN/MSTURN

反向 Proxy:N/A

172.25.33.40

任何一個

192.168.10.190

8080

TCP

HTTPS

(選擇性) 在組織不想要修改外部 Web 服務發行規則憑證的情況下,如果為執行 Lync 的行動裝置使用自動探索服務,會需要此項目。

反向 Proxy:N/A

172.25.33.40

任何一個

192.168.10.190

4443

TCP

HTTPS