Exigences en matière de port et de protocole pour les serveurs
Résumé: Passez en revue les considérations relatives à l’utilisation des ports avant d’implémenter Skype Entreprise Server.
Skype Entreprise Server nécessite que des ports spécifiques sur les pare-feu externes et internes soient ouverts. De plus, si la sécurité IPsec (Internet Protocol security) est déployée dans votre organisation, elle doit être désactivée sur la plage de ports utilisée pour l’acheminement des flux audio, vidéo et de vidéo panoramique.
Bien que cela puisse sembler un peu intimidant, la lourde tâche de planification peut être fait à l’aide de l’outil de planification Skype Entreprise Server 2015. Une fois que vous avez passé en revue les questions de l’Assistant sur les fonctionnalités que vous envisagez d’utiliser, pour chaque site que vous définissez, vous pouvez afficher le rapport de pare-feu dans le rapport edge Administration et utiliser les informations qui y sont répertoriées pour créer vos règles de pare-feu. Vous pouvez également apporter des ajustements à la plupart des noms et adresses IP utilisés. Pour plus d’informations, consultez Examiner le rapport de pare-feu. Gardez à l’esprit que vous pouvez exporter le rapport Edge Administration vers une feuille de calcul Excel, et le rapport de pare-feu sera l’une des feuilles de calcul du fichier.
Vous trouverez les informations dans ces tableaux sous forme de diagramme en consultant l’affiche Charges de travail de protocole liée à l’article Diagrammes techniques pour Skype Entreprise Server 2015.
Remarque
- Si vous implémentez Skype Entreprise Online (Microsoft 365 ou Office 365), reportez-vous à Microsoft 365 et Office 365 URL et plages d’adresses IP. Les environnements hybrides devront référencer cette rubrique et planifier la connectivité hybride.
- Vous pouvez avoir un pare-feu matériel ou logiciel. Nous n’avons pas besoin de modèles ou de versions spécifiques. Ce qui importe, c’est les ports ajoutés à une liste d’autorisation afin que le pare-feu n’altère pas le fonctionnement de Skype Entreprise Server.
Détails sur les ports et protocoles
Cette section récapitule les ports et les protocoles utilisés par les serveurs, les équilibreurs de charge et les clients dans un déploiement Skype Entreprise Server.
Remarque
Lorsque Skype Entreprise Server démarre, il ouvre les ports requis dans le Pare-feu Windows. Le Pare-feu Windows doit déjà s’exécuter dans la plupart des applications normales, mais s’il n’est pas utilisé Skype Entreprise Server fonctionnera sans lui.
Pour plus d’informations sur la configuration du pare-feu pour les composants edge, consultez Scénarios de serveur Edge dans Skype Entreprise Server 2015.
Le tableau suivant répertorie les ports qui doivent être ouverts sur chaque rôle serveur interne.
Ports de serveurs requis (par rôle serveur)
| Rôle serveur | Nom du service | Port | Protocole | Remarques |
|---|---|---|---|---|
| Tous les serveurs | SQL Browser | 1434 | UDP | SQL Browser pour la copie locale répliquée de la base de données du magasin central de gestion. |
| serveurs Front-End | Skype Entreprise Server Front-End service | 5060 | TCP | Utilisé facultativement par les serveurs Standard Edition Server et les serveurs frontaux pour les itinéraires statiques vers des services approuvés, comme les serveurs de contrôle d’appel distant. |
| Serveurs frontaux | Skype Entreprise Server Front-End service | 5061 | TCP (TLS) | Utilisé par les serveurs Standard Edition Server et les pools frontaux pour toutes les communications SIP internes entre serveurs (MTLS), pour les communications SIP entre serveurs et clients (TLS) et pour les communications SIP entre serveurs frontaux et serveurs de médiation (MTLS). Également utilisé pour les communications avec le serveur de surveillance. |
| Serveurs frontaux | Skype Entreprise Server Front-End service | 444 | HTTPS TCP |
Utilisé pour la communication HTTPS entre le focus (composant Skype Entreprise Server qui gère l’état de la conférence) et les serveurs individuels. Ce port est également utilisé pour la communication TCP entre Survivable Branch Appliances et les serveurs frontaux. |
| serveurs frontaux | Skype Entreprise Server Front-End service | 135 | DCOM et appel de procédure distante (RPC) | Utilisé pour les opérations DCOM, telles que le déplacement des utilisateurs, la synchronisation du réplicateur d’utilisateurs et la synchronisation du carnet d’adresses. |
| Serveurs frontaux | service de conférence de messagerie instantanée Skype Entreprise Server | 5062 | TCP | Utilisé pour les demandes SIP entrantes dans le cadre de conférences de messagerie instantanée. |
| Serveurs frontaux | service de conférence web Skype Entreprise Server | 8057 | TCP (TLS) | Utilisé pour l’écoute des connexions PSOM (Persistent Shared Object Model) à partir d’un client. |
| Serveurs frontaux | Skype Entreprise Server service de compatibilité de conférence web | 8058 | TCP (TLS) | Permet d’écouter les connexions PSOM (Persistent Shared Object Model) à partir du client Live Meeting et des versions précédentes de Skype Entreprise Server. |
| serveurs frontaux | Skype Entreprise Server service de conférence audio/vidéo | 5063 | TCP | Utilisé pour les demandes SIP entrantes dans le cadre de conférences audio/vidéo (A/V). |
| Serveurs frontaux | Skype Entreprise Server service de conférence audio/vidéo | 57501-65535 | TCP/UDP | Plage de ports multimédias utilisée pour les conférences vidéo. |
| Serveurs frontaux | Skype Entreprise Server service de compatibilité web | 80 | HTTP | Utilisé pour les communications à partir des serveurs frontaux vers les noms de domaine complets des batteries de serveurs Web (URL utilisées par les composants Web IIS) lorsque HTTPS n’est pas utilisé. |
| Serveurs frontaux | Skype Entreprise Server service de compatibilité web | 443 | HTTPS | Utilisé pour les communications à partir des serveurs frontaux vers les noms de domaine complets des batteries de serveurs Web (URL utilisées par les composants Web IIS). |
| Serveurs frontaux | Skype Entreprise Server service de compatibilité web | 8080 | TCP et HTTP | Utilisé par les composants web pour l’accès externe. |
| Serveurs frontaux | Composant de serveur web | 4443 | HTTPS | Communications HTTPS (du proxy inverse) et HTTPS inter-pool frontal pour connexion à la découverte automatique. |
| Serveurs frontaux | Composant de serveur web | 8060 | TCP (MTLS) | |
| Serveurs frontaux | Composant de serveur web | 8061 | TCP (MTLS) | |
| Serveurs frontaux | Composant des services de mobilité | 5086 | TCP (MTLS) | Port SIP utilisé pour les processus internes des services de mobilité. |
| Serveurs frontaux | Composant des services de mobilité | 5087 | TCP (MTLS) | Port SIP utilisé pour les processus internes des services de mobilité. |
| Serveurs frontaux | Composant des services de mobilité | 443 | HTTPS | |
| Serveurs frontaux | Skype Entreprise Server Service De conférence Standard (conférence rendez-vous) | 5064 | TCP | Utilisé pour les demandes SIP entrantes dans le cadre de conférences rendez-vous. |
| Serveurs frontaux | Skype Entreprise Server Service De conférence Standard (conférence rendez-vous) | 5072 | TCP | Utilisé pour les demandes SIP entrantes pour attendant (appel de conférence). |
| Serveurs frontaux qui exécutent également un serveur de médiation colocalisé. | service de médiation Skype Entreprise Server | 5070 | TCP | Utilisé par le serveur de médiation pour les demandes entrantes du serveur frontal vers le serveur de médiation. |
| Serveurs frontaux qui exécutent également un serveur de médiation colocalisé. | service de médiation Skype Entreprise Server | 5067 | TCP (TLS) | Utilisé pour les demandes SIP entrantes de la passerelle PSTN vers le serveur de médiation. |
| Serveurs frontaux qui exécutent également un serveur de médiation colocalisé. | service de médiation Skype Entreprise Server | 5068 | TCP | Utilisé pour les demandes SIP entrantes de la passerelle PSTN vers le serveur de médiation. |
| Serveurs frontaux qui exécutent également un serveur de médiation colocalisé. | service de médiation Skype Entreprise Server | 5081 | TCP | Utilisé pour les demandes SIP sortantes du serveur de médiation vers la passerelle PSTN. |
| Serveurs frontaux qui exécutent également un serveur de médiation colocalisé. | service de médiation Skype Entreprise Server | 5082 | TCP (TLS) | Utilisé pour les demandes SIP sortantes du serveur de médiation vers la passerelle PSTN. |
| Serveurs frontaux | Skype Entreprise Server service partage d’applications | 5065 | TCP | Utilisé pour les demandes d’écoute SIP entrantes dans le cadre du partage d’application. |
| Serveurs frontaux | Skype Entreprise Server service partage d’applications | 49152-65535 | TCP | Plage de ports multimédias utilisée pour le partage d’application. |
| Serveurs frontaux | Service d’annonce de conférence Skype Entreprise Server | 5073 | TCP | Utilisé pour les demandes SIP entrantes pour le service d’annonce de conférence Skype Entreprise Server (autrement dit, pour la conférence rendez-vous). |
| serveurs frontaux | Skype Entreprise Server service Call Park | 5075 | TCP | Utilisé pour les demandes SIP entrantes de l’application de parcage d’appel. |
| Serveurs frontaux | Skype Entreprise Server service de test audio | 5076 | TCP | Utilisé pour les demandes SIP entrantes du service de test audio. |
| Serveurs frontaux | Non applicable | 5066 | TCP | Utilisé pour la passerelle Enhanced 9-1-1 (E9-1-1) sortante. |
| Serveurs frontaux | Skype Entreprise Server service Response Group | 5071 | TCP | Utilisé pour les demandes SIP entrantes de l’application Response Group. |
| Serveurs frontaux | Skype Entreprise Server service Response Group | 8404 | TCP (MTLS) | Utilisé pour les demandes SIP entrantes de l’application Response Group. |
| Serveurs frontaux | service de stratégie de bande passante Skype Entreprise Server | 5080 | TCP | Utilisé pour le contrôle d’admission des appels par le service de stratégie de bande passante, lui-même utilisé pour le trafic TURN Edge A/V. |
| Serveurs frontaux | Skype Entreprise Server l’accès au serveur de partage de fichiers | 445 | SMB/TCP | Permet de récupérer le carnet d’adresses, le contenu de la réunion et d’autres éléments stockés sur le serveur de partage de fichiers. |
| serveurs frontaux | service de stratégie de bande passante Skype Entreprise Server | 448 | TCP | Utilisé pour le contrôle d’admission des appels par le service de stratégie de bande passante Skype Entreprise Server. |
| Serveurs frontaux où réside le magasin central de gestion | Skype Entreprise Server service de l’agent réplicateur maître | 445 | TCP | Permet d’envoyer (push) des données de configuration du magasin de gestion centralisée vers des serveurs exécutant Skype Entreprise Server. |
| Tous les serveurs | SQL Browser | 1434 | UDP | SQL Browser pour la copie locale répliquée des données du magasin de gestion centralisée dans les SQL Server instance locales |
| Tous les serveurs internes | Divers | 49152-57500 | TCP/UDP | Plage de ports multimédias utilisée pour les conférences audio sur tous les serveurs internes. Utilisé par tous les serveurs qui mettent fin à l’audio : serveurs frontaux (pour Skype Entreprise Server service de conférence standard, service d’annonce de conférence Skype Entreprise Server et service de conférence audio/vidéo Skype Entreprise Server) et serveur de médiation. |
| Serveurs Office Web Apps Server | 443 | Utilisé par Skype Entreprise Server pour se connecter à Office Web Apps Server. | ||
| directeurs | Skype Entreprise Server Front-End service | 5060 | TCP | Utilisé facultativement pour les itinéraires statiques vers des services approuvés, comme les serveurs de contrôle d’appel distant. |
| Directeurs | Skype Entreprise Server Front-End service | 444 | HTTPS TCP |
Communication entre serveurs frontaux et directeurs. En outre, le certificat client publie (sur les serveurs frontaux) ou vérifie si le certificat client a déjà été publié. |
| directeurs | Skype Entreprise Server service de compatibilité web | 80 | TCP | Utilisé pour les communications initiales entre les directeurs et les noms de domaine complets des batteries de serveurs Web (URL utilisées par les composants Web IIS). En fonctionnement normal, bascule vers le trafic HTTPS en utilisant le port 443 et le type de protocole TCP. |
| Directeurs | Skype Entreprise Server service de compatibilité web | 443 | HTTPS | Utilisé pour les communications entre les directeurs et les noms de domaine complets des batteries de serveurs Web (URL utilisées par les composants Web IIS). |
| Directeurs | Skype Entreprise Server Front-End service | 5061 | TCP | Utilisé pour les communications internes entre serveurs et pour les connexions client. |
| Serveurs de médiation | service de médiation Skype Entreprise Server | 5070 | TCP | Utilisé par le serveur de médiation pour les demandes entrantes du serveur frontal. |
| Serveurs de médiation | service de médiation Skype Entreprise Server | 5067 | TCP (TLS) | Utilisé pour les demandes SIP entrantes de la passerelle PSTN. |
| Serveurs de médiation | service de médiation Skype Entreprise Server | 5068 | TCP | Utilisé pour les demandes SIP entrantes de la passerelle PSTN. |
| Serveurs de médiation | service de médiation Skype Entreprise Server | 5070 | TCP (MTLS) | Utilisé pour les demandes SIP des serveurs frontaux. |
| Serveur frontal de conversation permanente | SIP de conversation permanente | 5041 | TCP (MTLS) | |
| Serveur frontal de conversation permanente | Windows Communication Foundation (WCF) de conversation permanente | 881 | TCP (TLS) et TCP (MTLS) | |
| Serveur frontal de conversation permanente | Service de transfert de fichiers de conversation permanente | 443 | TCP (TLS) |
Remarque
Certains scénarios de contrôle d’appel distant requièrent une connexion TCP entre le serveur frontal ou le directeur et le PBX. Bien que Skype Entreprise Server n’utilise plus le port TCP 5060, pendant le déploiement du contrôle d’appel à distance, vous créez une configuration de serveur approuvé, qui associe le nom de domaine complet du serveur de ligne RCC au port TCP que le serveur frontal ou le directeur utilisera pour se connecter au système PBX. Pour plus d’informations, consultez l’applet de commande CsTrustedApplicationComputer dans la documentation Skype Entreprise Server Management Shell.
Pour les pools utilisant uniquement l’équilibrage de la charge matérielle (et non pas l’équilibrage de charge DNS), le tableau suivant indique les ports qui doivent ouvrir les programmes d’équilibrage de la charge matérielle.
Ports des programmes d’équilibrage de la charge matérielle si uniquement l’équilibrage de la charge matérielle est utilisé
| Programme d’équilibrage de charge | Port | Protocole |
|---|---|---|
| Programme d’équilibrage de charge du serveur frontal | 5061 | TCP (TLS) |
| Programme d’équilibrage de charge du serveur frontal | 444 | HTTPS |
| Programme d’équilibrage de charge du serveur frontal | 135 | DCOM et appel de procédure distante (RPC) |
| Programme d’équilibrage de charge du serveur frontal | 80 | HTTP |
| Programme d’équilibrage de charge du serveur frontal | 8080 | TCP - Récupération du certificat racine du client et de l’appareil à partir du serveur frontal - clients et appareils authentifiés par NTLM |
| Programme d’équilibrage de charge du serveur frontal | 443 | HTTPS |
| Programme d’équilibrage de charge du serveur frontal | 4443 | HTTPS (du proxy inverse) |
| Programme d’équilibrage de charge du serveur frontal | 5072 | TCP |
| Programme d’équilibrage de charge du serveur frontal | 5073 | TCP |
| Programme d’équilibrage de charge du serveur frontal | 5075 | TCP |
| Programme d’équilibrage de charge du serveur frontal | 5076 | TCP |
| Programme d’équilibrage de charge du serveur frontal | 5071 | TCP |
| Programme d’équilibrage de charge du serveur frontal | 5080 | TCP |
| Programme d’équilibrage de charge du serveur frontal | 448 | TCP |
| Programme d’équilibrage de charge du serveur de médiation | 5070 | TCP |
| Programme d’équilibrage de charge du serveur frontal (si le pool exécute également le serveur de médiation) | 5070 | TCP |
| Programme d’équilibrage de charge du directeur | 443 | HTTPS |
| Programme d’équilibrage de charge du directeur | 444 | HTTPS |
| Programme d’équilibrage de charge du directeur | 5061 | TCP |
| Programme d’équilibrage de charge du directeur | 4443 | HTTPS (du proxy inverse) |
Vos pools frontaux et pools directeurs qui font appel à l’équilibrage de charge DNS doivent également déployer un programme d’équilibrage de la charge matérielle. Le tableau suivant affiche les ports qui doivent être ouverts sur ces programmes d’équilibrage de la charge matérielle.
Ports des programmes d’équilibrage de la charge matérielle si l’équilibrage de charge DNS est utilisé
| Programme d’équilibrage de charge | Port | Protocole |
|---|---|---|
| Programme d’équilibrage de charge du serveur frontal | 80 | HTTP |
| Programme d’équilibrage de charge du serveur frontal | 443 | HTTPS |
| Programme d’équilibrage de charge du serveur frontal | 8080 | TCP - Récupération du certificat racine du client et de l’appareil à partir du serveur frontal - clients et appareils authentifiés par NTLM |
| Programme d’équilibrage de charge du serveur frontal | 4443 | HTTPS (du proxy inverse) |
| Programme d’équilibrage de charge du directeur | 443 | HTTPS |
| Programme d’équilibrage de charge du directeur | 4443 | HTTPS (du proxy inverse) |
Ports client requis
| Composant | Port | Protocole | Remarques |
|---|---|---|---|
| Clients | 67/68 | DHCP | Utilisé par Skype Entreprise Server pour rechercher le nom de domaine complet du serveur d’inscriptions (autrement dit, si dns SRV échoue et que les paramètres manuels ne sont pas configurés). |
| Clients | 443 | TCP (TLS) | Utilisé pour le trafic SIP client à serveur pour l’accès des utilisateurs externes. |
| Clients | 443 | TCP (PSOM/TLS) | Utilisé pour que les utilisateurs externes puissent accéder aux sessions de conférence Web. |
| Clients | 443 | TCP (STUN/MSTURN) | Utilisé pour que les utilisateurs externes puissent accéder aux sessions A/V et multimédias (TCP). |
| Clients | 3478 | UDP (STUN/MSTURN) | Utilisé pour que les utilisateurs externes puissent accéder aux sessions A/V et multimédias (UDP). |
| Clients | 5061 | TCP (MTLS) | Utilisé pour le trafic SIP client à serveur pour l’accès des utilisateurs externes. |
| Clients | 6891-6901 | TCP | Utilisé pour le transfert de fichiers entre les clients Skype Entreprise et les clients précédents. |
| Clients | 1024-65535 * | TCP/UDP | Plage de ports audio (au moins 20 ports requis). |
| Clients | 1024-65535 * | TCP/UDP | Plage de ports vidéo (au moins 20 ports requis). |
| Clients | 1024-65535 * | TCP | Transfert de fichiers d’égal à égal. Pour le transfert de fichiers de conférence, les clients utilisent le modèle PSOM. |
| Clients | 1024-65535 * | TCP | Partage d’application. |
| Téléphone de partie commune Aastra 6721ip Téléphone de bureau Aastra 6725ip Téléphone IP HP 4110 (téléphone de partie commune) Téléphone IP HP 4120 (téléphone de bureau) Téléphone de partie commune IP Polycom CX500 Téléphone de bureau IP Polycom CX600 Téléphone de bureau IP CX700 Téléphone de conférence IP Polycom CX3000 |
67/68 | DHCP | Utilisé par les appareils répertoriés pour rechercher le certificat Skype Entreprise Server, le nom de domaine complet d’approvisionnement et le nom de domaine complet du serveur d’inscriptions. |
* Pour configurer des ports spécifiques pour ces types de média, utilisez l’applet de commande CsConferencingConfiguration (paramètres ClientMediaPortRangeEnabled, ClientMediaPort et ClientMediaPortRange).
Remarque
Les programmes d’installation des clients Skype Entreprise créent automatiquement les exceptions de pare-feu de système d’exploitation requises sur l’ordinateur client.
Remarque
Les ports utilisés pour l’accès des utilisateurs externes sont requis pour tout scénario dans lequel le client doit traverser le pare-feu de l’organization (par exemple, toutes les communications ou réunions externes hébergées par d’autres organisations).
Exceptions IPsec
Dans les réseaux d’entreprise où la sécurité du protocole Internet (IPsec, Internet Protocol security) a été déployée (voir les RFC 4301-4309 de l’IETF), IPsec doit être désactivée sur la plage de ports utilisée pour la transmission des données audio/vidéo et des vidéos panoramiques. Cette recommandation s’explique par la nécessité d’éviter tout retard dans l’affectation des ports multimédias lors de la négociation IPsec.
Le tableau suivant présente les paramètres recommandés pour les exceptions IPsec.
Exceptions recommandées pour IPsec
| Nom de la règle | Adresse IP source | Adresse IP de destination | Protocole | Port source | Port de destination | Besoin d’authentification |
|---|---|---|---|---|---|---|
| Serveur Edge A/V, ports internes/entrants | Indifférente | Serveur Edge A/V - interne | UDP et TCP | Indifférente | Indifférente | Ne pas s’authentifier |
| Serveur Edge A/V, ports externes/entrants | Indifférente | Serveur Edge A/V - externe | UDP et TCP | Indifférente | Indifférente | Ne pas s’authentifier |
| Serveur Edge A/V, ports internes/sortants | Serveur Edge A/V - interne | Indifférente | TCP et UDP | Indifférente | Indifférente | Ne pas s’authentifier |
| Serveur Edge A/V, ports externes/sortants | Serveur Edge A/V - externe | Indifférente | UDP et TCP | Indifférente | Indifférente | Ne pas s’authentifier |
| Serveur de médiation, ports entrants | Indifférente | Serveur(s) de médiation |
UDP et TCP | Indifférente | Indifférente | Ne pas s’authentifier |
| Serveur de médiation, ports sortants | Serveur(s) de médiation |
Indifférente | UDP et TCP | Indifférente | Indifférente | Ne pas s’authentifier |
| Intendant Conférence entrant | Indifférente | Serveur frontal exécutant l’Intendant Conférence | UDP et TCP | Indifférente | Indifférente | Ne pas s’authentifier |
| Intendant Conférence sortant | Serveur frontal exécutant l’Intendant Conférence | Indifférente | UDP et TCP | Indifférente | Indifférente | Ne pas s’authentifier |
| Serveur de conférence A/V, ports entrants | Indifférente | Serveurs frontaux | UDP et TCP | Indifférente | Indifférente | Ne pas s’authentifier |
| Conférence A/V, ports sortants | Serveurs frontaux | Indifférente | UDP et TCP | Indifférente | Indifférente | Ne pas s’authentifier |
| Exchange, ports entrants | Indifférente | Messagerie unifiée Exchange | UDP et TCP | Indifférente | Indifférente | Ne pas s’authentifier |
| Serveurs de partage d’application, ports entrants | Indifférente | Serveurs de partage d’application | TCP | Indifférente | Indifférente | Ne pas s’authentifier |
| Serveur de partage d’application, ports sortants | Serveurs de partage d’application | Indifférente | TCP | Indifférente | Indifférente | Ne pas s’authentifier |
| Exchange, ports sortants | Messagerie unifiée Exchange | Indifférente | UDP et TCP | Indifférente | Indifférente | Ne pas s’authentifier |
| Clients | Indifférente | Indifférente | UDP | Plage de ports multimédias définie | Indifférente | Ne pas s’authentifier |