Ermitteln der Anforderungen für externe A/V-Firewalls und Ports für Lync Server 2013
Thema Letzte Änderung: 29.10.2012
Die Audio/Video-Kommunikation (A/V) kann komplex sein. Aufgrund der Art der in A/V verwendeten Protokolle und der Verwendung der Protokolle durch Clients und Server ist ein spezieller Abschnitt erforderlich, um die Unterschiede zwischen Client- und Serverversionen zu erläutern.
Verwenden Sie die folgende A/V-Firewall- und Porttabelle, um die Firewallanforderungen und die zu öffnenden Ports zu ermitteln. Überprüfen Sie dann die NAT-Terminologie (Network Address Translation), da NAT auf viele verschiedene Arten implementiert werden kann. Ein detailliertes Beispiel für Firewallporteinstellungen finden Sie in den Referenzarchitekturen in Szenarien für den Zugriff externer Benutzer in Lync Server 2013.
Allgemeine Protokollnutzung für UDP und TCP im Audio-/Video- und Mediendatenverkehr
| Audio/Video-Transport | Verwendung |
|---|---|
UDP |
Bevorzugtes Transportschichtprotokoll für Audio und Video |
TCP |
Fallback-Transportschichtprotokoll für Audio und Video Erforderliches Transportschichtprotokoll für die Anwendungsfreigabe für Office Communications Server 2007 R2, Lync Server 2010 und Lync Server 2013 Erforderliches Transportschichtprotokoll für die Dateiübertragung zu Lync Server 2010 und Lync Server 2013 |
Anforderungen an den externen A/V-Firewallport für den Zugriff externer Benutzer
Die Firewallportanforderungen für externe (und interne) SIP- und Konferenzschnittstellen sind unabhängig von der Version Ihres Clients oder der Version des Partnerverbunds konsistent.
Dasselbe gilt nicht für die externe Audio-/Video-Edgeschnittstelle. Für den Partnerverbund mit Office Communications Server 2007 erfordert der A/V-Edgedienst, dass externe Firewallregeln RTP/TCP- und RTP/UDP-Datenverkehr im Portbereich von 50.000 bis 59.999 in beide Richtungen fließen lassen. In der vorherigen Tabelle wird davon ausgegangen, dass Lync Server 2013 der primäre Verbundpartner ist und für die Kommunikation mit einem der anderen aufgelisteten Verbundpartnertypen konfiguriert ist.
Beim Konfigurieren des Audio/Video-Portbereichs von 50.000 bis 59.999 muss berücksichtigt werden, dass der Portbereich die Quellports für die Kommunikation mit Verbundpartnern enthält. Berücksichtigen Sie im Detail, dass eine Kommunikation von einem Verbundpartner initiiert wird. Die Kommunikation von den A/V Edge-Dienstports im Bereich von 50.000 bis 59.999 wird mit dem erwarteten Port TCP 443 des A/V-Edgediensts des Partners verbunden. Umgekehrt verfügt eingehender Datenverkehr zu Ihrem A/V Edge-Dienstport TCP 443 über einen Quellport im Bereich von 50.000 bis 59.999.
Für unterschiedliche Firewalls und Richtlinien für die Firewallverwaltung müssen möglicherweise nur Zielregeln konfiguriert werden, oder sie erfordern die Konfiguration von Quelle und Ziel. Wenn Ihre Anforderungen nur für Zielports gelten, lauten die Audio-/Videoanforderungen wie folgt:
| Quell-IP | Ziel-IP | Zielport |
|---|---|---|
A/V Edge-Dienstschnittstelle |
Beliebig |
TCP 443 |
A/V Edge-Dienstschnittstelle |
Beliebig |
UDP 3478 |
Beliebig |
A/V Edge-Dienstschnittstelle |
TCP 443 |
Beliebig |
A/V Edge-Dienstschnittstelle |
UDP 3478 |
Wenn Für Ihre Richtlinien sowohl ein- als auch ausgehende Firewallregeldefinitionen erforderlich sind, gelten folgende Audio-/Videoanforderungen:
| Quell-IP | Ziel-IP | Quellport | Zielport |
|---|---|---|---|
A/V Edge-Dienstschnittstelle |
Beliebig |
TCP 50.000-59.999 |
TCP 443 |
A/V Edge-Dienstschnittstelle |
Beliebig |
UDP 3478 |
UDP 3478 |
Beliebig |
A/V Edge-Dienstschnittstelle |
Beliebig |
TCP 443 |
Beliebig |
A/V Edge-Dienstschnittstelle |
Beliebig |
UDP 3478 |
Wichtig
Microsoft Office Communications Server 2007 erfordert eine etwas andere Konfiguration. Der TCP- und UDP-Portbereich von 50.000 bis 59.999 muss ein- und ausgehend geöffnet sein. Diese Anforderung gilt nur für Office Communicator 2007. Office Communications Server 2007 R2, Lync Server 2010 und Lync Server 2013 erfordern nur einen TCP-Bereich von 50.000 bis 59.999 offen ausgehend.
NAT-Anforderungen für den Edgedienst
Die folgenden NAT-Anforderungen gelten, wenn Sie nicht routingfähige private IP-Adressen für den Edgedienst konfigurieren:
NAT kann nur mit DNS-Lastenausgleich verwendet werden. NAT wird bei einer HlB-Edgetopologie (Hardware Load Balancing) nicht unterstützt.
NAT kann nur auf der externen Edgeschnittstelle verwendet werden. NAT wird auf der internen Edgeschnittstelle nicht unterstützt.
NAT muss für eingehenden und ausgehenden Datenverkehr symmetrisch sein.
Für Datenverkehr aus dem Internet muss NAT die Ziel-IP-Adresse von der NAT-aktivierten öffentlichen IP-Adresse des A/V-Edgediensts in seine externe IP-Adresse ändern. Die Quell-IP-Adresse muss intakt bleiben, damit der A/V-Edgedienst den optimalen Medienpfad finden kann.
Beispielsweise wurde in der eingehenden Richtung in der abbildung unten die öffentliche IP-Adresse 131.107.155.30 in die externe (private) IP-Adresse 10.45.16.10 geändert. Die Quell-IP-Adresse blieb unverändert.
- Für Datenverkehr vom A/V-Edgedienst zum Internet muss NAT die Quell-IP-Adresse von der externen IP-Adresse des A/V-Edgediensts in die NAT-aktivierte öffentliche IP-Adresse ändern.
Beispielsweise wurde in der ausgehenden Richtung in der abbildung unten die externe (private) IP-Adresse 10.45.16.10 in die öffentliche IP-Adresse 131.107.155.30 geändert.
Die folgende Abbildung zeigt, wie NAT die Ziel-IP-Adresse für eingehenden Datenverkehr und die Quell-IP-Adresse für ausgehenden Datenverkehr ändert.
.jpg "Ändern von Ziel-/Quell-IP-Adressen")
Die wichtigsten Punkte sind:
Datenverkehr, der an den Server mit dem A/V-Edgedienst gesendet wird, ändert sich nicht die Quell-IP-Adresse, die Ziel-IP-Adresse ändert sich jedoch von 131.107.155.30 in die übersetzte IP-Adresse 10.45.16.10.
Datenverkehr, der vom Server ausgehend wird, auf dem der A/V-Edgedienst ausgeführt wird, zurück zur Arbeitsstation. Die Quell-IP-Adresse ändert sich von der öffentlichen IP-Adresse des Servers in die öffentliche IP-Adresse des Servers, auf dem der A/V-Edgedienst ausgeführt wird. Die Ziel-IP bleibt die öffentliche IP-Adresse der Arbeitsstation. Nachdem das Paket das erste NAT-Gerät ausgehend verlässt, ändert die Regel auf dem NAT-Gerät die Quell-IP-Adresse des Servers, auf dem die IP-Adresse der externen A/V-Edgedienstschnittstelle (10.45.16.10) ausgeführt wird, in die öffentliche IP-Adresse (131.107.155.30).