Referenzarchitektur 3: Portübersicht für skalierte konsolidierte Edgetopologie (Hardwareastenausgleich)
Letztes Änderungsdatum des Themas: 2012-11-02
Die in dieser Referenzarchitektur beschriebene Edgeserverfunktionalität von Lync Server 2010 ähnelt derjenigen, die zuerst in Office Communications Server 2007 R2 eingeführt wurde, mit den folgenden Ausnahmen:
Port 8080 ist ein optionaler Port, über den mobile Geräte, auf denen Lync ausgeführt wird, den AutoErmittlungsdienst ermitteln können, wenn das Ändern des Zertifikats für die Veröffentlichungsregel für externe Webdienste nicht erwünscht ist (da beispielsweise eine große Anzahl von SIP-Domänen vorhanden ist).
Port 4443 wird zum Routen von Datenverkehr von der internen Reverseproxyschnittstelle zur virtuellen IP-Adresse (VIP) des Pools verwendet.
Port 4443 wird zum Routen von Datenverkehr von Front-End-Servern zur internen Edgeschnittstelle verwendet.
Für den Portbereich 50.000-59.999 sind verschiedene Optionen verfügbar, in der Abbildung "Skalierte konsolidierte Edgetopologie (Hardwarelastenausgleich)" in Referenzarchitektur 3: Skalierte konsolidierte Edgetopologie (Hardwarelastenausgleich) wird jedoch die gängige Konfiguration für Interoperabilität mit vorherigen Versionen von Office Communications Server gezeigt. Ausführliche Informationen zum Konfigurieren dieses Portbereichs finden Sie im entsprechenden Abschnitt unter Ermitteln der Anforderungen für A/V-Firewall und Ports.
Unternehmensumkreisnetzwerk für skalierte konsolidierte Edgetopologie mit Hardwarelastenausgleich
.jpg "Skalierter konsolidierter Edgeserver – HLB-Umkreisnetzwerk")
In den vorherigen Tabellen bezieht sich (eingehend) auf den Datenverkehr von einem weniger vertrauenswürdigen Netzwerk zu einem Netzwerk mit größerer Vertrauenswürdigkeit (z. B. Internet-zu-Umkreis oder Umkreis-zu-Unternehmen). Ein Beispiel wäre der Datenverkehr vom Internet zur externen Edgeschnittstelle oder der Datenverkehr von der internen Edgeschnittstelle zum nächsten Hoppool. In den folgenden Tabellen bezieht sich (ausgehend) auf den Datenverkehr von einem Netzwerk mit größerer Vertrauenswürdigkeit zu einem weniger vertrauenswürdigen Netzwerk (z. B. Unternehmen-zu Umkreis oder Umkreis-zu-Internet). Ein Beispiel wäre der Datenverkehr von einem Unternehmenspool zur internen Edgeschnittstelle oder der Datenverkehr von der externen Edgeschnittstelle zum Internet. Der Vermerk (eingehend/ausgehend) bezieht sich auf Datenverkehr in beide Richtungen.
Eingehender/ausgehender Edgedatenverkehr
.jpg "Edge eingehend/ausgehend (Diagramm)")
Es wird empfohlen, nur die Ports zu öffnen, die zur Unterstützung der Funktionalität erforderlich sind, für die Sie externen Zugriff bereitstellen möchten.
Damit der Remotezugriff für einen beliebigen Edgedienst funktioniert, muss der SIP-Datenverkehr in beide Richtungen übertragen werden können (wie in der Abbildung "Skalierte konsolidierte Edgetopologie (Hardwarelastenausgleich)" gezeigt). Anders ausgedrückt: Der Zugriffs-Edgedienst ist an Instant Messaging, Anwesenheit, Webkonferenzen und Audio/Video (A/V) beteiligt.
Firewallzusammenfassung für skalierte konsolidierte Edgetopologie mit Hardwarelastenausgleich: Externe Schnittstelle
| Protokoll/Port | Verwendet für | ||
|---|---|---|---|
HTTP 80 (ausgehend) |
Herunterladen der Zertifikatsperrlisten (Certificate Revocation Lists, CRLs) |
||
DNS 53 (ausgehend) |
Externe DNS-Abfragen |
||
SIP/TLS/443 (eingehend) |
SIP-Datenverkehr von Clients zum Server für den Remotebenutzerzugriff (nur für externe virtuelle IP-Adressen des Zugriffs-Edgeservers geöffnet, nicht für einzelne Edgepoolserver) |
||
SIP/MTLS/5061 (eingehend) |
Partnerverbund und Verbindung mit einem gehosteten Exchange-Dienst. Nur für externe virtuelle IP-Adressen des Zugriffs-Edgeservers geöffnet (nicht für einzelne Edgepoolserver) |
||
PSOM/TLS/443 (eingehend) |
Remotebenutzerzugriff auf Webkonferenzen für anonyme Benutzer und Partnerbenutzer. Nur für externe virtuelle IP-Adressen des Webkonferenz-Edgeservers geöffnet (nicht für einzelne Edgepoolserver) |
||
RTP/TCP/50K-Bereich (eingehend) |
Austausch von Mediendaten (ausführliche Informationen finden Sie unter Ermitteln der Anforderungen für A/V-Firewall und Ports) Erforderlich für Office Communications Server 2007-Interoperabilität |
||
RTP/TCP/50K-Bereich (ausgehend) |
Austausch von Mediendaten (ausführliche Informationen finden Sie unter Ermitteln der Anforderungen für A/V-Firewall und Ports) Erforderlich für Office Communications Server 2007-Interoperabilität Erforderlich für Office Communications Server 2007 R2-Desktopfreigabe und -Partnerverbund Erforderlich für Lync Server 2010-Anwendungsfreigabe und Dateiübertragung A/V mit Windows Live Messenger.
|
||
RTP/UDP/50K-Bereich (eingehend) |
Austausch von Mediendaten (ausführliche Informationen finden Sie unter Ermitteln der Anforderungen für A/V-Firewall und Ports) Erforderlich für Office Communications Server 2007-Interoperabilität |
||
RTP/UDP/50K-Bereich (ausgehend) |
Austausch von Mediendaten (ausführliche Informationen finden Sie unter Ermitteln der Anforderungen für A/V-Firewall und Ports) Erforderlich für Office Communications Server 2007-Interoperabilität |
||
STUN/MSTURN/UDP/3478 (eingehend/ausgehend) |
Externer Benutzerzugriff auf A/V-Sitzungen (UDP) (für externe virtuelle IP-Adressen des A/V-Edgeservers und einzelne Edgeserver geöffnet) |
||
STUN/MSTURN/TCP/443 (eingehend) |
Externer Benutzerzugriff auf A/V-Sitzungen und Medien (TCP) (für externe virtuelle IP-Adressen des A/V-Edgeservers und einzelne Edgeserver geöffnet) |
Firewallzusammenfassung für skalierte konsolidierte Edgetopologie mit Hardwarelastenausgleich: Interne Schnittstelle
| Protokoll/Port | Verwendet für |
|---|---|
SIP/MTLS/5061 (eingehend/ausgehend) |
SIP-Datenverkehr. Für interne virtuelle IP-Adressen des Edgeservers und einzelne Edgepoolserver geöffnet. |
PSOM/MTLS/8057 (ausgehend) |
Webkonferenzdatenverkehr vom Pool zum Edgeserver (nur für einzelne Edgeserver geöffnet) |
SIP/MTLS/5062 (ausgehend) |
Authentifizierung von A/V-Benutzern (d. h. A/V-Authentifizierungsdienst) (für interne virtuelle IP-Adressen des Edgeservers und einzelne Edgeserver geöffnet) |
STUN/MSTURN/UDP/3478 (ausgehend) |
Bevorzugter Pfad für die Übertragung von Mediendaten zwischen internen und externen Benutzern (UDP) (für interne virtuelle IP-Adressen des Edgeservers und einzelne Edgeserver geöffnet) |
STUN/MSTURN/TCP/443 (ausgehend) |
Alternativer Pfad für die Übertragung von Mediendaten zwischen internen Benutzern und Benutzern (TCP) (für interne virtuelle IP-Adressen des Edgeservers und einzelne Edgeserver geöffnet) |
HTTPS 4443 (ausgehend) |
Pushen von Datenbankupdates des zentralen Verwaltungsspeichers auf die Edgeknoten (nur für einzelne Edgeserver geöffnet) |
Firewalldetails für Reverseproxyserver: Externe Schnittstelle
| Protokoll/Port | Verwendet für |
|---|---|
HTTP 80 (eingehend) |
(Optional) Umleitung an HTTPS, wenn Benutzer versehentlich "http://<FQDN_der_veröffentlichten_Site>" eingibt. Auch erforderlich, wenn der AutoErmittlungsdienst für mobile Geräte, auf denen Lync ausgeführt wird, in Situationen verwendet wird, in denen die Organisation das Zertifikat für die Veröffentlichungsregel für externe Webdienste nicht ändern möchte. |
HTTPS 443 (eingehend) |
Adressbuchdownloads, Adressbuch-Webabfragedienst, Clientupdates, Besprechungsinhalte, Geräteaktualisierungen, Gruppenerweiterung, Einwahlkonferenzen und Konferenzen. |
Firewalldetails für Reverseproxyserver: Interne Schnittstelle
| Protokoll/Port | Verwendet für |
|---|---|
HTTP 8080 (eingehend) |
Erforderlich, wenn der AutoErmittlungsdienst für mobile Geräte, auf denen Lync ausgeführt wird, in Situationen verwendet wird, in denen der Kunde das Zertifikat für die Veröffentlichungsregel für externe Webdienste nicht ändern möchte. Datenverkehr, der an Port 80 der externen Reverseproxyschnittstelle gesendet wird, wird an einen Pool an Port 8080 der internen Reverseproxyschnittstelle umgeleitet, sodass die Poolwebdienste diesen vom internen Webdatenverkehr unterscheiden können. |
HTTPS 4443 (eingehend) |
Datenverkehr, der an Port 443 der externen Reverseproxyschnittstelle gesendet wird, wird an einen Pool an Port 4443 der internen Reverseproxyschnittstelle umgeleitet, sodass die Poolwebdienste diesen vom internen Webdatenverkehr unterscheiden können. |
.gif "note") Hinweis: |
|---|
| In den obigen Tabellen bezieht sich (eingehend) auf den Datenverkehr von einem weniger vertrauenswürdigen Netzwerk zu einem Netzwerk mit größerer Vertrauenswürdigkeit (z. B. Internet-zu-Umkreis oder Umkreis-zu-Unternehmen). Ein Beispiel ist der Datenverkehr vom Internet zur externen Reverseproxyschnittstelle oder der Datenverkehr von der internen Reverseproxyschnittstelle zu einem Standard Edition-Pool oder der virtuellen IP-Adresse eines Hardwaregeräts zum Lastenausgleich, das einem Enterprise Edition-Pool zugeordnet ist. |
Erforderliche Einstellungen für externe Ports für eine skalierte konsolidierte Edgetopologie (Hardwarelastenausgleich): Virtuelle IP-Adressen der externen Schnittstelle
| Edgerolle | Quell-IP-Adresse | Quellport | Ziel-IP-Adresse | Zielport | Transport | Anwendung | Hinweise |
|---|---|---|---|---|---|---|---|
Zugriff |
Beliebig |
Beliebig |
131.107.155.110 |
443 |
TCP |
SIP (TLS) |
Client-zu-Server-SIP-Datenverkehr für den externen Benutzerzugriff |
Zugriff |
Beliebig |
Beliebig |
131.107.155.110 |
5061 |
TCP |
SIP (MTLS) |
Für Partnerverbundkonnektivität und die Verbindung mit öffentlichen Instant Messaging-Diensten über SIP (eingehend) |
Webkonferenz |
Beliebig |
Beliebig |
131.107.155.120 |
443 |
TCP |
PSOM (TLS) |
|
A/V |
Beliebig |
Beliebig |
131.107.155.130 |
3478 |
UDP |
STUN/MSTURN |
|
A/V |
Beliebig |
Beliebig |
131.107.155.130 |
443 |
TCP |
STUN/MSTURN |
Erforderliche Einstellungen für externe Ports für eine skalierte konsolidierte Edgetopologie (Hardwarelastenausgleich): Externe Schnittstelle, Knoten 1
| Edgerolle | Quell-IP-Adresse | Quellport | Ziel-IP-Adresse | Zielport | Transport | Anwendung | Hinweise |
|---|---|---|---|---|---|---|---|
Zugriff |
131.107.155.10 |
Beliebig |
Beliebig |
80 |
TCP |
HTTP |
|
Zugriff |
131.107.155.10 |
Beliebig |
Beliebig |
53 |
UDP |
DNS |
|
Zugriff |
131.107.155.10 |
Beliebig |
Beliebig |
5061 |
TCP |
SIP (MTLS) |
Für Partnerverbundkonnektivität und die Verbindung mit öffentlichen Instant Messaging-Diensten über SIP (ausgehend) |
A/V |
131.107.155.30 |
50,000 – 59,999 |
Beliebig |
Beliebig |
TCP |
RTP |
Nur für Desktopfreigabe mit Organisationen erforderlich, die Office Communications Server 2007 R2 ausführen. Ebenfalls erforderlich für Anwendungsfreigabe oder Datenübertragung mit Lync Server 2010-Partnerbenutzern und A/V-Sitzungen mit Windows Live Messenger |
A/V |
131.107.155.30 |
50,000 – 59,999 |
Beliebig |
Beliebig |
UDP |
RTP |
Nur für Partnerverbund mit Organisationen erforderlich, die noch Office Communications Server 2007 ausführen. |
A/V |
Beliebig |
Beliebig |
131.107.155.30 |
50,000 – 59,999 |
TCP |
RTP |
Nur für Partnerverbund mit Organisationen erforderlich, die noch Office Communications Server 2007 ausführen. |
A/V |
Beliebig |
Beliebig |
131.107.155.30 |
50,000 – 59,999 |
UDP |
RTP |
Nur für Partnerverbund mit Organisationen erforderlich, die noch Office Communications Server 2007 ausführen. |
A/V |
131.107.155.30 |
Beliebig |
Beliebig |
3478 |
UDP |
STUN/MSTURN |
Port 3478 (ausgehend) wird zum Ermitteln der Edgeserverversion verwendet, mit der Lync Server 2010 kommuniziert, sowie für Mediendatenverkehr von Edgeserver zu Edgeserver. Erforderlich für einen Partnerverbund mit Lync Server 2010, Windows Live Messenger und Office Communications Server 2007 R2 sowie dann, wenn mehrere Edgepools in einem Unternehmen bereitgestellt werden |
A/V |
Beliebig |
Beliebig |
131.107.155.30 |
3478 |
UDP |
STUN/MSTURN |
|
A/V |
Beliebig |
Beliebig |
131.107.155.30 |
443 |
TCP |
STUN/MSTURN |
Erforderliche Einstellungen für externe Ports für eine skalierte konsolidierte Edgetopologie (Hardwarelastenausgleich): Externe Schnittstelle, Knoten 2
| Edgerolle | Quell-IP-Adresse | Quellport | Ziel-IP-Adresse | Zielport | Transport | Anwendung | Hinweise |
|---|---|---|---|---|---|---|---|
Zugriff |
131.107.155.11 |
Beliebig |
Beliebig |
80 |
TCP |
HTTP |
|
Zugriff |
131.107.155.11 |
Beliebig |
Beliebig |
53 |
UDP |
DNS |
|
Zugriff |
131.107.155.11 |
Beliebig |
Beliebig |
5061 |
TCP |
SIP (MTLS) |
Für Partnerverbundkonnektivität und die Verbindung mit öffentlichen Instant Messaging-Diensten über SIP (ausgehend) |
A/V |
131.107.155.31 |
50,000 – 59,999 |
Beliebig |
Beliebig |
TCP |
RTP |
Nur für Desktopfreigabe mit Organisationen erforderlich, die noch Office Communications Server 2007 R2 ausführen. Ebenfalls erforderlich für Anwendungsfreigabe oder Datenübertragung mit Lync Server 2010-Partnerbenutzern und A/V-Sitzungen mit Windows Live Messenger |
A/V |
131.107.155.31 |
50,000 – 59,999 |
Beliebig |
Beliebig |
UDP |
RTP |
Nur für Partnerverbund mit Organisationen erforderlich, die noch Office Communications Server 2007 ausführen. |
A/V |
Beliebig |
Beliebig |
131.107.155.31 |
50,000 – 59,999 |
TCP |
RTP |
Nur für Partnerverbund mit Organisationen erforderlich, die noch Office Communications Server 2007 ausführen. |
A/V |
Beliebig |
Beliebig |
131.107.155.31 |
50,000 – 59,999 |
UDP |
RTP |
Nur für Partnerverbund mit Organisationen erforderlich, die noch Office Communications Server 2007 ausführen. |
A/V |
131.107.155.31 |
Beliebig |
Beliebig |
3478 |
UDP |
STUN/MSTURN |
Port 3478 (ausgehend) wird zum Ermitteln der Edgeserverversion verwendet, mit der Lync Server 2010 kommuniziert, sowie für Mediendatenverkehr von Edgeserver zu Edgeserver. Erforderlich für einen Partnerverbund mit Lync Server 2010, Windows Live Messenger und Office Communications Server 2007 R2 sowie dann, wenn mehrere Edgepools in einem Unternehmen bereitgestellt werden |
A/V |
Beliebig |
Beliebig |
131.107.155.31 |
3478 |
UDP |
STUN/MSTURN |
|
A/V |
Beliebig |
Beliebig |
131.107.155.31 |
443 |
TCP |
STUN/MSTURN |
Erforderliche Einstellungen für externe Ports für eine skalierte konsolidierte Edgetopologie (Hardwarelastenausgleich): Reverseproxy
| Edgerolle | Quell-IP-Adresse | Quellport | Ziel-IP-Adresse | Zielport | Transport | Anwendung | Hinweise |
|---|---|---|---|---|---|---|---|
Nicht zutreffend |
Beliebig |
Beliebig |
10.45.16.40 |
80 |
TCP |
SIP (TLS) |
(Optional) Zur Umleitung von HTTP-Datenverkehr an HTTPS. Auch erforderlich, wenn der AutoErmittlungsdienst für mobile Geräte, auf denen Lync ausgeführt wird, in Situationen verwendet wird, in denen die Organisation das Zertifikat für die Veröffentlichungsregel für externe Webdienste nicht ändern möchte. |
Nicht zutreffend |
Beliebig |
Beliebig |
10.45.16.40 |
443 |
TCP |
HTTPS |
Erforderliche Einstellungen für externe Ports für eine skalierte konsolidierte Edgetopologie (Hardwarelastenausgleich): Virtuelle IP-Adressen der internen Schnittstelle
| Edgerolle | Quell-IP-Adresse | Quellport | Ziel-IP-Adresse | Zielport | Transport | Anwendung | Hinweise |
|---|---|---|---|---|---|---|---|
Zugriff |
192.168.10.90 192.168.10.91 |
Beliebig |
172.25.33.110 |
5061 |
TCP |
SIP (MTLS) |
|
A/V |
Beliebig |
Beliebig |
172.25.33.110 |
5062 |
TCP |
SIP (MTLS) |
Schließen Sie alle Front-End-Server und alle Survivable Branch Appliances oder Survivable Branch Servers ein, die diesen A/V-Authentifizierungsdienst verwenden. |
A/V |
Beliebig |
Beliebig |
172.25.33.110 |
3478 |
UDP |
STUN/MSTURN |
|
A/V |
Beliebig |
Beliebig |
172.25.33.110 |
443 |
TCP |
STUN/MSTURN |
Erforderliche Einstellungen für externe Ports für eine skalierte konsolidierte Edgetopologie (Hardwarelastenausgleich): Interne Schnittstelle, Knoten 1
| Edgerolle | Quell-IP-Adresse | Quellport | Ziel-IP-Adresse | Zielport | Transport | Anwendung | Hinweise |
|---|---|---|---|---|---|---|---|
Zugriff |
172.25.33.10 |
Beliebig |
192.168.10.90 192.168.10.91 |
5061 |
TCP |
SIP (MTLS) |
Ziel ist der nächste Hopserver bzw. die nächsten Hopserver. Im Falle der Referenzarchitektur sind dies die IP-Adressen der zwei Pool-Front-End-Server. |
Zugriff |
192.168.10.90 192.168.10.91 |
Beliebig |
172.25.33.10 |
4443 |
TCP |
HTTPS |
Für die Replikation im zentraler Verwaltungsspeicher, einschließlich aller Front-End-Server. |
Webkonferenz |
Beliebig |
Beliebig |
172.25.33.10 |
8057 |
TCP |
PSOM (MTLS) |
|
A/V |
192.168.10.90 192.168.10.91 |
Beliebig |
172.25.33.10 |
5062 |
TCP |
SIP (MTLS) |
Mediarelay-Authentifizierung |
A/V |
Beliebig |
Beliebig |
172.25.33.10 |
3478 |
UDP |
STUN/MSTURN |
|
A/V |
Beliebig |
Beliebig |
172.25.33.10 |
443 |
TCP |
STUN/MSTURN |
Erforderliche Einstellungen für externe Ports für eine skalierte konsolidierte Edgetopologie (Hardwarelastenausgleich): Interne Schnittstelle, Knoten 2
| Edgerolle | Quell-IP-Adresse | Quellport | Ziel-IP-Adresse | Zielport | Transport | Anwendung | Hinweise |
|---|---|---|---|---|---|---|---|
Zugriff |
172.25.33.11 |
Beliebig |
192.168.10.90 192.168.10.91 |
5061 |
TCP |
SIP (MTLS) |
Ziel ist der nächste Hopserver bzw. die nächsten Hopserver. Im Falle der Referenzarchitektur sind dies die IP-Adressen der zwei Pool-Front-End-Server. |
Zugriff |
192.168.10.90 192.168.10.91 |
Beliebig |
172.25.33.11 |
4443 |
TCP |
HTTPS |
Für die Replikation im zentraler Verwaltungsspeicher, einschließlich aller Front-End-Server. |
Webkonferenz |
Beliebig |
Beliebig |
172.25.33.11 |
8057 |
TCP |
PSOM (MTLS) |
|
A/V |
192.168.10.90 192.168.10.91 |
Beliebig |
172.25.33.11 |
5062 |
TCP |
SIP (MTLS) |
Mediarelay-Authentifizierung |
A/V |
Beliebig |
Beliebig |
172.25.33.11 |
3478 |
UDP |
STUN/MSTURN |
|
A/V |
Beliebig |
Beliebig |
172.25.33.11 |
443 |
TCP |
STUN/MSTURN |
Erforderliche Einstellungen für externe Ports für eine skalierte konsolidierte Edgetopologie (Hardwarelastenausgleich): Reverseproxy
| Edgerolle | Quell-IP-Adresse | Quellport | Ziel-IP-Adresse | Zielport | Transport | Anwendung | Hinweise |
|---|---|---|---|---|---|---|---|
Nicht zutreffend |
172.25.33.40 |
Beliebig |
192.168.10.190 |
8080 |
TCP |
HTTPS |
(Optional) Erforderlich, wenn der AutoErmittlungsdienst für mobile Geräte, auf denen Lync ausgeführt wird, in Situationen verwendet wird, in denen die Organisation das Zertifikat für die Veröffentlichungsregel für externe Webdienste nicht ändern möchte. |
Nicht zutreffend |
172.25.33.40 |
Beliebig |
192.168.10.190 |
4443 |
TCP |
HTTPS |