Referenzarchitektur 1: Portzusammenfassung für einen einzelnen konsolidierten Edgeserver
Letztes Änderungsdatum des Themas: 2012-11-02
Die in dieser Referenzarchitektur beschriebene Edgeserverfunktionalität von Lync Server 2010 ähnelt derjenigen, die zuerst in Office Communications Server 2007 R2 eingeführt wurde, mit den folgenden Ausnahmen:
Port 8080 wird zum Routen von Datenverkehr von der internen Reverseproxyschnittstelle zur virtuellen IP-Adresse (VIP) des Pools verwendet. Es handelt sich um einen optionalen Port, über den mobile Geräte, auf denen Lync ausgeführt wird, den AutoErmittlungsdienst ermitteln können, wenn das Ändern des Zertifikats für die Veröffentlichungsregel für externe Webdienste nicht erwünscht ist (da beispielsweise eine große Anzahl von SIP-Domänen vorhanden ist).
Port 4443 wird zum Routen von Datenverkehr von der internen Reverseproxyschnittstelle zur Pool-VIP verwendet.
Port 4443 wird zum Routen von Datenverkehr vom Pool-Front-End zu den internen Edgeschnittstellen verwendet.
Es gibt verschiedene Optionen für den Portbereich von 50.000 bis 59.999, die folgende Abbildung zeigt jedoch die gängige Konfiguration für Interoperabilität mit vorherigen Versionen von Office Communications Server. Ausführliche Informationen zu den Konfigurationsoptionen für diesen Portbereich finden Sie unter Ermitteln der Anforderungen für A/V-Firewall und Ports.
Unternehmensumkreisnetzwerk für einen einzelnen konsolidierten Edgeserver
.jpg "Einzelner konsolidierter Edgeserver – Umkreisnetzwerk (Diagramm)")
In den folgenden Tabellen bezieht sich (eingehend) auf den Datenverkehr von einem weniger vertrauenswürdigen Netzwerk zu einem Netzwerk mit größerer Vertrauenswürdigkeit (z. B. Internet-zu-Umkreis oder Umkreis-zu-Unternehmen). Ein Beispiel wäre der Datenverkehr vom Internet zur externen Edgeschnittstelle oder der Datenverkehr von der internen Edgeschnittstelle zum nächsten Hoppool. In den folgenden Tabellen bezieht sich (ausgehend) auf den Datenverkehr von einem Netzwerk mit größerer Vertrauenswürdigkeit zu einem weniger vertrauenswürdigen Netzwerk (z. B. Unternehmen-zu Umkreis oder Umkreis-zu-Internet). Ein Beispiel wäre der Datenverkehr von einem Unternehmenspool zur internen Edgeschnittstelle oder der Datenverkehr von der externen Edgeschnittstelle zum Internet. Der Vermerk (eingehend/ausgehend) bezieht sich auf Datenverkehr in beide Richtungen.
Eingehender/ausgehender Edgedatenverkehr
.jpg "Edge eingehend/ausgehend (Diagramm)")
Es wird empfohlen, nur die Ports zu öffnen, die zur Unterstützung der Funktionalität erforderlich sind, für die Sie externen Zugriff bereitstellen möchten.
Damit der Remotezugriff für einen beliebigen Edgedienst funktioniert, muss der SIP-Datenverkehr in beide Richtungen übertragen werden können (wie in der Abbildung zum eingehenden/ausgehenden Edgedatenverkehr gezeigt). Anders ausgedrückt: Der Zugriffs-Edgedienst ist an Instant Messaging, Anwesenheit, Webkonferenzen und Audio/Video (A/V) beteiligt.
Firewallzusammenfassung für einen einzelnen/skalierten konsolidierten Edgeserver mit DNS-Lastenausgleich: Externe Schnittstelle
| Protokoll/Port | Verwendet für | ||
|---|---|---|---|
HTTP 80 (ausgehend) |
Überprüfung der Zertifikatsperrlisten (Certificate Revocation Lists, CRLs) |
||
DNS 53 (ausgehend) |
Externe DNS-Abfragen |
||
SIP/TLS/443 (eingehend) |
Client-zu-Server-SIP-Datenverkehr für Remotebenutzerzugriff |
||
SIP/MTLS/5061 (eingehend/ausgehend) |
Partnerverbund und Verbindung mit einem gehosteten Exchange-Dienst |
||
PSOM/TLS/443 (eingehend) |
Remotebenutzerzugriff auf Konferenzen für anonyme Benutzer und Partnerbenutzer |
||
RTP/TCP/50K-Bereich (eingehend) |
Austausch von Mediendaten (ausführliche Informationen finden Sie unter Ermitteln der Anforderungen für A/V-Firewall und Ports) Erforderlich für Office Communications Server 2007-Interoperabilität |
||
RTP/TCP/50K-Bereich (ausgehend) |
Austausch von Mediendaten (ausführliche Informationen finden Sie unter Ermitteln der Anforderungen für A/V-Firewall und Ports) Erforderlich für Office Communications Server 2007-Interoperabilität Erforderlich für Office Communications Server 2007 R2-Desktopfreigabe und -Partnerverbund Erforderlich für Lync Server 2010-Anwendungsfreigabe und Dateiübertragung A/V mit Windows Live Messenger
|
||
RTP/UDP/50K-Bereich (eingehend) |
Austausch von Mediendaten (ausführliche Informationen finden Sie unter Ermitteln der Anforderungen für A/V-Firewall und Ports) Erforderlich für Office Communications Server 2007-Interoperabilität |
||
RTP/UDP/50K-Bereich (ausgehend) |
Austausch von Mediendaten (ausführliche Informationen finden Sie unter Ermitteln der Anforderungen für A/V-Firewall und Ports) Erforderlich für Office Communications Server 2007-Interoperabilität |
||
STUN/MSTURN/UDP/3478 (eingehend/ausgehend) |
Externer Benutzerzugriff auf A/V-Sitzungen (UDP) |
||
STUN/MSTURN/TCP/443 (eingehend) |
Externer Benutzerzugriff auf A/V-Sitzungen und Mediendaten (TCP) |
Firewalldetails für einen einzelnen/skalierten konsolidierten Edgeserver mit DNS-Lastenausgleich: Interne Schnittstelle
| Protokoll/Port | Verwendet für |
|---|---|
SIP/MTLS/5061 (eingehend/ausgehend) |
SIP-Datenverkehr |
PSOM/MTLS/8057 (ausgehend) |
Webkonferenzdatenverkehr vom Pool zum Edgeserver |
SIP/MTLS/5062 (ausgehend) |
Authentifizierung von A/V-Benutzern (A/V-Authentifizierungsdienst) |
STUN/MSTURN/UDP/3478 (ausgehend) |
Bevorzugter Pfad für die Übertragung von Mediendaten zwischen internen Benutzern und externen Benutzern (UDP) |
STUN/MSTURN/TCP/443 (ausgehend) |
Alternativer Pfad für die Übertragung von Mediendaten zwischen internen Benutzern und externen Benutzern (TCP) |
HTTPS 4443 (ausgehend) |
Pushen von Updates für den zentraler Verwaltungsspeicher auf die Edgeserver |
Firewalldetails für Reverseproxyserver: Externe Schnittstelle
| Protokoll/Port | Verwendet für |
|---|---|
HTTP 80 (eingehend) |
(Optional) Umleitung an HTTPS, wenn Benutzer versehentlich "http://<FQDN_der_veröffentlichten_Site>" eingibt. Auch erforderlich, wenn der AutoErmittlungsdienst für mobile Geräte, auf denen Lync ausgeführt wird, in Situationen verwendet wird, in denen die Organisation das Zertifikat für die Veröffentlichungsregel für externe Webdienste nicht ändern möchte. |
HTTPS 443 (eingehend) |
Adressbuchdownloads, Adressbuch-Webabfragedienst, Clientupdates, Besprechungsinhalte, Geräteaktualisierungen, Gruppenerweiterung, Einwahlkonferenzen und Besprechungen |
Firewalldetails für Reverseproxyserver: Interne Schnittstelle
| Protokoll/Port | Verwendet für |
|---|---|
HTTP 8080 (eingehend) |
Erforderlich, wenn der AutoErmittlungsdienst für mobile Geräte, auf denen Lync ausgeführt wird, in Situationen verwendet wird, in denen die Organisation das Zertifikat für die Veröffentlichungsregel für externe Webdienste nicht ändern möchte. Datenverkehr, der an Port 80 der externen Reverseproxyschnittstelle gesendet wird, wird an einen Pool an Port 8080 der internen Reverseproxyschnittstelle umgeleitet, sodass die Poolwebdienste diesen vom internen Webdatenverkehr unterscheiden können. |
HTTPS 4443 (eingehend) |
Datenverkehr, der an Port 443 der externen Reverseproxyschnittstelle gesendet wird, wird an einen Pool an Port 4443 der internen Reverseproxyschnittstelle umgeleitet, sodass die Poolwebdienste diesen vom internen Webdatenverkehr unterscheiden können. |
.gif "note") Hinweis: |
|---|
| In den obigen Tabellen bezieht sich (eingehend) auf den Datenverkehr von einem weniger vertrauenswürdigen Netzwerk zu einem Netzwerk mit größerer Vertrauenswürdigkeit, z. B. Internet-zu-Umkreis oder Umkreis-zu-Unternehmen. Ein Beispiel ist der Datenverkehr vom Internet zur externen Reverseproxyschnittstelle oder der Datenverkehr von der internen Reverseproxyschnittstelle zu einem Standard Edition-Pool oder der virtuellen IP-Adresse eines Hardwaregeräts zum Lastenausgleich, das einem Front-End-Pool zugeordnet ist |
Erforderliche Einstellungen für externe Ports in einer Topologie mit einem einzelnen konsolidierten Edgeserver
| Edgerolle | Quell-IP-Adresse | Quellport | Ziel-IP-Adresse | Zielport | Transport | Anwendung | Hinweise |
|---|---|---|---|---|---|---|---|
Zugriff |
10.45.16.10 |
beliebig |
beliebig |
80 |
TCP |
HTTP |
|
Zugriff |
10.45.16.10 |
beliebig |
beliebig |
53 |
UDP |
DNS |
|
Zugriff |
beliebig |
beliebig |
10.45.16.10 |
443 |
TCP |
SIP (TLS) |
Client-zu-Server-SIP-Datenverkehr für den externen Benutzerzugriff |
Zugriff |
beliebig |
beliebig |
10.45.16.10 |
5061 |
TCP |
SIP (MTLS) |
Für Partnerverbundkonnektivität und die Verbindung mit öffentlichen Instant Messaging-Diensten über SIP |
Zugriff |
10.45.16.10 |
beliebig |
beliebig |
5061 |
TCP |
SIP (MTLS) |
Für Partnerverbundkonnektivität und die Verbindung mit öffentlichen Instant Messaging-Diensten über SIP |
Webkonferenz |
beliebig |
beliebig |
10.45.16.20 |
443 |
TCP |
PSOM (TLS) |
|
A/V |
10.45.16.30 |
50,000 – 59,999 |
beliebig |
443 |
TCP |
RTP |
Erforderlich für die Desktopfreigabe oder den Verbund mit Partnern, die Office Communications Server 2007 R2 ausführen, und wenn mehr als ein A/V-Edgedienst an einem Anruf beteiligt ist (Beispiel: Benutzer in demselben Unternehmen, die aber unterschiedliche Edgeserver oder Pools verwenden). Ebenfalls erforderlich für Anwendungsfreigabe oder Datenübertragung mit Lync Server 2010-Partnerbenutzern und A/V-Sitzungen mit Windows Live Messenger Dieser Portbereich und diese Regel werden auch verwendet, wenn der externe Benutzer die UDP 3478-Regel aufgrund von Einschränkungen oder anderen Bedingungen an der Quelle (Client) nicht verwenden kann. |
A/V |
10.45.16.30 |
50,000 – 59,999 |
beliebig |
beliebig |
UDP |
RTP |
Nur für Partnerverbund mit Organisationen erforderlich, die noch Office Communications Server 2007 ausführen |
A/V |
beliebig |
beliebig |
10.45.16.30 |
50,000 – 59,999 |
TCP |
RTP |
Nur für Partnerverbund mit Organisationen erforderlich, die noch Office Communications Server 2007 ausführen |
A/V |
beliebig |
beliebig |
10.45.16.30 |
50,000 – 59,999 |
UDP |
RTP |
Nur für Partnerverbund mit Organisationen erforderlich, die noch Office Communications Server 2007 ausführen |
A/V |
10.45.16.30 |
3478 |
beliebig |
3478 |
UDP |
STUN/MSTURN |
Port 3478 (ausgehend) wird zum Ermitteln der Edgeserverversion verwendet, mit der Lync Server 2010 kommuniziert, sowie für Mediendatenverkehr von Edgeserver zu Edgeserver Erforderlich für einen Partnerverbund mit Lync Server 2010, Windows Live Messenger und Office Communications Server 2007 R2 sowie dann, wenn mehrere Edgepools in einem Unternehmen bereitgestellt werden |
A/V |
beliebig |
beliebig |
10.45.16.30 |
3478 |
UDP |
STUN/MSTURN |
|
A/V |
beliebig |
beliebig |
10.45.16.30 |
443 |
TCP |
STUN/MSTURN |
|
Reverseproxy: – |
beliebig |
beliebig |
10.45.16.40 |
80 |
TCP |
HTTP |
(Optional) Kann zur Umleitung von HTTP-Datenverkehr an HTTPS verwendet werden Auch erforderlich, wenn der AutoErmittlungsdienst für mobile Geräte, auf denen Lync ausgeführt wird, in Situationen verwendet wird, in denen die Organisation das Zertifikat für die Veröffentlichungsregel für externe Webdienste nicht ändern möchte. |
Reverseproxy: – |
beliebig |
beliebig |
10.45.16.40 |
443 |
TCP |
HTTPS |
Erforderliche Einstellungen für interne Ports in einer Topologie mit einem einzelnen konsolidierten Edgeserver
| Edgerolle | Quell-IP-Adresse | Quellport | Ziel-IP-Adresse | Zielport | Transport | Anwendung | Hinweise |
|---|---|---|---|---|---|---|---|
Zugriff |
172.25.33.10 |
beliebig |
192.168.10.90 192.168.10.91 |
5061 |
TCP |
SIP (MTLS) |
Ziel ist der nächste Hopserver bzw. die nächsten Hopserver. Im Falle der Referenzarchitektur sind dies die IP-Adressen der zwei Pool-Front-End-Server. |
Zugriff |
192.168.10.90 192.168.10.91 |
beliebig |
172.25.33.10 |
5061 |
TCP |
SIP (MTLS) |
Quelle ist der nächste Hopserver bzw. die nächsten Hopserver. Im Falle der Referenzarchitektur sind dies die IP-Adressen der zwei Pool-Front-End-Server. |
Zugriff |
192.168.10.90 192.168.10.91 |
beliebig |
172.25.33.10 |
4443 |
TCP |
HTTPS |
Wird vom Replikations-Agent für die Replikation von dem zentraler Verwaltungsspeicher verwendet, einschließlich aller Front-End-Server. |
Webkonferenz |
beliebig |
beliebig |
172.25.33.10 |
8057 |
TCP |
PSOM (MTLS) |
|
A/V |
192.168.10.90 192.168.10.91 Beliebige Survivable Branch Appliances oder Survivable Branch Servers |
beliebig |
172.25.33.10 |
5062 |
TCP |
SIP (MTLS) |
Schließen Sie alle Front-End-Server ein, die diesen A/V-Authentifizierungsdienst verwenden. |
A/V |
beliebig |
beliebig |
172.25.33.10 |
3478 |
UDP |
STUN/MSTURN |
|
A/V |
beliebig |
beliebig |
172.25.33.10 |
443 |
TCP |
STUN/MSTURN |
|
Reverseproxy: – |
172.25.33.40 |
beliebig |
192.168.10.190 |
8080 |
TCP |
HTTPS |
(Optional) Erforderlich, wenn der AutoErmittlungsdienst für mobile Geräte, auf denen Lync ausgeführt wird, in Situationen verwendet wird, in denen die Organisation das Zertifikat für die Veröffentlichungsregel für externe Webdienste nicht ändern möchte. |
Reverseproxy: – |
172.25.33.40 |
beliebig |
192.168.10.190 |
4443 |
TCP |
HTTPS |