Requisitos de puerto y protocolo para servidores
Resumen: Revise las consideraciones de uso de puertos antes de implementar Skype Empresarial Server.
Skype Empresarial Server requiere que los puertos específicos de los firewalls externos e internos estén abiertos. Además, si se ha implementado el protocolo de seguridad de Internet (IPSec) en la organización, IPSec debe estar deshabilitado en el intervalo de puertos que se usa para la entrega de audio, vídeo y vídeo panorámico.
Aunque esto puede parecer un poco desalentador, el trabajo pesado para planear esto puede hacerse con la Herramienta de planeación de Skype Empresarial Server 2015. Una vez que haya pasado por las preguntas del asistente sobre las características que planea usar, para cada sitio que defina, puede ver el informe de firewall en el informe de Administración de Microsoft Edge y usar la información que aparece allí para crear las reglas de firewall. También puede realizar ajustes en muchos de los nombres y direcciones IP que se usan para obtener más información, consulte Revisar el informe de firewall. Tenga en cuenta que puede exportar el informe de Administración edge a una hoja de cálculo de Excel y el informe de firewall será una de las hojas de cálculo del archivo.
Encontrará la información en estas tablas en forma de diagrama revisando el póster Cargas de trabajo de protocolo vinculadas fuera del artículo Diagramas técnicos para Skype Empresarial Server 2015.
Nota
- Si va a implementar Skype Empresarial Online (Microsoft 365 o Office 365) consulte Microsoft 365 y Office 365 direcciones URL e intervalos de direcciones IP. Los entornos híbridos tendrán que hacer referencia a este tema y también planear la conectividad híbrida.
- Puede tener un firewall de hardware o software. No necesitamos modelos o versiones específicos. Lo importante es qué puertos se agregan a una lista de permitidos para que el firewall no afecte al funcionamiento de Skype Empresarial Server.
Detalles de protocolo y puerto
En esta sección se resumen los puertos y protocolos que usan los servidores, equilibradores de carga y clientes en una implementación de Skype Empresarial Server.
Nota
Cuando se inicia Skype Empresarial Server, se abren los puertos necesarios en el Firewall de Windows. Firewall de Windows ya debería estar ejecutándose en la mayoría de las aplicaciones normales, pero si no se usa Skype Empresarial Server funcionará sin él.
Para obtener más información sobre la configuración del firewall para los componentes perimetrales, consulta Escenarios de servidor perimetral en Skype Empresarial Server 2015.
En la tabla siguiente se enumeran los puertos que debe abrir en cada rol del servidor interno.
Puertos de servidor obligatorios (por rol de servidor)
| Rol de servidor | Nombre de servicio | Puerto | Protocolo | Notas |
|---|---|---|---|---|
| Todos los servidores | Explorador SQL | 1434 | UDP | SQL Browser para la copia replicada local de la base de datos del Almacén de administración central. |
| Servidores Front-End | servicio Skype Empresarial Server Front-End | 5060 | TCP | Opcionalmente lo usan los servidores Standard Edition y front-end para rutas estáticas a servicios de confianza, como los servidores de control remoto de llamadas. |
| Servidores front-end | servicio Skype Empresarial Server Front-End | 5061 | TCP (TLS) | Lo usan los servidores Standard Edition y los grupos de servidores front-end para todas las comunicaciones SIP internas entre los servidores (MTLS), para las comunicaciones SIP entre el cliente y el servidor (TLS) y para las comunicaciones SIP entre los servidores front-end y los servidores de mediación (MTLS). También se usa para las comunicaciones con un servidor de supervisión. |
| Servidores front-end | servicio Skype Empresarial Server Front-End | 444 | HTTPS TCP |
Se usa para la comunicación HTTPS entre el foco (el componente de Skype Empresarial Server que administra el estado de conferencia) y los servidores individuales. Este puerto también se usa para la comunicación TCP entre los dispositivos de la rama con funciones de supervivencia y los servidores front-end. |
| Servidores front-end | servicio Skype Empresarial Server Front-End | 135 | DCOM y llamada a procedimiento remoto (RPC) | Se usa para operaciones basadas en DCOM, como la migración de los usuarios, la sincronización del replicador de usuarios y la sincronización de la libreta de direcciones. |
| Servidores front-end | Skype Empresarial Server servicio de conferencias de mensajería instantánea | 5062 | TCP | Se usa para las solicitudes SIP entrantes de las conferencias de mensajería instantánea. |
| Servidores front-end | Skype Empresarial Server servicio de conferencia web | 8057 | TCP (TLS) | Se usa para escuchar las conexiones del Modelo de objetos compartidos persistentes (PSOM) desde un cliente. |
| Servidores front-end | Skype Empresarial Server servicio de compatibilidad de conferencias web | 8058 | TCP (TLS) | Se usa para escuchar conexiones de modelo de objetos compartidos persistentes (PSOM) del cliente de Live Meeting y versiones anteriores de Skype Empresarial Server. |
| Servidores front-end | Skype Empresarial Server servicio de audioconferencia o vídeo | 5063 | TCP | Se usa para las solicitudes SIP entrantes de las conferencias de audio y vídeo (A/V). |
| Servidores front-end | Skype Empresarial Server servicio de audioconferencia o vídeo | 57501-65535 | TCP/UDP | Intervalo de puertos de medios que se usa para conferencias de vídeo. |
| Servidores front-end | Skype Empresarial Server servicio de compatibilidad web | 80 | HTTP | Se usa para la comunicación entre los servidores front-end y los FQDN (direcciones URL que usan los componentes web de IIS) cuando no se usa HTTPS. |
| Servidores front-end | Skype Empresarial Server servicio de compatibilidad web | 443 | HTTPS | Se usa para la comunicación entre los servidores front-end y los FQDN de la granja de servidores web (direcciones URL que usan los componentes web de IIS). |
| Servidores front-end | Skype Empresarial Server servicio de compatibilidad web | 8080 | TCP y HTTP | Lo usan los componentes web para acceso externo. |
| Servidores front-end | Componente de servidor web | 4443 | HTTPS | Comunicaciones entre grupos de HTTPS (desde proxy inverso) y HTTPS front-end para el inicio de sesión con detección automática. |
| Servidores front-end | Componente de servidor web | 8060 | TCP (MTLS) | |
| Servidores front-end | Componente de servidor web | 8061 | TCP (MTLS) | |
| Servidores front-end | Componente de servicios de movilidad | 5086 | TCP (MTLS) | Puerto SIP que usan los procesos internos de los servicios de movilidad |
| Servidores front-end | Componente de servicios de movilidad | 5087 | TCP (MTLS) | Puerto SIP que usan los procesos internos de los servicios de movilidad |
| Servidores front-end | Componente de servicios de movilidad | 443 | HTTPS | |
| Servidores front-end | Skype Empresarial Server Servicio de operador de conferencias (conferencia de acceso telefónico local) | 5064 | TCP | Se usa para las solicitudes SIP entrantes de las conferencias de acceso telefónico local. |
| Servidores front-end | Skype Empresarial Server Servicio de operador de conferencias (conferencia de acceso telefónico local) | 5072 | TCP | Se usa para las solicitudes SIP entrantes para Attendant (conferencia de acceso telefónico local). |
| Servidores front-end que también ejecutan un servidor de mediación combinado | servicio de mediación Skype Empresarial Server | 5070 | TCP | Lo usa el servidor de mediación para solicitudes entrantes desde el servidor front-end al servidor de mediación. |
| Servidores front-end que también ejecutan un servidor de mediación combinado | servicio de mediación Skype Empresarial Server | 5067 | TCP (TLS) | Se usa para solicitudes SIP entrantes desde la puerta de enlace RTC al servidor de mediación. |
| Servidores front-end que también ejecutan un servidor de mediación combinado | servicio de mediación Skype Empresarial Server | 5068 | TCP | Se usa para solicitudes SIP entrantes desde la puerta de enlace RTC al servidor de mediación. |
| Servidores front-end que también ejecutan un servidor de mediación combinado | servicio de mediación Skype Empresarial Server | 5081 | TCP | Se usa para solicitudes SIP salientes desde el servidor de mediación a la puerta de enlace RTC. |
| Servidores front-end que también ejecutan un servidor de mediación combinado | servicio de mediación Skype Empresarial Server | 5082 | TCP (TLS) | Se usa para solicitudes SIP salientes desde el servidor de mediación a la puerta de enlace RTC. |
| Servidores front-end | Skype Empresarial Server servicio de uso compartido de aplicaciones | 5065 | TCP | Se usa para las solicitudes de escucha SIP entrantes para compartir las aplicaciones. |
| Servidores front-end | Skype Empresarial Server servicio de uso compartido de aplicaciones | 49152-65535 | TCP | Intervalo de puertos de medios que se usa para compartir aplicaciones. |
| Servidores front-end | Skype Empresarial Server servicio de anuncios de conferencias | 5073 | TCP | Se usa para solicitudes SIP entrantes para el servicio de anuncios de conferencia de Skype Empresarial Server (es decir, para conferencias de acceso telefónico local). |
| Servidores front-end | servicio de estacionamiento de llamadas Skype Empresarial Server | 5075 | TCP | Se usa para las solicitudes SIP entrantes de la aplicación Estacionamiento de llamadas. |
| Servidores front-end | Skype Empresarial Server servicio de prueba de audio | 5076 | TCP | Se usa para las solicitudes SIP entrantes del servicio de prueba de audio. |
| Servidores front-end | No aplicable | 5066 | TCP | Se usa para la puerta de enlace 9-1-1 mejorado (E9-1-1) saliente. |
| Servidores front-end | servicio Skype Empresarial Server grupo de respuesta | 5071 | TCP | Se usa para las solicitudes SIP entrantes de la aplicación Grupo de respuesta. |
| Servidores front-end | servicio Skype Empresarial Server grupo de respuesta | 8404 | TCP (MTLS) | Se usa para las solicitudes SIP entrantes de la aplicación Grupo de respuesta. |
| Servidores front-end | Servicio de directivas de ancho de banda de Skype Empresarial Server | 5080 | TCP | Lo usa el servicio de directiva de ancho de banda del tráfico TURN perimetral A/V para el servicio de control de admisión de llamadas. |
| Servidores front-end | Skype Empresarial Server acceso al servidor del recurso compartido de archivos | 445 | SMB/TCP | Se usa para recuperar la libreta de direcciones, el contenido de la reunión y otros elementos almacenados en el servidor del recurso compartido de archivos. |
| Servidores front-end | Servicio de directivas de ancho de banda de Skype Empresarial Server | 448 | TCP | Se usa para el control de admisión de llamadas por el servicio de directiva de ancho de banda de Skype Empresarial Server. |
| Servidores front-end donde reside el almacén de administración central | Skype Empresarial Server servicio de agente principal de replicador | 445 | TCP | Se usa para insertar datos de configuración desde el almacén de administración central a servidores que ejecutan Skype Empresarial Server. |
| Todos los servidores | Explorador SQL | 1434 | UDP | Explorador SQL para una copia replicada local de datos del almacén de administración central en SQL Server instancia local |
| Todos los usuarios internos | Varios | 49152-57500 | TCP/UDP | El intervalo de puertos de medios se usa para audioconferencias en todos los servidores internos. Utilizados por todos los servidores que terminan el audio: servidores front-end (para Skype Empresarial Server servicio de operador de conferencia, servicio de anuncio de conferencia de Skype Empresarial Server y servicio de audioconferencia/videoconferencia de Skype Empresarial Server) y servidor de mediación. |
| Servidores de Office Web Apps | 443 | Se usa por Skype Empresarial Server para conectarse a Office Web Apps Server. | ||
| Directores | servicio Skype Empresarial Server Front-End | 5060 | TCP | Se usa opcionalmente para rutas estáticas a servicios de confianza, como los servidores de control remoto de llamadas. |
| Directores | servicio Skype Empresarial Server Front-End | 444 | HTTPS TCP |
Comunicación entre servidores front-end y Director. Además, el certificado de cliente se publica (en servidores front-end) o se valida si el certificado de cliente ya se ha publicado. |
| Directores | Skype Empresarial Server servicio de compatibilidad web | 80 | TCP | Se usa para la comunicación inicial desde los Directores a los FQDN de la granja de servidores web (direcciones URL que usan los componentes web de IIS). En condiciones normales, cambiará a tráfico HTTPS a través del puerto 443 y el tipo de protocolo TCP. |
| Directores | Skype Empresarial Server servicio de compatibilidad web | 443 | HTTPS | Se usa para la comunicación desde los Directores a los FQDN de la granja de servidores web (direcciones URL que usan los componentes web de IIS). |
| Directores | servicio Skype Empresarial Server Front-End | 5061 | TCP | Se usa para comunicaciones internas entre servidores y para conexiones de cliente. |
| Servidores de mediación | servicio de mediación Skype Empresarial Server | 5070 | TCP | Lo usa el servidor de mediación para solicitudes entrantes desde el servidor front-end. |
| Servidores de mediación | servicio de mediación Skype Empresarial Server | 5067 | TCP (TLS) | Se usa para solicitudes SIP entrantes desde la puerta de enlace RTC. |
| Servidores de mediación | servicio de mediación Skype Empresarial Server | 5068 | TCP | Se usa para solicitudes SIP entrantes desde la puerta de enlace RTC. |
| Servidores de mediación | servicio de mediación Skype Empresarial Server | 5070 | TCP (MTLS) | Se usa para solicitudes SIP desde los servidores front-end. |
| Servidor front-end de chat persistente | SIP de chat persistente | 5041 | TCP (MTLS) | |
| Servidor front-end de chat persistente | Windows Communication Foundation (WCF) de chat persistente | 881 | TCP (TLS) y TCP (MTLS) | |
| Servidor front-end de chat persistente | Servicio de transferencia de archivos de chat persistente | 443 | TCP (TLS) |
Nota
Algunos escenarios de control remoto de llamadas requieren una conexión entre el servidor front-end o el Director y la PBX. Aunque Skype Empresarial Server ya no usa el puerto TCP 5060, durante la implementación del control remoto de llamadas se crea una configuración de servidor de confianza, que asocia el FQDN del servidor de línea de RCC con el puerto TCP que usará el servidor front-end o director para conectarse al sistema PBX. Para obtener más información, consulte el cmdlet CsTrustedApplicationComputer en la documentación del Shell de administración de Skype Empresarial Server.
Para los grupos que solo usan equilibrio de carga de hardware (no equilibrio de carga de DNS), en la siguiente tabla se muestran los puertos que necesitan para abrir los equilibradores de carga de hardware.
Puertos del equilibrador de carga de hardware si solo usa equilibrio de carga de hardware
| Equilibrador de carga | Puerto | Protocolo |
|---|---|---|
| Equilibrador de carga del servidor front-end | 5061 | TCP (TLS) |
| Equilibrador de carga del servidor front-end | 444 | HTTPS |
| Equilibrador de carga del servidor front-end | 135 | DCOM y llamada a procedimiento remoto (RPC) |
| Equilibrador de carga del servidor front-end | 80 | HTTP |
| Equilibrador de carga del servidor front-end | 8080 | TCP: recuperación de cliente y dispositivo del certificado raíz del servidor front-end: clientes y dispositivos autenticados por NTLM |
| Equilibrador de carga del servidor front-end | 443 | HTTPS |
| Equilibrador de carga del servidor front-end | 4443 | HTTPS (desde proxy inverso) |
| Equilibrador de carga del servidor front-end | 5072 | TCP |
| Equilibrador de carga del servidor front-end | 5073 | TCP |
| Equilibrador de carga del servidor front-end | 5075 | TCP |
| Equilibrador de carga del servidor front-end | 5076 | TCP |
| Equilibrador de carga del servidor front-end | 5071 | TCP |
| Equilibrador de carga del servidor front-end | 5080 | TCP |
| Equilibrador de carga del servidor front-end | 448 | TCP |
| Equilibrador de carga del servidor de mediación | 5070 | TCP |
| Equilibrador de carga del servidor front-end (si el grupo también ejecuta el servidor de mediación) | 5070 | TCP |
| Equilibrador de carga del Director | 443 | HTTPS |
| Equilibrador de carga del Director | 444 | HTTPS |
| Equilibrador de carga del Director | 5061 | TCP |
| Equilibrador de carga del Director | 4443 | HTTPS (desde proxy inverso) |
Los grupos de servidores front-end y de Directores que usan equilibrio de carga de DNS también deben tener implementado un equilibrador de carga de hardware. En la siguiente tabla se muestran los puertos que se deben abrir en estos equilibradores de carga de hardware.
Puertos del equilibrador de carga de hardware si usa equilibrio de carga de DNS
| Equilibrador de carga | Puerto | Protocolo |
|---|---|---|
| Equilibrador de carga del servidor front-end | 80 | HTTP |
| Equilibrador de carga del servidor front-end | 443 | HTTPS |
| Equilibrador de carga del servidor front-end | 8080 | TCP: recuperación de cliente y dispositivo del certificado raíz del servidor front-end: clientes y dispositivos autenticados por NTLM |
| Equilibrador de carga del servidor front-end | 4443 | HTTPS (desde proxy inverso) |
| Equilibrador de carga del Director | 443 | HTTPS |
| Equilibrador de carga del Director | 4443 | HTTPS (desde proxy inverso) |
Puertos de cliente necesarios
| Componente | Puerto | Protocolo | Notas |
|---|---|---|---|
| Clientes | 67/68 | DHCP | Se usa por Skype Empresarial Server para buscar el FQDN del registrador (es decir, si se produce un error en el SRV de DNS y la configuración manual no está configurada). |
| Clientes | 443 | TCP (TLS) | Se usa para el tráfico SIP de cliente a servidor para el acceso de usuarios externos. |
| Clientes | 443 | TCP (PSOM/TLS) | Se usa para el acceso de usuarios externos a las sesiones de conferencia web. |
| Clientes | 443 | TCP (STUN/MSTURN) | Se usa para el acceso de usuarios externos a las sesiones de A/V y a los medios (TCP). |
| Clientes | 3478 | UDP (STUN/MSTURN) | Se usa para el acceso de usuarios externos a los medios y las sesiones de A/V (UDP) |
| Clientes | 5061 | TCP (MTLS) | Se usa para el tráfico SIP de cliente a servidor para el acceso de usuarios externos. |
| Clientes | 6891-6901 | TCP | Se usa para la transferencia de archivos entre Skype Empresarial clientes y clientes anteriores. |
| Clientes | 1024-65535* | TCP/UDP | Intervalo de puertos de audio (se requieren 20 puertos como mínimo). |
| Clientes | 1024-65535* | TCP/UDP | Intervalo de puertos de vídeo (se requieren 20 puertos como mínimo). |
| Clientes | 1024-65535* | TCP | Transferencias de archivos de punto a punto (para la transferencia de archivos de conferencia, los clientes usan PSOM). |
| Clientes | 1024-65535* | TCP | Uso compartido de aplicaciones. |
| Teléfono de área común Aastra 6721ip Teléfono de escritorio Aastra 6725ip Teléfono IP HP 4110 (teléfono de área común) Teléfono IP HP 4120 (teléfono de escritorio) Teléfono de área común Polycom CX500 IP Teléfono de escritorio Polycom CX600 IP Teléfono de escritorio Polycom CX700 IP Teléfono de conferencia Polycom CX3000 IP |
67/68 | DHCP | Se usa en los dispositivos de la lista para buscar el certificado de Skype Empresarial Server, el aprovisionamiento de FQDN y el FQDN del registrador. |
* Para configurar puertos específicos para estos tipos de medios, use el cmdlet CsConferencingConfiguration (los parámetros ClientMediaPortRangeEnabled, ClientMediaPort y ClientMediaPortRange).
Nota
Los programas de configuración para Skype Empresarial clientes crean automáticamente las excepciones necesarias del firewall del sistema operativo en el equipo cliente.
Nota
Los puertos que se usan para el acceso de usuarios externos son necesarios para cualquier escenario en el que el cliente debe atravesar el firewall de la organización (por ejemplo, cualquier comunicación externa o reuniones hospedadas por otras organizaciones).
Excepciones de IPsec
En aquellas redes empresariales donde el protocolo de seguridad de Internet (IPsec) (consulte IETF RFC 4301-4309) está implementado, IPsec se necesita deshabilitar en el intervalo de puertos usado para la entrega de audio, vídeo y vídeo panorámico. Esta recomendación se fundamenta en la necesidad de evitar retrasos en la asignación de los puertos de medios por la negociación de IPsec.
En la siguiente tabla se detalla la configuración de las excepciones de IPsec recomendadas.
Excepciones de IPsec recomendadas
| Nombre de la regla | IP de origen | IP de destino | Protocolo | Puerto de origen | Puerto de destino | Requisito de autenticación |
|---|---|---|---|---|---|---|
| Servidor perimetral A/V interno entrante | Cualquiera | Servidor perimetral A/V interno | UDP y TCP | Cualquiera | Cualquiera | No autenticar |
| Servidor perimetral A/V externo entrante | Cualquiera | Servidor perimetral A/V externo | UDP y TCP | Cualquiera | Cualquiera | No autenticar |
| Servidor perimetral A/V interno saliente | Servidor perimetral A/V interno | Cualquiera | TCP y UDP | Cualquiera | Cualquiera | No autenticar |
| Servidor perimetral A/V externo saliente | Servidor perimetral A/V externo | Cualquiera | UDP y TCP | Cualquiera | Cualquiera | No autenticar |
| Servidor de mediación entrante | Cualquiera | Servidores de mediación |
UDP y TCP | Cualquiera | Cualquiera | No autenticar |
| Servidor de mediación saliente | Servidores de mediación |
Cualquiera | UDP y TCP | Cualquiera | Cualquiera | No autenticar |
| Operador de conferencia entrante | Cualquiera | Servidor front-end que ejecuta operador de conferencia | UDP y TCP | Cualquiera | Cualquiera | No autenticar |
| Operador de conferencia saliente | Servidor front-end que ejecuta operador de conferencia | Cualquiera | UDP y TCP | Cualquiera | Cualquiera | No autenticar |
| Servidor de conferencia A/V entrante | Cualquiera | Servidores front-end | UDP y TCP | Cualquiera | Cualquiera | No autenticar |
| Salida de conferencia A/V | Servidores front-end | Cualquiera | UDP y TCP | Cualquiera | Cualquiera | No autenticar |
| Exchange entrante | Cualquiera | Mensajería unificada de Exchange | UDP y TCP | Cualquiera | Cualquiera | No autenticar |
| Servidores de aplicaciones compartidas entrantes | Cualquiera | Servidores de aplicaciones compartidas | TCP | Cualquiera | Cualquiera | No autenticar |
| Servidor de aplicaciones compartidas saliente | Servidores de aplicaciones compartidas | Cualquiera | TCP | Cualquiera | Cualquiera | No autenticar |
| Exchange saliente | Mensajería unificada de Exchange | Cualquiera | UDP y TCP | Cualquiera | Cualquiera | No autenticar |
| Clientes | Cualquiera | Cualquiera | UDP | Intervalo de puertos de medios especificado | Cualquiera | No autenticar |