Requisitos del entorno del servidor perimetral en Skype Empresarial Server 2015

Skype for Business Server 2015
 

Última modificación del tema:2016-07-11

Resumen: información sobre los requisitos del entorno para el Servidor perimetral en Skype Empresarial Server 2015.

Es necesario planificar y preparar mucho fuera del propio entorno del Servidor perimetral de Skype Empresarial Server 2015. En este artículo, repasaremos qué preparativos tiene que realizar en el entorno de la organización, según la lista que se muestra abajo:

Las topologías del Servidor perimetral de Skype Empresarial Server 2015 pueden usar:

  • Direcciones IP públicas enrutables.

  • Direcciones IP privadas no enrutables si se usa la traducción de direcciones de red (NAT) simétrica .

tipSugerencia:
El Servidor perimetral se puede configurar para que use una sola dirección IP con diferentes puertos para cada servicio o puede usar direcciones IP diferentes para cada servicio, pero en el mismo puerto predeterminado (que, de forma predeterminada, será TCP 443). Hay más información en la sección de requisitos de las direcciones IP de abajo.

Si elige direcciones IP privadas no enrutables con NAT, recuerde los siguientes puntos:

  • Tiene que usar direcciones IP privadas enrutables en las tres interfaces externas.

  • Tiene que configurar la NAT simétrica para el tráfico entrante y saliente. La NAT simétrica es la única NAT compatible que puede usar con el Servidor perimetral de Skype Empresarial Server 2015.

  • Configure la NAT para que no cambie las direcciones de origen entrantes. El Servicio perimetral A/V tiene que poder recibir la dirección de origen entrante para encontrar la ruta de acceso a medios óptima.

  • El Servidores perimetrales tiene que poder comunicarse con el otro desde sus direcciones IP de Servidor perimetral A/V públicas. El firewall tiene que permitir este tráfico.

  • La NAT solo se puede usar para los Servidores perimetrales consolidados escalados si usa Equilibrio de carga de DNS. Si usa el equilibrio de carga de hardware (HLB), tiene que usar direcciones IP enrutables públicamente sin NAT.

No tendrá ningún problema al tener las interfaces de Access, Conferencia web y Servidor perimetral A/V detrás de un enrutador o firewall realizando NAT simétrica para las topologías consolidadas tanto escaladas como simples de Servidor perimetral (siempre que no esté usando el equilibrio de carga de hardware).

Hay varias opciones de topología disponibles para las implementaciones del Servidor perimetral de Skype Empresarial Server 2015:

  • Servidor perimetral consolidado simple con direcciones IP privadas y NAT

  • Servidor perimetral consolidado simple con direcciones IP públicas

  • Servidor perimetral consolidado ampliado con direcciones IP privadas y NAT

  • Servidor perimetral consolidado ampliado con direcciones IP públicas

  • Servidor perimetral consolidado ampliado con equilibradores de carga de hardware

Para que le sea más fácil elegir una, la siguiente tabla le ofrece un resumen de las opciones de cada topología:

 

Topología Alta disponibilidad ¿Registros DNS adicionales necesarios para el Servidor perimetral externo en el Grupo de servidores perimetrales? Conmutación por error de servidores perimetrales para las sesiones del Skype Empresarial Server Conmutación por error de servidores perimetrales para las sesiones de federación del Skype Empresarial Server

Servidor perimetral consolidado simple con direcciones IP privadas y NAT

No

No

No

No

Servidor perimetral consolidado simple con direcciones IP públicas

No

No

No

No

Servidor perimetral consolidado ampliado con direcciones IP privadas y NAT (con equilibrio de carga DNS)

Servidor perimetral consolidado ampliado con direcciones IP públicas (con equilibrio de carga DNS)

Servidor perimetral consolidado ampliado con equilibradores de carga de hardware

No (un registro A DNS por VIP)

*La conmutación por error de un usuario remoto de Mensajería unificada de Exchange (UM) con Equilibrio de carga de DNS requiere Exchange 2013 o una versión posterior.

En un nivel básico, tres servicios necesitan direcciones IP; Servidor perimetral de acceso, Servicio perimetral de conferencia web y Servicio perimetral A/V. Tiene la opción de usar tres direcciones IP, una para cada uno de los servicios, o puede usar uno y optar por poner cada servicio en un puerto diferente (puede comprobar la sección Planificación de puerto y de firewall para más información sobre esto). Para un entorno de servidor perimetral consolidado simple, es prácticamente todo.

noteNota:
Como se indica anteriormente, puede optar por tener una dirección IP para los tres servicios y ejecutarlos en diferentes puertos. Para ser claros, no lo recomendamos. Si sus clientes no pueden tener acceso a los puertos alternativos que usa en este escenario, tampoco pueden obtener acceso a la característica completa de su entorno perimetral.

Puede ser un poco más complicado con topologías consolidadas ampliadas, por lo que vamos a ver algunas tablas que organizan los requisitos de direcciones IP, teniendo en cuenta que los aspectos principales a la hora de decantarse por una topología son la alta disponibilidad y el equilibrio de carga. Las necesidades de la alta disponibilidad pueden influir en la opción del equilibrio de carga (hablaremos de ello después de las tablas).

 

Número de Servidores perimetrales por grupo Número de direcciones IP necesarias para el equilibrio de carga de DNS Número de direcciones IP necesarias para el equilibrio de carga de hardware

2

6

3 (1 por VIP) + 6

3

9

3 (1 por VIP) + 9

4

12

3 (1 por VIP) + 12

5

15

3 (1 por VIP) +15

 

Número de Servidores perimetrales por grupo Número de direcciones IP necesarias para el equilibrio de carga de DNS Número de direcciones IP necesarias para el equilibrio de carga de hardware

2

2

1 (1 por VIP) + 2

3

3

1 (1 por VIP) + 3

4

4

1 (1 por VIP) + 4

5

5

1 (1 por VIP) + 5

Veamos algunos asuntos adicionales en los que pensar durante la planeación.

  • Alta disponibilidad : si necesita una alta disponibilidad en su implementación, tiene que implementar al menos dos Servidores perimetrales en un grupo. Es importante tener en cuenta que un único Grupo de servidores perimetrales admitirá hasta 12 Servidores perimetrales (aunque el Generador de topologías le permitirá agregar hasta 20, no está probado o admitido, por lo que le recomendamos que no lo haga). Si necesita más de 12 Servidores perimetrales, necesita crear Grupos de servidores perimetrales adicionales para ellos.

  • Equilibrio de carga de hardware : le recomendamos Equilibrio de carga de DNS para la mayoría de los escenarios. También se admite el equilibrio de carga de hardware, por supuesto, pero es especialmente necesario para un único escenario sobre Equilibrio de carga de DNS:

    • Acceso externo a Exchange 2007 o Exchange 2010 (sin SP) Mensajería unificada (MU).

  • Equilibrio de carga de DNS : la mensajería unificada, SP1 de Exchange 2010 y versiones más recientes pueden ser compatibles con el Equilibrio de carga de DNS. Tenga en cuenta que si tiene que usar el Equilibrio de carga de DNS con una versión anterior de Exchange, también funcionará, pero todo el tráfico de este se enviará al primer servidor del grupo de servidores y, si no está disponible, el tráfico producirá un error.

    También le recomendamos Equilibrio de carga de DNS si se va a federar con compañías con Lync Server 2010, Lync Server 2013 y Microsoft Office 365.

Cuando se trata de la implementación del Servidor perimetral de Skype Empresarial Server 2015, es fundamental prepararse correctamente para el DNS. Con los registros correctos en su ubicación, la implementación será mucho más sencilla. Afortunadamente ha elegido una topología en la sección anterior, ya que realizaremos una descripción general y después enumeraremos algunas tablas que esquematicen los registros DNS para esos escenarios. También le mostraremos alguna DNS del servidor de borde planificación avanzada para Skype para Business Server 2015 para leer más en profundidad, si la necesita.

Estos son los registros DNS que va a necesitar para un único Servidor perimetral tanto con las IP públicas como con las IP privadas con la NAT. Dado que estos son datos de ejemplo, le daremos IP de muestra para que pueda resolver sus propias entradas de forma más fácil:

  • Adaptador de red interna: 172.25.33.10 (no hay ninguna puerta de enlace predeterminada asignada)

    noteNota:
    Asegúrese de que existe una ruta desde la red que contiene la interfaz perimetral interna hasta todas las redes que contienen servidores que ejecutan clientes de Skype Empresarial Server 2015 o Lync Server 2013 (por ejemplo, de 172.25.33.0 a 192.168.10.0).
  • Adaptador de red externa:

    • IP públicas

      • Perímetro de acceso: 131.107.155.10 (este es el principal, con la puerta de enlace predeterminada establecida en el enrutador público, p. ej.: 131.107.155.1)

      • perimetral de conferencia web: 131.107.155.20 (secundario)

      • Servidor perimetral A/V: 131.107.155.30 (secundario)

      Las direcciones IP públicas de Conferencia web y de Servidor perimetral A/V son direcciones IP adicionales (secundarias) en la sección Avanzadas de las propiedades de Protocolo de Internet versión 4 (TCP/IPv4) y Protocolo de Internet versión 6 (TCP/IPv6) de las Propiedades de conexión de área local en Windows Server.

    • IP privadas:

      • Perímetro de acceso: 10.45.16.10 (este es el principal, con la puerta de enlace predeterminada establecida en el enrutador, p. ej.: 10.45.16.1)

      • perimetral de conferencia web: 10.45.16.20 (secundario)

      • Servidor perimetral A/V: 10.45.16.30 (secundario)

Las direcciones IP públicas de Conferencia web y de Servidor perimetral A/V son direcciones IP adicionales (secundarias) en la sección Avanzadas de las propiedades de Protocolo de Internet versión 4 (TCP/IPv4) y Protocolo de Internet versión 6 (TCP/IPv6) de las Propiedades de conexión de área local en Windows Server.

tipSugerencia:
Hay otra configuración posible:
  • Puede usar una dirección IP en el adaptador de red externa. No lo recomendamos porque entonces tendrá que diferenciar entre los tres servicios con diferentes puertos (lo que puede hacer en Skype Empresarial Server) pero hay algunos servidores que pueden bloquear los puertos alternativos. Vea la sección de Planificación de puerto y de firewall para más información sobre esto.

  • Puede tener tres adaptadores de red externa en lugar de uno y asignar una de las IP del servicio a cada uno. ¿Por qué? Se separarían los servicios y si algo va mal, facilitaría solucionar los problemas y dejar que otros servicios continuasen trabajando potencialmente mientras resuelve un problema.

 

Ubicación Tipo Puerto Registro FQDN o DNS Dirección IP o FQDN Notas

DNS externo

Un registro

NA

sip.contoso.com

 

público private

131.107.155.10

10.45.16.10

Una interfaz externa para el Servidor perimetral de acceso. Necesitará una para cada dominio SIP con usuarios de Skype Empresarial.

DNS externo

Un registro

NA

webcon.contoso.com

 

público private

131.107.155.20

10.45.16.20

Una interfaz externa para el Servicio perimetral de conferencia web.

DNS externo

Un registro

NA

av.contoso.com

 

público private

131.107.155.30

10.45.16.30

Una interfaz externa para el Servicio perimetral A/V.

DNS externo

Registro SRV

443

_sip._tls.contoso.com

sip.contoso.com

Una interfaz externa para el Servidor perimetral de acceso. Este registro SRV es necesario para que los clientes de Skype Empresarial Server 2015, Lync Server 2013 y Lync Server 2010 trabajen externamente. Necesitará una para cada dominio con usuarios de Skype Empresarial.

DNS externo

Registro SRV

5061

_sipfederationtls._tcp.contoso.com

sip.contoso.com

Una interfaz externa para el Servidor perimetral de acceso. Este registro SRV es necesario para la detección DNS automática de asociados federados denominada Dominios SIP permitidos. Necesitará una para cada dominio con usuarios de Skype Empresarial.

DNS interno

Un registro

NA

sfvedge.contoso.net

172.25.33.10

La interfaz interna para el servidor perimetral consolidado.

Estos son los registros DNS que va a necesitar para un único Servidor perimetral tanto con las IP públicas como con las IP privadas con la NAT. Dado que estos son datos de ejemplo, le daremos IP de muestra para que pueda resolver sus propias entradas de forma más fácil:

  • Adaptador de red interna:

    • Nodo 1: 172.25.33.10 (no hay ninguna puerta de enlace predeterminada asignada)

    • Nodo 2: 172.25.33.11 (no hay ninguna puerta de enlace predeterminada asignada)

    noteNota:
    Asegúrese de que existe una ruta desde la red que contiene la interfaz perimetral interna hasta todas las redes que contienen servidores que ejecutan clientes de Skype Empresarial Server 2015 o Lync Server 2013 (por ejemplo, de 172.25.33.0 a 192.168.10.0).
  • Adaptador de red externa:

    • Nodo 1

      • IP públicas:

        • Perímetro de acceso: 131.107.155.10 (este es el principal, con la puerta de enlace predeterminada establecida en el enrutador público, p. ej.: 131.107.155.1)

        • perimetral de conferencia web: 131.107.155.20 (secundario)

        • Servidor perimetral A/V: 131.107.155.30 (secundario)

        Las direcciones IP públicas de Conferencia web y de Servidor perimetral A/V son direcciones IP adicionales (secundarias) en la sección Avanzadas de las propiedades de Protocolo de Internet versión 4 (TCP/IPv4) y Protocolo de Internet versión 6 (TCP/IPv6) de las Propiedades de conexión de área local en Windows Server.

      • IP privadas:

        • Perímetro de acceso: 10.45.16.10 (este es el principal, con la puerta de enlace predeterminada establecida en el enrutador, p. ej.: 10.45.16.1)

        • perimetral de conferencia web: 10.45.16.20 (secundario)

        • Servidor perimetral A/V: 10.45.16.30 (secundario)

      Las direcciones IP públicas de Conferencia web y de Servidor perimetral A/V son direcciones IP adicionales (secundarias) en la sección Avanzadas de las propiedades de Protocolo de Internet versión 4 (TCP/IPv4) y Protocolo de Internet versión 6 (TCP/IPv6) de las Propiedades de conexión de área local en Windows Server.

    • Nodo 2

      • IP públicas:

        • Perímetro de acceso: 131.107.155.11 (este es el principal, con la puerta de enlace predeterminada establecida en el enrutador público, p. ej.: 131.107.155.1)

        • perimetral de conferencia web: 131.107.155.21 (secundario)

        • Servidor perimetral A/V: 131.107.155.31 (secundario)

        Las direcciones IP públicas de Conferencia web y de Servidor perimetral A/V son direcciones IP adicionales (secundarias) en la sección Avanzadas de las propiedades de Protocolo de Internet versión 4 (TCP/IPv4) y Protocolo de Internet versión 6 (TCP/IPv6) de las Propiedades de conexión de área local en Windows Server.

      • IP privadas:

        • Perímetro de acceso: 10.45.16.11 (este es el principal, con la puerta de enlace predeterminada establecida en el enrutador, p. ej.: 10.45.16.1)

        • perimetral de conferencia web: 10.45.16.21 (secundario)

        • Servidor perimetral A/V: 10.45.16.31 (secundario)

      Las direcciones IP públicas de Conferencia web y de Servidor perimetral A/V son direcciones IP adicionales (secundarias) en la sección Avanzadas de las propiedades de Protocolo de Internet versión 4 (TCP/IPv4) y Protocolo de Internet versión 6 (TCP/IPv6) de las Propiedades de conexión de área local en Windows Server.

tipSugerencia:
Hay otra configuración posible:
  • Puede usar una dirección IP en el adaptador de red externa. No lo recomendamos porque entonces tendrá que diferenciar entre los tres servicios con diferentes puertos (lo que puede hacer en Skype Empresarial Server) pero hay algunos servidores que pueden bloquear los puertos alternativos. Vea la sección de Planificación de puerto y de firewall para más información sobre esto.

  • Puede tener tres adaptadores de red externa en lugar de uno y asignar una de las IP del servicio a cada uno. ¿Por qué? Se separarían los servicios y si algo va mal, facilitaría solucionar los problemas y dejar que otros servicios continuasen trabajando potencialmente mientras resuelve un problema.

 

Ubicación Tipo Puerto Registro FQDN o DNS Dirección IP o FQDN Notas

DNS externo

Un registro

NA

sip.contoso.com

 

público private

131.107.155.10 y 131.107.155.11

10.45.16.10 y 10.45.16.11

Una interfaz externa para el Servidor perimetral de acceso. Necesitará una para cada dominio SIP con usuarios de Skype Empresarial.

DNS externo

Un registro

NA

webcon.contoso.com

 

público private

131.107.155.20 y 131.107.155.21

10.45.16.20 y 10.45.16.21

Una interfaz externa para el Servicio perimetral de conferencia web.

DNS externo

Un registro

NA

av.contoso.com

 

público private

131.107.155.30 y 131.107.155.31

10.45.16.30 y 10.45.16.31

Una interfaz externa para el Servicio perimetral A/V.

DNS externo

Registro SRV

443

_sip._tls.contoso.com

sip.contoso.com

Una interfaz externa para el Servidor perimetral de acceso. Este registro SRV es necesario para que los clientes de Skype Empresarial Server 2015, Lync Server 2013 y Lync Server 2010 trabajen externamente. Necesitará una para cada dominio con Skype Empresarial.

DNS externo

Registro SRV

5061

_sipfederationtls._tcp.contoso.com

sip.contoso.com

Una interfaz externa para el Servidor perimetral de acceso. Este registro SRV es necesario para la detección DNS automática de asociados federados denominada Dominios SIP permitidos. Necesitará una para cada dominio con Skype Empresarial.

DNS interno

Un registro

NA

sfvedge.contoso.net

172.25.33.10 y 172.25.33.11

La interfaz interna para el servidor perimetral consolidado.

 

Ubicación Tipo Puerto FQDN Registro de host de FQDN Notas

DNS externo

SRV

5061

_sipfederationtls_tcp.contoso.com

sip.contoso.com

La interfaz externa del Perímetro de acceso de SIP necesaria para la recuperación automática de DNS. Usada por otros posibles asociados de federación. También se conoce como "Permitir dominios SIP". Necesitará una de estos para cada uno de los dominios SIP con usuarios de Skype Empresarial.

noteNota:
Necesitará este registro SRV para la movilidad y el centro de enrutamiento de notificaciones de inserción.

 

Ubicación Tipo Puerto FQDN Dirección IP o registro de host FQDN Notas

DNS externo

SRV

5269

_xmpp-server._tcp.contoso.com

xmpp.contoso.com

La interfaz de proxy XMPP en el Servidor perimetral de accesoo en el Grupo de servidores perimetrales. Tiene que repetir esto según sea necesario para todos los dominios SIP internos con los usuarios habilitados de Skype Empresarial, donde el contacto con los contactos XMPP se permite a través de:

  • una directiva global

  • una directiva de sitio donde el usuario está habilitado

  • una directiva de usuario aplicada al usuario habilitado de Skype Empresarial

Una directiva XMPP permitida también se tiene que configurar en la directiva de usuarios federados XMPP.

DNS externo

SRV

A

xmpp.contoso.com

Dirección IP del Servidor perimetral de acceso en el Servidor perimetral o en el Grupo de servidores perimetrales hospedando el Servicio proxy XMPP

Esto apunta al Servidor perimetral de acceso en el Servidor perimetral o en el Grupo de servidores perimetrales que hospeda el Servicio proxy XMPP. Por lo general, el registro SRV que crea apuntará a este registro de host (A o AAAA).

Skype Empresarial Server 2015 usa certificados para proteger las comunicaciones cifradas, tanto entre los servidores y del servidor al cliente. Como cabría esperar, los certificados tendrán que tener registros DNS para sus servidores para que coincidan con cualquier nombre de sujeto (SN) y nombre alternativo de sujeto (SAN) en los certificados. Esto le llevará trabajo ahora, en la fase de planificación, para garantizar que tiene los FQDN correctos registrados en DNS para las entradas de SN y de SAN para los certificados.

Hablaremos de las necesidades de los certificados internos y externos por separado y después veremos una tabla que proporciona los requisitos para ambos.

Como mínimo, el certificado asignado a sus interfaces externas del Servidor perimetral tendrá que ser proporcionado por una entidad de certificación pública (CA). No podemos recomendarle una CA determinada, pero tenemos una lista de CA, Socios de certificados de comunicaciones unificados, a la que puede echar un vistazo para ver si su CA preferida está en la lista.

¿Cuándo tendrá que enviar una solicitud a una entidad de certificación para este certificado público y cómo lo tiene que hacer? Hay un par de formas de llevar esto a cabo:

  • Puede ir a través de la instalación de Skype Empresarial Server y después la implementación de Servidor perimetral. El Asistente para la implementación de Skype Empresarial Server tendrá un paso para generar una solicitud de certificado, que puede enviar después a la CA elegida.

  • También puede usar los comandos de Windows PowerShell para generar esta solicitud, si está más en línea con las necesidades o con la estrategia de implementación de su empresa.

  • Por último, la CA puede tener sus propios procesos de envío, que también pueden implicar Windows PowerShell u otro método. En ese caso, tendrá que basarse en su documentación, además de en la información proporcionada aquí para su consulta.

Una vez ha recibido el certificado, tendrá que continuar y asignarlo a estos servicios en Skype Empresarial Server:

  • Interfaz del Servidor perimetral de acceso

  • Interfaz del Servicio perimetral de conferencia web

  • Servicio de autenticación de audio y vídeo (no tiene que confundirse con el Servicio perimetral A/V, ya que no usa un certificado para cifrar las secuencias de audio y vídeo)

importantImportante:
Todos los servidores perimetrales tienen que tener exactamente el mismo certificado con la misma clave privada para el servicio de autenticación relé multimedia.

Para la interfaz interna de Servidor perimetral, puede usar un certificado público de una entidad de certificación pública, o un certificado emitido desde la CA interna de la organización. Lo que hay que recordar sobre el certificado interno es que usa una entrada de SN y no entradas de SAN, de modo que no tiene que preocuparse por SAN en el certificado interno en absoluto.

Aquí tenemos una tabla para ayudarle con las solicitudes. Las entradas de FQDN son solo para dominios de ejemplo. Tendrá que realizar solicitudes en función de sus propios dominios privados y públicos, pero esta es una guía sobre lo que hemos usado:

  • contoso.com: FQDN público

  • fabrikam.com: segundo FQDN público (agregado como una demo de lo que tiene que solicitar si tiene varios dominios SIP)

  • Contoso.net: dominio interno

Independientemente de si está realizando un Servidor perimetral único o un Grupo de servidores perimetrales, esto es lo que necesitará para el certificado:

 

Componente Nombre de sujeto Nombres alternativos del sujeto (SAN)/orden Notas

Servidor perimetral externo

sip.contoso.com

sip.contoso.com

webcon.contoso.com

sip.fabrikam.com

Este es el certificado que tiene que solicitar a una entidad de certificación pública. Tendrá que estar asignado a las interfaces perimetrales externas para lo siguiente:

  • Perímetro de acceso

  • perimetral de conferencia web

  • Autenticación de audio y vídeo

La buena noticia es que los SAN se agregan automáticamente a la solicitud de certificado y, por lo tanto, al certificado después de enviar la solicitud, según lo que ha definido para esta implementación en Generador de topologías. Solo tiene que agregar las entradas de SAN para cualquier dominio SIP adicional u otras entradas que necesite admitir. ¿Por qué sip.contoso.com aparece duplicado en esta instancia? Esto se produce automáticamente y es necesario para que todo funcione correctamente.

noteNota:
Este certificado también se puede usar para la conectividad de mensajería instantánea pública. No tiene que hacer nada diferente con él, pero en versiones anteriores de esta documentación, se ha incluido como una tabla independiente, y ahora no lo es.

Servidor perimetral interno

sfbedge.contoso.com

NA

Puede obtener este certificado de una entidad de certificación pública o de una entidad de certificación interna. Tendrá que contener el EKU del servidor (uso mejorado de clave) y lo asignará a la interfaz interna del servidor perimetral.

noteNota:
Si necesita un certificado para el protocolo extensible de mensajería y presencia (XMPP), tendrá un aspecto idéntico a las entradas del servidor perimetral externo de la tabla anterior, pero tendrá las siguientes dos entradas SAN adicionales:
  • xmpp.contoso.com

  • *.contoso.com

Recuerde que actualmente XMPP solo es compatible con Google Talk, si lo desea o necesita usarlo para cualquier otra cosa, necesita confirmar esa característica con el proveedor involucrado.

Realizar la planificación adecuada para los puertos y firewalls para las implementaciones del Servidor perimetral de Skype Empresarial Server puede ahorrarle días o semanas de solución de problemas y estrés. Como resultado, enumeraremos un par de tablas que indicarán nuestro uso de protocolo y qué puertos necesita tener abiertos, entrantes y salientes, tanto para los escenarios de NAT y de IP pública. También le mostraremos tablas separadas para escenarios con equilibrio de carga de hardware (HLB) y alguna ayuda a mayores de esto. Para más información a parte de esta, también tenemos Diagramas técnicos para Skype Empresarial Server 2015, así como algunos Escenarios del servidor perimetral en Skype Empresarial Server 2015 que puede comprobar en caso de que tenga preocupaciones sobre su implementación en particular.

Antes de ver las tablas de resumen para los firewall internos y externos, veamos la siguiente tabla:

 

Transporte de audio y vídeo Uso

UDP

El protocolo de capa de transporte preferido para audio y vídeo.

TCP

El protocolo de capa de transporte de reserva para audio y vídeo.

El protocolo de capa de transporte necesario para el uso compartido de aplicaciones en Skype Empresarial Server 2015, Lync Server 2013 y Lync Server 2010.

El protocolo de capa de transporte necesario para la transferencia de archivos en Skype Empresarial Server 2015, Lync Server 2013 y Lync Server 2010.

La dirección IP de origen y la dirección IP de destino contendrán información para usuarios que estén usando direcciones IP privadas con NAT, así como las personas que usen direcciones IP públicas. Esto abarcará todas las permutaciones en nuestra sección Escenarios del servidor perimetral en Skype Empresarial Server 2015.

 

Rol o protocolo TCP o UDP Intervalo de puertos o puerto de destino Dirección IP de origen Dirección IP de destino Notas

XMPP

TCP

5269

Cualquiera

Servicio proxy XMPP (comparte una dirección IP con el Servidor perimetral de acceso

El Servicio proxy XMPP acepta tráfico de los contactos XMPP en las federaciones XMPP definidas.

Acceso/HTTP

TCP

80

 

IP privada con NAT IP pública

Servidor perimetral de acceso del Servidor perimetral

Dirección IP pública del Servidor perimetral de acceso del Servidor perimetral

Cualquiera

Revocación de certificados y comprobación y recuperación de CRL.

Acceso/DNS

TCP

53

 

IP privada con NAT IP pública

Servidor perimetral de acceso del Servidor perimetral

Dirección IP pública del Servidor perimetral de acceso del Servidor perimetral

Cualquiera

Consulta DNS sobre TCP.

Acceso/DNS

UDP

53

 

IP privada con NAT IP pública

Servidor perimetral de acceso del Servidor perimetral

Dirección IP pública del Servidor perimetral de acceso del Servidor perimetral

Cualquiera

Consulta DNS sobre UDP.

Acceso/SIP (TLS)

TCP

443

Cualquiera

 

IP privada con NAT IP pública

Servidor perimetral de acceso del Servidor perimetral

Dirección IP pública del Servidor perimetral de acceso del Servidor perimetral

Tráfico SIP de cliente a servidor para el acceso de usuarios externos.

Acceso/SIP (MTLS)

TCP

5061

Cualquiera

 

IP privada con NAT IP pública

Servidor perimetral de acceso del Servidor perimetral

Dirección IP pública del Servidor perimetral de acceso del Servidor perimetral

Para la conectividad de MI pública y federada con SIP.

Acceso/SIP (MTLS)

TCP

5061

 

IP privada con NAT IP pública

Servidor perimetral de acceso del Servidor perimetral

Dirección IP pública del Servidor perimetral de acceso del Servidor perimetral

Cualquiera

Para la conectividad de MI pública y federada con SIP.

Conferencia web/PSOM(TLS)

TCP

443

Cualquiera

 

IP privada con NAT IP pública

Servicio perimetral de conferencia web del Servidor perimetral

Dirección IP pública del servicio de Servicio perimetral de conferencia web del Servidor perimetral

Medios de Conferencia web.

A/V/RTP

TCP

50000-59999

 

IP privada con NAT IP pública

Servicio del Servicio perimetral A/V del Servidor perimetral

Dirección IP pública del Servicio perimetral A/V del Servidor perimetral

Cualquiera

Se usa para retransmitir tráfico multimedia.

A/V/RTP

UDP

50000-59999

 

IP privada con NAT IP pública

Servicio del Servidor perimetral del Servicio perimetral A/V

Dirección IP pública del Servicio perimetral A/V del Servidor perimetral

Cualquiera

Se usa para retransmitir tráfico multimedia.

A/V/STUN.MSTURN

UDP

3478

 

IP privada con NAT IP pública

Servidor perimetralServicio perimetral A/V

Dirección IP pública del Servicio perimetral A/V del Servidor perimetral

Cualquiera

3478 saliente:

  • Lo usa Skype Empresarial Server para determinar con qué versión de su Servidor perimetral se comunica.

  • Se usa para el tráfico de medios entre Servidores perimetrales.

  • Necesario para la federación con Lync Server 2010.

  • Es necesario si hay varios Grupos de servidores perimetrales implementados dentro de la organización.

A/V/STUN.MSTURN

UDP

3478

Cualquiera

 

IP privada con NAT IP pública

Servidor perimetralServicio perimetral A/V

Dirección IP pública del Servicio perimetral A/V del Servidor perimetral

Negociación STUN/TURN de candidatos sobre UDP en el puerto 3478.

A/V/STUN.MSTURN

TCP

443

Cualquiera

 

IP privada con NAT IP pública

Servidor perimetralServicio perimetral A/V

Dirección IP pública del Servidor perimetral del Servicio perimetral A/V

Negociación STUN/TURN de candidatos sobre TCP en el puerto 443.

A/V/STUN.MSTURN

TCP

443

 

IP privada con NAT IP pública

Servidor perimetralServicio perimetral A/V

Dirección IP pública del Servicio perimetral A/V del Servidor perimetral

Cualquiera

Negociación STUN/TURN de candidatos sobre TCP en el puerto 443.

 

Protocolo TCP o UDP Puerto Dirección IP de origen Dirección IP de destino Notas

XMPP/MTLS

TCP

23456

Cualquiera de los siguientes que ejecutan el servicio de puerta de enlace XMPP:

  • Servidor front-end

  • Grupo de servidores front-end

Interfaz interna de Servidor perimetral

Tráfico XMPP saliente desde el servicio de puerta de enlace XMPP que se ejecuta en el Servidor front-end o en el Grupo de servidores front-end.

SIP/MTLS

TCP

5061

Cualquier:

  • Director

  • Grupo de directores

  • Servidor front-end

  • Grupo de servidores front-end

Interfaz interna de Servidor perimetral

Tráfico SIP saliente del Director, Grupo de directores, Servidor front-end o Grupo de servidores front-end a la interfaz interna de Servidor perimetral.

SIP/MTLS

TCP

5061

Interfaz interna de Servidor perimetral

Cualquier:

  • Director

  • Grupo de directores

  • Servidor front-end

  • Grupo de servidores front-end

Tráfico SIP entrante al Director, Grupo de directores, Servidor front-end o Grupo de servidores front-end de la interfaz interna de Servidor perimetral.

PSOM/MTLS

TCP

8057

Cualquier:

  • Servidor front-end

  • Cada Servidor front-end

    en su Grupo de servidores front-end

Interfaz interna de Servidor perimetral

Tráfico de conferencia web desde su Servidor front-end o cada Servidor front-end (si tiene un Grupo de servidores front-end) a su interfaz interna del Servidor perimetral.

SIP/MTLS

TCP

5062

Cualquier:

  • Servidor front-end

  • Grupo de servidores front-end

  • Cualquier Aplicación de sucursal con funciones de supervivencia con este Servidor perimetral

  • Cualquier Servidor de sucursal con funciones de supervivencia con este Servidor perimetral

Interfaz interna de Servidor perimetral

Autenticación de usuarios de A/V del Servidor front-end, Grupo de servidores front-end, Aplicación de sucursal con funciones de supervivencia o Servidor de sucursal con funciones de supervivenciacon el Servidor perimetral.

STUN/MSTURN

UDP

3478

Cualquiera

Interfaz interna de Servidor perimetral

Ruta preferida para una transferencia de medios de A/V entre los usuarios internos y externos y su Aplicación de sucursal con funciones de supervivencia o Servidor de sucursal con funciones de supervivencia.

STUN/MSTURN

TCP

443

Cualquiera

Interfaz interna de Servidor perimetral

Ruta de acceso de reserva para la transferencia de medios de A/V entre los usuarios internos y externos y su Aplicación de sucursal con funciones de supervivencia o Servidor de sucursal con funciones de supervivencia, si la comunicación UDP no funciona. Entonces se usa TCP para las transferencias de archivos y el uso compartido de escritorio.

HTTPS

TCP

4443

Cualquier:

  • Servidor front-end que contenga el Almacén de administración central

  • Grupo de servidores front-end que contenga el Almacén de administración central

Interfaz interna de Servidor perimetral

Replicación de los cambios desde su tienda de Almacén de administración central a su Servidor perimetral.

MTLS

TCP

50001

Cualquiera

Interfaz interna de Servidor perimetral

Controlador del Servicio de registro centralizado con cmdlets del Shell de administración de Skype Empresarial Server y del Servicio de registro centralizado, línea de comandos ClsController (ClsController.exe) o comandos del agente (ClsAgent.exe) y colección de registros.

MTLS

TCP

50002

Cualquiera

Interfaz interna de Servidor perimetral

Controlador del Servicio de registro centralizado con cmdlets del Shell de administración de Skype Empresarial Server y del Servicio de registro centralizado, línea de comandos ClsController (ClsController.exe) o comandos del agente (ClsAgent.exe) y colección de registros.

MTLS

TCP

50003

Cualquiera

Interfaz interna de Servidor perimetral

Controlador del Servicio de registro centralizado con cmdlets del Shell de administración de Skype Empresarial Server y del Servicio de registro centralizado, línea de comandos ClsController (ClsController.exe) o comandos del agente (ClsAgent.exe) y colección de registros.

Les estamos dando a los equilibradores de carga de hardware (HLB) y a los puertos de servidor perimetral su propia sección, ya que son algo más complicados con el hardware adicional. Vea las tablas siguientes para instrucciones para este escenario concreto:

La dirección IP de origen y la dirección IP de destino contendrán información para usuarios que estén usando direcciones IP privadas con NAT, así como las personas que usen direcciones IP públicas. Esto abarcará todas las permutaciones en nuestra sección Escenarios del servidor perimetral en Skype Empresarial Server 2015.

 

Rol o protocolo TCP o UDP Intervalo de puertos o puerto de destino Dirección IP de origen Dirección IP de destino Notas

Acceso/HTTP

TCP

80

Dirección IP pública del Servidor perimetral de acceso del Servidor perimetral

Cualquiera

Revocación de certificados y comprobación y recuperación de CRL.

Acceso/DNS

TCP

53

Dirección IP pública del Servidor perimetral de acceso del Servidor perimetral

Cualquiera

Consulta DNS sobre TCP.

Acceso/DNS

UDP

53

Dirección IP pública del Servidor perimetral de acceso del Servidor perimetral

Cualquiera

Consulta DNS sobre UDP.

A/V/RTP

TCP

50000-59999

Servidor perimetralServicio perimetral A/V Dirección IP

Cualquiera

Se usa para retransmitir tráfico multimedia.

A/V/RTP

UDP

50000-59999

Dirección IP pública del Servicio perimetral A/V del Servidor perimetral

Cualquiera

Se usa para retransmitir tráfico multimedia.

A/V/STUN.MSTURN

UDP

3478

Dirección IP pública del Servicio perimetral A/V del Servidor perimetral

Cualquiera

3478 saliente:

  • Lo usa Skype Empresarial Server para determinar con qué versión de su Servidor perimetral se comunica.

  • Se usa para el tráfico de medios entre Servidores perimetrales.

  • Necesario para la federación.

  • Es necesario si hay varios Grupos de servidores perimetrales implementados dentro de la organización.

A/V/STUN.MSTURN

UDP

3478

Cualquiera

Dirección IP pública del Servicio perimetral A/V del Servidor perimetral

Negociación STUN/TURN de candidatos sobre UDP en el puerto 3478.

A/V/STUN.MSTURN

TCP

443

Cualquiera

Dirección IP pública del Servicio perimetral A/V del Servidor perimetral

Negociación STUN/TURN de candidatos sobre TCP en el puerto 443.

A/V/STUN.MSTURN

TCP

443

Dirección IP pública del Servicio perimetral A/V del Servidor perimetral

Cualquiera

Negociación STUN/TURN de candidatos sobre TCP en el puerto 443.

 

Protocolo TCP o UDP Puerto Dirección IP de origen Dirección IP de destino Notas

XMPP/MTLS

TCP

23456

Cualquiera de los siguientes que ejecutan el servicio de puerta de enlace XMPP:

  • Servidor front-end

  • Dirección VIP de Grupo de servidores front-end que ejecuta el servicio de puerta de enlace XMPP

Interfaz interna de Servidor perimetral

Tráfico XMPP saliente desde el servicio de puerta de enlace XMPP que se ejecuta en el Servidor front-end o en el Grupo de servidores front-end.

HTTPS

TCP

4443

Cualquier:

  • Servidor front-end que contenga el Almacén de administración central

  • Grupo de servidores front-end que contenga el Almacén de administración central

Interfaz interna de Servidor perimetral

Replicación de los cambios desde su Almacén de administración central a su Servidor perimetral.

PSOM/MTLS

TCP

8057

Cualquier:

  • Servidor front-end

  • Cada Servidor front-end en el Grupo de servidores front-end

Interfaz interna de Servidor perimetral

Tráfico de conferencia web desde su Servidor front-end o cada Servidor front-end (si tiene un Grupo de servidores front-end) a su interfaz interna del Servidor perimetral.

STUN/MSTURN

UDP

3478

Cualquier:

  • Servidor front-end

  • Cada Servidor front-end en el Grupo de servidores front-end

Interfaz interna de Servidor perimetral

Ruta preferida para una transferencia de medios de A/V entre los usuarios internos y externos y su Aplicación de sucursal con funciones de supervivencia o Servidor de sucursal con funciones de supervivencia.

STUN/MSTURN

TCP

443

Cualquier:

  • Servidor front-end

  • Cada Servidor front-end en el grupo

Interfaz interna de Servidor perimetral

Ruta de acceso de reserva para la transferencia de medios de A/V entre los usuarios internos y externos y su Aplicación de sucursal con funciones de supervivencia o Servidor de sucursal con funciones de supervivencia, si la comunicación UDP no funciona. Entonces se usa TCP para las transferencias de archivos y el uso compartido de escritorio.

MTLS

TCP

50001

Cualquiera

Interfaz interna de Servidor perimetral

Controlador del Servicio de registro centralizado con cmdlets del Shell de administración de Skype Empresarial Server y del Servicio de registro centralizado, línea de comandos ClsController (ClsController.exe) o comandos del agente (ClsAgent.exe) y colección de registros.

MTLS

TCP

50002

Cualquiera

Interfaz interna de Servidor perimetral

Controlador del Servicio de registro centralizado con cmdlets del Shell de administración de Skype Empresarial Server y del Servicio de registro centralizado, línea de comandos ClsController (ClsController.exe) o comandos del agente (ClsAgent.exe) y colección de registros.

MTLS

TCP

50003

Cualquiera

Interfaz interna de Servidor perimetral

Controlador del Servicio de registro centralizado con cmdlets del Shell de administración de Skype Empresarial Server y del Servicio de registro centralizado, línea de comandos ClsController (ClsController.exe) o comandos del agente (ClsAgent.exe) y colección de registros.

 

Rol o protocolo TCP o UDP Intervalo de puertos o puerto de destino Dirección IP de origen Dirección IP de destino Notas

XMPP

TCP

5269

Cualquiera

Servicio proxy XMPP (comparte una dirección IP con el Servidor perimetral de acceso)

El Servicio proxy XMPP acepta tráfico de los contactos XMPP en las federaciones XMPP definidas.

XMPP

TCP

5269

Servicio proxy XMPP (comparte una dirección IP con el Servidor perimetral de acceso)

Cualquiera

El Servicio proxy XMPP envía tráfico de los contactos XMPP en las federaciones XMPP definidas.

Acceso/SIP (TLS)

TCP

443

Cualquiera

 

IP privada con NAT IP pública

Servidor perimetralServidor perimetral de acceso

Dirección IP pública del Servidor perimetral de acceso del Servidor perimetral

Tráfico SIP de cliente a servidor para el acceso de usuarios externos.

Acceso/SIP (MTLS)

TCP

5061

Cualquiera

 

IP privada con NAT IP pública

Servidor perimetralServidor perimetral de acceso

Dirección IP pública del Servidor perimetral de acceso del Servidor perimetral

Para la conectividad de MI pública y federada con SIP.

Acceso/SIP (MTLS)

TCP

5061

 

IP privada con NAT IP pública

Servicio del Servidor perimetral de acceso del Servidor perimetral

Dirección IP pública del Servidor perimetral de acceso del Servidor perimetral

Cualquiera

Para la conectividad de MI pública y federada con SIP.

Conferencia web/PSOM/(TLS)

TCP

443

Cualquiera

 

IP privada con NAT IP pública

Servidor perimetralServicio perimetral de conferencia web

Dirección IP pública del Servidor perimetral del Servicio perimetral de conferencia web

Medios de Conferencia web.

A/V/STUN.MSTURN

UDP

3478

Cualquiera

 

IP privada con NAT IP pública

Servidor perimetralServicio perimetral A/V

Dirección IP pública del Servicio perimetral A/V del Servidor perimetral

Negociación STUN/TURN de candidatos sobre UDP en el puerto 3478.

A/V/STUN.MSTURN

TCP

443

Cualquiera

 

IP privada con NAT IP pública

Servidor perimetralServicio perimetral A/V

Dirección IP pública del Servidor perimetral del Servicio perimetral A/V

Negociación STUN/TURN de candidatos sobre TCP en el puerto 443.

Nuestra guía aquí va a ser algo diferente. En realidad, en una situación HLB, ahora le recomendamos que solo tenga enrutamiento a través de un VIP interno en las siguientes circunstancias:

  • Si usa Exchange 2007 o Mensajería unificada (MU) de Exchange 2010.

  • Si tiene clientes heredados con el servidor perimetral.

La siguiente tabla da instrucciones para esos escenarios, pero de lo contrario, necesita poder confiar en que Almacén de administración central (CMS) enrutará el tráfico al Servidor perimetral individual (esto requiere que el CMS tenga actualizada la información del Servidor perimetral, por supuesto).

 

Protocolo TCP o UDP Puerto Dirección IP de origen Dirección IP de destino Notas

Acceso/SIP (MTLS)

TCP

5061

Cualquier:

  • Director

  • Dirección VIP del Grupo de directores

  • Servidor front-end

  • Dirección VIP del Grupo de servidores front-end

Interfaz interna de Servidor perimetral

Tráfico SIP saliente del Director, dirección VIP del Grupo de directores, Servidor front-end o dirección VIP de Grupo de servidores front-end a la interfaz interna de Servidor perimetral.

Acceso/SIP (MTLS)

TCP

5061

Interfaz VIP interna del Servidor perimetral

Cualquier:

  • Director

  • Dirección VIP del Grupo de directores

  • Servidor front-end

  • Dirección VIP del Grupo de servidores front-end

Tráfico SIP entrante al Director, dirección VIP del Grupo de directores, Servidor front-end o dirección VIP de Grupo de servidores front-end de la interfaz interna de Servidor perimetral.

SIP/MTLS

TCP

5062

Cualquier:

  • Dirección IP del Servidor front-end

  • Dirección IP del Grupo de servidores front-end

  • Cualquier Aplicación de sucursal con funciones de supervivencia con este Servidor perimetral

  • Cualquier Servidor de sucursal con funciones de supervivencia con este Servidor perimetral

Interfaz interna de Servidor perimetral

Autenticación de usuarios de A/V del Servidor front-end, Grupo de servidores front-end, Aplicación de sucursal con funciones de supervivencia o Servidor de sucursal con funciones de supervivenciacon el Servidor perimetral.

STUN/MSTURN

UDP

3478

Cualquiera

Interfaz interna de Servidor perimetral

Ruta preferida para una transferencia de medios de A/V entre usuarios internos y externos.

STUN/MSTURN

TCP

443

Cualquiera

Interfaz VIP interna del Servidor perimetral

Ruta de acceso de reserva para la transferencia de medios de A/V entre los usuarios internos y externos si la comunicación UDP no funciona. Entonces se usa TCP para las transferencias de archivos y el uso compartido de escritorio.

 
Mostrar: