비즈니스용 Skype 서버 에지 서버 환경 요구 사항

요약: 비즈니스용 Skype 서버 Edge Server의 환경 요구 사항에 대해 알아봅니다.

많은 계획과 준비는 비즈니스용 Skype 서버 Edge Server 환경 외부에서 수행해야 합니다. 이 문서에서는 아래 목록에 따라 조직 환경에서 수행해야 하는 준비를 검토합니다.

토폴로지 계획

비즈니스용 Skype 서버 Edge Server 토폴로지는 다음을 사용할 수 있습니다.

  • 라우팅 가능한 공용 IP 주소.

  • NAT(네트워크 주소 변환)가 사용되는 경우 라우팅할 수 없는 개인 IP 주소입니다.

Edge Server는 각 서비스에 대해 고유한 포트가 있는 단일 IP 주소를 사용하도록 구성하거나 각 서비스에 대해 고유 IP 주소를 사용할 수 있지만 동일한 기본 포트(기본적으로 TCP 443)를 사용할 수 있습니다. 아래의 IP 주소 요구 사항 섹션에 대한 자세한 정보가 있습니다.

NAT를 사용하여 라우팅할 수 없는 개인 IP 주소를 선택하는 경우 다음 사항을 기억하세요.

  • 세 개의 외부 인터페이스에서 라우팅 가능한 개인 IP 주소를 모두 사용해야 합니다.

  • 들어오고 나가는 트래픽 에 대한 대칭 NAT를 구성해야 합니다. 대칭 NAT는 비즈니스용 Skype 서버 Edge Server에서 사용할 수 있는 유일한 지원 NAT입니다.

  • 들어오는 원본 주소를 변경하지 않도록 NAT를 구성합니다. A/V Edge 서비스는 최적의 미디어 경로를 찾기 위해 들어오는 원본 주소를 받을 수 있어야 합니다.

  • Edge 서버는 공용 A/V Edge IP 주소에서 서로 통신할 수 있어야 합니다. 방화벽에서 이 트래픽을 허용해야 합니다.

  • NAT 는 DNS 부하 분산을 사용하는 경우에만 확장된 통합 Edge 서버에 사용할 수 있습니다. HLB(하드웨어 부하 분산)를 사용하는 경우 NAT 없이 공개적으로 라우팅 가능한 IP 주소를 사용해야 합니다.

하드웨어 부하 분산을 사용하지 않는 한 단일 및 크기 조정된 통합 Edge Server 토폴로지 모두에 대해 대칭 NAT를 수행하는 라우터 또는 방화벽 뒤에 있는 Access, Web 회의 및 A/V Edge 인터페이스에는 문제가 없습니다.

Edge Server 토폴로지 옵션 요약

비즈니스용 Skype 서버 Edge Server 배포에 사용할 수 있는 몇 가지 토폴로지 옵션이 있습니다.

  • 개인 IP 주소 및 NAT를 사용하는 단일 통합 Edge

  • 공용 IP 주소가 있는 단일 통합 Edge

  • 개인 IP 주소 및 NAT를 사용하여 확장된 통합 Edge

  • 공용 IP 주소를 사용하여 확장된 통합 Edge

  • 하드웨어 부하 분산 장치를 사용하여 확장된 통합 Edge

하나를 선택하는 데 도움이 되도록 각 토폴로지에 대해 사용할 수 있는 옵션에 대한 요약을 제공하는 다음 표가 있습니다.

토폴로지 고가용성 Edge 풀의 외부 Edge 서버에 필요한 추가 DNS 레코드는 무엇인가요? 비즈니스용 Skype 서버 세션에 대한 에지 장애 조치(failover) 비즈니스용 Skype 서버 페더레이션 세션에 대한 에지 장애 조치(failover)
개인 IP 주소 및 NAT를 사용하는 단일 통합 Edge
아니요
아니요
아니요
아니요
공용 IP 주소가 있는 단일 통합 Edge
아니요
아니요
아니요
아니요
개인 IP 주소 및 NAT를 사용하여 확장된 통합 Edge(DNS 부하 분산)



예시
공용 IP 주소를 사용하여 확장된 통합 Edge(DNS 부하 분산)



예시
하드웨어 부하 분산 장치를 사용하여 확장된 통합 Edge

아니요(VIP당 하나의 DNS A 레코드)


DNS 부하 분산을 사용하는 UM(Exchange Unified Messaging) 원격 사용자 장애 조치(failover)에는 Exchange 2013 이상이 필요합니다.

IP 주소 요구 사항

기본 수준에서 세 가지 서비스에는 IP 주소가 필요합니다. Edge 서비스, 웹 회의 Edge 서비스 및 A/V Edge 서비스에 액세스합니다. 각 서비스에 대해 하나씩 세 개의 IP 주소를 사용하거나 하나를 사용하고 각 서비스를 다른 포트에 배치하도록 선택할 수 있습니다(일부 서비스에 대한 자세한 내용은 포트 및 방화벽 계획 섹션을 검사 수 있습니다). 단일 통합 Edge 환경의 경우 거의 그것입니다.

참고

위에서 설명한 대로 세 서비스 모두에 대해 하나의 IP 주소를 선택하고 다른 포트에서 실행할 수 있습니다. 그러나 명확히하기 위해, 우리는 이것을 권장하지 않습니다. 고객이 이 시나리오에서 사용할 대체 포트에 액세스할 수 없는 경우 Edge 환경의 전체 기능에도 액세스할 수 없습니다.

크기가 조정된 통합 토폴로지에서는 좀 더 복잡할 수 있으므로 토폴로지 선택에 대한 기본 결정 지점은 고가용성 및 부하 분산이라는 점을 염두에 두고 IP 주소 요구 사항을 정리하는 일부 테이블을 살펴보겠습니다. 고가용성 요구 사항이 부하 분산 선택에 영향을 줄 수 있습니다(테이블 다음에 자세히 설명하겠습니다).

확장된 통합 Edge에 대한 IP 주소 요구 사항(역할당 IP 주소)

풀당 Edge 서버 수 DNS 부하 분산에 필요한 IP 주소 수 하드웨어 부하 분산에 필요한 IP 주소 수
2
6
3(VIP당 1개) + 6
3
9
3(VIP당 1개) + 9
4
12
3(VIP당 1개) + 12
5
15
3(VIP당 1개) +15

확장 통합 Edge에 대한 IP 주소 요구 사항(모든 역할에 대한 단일 IP 주소)

풀당 Edge 서버 수 DNS 부하 분산에 필요한 IP 주소 수 하드웨어 부하 분산에 필요한 IP 주소 수
2
2
1(VIP당 1개) + 2
3
3
1(VIP당 1개) + 3
4
4
1(VIP당 1개) + 4
5
5
1(VIP당 1개) + 5

계획하는 동안 고려해야 할 몇 가지 추가 사항을 살펴보겠습니다.

  • 고가용성: 배포에 고가용성이 필요한 경우 풀에 두 개 이상의 Edge 서버를 배포해야 합니다. 단일 Edge 풀은 최대 12개 에지 서버를 지원합니다(토폴로지 작성기에서는 최대 20개까지 추가할 수 있지만 테스트되거나 지원되지 않으므로 그렇게 하지 않는 것이 좋습니다). 12개 이상의 에지 서버가 필요한 경우 에지 풀을 추가로 만들어야 합니다.

  • 하드웨어 부하 분산: 대부분의 시나리오에 대해 DNS 부하 분산을 권장합니다. 물론 하드웨어 부하 분산도 지원되지만 특히 DNS 부하 분산을 통해 단일 시나리오에 필요합니다.

    • Exchange 2007 또는 Exchange 2010(SP 없음) UM(통합 메시징)에 대한 외부 액세스
  • DNS 부하 분산: UM의 경우 Exchange 2010 SP1 이상은 DNS 부하 분산에서 지원될 수 있습니다. 이전 버전의 Exchange에 대한 DNS 부하 분산으로 이동해야 하는 경우 작동하지만 이에 대한 모든 트래픽은 풀의 첫 번째 서버로 이동하고, 사용할 수 없는 경우 해당 트래픽은 이후에 실패합니다.

    다음을 사용하여 회사와 페더레이션하는 경우에도 DNS 부하 분산을 사용하는 것이 좋습니다.

  • 비즈니스용 Skype 서버 2015:

    • Lync Server 2010
    • Lync Server 2013
    • Microsoft 365 또는 Office 365
  • 비즈니스용 Skype 서버 2019:

    • Lync Server 2013
    • 비즈니스용 Skype 서버 2015
    • Microsoft 365 또는 Office 365

DNS 계획

에지 서버 배포를 비즈니스용 Skype 서버 경우 DNS를 제대로 준비하는 것이 중요합니다. 올바른 레코드를 배치하면 배포가 훨씬 더 간단해집니다. 개요를 수행한 다음 해당 시나리오에 대한 DNS 레코드를 요약한 몇 개의 테이블을 나열할 예정이므로 위의 섹션에서 토폴로지를 선택했으면 합니다. 필요한 경우 좀 더 심층적인 읽기를 위해 비즈니스용 Skype 서버 대한 고급 Edge 서버 DNS 계획도 있습니다.

단일 통합 Edge Server 시나리오에 대한 DNS 레코드

공용 IP 또는 NAT가 있는 개인 IP를 사용하여 Singe Edge Server에 필요한 DNS 레코드입니다. 샘플 데이터이므로 사용자 고유의 항목을 보다 쉽게 해결할 수 있도록 예제 IP를 제공합니다.

  • 내부 네트워크 어댑터: 172.25.33.10(기본 게이트웨이가 할당되지 않음)

    참고

    Edge 내부 인터페이스가 포함된 네트워크에서 비즈니스용 Skype 서버 또는 Lync Server 2013 클라이언트를 실행하는 서버가 포함된 네트워크로의 경로가 있는지 확인합니다(예: 172.25.33.0에서 192.168.10.0).

  • 외부 네트워크 어댑터:

    • 공용 IP:

    • Access Edge: 131.107.155.10(기본 게이트웨이가 공용 라우터로 설정된 기본 게이트웨이입니다.예: 131.107.155.1)

    • 웹 회의 Edge: 131.107.155.20(보조)

    • A/V Edge: 131.107.155.30(보조)

    웹 회의 및 A/V Edge 공용 IP 주소는 Windows Server의 로컬 영역 연결 속성에 대한 인터넷 프로토콜 버전 4(TCP/IPv4) 및 인터넷 프로토콜 버전 6(TCP/IPv6) 속성의 고급 섹션에 있는 추가(보조) IP 주소입니다.

    • 개인 IP:

    • Access Edge: 10.45.16.10(기본 게이트웨이가 라우터로 설정된 기본 게이트웨이입니다.예: 10.45.16.1)

    • 웹 회의 Edge: 10.45.16.20(보조)

    • A/V Edge: 10.45.16.30(보조)

웹 회의 및 A/V Edge 공용 IP 주소는 Windows Server의 로컬 영역 연결 속성에 대한 인터넷 프로토콜 버전 4(TCP/IPv4) 및 인터넷 프로토콜 버전 6(TCP/IPv6) 속성의 고급 섹션에 있는 추가(보조) IP 주소입니다.

다른 가능한 구성은 다음과 같습니다.

  • 외부 네트워크 어댑터에서 하나의 IP 주소를 사용할 수 있습니다. 다른 포트(비즈니스용 Skype 서버 에서 수행할 수 있음)를 사용하여 해당 서비스를 구분해야 하지만 대체 포트를 차단할 수 있는 몇 가지 방화벽이 있기 때문에 권장하지 않습니다. 이에 대한 자세한 내용은 포트 및 방화벽 계획 섹션을 참조하세요.

  • 하나 대신 세 개의 외부 네트워크 어댑터를 사용하고 서비스 IP 중 하나를 각각에 할당할 수 있습니다. 왜 그렇게 할까요? 서비스를 분리하고 문제가 발생하면 문제를 더 쉽게 해결할 수 있으며 문제를 resolve 동안 다른 서비스가 계속 작동하도록 할 수 있습니다.

위치 유형 포트 FQDN 또는 DNS 레코드 IP 주소 또는 FQDN 참고
외부 DNS
레코드
Na
sip.contoso.com
public: 131.107.155.10
private: 10.45.16.10
Access Edge 서비스에 대한 외부 인터페이스입니다. Skype for Business 사용자가 있는 모든 SIP 도메인에 대해 하나가 필요합니다.
외부 DNS
레코드
Na
webcon.contoso.com
public: 131.107.155.20
private: 10.45.16.20
웹 회의 Edge 서비스에 대한 외부 인터페이스입니다.
외부 DNS
레코드
Na
av.contoso.com
public: 131.107.155.30
private: 10.45.16.30
A/V Edge 서비스에 대한 외부 인터페이스입니다.
외부 DNS
SRV 레코드
443
_sip._tls.contoso.com
sip.contoso.com
Access Edge 서비스에 대한 외부 인터페이스입니다. 이 SRV 레코드는 비즈니스용 Skype 서버, Lync Server 2013 및 Lync Server 2010 클라이언트가 외부에서 작동하려면 필요합니다. Skype for Business 사용자가 있는 모든 도메인에 대해 하나가 필요합니다.
외부 DNS
SRV 레코드
5061
_sipfederationtls._tcp.contoso.com
sip.contoso.com
Access Edge 서비스에 대한 외부 인터페이스입니다. 이 SRV 레코드는 허용되는 SIP 도메인이라는 페더레이션된 파트너의 자동 DNS 검색에 필요합니다. Skype for Business 사용자가 있는 모든 도메인에 대해 하나가 필요합니다.
내부 DNS
레코드
Na
sfvedge.contoso.net
172.25.33.10
통합 Edge의 내부 인터페이스입니다.

크기 조정된 DNS 및 하드웨어 Edge Server 시나리오에 대한 DNS 레코드

공용 IP 또는 NAT가 있는 개인 IP를 사용하여 Singe Edge Server에 필요한 DNS 레코드입니다. 샘플 데이터이므로 사용자 고유의 항목을 보다 쉽게 해결할 수 있도록 예제 IP를 제공합니다.

  • 내부 네트워크 어댑터:

    • 노드 1: 172.25.33.10(기본 게이트웨이가 할당되지 않음)

    • 노드 2: 172.25.33.11(기본 게이트웨이가 할당되지 않음)

      참고

      Edge 내부 인터페이스가 포함된 네트워크에서 비즈니스용 Skype 서버 또는 Lync Server 2013 클라이언트를 실행하는 서버가 포함된 네트워크로의 경로가 있는지 확인합니다(예: 172.25.33.0에서 192.168.10.0).

  • 외부 네트워크 어댑터:

    • 노드 1

      • 공용 IP:

        • Access Edge: 131.107.155.10(기본 게이트웨이가 공용 라우터로 설정된 기본 게이트웨이입니다.예: 131.107.155.1)

        • 웹 회의 Edge: 131.107.155.20(보조)

        • A/V Edge: 131.107.155.30(보조)

          웹 회의 및 A/V Edge 공용 IP 주소는 Windows Server의 로컬 영역 연결 속성에 대한 인터넷 프로토콜 버전 4(TCP/IPv4) 및 인터넷 프로토콜 버전 6(TCP/IPv6) 속성의 고급 섹션에 있는 추가(보조) IP 주소입니다.

      • 개인 IP:

        • Access Edge: 10.45.16.10(기본 게이트웨이가 라우터로 설정된 기본 게이트웨이입니다.예: 10.45.16.1)

        • 웹 회의 Edge: 10.45.16.20(보조)

        • A/V Edge: 10.45.16.30(보조)

        웹 회의 및 A/V Edge 공용 IP 주소는 Windows Server의 로컬 영역 연결 속성에 대한 인터넷 프로토콜 버전 4(TCP/IPv4) 및 인터넷 프로토콜 버전 6(TCP/IPv6) 속성의 고급 섹션에 있는 추가(보조) IP 주소입니다.

    • 노드 2

      • 공용 IP:

        • Access Edge: 131.107.155.11(기본 게이트웨이가 공용 라우터로 설정된 기본 게이트웨이입니다.예: 131.107.155.1)

        • 웹 회의 Edge: 131.107.155.21(보조)

        • A/V Edge: 131.107.155.31(보조)

        웹 회의 및 A/V Edge 공용 IP 주소는 Windows Server의 로컬 영역 연결 속성에 대한 인터넷 프로토콜 버전 4(TCP/IPv4) 및 인터넷 프로토콜 버전 6(TCP/IPv6) 속성의 고급 섹션에 있는 추가(보조) IP 주소입니다.

    • 개인 IP:

      • Access Edge: 10.45.16.11(기본 게이트웨이가 라우터로 설정된 기본 게이트웨이입니다. 예: 10.45.16.1)

      • 웹 회의 Edge: 10.45.16.21(보조)

      • A/V Edge: 10.45.16.31(보조)

        웹 회의 및 A/V Edge 공용 IP 주소는 Windows Server의 로컬 영역 연결 속성에 대한 인터넷 프로토콜 버전 4(TCP/IPv4) 및 인터넷 프로토콜 버전 6(TCP/IPv6) 속성의 고급 섹션에 있는 추가(보조) IP 주소입니다.

다른 가능한 구성은 다음과 같습니다.

  • 외부 네트워크 어댑터에서 하나의 IP 주소를 사용할 수 있습니다. 다른 포트(비즈니스용 Skype 서버 에서 수행할 수 있음)를 사용하여 해당 서비스를 구분해야 하지만 대체 포트를 차단할 수 있는 몇 가지 방화벽이 있기 때문에 권장하지 않습니다. 이에 대한 자세한 내용은 포트 및 방화벽 계획 섹션을 참조하세요.

  • 하나 대신 세 개의 외부 네트워크 어댑터를 사용하고 서비스 IP 중 하나를 각각에 할당할 수 있습니다. 왜 그렇게 할까요? 서비스를 분리하고 문제가 발생하면 문제를 더 쉽게 해결할 수 있으며 문제를 resolve 동안 다른 서비스가 계속 작동하도록 할 수 있습니다.

위치 유형 포트 FQDN 또는 DNS 레코드 IP 주소 또는 FQDN 참고
외부 DNS
레코드
Na
sip.contoso.com
public: 131.107.155.10 및 131.107.155.11
private: 10.45.16.10 및 10.45.16.11
Access Edge 서비스에 대한 외부 인터페이스입니다. Skype for Business 사용자가 있는 모든 SIP 도메인에 대해 하나가 필요합니다.
외부 DNS
레코드
Na
webcon.contoso.com
public: 131.107.155.20 및 131.107.155.21
private: 10.45.16.20 및 10.45.16.21
웹 회의 Edge 서비스에 대한 외부 인터페이스입니다.
외부 DNS
레코드
Na
av.contoso.com
public: 131.107.155.30 및 131.107.155.31
private: 10.45.16.30 및 10.45.16.31
A/V Edge 서비스에 대한 외부 인터페이스입니다.
외부 DNS
SRV 레코드
443
_sip._tls.contoso.com
sip.contoso.com
Access Edge 서비스에 대한 외부 인터페이스입니다. 이 SRV 레코드는 비즈니스용 Skype 서버, Lync Server 2013 및 Lync Server 2010 클라이언트가 외부에서 작동하려면 필요합니다. Skype for Business 있는 모든 도메인에 대해 하나가 필요합니다.
외부 DNS
SRV 레코드
5061
_sipfederationtls._tcp.contoso.com
sip.contoso.com
Access Edge 서비스에 대한 외부 인터페이스입니다. 이 SRV 레코드는 허용되는 SIP 도메인이라는 페더레이션된 파트너의 자동 DNS 검색에 필요합니다. Skype for Business 있는 모든 도메인에 대해 하나가 필요합니다.
내부 DNS
레코드
Na
sfvedge.contoso.net
172.25.33.10 및 172.25.33.11
통합 Edge의 내부 인터페이스입니다.

페더레이션에 대한 DNS 레코드(모든 시나리오)

위치 유형 포트 Fqdn FQDN 호스트 레코드 참고
외부 DNS
SRV
5061
_sipfederationtls_tcp.contoso.com
sip.contoso.com
자동 DNS 검색에 필요한 SIP Access Edge 외부 인터페이스입니다. 다른 잠재적 페더레이션 파트너가 사용합니다. "SIP 도메인 허용"이라고도 합니다. Skype for Business 사용자가 있는 각 SIP 도메인에 대해 이러한 중 하나가 필요합니다.

참고: 모바일 및 푸시 알림 지우기 하우스에는 이 SRV 레코드가 필요합니다.

확장 가능한 메시징 및 현재 상태 프로토콜에 대한 DNS 레코드

위치 유형 포트 Fqdn IP 주소 또는 FQDN 호스트 레코드 참고
외부 DNS
SRV
5269
_xmpp-server._tcp.contoso.com
xmpp.contoso.com
Access Edge 서비스 또는 Edge 풀의 XMPP 프록시 인터페이스입니다. 다음을 통해 XMPP 연락처와의 접촉이 허용되는 비즈니스용 Skype 서버 사용하도록 설정된 모든 내부 SIP 도메인에 대해 필요에 따라 이 작업을 반복해야 합니다.
• 글로벌 정책
• 사용자가 사용하도록 설정된 사이트 정책
• 비즈니스용 Skype 서버 사용하도록 설정된 사용자에게 적용된 사용자 정책
허용되는 XMPP 정책도 XMPP 페더레이션 사용자 정책에서 구성해야 합니다.
외부 DNS
SRV
A
xmpp.contoso.com
XMPP 프록시 서비스를 호스트하는 Edge 서버 또는 Edge 풀에 있는 Access Edge 서비스의 IP 주소
이는 XMPP 프록시 서비스를 호스트하는 Edge 서버 또는 Edge 풀의 Access Edge 서비스를 가리킵니다. 일반적으로 만드는 SRV 레코드는 이 호스트(A 또는 AAAA) 레코드를 가리킵니다.

참고

XMPP 게이트웨이 및 프록시는 비즈니스용 Skype 서버 2015에서 사용할 수 있지만 비즈니스용 Skype 서버 2019에서는 더 이상 지원되지 않습니다. 자세한 내용은 XMPP 페더레이션 마이그레이션을 참조하세요.

인증서 계획

비즈니스용 Skype 서버 서버와 서버 간 및 클라이언트 간 보안 암호화된 통신에 인증서를 사용합니다. 예상대로 인증서에는 서버에 대한 DNS 레코드가 인증서의 모든 주체 이름(SN) 및 SAN(주체 대체 이름)과 일치해야 합니다. 이제 계획 단계에서 SN 및 인증서에 대한 SAN 항목에 대해 DNS에 올바른 FQDN을 등록할 수 있습니다.

외부 및 내부 인증서 요구 사항을 별도로 논의한 다음 둘 다에 대한 요구 사항을 제공하는 테이블을 살펴보겠습니다.

외부 인증서

최소한 외부 Edge Server 인터페이스에 할당된 인증서는 CA(공용 인증 기관)에서 제공해야 합니다. 특정 CA를 추천할 수는 없지만 기본 CA가 나열되어 있는지 확인할 수 있는 CA, 통합 통신 인증서 파트너 목록이 있습니다.

이 공용 인증서에 대한 요청을 CA에 제출해야 하는 경우와 어떻게 해야 합니까? 이 작업을 수행하는 방법에는 몇 가지가 있습니다.

  • 비즈니스용 Skype 서버 설치한 다음 Edge Server 배포를 진행할 수 있습니다. 비즈니스용 Skype 서버 배포 마법사에는 인증서 요청을 생성하는 단계가 있으며 선택한 CA로 보낼 수 있습니다.

  • 비즈니스 요구 사항 또는 배포 전략에 더 부합하는 경우 Windows PowerShell 명령을 사용하여 이 요청을 생성할 수도 있습니다.

  • 마지막으로 CA에 자체 제출 프로세스가 있을 수 있으며, 여기에는 Windows PowerShell 또는 다른 메서드도 포함될 수 있습니다. 이 경우 참조를 위해 여기에 제공된 정보 외에도 해당 설명서를 사용해야 합니다.

인증서를 받은 후 비즈니스용 Skype 서버 다음 서비스에 할당해야 합니다.

  • Access Edge 서비스 인터페이스

  • 웹 회의 Edge 서비스 인터페이스

  • 오디오/비디오 인증 서비스(인증서를 사용하여 오디오 및 비디오 스트림을 암호화하지 않으므로 A/V Edge 서비스와 혼동하지 마세요).

중요

모든 Edge 서버(동일한 Edge 서버 풀에 속하는 경우)에는 Media Relay 인증 서비스에 대해 동일한 프라이빗 키가 있는 동일한 인증서가 있어야 합니다.

내부 인증서

내부 Edge Server 인터페이스의 경우 공용 CA의 공용 인증서 또는 organization 내부 CA에서 발급된 인증서를 사용할 수 있습니다. 내부 인증서에 대해 기억해야 할 점은 SN 항목을 사용하고 SAN 항목이 없으므로 내부 인증서에서 SAN에 대해 전혀 걱정할 필요가 없다는 것입니다.

필수 인증서 테이블

요청에 도움이 되는 테이블이 있습니다. 여기에 있는 FQDN 항목은 샘플 도메인에만 해당합니다. 고유한 프라이빗 및 퍼블릭 도메인을 기반으로 요청을 수행해야 하지만 사용한 항목에 대한 가이드는 다음과 같습니다.

  • contoso.com: 공용 FQDN

  • fabrikam.com: 두 번째 공용 FQDN(여러 SIP 도메인이 있는 경우 요청할 항목의 데모로 추가됨)

  • Contoso.net: 내부 도메인

Edge 인증서 테이블

단일 Edge Server 또는 Edge 풀을 수행하든 관계없이 인증서에 필요한 것은 다음과 같습니다.

구성 요소 주체 이름(SN) SAN(주체 대체 이름)/순서 참고
외부 에지
sip.contoso.com
sip.contoso.com
webcon.contoso.com
sip.fabrikam.com
공용 CA에서 요청하는 데 필요한 인증서입니다. 다음을 위해 외부 Edge 인터페이스에 할당해야 합니다.
• Access Edge
• 웹 회의 Edge
• 오디오/비디오 인증

좋은 소식은 SAN이 인증서 요청에 자동으로 추가되므로 토폴로지 작성기에서 이 배포에 대해 정의한 내용에 따라 요청을 제출한 후 인증서가 추가된다는 것입니다. 지원해야 하는 추가 SIP 도메인 또는 기타 항목에 대한 SAN 항목만 추가하면 됩니다. 이 instance sip.contoso.com 복제되는 이유는 무엇인가요? 이는 자동으로 발생하며, 제대로 작동하려면 이 작업이 필요합니다.

참고: 이 인증서는 공용 인스턴트 메시징 연결에도 사용할 수 있습니다. 다른 작업을 수행할 필요는 없지만 이 설명서의 이전 버전에서는 별도의 테이블로 나열되었으며 지금은 그렇지 않습니다.
내부 에지
sfbedge.contoso.com
Na
공용 CA 또는 내부 CA에서 이 인증서를 가져올 수 있습니다. 서버 EKU(향상된 키 사용량)를 포함해야 하며 내부 Edge 인터페이스에 할당합니다.

XMPP(Extensible Messaging and Presence Protocol)에 대한 인증서가 필요한 경우 위의 External Edge 테이블 항목과 동일하게 보이지만 다음과 같은 두 개의 추가 SAN 항목이 있습니다.

  • Xmpp.contoso.com

  • *.contoso.com

현재 XMPP는 Google Talk용 비즈니스용 Skype 서버만 지원됩니다. 다른 용도로 사용하려는 경우 관련 타사 공급업체와 함께 해당 기능을 확인해야 합니다.

포트 및 방화벽 계획

비즈니스용 Skype 서버 Edge Server 배포를 위한 포트 및 방화벽에 대한 계획을 수립하면 며칠 또는 몇 주 동안 문제 해결과 스트레스를 줄일 수 있습니다. 따라서 NAT 및 공용 IP 시나리오 모두에 대해 프로토콜 사용량과 오픈, 인바운드 및 아웃바운드가 필요한 포트를 나타내는 몇 개의 테이블을 나열합니다. 또한 HLB(하드웨어 부하 분산 시나리오)에 대한 별도의 테이블과 이에 대한 몇 가지 추가 지침을 제공합니다. 여기에서 자세히 알아보려면 특정 배포 문제에 대해 검사 수 비즈니스용 Skype 서버 몇 가지 Edge Server 시나리오도 있습니다.

일반 프로토콜 사용

외부 및 내부 방화벽에 대한 요약 테이블을 살펴보기 전에 다음 표도 살펴보겠습니다.

오디오/비디오 전송 사용
Udp
오디오 및 비디오에 대한 기본 전송 계층 프로토콜입니다.
TCP
오디오 및 비디오에 대한 대체 전송 계층 프로토콜입니다.
비즈니스용 Skype 서버, Lync Server 2013 및 Lync Server 2010에 대한 애플리케이션 공유에 필요한 전송 계층 프로토콜입니다.
비즈니스용 Skype 서버, Lync Server 2013 및 Lync Server 2010으로 파일을 전송하는 데 필요한 전송 계층 프로토콜입니다.

외부 포트 방화벽 요약 테이블

원본 IP 주소 및 대상 IP 주소에는 NAT에서 개인 IP 주소를 사용하는 사용자와 공용 IP 주소를 사용하는 사용자에 대한 정보가 포함됩니다. 비즈니스용 Skype 서버 섹션의 Edge Server 시나리오에서 모든 순열을 다룹니다.

역할 또는 프로토콜 TCP 또는 UDP 대상 포트 또는 포트 범위 원본 IP 주소 대상 IP 주소 참고
Xmpp
2019년 비즈니스용 Skype 서버 지원되지 않음
TCP
5269
모든
XMPP 프록시 서비스(Access Edge 서비스와 IP 주소 공유
XMPP 프록시 서비스는 정의된 XMPP 페더레이션에서 XMPP 연락처의 트래픽을 허용합니다.
액세스/HTTP
TCP
80
NAT를 사용하는 개인 IP: Edge Server Access Edge 서비스
공용 IP: Edge Server Access Edge 서비스 공용 IP 주소
모든
인증서 해지 및 CRL 검사 및 검색.
액세스/DNS
TCP
53
NAT를 사용하는 개인 IP: Edge Server Access Edge 서비스
공용 IP: Edge Server Access Edge 서비스 공용 IP 주소
모든
TCP를 통해 DNS 쿼리.
액세스/DNS
Udp
53
NAT를 사용하는 개인 IP: Edge Server Access Edge 서비스
공용 IP: Edge Server Access Edge 서비스 공용 IP 주소
모든
UDP를 통해 DNS 쿼리.
Access/SIP(TLS)
TCP
443
모든
NAT를 사용하는 개인 IP: Edge Server Access Edge 서비스
공용 IP: Edge Server Access Edge 서비스 공용 IP 주소
외부 사용자 액세스를 위한 클라이언트-서버 SIP 트래픽입니다.
액세스/SIP(MTLS)
TCP
5061
모든
NAT를 사용하는 개인 IP: Edge Server Access Edge 서비스
공용 IP: Edge Server Access Edge 서비스 공용 IP 주소
SIP를 사용한 페더레이션 및 공용 메신저 연결의 경우.
액세스/SIP(MTLS)
TCP
5061
NAT를 사용하는 개인 IP: Edge Server Access Edge 서비스
공용 IP: Edge Server Access Edge 서비스 공용 IP 주소
모든
SIP를 사용한 페더레이션 및 공용 메신저 연결의 경우.
웹 회의/PSOM(TLS)
TCP
443
모든
NAT를 사용하는 개인 IP: Edge Server 웹 회의 Edge 서비스
공용 IP: Edge Server 웹 회의 Edge 서비스 공용 IP 주소
웹 회의 미디어.
A/V/RTP
TCP
50000-59999
NAT를 사용하는 개인 IP: Edge Server A/V Edge 서비스
공용 IP: Edge Server A/V Edge 서비스 공용 IP 주소
모든
미디어 트래픽을 릴레이하는 데 사용됩니다.
A/V/RTP
Udp
50000-59999
NAT를 사용하는 개인 IP: Edge Server A/V Edge 서비스
공용 IP: Edge Server A/V Edge 서비스 공용 IP 주소
모든
미디어 트래픽을 릴레이하는 데 사용됩니다.
A/V/STUN. MSTURN
Udp
3478
NAT를 사용하는 개인 IP: Edge Server A/V Edge 서비스
공용 IP: Edge Server A/V Edge 서비스 공용 IP 주소
모든
3478 아웃바운드는 다음과 같습니다.
• 비즈니스용 Skype 서버 통신하는 Edge Server 버전을 확인하는 데 사용됩니다.
• Edge 서버 간의 미디어 트래픽에 사용됩니다.
• Lync Server 2010과의 페더레이션에 필요합니다.
• 여러 Edge 풀이 organization 내에 배포되는 경우 필요합니다.
A/V/STUN. MSTURN
Udp
3478
모든
NAT를 사용하는 개인 IP: Edge Server A/V Edge 서비스
공용 IP: Edge Server A/V Edge 서비스 공용 IP 주소
포트 3478에서 UDP를 통해 후보자의 STUN / TURN 협상.
A/V/STUN. MSTURN
TCP
443
모든
NAT를 사용하는 개인 IP: Edge Server A/V Edge 서비스
공용 IP: Edge Server A/V Edge 서비스 공용 IP 주소
포트 443에서 TCP를 통해 후보자의 STUN/TURN 협상.
A/V/STUN. MSTURN
TCP
443
NAT를 사용하는 개인 IP: Edge Server A/V Edge 서비스
공용 IP: Edge Server A/V Edge 서비스 공용 IP 주소
모든
포트 443에서 TCP를 통해 후보자의 STUN/TURN 협상.

내부 포트 방화벽 요약 테이블

프로토콜 TCP 또는 UDP 포트 원본 IP 주소 대상 IP 주소 참고
XMPP/MTLS
TCP
23456
다음 중에서 XMPP 게이트웨이 서비스를 실행합니다.
• 프런트 엔드 서버
• 프런트 엔드 풀
Edge Server 내부 인터페이스
프런트 엔드 서버 또는 프런트 엔드 풀에서 실행되는 XMPP 게이트웨이 서비스의 아웃바운드 XMPP 트래픽입니다.
참고: XMPP 게이트웨이 및 프록시는 비즈니스용 Skype 서버 2015에서 사용할 수 있지만 비즈니스용 Skype 서버 2019에서는 더 이상 지원되지 않습니다. 자세한 내용은 XMPP 페더레이션 마이그레이션을 참조하세요.
SIP/MTLS
TCP
5061
모든:
•감독
• 디렉터 풀
• 프런트 엔드 서버
• 프런트 엔드 풀
Edge Server 내부 인터페이스
디렉터, 디렉터 풀, 프런트 엔드 서버 또는 프런트 엔드 풀에서 Edge Server 내부 인터페이스로의 아웃바운드 SIP 트래픽.
SIP/MTLS
TCP
5061
Edge Server 내부 인터페이스
모든:
•감독
• 디렉터 풀
• 프런트 엔드 서버
• 프런트 엔드 풀
Edge Server 내부 인터페이스에서 디렉터, 디렉터 풀, 프런트 엔드 서버 또는 프런트 엔드 풀로의 인바운드 SIP 트래픽.
PSOM/MTLS
TCP
8057
모든:
• 프런트 엔드 서버
• 각 프런트 엔드 서버
프런트 엔드 풀에서
Edge Server 내부 인터페이스
프런트 엔드 서버 또는 각 프런트 엔드 서버(프런트 엔드 풀이 있는 경우)에서 Edge Server 내부 인터페이스로의 웹 회의 트래픽.
SIP/MTLS
TCP
5062
모든:
• 프런트 엔드 서버
• 프런트 엔드 풀
• 이 Edge Server를 사용하는 모든 Survivable Branch Appliance
• 이 Edge 서버를 사용하는 모든 Survivable Branch Server
Edge Server 내부 인터페이스
Edge 서버를 사용하여 프런트 엔드 서버 또는 프런트 엔드 풀 또는 Survivable Branch Appliance 또는 Survivable Branch Server에서 A/V 사용자를 인증합니다.
STUN/MSTURN
Udp
3478
모든
Edge Server 내부 인터페이스
내부 및 외부 사용자와 Survivable Branch Appliance 또는 Survivable Branch Server 간의 A/V 미디어 전송에 대한 기본 경로입니다.
STUN/MSTURN
TCP
443
모든
Edge Server 내부 인터페이스
UDP 통신이 작동하지 않는 경우 내부 및 외부 사용자와 Survivable Branch Appliance 또는 Survivable Branch Server 간에 A/V 미디어 전송에 대한 대체 경로입니다. 그런 다음, TCP는 파일 전송 및 데스크톱 공유에 사용됩니다.
HTTPS
TCP
4443
모든:
• 중앙 관리 저장소를 보유하는 프런트 엔드 서버
• 중앙 관리 저장소를 보유하는 프런트 엔드 풀
Edge Server 내부 인터페이스
중앙 관리 저장소에서 Edge 서버로 변경 내용 복제
MTLS
TCP
50001
모든
Edge Server 내부 인터페이스
비즈니스용 Skype 서버 관리 셸 및 중앙 집중식 로깅 서비스 cmdlet, clsController 명령줄(ClsController.exe) 또는 에이전트(ClsAgent.exe) 명령 및 로그 수집을 사용하는 중앙 집중식 로깅 서비스 컨트롤러입니다.
MTLS
TCP
50002
모든
Edge Server 내부 인터페이스
비즈니스용 Skype 서버 관리 셸 및 중앙 집중식 로깅 서비스 cmdlet, clsController 명령줄(ClsController.exe) 또는 에이전트(ClsAgent.exe) 명령 및 로그 수집을 사용하는 중앙 집중식 로깅 서비스 컨트롤러입니다.
MTLS
TCP
50003
모든
Edge Server 내부 인터페이스
비즈니스용 Skype 서버 관리 셸 및 중앙 집중식 로깅 서비스 cmdlet, clsController 명령줄(ClsController.exe) 또는 에이전트(ClsAgent.exe) 명령 및 로그 수집을 사용하는 중앙 집중식 로깅 서비스 컨트롤러입니다.

Edge 포트 테이블에 대한 하드웨어 부하 분산 장치

추가 하드웨어에서 좀 더 복잡하기 때문에 하드웨어 부하 분산 장치(HLB) 및 Edge 포트 자체 섹션을 제공합니다. 이 특정 시나리오에 대한 지침은 아래 표를 참조하세요.

외부 포트 방화벽 요약 테이블

원본 IP 주소 및 대상 IP 주소에는 NAT에서 개인 IP 주소를 사용하는 사용자와 공용 IP 주소를 사용하는 사용자에 대한 정보가 포함됩니다. 비즈니스용 Skype 서버 섹션의 Edge Server 시나리오에서 모든 순열을 다룹니다.

역할 또는 프로토콜 TCP 또는 UDP 대상 포트 또는 포트 범위 원본 IP 주소 대상 IP 주소 참고
액세스/HTTP
TCP
80
Edge Server Access Edge 서비스 공용 IP 주소
모든
인증서 해지 및 CRL 검사 및 검색.
액세스/DNS
TCP
53
Edge Server Access Edge 서비스 공용 IP 주소
모든
TCP를 통해 DNS 쿼리.
액세스/DNS
Udp
53
Edge Server Access Edge 서비스 공용 IP 주소
모든
UDP를 통해 DNS 쿼리.
A/V/RTP
TCP
50000-59999
Edge Server A/V Edge 서비스 IP 주소
모든
미디어 트래픽을 릴레이하는 데 사용됩니다.
A/V/RTP
Udp
50000-59999
Edge Server A/V Edge 서비스 공용 IP 주소
모든
미디어 트래픽을 릴레이하는 데 사용됩니다.
A/V/STUN. MSTURN
Udp
3478
Edge Server A/V Edge 서비스 공용 IP 주소
모든
3478 아웃바운드는 다음과 같습니다.
• 비즈니스용 Skype 서버 통신하는 Edge Server 버전을 확인하는 데 사용됩니다.
• Edge 서버 간의 미디어 트래픽에 사용됩니다.
• 페더레이션에 필요합니다.
• 여러 Edge 풀이 organization 내에 배포되는 경우 필요합니다.
A/V/STUN. MSTURN
Udp
3478
모든
Edge Server A/V Edge 서비스 공용 IP 주소
포트 3478에서 UDP를 통해 후보자의 STUN / TURN 협상.
A/V/STUN. MSTURN
TCP
443
모든
Edge Server A/V Edge 서비스 공용 IP 주소
포트 443에서 TCP를 통해 후보자의 STUN/TURN 협상.
A/V/STUN. MSTURN
TCP
443
Edge Server A/V Edge 서비스 공용 IP 주소
모든
포트 443에서 TCP를 통해 후보자의 STUN/TURN 협상.

내부 포트 방화벽 요약 테이블

프로토콜 TCP 또는 UDP 포트 원본 IP 주소 대상 IP 주소 참고
XMPP/MTLS
TCP
23456
다음 중에서 XMPP 게이트웨이 서비스를 실행합니다.
• 프런트 엔드 서버
• XMPP 게이트웨이 서비스를 실행하는 프런트 엔드 풀 VIP 주소
Edge Server 내부 인터페이스
프런트 엔드 서버 또는 프런트 엔드 풀에서 실행되는 XMPP 게이트웨이 서비스의 아웃바운드 XMPP 트래픽입니다.

참고: XMPP 게이트웨이 및 프록시는 비즈니스용 Skype 서버 2015에서 사용할 수 있지만 비즈니스용 Skype 서버 2019에서는 더 이상 지원되지 않습니다. 자세한 내용은 XMPP 페더레이션 마이그레이션을 참조하세요.
HTTPS
TCP
4443
모든:
• 중앙 관리 저장소를 보유하는 프런트 엔드 서버
• 중앙 관리 저장소를 보유하는 프런트 엔드 풀
Edge Server 내부 인터페이스
중앙 관리 저장소에서 Edge 서버로 변경 내용 복제
PSOM/MTLS
TCP
8057
모든:
• 프런트 엔드 서버
• 프런트 엔드 풀의 각 프런트 엔드 서버
Edge Server 내부 인터페이스
프런트 엔드 서버 또는 각 프런트 엔드 서버(프런트 엔드 풀이 있는 경우)에서 Edge Server 내부 인터페이스로의 웹 회의 트래픽.
STUN/MSTURN
Udp
3478
모든:
• 프런트 엔드 서버
• 프런트 엔드 풀의 각 프런트 엔드 서버
Edge Server 내부 인터페이스
내부 및 외부 사용자와 Survivable Branch Appliance 또는 Survivable Branch Server 간의 A/V 미디어 전송에 대한 기본 경로입니다.
STUN/MSTURN
TCP
443
모든:
• 프런트 엔드 서버
• 풀의 각 프런트 엔드 서버
Edge Server 내부 인터페이스
UDP 통신이 작동하지 않는 경우 내부 및 외부 사용자와 Survivable Branch Appliance 또는 Survivable Branch Server 간에 A/V 미디어 전송에 대한 대체 경로입니다. 그런 다음, TCP는 파일 전송 및 데스크톱 공유에 사용됩니다.
MTLS
TCP
50001
모든
Edge Server 내부 인터페이스
비즈니스용 Skype 서버 관리 셸 및 중앙 집중식 로깅 서비스 cmdlet, clsController 명령줄(ClsController.exe) 또는 에이전트(ClsAgent.exe) 명령 및 로그 수집을 사용하는 중앙 집중식 로깅 서비스 컨트롤러입니다.
MTLS
TCP
50002
모든
Edge Server 내부 인터페이스
비즈니스용 Skype 서버 관리 셸 및 중앙 집중식 로깅 서비스 cmdlet, clsController 명령줄(ClsController.exe) 또는 에이전트(ClsAgent.exe) 명령 및 로그 수집을 사용하는 중앙 집중식 로깅 서비스 컨트롤러입니다.
MTLS
TCP
50003
모든
Edge Server 내부 인터페이스
비즈니스용 Skype 서버 관리 셸 및 중앙 집중식 로깅 서비스 cmdlet, clsController 명령줄(ClsController.exe) 또는 에이전트(ClsAgent.exe) 명령 및 로그 수집을 사용하는 중앙 집중식 로깅 서비스 컨트롤러입니다.

외부 인터페이스 가상 IP

역할 또는 프로토콜 TCP 또는 UDP 대상 포트 또는 포트 범위 원본 IP 주소 대상 IP 주소 참고
Xmpp
비즈니스용 Skype 서버 2019에서 지원되지 않음
TCP
5269
모든
XMPP 프록시 서비스(Access Edge 서비스와 IP 주소 공유)
XMPP 프록시 서비스는 정의된 XMPP 페더레이션에서 XMPP 연락처의 트래픽을 허용합니다.
Xmpp
비즈니스용 Skype 서버 2019에서 지원되지 않음
TCP
5269
XMPP 프록시 서비스(Access Edge 서비스와 IP 주소 공유)
모든
XMPP 프록시 서비스는 정의된 XMPP 페더레이션의 XMPP 연락처에서 트래픽을 보냅니다.
Access/SIP(TLS)
TCP
443
모든
NAT를 사용하는 개인 IP: Edge Server Access Edge 서비스
공용 IP: Edge Server Access Edge 서비스 공용 IP 주소
외부 사용자 액세스를 위한 클라이언트-서버 SIP 트래픽입니다.
액세스/SIP(MTLS)
TCP
5061
모든
NAT를 사용하는 개인 IP: Edge Server Access Edge 서비스
공용 IP: Edge Server Access Edge 서비스 공용 IP 주소
SIP를 사용한 페더레이션 및 공용 메신저 연결의 경우.
액세스/SIP(MTLS)
TCP
5061
NAT를 사용하는 개인 IP: Edge Server Access Edge 서비스
공용 IP: Edge Server Access Edge 서비스 공용 IP 주소
모든
SIP를 사용한 페더레이션 및 공용 메신저 연결의 경우.
웹 회의/PSOM(TLS)
TCP
443
모든
NAT를 사용하는 개인 IP: Edge Server 웹 회의 Edge 서비스
공용 IP: Edge Server 웹 회의 Edge 서비스 공용 IP 주소
웹 회의 미디어.
A/V/STUN. MSTURN
Udp
3478
모든
NAT를 사용하는 개인 IP: Edge Server A/V Edge 서비스
공용 IP: Edge Server A/V Edge 서비스 공용 IP 주소
포트 3478에서 UDP를 통해 후보자의 STUN / TURN 협상.
A/V/STUN. MSTURN
TCP
443
모든
NAT를 사용하는 개인 IP: Edge Server A/V Edge 서비스
공용 IP: Edge Server A/V Edge 서비스 공용 IP 주소
포트 443에서 TCP를 통해 후보자의 STUN/TURN 협상.

내부 인터페이스 가상 IP

여기에 우리의 지침은 조금 다를 것입니다. 실제로 HLB 상황에서는 다음과 같은 상황에서 내부 VIP를 통해서만 라우팅하는 것이 좋습니다.

  • Exchange 2007 또는 Exchange 2010 UM(통합 메시징)을 사용하는 경우

  • Edge를 사용하는 레거시 클라이언트가 있는 경우

다음 표에서는 이러한 시나리오에 대한 지침을 제공하지만, 그렇지 않으면 CMS(Central Management Store)에 의존하여 트래픽을 알고 있는 개별 Edge Server로 라우팅할 수 있어야 합니다(물론 Edge Server 정보에 대한 CMS를 최신 상태로 유지해야 함).

프로토콜 TCP 또는 UDP 포트 원본 IP 주소 대상 IP 주소 참고
액세스/SIP(MTLS)
TCP
5061
모든:
•감독
• 디렉터 풀 VIP 주소
• 프런트 엔드 서버
• 프런트 엔드 풀 VIP 주소
Edge Server 내부 인터페이스
디렉터, 디렉터 풀 VIP 주소, 프런트 엔드 서버 또는 프런트 엔드 풀 VIP 주소에서 Edge Server 내부 인터페이스로의 아웃바운드 SIP 트래픽.
액세스/SIP(MTLS)
TCP
5061
Edge Server 내부 VIP 인터페이스
모든:
•감독
• 디렉터 풀 VIP 주소
• 프런트 엔드 서버
• 프런트 엔드 풀 VIP 주소
Edge Server 내부 인터페이스에서 디렉터, 디렉터 풀 VIP 주소, 프런트 엔드 서버 또는 프런트 엔드 풀 VIP 주소로의 인바운드 SIP 트래픽.
SIP/MTLS
TCP
5062
모든:
• 프런트 엔드 서버 IP 주소
• 프런트 엔드 풀 IP 주소
• 이 Edge Server를 사용하는 모든 Survivable Branch Appliance
• 이 Edge 서버를 사용하는 모든 Survivable Branch Server
Edge Server 내부 인터페이스
Edge 서버를 사용하여 프런트 엔드 서버 또는 프런트 엔드 풀 또는 Survivable Branch Appliance 또는 Survivable Branch Server에서 A/V 사용자를 인증합니다.
STUN/MSTURN
Udp
3478
모든
Edge Server 내부 인터페이스
내부 및 외부 사용자 간의 A/V 미디어 전송에 대한 기본 경로입니다.
STUN/MSTURN
TCP
443
모든
Edge Server 내부 VIP 인터페이스
UDP 통신이 작동하지 않는 경우 내부 및 외부 사용자 간에 A/V 미디어 전송에 대한 대체 경로입니다. 그런 다음, TCP는 파일 전송 및 데스크톱 공유에 사용됩니다.