Порты и протоколы для внутренних серверов

Skype for Business Server 2015
 

Дата изменения раздела:2016-04-06

Сводка.  Ознакомьтесь с рекомендациями по использованию портов перед реализацией Skype для бизнеса Server 2015.

Skype для бизнеса Server требует, чтобы в брандмауэре были открыты определенные порты. Кроме того, если в организации развернут протокол IPsec, то он должен быть отключен в диапазоне портов, используемых для доставки звука, видео и панорамного видео.

В этом разделе приводится обзор портов и протоколов, используемых серверами, балансировщиками нагрузки и клиентами в развертывании Skype для бизнеса Server.

noteПримечание.
При запуске Skype для бизнеса Server в брандмауэре Windows открываются необходимые порты. Брандмауэр Windows уже должен быть запущен для большинства обычных приложений, но если он не используется, Skype для бизнеса Server будет работать без него.

Сведения о настройке брандмауэра для пограничных компонентов см. в разделе Определение требований к внешнему брандмауэру аудио- и видеосвязи и портам для Lync Server 2013.

В следующей таблице приводится список портов, которые должны быть открыты для каждой роли внутреннего сервера.

Необходимые порты сервера (по ролям сервера)

Роль сервера Имя службы Порт Протокол Примечания.

Все серверы

Браузер SQL

1434

UDP

Браузер SQL для локальной реплицированной копии базы данных центрального хранилища управления.

Серверы переднего плана

Служба переднего плана Skype для бизнеса Server

5060

TCP

При необходимости используется для статических маршрутов к доверенным службам серверами Standard Edition и серверами переднего плана, например серверами удаленного управления звонками.

Серверы переднего плана

Служба переднего плана Skype для бизнеса Server

5061

TCP (TLS)

Используется серверами Standard Edition и серверами переднего плана для всех внутренних SIP-соединений между серверами (MTLS), для SIP-соединений между сервером и клиентом (TLS) и для SIP-соединений между серверами переднего плана и серверами-посредниками (MTLS). Также используется для соединений с сервером мониторинга.

Серверы переднего плана

Служба переднего плана Skype для бизнеса Server

444

HTTPS

TCP

Используется для HTTPS-соединений между Focus (компонентом Skype для бизнеса Server, который управляет состоянием конференции) и отдельными серверами.

Этот порт также используется для TCP-соединений между устройствами для обеспечения связи в филиалах и серверами переднего плана.

Серверы переднего плана

Служба переднего плана Skype для бизнеса Server

135

DCOM и удаленный вызов процедур (RPC)

Используется для операций на базе DCOM, таких как перемещение пользователей, синхронизация репликаторов пользовательских данных и адресных книг.

Серверы переднего плана

Служба конференц-связи с обменом мгновенными сообщениями Skype для бизнеса Server

5062

TCP

Используется для входящих SIP-запросов в конференц-связи с использованием обмена мгновенными сообщениями.

Серверы переднего плана

Служба веб-конференций Skype для бизнеса Server

8057

TCP (TLS)

Используется для прослушивания подключений по протоколу PSOM от клиента.

Серверы переднего плана

Служба веб-совместимости конференций Skype для бизнеса Server

8058

TCP (TLS)

Используется для прослушивания подключений по протоколу PSOM от клиента Live Meeting и предыдущих версий Skype для бизнеса Server.

Серверы переднего плана

Служба аудио- и видеоконференций Skype для бизнеса Server

5063

TCP

Используется для входящих SIP-запросов на аудио- и видеоконференции.

Серверы переднего плана

Служба аудио- и видеоконференций Skype для бизнеса Server

57501-65535

TCP/UDP

Диапазон портов, используемых для видеоконференций.

Серверы переднего плана

Служба веб-совместимости Skype для бизнеса Server

80

HTTP

Используется для подключений от серверов переднего плана к полным доменным именам в веб-ферме (URL-адреса используются по веб-компонентам IIS), когда не используется HTTPS.

Серверы переднего плана

Служба веб-совместимости Skype для бизнеса Server

443

HTTPS

Используется для подключений от серверов переднего плана к полным доменным именам в веб-ферме (URL-адреса используются по веб-компонентам IIS).

Серверы переднего плана

Служба веб-совместимости Skype для бизнеса Server

8080

TCP и HTTP

Используется веб-компонентами для внешнего доступа.

Серверы переднего плана

Компонент веб-сервера

4443

HTTPS

Связь по протоколу HTTPS (от обратного прокси-сервера) и по протоколу HTTPS между пулами переднего плана для автообнаружения входа.

Серверы переднего плана

Компонент веб-сервера

8060

TCP (MTLS)

Серверы переднего плана

Компонент веб-сервера

8061

TCP (MTLS)

Серверы переднего плана

Компонент служб Mobility Services

5086

TCP (MTLS)

SIP-порт, используемый внутренними процессами служб Mobility Services.

Серверы переднего плана

Компонент служб Mobility Services

5087

TCP (MTLS)

SIP-порт, используемый внутренними процессами служб Mobility Services.

Серверы переднего плана

Компонент служб Mobility Services

443

HTTPS

Серверы переднего плана

Служба помощника по конференц-связи Skype для бизнеса Server (конференц-связь с телефонным подключением)

5064

TCP

Используется для входящих SIP-запросов для конференц-связи с телефонным подключением.

Серверы переднего плана

Служба помощника по конференц-связи Skype для бизнеса Server (конференц-связь с телефонным подключением)

5072

TCP

Используется для входящих SIP-запросов для Attendantа (конференц-связи с телефонным подключением).

Серверы переднего плана, на которых также работает соотнесенный сервер-посредник

Служба-посредник Skype для бизнеса Server

5070

TCP

Используется сервером-посредником для входящих запросов от сервера переднего плана к серверу посреднику.

Серверы переднего плана, на которых также работает соотнесенный сервер-посредник

Служба-посредник Skype для бизнеса Server

5067

TCP (TLS)

Используется для входящих SIP-запросов от шлюза ТСОП к серверу-посреднику.

Серверы переднего плана, на которых также работает соотнесенный сервер-посредник

Служба-посредник Skype для бизнеса Server

5068

TCP

Используется для входящих SIP-запросов от шлюза ТСОП к серверу-посреднику.

Серверы переднего плана, на которых также работает соотнесенный сервер-посредник

Служба-посредник Skype для бизнеса Server

5081

TCP

Используется для исходящих SIP-запросов от сервера-посредника к шлюзу ТСОП.

Серверы переднего плана, на которых также работает соотнесенный сервер-посредник

Служба-посредник Skype для бизнеса Server

5082

TCP (TLS)

Используется для исходящих SIP-запросов от сервера-посредника к шлюзу ТСОП.

Серверы переднего плана

Служба общего доступа к приложению Skype для бизнеса Server

5065

TCP

Используется для входящих SIP-запросов на прослушивание для общего доступа к приложению.

Серверы переднего плана

Служба общего доступа к приложению Skype для бизнеса Server

49152-65535

TCP

Диапазон портов, используемых для общего доступа к приложению.

Серверы переднего плана

Служба оповещения для конференц-связи Skype для бизнеса Server

5073

TCP

Используется для входящих SIP-запросов для службы оповещения для конференц-связи Skype для бизнеса Server (то есть для конференц-связи с телефонным подключением).

Серверы переднего плана

Служба парковки вызовов Skype для бизнеса Server

5075

TCP

Используется для входящих SIP-запросов для приложения парковки вызовов.

Серверы переднего плана

Служба проверки аудиосвязи Skype для бизнеса Server

5076

TCP

Используется для входящих SIP-запросов для службы проверки аудиосвязи.

Серверы переднего плана

Не применимо

5066

TCP

Используется для исходящего трафика в шлюзе службы Enhanced 9-1-1 (E9-1-1).

Серверы переднего плана

Служба групп ответов Skype для бизнеса Server

5071

TCP

Используется для входящих SIP-запросов для приложения группы ответа.

Серверы переднего плана

Служба групп ответов Skype для бизнеса Server

8404

TCP (MTLS)

Используется для входящих SIP-запросов для приложения группы ответа.

Серверы переднего плана

Служба политики пропускной способности Skype для бизнеса Server

5080

TCP

Используется для контроля допуска звонков, осуществляемого службой политики пропускной способности в отношении пограничного аудио-/видео-трафика "TURN".

Серверы переднего плана

Служба политики пропускной способности Skype для бизнеса Server

448

TCP

Используется для контроля допуска звонков со стороны службы политики пропускной способности Skype для бизнеса Server.

Серверы переднего плана, где находится хранилище управления

Служба агента главного репликатора Skype для бизнеса Server

445

TCP

Используется для принудительной передачи данных настройки из хранилища управления на серверы, на которых работает Skype для бизнеса Server.

Все серверы

Браузер SQL

1434

UDP

Браузер SQL для локальной реплицированной копии данных сервера управления в локальном экземпляре SQL Server.

Все внутренние серверы

Различные

49152-57500

TCP/UDP

Диапазон портов, используемых для аудиоконференций на всех внутренних серверах. Используется всеми серверами, на которых заканчиваются аудиопередачи: серверами переднего плана (для службы помощника по конференц-связи Skype для бизнеса Server, службы оповещения для конференц-связи Skype для бизнеса Server и службы аудио- и видеоконференций Skype для бизнеса Server) и сервером-посредником.

Серверы Office Web Apps

443

Используется сервером Skype для бизнеса Server 2015 для подключения к серверу Office Web Apps.

Директоры

Служба переднего плана Skype для бизнеса Server

5060

TCP

При необходимости используется для статических маршрутов к доверенным службам, таким как серверы удаленного управления звонками.

Директоры

Служба переднего плана Skype для бизнеса Server

444

HTTPS

TCP

Обмен данными между сервером переднего плана и сервером Директора. Также публикация клиентских сертификатов (на серверах Серверы переднего плана) и их проверка, если они уже опубликованы.

Директоры

Служба веб-совместимости Skype для бизнеса Server

80

TCP

Используется для исходного подключения от директоров к полным доменным именам в веб-ферме (URL-адреса используются по веб-компонентам IIS). При обычной работе происходит переключение на трафик HTTPS с использованием порта 443 и протокола TCP.

Директоры

Служба веб-совместимости Skype для бизнеса Server

443

HTTPS

Используется для подключения от директоров к полным доменным именам в веб-ферме (URL-адреса используются по веб-компонентам IIS).

Директоры

Служба переднего плана Skype для бизнеса Server

5061

TCP

Используется для внутренних подключений между серверами и для клиентских подключений.

Серверы-посредники

Служба-посредник Skype для бизнеса Server

5070

TCP

Используется сервером-посредником для входящих запросов от сервера переднего плана.

Серверы-посредники

Служба-посредник Skype для бизнеса Server

5067

TCP (TLS)

Используется для входящих SIP-запросов от шлюза ТСОП.

Серверы-посредники

Служба-посредник Skype для бизнеса Server

5068

TCP

Используется для входящих SIP-запросов от шлюза ТСОП.

Серверы-посредники

Служба-посредник Skype для бизнеса Server

5070

TCP (MTLS)

Используется для SIP-запросов от серверов переднего плана.

Сервер переднего плана сохраняемого чата

SIP-запрос сохраняемого чата

5041

TCP (MTLS)

Сервер переднего плана сохраняемого чата

Платформа Windows Communication Foundation (WCF) для сохраняемого чата

881

TCP (TLS) и TCP (MTLS)

Сервер переднего плана сохраняемого чата

Служба передачи файлов для сохраняемого чата

443

TCP (TLS)

noteПримечание.
Для некоторых сценариев с удаленным управлением звонками требуется TCP-соединение между сервером переднего плана или Директором и УАТС. Хотя в Skype для бизнеса Server TCP-порт 5060 больше не используется, при развертывании удаленного управления звонками создается конфигурация доверенного сервера, в которой полное доменное имя сервера линии RCC связывается с TCP-портом, который сервер переднего плана или Директор будут использовать для подключения к УАТС. Дополнительные сведения см. в описании командлета CsTrustedApplicationComputer в документации (Командная консоль Skype для бизнеса Server).

Для пулов, использующих только аппаратную балансировку нагрузки (без балансировки нагрузки на DNS), в следующей таблице представлены порты, которые должны быть открыты на аппаратных балансировщиках нагрузки.

Порты аппаратного балансировщика нагрузки при использовании только аппаратной балансировки нагрузки

Балансировщик нагрузки Порт Протокол

Балансировщик нагрузки на сервере переднего плана

5061

TCP (TLS)

Балансировщик нагрузки на сервере переднего плана

444

HTTPS

Балансировщик нагрузки на сервере переднего плана

135

DCOM и удаленный вызов процедур (RPC)

Балансировщик нагрузки на сервере переднего плана

80

HTTP

Балансировщик нагрузки на сервере переднего плана

8080

TCP - получение клиентом и устройством корневого сертификата с сервера переднего плана, клиенты и устройства проходят проверку подлинности NTLM

Балансировщик нагрузки на сервере переднего плана

443

HTTPS

Балансировщик нагрузки на сервере переднего плана

4443

HTTPS (от обратного прокси-сервера)

Балансировщик нагрузки на сервере переднего плана

5072

TCP

Балансировщик нагрузки на сервере переднего плана

5073

TCP

Балансировщик нагрузки на сервере переднего плана

5075

TCP

Балансировщик нагрузки на сервере переднего плана

5076

TCP

Балансировщик нагрузки на сервере переднего плана

5071

TCP

Балансировщик нагрузки на сервере переднего плана

5080

TCP

Балансировщик нагрузки на сервере переднего плана

448

TCP

Балансировщик нагрузки на сервере-посреднике

5070

TCP

Балансировщик нагрузки на сервере переднего плана (если в пуле также работает сервер-посредник)

5070

TCP

Балансировщик нагрузки на директоре

443

HTTPS

Балансировщик нагрузки на директоре

444

HTTPS

Балансировщик нагрузки на директоре

5061

TCP

Балансировщик нагрузки на директоре

4443

HTTPS (от обратного прокси-сервера)

В пулах переднего плана и пулах директоров, использующих балансировку нагрузки на DNS, также должны быть развернуты аппаратные балансировщики нагрузки. В следующей таблице показаны порты, которые должны быть открыты на этих аппаратных балансировщиках нагрузки.

Порты аппаратного балансировщика нагрузки при использовании балансировки нагрузки на DNS

Балансировщик нагрузки Порт Протокол

Балансировщик нагрузки на сервере переднего плана

80

HTTP

Балансировщик нагрузки на сервере переднего плана

443

HTTPS

Балансировщик нагрузки на сервере переднего плана

8080

TCP - получение клиентом и устройством корневого сертификата с сервера переднего плана, клиенты и устройства проходят проверку подлинности NTLM

Балансировщик нагрузки на сервере переднего плана

4443

HTTPS (от обратного прокси-сервера)

Балансировщик нагрузки на директоре

443

HTTPS

     

Балансировщик нагрузки на директоре

4443

HTTPS (от обратного прокси-сервера)

Необходимые порты на клиенте

Компонент Порт Протокол Примечания.

Клиенты

67/68

DHCP

Используется Skype для бизнеса Server для поиска полного доменного имени регистратора (то есть если DNS-запись SRV отсутствует, а вручную параметры не заданы).

Клиенты

443

TCP (TLS)

Используется для SIP-трафика от клиента к серверу для доступа внешних пользователей.

Клиенты

443

TCP (PSOM/TLS)

Используется для доступа внешних пользователей к сеансам веб-конференций.

Клиенты

443

TCP (STUN/MSTURN)

Используется для доступа внешних пользователей к аудио- и видеосеансам и сеансам мультимедиа (TCP)

Клиенты

3478

UDP (STUN/MSTURN)

Используется для доступа внешних пользователей к аудио- и видеосеансам и сеансам мультимедиа (UDP)

Клиенты

5061

TCP (MTLS)

Используется для SIP-трафика от клиента к серверу для доступа внешних пользователей.

Клиенты

6891-6901

TCP

Используется для передачи файлов между клиентами Skype для бизнеса и предыдущими клиентами.

Клиенты

1024-65535 *

TCP/UDP

Диапазон портов для передачи аудио (требуется минимум 20 портов).

Клиенты

1024-65535 *

TCP/UDP

Диапазон портов для передачи видео (требуется минимум 20 портов).

Клиенты

1024-65535 *

TCP

Одноранговая передача файлов (для передачи файлов во время конференций клиенты используют протокол PSOM).

Клиенты

1024-65535 *

TCP

Общий доступ к приложениям.

Телефон общего пользования Aastra 6721ip

Настольный телефон Aastra 6725ip

IP-телефон HP 4110 (телефон общего пользования)

IP-телефон HP 4120 (настольный телефон)

IP-телефон общего доступа Polycom CX500

Настольный IP-телефон Polycom CX600

Настольный IP-телефон Polycom CX700

IP-телефон для конференций Polycom CX3000

67/68

DHCP

Используется перечисленными устройствами для поиска сертификата Skype для бизнеса Server, подготовки полных доменных имен и поиска полного доменного имени регистратора.

* Для настройки конкретных портов для таких типов посредников используется командлет CsConferencingConfiguration (параметры ClientMediaPortRangeEnabled, ClientMediaPort и ClientMediaPortRange).

noteПримечание.
Программы установки для клиентов Skype для бизнеса автоматически создают на клиентском компьютере необходимые исключения брандмауэра операционной системы.
noteПримечание.
Порты, используемые для доступа внешних пользователей, требуются для любого сценария, где клиент должен преодолевать брандмауэр организации (например, для любых внешних коммуникаций или собраний, размещаемых другими организациями).

Для корпоративных сетей, где развернут протокол IPSec (см. документ IETF RFC 4301-4309), необходимо отключить IPSec для диапазона портов, используемых для доставки аудио, видео и панорамного видео. Это связано с необходимостью избежать каких-либо задержек при распределении портов мультимедиа из-за согласования IPsec.

В следующей таблице описаны рекомендуемые исключения IPsec.

Рекомендуемые исключения IPsec

Имя правилаИсходный IP-адресКонечный IP-адресПротоколИсходный портКонечный портТребование проверки подлинности

Внутренние входящие данные пограничного сервера аудио- и видеоданных

Любой

Внутренние данные пограничного сервера аудио- и видеоданных

UDP и TCP

Любой

Любой

Не выполнять проверку подлинности

Внешние входящие данные пограничного сервера аудио- и видеоданных

Любой

Внешние данные пограничного сервера аудио- и видеоданных

UDP и TCP

Любой

Любой

Не выполнять проверку подлинности

Внутренние исходящие данные пограничного сервера аудио- и видеоданных

Внутренние данные пограничного сервера аудио- и видеоданных

Любой

UDP и TCP

Любой

Любой

Не выполнять проверку подлинности

Внешние исходящие данные пограничного сервера аудио- и видеоданных

Внешние данные пограничного сервера аудио- и видеоданных

Любой

UDP и TCP

Любой

Любой

Не выполнять проверку подлинности

Входящие данные сервера-посредника

Любой

Посредник

Серверы

UDP и TCP

Любой

Любой

Не выполнять проверку подлинности

Исходящие данные сервера-посредника

Посредник

Серверы

Любой

UDP и TCP

Любой

Любой

Не выполнять проверку подлинности

Входящие данные помощника по конференц-связи

Любой

Интерфейсный сервер с помощником по конференц-связи

UDP и TCP

Любой

Любой

Не выполнять проверку подлинности

Исходящие данные помощника по конференц-связи

Интерфейсный сервер с помощником по конференц-связи

Любой

UDP и TCP

Любой

Любой

Не выполнять проверку подлинности

Входящие данные аудио- и видеоконференций

Любой

Серверы переднего плана

UDP и TCP

Любой

Любой

Не выполнять проверку подлинности

Исходящие данные аудио- и видеоконференций

Серверы переднего плана

Любой

UDP и TCP

Любой

Любой

Не выполнять проверку подлинности

Входящие данные Exchange

Любой

Единая система обмена сообщениями Exchange

UDP и TCP

Любой

Любой

Не выполнять проверку подлинности

Входящие данные серверов совместного использования приложений

Любой

Серверы совместного использования приложений

TCP

Любой

Любой

Не выполнять проверку подлинности

Исходящие данные серверов совместного использования приложений

Серверы совместного использования приложений

Любой

TCP

Любой

Любой

Не выполнять проверку подлинности

Исходящие данные Exchange

Единая система обмена сообщениями Exchange

Любой

UDP и TCP

Любой

Любой

Не выполнять проверку подлинности

Клиенты

Любой

Любой

UDP

Указанный диапазон портов мультимедиа

Любой

Не выполнять проверку подлинности

Сводные данные по портам предоставляются в следующих темах:

 
Показ: