Требования к портам и протоколам для серверов
Сводка. Ознакомьтесь с рекомендациями по использованию портов перед внедрением Skype для бизнеса Server.
Skype для бизнеса Server требуется, чтобы на внешних и внутренних брандмауэрах были открыты определенные порты. Кроме того, если в организации развернут протокол IPsec, то он должен быть отключен в диапазоне портов, используемых для доставки звука, видео и панорамного видео.
Хотя это может показаться немного пугающим, тяжелый подъем для планирования этого можно сделать с помощью средства планирования Skype для бизнеса Server 2015 года. После того как вы изучите вопросы мастера о функциях, которые вы планируете использовать, для каждого сайта, который вы определяете, вы можете просмотреть отчет о брандмауэре в отчете edge Администратор и использовать приведенные там сведения для создания правил брандмауэра. Вы можете также внести корректировки в используемые имена и IP-адреса. Подробнее см. Просмотр отчета по брандмауэру. Отчет администратора пограничного сервера можно экспортировать в электронную таблицу Excel. При этом отчет по брандмауэру будет находиться на одном из листов этого файла.
Сведения в этих таблицах можно найти в виде диаграммы, просмотрив плакат "Рабочие нагрузки протокола", связанный со статьей Технические схемы для Skype для бизнеса Server 2015 г.
Примечание.
- Если вы реализуете Skype для бизнеса Online (Microsoft 365 или Office 365), обратитесь к Microsoft 365 и Office 365 URL-адресам и диапазонам IP-адресов. При создании гибридной среды необходимо воспользоваться этим разделом, а также статьей Планирование гибридного подключения.
- Вы можете использовать аппаратный или программный брандмауэр. Нам не требуются определенные модели или версии. Важно, какие порты добавляются в список разрешений, чтобы брандмауэр не ухудшил работу Skype для бизнеса Server.
Сведения о портах и протоколах
В этом разделе приводится обзор портов и протоколов, используемых серверами, балансировщиками нагрузки и клиентами в развертывании Skype для бизнеса Server.
Примечание.
При запуске Skype для бизнеса Server в брандмауэре Windows открываются необходимые порты. Брандмауэр Windows уже должен быть запущен для большинства обычных приложений, но если он не используется, Skype для бизнеса Server будет работать без него.
Сведения о настройке брандмауэра для пограничных компонентов см. в статье Варианты пограничных серверов в Skype для бизнеса Server 2015.
В следующей таблице приводится список портов, которые должны быть открыты для каждой роли внутреннего сервера.
Необходимые порты сервера (по ролям сервера)
| Роль сервера | Имя службы | Порт | Протокол | Notes |
|---|---|---|---|---|
| Все серверы | Браузер SQL | 1434 | UDP | Браузер SQL для локальной реплицированной копии базы данных центрального хранилища управления. |
| серверы Front-End | Служба переднего плана Skype для бизнеса Server | 5060 | TCP | При необходимости используется для статических маршрутов к доверенным службам серверами Standard Edition и серверами переднего плана, например серверами удаленного управления звонками. |
| Серверы переднего плана | Служба переднего плана Skype для бизнеса Server | 5061 | TCP (TLS) | Используется серверами Standard Edition и серверами переднего плана для всех внутренних SIP-соединений между серверами (MTLS), для SIP-соединений между сервером и клиентом (TLS) и для SIP-соединений между серверами переднего плана и серверами-посредниками (MTLS). Также используется для соединений с сервером мониторинга. |
| Серверы переднего плана | Служба переднего плана Skype для бизнеса Server | 444 | HTTPS TCP |
Используется для HTTPS-соединений между Focus (компонентом Skype для бизнеса Server, который управляет состоянием конференции) и отдельными серверами. Этот порт также используется для TCP-соединений между устройствами для обеспечения связи в филиалах и серверами переднего плана. |
| Серверы переднего плана | Служба переднего плана Skype для бизнеса Server | 135 | DCOM и удаленный вызов процедур (RPC) | Используется для операций на базе DCOM, таких как перемещение пользователей, синхронизация репликаторов пользовательских данных и адресных книг. |
| Серверы переднего плана | Служба конференций с обменом мгновенными сообщениями Skype для бизнеса Server | 5062 | TCP | Используется для входящих SIP-запросов в конференц-связи с использованием обмена мгновенными сообщениями. |
| Серверы переднего плана | Служба веб-конференций Skype для бизнеса Server | 8057 | TCP (TLS) | Используется для прослушивания подключений по протоколу PSOM от клиента. |
| Серверы переднего плана | Служба совместимости веб-конференций Skype для бизнеса Server | 8058 | TCP (TLS) | Используется для прослушивания подключений по протоколу PSOM от клиента Live Meeting и предыдущих версий Используется для прослушивания подключений по протоколу PSOM от клиента Live Meeting и предыдущих версий Skype для бизнеса Server. |
| Серверы переднего плана | Служба аудио- и видеоконференций Skype для бизнеса Server | 5063 | TCP | Используется для входящих SIP-запросов на аудио- и видеоконференции. |
| Серверы переднего плана | Служба аудио- и видеоконференций Skype для бизнеса Server | 57501-65535 | TCP/UDP | Диапазон портов, используемых для видеоконференций. |
| Серверы переднего плана | Веб-служба совместимости Skype для бизнеса Server | 80 | HTTP | Используется для подключений от серверов переднего плана к полным доменным именам в веб-ферме (URL-адреса используются по веб-компонентам IIS), когда не используется HTTPS. |
| Серверы переднего плана | Веб-служба совместимости Skype для бизнеса Server | 443 | HTTPS | Используется для подключений от серверов переднего плана к полным доменным именам в веб-ферме (URL-адреса используются по веб-компонентам IIS). |
| Серверы переднего плана | Веб-служба совместимости Skype для бизнеса Server | 8080 | TCP и HTTP | Используется веб-компонентами для внешнего доступа. |
| Серверы переднего плана | Компонент веб-сервера | 4443 | HTTPS | Связь по протоколу HTTPS (от обратного прокси-сервера) и по протоколу HTTPS между пулами переднего плана для автообнаружения входа. |
| Серверы переднего плана | Компонент веб-сервера | 8060 | TCP (MTLS) | |
| Серверы переднего плана | Компонент веб-сервера | 8061 | TCP (MTLS) | |
| Серверы переднего плана | Компонент служб Mobility Services | 5086 | TCP (MTLS) | SIP-порт, используемый внутренними процессами служб Mobility Services. |
| Серверы переднего плана | Компонент служб Mobility Services | 5087 | TCP (MTLS) | SIP-порт, используемый внутренними процессами служб Mobility Services. |
| Серверы переднего плана | Компонент служб Mobility Services | 443 | HTTPS | |
| Серверы переднего плана | Служба помощника по конференц-связи Skype для бизнеса Server (конференц-связь с телефонным подключением) | 5064 | TCP | Используется для входящих SIP-запросов для конференц-связи с телефонным подключением. |
| Серверы переднего плана | Служба помощника по конференц-связи Skype для бизнеса Server (конференц-связь с телефонным подключением) | 5072 | TCP | Используется для входящих SIP-запросов для помощника по конференц-связи" (с телефонным подключением). |
| Серверы переднего плана, на которых также работает совмещенный сервер-посредник | Служба посредника Skype для бизнеса Server | 5070 | TCP | Используется сервером-посредником для входящих запросов от сервера переднего плана к серверу посреднику. |
| Серверы переднего плана, на которых также работает соотнесенный сервер-посредник | Служба посредника Skype для бизнеса Server | 5067 | TCP (TLS) | Используется для входящих SIP-запросов от шлюза ТСОП к серверу-посреднику. |
| Серверы переднего плана, на которых также работает соотнесенный сервер-посредник | Служба посредника Skype для бизнеса Server | 5068 | TCP | Используется для входящих SIP-запросов от шлюза ТСОП к серверу-посреднику. |
| Серверы переднего плана, на которых также работает соотнесенный сервер-посредник | Служба посредника Skype для бизнеса Server | 5081 | TCP | Используется для исходящих SIP-запросов от сервера-посредника к шлюзу ТСОП. |
| Серверы переднего плана, на которых также работает соотнесенный сервер-посредник | Служба посредника Skype для бизнеса Server | 5082 | TCP (TLS) | Используется для исходящих SIP-запросов от сервера-посредника к шлюзу ТСОП. |
| Серверы переднего плана | Служба общего доступа к приложениям Skype для бизнеса Server | 5065 | TCP | Используется для входящих SIP-запросов на прослушивание для общего доступа к приложению. |
| Серверы переднего плана | Служба общего доступа к приложениям Skype для бизнеса Server | 49152-65535 | TCP | Диапазон портов, используемых для общего доступа к приложению. |
| Серверы переднего плана | Служба оповещения для конференц-связи Skype для бизнеса Server | 5073 | TCP | Используется для входящих SIP-запросов для службы оповещения для конференц-связи Skype для бизнеса Server (то есть для конференц-связи с телефонным подключением). |
| Серверы переднего плана | Служба парковки вызовов Skype для бизнеса Server | 5075 | TCP | Используется для входящих SIP-запросов для приложения парковки вызовов. |
| Серверы переднего плана | Служба проверки аудиосвязи Skype для бизнеса Server | 5076 | TCP | Используется для входящих SIP-запросов для службы проверки аудиосвязи. |
| Серверы переднего плана | Неприменимо | 5066 | TCP | Используется для исходящего трафика в шлюзе службы Enhanced 9-1-1 (E9-1-1). |
| Серверы переднего плана | Служба группы ответов Skype для бизнеса Server | 5071 | TCP | Используется для входящих SIP-запросов для приложения группы ответа. |
| Серверы переднего плана | Служба группы ответов Skype для бизнеса Server | 8404 | TCP (MTLS) | Используется для входящих SIP-запросов для приложения группы ответа. |
| Серверы переднего плана | Служба политики пропускной способности Skype для бизнеса Server | 5080 | TCP | Используется для контроля допуска звонков, осуществляемого службой политики пропускной способности в отношении пограничного аудио-/видео-трафика "TURN". |
| Серверы переднего плана | Доступ к серверу общих файловых ресурсов Skype для бизнеса Server | 445 | SMB/TCP | Используется для получения адресной книги, содержимого собраний и других элементов, хранящихся на сервере общих файловых ресурсов. |
| Серверы переднего плана | Служба политики пропускной способности Skype для бизнеса Server | 448 | TCP | Используется для контроля допуска звонков со стороны службы политики пропускной способности Skype для бизнеса Server. |
| Серверы переднего плана, на которых находится центральное хранилище управления | Служба агента главного репликатора Skype для бизнеса Server | 445 | TCP | Используется для принудительной передачи данных настройки из центрального хранилища управления на серверы Skype для бизнеса Server. |
| Все серверы | Браузер SQL | 1434 | UDP | Браузер SQL для локальной реплицированной копии данных сервера центрального хранилища управления в локальном экземпляре SQL Server |
| Все внутренние серверы | Разное | 49152-57500 | TCP/UDP | Диапазон портов, используемых для аудиоконференций на всех внутренних серверах. Используется всеми серверами, выполняющими роль конечных точек для аудиосвязи: серверами переднего плана (для службы помощника по конференц-связи Skype для бизнеса Server, службы оповещения для конференц-связи Skype для бизнеса Server и службы аудио- и видеоконференций Skype для бизнеса Server) и сервером-посредником. |
| Серверы Office Web Apps | 443 | Используется сервером Skype для бизнеса Server для подключения к серверу Office Web Apps. | ||
| Директоры | Служба переднего плана Skype для бизнеса Server | 5060 | TCP | При необходимости используется для статических маршрутов к доверенным службам, таким как серверы удаленного управления звонками. |
| Директоры | Служба переднего плана Skype для бизнеса Server | 444 | HTTPS TCP |
Обмен данными между сервером переднего плана и сервером директора. Также публикация клиентских сертификатов (на серверах переднего плана) и их проверка, если они уже опубликованы. |
| Директоры | Веб-служба совместимости Skype для бизнеса Server | 80 | TCP | Используется для исходного подключения от директоров к полным доменным именам в веб-ферме (URL-адреса используются по веб-компонентам IIS). При обычной работе происходит переключение на трафик HTTPS с использованием порта 443 и протокола TCP. |
| Директоры | Веб-служба совместимости Skype для бизнеса Server | 443 | HTTPS | Используется для подключения от директоров к полным доменным именам в веб-ферме (URL-адреса используются по веб-компонентам IIS). |
| Директоры | Служба переднего плана Skype для бизнеса Server | 5061 | TCP | Используется для внутренних подключений между серверами и для клиентских подключений. |
| Серверы-посредники | Служба посредника Skype для бизнеса Server | 5070 | TCP | Используется сервером-посредником для входящих запросов от сервера переднего плана. |
| Серверы-посредники | Служба посредника Skype для бизнеса Server | 5067 | TCP (TLS) | Используется для входящих SIP-запросов от шлюза ТСОП. |
| Серверы-посредники | Служба посредника Skype для бизнеса Server | 5068 | TCP | Используется для входящих SIP-запросов от шлюза ТСОП. |
| Серверы-посредники | Служба посредника Skype для бизнеса Server | 5070 | TCP (MTLS) | Используется для SIP-запросов от серверов переднего плана. |
| Сервер переднего плана сохраняемого чата | SIP-запрос сохраняемого чата | 5041 | TCP (MTLS) | |
| Сервер переднего плана сохраняемого чата | Платформа Windows Communication Foundation (WCF) для сохраняемого чата | 881 | TCP (TLS) и TCP (MTLS) | |
| Сервер переднего плана сохраняемого чата | Служба передачи файлов для сохраняемого чата | 443 | TCP (TLS) |
Примечание.
Для некоторых сценариев с удаленным управлением звонками требуется TCP-соединение между сервером переднего плана или директором и УАТС. Хотя в Skype для бизнеса Server TCP-порт 5060 больше не используется, при развертывании удаленного управления звонками создается конфигурация доверенного сервера, где полное доменное имя сервера линии RCC связывается с TCP-портом, который будет использоваться сервером переднего плана или директором для подключения к УАТС. Дополнительные сведения см. в описании командлета CsTrustedApplicationComputer в документации командной консоли Skype для бизнеса Server.
Для пулов, использующих только аппаратную балансировку нагрузки (без балансировки нагрузки на DNS), в следующей таблице представлены порты, которые должны быть открыты на аппаратных балансировщиках нагрузки.
Порты аппаратного балансировщика нагрузки при использовании только аппаратной балансировки нагрузки
| Балансировщик нагрузки | Порт | Протокол |
|---|---|---|
| Балансировщик нагрузки сервера переднего плана | 5061 | TCP (TLS) |
| Балансировщик нагрузки сервера переднего плана | 444 | HTTPS |
| Балансировщик нагрузки сервера переднего плана | 135 | DCOM и удаленный вызов процедур (RPC) |
| Балансировщик нагрузки сервера переднего плана | 80 | HTTP |
| Балансировщик нагрузки сервера переднего плана | 8080 | TCP — получение клиентом и устройством корневого сертификата с сервера переднего плана, клиенты и устройства проходят проверку подлинности NTLM |
| Балансировщик нагрузки сервера переднего плана | 443 | HTTPS |
| Балансировщик нагрузки сервера переднего плана | 4443 | HTTPS (от обратного прокси-сервера) |
| Балансировщик нагрузки сервера переднего плана | 5072 | TCP |
| Балансировщик нагрузки сервера переднего плана | 5073 | TCP |
| Балансировщик нагрузки сервера переднего плана | 5075 | TCP |
| Балансировщик нагрузки сервера переднего плана | 5076 | TCP |
| Балансировщик нагрузки сервера переднего плана | 5071 | TCP |
| Балансировщик нагрузки сервера переднего плана | 5080 | TCP |
| Балансировщик нагрузки сервера переднего плана | 448 | TCP |
| Балансировщик нагрузки сервера-посредника | 5070 | TCP |
| Балансировщик нагрузки на сервере переднего плана (если в пуле также работает сервер-посредник) | 5070 | TCP |
| Балансировщик нагрузки директора | 443 | HTTPS |
| Балансировщик нагрузки директора | 444 | HTTPS |
| Балансировщик нагрузки директора | 5061 | TCP |
| Балансировщик нагрузки директора | 4443 | HTTPS (от обратного прокси-сервера) |
В пулах переднего плана и пулах директоров, использующих балансировку нагрузки на DNS, также должны быть развернуты аппаратные балансировщики нагрузки. В следующей таблице показаны порты, которые должны быть открыты на этих аппаратных балансировщиках нагрузки.
Порты аппаратного балансировщика нагрузки при использовании балансировки нагрузки на DNS
| Балансировщик нагрузки | Порт | Протокол |
|---|---|---|
| Балансировщик нагрузки сервера переднего плана | 80 | HTTP |
| Балансировщик нагрузки сервера переднего плана | 443 | HTTPS |
| Балансировщик нагрузки сервера переднего плана | 8080 | TCP — получение клиентом и устройством корневого сертификата с сервера переднего плана, клиенты и устройства проходят проверку подлинности NTLM |
| Балансировщик нагрузки сервера переднего плана | 4443 | HTTPS (от обратного прокси-сервера) |
| Балансировщик нагрузки директора | 443 | HTTPS |
| Балансировщик нагрузки директора | 4443 | HTTPS (от обратного прокси-сервера) |
Необходимые порты клиента
| Компонент | Порт | Протокол | Notes |
|---|---|---|---|
| Клиенты | 67/68 | DHCP | Используется в Skype для бизнеса Server для поиска полного доменного имени регистратора (если DNS-запись SRV отсутствует, а вручную параметры не заданы). |
| Клиенты | 443 | TCP (TLS) | Используется для SIP-трафика от клиента к серверу для доступа внешних пользователей. |
| Клиенты | 443 | TCP (PSOM/TLS) | Используется для доступа внешних пользователей к сеансам веб-конференций. |
| Клиенты | 443 | TCP (STUN/MSTURN) | Используется для доступа внешних пользователей к аудио- и видеосеансам и сеансам мультимедиа (TCP) |
| Клиенты | 3478 | UDP (STUN/MSTURN) | Используется для доступа внешних пользователей к аудио- и видеосеансам и сеансам мультимедиа (UDP) |
| Клиенты | 5061 | TCP (MTLS) | Используется для SIP-трафика от клиента к серверу для доступа внешних пользователей. |
| Клиенты | 6891–6901 | TCP | Используется для передачи файлов между клиентами Skype для бизнеса и предыдущими клиентами. |
| Клиенты | 1024-65535 * | TCP/UDP | Диапазон портов для передачи аудио (требуется минимум 20 портов). |
| Клиенты | 1024-65535 * | TCP/UDP | Диапазон портов для передачи видео (требуется минимум 20 портов). |
| Клиенты | 1024-65535 * | TCP | Одноранговая передача файлов (для передачи файлов во время конференций клиенты используют протокол PSOM). |
| Клиенты | 1024-65535 * | TCP | Общий доступ к приложениям. |
| Телефон общего пользования Aastra 6721ip Стационарный телефон Aastra 6725ip IP-телефон HP 4110 (телефон общего пользования) IP-телефон HP 4120 (стационарный телефон) IP-телефон общего доступа Polycom CX500 Стационарный IP-телефон Polycom CX600 Стационарный IP-телефон Polycom CX700 Телефон для IP-конференций Polycom CX3000 |
67/68 | DHCP | Используется перечисленными устройствами для поиска сертификата Skype для бизнеса Server, подготовки полных доменных имен и поиска полного доменного имени регистратора. |
* Чтобы настроить определенные порты для этих типов мультимедиа, используйте командлет CsConferencingConfiguration (параметры ClientMediaPortRangeEnabled, ClientMediaPort и ClientMediaPortRange).
Примечание.
Программы установки для клиентов Skype для бизнеса автоматически создают на клиентском компьютере необходимые исключения брандмауэра операционной системы.
Примечание.
Порты, используемые для доступа внешних пользователей, требуются для любого сценария, где клиент должен преодолевать брандмауэр организации (например, для любых внешних коммуникаций или собраний, размещаемых другими организациями).
Исключения IPsec
Для корпоративных сетей, где развернут протокол IPSec (см. документ IETF RFC 4301-4309), необходимо отключить IPSec для диапазона портов, используемых для доставки аудио, видео и панорамного видео. Это связано с необходимостью избежать каких-либо задержек при распределении портов мультимедиа из-за согласования IPsec.
В следующей таблице описаны рекомендуемые исключения IPsec.
Рекомендуемые исключения IPsec
| Имя правила | Исходный IP-адрес | Конечный IP-адрес | Протокол | Исходный порт | Конечный порт | Требование проверки подлинности |
|---|---|---|---|---|---|---|
| Внутренние входящие данные пограничного сервера аудио- и видеоданных | Любой | Внутренние данные пограничного сервера аудио- и видеоданных | UDP и TCP | Любой | Любой | Не проходить проверку подлинности |
| Внешние входящие данные пограничного сервера аудио- и видеоданных | Любой | Внешние данные пограничного сервера аудио- и видеоданных | UDP и TCP | Любой | Любой | Не проходить проверку подлинности |
| Внутренние исходящие данные пограничного сервера аудио- и видеоданных | Внутренние данные пограничного сервера аудио- и видеоданных | Любой | UDP & TCP | Любой | Любой | Не проходить проверку подлинности |
| Внешние исходящие данные пограничного сервера аудио- и видеоданных | Внешние данные пограничного сервера аудио- и видеоданных | Любой | UDP и TCP | Любой | Любой | Не проходить проверку подлинности |
| Входящие данные сервера-посредника | Любой | Серверы- посредники |
UDP и TCP | Любой | Любой | Не проходить проверку подлинности |
| Исходящие данные сервера-посредника | Серверы- посредники |
Любой | UDP и TCP | Любой | Любой | Не проходить проверку подлинности |
| Входящие данные помощника по конференц-связи | Любой | Сервер переднего плана с помощником по конференц-связи | UDP и TCP | Любой | Любой | Не проходить проверку подлинности |
| Исходящие данные помощника по конференц-связи | Сервер переднего плана с помощником по конференц-связи | Любой | UDP и TCP | Любой | Любой | Не проходить проверку подлинности |
| Входящие данные аудио- и видеоконференций | Любой | Серверы переднего плана | UDP и TCP | Любой | Любой | Не проходить проверку подлинности |
| Исходящие данные аудио- и видеоконференций | Серверы переднего плана | Любой | UDP и TCP | Любой | Любой | Не проходить проверку подлинности |
| Входящие данные Exchange | Любой | Единая система обмена сообщениями Exchange | UDP и TCP | Любой | Любой | Не проходить проверку подлинности |
| Входящие данные серверов совместного использования приложений | Любой | Серверы совместного использования приложений | TCP | Любой | Любой | Не проходить проверку подлинности |
| Исходящие данные серверов совместного использования приложений | Серверы совместного использования приложений | Любой | TCP | Любой | Любой | Не проходить проверку подлинности |
| Исходящие данные Exchange | Единая система обмена сообщениями Exchange | Любой | UDP и TCP | Любой | Любой | Не проходить проверку подлинности |
| Клиенты | Любой | Любой | UDP | Указанный диапазон портов мультимедиа | Любой | Не проходить проверку подлинности |