Partager via


Résumé des ports - Serveur Edge consolidé mis à l’échelle avec des équilibreurs de charge matérielle dans Lync Server 2013

 

Rubrique Dernière modification : 2015-04-27

La fonctionnalité Lync Server 2013, Edge Server décrite dans cette architecture de scénario est très similaire à ce qui a été implémenté dans Lync Server 2010. L’ajout le plus notable est le port 5269 sur l’entrée TCP pour le protocole XMPP (Extensible Messaging and Presence Protocol). Lync Server 2013 déploie éventuellement un proxy XMPP sur le pool Edge Server ou Edge et le serveur de passerelle XMPP sur le serveur frontal ou le pool frontal.

En plus d’IPv4, le serveur Edge prend désormais en charge IPv6. Pour plus de clarté, seul IPv4 est utilisé dans les scénarios.

Edge consolidé mis à l’échelle à l’aide de l’équilibrage de charge matérielle

Ports et protocoles réseau de périmètre de serveur Edge

Détails sur les ports et protocoles

Il est recommandé d’ouvrir uniquement les ports nécessaires pour prendre en charge les fonctionnalités pour lesquelles vous fournissez un accès externe.

Pour que l’accès à distance fonctionne pour n’importe quel service edge, il est obligatoire que le trafic SIP soit autorisé à circuler bidirectionnellement, comme indiqué dans l’illustration du trafic périphérique entrant/sortant. Autrement dit, la messagerie SIP vers et depuis le service Access Edge est impliquée dans la messagerie instantanée, la présence, la conférence web, l’audio/vidéo (A/V) et la fédération.

Résumé du pare-feu pour la périphérie consolidée mise à l’échelle, équilibrage de la charge matérielle : interface externe – Nœud 1 et nœud 2 (exemple)

Role/Protocol/TCP ou UDP/Port Adresse IP source Adresse IP de destination Remarques

Access/HTTP/TCP/80

Adresse IP publique du service Edge Access Server

Indifférente

Révocation de certificat/vérification et récupération de la liste de révocation de certificats

Access/DNS/TCP/53

Adresse IP publique du service Edge Access Server

Indifférente

Requête DNS sur TCP

Access/DNS/UDP/53

Adresse IP publique du service Edge Access Server

Indifférente

Requête DNS sur UDP

A/V/RTP/TCP/50 000-59 999

Adresse IP du service Edge Edge A/V

Indifférente

Requis pour la fédération avec des partenaires exécutant Office Communications Server 2007, Office Communications Server 2007 R2, Lync Server 2010 et Lync Server 2013.

A/V/RTP/UDP/50 000-59 999

Adresse IP publique du service Edge Edge A/V Edge

Indifférente

Obligatoire uniquement pour la fédération avec des partenaires exécutant Office Communications Server 2007.

A/V/RTP/TCP/50 000-59 999

Indifférente

Adresse IP publique du service Edge Edge A/V Edge

Obligatoire uniquement pour la fédération avec des partenaires exécutant Office Communications Server 2007

A/V/RTP/UDP/50 000-59 999

Indifférente

Adresse IP publique du service Edge Edge A/V Edge

Obligatoire uniquement pour la fédération avec des partenaires exécutant Office Communications Server 2007

A/V/STUN,MSTURN/UDP/3478

Adresse IP publique du service Edge Edge A/V Edge

Indifférente

Le trafic sortant 3478 est utilisé pour déterminer la version du serveur Edge avec laquelle Lync Server communique, ainsi que pour le trafic multimédia entre le serveur Edge et le serveur Edge. Requis pour la fédération avec Lync Server 2010, Windows Live Messenger et Office Communications Server 2007 R2, ainsi que si plusieurs pools Edge sont déployés au sein d’une entreprise.

A/V/STUN,MSTURN/UDP/3478

Indifférente

Adresse IP publique du service Edge Edge A/V Edge

Négociation STUN/TURN des candidats sur UDP/3478

A/V/STUN,MSTURN/TCP/443

Indifférente

Adresse IP publique du service Edge Edge A/V Edge

Négociation STUN/TURN des candidats sur TCP/443

A/V/STUN,MSTURN/TCP/443

Adresse IP publique du service Edge Edge A/V Edge

Indifférente

Négociation STUN/TURN des candidats sur TCP/443

Résumé du pare-feu pour la périphérie consolidée mise à l’échelle, équilibrage de la charge matérielle : nœud d’interface interne 1 et nœud 2

Role/Protocol/TCP ou UDP/Port Adresse IP source Adresse IP de destination Remarques

XMPP/MTLS/TCP/23456

N’importe lequel (peut être défini comme adresse serveur frontale ou adresse IP virtuelle du pool frontal exécutant le service de passerelle XMPP)

Interface interne du serveur Edge

Trafic XMPP sortant à partir du service de passerelle XMPP exécuté sur le serveur frontal ou le pool frontal

HTTPS/TCP/4443

N’importe lequel (peut être défini comme l’adresse IP ou le pool du serveur frontal qui contient le magasin de gestion centrale)

Interface interne du serveur Edge

Réplication des modifications du magasin de gestion centrale vers le serveur Edge

PSOM/MTLS/TCP/8057

N’importe lequel (peut être défini comme adresse IP du directeur, adresse IP du serveur frontal ou adresse IP virtuelle de pool)

Interface interne du serveur Edge

Trafic de conférence web entre le déploiement interne et l’interface interne du serveur Edge

STUN/MSTURN/UDP/3478

N’importe lequel (peut être défini comme adresse IP du directeur, adresse IP du serveur frontal ou adresse IP virtuelle de pool)

Interface interne du serveur Edge

Chemin d’accès préféré pour le transfert multimédia A/V entre les utilisateurs internes et externes, Survivable Branch Appliance ou Survivable Branch Server

STUN/MSTURN/TCP/443

N’importe lequel (peut être défini comme adresse IP du directeur, adresse IP du serveur frontal ou adresse IP virtuelle de pool)

Interface interne du serveur Edge

Chemin de secours pour le transfert de média A/V entre les utilisateurs internes et externes, Survivable Branch Appliance ou Survivable Branch Server si la communication UDP ne peut pas être établie, TCP est utilisé pour le transfert de fichiers et le partage de bureau

MTLS/TCP/50001

Indifférente

Interface interne du serveur Edge

Contrôleur de service de journalisation centralisé à l’aide de Lync Server Management Shell et d’applets de commande de service de journalisation centralisée, de ligne de commande ClsController (ClsController.exe) ou de commandes d’agent (ClsAgent.exe) et de collecte des journaux

MTLS/TCP/50002

Indifférente

Interface interne du serveur Edge

Contrôleur de service de journalisation centralisé à l’aide de Lync Server Management Shell et d’applets de commande de service de journalisation centralisée, de ligne de commande ClsController (ClsController.exe) ou de commandes d’agent (ClsAgent.exe) et de collecte des journaux

MTLS/TCP/50003

Indifférente

Interface interne du serveur Edge

Contrôleur de service de journalisation centralisé à l’aide de Lync Server Management Shell et d’applets de commande de service de journalisation centralisée, de ligne de commande ClsController (ClsController.exe) ou de commandes d’agent (ClsAgent.exe) et de collecte des journaux

Les équilibreurs de charge matériels ont des exigences spécifiques lorsqu’ils sont déployés pour fournir la disponibilité et l’équilibrage de charge pour Lync Server. Les exigences sont définies dans la figure et les tableaux suivants. Les fournisseurs tiers peuvent utiliser une terminologie différente pour les exigences définies ici. Il sera nécessaire de mapper les exigences de Lync Server aux fonctionnalités et options de configuration fournies par votre fournisseur d’équilibreur de charge matériel.

Lorsque vous configurez des équilibreurs de charge matériels, tenez compte des exigences suivantes :

  • La traduction d’adresses réseau source (SNAT) peut être configurée sur l’équilibreur de charge matériel (HLB) pour le service Access Edge et le service Edge de conférence web

  • SNAT ne peut pas être configuré sur le service Edge A/V : le service Edge A/V doit répondre avec l’adresse de serveur réelle, et non avec l’adresse IP virtuelle HLB (VIP), pour que la traversée simple d’UDP via NAT (STUN)/traversal à l’aide du relais NAT (TURN)/federation TURN (FTURN) fonctionne correctement

    • Si le client envoie une demande au HLB, la réponse doit revenir de l’adresse IP virtuelle HLB

    • Si le client envoie une requête à Edge, la réponse doit revenir à partir de l’adresse IP Edge

  • Les adresses IP publiques sont utilisées sur chaque interface serveur et sur les adresses IP virtuelles du HLB, et vos exigences d’adresse IP publique sont N+1, où il existe une adresse IP publique pour chaque interface serveur réelle et une pour chaque adresse IP virtuelle HLB. Lorsque vous avez 2 serveurs Edge dans le pool, cela entraîne 9 adresses IP publiques, où 3 sont utilisées pour les adresses IP virtuelles HLB, et une pour chaque interface serveur Edge (un total de six pour les serveurs)

  • Pour le service Access Edge et le service Edge de conférence web, (et à l’aide de NAT sur le HLB), le client contacte l’adresse IP virtuelle, l’adresse IP source du client est modifiée par sa propre adresse IP. L’interface serveur adresse l’adresse de retour à l’adresse IP virtuelle, l’adresse IP virtuelle modifie l’adresse source à partir de l’adresse IP de l’interface serveur et envoie le paquet au client

  • Pour le service Edge A/V, l’adresse IP virtuelle ne doit PAS modifier l’adresse IP source et l’adresse du serveur réel est retournée directement au client . Vous ne pouvez pas configurer NAT sur l’équilibrage de charge réseau pour le trafic AV

    • Si le client envoie une demande à l’adresse IP virtuelle HLB, la réponse doit revenir de l’adresse IP virtuelle HLB

    • Si le client envoie une requête à l’adresse IP edge, la réponse doit revenir de l’adresse IP Edge

  • Pour AV, le pare-feu externe conserve l’adresse IP publique du serveur réel pour tous les paquets

  • Une fois établie, la communication entre le service edge A/V et le client est vers le serveur réel, et non avec l’équilibrage de charge réseau

  • La périphérie interne vers des serveurs et des clients internes doit être routée, et les itinéraires persistants sont définis pour tous les réseaux internes qui hébergent des serveurs ou des clients

  • L’adresse IP virtuelle du service HLB Access Edge servira de passerelle par défaut pour chaque interface serveur Edge

Remarque

Pour plus d’informations sur la planification et les fonctionnalités NAT, reportez-vous aux exigences de l’équilibreur de charge matériel pour Lync Server 2013.

Détails sur les ports et protocoles edge Server et les

Paramètres de port externe requis pour la périphérie consolidée mise à l’échelle, équilibrage de la charge matérielle : adresses IP virtuelles d’interface externe

Role/Protocol/TCP ou UDP/Port Adresse IP source Adresse IP de destination Remarques

XMPP/TCP/5269

Indifférente

Service proxy XMPP (partage l’adresse IP avec le service Access Edge)

Le service proxy XMPP accepte le trafic provenant de contacts XMPP dans les fédérations XMPP définies

XMPP/TCP/5269

Service proxy XMPP (partage l’adresse IP avec le service Access Edge)

Indifférente

Le service proxy XMPP envoie le trafic aux contacts XMPP dans les fédérations XMPP définies

Access/SIP(TLS)/TCP/443

Indifférente

Adresse IP virtuelle publique du service Access Edge

Trafic SIP client à serveur pour l’accès utilisateur externe

Access/SIP(MTLS)/TCP/5061

Indifférente

Adresse IP virtuelle publique du service Access Edge

Signalisation SIP, connectivité par messagerie instantanée fédérée et publique à l’aide de SIP

Access/SIP(MTLS)/TCP/5061

Adresse IP virtuelle publique du service Access Edge

Partenaire fédéré

Signalisation SIP, connectivité par messagerie instantanée fédérée et publique à l’aide de SIP

Conférence web/PSOM(TLS)/TCP/443

Indifférente

Adresse IP virtuelle publique du service Edge de conférence web Edge

Média de conférence web

A/V/STUN,MSTURN/UDP/3478

Indifférente

Adresse IP virtuelle publique du service Edge Edge A/V

Négociation STUN/TURN des candidats sur UDP/3478

A/V/STUN,MSTURN/TCP/443

Indifférente

Adresse IP virtuelle publique du service Edge Edge A/V

Négociation STUN/TURN des candidats sur TCP/443

Résumé du pare-feu pour edge consolidé mis à l’échelle, équilibrage de la charge matérielle : adresses IP virtuelles d’interface interne

Role/Protocol/TCP ou UDP/Port Adresse IP source Adresse IP de destination Remarques

Access/SIP(MTLS)/TCP/5061

Tout (peut être défini en tant qu’adresse IP virtuelle du directeur, du pool d’administrateurs, du serveur frontal ou du pool frontal)

Interface IP virtuelle interne du serveur Edge

Trafic SIP sortant (du directeur, de l’adresse IP virtuelle du pool d’administrateurs, du serveur frontal ou de l’adresse IP virtuelle du pool frontal) vers l’adresse IP virtuelle de périphérie interne

Access/SIP(MTLS)/TCP/5061

Interface IP virtuelle interne du serveur Edge

Tout (peut être défini en tant qu’adresse IP virtuelle du directeur, du pool d’administrateurs, du serveur frontal ou du pool frontal)

Trafic SIP entrant (vers le directeur, l’adresse IP virtuelle du pool d’administrateurs, le serveur frontal ou l’adresse IP virtuelle du pool frontal) à partir de l’interface interne du serveur Edge

SIP/MTLS/TCP/5062

Tout (peut être défini comme adresse IP du serveur frontal, ou adresse IP du pool frontal ou n’importe quelle appliance survivable Branch appliance ou Survivable Branch Server à l’aide de ce serveur Edge)

Interface IP virtuelle interne du serveur Edge

Authentification des utilisateurs A/V (service d’authentification A/V) à partir du serveur frontal ou de l’adresse IP du pool frontal ou de n’importe quelle appliance survivable Branch Appliance ou Survivable Branch Server à l’aide de ce serveur Edge

STUN/MSTURN/UDP/3478

Indifférente

Interface IP virtuelle interne du serveur Edge

Chemin d’accès préféré pour le transfert multimédia A/V entre les utilisateurs internes et externes

STUN/MSTURN/TCP/443

Indifférente

Interface IP virtuelle interne du serveur Edge

Chemin de secours pour le transfert de média A/V entre des utilisateurs internes et externes si la communication UDP ne peut pas être établie, TCP est utilisé pour le transfert de fichiers et le partage de bureau

STUN/MSTURN/TCP/443

Interface IP virtuelle interne du serveur Edge

Indifférente

Chemin de secours pour le transfert de média A/V entre des utilisateurs internes et externes si la communication UDP ne peut pas être établie, TCP est utilisé pour le transfert de fichiers et le partage de bureau