Résumé des ports - Serveur Edge consolidé mis à l’échelle avec des équilibreurs de charge matérielle dans Lync Server 2013
Rubrique Dernière modification : 2015-04-27
La fonctionnalité Lync Server 2013, Edge Server décrite dans cette architecture de scénario est très similaire à ce qui a été implémenté dans Lync Server 2010. L’ajout le plus notable est le port 5269 sur l’entrée TCP pour le protocole XMPP (Extensible Messaging and Presence Protocol). Lync Server 2013 déploie éventuellement un proxy XMPP sur le pool Edge Server ou Edge et le serveur de passerelle XMPP sur le serveur frontal ou le pool frontal.
En plus d’IPv4, le serveur Edge prend désormais en charge IPv6. Pour plus de clarté, seul IPv4 est utilisé dans les scénarios.
Edge consolidé mis à l’échelle à l’aide de l’équilibrage de charge matérielle
Détails sur les ports et protocoles
Il est recommandé d’ouvrir uniquement les ports nécessaires pour prendre en charge les fonctionnalités pour lesquelles vous fournissez un accès externe.
Pour que l’accès à distance fonctionne pour n’importe quel service edge, il est obligatoire que le trafic SIP soit autorisé à circuler bidirectionnellement, comme indiqué dans l’illustration du trafic périphérique entrant/sortant. Autrement dit, la messagerie SIP vers et depuis le service Access Edge est impliquée dans la messagerie instantanée, la présence, la conférence web, l’audio/vidéo (A/V) et la fédération.
Résumé du pare-feu pour la périphérie consolidée mise à l’échelle, équilibrage de la charge matérielle : interface externe – Nœud 1 et nœud 2 (exemple)
Role/Protocol/TCP ou UDP/Port | Adresse IP source | Adresse IP de destination | Remarques |
---|---|---|---|
Access/HTTP/TCP/80 |
Adresse IP publique du service Edge Access Server |
Indifférente |
Révocation de certificat/vérification et récupération de la liste de révocation de certificats |
Access/DNS/TCP/53 |
Adresse IP publique du service Edge Access Server |
Indifférente |
Requête DNS sur TCP |
Access/DNS/UDP/53 |
Adresse IP publique du service Edge Access Server |
Indifférente |
Requête DNS sur UDP |
A/V/RTP/TCP/50 000-59 999 |
Adresse IP du service Edge Edge A/V |
Indifférente |
Requis pour la fédération avec des partenaires exécutant Office Communications Server 2007, Office Communications Server 2007 R2, Lync Server 2010 et Lync Server 2013. |
A/V/RTP/UDP/50 000-59 999 |
Adresse IP publique du service Edge Edge A/V Edge |
Indifférente |
Obligatoire uniquement pour la fédération avec des partenaires exécutant Office Communications Server 2007. |
A/V/RTP/TCP/50 000-59 999 |
Indifférente |
Adresse IP publique du service Edge Edge A/V Edge |
Obligatoire uniquement pour la fédération avec des partenaires exécutant Office Communications Server 2007 |
A/V/RTP/UDP/50 000-59 999 |
Indifférente |
Adresse IP publique du service Edge Edge A/V Edge |
Obligatoire uniquement pour la fédération avec des partenaires exécutant Office Communications Server 2007 |
A/V/STUN,MSTURN/UDP/3478 |
Adresse IP publique du service Edge Edge A/V Edge |
Indifférente |
Le trafic sortant 3478 est utilisé pour déterminer la version du serveur Edge avec laquelle Lync Server communique, ainsi que pour le trafic multimédia entre le serveur Edge et le serveur Edge. Requis pour la fédération avec Lync Server 2010, Windows Live Messenger et Office Communications Server 2007 R2, ainsi que si plusieurs pools Edge sont déployés au sein d’une entreprise. |
A/V/STUN,MSTURN/UDP/3478 |
Indifférente |
Adresse IP publique du service Edge Edge A/V Edge |
Négociation STUN/TURN des candidats sur UDP/3478 |
A/V/STUN,MSTURN/TCP/443 |
Indifférente |
Adresse IP publique du service Edge Edge A/V Edge |
Négociation STUN/TURN des candidats sur TCP/443 |
A/V/STUN,MSTURN/TCP/443 |
Adresse IP publique du service Edge Edge A/V Edge |
Indifférente |
Négociation STUN/TURN des candidats sur TCP/443 |
Résumé du pare-feu pour la périphérie consolidée mise à l’échelle, équilibrage de la charge matérielle : nœud d’interface interne 1 et nœud 2
Role/Protocol/TCP ou UDP/Port | Adresse IP source | Adresse IP de destination | Remarques |
---|---|---|---|
XMPP/MTLS/TCP/23456 |
N’importe lequel (peut être défini comme adresse serveur frontale ou adresse IP virtuelle du pool frontal exécutant le service de passerelle XMPP) |
Interface interne du serveur Edge |
Trafic XMPP sortant à partir du service de passerelle XMPP exécuté sur le serveur frontal ou le pool frontal |
HTTPS/TCP/4443 |
N’importe lequel (peut être défini comme l’adresse IP ou le pool du serveur frontal qui contient le magasin de gestion centrale) |
Interface interne du serveur Edge |
Réplication des modifications du magasin de gestion centrale vers le serveur Edge |
PSOM/MTLS/TCP/8057 |
N’importe lequel (peut être défini comme adresse IP du directeur, adresse IP du serveur frontal ou adresse IP virtuelle de pool) |
Interface interne du serveur Edge |
Trafic de conférence web entre le déploiement interne et l’interface interne du serveur Edge |
STUN/MSTURN/UDP/3478 |
N’importe lequel (peut être défini comme adresse IP du directeur, adresse IP du serveur frontal ou adresse IP virtuelle de pool) |
Interface interne du serveur Edge |
Chemin d’accès préféré pour le transfert multimédia A/V entre les utilisateurs internes et externes, Survivable Branch Appliance ou Survivable Branch Server |
STUN/MSTURN/TCP/443 |
N’importe lequel (peut être défini comme adresse IP du directeur, adresse IP du serveur frontal ou adresse IP virtuelle de pool) |
Interface interne du serveur Edge |
Chemin de secours pour le transfert de média A/V entre les utilisateurs internes et externes, Survivable Branch Appliance ou Survivable Branch Server si la communication UDP ne peut pas être établie, TCP est utilisé pour le transfert de fichiers et le partage de bureau |
MTLS/TCP/50001 |
Indifférente |
Interface interne du serveur Edge |
Contrôleur de service de journalisation centralisé à l’aide de Lync Server Management Shell et d’applets de commande de service de journalisation centralisée, de ligne de commande ClsController (ClsController.exe) ou de commandes d’agent (ClsAgent.exe) et de collecte des journaux |
MTLS/TCP/50002 |
Indifférente |
Interface interne du serveur Edge |
Contrôleur de service de journalisation centralisé à l’aide de Lync Server Management Shell et d’applets de commande de service de journalisation centralisée, de ligne de commande ClsController (ClsController.exe) ou de commandes d’agent (ClsAgent.exe) et de collecte des journaux |
MTLS/TCP/50003 |
Indifférente |
Interface interne du serveur Edge |
Contrôleur de service de journalisation centralisé à l’aide de Lync Server Management Shell et d’applets de commande de service de journalisation centralisée, de ligne de commande ClsController (ClsController.exe) ou de commandes d’agent (ClsAgent.exe) et de collecte des journaux |
Les équilibreurs de charge matériels ont des exigences spécifiques lorsqu’ils sont déployés pour fournir la disponibilité et l’équilibrage de charge pour Lync Server. Les exigences sont définies dans la figure et les tableaux suivants. Les fournisseurs tiers peuvent utiliser une terminologie différente pour les exigences définies ici. Il sera nécessaire de mapper les exigences de Lync Server aux fonctionnalités et options de configuration fournies par votre fournisseur d’équilibreur de charge matériel.
Lorsque vous configurez des équilibreurs de charge matériels, tenez compte des exigences suivantes :
La traduction d’adresses réseau source (SNAT) peut être configurée sur l’équilibreur de charge matériel (HLB) pour le service Access Edge et le service Edge de conférence web
SNAT ne peut pas être configuré sur le service Edge A/V : le service Edge A/V doit répondre avec l’adresse de serveur réelle, et non avec l’adresse IP virtuelle HLB (VIP), pour que la traversée simple d’UDP via NAT (STUN)/traversal à l’aide du relais NAT (TURN)/federation TURN (FTURN) fonctionne correctement
Si le client envoie une demande au HLB, la réponse doit revenir de l’adresse IP virtuelle HLB
Si le client envoie une requête à Edge, la réponse doit revenir à partir de l’adresse IP Edge
Les adresses IP publiques sont utilisées sur chaque interface serveur et sur les adresses IP virtuelles du HLB, et vos exigences d’adresse IP publique sont N+1, où il existe une adresse IP publique pour chaque interface serveur réelle et une pour chaque adresse IP virtuelle HLB. Lorsque vous avez 2 serveurs Edge dans le pool, cela entraîne 9 adresses IP publiques, où 3 sont utilisées pour les adresses IP virtuelles HLB, et une pour chaque interface serveur Edge (un total de six pour les serveurs)
Pour le service Access Edge et le service Edge de conférence web, (et à l’aide de NAT sur le HLB), le client contacte l’adresse IP virtuelle, l’adresse IP source du client est modifiée par sa propre adresse IP. L’interface serveur adresse l’adresse de retour à l’adresse IP virtuelle, l’adresse IP virtuelle modifie l’adresse source à partir de l’adresse IP de l’interface serveur et envoie le paquet au client
Pour le service Edge A/V, l’adresse IP virtuelle ne doit PAS modifier l’adresse IP source et l’adresse du serveur réel est retournée directement au client . Vous ne pouvez pas configurer NAT sur l’équilibrage de charge réseau pour le trafic AV
Si le client envoie une demande à l’adresse IP virtuelle HLB, la réponse doit revenir de l’adresse IP virtuelle HLB
Si le client envoie une requête à l’adresse IP edge, la réponse doit revenir de l’adresse IP Edge
Pour AV, le pare-feu externe conserve l’adresse IP publique du serveur réel pour tous les paquets
Une fois établie, la communication entre le service edge A/V et le client est vers le serveur réel, et non avec l’équilibrage de charge réseau
La périphérie interne vers des serveurs et des clients internes doit être routée, et les itinéraires persistants sont définis pour tous les réseaux internes qui hébergent des serveurs ou des clients
L’adresse IP virtuelle du service HLB Access Edge servira de passerelle par défaut pour chaque interface serveur Edge
Remarque
Pour plus d’informations sur la planification et les fonctionnalités NAT, reportez-vous aux exigences de l’équilibreur de charge matériel pour Lync Server 2013.
et les
Paramètres de port externe requis pour la périphérie consolidée mise à l’échelle, équilibrage de la charge matérielle : adresses IP virtuelles d’interface externe
Role/Protocol/TCP ou UDP/Port | Adresse IP source | Adresse IP de destination | Remarques |
---|---|---|---|
XMPP/TCP/5269 |
Indifférente |
Service proxy XMPP (partage l’adresse IP avec le service Access Edge) |
Le service proxy XMPP accepte le trafic provenant de contacts XMPP dans les fédérations XMPP définies |
XMPP/TCP/5269 |
Service proxy XMPP (partage l’adresse IP avec le service Access Edge) |
Indifférente |
Le service proxy XMPP envoie le trafic aux contacts XMPP dans les fédérations XMPP définies |
Access/SIP(TLS)/TCP/443 |
Indifférente |
Adresse IP virtuelle publique du service Access Edge |
Trafic SIP client à serveur pour l’accès utilisateur externe |
Access/SIP(MTLS)/TCP/5061 |
Indifférente |
Adresse IP virtuelle publique du service Access Edge |
Signalisation SIP, connectivité par messagerie instantanée fédérée et publique à l’aide de SIP |
Access/SIP(MTLS)/TCP/5061 |
Adresse IP virtuelle publique du service Access Edge |
Partenaire fédéré |
Signalisation SIP, connectivité par messagerie instantanée fédérée et publique à l’aide de SIP |
Conférence web/PSOM(TLS)/TCP/443 |
Indifférente |
Adresse IP virtuelle publique du service Edge de conférence web Edge |
Média de conférence web |
A/V/STUN,MSTURN/UDP/3478 |
Indifférente |
Adresse IP virtuelle publique du service Edge Edge A/V |
Négociation STUN/TURN des candidats sur UDP/3478 |
A/V/STUN,MSTURN/TCP/443 |
Indifférente |
Adresse IP virtuelle publique du service Edge Edge A/V |
Négociation STUN/TURN des candidats sur TCP/443 |
Résumé du pare-feu pour edge consolidé mis à l’échelle, équilibrage de la charge matérielle : adresses IP virtuelles d’interface interne
Role/Protocol/TCP ou UDP/Port | Adresse IP source | Adresse IP de destination | Remarques |
---|---|---|---|
Access/SIP(MTLS)/TCP/5061 |
Tout (peut être défini en tant qu’adresse IP virtuelle du directeur, du pool d’administrateurs, du serveur frontal ou du pool frontal) |
Interface IP virtuelle interne du serveur Edge |
Trafic SIP sortant (du directeur, de l’adresse IP virtuelle du pool d’administrateurs, du serveur frontal ou de l’adresse IP virtuelle du pool frontal) vers l’adresse IP virtuelle de périphérie interne |
Access/SIP(MTLS)/TCP/5061 |
Interface IP virtuelle interne du serveur Edge |
Tout (peut être défini en tant qu’adresse IP virtuelle du directeur, du pool d’administrateurs, du serveur frontal ou du pool frontal) |
Trafic SIP entrant (vers le directeur, l’adresse IP virtuelle du pool d’administrateurs, le serveur frontal ou l’adresse IP virtuelle du pool frontal) à partir de l’interface interne du serveur Edge |
SIP/MTLS/TCP/5062 |
Tout (peut être défini comme adresse IP du serveur frontal, ou adresse IP du pool frontal ou n’importe quelle appliance survivable Branch appliance ou Survivable Branch Server à l’aide de ce serveur Edge) |
Interface IP virtuelle interne du serveur Edge |
Authentification des utilisateurs A/V (service d’authentification A/V) à partir du serveur frontal ou de l’adresse IP du pool frontal ou de n’importe quelle appliance survivable Branch Appliance ou Survivable Branch Server à l’aide de ce serveur Edge |
STUN/MSTURN/UDP/3478 |
Indifférente |
Interface IP virtuelle interne du serveur Edge |
Chemin d’accès préféré pour le transfert multimédia A/V entre les utilisateurs internes et externes |
STUN/MSTURN/TCP/443 |
Indifférente |
Interface IP virtuelle interne du serveur Edge |
Chemin de secours pour le transfert de média A/V entre des utilisateurs internes et externes si la communication UDP ne peut pas être établie, TCP est utilisé pour le transfert de fichiers et le partage de bureau |
STUN/MSTURN/TCP/443 |
Interface IP virtuelle interne du serveur Edge |
Indifférente |
Chemin de secours pour le transfert de média A/V entre des utilisateurs internes et externes si la communication UDP ne peut pas être établie, TCP est utilisé pour le transfert de fichiers et le partage de bureau |