Requisiti ambientali di Edge Server in Skype for Business Server
Riepilogo: Informazioni sui requisiti ambientali per Edge Server in Skype for Business Server.
È necessario che la pianificazione e la preparazione avvengano al di fuori dell'ambiente Skype for Business Server Edge Server stesso. In questo articolo verranno esaminati i preparativi da eseguire nell'ambiente dell'organizzazione, come indicato nell'elenco seguente:
Pianificazione della topologia
le topologie di Skype for Business Server Server perimetrale possono usare:
Indirizzi IP pubblici instradabili.
Indirizzi IP privati non instradabili, se viene usata la conversione simmetrica degli indirizzi di rete (NAT).
Mancia
Il server perimetrale può essere configurato per l'uso di un singolo indirizzo IP con porte distinte per ogni servizio oppure può usare indirizzi IP distinti per ogni servizio, ma usare la stessa porta predefinita (che per impostazione predefinita sarà TCP 443). Ulteriori informazioni sono disponibili nella sezione requisiti dell'indirizzo IP riportata di seguito.
Se scegli indirizzi IP privati non instradabili con NAT, ricorda questi punti:
È necessario usare indirizzi IP privati instradabili in tutte e tre le interfacce esterne.
È necessario configurare NAT simmetrico per il traffico in arrivo e in uscita. NAT simmetrico è l'unico NAT supportato che puoi usare con Skype for Business Server Server perimetrale.
Configurare il NAT per non modificare gli indirizzi di origine in arrivo. Il servizio A/V Edge deve essere in grado di ricevere l'indirizzo di origine in ingresso per trovare il percorso multimediale ottimale.
I server perimetrali devono essere in grado di comunicare tra loro dai loro indirizzi IP A/V Edge pubblici. Il firewall deve consentire questo traffico.
NAT può essere usato per i server perimetrali consolidati con scalabilità orizzontale solo se si usa il bilanciamento del carico DNS. Se usi il bilanciamento del carico hardware (HLB), devi usare indirizzi IP instradabili pubblicamente senza NAT.
Non avrai problemi ad avere le tue interfacce Access, Web Conferencing e A/V Edge dietro un router o un firewall che eseguono NAT simmetrici per topologie server perimetrali consolidate singole e ridimensionate (a condizione che non usi il bilanciamento del carico hardware).
Riepilogo delle opzioni di topologia del server perimetrale
Sono disponibili diverse opzioni di topologia per le distribuzioni di Skype for Business Server server perimetrale:
Singolo edge consolidato con indirizzi IP privati e NAT
Single Consolidated Edge con indirizzi IP pubblici
Edge consolidato in scala con indirizzi IP privati e NAT
Edge consolidato con scalabilità orizzontale con indirizzi IP pubblici
Edge consolidato con scalabilità orizzontale con bilanciamenti del carico hardware
Per facilitare la scelta, è disponibile la tabella seguente che fornisce un riepilogo delle opzioni disponibili per ogni topologia:
| Topologia | Disponibilità elevata | Sono necessari altri record DNS per il server perimetrale esterno nel pool di server perimetrali? | Failover di Edge per sessioni di Skype for Business Server | Failover di Edge per le sessioni di federazione Skype for Business Server |
|---|---|---|---|---|
| Singolo edge consolidato con indirizzi IP privati e NAT |
No |
No |
No |
No |
| Single Consolidated Edge con indirizzi IP pubblici |
No |
No |
No |
No |
| Edge consolidato con scalabilità orizzontale con indirizzi IP privati e NAT (bilanciamento del carico DNS) |
Sì |
Sì |
Sì |
Sì¹ |
| Edge consolidato con scalabilità orizzontale con indirizzi IP pubblici (bilanciamento del carico DNS) |
Sì |
Sì |
Sì |
Sì¹ |
| Edge consolidato con scalabilità orizzontale con bilanciamenti del carico hardware |
Sì |
No (un record DNS A per VIP) |
Sì |
Sì |
¹ Il failover dell'utente remoto di messaggistica unificata di Exchange tramite il bilanciamento del carico DNS richiede Exchange 2013 o versioni successive.
Requisiti degli indirizzi IP
Su un livello fondamentale, tre servizi necessitano di indirizzi IP; Servizio Access Edge, servizio Web Conferencing Edge e servizio A/V Edge. È possibile scegliere di usare tre indirizzi IP, uno per ognuno dei servizi, oppure si può usare uno e scegliere di inserire ogni servizio su una porta diversa (per altre informazioni su alcuni di questi, consultare la sezione Relativa alla pianificazione di porte e firewall ). Per un unico ambiente Edge consolidato, è più o meno così.
Nota
Come indicato in precedenza, è possibile scegliere di avere un indirizzo IP per tutti e tre i servizi ed eseguirli su porte diverse. Ma per essere chiari, non lo consigliamo. Se i clienti non possono accedere alle porte alternative che si usano in questo scenario, non possono neanche accedere alle funzionalità complete dell'ambiente Edge.
Può essere un po' più complicato con le topologie consolidate in scala, quindi esaminiamo alcune tabelle che depongono i requisiti degli indirizzi IP, tenendo presente che i punti di decisione principali per la selezione della topologia sono la disponibilità elevata e il bilanciamento del carico. Le esigenze di disponibilità elevata possono influire sulla scelta del bilanciamento del carico (ne parleremo più a fondo dopo le tabelle).
Requisiti degli indirizzi IP per Edge consolidato in scala (indirizzo IP per ruolo)
| Numero di server perimetrali per pool | Numero di indirizzi IP necessari per il bilanciamento del carico DNS | Numero di indirizzi IP necessari per il bilanciamento del carico hardware |
|---|---|---|
| 2 |
6 |
3 (1 per VIP) + 6 |
| 3 |
9 |
3 (1 per VIP) + 9 |
| 4 |
12 |
3 (1 per VIP) + 12 |
| 5 |
15 |
3 (1 per VIP) +15 |
Requisiti degli indirizzi IP per Edge consolidato su scala (indirizzo IP singolo per tutti i ruoli)
| Numero di server perimetrali per pool | Numero di indirizzi IP necessari per il bilanciamento del carico DNS | Numero di indirizzi IP necessari per il bilanciamento del carico hardware |
|---|---|---|
| 2 |
2 |
1 (1 per VIP) + 2 |
| 3 |
3 |
1 (1 per VIP) + 3 |
| 4 |
4 |
1 (1 per VIP) + 4 |
| 5 |
5 |
1 (1 per VIP) + 5 |
Esaminiamo alcuni altri aspetti da considerare durante la pianificazione.
Disponibilità elevata: se è necessaria disponibilità elevata nella distribuzione, è consigliabile distribuire almeno due server perimetrali in un pool. Vale la pena notare che un singolo pool di edge supporterà fino a 12 server perimetrali (anche se Generatore di topologie ti consentirà di aggiungerne fino a 20, che non sono testati o supportati, quindi ti consigliamo di non farlo). Se sono necessari più di 12 server perimetrali, è consigliabile creare pool edge aggiuntivi per tali server.
Bilanciamento del carico hardware: è consigliabile il bilanciamento del carico DNS per la maggior parte degli scenari. Naturalmente è supportato anche il bilanciamento del carico hardware, ma in particolare è necessario per un singolo scenario sul bilanciamento del carico DNS:
- Accesso esterno a Exchange 2007 o Exchange 2010 (senza SP) Messaggistica unificata.
Bilanciamento del carico DNS: per la messaggistica unificata, Exchange 2010 SP1 e versioni successive possono essere supportati dal bilanciamento del carico DNS. Si noti che se è necessario usare il bilanciamento del carico DNS per una versione precedente di Exchange, funzionerà, ma tutto il traffico per questo verrà recapitato al primo server del pool e, se non è disponibile, il traffico in seguito avrà esito negativo.
Il bilanciamento del carico DNS è consigliato anche se si esegue la federazione con aziende che usano:
Skype for Business Server 2015:
- Lync Server 2010
- Lync Server 2013
- Microsoft 365 o Office 365
Skype for Business Server 2019:
- Lync Server 2013
- Skype for Business Server 2015
- Microsoft 365 o Office 365
Pianificazione DNS
Quando si tratta di Skype for Business Server distribuzione del server perimetrale, è fondamentale prepararsi correttamente per il DNS. Con i record corretti, la distribuzione sarà molto più semplice. Ci auguriamo di aver scelto una topologia nella sezione precedente, in quanto verrà visualizzata una panoramica e quindi di elencare un paio di tabelle che definiscono i record DNS per questi scenari. Avremo anche alcuni piani DNS di Advanced Edge Server per Skype for Business Server per una lettura più approfondita, se necessario.
Record DNS per scenari di Server perimetrale consolidato singolo
Si tratta dei record DNS necessari per un server perimetrale singe che usa IP pubblici o IP privati con NAT. Poiché si tratta di dati di esempio, verranno forniti ip di esempio per consentire di elaborare più facilmente le proprie voci:
Scheda di rete interna: 172.25.33.10 (nessun gateway predefinito assegnato)
Nota
Verificare che esista un percorso dalla rete contenente l'interfaccia interna di Edge a tutte le reti contenenti server che eseguono client Skype for Business Server o Lync Server 2013, ad esempio da 172.25.33.0 a 192.168.10.0.
Scheda di rete esterna:
IP pubblici:
Access Edge: 131.107.155.10 (principale, con gateway predefinito impostato sul router pubblico, ad esempio: 131.107.155.1)
Web Conferencing Edge: 131.107.155.20 (secondario)
A/V Edge: 131.107.155.30 (secondario)
I servizi di conferenza Web e gli indirizzi IP pubblici A/V Edge sono indirizzi IP aggiuntivi (secondari) nella sezione Avanzate delle proprietà protocollo Internet versione 4 (TCP/IPv4) e protocollo Internet versione 6 (TCP/IPv6) delle proprietà di connessione area locale in Windows Server.
IP privati:
Access Edge: 10.45.16.10 (principale, con gateway predefinito impostato sul router, ad esempio: 10.45.16.1)
Web Conferencing Edge: 10.45.16.20 (secondario)
A/V Edge: 10.45.16.30 (secondario)
I servizi di conferenza Web e gli indirizzi IP pubblici A/V Edge sono indirizzi IP aggiuntivi (secondari) nella sezione Avanzate delle proprietà protocollo Internet versione 4 (TCP/IPv4) e protocollo Internet versione 6 (TCP/IPv6) delle proprietà di connessione area locale in Windows Server.
Mancia
Sono disponibili altre configurazioni possibili:
È possibile usare un indirizzo IP nella scheda di rete esterna. Questa operazione non è consigliata perché è quindi necessario distinguere i servizi che usano porte diverse (operazione che è possibile eseguire in Skype for Business Server), ma esistono alcuni firewall che potrebbero bloccare le porte alternative. Per altre informazioni, vedere la sezione Relativa alla pianificazione di porte e firewall .
È possibile avere tre schede di rete esterne anziché una e assegnare uno degli IP di servizio a ognuna di esse. Perché? Separare i servizi e, se si verifica un problema, sarebbe più facile risolvere il problema e potenzialmente consentire agli altri servizi di continuare a funzionare mentre si risolve un problema.
| Posizione | Tipo | Porta | FQDN o record DNS | Indirizzo IP o FQDN | Note |
|---|---|---|---|---|---|
| DNS esterno |
Un record |
NA |
sip.contoso.com |
public: 131.107.155.10 privato: 10.45.16.10 |
Un'interfaccia esterna per il servizio Access Edge. È necessario averne uno per ogni dominio SIP con utenti Skype for Business. |
| DNS esterno |
Un record |
NA |
webcon.contoso.com |
public: 131.107.155.20 privato: 10.45.16.20 |
Un'interfaccia esterna per il servizio Web Conferencing Edge. |
| DNS esterno |
Un record |
NA |
av.contoso.com |
public: 131.107.155.30 privato: 10.45.16.30 |
Un'interfaccia esterna per il servizio A/V Edge. |
| DNS esterno |
Record SRV |
443 |
_sip._tls.contoso.com |
sip.contoso.com |
Un'interfaccia esterna per il servizio Access Edge. Questo record SRV è obbligatorio per il funzionamento esterno dei client Skype for Business Server, Lync Server 2013 e Lync Server 2010. È necessario un dominio per ogni dominio con Skype for Business utenti. |
| DNS esterno |
Record SRV |
5061 |
_sipfederationtls._tcp.contoso.com |
sip.contoso.com |
Un'interfaccia esterna per il servizio Access Edge. Questo record SRV è necessario per l'individuazione DNS automatica di partner federati denominati domini SIP consentiti. È necessario un dominio per ogni dominio con Skype for Business utenti. |
| DNS interno |
Un record |
NA |
sfvedge.contoso.net |
172.25.33.10 |
L'interfaccia interna per Il tuo Edge consolidato. |
Record DNS per scenari di server perimetrale DNS con scalabilità orizzontale
Si tratta dei record DNS necessari per un server perimetrale singe che usa IP pubblici o IP privati con NAT. Poiché si tratta di dati di esempio, verranno forniti ip di esempio per consentire di elaborare più facilmente le proprie voci:
Scheda di rete interna:
Nodo 1: 172.25.33.10 (nessun gateway predefinito assegnato)
Nodo 2: 172.25.33.11 (nessun gateway predefinito assegnato)
Nota
Verificare che esista un percorso dalla rete contenente l'interfaccia interna di Edge a tutte le reti contenenti server che eseguono client Skype for Business Server o Lync Server 2013, ad esempio da 172.25.33.0 a 192.168.10.0.
Scheda di rete esterna:
Nodo 1
IP pubblici:
Access Edge: 131.107.155.10 (principale, con gateway predefinito impostato sul router pubblico, ad esempio: 131.107.155.1)
Web Conferencing Edge: 131.107.155.20 (secondario)
A/V Edge: 131.107.155.30 (secondario)
I servizi di conferenza Web e gli indirizzi IP pubblici A/V Edge sono indirizzi IP aggiuntivi (secondari) nella sezione Avanzate delle proprietà protocollo Internet versione 4 (TCP/IPv4) e protocollo Internet versione 6 (TCP/IPv6) delle proprietà di connessione area locale in Windows Server.
IP privati:
Access Edge: 10.45.16.10 (principale, con gateway predefinito impostato sul router, ad esempio: 10.45.16.1)
Web Conferencing Edge: 10.45.16.20 (secondario)
A/V Edge: 10.45.16.30 (secondario)
I servizi di conferenza Web e gli indirizzi IP pubblici A/V Edge sono indirizzi IP aggiuntivi (secondari) nella sezione Avanzate delle proprietà protocollo Internet versione 4 (TCP/IPv4) e protocollo Internet versione 6 (TCP/IPv6) delle proprietà di connessione area locale in Windows Server.
Nodo 2
IP pubblici:
Access Edge: 131.107.155.11 (principale, con gateway predefinito impostato sul router pubblico, ad esempio: 131.107.155.1)
Web Conferencing Edge: 131.107.155.21 (secondario)
A/V Edge: 131.107.155.31 (secondario)
I servizi di conferenza Web e gli indirizzi IP pubblici A/V Edge sono indirizzi IP aggiuntivi (secondari) nella sezione Avanzate delle proprietà protocollo Internet versione 4 (TCP/IPv4) e protocollo Internet versione 6 (TCP/IPv6) delle proprietà di connessione area locale in Windows Server.
IP privati:
Access Edge: 10.45.16.11 (principale, con gateway predefinito impostato sul router, ad esempio: 10.45.16.1)
Web Conferencing Edge: 10.45.16.21 (secondario)
A/V Edge: 10.45.16.31 (secondario)
I servizi di conferenza Web e gli indirizzi IP pubblici A/V Edge sono indirizzi IP aggiuntivi (secondari) nella sezione Avanzate delle proprietà protocollo Internet versione 4 (TCP/IPv4) e protocollo Internet versione 6 (TCP/IPv6) delle proprietà di connessione area locale in Windows Server.
Sono disponibili altre configurazioni possibili:
È possibile usare un indirizzo IP nella scheda di rete esterna. Questa operazione non è consigliata perché è quindi necessario distinguere i servizi che usano porte diverse (operazione che è possibile eseguire in Skype for Business Server), ma esistono alcuni firewall che potrebbero bloccare le porte alternative. Per altre informazioni, vedere la sezione Relativa alla pianificazione di porte e firewall .
È possibile avere tre schede di rete esterne anziché una e assegnare uno degli IP di servizio a ognuna di esse. Perché? Separare i servizi e, se si verifica un problema, sarebbe più facile risolvere il problema e potenzialmente consentire agli altri servizi di continuare a funzionare mentre si risolve un problema.
| Posizione | Tipo | Porta | FQDN o record DNS | Indirizzo IP o FQDN | Note |
|---|---|---|---|---|---|
| DNS esterno |
Un record |
NA |
sip.contoso.com |
pubblico: 131.107.155.10 e 131.107.155.11 privato: 10.45.16.10 e 10.45.16.11 |
Un'interfaccia esterna per il servizio Access Edge. È necessario averne uno per ogni dominio SIP con utenti Skype for Business. |
| DNS esterno |
Un record |
NA |
webcon.contoso.com |
pubblico: 131.107.155.20 e 131.107.155.21 privato: 10.45.16.20 e 10.45.16.21 |
Un'interfaccia esterna per il servizio Web Conferencing Edge. |
| DNS esterno |
Un record |
NA |
av.contoso.com |
public: 131.107.155.30 and 131.107.155.31 privato: 10.45.16.30 e 10.45.16.31 |
Un'interfaccia esterna per il servizio A/V Edge. |
| DNS esterno |
Record SRV |
443 |
_sip._tls.contoso.com |
sip.contoso.com |
Un'interfaccia esterna per il servizio Access Edge. Questo record SRV è obbligatorio per il funzionamento esterno dei client Skype for Business Server, Lync Server 2013 e Lync Server 2010. È necessario un dominio per ogni dominio con Skype for Business. |
| DNS esterno |
Record SRV |
5061 |
_sipfederationtls._tcp.contoso.com |
sip.contoso.com |
Un'interfaccia esterna per il servizio Access Edge. Questo record SRV è necessario per l'individuazione DNS automatica di partner federati denominati domini SIP consentiti. È necessario un dominio per ogni dominio con Skype for Business. |
| DNS interno |
Un record |
NA |
sfvedge.contoso.net |
172.25.33.10 e 172.25.33.11 |
L'interfaccia interna per Il tuo Edge consolidato. |
Record DNS per la federazione (tutti gli scenari)
| Posizione | Tipo | Porta | FQDN | Record host FQDN | Note |
|---|---|---|---|---|---|
| DNS esterno |
SRV |
5061 |
_sipfederationtls_tcp.contoso.com |
sip.contoso.com |
Interfaccia esterna di Access Edge SIP necessaria per l'individuazione DNS automatica. Usato dagli altri potenziali partner federativo. È anche noto come "Consenti domini SIP". È necessario uno di questi domini per ogni dominio SIP con Skype for Business utenti. Nota: È necessario questo record SRV per la mobilità e la clearing house delle notifiche push. |
Record DNS per il protocollo di presenza e messaggistica estendibile
| Posizione | Tipo | Porta | FQDN | Indirizzo IP o record host FQDN | Note |
|---|---|---|---|---|---|
| DNS esterno |
SRV |
5269 |
_xmpp-server._tcp.contoso.com |
xmpp.contoso.com |
Interfaccia proxy XMPP nel servizio Access Edge o nel pool di edge. È necessario ripetere questa operazione in base alle esigenze per tutti i domini SIP interni con Skype for Business Server utenti abilitati, in cui è consentito contattare i contatti XMPP tramite: • una politica globale • un criterio sito in cui l'utente è abilitato • un criterio utente applicato all'utente abilitato alla Skype for Business Server I criteri XMPP consentiti devono essere configurati anche nei criteri degli utenti federati XMPP. |
| DNS esterno |
SRV |
A |
xmpp.contoso.com |
Indirizzo IP del servizio Access Edge nel server perimetrale o nel pool di edge che ospita il servizio proxy XMPP |
Ciò punta al servizio Access Edge nel server perimetrale o nel pool di server perimetrali che ospita il servizio Proxy XMPP. In genere il record SRV creato punterà a questo record host (A o AAAA). |
Nota
I gateway e i proxy XMPP sono disponibili in Skype for Business Server 2015, ma non sono più supportati in Skype for Business Server 2019. Per altre informazioni, vedere Migrazione della federazione XMPP .
Pianificazione dei certificati
Skype for Business Server utilizza i certificati per le comunicazioni sicure e crittografate sia tra i server che da server a client. Come previsto, i certificati dovranno avere record DNS per i server corrispondenti a qualsiasi nome soggetto (SN) e nome alternativo soggetto (SAN) nei certificati. Questa operazione richiederà ora, nella fase di pianificazione, di assicurarsi di avere gli FQDN corretti registrati nel DNS per le voci SN e SAN per i certificati.
Verranno illustrate separatamente le esigenze dei certificati esterni e interni, quindi verrà visualizzata una tabella che fornisce i requisiti per entrambi.
Certificati esterni
Come minimo, il certificato assegnato alle interfacce del server perimetrale esterno dovrà essere fornito da un'autorità di certificazione (CA) pubblica. Non è possibile consigliare un'autorità di certificazione specifica, ma è disponibile un elenco di ca, ovvero partner di certificati unificati per le comunicazioni , che è possibile consultare per verificare se è presente la CA preferita.
Quando sarà necessario inviare una richiesta a un'AUTORITÀ di certificazione per questo certificato pubblico e come si fa? Esistono un paio di modi per eseguire questa operazione:
È possibile eseguire l'installazione di Skype for Business Server e quindi la distribuzione di Edge Server. La Distribuzione guidata Skype for Business Server conterrà un passaggio per generare una richiesta di certificato, che sarà quindi possibile inviare alla CA scelta.
È anche possibile usare Windows PowerShell comandi per generare questa richiesta, se è più in linea con le esigenze aziendali o con la strategia di distribuzione.
Infine, l'autorità di certificazione può avere un proprio processo di invio, che può implicare anche Windows PowerShell o un altro metodo. In questo caso, dovrai fare affidamento sulla documentazione, oltre alle informazioni fornite qui per riferimento.
Dopo aver ottenuto il certificato, dovrai procedere e assegnarlo a questi servizi in Skype for Business Server:
Interfaccia del servizio Access Edge
Interfaccia del servizio Web Conferencing Edge
Servizio di autenticazione audio/video (non confondere questo con il servizio A/V Edge, in quanto non usa un certificato per crittografare flussi audio e video)
Importante
Tutti i server perimetrali (se appartengono allo stesso pool di server perimetrali) devono avere esattamente lo stesso certificato con la stessa chiave privata per il servizio di autenticazione Media Relay.
Certificati interni
Per l'interfaccia del server perimetrale interno, è possibile usare un certificato pubblico di una CA pubblica o un certificato emesso dalla CA interna dell'organizzazione. Il motivo da ricordare sul certificato interno è che usa una voce SN e nessuna voce SAN, quindi non è necessario preoccuparsi di SAN sul certificato interno.
Tabella Certificati obbligatori
Abbiamo una tabella per aiutarti con le tue richieste. Le voci FQDN sono disponibili solo per i domini di esempio. Dovrai effettuare richieste in base ai tuoi domini privati e pubblici, ma ecco una guida a ciò che abbiamo usato:
contoso.com: FQDN pubblico
fabrikam.com: secondo FQDN pubblico (aggiunto come demo di cosa richiedere se si hanno più domini SIP)
Contoso.net: dominio interno
Tabella Certificato Edge
Indipendentemente dal fatto che si stia eseguendo un singolo server perimetrale o un pool di server perimetrali, questo è ciò che serve per il certificato:
| Componente | Nome del soggetto (SN) | Nomi alternativi oggetto (SAN)/ordine | Note |
|---|---|---|---|
| Edge esterno |
sip.contoso.com |
sip.contoso.com webcon.contoso.com sip.fabrikam.com |
Questo è il certificato che è necessario richiedere a un'AUTORITÀ di certificazione pubblica. Sarà necessario assegnarla alle interfacce perimetrali esterne per quanto segue: • Access Edge • Web Conferencing Edge • Autenticazione audio/video La buona notizia è che le reti SAN vengono aggiunte automaticamente alla richiesta di certificato e quindi il certificato dopo l'invio della richiesta, in base a quanto definito per questa distribuzione in Generatore di topologie. Sarà necessario aggiungere solo voci SAN per eventuali altri domini SIP o altre voci che è necessario supportare. Perché sip.contoso.com viene replicata in questo caso? Anche questo avviene automaticamente ed è necessario che tutto funzioni correttamente. Nota: Questo certificato può essere usato anche per la connettività di messaggistica istantanea pubblica. Non è necessario eseguire alcuna operazione diversa, ma nelle versioni precedenti di questa documentazione è stata elencata come tabella distinta e ora non lo è. |
| Edge interno |
sfbedge.contoso.com |
NA |
È possibile ottenere questo certificato da una CA pubblica o da una CA interna. Dovrà contenere il server EKU (Enhanced Key Usage) e lo assegnerai all'interfaccia perimetrale interna. |
Se è necessario un certificato per Extensible Messaging and Presence Protocol (XMPP), sarà identico alle voci della tabella Esterna Edge sopra, ma avrà le seguenti due voci SAN aggiuntive:
Xmpp.contoso.com
*.contoso.com
Ricorda che attualmente XMPP è supportato solo in Skype for Business Server per Google Talk, se vuoi o devi usarlo per qualsiasi altra cosa, devi confermare tale funzionalità con il fornitore di terze parti coinvolto.
Pianificazione di porte e firewall
Ottenere la pianificazione corretta per porte e firewall per le distribuzioni di Skype for Business Server Edge Server consente di risparmiare giorni o settimane di risoluzione dei problemi e stress. Di conseguenza, elenchiamo un paio di tabelle che indicheranno l'utilizzo del protocollo e le porte necessarie per avere porte aperte, in ingresso e in uscita, sia per gli scenari NAT che per gli indirizzi IP pubblici. Saranno inoltre disponibili tabelle separate per gli scenari di bilanciamento del carico hardware (HLB) e ulteriori indicazioni in merito. Per ulteriori informazioni da lì, abbiamo anche alcuni scenari di Server perimetrale in Skype for Business Server che puoi controllare per i tuoi particolari problemi di distribuzione.
Utilizzo generale del protocollo
Prima di esaminare le tabelle di riepilogo per i firewall esterni e interni, si consideri anche la tabella seguente:
| Trasporto audio/video | Utilizzo |
|---|---|
| UDP |
Protocollo layer di trasporto preferito per audio e video. |
| TCP |
Protocollo fallback transport layer per audio e video. Protocollo livello di trasporto richiesto per la condivisione di applicazioni con Skype for Business Server, Lync Server 2013 e Lync Server 2010. Protocollo livello di trasporto richiesto per il trasferimento di file a Skype for Business Server, Lync Server 2013 e Lync Server 2010. |
Tabella di riepilogo del firewall porta esterna
L'indirizzo IP di origine e l'indirizzo IP di destinazione conterranno informazioni per gli utenti che usano indirizzi IP privati con NAT e per le persone che usano indirizzi IP pubblici. Verranno trattato tutte le permutazioni negli scenari relativi ai server perimetrali nella sezione Skype for Business Server .
| Ruolo o protocollo | TCP o UDP | Porta di destinazione o intervallo di porte | Indirizzo IP di origine | Indirizzo IP di destinazione | Note |
|---|---|---|---|---|---|
| XMPP Non supportato in Skype for Business Server 2019 |
TCP |
5269 |
Qualsiasi |
Servizio proxy XMPP (condivide un indirizzo IP con il servizio Access Edge |
Il servizio Proxy XMPP accetta il traffico dei contatti XMPP in una federazione XMPP definita. |
| Access/HTTP |
TCP |
80 |
IP privato con NAT: Servizio Edge Server Access Edge IP pubblico: Indirizzo IP pubblico del servizio Edge Server Access Edge |
Qualsiasi |
Revoche di certificati e controllo e recupero CRL. |
| Accesso/DNS |
TCP |
53 |
IP privato con NAT: Servizio Edge Server Access Edge IP pubblico: Indirizzo IP pubblico del servizio Edge Server Access Edge |
Qualsiasi |
Query DNS su TCP. |
| Accesso/DNS |
UDP |
53 |
IP privato con NAT: Servizio Edge Server Access Edge IP pubblico: Indirizzo IP pubblico del servizio Edge Server Access Edge |
Qualsiasi |
Query DNS su UDP. |
| Access/SIP(TLS) |
TCP |
443 |
Qualsiasi |
IP privato con NAT: Servizio Edge Server Access Edge IP pubblico: Indirizzo IP pubblico del servizio Edge Server Access Edge |
Traffico SIP da client a server per l'accesso degli utenti esterni. |
| Access/SIP(MTLS) |
TCP |
5061 |
Qualsiasi |
IP privato con NAT: Servizio Edge Server Access Edge IP pubblico: Indirizzo IP pubblico del servizio Edge Server Access Edge |
Per la connettività di messaggistica istantanea federata e pubblica tramite SIP. |
| Access/SIP(MTLS) |
TCP |
5061 |
IP privato con NAT: Servizio Edge Server Access Edge IP pubblico: Indirizzo IP pubblico del servizio Edge Server Access Edge |
Qualsiasi |
Per la connettività di messaggistica istantanea federata e pubblica tramite SIP. |
| Web conferencing/PSOM(TLS) |
TCP |
443 |
Qualsiasi |
IP privato con NAT: Servizio Edge Server Web Conferencing Edge IP pubblico: Indirizzo IP pubblico del servizio Edge Server Web Conferencing Edge |
Contenuti multimediali per conferenze Web. |
| A/V/RTP |
TCP |
50000-59999 |
IP privato con NAT: Servizio Edge Server A/V Edge IP pubblico: Indirizzo IP pubblico del servizio Edge Server A/V Edge |
Qualsiasi |
Viene utilizzato per l'inoltro del traffico multimediale. |
| A/V/RTP |
UDP |
50000-59999 |
IP privato con NAT: Servizio Edge Server A/V Edge IP pubblico: Indirizzo IP pubblico del servizio Edge Server A/V Edge |
Qualsiasi |
Viene utilizzato per l'inoltro del traffico multimediale. |
| A/V/STUN. MSTURN |
UDP |
3478 |
IP privato con NAT: Servizio Edge Server A/V Edge IP pubblico: Indirizzo IP pubblico del servizio Edge Server A/V Edge |
Qualsiasi |
3478 in uscita è: • Utilizzato da Skype for Business Server per determinare la versione del server perimetrale con cui comunica. • Utilizzato per il traffico multimediale tra server perimetrali. • Obbligatorio per la federazione con Lync Server 2010. • Necessario se vengono distribuiti più pool Edge all'interno dell'organizzazione. |
| A/V/STUN. MSTURN |
UDP |
3478 |
Qualsiasi |
IP privato con NAT: Servizio Edge Server A/V Edge IP pubblico: Indirizzo IP pubblico del servizio Edge Server A/V Edge |
Negoziazione STUN/TURN dei candidati su UDP sulla porta 3478. |
| A/V/STUN. MSTURN |
TCP |
443 |
Qualsiasi |
IP privato con NAT: Servizio Edge Server A/V Edge IP pubblico: Indirizzo IP pubblico del servizio Edge Server A/V Edge |
Negoziazione STUN/TURN dei candidati su TCP sulla porta 443. |
| A/V/STUN. MSTURN |
TCP |
443 |
IP privato con NAT: Servizio Edge Server A/V Edge IP pubblico: Indirizzo IP pubblico del servizio Edge Server A/V Edge |
Qualsiasi |
Negoziazione STUN/TURN dei candidati su TCP sulla porta 443. |
Tabella di riepilogo del firewall porta interna
| Protocollo | TCP o UDP | Porta | Indirizzo IP di origine | Indirizzo IP di destinazione | Note |
|---|---|---|---|---|---|
| XMPP/MTLS |
TCP |
23456 |
Uno degli elementi seguenti che esegue il servizio Gateway XMPP: • Front End Server • Piscina front-end |
Interfaccia interna del server perimetrale |
Traffico XMPP in uscita dal servizio Gateway XMPP in esecuzione nel pool Front End Server o Front End. Nota: I gateway e i proxy XMPP sono disponibili in Skype for Business Server 2015, ma non sono più supportati in Skype for Business Server 2019. Per altre informazioni, vedere Migrazione della federazione XMPP . |
| SIP/MTLS |
TCP |
5061 |
Qualsiasi: •Direttore • Pool di director • Front End Server • Piscina front-end |
Interfaccia interna del server perimetrale |
Traffico SIP in uscita dal director, dal pool di director, dal front end server o dal pool front-end all'interfaccia interna del server perimetrale. |
| SIP/MTLS |
TCP |
5061 |
Interfaccia interna del server perimetrale |
Qualsiasi: •Direttore • Pool di director • Front End Server • Piscina front-end |
Traffico SIP in ingresso verso il director, il pool di director, il front end server o il pool front-end dall'interfaccia interna del server perimetrale. |
| PSOM/MTLS |
TCP |
8057 |
Qualsiasi: • Front End Server • Ogni Front End Server nel tuo pool Front End |
Interfaccia interna del server perimetrale |
Traffico delle conferenze Web dal Front End Server o da ogni Front End Server (se hai un pool Front End) all'interfaccia interna del server perimetrale. |
| SIP/MTLS |
TCP |
5062 |
Qualsiasi: • Front End Server • Piscina front-end • Qualsiasi Survivable Branch Appliance utilizzando questo Edge Server • Qualsiasi Survivable Branch Server utilizzando questo server perimetrale |
Interfaccia interna del server perimetrale |
Autenticazione di utenti A/V dal pool Front End Server o Front End oppure su Survivable Branch Appliance o Survivable Branch Server tramite il server perimetrale. |
| STUN/MSTURN |
UDP |
3478 |
Qualsiasi |
Interfaccia interna del server perimetrale |
Percorso preferito per il trasferimento di supporti A/V tra gli utenti interni ed esterni e Survivable Branch Appliance o Survivable Branch Server. |
| STUN/MSTURN |
TCP |
443 |
Qualsiasi |
Interfaccia interna del server perimetrale |
Percorso di fallback per il trasferimento di supporti A/V tra gli utenti interni ed esterni e Survivable Branch Appliance o Survivable Branch Server, se la comunicazione UDP non funziona. TCP viene quindi usato per i trasferimenti di file e la condivisione desktop. |
| HTTPS |
TCP |
4443 |
Qualsiasi: • Front End Server che contiene l'archivio di gestione centrale • Pool front-end che ospita l'archivio di gestione centrale |
Interfaccia interna del server perimetrale |
Replica delle modifiche dall'archivio di gestione centrale al server perimetrale. |
| MTLS |
TCP |
50001 |
Qualsiasi |
Interfaccia interna del server perimetrale |
Controller del servizio di registrazione centralizzato con Skype for Business Server Management Shell e cmdlet del servizio di registrazione centralizzata, comandi della riga di comando ClsController (ClsController.exe) o dell'agente (ClsAgent.exe) e raccolta log. |
| MTLS |
TCP |
50002 |
Qualsiasi |
Interfaccia interna del server perimetrale |
Controller del servizio di registrazione centralizzato con Skype for Business Server Management Shell e cmdlet del servizio di registrazione centralizzata, comandi della riga di comando ClsController (ClsController.exe) o dell'agente (ClsAgent.exe) e raccolta log. |
| MTLS |
TCP |
50003 |
Qualsiasi |
Interfaccia interna del server perimetrale |
Controller del servizio di registrazione centralizzato con Skype for Business Server Management Shell e cmdlet del servizio di registrazione centralizzata, comandi della riga di comando ClsController (ClsController.exe) o dell'agente (ClsAgent.exe) e raccolta log. |
Bilanciamenti del carico hardware per le tabelle delle porte edge
Stiamo fornendo ai bilanciamenti del carico hardware (HLB) e alle porte Edge la propria sezione, poiché le cose sono un po' più complicate con l'hardware aggiuntivo. Per indicazioni su questo specifico scenario, fare riferimento alle tabelle seguenti:
Tabella di riepilogo del firewall porta esterna
L'indirizzo IP di origine e l'indirizzo IP di destinazione conterranno informazioni per gli utenti che usano indirizzi IP privati con NAT e per le persone che usano indirizzi IP pubblici. Verranno trattato tutte le permutazioni negli scenari del server perimetrale in Skype for Business Server sezione.
| Ruolo o protocollo | TCP o UDP | Porta di destinazione o intervallo di porte | Indirizzo IP di origine | Indirizzo IP di destinazione | Note |
|---|---|---|---|---|---|
| Access/HTTP |
TCP |
80 |
Indirizzo IP pubblico del servizio Edge Server Access Edge |
Qualsiasi |
Revoche di certificati e controllo e recupero CRL. |
| Accesso/DNS |
TCP |
53 |
Indirizzo IP pubblico del servizio Edge Server Access Edge |
Qualsiasi |
Query DNS su TCP. |
| Accesso/DNS |
UDP |
53 |
Indirizzo IP pubblico del servizio Edge Server Access Edge |
Qualsiasi |
Query DNS su UDP. |
| A/V/RTP |
TCP |
50000-59999 |
Indirizzo IP del servizio A/V Edge di Edge Server |
Qualsiasi |
Viene utilizzato per l'inoltro del traffico multimediale. |
| A/V/RTP |
UDP |
50000-59999 |
Indirizzo IP pubblico del servizio Edge Server A/V Edge |
Qualsiasi |
Viene utilizzato per l'inoltro del traffico multimediale. |
| A/V/STUN. MSTURN |
UDP |
3478 |
Indirizzo IP pubblico del servizio Edge Server A/V Edge |
Qualsiasi |
3478 in uscita è: • Utilizzato da Skype for Business Server per determinare la versione del server perimetrale con cui comunica. • Utilizzato per il traffico multimediale tra server perimetrali. • Necessario per la federazione. • Necessario se vengono distribuiti più pool Edge all'interno dell'organizzazione. |
| A/V/STUN. MSTURN |
UDP |
3478 |
Qualsiasi |
Indirizzo IP pubblico del servizio Edge Server A/V Edge |
Negoziazione STUN/TURN dei candidati su UDP sulla porta 3478. |
| A/V/STUN. MSTURN |
TCP |
443 |
Qualsiasi |
Indirizzo IP pubblico del servizio Edge Server A/V Edge |
Negoziazione STUN/TURN dei candidati su TCP sulla porta 443. |
| A/V/STUN. MSTURN |
TCP |
443 |
Indirizzo IP pubblico del servizio Edge Server A/V Edge |
Qualsiasi |
Negoziazione STUN/TURN dei candidati su TCP sulla porta 443. |
Tabella di riepilogo del firewall porta interna
| Protocollo | TCP o UDP | Porta | Indirizzo IP di origine | Indirizzo IP di destinazione | Note |
|---|---|---|---|---|---|
| XMPP/MTLS |
TCP |
23456 |
Uno degli elementi seguenti che esegue il servizio Gateway XMPP: • Front End Server • Indirizzo VIP del pool front-end che esegue il servizio Gateway XMPP |
Interfaccia interna del server perimetrale |
Traffico XMPP in uscita dal servizio Gateway XMPP in esecuzione nel pool Front End Server o Front End. Nota: I gateway e i proxy XMPP sono disponibili in Skype for Business Server 2015, ma non sono più supportati in Skype for Business Server 2019. Per altre informazioni, vedere Migrazione della federazione XMPP . |
| HTTPS |
TCP |
4443 |
Qualsiasi: • Front End Server che contiene l'archivio di gestione centrale • Pool front-end che ospita l'archivio di gestione centrale |
Interfaccia interna del server perimetrale |
Replica delle modifiche dall'archivio di gestione centrale al server perimetrale. |
| PSOM/MTLS |
TCP |
8057 |
Qualsiasi: • Front End Server • Ogni Front End Server nel pool Front End |
Interfaccia interna del server perimetrale |
Traffico delle conferenze Web dal Front End Server o da ogni Front End Server (se hai un pool Front End) all'interfaccia interna del server perimetrale. |
| STUN/MSTURN |
UDP |
3478 |
Qualsiasi: • Front End Server • Ogni Front End Server nel pool Front End |
Interfaccia interna del server perimetrale |
Percorso preferito per il trasferimento di supporti A/V tra gli utenti interni ed esterni e Survivable Branch Appliance o Survivable Branch Server. |
| STUN/MSTURN |
TCP |
443 |
Qualsiasi: • Front End Server • Ogni Front End Server nel pool |
Interfaccia interna del server perimetrale |
Percorso di fallback per il trasferimento di supporti A/V tra gli utenti interni ed esterni e Survivable Branch Appliance o Survivable Branch Server, se la comunicazione UDP non funziona. TCP viene quindi usato per i trasferimenti di file e la condivisione desktop. |
| MTLS |
TCP |
50001 |
Qualsiasi |
Interfaccia interna del server perimetrale |
Controller del servizio di registrazione centralizzato con Skype for Business Server Management Shell e cmdlet del servizio di registrazione centralizzata, comandi della riga di comando ClsController (ClsController.exe) o dell'agente (ClsAgent.exe) e raccolta log. |
| MTLS |
TCP |
50002 |
Qualsiasi |
Interfaccia interna del server perimetrale |
Controller del servizio di registrazione centralizzato con Skype for Business Server Management Shell e cmdlet del servizio di registrazione centralizzata, comandi della riga di comando ClsController (ClsController.exe) o dell'agente (ClsAgent.exe) e raccolta log. |
| MTLS |
TCP |
50003 |
Qualsiasi |
Interfaccia interna del server perimetrale |
Controller del servizio di registrazione centralizzato con Skype for Business Server Management Shell e cmdlet del servizio di registrazione centralizzata, comandi della riga di comando ClsController (ClsController.exe) o dell'agente (ClsAgent.exe) e raccolta log. |
IP virtuali dell'interfaccia esterna
| Ruolo o protocollo | TCP o UDP | Porta di destinazione o intervallo di porte | Indirizzo IP di origine | Indirizzo IP di destinazione | Note |
|---|---|---|---|---|---|
| XMPP Non supportato in Skype for Businesss Server 2019 |
TCP |
5269 |
Qualsiasi |
Servizio proxy XMPP (condivide un indirizzo IP con il servizio Access Edge) |
Il servizio Proxy XMPP accetta il traffico dei contatti XMPP in una federazione XMPP definita. |
| XMPP Non supportato in Skype for Businesss Server 2019 |
TCP |
5269 |
Servizio proxy XMPP (condivide un indirizzo IP con il servizio Access Edge) |
Qualsiasi |
Il servizio Proxy XMPP invia il traffico dai contatti XMPP in federazione XMPP definite. |
| Access/SIP(TLS) |
TCP |
443 |
Qualsiasi |
IP privato con NAT: Servizio Edge Server Access Edge IP pubblico: Indirizzo IP pubblico del servizio Edge Server Access Edge |
Traffico SIP da client a server per l'accesso degli utenti esterni. |
| Access/SIP(MTLS) |
TCP |
5061 |
Qualsiasi |
IP privato con NAT: Servizio Edge Server Access Edge IP pubblico: Indirizzo IP pubblico del servizio Edge Server Access Edge |
Per la connettività di messaggistica istantanea federata e pubblica tramite SIP. |
| Access/SIP(MTLS) |
TCP |
5061 |
IP privato con NAT: Servizio Edge Server Access Edge IP pubblico: Indirizzo IP pubblico del servizio Edge Server Access Edge |
Qualsiasi |
Per la connettività di messaggistica istantanea federata e pubblica tramite SIP. |
| Web conferencing/PSOM(TLS) |
TCP |
443 |
Qualsiasi |
IP privato con NAT: Servizio Edge Server Web Conferencing Edge IP pubblico: Indirizzo IP pubblico del servizio Edge Server Web Conferencing Edge |
Contenuti multimediali per conferenze Web. |
| A/V/STUN. MSTURN |
UDP |
3478 |
Qualsiasi |
IP privato con NAT: Servizio Edge Server A/V Edge IP pubblico: Indirizzo IP pubblico del servizio Edge Server A/V Edge |
Negoziazione STUN/TURN dei candidati su UDP sulla porta 3478. |
| A/V/STUN. MSTURN |
TCP |
443 |
Qualsiasi |
IP privato con NAT: Servizio Edge Server A/V Edge IP pubblico: Indirizzo IP pubblico del servizio Edge Server A/V Edge |
Negoziazione STUN/TURN dei candidati su TCP sulla porta 443. |
IP virtuali di interfaccia interna
Le nostre indicazioni saranno un po' diverse. In realtà, in una situazione HLB, ora ti consigliamo di effettuare il routing solo attraverso un VIP interno nei casi seguenti:
Se si usa Exchange 2007 o Exchange 2010 Messaggistica unificata.
Se hai client legacy che usano Edge.
La tabella seguente fornisce indicazioni per questi scenari, ma per il resto, dovresti essere in grado di dipendere dall'archivio di gestione centrale (CMS) per instradare il traffico al singolo server perimetrale di cui è a conoscenza (ciò richiede che, naturalmente, CMS sia aggiornato sulle informazioni del server perimetrale).
| Protocollo | TCP o UDP | Porta | Indirizzo IP di origine | Indirizzo IP di destinazione | Note |
|---|---|---|---|---|---|
| Access/SIP(MTLS) |
TCP |
5061 |
Qualsiasi: •Direttore • Indirizzo VIP pool director • Front End Server • Indirizzo VIP pool front-end |
Interfaccia interna del server perimetrale |
Traffico SIP in uscita dal director, dall'indirizzo VIP del pool di director, dal Front End Server o dall'indirizzo VIP del pool Front End all'interfaccia interna del server perimetrale. |
| Access/SIP(MTLS) |
TCP |
5061 |
Interfaccia VIP interna del server perimetrale |
Qualsiasi: •Direttore • Indirizzo VIP pool director • Front End Server • Indirizzo VIP pool front-end |
Traffico SIP in ingresso verso il director, l'indirizzo VIP del pool di directory, il front end server o l'indirizzo VIP del pool Front End dall'interfaccia interna del server perimetrale. |
| SIP/MTLS |
TCP |
5062 |
Qualsiasi: • Indirizzo IP front end server • Indirizzo IP del pool Front End • Qualsiasi Survivable Branch Appliance utilizzando questo Edge Server • Qualsiasi Survivable Branch Server utilizzando questo server perimetrale |
Interfaccia interna del server perimetrale |
Autenticazione di utenti A/V dal pool Front End Server o Front End oppure su Survivable Branch Appliance o Survivable Branch Server tramite il server perimetrale. |
| STUN/MSTURN |
UDP |
3478 |
Qualsiasi |
Interfaccia interna del server perimetrale |
Percorso preferito per il trasferimento di supporti A/V tra utenti interni ed esterni. |
| STUN/MSTURN |
TCP |
443 |
Qualsiasi |
Interfaccia VIP interna del server perimetrale |
Percorso di fallback per il trasferimento di supporti A/V tra gli utenti interni ed esterni se la comunicazione UDP non funziona. TCP viene quindi usato per i trasferimenti di file e la condivisione desktop. |