Requisiti di porte e protocollo per i server
Riepilogo: Esaminare le considerazioni sull'utilizzo delle porte prima di implementare Skype for Business Server.
Skype for Business Server richiede l'apertura di porte specifiche sui firewall interni ed esterni. Inoltre, se la sicurezza IPsec (Internet Protocol Security) viene distribuita nell'organizzazione, È necessario disabilitare IPsec nell'intervallo di porte usate per la distribuzione di video audio, video e panorama.
Anche se questo può sembrare un po' scoraggiante, il carico di lavoro per la pianificazione può essere eseguito con lo strumento di pianificazione di Skype for Business Server 2015. Dopo aver esaminato le domande della procedura guidata sulle funzionalità che si prevede di usare, per ogni sito definito è possibile visualizzare il report firewall all'interno del report di Amministrazione di Edge e usare le informazioni elencate per creare le regole del firewall. È anche possibile apportare modifiche a molti nomi e indirizzi IP usati, per informazioni dettagliate vedere Esaminare il report firewall. Tenere presente che è possibile esportare il report di Edge Amministrazione in un foglio di calcolo di Excel e che il report firewall sarà uno dei fogli di lavoro nel file.
Per trovare le informazioni in queste tabelle in forma di diagramma, esaminare il poster Carichi di lavoro protocollo collegato ai diagrammi tecnici per Skype for Business Server 2015 articolo.
Nota
- Se stai implementando Skype for Business Online (Microsoft 365 o Office 365) consulta Microsoft 365 e Office 365 URL e intervalli di indirizzi IP. Gli ambienti ibridi dovranno fare riferimento a questo argomento e anche pianificare la connettività ibrida.
- È possibile avere un firewall hardware o software. Non sono necessari modelli o versioni specifiche. Ciò che conta è quali porte vengono aggiunte a un elenco di domini consentiti in modo che il firewall non comprometta il funzionamento di Skype for Business Server.
Dettagli relativi a porte e protocolli
Questa sezione riepiloga le porte e i protocolli usati da server, bilanciamenti del carico e client in una distribuzione Skype for Business Server.
Nota
All'avvio di Skype for Business Server, vengono aperte le porte necessarie in Windows Firewall. Windows Firewall dovrebbe essere già in esecuzione nella maggior parte delle applicazioni normali, ma se non viene usato Skype for Business Server funzionerà senza di esso.
Per informazioni dettagliate sulla configurazione del firewall per i componenti edge, vedere Scenari del server perimetrale in Skype for Business Server 2015.
La tabella seguente elenca le porte che devono essere aperte in ogni ruolo server interno.
Porte server obbligatorie (in base al ruolo del server)
Ruolo server | Nome del servizio | Port | Protocollo | Note |
---|---|---|---|---|
Tutti i server | SQL Browser | 1434 | UDP | SQL Browser per la copia replicata locale del database dell'archivio di gestione centrale. |
Server Front-End | servizio Skype for Business Server Front-End | 5060 | TCP | Facoltativamente usato dai server Standard Edition e front end server per route statiche a servizi attendibili, ad esempio server di controllo delle chiamate remote. |
Front End Server | servizio Skype for Business Server Front-End | 5061 | TCP (TLS) | Utilizzato dai server Standard Edition e dai pool Front End per tutte le comunicazioni SIP interne tra i server (MTLS), per le comunicazioni SIP tra Server e Client (TLS) e per le comunicazioni SIP tra Front End Servers e Mediation Server (MTLS). Utilizzato anche per le comunicazioni con un Monitoring Server. |
Front End Server | servizio Skype for Business Server Front-End | 444 | HTTPS TCP |
Usato per le comunicazioni HTTPS tra focus (il componente Skype for Business Server che gestisce lo stato conferenza) e i singoli server. Questa porta viene utilizzata anche per la comunicazione TCP tra survivable branch appliance e front end server. |
Front End Server | servizio Skype for Business Server Front-End | 135 | DCOM e RPC (Remote Procedure Call) | Usato per operazioni basate su DCOM come lo spostamento di utenti, la sincronizzazione dei replicatori utenti e la sincronizzazione della Rubrica. |
Front End Server | servizio di conferenza istantanea di Skype for Business Server | 5062 | TCP | Usato per le richieste SIP in arrivo per le conferenze di messaggistica istantanea. |
Front End Server | servizio di conferenza Web Skype for Business Server | 8057 | TCP (TLS) | Usato per ascoltare le connessioni PSOM (Persistent Shared Object Model) dal client. |
Front End Server | Skype for Business Server Web Conferencing Compatibility Service | 8058 | TCP (TLS) | Usato per ascoltare le connessioni PSOM (Persistent Shared Object Model) dal client Live Meeting e dalle versioni precedenti di Skype for Business Server. |
Front End Server | servizio audio/videoconferenza di Skype for Business Server | 5063 | TCP | Utilizzato per le richieste SIP in arrivo per le conferenze audio/video (A/V). |
Front End Server | servizio audio/videoconferenza di Skype for Business Server | 57501-65535 | TCP/UDP | Intervallo di porte multimediali utilizzato per le videoconferenze. |
Front End Server | Servizio compatibilità Web Skype for Business Server | 80 | HTTP | Usato per la comunicazione da Front End Servers agli FQDN della web farm (gli URL usati dai componenti Web di IIS) quando HTTPS non viene utilizzato. |
Front End Server | Servizio compatibilità Web Skype for Business Server | 443 | HTTPS | Usato per la comunicazione da Front End Servers agli FQDN della web farm (gli URL usati dai componenti Web di IIS). |
Front End Server | Servizio compatibilità Web Skype for Business Server | 8080 | TCP e HTTP | Usato dai componenti Web per l'accesso esterno. |
Front End Server | Componente server Web | 4443 | HTTPS | COMUNICAZIONI TRA POOL HTTPS (da Proxy inverso) e HTTPS Front End per l'accesso all'individuazione automatica. |
Front End Server | Componente server Web | 8060 | TCP (MTLS) | |
Front End Server | Componente server Web | 8061 | TCP (MTLS) | |
Front End Server | Componente Servizi di mobilità | 5086 | TCP (MTLS) | Porta SIP utilizzata dai processi interni di Mobility Services |
Front End Server | Componente Servizi di mobilità | 5087 | TCP (MTLS) | Porta SIP utilizzata dai processi interni di Mobility Services |
Front End Server | Componente Servizi di mobilità | 443 | HTTPS | |
Front End Server | servizio Skype for Business Server Conferencing Attendant (conferenza telefonica con accesso esterno) | 5064 | TCP | Utilizzato per le richieste SIP in arrivo per i servizi di conferenza telefonica con accesso esterno. |
Front End Server | servizio Skype for Business Server Conferencing Attendant (conferenza telefonica con accesso esterno) | 5072 | TCP | Utilizzato per le richieste SIP in arrivo per Attendant (conferenza telefonica con accesso esterno). |
Front End Servers che eseguono anche un Mediation Server collocato | Skype for Business Server Mediation Service | 5070 | TCP | Usato da Mediation Server per le richieste in ingresso dal Front End Server al Mediation Server. |
Front End Servers che eseguono anche un Mediation Server collocato | Skype for Business Server Mediation Service | 5067 | TCP (TLS) | Usato per le richieste SIP in arrivo dal gateway PSTN al Mediation Server. |
Front End Servers che eseguono anche un Mediation Server collocato | Skype for Business Server Mediation Service | 5068 | TCP | Usato per le richieste SIP in arrivo dal gateway PSTN al Mediation Server. |
Front End Servers che eseguono anche un Mediation Server collocato | Skype for Business Server Mediation Service | 5081 | TCP | Usato per le richieste SIP in uscita dal Mediation Server al gateway PSTN. |
Front End Servers che eseguono anche un Mediation Server collocato | Skype for Business Server Mediation Service | 5082 | TCP (TLS) | Usato per le richieste SIP in uscita dal Mediation Server al gateway PSTN. |
Front End Server | Skype for Business Server servizio di condivisione applicazioni | 5065 | TCP | Usato per le richieste di ascolto SIP in arrivo per la condivisione dell'applicazione. |
Front End Server | Skype for Business Server servizio di condivisione applicazioni | 49152-65535 | TCP | Intervallo di porte multimediali utilizzato per la condivisione di applicazioni. |
Front End Server | Servizio annunci conferenza Skype for Business Server | 5073 | TCP | Utilizzato per le richieste SIP in arrivo per il servizio annuncio conferenza Skype for Business Server, ovvero per i servizi di conferenza telefonica con accesso esterno. |
Front End Server | servizio parcheggio di chiamata Skype for Business Server | 5075 | TCP | Usato per le richieste SIP in arrivo per l'applicazione Parcheggio di chiamata. |
Front End Server | servizio test audio Skype for Business Server | 5076 | TCP | Usato per le richieste SIP in arrivo per il servizio Test audio. |
Front End Server | Non applicabile | 5066 | TCP | Usato per il gateway avanzato 9-1-1 (E9-1-1) in uscita. |
Front End Server | servizio Response Group di Skype for Business Server | 5071 | TCP | Usato per le richieste SIP in arrivo per l'applicazione Response Group. |
Front End Server | servizio Response Group di Skype for Business Server | 8404 | TCP (MTLS) | Usato per le richieste SIP in arrivo per l'applicazione Response Group. |
Front End Server | Servizio criteri larghezza di banda Skype for Business Server | 5080 | TCP | Utilizzato per il controllo di ammissione di chiamata dal servizio Criteri larghezza di banda per il traffico A/V Edge TURN. |
Front End Server | Skype for Business Server l'accesso al server Condivisione file | 445 | SMB/TCP | Consente di recuperare la Rubrica, il contenuto della riunione e altri elementi archiviati nel server Condivisione file. |
Front End Server | Servizio criteri larghezza di banda Skype for Business Server | 448 | TCP | Usato per il controllo di ammissione di chiamata da parte del servizio criteri larghezza di banda Skype for Business Server. |
Server Front End in cui si trova l'archivio di gestione centrale | servizio Agente replicatore master Skype for Business Server | 445 | TCP | Consente di eseguire il push dei dati di configurazione dall'archivio di gestione centrale ai server che eseguono Skype for Business Server. |
Tutti i server | SQL Browser | 1434 | UDP | SQL Browser per la copia replicata locale dei dati dell'archivio di gestione centrale nell'istanza di SQL Server locale |
Tutti i server interni | Vari | 49152-57500 | TCP/UDP | Intervallo di porte multimediali utilizzato per i servizi di audioconferenza su tutti i server interni. Utilizzato da tutti i server che terminano l'audio: Front End Servers (per Skype for Business Server servizio Conferencing Attendant, servizio Skype for Business Server Conferencing Announcement e Skype for Business Server servizio Audio/Videoconferenza) e Mediation Server. |
Server di Office App Web | 443 | Usato da Skype for Business Server per connettersi a Office App Web Server. | ||
Amministrazione | servizio Skype for Business Server Front-End | 5060 | TCP | Facoltativamente usato per route statiche a servizi attendibili, ad esempio server di controllo delle chiamate remote. |
Amministrazione | servizio Skype for Business Server Front-End | 444 | HTTPS TCP |
Comunicazione tra server tra Front End e Director. Inoltre, il certificato client viene pubblicato (in Front End Servers) o convalidato se il certificato client è già stato pubblicato. |
Amministrazione | Servizio compatibilità Web Skype for Business Server | 80 | TCP | Usato per la comunicazione iniziale dai directors ai nomi FQDN della web farm (gli URL utilizzati dai componenti Web di IIS). Durante il normale funzionamento, passerà al traffico HTTPS, utilizzando la porta 443 e il tipo di protocollo TCP. |
Amministrazione | Servizio compatibilità Web Skype for Business Server | 443 | HTTPS | Usato per le comunicazioni dai direttori ai nomi FQDN della web farm (gli URL usati dai componenti Web di IIS). |
Amministrazione | servizio Skype for Business Server Front-End | 5061 | TCP | Usato per le comunicazioni interne tra server e per le connessioni client. |
Mediation Server | Skype for Business Server Mediation Service | 5070 | TCP | Usato da Mediation Server per le richieste in arrivo dal Front End Server. |
Mediation Server | Skype for Business Server Mediation Service | 5067 | TCP (TLS) | Usato per le richieste SIP in arrivo dal gateway PSTN. |
Mediation Server | Skype for Business Server Mediation Service | 5068 | TCP | Usato per le richieste SIP in arrivo dal gateway PSTN. |
Mediation Server | Skype for Business Server Mediation Service | 5070 | TCP (MTLS) | Utilizzato per le richieste SIP dai front-end server. |
Front End Server chat persistente | SIP di Chat persistente | 5041 | TCP (MTLS) | |
Front End Server chat persistente | Persistent Chat Windows Communication Foundation (WCF) | 881 | TCP (TLS) e TCP (MTLS) | |
Front End Server chat persistente | Servizio di trasferimento file di Chat persistente | 443 | TCP (TLS) |
Nota
Alcuni scenari di controllo delle chiamate remote richiedono una connessione TCP tra Front End Server o Director e PBX. Anche se Skype for Business Server non usa più la porta TCP 5060, durante la distribuzione del controllo delle chiamate remote si crea una configurazione server attendibile, che associa l'FQDN del server di linea RCC alla porta TCP che il Front End Server o il Director userà per connettersi al sistema PBX. Per informazioni dettagliate, vedere il cmdlet CsTrustedApplicationComputer nella documentazione di Skype for Business Server Management Shell.
Per i pool che usano solo il bilanciamento del carico hardware (non il bilanciamento del carico DNS), la tabella seguente mostra le porte che devono aprire i bilanciamenti del carico hardware.
Porte Load Balancer hardware se si usa solo bilanciamento del carico hardware
Bilanciamento del carico | Port | Protocollo |
---|---|---|
Bilanciamento del carico di Front End Server | 5061 | TCP (TLS) |
Bilanciamento del carico di Front End Server | 444 | HTTPS |
Bilanciamento del carico di Front End Server | 135 | DCOM e RPC (Remote Procedure Call) |
Bilanciamento del carico di Front End Server | 80 | HTTP |
Bilanciamento del carico di Front End Server | 8080 | TCP - Recupero client e dispositivo del certificato radice da Front End Server - client e dispositivi autenticati da NTLM |
Bilanciamento del carico di Front End Server | 443 | HTTPS |
Bilanciamento del carico di Front End Server | 4443 | HTTPS (dal proxy inverso) |
Bilanciamento del carico di Front End Server | 5072 | TCP |
Bilanciamento del carico di Front End Server | 5073 | TCP |
Bilanciamento del carico di Front End Server | 5075 | TCP |
Bilanciamento del carico di Front End Server | 5076 | TCP |
Bilanciamento del carico di Front End Server | 5071 | TCP |
Bilanciamento del carico di Front End Server | 5080 | TCP |
Bilanciamento del carico di Front End Server | 448 | TCP |
Bilanciamento del carico di Mediation Server | 5070 | TCP |
Bilanciamento del carico di Front End Server (se il pool esegue anche Mediation Server) | 5070 | TCP |
Bilanciamento del carico di Director | 443 | HTTPS |
Bilanciamento del carico di Director | 444 | HTTPS |
Bilanciamento del carico di Director | 5061 | TCP |
Bilanciamento del carico di Director | 4443 | HTTPS (dal proxy inverso) |
Anche per i pool Front End e i pool di director che usano il bilanciamento del carico DNS deve essere distribuito un bilanciamento del carico hardware. La tabella seguente mostra le porte che devono essere aperte in questi bilanciamenti del carico hardware.
Porte di Load Balancer hardware se si usa il bilanciamento del carico DNS
Bilanciamento del carico | Port | Protocollo |
---|---|---|
Bilanciamento del carico di Front End Server | 80 | HTTP |
Bilanciamento del carico di Front End Server | 443 | HTTPS |
Bilanciamento del carico di Front End Server | 8080 | TCP - Recupero client e dispositivo del certificato radice da Front End Server - client e dispositivi autenticati da NTLM |
Bilanciamento del carico di Front End Server | 4443 | HTTPS (dal proxy inverso) |
Bilanciamento del carico di Director | 443 | HTTPS |
Bilanciamento del carico di Director | 4443 | HTTPS (dal proxy inverso) |
Porte client richieste
Componente | Port | Protocollo | Note |
---|---|---|---|
Client | 67/68 | DHCP | Usato da Skype for Business Server per trovare l'FQDN del registrar, ovvero se dns SRV non riesce e le impostazioni manuali non sono configurate. |
Client | 443 | TCP (TLS) | Usato per il traffico SIP da client a server per l'accesso degli utenti esterni. |
Client | 443 | TCP (PSOM/TLS) | Utilizzato per l'accesso di utenti esterni alle sessioni di conferenza Web. |
Client | 443 | TCP (STUN/MSTURN) | Usato per l'accesso di utenti esterni a sessioni A/V e supporti multimediali (TCP) |
Client | 3478 | UDP (STUN/MSTURN) | Utilizzato per l'accesso degli utenti esterni alle sessioni A/V e ai file multimediali (UDP) |
Client | 5061 | TCP (MTLS) | Usato per il traffico SIP da client a server per l'accesso degli utenti esterni. |
Client | 6891-6901 | TCP | Usato per il trasferimento di file tra i client Skype for Business e i client precedenti. |
Client | 1024-65535 * | TCP/UDP | Intervallo di porte audio (sono necessarie almeno 20 porte) |
Client | 1024-65535 * | TCP/UDP | Intervallo di porte video (sono necessarie almeno 20 porte). |
Client | 1024-65535 * | TCP | Trasferimento di file peer-to-peer (per il trasferimento di file di conferenza, i client usano PSOM). |
Client | 1024-65535 * | TCP | Condivisione applicazioni. |
Telefono area comune Aastra 6721ip Telefono da tavolo Aastra 6725ip TELEFONO IP HP 4110 (telefono area comune) TELEFONO IP HP 4120 (telefono da tavolo) Telefono area comune IP Polycom CX500 Telefono da tavolo IP Polycom CX600 Telefono da tavolo IP Polycom CX700 Telefono da conferenza IP Polycom CX3000 |
67/68 | DHCP | Usato dai dispositivi elencati per trovare il certificato di Skype for Business Server, l'FQDN di provisioning e l'FQDN del registrar. |
* Per configurare porte specifiche per questi tipi di elementi multimediali, utilizza il cmdlet CsConferencingConfiguration (parametri ClientMediaPortRangeEnabled, ClientMediaPort e ClientMediaPortRange).
Nota
I programmi di installazione per Skype for Business client creano automaticamente le eccezioni firewall del sistema operativo richieste nel computer client.
Nota
Le porte utilizzate per l'accesso degli utenti esterni sono necessarie per qualsiasi scenario in cui il client deve attraversare il firewall dell'organizzazione, ad esempio le comunicazioni esterne o le riunioni ospitate da altre organizzazioni.
Eccezioni IPsec
Per le reti aziendali in cui è stato distribuito Internet Protocol Security (IPsec) (vedere IETF RFC 4301-4309), IPsec deve essere disabilitato nell'intervallo di porte usate per la distribuzione di video audio, video e panoramici. La raccomandazione è motivata dalla necessità di evitare ritardi nell'allocazione delle porte multimediali a causa della negoziazione IPsec.
La tabella seguente illustra le impostazioni consigliate per le eccezioni IPsec.
Eccezioni IPsec consigliate
Nome regola | IP di origine | IP di destinazione | Protocollo | Porta di origine | Porta di destinazione | Requisito per l'autenticazione |
---|---|---|---|---|---|---|
A/V Edge Server Internal Inbound | Qualsiasi | A/V Edge Server Internal | UDP e TCP | Qualsiasi | Qualsiasi | Non eseguire l'autenticazione |
A/V Edge Server esterno in ingresso | Qualsiasi | A/V Edge Server esterno | UDP e TCP | Qualsiasi | Qualsiasi | Non eseguire l'autenticazione |
A/V Edge Server Internal Outbound | A/V Edge Server Internal | Qualsiasi | UDP & TCP | Qualsiasi | Qualsiasi | Non eseguire l'autenticazione |
A/V Edge Server esterno in uscita | A/V Edge Server esterno | Qualsiasi | UDP e TCP | Qualsiasi | Qualsiasi | Non eseguire l'autenticazione |
Mediation Server in ingresso | Qualsiasi | Mediazione Server(i) |
UDP e TCP | Qualsiasi | Qualsiasi | Non eseguire l'autenticazione |
Mediation Server in uscita | Mediazione Server(i) |
Qualsiasi | UDP e TCP | Qualsiasi | Qualsiasi | Non eseguire l'autenticazione |
Operatore conferenza in ingresso | Qualsiasi | Front End Server che esegue Conferencing Attendant | UDP e TCP | Qualsiasi | Qualsiasi | Non eseguire l'autenticazione |
Operatore conferenza in uscita | Front End Server che esegue Conferencing Attendant | Qualsiasi | UDP e TCP | Qualsiasi | Qualsiasi | Non eseguire l'autenticazione |
A/V Conferencing in ingresso | Qualsiasi | Front End Server | UDP e TCP | Qualsiasi | Qualsiasi | Non eseguire l'autenticazione |
A/V Conferencing in uscita | Front End Server | Qualsiasi | UDP e TCP | Qualsiasi | Qualsiasi | Non eseguire l'autenticazione |
Exchange in ingresso | Qualsiasi | Messaggistica unificata di Exchange | UDP e TCP | Qualsiasi | Qualsiasi | Non eseguire l'autenticazione |
Server di condivisione applicazioni in ingresso | Qualsiasi | Server di condivisione applicazioni | TCP | Qualsiasi | Qualsiasi | Non eseguire l'autenticazione |
Server di condivisione applicazioni in uscita | Server di condivisione applicazioni | Qualsiasi | TCP | Qualsiasi | Qualsiasi | Non eseguire l'autenticazione |
Exchange in uscita | Messaggistica unificata di Exchange | Qualsiasi | UDP e TCP | Qualsiasi | Qualsiasi | Non eseguire l'autenticazione |
Client | Qualsiasi | Qualsiasi | UDP | Intervallo di porte del supporto specificato | Qualsiasi | Non eseguire l'autenticazione |