サーバーのポートとプロトコルの要件
概要:Skype for Business Serverを実装する前に、ポートの使用に関する考慮事項を確認してください。
Skype for Business Serverでは、外部ファイアウォールと内部ファイアウォール上の特定のポートが開かれている必要があります。 さらに、組織でインターネット プロトコル セキュリティ (IPsec) が展開されている場合は、音声、ビデオ、およびパノラマ ビデオの配信に使用するポートの範囲に対して IPsec を無効にする必要があります。
これは少し困難に思えるかもしれませんが、これを計画するための重い持ち上げは、Skype for Business Server 2015計画ツールを使用して行うことができます。 使用する予定の機能に関するウィザードの質問を完了したら、定義するサイトごとに、Edge 管理 レポート内のファイアウォール レポートを表示し、そこに記載されている情報を使用してファイアウォール規則を作成できます。 使用される多くの名前と IP アドレスを調整することもできます。詳細については、「 ファイアウォール レポートの確認」を参照してください。 Edge 管理 レポートは Excel スプレッドシートにエクスポートでき、ファイアウォール レポートはファイル内のワークシートの 1 つであることに注意してください。
これらの表の情報は、2015 年の技術図にリンクされているプロトコル ワークロードポスター Skype for Business Server参照して、図形式で見つけることができます。
注意
- Skype for Business Online (Microsoft 365 または Office 365) を実装する場合は、Microsoft 365 と Office 365 URL と IP アドレス範囲を参照してください。 ハイブリッド環境では、このトピックを参照し、 ハイブリッド接続を計画する必要があります。
- ハードウェアファイアウォールまたはソフトウェアファイアウォールを使用できます。 特定のモデルやバージョンは必要ありません。 重要なのは、ファイアウォールがSkype for Business Serverの機能を損なわないよう、許可リストに追加されるポートです。
ポートとプロトコルの詳細
このセクションでは、Skype for Business Serverデプロイでサーバー、ロード バランサー、クライアントによって使用されるポートとプロトコルについて説明します。
注意
Skype for Business Serverが起動すると、Windows ファイアウォールで必要なポートが開きます。 Windows ファイアウォールは、ほとんどの通常のアプリケーションで既に実行されている必要がありますが、使用されていない場合Skype for Business Serverは機能しません。
エッジ コンポーネントのファイアウォール構成の詳細については、「Skype for Business Server 2015 のエッジ サーバーシナリオ」を参照してください。
次の表に、各内部サーバー役割で開く必要のあるポートの一覧を示します。
必要なサーバー ポート (サーバー役割別)
| サーバーの役割 | サービス名 | ポート | プロトコル | メモ |
|---|---|---|---|---|
| すべてのサーバー | SQL ブラウザー | 1434 | UDP | 中央管理ストア データベースのローカルレプリケートされたコピーの SQL ブラウザー。 |
| Front-End サーバー | Skype for Business Server Front-End サービス | 5060 | TCP | リモート通話コントロール サーバーなどの Standard Edition サーバーとフロントエンド サーバーで、信頼されたサービスへの静的ルートの場合にオプションとして使用。 |
| フロントエンド サーバー | Skype for Business Server Front-End サービス | 5061 | TCP (TLS) | サーバー間のすべての内部 SIP 通信 (MTLS)、サーバーとクライアントの間の SIP 通信 (TLS)、およびフロントエンド サーバーと仲介サーバーの間の SIP 通信 (MTLS) において、Standard Edition サーバーとフロントエンド プールで使用。 監視サーバーとの通信でも使用。 |
| フロントエンド サーバー | Skype for Business Server Front-End サービス | 444 | HTTPS TCP |
Focus (会議の状態を管理するSkype for Business Server コンポーネント) と個々のサーバー間の HTTPS 通信に使用されます。 このポートは、存続可能ブランチ アプライアンスとフロント エンド サーバー間の TCP 通信にも使用されます。 |
| フロントエンド サーバー | Skype for Business Server Front-End サービス | 135 | DCOM およびリモート プロシージャ コール (RPC) | ユーザーの移行、ユーザー レプリケーター同期、およびアドレス帳同期などの DCOM ベースの操作で使用。 |
| フロントエンド サーバー | SKYPE FOR BUSINESS SERVER IM 会議サービス | 5062 | TCP | インスタント メッセージング (IM) 会議の SIP 要求を受信するために使用。 |
| フロントエンド サーバー | Skype for Business Server Web 会議サービス | 8057 | TCP (TLS) | クライアントからの PSOM (永続共有オブジェクト モデル) 接続をリッスンするために使用。 |
| フロントエンド サーバー | Skype for Business Server Web 会議互換性サービス | 8058 | TCP (TLS) | Live Meeting クライアントと以前のバージョンのSkype for Business Serverから永続的な共有オブジェクト モデル (PSOM) 接続をリッスンするために使用されます。 |
| フロントエンド サーバー | Skype for Business Serverオーディオ/ビデオ会議サービス | 5063 | TCP | 音声ビデオ会議の SIP 要求を受信するために使用。 |
| フロントエンド サーバー | Skype for Business Serverオーディオ/ビデオ会議サービス | 57501-65535 | TCP/UDP | ビデオ会議で使用するメディア ポート範囲。 |
| フロントエンド サーバー | Skype for Business Server Web 互換サービス | 80 | HTTP | HTTPS が使用されない場合の、フロントエンド サーバーから Web ファーム FQDN (IIS Web コンポーネントで使用される URL) への通信に使用。 |
| フロントエンド サーバー | Skype for Business Server Web 互換サービス | 443 | HTTPS | フロントエンド サーバーから Web ファーム FQDN (IIS Web コンポーネントで使用される URL) への通信に使用。 |
| フロントエンド サーバー | Skype for Business Server Web 互換サービス | 8080 | TCP および HTTP | 外部アクセスのために Web コンポーネントで使用。 |
| フロントエンド サーバー | Web サーバー コンポーネント | 4443 | HTTPS | Autodiscover サインインのための HTTPS (リバース プロキシから) および HTTPS フロント エンドのプール間通信。 |
| フロントエンド サーバー | Web サーバー コンポーネント | 8060 | TCP (MTLS) | |
| フロントエンド サーバー | Web サーバー コンポーネント | 8061 | TCP (MTLS) | |
| フロントエンド サーバー | Mobility Service コンポーネント | 5086 | TCP (MTLS) | Mobility Service の内部プロセスに使用される SIP ポート。 |
| フロントエンド サーバー | Mobility Service コンポーネント | 5087 | TCP (MTLS) | Mobility Service の内部プロセスに使用される SIP ポート。 |
| フロントエンド サーバー | Mobility Service コンポーネント | 443 | HTTPS | |
| フロントエンド サーバー | Skype for Business Server会議アテンダント サービス (ダイヤルイン会議) | 5064 | TCP | ダイヤルイン会議の SIP 要求を受信するために使用。 |
| フロントエンド サーバー | Skype for Business Server会議アテンダント サービス (ダイヤルイン会議) | 5072 | TCP | アテンダント (ダイヤルイン会議) の着信 SIP 要求に使用されます。 |
| 併置された仲介サーバーも実行するフロントエンド サーバー | Skype for Business Server 仲介サービス | 5070 | TCP | フロントエンド サーバーから仲介サーバーへの要求を受信するために仲介サーバーで使用。 |
| 併置された仲介サーバーも実行するフロントエンド サーバー | Skype for Business Server 仲介サービス | 5067 | TCP (TLS) | PSTN ゲートウェイから仲介サーバーへの SIP 要求を受信するために使用。 |
| 併置された仲介サーバーも実行するフロントエンド サーバー | Skype for Business Server 仲介サービス | 5068 | TCP | PSTN ゲートウェイから仲介サーバーへの SIP 要求を受信するために使用。 |
| 併置された仲介サーバーも実行するフロントエンド サーバー | Skype for Business Server 仲介サービス | 5081 | TCP | 仲介サーバーから PSTN ゲートウェイへの SIP 要求を送信するために使用。 |
| 併置された仲介サーバーも実行するフロントエンド サーバー | Skype for Business Server 仲介サービス | 5082 | TCP (TLS) | 仲介サーバーから PSTN ゲートウェイへの SIP 要求を送信するために使用。 |
| フロントエンド サーバー | Skype for Business Server アプリケーション共有サービス | 5065 | TCP | アプリケーション共有の SIP リッスン要求を受信するために使用。 |
| フロントエンド サーバー | Skype for Business Server アプリケーション共有サービス | 49152-65535 | TCP | アプリケーション共有で使用するメディア ポート範囲。 |
| フロントエンド サーバー | Skype for Business Server会議アナウンス サービス | 5073 | TCP | Skype for Business Server会議アナウンス サービスの着信 SIP 要求 (つまり、ダイヤルイン会議用) に使用されます。 |
| フロントエンド サーバー | Skype for Business Serverコールパークサービス | 5075 | TCP | コール パーク アプリケーションの SIP 要求を受信するために使用。 |
| フロントエンド サーバー | Skype for Business Server オーディオ テスト サービス | 5076 | TCP | オーディオ テスト サービスの SIP 要求を受信するために使用。 |
| フロントエンド サーバー | 該当なし | 5066 | TCP | 発信 Enhanced 9-1-1 (E9-1-1) ゲートウェイで使用。 |
| フロントエンド サーバー | Skype for Business Server応答グループ サービス | 5071 | TCP | 応答グループ アプリケーションの SIP 要求を受信するために使用。 |
| フロントエンド サーバー | Skype for Business Server応答グループ サービス | 8404 | TCP (MTLS) | 応答グループ アプリケーションの SIP 要求を受信するために使用。 |
| フロントエンド サーバー | Skype for Business Server帯域幅ポリシー サービス | 5080 | TCP | 音声ビデオ エッジ TURN トラフィックの帯域幅ポリシー サービスによる通話受付管理で使用。 |
| フロントエンド サーバー | ファイル共有サーバーアクセスのSkype for Business Server | 445 | SMB/TCP | ファイル共有サーバーに格納されているアドレス帳、会議コンテンツ、その他のアイテムを取得するために使用されます。 |
| フロントエンド サーバー | Skype for Business Server帯域幅ポリシー サービス | 448 | TCP | Skype for Business Server帯域幅ポリシー サービスによる通話受付制御に使用されます。 |
| 中央管理ストアが存在するフロント エンド サーバー | マスター レプリケーター エージェント サービスのSkype for Business Server | 445 | TCP | 中央管理ストアからSkype for Business Serverを実行しているサーバーに構成データをプッシュするために使用されます。 |
| すべてのサーバー | SQL ブラウザー | 1434 | UDP | ローカル SQL Server インスタンスの中央管理ストア データのローカルレプリケートコピー用の SQL ブラウザー |
| すべての内部サーバー | 各種 | 49152-57500 | TCP/UDP | すべての内部サーバーでのオーディオ会議で使用するメディア ポート範囲。 オーディオを終了するすべてのサーバーで使用されます:フロント エンド サーバー (Skype for Business Server会議アテンダント サービス、Skype for Business Server会議アナウンス サービス、Skype for Business Serverオーディオ/ビデオ会議サービス)、仲介サーバー。 |
| Office Web Apps サーバー | 443 | office Web Apps Server に接続するためにSkype for Business Serverによって使用されます。 | ||
| ディレクター | Skype for Business Server Front-End サービス | 5060 | TCP | リモート通話コントロール サーバーなど、信頼されたサービスへの静的ルートの場合にオプションで使用。 |
| ディレクター | Skype for Business Server Front-End サービス | 444 | HTTPS TCP |
フロントエンドとディレクターの間のサーバー間通信。 さらに、クライアント証明書は (フロントエンド サーバーに) 発行するか、クライアント証明書が既に発行されているかどうかを検証します。 |
| ディレクター | Skype for Business Server Web 互換サービス | 80 | TCP | ディレクターから Web ファーム FQDN (IIS Web コンポーネントで使用される URL) への初期通信に使用。 通常の動作では HTTPS トラフィックに切り替わり、ポート 443 およびプロトコル TCP を使用します。 |
| ディレクター | Skype for Business Server Web 互換サービス | 443 | HTTPS | ディレクターから Web ファーム FQDN (IIS Web コンポーネントで使用される URL) への通信に使用。 |
| ディレクター | Skype for Business Server Front-End サービス | 5061 | TCP | サーバー間の内部通信とクライアント接続に使用。 |
| 仲介サーバー | Skype for Business Server 仲介サービス | 5070 | TCP | フロントエンド サーバーからの要求を受信するために仲介サーバーで使用。 |
| 仲介サーバー | Skype for Business Server 仲介サービス | 5067 | TCP (TLS) | PSTN ゲートウェイからの SIP 要求を受信するために使用。 |
| 仲介サーバー | Skype for Business Server 仲介サービス | 5068 | TCP | PSTN ゲートウェイからの SIP 要求を受信するために使用。 |
| 仲介サーバー | Skype for Business Server 仲介サービス | 5070 | TCP (MTLS) | フロントエンド サーバーからの SIP 要求で使用。 |
| 常設チャット フロントエンド サーバー | 常設チャット SIP | 5041 | TCP (MTLS) | |
| 常設チャット フロントエンド サーバー | 常設チャット Windows Communication Foundation (WCF) | 881 | TCP (TLS) および TCP (MTLS) | |
| 常設チャット フロントエンド サーバー | 常設チャット ファイル転送サービス | 443 | TCP (TLS) |
注意
一部のリモート通話制御シナリオでは、フロントエンド サーバーまたはディレクターと PBX 間の TCP 接続が必要です。 Skype for Business Serverは TCP ポート 5060 を使用しなくなりましたが、リモート通話制御の展開中に信頼できるサーバー構成を作成します。これにより、RCC 回線サーバー FQDN がフロントエンド サーバーまたはディレクターが PBX システムへの接続に使用する TCP ポートに関連付けられます。 詳細については、Skype for Business Server管理シェルのドキュメントの CsTrustedApplicationComputer コマンドレットを参照してください。
次の表に、(DNS 負荷分散ではない) ハードウェア負荷分散のみを使用するプールでハードウェア ロード バランサーを開くために必要なポートを示します。
ハードウェア負荷分散のみを使用する場合のハードウェア ロード バランサー
| ロード バランサー | ポート | プロトコル |
|---|---|---|
| フロントエンド サーバーのロード バランサー | 5061 | TCP (TLS) |
| フロントエンド サーバーのロード バランサー | 444 | HTTPS |
| フロントエンド サーバーのロード バランサー | 135 | DCOM およびリモート プロシージャ コール (RPC) |
| フロントエンド サーバーのロード バランサー | 80 | HTTP |
| フロントエンド サーバーのロード バランサー | 8080 | TCP - フロントエンド サーバーからのルート証明書のクライアントとデバイスの取得 - NTLM によって認証されたクライアントとデバイス |
| フロントエンド サーバーのロード バランサー | 443 | HTTPS |
| フロントエンド サーバーのロード バランサー | 4443 | HTTPS (リバース プロキシから) |
| フロントエンド サーバーのロード バランサー | 5072 | TCP |
| フロントエンド サーバーのロード バランサー | 5073 | TCP |
| フロントエンド サーバーのロード バランサー | 5075 | TCP |
| フロントエンド サーバーのロード バランサー | 5076 | TCP |
| フロントエンド サーバーのロード バランサー | 5071 | TCP |
| フロントエンド サーバーのロード バランサー | 5080 | TCP |
| フロントエンド サーバーのロード バランサー | 448 | TCP |
| 仲介サーバーのロード バランサー | 5070 | TCP |
| フロントエンド サーバーのロード バランサー (プールで仲介サーバーも稼働する場合) | 5070 | TCP |
| ディレクターのロード バランサー | 443 | HTTPS |
| ディレクターのロード バランサー | 444 | HTTPS |
| ディレクターのロード バランサー | 5061 | TCP |
| ディレクターのロード バランサー | 4443 | HTTPS (リバース プロキシから) |
DNS 負荷分散を使用するフロントエンド プールとディレクター プールでも、ハードウェア ロード バランサーを展開しておく必要があります。 次の表に、これらのハードウェア ロード バランサーで開く必要があるポートを示します。
DNS 負荷分散を使用する場合のハードウェア ロード バランサー
| ロード バランサー | ポート | プロトコル |
|---|---|---|
| フロントエンド サーバーのロード バランサー | 80 | HTTP |
| フロントエンド サーバーのロード バランサー | 443 | HTTPS |
| フロントエンド サーバーのロード バランサー | 8080 | TCP - フロントエンド サーバーからのルート証明書のクライアントとデバイスの取得 - NTLM によって認証されたクライアントとデバイス |
| フロントエンド サーバーのロード バランサー | 4443 | HTTPS (リバース プロキシから) |
| ディレクターのロード バランサー | 443 | HTTPS |
| ディレクターのロード バランサー | 4443 | HTTPS (リバース プロキシから) |
必要なクライアント ポート
| コンポーネント | ポート | プロトコル | メモ |
|---|---|---|---|
| クライアント | 67/68 | DHCP | Skype for Business Serverによってレジストラー FQDN を検索するために使用されます (つまり、DNS SRV が失敗し、手動設定が構成されていない場合)。 |
| クライアント | 443 | TCP (TLS) | 外部ユーザー アクセスのクライアントとサーバー間の SIP トラフィックで使用。 |
| クライアント | 443 | TCP (PSOM/TLS) | Web 会議セッションへの外部ユーザー アクセスで使用。 |
| クライアント | 443 | TCP (STUN/MSTURN) | 音声ビデオ セッションとメディアへの外部ユーザー アクセス (TCP) で使用。 |
| クライアント | 3478 | UDP (STUN/MSTURN) | 音声ビデオ セッションとメディアへの外部ユーザー アクセス (UDP) で使用。 |
| クライアント | 5061 | TCP (MTLS) | 外部ユーザー アクセスのクライアントとサーバー間の SIP トラフィックで使用。 |
| クライアント | 6891-6901 | TCP | Skype for Business クライアントと以前のクライアント間のファイル転送に使用されます。 |
| クライアント | 1024-65535 * | TCP/UDP | オーディオ ポート範囲 (少なくとも 20 個のポートが必要)。 |
| クライアント | 1024-65535 * | TCP/UDP | ビデオ ポート範囲 (少なくとも 20 個のポートが必要)。 |
| クライアント | 1024-65535 * | TCP | ピアツーピア ファイル転送 (会議ファイル転送の場合、クライアントは PSOM を使用)。 |
| クライアント | 1024-65535 * | TCP | アプリケーション共有。 |
| Aastra 6721ip 共通領域電話 Aastra 6725ip 卓上電話 HP 4110 IP 電話 (共通領域電話) HP 4120 IP 電話 (卓上電話) Polycom CX500 IP 共通領域電話 Polycom CX600 IP 卓上電話 Polycom CX700 IP 卓上電話 Polycom CX3000 IP 会議電話 |
67/68 | DHCP | 一覧に示されているデバイスで、Skype for Business Server証明書、プロビジョニング FQDN、レジストラー FQDN を検索するために使用されます。 |
* これらのメディア種類用に特定のポートを構成するには、CsConferencingConfiguration コマンドレット (ClientMediaPortRangeEnabled、ClientMediaPort、ClientMediaPortRange パラメーター) を使用します。
注意
Skype for Business クライアントのセットアップ プログラムは、クライアント コンピューターに必要なオペレーティング システム ファイアウォールの例外を自動的に作成します。
注意
外部ユーザー アクセスに使用されるポートは、クライアントがorganizationのファイアウォール (たとえば、他の組織によってホストされている外部通信や会議) を通過する必要があるシナリオに必要です。
IPSec 例外
企業ネットワーク上でインターネット プロトコル セキュリティ (IPsec) (IETF RFC 4301 ~ 4309 を参照) を導入している場合、音声、ビデオ、およびパノラマ ビデオの配信に使用するポートの範囲に対して IPsec を無効にする必要があります。 この操作を行うと、IPsec のネゴシエーションによってメディア用ポートの割り当てに遅延が生じるのを避けることができます。
次の表に、推奨される IPsec 例外設定を示します。
推奨される IPSec 例外設定
| ルール名 | 発信元 IP アドレス | 送信先 IP アドレス | プロトコル | 送信元ポート | 宛先ポート | 認証要件 |
|---|---|---|---|---|---|---|
| 内部音声ビデオ エッジ サーバー/受信 | 任意 | 内部音声ビデオ エッジ サーバー | UDP および TCP | 任意 | 任意 | 認証しない |
| 外部音声ビデオ エッジ サーバー/受信 | 任意 | 外部音声ビデオ エッジ サーバー | UDP および TCP | 任意 | 任意 | 認証しない |
| 内部音声ビデオ エッジ サーバー/送信 | 内部音声ビデオ エッジ サーバー | 任意 | UDP および TCP | 任意 | 任意 | 認証しない |
| 外部音声ビデオ エッジ サーバー/送信 | 外部音声ビデオ エッジ サーバー | 任意 | UDP および TCP | 任意 | 任意 | 認証しない |
| 仲介サーバー/受信 | 任意 | 仲介 サーバー |
UDP および TCP | 任意 | 任意 | 認証しない |
| 仲介サーバー/送信 | 仲介 サーバー |
任意 | UDP および TCP | 任意 | 任意 | 認証しない |
| 会議アテンダント/受信 | 任意 | 会議アテンダントを実行するフロントエンド サーバー | UDP および TCP | 任意 | 任意 | 認証しない |
| 会議アテンダント/送信 | 会議アテンダントを実行するフロントエンド サーバー | 任意 | UDP および TCP | 任意 | 任意 | 認証しない |
| 音声ビデオ会議サーバー/受信 | 任意 | フロントエンド サーバー | UDP および TCP | 任意 | 任意 | 認証しない |
| 音声ビデオ会議/送信 | フロントエンド サーバー | 任意 | UDP および TCP | 任意 | 任意 | 認証しない |
| Exchange/受信 | 任意 | Exchange ユニファイド メッセージング | UDP および TCP | 任意 | 任意 | 認証しない |
| アプリケーション共有サーバー/受信 | 任意 | アプリケーション共有サーバー | TCP | 任意 | 任意 | 認証しない |
| アプリケーション共有サーバー/送信 | アプリケーション共有サーバー | 任意 | TCP | 任意 | 任意 | 認証しない |
| Exchange/送信 | Exchange ユニファイド メッセージング | 任意 | UDP および TCP | 任意 | 任意 | 認証しない |
| クライアント | 任意 | 任意 | UDP | 指定メディア ポート範囲 | 任意 | 認証しない |