Lync Server 2013 中的端口摘要 - 使用硬件负载平衡器的扩展的合并边缘

主题上次修改时间: 2015-04-27

此方案体系结构中所述的 Lync Server 2013、Edge 服务器功能非常类似于 Lync Server 2010 中实现的功能。 最显著的相加是 TCP 条目 的端口5269,用于可扩展消息和状态协议 (XMPP) 。 Lync Server 2013 (可选)在 Edge 服务器或边缘池以及前端服务器或前端池中的 XMPP 网关服务器上部署 XMPP 代理。

除了 IPv4,Edge 服务器现在还支持 IPv6。 为了清楚起见,方案中仅使用了 IPv4。

使用硬件负载平衡缩放的合并边缘

边缘服务器外围网络端口和协议

端口和协议详细信息

建议你仅打开支持你为其提供外部访问的功能所需的端口。

若要使远程访问适用于任何 edge 服务,必须确保 SIP 流量可以双向排列,如入站/出站边缘流量图中所示。 另外一种方法是,在即时消息 (IM) 、状态、web 会议、音频/视频 (A/V) 和联盟)中涉及到 "访问边缘" 服务的 SIP 消息。

用于缩放后的合并边缘、硬件负载平衡的防火墙摘要:外部接口-节点1和节点 2 (示例)

角色/协议/TCP 或 UDP/端口 源 IP 地址 目标 IP 地址 备注

Access/HTTP/TCP/80

边缘服务器访问边缘服务公共 IP 地址

任意

证书吊销/CRL 检查和检索

Access/DNS/TCP/53

边缘服务器访问边缘服务公共 IP 地址

任意

通过 TCP 进行 DNS 查询

Access/DNS/UDP/53

边缘服务器访问边缘服务公共 IP 地址

任意

通过 UDP 进行 DNS 查询

A/V/RTP/TCP/50000-59999

Edge 服务器 A/V 边缘服务 IP 地址

任意

与运行 Office 通信服务器2007、Office 通信服务器 2007 R2、Lync Server 2010 和 Lync Server 2013 的合作伙伴进行联盟所必需。

A/V/RTP/UDP/50000-59999

Edge 服务器 A/V 边缘服务公共 IP 地址

任意

仅适用于运行 Office 通信服务器2007的合作伙伴的联盟所必需。

A/V/RTP/TCP/50000-59999

任意

Edge 服务器 A/V 边缘服务公共 IP 地址

仅适用于运行 Office 通信服务器2007的合作伙伴的联盟所需

A/V/RTP/UDP/50000-59999

任意

Edge 服务器 A/V 边缘服务公共 IP 地址

仅适用于运行 Office 通信服务器2007的合作伙伴的联盟所需

A/V/STUN、MSTURN/UDP/3478

Edge 服务器 A/V 边缘服务公共 IP 地址

任意

3478出站用于确定 Lync Server 与之通信的边缘服务器的版本以及边缘服务器到边缘服务器上的媒体流量。 对于具有 Lync Server 2010、Windows Live Messenger 和 Office 通信服务器 2007 R2 的联盟,以及在公司内部部署了多个边缘池的情况下,也是必需的。

A/V/STUN、MSTURN/UDP/3478

任意

Edge 服务器 A/V 边缘服务公共 IP 地址

通过 UDP/3478 对候选人的 STUN 进行协商/启用

A/V/STUN、MSTURN/TCP/443

任意

Edge 服务器 A/V 边缘服务公共 IP 地址

在 TCP/443 上 STUN/打开候选人的协商

A/V/STUN、MSTURN/TCP/443

Edge 服务器 A/V 边缘服务公共 IP 地址

任意

在 TCP/443 上 STUN/打开候选人的协商

用于缩放后的合并边缘的防火墙摘要,硬件负载平衡:内部接口节点1和节点2

角色/协议/TCP 或 UDP/端口 源 IP 地址 目标 IP 地址 备注

XMPP/MTLS/TCP/23456

任何 (都可以定义为前端服务器地址,或运行 XMPP 网关服务的前端池虚拟 IP 地址)

边缘服务器内部接口

来自前端服务器或前端池运行的 XMPP 网关服务的出站 XMPP 流量

HTTPS/TCP/4443

任何 (都可以定义为拥有中央管理存储的前端服务器服务器 IP 或池)

边缘服务器内部接口

将中央管理存储中的更改复制到边缘服务器

PSOM/MTLS/TCP/8057

任何 (都可以定义为 Director IP、前端服务器 IP 或池虚拟 IP)

边缘服务器内部接口

从内部部署到内部边缘服务器接口的网络会议流量

STUN/MSTURN/UDP/3478

任何 (都可以定义为 Director IP、前端服务器 IP 或池虚拟 IP)

边缘服务器内部接口

内部和外部用户之间的/V 媒体传输的首选路径,Survivable 分支装置或 Survivable 分支服务器

STUN/MSTURN/TCP/443

任何 (都可以定义为 Director IP、前端服务器 IP 或池虚拟 IP)

边缘服务器内部接口

内部和外部用户、Survivable 分支装置或 Survivable 分支服务器之间的 A/V 媒体传输的回退路径如果无法建立 UDP 通信,则使用 TCP 进行文件传输和桌面共享

MTLS/TCP/50001

任意

边缘服务器内部接口

使用 Lync Server Management Shell 和集中式日志记录服务 cmdlet、ClsController 命令行 ( # A0) 或代理 ( # A1) 命令和日志收集的集中式日志记录服务控制器

MTLS/TCP/50002

任意

边缘服务器内部接口

使用 Lync Server Management Shell 和集中式日志记录服务 cmdlet、ClsController 命令行 ( # A0) 或代理 ( # A1) 命令和日志收集的集中式日志记录服务控制器

MTLS/TCP/50003

任意

边缘服务器内部接口

使用 Lync Server Management Shell 和集中式日志记录服务 cmdlet、ClsController 命令行 ( # A0) 或代理 ( # A1) 命令和日志收集的集中式日志记录服务控制器

硬件负载平衡器在部署以提供 Lync 服务器的可用性和负载平衡时有特定的要求。 这些要求在下图和表中定义。 第三方供应商可能对此处定义的要求使用不同的术语。 需要将 Lync Server 的要求映射到硬件负载平衡器供应商提供的功能和配置选项。

配置硬件负载平衡器时,请考虑以下要求:

  • 源网络地址转换 (SNAT) 可以在硬件负载平衡器 (HLB) 上配置,用于访问边缘服务和 Web 会议边缘服务

  • 不能在 A/V 边缘服务上配置 SNAT-A/V 边缘服务必须使用真实的服务器地址(而不是 HLB 的虚拟 IP (VIP) )进行响应,以便通过 NAT 的简单遍历通过 NAT (STUN) /traversal 使用中继 NAT (打开) /federation FTURN (

    • 如果客户端向 HLB 发送请求,则该响应必须从 HLB VIP 返回

    • 如果客户端向边缘发送请求,则响应必须从边缘 IP 返回

  • 公共 IP 地址在每个服务器接口和 HLB 的 Vip 上使用,并且您的公共 IP 地址要求是 N + 1,其中包含每个真实服务器接口的公共 IP 地址,以及每个 HLB VIP 的一个公共 IP 地址。 在池中有2台边缘服务器的情况下,这将产生9个公共 IP 地址,其中3用于 HLB Vip,另一个用于每个边缘服务器接口 (服务器总共6个)

  • 对于 Access Edge 服务和 Web 会议边缘服务, (和使用 HLB 上的 NAT) 客户端与 VIP 联系,VIP 将源 IP 地址从客户端更改为其自己的 IP 地址。 服务器接口将寄信人地址寻址到 VIP,VIP 从服务器接口 IP 地址更改源地址,并将该数据包发送到客户端

  • 对于 A/V 边缘服务,VIP 不得更改源 IP 地址,而真正的服务器地址将直接返回到客户端-你无法在 HLB 上配置用于 AV 流量的 NAT

    • 如果客户端向 HLB VIP 发送请求,则响应必须从 HLB VIP 返回

    • 如果客户端向边缘 IP 发送请求,则响应必须从边缘 IP 返回

  • 对于 AV,外部防火墙将保留所有数据包的真实服务器公共 IP 地址

  • 客户端到 A/V 边缘服务通信一经建立,就是真正的服务器,而不是 HLB

  • 内部边缘到内部服务器和客户端必须路由,并且为托管服务器或客户端的所有内部网络设置持久路由

  • HLB Access Edge 服务 VIP 将用作每个 Edge 服务器接口的默认网关

备注

有关 NAT 规划和功能的详细信息,请参阅 Lync Server 2013 的硬件负载平衡器要求

边缘服务器端口和协议详细信息

缩放后的合并边缘所需的外部端口设置,硬件负载平衡:外部接口虚拟 IPs

角色/协议/TCP 或 UDP/端口 源 IP 地址 目标 IP 地址 备注

XMPP/TCP/5269

任意

XMPP 代理服务 (与 Access Edge 服务共享 IP 地址)

XMPP 代理服务接受来自定义的 XMPP 联合的 XMPP 联系人的流量

XMPP/TCP/5269

XMPP 代理服务 (与 Access Edge 服务共享 IP 地址)

任意

XMPP 代理服务将流量发送到定义的 XMPP 联合体中的 XMPP 联系人

Access/SIP (TLS) /TCP/443

任意

Access Edge 服务公共 VIP 地址

用于外部用户访问的客户端到服务器 SIP 流量

Access/SIP (MTLS) /TCP/5061

任意

Access Edge 服务公共 VIP 地址

使用 SIP 的 SIP 信号、联盟和公共 IM 连接

Access/SIP (MTLS) /TCP/5061

Access Edge 服务公共 VIP 地址

联盟伙伴

使用 SIP 的 SIP 信号、联盟和公共 IM 连接

网络会议/PSOM (TLS) /TCP/443

任意

Edge 服务器 Web 会议 Edge 服务公共 VIP 地址

网络会议媒体

A/V/STUN、MSTURN/UDP/3478

任意

Edge 服务器 A/V 边缘服务公共 VIP 地址

通过 UDP/3478 对候选人的 STUN 进行协商/启用

A/V/STUN、MSTURN/TCP/443

任意

Edge 服务器 A/V 边缘服务公共 VIP 地址

在 TCP/443 上 STUN/打开候选人的协商

用于缩放后的合并边缘的防火墙摘要,硬件负载平衡:内部接口虚拟 IPs

角色/协议/TCP 或 UDP/端口 源 IP 地址 目标 IP 地址 备注

Access/SIP (MTLS) /TCP/5061

任何 (都可以定义为 Director、Director pool 虚拟 IP 地址、前端服务器或前端池虚拟 IP 地址)

Edge 服务器内部 VIP 接口

出站 SIP 流量 (从 Director、控制器池虚拟 IP 地址、前端服务器或前端池虚拟 IP 地址) 到内部边缘 VIP

Access/SIP (MTLS) /TCP/5061

Edge 服务器内部 VIP 接口

任何 (都可以定义为 Director、Director pool 虚拟 IP 地址、前端服务器或前端池虚拟 IP 地址)

入站 SIP 流量 (来自边缘服务器内部接口的控制器、控制器池虚拟 IP 地址、前端服务器或前端池虚拟 IP 地址)

SIP/MTLS/TCP/5062

任何 (都可以定义为前端服务器 IP 地址或前端池 IP 地址,或使用此 Edge 服务器的任何 Survivable 分支装置或 Survivable 分支服务器)

Edge 服务器内部 VIP 接口

(A/v 身份验证服务的身份验证 A/V 身份验证服务) 使用此 Edge 服务器的前端服务器或前端池 IP 地址或任何 Survivable 分支装置或 Survivable 分支服务器

STUN/MSTURN/UDP/3478

任意

Edge 服务器内部 VIP 接口

内部和外部用户之间的 A/V 媒体传输的首选路径

STUN/MSTURN/TCP/443

任意

Edge 服务器内部 VIP 接口

内部和外部用户之间的 A/V 媒体传输的回退路径如果无法建立 UDP 通信,则使用 TCP 进行文件传输和桌面共享

STUN/MSTURN/TCP/443

Edge 服务器内部 VIP 接口

任意

内部和外部用户之间的 A/V 媒体传输的回退路径如果无法建立 UDP 通信,则使用 TCP 进行文件传输和桌面共享