Lync Server 2013 中的端口摘要 - 使用硬件负载平衡器的扩展的合并边缘

 

主题上次修改时间： 2015-04-27

此方案体系结构中所述的 Lync Server 2013 Edge Server 功能与 Lync Server 2010 中实现的功能非常相似。 最明显的补充是可扩展消息传送和状态协议的 端口 5269（通过 TCP 条目） (XMPP) 。 Lync Server 2013（可选）在前端服务器或前端池的边缘服务器或边缘池以及 XMPP 网关服务器上部署 XMPP 代理。

除了 IPv4，Edge Server 现在还支持 IPv6。 为清楚起见，方案中仅使用 IPv4。

使用硬件负载均衡缩放合并边缘

端口和协议详细信息

建议只打开支持为其提供外部访问权限的功能所需的端口。

若要使远程访问适用于任何边缘服务，必须允许 SIP 流量双向流动，如入站/出站边缘流量图所示。 另一种方法是，进出 Access Edge 服务的 SIP 消息涉及即时消息 (即时消息) 、状态、Web 会议、音频/视频 (A/V) 和联合身份验证。

缩放的合并边缘的防火墙摘要，硬件负载均衡：外部接口 - 节点 1 和节点 2 (示例)

角色/协议/TCP 或 UDP/端口	源 IP 地址	目标 IP 地址	备注
Access/HTTP/TCP/80	Edge Server Access Edge 服务公共 IP 地址	任意	证书吊销/CRL 检查和检索
Access/DNS/TCP/53	Edge Server Access Edge 服务公共 IP 地址	任意	通过 TCP 进行 DNS 查询
Access/DNS/UDP/53	Edge Server Access Edge 服务公共 IP 地址	任意	通过 UDP 进行 DNS 查询
A/V/RTP/TCP/50，000-59，999	Edge Server A/V Edge 服务 IP 地址	任意	需要与运行 Office Communications Server 2007、Office Communications Server 2007 R2、Lync Server 2010 和 Lync Server 2013 的合作伙伴联合。
A/V/RTP/UDP/50，000-59，999	Edge Server A/V Edge 服务公共 IP 地址	任意	仅需要与运行 Office Communications Server 2007 的合作伙伴进行联合。
A/V/RTP/TCP/50，000-59，999	任意	Edge Server A/V Edge 服务公共 IP 地址	仅需要与运行 Office Communications Server 2007 的合作伙伴进行联合
A/V/RTP/UDP/50，000-59，999	任意	Edge Server A/V Edge 服务公共 IP 地址	仅需要与运行 Office Communications Server 2007 的合作伙伴进行联合
A/V/STUN，MSTURN/UDP/3478	Edge Server A/V Edge 服务公共 IP 地址	任意	3478 出站用于确定 Lync Server 正在与之通信的边缘服务器的版本，以及从 Edge Server 到边缘服务器的媒体流量。 需要与 Lync Server 2010、Windows Live Messenger 和 Office Communications Server 2007 R2 联合，以及在公司中部署多个 Edge 池时。
A/V/STUN，MSTURN/UDP/3478	任意	Edge Server A/V Edge 服务公共 IP 地址	候选人就 UDP/3478 进行 STUN/TURN 谈判
A/V/STUN，MSTURN/TCP/443	任意	Edge Server A/V Edge 服务公共 IP 地址	候选人通过 TCP/443 进行 STUN/TURN 谈判
A/V/STUN，MSTURN/TCP/443	Edge Server A/V Edge 服务公共 IP 地址	任意	候选人通过 TCP/443 进行 STUN/TURN 谈判

缩放的合并 Edge 的防火墙摘要，硬件负载均衡：内部接口节点 1 和节点 2

角色/协议/TCP 或 UDP/端口	源 IP 地址	目标 IP 地址	备注
XMPP/MTLS/TCP/23456	可以将任何 (定义为前端服务器地址，或运行 XMPP 网关服务的前端池虚拟 IP 地址)	Edge Server 内部接口	来自在前端服务器或前端池上运行的 XMPP 网关服务的出站 XMPP 流量
HTTPS/TCP/4443	任何 (都可以定义为前端服务器 IP 或保存中央管理存储的池)	Edge Server 内部接口	将更改从中央管理存储复制到边缘服务器
PSOM/MTLS/TCP/8057	任何 (都可以定义为 Director IP、前端服务器 IP 或池虚拟 IP)	Edge Server 内部接口	从内部部署到内部边缘服务器接口的 Web 会议流量
STUN/MSTURN/UDP/3478	任何 (都可以定义为 Director IP、前端服务器 IP 或池虚拟 IP)	Edge Server 内部接口	内部和外部用户、Survivable Branch Appliance 或 Survivable Branch Server 之间 A/V 媒体传输的首选路径
STUN/MSTURN/TCP/443	任何 (都可以定义为 Director IP、前端服务器 IP 或池虚拟 IP)	Edge Server 内部接口	内部和外部用户之间 A/V 媒体传输的回退路径，如果无法建立 UDP 通信，则使用 TCP 进行文件传输和桌面共享，则为 Survivable Branch Appliance 或 Survivable Branch Server
MTLS/TCP/50001	任意	Edge Server 内部接口	使用 Lync Server Management Shell 和集中日志记录服务 cmdlet、ClsController 命令行 (ClsController.exe) 或代理 (ClsAgent.exe 的集中日志记录服务控制器) 命令和日志收集
MTLS/TCP/50002	任意	Edge Server 内部接口	使用 Lync Server Management Shell 和集中日志记录服务 cmdlet、ClsController 命令行 (ClsController.exe) 或代理 (ClsAgent.exe 的集中日志记录服务控制器) 命令和日志收集
MTLS/TCP/50003	任意	Edge Server 内部接口	使用 Lync Server Management Shell 和集中日志记录服务 cmdlet、ClsController 命令行 (ClsController.exe) 或代理 (ClsAgent.exe 的集中日志记录服务控制器) 命令和日志收集

硬件负载均衡器在部署时具有特定要求，为 Lync Server 提供可用性和负载均衡。 要求在下图和表中定义。 第三方供应商可以对此处定义的要求使用不同的术语。 需要将 Lync Server 的要求映射到硬件负载均衡器供应商提供的功能和配置选项。

配置硬件负载均衡器时，请考虑以下要求：

• 可以在硬件负载均衡器上配置源网络地址转换 (SNAT) ， (用于 Access Edge 服务和 Web 会议 Edge 服务的 HLB)

• 无法在 A/V Edge 服务上配置 SNAT – A/V Edge 服务必须使用真实的服务器地址（而不是 HLB 虚拟 IP (VIP) ）进行响应，以便通过 NAT (STUN) /遍历进行 UDP 的简单遍历，使用中继 NAT (TURN) /federation TURN (FTURN) 正常工作

  • 如果客户端向 HLB 发送请求，则响应必须从 HLB VIP 返回

  • 如果客户端向 Edge 发送请求，则响应必须从 Edge IP 返回

• 公共 IP 地址用于每个服务器接口和 HLB 的 VIP，公共 IP 地址要求为 N+1，其中每个实际服务器接口都有一个公共 IP 地址，每个 HLB VIP 有一个公共 IP 地址。 池中有 2 个 Edge 服务器，这将导致 9 个公共 IP 地址，其中 3 个用于 HLB VIP，每个 Edge 服务器接口有 1 个， (服务器总共有 6 个)

• 对于 Access Edge 服务和 Web 会议边缘服务， (和使用 HLB 上的 NAT) 客户端联系 VIP，VIP 会将源 IP 地址从客户端更改为其自己的 IP 地址。 服务器接口将寻址到 VIP 的返回地址，VIP 会更改服务器接口 IP 地址中的源地址，并将数据包发送到客户端

• 对于 A/V Edge 服务，VIP 不得更改源 IP 地址，实际服务器地址将直接返回到客户端 - 无法在 HLB 上为 AV 流量配置 NAT

  • 如果客户端向 HLB VIP 发送请求，则响应必须从 HLB VIP 返回

  • 如果客户端向 Edge IP 发送请求，则响应必须从 Edge IP 返回

• 对于 AV，外部防火墙将保留所有数据包的实际服务器公共 IP 地址

• 建立后，客户端到 A/V Edge 的服务通信是到真正的服务器，而不是 HLB

• 必须路由内部边缘到内部服务器和客户端，并为托管服务器或客户端的所有内部网络设置持久路由

• HLB Access Edge 服务 VIP 将充当每个 Edge 服务器接口的默认网关

注意

有关 NAT 规划和功能的详细信息，请参阅 Lync Server 2013 的硬件负载均衡器要求。

缩放的合并边缘所需的外部端口设置，硬件负载均衡：外部接口虚拟 IP

角色/协议/TCP 或 UDP/端口	源 IP 地址	目标 IP 地址	备注
XMPP/TCP/5269	任意	XMPP 代理服务 (与 Access Edge 服务共享 IP 地址)	XMPP 代理服务接受来自已定义 XMPP 联合身份验证中的 XMPP 联系人的流量
XMPP/TCP/5269	XMPP 代理服务 (与 Access Edge 服务共享 IP 地址)	任意	XMPP 代理服务将流量发送到定义的 XMPP 联合身份验证中的 XMPP 联系人
Access/SIP (TLS) /TCP/443	任意	Access Edge 服务公共 VIP 地址	用于外部用户访问的客户端到服务器 SIP 流量
访问/SIP (MTLS) /TCP/5061	任意	Access Edge 服务公共 VIP 地址	使用 SIP 发出 SIP 信号、联合和公共 IM 连接
访问/SIP (MTLS) /TCP/5061	Access Edge 服务公共 VIP 地址	联合合作伙伴	使用 SIP 发出 SIP 信号、联合和公共 IM 连接
Web 会议/PSOM (TLS) /TCP/443	任意	Edge Server Web 会议 Edge 服务公共 VIP 地址	Web 会议媒体
A/V/STUN，MSTURN/UDP/3478	任意	Edge Server A/V Edge 服务公共 VIP 地址	候选人就 UDP/3478 进行 STUN/TURN 谈判
A/V/STUN，MSTURN/TCP/443	任意	Edge Server A/V Edge 服务公共 VIP 地址	候选人通过 TCP/443 进行 STUN/TURN 谈判

缩放的合并 Edge 的防火墙摘要，硬件负载均衡：内部接口虚拟 IP

角色/协议/TCP 或 UDP/端口	源 IP 地址	目标 IP 地址	备注
访问/SIP (MTLS) /TCP/5061	任何 (都可以定义为 Director、Director 池虚拟 IP 地址、前端服务器或前端池虚拟 IP 地址)	Edge Server 内部 VIP 接口	从 Director、Director 池虚拟 IP 地址、前端服务器或前端池虚拟 IP 地址) 到内部边缘 VIP 的出站 SIP 流量 (
访问/SIP (MTLS) /TCP/5061	Edge Server 内部 VIP 接口	任何 (都可以定义为 Director、Director 池虚拟 IP 地址、前端服务器或前端池虚拟 IP 地址)	从 Edge Server 内部接口 (到 Director、Director 池虚拟 IP 地址、前端服务器或前端池虚拟 IP 地址) 的入站 SIP 流量
SIP/MTLS/TCP/5062	可以使用此 Edge Server 将任何 (定义为前端服务器 IP 地址、前端池 IP 地址或任何 Survivable Branch Appliance 或 Survivable Branch Server)	Edge Server 内部 VIP 接口	A/V 用户 (A/V 身份验证服务的身份验证) 从前端服务器或前端池 IP 地址或使用此 Edge Server 的任何 Survivable Branch Appliance 或 Survivable Branch Server
STUN/MSTURN/UDP/3478	任意	Edge Server 内部 VIP 接口	内部用户和外部用户之间 A/V 媒体传输的首选路径
STUN/MSTURN/TCP/443	任意	Edge Server 内部 VIP 接口	如果无法建立 UDP 通信，则用于内部和外部用户之间 A/V 媒体传输的回退路径，TCP 用于文件传输和桌面共享
STUN/MSTURN/TCP/443	Edge Server 内部 VIP 接口	任意	如果无法建立 UDP 通信，则用于内部和外部用户之间 A/V 媒体传输的回退路径，TCP 用于文件传输和桌面共享