Requisitos ambientais do Edge Server em Skype for Business Server
Resumo: Saiba mais sobre os requisitos ambientais do Edge Server no Skype for Business Server.
Muito planejamento e preparação precisam ocorrer fora do próprio ambiente do Skype for Business Server Edge Server. Neste artigo, vamos rever as preparações que precisam ser feitas no ambiente organizacional, de acordo com nossa lista abaixo:
Planejamento de topologia
Skype for Business Server topologias do Edge Server são capazes de usar:
Endereços IP públicos roteáveis
Endereços IP privados não roteáveis, se a tradução de endereço de rede simétrica (NAT) for usada.
Ponta
O Servidor do Edge pode ser configurado para usar um único endereço IP com portas distintas para cada serviço ou pode usar endereços IP distintos para cada serviço, mas usar a mesma porta padrão (que por padrão será TCP 443). Temos mais informações na seção de requisitos do Endereço IP, abaixo.
Se você escolher endereços IP privados não roteáveis com NAT, lembre-se destes aspectos:
Você deve usar endereços IP privados roteáveis em todas as três interfaces externas.
Você precisa configurar NAT simétrico para tráfego de entrada e de saída. O NAT simétrico é o único NAT com suporte que você pode usar com Skype for Business Server Edge Server.
Configure seu NAT para não alterar endereços de origem de entrada. O serviço A/V Edge precisa ser capaz de receber o endereço de origem de entrada para encontrar o caminho de mídia ideal.
Seus Servidores do Edge precisam ser capazes de se comunicar uns com os outros de seus endereços IP públicos do A/V Edge. Seu firewall deve permitir esse tráfego.
O NAT só poderá ser usado para servidores de borda consolidados dimensionados se você usar o balanceamento de carga DNS. Se você usar o balanceamento de carga de hardware (HLB), será necessário usar endereços IP roteáveis publicamente sem NAT.
Você não terá problemas em ter suas interfaces Access, Web conferencing e A/V Edge por trás de um roteador ou firewall executando NAT simétrica para topologias consolidadas e consolidadas do Edge Server simples e dimensionadas (desde que você não esteja usando o balanceamento de carga de hardware).
Resumo das opções de topologia do Edge Server
Temos várias opções de topologia disponíveis para implantações do Skype for Business Server Edge Server:
Borda única consolidada com endereços IP privados e NAT
Borda única consolidada com endereços IP públicos
Borda dimensionada consolidada com endereços IP privados e NAT
Borda dimensionada consolidada com endereços IP públicos
Borda dimensionada consolidada com balanceadores de carga de hardware
Para ajudá-lo a escolher uma, temos a tabela a seguir que apresenta um resumo das opções que você tem para cada topologia:
| Topologia | Alta disponibilidade | Registros DNS adicionais necessários para o Edge Server externo no pool do Edge? | Failover de borda para sessões de Skype for Business Server | Failover de borda para sessões de federação Skype for Business Server |
|---|---|---|---|---|
| Borda única consolidada com endereços IP privados e NAT |
Não |
Não |
Não |
Não |
| Borda única consolidada com endereços IP públicos |
Não |
Não |
Não |
Não |
| Borda dimensionada consolidada com endereços IP privados e NAT (balanceamento de carga DNS) |
Sim |
Sim |
Sim |
Sim¹ |
| Borda dimensionada consolidada com endereços IP públicos (balanceamento de carga DNS) |
Sim |
Sim |
Sim |
Sim¹ |
| Borda dimensionada consolidada com balanceadores de carga de hardware |
Sim |
Não (um registro DNS A por VIP) |
Sim |
Sim |
¹ O failover remoto de usuário do Exchange Unified Messaging (UM) usando o balanceamento de carga DNS requer o Exchange 2013 ou mais recente.
Requisitos de Endereço IP
Em um nível fundamental, três serviços precisam de endereços IP; Serviço do Access Edge, serviço do Web Conferencing Edge e serviço do A/V Edge. Você tem a opção de usar três endereços de IP, um para cada um dos serviços, ou você pode usar um e optar por colocar cada serviço em uma porta diferente (é possível consultar a seçãoPort and firewall planning para obter mais informações relacionadas). Para um ambiente de Borda única consolidada, isso é o suficiente.
Nota
Conforme observado acima, você pode escolher um endereço IP para todos os três serviços e executá-los em diferentes portas. Porém, na realidade, não recomendamos isso. Se os seus clientes não conseguem acessar as portas alternadas que você usaria neste cenário, eles também não podem acessar a funcionalidade total do seu ambiente de Borda.
Pode ser um pouco mais complicado com topologias escalonáveis consolidadas, portanto, vejamos algumas tabelas que apresentam os requisitos de Endereço IP, lembrando-se de que os principais pontos de decisão para seleção da topologia são alta disponibilidade e balanceamento de carga. As necessidades de alta disponibilidade podem influenciar sua escolha de balanceamento de carga (falaremos mais sobre esse assunto depois das tabelas).
Requisitos de endereço IP para Borda dimensionada consolidada (endereço de IP por função)
| Número de Servidores de Borda por pool | Número de endereços IP necessários para balanceamento de carga de DNS | Número de endereços IP necessários para o balanceamento de carga de hardware |
|---|---|---|
| 2 |
6 |
3 (1 por VIP) + 6 |
| 3 |
9 |
3 (1 por VIP) + 9 |
| 4 |
12 |
3 (1 por VIP) + 12 |
| 5 |
15 |
3 (1 por VIP) +15 |
Requisitos de endereço IP para Borda consolidada dimensionada (endereço de IP único para todas as funções)
| Número de Servidores de Borda por pool | Número de endereços IP necessários para balanceamento de carga de DNS | Número de endereços IP necessários para o balanceamento de carga de hardware |
|---|---|---|
| 2 |
2 |
1 (1 por VIP) + 2 |
| 3 |
3 |
1 (1 por VIP) + 3 |
| 4 |
4 |
1 (1 por VIP) + 4 |
| 5 |
5 |
1 (1 por VIP) + 5 |
Vejamos alguns tópicos adicionais que devem ser considerados no planejamento.
Alta disponibilidade: se você precisar de alta disponibilidade em sua implantação, deverá implantar pelo menos dois Servidores de Borda em um pool. Vale a pena notar que um único pool do Edge dará suporte a até 12 Servidores de Borda (embora o Construtor de Topologia permita que você adicione até 20, isso não é testado ou com suporte, portanto, aconselhamos que você não faça isso). Se precisar de mais de 12 Servidores de Borda, crie pools adicionais do Edge para eles.
Balanceamento de carga de hardware: recomendamos o balanceamento de carga DNS para a maioria dos cenários. O balanceamento de carga de hardware também tem suporte, é claro, mas notavelmente é necessário para um único cenário sobre o balanceamento de carga DNS:
- Acesso externo ao Exchange 2007 ou Exchange 2010 (sem SP) Mensagens Unificadas (UM).
Balanceamento de carga DNS: para UM, o Exchange 2010 SP1 e mais recente podem ser compatíveis com o balanceamento de carga DNS. Observe que se você precisar ir com o balanceamento de carga DNS para uma versão anterior do Exchange, ele funcionará, mas todo o tráfego para isso irá para o primeiro servidor no pool e, se ele não estiver disponível, esse tráfego falhará posteriormente.
O balanceamento de carga DNS também é recomendado se você estiver federando com empresas usando:
Skype for Business Server 2015:
- Lync Server 2010
- Lync Server 2013
- Microsoft 365 ou Office 365
Skype for Business Server 2019:
- Lync Server 2013
- Skype for Business Server 2015
- Microsoft 365 ou Office 365
Planejamento DNS
Quando se trata de Skype for Business Server implantação do Edge Server, é vital se preparar para o DNS corretamente. Com o registros corretos em vigor, a implantação será muito mais simples. Esperamos que você tenha escolhida uma topologia na seção acima, pois vamos fazer uma visão geral e, em seguida, listar algumas tabelas que destacam os registros DNS para os cenários. Também teremos um planejamento de DNS do Advanced Edge Server para Skype for Business Server para uma leitura mais detalhada, se você precisar.
Registros DNS para cenários consolidados únicos do Edge Server
Esses serão os registros DNS que você precisará para um servidor de canto do Edge usando IPs públicos ou IPs privados com NAT. Como estes são dados de amostra, daremos o exemplo de IPs para que você possa encontrar sua própria solução mais facilmente:
Adaptador de rede interno: 172.25.33.10 (sem gateways padrão atribuídos)
Nota
Verifique se há uma rota da rede que contém a interface interna do Edge para quaisquer redes que contenham servidores que executam Skype for Business Server ou clientes do Lync Server 2013 (por exemplo, de 172.25.33.0 a 192.168.10.0).
Adaptador de rede externo:
IPs Públicos:
Access Edge: 131.107.155.10 (este é o principal, com gateway padrão definido como seu roteador público, ex: 131.107.155.1)
Web Conferencing Edge: 131.107.155.20 (secundário)
A/V Edge: 131.107.155.30 (secundário)
A conferência Web e endereços IP públicos do A/V Edge são endereços IP adicionais (secundários) na seção Avançado das propriedades do Protocolo de Internet Versão 4 (TCP/IPv4) e Protocolo de Internet Versão 6 (TCP/IPv6) das Propriedades de Conexão de Área Local no Windows Server.
IPs Privadas:
Access Edge: 10.45.16.10 (este é o principal, com gateway padrão definido como seu roteador, ex: 10.45.16.1)
Web Conferencing Edge: 10.45.16.20 (secundário)
A/V Edge: 10.45.16.30 (secundário)
A conferência Web e endereços IP públicos do A/V Edge são endereços IP adicionais (secundários) na seção Avançado das propriedades do Protocolo de Internet Versão 4 (TCP/IPv4) e Protocolo de Internet Versão 6 (TCP/IPv6) das Propriedades de Conexão de Área Local no Windows Server.
Ponta
Há outras configurações possíveis aqui:
Você pode usar um endereço IP no adaptador de rede externa. Não recomendamos isso porque você precisará diferenciar os serviços de ti usando portas diferentes (o que você pode fazer em Skype for Business Server), mas há alguns firewalls que podem bloquear as portas alternativas. Consulte a seção Port and firewall planning para obter mais informações sobre o assunto.
É possível ter três adaptadores de rede externa em vez de um, e atribuir uma das IPs do serviço para cada um. Por que? Isto separaria os serviços e se algo der errado, seria mais fácil solucionar o problema e potencialmente permitiria que seus outros serviços continuassem a funcionar enquanto o problema estivesse sendo resolvido.
| Local | Tipo | Porta | FQDN ou registro DNS | Endereço IP ou FQDN | Anotações |
|---|---|---|---|---|---|
| DNS Externo |
Registro A |
N/D |
sip.contoso.com |
público: 131.107.155.10 privado: 10.45.16.10 |
Uma interface externa para seu serviço do Access Edge. Você precisará de um para cada domínio SIP com usuários Skype for Business. |
| DNS Externo |
Registro A |
N/D |
webcon.contoso.com |
público: 131.107.155.20 privado: 10.45.16.20 |
Uma interface externa para seu serviço do Web Conferencing Edge. |
| DNS Externo |
Registro A |
N/D |
av.contoso.com |
público: 131.107.155.30 privado: 10.45.16.30 |
Uma interface externa para seu serviço do A/V Edge. |
| DNS Externo |
Registro SRV |
443 |
_sip._tls.contoso.com |
sip.contoso.com |
Uma interface externa para seu serviço do Access Edge. Esse registro SRV é necessário para que os clientes Skype for Business Server, Lync Server 2013 e Lync Server 2010 funcionem externamente. Você precisará de um para cada domínio com usuários Skype for Business. |
| DNS Externo |
Registro SRV |
5061 |
_sipfederationtls._tcp.contoso.com |
sip.contoso.com |
Uma interface externa para seu serviço do Access Edge. Este registro SRV é necessário para a descoberta de DNS automática de parceiros federados chamado domínios SIP Permitidos. Você precisará de um para cada domínio com usuários Skype for Business. |
| DNS Interno |
Registro A |
N/D |
sfvedge.contoso.net |
172.25.33.10 |
A interface interna para sua Borda consolidada. |
Registros DNS para cenários dimensionados do DNS e do Hardware Edge Server
Esses serão os registros DNS que você precisará para um servidor de canto do Edge usando IPs públicos ou IPs privados com NAT. Como estes são dados de amostra, daremos o exemplo de IPs para que você possa encontrar sua própria solução mais facilmente:
Adaptador de rede interna
Nó 1: 172.25.33.10 (nenhum gateway padrão atribuído)
Nó 2: 172.25.33.11 (nenhum gateway padrão atribuído)
Nota
Verifique se há uma rota da rede que contém a interface interna do Edge para quaisquer redes que contenham servidores que executam Skype for Business Server ou clientes do Lync Server 2013 (por exemplo, de 172.25.33.0 a 192.168.10.0).
Adaptador de rede externo:
Nó 1
IPs Públicos:
Access Edge: 131.107.155.10 (este é o principal, com gateway padrão definido como seu roteador público, ex: 131.107.155.1)
Web Conferencing Edge: 131.107.155.20 (secundário)
A/V Edge: 131.107.155.30 (secundário)
A conferência Web e endereços IP públicos do A/V Edge são endereços IP adicionais (secundários) na seção Avançado das propriedades do Protocolo de Internet Versão 4 (TCP/IPv4) e Protocolo de Internet Versão 6 (TCP/IPv6) das Propriedades de Conexão de Área Local no Windows Server.
IPs Privadas:
Access Edge: 10.45.16.10 (este é o principal, com gateway padrão definido como seu roteador, ex: 10.45.16.1)
Web Conferencing Edge: 10.45.16.20 (secundário)
A/V Edge: 10.45.16.30 (secundário)
A conferência Web e endereços IP públicos do A/V Edge são endereços IP adicionais (secundários) na seção Avançado das propriedades do Protocolo de Internet Versão 4 (TCP/IPv4) e Protocolo de Internet Versão 6 (TCP/IPv6) das Propriedades de Conexão de Área Local no Windows Server.
Nó 2
IPs Públicos:
Access Edge: 131.107.155.11 (este é o principal, com gateway padrão definido como seu roteador público, ex: 131.107.155.1)
Web Conferencing Edge: 131.107.155.21 (secundário)
A/V Edge: 131.107.155.31 (secundário)
A conferência Web e endereços IP públicos do A/V Edge são endereços IP adicionais (secundários) na seção Avançado das propriedades do Protocolo de Internet Versão 4 (TCP/IPv4) e Protocolo de Internet Versão 6 (TCP/IPv6) das Propriedades de Conexão de Área Local no Windows Server.
IPs Privadas:
Access Edge: 10.45.16.11 (este é o principal, com gateway padrão definido como seu roteador, ex: 10.45.16.1)
Web Conferencing Edge: 10.45.16.21 (secundário)
A/V Edge: 10.45.16.31 (secundário)
A conferência Web e endereços IP públicos do A/V Edge são endereços IP adicionais (secundários) na seção Avançado das propriedades do Protocolo de Internet Versão 4 (TCP/IPv4) e Protocolo de Internet Versão 6 (TCP/IPv6) das Propriedades de Conexão de Área Local no Windows Server.
Há outras configurações possíveis aqui:
Você pode usar um endereço IP no adaptador de rede externa. Não recomendamos isso porque você precisará diferenciar os serviços de ti usando portas diferentes (o que você pode fazer em Skype for Business Server), mas há alguns firewalls que podem bloquear as portas alternativas. Consulte a seção Port and firewall planning para obter mais informações sobre o assunto.
É possível ter três adaptadores de rede externa em vez de um, e atribuir uma das IPs do serviço para cada um. Por que? Isto separaria os serviços e se algo der errado, seria mais fácil solucionar o problema e potencialmente permitiria que seus outros serviços continuassem a funcionar enquanto o problema estivesse sendo resolvido.
| Local | Tipo | Porta | FQDN ou registro DNS | Endereço IP ou FQDN | Anotações |
|---|---|---|---|---|---|
| DNS Externo |
Registro A |
N/D |
sip.contoso.com |
público: 131.107.155.10 e 131.107.155.11 privado: 10.45.16.10 e 10.45.16.11 |
Uma interface externa para seu serviço do Access Edge. Você precisará de um para cada domínio SIP com usuários Skype for Business. |
| DNS Externo |
Registro A |
N/D |
webcon.contoso.com |
público: 131.107.155.20 e 131.107.155.21 privado: 10.45.16.20 e 10.45.16.21 |
Uma interface externa para seu serviço do Web Conferencing Edge. |
| DNS Externo |
Registro A |
N/D |
av.contoso.com |
público: 131.107.155.30 e 131.107.155.31 privado: 10.45.16.30 e 10.45.16.31 |
Uma interface externa para seu serviço do A/V Edge. |
| DNS Externo |
Registro SRV |
443 |
_sip._tls.contoso.com |
sip.contoso.com |
Uma interface externa para seu serviço do Access Edge. Esse registro SRV é necessário para que os clientes Skype for Business Server, Lync Server 2013 e Lync Server 2010 funcionem externamente. Você precisará de um para cada domínio com Skype for Business. |
| DNS Externo |
Registro SRV |
5061 |
_sipfederationtls._tcp.contoso.com |
sip.contoso.com |
Uma interface externa para seu serviço do Access Edge. Este registro SRV é necessário para a descoberta de DNS automática de parceiros federados chamado domínios SIP Permitidos. Você precisará de um para cada domínio com Skype for Business. |
| DNS Interno |
Registro A |
N/D |
sfvedge.contoso.net |
172.25.33.10 e 172.25.33.11 |
A interface interna para sua Borda consolidada. |
Registro DNS para federação (todos os cenários)
| Local | Tipo | Porta | FQDN | Registro de host FQDN | Anotações |
|---|---|---|---|---|---|
| DNS Externo |
SRV |
5061 |
_sipfederationtls_tcp.contoso.com |
sip.contoso.com |
A interface externa do SIP Access Edge necessária para a descoberta automática de DNS. Usada por seus outros parceiros da federação em potencial. Também é conhecido como "Permitir domínios SIP". Você precisará de um destes para cada domínio SIP com Skype for Business usuários. Nota: Você precisará desse registro SRV para mobilidade e a casa de compensação de notificação por push. |
Resumo DNS para protocolo de presença e mensagem extensível
| Local | Tipo | Porta | FQDN | Endereço IP ou registro de host FQDN | Anotações |
|---|---|---|---|---|---|
| DNS Externo |
SRV |
5269 |
_xmpp-server._tcp.contoso.com |
xmpp.contoso.com |
A interface proxy XMPP no serviço do Access Edge ou no pool do Edge. Você precisa repetir isso conforme necessário para todos os domínios INTERNOS SIP com Skype for Business Server usuários habilitados, em que o contato com contatos XMPP é permitido por meio de: • uma política global • uma política de site em que o usuário está habilitado • uma política de usuário aplicada ao usuário habilitado para Skype for Business Server Uma política XMPP permitida também deve ser configurada na política de usuários federados XMPP. |
| DNS Externo |
SRV |
A |
xmpp.contoso.com |
Endereço IP do serviço Access Edge no pool do Edge Server ou edge hospedando seu serviço proxy XMPP |
Isso aponta para o serviço Access Edge no pool do Edge Server ou do Edge que hospeda o serviço proxy XMPP. Normalmente, o registro SRV que você cria apontará para esse registro de host (A ou AAAA). |
Nota
Os gateways e proxies XMPP estão disponíveis no Skype for Business Server 2015, mas não têm mais suporte no Skype for Business Server 2019. Consulte Migrando a federação XMPP para obter mais informações.
Planejamento de Certificados
Skype for Business Server usa certificados para comunicações seguras e criptografadas entre servidores e de servidor para cliente. Como seria de esperar, seus certificados deverão ter registros DNS para que seus servidores sejam compatíveis com qualquer nome da entidade (SN) e nome alternativo de entidade (SAN) em seus certificados. Isso será trabalhoso na fase de planeamento, para que você certifique-se de que tem os FQDNs corretos registrados no DNS para as inserções de SN e SAN de seus certificados.
Abordaremos as necessidades de certificados internos e externos separadamente, e em seguida, examinaremos uma tabela que fornece os requisitos para ambos.
Certificados Externos
No mínimo, o certificado atribuído às interfaces externas do Edge Server precisará ser fornecido por uma AUTORIDADE PÚBLICA de Certificado (AC). Não podemos recomendar uma AC específica para você, mas temos uma lista de CAs, parceiros de certificado de Comunicações Unificadas que você pode dar uma olhada para ver se sua AC preferida está listada.
Quando você precisará enviar uma solicitação para um AC para ter este certificado público, e como você fazê-lo? Há várias formas de fazer isso:
Você pode passar pela instalação de Skype for Business Server e, em seguida, pela implantação do Edge Server. O Assistente de Implantação Skype for Business Server terá uma etapa para gerar uma solicitação de certificado, que você pode enviar para a AC escolhida.
Você também pode usar comandos Windows PowerShell para gerar essa solicitação, se isso estiver mais alinhado com suas necessidades de negócios ou estratégia de implantação.
Por fim, sua AC pode ter seu próprio processo de envio, que também pode envolver Windows PowerShell ou outro método. Nesse caso, você precisará contar com sua documentação, além as informações fornecidas aqui para sua referência.
Depois de obter o certificado, você precisará ir em frente e atribuí-lo a esses serviços em Skype for Business Server:
Interface de serviço do Access Edge
Interface de serviço do Web Conferencing Edge
Serviço de Autenticação de Áudio/Vídeo (não confunda isso com o serviço A/V Edge, pois isso não usa um certificado para criptografar fluxos de áudio e vídeo)
Importante
Todos os Servidores do Edge (se pertencerem ao mesmo pool de Servidores de Borda) precisam ter exatamente o mesmo certificado com a mesma chave privada para o serviço de Autenticação de Retransmissão de Mídia.
Certificados internos
Para a interface interna do Edge Server, você pode usar um certificado público de uma AC pública ou um certificado emitido da AC interna da sua organização. É importante lembrar que o certificado interno é aquele utiliza uma inserção de SN, e nenhuma inserção de SAN, portanto, você não deve se preocupar com SAN no certificado interno.
Tabela de Certificados Exigidos
Temos uma tabela aqui para ajudá-lo com os seus pedidos. As entradas de FQDN são apenas exemplos de domínios. Você precisará fazer solicitações com base em seus próprios domínios privados e públicos, mas aqui está a orientação sobre o procedimento que temos seguido:
contoso.com: FQDN público
fabrikam.com: Segundo FQDN público (adicionado como uma demonstração do que solicitar se você tiver vários domínios SIP)
Contoso.net: domínio interno
Tabela de Certificado de Borda
Independentemente de você estar fazendo um único Servidor do Edge ou um pool do Edge, isso é o que você precisará para o certificado:
| Componente | Nome da entidade (SN) | Nomes alternativos de entidade (SAN)/ordem | Anotações |
|---|---|---|---|
| Borda Externa |
sip.contoso.com |
sip.contoso.com webcon.contoso.com sip.fabrikam.com |
Esse é o certificado que você precisa solicitar de uma AC pública. Ele precisará ser atribuído às interfaces de Borda externa para o seguinte: • Access Edge • Web Conferencing Edge • Autenticação de áudio/vídeo A boa notícia é que as SANs são adicionadas automaticamente à sua solicitação de certificado e, portanto, seu certificado depois de enviar a solicitação, com base no que você definiu para essa implantação no Construtor de Topologia. Basta adicionar entradas de SAN para quaisquer domínios SIP adicionais ou outras entradas às quais você precisa dar suporte. Por que o sip.contoso.com é replicado nessa instância? Isso também acontece automaticamente e é necessário para que as coisas funcionem adequadamente. Nota: Esse certificado também pode ser usado para conectividade de Mensagens Instantâneas Públicas. Não será necessário fazer nada diferente com ele, pois as versões anteriores desta documentação foram listadas como uma tabela separada, e agora não são mais. |
| Borda Interna |
sfbedge.contoso.com |
N/D |
É possível obter este certificado a partir de uma AC pública ou interna. Ele precisará conter o EKU do servidor (Uso Avançado de Chave), e você precisará atribuí-lo à interface de borda interna. |
Se você precisa de um certificado para XMPP (Extensible Messaging and Presence Protocol), ele será idêntico às entradas da tabela de Borda Externa acima, mas terá as duas entradas adicionais de SAN indicadas abaixo:
Xmpp.contoso.com
*.contoso.com
Lembre-se de que atualmente o XMPP só tem suporte em Skype for Business Server para o Google Talk, se você quiser ou precisar usá-lo para qualquer outra coisa, você precisa confirmar essa funcionalidade com o fornecedor de terceiros envolvido.
Planejamento de porta e de firewall
Acertar seu planejamento para portas e firewalls para implantações do Skype for Business Server Edge Server pode salvar dias ou semanas de solução de problemas e estresse. Como resultado, vamos listar algumas tabelas que indicarão nosso uso do protocolo e quais portas você precisa abrir, internas e externas, tanto para cenários NAT e de IP público. Também temos tabelas separadas para cenários com balanceamento de carga de hardware (HLB) e mais algumas orientações sobre isso. Para obter mais leituras a partir daí, também temos alguns cenários do Edge Server no Skype for Business Server você pode marcar para suas preocupações de implantação específicas.
Uso Geral do Protocolo
Antes de observarmos as tabelas de resumo para firewalls internos e externos, vejamos a tabela a seguir:
| Transporte de áudio/vídeo | Uso |
|---|---|
| UDP |
Protocolo de camada de transporte preferido para áudio e vídeo. |
| TCP |
Protocolo de camada de transporte de fallback para áudio e vídeo. O protocolo de camada de transporte necessário para o compartilhamento de aplicativos para Skype for Business Server, Lync Server 2013 e Lync Server 2010. O protocolo de camada de transporte necessário para transferência de arquivo para Skype for Business Server, Lync Server 2013 e Lync Server 2010. |
Tabela de resumo de firewall da porta externa
O endereço IP de origem e o endereço IP de destino conterão informações para usuários que estão usando endereços IP privados com NAT, bem como para as pessoas que utilizam endereços IP públicos. Isso abrangerá todas as permutações em nossos cenários do Edge Server na seção Skype for Business Server.
| Função ou protocolo | TCP ou UDP | Porta de Destino ou intervalo de portas | Endereço IP de Origem | Endereço IP de Destino | Anotações |
|---|---|---|---|---|---|
| XMPP Não há suporte no Skype for Business Server 2019 |
TCP |
5269 |
Qualquer um |
Serviço proxy XMPP (compartilha um endereço IP com o serviço Access Edge |
O serviço proxy XMPP aceita o tráfego de contatos XMPP em federações XMPP definidas. |
| Acesso/HTTP |
TCP |
80 |
IP privado usando NAT: Serviço Edge Server Access Edge IP público: Endereço IP público do serviço do Edge Server Access Edge |
Qualquer um |
Revocação de certificado e verificação e recuperação de CRL |
| Acesso/DNS |
TCP |
53 |
IP privado usando NAT: Serviço Edge Server Access Edge IP público: Endereço IP público do serviço do Edge Server Access Edge |
Qualquer um |
Consulta DNS sobre TCP |
| Acesso/DNS |
UDP |
53 |
IP privado usando NAT: Serviço Edge Server Access Edge IP público: Endereço IP público do serviço do Edge Server Access Edge |
Qualquer um |
Consulta DNS sobre UDP |
| Acesso/SIP(TLS) |
TCP |
443 |
Qualquer um |
IP privado usando NAT: Serviço Edge Server Access Edge IP público: Endereço IP público do serviço do Edge Server Access Edge |
Tráfego SIP do cliente ao servidor para o acesso do usuário externo. |
| Acesso/SIP(MTLS) |
TCP |
5061 |
Qualquer um |
IP privado usando NAT: Serviço Edge Server Access Edge IP público: Endereço IP público do serviço do Edge Server Access Edge |
Para conectividade a IM federada e pública usando SIP |
| Acesso/SIP(MTLS) |
TCP |
5061 |
IP privado usando NAT: Serviço Edge Server Access Edge IP público: Endereço IP público do serviço do Edge Server Access Edge |
Qualquer um |
Para conectividade a IM federada e pública usando SIP |
| Webconferência/PSOM(TLS) |
TCP |
443 |
Qualquer um |
IP privado usando NAT: Serviço edge server web conferencing Edge IP público: Endereço IP público do serviço do Edge Server Web Conferencing |
Mídia de conferência da Web. |
| A/V/RTP |
TCP |
50000-59999 |
IP privado usando NAT: Serviço edge server A/V Edge IP público: Endereço IP público do serviço do Edge Server A/V Edge |
Qualquer um |
Usado para retransmitir o tráfego de mídia. |
| A/V/RTP |
UDP |
50000-59999 |
IP privado usando NAT: Serviço edge server A/V Edge IP público: Endereço IP público do serviço do Edge Server A/V Edge |
Qualquer um |
Usado para retransmitir o tráfego de mídia. |
| A/V/STUN.MSTURN |
UDP |
3478 |
IP privado usando NAT: Serviço edge server A/V Edge IP público: Endereço IP público do serviço do Edge Server A/V Edge |
Qualquer um |
Saída 3478 é: • Usado por Skype for Business Server para determinar a versão do Edge Server com a qual ele está se comunicando. • Usado para tráfego de mídia entre servidores de borda. • Necessário para federação com o Lync Server 2010. • Necessário se vários pools do Edge forem implantados em sua organização. |
| A/V/STUN.MSTURN |
UDP |
3478 |
Qualquer um |
IP privado usando NAT: Serviço edge server A/V Edge IP público: Endereço IP público do serviço do Edge Server A/V Edge |
Negociação de candidatos STUN/TURN sob UDP na porta 3478. |
| A/V/STUN.MSTURN |
TCP |
443 |
Qualquer um |
IP privado usando NAT: Serviço edge server A/V Edge IP público: Endereço IP público do serviço do Edge Server A/V Edge |
Negociação de candidatos STUN/TURN sob TCP na porta 443. |
| A/V/STUN.MSTURN |
TCP |
443 |
IP privado usando NAT: Serviço edge server A/V Edge IP público: Endereço IP público do serviço do Edge Server A/V Edge |
Qualquer um |
Negociação de candidatos STUN/TURN sob TCP na porta 443. |
Tabela de resumo do firewall da porta interna
| Protocolo | TCP ou UDP | Porta | Endereço IP de Origem | Endereço IP de Destino | Anotações |
|---|---|---|---|---|---|
| XMPP/MTLS |
TCP |
23456 |
Qualquer um dos seguintes executando o serviço de Gateway XMPP: • Servidor front-end • Pool front-end |
Interface interna do Edge Server |
Tráfego XMPP de saída do seu serviço de Gateway XMPP em execução no servidor front-end ou no pool front-end. Nota: Os gateways e proxies XMPP estão disponíveis no Skype for Business Server 2015, mas não têm mais suporte no Skype for Business Server 2019. Consulte Migrando a federação XMPP para obter mais informações. |
| SIP/MTLS |
TCP |
5061 |
Qualquer um: •Diretor • Pool de diretores • Servidor front-end • Pool front-end |
Interface interna do Edge Server |
Tráfego SIP de saída do pool do Director, Director, Front End Server ou Front-End para sua interface interna do Edge Server. |
| SIP/MTLS |
TCP |
5061 |
Interface interna do Edge Server |
Qualquer um: •Diretor • Pool de diretores • Servidor front-end • Pool front-end |
Tráfego SIP de entrada para o pool do Director, Director, Front End Server ou Front-End da interface interna do Edge Server. |
| PSOM/MTLS |
TCP |
8057 |
Qualquer um: • Servidor front-end • Cada servidor front-end no pool do Front-End |
Interface interna do Edge Server |
Tráfego de conferência da Web do Servidor front-end ou de cada Servidor front-end (se você tiver um pool de Front-End) para sua interface interna do Edge Server. |
| SIP/MTLS |
TCP |
5062 |
Qualquer um: • Servidor front-end • Pool front-end • Qualquer dispositivo de branch de sobrevivência usando este Servidor de Borda • Qualquer servidor de branch de sobrevivência usando este Servidor do Edge |
Interface interna do Edge Server |
Autenticação de usuários de A/V do servidor front-end ou do pool do Front-End, ou do seu Dispositivo de Branch de Sobrevivência ou do Servidor de Branch de Sobrevivência, usando o Servidor do Edge. |
| STUN/MSTURN |
UDP |
3478 |
Qualquer um |
Interface interna do Edge Server |
Caminho preferencial para a transferência de mídia A/V entre seus usuários internos e externos e seu dispositivo de branch de sobrevivência ou servidor de branch de sobrevivência. |
| STUN/MSTURN |
TCP |
443 |
Qualquer um |
Interface interna do Edge Server |
Caminho de fallback para transferência de mídia A/V entre seus usuários internos e externos e seu Dispositivo de Branch de Sobrevivência ou Servidor de Ramificação De Sobrevivência, se a comunicação UDP não funcionar. Neste caso, o TCP é usado para transferência de arquivos e compartilhamento de área de trabalho. |
| HTTPS |
TCP |
4443 |
Qualquer um: • Servidor front-end que contém o repositório Gerenciamento Central • Pool front-end que contém o repositório Gerenciamento Central |
Interface interna do Edge Server |
Replicação de alterações de seu repositório de Gerenciamento Central para o Servidor do Edge. |
| MTLS |
TCP |
50001 |
Qualquer um |
Interface interna do Edge Server |
Controlador centralizado do Serviço de Log usando cmdlets do Skype for Business Server Management Shell e do Serviço de Log Centralizado, linha de comando ClsController (ClsController.exe) ou comandos de agente (ClsAgent.exe) e coleção de logs. |
| MTLS |
TCP |
50002 |
Qualquer um |
Interface interna do Edge Server |
Controlador centralizado do Serviço de Log usando cmdlets do Skype for Business Server Management Shell e do Serviço de Log Centralizado, linha de comando ClsController (ClsController.exe) ou comandos de agente (ClsAgent.exe) e coleção de logs. |
| MTLS |
TCP |
50003 |
Qualquer um |
Interface interna do Edge Server |
Controlador centralizado do Serviço de Log usando cmdlets do Skype for Business Server Management Shell e do Serviço de Log Centralizado, linha de comando ClsController (ClsController.exe) ou comandos de agente (ClsAgent.exe) e coleção de logs. |
Balanceadores de carga de hardware para tabelas da porta da Borda
Preparamos uma seção apenas para balanceadores de carga de hardware (HLBs) e portas da Borda, uma vez que o assunto é um pouco mais complicado em se tratando de hardware adicional. Consulte as tabelas abaixo para obter orientação para este cenário específico:
Tabela de resumo de firewall da porta externa
O endereço IP de origem e o endereço IP de destino conterão informações para usuários que estão usando endereços IP privados com NAT, bem como para as pessoas que utilizam endereços IP públicos. Isso abrangerá todas as permutações em nossos cenários do Edge Server na seção Skype for Business Server.
| Função ou protocolo | TCP ou UDP | Porta de Destino ou intervalo de portas | Endereço IP de Origem | Endereço IP de Destino | Anotações |
|---|---|---|---|---|---|
| Acesso/HTTP |
TCP |
80 |
Endereço IP público do serviço do Edge Server Access Edge |
Qualquer um |
Revocação de certificado e verificação e recuperação de CRL |
| Acesso/DNS |
TCP |
53 |
Endereço IP público do serviço do Edge Server Access Edge |
Qualquer um |
Consulta DNS sobre TCP |
| Acesso/DNS |
UDP |
53 |
Endereço IP público do serviço do Edge Server Access Edge |
Qualquer um |
Consulta DNS sobre UDP |
| A/V/RTP |
TCP |
50000-59999 |
Endereço IP de serviço do Edge Server A/V Edge |
Qualquer um |
Usado para retransmitir o tráfego de mídia. |
| A/V/RTP |
UDP |
50000-59999 |
Endereço IP público do serviço do Edge Server A/V Edge |
Qualquer um |
Usado para retransmitir o tráfego de mídia. |
| A/V/STUN.MSTURN |
UDP |
3478 |
Endereço IP público do serviço do Edge Server A/V Edge |
Qualquer um |
Saída 3478 é: • Usado por Skype for Business Server para determinar a versão do Edge Server com a qual ele está se comunicando. • Usado para tráfego de mídia entre servidores de borda. • Necessário para a federação. • Necessário se vários pools do Edge forem implantados em sua organização. |
| A/V/STUN.MSTURN |
UDP |
3478 |
Qualquer um |
Endereço IP público do serviço do Edge Server A/V Edge |
Negociação de candidatos STUN/TURN sob UDP na porta 3478. |
| A/V/STUN.MSTURN |
TCP |
443 |
Qualquer um |
Endereço IP público do serviço do Edge Server A/V Edge |
Negociação de candidatos STUN/TURN sob TCP na porta 443. |
| A/V/STUN.MSTURN |
TCP |
443 |
Endereço IP público do serviço do Edge Server A/V Edge |
Qualquer um |
Negociação de candidatos STUN/TURN sob TCP na porta 443. |
Tabela de resumo do firewall da porta interna
| Protocolo | TCP ou UDP | Porta | Endereço IP de Origem | Endereço IP de Destino | Anotações |
|---|---|---|---|---|---|
| XMPP/MTLS |
TCP |
23456 |
Qualquer um dos seguintes executando o serviço de Gateway XMPP: • Servidor front-end • Endereço VIP do pool de front-end que executa o serviço do Gateway XMPP |
Interface interna do Edge Server |
Tráfego XMPP de saída do seu serviço de Gateway XMPP em execução no servidor front-end ou no pool front-end. Nota: Os gateways e proxies XMPP estão disponíveis no Skype for Business Server 2015, mas não têm mais suporte no Skype for Business Server 2019. Consulte Migrando a federação XMPP para obter mais informações. |
| HTTPS |
TCP |
4443 |
Qualquer um: • Servidor front-end que contém o repositório Gerenciamento Central • Pool front-end que contém o repositório Gerenciamento Central |
Interface interna do Edge Server |
Replicação de alterações de seu repositório de Gerenciamento Central para o Servidor do Edge. |
| PSOM/MTLS |
TCP |
8057 |
Qualquer um: • Servidor front-end • Cada servidor front-end no pool do Front-End |
Interface interna do Edge Server |
Tráfego de conferência da Web do Servidor front-end ou de cada Servidor front-end (se você tiver um pool de Front-End) para sua interface interna do Edge Server. |
| STUN/MSTURN |
UDP |
3478 |
Qualquer um: • Servidor front-end • Cada servidor front-end no pool do Front-End |
Interface interna do Edge Server |
Caminho preferencial para a transferência de mídia A/V entre seus usuários internos e externos e seu dispositivo de branch de sobrevivência ou servidor de branch de sobrevivência. |
| STUN/MSTURN |
TCP |
443 |
Qualquer um: • Servidor front-end • Cada servidor front-end no pool |
Interface interna do Edge Server |
Caminho de fallback para transferência de mídia A/V entre seus usuários internos e externos e seu Dispositivo de Branch de Sobrevivência ou Servidor de Ramificação De Sobrevivência, se a comunicação UDP não funcionar. Neste caso, o TCP é usado para transferência de arquivos e compartilhamento de área de trabalho. |
| MTLS |
TCP |
50001 |
Qualquer um |
Interface interna do Edge Server |
Controlador centralizado do Serviço de Log usando cmdlets do Skype for Business Server Management Shell e do Serviço de Log Centralizado, linha de comando ClsController (ClsController.exe) ou comandos de agente (ClsAgent.exe) e coleção de logs. |
| MTLS |
TCP |
50002 |
Qualquer um |
Interface interna do Edge Server |
Controlador centralizado do Serviço de Log usando cmdlets do Skype for Business Server Management Shell e do Serviço de Log Centralizado, linha de comando ClsController (ClsController.exe) ou comandos de agente (ClsAgent.exe) e coleção de logs. |
| MTLS |
TCP |
50003 |
Qualquer um |
Interface interna do Edge Server |
Controlador centralizado do Serviço de Log usando cmdlets do Skype for Business Server Management Shell e do Serviço de Log Centralizado, linha de comando ClsController (ClsController.exe) ou comandos de agente (ClsAgent.exe) e coleção de logs. |
IPs virtuais da interface externa
| Função ou protocolo | TCP ou UDP | Porta de Destino ou intervalo de portas | Endereço IP de Origem | Endereço IP de Destino | Anotações |
|---|---|---|---|---|---|
| XMPP Não há suporte no Skype for Businesss Server 2019 |
TCP |
5269 |
Qualquer um |
Serviço proxy XMPP (compartilha um endereço IP com o serviço do Access Edge) |
O serviço proxy XMPP aceita o tráfego de contatos XMPP em federações XMPP definidas. |
| XMPP Não há suporte no Skype for Businesss Server 2019 |
TCP |
5269 |
Serviço proxy XMPP (compartilha um endereço IP com o serviço do Access Edge) |
Qualquer um |
O serviço proxy XMPP envia tráfego de contatos XMPP em federações XMPP definidas. |
| Acesso/SIP(TLS) |
TCP |
443 |
Qualquer um |
IP privado usando NAT: Serviço Edge Server Access Edge IP público: Endereço IP público do serviço do Edge Server Access Edge |
Tráfego SIP do cliente ao servidor para o acesso do usuário externo. |
| Acesso/SIP(MTLS) |
TCP |
5061 |
Qualquer um |
IP privado usando NAT: Serviço Edge Server Access Edge IP público: Endereço IP público do serviço do Edge Server Access Edge |
Para conectividade a IM federada e pública usando SIP |
| Acesso/SIP(MTLS) |
TCP |
5061 |
IP privado usando NAT: Serviço Edge Server Access Edge IP público: Endereço IP público do serviço do Edge Server Access Edge |
Qualquer um |
Para conectividade a IM federada e pública usando SIP |
| Webconferência/PSOM(TLS) |
TCP |
443 |
Qualquer um |
IP privado usando NAT: Serviço edge server web conferencing Edge IP público: Endereço IP público do serviço do Edge Server Web Conferencing |
Mídia de conferência da Web. |
| A/V/STUN.MSTURN |
UDP |
3478 |
Qualquer um |
IP privado usando NAT: Serviço edge server A/V Edge IP público: Endereço IP público do serviço do Edge Server A/V Edge |
Negociação de candidatos STUN/TURN sob UDP na porta 3478. |
| A/V/STUN.MSTURN |
TCP |
443 |
Qualquer um |
IP privado usando NAT: Serviço edge server A/V Edge IP público: Endereço IP público do serviço do Edge Server A/V Edge |
Negociação de candidatos STUN/TURN sob TCP na porta 443. |
IPs virtuais da interface interna
Nossa orientação aqui será um pouco diferente. Na realidade, em uma situação HLB, recomendamos que você tenha apenas roteamento por meio de um VIP interno sob as seguintes circunstâncias:
Se você estiver usando o Exchange 2007 ou Exchange 2010 Unified Messaging (UM).
Se você tiver clientes herdados usando a Borda.
A tabela a seguir fornece diretrizes para esses cenários, mas caso contrário, você deve ser capaz de depender do CMS (Central Management Store) para rotear o tráfego para o Servidor de Borda individual que ele está ciente (isso exige que o CMS seja mantido atualizado nas informações do Edge Server, é claro).
| Protocolo | TCP ou UDP | Porta | Endereço IP de Origem | Endereço IP de Destino | Anotações |
|---|---|---|---|---|---|
| Acesso/SIP(MTLS) |
TCP |
5061 |
Qualquer um: •Diretor • Endereço VIP do pool de diretores • Servidor front-end • Endereço VIP do pool front-end |
Interface interna do Edge Server |
Tráfego SIP de saída do seu diretor, endereço VIP do pool de diretores, Servidor front-end ou endereço VIP do pool do Front End para sua interface interna do Edge Server. |
| Acesso/SIP(MTLS) |
TCP |
5061 |
Interface VIP interna do Edge Server |
Qualquer um: •Diretor • Endereço VIP do pool de diretores • Servidor front-end • Endereço VIP do pool front-end |
Tráfego SIP de entrada para seu endereço VIP do director, do pool de diretores, do Servidor front-end ou do endereço VIP do pool do Front End da interface interna do Edge Server. |
| SIP/MTLS |
TCP |
5062 |
Qualquer um: • Endereço IP do Servidor Front-End • Endereço IP do pool front-end • Qualquer dispositivo de branch de sobrevivência usando este Servidor de Borda • Qualquer servidor de branch de sobrevivência usando este Servidor do Edge |
Interface interna do Edge Server |
Autenticação de usuários de A/V do servidor front-end ou do pool do Front-End, ou do seu Dispositivo de Branch de Sobrevivência ou do Servidor de Branch de Sobrevivência, usando o Servidor do Edge. |
| STUN/MSTURN |
UDP |
3478 |
Qualquer um |
Interface interna do Edge Server |
Caminho preferencial para transferência de mídia A/V entre usuários internos e externos |
| STUN/MSTURN |
TCP |
443 |
Qualquer um |
Interface VIP interna do Edge Server |
Caminho de fallback para transferência de mídia A/V entre seus usuários internos e externos se a comunicação UDP não funcionar. Neste caso, o TCP é usado para transferência de arquivos e compartilhamento de área de trabalho. |