Port- und Protokollanforderungen für Server

Zusammenfassung: Überprüfen Sie die Überlegungen zur Portnutzung, bevor Sie Skype for Business Server implementieren.

Skype for Business Server erfordert, dass bestimmte Ports der externen und internen Firewalls geöffnet sind. Wenn IPsec (Internet Protocol Security) in Ihrer Organisation bereitgestellt wird, muss außerdem IPsec für den Portbereich, der zur Übermittlung von Audio-, Video- und Panoramavideodaten verwendet wird, deaktiviert werden.

Dies mag zwar etwas beängstigend erscheinen, aber die umfangreichen Schritte für die Planung können mit dem Skype for Business Server 2015-Planungstool durchgeführt werden. Nachdem Sie die Fragen des Assistenten zu den Features, die Sie verwenden möchten, durchgegangen sind, können Sie für jede von Ihnen definierte Website den Firewallbericht im Edge-Admin-Bericht anzeigen und die dort aufgeführten Informationen verwenden, um Ihre Firewallregeln zu erstellen. Sie können auch Anpassungen an vielen der verwendeten Namen und IP-Adressen vornehmen. Details finden Sie unter "Überprüfen des Firewallberichts". Denken Sie daran, dass Sie den Edge-Admin-Bericht in eine Excel-Tabelle exportieren können, und der Firewallbericht ist eines der Arbeitsblätter in der Datei.

Sie finden die Informationen in diesen Tabellen in Diagrammform, indem Sie sich das Poster "Protokollarbeitslasten" ansehen, das mit den technischen Diagrammen für Skype for Business Server 2015-Artikel verknüpft ist.

Hinweis

  • Wenn Sie Skype for Business Online implementieren (Microsoft 365 oder Office 365), verweisen Sie auf Microsoft 365 und Office 365 URLs und IP-Adressbereiche. Hybridumgebungen müssen auf dieses Thema verweisen und auch die Hybridkonnektivität planen.
  • Sie können über eine Hardware- oder Softwarefirewall verfügen. Es sind keine bestimmten Modelle oder Versionen erforderlich. Wichtig ist, welche Ports einer Zulassungsliste hinzugefügt werden, damit die Firewall die Funktionsweise von Skype for Business Server nicht beeinträchtigt.

Port- und Protokolldetails

In diesem Abschnitt werden die Ports und Protokolle zusammengefasst, die von Servern, Lastenausgleichsmodulen und Clients in einer Skype for Business Server-Bereitstellung verwendet werden.

Hinweis

Wenn Skype for Business Server gestartet wird, werden die erforderlichen Ports in der Windows-Firewall geöffnet. Die Windows-Firewall sollte bereits in den meisten normalen Anwendungen ausgeführt werden, aber wenn sie nicht verwendet wird, funktioniert Skype for Business Server ohne sie.

Ausführliche Informationen zur Firewallkonfiguration für Edgekomponenten finden Sie in den Edgeserverszenarien in Skype for Business Server 2015.

In der folgenden Tabelle sind die Ports aufgeführt, die für jede interne Serverrolle geöffnet sein müssen.

Erforderliche Serverports (nach Serverrolle)

Serverrolle Dienstname Port Protokoll Notizen
Alle Server SQL-Browser 1434 UDP SQL-Browser für die lokal replizierte Kopie der zentralen Verwaltungsspeicherdatenbank.
Front-End Server Skype for Business Server Front-End-Dienst 5060 TCP Wird optional von Standard Edition-Servern und Front-End-Servern für statische Routen zu vertrauenswürdigen Diensten wie Remoteanrufsteuerungsservern verwendet.
Front-End-Server Skype for Business Server Front-End-Dienst 5061 TCP (TLS) Wird von Standard Edition-Servern und Front-End-Pools für die gesamte interne SIP-Kommunikation zwischen Servern (MTLS), für die SIP-Kommunikation zwischen Server und Client (TLS) und für die SIP-Kommunikation zwischen Front-End-Servern und Vermittlungsservern (MTLS) verwendet. Wird auch für die Kommunikation mit einem Monitoring Server verwendet.
Front-End-Server Skype for Business Server Front-End-Dienst 444 HTTPS
TCP
Wird für die HTTPS-Kommunikation zwischen dem Fokus (der Skype for Business Server Komponente, die den Konferenzstatus verwaltet) und den einzelnen Servern verwendet.
Dieser Port wird auch für die TCP-Kommunikation zwischen Survivable Branch Appliances und Front-End-Servern verwendet.
Front-End-Server Skype for Business Server Front-End-Dienst 135 DCOM- und Remoteprozeduraufruf (Remote Procedure Call, RPC) Wird für DCOM-basierte Vorgänge wie das Verschieben von Benutzern, die Benutzerreplikationsdienstsynchronisierung und die Adressbuchsynchronisierung verwendet.
Front-End-Server Skype for Business Server Chatkonferenzdienst 5062 TCP Wird für eingehende SIP-Anforderungen für Chatkonferenzen verwendet.
Front-End-Server Skype for Business Server Webkonferenzdienst 8057 TCP (TLS) Wird zum Überwachen von PSOM-Verbindungen (Persistent Shared Object Model) vom Client verwendet.
Front-End-Server Skype for Business Server-Webkonferenzkompatibilitätsdienst 8058 TCP (TLS) Wird zum Überwachen von PSOM-Verbindungen (Persistent Shared Object Model) vom Live Meeting-Client und früheren Versionen von Skype for Business Server verwendet.
Front-End-Server Skype for Business Server Audio-/Videokonferenzdienst 5063 TCP Wird für eingehende SIP-Anforderungen für Audio-/Videokonferenzen (A/V) verwendet.
Front-End-Server Skype for Business Server Audio-/Videokonferenzdienst 57501-65535 TCP/UDP Medienportbereich, der für Videokonferenzen verwendet wird.
Front-End-Server Skype for Business Server Webkompatibilitätsdienst 80 HTTP Wird für die Kommunikation von Front-End-Servern mit den Webfarm-FQDNs (den urLs, die von IIS-Webkomponenten verwendet werden) verwendet, wenn HTTPS nicht verwendet wird.
Front-End-Server Skype for Business Server Webkompatibilitätsdienst 443 HTTPS Wird für die Kommunikation von Front-End-Servern mit den Webfarm-FQDNs verwendet (die URLs, die von IIS-Webkomponenten verwendet werden).
Front-End-Server Skype for Business Server Webkompatibilitätsdienst 8080 TCP und HTTP Wird von Webkomponenten für den externen Zugriff verwendet.
Front-End-Server Webserverkomponente 4443 HTTPS HTTPS (von Reverseproxy) und HTTPS-Front-End-Poolkommunikation für die AutoErmittlungsanmeldung.
Front-End-Server Webserverkomponente 8060 TCP (MTLS)
Front-End-Server Webserverkomponente 8061 TCP (MTLS)
Front-End-Server Mobility Services-Komponente 5086 TCP (MTLS) SIP-Port, der von internen Prozessen von Mobility Services verwendet wird
Front-End-Server Mobility Services-Komponente 5087 TCP (MTLS) SIP-Port, der von internen Prozessen von Mobility Services verwendet wird
Front-End-Server Mobility Services-Komponente 443 HTTPS
Front-End-Server Skype for Business Server Konferenzzentralendienst (Einwahlkonferenzen) 5064 TCP Wird für eingehende SIP-Anforderungen für Einwahlkonferenzen verwendet.
Front-End-Server Skype for Business Server Konferenzzentralendienst (Einwahlkonferenzen) 5072 TCP Wird für eingehende SIP-Anforderungen für die Telefonzentrale (Einwahlkonferenzen) verwendet.
Front-End-Server, auf denen auch ein verbundener Vermittlungsserver ausgeführt wird Skype for Business Server Vermittlungsdienst 5070 TCP Wird vom Vermittlungsserver für eingehende Anforderungen vom Front-End-Server an den Vermittlungsserver verwendet.
Front-End-Server, auf denen auch ein verbundener Vermittlungsserver ausgeführt wird Skype for Business Server Vermittlungsdienst 5067 TCP (TLS) Wird für eingehende SIP-Anforderungen vom PSTN-Gateway zum Vermittlungsserver verwendet.
Front-End-Server, auf denen auch ein verbundener Vermittlungsserver ausgeführt wird Skype for Business Server Vermittlungsdienst 5068 TCP Wird für eingehende SIP-Anforderungen vom PSTN-Gateway zum Vermittlungsserver verwendet.
Front-End-Server, auf denen auch ein verbundener Vermittlungsserver ausgeführt wird Skype for Business Server Vermittlungsdienst 5081 TCP Wird für ausgehende SIP-Anforderungen vom Vermittlungsserver an das PSTN-Gateway verwendet.
Front-End-Server, auf denen auch ein verbundener Vermittlungsserver ausgeführt wird Skype for Business Server Vermittlungsdienst 5082 TCP (TLS) Wird für ausgehende SIP-Anforderungen vom Vermittlungsserver an das PSTN-Gateway verwendet.
Front-End-Server Skype for Business Server Anwendungsfreigabedienst 5065 TCP Wird für eingehende SIP-Überwachungsanforderungen für die Anwendungsfreigabe verwendet.
Front-End-Server Skype for Business Server Anwendungsfreigabedienst 49152-65535 TCP Medienportbereich, der für die Anwendungsfreigabe verwendet wird.
Front-End-Server Skype for Business Server Konferenzankündigungsdienst 5073 TCP Wird für eingehende SIP-Anforderungen für den Skype for Business Server-Konferenzankündigungsdienst (d. a. für Einwahlkonferenzen) verwendet.
Front-End-Server Skype for Business Server Anrufparkdienst 5075 TCP Wird für eingehende SIP-Anforderungen für die Anwendung zum Parken von Anrufen verwendet.
Front-End-Server Skype for Business Server Audiotestdienst 5076 TCP Wird für eingehende SIP-Anforderungen für den Audiotestdienst verwendet.
Front-End-Server Nicht zutreffend 5066 TCP Wird für ausgehende erweiterte 9-1-1 (E9-1-1)-Gateways verwendet.
Front-End-Server Skype for Business Server Reaktionsgruppendienst 5071 TCP Wird für eingehende SIP-Anforderungen für die Reaktionsgruppenanwendung verwendet.
Front-End-Server Skype for Business Server Reaktionsgruppendienst 8404 TCP (MTLS) Wird für eingehende SIP-Anforderungen für die Reaktionsgruppenanwendung verwendet.
Front-End-Server Skype for Business Server Bandbreitenrichtliniendienst 5080 TCP Wird für die Anrufsteuerung durch den Bandbreitenrichtliniendienst für A/V Edge TURN-Datenverkehr verwendet.
Front-End-Server Skype for Business Server Dateifreigabeserverzugriff 445 SMB/TCP Wird zum Abrufen von Adressbuch, Besprechungsinhalten und anderen Elementen verwendet, die auf dem Dateifreigabeserver gespeichert sind.
Front-End-Server Skype for Business Server Bandbreitenrichtliniendienst 448 TCP Wird für die Anrufsteuerung durch den Skype for Business Server Bandwidth Policy Service verwendet.
Front-End-Server, auf denen sich der zentrale Verwaltungsspeicher befindet Skype for Business Server Master Replicator Agent-Dienst 445 TCP Wird verwendet, um Konfigurationsdaten aus dem zentralen Verwaltungsspeicher an Server mit Skype for Business Server zu übertragen.
Alle Server SQL-Browser 1434 UDP SQL Browser für lokal replizierte Kopie des zentralen Verwaltungsspeichers von Daten in der lokalen SQL Server Instanz
Alle internen Server Verschiedene 49152-57500 TCP/UDP Medienportbereich, der für Audiokonferenzen auf allen internen Servern verwendet wird. Wird von allen Servern verwendet, die Audio beenden: Front-End-Server (für Skype for Business Server Konferenzzentralendienst, Skype for Business Server Konferenzankündigungsdienst und Skype for Business Server Audio-/Videokonferenzdienst) und Vermittlungsserver.
Office Web-Apps-Server 443 Wird von Skype for Business Server zum Herstellen einer Verbindung mit Office Web-Apps Server verwendet.
Directors Skype for Business Server Front-End-Dienst 5060 TCP Optional für statische Routen zu vertrauenswürdigen Diensten wie Remoteanrufsteuerungsservern verwendet.
Directors Skype for Business Server Front-End-Dienst 444 HTTPS
TCP
Serverübergreifende Kommunikation zwischen Front-End und Director. Darüber hinaus veröffentlichen Clientzertifikate (auf Front-End-Servern) oder überprüfen, ob das Clientzertifikat bereits veröffentlicht wurde.
Directors Skype for Business Server Webkompatibilitätsdienst 80 TCP Wird für die anfängliche Kommunikation von Directors mit den FQDNs der Webfarm verwendet (die URLs, die von IIS-Webkomponenten verwendet werden). Im normalen Betrieb wird über Port 443 und Protokolltyp TCP auf HTTPS-Datenverkehr umgestellt.
Directors Skype for Business Server Webkompatibilitätsdienst 443 HTTPS Wird für die Kommunikation von Directors mit den Webfarm-FQDNs verwendet (die URLs, die von IIS-Webkomponenten verwendet werden).
Directors Skype for Business Server Front-End-Dienst 5061 TCP Wird für die interne Kommunikation zwischen Servern und für Clientverbindungen verwendet.
Vermittlungsserver Skype for Business Server Vermittlungsdienst 5070 TCP Wird vom Vermittlungsserver für eingehende Anforderungen vom Front-End-Server verwendet.
Vermittlungsserver Skype for Business Server Vermittlungsdienst 5067 TCP (TLS) Wird für eingehende SIP-Anforderungen vom PSTN-Gateway verwendet.
Vermittlungsserver Skype for Business Server Vermittlungsdienst 5068 TCP Wird für eingehende SIP-Anforderungen vom PSTN-Gateway verwendet.
Vermittlungsserver Skype for Business Server Vermittlungsdienst 5070 TCP (MTLS) Wird für SIP-Anforderungen von den Front-End-Servern verwendet.
Front-End-Server für beständigen Chat SIP für beständigen Chat 5041 TCP (MTLS)
Front-End-Server für beständigen Chat Windows Communication Foundation (WCF) für beständigen Chat 881 TCP (TLS) und TCP (MTLS)
Front-End-Server für beständigen Chat Dateiübertragungsdienst für beständigen Chat 443 TCP (TLS)

Hinweis

Einige Remoteanrufsteuerungsszenarien erfordern eine TCP-Verbindung zwischen dem Front-End-Server oder Director und der Nebenstellenanlage. Obwohl Skype for Business Server tcp-Port 5060 nicht mehr verwendet, erstellen Sie während der Bereitstellung der Remoteanrufsteuerung eine vertrauenswürdige Serverkonfiguration, die den FQDN des RCC-Leitungsservers mit dem TCP-Port verknüpft, den der Front-End-Server oder Director für die Verbindung mit dem PBX-System verwendet. Ausführliche Informationen finden Sie im Cmdlet "CsTrustedApplicationComputer" in der Dokumentation zur Skype for Business Server-Verwaltungsshell.

Für Ihre Pools, die nur den Hardwarelastenausgleich (nicht den DNS-Lastenausgleich) verwenden, enthält die folgende Tabelle die Ports, die die Hardwarelastenausgleichsgeräte öffnen müssen.

Hardware Load Balancer Ports, wenn nur Hardwarelastenausgleich verwendet wird

Lastenausgleich Port Protokoll
Front-End-Server-Lastenausgleich 5061 TCP (TLS)
Front-End-Server-Lastenausgleich 444 HTTPS
Front-End-Server-Lastenausgleich 135 DCOM- und Remoteprozeduraufruf (Remote Procedure Call, RPC)
Front-End-Server-Lastenausgleich 80 HTTP
Front-End-Server-Lastenausgleich 8080 TCP – Client- und Geräteabruf des Stammzertifikats vom Front-End-Server – Clients und Geräte, die von NTLM authentifiziert wurden
Front-End-Server-Lastenausgleich 443 HTTPS
Front-End-Server-Lastenausgleich 4443 HTTPS (von Reverseproxy)
Front-End-Server-Lastenausgleich 5072 TCP
Front-End-Server-Lastenausgleich 5073 TCP
Front-End-Server-Lastenausgleich 5075 TCP
Front-End-Server-Lastenausgleich 5076 TCP
Front-End-Server-Lastenausgleich 5071 TCP
Front-End-Server-Lastenausgleich 5080 TCP
Front-End-Server-Lastenausgleich 448 TCP
Vermittlungsserver–Lastenausgleich 5070 TCP
Front-End-Server-Lastenausgleich (wenn im Pool auch der Vermittlungsserver ausgeführt wird) 5070 TCP
Director-Lastenausgleich 443 HTTPS
Director-Lastenausgleich 444 HTTPS
Director-Lastenausgleich 5061 TCP
Director-Lastenausgleich 4443 HTTPS (von Reverseproxy)

Für Ihre Front-End-Pools und Directorpools, die den DNS-Lastenausgleich verwenden, muss auch ein Hardwaregerät zum Lastenausgleich bereitgestellt sein. Die folgende Tabelle zeigt die Ports, die für diese Hardwarelastenausgleichsgeräte geöffnet sein müssen.

Hardware-Load Balancer Ports bei Verwendung des DNS-Lastenausgleichs

Lastenausgleich Port Protokoll
Front-End-Server-Lastenausgleich 80 HTTP
Front-End-Server-Lastenausgleich 443 HTTPS
Front-End-Server-Lastenausgleich 8080 TCP – Client- und Geräteabruf des Stammzertifikats vom Front-End-Server – Clients und Geräte, die von NTLM authentifiziert wurden
Front-End-Server-Lastenausgleich 4443 HTTPS (von Reverseproxy)
Director-Lastenausgleich 443 HTTPS
Director-Lastenausgleich 4443 HTTPS (von Reverseproxy)

Erforderliche Clientports

Komponente Port Protokoll Notizen
Clients 67/68 DHCP Wird von Skype for Business Server verwendet, um den Registrierungs-FQDN zu finden (d. h., wenn DNS SRV fehlschlägt und manuelle Einstellungen nicht konfiguriert sind).
Clients 443 TCP (TLS) Wird für Client-zu-Server-SIP-Datenverkehr für den externen Benutzerzugriff verwendet.
Clients 443 TCP (PSOM/TLS) Wird für den externen Benutzerzugriff auf Webkonferenzsitzungen verwendet.
Clients 443 TCP (STUN/MSTURN) Wird für den externen Benutzerzugriff auf A/V-Sitzungen und Medien (TCP) verwendet.
Clients 3478 UDP (STUN/MSTURN) Wird für den externen Benutzerzugriff auf A/V-Sitzungen und Medien (UDP) verwendet.
Clients 5061 TCP (MTLS) Wird für Client-zu-Server-SIP-Datenverkehr für den externen Benutzerzugriff verwendet.
Clients 6891-6901 TCP Wird für die Dateiübertragung zwischen Skype for Business Clients und früheren Clients verwendet.
Clients 1024-65535 * TCP/UDP Audioportbereich (mindestens 20 Ports erforderlich)
Clients 1024-65535 * TCP/UDP Videoportbereich (mindestens 20 Ports erforderlich).
Clients 1024-65535 * TCP Peer-to-Peer-Dateiübertragung (für die Übertragung von Konferenzdateien verwenden Clients PSOM).
Clients 1024-65535 * TCP Anwendungsfreigabe.
Aastra 6721ip (Telefon für öffentliche Bereiche)
Telefonapparat Aastra 6725ip
IP-Telefon HP 4110 (Telefon für öffentliche Bereiche)
IP-Telefon HP 4120 (Telefonapparat)
IP-Telefon Polycom CX500 (Telefon für öffentliche Bereiche)
IP-Telefonapparat Polycom CX600
Polycom CX700-IP-Tischtelefon
IP-Konferenztelefon Polycom CX3000
67/68 DHCP Wird von den aufgeführten Geräten verwendet, um das Skype for Business Server Zertifikat zu finden, FQDN und Registrierungsstellen-FQDN bereitzustellen.

* Verwenden Sie zum Konfigurieren bestimmter Ports für diese Medientypen das Cmdlet "CsConferencingConfiguration" (Parameter "ClientMediaPortRangeEnabled", "ClientMediaPort" und "ClientMediaPortRange").

Hinweis

Die Setupprogramme für Skype for Business Clients erstellen automatisch die erforderlichen Betriebssystem-Firewall-Ausnahmen auf dem Clientcomputer.

Hinweis

Die Ports, die für den externen Benutzerzugriff verwendet werden, sind für jedes Szenario erforderlich, in dem der Client die Firewall der Organisation durchlaufen muss (z. B. externe Kommunikation oder Besprechungen, die von anderen Organisationen gehostet werden).

IPsec-Ausnahmen

Für Unternehmensnetzwerke, in denen Internetprotokollsicherheit (Internet Protocol Security, IPsec) (siehe IETF RFC 4301-4309) bereitgestellt wurde, muss IPsec über den Bereich der Ports deaktiviert werden, die für die Übermittlung von Audio-, Video- und Panoramavideos verwendet werden. Mit dieser Empfehlung sollen Verzögerungen in der Zuweisung von Medienports vermieden werden, die sich aus dem IPsec-Aushandlungsvorgang ergeben könnten.

In der folgenden Tabelle werden die empfohlenen Einstellungen für IPsec-Ausnahmen erläutert.

Empfohlene IPsec-Ausnahmen

Regelname Quell-IP Ziel-IP Protokoll Quellport Zielport Authentifizierungsanforderung
A/V-Edgeserver, intern eingehend Any A/V-Edgeserver, intern UDP und TCP Beliebig Beliebig Keine Authentifizierung
A/V-Edgeserver, extern eingehend Any A/V-Edgeserver, extern UDP und TCP Beliebig Beliebig Keine Authentifizierung
A/V-Edgeserver, intern ausgehend A/V-Edgeserver, intern Beliebig UDP & TCP Beliebig Beliebig Keine Authentifizierung
A/V-Edgeserver, extern ausgehend A/V-Edgeserver, extern Beliebig UDP und TCP Beliebig Beliebig Keine Authentifizierung
Vermittlungsserver, eingehend Beliebig Mediation
Server
UDP und TCP Beliebig Beliebig Keine Authentifizierung
Vermittlungsserver, ausgehend Mediation
Server
Beliebig UDP und TCP Beliebig Beliebig Keine Authentifizierung
Konferenzzentrale, eingehend Beliebig Front-End-Server, auf dem die Konferenzzentrale ausgeführt wird UDP und TCP Any Any Keine Authentifizierung
Konferenzzentrale (ausgehend) Front-End-Server, auf dem die Konferenzzentrale ausgeführt wird Beliebig UDP und TCP Beliebig Beliebig Keine Authentifizierung
A/V-Konferenzserver, eingehend Any Front-End-Server UDP und TCP Beliebig Beliebig Keine Authentifizierung
A/V-Konferenzen, ausgehend Front-End-Server Beliebig UDP und TCP Beliebig Beliebig Keine Authentifizierung
Exchange, eingehend Beliebig Exchange Unified Messaging UDP und TCP Any Beliebig Keine Authentifizierung
Anwendungsfreigabeserver, eingehend Any Anwendungsfreigabeserver TCP Beliebig Beliebig Keine Authentifizierung
Anwendungsfreigabeserver, ausgehend Anwendungsfreigabeserver Beliebig TCP Beliebig Beliebig Keine Authentifizierung
Exchange, ausgehend Exchange Unified Messaging Beliebig UDP und TCP Any Any Keine Authentifizierung
Clients Beliebig Beliebig UDP Angegebener Medienportbereich Any Keine Authentifizierung