[アーティクル]
01/08/2015

関連アーキテクチャ 3: 拡張統合エッジ (ハードウェア負荷分散有効) のポートの概要

トピックの最終更新日: 2012-11-02

この関連アーキテクチャで説明されている Lync Server 2010 エッジサーバーの機能は、Office Communications Server 2007 R2 で最初に導入された機能と非常によく似ていますが、次の点が異なります。

ポート 8080 はオプションです。外部 Web サービス公開ルールの証明書の変更が望ましくない状況 (例: 多数の SIP ドメインがある場合) では、Lync を実行するモバイルデバイスでこのポートを使用して自動検出サービスを検索できます。
ポート 4443 を使用して、リバースプロキシの内部インターフェイスからプールの仮想 IP (VIP) にトラフィックがルーティングされます。
ポート 4443 を使用して、プールのフロントエンドサーバーからエッジの内部インターフェイスにトラフィックがルーティングされます。

50,000 ～ 59,999 のポート範囲にはいくつかのオプションがありますが、「関連アーキテクチャ 3: 拡張統合エッジ (ハードウェア負荷分散有効)」の拡張統合エッジトポロジ (ハードウェア負荷分散) の図では、以前のバージョンの Office Communications Server との相互運用性を確保する一般的な構成が示されています。このポート範囲を構成する場合のオプションの詳細については、「外部の音声ビデオファイアウォールおよびポートの要件の決定」のセクションを参照してください。

拡張統合エッジ (ハードウェア負荷分散) の企業の境界ネットワーク

拡張統合エッジ、HLB 境界ネットワーク

前の表で、(受信) は信頼性の低いネットワークから信頼性の高いネットワークへのトラフィック (インターネットから境界ネットワーク、境界ネットワークから企業ネットワークなどに送信されるトラフィック) を意味します。たとえば、インターネットからエッジの外部インターフェイスへ、またはエッジの内部インターフェイスから次ホップのプールへ送信されるトラフィックです。(送信) は信頼性の高いネットワークから信頼性の低いネットワークへのトラフィック (企業ネットワークから境界ネットワーク、境界ネットワークからインターネットなどに送信されるトラフィック) を意味します。たとえば、企業のプールからエッジの内部インターフェイスへ、またはエッジの外部インターフェイスからインターネットへ送信されるトラフィックです。また、(送受信) は双方向のトラフィックを意味します。

エッジの受信/送信トラフィック

エッジの受信/送信の図

外部アクセスを提供する機能をサポートするために必要なポートのみを開くことをお勧めします。

エッジサービスに対応するリモートアクセスの場合、拡張統合エッジトポロジ (ハードウェア負荷分散) の図のように SIP トラフィックが双方向でフローできるようになっている必要があります。つまり、アクセスエッジサービスはインスタントメッセージング (IM)、プレゼンス、Web 会議、および音声ビデオ (A/V) に含まれます。

拡張統合エッジ (ハードウェア負荷分散) のファイアウォールの概要外部インターフェイス

HTTP 80 (送信)

証明書失効リストのダウンロード

DNS 53 (送信)

外部 DNS クエリ

SIP/TLS/443 (受信)

リモートユーザーアクセスを行うためのクライアントからサーバーへの SIP トラフィック (個々のエッジプールサーバーではなくアクセスエッジの外部 VIP にのみ開かれます)

SIP/MTLS/5061 (受信)

Hosted Exchange サービスとのフェデレーションおよび接続。 (個々のエッジプールサーバーではなく) アクセスエッジの外部 VIP にのみ開かれます。

PSOM/TLS/443 (受信)

匿名ユーザーおよびフェデレーションユーザーの Web 会議へのリモートユーザーアクセス。(個々のエッジプールサーバーではなく) Web 会議エッジの外部 VIP にのみ開かれます。

RTP/TCP/50K 範囲 (受信)

メディア交換 (詳細については、「外部の音声ビデオファイアウォールおよびポートの要件の決定」を参照)

Office Communications Server 2007 の相互運用性に必要

RTP/TCP/50K 範囲 (送信)

メディア交換 (詳細については、「外部の音声ビデオファイアウォールおよびポートの要件の決定」を参照)

Office Communications Server 2007 の相互運用性に必要

Office Communications Server 2007 R2 のデスクトップ共有およびフェデレーションで必要

Lync Server 2010 のアプリケーション共有とファイル転送に必要

Windows Live Messenger を使用した音声ビデオ

注:
周辺ファイアウォールの要件によって、またはクライアント側で UDP 3478 の使用が制限されているという理由で、UDP 3478 がブロックされている場合は、UDP 3478 の代わりに 50K ポート範囲が使用されます。

RTP/UDP/50K 範囲 (受信)

メディア交換 (詳細については、「外部の音声ビデオファイアウォールおよびポートの要件の決定」を参照)

Office Communications Server 2007 の相互運用性に必要

RTP/UDP/50K 範囲 (送信)

メディア交換 (詳細については、「外部の音声ビデオファイアウォールおよびポートの要件の決定」を参照)

Office Communications Server 2007 の相互運用性に必要

STUN/MSTURN/UDP/3478 (送受信)

音声ビデオセッションへの外部ユーザーアクセス (UDP) (音声ビデオエッジの外部 VIP および個々のエッジサーバーに開かれます)

STUN/MSTURN/TCP/443 (受信)

音声ビデオセッションおよびメディアへの外部ユーザーアクセス (TCP) (音声ビデオエッジの外部 VIP および個々のエッジサーバーに開かれます)

拡張統合エッジ (ハードウェア負荷分散) のファイアウォールの概要内部インターフェイス

プロトコル/ポート	使用対象
SIP/MTLS/5061 (送受信)	SIP トラフィック。エッジの内部 VIP および個々のエッジプールサーバーに開かれます。
PSOM/MTLS/8057 (送信)	プールからエッジへの Web 会議トラフィック (個々のエッジサーバーにのみ開かれます)
SIP/MTLS/5062 (送信)	音声ビデオユーザーの認証 (音声ビデオ認証サービス) (エッジの内部 VIP および個々のエッジサーバーに開かれます)
STUN/MSTURN/UDP/3478 (送信)	内部ユーザーと外部ユーザー間のメディア転送の優先パス (UDP) (エッジの内部 VIP および個々のエッジサーバーに開かれます)
STUN/MSTURN/TCP/443 (送信)	内部ユーザーと外部ユーザー間のメディア転送の代替パス (TCP) (エッジの内部 VIP および個々のエッジサーバーに開かれます)
HTTPS 4443 (送信)	エッジノードへの CMS データベースの更新のプッシュ (個々のエッジサーバーにのみ開かれます)

リバースプロキシサーバーのファイアウォールの詳細:外部インターフェイス

プロトコル/ポート	使用対象
HTTP 80 (受信)	(オプション) ユーザーが誤って http://<公開済みサイトの FQDN> と入力してしまった場合は、HTTPS にリダイレクト。組織が外部 Web サービス公開ルールの証明書の変更を望まない状況で、Lync を実行するモバイルデバイスの自動検出サービスを使用する場合に必要。
HTTPS 443 (受信)	アドレス帳のダウンロード、アドレス帳 Web クエリサービス、クライアントの更新、会議コンテンツ、デバイス更新、グループ拡張、ダイヤルイン会議および会議。

HTTP 80 (受信)

(オプション) ユーザーが誤って http://<公開済みサイトの FQDN> と入力してしまった場合は、HTTPS にリダイレクト。

組織が外部 Web サービス公開ルールの証明書の変更を望まない状況で、Lync を実行するモバイルデバイスの自動検出サービスを使用する場合に必要。

HTTPS 443 (受信)

アドレス帳のダウンロード、アドレス帳 Web クエリサービス、クライアントの更新、会議コンテンツ、デバイス更新、グループ拡張、ダイヤルイン会議および会議。

リバースプロキシサーバーのファイアウォールの詳細:内部インターフェイス

プロトコル/ポート	使用対象
HTTP 8080 (受信)	顧客が外部 Web サービス公開ルールの証明書の変更を望まない状況で、Lync を実行するモバイルデバイスの自動検出サービスを使用する場合に必要。リバースプロキシの外部インターフェイスのポート 80 に送信されるトラフィックは、そのトラフィックと内部 Web トラフィックをプールの Web サービスが区別できるように、リバースプロキシの内部インターフェイスからポート 8080 のプールにリダイレクトされます。
HTTPS 4443 (受信)	リバースプロキシの外部インターフェイスのポート 443 に送信されるトラフィックは、そのトラフィックと内部 Web トラフィックをプールの Web サービスが区別できるように、リバースプロキシの内部インターフェイスからポート 4443 のプールにリダイレクトされます。

HTTP 8080 (受信)

顧客が外部 Web サービス公開ルールの証明書の変更を望まない状況で、Lync を実行するモバイルデバイスの自動検出サービスを使用する場合に必要。

リバースプロキシの外部インターフェイスのポート 80 に送信されるトラフィックは、そのトラフィックと内部 Web トラフィックをプールの Web サービスが区別できるように、リバースプロキシの内部インターフェイスからポート 8080 のプールにリダイレクトされます。

HTTPS 4443 (受信)

リバースプロキシの外部インターフェイスのポート 443 に送信されるトラフィックは、そのトラフィックと内部 Web トラフィックをプールの Web サービスが区別できるように、リバースプロキシの内部インターフェイスからポート 4443 のプールにリダイレクトされます。

注:
前の表の (受信) は、インターネットから境界、境界から企業など、信頼性の低いネットワークから信頼性の高いネットワークに進むトラフィックを表しています。たとえば、インターネットからリバースプロキシの外部インターフェイス、リバースプロキシの内部インターフェイスから Standard Edition プール (または Enterprise Edition プールに関連付けられているハードウェアロードバランサーの VIP) に進むトラフィックが該当します。

前の表の (受信) は、インターネットから境界、境界から企業など、信頼性の低いネットワークから信頼性の高いネットワークに進むトラフィックを表しています。たとえば、インターネットからリバースプロキシの外部インターフェイス、リバースプロキシの内部インターフェイスから Standard Edition プール (または Enterprise Edition プールに関連付けられているハードウェアロードバランサーの VIP) に進むトラフィックが該当します。

拡張統合エッジトポロジ (ハードウェア負荷分散) に必要な外部ポート設定: 外部インターフェイスの仮想 IP

エッジの役割	送信元 IP アドレス	送信元ポート	宛先 IP アドレス	宛先ポート	トランスポート	アプリケーション	メモ
アクセス	任意	任意	131.107.155.110	443	TCP	SIP (TLS)	外部ユーザーアクセスを行うためのクライアントとサーバー間の SIP トラフィック
アクセス	任意	任意	131.107.155.110	5061	TCP	SIP (MTLS)	SIP を使用したフェデレーションとパブリック IM 接続 (受信)
Web 会議	任意	任意	131.107.155.120	443	TCP	PSOM (TLS)
音声ビデオ	任意	任意	131.107.155.130	3478	UDP	STUN/MSTURN
音声ビデオ	任意	任意	131.107.155.130	443	TCP	STUN/MSTURN

拡張統合エッジトポロジ (ハードウェア負荷分散) に必要な外部ポート設定: ノード 1 の外部インターフェイス

エッジの役割	送信元 IP アドレス	送信元ポート	宛先 IP アドレス	宛先ポート	トランスポート	アプリケーション	メモ
アクセス	131.107.155.10	任意	任意	80	TCP	HTTP
アクセス	131.107.155.10	任意	任意	53	UDP	DNS
アクセス	131.107.155.10	任意	任意	5061	TCP	SIP (MTLS)	SIP を使用したフェデレーションとパブリック IM 接続 (送信)
音声ビデオ	131.107.155.30	50,000 – 59,999	任意	任意	TCP	RTP	Office Communications Server 2007 R2 を実行するパートナーとデスクトップを共有する場合にのみ必要です。また、Lync Server 2010 フェデレーションユーザーおよび Windows Live Messenger を使用した音声ビデオセッションとのアプリケーション共有またはファイル送信にも必要です。
音声ビデオ	131.107.155.30	50,000 – 59,999	任意	任意	UDP	RTP	Office Communications Server 2007 を実行するパートナーとのフェデレーションにのみ必要です。
音声ビデオ	任意	任意	131.107.155.30	50,000 – 59,999	TCP	RTP	Office Communications Server 2007 を実行するパートナーとのフェデレーションにのみ必要です。
音声ビデオ	任意	任意	131.107.155.30	50,000 – 59,999	UDP	RTP	Office Communications Server 2007 を実行するパートナーとのフェデレーションにのみ必要です。
音声ビデオ	131.107.155.30	任意	任意	3478	UDP	STUN/MSTURN	3478 の発信は、Lync Server 2010 の通信相手であるエッジサーバーのバージョンを判別するためと、エッジサーバー間のメディアトラフィックのために使用されます。 Lync Server 2010、Windows Live Messenger、Office Communications Server 2007 R2 とのフェデレーション、および会社内に複数のエッジプールが展開されている場合に必要です。
音声ビデオ	任意	任意	131.107.155.30	3478	UDP	STUN/MSTURN
音声ビデオ	任意	任意	131.107.155.30	443	TCP	STUN/MSTURN

拡張統合エッジトポロジ (ハードウェア負荷分散) に必要な外部ポート設定: ノード 2 の外部インターフェイス

エッジの役割	送信元 IP アドレス	送信元ポート	宛先 IP アドレス	宛先ポート	トランスポート	アプリケーション	メモ
アクセス	131.107.155.11	任意	任意	80	TCP	HTTP
アクセス	131.107.155.11	任意	任意	53	UDP	DNS
アクセス	131.107.155.11	任意	任意	5061	TCP	SIP (MTLS)	SIP を使用したフェデレーションとパブリック IM 接続 (送信)
音声ビデオ	131.107.155.31	50,000 – 59,999	任意	任意	TCP	RTP	Office Communications Server 2007 R2 を実行するパートナーとのフェデレーションにのみ必要です。また、Lync Server 2010 フェデレーションユーザーおよび Windows Live Messenger を使用した音声ビデオセッションとのアプリケーション共有またはファイル送信にも必要です。
音声ビデオ	131.107.155.31	50,000 – 59,999	任意	任意	UDP	RTP	Office Communications Server 2007 を実行するパートナーとのフェデレーションにのみ必要です。
音声ビデオ	任意	任意	131.107.155.31	50,000 – 59,999	TCP	RTP	Office Communications Server 2007 を実行するパートナーとのフェデレーションにのみ必要です。
音声ビデオ	任意	任意	131.107.155.31	50,000 – 59,999	UDP	RTP	Office Communications Server 2007 を実行するパートナーとデスクトップを共有する場合にのみ必要です。
音声ビデオ	131.107.155.31	任意	任意	3478	UDP	STUN/MSTURN	3478 の発信は、Lync Server 2010 の通信相手であるエッジサーバーのバージョンを判別定するためと、エッジサーバー間のメディアトラフィックのために使用されます。 Lync Server 2010、Windows Live Messenger、Office Communications Server 2007 R2 とのフェデレーション、および会社内に複数のエッジプールが展開されている場合に必要です。
音声ビデオ	任意	任意	131.107.155.31	3478	UDP	STUN/MSTURN
音声ビデオ	任意	任意	131.107.155.31	443	TCP	STUN/MSTURN

拡張統合エッジトポロジ (ハードウェア負荷分散) に必要な外部ポート設定: リバースプロキシ

エッジの役割	送信元 IP アドレス	送信元ポート	宛先 IP アドレス	宛先ポート	トランスポート	アプリケーション	メモ
該当なし	任意	任意	10.45.16.40	80	TCP	SIP (TLS)	(オプション) http トラフィックを https にリダイレクトするために使用します。組織が外部 Web サービス公開ルールの証明書の変更を望まない状況で、Lync を実行するモバイルデバイスの自動検出サービスを使用する場合に必要。
該当なし	任意	任意	10.45.16.40	443	TCP	HTTPS

該当なし

任意

10.45.16.40

TCP

SIP (TLS)

(オプション) http トラフィックを https にリダイレクトするために使用します。

組織が外部 Web サービス公開ルールの証明書の変更を望まない状況で、Lync を実行するモバイルデバイスの自動検出サービスを使用する場合に必要。

該当なし

任意

10.45.16.40

443

TCP

HTTPS

拡張統合エッジトポロジ (ハードウェア負荷分散) に必要な内部ファイアウォールポート設定: 内部インターフェイスの仮想 IP

エッジの役割	送信元 IP アドレス	送信元ポート	宛先 IP アドレス	宛先ポート	トランスポート	アプリケーション	メモ
アクセス	192.168.10.90 192.168.10.91	任意	172.25.33.110	5061	TCP	SIP (MTLS)
音声ビデオ	任意	任意	172.25.33.110	5062	TCP	SIP (MTLS)	この特定の音声ビデオ認証サービスを使用するすべてのフロントエンドサーバーおよび存続可能ブランチアプライアンスまたは存続可能ブランチサーバーが含まれます。
音声ビデオ	任意	任意	172.25.33.110	3478	UDP	STUN/MSTURN
音声ビデオ	任意	任意	172.25.33.110	443	TCP	STUN/MSTURN

拡張統合エッジトポロジ (ハードウェア負荷分散) に必要な内部ファイアウォールポート設定: ノード 1 の内部インターフェイス

エッジの役割	送信元 IP アドレス	送信元ポート	宛先 IP アドレス	宛先ポート	トランスポート	アプリケーション	メモ
アクセス	172.25.33.10	任意	192.168.10.90 192.168.10.91	5061	TCP	SIP (MTLS)	宛先は次ホップサーバーです。参照アーキテクチャの場合は 2 つのプールのフロントエンドサーバーの IP アドレスです。
アクセス	192.168.10.90 192.168.10.91	任意	172.25.33.10	4443	TCP	HTTPS	中央管理ストアのレプリケーションに使用されます。これには、すべてのフロントエンドサーバーが含まれます。
Web 会議	任意	任意	172.25.33.10	8057	TCP	PSOM (MTLS)
音声ビデオ	192.168.10.90 192.168.10.91	任意	172.25.33.10	5062	TCP	SIP (MTLS)	メディアリレー認証
音声ビデオ	任意	任意	172.25.33.10	3478	UDP	STUN/MSTURN
音声ビデオ	任意	任意	172.25.33.10	443	TCP	STUN/MSTURN

拡張統合エッジトポロジ (ハードウェア負荷分散) に必要な内部ファイアウォールポート設定: ノード 2 の内部インターフェイス

エッジの役割	送信元 IP アドレス	送信元ポート	宛先 IP アドレス	宛先ポート	トランスポート	アプリケーション	メモ
アクセス	172.25.33.11	任意	192.168.10.90 192.168.10.91	5061	TCP	SIP (MTLS)	宛先は次ホップサーバーです。参照アーキテクチャの場合は 2 つのプールのフロントエンドサーバーの IP アドレスです。
アクセス	192.168.10.90 192.168.10.91	任意	172.25.33.11	4443	TCP	HTTPS	中央管理ストアのレプリケーションに使用されます。これには、すべてのフロントエンドサーバーが含まれます。
Web 会議	任意	任意	172.25.33.11	8057	TCP	PSOM (MTLS)
音声ビデオ	192.168.10.90 192.168.10.91	任意	172.25.33.11	5062	TCP	SIP (MTLS)	メディアリレー認証
音声ビデオ	任意	任意	172.25.33.11	3478	UDP	STUN/MSTURN
音声ビデオ	任意	任意	172.25.33.11	443	TCP	STUN/MSTURN

拡張統合エッジトポロジ (ハードウェア負荷分散) に必要な内部ファイアウォールポート設定: リバースプロキシ

エッジの役割	送信元 IP アドレス	送信元ポート	宛先 IP アドレス	宛先ポート	トランスポート	アプリケーション	メモ
該当なし	172.25.33.40	任意	192.168.10.190	8080	TCP	HTTPS	(オプション) 組織が外部 Web サービス公開ルールの証明書の変更を望まない状況で、Lync を実行するモバイルデバイスの自動検出サービスを使用する場合に必要。
該当なし	172.25.33.40	任意	192.168.10.190	4443	TCP	HTTPS

次の方法で共有

関連アーキテクチャ 3: 拡張統合エッジ (ハードウェア負荷分散有効) のポートの概要

拡張統合エッジ (ハードウェア負荷分散) のファイアウォールの概要外部インターフェイス

拡張統合エッジ (ハードウェア負荷分散) のファイアウォールの概要内部インターフェイス

リバースプロキシサーバーのファイアウォールの詳細:外部インターフェイス

リバースプロキシサーバーのファイアウォールの詳細:内部インターフェイス

拡張統合エッジトポロジ (ハードウェア負荷分散) に必要な外部ポート設定: 外部インターフェイスの仮想 IP

拡張統合エッジトポロジ (ハードウェア負荷分散) に必要な外部ポート設定: ノード 1 の外部インターフェイス

拡張統合エッジトポロジ (ハードウェア負荷分散) に必要な外部ポート設定: ノード 2 の外部インターフェイス

拡張統合エッジトポロジ (ハードウェア負荷分散) に必要な外部ポート設定: リバースプロキシ

拡張統合エッジトポロジ (ハードウェア負荷分散) に必要な内部ファイアウォールポート設定: 内部インターフェイスの仮想 IP

拡張統合エッジトポロジ (ハードウェア負荷分散) に必要な内部ファイアウォールポート設定: ノード 1 の内部インターフェイス

拡張統合エッジトポロジ (ハードウェア負荷分散) に必要な内部ファイアウォールポート設定: ノード 2 の内部インターフェイス

拡張統合エッジトポロジ (ハードウェア負荷分散) に必要な内部ファイアウォールポート設定: リバースプロキシ

その他のリソース

次の方法で共有

関連アーキテクチャ 3: 拡張統合エッジ (ハードウェア負荷分散有効) のポートの概要

拡張統合エッジ (ハードウェア負荷分散) のファイアウォールの概要外部インターフェイス

拡張統合エッジ (ハードウェア負荷分散) のファイアウォールの概要内部インターフェイス

リバース プロキシ サーバーのファイアウォールの詳細:外部インターフェイス

リバース プロキシ サーバーのファイアウォールの詳細:内部インターフェイス

拡張統合エッジ トポロジ (ハードウェア負荷分散) に必要な外部ポート設定: 外部インターフェイスの仮想 IP

拡張統合エッジ トポロジ (ハードウェア負荷分散) に必要な外部ポート設定: ノード 1 の外部インターフェイス

拡張統合エッジ トポロジ (ハードウェア負荷分散) に必要な外部ポート設定: ノード 2 の外部インターフェイス

拡張統合エッジ トポロジ (ハードウェア負荷分散) に必要な外部ポート設定: リバース プロキシ

拡張統合エッジ トポロジ (ハードウェア負荷分散) に必要な内部ファイアウォール ポート設定: 内部インターフェイスの仮想 IP

拡張統合エッジ トポロジ (ハードウェア負荷分散) に必要な内部ファイアウォール ポート設定: ノード 1 の内部インターフェイス

拡張統合エッジ トポロジ (ハードウェア負荷分散) に必要な内部ファイアウォール ポート設定: ノード 2 の内部インターフェイス

拡張統合エッジ トポロジ (ハードウェア負荷分散) に必要な内部ファイアウォール ポート設定: リバース プロキシ

その他のリソース

リバースプロキシサーバーのファイアウォールの詳細:外部インターフェイス

リバースプロキシサーバーのファイアウォールの詳細:内部インターフェイス

拡張統合エッジトポロジ (ハードウェア負荷分散) に必要な外部ポート設定: 外部インターフェイスの仮想 IP

拡張統合エッジトポロジ (ハードウェア負荷分散) に必要な外部ポート設定: ノード 1 の外部インターフェイス

拡張統合エッジトポロジ (ハードウェア負荷分散) に必要な外部ポート設定: ノード 2 の外部インターフェイス

拡張統合エッジトポロジ (ハードウェア負荷分散) に必要な外部ポート設定: リバースプロキシ

拡張統合エッジトポロジ (ハードウェア負荷分散) に必要な内部ファイアウォールポート設定: 内部インターフェイスの仮想 IP

拡張統合エッジトポロジ (ハードウェア負荷分散) に必要な内部ファイアウォールポート設定: ノード 1 の内部インターフェイス

拡張統合エッジトポロジ (ハードウェア負荷分散) に必要な内部ファイアウォールポート設定: ノード 2 の内部インターフェイス

拡張統合エッジトポロジ (ハードウェア負荷分散) に必要な内部ファイアウォールポート設定: リバースプロキシ