Requisitos de porta e protocolo para servidores
Resumo: Examine as considerações de uso da porta antes de implementar Skype for Business Server.
Skype for Business Server exige que portas específicas nos firewalls externo e interno estejam abertas. Adicionalmente, se o protocolo IPsec (Internet Protocol security) tiver sido implantado em sua organização, ele deverá estar desabilitado no intervalo de portas usadas para a distribuição de áudio, vídeo e vídeo panorama.
Embora isso possa parecer um pouco assustador, o trabalho pesado para planejar isso pode ser feito usando a Ferramenta de Planejamento Skype for Business Server 2015. Depois de examinar as perguntas do assistente sobre quais recursos você planeja usar, para cada site que você definir, você poderá exibir o Relatório de Firewall no Relatório do Edge Administração e usar as informações listadas lá para criar suas regras de firewall. Você também pode fazer ajustes em muitos dos nomes e endereços IP usados, para obter detalhes, consulte Revisar o Relatório de Firewall. Tenha em mente que você pode exportar o Relatório do Edge Administração para uma planilha do Excel e o Relatório de Firewall será uma das planilhas do arquivo.
Você encontra as informações nessas tabelas no formulário de diagrama examinando o pôster cargas de trabalho de protocolo vinculados fora dos diagramas técnicos para Skype for Business Server artigo de 2015.
Observação
- Se você estiver implementando Skype for Business Online (Microsoft 365 ou Office 365) consulte o Microsoft 365 e Office 365 URLs e intervalos de endereço IP. Os ambientes híbridos precisarão fazer referência a este tópico e também planejar a conectividade híbrida.
- Você pode ter firewall de hardware ou software. Não precisamos de modelos ou versões específicas. O que importa é quais portas são adicionadas a uma lista de permissões para que o firewall não prejudique o funcionamento do Skype for Business Server.
Detalhes de protocolo e porta
Esta seção resume as portas e protocolos usados por servidores, balanceadores de carga e clientes em uma implantação Skype for Business Server.
Observação
Quando Skype for Business Server é iniciado, ele abre as portas necessárias no Firewall do Windows. O Firewall do Windows já deve estar em execução na maioria dos aplicativos normais, mas se ele não estiver sendo usado Skype for Business Server funcionará sem ele.
Para obter detalhes sobre a configuração de firewall para componentes de borda, consulte Cenários do Edge Server no Skype for Business Server 2015.
A tabela a seguir lista as portas que precisam ser abertas em cada função de servidor interno.
Portas do servidor necessárias (por Função de servidor)
| Função de servidor | Nome do serviço | Porta | Protocolo | Notas |
|---|---|---|---|---|
| Todos os servidores | Navegador do SQL | 1434 | UDP | SQL Browser para a cópia replicada local do banco de dados da Central Management Store. |
| servidores Front-End | serviço Skype for Business Server Front-End | 5060 | TCP | Usada como opção pelos servidores Standard Edition e Servidores Front-End para rotas estáticas para serviços confiáveis, como servidores de controle de chamada remota. |
| Servidores Front-End | serviço Skype for Business Server Front-End | 5061 | TCP (TLS) | Usada pelos servidores Standard Edition e pools de front-ends em todas as comunicações SIP internas entre servidores (MTLS), em comunicações SIP entre o servidor e o cliente (TLS) e em comunicações SIP entre os servidores front-end e os servidores de mediação (MTLS). Também é usada em comunicações com o Monitoring Server. |
| Servidores Front-End | serviço Skype for Business Server Front-End | 444 | HTTPS TCP |
Usado para comunicação HTTPS entre o Focus (o componente Skype for Business Server que gerencia o estado da conferência) e os servidores individuais. Essa porta também é usada para comunicação TCP entre dispositivos de branch de sobrevivência e servidores front-end. |
| Servidores Front-End | serviço Skype for Business Server Front-End | 135 | DCOM e RPC (controle de procedimento remoto) | Usada para operações com base em DCOM, como Movendo Usuários, Sincronização do Replicador do Usuário e Sincronização do Catálogo de Endereços. |
| Servidores Front-End | Skype for Business Server serviço de conferência de IM | 5062 | TCP | Usado para solicitações SIP de entrada para conferência de IM (mensagem instantânea). |
| Servidores Front-End | Skype for Business Server serviço de Conferência Web | 8057 | TCP (TLS) | Usada para escutar conexões PSOM (Modelo de Objeto Compartilhado Persistente) do cliente. |
| Servidores Front-End | Skype for Business Server serviço de compatibilidade de conferência Web | 8058 | TCP (TLS) | Usado para ouvir conexões PSOM (Modelo de Objeto Compartilhado Persistente) do cliente da Reunião Dinâmica e versões anteriores do Skype for Business Server. |
| Servidores Front-End | Skype for Business Server serviço de Conferência de Áudio/Vídeo | 5063 | TCP | Usada para solicitações SIP de entrada para conferência de áudio/vídeo (A/V). |
| Servidores Front-End | Skype for Business Server serviço de Conferência de Áudio/Vídeo | 57501-65535 | TCP/UDP | Intervalo de porta de mídia usado para videoconferência. |
| Servidores Front-End | Skype for Business Server serviço de compatibilidade Web | 80 | HTTP | Usada para comunicação dos Servidores Front-End com os FQDNs do farm da web (as URLs usadas pelos componentes da web IIS) quando HTTPS não é usado. |
| Servidores Front-End | Skype for Business Server serviço de compatibilidade Web | 443 | HTTPS | Usado para comunicação dos servidores front-End no farm da web FQDNs (as URLs usadas pelos componentes da web do IIS). |
| Servidores Front-End | Skype for Business Server serviço de compatibilidade Web | 8080 | TCP e HTTP | Usado pelos componentes da Web para acesso externo. |
| Servidores Front-End | Servidor de componentes da Web | 4443 | HTTPS | Comunicações entre pools de front-end HTTPS (de Proxy Reverso) e HTTPS para conexão de Descoberta automática. |
| Servidores Front-End | Servidor de componentes da Web | 8060 | TCP (MTLS) | |
| Servidores Front-End | Servidor de componentes da Web | 8061 | TCP (MTLS) | |
| Servidores Front-End | Componente dos serviços de mobilidade | 5086 | TCP (MTLS) | Porta SIP usada pelos processos internos dos Serviços de Mobilidade |
| Servidores Front-End | Componente dos serviços de mobilidade | 5087 | TCP (MTLS) | Porta SIP usada pelos processos internos dos Serviços de Mobilidade |
| Servidores Front-End | Componente dos serviços de mobilidade | 443 | HTTPS | |
| Servidores Front-End | Skype for Business Server Serviço de Assistente de Conferência (conferência discada) | 5064 | TCP | Usada para solicitações SIP de entrada para conferência discada. |
| Servidores Front-End | Skype for Business Server Serviço de Assistente de Conferência (conferência discada) | 5072 | TCP | Usado para solicitações SIP de entrada para o Atendente (discar na conferência). |
| Servidores Front-End que também executam um Servidor de Mediação Colocado | serviço de Mediação Skype for Business Server | 5070 | TCP | Usada pelo Servidor de Mediação para solicitações de entrada do Servidor Front-End para o Servidor de Mediação. |
| Servidores Front-End que também executam um Servidor de Mediação Colocado | serviço de Mediação Skype for Business Server | 5067 | TCP (TLS) | Usada para solicitações SIP de entrada do gateway PSTN para o Servidor de Mediação. |
| Servidores Front-End que também executam um Servidor de Mediação Colocado | serviço de Mediação Skype for Business Server | 5068 | TCP | Usada para solicitações SIP de entrada do gateway PSTN para o Servidor de Mediação. |
| Servidores Front-End que também executam um Servidor de Mediação Colocado | serviço de Mediação Skype for Business Server | 5081 | TCP | Usada para solicitações SIP de saída do Servidor de Mediação para o gateway PSTN. |
| Servidores Front-End que também executam um Servidor de Mediação Colocado | serviço de Mediação Skype for Business Server | 5082 | TCP (TLS) | Usada para solicitações SIP de saída do Servidor de Mediação para o gateway PSTN. |
| Servidores Front-End | serviço de Compartilhamento de Aplicativos Skype for Business Server | 5065 | TCP | Usada para solicitações de escuta do SIP de entrada para compartilhamento de aplicativos. |
| Servidores Front-End | serviço de Compartilhamento de Aplicativos Skype for Business Server | 49152-65535 | TCP | Intervalo de porta de mídia usado para compartilhamento de aplicativo. |
| Servidores Front-End | serviço de comunicado de conferência Skype for Business Server | 5073 | TCP | Usado para solicitações SIP de entrada para o serviço de comunicado de conferência de Skype for Business Server (ou seja, para conferência discada). |
| Servidores Front-End | serviço Skype for Business Server Call Park | 5075 | TCP | Usada para solicitações SIP de entrada para o aplicativo Estacionamento de Chamadas. |
| Servidores Front-End | serviço de Teste de Áudio Skype for Business Server | 5076 | TCP | Usada para solicitações SIP de entrada para o serviço Teste de Áudio. |
| Servidores Front-End | Não aplicável | 5066 | TCP | Usada para o gateway de E9-1-1 (9-1-1 Avançado) de saída. |
| Servidores Front-End | serviço grupo de resposta Skype for Business Server | 5071 | TCP | Usada para solicitações SIP de entrada para o aplicativo Grupo de Respostas. |
| Servidores Front-End | serviço grupo de resposta Skype for Business Server | 8404 | TCP (MTLS) | Usada para solicitações SIP de entrada para o aplicativo Grupo de Respostas. |
| Servidores Front-End | serviço de política de largura de banda Skype for Business Server | 5080 | TCP | Usada para controle de admissão de chamada pelo serviço Política de Largura de banda para tráfego TURN de Borda A/V. |
| Servidores Front-End | Skype for Business Server acesso ao servidor do Compartilhamento de Arquivos | 445 | SMB/TCP | Usado para recuperar o catálogo de endereços, o conteúdo da reunião e outros itens armazenados no servidor de Compartilhamento de Arquivos. |
| Servidores Front-End | serviço de política de largura de banda Skype for Business Server | 448 | TCP | Usado para o controle de admissão de chamada pelo Serviço de Política de Largura de Banda Skype for Business Server. |
| Servidores front-end em que reside a loja do Gerenciamento Central | Skype for Business Server serviço do Agente replicador mestre | 445 | TCP | Usado para enviar dados de configuração por push do repositório Gerenciamento Central para servidores que executam Skype for Business Server. |
| Todos os servidores | Navegador do SQL | 1434 | UDP | SQL Browser para cópia replicada local dos dados do repositório do Gerenciamento Central na instância de SQL Server local |
| Todos os servidores internos | Vários | 49152-57500 | TCP/UDP | Intervalo de porta de mídia usada para audioconferência em todos os servidores internos. Usado por todos os servidores que encerram o áudio: Servidores front-end (para Skype for Business Server serviço de Assistente de Conferência, Skype for Business Server Serviço de Comunicado de Conferência e Skype for Business Server serviço de Conferência de Áudio/Vídeo) e Servidor de Mediação. |
| Servidor Office Web Apps | 443 | Usado por Skype for Business Server para se conectar ao Office Aplicativos Web Server. | ||
| Diretores | serviço Skype for Business Server Front-End | 5060 | TCP | Usada como opção para rotas estáticas até os serviços confiáveis, como servidores de controle de chamada remota. |
| Diretores | serviço Skype for Business Server Front-End | 444 | HTTPS TCP |
Comunicação entre servidores entre Front-End e Diretor. Além disso, publique o certificado do cliente (para servidores front-end) ou valide se o certificado do cliente já foi publicado. |
| Diretores | Skype for Business Server serviço de compatibilidade Web | 80 | TCP | Usada para comunicação inicial dos Diretores com os FQDNs de farm da web (as URLs usadas pelos componentes da web IIS). Em uma operação normal, trocará para tráfego HTTPS, usando a porta 443 e o tipo de protocolo TCP. |
| Diretores | Skype for Business Server serviço de compatibilidade Web | 443 | HTTPS | Usada para comunicação dos Diretores com os FQDNs de farm da web (as URLs usadas pelos componentes da web IIS). |
| Diretores | serviço Skype for Business Server Front-End | 5061 | TCP | Usada para comunicações internas entre os servidores e para conexões do cliente. |
| Servidores de mediação | serviço de Mediação Skype for Business Server | 5070 | TCP | Usada pelo Servidor de mediação para solicitações de entrada do Servidor Front-End. |
| Servidores de mediação | serviço de Mediação Skype for Business Server | 5067 | TCP (TLS) | Usada para solicitações SIP de entrada do gateway PSTN. |
| Servidores de mediação | serviço de Mediação Skype for Business Server | 5068 | TCP | Usada para solicitações SIP de entrada do gateway PSTN. |
| Servidores de mediação | serviço de Mediação Skype for Business Server | 5070 | TCP (MTLS) | Usada para solicitações SIP dos Servidores Front-End. |
| Servidor de front-end de bate-papo persistente | SIP de bate-papo persistente | 5041 | TCP (MTLS) | |
| Servidor de front-end de bate-papo persistente | Bate-papo persistente do Windows Communication Foundation (WCF) | 881 | TCP (TLS) e TCP (MTLS) | |
| Servidor de front-end de bate-papo persistente | Serviço de transferência de arquivos de bate-papo persistente | 443 | TCP (TLS) |
Observação
Alguns cenários de controle de chamada remota exigem uma conexão TCP entre o Servidor Front-End ou o Diretor e o PBX. Embora Skype for Business Server não use mais a porta TCP 5060, durante a implantação do controle de chamada remota você cria uma configuração de servidor confiável, que associa o FQDN do RCC Line Server à porta TCP que o Front End Server ou o Director usarão para se conectar ao sistema PBX. Para obter detalhes, confira o cmdlet CsTrustedApplicationComputer na documentação do Shell de Gerenciamento Skype for Business Server.
Para os seus pools que usam somente o balanceamento de carga de hardware (não o balanceamento de carga DNS), a tabela a seguir mostra as portas que precisam abrir os balanceadores de carga de hardware.
Portas do balanceador de carga de hardware se estiver usando somente o balanceador de carga de hardware
| Balanceador de carga | Porta | Protocolo |
|---|---|---|
| Balanceador de carga do Servidor Front-End | 5061 | TCP (TLS) |
| Balanceador de carga do Servidor Front-End | 444 | HTTPS |
| Balanceador de carga do Servidor Front-End | 135 | DCOM e RPC (controle de procedimento remoto) |
| Balanceador de carga do Servidor Front-End | 80 | HTTP |
| Balanceador de carga do Servidor Front-End | 8080 | TCP – Recuperação de cliente e dispositivo do certificado raiz do Front End Server – clientes e dispositivos autenticados pelo NTLM |
| Balanceador de carga do Servidor Front-End | 443 | HTTPS |
| Balanceador de carga do Servidor Front-End | 4443 | HTTPS (do proxy reverso) |
| Balanceador de carga do Servidor Front-End | 5072 | TCP |
| Balanceador de carga do Servidor Front-End | 5073 | TCP |
| Balanceador de carga do Servidor Front-End | 5075 | TCP |
| Balanceador de carga do Servidor Front-End | 5076 | TCP |
| Balanceador de carga do Servidor Front-End | 5071 | TCP |
| Balanceador de carga do Servidor Front-End | 5080 | TCP |
| Balanceador de carga do Servidor Front-End | 448 | TCP |
| Balanceador de carga do Servidor de mediação | 5070 | TCP |
| Balanceador de carga do Servidor Front-End (se o pool também executa o Servidor de mediação) | 5070 | TCP |
| Balanceador de carga do Diretor | 443 | HTTPS |
| Balanceador de carga do Diretor | 444 | HTTPS |
| Balanceador de carga do Diretor | 5061 | TCP |
| Balanceador de carga do Diretor | 4443 | HTTPS (do proxy reverso) |
Seus pools do Front-End e do Diretor que usam o balanceamento de carga DNS também precisam ter um balanceador de carga de hardware implantado. A tabela a seguir mostra as portas que precisam ser abertas nesses balanceadores de carga de hardware.
Portas do balanceador de carga de hardware se estiver usando o balanceamento de carga DNS
| Balanceador de carga | Porta | Protocolo |
|---|---|---|
| Balanceador de carga do Servidor Front-End | 80 | HTTP |
| Balanceador de carga do Servidor Front-End | 443 | HTTPS |
| Balanceador de carga do Servidor Front-End | 8080 | TCP – Recuperação de cliente e dispositivo do certificado raiz do Front End Server – clientes e dispositivos autenticados pelo NTLM |
| Balanceador de carga do Servidor Front-End | 4443 | HTTPS (do proxy reverso) |
| Balanceador de carga do Diretor | 443 | HTTPS |
| Balanceador de carga do Diretor | 4443 | HTTPS (do proxy reverso) |
Portas do cliente necessárias
| Componente | Porta | Protocolo | Notas |
|---|---|---|---|
| Clientes | 67/68 | DHCP | Usado por Skype for Business Server para localizar o Registrador FQDN (ou seja, se o DNS SRV falhar e as configurações manuais não estiverem configuradas). |
| Clientes | 443 | TCP (TLS) | Usada para tráfego SIP do cliente para o servidor para acesso de usuário externo. |
| Clientes | 443 | TCP (PSOM/TLS) | Usada para acesso de usuário externo às sessões de webconferência. |
| Clientes | 443 | TCP (STUN/MSTURN) | Usada para acesso de usuário externa às sessões de A/V e mídia (TCP) |
| Clientes | 3478 | UDP (STUN/MSTURN) | Usada para acesso de usuário externo às sessões de A/V e mídia (UDP) |
| Clientes | 5061 | TCP (MTLS) | Usada para tráfego SIP do cliente para o servidor para acesso de usuário externo. |
| Clientes | 6891-6901 | TCP | Usado para transferência de arquivos entre Skype for Business clientes e clientes anteriores. |
| Clientes | 1024-65535 * | TCP/UDP | Intervalo de porta de áudio (mínimo de 20 portas necessárias) |
| Clientes | 1024-65535 * | TCP/UDP | Intervalo de porta de vídeo (mínimo de 20 portas necessárias). |
| Clientes | 1024-65535 * | TCP | Transferência de arquivos ponto a ponto (para transferência de arquivo de conferência, clientes que usam PSOM). |
| Clientes | 1024-65535 * | TCP | Compartilhamento de aplicativos. |
| Telefone de área comum Aastra 6721ip Telefone de mesa Aastra 6725ip Telefone IP HP 4110 (telefone de área comum) Telefone IP HP 4120 (telefone de mesa) Telefone de área comum IP Polycom CX500 Telefone de mesa IP Polycom CX600 Telefone de mesa IP Polycom CX700 Telefone de conferência IP Polycom CX3000 |
67/68 | DHCP | Usado pelos dispositivos listados para encontrar o certificado Skype for Business Server, provisionando FQDN e Registrador FQDN. |
* Para configurar portas específicas para esses tipos de mídia, use o cmdlet CsConferencingConfiguration (parâmetros ClientMediaPortRangeEnabled, ClientMediaPort e ClientMediaPortRange).
Observação
Os programas de instalação para Skype for Business clientes criam automaticamente as exceções de firewall do sistema operacional necessárias no computador cliente.
Observação
As portas usadas para acesso externo do usuário são necessárias para qualquer cenário em que o cliente deve percorrer o firewall da organização (por exemplo, quaisquer comunicações externas ou reuniões hospedadas por outras organizações).
Exceções IPsec
Nas redes corporativas em que o protocolo IPsec (consulte a RFC 4301-4309 da IETF) foi implantado, o IPsec deverá ser desabilitado no intervalo de portas usado para a entrega de áudio, vídeo e vídeo panorâmico. Essa recomendação existe porque é necessário evitar atrasos na alocação das portas de mídia por causa da negociação IPsec.
A tabela a seguir explica as configurações de exceções recomendadas do IPsec.
Exceções recomendadas do IPsec
| Nome da regra | IP de origem | IP de destino | Protocolo | Porta de origem | Porta de destino | Requisito de autenticação |
|---|---|---|---|---|---|---|
| Entrada interna do Servidor de Borda A/V | Qualquer um | Interno do Servidor de Borda A/V | UDP e TCP | Qualquer um | Qualquer um | Não autenticar |
| Entrada externa do Servidor de Borda A/V | Qualquer um | Externo do Servidor de Borda A/V | UDP e TCP | Qualquer um | Qualquer um | Não autenticar |
| Saída interna do Servidor de Borda A/V | Interno do Servidor de Borda A/V | Qualquer um | UDP e TCP | Qualquer um | Qualquer um | Não autenticar |
| Saída externa do Servidor de Borda A/V | Externo do Servidor de Borda A/V | Qualquer um | UDP e TCP | Qualquer um | Qualquer um | Não autenticar |
| Entrada do Servidor de Mediação | Qualquer um | Mediação Servidor(es) |
UDP e TCP | Qualquer um | Qualquer um | Não autenticar |
| Saída do Servidor de Mediação | Mediação Servidor(es) |
Qualquer um | UDP e TCP | Qualquer um | Qualquer um | Não autenticar |
| Entrada do Atendedor de Conferência | Qualquer um | Servidor Front-End executando o Atendedor de Conferência | UDP e TCP | Qualquer um | Qualquer um | Não autenticar |
| Saída do Atendedor de Conferência | Servidor Front-End executando o Atendedor de Conferência | Qualquer um | UDP e TCP | Qualquer um | Qualquer um | Não autenticar |
| Entrada de Conferência A/V | Qualquer um | Servidores Front-End | UDP e TCP | Qualquer um | Qualquer um | Não autenticar |
| Saída de Conferência A/V | Servidores Front-End | Qualquer um | UDP e TCP | Qualquer um | Qualquer um | Não autenticar |
| Entrada do Exchange | Qualquer um | Unificação de Mensagens do Exchange | UDP e TCP | Qualquer um | Qualquer um | Não autenticar |
| Entrada dos Servidores de Compartilhamento de Aplicativo | Qualquer um | Servidores de Compartilhamento de Aplicativos | TCP | Qualquer um | Qualquer um | Não autenticar |
| Saída do Servidor de Compartilhamento de Aplicativos | Servidores de Compartilhamento de Aplicativos | Qualquer um | TCP | Qualquer um | Qualquer um | Não autenticar |
| Saída do Exchange | Unificação de Mensagens do Exchange | Qualquer um | UDP e TCP | Qualquer um | Qualquer um | Não autenticar |
| Clientes | Qualquer um | Qualquer um | UDP | Intervalo especificado de portas de mídia | Qualquer um | Não autenticar |