Поделиться через


Требования к среде пограничных серверов в Skype для бизнеса Server

Сводка. Сведения о требованиях к среде пограничного сервера в Skype для бизнеса Server.

Помимо самой среды пограничного сервера Skype для бизнеса Server, большое внимание уделяется планированию и подготовке. В этой статье описаны меры, которые необходимо предпринять в организационной среде, в соответствии со следующим списком:

Планирование топологии

Топологии пограничного сервера Skype для бизнеса Server могут использовать:

  • общедоступные IP-адреса с поддержкой маршрутизации;

  • частные IP-адреса, не поддерживающий маршрутизацию, если используется симметричное преобразование сетевых адресов (NAT).

Совет

Ваш пограничный сервер можно настроить для использования одного IP-адреса с отдельными портами для каждой службы или для использования отдельных IP-адресов для каждой из служб с одинаковым портом по умолчанию (TCP 443). Дополнительные сведения приведены в разделе требований к IP-адресам.

Если вы решите использовать частные IP-адреса без поддержки маршрутизации с NAT, обратите внимание на следующие требования.

  • Необходимо использовать частные IP-адреса с поддержкой маршрутизации на всех трех внешних интерфейсах.

  • Вам следует настроить симметричное преобразование сетевых адресов для входящего и исходящего трафика. Пограничный сервер Skype для бизнеса Server поддерживает только симметричное преобразование сетевых адресов.

  • Настройте NAT таким образом, чтобы входящие исходные адреса не изменялись. Пограничная служба передачи аудио- и видеоданных требует возможности получения входящего исходного адреса для поиска оптимального пути сервера-посредника.

  • Для пограничных серверов требуется взаимодействие друг с другом с общедоступных IP-адресов службы передачи аудио- и видеоданных. Брандмауэр должен разрешить этот трафик.

  • NAT можно использовать только для масштабируемых консолидированных пограничных серверов, если используется балансировка нагрузки на DNS. При использовании аппаратной балансировки нагрузки необходимо использовать общедоступные IP-адреса с возможностью маршрутизации без NAT.

Можно без проблем использовать пограничные интерфейсы доступа, веб-конференций и передачи аудио- и видеоданных за маршрутизатором или брандмауэром, выполняющим симметричное преобразование сетевых адресов для топологий как с одним пограничным сервером, так и с масштабированными консолидированными топологиями пограничных серверов (при условии, что аппаратная балансировка нагрузки не используется).

Сводная таблица вариантов топологии пограничных серверов

Для развертываний пограничного сервера Skype для бизнеса Server доступно несколько вариантов топологии:

  • Единая консолидированная пограничная топология с частными IP-адресами и преобразованием сетевых адресов

  • Единая консолидированная пограничная топология с общедоступными IP-адресами

  • Масштабируемая консолидированная пограничная топология с частными IP-адресами и преобразованием сетевых адресов

  • Масштабируемая консолидированная пограничная топология с общедоступными IP-адресами

  • Масштабируемая консолидированная пограничная топология с аппаратными средствами балансировки нагрузки

Выбрать подходящий вариант с помощью таблицы со сводкой вариантов для каждой топологии:

Топология Высокая доступность Для внешних пограничных серверов в пограничном пуле требуются дополнительные записи DNS? Отработка отказа для сеансов Skype для бизнеса Server Отработка отказа для сеансов федерации Skype для бизнеса Server
Единая консолидированная пограничная топология с частными IP-адресами и преобразованием сетевых адресов
Нет
Нет
Нет
Нет
Единая консолидированная пограничная топология с общедоступными IP-адресами
Нет
Нет
Нет
Нет
Масштабируемая консолидированная пограничная топология с частными IP-адресами и преобразованием сетевых адресов (с балансировкой нагрузки DNS)
Да
Да
Да
Да¹
Масштабируемая консолидированная пограничная топология с общедоступными IP-адресами (с балансировкой нагрузки DNS)
Да
Да
Да
Да¹
Масштабируемая консолидированная пограничная топология с аппаратными средствами балансировки нагрузки
Да
Нет (одна запись A DNS на каждый виртуальный IP-адрес)
Да
Да

¹ Для удаленной отработки отказа пользователей единой системы обмена сообщениями Exchange с помощью балансировки нагрузки DNS требуется Exchange 2013 или более поздней версии.

Требования к IP-адресам

На фундаментальном уровне для трех служб требуются IP-адреса: для пограничной службы доступа, службы пограничного сервера веб-конференций и пограничной службы передачи аудио- и видеоданных. Можно использовать либо три IP-адреса (по одному для каждой политики), либо использовать один IP-адрес с возможностью размещения всех служб в разных портах (подробнее см. раздел Планирование порта и брандмауэра). Вот и все, что нужно учесть при использовании единой консолидированной среды пограничного сервера.

Примечание.

Как указано выше, можно выбрать один IP-адрес для всех трех служб и запустить их на разных портах. Однако следует отметить, что такой подход не рекомендуется. Если ваши клиенты не смогут получить доступ к альтернативным портам, используемым в этом сценарии, они не смогут получить доступ ко всем возможностям среды пограничного сервера.

Это может быть немного сложнее с масштабируемыми консолидированными топологиями, поэтому давайте рассмотрим некоторые таблицы, в которых изложены требования к IP-адресам, учитывая, что основными точками принятия решений для выбора топологии являются высокий уровень доступности и балансировка нагрузки. Требования к высокой доступности могут повлиять на выбор балансировки нагрузки (мы поговорим об этом больше после таблиц).

Требования к IP-адресам для масштабированной консолидированной среды пограничного сервера (отдельный IP-адрес для каждой роли)

Число пограничных серверов в пуле Требуемое число IP-адресов для балансировки нагрузки на DNS Требуемое число IP-адресов для аппаратной балансировки нагрузки
2
6
3 (по 1 на виртуальный IP-адрес) + 6
3
9
3 (по 1 на виртуальный IP-адрес) + 9
4
12
3 (по 1 на виртуальный IP-адрес) + 12
5
15
3 (по 1 на виртуальный IP-адрес) + 15

Требования к IP-адресам для масштабированной консолидированной среды пограничного сервера (один IP-адрес для всех ролей)

Число пограничных серверов в пуле Требуемое число IP-адресов для балансировки нагрузки на DNS Требуемое число IP-адресов для аппаратной балансировки нагрузки
2
2
1 (по 1 на виртуальный IP-адрес) + 2
3
3
1 (по 1 на виртуальный IP-адрес) + 3
4
4
1 (по 1 на виртуальный IP-адрес) + 4
5
5
1 (по 1 на виртуальный IP-адрес) + 5

Рассмотрим несколько вопросов, которые необходимо учесть при планировании.

  • Высокая доступность. Если в развертывании требуется высокая доступность, следует выполнить развертывание как минимум двух пограничных серверов в пуле. Необходимо учесть, что один пограничный пул будет поддерживать до 12 пограничных серверов (и хотя построитель топологий позволит добавить до 20 серверов, такой подход не протестирован, не поддерживается и не рекомендуется). Чтобы использовать более 12 пограничных серверов, следует создать дополнительные пограничные пулы.

  • Аппаратная балансировка нагрузки. Для большинства сценариев рекомендуется служба балансировки нагрузки на DNS. Конечно, аппаратная балансировка нагрузки также поддерживается, но прежде всего она требуется для одного сценария с балансировкой нагрузки на DNS:

    • внешний доступ к единой системе обмена сообщениями Exchange 2007 или Exchange 2010 (без пакетов обновления).
  • Балансировка нагрузки на DNS. Для единой системы обмена сообщениями служба балансировки нагрузки на DNS поддерживает Exchange 2010 с пакетом обновления 1 (SP1) и более новые версии. Обратите внимание, что службу балансировки нагрузки на DNS можно использовать для более ранних версий Exchange, но весь трафик в этом случае будет отправляться на первый сервер в пуле. Если этот сервер будет недоступен, обработка трафика завершится ошибкой.

    Использование балансировки нагрузки на DNS также рекомендуется при объединении с компаниями, использующими:

  • Skype для бизнеса Server 2015:

    • Lync Server 2010
    • Lync Server 2013
    • Microsoft 365 или Office 365
  • Skype для бизнеса Server 2019:

    • Lync Server 2013
    • Skype для бизнеса Server 2015
    • Microsoft 365 или Office 365

Планирование DNS

При развертывании пограничного сервера Skype для бизнеса Server очень важно правильно подготовиться к DNS. Выбор подходящих записей может значительно упростить процесс развертывания. Надеемся, вы выбрали топологию в предыдущем разделе, так как сначала мы сделаем обзор, а затем приведем список таблиц с записями DNS для описанных ранее сценариев. Кроме того, дополнительные сведения можно получить из статьи Расширенные возможности планирования DNS пограничного сервера в Skype для бизнеса Server.

DNS-записи для сценариев единого консолидированного пограничного сервера

Здесь рассмотрены DNS-записи, которые потребуются для одного пограничного сервера, использующего общедоступные или частные IP-адреса с NAT. Так как это примеры данных, мы приведем примеры IP-адресов, которые помогут вам создать собственные записи:

  • Внутренний сетевой адаптер: 172.25.33.10 (шлюзы по умолчанию не назначены)

    Примечание.

    Убедитесь в наличии маршрута между сетью, содержащей внутренний интерфейс пограничного сервера, и любыми сетями, содержащими серверы, в которых работают клиенты Skype для бизнеса Server или Lync Server 2013 (например, от 172.25.33.0 до 192.168.10.0).

  • Внешний сетевой адаптер:

    • Общедоступные IP-адреса:

    • Пограничный доступ: 131.107.155.10 (основной адрес, для которого в качестве шлюза по умолчанию задан общий маршрутизатор, например: 131.107.155.1)

    • Пограничный сервер веб-конференций: 131.107.155.20 (дополнительный адрес)

    • Пограничная служба передачи аудио- и видеоданных: 131.107.155.30 (дополнительный адрес)

    Общедоступные IP-адреса пограничных служб веб-конференций и аудио- и видеосвязи являются дополнительными (вспомогательными) в разделе "Дополнительно" свойств протокола IP версии 4 (TCP/IPv4) и протокола IP версии 6 (TCP/IPv6) окна "Свойства подключения по локальной сети" в Windows Server.

    • Частные IP-адреса:

    • Пограничный доступ: 10.45.16.10 (основной адрес, для которого в качестве шлюза по умолчанию задан маршрутизатор, например: 10.45.16.1)

    • Пограничный сервер веб-конференций: 10.45.16.20 (дополнительный адрес)

    • Пограничная служба передачи аудио- и видеоданных: 10.45.16.30 (дополнительный адрес)

Общедоступные IP-адреса пограничных служб веб-конференций и аудио- и видеосвязи являются дополнительными (вспомогательными) в разделе "Дополнительно" свойств протокола IP версии 4 (TCP/IPv4) и протокола IP версии 6 (TCP/IPv6) окна "Свойства подключения по локальной сети" в Windows Server.

Совет

Возможны другие конфигурации:

  • Можно использовать один IP-адрес для внешнего сетевого адаптера. Это не рекомендуется, так как в этом случае потребуется разграничить три службы с разными портами (эта возможность доступна в Skype для бизнеса Server) и некоторые брандмауэры могут блокировать альтернативные порты. Дополнительные сведения см. в статье Планирование порта и брандмауэра.

  • Вместо одного можно использовать три внешних сетевых адаптера и назначить каждому из них один IP-адрес службы. Зачем это делать? Это разделит службы, и если что-то пойдет не так, это облегчит устранение неполадок и потенциально позволит другим службам продолжать работу, пока вы решите проблему.

Расположение Тип Порт Запись полного доменного имени или DNS-запись IP-адрес или полное доменное имя Примечания
Внешняя DNS
Запись
Н/Д
sip.contoso.com
общедоступный: 131.107.155.10
частный: 10.45.16.10
Внешний интерфейс для пограничной службы доступа. Потребуется один интерфейс для каждого домена SIP с пользователями Skype для бизнеса.
Внешняя DNS
Запись
Н/Д
webcon.contoso.com
общедоступный: 131.107.155.20
частный: 10.45.16.20
Внешний интерфейс для службы пограничного сервера веб-конференций.
Внешняя DNS
Запись
Н/Д
av.contoso.com
общедоступный: 131.107.155.30
частный: 10.45.16.30
Внешний интерфейс для пограничной службы передачи аудио- и видеоданных.
Внешняя DNS
SRV-запись
443
_sip._tls.contoso.com
sip.contoso.com
Внешний интерфейс для пограничной службы доступа. Эта SRV-запись требуется для внешней работы клиентов Skype для бизнеса Server, Lync Server 2013 и Lync Server 2010. Потребуется одна запись для каждого домена с пользователями Skype для бизнеса.
Внешняя DNS
SRV-запись
5061
_sipfederationtls._tcp.contoso.com
sip.contoso.com
Внешний интерфейс для пограничной службы доступа. Эта SRV-запись требуется для автоматического обнаружения DNS-записей федеративных партнеров, также называемых "Разрешенные домены SIP". Потребуется одна запись для каждого домена с пользователями Skype для бизнеса.
Внутренняя DNS
Запись
Н/Д
sfvedge.contoso.net
172.25.33.10
Внутренний интерфейс для консолидированной среды пограничного сервера.

DNS-записи для масштабируемых сценариев пограничного сервера DNS и оборудования

Здесь рассмотрены DNS-записи, которые потребуются для одного пограничного сервера, использующего общедоступные или частные IP-адреса с NAT. Так как это примеры данных, мы приведем примеры IP-адресов, которые помогут вам создать собственные записи:

  • Внутренний сетевой адаптер:

    • Узел 1: 172.25.33.10 (шлюз по умолчанию не назначен)

    • Узел 2: 172.25.33.11 (шлюз по умолчанию не назначен)

      Примечание.

      Убедитесь в наличии маршрута между сетью, содержащей внутренний интерфейс пограничного сервера, и любыми сетями, содержащими серверы, в которых работают клиенты Skype для бизнеса Server или Lync Server 2013 (например, от 172.25.33.0 до 192.168.10.0).

  • Внешний сетевой адаптер:

    • Узел 1

      • Общедоступные IP-адреса:

        • Пограничный доступ: 131.107.155.10 (основной адрес, для которого в качестве шлюза по умолчанию задан общий маршрутизатор, например: 131.107.155.1)

        • Пограничный сервер веб-конференций: 131.107.155.20 (дополнительный адрес)

        • Пограничная служба передачи аудио- и видеоданных: 131.107.155.30 (дополнительный адрес)

          Общедоступные IP-адреса пограничных служб веб-конференций и аудио- и видеосвязи являются дополнительными (вспомогательными) в разделе "Дополнительно" свойств протокола IP версии 4 (TCP/IPv4) и протокола IP версии 6 (TCP/IPv6) окна "Свойства подключения по локальной сети" в Windows Server.

      • Частные IP-адреса:

        • Пограничный доступ: 10.45.16.10 (основной адрес, для которого в качестве шлюза по умолчанию задан маршрутизатор, например: 10.45.16.1)

        • Пограничный сервер веб-конференций: 10.45.16.20 (дополнительный адрес)

        • Пограничная служба передачи аудио- и видеоданных: 10.45.16.30 (дополнительный адрес)

        Общедоступные IP-адреса пограничных служб веб-конференций и аудио- и видеосвязи являются дополнительными (вспомогательными) в разделе "Дополнительно" свойств протокола IP версии 4 (TCP/IPv4) и протокола IP версии 6 (TCP/IPv6) окна "Свойства подключения по локальной сети" в Windows Server.

    • Узел 2

      • Общедоступные IP-адреса:

        • Пограничный доступ: 131.107.155.11 (основной адрес, для которого в качестве шлюза по умолчанию задан общий маршрутизатор, например: 131.107.155.1)

        • Пограничный сервер веб-конференций: 131.107.155.21 (дополнительный адрес)

        • Пограничная служба передачи аудио- и видеоданных: 131.107.155.31 (дополнительный адрес)

        Общедоступные IP-адреса пограничных служб веб-конференций и аудио- и видеосвязи являются дополнительными (вспомогательными) в разделе "Дополнительно" свойств протокола IP версии 4 (TCP/IPv4) и протокола IP версии 6 (TCP/IPv6) окна "Свойства подключения по локальной сети" в Windows Server.

    • Частные IP-адреса:

      • Пограничный доступ: 10.45.16.11 (основной адрес, для которого в качестве шлюза по умолчанию задан маршрутизатор, например: 10.45.16.1)

      • Пограничный сервер веб-конференций: 10.45.16.21 (дополнительный адрес)

      • Пограничная служба передачи аудио- и видеоданных: 10.45.16.31 (дополнительный адрес)

        Общедоступные IP-адреса пограничных служб веб-конференций и аудио- и видеосвязи являются дополнительными (вспомогательными) в разделе "Дополнительно" свойств протокола IP версии 4 (TCP/IPv4) и протокола IP версии 6 (TCP/IPv6) окна "Свойства подключения по локальной сети" в Windows Server.

Возможны другие конфигурации:

  • Можно использовать один IP-адрес для внешнего сетевого адаптера. Это не рекомендуется, так как в этом случае потребуется разграничить три службы с разными портами (эта возможность доступна в Skype для бизнеса Server) и некоторые брандмауэры могут блокировать альтернативные порты. Дополнительные сведения см. в статье Планирование порта и брандмауэра.

  • Вместо одного можно использовать три внешних сетевых адаптера и назначить каждому из них один IP-адрес службы. Зачем это делать? Это разделит службы, и если что-то пойдет не так, это облегчит устранение неполадок и потенциально позволит другим службам продолжать работу, пока вы решите проблему.

Расположение Тип Порт Запись полного доменного имени или DNS-запись IP-адрес или полное доменное имя Примечания
Внешняя DNS
Запись
Н/Д
sip.contoso.com
общедоступный: 131.107.155.10 и 131.107.155.11
частный: 10.45.16.10 и 10.45.16.11
Внешний интерфейс для пограничной службы доступа. Потребуется один интерфейс для каждого домена SIP с пользователями Skype для бизнеса.
Внешняя DNS
Запись
Н/Д
webcon.contoso.com
общедоступный: 131.107.155.20 и 131.107.155.21
частный: 10.45.16.20 и 10.45.16.21
Внешний интерфейс для службы пограничного сервера веб-конференций.
Внешняя DNS
Запись
Н/Д
av.contoso.com
общедоступный: 131.107.155.30 и 131.107.155.31
частный: 10.45.16.30 и 10.45.16.31
Внешний интерфейс для пограничной службы передачи аудио- и видеоданных.
Внешняя DNS
SRV-запись
443
_sip._tls.contoso.com
sip.contoso.com
Внешний интерфейс для пограничной службы доступа. Эта SRV-запись требуется для внешней работы клиентов Skype для бизнеса Server, Lync Server 2013 и Lync Server 2010. Потребуется одна запись для каждого домена со Skype для бизнеса.
Внешняя DNS
SRV-запись
5061
_sipfederationtls._tcp.contoso.com
sip.contoso.com
Внешний интерфейс для пограничной службы доступа. Эта SRV-запись требуется для автоматического обнаружения DNS-записей федеративных партнеров, также называемых "Разрешенные домены SIP". Потребуется одна запись для каждого домена со Skype для бизнеса.
Внутренняя DNS
Запись
Н/Д
sfvedge.contoso.net
172.25.33.10 и 172.25.33.11
Внутренний интерфейс для консолидированной среды пограничного сервера.

DNS-запись для федерации (все сценарии)

Расположение Тип Порт Полное доменное имя Запись полного доменного имени узла Примечания
Внешняя DNS
SRV
5061
_sipfederationtls_tcp.contoso.com
sip.contoso.com
Внешний интерфейс SIP пограничной службы доступа требуется для автоматического обнаружения DNS. Используется другими потенциальными федеративными партнерами. Он также называется "Разрешить домены SIP". Вам потребуется один из них для каждого домена SIP с Skype для бизнеса пользователей.

Примечание. Эта запись SRV необходима для функции "Мобильность" и расчетной палаты push-уведомлений

DNS-записи для протокола Extensible Messaging and Presence Protocol

Расположение Тип Порт Полное доменное имя IP-адрес или запись полного доменного имени узла Примечания
Внешняя DNS
SRV
5269
_xmpp-server._tcp.contoso.com
xmpp.contoso.com
Интерфейс прокси-сервера XMPP в пограничной службе доступа или пограничном пуле. Эту процедуру потребуется повторить для всех внутренних доменов SIP с включенными пользователями Skype для бизнеса Server, а взаимодействие с контактами XMPP разрешается путем настройки следующих политик:
• глобальная политика
• политика веб-сайта, на котором настроен пользователь
• политика пользователя, которая применяется к включенному пользователю Skype для бизнеса Server
Необходимо также сконфигурировать разрешенную политику XMPP в политике федеративных партнеров XMPP.
Внешняя DNS
SRV
А
xmpp.contoso.com
IP-адрес пограничной службы доступа на пограничном сервере или в пограничном пуле, где размещается служба прокси-сервера XMPP.
Указывает на пограничную службу доступа на пограничном сервере или в пограничном пуле, где размещается служба прокси-сервера XMPP. Как правило, создаваемая запись SRV указывает на эту запись размещения (A или AAAA)

Примечание.

Прокси-серверы и шлюзы XMPP доступны в Skype для бизнеса Server 2015, но больше не поддерживаются в Skype для бизнеса Server 2019. Дополнительные сведения см. в статье Перенос федерации XMPP.

Планирование сертификации

Skype для бизнеса Server использует сертификаты для создания защищенной зашифрованной передачи данных между серверами и с сервера в клиент. Как и можно было ожидать, для сертификатов понадобятся DNS-записи, чтобы серверы подходили любому имени субъекта (SN) и альтернативному имени субъекта (SAN) в сертификатах. Это требует принятия определенных мер на стадии планирования, для регистрации подходящих полных доменных имен в DNS для записей SN и SAN ваших сертификатов.

Мы рассмотрим требования к внешним и внутренним сертификатам по отдельности, а затем ознакомимся с таблицей, в которой объединены и те, и другие требования.

Внешние сертификаты

Следует указать по крайней мере сертификат, назначенный внешним интерфейсам пограничного сервера в общедоступном центре сертификации. Мы не можем порекомендовать конкретный центр сертификации, но можем предложить список партнеров по сертификации объединенных коммуникаций. Посмотрите, есть ли в этом списке центр сертификации, которому вы отдаете предпочтение.

Когда и как отравлять запрос на получение общедоступного сертификата в центр сертификации? Есть несколько способов.

  • Вы можете сначала установить Skype для бизнеса Server, а затем выполнить развертывание пограничных серверов. В мастере развертывания Skype для бизнеса Server есть шаг для создания запроса на получение сертификата, который затем можно отправить в выбранный центр сертификации.

  • Для создания этого запроса также можно воспользоваться командами Windows PowerShell, если это больше соответствует вашим бизнес-потребностям или стратегии развертывания.

  • Наконец, в центре сертификации может быть свой собственный процесс передачи, который также может включать Windows PowerShell или другой метод. В этом случае вы должны будете обратиться к документации центра сертификации в дополнение к представленной здесь информации.

После получения сертификата потребуется продолжить процедуру, назначив сертификат следующим службам в Skype для бизнеса Server:

  • Интерфейс пограничной службы доступа

  • Интерфейс пограничной службы веб-конференций

  • Служба проверки подлинности аудио- и видеоконференций (не следует путать с пограничной службой передачи аудио- и видеоданных, которая не использует сертификат для шифрования аудио- и видеопотоков)

Важно!

Все пограничные серверы (если они относятся к одному пулу пограничных серверов) должны использовать один и тот же сертификат с одним и тем же закрытым ключом для службы проверки подлинности при ретрансляции мультимедиа.

Внутренние сертификаты

Для внутреннего интерфейса пограничного сервера можно использовать открытый сертификат из общедоступного центра сертификации или сертификат, выданный внутренним центром сертификации вашей организации. Следует помнить, что внутренний сертификат использует запись SN и не использует записи SAN, поэтому вы можете не беспокоиться о SAN во внутреннем сертификате.

Таблица "Обязательные сертификаты"

У нас есть таблица, чтобы помочь вам с вашими запросами. Записи FQDN здесь предназначены только для примеров доменов. Вам потребуется выполнять запросы на основе собственных частных и общедоступных доменов, но вот руководство по использованию:

  • contoso.com: общедоступное полное доменное имя

  • fabrikam.com: дополнительное общедоступное полное доменное имя (добавлено для демонстрации запроса при наличии нескольких доменов SIP)

  • Contoso.net: внутренний домен

Таблица "Сертификат пограничного сервера"

Независимо от того, используется ли один пограничный сервер или пограничный пул, для сертификата потребуются следующие компоненты:

Компонент Имя субъекта (SN) Альтернативные имена субъектов/порядок Примечания
Внешняя пограничная служба
sip.contoso.com
sip.contoso.com
webcon.contoso.com
sip.fabrikam.com
Это сертификат, который требуется запросить из общедоступного ЦС. Она должна быть назначена внешним пограничным интерфейсам для следующих компонентов:
• пограничный доступ
• пограничный сервер веб-конференций
• проверка подлинности аудио и видео

Альтернативные имена субъекта автоматически добавляются в запрос на получение сертификата, а затем и в ваш сертификат после отправки запроса на основе значений, определенных для этого развертывания в построителе топологий. Для всех доменов SIP и других записей, для которых необходима поддержка, потребуется только добавить дополнительные записи альтернативных имен субъектов. Доменное имя sip.contoso.com автоматически реплицируется в этом экземпляре, что необходимо для правильной работы.

Примечание. Этот сертификат также можно использовать для связи с общедоступной службой обмена мгновенными сообщениями. Эта процедура ничем не изменилась, но в предыдущих версиях этой документации она была представлена в отдельной таблице.
Внутренняя пограничная служба
sfbedge.contoso.com
Н/Д
Этот сертификат можно получить в общедоступном или внутреннем центре сертификации. Сертификат должен содержать расширенное использование ключа (EKU), и его необходимо назначить внутреннему интерфейсу пограничного сервера.

Если для расширяемого протокола XMPP требуется сертификат, он будет идентичен приведенным выше записям таблицы внешнего пограничного сервера, но при этом будет содержать две дополнительные записи альтернативного имени субъекта:

  • xmpp.contoso.com

  • *.contoso.com

Помните, что в настоящее время протокол XMPP поддерживается в Skype для бизнеса Server только для Google Talk. Чтобы использовать его для других целей, необходимо подтвердить использование сторонних функций.

Планирование порта и брандмауэра

Правильное планирование портов и брандмауэров для развертываний пограничного сервера Skype для бизнеса Server может сэкономить вам несколько дней или недель поиска неисправностей и стресса. Поэтому мы приведем несколько таблиц, которые определяют использование протоколов и порты (входящие или исходящие), которые должны быть открыты для NAT и для сценариев с общедоступными IP-адресами. Также мы приведем отдельные таблицы для сценариев с аппаратной балансировкой нагрузки и некоторые дополнительные рекомендации. Подробности см. в статье Сценарии пограничного сервера в Skype для бизнеса Server, где можно ознакомиться с конкретными вопросами развертывания.

Общие сведения об использовании протоколов

Прежде чем приступить к обсуждению сводных таблиц для внешних и внутренних брандмауэров, рассмотрим следующую таблицу:

Транспорт аудио- и видеоданных Использование
UDP
Предпочитаемый протокол транспортного уровня для аудио- и видеоданных.
TCP
Резервный протокол транспортного уровня для аудио- и видеоданных.
Обязательный протокол транспортного уровня для общего доступа к приложениям в Skype для бизнеса Server, Lync Server 2013 и Lync Server 2010.
Обязательный протокол транспортного уровня для передачи файлов в Skype для бизнеса Server, Lync Server 2013 и Lync Server 2010.

Таблица сводки по брандмауэру внешних портов

Исходный IP-адрес и конечный IP-адрес будут содержать информацию для пользователей, использующих частные IP-адреса с NAT, а также для людей, использующих общедоступные IP-адреса. Статья Сценарии пограничного сервера в Skype для бизнеса Server описывает все перестановки.

Роль или протокол TCP или UDP Конечный порт или диапазон портов IP-адрес источника IP-адрес назначения Примечания
XMPP
Не поддерживается в Skype для бизнеса Server 2019
TCP
5269
Любой
Служба прокси-сервера XMPP (общий IP-адрес с пограничной службой доступа)
Служба прокси-сервера XMPP принимает трафик от контактов XMPP в определенных федерациях XMPP.
Доступ/HTTP
TCP
80
Частный IP-адрес с использованием NAT: пограничный сервер, пограничная служба доступа
Общедоступный IP-адрес: пограничный сервер, общедоступный IP-адрес пограничной службы доступа
Любой
Отзыв сертификата и проверка и поиск CRL.
Доступ/DNS
TCP
53
Частный IP-адрес с использованием NAT: пограничный сервер, пограничная служба доступа
Общедоступный IP-адрес: пограничный сервер, общедоступный IP-адрес пограничной службы доступа
Любой
DNS-запрос по протоколу TCP.
Доступ/DNS
UDP
53
Частный IP-адрес с использованием NAT: пограничный сервер, пограничная служба доступа
Общедоступный IP-адрес: пограничный сервер, общедоступный IP-адрес пограничной службы доступа
Любой
DNS-запрос по протоколу UDP.
Доступ/SIP(TLS)
TCP
443
Любой
Частный IP-адрес с использованием NAT: пограничный сервер, пограничная служба доступа
Общедоступный IP-адрес: пограничный сервер, общедоступный IP-адрес пограничной службы доступа
Трафик SIP от клиента к серверу для доступа внешних пользователей.
Доступ/SIP(MTLS)
TCP
5061
Любой
Частный IP-адрес с использованием NAT: пограничный сервер, пограничная служба доступа
Общедоступный IP-адрес: пограничный сервер, общедоступный IP-адрес пограничной службы доступа
Для федеративного подключения и подключения к общедоступным службам обмена мгновенными сообщениями с помощью SIP.
Доступ/SIP(MTLS)
TCP
5061
Частный IP-адрес с использованием NAT: пограничный сервер, пограничная служба доступа
Общедоступный IP-адрес: пограничный сервер, общедоступный IP-адрес пограничной службы доступа
Любой
Для федеративного подключения и подключения к общедоступным службам обмена мгновенными сообщениями с помощью SIP.
Веб-конференции/PSOM(TLS)
TCP
443
Любой
Частный IP-адрес с использованием NAT: пограничный сервер, служба пограничного сервера веб-конференций
Общедоступный IP-адрес: пограничный сервер, общедоступный IP-адрес службы пограничного сервера веб-конференций
Устройство для веб-конференций.
A/V/RTP
TCP
50000–59999
Частный IP-адрес с использованием NAT: пограничный сервер, пограничная служба аудио- и видеоданных
Общедоступный IP-адрес: пограничный сервер, общедоступный IP-адрес пограничной службы аудио- и видеоданных
Любой
Используется для ретрансляции трафика мультимедиа.
A/V/RTP
UDP
50000–59999
Частный IP-адрес с использованием NAT: пограничный сервер, пограничная служба аудио- и видеоданных
Общедоступный IP-адрес: пограничный сервер, общедоступный IP-адрес пограничной службы аудио- и видеоданных
Любой
Используется для ретрансляции трафика мультимедиа.
A/V/STUN.MSTURN
UDP
3478
Частный IP-адрес с использованием NAT: пограничный сервер, пограничная служба аудио- и видеоданных
Общедоступный IP-адрес: пограничный сервер, общедоступный IP-адрес пограничной службы аудио- и видеоданных
Любой
Исходящий порт 3478:
• Используется Skype для бизнеса Server для определения версии пограничного сервера, с которым происходит взаимодействие.
• Используется для трафика мультимедиа между пограничными серверами.
• Требуется для федерации с Lync Server 2010.
• Требуется, если в организации развернуто несколько пограничных пулов.
A/V/STUN.MSTURN
UDP
3478
Любой
Частный IP-адрес с использованием NAT: пограничный сервер, пограничная служба аудио- и видеоданных
Общедоступный IP-адрес: пограничный сервер, общедоступный IP-адрес пограничной службы аудио- и видеоданных
STUN/TURN – согласование кандидатов по протоколу UDP и порту 3478.
A/V/STUN.MSTURN
TCP
443
Любой
Частный IP-адрес с использованием NAT: пограничный сервер, пограничная служба аудио- и видеоданных
Общедоступный IP-адрес: пограничный сервер, общедоступный IP-адрес пограничной службы аудио- и видеоданных
STUN/TURN – согласование кандидатов по протоколу TCP и порту 443.
A/V/STUN.MSTURN
TCP
443
Частный IP-адрес с использованием NAT: пограничный сервер, пограничная служба аудио- и видеоданных
Общедоступный IP-адрес: пограничный сервер, общедоступный IP-адрес пограничной службы аудио- и видеоданных
Любой
STUN/TURN – согласование кандидатов по протоколу TCP и порту 443.

Таблица сводки по брандмауэру внутренних портов

Протокол TCP или UDP Порт IP-адрес источника IP-адрес назначения Примечания
XMPP/MTLS
TCP
23456
Любая среда, в которой работает служба шлюза XMPP:
• Сервер переднего плана
• Пул переднего плана
Внутренний интерфейс пограничного сервера
Исходящий трафик XMPP из службы шлюза XMPP, работающего на сервере переднего плана или в пуле серверов переднего плана.
Примечание. Прокси-серверы и шлюзы XMPP доступны в Skype для бизнеса Server 2015, но больше не поддерживаются в Skype для бизнеса Server 2019. Дополнительные сведения см. в статье Перенос федерации XMPP.
SIP/MTLS
TCP
5061
Любой:
• Директор
• Пул директоров
• Сервер переднего плана
• Пул переднего плана
Внутренний интерфейс пограничного сервера
Исходящий трафик SIP из директора, пула директоров, сервера переднего плана или пула переднего плана во внутренний интерфейс пограничного сервера.
SIP/MTLS
TCP
5061
Внутренний интерфейс пограничного сервера
Любой:
• Директор
• Пул директоров
• Сервер переднего плана
• Пул переднего плана
Входящий трафик SIP на адрес директора, пула директоров, сервера переднего плана или пула переднего плана из внутреннего интерфейса пограничного сервера.
PSOM/MTLS/8057
TCP
8057
Любой:
• Сервер переднего плана
• Каждый сервер переднего плана
в пуле переднего плана
Внутренний интерфейс пограничного сервера
Трафик веб-конференций с сервера переднего плана или с каждого сервера переднего плана (при наличии пула переднего плана) во внутренний интерфейс пограничного сервера.
SIP/MTLS
TCP
5062
Любой:
• Сервер переднего плана
• Пул переднего плана
• Любое устройство для обеспечения связи в филиалах, использующее этот пограничный сервер
• Любой сервер для обеспечения связи в филиалах, использующий этот пограничный сервер
Внутренний интерфейс пограничного сервера
Проверка подлинности пользователей аудио/видео из сервера переднего плана или пула переднего плана либо устройства для обеспечения связи в филиалах или сервера для обеспечения связи в филиалах с использованием пограничного сервера.
STUN/MSTURN
UDP
3478
Любой
Внутренний интерфейс пограничного сервера
Предпочитаемый путь передачи аудио/видео между внутренними и внешними пользователями, а также между устройством для обеспечения связи в филиалах или сервером для обеспечения связи в филиалах.
STUN/MSTURN
TCP
443
Любой
Внутренний интерфейс пограничного сервера
Резервный путь для передачи аудио/видео между внутренними и внешними пользователями, устройством для обеспечения связи в филиалах или сервером для обеспечения связи в филиалах, если подключение UDP не работает. Для передачи файлов и общего доступа к рабочему столу используется TCP.
HTTPS
TCP
4443
Любой:
• Сервер переднего плана, в котором расположено центральное хранилище управления
• Пул переднего плана, в котором расположено центральное хранилище управления
Внутренний интерфейс пограничного сервера
Репликация изменений из центрального хранилища управления в пограничный сервер.
MTLS
TCP
50001
Любой
Внутренний интерфейс пограничного сервера
Контроллер централизованной службы ведения журнала с использованием командлетов командной консоли Skype для бизнеса Server и централизованной службы ведения журнала, командной строки ClsController (ClsController.exe) или команд агента (ClsAgent.exe) и коллекции журналов.
MTLS
TCP
50002
Любой
Внутренний интерфейс пограничного сервера
Контроллер централизованной службы ведения журнала с использованием командлетов командной консоли Skype для бизнеса Server и централизованной службы ведения журнала, командной строки ClsController (ClsController.exe) или команд агента (ClsAgent.exe) и коллекции журналов.
MTLS
TCP
50003
Любой
Внутренний интерфейс пограничного сервера
Контроллер централизованной службы ведения журнала с использованием командлетов командной консоли Skype для бизнеса Server и централизованной службы ведения журнала, командной строки ClsController (ClsController.exe) или команд агента (ClsAgent.exe) и коллекции журналов.

Аппаратные средства балансировки нагрузки для таблиц пограничных портов

Мы добавили раздел, посвященный аппаратным средствам балансировки нагрузки и пограничным портам, так как дополнительное оборудование — более сложная тема. Для получения рекомендаций по конкретным сценарием ознакомьтесь со следующими таблицами:

Таблица сводки по брандмауэру внешних портов

Исходный IP-адрес и конечный IP-адрес будут содержать информацию для пользователей, использующих частные IP-адреса с NAT, а также для людей, использующих общедоступные IP-адреса. Статья Сценарии пограничного сервера в Skype для бизнеса Server описывает все перестановки.

Роль или протокол TCP или UDP Конечный порт или диапазон портов IP-адрес источника IP-адрес назначения Примечания
Доступ/HTTP
TCP
80
Пограничный сервер, общедоступный IP-адрес пограничной службы доступа
Любой
Отзыв сертификата и проверка и поиск CRL.
Доступ/DNS
TCP
53
Пограничный сервер, общедоступный IP-адрес пограничной службы доступа
Любой
DNS-запрос по протоколу TCP.
Доступ/DNS
UDP
53
Пограничный сервер, общедоступный IP-адрес пограничной службы доступа
Любой
DNS-запрос по протоколу UDP.
A/V/RTP
TCP
50000–59999
Пограничный сервер, IP-адрес пограничной службы аудио- и видеоданных
Любой
Используется для ретрансляции трафика мультимедиа.
A/V/RTP
UDP
50000–59999
Пограничный сервер, общедоступный IP-адрес пограничной службы аудио- и видеоданных
Любой
Используется для ретрансляции трафика мультимедиа.
A/V/STUN.MSTURN
UDP
3478
Пограничный сервер, общедоступный IP-адрес пограничной службы аудио- и видеоданных
Любой
Исходящий порт 3478:
• Используется Skype для бизнеса Server для определения версии пограничного сервера, с которым происходит взаимодействие.
• Используется для трафика мультимедиа между пограничными серверами.
• Требуется для федерации.
• Требуется, если в организации развернуто несколько пограничных пулов.
A/V/STUN.MSTURN
UDP
3478
Любой
Пограничный сервер, общедоступный IP-адрес пограничной службы аудио- и видеоданных
STUN/TURN – согласование кандидатов по протоколу UDP и порту 3478.
A/V/STUN.MSTURN
TCP
443
Любой
Пограничный сервер, общедоступный IP-адрес пограничной службы аудио- и видеоданных
STUN/TURN – согласование кандидатов по протоколу TCP и порту 443.
A/V/STUN.MSTURN
TCP
443
Пограничный сервер, общедоступный IP-адрес пограничной службы аудио- и видеоданных
Любой
STUN/TURN – согласование кандидатов по протоколу TCP и порту 443.

Таблица сводки по брандмауэру внутренних портов

Протокол TCP или UDP Порт IP-адрес источника IP-адрес назначения Примечания
XMPP/MTLS
TCP
23456
Любая среда, в которой работает служба шлюза XMPP:
• Сервер переднего плана
• Виртуальный IP-адрес пула переднего плана, с которым выполняется служба шлюза XMPP
Внутренний интерфейс пограничного сервера
Исходящий трафик XMPP из службы шлюза XMPP, работающего на сервере переднего плана или в пуле серверов переднего плана.

Примечание. Прокси-серверы и шлюзы XMPP доступны в Skype для бизнеса Server 2015, но больше не поддерживаются в Skype для бизнеса Server 2019. Дополнительные сведения см. в статье Перенос федерации XMPP.
HTTPS
TCP
4443
Любой:
• Сервер переднего плана, в котором расположено центральное хранилище управления
• Пул переднего плана, в котором расположено центральное хранилище управления
Внутренний интерфейс пограничного сервера
Репликация изменений из центрального хранилища управления в пограничный сервер.
PSOM/MTLS/8057
TCP
8057
Любой:
• Сервер переднего плана
• Каждый сервер переднего плана в пуле переднего плана
Внутренний интерфейс пограничного сервера
Трафик веб-конференций с сервера переднего плана или с каждого сервера переднего плана (при наличии пула переднего плана) во внутренний интерфейс пограничного сервера.
STUN/MSTURN
UDP
3478
Любой:
• Сервер переднего плана
• Каждый сервер переднего плана в пуле переднего плана
Внутренний интерфейс пограничного сервера
Предпочитаемый путь передачи аудио/видео между внутренними и внешними пользователями, а также между устройством для обеспечения связи в филиалах или сервером для обеспечения связи в филиалах.
STUN/MSTURN
TCP
443
Любая:
• Сервер переднего плана
• Каждый сервер переднего плана в пуле
Внутренний интерфейс пограничного сервера
Резервный путь для передачи аудио/видео между внутренними и внешними пользователями, устройством для обеспечения связи в филиалах или сервером для обеспечения связи в филиалах, если подключение UDP не работает. Для передачи файлов и общего доступа к рабочему столу используется TCP.
MTLS
TCP
50001
Любой
Внутренний интерфейс пограничного сервера
Контроллер централизованной службы ведения журнала с использованием командлетов командной консоли Skype для бизнеса Server и централизованной службы ведения журнала, командной строки ClsController (ClsController.exe) или команд агента (ClsAgent.exe) и коллекции журналов.
MTLS
TCP
50002
Любой
Внутренний интерфейс пограничного сервера
Контроллер централизованной службы ведения журнала с использованием командлетов командной консоли Skype для бизнеса Server и централизованной службы ведения журнала, командной строки ClsController (ClsController.exe) или команд агента (ClsAgent.exe) и коллекции журналов.
MTLS
TCP
50003
Любой
Внутренний интерфейс пограничного сервера
Контроллер централизованной службы ведения журнала с использованием командлетов командной консоли Skype для бизнеса Server и централизованной службы ведения журнала, командной строки ClsController (ClsController.exe) или команд агента (ClsAgent.exe) и коллекции журналов.

Виртуальные IP-адреса внешнего интерфейса

Роль или протокол TCP или UDP Конечный порт или диапазон портов IP-адрес источника IP-адрес назначения Примечания
XMPP
Не поддерживается в Skype для бизнеса Server 2019
TCP
5269
Любой
Служба прокси-сервера XMPP (общий IP-адрес с пограничной службой доступа)
Служба прокси-сервера XMPP принимает трафик от контактов XMPP в определенных федерациях XMPP.
XMPP
Не поддерживается в Skype для бизнеса Server 2019
TCP
5269
Служба прокси-сервера XMPP (общий IP-адрес с пограничной службой доступа)
Любой
Служба прокси-сервера XMPP передает трафик от контактов XMPP в определенных федерациях XMPP.
Доступ/SIP(TLS)
TCP
443
Любой
Частный IP-адрес с использованием NAT: пограничный сервер, пограничная служба доступа
Общедоступный IP-адрес: пограничный сервер, общедоступный IP-адрес пограничной службы доступа
Трафик SIP от клиента к серверу для доступа внешних пользователей.
Доступ/SIP(MTLS)
TCP
5061
Любой
Частный IP-адрес с использованием NAT: пограничный сервер, пограничная служба доступа
Общедоступный IP-адрес: пограничный сервер, общедоступный IP-адрес пограничной службы доступа
Для федеративного подключения и подключения к общедоступным службам обмена мгновенными сообщениями с помощью SIP.
Доступ/SIP(MTLS)
TCP
5061
Частный IP-адрес с использованием NAT: пограничный сервер, пограничная служба доступа
Общедоступный IP-адрес: пограничный сервер, общедоступный IP-адрес пограничной службы доступа
Любой
Для федеративного подключения и подключения к общедоступным службам обмена мгновенными сообщениями с помощью SIP.
Веб-конференции/PSOM(TLS)
TCP
443
Любой
Частный IP-адрес с использованием NAT: пограничный сервер, служба пограничного сервера веб-конференций
Общедоступный IP-адрес: пограничный сервер, общедоступный IP-адрес службы пограничного сервера веб-конференций
Устройство для веб-конференций.
A/V/STUN.MSTURN
UDP
3478
Любой
Частный IP-адрес с использованием NAT: пограничный сервер, пограничная служба аудио- и видеоданных
Общедоступный IP-адрес: пограничный сервер, общедоступный IP-адрес пограничной службы аудио- и видеоданных
STUN/TURN – согласование кандидатов по протоколу UDP и порту 3478.
A/V/STUN.MSTURN
TCP
443
Любой
Частный IP-адрес с использованием NAT: пограничный сервер, пограничная служба аудио- и видеоданных
Общедоступный IP-адрес: пограничный сервер, общедоступный IP-адрес пограничной службы аудио- и видеоданных
STUN/TURN – согласование кандидатов по протоколу TCP и порту 443.

Виртуальные IP-адреса внутреннего интерфейса

Приведенные здесь рекомендации немного отличаются. Фактически при использовании аппаратной балансировки нагрузки теперь рекомендуется использовать маршрутизацию через внутренний виртуальный IP-адрес только при следующих условиях:

  • Если вы используете единую систему обмена сообщениями Exchange 2007 или Exchange 2010.

  • У вас есть устаревшие клиенты, использующие пограничный сервер.

Следующая таблица содержит рекомендации для таких сценариев. В других случаях у вас должна быть возможность использовать центральное хранилище управления для перенаправления трафика на отдельный пограничный сервер, о котором известно хранилищу (для этого не требуется настраивать центральное хранилище управления для регулярного обновления информации пограничного сервера).

Протокол TCP или UDP Порт IP-адрес источника IP-адрес назначения Примечания
Доступ/SIP(MTLS)
TCP
5061
Любой:
• Директор
• Виртуальный IP-адрес пула директоров
• Сервер переднего плана
• Виртуальный IP-адрес пула переднего плана
Внутренний интерфейс пограничного сервера
Исходящий трафик SIP из директора, виртуального IP-адреса пула директоров, сервера переднего плана или виртуального IP-адреса пула переднего плана во внутренний интерфейс пограничного сервера.
Доступ/SIP(MTLS)
TCP
5061
Внутренний виртуальный IP-интерфейс пограничного сервера
Любой:
• Директор
• Виртуальный IP-адрес пула директоров
• Сервер переднего плана
• Виртуальный IP-адрес пула переднего плана
Входящий трафик SIP в сервер-директор, виртуальный IP-адрес пула директоров, сервер переднего плана или виртуальный IP-адрес пула переднего плана из внутреннего интерфейса пограничного сервера.
SIP/MTLS
TCP
5062
Любой:
• IP-адрес сервера переднего плана
• IP-адрес пула переднего плана
• Любое устройство для обеспечения связи в филиалах, использующее этот пограничный сервер
• Любой сервер для обеспечения связи в филиалах, использующий этот пограничный сервер
Внутренний интерфейс пограничного сервера
Проверка подлинности пользователей аудио/видео из сервера переднего плана или пула переднего плана либо устройства для обеспечения связи в филиалах или сервера для обеспечения связи в филиалах с использованием пограничного сервера.
STUN/MSTURN
UDP
3478
Любой
Внутренний интерфейс пограничного сервера
Предпочитаемый путь передачи аудио/видео между внутренними и внешними пользователями.
STUN/MSTURN
TCP
443
Любой
Внутренний виртуальный IP-интерфейс пограничного сервера
Резервный путь для передачи аудио/видео между внутренними и внешними пользователями, устройством в случае, если подключение UDP не работает. Для передачи файлов и общего доступа к рабочему столу используется TCP.