Какие порты использует скайп
Перейти к содержимому

Какие порты использует скайп

  • автор:

Какой порт у скайпа для скачивания присланных фото или файлов?

Здравствуйте. Ситуация такая: есть сеть. Все ПК ходят в инет через прокси, NAT отключен. Когда один человек другому кидает в скайпе картинки, то второй видит что пришла картинка, открывает ее в скайпе, но скачать не может. Как я понял, скайп скачивает со своего сервера эту картинку. Вопрос: кто-нибудь знает какой порт надо разрешить для того, чтобы скайп смог скачать эту картинку?

  • Вопрос задан более трёх лет назад
  • 198 просмотров

Комментировать
Решения вопроса 0
Ответы на вопрос 1

Zoominger

System Integrator
Погуглил за вас:

Для корректной работы Skype в брандмауэре необходимо открыть следующие порты:

443/TCP
3478-3481/UDP
50000-60000/UDP-ПОРТ

Для качества взаимодействия пользователя со лучше всего возможен вызов эти порты требуются слишком:
1000-10000/TCP
50000-65000/TCP
16000-26000/TCP

Требования к портам и протоколам для серверов

Сводка. Ознакомьтесь с рекомендациями по использованию портов перед внедрением Skype для бизнеса Server.

Skype для бизнеса Server требуется, чтобы на внешних и внутренних брандмауэрах были открыты определенные порты. Кроме того, если в организации развернут протокол IPsec, то он должен быть отключен в диапазоне портов, используемых для доставки звука, видео и панорамного видео.

Хотя это может показаться немного пугающим, тяжелый подъем для планирования этого можно сделать с помощью средства планирования Skype для бизнеса Server 2015 года. После того как вы изучите вопросы мастера о функциях, которые вы планируете использовать, для каждого сайта, который вы определяете, вы можете просмотреть отчет о брандмауэре в отчете edge Администратор и использовать приведенные там сведения для создания правил брандмауэра. Вы можете также внести корректировки в используемые имена и IP-адреса. Подробнее см. Просмотр отчета по брандмауэру. Отчет администратора пограничного сервера можно экспортировать в электронную таблицу Excel. При этом отчет по брандмауэру будет находиться на одном из листов этого файла.

Сведения в этих таблицах можно найти в виде диаграммы, просмотрив плакат «Рабочие нагрузки протокола», связанный со статьей Технические схемы для Skype для бизнеса Server 2015 г.

  • Если вы реализуете Skype для бизнеса Online (Microsoft 365 или Office 365), обратитесь к Microsoft 365 и Office 365 URL-адресам и диапазонам IP-адресов. При создании гибридной среды необходимо воспользоваться этим разделом, а также статьей Планирование гибридного подключения.
  • Вы можете использовать аппаратный или программный брандмауэр. Нам не требуются определенные модели или версии. Важно, какие порты добавляются в список разрешений, чтобы брандмауэр не ухудшил работу Skype для бизнеса Server.

Сведения о портах и протоколах

В этом разделе приводится обзор портов и протоколов, используемых серверами, балансировщиками нагрузки и клиентами в развертывании Skype для бизнеса Server.

При запуске Skype для бизнеса Server в брандмауэре Windows открываются необходимые порты. Брандмауэр Windows уже должен быть запущен для большинства обычных приложений, но если он не используется, Skype для бизнеса Server будет работать без него.

Сведения о настройке брандмауэра для пограничных компонентов см. в статье Варианты пограничных серверов в Skype для бизнеса Server 2015.

В следующей таблице приводится список портов, которые должны быть открыты для каждой роли внутреннего сервера.

Необходимые порты сервера (по ролям сервера)

Роль сервера Имя службы Порт Протокол Notes
Все серверы Браузер SQL 1434 UDP Браузер SQL для локальной реплицированной копии базы данных центрального хранилища управления.
серверы Front-End Служба переднего плана Skype для бизнеса Server 5060 TCP При необходимости используется для статических маршрутов к доверенным службам серверами Standard Edition и серверами переднего плана, например серверами удаленного управления звонками.
Серверы переднего плана Служба переднего плана Skype для бизнеса Server 5061 TCP (TLS) Используется серверами Standard Edition и серверами переднего плана для всех внутренних SIP-соединений между серверами (MTLS), для SIP-соединений между сервером и клиентом (TLS) и для SIP-соединений между серверами переднего плана и серверами-посредниками (MTLS). Также используется для соединений с сервером мониторинга.
Серверы переднего плана Служба переднего плана Skype для бизнеса Server 444 HTTPS
TCP
Используется для HTTPS-соединений между Focus (компонентом Skype для бизнеса Server, который управляет состоянием конференции) и отдельными серверами.
Этот порт также используется для TCP-соединений между устройствами для обеспечения связи в филиалах и серверами переднего плана.
Серверы переднего плана Служба переднего плана Skype для бизнеса Server 135 DCOM и удаленный вызов процедур (RPC) Используется для операций на базе DCOM, таких как перемещение пользователей, синхронизация репликаторов пользовательских данных и адресных книг.
Серверы переднего плана Служба конференций с обменом мгновенными сообщениями Skype для бизнеса Server 5062 TCP Используется для входящих SIP-запросов в конференц-связи с использованием обмена мгновенными сообщениями.
Серверы переднего плана Служба веб-конференций Skype для бизнеса Server 8057 TCP (TLS) Используется для прослушивания подключений по протоколу PSOM от клиента.
Серверы переднего плана Служба совместимости веб-конференций Skype для бизнеса Server 8058 TCP (TLS) Используется для прослушивания подключений по протоколу PSOM от клиента Live Meeting и предыдущих версий Используется для прослушивания подключений по протоколу PSOM от клиента Live Meeting и предыдущих версий Skype для бизнеса Server.
Серверы переднего плана Служба аудио- и видеоконференций Skype для бизнеса Server 5063 TCP Используется для входящих SIP-запросов на аудио- и видеоконференции.
Серверы переднего плана Служба аудио- и видеоконференций Skype для бизнеса Server 57501-65535 TCP/UDP Диапазон портов, используемых для видеоконференций.
Серверы переднего плана Веб-служба совместимости Skype для бизнеса Server 80 HTTP Используется для подключений от серверов переднего плана к полным доменным именам в веб-ферме (URL-адреса используются по веб-компонентам IIS), когда не используется HTTPS.
Серверы переднего плана Веб-служба совместимости Skype для бизнеса Server 443 HTTPS Используется для подключений от серверов переднего плана к полным доменным именам в веб-ферме (URL-адреса используются по веб-компонентам IIS).
Серверы переднего плана Веб-служба совместимости Skype для бизнеса Server 8080 TCP и HTTP Используется веб-компонентами для внешнего доступа.
Серверы переднего плана Компонент веб-сервера 4443 HTTPS Связь по протоколу HTTPS (от обратного прокси-сервера) и по протоколу HTTPS между пулами переднего плана для автообнаружения входа.
Серверы переднего плана Компонент веб-сервера 8060 TCP (MTLS)
Серверы переднего плана Компонент веб-сервера 8061 TCP (MTLS)
Серверы переднего плана Компонент служб Mobility Services 5086 TCP (MTLS) SIP-порт, используемый внутренними процессами служб Mobility Services.
Серверы переднего плана Компонент служб Mobility Services 5087 TCP (MTLS) SIP-порт, используемый внутренними процессами служб Mobility Services.
Серверы переднего плана Компонент служб Mobility Services 443 HTTPS
Серверы переднего плана Служба помощника по конференц-связи Skype для бизнеса Server (конференц-связь с телефонным подключением) 5064 TCP Используется для входящих SIP-запросов для конференц-связи с телефонным подключением.
Серверы переднего плана Служба помощника по конференц-связи Skype для бизнеса Server (конференц-связь с телефонным подключением) 5072 TCP Используется для входящих SIP-запросов для помощника по конференц-связи» (с телефонным подключением).
Серверы переднего плана, на которых также работает совмещенный сервер-посредник Служба посредника Skype для бизнеса Server 5070 TCP Используется сервером-посредником для входящих запросов от сервера переднего плана к серверу посреднику.
Серверы переднего плана, на которых также работает соотнесенный сервер-посредник Служба посредника Skype для бизнеса Server 5067 TCP (TLS) Используется для входящих SIP-запросов от шлюза ТСОП к серверу-посреднику.
Серверы переднего плана, на которых также работает соотнесенный сервер-посредник Служба посредника Skype для бизнеса Server 5068 TCP Используется для входящих SIP-запросов от шлюза ТСОП к серверу-посреднику.
Серверы переднего плана, на которых также работает соотнесенный сервер-посредник Служба посредника Skype для бизнеса Server 5081 TCP Используется для исходящих SIP-запросов от сервера-посредника к шлюзу ТСОП.
Серверы переднего плана, на которых также работает соотнесенный сервер-посредник Служба посредника Skype для бизнеса Server 5082 TCP (TLS) Используется для исходящих SIP-запросов от сервера-посредника к шлюзу ТСОП.
Серверы переднего плана Служба общего доступа к приложениям Skype для бизнеса Server 5065 TCP Используется для входящих SIP-запросов на прослушивание для общего доступа к приложению.
Серверы переднего плана Служба общего доступа к приложениям Skype для бизнеса Server 49152-65535 TCP Диапазон портов, используемых для общего доступа к приложению.
Серверы переднего плана Служба оповещения для конференц-связи Skype для бизнеса Server 5073 TCP Используется для входящих SIP-запросов для службы оповещения для конференц-связи Skype для бизнеса Server (то есть для конференц-связи с телефонным подключением).
Серверы переднего плана Служба парковки вызовов Skype для бизнеса Server 5075 TCP Используется для входящих SIP-запросов для приложения парковки вызовов.
Серверы переднего плана Служба проверки аудиосвязи Skype для бизнеса Server 5076 TCP Используется для входящих SIP-запросов для службы проверки аудиосвязи.
Серверы переднего плана Неприменимо 5066 TCP Используется для исходящего трафика в шлюзе службы Enhanced 9-1-1 (E9-1-1).
Серверы переднего плана Служба группы ответов Skype для бизнеса Server 5071 TCP Используется для входящих SIP-запросов для приложения группы ответа.
Серверы переднего плана Служба группы ответов Skype для бизнеса Server 8404 TCP (MTLS) Используется для входящих SIP-запросов для приложения группы ответа.
Серверы переднего плана Служба политики пропускной способности Skype для бизнеса Server 5080 TCP Используется для контроля допуска звонков, осуществляемого службой политики пропускной способности в отношении пограничного аудио-/видео-трафика «TURN».
Серверы переднего плана Доступ к серверу общих файловых ресурсов Skype для бизнеса Server 445 SMB/TCP Используется для получения адресной книги, содержимого собраний и других элементов, хранящихся на сервере общих файловых ресурсов.
Серверы переднего плана Служба политики пропускной способности Skype для бизнеса Server 448 TCP Используется для контроля допуска звонков со стороны службы политики пропускной способности Skype для бизнеса Server.
Серверы переднего плана, на которых находится центральное хранилище управления Служба агента главного репликатора Skype для бизнеса Server 445 TCP Используется для принудительной передачи данных настройки из центрального хранилища управления на серверы Skype для бизнеса Server.
Все серверы Браузер SQL 1434 UDP Браузер SQL для локальной реплицированной копии данных сервера центрального хранилища управления в локальном экземпляре SQL Server
Все внутренние серверы Разное 49152-57500 TCP/UDP Диапазон портов, используемых для аудиоконференций на всех внутренних серверах. Используется всеми серверами, выполняющими роль конечных точек для аудиосвязи: серверами переднего плана (для службы помощника по конференц-связи Skype для бизнеса Server, службы оповещения для конференц-связи Skype для бизнеса Server и службы аудио- и видеоконференций Skype для бизнеса Server) и сервером-посредником.
Серверы Office Web Apps 443 Используется сервером Skype для бизнеса Server для подключения к серверу Office Web Apps.
Директоры Служба переднего плана Skype для бизнеса Server 5060 TCP При необходимости используется для статических маршрутов к доверенным службам, таким как серверы удаленного управления звонками.
Директоры Служба переднего плана Skype для бизнеса Server 444 HTTPS
TCP
Обмен данными между сервером переднего плана и сервером директора. Также публикация клиентских сертификатов (на серверах переднего плана) и их проверка, если они уже опубликованы.
Директоры Веб-служба совместимости Skype для бизнеса Server 80 TCP Используется для исходного подключения от директоров к полным доменным именам в веб-ферме (URL-адреса используются по веб-компонентам IIS). При обычной работе происходит переключение на трафик HTTPS с использованием порта 443 и протокола TCP.
Директоры Веб-служба совместимости Skype для бизнеса Server 443 HTTPS Используется для подключения от директоров к полным доменным именам в веб-ферме (URL-адреса используются по веб-компонентам IIS).
Директоры Служба переднего плана Skype для бизнеса Server 5061 TCP Используется для внутренних подключений между серверами и для клиентских подключений.
Серверы-посредники Служба посредника Skype для бизнеса Server 5070 TCP Используется сервером-посредником для входящих запросов от сервера переднего плана.
Серверы-посредники Служба посредника Skype для бизнеса Server 5067 TCP (TLS) Используется для входящих SIP-запросов от шлюза ТСОП.
Серверы-посредники Служба посредника Skype для бизнеса Server 5068 TCP Используется для входящих SIP-запросов от шлюза ТСОП.
Серверы-посредники Служба посредника Skype для бизнеса Server 5070 TCP (MTLS) Используется для SIP-запросов от серверов переднего плана.
Сервер переднего плана сохраняемого чата SIP-запрос сохраняемого чата 5041 TCP (MTLS)
Сервер переднего плана сохраняемого чата Платформа Windows Communication Foundation (WCF) для сохраняемого чата 881 TCP (TLS) и TCP (MTLS)
Сервер переднего плана сохраняемого чата Служба передачи файлов для сохраняемого чата 443 TCP (TLS)

Для некоторых сценариев с удаленным управлением звонками требуется TCP-соединение между сервером переднего плана или директором и УАТС. Хотя в Skype для бизнеса Server TCP-порт 5060 больше не используется, при развертывании удаленного управления звонками создается конфигурация доверенного сервера, где полное доменное имя сервера линии RCC связывается с TCP-портом, который будет использоваться сервером переднего плана или директором для подключения к УАТС. Дополнительные сведения см. в описании командлета CsTrustedApplicationComputer в документации командной консоли Skype для бизнеса Server.

Для пулов, использующих только аппаратную балансировку нагрузки (без балансировки нагрузки на DNS), в следующей таблице представлены порты, которые должны быть открыты на аппаратных балансировщиках нагрузки.

Порты аппаратного балансировщика нагрузки при использовании только аппаратной балансировки нагрузки

Балансировщик нагрузки Порт Протокол
Балансировщик нагрузки сервера переднего плана 5061 TCP (TLS)
Балансировщик нагрузки сервера переднего плана 444 HTTPS
Балансировщик нагрузки сервера переднего плана 135 DCOM и удаленный вызов процедур (RPC)
Балансировщик нагрузки сервера переднего плана 80 HTTP
Балансировщик нагрузки сервера переднего плана 8080 TCP — получение клиентом и устройством корневого сертификата с сервера переднего плана, клиенты и устройства проходят проверку подлинности NTLM
Балансировщик нагрузки сервера переднего плана 443 HTTPS
Балансировщик нагрузки сервера переднего плана 4443 HTTPS (от обратного прокси-сервера)
Балансировщик нагрузки сервера переднего плана 5072 TCP
Балансировщик нагрузки сервера переднего плана 5073 TCP
Балансировщик нагрузки сервера переднего плана 5075 TCP
Балансировщик нагрузки сервера переднего плана 5076 TCP
Балансировщик нагрузки сервера переднего плана 5071 TCP
Балансировщик нагрузки сервера переднего плана 5080 TCP
Балансировщик нагрузки сервера переднего плана 448 TCP
Балансировщик нагрузки сервера-посредника 5070 TCP
Балансировщик нагрузки на сервере переднего плана (если в пуле также работает сервер-посредник) 5070 TCP
Балансировщик нагрузки директора 443 HTTPS
Балансировщик нагрузки директора 444 HTTPS
Балансировщик нагрузки директора 5061 TCP
Балансировщик нагрузки директора 4443 HTTPS (от обратного прокси-сервера)

В пулах переднего плана и пулах директоров, использующих балансировку нагрузки на DNS, также должны быть развернуты аппаратные балансировщики нагрузки. В следующей таблице показаны порты, которые должны быть открыты на этих аппаратных балансировщиках нагрузки.

Порты аппаратного балансировщика нагрузки при использовании балансировки нагрузки на DNS

Балансировщик нагрузки Порт Протокол
Балансировщик нагрузки сервера переднего плана 80 HTTP
Балансировщик нагрузки сервера переднего плана 443 HTTPS
Балансировщик нагрузки сервера переднего плана 8080 TCP — получение клиентом и устройством корневого сертификата с сервера переднего плана, клиенты и устройства проходят проверку подлинности NTLM
Балансировщик нагрузки сервера переднего плана 4443 HTTPS (от обратного прокси-сервера)
Балансировщик нагрузки директора 443 HTTPS
Балансировщик нагрузки директора 4443 HTTPS (от обратного прокси-сервера)

Необходимые порты клиента

Компонент Порт Протокол Notes
Клиенты 67/68 DHCP Используется в Skype для бизнеса Server для поиска полного доменного имени регистратора (если DNS-запись SRV отсутствует, а вручную параметры не заданы).
Клиенты 443 TCP (TLS) Используется для SIP-трафика от клиента к серверу для доступа внешних пользователей.
Клиенты 443 TCP (PSOM/TLS) Используется для доступа внешних пользователей к сеансам веб-конференций.
Клиенты 443 TCP (STUN/MSTURN) Используется для доступа внешних пользователей к аудио- и видеосеансам и сеансам мультимедиа (TCP)
Клиенты 3478 UDP (STUN/MSTURN) Используется для доступа внешних пользователей к аудио- и видеосеансам и сеансам мультимедиа (UDP)
Клиенты 5061 TCP (MTLS) Используется для SIP-трафика от клиента к серверу для доступа внешних пользователей.
Клиенты 6891–6901 TCP Используется для передачи файлов между клиентами Skype для бизнеса и предыдущими клиентами.
Клиенты 1024-65535 * TCP/UDP Диапазон портов для передачи аудио (требуется минимум 20 портов).
Клиенты 1024-65535 * TCP/UDP Диапазон портов для передачи видео (требуется минимум 20 портов).
Клиенты 1024-65535 * TCP Одноранговая передача файлов (для передачи файлов во время конференций клиенты используют протокол PSOM).
Клиенты 1024-65535 * TCP Общий доступ к приложениям.
Телефон общего пользования Aastra 6721ip
Стационарный телефон Aastra 6725ip
IP-телефон HP 4110 (телефон общего пользования)
IP-телефон HP 4120 (стационарный телефон)
IP-телефон общего доступа Polycom CX500
Стационарный IP-телефон Polycom CX600
Стационарный IP-телефон Polycom CX700
Телефон для IP-конференций Polycom CX3000
67/68 DHCP Используется перечисленными устройствами для поиска сертификата Skype для бизнеса Server, подготовки полных доменных имен и поиска полного доменного имени регистратора.

* Чтобы настроить определенные порты для этих типов мультимедиа, используйте командлет CsConferencingConfiguration (параметры ClientMediaPortRangeEnabled, ClientMediaPort и ClientMediaPortRange).

Программы установки для клиентов Skype для бизнеса автоматически создают на клиентском компьютере необходимые исключения брандмауэра операционной системы.

Порты, используемые для доступа внешних пользователей, требуются для любого сценария, где клиент должен преодолевать брандмауэр организации (например, для любых внешних коммуникаций или собраний, размещаемых другими организациями).

Исключения IPsec

Для корпоративных сетей, где развернут протокол IPSec (см. документ IETF RFC 4301-4309), необходимо отключить IPSec для диапазона портов, используемых для доставки аудио, видео и панорамного видео. Это связано с необходимостью избежать каких-либо задержек при распределении портов мультимедиа из-за согласования IPsec.

В следующей таблице описаны рекомендуемые исключения IPsec.

Рекомендуемые исключения IPsec

Имя правила Исходный IP-адрес Конечный IP-адрес Протокол Исходный порт Конечный порт Требование проверки подлинности
Внутренние входящие данные пограничного сервера аудио- и видеоданных Любой Внутренние данные пограничного сервера аудио- и видеоданных UDP и TCP Любой Любой Не проходить проверку подлинности
Внешние входящие данные пограничного сервера аудио- и видеоданных Любой Внешние данные пограничного сервера аудио- и видеоданных UDP и TCP Любой Любой Не проходить проверку подлинности
Внутренние исходящие данные пограничного сервера аудио- и видеоданных Внутренние данные пограничного сервера аудио- и видеоданных Любой UDP & TCP Любой Любой Не проходить проверку подлинности
Внешние исходящие данные пограничного сервера аудио- и видеоданных Внешние данные пограничного сервера аудио- и видеоданных Любой UDP и TCP Любой Любой Не проходить проверку подлинности
Входящие данные сервера-посредника Любой Серверы-
посредники
UDP и TCP Любой Любой Не проходить проверку подлинности
Исходящие данные сервера-посредника Серверы-
посредники
Любой UDP и TCP Любой Любой Не проходить проверку подлинности
Входящие данные помощника по конференц-связи Любой Сервер переднего плана с помощником по конференц-связи UDP и TCP Любой Любой Не проходить проверку подлинности
Исходящие данные помощника по конференц-связи Сервер переднего плана с помощником по конференц-связи Любой UDP и TCP Любой Любой Не проходить проверку подлинности
Входящие данные аудио- и видеоконференций Любой Серверы переднего плана UDP и TCP Любой Любой Не проходить проверку подлинности
Исходящие данные аудио- и видеоконференций Серверы переднего плана Любой UDP и TCP Любой Любой Не проходить проверку подлинности
Входящие данные Exchange Любой Единая система обмена сообщениями Exchange UDP и TCP Любой Любой Не проходить проверку подлинности
Входящие данные серверов совместного использования приложений Любой Серверы совместного использования приложений TCP Любой Любой Не проходить проверку подлинности
Исходящие данные серверов совместного использования приложений Серверы совместного использования приложений Любой TCP Любой Любой Не проходить проверку подлинности
Исходящие данные Exchange Единая система обмена сообщениями Exchange Любой UDP и TCP Любой Любой Не проходить проверку подлинности
Клиенты Любой Любой UDP Указанный диапазон портов мультимедиа Любой Не проходить проверку подлинности

Какие порты использует Skype

Какие порты использует программа Skype по-умолчанию, как установить используемые порты самостоятельно, какие проблемы могут возникнуть при смене портов.

Какие порты использует Скайп? Нередко неопытные пользователи не знают ответа на этот вопрос. Вот ответ для всех интересующихся, по какому порту работает Скайп: этой программе для адекватной работы необходимы два порта. Их номера — 80 и 443. Они служат не только Скайпу. Некоторым другим программам, например, браузеру Internet Explorer, также служит 80 порт. И в этом нет ничего странного. Порты Skype и других программ могут совпадать.

Если говорить обобщенно, то порты просто необходимы при передаче и приеме данных. Его номер указывается в данных, и компьютер понимает, какая программа будет осуществлять их обработку. Это может быть Skype, ICQ, Mail.ru Агент или даже браузер.

Но вернемся к Скайпу. Рассмотрим, как открыть порт через Cкайп.

  • Заходим в Скайп.
  • Выбираем «Инструменты».

Нажимаем на

Нажимаем на «Инструменты»

Выбираем

Выбираем «Настройки»

Нажимаем на

Нажимаем на «Дополнительно»

Выбираем

Выбираем «Соединение»

Вписываем порт

Вписываем значение

Сохраняем порт

Сохраняем данные

Находим

Ищем проверку

Вписываем порт

Вписываем значение

Порт открыт

Соединение открыто

Вот так мы быстро и успешно открыли port Skype. Это заняло у нас всего несколько минут, мы не прилагали особых усилий.

Если порт для входящих соединений Skype недоступен, а такие ситуации возникают относительно часто, в качестве альтернативы следует использовать порты 80 и 443. Необходимо просто вписать какой-либо из этих значений в окно «Использовать порт«. Таким образом, если в Skype недоступен порт, можно просто вписать стандартный вариант – он будет доступным.

Порт 80

Порт 443

Итак, мы выяснили, какие порты использует Skype. Это порты 80 и 443. Ознакомившись со статьей, даже ребенок сможет ответить на вопрос, какой порт в Скайпе используется. Также мы разобрались в некоторых проблемах, которые могут возникнуть у пользователей.

Автор: Наталья Воронова

Skype for business 2015. Часть 9. Удалённый доступ к SfB

Развёртывания внутреннего пула или стандартного сервера даст нам только «внутренний» функционал, но не даст возможности подключаться извне.
Edge Server или пограничный сервер, позволяет значительно расширить функционал:

  • Подключение клиентов SfB из интернета
  • Подключение мобильных клиентов (SfB mobile)
  • Подключение Web-клиентов (Подключение к конференциям через браузер)
  • Федерация с другими компаниями Lync/SfB
  • Федерация со Skype
  • Федерация с Office 365

Итак, для SfB, Edge Server является обязательным компонентом для реализации всего перечисленного выше функционала.

Реализация удалённого доступа

Как уже было сказано, функции для удаленного доступа реализуются с помощью Edge Server.
Edge Server является ролью SfB и его нельзя совместить с Front-End Server или со Standard SfB Server. Т.е. без Edge Server обойтись нельзя.

Edge Server не является членом домена и находится в DMZ.
Для реализации удаленного доступа нам также понадобится Reverse Proxy. Reverse Proxy — это не роль SfB, и может быть реализован различными продуктами.

С точки зрения архитектуры нам понадобятся белые IP адреса.
Рекомендуется 4 IP:
— 1 Для Reverse Proxy
— 3 для Edge server

Минимально 2 IP:
— 1 Для Reverse Proxy
— 1 для Edge server

Edge требует два интерфейса: внешний и внутренний
Edge также требует установки двух сертификатов: один на внешнем интерфейсе, другой на внутреннем.

skype_for_business_2015._chast_9._udalyonnyy_dostup_k_sfb_01_ciscomaster.ru.jpg

Все клиенты, кто подключаются из интернета, подключаются к Edge. И Edge проксирует Media traffic, SIP traffic от клиента на внутренний Front-End.
Для шифрования коммуникаций, необходимо иметь коммерческий, публичный, доверенный сертификат на внешнем интерфейсе Edge.
На внутреннем интерфейсе Edge можно использовать внутренний сертификат.

Схема портов

skype_for_business_2015._chast_9._udalyonnyy_dostup_k_sfb_02_ciscomaster.ru.jpg

Понятно, что для правильной работы необходимо корректно настроить правила Firewall.
На Edge мы имеем три внешних сервиса, каждый из которых использует отдельный белый IP:

  • Access Edge Service — к нему подключаются внешние клиенты. С этим сервисом устанавливается подключения при федерации между Edges разных компаний.
    Для Access Edge Service должен быть закреплён отдельный IP, и на нём должно быть открыто несколько портов:
    — SIP/TLS(TCP:443) — по этому порту подключаются внешние клиенты к Edge.
    — SIP/MTLS(TCP:5061) — по этому порту подключаются федерации. Для федераций с системами XMPP дополнительно используется порт 5269
  • Web Conference Edge Service
    Использует только один порт:
    — PSOM/TLS(TCP:443)
  • AudioVideo Edge Service — интерфейс, по которому идёт media трафик.
    — STUN(UDP:3478) — Передача media-трафика от клиента.
    — STUN(TCP:443)
    — RTP(UDP/TCP:50000-59999) — Федерация с Office Comunication Server (старые системы)

Также имеем сервисе Reverce Proxy:

DNS записи для Edge Server

skype_for_business_2015._chast_9._udalyonnyy_dostup_k_sfb_03_ciscomaster.ru.jpg

Как видно, во внешнюю зону понадобится добавить группу DNS записей.

Как уже было сказано, Edge Server имеет три разных сервиса. И каждый из них будет иметь свою запись типа A. Каждый сервис имеет отдельное имя и разрешается в отдельный IP адрес.
Также понадобится запись типа A sip.ciscomaster.ru, которая будет разрешаться в Access Edge IP address. Это имя будет использоваться в том числе для подключения клиентов снаружи.

Также понадобится несколько записей SRV

Тип Запись Значение Пояснение
SRV _sipfederationtls._tcp.ciscomaster.ru Access Edge FQDN: access.ciscomaster.ru Для обнаружения при федерации. Ссылается на порт TCP:5061
SRV _sip._tls.ciscomaster.ru Access Edge FQDN: access.ciscomaster.ru Для подключения внешних клиентов. Ссылается на TCP:443 порт.
SRV _xmpp-server._tcp.ciscomaster.ru Access Edge FQDN: access.ciscomaster.ru Для обнаружения XMPP федерации
A sip.ciscomaster.ru Access Edge IP address Это имя будет использоваться в том числе для подключения клиентов снаружи.
A Access Edge FQDN: access.ciscomaster.ru Access Edge IP address
A A/V Edge FQDN: av.ciscomaster.ru A/V Edge IP address
A WebConf Edge FQDN: conf.ciscomaster.ru WebConf Edge IP address

На практике используют следующие имена:

Тип Запись Значение Пояснение
SRV _sipfederationtls._tcp.ciscomaster.ru Access Edge FQDN: access.ciscomaster.ru Для обнаружения при федерации. Ссылается на порт TCP:5061
SRV _sip._tls.ciscomaster.ru Access Edge FQDN: access.ciscomaster.ru Для подключения внешних клиентов. Ссылается на TCP:443 порт.
SRV _xmpp-server._tcp.ciscomaster.ru Access Edge FQDN: access.ciscomaster.ru Для обнаружения XMPP федерации
A sip.ciscomaster.ru 195.209.104.188 Это имя будет использоваться в том числе для подключения клиентов снаружи.
A Access Edge FQDN: sip.ciscomaster.ru 195.209.104.188 Access Edge Service
A A/V Edge FQDN: av.ciscomaster.ru 195.209.104.190 A/V Edge Service
A WebConf Edge FQDN: wc.ciscomaster.ru 195.209.104.189 Web Conferencing Access Edge Service

Как итог:
Наиболее часто используют следующие имена:

FQDN IP Описание
sip.ciscomaster.ru 195.209.104.188 Access Edge Service
wc.ciscomaster.ru 195.209.104.189 Web Conferencing Access Edge Service
av.ciscomaster.ru 195.209.104.190 A/V Edge Service

skype_for_business_2015._chast_10._ustanovka_edge-server_skype_for_business_105_ciscomaster.ru.jpg

Реально в DNS для тестовых целей было добавлено:

Задачи, выполняемые Reverse Proxy

Reverse Proxy — обязательный компонент, поскольку без него очень многое не будет работать.
Трафик сигнализации мобильных клиентов идёт через Reverse Proxy (Media идет через Edge)
Также через Reverse Proxy клиенты подключаются через Internet Browser (ссылка на конференцию)
Обеспечение работы Службы автообнаружения
Скачивание адресной книги
Развертывание группы рассылки в контакт-листе.
Скачивание содержимого конференции

Reverse Proxy и порты

skype_for_business_2015._chast_9._udalyonnyy_dostup_k_sfb_04_ciscomaster.ru_0.jpg

Reverse Proxy — принимает подключения по порту 443, и перенаправляет это подключение на Frontend на порт 4443. Также он принимает входящий порт 80 и перенаправляет это подключение на Frontend на порт 8080.

На Reverse Proxy стоит отдельный публичный сертификат, в котором имеются все необходимые имена, по которым подключаются клиенты к Reverse Proxy.
Здесь нужен коммерческий сертификат.

DNS записи Reverse Proxy

skype_for_business_2015._chast_9._udalyonnyy_dostup_k_sfb_05_ciscomaster.ru.jpg

В нашем случае это будут имена:
lyncdiscover.ciscomaster.ru 195.209.104.201
meet.ciscomaster.ru 195.209.104.201
dial-in.ciscomaster.ru 195.209.104.201
webext.ciscomaster.ru 195.209.104.201

skype_for_business_2015._chast_11._ustanovka_reverse_proxy_31_ciscomaster.ru.jpg

или в DNS мы пропишем:

skype_for_business_2015._chast_9._udalyonnyy_dostup_k_sfb_06_ciscomaster.ru.jpg

Мы рассматриваем ситуацию с использованием 3-х адресов под Edge и 1 адрес под Reverse Proxy.

Решения под Reverse Proxy

— Kemp Loadmaster 2600
— TMG 2010
— IIS ARR
— Web Application Proxy
— Sophos UTM
— Другие решения

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *