none
Edge - порты не по умолчанию RRS feed

  • Общие обсуждения

  • Добрый день.

    Простая топология - один standart frontend, один edge с одним внешним интерфейсом за NAT и портами не по умолчанию - 65061, 65443, 65444, pfsense с haproxy в качестве reverse proxy. Важно - на данный момент сертификаты из доменного ЦС. Топология опубликована без ошибок, репликация работает. На внешнем интерфейсе Edge вижу именно заданные мной порты открытыми. Skype for Business Autodiscover Web Service с сайта https://testconnectivity.microsoft.com отрабатывает без ошибок. Но Skype for Business Server Remote Connectivity Test при использовании Autodiscover пробует все время подключаться на порт 5061 вместо 65061, что у него соответственно не выходит. По моей логике при Autodiscover тест должен получить список используемых портов на Edge и работать с ними. Или для этого нужно заводить дополнительные SRV записи в DNS?

    14 сентября 2017 г. 5:53

Все ответы

  • Добрый)

    Доступ по 5061 порту вам нужен в любом случае - он нужен для федерации.

    Из документации Microsoft.

    The federation port is set to 5061 and cannot be changed.

    И есть похожее обсуждение

    Какие внешние DNS-записи вы опубликовали?

    SRV-записи должны быть - такие:

    _sipfederationtls._tcp.sipdomain.com. Port:5061. Назначение: sip.sipdomain.com

    _sip._tls.sipdomain.com. В вашем случае Port: 65061. Назначение: sip.sipdomain.com.

    Убедитесь что у вас нет таких внешних DNS-записей:

    lyncdiscoverinternal.sipdomain.com

    SRV Record: _sipinternalttls._tcp.sipdomain.com

    Вообще с нестандартными портами поймаете больше проблем в дальнейшем. Вы зачем разворачиваете S4B и публикуете наружу? Чтобы ваши сотрудники могли мобильно функциями корпоративной связи. В итоге с такими портами получится ситуация когда директор не сможет работать с Lync из какой-нибудь кафешки с публичным WI-FI по причине того, что там порты порезаны.

    Так что в идеале для EDGE-сервера заводим три белых IP-адреса и вешаем все пограничные службы на 443 порт (5061 при этом так же нужен =)) )

    14 сентября 2017 г. 6:53
  • Александр, спасибо за помощь.

    Федерация же нужна для того, чтобы настраивать доверие с другими организациями? Если это не планируется, то зачем открывать порт?

    Внешние SRV записи на данный момент полностью отсутствуют. Только A/CNAME - lyncdiscover, dialin, meet для внешних веб-сервисов, и для служб Edge единая запись skype.domain.name.

    Изначальная цель - проведение конференций с внешними пользователями и освоение самого продукта.

    В общем у меня пробелы в знаниях о взаимодействии компонентов, буду разбираться дальше с документацией. Но если сможете на пальцах про федерацию объяснить, буду благодарен.


    • Изменено maver.life 14 сентября 2017 г. 7:18
    14 сентября 2017 г. 7:15
  • Ну если не планируете федерацию - тогда да, порт не нужен. Просто это приятный и удобный функционал) Не знаю что тут даже на пальцах объяснять) - сможете общаться с пользователями других организаций у кого так же включена федерация S4B\Lync.

    Да и потом вам захочется общаться с обычными Skype-пользователями - а для этого нужна федерация.

    Ну и если есть возможность - почему её не использовать? Вам это ничего стоить не будет. Почему вы не ходите прокидывать 5061 порт? Он у вас используется для чего-то или это принципиальное?)

    Если принципиальное и не хотите включать федерацию - то главное в вашем случае настройте SRV запись _sip._tls.contoso.com с портом 65061, которая ссылается на вашу "единую запись для EDGE" skype.domain.name.

    SIP-домен у вас один?

    По внешним DNS-записям. Кроме lyncdiscover, dialin и meet у вас должна быть ещё запись для внешних веб-служб которая опубликована через ReverseProxy. Вы её настраивали на FE-сервере.

    14 сентября 2017 г. 7:39
  • Скорее принципиальное - из соображений безопасности не открывать доступ к тем функциям, которые на данный момент не используются. Ну и про возможность общения с пользователями обычного Skype я забыл.

    SIP-домен один.

    Про дополнительные dns-записи понял.

    14 сентября 2017 г. 8:14
  • Ну и соответственно на ReverseProxy публикуете S4BWEB, Lyncdiscover, Dialin, Meet с 443 порта на внутренний 4443. (могут быть другие порты - если меняли в топологии. Я говорю по аналогии с моим скриншотом выше). А то бывает люди забывают - и на внутренний 443 порт отправляют публикации.
    14 сентября 2017 г. 8:55