IP 网关和 IP PBX 仅支持基于证书的身份验证,该身份验证使用 Mutual TLS 对 SIP 通信进行加密,并对会话初始协议 (SIP)/TCP 连接使用基于 IP 的身份验证。IP 网关不支持 NTLM 或 Kerberos 身份验证。因此,在使用基于 IP 的身份验证时,将使用连接的 IP 地址为未加密 (TCP) 连接提供身份验证机制。在统一消息 (UM) 中使用基于 IP 的身份验证时,UM 服务器将验证是否允许连接该 IP 地址。在 IP 网关或 IP PBX 上配置该 IP 地址。
IP 网关和 IP PBX 支持使用 Mutual TLS 对 SIP 通信进行加密。成功导入和导出所需的受信任证书后,IP 网关或 IP PBX 会向 UM 服务器请求证书,然后再向 IP 网关或 IP PBX 请求证书。通过在 IP 网关或 IP PBX 与 UM 服务器之间交换受信任证书,可以使 IP 网关或 IP PBX 与 UM 服务器能够使用 Mutual TLS 通过加密连接进行通信。
下表提供了 UM 服务器与其他服务器之间的数据路径的端口、身份验证和加密的有关信息。
统一消息服务器的数据路径
|
数据路径 |
所需端口 |
默认身份验证 |
支持的身份验证 |
是否支持加密? |
默认是否加密? |
|
Active Directory 访问
|
389/TCP/UDP (LDAP)、3268/TCP (LDAP GC)、88/TCP/UDP (Kerberos)、53/TCP/UDP (DNS)、135/TCP (RPC netlogon)hzwlocked
|
Kerberos
|
Kerberos
|
是,使用 Kerberos 加密
|
是
|
|
统一消息电话交互(IP PBX/VoIP 网关)
|
5060/TCP、5065/TCP、5067/TCP(不安全)、5061/TCP、5066/TCP、5068/TCP(安全)、范围为 16000-17000 的动态端口/TCP(控制)、范围为 1024-65535 的动态 UDP 端口/UDP (RTP)
|
按 IP 地址
|
按 IP 地址、MTLS
|
是,使用 SIP/TLS、SRTP
|
否
|
|
统一消息 Web 服务
|
80/TCP、443/TCP (SSL)
|
集成 Windows 身份验证(协商)
|
基本、摘要式、NTLM、协商 (Kerberos)
|
是,使用 SSL
|
是
|
|
统一消息服务器到客户端访问服务器
|
5075, 5076, 5077 (TCP)
|
集成 Windows 身份验证(协商)
|
基本、摘要式、NTLM、协商 (Kerberos)
|
是,使用 SSL
|
是
|
|
统一消息服务器到客户端访问服务器(在电话上播放)
|
动态 RPC
|
NTLM/Kerberos
|
NTLM/Kerberos
|
是,使用 RPC 加密
|
是
|
|
统一消息服务器到集线器传输服务器
|
25/TCP (TLS)
|
Kerberos
|
Kerberos
|
是,使用 TLS
|
是
|
|
统一消息服务器到邮箱服务器
|
135/TCP (RPC)
|
NTLM/Kerberos
|
NTLM/Kerberos
|
是,使用 RPC 加密
|
是
|
-
在 Active Directory 中创建 UM IP 网关对象时,必须定义物理 IP 网关或 IP PBX(专用交换机)的 IP 地址。为 UM IP 网关对象定义 IP 地址后,该 IP 地址将添加到允许 UM 服务器与其进行通信的有效 IP 网关或 IP PBX(也称为 SIP 对等端)的列表中。创建 UM IP 网关时,可以将其与 UM 拨号计划相关联。通过将 UM IP 网关与某个拨号计划关联,与该拨号计划关联的统一消息服务器可以使用基于 IP 的身份验证与该 IP网关进行通信。如果尚未创建 UM IP 网关,或 UM IP 网关未配置为使用正确的 IP 地址,则身份验证将失败,UM 服务器不接受来自该 IP 网关的 IP 地址的连接。此外,在实现 Mutual TLS 和 IP 网关或 IP PBX 和 UM 服务器时,必须将 UM IP 网关配置为使用 FQDN。将 UM IP 网关配置为使用 FQDN 后,还必须向 UM IP 网关的 DNS 正向查找区域中添加主机记录。
-
在 Exchange 2010 中,UM 服务器可以在端口 5060/TCP(不安全)或端口 5061/TCP(安全)上通信,也可以将其配置为使用这两个端口进行通信。
(责任编辑:admin)
