Cisco Unified Communications Manager Release 10.0(1) 機能およびサービス ガイド
プロキシ TFTP サーバ
プロキシ TFTP サーバ

プロキシ TFTP サーバ

Cisco Proxy TFTP Server では、大規模展開においてすべてのエンドポイントで設定ファイルをダウンロードでき、Cisco Unified Communications Manager に登録できます。

Cisco Proxy TFTP Server の配置モデル

Cisco Proxy TFTP Server では 2 つの配置モデルをサポートしています。

Cisco Proxy TFTP Server の配置モデル 1

次の図に示す配置モデルの場合、プライマリ TFTP サーバに 8.6 (2) 以降のバージョンの Unified CM がインストールされている必要があります。

図 1. Cisco Proxy TFTP Server の配置モデル 1



2 つのリモート クラスタ:クラスタ A とクラスタ B がプライマリ TFTP サーバに設定されています。 ただし、プライマリ TFTP サーバには任意の数のリモート クラスタを設定できます。 エンドポイントが設定ファイルを求める要求を送信すると必ず、プライマリ TFTP サーバはローカル キャッシュと設定済みリモート クラスタを調べます。 このようにして、プライマリ TFTP サーバ クラスタ(クラスタ A およびクラスタ B)に設定されたエンドポイントは設定ファイルを入手し、Cisco Unified Communications Manager に登録されます。


(注)  


より高いシステム パフォーマンスを得るためには、配置モデル 1 を採用することをお勧めします。 ただし、既存の集中型 TFTP(8.6 (1) 以前)を変更する予定がない場合は、配置モデル 2 を使用できます。


Cisco Proxy TFTP Server の配置モデル 2

次の図に示す配置モデルでは、集中型 Unified CM TFTP サーバがプライマリ TFTP サーバとして動作します。

図 2. Cisco Proxy TFTP Server の配置モデル 2



2 つのリモート クラスタ:クラスタ A とクラスタ B がプライマリ TFTP サーバに設定されています。 ただし、プライマリ TFTP サーバには任意の数のリモート クラスタを設定できます。 2 つのリモート クラスタがクラスタ A に追加されています。 エンドポイントが設定ファイルを求める要求を送信すると必ず、プライマリ TFTP サーバはローカル キャッシュと設定済みリモート クラスタ(クラスタ A およびクラスタ B)を調べます。 クラスタ A はさらに、設定済みリモート クラスタ(クラスタ C およびクラスタ D)を調べます。 このようにして、プライマリ TFTP サーバ クラスタ(クラスタ A、クラスタ B、クラスタ C およびクラスタ D)に設定されたすべてのエンドポイントは設定ファイルを入手でき、Cisco Unified Communications Manager に登録できます。

TFTP の設定

Cisco Proxy TFTP Server は、手動で設定することも、動的に設定することもできます。 この項では、TFTP の設定手順について説明します。

手動での TFTP 設定

以下に、ネットワーク内に Cisco Proxy TFTP Server を手動で設定する手順を説明します。 次の手順を実行する際には、以下も参照してください。

手順
    ステップ 1   新規クラスタを作成します。
    1. Cisco Unified Communications Manager の管理ページで、[拡張機能(Advanced Features)] > [クラスタビュー(Cluster View)] を選択します。
    2. [クラスタID(Cluster Id)] および [完全修飾ドメイン名(Fully Qualified Domain Name)] を入力します。
    ステップ 2   TFTP サービスの [有効(Enable)] チェックボックスをオンにします。
    ステップ 3   [TFTP] ハイパーリンクをクリックします。

    [リモートクラスタの手動上書き設定(Remote Cluster Manually Override Configuration)] ウィンドウが表示されます。

    ステップ 4   Choose [リモートサービスアドレスの手動設定(Manually Configure Remote Service addresses)] を選択します。
    ステップ 5   リモート クラスタの TFTP サーバの IP アドレスを入力します。
    ステップ 6   [保存(Save)] をクリックします。

    動的な TFTP 設定

    次の手順に従って、ネットワーク内に Cisco Proxy TFTP Server を動的に設定します。

    • EMCC を設定します。

    • Cisco Unified Communications Manager の管理ページで、[拡張機能(Advanced Features)] > [クラスタビュー(Cluster View)] > [今するリモートクラスタを更新(Update Remote Cluster Now)] を選択します。

    プロキシ TFTP サーバと集中型 TFTP サーバ

    大規模展開の場合、集中型 TFTP サーバには次の制限があります。

    • プライマリ TFTP サーバが代替 TFTP サーバから設定ファイルを取得するのに時間がかかるため、エンドポイントが設定ファイルをダウンロードできないことがあります。 プライマリ TFTP サーバがファイルを取得するまでに、エンドポイントがタイムアウトになります。 この結果、こうしたエンドポイントは Unified CM に登録されません。

    • 追加できる代替 TFTP サーバは 10 台だけです。

    このような制限は Cisco Proxy TFTP Server には当てはまりません。


    (注)  


    電話機が中央またはプロキシ TFTP サーバからの共通ファイルを要求し、そのファイルが ringlist.xml.sgn のような共有名を持つかロケール ファイルである場合、TFTP サーバは電話機のホーム クラスタからのファイルの代わりに、自身でファイルをローカル コピーして送信します。 ファイルに含まれる TFTP サーバのローカル クラスタの署名が電話機の初期信頼リスト(ITL)と一致しないために署名の検証が失敗すると、電話機はそのファイルを拒否します。 この問題を解決するには、電話機が別のクラスタからの署名を検証する際に、電話機のデフォルトのセキュリティ(SBD)を無効化するか、証明書の一括エクスポート手順を実行して信頼検証システム(TVS)が成功を返すようにします。 証明書の一括エクスポートを実行するためにクラスタ間で IP 電話を移行する場合の証明書の一括エクスポートについては、『Cisco Unified Communications Manager セキュリティ ガイド』の「デフォルトのセキュリティ設定」に記載されている手順を参照してください。 デフォルトのセキュリティを無効化するには、『Cisco Unified Communications Manager セキュリティ ガイド』に記載されている IP Phone の ITL ファイルの更新手順を参照してください。


    プロキシ TFTP サーバの場合の電話機の動作

    リモート クラスタに対して設定される電話機の場合、初回の電話機登録に数分間かかる場合があります。 この遅延は、プロキシ TFTP サーバがリモート クラスタで設定ファイルを検索するために起こります。 遅延は、設定されるエンドポイント数とリモート クラスタ数により異なります。 ただし、2 回目以降の登録には遅延は生じません。

    Cisco Proxy TFTP Server のシステム要件

    Cisco Proxy TFTP Server のシステム要件は、次のとおりです。

    • Cisco Unified Communications Manager(Unified CM)リリース 8.6(2) 以降

    • Cisco TFTP サービス:アクティブ化され、実行中の状態である必要があります。

    Cisco Proxy TFTP Server のインタラクションおよび制限事項

    この項では、Cisco Proxy TFTP Server のインタラクションおよび制限事項の詳細について説明します。

    Cisco Proxy TFTP Server のインタラクション

    Cisco Proxy TFTP Server の TFTP サービスは、リモート クラスタの TFTP サービスと通信します。 [クラスタビュー(Cluster View)] ウィンドウ([拡張機能(Advanced Features)] > [クラスタビュー(Cluster View)])では、あるリモート クラスタに対し、TFTP サービスは最大 3 つの IP アドレスを持つことができ、それらのアドレスが設定されていればプロキシ TFTP サーバはその 3 つの IP アドレスすべてと通信します。

    (注)  


    設定済み IP アドレスで、Cisco TFTP サービスがアクティブ化されており、実行中の状態であることを確認する必要があります。


    電話機が中央またはプロキシ TFTP サーバからの共通ファイルを要求し、そのファイルが ringlist.xml.sgn のような共有名を持つかロケール ファイルである場合、TFTP サーバは電話機のホーム クラスタからのファイルの代わりに、自身でファイルをローカル コピーして送信します。 ファイルに含まれる TFTP サーバのローカル クラスタの署名が電話機の初期信頼リスト(ITL)と一致しないために署名の検証が失敗すると、電話機はそのファイルを拒否します。 この問題を解決するには、電話機が別のクラスタからの署名を検証する際に、電話機のデフォルトのセキュリティ(SBD)を無効化するか、証明書の一括エクスポート手順を実行して信頼検証システム(TVS)が成功を返すようにします。 証明書の一括エクスポートを実行するためにクラスタ間で IP 電話を移行する場合の証明書の一括エクスポートについては、『Cisco Unified Communications Manager セキュリティ ガイド』の「デフォルトのセキュリティ設定」に記載されている手順を参照してください。 デフォルトのセキュリティを無効化するには、『Cisco Unified Communications Manager セキュリティ ガイド』に記載されている IP Phone の ITL ファイルの更新手順を参照してください。

    Cisco Proxy TFTP Server の制限事項

    この項では、Cisco Proxy TFTP Server を他の Cisco Unified Communications Manager の管理コンポーネントとともに使用する場合の制限事項について説明します。

    Cisco Unified Communications Manager 8.0 よりも前のバージョンで、デフォルトのセキュリティ(SBD)のロードが設定された電話機を登録する際の問題

    Cisco Unified Communications Manager 8.0 以降で動作しているリモート クラスタ TFTP サーバの場合、デフォルトのセキュリティ(SBD)のロードが設定された電話機を、プロキシ TFTP サーバを通じて、そのリモート クラスタ Unified Communications Manager に登録できます。 しかし、Cisco Unified Communications Manager 8.0 よりも前のバージョンで動作しているリモート クラスタ TFTP サーバの場合、SBD のロードが設定された電話機を、プロキシ TFTP サーバを通じてリモート クラスタ Unified Communications Manager に登録することはできません。これは、Unified Communications Manager 8.0 よりも前のバージョンでは証明書信頼リスト(ITL)ファイルが利用できないためです。

    この問題を解決するには、次の手順に従います。

    1. エンドポイントをリモート クラスタ Unified Communications Manager に直接接続します。

      1. DHCP オプションを無効にします。

      2. 電話機に TFTP IP アドレスを手動で入力します。

      電話機は必要な SBD ロードを取得し、Unified Communications Manager に登録します。

    2. DHCP オプションを有効にして、電話機を手動でリセットします。

    電話機はプロキシ TFTP を介してリモート クラスタに登録されます。


    (注)  


    この手順は、SBD のロードが設定されている新しい電話機の場合、または電話機を、SBD をサポートする Unified Communications Manager から SBD をサポートしない Unified Communications Manager に移動する予定である場合のみに適用できます。 この手順は、クラスタ内の電話機数が多い場合は適用できません。


    あるリモート クラスタから別のリモート クラスタへデバイスを移動するときの問題

    デバイスをクラスタ間で移動すると、デバイスの信頼状態が失われる場合があります。 セキュアなクラスタの場合は、CTL クライアントを再実行する必要があります。

    次の手順は、さまざまな配置のデバイスに信用状態を復元するための操作を示しています。
    10.0 プロキシ TFTP の配置
    1. プロキシ TFTP から TFTP 証明書をエクスポートします。

    2. その証明書をすべてのスレーブ SBD 認識クラスタにインポートします。

    3. 混合モード 7.x スレーブ クラスタのすべてについて、プロキシ TFTP の TFTP 証明書を CTL ファイルに追加します。

    8.6 および 9.0 プロキシ TFTP の配置
    1. プロキシ TFTP が最新リリース上にない場合は、Unified Communications Manager の最新リリースのクラスタからロケールと呼出音リスト ファイルをエクスポートします。

    2. プロキシ TFTP からすべてのスレーブ SBD 認識クラスタに TFTP 証明書をインポートします。

    3. すべての混合モード 7.x スレーブ クラスタの CTL ファイルに、プロキシ TFTP の TFTP 証明書を追加します。

    8.0 および 8.5 集中型 TFTP の配置
    1. 集中型 TFTP が最新リリース上にない場合は、Unified CM の最新リリースのクラスタからロケールと呼出音リスト ファイルをインポートします。

    2. 集中型 TFTP からすべてのスレーブ SBD 認識クラスタに TFTP 証明書をインポートします。

    3. すべての混合モード 7.x スレーブ クラスタの CTL ファイルに、集中型 TFTP の TFTP 証明書を追加します。

    クラスタ間でエンドポイントを移動する場合のベスト プラクティスについては、次の手順を参照してください。

    8.0+ クラスタから CTL ファイルが含まれたクラスタへのエンドポイントの移動


    (注)  


    2 番目のクラスタが混合モードの場合、最初のクラスタに CTL ファイルが含まれている必要があります。


    1. 必要に応じて、CTL クライアントを(目的のクラスタ セキュリティ モードで)実行します。

    2. 両方のクラスタのエンドポイントで信頼済みの USB eToken によって署名された CTL ファイルが 2 つのクラスタに含まれている場合、操作は特に必要ありません。ステップ 4 に進んでください。

    3. 2 番目のクラスタから 1 番目のクラスタに USB eToken を物理的に送り出し、1 番目のクラスタの CTL ファイルに USB eToken を追加します。

    4. DHCP を使用するなどして、1 番目のクラスタのエンドポイントが 2 番目のクラスタをポイントするようにします。

    7.x クラスタから CTL ファイルが含まれた別のクラスタへのエンドポイントの移動

    1. 両方のクラスタで信頼済みの USB eToken によって署名された CTL ファイルが 2 つのクラスタに含まれている場合、操作は特に必要ありません。ステップ 3 に進んでください。

    2. 2 番目のクラスタから 1 番目のクラスタに USB eToken を物理的に送り出し、1 番目のクラスタの CTL ファイルに USB eToken を追加します。

    3. DHCP を使用するなどして、1 番目のクラスタのエンドポイントが 2 番目のクラスタをポイントするようにします。

    CTL ファイルが含まれた 8.0+ クラスタから別のクラスタへのエンドポイントの移動

    1. 両方のクラスタで信頼済みの USB eToken によって署名された CTL ファイルが 2 つのクラスタに含まれている場合、操作は特に必要ありません。

    2. 2 番目のクラスタから 1 番目のクラスタに USB eToken を物理的に送り出し、1 番目のクラスタの CTL ファイルに USB eToken を追加します。

    リモート クラスタのアップグレードの際、電話機の登録にかかる時間

    リモート クラスタをアップグレードするとき、電話機は、Proxy TFTP ローカル キャッシュへダウンロードする必要がある新しいロード ファイルを要求します。 イーサネット ケーブルを電話機に接続し、その後電話機を Unified Communications Manager に設定した場合、電話機の登録におよそ 30 分間かかります。 しかし、Unified Communications Manager に電話機を設定してからイーサネット ケーブルを接続すると、電話機はすぐに登録されます。

    プロキシ TFTP とセキュリティ

    Cisco Unified Communications Manager クラスタ のエンドポイントは、プロキシ TFTP(Dynamic Host Configuration Protocol(DHCP)など)を使用して設定します。 プロキシ TFTP は、エンドポイントのターゲット クラスタを検索することができます。


    (注)  


    シスコでは、残りのクラスタをアップグレードする間最新リリースでプロキシ TFTP を保持すること、および非セキュアのクラスタと混合モードのクラスタを組み合わせることをお勧めします。


    プロキシ TFTP サーバを最新の Unified Communications Manager リリース上に配置する必要はなく、プロキシ TFTP の配置に含まれるクラスタは非セキュアや混合モードにすることができます。

    エンドポイントの MAC アドレスは TFTP GET 要求(たとえば、SEP001956A3A472.cnf.xml.sgn)のファイル名の一部であるため、プロキシ TFTP はエンドポイントのターゲット クラスタを検索できます。 プロキシ TFTP は次の方法でターゲットを検出します。

    1. プロキシ TFTP は、要求されたファイルを制御しているすべてのクラスタのポーリングを自身のデータベースから開始して実行します。

    2. これによって、エンドポイントが設定されたクラスタはファイルを返します。

    3. ロケールおよび呼出音リスト ファイルの要求には、MAC アドレスは含まれていません。したがって、プロキシ TFTP はこれらのファイルをコピーして返します。


      (注)  


      ロケールおよび呼出音リスト ファイルは、Unified Communications Manager リリースにおいて下位互換性があります。


    [デフォルトのセキュリティ(Security-by-Default)](SDB)が Unified Communications Manager 用に導入された際、プロキシ TFTP(および一般の TFTP サーバ)は署名された要求および署名されない要求の両方として機能していました。

    エンドポイントのホーム クラスタが ITL ファイル要求を受け入れない場合、エンドポイントはプロキシ TFTP が機能するデフォルト ITL ファイルを要求します。 エンドポイントがホーム クラスタから設定ファイルを受け入れると、エンドポイントはホーム クラスタではなくプロキシ TFTP からの ITL ファイルを持つため、署名を検証することができません。

    この問題を解決するために、デフォルト ITL ファイルを要求されると TFTP サービスは、「ファイルが見つかりません(file not found)」というメッセージを返します。

    10.0(1) Proxy TFTP は、次のステップを実行してファイルに署名し、そのファイルをエンドポイントに提供します。

    • 最新リリースの配置に含まれるクラスタを自動的に検出します。

    • クラスタからロケールおよび呼出音リスト ファイルを入手します。

    • ロケールまたは呼出音リスト ファイルの署名を削除します。

    • ファイルを要求しているエンドポイントにファイルを提供する前に、独自の TFTP 秘密キーを使用してファイルに署名します。

    Cisco Proxy TFTP Server のインストールとアクティブ化

    Cisco Unified Communications Manager のインストール後、必要な設定作業を実行すると、ネットワークで Cisco Proxy TFTP Server 機能をサポートできます。 実行する必要がある設定作業については、TFTP の設定を参照してください。

    リモート クラスタの設定

    Cisco Unified Communications Manager の管理ページで、[拡張機能(Advanced Features)] > [クラスタビュー(Cluster View)] メニュー パスを使用してリモート クラスタを設定します。

    リモート クラスタの検索に関するヒント

    検索操作を実行すると、すでに追加されているリモート クラスタだけが検索されます。 検索操作を実行しても、自動的に企業に所属しているクラスタは検索されません。

    GUI の使用方法

    Cisco Unified Communications Manager 管理ページのグラフィカル ユーザ インターフェイス(GUI)を使用してレコードを検索、削除、設定、またはコピーする方法については、『Cisco Unified Communications Manager アドミニストレーション ガイド』の「Cisco unified Communications Manager の管理アプリケーションのナビゲート」およびそのサブセクションを参照してください。GUI の使用方法とボタンおよびアイコンの機能の詳細が説明されています。

    設定項目の表

    次の表で、[クラスタビュー(Cluster View)] ウィンドウ([拡張機能(Advanced Features)] > [クラスタビュー(Cluster View)])で設定する、リモート クラスタの設定項目について説明します。

    表 1 リモート クラスタの設定

    フィールド

    説明

    [リモートクラスタ情報(Remote Cluster Information)]

    [クラスタID(Cluster Id)]

    リモート クラスタのクラスタ ID を入力します。

    有効な値は、英数字、ピリオド(.)、ハイフン(-)です。

    [説明(Description)]

    リモート クラスタの説明を入力します。

    このフィールドには、最大 128 文字を入力できます。 引用符(")、右山カッコ(>)、左山カッコ(<)、バックスラッシュ(\)、ダッシュ(-)、アンパサンド(&)、およびパーセント記号(%)を除く任意の文字を使用できます。

    [完全修飾名(Fully Qualified Name)]

    リモート クラスタ/IP アドレスの完全修飾名を入力します。

    このフィールドには最大 50 文字を入力でき、使用できる文字は英数字(a ~ z、A ~ Z、0 ~ 9)、ピリオド(.)、ダッシュ(-)、アスタリスク(*)、およびスペース( )です。

    [リモートクラスタサービスの情報(Remote Cluster Service Information)]

    [EMCC]

    EMCC サービスの場合、このサービスの設定の詳細が次のカラム ヘッダーに表示されます。

    • [有効(Enabled)]:EMCC サービスが有効な場合は、このチェックボックスがオンになります。

    • [サービス(Service)]:このエントリは EMCC サービスです。

    • [リモートがアクティブ(Remote Activated)]:有効な値は [True] または [False] です。

    • [アドレス1(Address 1)]:このカラムには、このサービスの最初のアドレスが表示されます。

    • [アドレス2(Address 2)]:このカラムには、このサービスの 2 番目のアドレスが表示されます。

    • [アドレス3(Address 3)]:このカラムには、このサービスの 3 番目のアドレスが表示されます。

    [PSTNアクセス(PSTN Access)]

    PSTN アクセスの場合、このサービスの設定の詳細が次のカラム ヘッダーに表示されます。

    • [有効(Enabled)]:PSTN アクセスが有効な場合は、このチェックボックスがオンになります。

    • [サービス(Service)]:このエントリは PSTN アクセスです。

    • [リモートがアクティブ(Remote Activated)]:有効な値は [True] または [False] です。

    • [アドレス1(Address 1)]:このカラムには、このサービスの最初のアドレスが表示されます。

    • [アドレス2(Address 2)]:このカラムには、このサービスの 2 番目のアドレスが表示されます。

    • [アドレス3(Address 3)]:このカラムには、このサービスの 3 番目のアドレスが表示されます。

    [RSVPエージェント(RSVP Agent)]

    RSVP エージェントの場合、このサービスの設定の詳細が次のカラム ヘッダーに表示されます。

    • [有効(Enabled)]:RSVP エージェントが有効な場合は、このチェックボックスがオンになります。

    • [サービス(Service)]:このエントリは RSVP エージェントです。

    • [リモートがアクティブ(Remote Activated)]:有効な値は [True] または [False] です。

    • [アドレス1(Address 1)]:このカラムには、このサービスの最初のアドレスが表示されます。

    • [アドレス2(Address 2)]:このカラムには、このサービスの 2 番目のアドレスが表示されます。

    • [アドレス3(Address 3)]:このカラムには、このサービスの 3 番目のアドレスが表示されます。

    TFTP

    TFTP サービスの場合、このサービスの設定の詳細が次のカラム ヘッダーに表示されます。

    • [有効(Enabled)]:TFTP サービスが有効な場合は、このチェックボックスがオンになります。

    • [サービス(Service)]:このエントリは EMCC サービスです。

    • [リモートがアクティブ(Remote Activated)]:有効な値は [True] または [False] です。

      (注)     

      リモート IP アドレスが手動で、または動的に設定されている場合は、[リモートがアクティブ(Remote Activated)] カラムは必ず [True] に設定されます。

    • [アドレス1(Address 1)]:このカラムには、このサービスの最初のアドレスが表示されます。

      (注)     

      Cisco Unified Communications Manager 8.6 (1) から Cisco Unified Communications Manager 8.6 (2) 以降にアップグレードする場合、アドレス 1 はシステムにより、自動的に更新されます。 ただし、DNS 検索失敗など、何らかの理由でこのフィールドがアップグレード後に空白である場合は、TFTP サービスの適切な IP アドレスを使用して手動で更新する必要があります。

    • [アドレス2(Address 2)]:このカラムには、このサービスの 2 番目のアドレスが表示されます。

    • [アドレス3(Address 3)]:このカラムには、このサービスの 3 番目のアドレスが表示されます。

    [すべてのサービスを有効化(Enabled All Services)]

    すべてのサービス(EMCC、PSTN アクセス、および RSVP エージェント)を有効にするには、このボタンをクリックします。

    [すべてのサービスを無効化(Disabled All Services)]

    すべてのサービス(EMCC、PSTN アクセス、および RSVP エージェント)を無効にするには、このボタンをクリックします。

    [リモートクラスタを今すぐ更新(Update Remote Cluster Now)]

    リモート クラスタをすぐに更新するには、このボタンをクリックします。

    リモートクラスタの手動上書き設定

    次の表に、[リモートクラスタの手動上書き設定(Remote Cluster Manually Override Configuration)]([拡張機能(Advanced Features)] > [クラスタビュー(Cluster View)] > [TFTP])で設定する、リモート クラスタ設定項目の説明を示します。

    フィールド

    説明

    [自動判別されたリモートサーバアドレスを使用(Use automatically determined remote server addresses)]

    自動判別されたリモート サーバ アドレスを使用するには、このオプションを選択します。

    [リモートサーバアドレスを手動で設定(Manually configure remote server addresses)]

    リモート サーバ アドレスを手動で設定するには、このオプションを使用します。

    [アドレス1(Address 1)]

    TFTP サービスの最初のアドレスを入力します。

    [アドレス2(Address 2)]

    TFTP サービスの 2 番目のアドレスを入力します。

    [アドレス3(Address 3)]

    TFTP サービスの 3 番目のアドレスを入力します。