Cisco Unified Communications Manager Release 9.0(1) の IM and Presence サービスに対するドメイン間フェデレーション
企業内における Microsoft OCS/Lync とのドメイン間フェデレーションの設定
企業内における Microsoft OCS/Lync とのドメイン間フェデレーションの設定
発行日;2013/01/06   |   ドキュメントご利用ガイド   |   ダウンロード ;   この章 pdf   ,   ドキュメント全体 pdf    |   フィードバック

目次

企業内における Microsoft OCS/Lync とのドメイン間フェデレーションの設定


(注)  


フェデレーションおよびサブドメインに関する詳細については、フェデレーションとサブドメインを参照してください。 ただし、OCS ドメインと IM and Presence ドメインが異なれば、企業内でのフェデレーションを設定することができます。 ドメインが異なればそれらは同等に適用することができるため、サブドメインを使用する必要はありません。


エンタープライズへの Microsoft OCS ドメインの追加

フェデレーテッド ドメイン エントリを設定すると、IM and Presence は自動的にフェデレーテッド ドメイン エントリに着信 ACL を追加します。 この着信 ACL がフェデレーテッド ドメインと関連付けられたことを [IM and Presence の管理(IM and Presence Administration)] で確認できますが、着信 ACL は変更したり削除したりすることはできません。 着信 ACL を削除できるのは、(関連付けられた)フェデレーテッド ドメイン エントリを削除する場合だけです。

手順
    ステップ 1   [Cisco Unified CM IM and Presence の管理(Cisco Unified CM IM and Presence Administration)] > [プレゼンス(Presence)] > [ドメイン間フェデレーション(Inter-Domain Federation)] > [SIP フェデレーション(SIP Federation)] の順に選択します。
    ステップ 2   [新規追加(Add New)] を選択します。
    ステップ 3   [ドメイン名(Domain Name)] フィールドにフェデレーテッド ドメイン名を入力します。
    ステップ 4   [説明(Description)] フィールドにフェデレーテッド ドメインを識別する説明を入力します。
    ステップ 5   [ドメイン間から OCS/Lync(Inter-Domain to OCS/Lync)] を選択します。
    ステップ 6   [ダイレクト フェデレーション(Direct Federation)] をオンにします。
    ステップ 7   [保存(Save)] を選択します。
    ステップ 8   SIP フェデレーテッド ドメインを追加、編集、削除したら、[Cisco Unified IM and Presence のサービスアビリティ(Cisco Unified IM and Presence Serviceability)] で [ツール(Tools)] > [コントロール センタのネットワーク サービス(Control Center - Network Services)] の順に選択して、Cisco XCP ルータを再起動します。 Cisco XCP ルータを再起動すると、IM and Presence 上の XCP サービスもすべて再起動されます。

    Microsoft OCS ドメインとのフェデレーションを行うための TCP によるスタティック ルートの設定

    この項では、IM and Presence と Microsoft OCS 間でダイレクト フェデレーションを行うために、TCP を使用してスタティック ルートを設定する方法について説明します。 Cisco Adaptive Security Appliance(ASA)や Microsoft アクセス エッジは必要ありません。


    注意    


    [ルーティング プロキシの FQDN(Routing Proxy FQDN)] パラメータ値のドメイン部分は、Microsoft OCS ドメインと同じにはできません。 [ルーティング プロキシの FQDN(Routing Proxy FQDN)] パラメータを表示または編集するには、[Cisco Unified CM IM and Presence の管理(Cisco Unified CM IM and Presence Administration)] > [システム(System)] > [サービス パラメータ(Service Parameters)] の順に選択し、[Cisco SIP Proxy Service] を選択します。


    IM and Presence での OCS サーバ用スタティック ルートの設定

    IM and Presence をフェデレートしている Microsoft OCS ドメインと交換するときに TCP を使用するよう IM and Presence を設定するには、IM and Presence で、(Microsoft アクセス エッジという外部エッジでなく)OCS サーバをポイントするスタティック ルートを設定する必要があります。

    次の各 OCS エンティティについて、個別のスタティック ルートを追加する必要があります。

    • OCS/IM and Presence ドメイン
    • すべての OCS Enterprise Edition フロントエンド サーバまたは Standard Edition サーバの FQDN
    • すべての OCS プールの FQDN(Enterprise Edition のみ)

    OCS/IM and Presence ドメインのスタティック ルートは、特定の OCS Enterprise Edition フロントエンド サーバまたは Standard Edition サーバの IP アドレスをポイントする必要があります。 必要な場合は、OCS プールの FQDN のスタティック ルートで、そのプール内のフロントエンド サーバをポイントしてください。

    ハイ アベイラビリティを目的として、次に対し、追加のバックアップ スタティック ルートを設定できます。

    • OCS/IM and Presence ドメイン
    • すべての OCS プールの FQDN(OCS フロントエンド ロード バランサをバイパスしている場合は Enterprise Edition のみ)

    バックアップ ルートは、優先順位が低く、プライマリ スタティック ルートのネクスト ホップ アドレスが到達不可能な場合のみ使用されます。

    手順
      ステップ 1   [Cisco Unified CM IM and Presence の管理(Cisco Unified CM IM and Presence Administration)] > [プレゼンス(Presence)] > [ルーティング(Routing)] > [スタティック ルート(Static Routes)] の順に選択します。
      ステップ 2   [新規追加(Add New)] を選択します。
      ステップ 3   ドメインまたは FQDN が確保されるよう、[宛先パターン(Destination Pattern)] の値を入力します。 次に例を示します。
      • ドメインが domaina.com の場合、宛先パターンの値は .com.domaina である必要があります。
      • FQDN が name1.name2.domain.com の場合、宛先パターンの値は .com.domain.name2.name1 である必要があります。
      ステップ 4   その他のパラメータは次のように入力します。
      1. [ネクスト ホップ(Next Hop)] の値は OCS の FQDN または IP アドレスです。
      2. [ネクスト ホップ ポート(Next Hop Port)] 番号は 5060 です。
      3. [ルート タイプ(Route Type)] の値は domain です。
      4. [プロトコル タイプ(Protocol Type)] は TCP です。
      ステップ 5   [保存(Save)] を選択します。

      次の作業

      OCS でのスタティック ルートの IM and Presence サーバ用設定

      OCS でのスタティック ルートの IM and Presence サーバ用設定

      アクセス エッジ サーバや Cisco Adaptive Security Appliance(ASA)を使わずに IM and Presence から OCS へのダイレクト フェデレーションを行うには、OCS から IM and Presence へのスタティック ルートを設定する必要があります。

      手順
        ステップ 1   OCS で、[スタート(Start)] > [プログラム(Programs)] > [管理ツール(Administrative Tools)] > [Microsoft Office Communicator Server 2007] の順にクリックします。
        ステップ 2   フロント エンド サーバを右クリックします。
        ステップ 3   [プロパティ(Properties)] > [フロント エンドのプロパティ(Front End Properties)] の順に選択します。
        ステップ 4   [ルーティング(Routing)] タブをクリックします。
        ステップ 5   [追加(Add)] をクリックします。
        ステップ 6   IM and Presence サーバのドメインを入力します。例、「cisco.com」
        ステップ 7   [次ホップ(Next Hop] の IP アドレスに IM and Presence の IP を入力します。
        ステップ 8   [トランスポート(Transport)] の値として TCP を選択します。
        ステップ 9   [ポート(Port)] の値として 5060 を入力します。
        ステップ 10   [OK] をクリックします。

        次の作業

        IM and Presence サーバのホスト承認エントリの追加

        IM and Presence サーバのホスト承認エントリの追加

        手順
          ステップ 1   OCS で [ホストの承認(Host Authorization)] タブをクリックします。
          ステップ 2   次のいずれかの手順を実行します。
          1. OCS で IP アドレスによって次ホップ(ネクスト ホップ)のコンピュータを指定するスタティック ルートを設定している場合は、承認されたホストの IP アドレスを入力します。
          2. OCS で FQDN によって次ホップ(ネクスト ホップ)のコンピュータを指定するスタティック ルートを設定している場合は、承認されたホストの FQDN を入力します。
          ステップ 3   [追加(Add)] をクリックします。
          ステップ 4   [IP] を選択します。
          ステップ 5   IM and Presence サーバの IP アドレスを入力します。
          ステップ 6   [サーバとして帯域を制限する(Throttle As Server)] をオンにします。
          ステップ 7   [認証済みとして扱う(Treat as Authenticated)] をオンにします。
          (注)     

          [送信のみ(Outbound Only)] はオンにしないでください。

          ステップ 8   [OK] をクリックします。

          OCS サーバでのポート 5060 の有効化

          手順
            ステップ 1   OCS で、[スタート(Start)] > [プログラム(Programs)] > [管理ツール(Administrative Tools)] > [Microsoft Office Communicator Server 2007] の順に選択します。
            ステップ 2   フロント エンド サーバの FQDN を右クリックします。
            ステップ 3   [プロパティ(Properties)] > [フロント エンドのプロパティ(Front End Properties)] の順に選択し、[全般(General)] タブを選択します。
            ステップ 4   [接続(Connections)] にポート 5060 がリストされていない場合は、[追加(Add)] を選択します。
            ステップ 5   ポート 5060 を次のように設定します。
            1. [IP アドレス値(IP Address Value)] として [すべて(All)] を選択します。
            2. [ポート値(Port Value)] として 5060 を入力します。
            3. [トランスポート値(Transport Value)] として TCP を選択します。
            ステップ 6   [OK] を選択します。

            Microsoft OCS ドメインとのフェデレーションを行うための TLS によるスタティック ルート設定

            手順

            注意事項

            IM and Presence の OCS 用スタティック ルートの設定

            IM and Presence での OCS サーバ用スタティック ルートの設定の手順をガイドとして使用してください。

            IM and Presence のスタティック ルートを設定する場合、プロトコル タイプ TLS を選択し、スタティック ルートがポート 5061 をポイントすることを確認します。

            OCS の IM and Presence 用スタティック ルートの設定

            OCS でのスタティック ルートの IM and Presence サーバ用設定の手順をガイドとして使用してください。

            OCS のスタティック ルートを設定する場合、プロトコル タイプ TLS を選択し、スタティック ルートがポート 5061(デフォルトは 5062)をポイントすることを確認します。

            (注)     

            OCS のスタティック ルートとともに TLS を使用する場合は、IM and Presence サーバの IP アドレスでなく FQDN を指定する必要があります。

            また、IM and Presence では、OCS に対するピア承認リスナー ポートを 5061 に設定する必要もあります。 これを設定するには、[Cisco Unified CM IM and Presence の管理(Cisco Unified CM IM and Presence Administration)] > [システム(System)] > [アプリケーション リスナー(Application Listeners)] の順に選択します。 必ずピア承認リスナー ポートを 5061 にします。 サーバ承認リスナー ポートは 5062 に設定できます。

            IM and Presence FQDN に対するホスト承認エントリの設定

            IM and Presence サーバのホスト承認エントリの追加の手順をガイドとして使用してください。

            OCS での証明書の設定

            • CA ルート証明書および OCS 署名証明書を取得するには、次の手順を(アクセス エッジ サーバにでなく)OCS サーバに実行、適用します。
            • [OCS フロント エンド サーバのプロパティ(OCS Front End Server Properties)] で、ポート 5061 の OCS に対する TLS リスナーが設定されていることを確認します。 (転送には MTLS か TLS を使用できます)。
            • [OCS フロント エンド サーバのプロパティ(OCS Front End Server Properties)] で、[証明書(Certificates)] タブを選択し、[証明書の選択(Select Certificate)] をクリックして、OCS 署名証明書を選択します。

            FIPS(SSLv3 でなく TLSv1)を使用するよう OCS を設定し、CA ルート証明書をインポートします。

            1. OCS でローカル セキュリティ設定を表示します。
            2. コンソール ツリーで、[ローカル ポリシー(Local Polices)] を選択します。
            3. [セキュリティ オプション(Security Options)] を選択します。
            4. [システム暗号化:暗号化、ハッシュ、署名のための FIPS 準拠アルゴリズムを使う(System Cryptography:Use FIPS Compliant algorithms for encryption, hashing and signing)] をダブルクリックします。
            5. セキュリティ設定を有効化します。
            6. [OK] を選択します。
              (注)     

              これを有効化するには、OCS を再起動する必要があります。

            7. IM and Presence 証明書に署名した CA の CA ルート証明書をインポートします。 証明書スナップインを使用して、OCS の信頼ストアに CA ルート証明書をインポートします。

            IM and Presence での証明書の設定

            • IM and Presence に、OCS 証明書に署名した CA のルート証明書をアップロードします。 次の点に注意してください。
              • 証明書は CUP の信頼性証明書としてアップロードします。
              • [ルート証明書(Root Certificate)] フィールドは空白のままにします。
              • IM and Presence に証明書をアップロードするためのガイドとして、自己署名証明書の IM and Presence へのインポートの手順を使用します。
            • CA が IM and Presence の証明書に署名できるよう、IM and Presence に対する CSR を作成します。 証明書に署名できる CA に CSR をアップロードします。
            • CA 署名証明書と CA ルート証明書を取得したら、それらを IM and Presence にアップロードします。 次の点に注意してください。
              • ルート証明書は CUP の信頼性証明書としてアップロードします。
              • IM and Presence の C 署名証明書は CUP の証明書としてアップロードします。 ルート証明書の .pem ファイルはルート証明書として指定します。
            • OCS サーバに IM and Presence の TLS ピア サブジェクトを追加します。 TLS ピア サブジェクトの新規作成の手順に従って、OCS サーバのピア サブジェクトを作成します。 OCS サーバの FQDN を使用します。
            • [選択された TLS ピア サブジェクト(Selected TLS Peer Subjects)] リストに TLS ピアを追加します。 手順選択した TLS ピア サブジェクト リストへの TLS ピアの追加に従って、[選択された TLS ピア サブジェクト(Selected TLS Peer Subjects)] リストに TLS ピアを追加します。 次の点に注意してください。
              • [TLS コンテキスト設定(TLS Context Configuration)] で TLS_RSA_WITH_3DES_EDE_CBC_SHA 暗号が選択されていることを確認します。
              • 必ず空の TLS フラグメントを無効化します。

            エンタープライズ内で Microsoft Lync とのドメイン間フェデレーションを行うためのスタティック ルート設定


            (注)  


            複数の Lync フロント エンド サーバがある場合に、Microsoft Lync とのドメイン間フェデレーションを行うには、IM and Presence と Microsoft Lync の間で TLS を設定する必要があります。


            この手順では、次の設定パラメータを例として使用します。

            • IM and Presence サーバの FQDN(IM and Presence ルーティング ノード):cupserverPub.sip.com

              (注)  


              FQDN が正しい IP アドレスに解決できることを確認します。


            • IM and Presence サーバの IP アドレス(IM and Presence ルーティング ノード):10.53.57.10
            • IM and Presence サーバの TCP ポート:5060

              (注)  


              この TCP ポートの値は、[Cisco Unified CM IM and Presence の管理(Cisco Unified CM IM and Presence Administration)] > [システム(System)] > [アプリケーション リスナー(Application Listener)] > [デフォルトの Cisco SIP プロキシ TCP リスナー(Default Cisco SIP Proxy TCP Listener)] に設定されている TCP ポート値と一致する必要があります。


            • IM and Presence サーバの TLS ポート:5062

              (注)  


              この TLS ポートの値は、[Cisco Unified CM IM and Presence の管理(Cisco Unified CM IM and Presence Administration)] > [システム(System)] > [アプリケーション リスナー(Application Listener)] > [デフォルトの Cisco SIP プロキシ TLS リスナー(Default Cisco SIP Proxy TLS Listener)] - [ピア認証(Peer Auth)] に設定されている TCP ポート値と一致する必要があります。


            • IM and Presence サーバのドメイン:sip.com
            • Lync レジストラ サーバ:lyncserver.lync.net

            エンタープライズ内での Microsoft Lync とのドメイン間フェデレーションを行うためのスタティック ルートの設定の詳細については、http:/​/​technet.microsoft.com/​en-us/​library/​gg558664.aspx を参照してください。

            手順

            手順

            TCP/TLS ルートの定義

            (注)     

            IM and Presence ルーティング ノードへのスタティック ルートのみを作成する必要があります。 ご使用の IM and Presence 導入に複数のクラスタがある場合でも、サブスクライバ ノードやクラスタ間ピア ノードへのスタティック ルートを作成する必要はありません。

            1. Lync Server 管理シェルがインストールされているコンピュータにサインインします。 RTCUniversalServerAdmins グループのメンバか、New-CsStaticRoute コマンドレットを割り当てたロールベース アクセス コントロール(RBAC)ロールとして、サインインする必要があります。
            2. [スタート(Start)] > [すべてのプログラム(All Programs)] > [Microsoft Lync Server 2010] > [Lync Server 管理シェル(Lync Server Management Shell)] の順に選択します。
            3. TLS の場合は、次のコマンドを入力します。
              $tlsRoute = New-CsStaticRoute -TLSRoute 
              -Destination <FQDN of <IM and Presence 
              routing node> -Port <listening port of <
              IM and Presence routing node> 
              -usedefaultcertificate $true -MatchUri 
              <destination domain>
              例: $tlsRoute = New-CsStaticRoute -TLSRoute -Destination cupserverPub.sip.com -Port 5062 -usedefaultcertificate $true -MatchUri sip.com
              (注)     

              MatchUri パラメータでドメインの子ドメインを一致対象にするには、ワイルドカード値を指定できます(例、*.sip.com)。 この値は、sip.com のサフィックスで終わるすべてのドメインを一致対象にします。

              -usedefaultcertificate に false を設定する場合は、TLSCertIssuer パラメータと TLSCertSerialNumber パラメータを指定する必要があります。 これらのパラメータには、それぞれ、スタティック ルートで使用される証明書を発行する認証局(CA)の名前と TLS 証明書のシリアル番号を指定します。 これらのパラメータの詳細については、Lync Server 管理シェルで調べてください。

            4. TCP の場合は、次のコマンドを入力します。
              $tcpRoute = New-CsStaticRoute 
               -TCPRoute -Destination <IP address or FQDN of 
               IM and Presence routing node> 
               -Port <SIP listening port of 
               IM and Presence routing node> 
               -MatchUri <destination domain>
              例: $tcpRoute = New-CsStaticRoute -TCPRoute -Destination 10.53.57.10 -Port 5060 -usedefaultcertificate $true -MatchUri *sip.com

            ルートの保管

            (注)     

            この手順はルーティング ノードの場合のみ必要です。

            1. 新規作成したスタティック ルートを中央管理ストアに保管するには、次のいずれかを実行します。 TLS の場合:
              Set-CsStaticRoutingConfiguration -Route @{Add=$tlsRoute}
              TCP の場合:
              Set-CsStaticRoutingConfiguration -Route @{Add=$tcpRoute}
            2. コマンドが成功したことを確認するには、次を入力します。
              get-CsStaticRoutingConfiguration

            信頼済みアプリケーション サーバ プールの作成

            (注)     

            IM and Presence ルーティング ノードを含むすべての IM and Presence ノードについて、信頼済みアプリケーション サーバ プールを作成する必要があります。

            1. 次のコマンドを入力して、サイト ID を取得します。
              get-cssite
            2. TLS の場合は、次のコマンドを入力します。
              New-CsTrustedApplicationPool -Identity 
               <FQDN of IM and Presence node> 
               [-Registrar <Service ID or FQDN of the next hop>] 
               -Site <Site ID for the site where you want to 
               create the trusted application pool> 
               TreatAsAuthenticated $true -ThrottleAsServer $true
              例:
              New-CsTrustedApplicationPool -Identity 
               cupserverPub.sip.com -Registrar LyncServer.lync.net 
               -Site co1 -TreatAsAuthenticated $true -ThrottleAsServer $true
            3. TCP の場合は、次のコマンドを入力します。
              New-CsTrustedApplicationPool -Identity 
               <IP address of <IM and Presence node> 
               [-Registrar <Service ID or FQDN of the next hop>] 
               -Site <Site ID for the site where you want to 
               create the trusted application pool> 
               TreatAsAuthenticated $true -ThrottleAsServer $true
              例:
              New-CsTrustedApplicationPool -Identity 10.53.57.10 
               -Registrar LyncServer.lync.net -Site co1 
               -TreatAsAuthenticated $true -ThrottleAsServer $true

            作成されたプールへのアプリケーション サーバの追加

            (注)     

            IM and Presence ルーティング ノードを含むすべての IM and Presence ノードについて、作成されたプールにアプリケーション サーバを追加する必要があります。

            1. TLS の場合は、次のコマンドを入力します。
              New-CsTrustedApplication -ApplicationID  
               <application name> <-TrustedApplicationPoolFqdn 
               <FQDN of IM and Presence node> 
               -Port<SIP listening port of IM and Presence 
               node>
              例:
              New-CsTrustedApplication -ApplicationID cupPub1 
               -TrustedApplicationPoolFqdn cupserverPub.sip.com -Port 5062
            2. TCP の場合は、次のコマンドを入力します。
              New-CsTrustedApplication -ApplicationID  
               <application name> <-TrustedApplicationPoolFqdn 
               <IP Address of IM and Presence node> 
               -Port<listening port of IM and Presence 
               node> -EnableTcp
              例:
              New-CsTrustedApplication -ApplicationID cupPub1 
               -TrustedApplicationPoolFqdn 10.53.57.10 -Port 5060 -EnableTcp

            Lync Server リッスン ポートの設定

            1. Lync Server 管理シェルで、次のコマンドを入力して、現在のシステム設定を確認します。
              Get-CSRegistrarConfiguration
            2. 次のコマンドを入力して、Lync Server のリッスン ポートを設定します。
              Set-CsRegistrar registrar:<Lync_server_FQDN> 
               -SipServerTcpPort 5060
            3. 手順 1 の Get コマンドを再入力して、新しいシステム設定を確認します。

            Lync Server のリッスン ポートの設定に使用するパラメータは、次のとおりです。

            • Set-CsRegistrar:Lync Server のポートを設定する内部コマンド。
            • registrar::Lync Server の FQDN。
            • -SipServerTcpPort:Lync Server の SIP リッスン ポート。 デフォルト値は通常 5060 です。

            トポロジの有効化

            1. トポロジを有効化するには、事前に次を実行しておく必要があります。
            2. IM and Presence ルーティング ノードへの TCP/TLS ルートを定義します。
            3. IM and Presence ノードへの新しいスタティック ルートを保管します。
            4. すべての IM and Presence ノードについて、信頼済みアプリケーション サーバ プールを作成します。
            5. すべての IM and Presence ノードについて、作成されたプールにアプリケーション サーバを追加します。
            6. 次のコマンドを入力して、トポロジに加えた変更を実装します。
              Enable-CsTopology

            ゲートウェイの IP アドレスの定義

            (注)     

            この手順は TCP にのみ適用されます。

            1. トポロジ ビルダーがインストールされているコンピュータにサインインします。 Domain Admins グループおよび RTCUniversalServerAdmins グループのメンバとしてサインインする必要があります。
            2. [スタート(Start)] > [すべてのプログラム(All Programs)] > [Microsoft Lync Server 2010] > [Lync Server トポロジ ビルダー(Lync Server Topology Builder)] の順に選択します。
            3. 既存のトポロジをダウンロードするオプションを選択します。
            4. [信頼済みアプリケーション サーバ(Trusted applications servers)] を展開します。
            5. 作成した信頼済みアプリケーション プールを右クリックして、[プロパティの編集(Edit Properties)] を選択します。
            6. [構成データのレプリケーションをこのプールに対して有効化する(Enable replication of configuration data to this pool)] をオフにします。
            7. [サービスの使用を、指定したアドレスに制限する(Limit service usage to selected IP addresses)] を選択して、それを必ず [すべての構成済み IP アドレスを使用する(Use all configured IP addresses)] に設定します。
            8. [プライマリ IP アドレス(Primary IP address)] フィールドに SIP ゲートウェイの IP アドレスを入力します。
            9. 中央管理ストアのトポロジを更新するには、コンソール ツリーで、[Lync Server 2010] を選択し、[操作(Actions)] ペインで、[公開(Publish)] を選択します。