Cisco Unified Communications Manager の IM and Presence サービスのパーティション イントラドメイン フェデレーション、リリース 9.0(1)
Microsoft Live Communications Server for Partitioned Intradomain Federation の設定
Microsoft Live Communications Server for Partitioned Intradomain Federation の設定
発行日;2012/12/13   |   ドキュメントご利用ガイド   |   ダウンロード ;   この章 pdf   ,   ドキュメント全体 pdf    |   フィードバック

Microsoft Live Communications Server for Partitioned Intradomain Federation の設定

LCS サーバでポート 5060 を有効にする

IM and Presence と Microsoft Live Communications Server(LCS)との間の SIP トラフィックに暗号化されていない TCP 接続を使用したい場合は、LCS が TCP SIP ポート 5060 でリッスンするように設定する必要があります。 次の手順は、LCS サーバ上でポート 5060 を有効にする方法について説明します。


(注)  


  • Standard Edition の場合、すべての Standard Edition サーバでこの手順を実行する必要があります。
  • Enterprise Edition の場合、すべてのフロントエンド サーバでこの手順を実行する必要があります。

手順
    ステップ 1   [スタート(Start)] > [すべてのプログラム(Programs)] > [管理ツール(Administrative Tools)] > [Live Communications Server 2005] を選択します。
    ステップ 2   Standard Edition サーバまたは Enterprise Edition フロントエンド サーバの FQDN を右クリックし、[プロパティ(Properties)] をクリックします。
    ステップ 3   [全般(General)] タブをクリックします。
    ステップ 4   [接続(Connections)] にポート 5060 が記載されていない場合は、[追加(Add)] を選択します。
    ステップ 5   [すべての利用可能な IP アドレス(All available IP Addresses)] を選択します。
    ステップ 6   [トランスポート(Transport)] 値に TCP を選択します。
    ステップ 7   [ポート(Port)] 値に 5060 を選択し、[OK] を選択して [接続の追加(Add Connection)] ウィンドウを閉じます。 これで、ポート 5060 が [接続(Connections)] リストに記載されているはずです。
    ステップ 8   [OK] を選択して [プロパティ(Properties)] ウィンドウを閉じます。

    次の作業

    LCS スタティック ルートが IM and Presence をポイントするように設定

    LCS スタティック ルートが IM and Presence をポイントするように設定

    LCS が IM and Presence に要求をルーティングできるようにするには、LCS サーバ上でスタティック ルートを設定する必要があります。 スタティック ルートは IM and Presence をポイントします。 次の手順は、必要なスタティック ルートを設定する方法を説明します。


    (注)  


    • Standard Edition の場合、すべての Standard Edition サーバでこの手順を実行する必要があります。
    • Enterprise Edition の場合、すべてのプールでこの手順を実行する必要があります。

    手順
      ステップ 1   [スタート(Start)] > [すべてのプログラム(Programs)] > [管理ツール(Administrative Tools)] > [Live Communications Server 2005] を選択します。
      ステップ 2   必要に応じて、Enterprise Edition のプール名または Standard Edition のサーバ名を右クリックします。
      ステップ 3   [プロパティ(Properties)] を選択します。
      ステップ 4   [ルーティング(Routing)] タブを選択し、[追加(Add)] を選択します。
      ステップ 5   [ユーザ値(User value)] に *(アスタリスク)を入力します。
      ステップ 6   たとえば、foo.com のように、IM and Presence サーバのドメインを入力します。
      ステップ 7   [電話の URI(Phone URI)] チェックボックスがオフになっていることを確認します。
      ステップ 8   FQDN を入力する場合は、[ネットワーク アドレス(Network Address)] を選択し、IM and Presence サーバの FQDN を入力します。 たとえば、cup1.foo.com などです。
      ステップ 9   IP アドレスを入力する場合は、[IP アドレス(IP Address)] を選択し、IM and Presence サーバの IP アドレスを入力します。 たとえば、10.x.x.x などです。
      ステップ 10   [トランスポート(Transport)] 値に TCP を選択します。
      ステップ 11   [ポート(Port)] 値に 5060 と入力します。
      ステップ 12   [要求 URI 内のホストを置き換える(Replace host in request URI)] チェックボックスがオフになっているのを確認し、[OK] を選択します。 新しいスタティック ルートがルーティング リストに表示されるはずです。
      ステップ 13   [OK] を選択して [プロパティ(Properties)] ウィンドウを閉じます。

      次の作業

      LCS で IM and Presence 用のホスト認証を追加

      LCS で IM and Presence 用のホスト認証を追加

      LCS が許可を求められることなく SIP 要求を IM and Presence から受け入れられるようにするには、IM and Presence サーバごとに LCS でホスト認証のエントリを設定する必要があります。

      LCS と IM and Presence との間の TLS 暗号化を設定するのであれば、次のように、IM and Presence サーバごとに 2 つのホスト認証エントリを追加する必要があります。

      • 最初のエントリには、IM and Presence サーバの FQDN が含まれている必要があります。
      • 2 つ目のエントリには、IM and Presence サーバの IP アドレスが含まれている必要があります。

      TLS 暗号化を設定しない場合は、IM and Presence サーバごとに 1 つのホスト認証エントリのみを追加します。 このホスト認証エントリには、IM and Presence サーバの IP アドレスが含まれている必要があります。

      次の手順では、必要なホスト認証エントリを追加する方法について説明します。


      (注)  


      • Standard Edition の場合、すべての Standard Edition サーバでこの手順を実行する必要があります。
      • Enterprise Edition の場合、すべてのプールでこの手順を実行する必要があります。

      手順
        ステップ 1   [スタート(Start)] > [すべてのプログラム(Programs)] > [管理ツール(Administrative Tools)] > [Live Communications Server 2005] を選択します。
        ステップ 2   必要に応じて、Enterprise Edition のプール名または Standard Edition のサーバ名を右クリックします。
        ステップ 3   [プロパティ(Properties)] を選択します。
        ステップ 4   [ホストの承認(Host Authorization)] タブを選択して、[追加(Add)] を選択します。
        ステップ 5   FQDN を入力する場合は、[ネットワーク アドレス(Network Address)] を選択し、IM and Presence サーバの FQDN を入力します。 たとえば、cup1.foo.com などです。
        ステップ 6   IP アドレスを入力する場合は、[IP アドレス(IP Address)] を選択し、IM and Presence サーバの IP アドレスを入力します。 たとえば、10.x.x.x などです。
        ステップ 7   [送信のみ(Outbound Only)] チェックボックスがオフになっていることを確認します。
        ステップ 8   [サーバとして帯域を制限する(Throttle as Server)] チェックボックスをオンにします。
        ステップ 9   [認証済みとして扱う(Treat as Authenticated)] をオンにします。
        ステップ 10   [OK] をクリックして、[承認済みホストの追加(Add Authorized Host)] ウィンドウを閉じます。
        ステップ 11   IM and Presence サーバごとに手順 4 ~ 10 を繰り返します。
        ステップ 12   すべてのホスト認証エントリを入力したら、[OK] を選択して [プロパティ(Properties)] ウィンドウを閉じます。

        次の作業

        LCS サーバでのサービスの再起動

        LCS サーバでのサービスの再起動

        LCS ですべての設定手順を完了したら、LCS サービスを再起動し、設定が有効になるようにします。


        (注)  


        • この手順は、あらかじめスケジュールされたメンテナンスの時間帯に実施することをお勧めします。
        • Standard Edition の場合、すべての Standard Edition サーバでこの手順を実行する必要があります。
        • Enterprise Edition の場合、すべてのフロントエンド サーバでこの手順を実行する必要があります。

        手順
          ステップ 1   [スタート(Start)] > [すべてのプログラム(Programs)] > [管理ツール(Administrative Tools)] > [Live Communications Server 2005] を選択します。
          ステップ 2   Standard Edition サーバまたは Enterprise Edition フロントエンド サーバの FQDN を右クリックし、[停止(Stop)] をクリックします。
          ステップ 3   サービスが停止したら、Standard Edition サーバまたは Enterprise Edition フロントエンド サーバの FQDN を右クリックし、[スタート(Start)] をクリックします。

          TLS 暗号化の設定

          IM and Presence と LCS との間で TLS 暗号化を設定するには、次の手順を完了する必要があります。

          TLS 設定が完了したら、LCS サーバでサービスを再起動する必要があります。LCS サーバでのサービスの再起動を参照してください。

          連邦情報処理標準コンプライアンスを LCS で有効にする

          IM and Presence と LCS との間で TLS 暗号化をサポートするには、LCS サーバ上で TLSv1 を有効にする必要があります。 TLSv1 は連邦情報処理標準(FIPS)コンプライアンスの一環として Windows サーバに組み込まれています。 次の手順では、FIPS コンプライアンスを有効にする方法について説明しています。


          (注)  


          • Standard Edition の場合、すべての Standard Edition サーバでこの手順を実行する必要があります。
          • Enterprise Edition の場合、すべてのフロントエンド サーバでこの手順を実行する必要があります。

          手順
            ステップ 1   LCS サーバで、[スタート(Start)] > [すべてのプログラム(Programs)] > [管理ツール(Administrative Tools)] > [ローカル セキュリティ ポリシー(Local Security Policy)] を選択します。
            ステップ 2   コンソール ツリーから、[ローカル ポリシー(Local Policies)] を選択します。
            ステップ 3   [セキュリティ オプション(Security Options)] を選択します。
            ステップ 4   [システム暗号化:暗号化、ハッシュ、署名のための FIPS 準拠アルゴリズムを使う(System Cryptography: Use FIPS Compliant algorithms for encryption, hashing and signing)] をダブルクリックします。
            ステップ 5   セキュリティ設定を有効にします。
            ステップ 6   [OK] を選択します。
            ステップ 7   [ローカル セキュリティの設定(Local Security Setting)] ウィンドウを閉じます。

            次の作業

            LCS 上での相互 TLS 認証の設定

            LCS 上での相互 TLS 認証の設定

            IM and Presence と LCS との間で TLS 暗号化を設定するには、LCS サーバ上で相互 TLS 認証用のポート 5061 を設定する必要があります。 次の手順では、相互 TLS 認証用にポート 5061 を設定する方法について説明します。


            (注)  


            • Standard Edition の場合、すべての Standard Edition サーバでこの手順を実行する必要があります。
            • Enterprise Edition の場合、すべてのフロントエンド サーバでこの手順を実行する必要があります。

            手順
              ステップ 1   [スタート(Start)] > [すべてのプログラム(Programs)] > [管理ツール(Administrative Tools)] > [Live Communications Server 2005] を選択します。
              ステップ 2   Standard Edition サーバまたは Enterprise フロントエンド サーバの FQDN を右クリックし、[プロパティ(Properties)] をクリックします。
              ステップ 3   [全般(General)] タブを選択します。
              ステップ 4   ポート 5061 に関連付いたトランスポートが [相互 TLS(Mutual TLS)] の場合は、手順 8 に進みます。
              ステップ 5   ポート 5061 に関連付いたトランスポートが [相互 TLS(Mutual TLS)] でない場合は、[編集(Edit)] を選択します。
              ステップ 6   [リモート サーバの認証(相互 TLS)(Authenticate remote server (Mutual TLS))] をオンにします。
              ステップ 7   [OK] をクリックして、[接続の編集(Edit Connection)] ウィンドウを閉じます。 ポート 5061 に関連付いたトランスポートが [相互 TLS(Mutual TLS)] になります。
              ステップ 8   [OK] を選択して [プロパティ(Properties)] ウィンドウを閉じます。

              次の作業

              LCS への認証局のルート証明書のインストール

              LCS への認証局のルート証明書のインストール

              IM and Presence と LCS との間の TLS 暗号化をサポートするには、LCS サーバごとに署名付きセキュリティ証明書が存在する必要があります。 この署名付き証明書は、証明書に署名した認証局(CA)のルート証明書とともに、LCS サーバごとにインストールする必要があります。

              シスコは、LCS および IM and Presence サーバが同じ CA を共有するように推奨します。 そうしないと、IM and Presence の証明書に署名した CA も LCS サーバごとにインストールする必要があります。

              一般的に、LCS の CA ルート証明書は、LCS サーバごとにあらかじめインストールされています。 したがって、LCS と IM and Presence とが同じ CA を共有する場合、ルート証明書をインストールする必要はありません。 ただし、ルート証明書が必要な場合は、次の詳細を参照してください。

              Microsoft Certificate Authority を使用している場合、Microsoft Certificate Authority から LCS へのルート証明書のインストールについて、『Interdomain Federation for IM and Presence Service on Cisco Unified Communications Manager』で説明されている次の手順を参照してください。

              • CA 証明書チェーンのダウンロード
              • CA 証明書チェーンのインストール

              別の CA を使用する場合は、次の手順が LCS サーバにルート証明書をインストールするための一般的な手順です。 CA からルート証明書をダウンロードする手順は、選択した CA によって異なります。

              はじめる前に

              ルート証明書または署名チェーンを CA からダウンロードし、LCS サーバのハードディスクに保存します。

              手順
                ステップ 1   LCS サーバで、[スタート(Start)] > [ファイル名を指定して実行(Run)] を選択します。
                ステップ 2   mmc と入力し、[OK] を選択します。
                ステップ 3   [ファイル(File)] メニューで、[スナップインの追加と削除(Add/Remove Snap-in)] を選択します。
                ステップ 4   [スナップインの追加と削除(Add/Remove Snap-In)] ダイアログボックスで、[追加(Add)] を選択します。
                ステップ 5   [利用できるスタンドアロン スナップイン(Available Standalone Snap-ins)] リストで、[証明書(Certificates)] を選択し、[追加(Add)] を選択します。
                ステップ 6   [コンピュータ アカウント(Computer Account)] を選択し、[次へ(Next)] を選択します。
                ステップ 7   [コンピュータの選択(Select Computer)] ダイアログ ボックスで、[<ローカル コンピュータ>(このコンソールを実行しているコンピュータ)(Local Computer (the computer this console is running on))] チェックボックスをオンにし、[終了(Finish)] を選択します。
                ステップ 8   [閉じる(Close)] を選択し、続いて [OK] を選択します。
                ステップ 9   [証明書(Certificates)] コンソールの左側のペインで、[証明書(ローカル コンピュータ)(Certificates (Local Computer))] を展開します。
                ステップ 10   [信頼されたルート証明機関(Trusted Root Certification Authorities)] を展開します。
                ステップ 11   [証明書(Certificates)] を右クリックし、[すべてのタスク(All Tasks)] を選択します。
                ステップ 12   [インポート(Import)] を選択します。
                ステップ 13   インポート ウィザードで [次へ(Next)] を選択します。
                ステップ 14   [参照(Browse)] を選択して、ルート証明書または証明書チェーンを保存した場所に移動します。
                ステップ 15   ファイルを選択し、[開く(Open)] を選択します。
                ステップ 16   [次へ(Next)] を選択します。
                ステップ 17   [証明書をすべて次のストアに配置する(Place all certificates in the following store)] というデフォルト値のままにして、[証明書ストア(Certificate store)] の下に [信頼されたルート証明機関(Trusted Root Certification Authorities)] が表示されていることを確認します。
                ステップ 18   [次へ(Next)] を選択し、続いて [終了(Finish)] を選択します。
                ステップ 19   他の CA について、必要に応じて手順 11 ~ 18 を繰り返します。


                (注)  


                『Interdomain Federation for IM and Presence Service on Cisco Unified Communications Manager』ドキュメントには、Access Edge Server について記載されています。 パーティション化されたイントラドメイン フェデレーションでは、Access Edge Server への参照を LCS Standard Edition サーバまたは Enterprise Edition フロントエンド サーバと交換できます。


                次の作業

                既存の LCS 署名付き証明書の検証

                既存の LCS 署名付き証明書の検証

                IM and Presence と LCS との間の TLS 暗号化をサポートするには、LCS サーバごとにクライアント認証をサポートする署名付きセキュリティ証明書が存在する必要があります。 署名付き証明書がすでに LCS サーバにインストールされている場合、次の手順では、既存の署名付き証明書がクライアント認証をサポートしているかどうかを確認する方法について説明します。


                (注)  


                • Standard Edition の場合、すべての Standard Edition サーバでこの手順を実行する必要があります。
                • Enterprise Edition の場合、すべてのフロントエンド サーバでこの手順を実行する必要があります。

                手順
                  ステップ 1   LCS サーバで、[スタート(Start)] > [ファイル名を指定して実行(Run)] を選択します。
                  ステップ 2   mmc と入力し、[OK] を選択します。
                  ステップ 3   [ファイル(File)] メニューで、[スナップインの追加と削除(Add/Remove Snap-in)] を選択します。
                  ステップ 4   [スナップインの追加と削除(Add/Remove Snap-In)] ダイアログボックスで、[追加(Add)] を選択します。
                  ステップ 5   [利用できるスタンドアロン スナップイン(Available Standalone Snap-ins)] リストで、[証明書(Certificates)] を選択し、[追加(Add)] を選択します。
                  ステップ 6   [コンピュータ アカウント(Computer Account)] を選択し、[次へ(Next)] を選択します。
                  ステップ 7   [コンピュータの選択(Select Computer)] ダイアログ ボックスで、[<ローカル コンピュータ>(このコンソールを実行しているコンピュータ)(Local Computer (the computer this console is running on))] チェックボックスをオンにし、[終了(Finish)] を選択します。
                  ステップ 8   [閉じる(Close)] を選択し、続いて [OK] を選択します。
                  ステップ 9   [証明書(Certificates)] コンソールの左側のペインで、[証明書(ローカル コンピュータ)(Certificates (Local Computer))] を展開します。
                  ステップ 10   [個人(Personal)] を展開して、[証明書(Certificates)] を選択します。
                  ステップ 11   右側のペインで、現在 LCS で使用されている署名付き証明書を見つけます。
                  ステップ 12   [クライアント認証(Client Authentication)] が [使用目的(Intended Purposes)] カラムに記載されていることを確認します。

                  次の作業

                  認証局からの署名付き証明書の要求

                  認証局からの署名付き証明書の要求

                  ここでは、次の手順について説明します。


                  (注)  


                  署名付き証明書が LCS サーバに存在している、または既存の証明書がクライアント認証をサポートしていない場合にのみ、このセクションの手順が必要です。


                  IM and Presence と LCS との間の TLS 暗号化をサポートするには、LCS サーバごとにクライアント認証をサポートする署名付きセキュリティ証明書が存在する必要があります。 いずれの LCS サーバにも証明書が存在しない場合は、認証局から新たに署名付き証明書を要求し、その特定の LCS サーバにインストールする方法について、次の手順によって説明されます。

                  LCS から証明書署名要求(CSR)の中で使用される件名共通名(CN)は、LCS の展開に応じて異なります。

                  • Standard Edition サーバの場合、Standard Edition サーバの FQDN を件名 CN として使用します。
                  • Enterprise Edition フロントエンド サーバの場合、フロントエンド サーバが属するプールの FQDN を件名 CN として使用します。

                  スタンドアロン Microsoft 認証局

                  スタンドアロン Microsoft 認証局を使用している場合、『Interdomain Federation for IM and Presence Service on Cisco Unified Communications Manager』に記載の次の手順を参照して、LCS サーバの CA から署名付き証明書を要求します。

                  • CA サーバからの証明書の要求
                  • CA サーバからの証明書のダウンロード

                  (注)  


                  このマニュアルは Access Edge サーバについて説明しています。 パーティション化されたイントラドメイン フェデレーションでは、Access Edge Server への参照を LCS Standard Edition サーバまたは Enterprise Edition フロントエンド サーバと交換できます。


                  企業 Microsoft 認証局

                  企業 Microsoft 認証局を使用している場合、『Interdomain Federation for IM and Presence Service on Cisco Unified Communications Manager』に記載の次の手順を参照して、CA で必要なテンプレートを生成し、LCS サーバの CA から署名付き証明書を要求します。

                  • 企業の認証局を使用した Access Edge のカスタム証明書の作成
                  • サイト サーバの署名付き証明書の要求

                  別の認証局

                  別の CA を使用する場合は、次の手順が LCS サーバに署名付き証明書をインストールするための一般的な手順です。 署名付き証明書を要求する手順は、選択した CA によって異なります。

                  署名付き証明書の LCS サーバへのインストール

                  はじめる前に

                  署名付き証明書を CA からダウンロードし、LCS サーバのハードディスクに保存します。

                  手順
                    ステップ 1   LCS サーバで、[スタート(Start)] > [ファイル名を指定して実行(Run)] を選択します。
                    ステップ 2   mmc と入力し、[OK] を選択します。
                    ステップ 3   [ファイル(File)] メニューで、[スナップインの追加と削除(Add/Remove Snap-in)] を選択します。
                    ステップ 4   [スナップインの追加と削除(Add/Remove Snap-In)] ダイアログボックスで、[追加(Add)] を選択します。
                    ステップ 5   [利用できるスタンドアロン スナップイン(Available Standalone Snap-ins)] リストで、[証明書(Certificates)] を選択し、[追加(Add)] を選択します。
                    ステップ 6   [コンピュータ アカウント(Computer Account)] を選択し、[次へ(Next)] を選択します。
                    ステップ 7   [コンピュータの選択(Select Computer)] ダイアログ ボックスで、[<ローカル コンピュータ>(このコンソールを実行しているコンピュータ)(Local Computer (the computer this console is running on))] チェックボックスをオンにし、[終了(Finish)] を選択します。
                    ステップ 8   [閉じる(Close)] を選択し、続いて [OK] を選択します。
                    ステップ 9   [証明書(Certificates)] コンソールの左側のペインで、[証明書(ローカル コンピュータ)(Certificates (Local Computer))] を展開します。
                    ステップ 10   [個人(Personal)] を展開します。
                    ステップ 11   [証明書(Certificates)] を右クリックし、[すべてのタスク(All Tasks)] を選択します。
                    ステップ 12   [インポート(Import)] を選択します。
                    ステップ 13   インポート ウィザードで [次へ(Next)] を選択します。
                    ステップ 14   [参照(Browse)] を選択して、署名付き証明書を保存した場所に移動します。
                    ステップ 15   ファイルを選択し、[開く(Open)] を選択します。
                    ステップ 16   [次へ(Next)] を選択します。
                    ステップ 17   [証明書をすべて次のストアに配置する(Place all certificates in the following store)] というデフォルト値のままにして、[証明書ストア(Certificate store)] の下に [個人(Personal)] が表示されていることを確認します。
                    ステップ 18   [次へ(Next)] を選択し、続いて [終了(Finish)] を選択します。

                    次の作業

                    TLS ネゴシエーション用にインストールされた証明書の選択

                    TLS ネゴシエーション用にインストールされた証明書の選択

                    どの CA が使用されるかにかかわらず、署名付き証明書が LCS サーバにインストールされたら、次の手順を実行し、IM and Presence との TLS ネゴシエーションで LCS が使用する目的でインストールされた証明書を選択する必要があります。

                    手順
                      ステップ 1   [スタート(Start)] > [すべてのプログラム(Programs)] > [管理ツール(Administrative Tools)] > [Live Communications Server 2005] を選択します。
                      ステップ 2   Standard Edition サーバまたは Enterprise Edition フロントエンド サーバの FQDN を右クリックし、[プロパティ(Properties)] をクリックします。
                      ステップ 3   [セキュリティ(Security)] タブを選択し、[証明書の選択(Select Certificate)] を選択します。
                      ステップ 4   インストール済み証明書のリストから、新たに署名された証明書を選択し、[OK] を選択して [証明書の選択(Select Certificate)] ウィンドウを閉じます。
                      ステップ 5   [OK] を選択して [プロパティ(Properties)] ウィンドウを閉じます。

                      次の作業

                      LCS サーバでのサービスの再起動