Cisco Unified Communications Manager の IM and Presence サービスのパーティション イントラドメイン フェデレーション、リリース 9.0(1)
IM and Presence Server for Partitioned Intradomain Federation の設定
IM and Presence Server for Partitioned Intradomain Federation の設定
発行日;2012/12/13   |   ドキュメントご利用ガイド   |   ダウンロード ;   この章 pdf   ,   ドキュメント全体 pdf    |   フィードバック

IM and Presence Server for Partitioned Intradomain Federation の設定

パーティション イントラドメイン フェデレーション オプションの設定

次の手順では、IM and Presence でパーティション イントラドメイン フェデレーションを有効にし、ルーティング モードを設定する方法について説明します。


(注)  


マルチクラスタを導入している場合は、各クラスタで、この手順を実行する必要があります。 パーティション イントラドメイン フェデレーションを有効にする、またはルーティング モードを選択する場合、これらの設定はクラスタ全体で有効になります。したがって、ある指定のクラスタ内の IM and Presence パブリッシャ ノードでのみ有効にする必要があります。


手順
    ステップ 1   [Cisco Unified CM IM and Presence の管理(Cisco Unified CM IM and Presence Administration)] > [プレゼンス(Presence)] > [設定(Settings)] を選択します。
    ステップ 2   [LCS/OCS とのパーティション イントラドメイン フェデレーションを有効にする(Enable Partitioned Intradomain Federation with LCS/OCS)] をオンにします。
    ステップ 3   警告メッセージを読んで、[OK] を選択します。
    ステップ 4   [パーティション イントラドメイン フェデレーション ルーティング モード(Partitioned Intradomain Federation Routing Mode)] ドロップダウン リストから次のいずれかを選択します。
    • 基本ルーティングモード(Basic Routing Mode)(デフォルト)
    • 高度ルーティングモード(Advanced Routing Mode)
    ステップ 5   [保存(Save)] を選択します。
    ステップ 6   パーティション イントラドメイン フェデレーションを有効にした、またはルーティング モードを選択した後、クラスタのすべての IM and Presence ノードの Cisco CP Router を再起動する必要があります。 Cisco XCP ルータを再起動するには、[Cisco Unified IM and Presence のサービスアビリティ(Cisco Unified IM and Presence Serviceability)] > [ツール(Tools)] > [コントロール センター - ネットワーク サービス(Control Center - Network Services)] を選択します。

    スタティック ルートの設定

    次の手順では、スタティック ルートを設定し、IM and Presence および Microsoft Live Communications Server(LCS)または Microsoft Office Communications Server(OCS)間のパーティション イントラドメイン フェデレーション ルーティングを有効にする方法について説明します。 次に示す LCS/OCS エンティティごとにスタティック ルートを個々に追加する必要があります。

    • OCS/IM and Presence ドメイン
    • 各 LCS/OCS Enterprise Edition フロントエンド サーバまたは Standard Edition サーバ FQDN
    • 各 LCS/OCS プール FQDN(Enterprise Edition のみ)

    OCS/IM and Presence ドメインのスタティック ルートについては、次の点に注意してください。

    • Standard Edition LCS/OCS の場合、スタティック ルートは特定の Standard Edition サーバの IP アドレスをポイントする必要があります。
    • Enterprise Edition LCS/OCS の場合、スタティック ルートは、特定の LCS/OCS Enterprise Edition フロントエンド サーバまたはフロントエンド ロード バランサの IP アドレスをポイントする必要があります(LCS/OCS フロントエンド ロード バランサからルーティングしている場合)。

    Enterprise Edition LCS/OCS プール FQDN スタティック ルートの場合、スタティック ルートは、そのプール内の特定のフロントエンド サーバ、またはそのプールのフロントエンド ロード バランサの IP アドレスをポイントする必要があります(LCS/OCS フロントエンド ロード バランサからルーティングしている場合)。

    IM and Presence は、LCS/OCS フロントエンド ロード バランサとして Cisco Application Control Engine(ACE)を使用してテストされています。 ACE の代わりに他のロード バランサを使用できます。認定されたロード バランサのリストについては次の URL を参照してください。http:/​/​technet.microsoft.com/​en-us/​office/​ocs/​cc843611 ただし、それらのロード バランサを導入し、正しく管理するのはお客様の責任です。


    (注)  


    シスコでは、ACE 以外のロード バランサをポイントするスタティック ルートの設定はサポートしていません。


    ACE が設定されたフロントエンドのロード バランサでないような導入環境では、フロントエンド ロードバランサをバイパスするためのスタティック ルートを設定することをお勧めします。

    ハイ アベイラビリティを目指し、次のバックアップ スタティック ルートを追加で設定できます。

    • OCS/IM and Presence ドメイン
    • 各 LCS/OCS プール FQDN(LCS/OCS フロントエンド ロード バランサをバイパスする場合は Enterprise Edition のみ)

    バックアップ ルートの優先順位は低く、プライマリ スタティック ルートの次のホップ アドレスに到達できない場合にのみ使用されます。


    (注)  


    マルチクラスタを導入している場合は、各クラスタで、この手順を実行する必要があります。 これらの設定はクラスタ全体で有効になります。したがって、ある指定のクラスタ内の IM and Presence パブリッシャ ノードでのみ設定する必要があります。


    手順
      ステップ 1   [Cisco Unified CM IM and Presence の管理(Cisco Unified CM IM and Presence Administration)] > [プレゼンス(Presence)] > [ルーティング(Routing)] > [スタティック ルート(Static Routes)] を選択します。
      ステップ 2   [新規追加(Add New)] を選択します。
      ステップ 3   ドメイン、つまり FQDN が元に戻るよう [宛先パターン(Destination Pattern)] 値を入力します。 次に例を示します。
      • ドメインが domaina.com の場合、[宛先パターン(Destination Pattern)] 値は .com.domaina でなければなりません。
      • FQDN が name1.name2.domain.com の場合、[宛先パターン(Destination Pattern)] 値は .com.domain.name2.name1 でなければなりません。
      ステップ 4   [ルート タイプ(Route Type)] で [ドメイン(domain)] を選択します。
      ステップ 5   [ネクスト ホップ(Next Hop)] フィールドに LCS/OCS サーバの IP アドレスを入力します。
      ステップ 6   [ネクスト ホップ ポート(Next Hop Port)] および [プロトコル タイプ(Protocol Type)] を次のように設定します。
      • TLS 暗号化の場合:
      • [ネクスト ホップ ポート(Next Hop Port)] の番号は 5061
      • [プロトコル タイプ(Protocol Type)] は、TLS
      • TCP の場合:
      • [ネクスト ホップ ポート(Next Hop Port)] の番号は 5060
      • [プロトコル タイプ(Protocol Type)] は、TCP
      ステップ 7   [プライオリティ(Priority)] 値を次のように入力します。
      • プライマリ スタティック ルートについては、デフォルトの [プライオリティ(Priority)] 値 1 を入力します。
      • バックアップ スタティック ルートについては、1 より大きい [プライオリティ(Priority)] 値を入力します (値が小さいほど、スタティック ルートのプライオリティは上がります)。
      ステップ 8   他のすべてのパラメータにはデフォルト値を選択します。
      ステップ 9   [保存(Save)] を選択します。

      着信アクセス コントロール リストの設定

      次の手順では、LCS/OCS サーバが認証されなくても IM and Presence サーバにアクセスできるよう、着信アクセス コントロール リスト(ACL)のエントリを設定する方法について説明します。

      着信 ACL の設定方法は、どの程度厳格に IM and Presence へのアクセスを制御するかにより異なります。

      • IM and Presence へオープン アクセスできるようにする場合は、アドレス パターンが [すべて(All)] のエントリを追加できます。
      • 特定のネットワーク ドメインから IM and Presence へアクセスできるようにする場合は、アドレス パターンが特定のドメインに一致するエントリを追加できます。 たとえば、foo.com 内の任意のサーバからアクセスできるようにするには、アドレス パターンに foo.com を入力します。
      • 特定のサーバから IM and Presence へアクセスできるようにする場合は、アドレス パターンが特定の IP アドレス、またはそれらのサーバの FQDN に一致するエントリを追加できます。 たとえば、特定のサーバ ocs1.foo.com からアクセスできるようにするには、アドレス パターンに ocs1.foo.com を入力します。

      パーティション イントラドメイン フェデレーションについては、IM and Presence へのアクセスを OCS FQDN または IP アドレスのみに制限することにした場合、次に示すエンティティの ACL エントリを追加する必要があります。

      • 各 LCS/OCS Enterprise Edition フロントエンド サーバまたは Standard Edition サーバ
      • 各 LCS/OCS プール FQDN(Enterprise Edition のみ)

      (注)  


      マルチクラスタを導入している場合は、各クラスタで、この手順を実行する必要があります。 これらの設定はクラスタ全体で有効になります。したがって、ある指定のクラスタ内の IM and Presence パブリッシャ ノードでのみ設定する必要があります。


      手順
        ステップ 1   [Cisco Unified CM IM and Presence の管理(Cisco Unified CM IM and Presence Administration)] > [システム(System)] > [セキュリティ(Security)] > [着信 ACL(Incoming ACL)] を選択します。
        ステップ 2   [新規追加(Add New)] を選択します。
        ステップ 3   [説明(Description)] フィールドに、OCS Server など、エントリの説明を入力します。
        ステップ 4   [アドレス パターン(Address Pattern)] フィールドに、次のいずれかを入力します。
        • すべて(All)
        • <domain_name>
        • <IP_Address>
        • <FQDN>
        ステップ 5   [保存(Save)] を選択します。

        TLS 暗号化の設定

        IM and Presence および LCS/OCS 間の TLS 暗号化を設定するには、次の手順を実行する必要があります。


        (注)  


        マルチクラスタ展開をしている場合、クラスタごとにこの手順を実行する必要があります。 これらの設定はクラスタ全体で有効になります。したがって、ある指定のクラスタ内の IM and Presence パブリッシャ ノードでのみ設定する必要があります。


        アプリケーション リスナーの設定

        IM and Presence は、デフォルトでポート 5062 でピア(相互)TLS 認証を行います。 ポート 5061 でピア TLS 認証が行われるようにするには、このデフォルト設定を変更する必要があります。 次の手順は、この変更方法について説明します。

        手順
          ステップ 1   [Cisco Unified CM IM and Presence の管理(Cisco Unified CM IM and Presence Administration)] > [システム(System)] > [アプリケーション リスナー(Application Listeners)] を選択します。
          ステップ 2   アプリケーション リスナーがまだ表示されていない場合、[検索(Find)] を選択して、すべてのアプリケーション リスナーを表示します。
          ステップ 3   [デフォルト Cisco SIP Proxy TLS リスナー - サーバ認証(Default Cisco SIP Proxy TLS Listener – Server Auth)] を選択します。
          ステップ 4   [ポート(Port)] 値を 5063 に変更します。
          ステップ 5   [保存(Save)] を選択し、表示されるポップアップ ウィンドウで [OK] を選択します。
          ステップ 6   [関連リンク(Related Links)] ドロップダウン リストで、[検索/一覧表示に戻る(Back to Find/List)] を選択し、[OK] を選択してアプリケーション リスナー リストに戻ります。
          ステップ 7   [デフォルト Cisco SIP Proxy TLS リスナー - ピア認証(Default Cisco SIP Proxy TLS Listener – Peer Auth)] を選択します。
          ステップ 8   [ポート(Port)] 値を 5061 に変更します。
          ステップ 9   [保存(Save)] を選択し、表示されるポップアップ ウィンドウで [OK] を選択します。
          ステップ 10   [関連リンク(Related Links)] ドロップダウン リストで、[検索/一覧表示に戻る(Back to Find/List)] を選択し、[OK] を選択してアプリケーション リスナー リストに戻ります。
          ステップ 11   [デフォルト Cisco SIP Proxy TLS リスナー - サーバ認証(Default Cisco SIP Proxy TLS Listener – Server Auth)] を選択します。
          ステップ 12   [ポート(Port)] 値を 5062 に変更します。
          ステップ 13   [保存(Save)] を選択します。
          ステップ 14   クラスタのすべての IM and Presence ノードで SIP Proxy サービスを再起動します。 SIP Proxy サービスを再起動するには、[Cisco Unified IM and Presence のサービスアビリティ(Cisco Unified IM and Presence Serviceability)] > [ツール(Tools)] > [コントロール センター - 機能サービス(Control Center – Feature Services)] を選択します。

          次の作業

          TLS ピア サブジェクトの設定

          TLS ピア サブジェクトの設定

          ピア TLS 認証の場合、IM and Presence では、ピアにより提示されるセキュリティ証明書から件名共通名(CN)が [TLS ピア サブジェクト(TLS Peer Subject)] リストに含まれている必要があります。 次の手順では、このリストに件名 CN を追加する手順について説明します。

          パーティション イントラドメイン フェデレーションについては、次に示すエンティティの TLS ピア サブジェクトを追加する必要があります。

          • 各 LCS/OCS Enterprise Edition フロントエンド サーバまたは Standard Edition サーバ
          • 各 LCS/OCS プール完全修飾ドメイン名(FQDN)(Enterprise Edition のみ)
          手順
            ステップ 1   [Cisco Unified CM IM and Presence の管理(Cisco Unified CM IM and Presence Administration)] > [システム(System)] > [セキュリティ(Security)] > [TLS ピア サブジェクト(TLS Peer Subjects)] を選択します。
            ステップ 2   [新規追加(Add New)] を選択します。
            ステップ 3   ピア サブジェクト名については、IM and Presence に表示される証明書の件名 CN を入力します。
            ステップ 4   [説明(Description)] フィールドに、OCS Server など、件名の説明を入力します。
            ステップ 5   [保存(Save)] を選択します。
            ステップ 6   クラスタのすべての IM and Presence ノードで SIP Proxy サービスを再起動します。 SIP Proxy サービスを再起動するには、[Cisco Unified IM and Presence のサービスアビリティ(Cisco Unified IM and Presence Serviceability)] > [ツール(Tools)] > [コントロール センター - 機能サービス(Control Center – Feature Services)] を選択します。

            次の作業

            ピア認証 TLS コンテキストの設定

            ピア認証 TLS コンテキストの設定

            IM and Presence および LCS/OCS 間の TLS 暗号化をサポートするには、IM and Presence のピア認証 TLS コンテキスト設定を変更する必要があります。

            手順
              ステップ 1   [Cisco Unified CM IM and Presence の管理(Cisco Unified CM IM and Presence Administration)] > [システム(System)] > [セキュリティ(Security)] > [TLS コンテキスト設定(TLS Context Configuration)] を選択します。
              ステップ 2   [検索(Find)] を選択します。
              ステップ 3   [デフォルト Cisco SIP Proxy ピア認証 TLS コンテキスト(Default Cisco SIP Proxy Peer Auth TLS Context)] を選択します。
              ステップ 4   [空の TLS フラグメントの無効化(Disable Empty TLS Fragments)] チェックボックスがオフになっていることを確認します。
              ステップ 5   使用可能な TLS 暗号のリストから、すべての暗号を選択します。
              ステップ 6   [右へ移動(Move Right)] 矢印を選択して、選択されたこれらの暗号を [選択された TLS 暗号(Selected TLS Ciphers)] リストに移動します。
              ステップ 7   使用可能な TLS ピア サブジェクトのリストから、TLS ピア サブジェクトの設定で設定した TLS ピア サブジェクトを選択します。
              ステップ 8   [右へ移動(Move Right)] 矢印を選択して、選択された TLS ピア サブジェクトを [選択された TLS ピア サブジェクト(Selected TLS Peer Subjects)] リストに移動します。
              ステップ 9   [保存(Save)] を選択します。
              ステップ 10   クラスタのすべての IM and Presence ノードで SIP Proxy サービスを再起動します。 SIP Proxy サービスを再起動するには、[Cisco Unified IM and Presence のサービスアビリティ(Cisco Unified IM and Presence Serviceability)] > [ツール(Tools)] > [コントロール センター - 機能サービス(Control Center – Feature Services)] を選択します。

              次の作業

              認証局のルート証明書のインポート

              認証局のルート証明書のインポート

              通常、すべての LCS/OCS セキュリティ証明書は認証局(CA)により署名されています。 IM and Presence 証明書も、LCS/OCS で使用されている同じ認証局で署名する必要があります。 IM and Presence が LCS/OCS CA で署名された証明書を使用、その同じ CA で署名された LCS/OCS 証明書を承認するには、CA のルート証明書を IM and Presence 信頼ストアにアップロードする必要があります。

              はじめる前に

              ルート証明書をインポートする前に、認証局から証明書を取得し、それをローカル コンピュータにコピーします。

              手順
                ステップ 1   IM and Presence[Cisco Unified IM and Presence オペレーティング システムの管理(Cisco Unified IM and Presence Operating System Administration)] > [セキュリティ(Security)] > [証明書の管理(Certificate Management)] を選択します。
                ステップ 2   [証明書のアップロード(Upload Certificate)] を選択します。
                ステップ 3   [証明書の名前(Certificate Name)] ドロップダウン リストで、cup-trust を選択します。
                ステップ 4   [ルート証明書(Root Certificate)] フィールドは空白のままにします。
                ステップ 5   [説明(Description)] フィールドに、「認証局のルート証明書」など、証明書の説明を入力します。
                ステップ 6   [参照(Browse)] を選択して、ローカル コンピュータ上のルート証明書を見つけます。
                ステップ 7   [ファイルのアップロード(Upload File)] を選択し、証明書を IM and Presence サーバにアップロードします。
                ステップ 8   クラスタのすべての IM and Presence ノードで SIP Proxy サービスを再起動します。 SIP Proxy サービスを再起動するには、[Cisco Unified IM and Presence のサービスアビリティ(Cisco Unified IM and Presence Serviceability)] > [ツール(Tools)] > [コントロール センター - 機能サービス(Control Center – Feature Services)] を選択します。

                次の作業

                認証局からの署名付き証明書の要求

                認証局からの署名付き証明書の要求

                IM and Presence 証明書は、LCS/OCS で使用されている同じ認証局で署名する必要があります。 CA 署名付き証明書を入手するには、次に示す 2 段階のプロセスを実行する必要があります。

                手順
                  ステップ 1   IM and Presence 証明書署名要求(CSR)を生成します。
                  ステップ 2   CA 署名付き証明書を IM and Presence にアップロードします。

                  次の手順では、IM and Presence から CSR を生成して、ダウンロードする方法について説明します。 IM and Presence CSR は 2048 ビットです。

                  ステップ 3   IM and Presence[Cisco Unified IM and Presence オペレーティング システムの管理(Cisco Unified IM and Presence Operating System Administration)] > [セキュリティ(Security)] > [証明書の管理(Certificate Management)] を選択します。
                  ステップ 4   [CSR の作成(Generate CSR)] を選択します。
                  ステップ 5   [証明書の名前(Certificate Name)] ドロップダウン リストで、cup を選択します。
                  ステップ 6   [CSR の作成(Generate CSR)] を選択します。
                  ステップ 7   [ステータス(Status)] に「成功:証明書署名要求が作成されました(Success: Certificate Signing Request Generated)」と表示されている場合、[閉じる(Close)] を選択します。
                  ステップ 8   [CSR のダウンロード(Download CSR)] を選択します。
                  ステップ 9   [証明書の名前(Certificate Name)] ドロップダウン リストで、cup を選択します。
                  ステップ 10   [CSR のダウンロード(Download CSR)] を選択し、証明書をローカル コンピュータにダウンロードします。
                  ステップ 11   証明書がダウンロードされたら、[閉じる(Close)] を選択します。
                  (注)     

                  CSR をダウンロードしたら、それを使用して選択した CA から署名付き証明書を要求できます。 これは、有名なパブリック CA または内部 CA の場合があります。


                  次の作業

                  認証局からの署名付き証明書のインポート

                  認証局からの署名付き証明書のインポート

                  次の手順では、CA 署名付き証明書を IM and Presence にアップロードする方法について説明します。

                  はじめる前に

                  IM and Presence から CSR を生成し、ダウンロードします。 認証局からの署名付き証明書の要求を参照してください。

                  手順
                    ステップ 1   IM and Presence[Cisco Unified IM and Presence オペレーティング システムの管理(Cisco Unified IM and Presence Operating System Administration)] > [セキュリティ(Security)] > [証明書の管理(Certificate Management)] を選択します。
                    ステップ 2   [証明書のアップロード(Upload Certificate)] を選択します。
                    ステップ 3   [証明書の名前(Certificate Name)] ドロップダウン リストで、cup を選択します。
                    ステップ 4   [ルート証明書(Root Certificate)] フィールドに、認証局からの署名付き証明書の要求でダウンロードしたルート証明書のファイル名を入力します。
                    ステップ 5   [説明(Description)] フィールドに、「CA 署名付き証明書」など、証明書の説明を入力します。
                    ステップ 6   [参照(Browse)] を選択して、ローカル コンピュータ上の証明書ファイルを見つけます。
                    ステップ 7   [ファイルのアップロード(Upload File)] を選択し、証明書を IM and Presence サーバにアップロードします。
                    ステップ 8   証明書をアップロードしたら、クラスタのすべての IM and Presence ノードで SIP Proxy サービスを再起動します。 SIP Proxy サービスを再起動するには、[Cisco Unified IM and Presence のサービスアビリティ(Cisco Unified IM and Presence Serviceability)] > [ツール(Tools)] > [コントロール センター - 機能サービス(Control Center – Feature Services)] を選択します。

                    ルーティング IM and Presence サーバでの機能サービスの非アクティブ化

                    ルーティング IM and Presence サーバが LCS/OCS からの SIP トラフィックを処理できる容量を備えるには、ユーザをルーティング IM and Presence サーバに割り当ててはいけません。 つまり、割り当てユーザをサポートしている多数の IM and Presence 機能サービスをルーティング IM and Presence サーバで非アクティブ化できるということです。 これらのサービスを非アクティブ化すると、ルーティング IM and Presence サーバは、その SIP ルーティングの役割を果たすために処理能力が追加されます。 次の手順では、機能サービスを非アクティブ化する方法について説明します。

                    手順
                      ステップ 1   [Cisco Unified IM and Presence のサービスアビリティ(Cisco Unified IM and Presence Serviceability)] > [ツール(Tools)] > [サービスの開始(Service Activation)] を選択します。
                      ステップ 2   [サーバ(Server)] メニューでルーティング IM and Presence サーバを選択します。
                      ステップ 3   次の機能サービスのチェックボックスをそれぞれオフにします。
                      • Cisco Presence Engine
                      • Cisco XCP Text Conference Manager
                      • Cisco XCP Web Connection Manager
                      • Cisco XCP Connection Manager
                      • Cisco XCP SIP Federation Connection Manager
                      • Cisco XCP XMPP Federation Connection Manager
                      • Cisco XCP Message Archiver
                      • Cisco XCP Directory Service
                      • Cisco XCP Authentication Service
                      ステップ 4   [保存(Save)] を選択します。