企業内の Microsoft OCS/Lync コンフィギュレーション ドメイン間フェデレーション
企業内の Microsoft OCS/Lync コンフィギュレーション ドメイン間フェデレーション

目次

企業内の Microsoft OCS/Lync コンフィギュレーション ドメイン間フェデレーション

企業内のサーバへのドメイン間フェデレーション


(注)  


次のワークフローの適切な段階で、この章の手順を実行することを確認します。企業内における Microsoft OCS/​Lync との SIP フェデレーションに関する設定ワークフロー 全体のワークフローを実行することも、確認してください。


図 1. 企業内のサーバへのドメイン間フェデレーション



Microsoft サーバおよび IM and Presence サービス ドメインが異なる場合、企業内フェデレーションを設定できます。 ドメインが異なればそれらは同等に適用することができるため、サブドメインを使用する必要はありません。 詳細については、フェデレーションとサブドメインのトピックを参照してください。

エンタープライズ内での Microsoft サーバ ドメインの追加

OCS サーバや Lync サーバ用のフェデレーテッド ドメイン エントリを設定すると、IM and Presence Service はフェデレーテッド ドメイン エントリの着信 ACL を自動的に追加します。 この着信 ACL がフェデレーテッド ドメインと関連付けられたことを [IM and Presence Administration(IM and Presence の管理)] で確認できますが、着信 ACL は変更したり削除したりすることはできません。 着信 ACL を削除できるのは、(関連付けられた)フェデレーテッド ドメイン エントリを削除する場合だけです。

手順
    ステップ 1   Cisco Unified CM IM and Presence Administration のユーザ インターフェイスにログインします。 [Presence(プレゼンス)] > [Inter-Domain Federation(ドメイン間フェデレーション)] > [SIP Federation(SIP フェデレーション)] を選択します。
    ステップ 2   [Add New(新規追加)] をクリックします。
    ステップ 3   [Domain Name(ドメイン名)] フィールドにフェデレーテッド ドメイン名を入力します。
    ステップ 4   [Description(説明)] フィールドにフェデレーテッド ドメインを識別する説明を入力します。
    ステップ 5   [Inter-domain to OCS/Lync(ドメイン間から OCS/Lync] を選択します。
    ステップ 6   [Direct Federation(ダイレクト フェデレーション)] チェックボックスをオンにします。
    ステップ 7   [Save(保存)] をクリックします。
    ステップ 8   SIP フェデレーテッド ドメインを追加、編集、または削除した後、Cisco XCP ルータを再起動します。 Cisco Unified CM IM and Presence Service Serviceability のユーザ インターフェイスにログインします。 [Tools] > [Control Center - Network Services] を選択します。 Cisco XCP ルータを再起動すると、IM and Presence Service のすべての XCP サービスが再起動されます。
    (注)     

    クラスタ内のすべての IM and Presence Service ノードで Cisco XCP ルータを再起動する必要があります。


    Microsoft サーバ用 の IM and Presence Service のスタティック ルートの設定

    IM およびアベイラビリティをフェデレーテッド Microsoft サーバ ドメインと交換するときに TLS を使用する、または OCS ドメインの場合は TCP を使用するように IM and Presence Service を設定するには、Microsoft サーバをポイントし、Microsoft アクセス エッジの外部エッジはポイントしないスタティック ルートを IM and Presence Service に設定する必要があります。

    各 Microsoft サーバ ドメインに個別のスタティック ルートを追加する必要があります。 Microsoft サーバ ドメインのスタティック ルートは、特定の Microsoft サーバの Enterprise Edition フロントエンド サーバまたは Standard Edition サーバの IP アドレスをポイントする必要があります。

    ハイ アベイラビリティを得るために、各 Microsoft サーバ ドメインの追加バックアップ スタティック ルートを設定できます。 バックアップ ルートは、優先順位が低く、プライマリ スタティック ルートのネクスト ホップ アドレスが到達不可能な場合のみ使用されます。

    手順
      ステップ 1   Cisco Unified CM IM and Presence Administration のユーザ インターフェイスにログインします。 [Presence(プレゼンス)] > [Routing(ルーティング)] > [Static Routes(スタティック ルート)] を選択します。
      ステップ 2   [Add New(新規追加)] をクリックします。
      ステップ 3   ドメイン、つまり FQDN が元に戻るよう [Destination Pattern(宛先パターン)] 値を入力します。 次に例を示します。
      • ドメインが domaina.com の場合は、宛先パターンの値として .domaina.* .com を入力します。

      ステップ 4   その他のパラメータは次のように入力します。
      1. [Next Hop(ネクスト ホップ)] 値は Microsoft サーバの IP アドレス、または FQDN です。
      2. [Next Hop(ネクスト ホップ)] の [Protocol Type(プロトコル タイプ)] の値と [Port(ポート)] の番号。
        • TCP では、[Protocol Type(プロトコル タイプ)] として TCP、[Port(ポート)] の番号として 5060 を選択します。

        • TLS では、[Protocol Type(プロトコル タイプ)] として TLS、[Port(ポート)] の番号として 5061 を選択します。

        (注)     

        TCP は Microsoft OCS サーバでのみサポートされます。

      3. [Route Type(ルート タイプ)] の値は domain です。
      ステップ 5   [Save(保存)] をクリックします。

      次の作業

      IM and Presence Service 用の Microsoft サーバのスタティック ルートを設定します。

      Microsoft OCS サーバ設定タスク リストへのフェデレーテッド リンク

      次の表では、IM and Presence Service と Microsoft OCS サーバ間のフェデレーション リンクを設定する手順の概要を示します。

      アクセス エッジ サーバまたは Cisco Adaptive Security Appliance なしで IM and Presence Serviceから OCS に直接フェデレーションを使用している場合は、OCS サーバの各ドメインで TLS または TCP のスタティック ルートを設定する必要があります。 これらのスタティック ルートは IM and Presence サービス ノードをポイントします。 Cisco Adaptive Security Applianceまたは Microsoft Access Edge は必要ではありません。

      • Standard Edition では Standard Edition サーバのスタティック ルートを設定する必要があります。

      • Enterprise Edition では、すべてのプールにスタティック ルートを設定する必要があります。

      表 1 Microsoft OCS サーバへのフェデレーテッド リンクのエンドツーエンド設定のタスク リスト

      手順

      説明

      IM and Presence Service のスタティック ルートの設定

      TLS または TCP がサポートされています。

      TLS では、[プロトコル タイプ(Protocol Type)] に [TLS]、[ネクスト ホップ ポート(Next Hop Port)] の番号として [5061] を選択します。

      TCP では、[プロトコル タイプ(Protocol Type)] に [TCP]、[ネクスト ホップ ポート(Next Hop Port)] の番号として [5060] を選択します。

      OCS での IM and Presence サービスのスタティック ルートの設定

      TLS または TCP がサポートされています。

      TLS の場合、スタティック ルート ポートは 5061 になります。

      TCP の場合、スタティック ルート ポートは 5060 になります。

      (注)     

      TLS の場合、IM and Presence Service のピア認証リスナー ポートはデフォルトで 5062 に設定されます。 ピア認証リスナー ポートが Microsoft のサーバからのフェデレーテッド トラフィックを受け付けるため、ピア認証リスナー ポートを 5061 に切り替えて、Microsoft サーバのスタティック ルートに合わせる必要があります。 IM and Presence Service ピア認証リスナー ポートを 5061 に設定するには、Cisco Unfied CM IM and Presence Administration にログインし、[System(システム)] > [Application Listeners(アプリケーション リスナー)] を選択します。

      IM and Presence サービス用のホスト認証エントリを設定します。

      この手順は、TLS および TCP に適用されます。

      TLS では、IM and Presence サービス ノードそれぞれについて、1 つのエントリにIM and Presence サービス ノードの IP アドレスを使用し、2 つ目のエントリに IM and Presence サービス FQDN を使用して、2 つのホスト認証エントリを追加する必要があります。

      TCP の場合、IM and Presence サービス IP アドレスを使用する 1 つのホスト認証エントリのみを各 IM and Presence サービス ノードに追加する必要があります。

      OCS での証明書の設定

      この手順は TLS の場合だけです。

      CA ルート証明書および OCS の署名付き証明書を取得するには、次の手順を実行します。
      • CA 証明書チェーンをダウンロードおよびインストールします。

      • CA サーバの証明書を要求します。

      • CA サーバから証明書をダウンロードします。

      OCS の[フロントエンド サーバ プロパティ(Front End Server Properties)] で、OCS のポート 5061 で TLS リスナーが設定されていることを確認します。 (トランスポートは MTLS または TLS の場合もあります)。

      OCS の [Front End Server Properties(フロントエンド サーバ プロパティ)] で、[Certificates(証明書)] タブを選択し、OCS の署名付き証明書を選択する場合は、[Select Certificate(証明書の選択)] をクリックします。

      IM and Presence Service の証明書の設定

      この手順は TLS の場合だけです。

      OCS サーバ証明書に署名する CA のルート証明書を IM and Presence Service にアップロードする必要があります。 また、IM and Presence Service に CSR を生成し、CA に署名してもらいます。 次に、CA 署名付き証明書を IM and Presence Service にアップロードします。

      その後、OCS サーバ用の IM and Presence Service の TLS ピア サブジェクトを追加する必要があります。 詳細な手順については、証明書のセットアップに関するトピックを参照してください。

      IM and Presence Service をポイントする OCS のスタティック ルートの設定

      ダイレクト フェデレーション用に OCS が IM and Presence Service に要求をルーティングできるようにするには、各 IM and Presence Service ドメインについて OCS サーバで TLS または TCP のスタティック ルートを設定する必要があります。 これらのスタティック ルートは IM and Presence サービス ノードをポイントします。


      (注)  


      • Standard Edition の場合、すべての Standard Edition サーバでこの手順を実行する必要があります。
      • Enterprise Edition の場合、すべてのプールでこの手順を実行する必要があります。

      手順
        ステップ 1   [Start(スタート)] > [Programs(プログラム)] > [Administrative Tools(管理ツール)] > [Office Communications Server 2007 R2] を選択します。
        ステップ 2   適宜 Enterprise Edition プール名または Standard Edition サーバ名を右クリックします。
        ステップ 3   [Properties(プロパティ)] > [Front End Properties(フロント エンドのプロパティ)] を選択します。
        ステップ 4   [Routing(ルーティング)] タブを選択し [Add(追加)] をクリックします。
        ステップ 5   foo.com など、IM and Presence サービス ノードのドメインを入力します。
        ステップ 6   [Phone URI(電話 URI)] のチェックボックスがオフになっていることを確認します。
        ステップ 7   ネクスト ホップ トランスポート、ポート、IP アドレス /FQDN 値を設定します。
        • TCP の場合は、[Next Hop Transport(ネクスト ホップ トランスポート)] 値に [TCP] を選択し、[Next Hop Port(ネクスト ホップ ポート)] 値に 5060 を入力します。 ネクスト ホップ IP アドレスとして IM and Presence サービス ノードの IP アドレスを入力します。

        • TLS の場合は、[Next Hop Transport(ネクスト ホップ トランスポート)] 値に [TLS] を選択し、[Next Hop Port(ネクスト ホップ ポート)] 値に 5061 を入力します。 FQDN として IM and Presence サービス ノードの IP アドレスを入力します。

          (注)     
          • TLS のスタティック ルートに使用するポートは、IM and Presence サービス ノードで設定されたピア認証のリスナー ポートに一致する必要があります。

          • FQDN は OCS サーバで解決可能である必要があります。 FQDN が IM and Presence サービス ノードの IP アドレスに解決されることを確認します。

        ステップ 8   [Replace host in request URI(要求 URI のホストを置換)] のチェックボックスがオフになっていることを確認します。
        ステップ 9   [OK] をクリックして、[Add Static Route(スタティック ルートの追加)] ウィンドウを閉じます。 新しいスタティック ルートがルーティング リストに表示されるはずです。
        ステップ 10   [OK] を再度クリックして、[Front End Server Properties(フロントエンド サーバ プロパティ)] ウィンドウを閉じます。

        次の作業

        IM and Presence Service 用の OCS でのホスト認証に進みます。

        OCS での IM and Presence Service ノード用ホスト認証エントリの追加

        認証を求められずに OCS が IM and Presence Service から SIP 要求を承認できるようにするには、IM and Presence Service ノードごとに OCS でホスト認証エントリを設定する必要があります。

        OCS と IM and Presence Service 間の TLS 暗号化を設定する場合、次のように各 IM and Presence Service ノードに 2 つのホスト認証エントリを追加する必要があります。

        • 最初のエントリには、IM and Presence Service ノードの FQDN を含める必要があります。
        • 2 つ目のエントリには、IM and Presence Service ノードの IP アドレスを含める必要があります。

        TLS 暗号化を設定しない場合は、IM and Presence Service ノードに 1 つのホスト認証エントリのみを追加します。 このホスト認証エントリには、IM and Presence Service ノードの IP アドレスが含まれている必要があります。

        次の手順では、必要なホスト認証エントリを追加する方法について説明します。


        (注)  


        • Standard Edition の場合、すべての Standard Edition サーバでこの手順を実行する必要があります。

        • Enterprise Edition の場合、すべてのプールでこの手順を実行する必要があります。


        手順
          ステップ 1   OCS の [Host Authorization(ホスト認証)] タブを選択します。
          ステップ 2   次のいずれかの手順を実行します。
          1. OCS で IP アドレスによって次ホップ(ネクスト ホップ)のコンピュータを指定するスタティック ルートを設定している場合は、承認されたホストの IP アドレスを入力します。
          2. OCS で FQDN によって次ホップ(ネクスト ホップ)のコンピュータを指定するスタティック ルートを設定している場合は、承認されたホストの FQDN を入力します。
          ステップ 3   [Add(追加)] をクリックします。
          ステップ 4   [IP] を選択します。
          ステップ 5   IM and Presence Service ノードの IP アドレスを入力します。
          ステップ 6   [Throttle as server(サーバとしてスロットル)] チェックボックスをオンにします。
          ステップ 7   [Treat as Authenticated(認証済みとして処理)] チェックボックスをオンにします。
          (注)     

          [Outbound Only(発信のみ)] チェックボックスをオンにしないでください。

          ステップ 8   [OK] をクリックします。

          OCS サーバでのポート 5060/5061 の有効化

          OCS サーバへの TCP スタティック ルートの場合はポート 5060 を使用します。

          OCS サーバへの TLS スタティック ルートの場合はポート 5061 を使用します。

          手順
            ステップ 1   OCS で、[Start(スタート)] > [Programs(プログラム)] > [Administrative Tools(管理ツール)] > [Microsoft Office Communicator Server 2007] を選択します。
            ステップ 2   フロント エンド サーバの FQDN を右クリックします。
            ステップ 3   [Properties(プロパティ)] > [Front End Properties(フロント エンドのプロパティ)] を選択し、[General(全般)] タブを選択します。
            ステップ 4   [Connections(接続)] にポート 5060 または 5061 が記載されていない場合は、[Add(追加)] をクリックします。
            ステップ 5   次のように、ポート値を設定します。
            1. [All(すべて)] を IP アドレス値として選択します。
            2. ポート値を選択します。
              • TCP の場合、ポート値として [5060] を選択します。

              • TLS の場合、ポート値として [5061] を選択します。

            3. [Transport(トランスポート)] の値を選択します。
              • TCP の場合は、[Transport(トランスポート)] の値として [TCP] を選択します。

              • TLS の場合は、[Transport(トランスポート)] の値として [TLS] を選択します。

            ステップ 6   [OK] をクリックします。

            Microsoft Lync Server 設定タスク リストへのフェデレーテッド リンク

            次の表に、IM and Presence Service と Microsoft Lync Server との間にフェデレーテッド リンクを設定するエンド ツー エンドの手順の概要を示します。

            次の表に、IM and Presence Service と Microsoft Lync Server との間のフェデレーテッド リンクにスタティック ルートを設定する手順の概要を示します。 IM and Presence Service とフェデレーション用 Microsoft Lync との間に TLS スタティック ルートを設定する必要があります。 Microsoft Lync サーバにフェデレーションされているリンクに使用するスタティック ルートの設定に関する詳細については、http:/​/​technet.microsoft.com/​en-us/​library/​gg558664.aspx を参照してください。

            IM and Presence Service ドメインごとにスタティック ルートを作成します。

            表 2 Microsoft Lync Server へのフェデレーテッド リンクのスタティック ルートを設定するためのタスク リスト

            手順

            説明

            IM and Presence Service のスタティック ルートの設定

            IM and Presence Service で Lync サーバ用のスタティック ルートを作成します。 [Protocol Type(プロトコル タイプ)] に [TLS]、[Next Hop Port(ネクスト ホップ ポート)] の番号として [5061] を選択します。

            Lync での IM and Presence Service のスタティック ルートの設定

            Lync サーバで IM and Presence Service 用のスタティック ルートを作成します。 IM and Presence Service ルーティング ノードのみにスタティック ルートを作成する必要があります。 IM and Presence Service の導入に複数のクラスタがある場合でも、加入者ノードやクラスタ間ピア ノードにはスタティック ルートを作成しないでください。

            ただし、スタティック ルートは、各 IM and Presence Service ドメインで必要です。

            (注)     

            TLS の場合、IM and Presence Service のピア認証リスナー ポートはデフォルトで 5062 に設定されます。 ピア認証リスナー ポートが Microsoft のサーバからのフェデレーテッド トラフィックを受け付けるため、ピア認証リスナー ポートを 5061 に切り替えて、Microsoft サーバのスタティック ルートに合わせる必要があります。 IM and Presence Service ピア認証リスナー ポートを 5061 に設定するには、Cisco Unfied CM IM and Presence Administration にログインし、[System(システム)] > [Application Listeners(アプリケーション リスナー)] を選択します。

            ルートの永続

            この手順は、ルーティング ノードにのみ必要です。

            スタティック ルートを設定した後、ホスト認証を設定し、トポロジをパブリッシュします。 以下の表は、ホスト認証をセット アップし、トポロジをパブリッシュするタスクを示します。

            表 3 ホスト認証設定およびトポロジ公開のタスク リスト

            手順

            説明

            信頼できるアプリケーション プールの作成

            Enterprise Edition の場合、IM and Presence Service ノードを表す信頼済みアプリケーションのコンピュータを保存する単一の信頼できるアプリケーション プールを作成します。

            Standard Edition の場合は、各 IM and Presence Service ノードの信頼済みアプリケーション プールを作成する必要があります。

            作成されたプールへの信頼済みアプリケーション コンピュータの追加

            ルーティング IM and Presence Service ノードを除き、各 IM and Presence Service ノードに作成されたプールに信頼できるアプリケーションのコンピュータを追加します。

            Enterprise Edition の導入の場合、この手順のみを実行します。

            作成されたプールへの信頼済みアプリケーション サーバの追加

            Enterprise Edition では、IM and Presence Service の導入に対して作成されたプールにアプリケーション サーバを追加します。

            Standard Edition の場合は、ノード用に作成された各プールにアプリケーション サーバを追加します。

            トポロジをイネーブルにする

            トポロジをイネーブルにする前に、次の項目が完了したことを確認してください。
            • IM and Presence サービス ノードのルーティングに TLS ルートを定義します。

            • IM and Presence サービス ノードのルーティングに新しいスタティック ルートを持続します。

            • IM and Presence サービス展開の信頼済みアプリケーション プールを作成します。

            • IM and Presence サービス ノードに作成されたプールに信頼済みアプリケーションのコンピュータを追加します。
            • IM and Presence サービスの展開に作成されたプールに信頼済みアプリケーション サーバを追加します。

            Microsoft Lync Server と IM and Presence Service に CA 署名付き証明書を追加する必要があります。

            表 4 Microsoft Lync Server と IM and Presence Service ノードの証明書を設定するためのタスク リスト

            ステップ

            説明

            各 Lync の各サーバの証明書の設定

            CA ルート証明書および Lync の署名付き証明書を取得するには、次の手順を実行します。
            • CA 証明書チェーンをダウンロードおよびインストールします。
            • CA サーバの署名付き証明書を要求します。
            • Lync の証明書をインポートして割り当てます。

            Lync サーバの証明書のインポートおよび割り当ての詳細については、Microsoft Lync のマニュアル(http:/​/​technet.microsoft.com/​en-us/​library/​gg558664.aspx)を参照してください。

            IM and Presence Service の証明書の設定

            Lync server 証明書に署名する CA のルート証明書を IM and Presence Service にアップロードする必要があります。 また、IM and Presence Service に CSR を生成し、CA に署名してもらいます。 次に、CA 署名付き証明書を IM and Presence Service にアップロードします。

            その後、Lync サーバ用の IM and Presence Service の TLS ピア サブジェクトを追加する必要があります。 詳細な手順については、証明書のセットアップに関するトピックを参照してください。

            フェデレーション用の Microsoft Lync のスタティック ルートの設定

            IM and Presence Service では、Microsoft Lync サーバとのフェデレーションを行うためのトランスポート層セキュリティ(TLS)がサポートされています。 IM and Presence サービス ルーティング ノードのみにスタティック ルートを作成する必要があります。 IM and Presence サービス展開に複数のクラスタがある場合でも、加入者ノードにスタティック ルートとクラスタ間ピア ノードはいずれも作成する必要はありません。

            ただし、スタティック ルートは、各 IM and Presence Service ドメインで必要です。

            次の表に、この手順で使用した設定パラメータ例を示します。

            表 5 Microsoft Lync の TLS スタティック ルート用のサンプル パラメータ

            説明

            サンプル パラメータ

            IM and Presence サービス ノード FQDN(IM and Presence サービス ノードをルーティング)

            FQDN が正しい IP アドレスに解決できることを確認します。

            impserverPub.sip.com

            IM and Presence Service ノード IP アドレス(IM and Presence Service ノードをルーティング)

            10.10.1.10

            IM and Presence Service ノードの TLS ポート

            TLS ポートの値が、ユーザ インターフェイスで設定された値と一致している必要があります。 この値を確認するには、Cisco Unified CM IM and Presence Administration のユーザ インターフェイスにログインし、[System(システム)] > [Application Listeners(アプリケーション リスナー)] > [Default Cisco SIP Proxy TLS Listener - Peer Auth(デフォルトの Cisco SIP プロキシ TLS リスナー - ピア認証)] を選択します。
            (注)     

            シスコはポート 5061 を推奨します。ただし、ポート 5062 を使用できます。

            5061

            IM and Presence Service ノードのドメイン

            sip.com

            Lync 登録サーバ

            lyncserver.synergy.com


            (注)  


            トランスポート層セキュリティ(TLS)を使用する場合は、スタティック ルートの宛先パターンで使用する FQDN は、Lync のフロント エンド サーバから解決可能である必要があります。 FQDN がスタティック ルートが指す IM and Presence サービス ノードの IP アドレスに解決されることを確認します。



            (注)  


            Lync FQDN はパーティション イントラドメイン フェデレーションに使用する IM and Presence サービス ドメインに一致できません。


            手順
              ステップ 1   Lync Server 管理シェルがインストールされたコンピュータにログインします。
              ヒント   

              RTCUniversalServerAdmins グループのメンバか、New-CsStaticRoute コマンドレットを割り当てたロールベース アクセス コントロール(RBAC)ロールとして、ログインする必要があります。

              ステップ 2   [Start(スタート)] > [All Programs(すべてのプログラム)] > [Microsoft Lync Server 2010] > [Lync Server Management Shell(Lync Server 管理シェル)] を選択します。
              ヒント   

              Microsoft Lync サーバのバージョンに応じて、Microsoft Lync Server 2010 または 2013 を入力します。

              ステップ 3   TLS ルートを定義するには、次のコマンドを入力します。

              $tlsRoute = New-CsStaticRoute -TLSRoute -Destination fqdn_of_imp_routing_node -Port listening_port_imp_routing_node -usedefaultcertificate $true -MatchUri destination_domain



              例:

              $tlsRoute = New-CsStaticRoute -TLSRoute -Destination impserverPub.sip.com -Port 5061 -usedefaultcertificate $true -MatchUri sip.com

              引数の説明

              パラメータ 説明
              -Destination

              IM and Presence サービス ルーティング ノードの FQDN。

              -Port

              IM and Presence サービスのルーティング ノードのリスニング ポート。

              -MatchUri 宛先IM and Presence サービス ドメイン。
              (注)     

              ドメインの子ドメインに一致させるには、-MatchUri パラメータに、たとえば *.sip.com などのワイルドカード値を指定できます。 この値は sip.com サフィックスを持つどのドメインにも一致します。

              Microsoft Lync Server 2013 で IPv6 を使用する場合、-MatchUri パラメータでは * ワイルドカード オプションはサポートされていません。

              -usedefaultcertificate を FALSE に設定した場合は、TLSCertIssuer および TLSCertSerialNumber パラメータを指定する必要があります。 これらのパラメータには、それぞれ、スタティック ルートで使用される証明書を発行する認証局(CA)の名前と TLS 証明書のシリアル番号を指定します。 これらのパラメータの詳細については、Lync Server 管理シェルを参照してください。

              ステップ 4   Central Management ストアで新しく作成されたスタティック ルートを永続的なルートにします。 次のコマンドを入力します。

              Set-CsStaticRoutingConfiguration -Route @{Add=$tlsRoute}

              (注)     

              ルーティング IM and Presence Service ノードでのみこの手順を実行します。

              ステップ 5   新しいスタティック ルートを永続的なルートにした場合は、コマンドが成功したことを確認します。 次のコマンドを入力します。

              get-CsStaticRoutingConfiguration ¦ select-object -ExpandProperty Route


              Enterprise Edition Lync サーバでの IM and Presence Service のホスト認証の追加

              Lync が許可を求められることなく SIP 要求を IM and Presence Service から受け入れられるようにするには、IM and Presence Service ノードごとに Lync でホスト認証のエントリを設定する必要があります。 Enterprise Edition の場合、すべてのプールでこの手順を実行する必要があります。


              (注)  


              Lync とのパーティション イントラドメイン フェデレーションの TLS を設定する必要があります。 TCP はサポートされません。


              Lync と IM and Presence サービス間の TLS 暗号化に必要なホスト認証エントリを設定するには、各 IM and Presence サービス ノードの FQDN のホスト認証エントリを追加する必要があります。

              手順
                ステップ 1   次のコマンドを使用して、IM and Presence Service の導入ごとに信頼済みアプリケーション サーバ プールを作成します。
                ヒント   

                プールのレジストラ サービスの FQDN の値を確認するには、Get-CsPool を入力します。

                New-CsTrustedApplicationPool -Identity trusted_application_pool_name_in FQDN_format -Registrar Lync_Registrar_service_FQDN -Site ID_for_the_trusted_application_pool_site -TreatAsAuthenticated $true -ThrottleAsServer $true -RequiresReplication $false -OutboundOnly $false -Computerfqdn first_trusted_application_computer



                例:

                New-CsTrustedApplicationPool -Identity trustedpool.sip.com -Registrar lyncserver.synergy.com -Site 1 -TreatAsAuthenticated $true -ThrottleAsServer $true -RequiresReplication $false -OutboundOnly $false -Computerfqdn impserverPub.sip.com

                引数の説明

                パラメータ 説明

                -Identity

                IM and Presence Service の導入の信頼済みアプリケーション プールの名前。 これは FQDN 形式である必要があります。 例:trustedpool.sip.com

                ヒント   

                Active Directory でマシンが見つからなかったという警告メッセージは無視して、変更の適用に進みます。

                -Registrar

                プールのレジストラ サービス ID または FQDN。 例:lyncserver.synergy.com

                この値は、コマンド Get-CsPool を使用して確認できます。

                -Site

                信頼できるアプリケーション プールを作成するサイトの数値。

                ヒント   

                Get-CsSite 管理シェルコマンドを使用します。

                -Computerfqdn

                IM and Presence サービス ルーティング ノードの FQDN。 例:impserverPub.sip.com
                • impserverPub = IM and Presence サービス ホスト名。

                • sip.com = IM and Presence サービス ドメイン。

                ステップ 2   IM and Presence サービス ノードに次のコマンドを入力し、新しいアプリケーション プールに信頼できるアプリケーションのコンピュータとしてノードの FQDN を追加します。

                New-CsTrustedApplicationComputer -Identity imp_FQDN -Pool new_trusted_app_pool_FQDN



                例:

                New-CsTrustedApplicationComputer -Identity impserver2.sip.com -Pool trustedpool.sip.com

                引数の説明
                パラメータ 説明

                -Identity

                IM and Presence サービス ノードの FQDN。 例:impserver2.sip.com

                (注)     

                このコマンドを使用して、信頼できるアプリケーションのコンピュータとして IM and Presence サービス ルーティング ノードを追加しないでください。

                -Pool

                IM and Presence サービス展開で使用される信頼済みアプリケーション プールの FQDN。 例:trustedpool.sip.com

                ステップ 3   新しい信頼済みアプリケーションを作成し、それを新規アプリケーション プールに追加するには、次のコマンドを入力します。

                New-CsTrustedApplication -ApplicationID new_application_name -TrustedApplicationPoolFqdn new_trusted_app_pool_FQDN -Port 5061



                例:

                New-CsTrustedApplication -ApplicationID imptrustedapp.sip.com -TrustedApplicationPoolFqdn trustedpool.sip.com -Port 5061

                引数の説明

                パラメータ 説明

                -ApplicationID

                アプリケーションの名前。 これは任意の値にすることができます。 例:imptrustedapp.sip.com

                -TrustedApplicationPoolFqdn

                IM and Presence サービス展開の信頼済みアプリケーション プール サーバの FQDN。 例:trustedpool.sip.com

                -Port

                IM and Presence サービス ノードの SIP リスニング ポート。 TLS の場合、ポートは 5061 です。


                次の作業

                トポロジの公開に進みます。

                Standard Edition Lync サーバでの IM and Presence Service のホスト認証の追加

                認証を要求するメッセージが表示されることなく IM and Presence Service からの SIP 要求を Lync で受け付けられるようにするには、導入内のすべての Standard Edition Lync サーバで IM and Presence Service ノードごとにホスト認証エントリを設定する必要があります。 信頼済みアプリケーションプールを Lync サーバの各 IM and Presence Service ノードごとに 1 つずつ作成します。


                (注)  


                Lync とのパーティション イントラドメイン フェデレーションの TLS を設定する必要があります。 TCP はサポートされません。


                Lync と IM and Presence Service 間の TLS 暗号化に必要なホスト認証エントリを設定するには、各 IM and Presence Service ノードの FQDN のホスト認証エントリを追加する必要があります。

                手順
                  ステップ 1   次のコマンドを使用して、IM and Presence Service ノードごとに信頼済みアプリケーション サーバ プールを作成します。
                  ヒント   

                  プールのレジストラ サービスの FQDN の値を確認するには、Get-CsPool を入力します。

                  New-CsTrustedApplicationPool -Identity fqdn_of_the_im_and_presence_service_node -Registrar fqdn_of_the_lync_registrar_service -Site site_id_for_where_you_want_to_create_trusted_app_pool -TreatAsAuthenticated $true -ThrottleAsServer $true -RequiresReplication $false -OutboundOnly $false



                  例:

                  New-CsTrustedApplicationPool -Identity impserverPub.sip.com -Registrar lyncserver.synergy.com -Site 1 -TreatAsAuthenticated $true -ThrottleAsServer $true -RequiresReplication $false -OutboundOnly $false

                  値は次のとおりです。
                  パラメータ 説明

                  -Identity

                  IM and Presence Service ノードの FQDN 名を信頼済みアプリケーション プールとして入力します。 例:impserverPub.sip.com

                  ヒント   

                  Active Directory でマシンが見つからなかったという警告メッセージは無視して、変更の適用に進みます。

                  -Registrar

                  プールのレジストラ サービス ID または FQDN。 例:lyncserver.synergy.com

                  この値は、コマンド Get-CsPool を使用して確認できます。

                  -Site

                  信頼できるアプリケーション プールを作成するサイトの数値。

                  ヒント   

                  Get-CsSite 管理シェル コマンドを使用します。

                  ステップ 2   IM and Presence Service ノードごとに、次のコマンドを入力し、そのノードの信頼済みアプリケーションを作成してから、そのノードの信頼済みアプリケーション サーバ プールに割り当てます。

                  New-CsTrustedApplication -ApplicationID new_app_name -TrustedApplicationPoolFqdn new_trusted_app_pool_fqdn -Port 5061



                  例:

                  New-CsTrustedApplication -ApplicationID imptrustedapp.sip.com -TrustedApplicationPoolFqdn impserverPub.sip.com -Port 5061

                  値は次のとおりです。

                  パラメータ 説明

                  -ApplicationID

                  信頼済みアプリケーション コンピュータのアプリケーション ID。ノードの FQDN でもかまいません。 例:impserverPub.sip.com

                  -TrustedApplicationPoolFqdn

                  IM and Presence Service ノードに使用される信頼済みアプリケーション プールの FQDN。 例:impserverPub.sip.com

                  -Port

                  IM and Presence Service ノードの SIP リスニング ポート。 TLS の場合、ポートは 5061 です。


                  次の作業

                  トポロジの公開に進みます。

                  トポロジのパブリッシュ

                  次の手順は、トポロジをコミットする例を示します。

                  手順
                    ステップ 1   Lync Server 管理シェルで次のコマンドを実行し、トポロジを有効にします。 Enable-CsTopology
                    ステップ 2   次のコマンドを実行し、トポロジを topology.xml という XML ファイルに書き出し、ファイルを C ドライブに保存します。 Get-CsTopology -AsXml | Out-File C:\topology.xml
                    (注)     

                    トポロジ情報を出力するファイルの名前と保存場所は自由に設定できます。

                    ステップ 3   topology.xml ファイルを開きます。
                    ステップ 4   クラスタの FQDN セクションで、信頼できるプールに追加した各 IM and Presence サービス ノードの IP アドレスを "0.0.0.0" から IP アドレス パラメータに変更します。
                    ステップ 5   topology.xml ファイルを保存します。
                    ステップ 6   Lync Server 管理シェルで次のコマンドを実行します。 Publish-CsTopology -FileName "C:\topology.xml"

                    次の作業

                    Lync への認証局のルート証明書のインストール

                    Microsoft サーバ向け IM and Presence サービスの証明書の設定

                    この手順は、IM and Presence サービスと Microsoft サーバ間の TLS スタティック ルートをセットアップした場合にのみ適用されます。

                    手順
                      ステップ 1   IM and Presence サービスで、Microsoft サーバの証明書に署名する CA のルート証明書をアップロードします。
                      • 証明書は CUP の信頼性証明書としてアップロードします。

                      • [Root Certificate(ルート証明書)] フィールドは空白のままにします。

                      • IM and Presence サービスに自己署名証明書をインポートします。

                      ステップ 2   CA が IM and Presence サービスの証明書に署名できるよう、IM and Presence サービスに対する CSR を作成します。 証明書に署名する CA に CSR をアップロードします。
                      ステップ 3   CA 署名付き証明書と CA ルート証明書を取得する場合は、IM and Presence サービス ノードに CA 署名付き証明書と CA ルート証明書をアップロードします。
                      • ルート証明書は CUP の信頼性証明書としてアップロードします。

                      • CUP CA 署名付き証明書をアップロードします。 ルート証明書の .pem ファイルはルート証明書として指定します。

                      ステップ 4   Microsoft サーバの IM and Presence サービスに TLS ピア サブジェクトを追加します。 Microsoft サーバの FQDN を使用します。
                      ステップ 5   [Selected TLS Peer Subjects(選択された TLS ピア件名)] リストに TLS ピアを追加します。
                      • [TLS Context Configuration(TLS コンテキスト設定)] で TLS_RSA_WITH_3DES_EDE_CBC_SHA 暗号が選択されていることを確認します。

                      • 必ず空の TLS フラグメントを無効化します。