Cisco Unified Communications Manager リリース 10.5(1)の IM and Presence サービスのパーティション イントラドメイン フェデレーション
パーティション イントラドメイン フェデレーション用 Microsoft Lync の設定
パーティション イントラドメイン フェデレーション用 Microsoft Lync の設定

目次

パーティション イントラドメイン フェデレーション用 Microsoft Lync の設定

パーティション イントラドメイン フェデレーション用の Microsoft Lync を設定するには、次の手順を記載されている順序で実行します。 設定が完了したら、Lync サーバでサービスを再起動する必要があります。


(注)  


Lync とのパーティション イントラドメイン フェデレーションの TLS を設定する必要があります。 TCP はサポートされません。


Lync サーバのドメインの確認

パーティション イントラドメイン フェデレーションフェデレーション IM and Presence サービスをセット アップする前に、Microsoft Lync サーバに一致するドメインが設定されていることと、IM and Presence サービス クラスタにすべてのノードがあることを確認します。

Cisco Unified CM IM and Presence Administration ユーザ インターフェイスを使用して、IM and Presence サービスに設定されたローカル ドメインと、外部サーバに設定されたシステム管理ドメインを確認します。

Microsoft Lync サーバ コンフィギュレーション タスク リストにフェデレーション リンク

次の表に、IM and Presence Service と Microsoft Lync サーバとの間のフェデレーション リンクを設定するエンド―ツーエンドの手順の概要を示します。

次の表に、IM and Presence Service ノードと Microsoft Lync サーバとの間のフェデレーション リンクにスタティック ルートを設定する手順の概要を示します。 IM and Presence Service とフェデレーション用 Microsoft Lync 間の TLS のスタティック ルートを設定します。 Microsoft Lync サーバにフェデレーションされているリンクに使用するスタティック ルートの設定に関する詳細については、http:/​/​technet.microsoft.com/​en-us/​library/​gg558664.aspx を参照してください。

IM and Presence Service ドメインにスタティック ルートを作成します。

表 1 Microsoft Lync サーバに連合リンクのスタティック ルートを設定するためのタスク リスト

手順

説明

IM and Presence Service のスタティック ルートの設定

IM and Presence Service 上で、Lync サーバにスタティック ルートを作成します。 [Protocol Type(プロトコル タイプ)] に [TLS(TLS)]、[Next Hop Port(次のホップ ポート)] の番号として [5061(5061)] を選択します。

Lync での IM and Presence Service のスタティック ルートの設定

IM and Presence Service の Lync のサーバのスタティック ルートを作成します。 IM and Presence Service ルーティング ノードだけにスタティック ルートを作成しなければなりません。 IM and Presence Service 展開に複数のクラスタがある場合でも、加入者ノードにスタティック ルートとクラスタ間ピア ノードはいずれも作成する必要はありません。

ただし、スタティック ルートは、各 IM and Presence Service ドメインで必要です。

(注)     

TLS で、IM and Presence Service ピアの認証のリスナー ポートはデフォルトで 5062 に設定されます。 ピアの認証のリスナー ポートが Microsoft のサーバからのフェデレーション トラフィックを受け入れるため、Microsoft サーバのスタティック ルートに合わせてピア認証のリスナー ポートを 5061 に 切り替えてください。 IM and Presence Service ピアの認証リスナー ポートを 5061 に設定するには、Cisco Unfied CM IM and Presence Administration にログインし、[System(システム)] > [Application Listeners(アプリケーション リスナー)]を選択します。

ルートの永続

この手順は、ルーティング ノードにのみ必要です。

スタティック ルートを設定した後、ホスト認証を設定し、トポロジをパブリッシュします。 以下の表は、ホスト認証をセット アップし、トポロジをパブリッシュするタスクを示します。

表 2 ホスト認証の設定およびトポロジのパブリッシュためのタスク リスト

手順

説明

信頼できるアプリケーション プールの作成

エンタープライズ エディションの場合は、IM and Presence Service ノードを表す信頼済みアプリケーションのコンピュータを保存する単一の信頼できるアプリケーション プールを作成する必要があります。

標準エディションの場合は、各 IM and Presence Service ノードの信頼済みアプリケーション プールを作成しなければなりません。

作成されたプールへの信頼済みアプリケーション コンピュータの追加

ルーティング IM and Presence Service ノードを除き、各 IM and Presence Service ノードに作成されたプールに信頼できるアプリケーションのコンピュータを追加します。

エンタープライズ エディションの展開にだけこの手順を実行します。

作成されたプールへの信頼済みアプリケーション サーバの追加

エンタープライズ エディションの場合は、IM and Presence Service 展開に対して作成されたプールにアプリケーション サーバを追加します。

標準エディションの場合は、ノード用に作成された各プールにアプリケーション サーバを追加します。

トポロジをイネーブルにする

トポロジをイネーブルにする前に、次の項目が完了したことを確認してください。
  • IM and Presence サービス ノードのルーティングに TLS ルートを定義します。

  • IM and Presence サービス ノードのルーティングに新しいスタティック ルートを持続します。

  • IM and Presence サービス展開の信頼済みアプリケーション プールを作成します。

  • IM and Presence サービス ノードに作成されたプールに信頼済みアプリケーションのコンピュータを追加します。
  • IM and Presence サービスの展開に作成されたプールに信頼済みアプリケーション サーバを追加します。

Microsoft Lync サーバと IM and Presence Service ノードに CA 署名付き証明書を追加しなければなりません。

表 3 Microsoft Lync サーバと IM and Presence Service ノードの証明書を設定するためのタスク リスト

手順

説明

Lync の各サーバの証明書の設定

CA ルート証明書および Lync の署名付き証明書を取得するには、次の手順を実行します。
  • CA 証明書チェーンをダウンロードおよびインストールします。
  • CA サーバの署名付き証明書を要求します。
  • Lync の証明書をインポートして割り当てます。

Lync サーバ証明書をインポートし、割り当てる詳細については Microsoft Lync のマニュアルを参照してください: http:/​/​technet.microsoft.com/​en-us/​library/​gg558664.aspx

IM and Presence Service での証明書の設定

IM and Presence Service に Lync サーバ証明書に署名した CA のルート証明書をアップロードします。 また、IM and Presence Service 用の CSR を生成し、CA によって署名されるようにします。 CA 署名付き証明書を IM and Presence Service にアップロードします。

その後、Lync サーバの IM and Presence Service で TLS ピア サブジェクトを追加します。 詳細な手順については、証明書のセットアップに関するトピックを参照してください。

フェデレーション用の Microsoft Lync のスタティック ルートを設定

IM and Presence サービスは Microsoft Lync サーバとのフェデレーションの Transport Layer Security(TLS)をサポートします。 IM and Presence サービス ルーティング ノードのみにスタティック ルートを作成する必要があります。 IM and Presence サービス展開に複数のクラスタがある場合でも、加入者ノードにスタティック ルートとクラスタ間ピア ノードはいずれも作成する必要はありません。

ただし、スタティック ルートは、各 IM and Presence サービス ドメインで必要です。

次の表に、この手順で使用した設定パラメータ例を示します。

表 4 Microsoft Lync の TLS スタティック ルート用のサンプル パラメータ

説明

サンプル パラメータ

IM and Presence サービス ノード FQDN(IM and Presence サービス ノードをルーティング)

FQDN が正しい IP アドレスに解決できることを確認します。

impserverPub.sip.com

IM and Presence サービス ノード IP アドレス(IM and Presence サービス ノードをルーティング)

10.10.1.10

IM and Presence サービス ノードの TLS ポート

TLS ポート値をユーザ インターフェイスで設定された値と一致させる必要があります。 値を確認するには、[Cisco Unified CM IM and Presence Administration(Cisco Unified CM IM and Presence Administration)] ユーザ インターフェイスにログインし、[System(システム)] > [Application Listeners(アプリケーション リスナー)] > [Default Cisco SIP Proxy TLS Listener - Peer Auth(デフォルト Cisco SIP プロキシ TLS リスナー - ピア認証)]を選択します。
(注)     

シスコはポート 5061 を推奨します。ただし、ポート 5062 を使用できます。

5061

IM and Presence サービス ノードのドメイン

sip.com

Lync 登録サーバ

lyncserver.synergy.com


(注)  


Transport Layer Security(TLS)を使用する場合は、スタティック ルートの宛先パターンで使用する FQDN は、Lync のフロント エンド サーバから解決可能である必要があります。 FQDN がスタティック ルートが指す IM and Presence サービス ノードの IP アドレスに解決されることを確認します。



(注)  


Lync FQDN はパーティション イントラドメイン フェデレーションに使用する IM and Presence サービス ドメインに一致できません。


手順
    ステップ 1   Lync Server 管理シェルがインストールされたコンピュータにログインします。
    ヒント   

    RTCUniversalServerAdmins グループのメンバか、New-CsStaticRoute コマンドレットを割り当てたロールベース アクセス コントロール(RBAC)ロールとして、サインインする必要があります。

    ステップ 2   [Start(スタート)] > [All Programs(すべてのプログラム)] > [Microsoft Lync Server 2010(Microsoft Lync Server 2010)] > [Lync Server Management Shell(Lync Server Management Shell)] の順に選択します。
    ヒント   

    Microsoft Lync サーバのバージョンに応じて、Microsoft Lync Server 2010 または 2013 を入力します。

    ステップ 3   TLS ルートを定義するには、次のコマンドを入力します。

    $tlsRoute = New-CsStaticRoute -TLSRoute -Destination fqdn_of_imp_routing_node -Port listening_port_imp_routing_node -usedefaultcertificate $true -MatchUri destination_domain



    例:

    $tlsRoute = New-CsStaticRoute -TLSRoute -Destination impserverPub.sip.com -Port 5061 -usedefaultcertificate $true -MatchUri sip.com

    引数の説明

    パラメータ 説明
    -Destination

    IM and Presence サービス ルーティング ノードの FQDN。

    -Port

    IM and Presence サービスのルーティング ノードのリスニング ポート。

    -MatchUri 宛先IM and Presence サービス ドメイン。
    (注)     

    ドメインの子ドメインに一致させるには、-MatchUri パラメータに、たとえば *.sip.com などのワイルドカード値を指定できます。 この値は sip.com サフィックスを持つどのドメインにも一致します。

    Microsoft Lync Server 2013 で IPv6 を使用する場合、-MatchUri パラメータの * ワイルドカード オプションはサポートされていません。

    -usedefaultcertificate を FALSE に設定した場合は、TLSCertIssuer および TLSCertSerialNumber パラメータを指定する必要があります。 これらのパラメータには、それぞれ、スタティック ルートで使用される証明書を発行する認証局(CA)の名前と TLS 証明書のシリアル番号を指定します。 これらのパラメータの詳細については、Lync Server 管理シェルを参照してください。

    ステップ 4   Central Management ストアで新しく作成されたスタティック ルートを保持します。 次のコマンドを入力します。

    Set-CsStaticRoutingConfiguration -Route @{Add=$tlsRoute}

    (注)     

    IM and Presence サービス ノードをルーティングする場合のみこの手順を実行します。

    ステップ 5   新しいスタティック ルートを保持するように設定した場合、コマンドが正常に実行されたことを確認します。 次のコマンドを入力します。

    get-CsStaticRoutingConfiguration ¦ select-object -ExpandProperty Route


    Enterprise Edition Lync Server での IM and Presence サービスに対するホスト認証の追加

    Lync が許可を求められることなく SIP 要求を IM and Presence サービスから受け入れられるようにするには、IM and Presence サービス ノードごとに Lync でホスト認証のエントリを設定する必要があります。 Enterprise Edition の場合、すべてのプールでこの手順を実行する必要があります。


    (注)  


    Lync とのパーティション イントラドメイン フェデレーションの TLS を設定する必要があります。 TCP はサポートされません。


    Lync と IM and Presence サービス間の TLS 暗号化に必要なホスト認証エントリを設定するには、各 IM and Presence サービス ノードの FQDN のホスト認証エントリを追加する必要があります。

    手順
      ステップ 1   以下のコマンドを使用して、IM and Presence サービス展開に対して信頼できるアプリケーション サーバを作成します。
      ヒント   

      プールの登録サービスの FQDN 値を検証するために Get-CsPool を入力できます。

      New-CsTrustedApplicationPool -Identity trusted_application_pool_name_in FQDN_format -Registrar Lync_Registrar_service_FQDN -Site ID_for_the_trusted_application_pool_site -TreatAsAuthenticated $true -ThrottleAsServer $true -RequiresReplication $false -OutboundOnly $false -Computerfqdn first_trusted_application_computer



      例:

      New-CsTrustedApplicationPool -Identity trustedpool.sip.com -Registrar lyncserver.synergy.com -Site 1 -TreatAsAuthenticated $true -ThrottleAsServer $true -RequiresReplication $false -OutboundOnly $false -Computerfqdn impserverPub.sip.com

      引数の説明

      パラメータ 説明

      -Identity

      IM and Presence サービス展開の信頼済みアプリケーション プールの名前を入力します。 これは FQDN 形式である必要があります。 たとえば、trustedpool.sip.com と入力します。

      ヒント   

      Active Directory にはないマシンに関する警告メッセージを無視し、変更を適用します。

      -Registrar

      プールのレジストラ サービス ID または FQDN。 例:lyncserver.synergy.com

      この値は、コマンド Get-CsPool を使用して確認できます。

      -Site

      信頼できるアプリケーション プールを作成するサイトの数値。

      ヒント   

      Get-CsSite 管理シェルコマンドを使用します。

      -Computerfqdn

      IM and Presence サービス ルーティング ノードの FQDN。 例:impserverPub.sip.com
      • impserverPub = IM and Presence サービス ホスト名。

      • sip.com = IM and Presence サービス ドメイン。

      ステップ 2   IM and Presence サービス ノードに次のコマンドを入力し、新しいアプリケーション プールに信頼できるアプリケーションのコンピュータとしてノードの FQDN を追加します。

      New-CsTrustedApplicationComputer -Identity imp_FQDN -Pool new_trusted_app_pool_FQDN



      例:

      New-CsTrustedApplicationComputer -Identity impserver2.sip.com -Pool trustedpool.sip.com

      引数の説明
      パラメータ 説明

      -Identity

      IM and Presence サービス ノードの FQDN。 例:impserver2.sip.com

      (注)     

      このコマンドを使用して、信頼できるアプリケーションのコンピュータとして IM and Presence サービス ルーティング ノードを追加しないでください。

      -Pool

      IM and Presence サービス展開で使用される信頼済みアプリケーション プールの FQDN。 たとえば、trustedpool.sip.com と入力します。

      ステップ 3   新しい信頼済みアプリケーションを作成し、それを新規アプリケーション プールに追加するには、次のコマンドを入力します。

      New-CsTrustedApplication -ApplicationID new_application_name -TrustedApplicationPoolFqdn new_trusted_app_pool_FQDN -Port 5061



      例:

      New-CsTrustedApplication -ApplicationID imptrustedapp.sip.com -TrustedApplicationPoolFqdn trustedpool.sip.com -Port 5061

      引数の説明

      パラメータ 説明

      -ApplicationID

      アプリケーションの名前。 これは任意の値にすることができます。 例:imptrustedapp.sip.com。

      -TrustedApplicationPoolFqdn

      IM and Presence サービス展開の信頼済みアプリケーション プール サーバの FQDN。 たとえば、trustedpool.sip.com と入力します。

      -Port

      IM and Presence サービス ノードの SIP リスニング ポート。 TLS の場合、ポートは 5061 です。


      次の作業

      トポロジのパブリッシュを続行します。

      IM and Presence サービスのホスト認証を標準エディションの Lync サーバに追加

      Lync が認証確認を求められずに IM and Presence サービスから SIP 要求を受け入れられるようにするには、展開しているすべての標準エディション Lync サーバの各 IM and Presence サービス ノードのホスト認証エントリを設定しなければなりません。 Lync サーバ上で各 IM and Presence サービス ノードの 1 本の信頼済みアプリケーション プールを作成します。


      (注)  


      Lync とのパーティション イントラドメイン フェデレーションの TLS を設定する必要があります。 TCP はサポートされません。


      Lync と IM and Presence サービス間の TLS 暗号化に必要なホスト認証エントリを設定するには、各 IM and Presence サービス ノードの FQDN のホスト認証エントリを追加する必要があります。

      手順
        ステップ 1   次のコマンドを使用して各 IM and Presernce サービスの信頼済みアプリケーション サーバ プールを作成します。
        ヒント   

        Get-CsPool と入力すると、プールのレジストラ サービスの FQDN 値を確認することができます。

        New-CsTrustedApplicationPool -Identity fqdn_of_the_im_and_presence_service_node -Registrar fqdn_of_the_lync_registrar_service -Site site_id_for_where_you_want_to_create_trusted_app_pool -TreatAsAuthenticated $true -ThrottleAsServer $true -RequiresReplication $false -OutboundOnly $false



        例:

        New-CsTrustedApplicationPool -Identity impserverPub.sip.com -Registrar lyncserver.synergy.com -Site 1 -TreatAsAuthenticated $true -ThrottleAsServer $true -RequiresReplication $false -OutboundOnly $false

        値は次のとおりです。
        パラメータ 説明

        -Identity

        信頼できるアプリケーション プールとして IM and Presence サービス ノードの FQDN 名を入力します。 例: impserverPub.sip.com

        ヒント   

        Active Directory にはないマシンに関する警告メッセージを無視し、変更の適用に進みます。

        -Registrar

        プールのレジストラ サービスの ID または FQDN。 例: lyncserver.synergy.com

        この値は、コマンド Get-CsPool を使用して確認できます。

        -Site

        信頼できるアプリケーション プールを作成するサイトの数値。

        ヒント   

        Get-CsSite 管理シェルコマンドを使用します。

        ステップ 2   IM and Presence サービス ノードの場合は、ノードの信頼済みアプリケーションを作成し、そのノードの信頼できるアプリケーションのサーバ プールに割り当てるには、次のコマンドを入力します。

        New-CsTrustedApplication -ApplicationID new_app_name -TrustedApplicationPoolFqdn new_trusted_app_pool_fqdn -Port 5061



        例:

        New-CsTrustedApplication -ApplicationID imptrustedapp.sip.com -TrustedApplicationPoolFqdn impserverPub.sip.com -Port 5061

        値は次のとおりです。

        パラメータ 説明

        -ApplicationID

        ノードの FQDN にもなる信頼済みアプリケーションのコンピュータのアプリケーション ID。 例: impserverPub.sip.com

        -TrustedApplicationPoolFqdn

        IM and Presence サービス ノードで使用される信頼済みアプリケーション プールの FQDN。 例: impserverPub.sip.com

        -Port

        IM and Presence サービス ノードの SIP リスニング ポート。 TLS の場合、ポートは 5061 です。


        次の作業

        トポロジのパブリッシュに進みます。

        トポロジのパブリッシュ

        次の手順は、トポロジをコミットする例を示します。

        手順
          ステップ 1   Lync Server 管理シェルで次のコマンドを実行し、トポロジを有効にします。 Enable-CsTopology
          ステップ 2   次のコマンドを実行し、トポロジを topology.xml という XML ファイルに書き出し、ファイルを C ドライブに保存します。 Get-CsTopology -AsXml | Out-File C:\topology.xml
          (注)     

          トポロジ情報を出力するファイルの名前と保存場所は自由に設定できます。

          ステップ 3   topology.xml ファイルを開きます。
          ステップ 4   クラスタの FQDN セクションで、IP アドレス パラメータを "0.0.0.0" から信頼できるプールに追加した各 IM and Presence サービス ノードの IP アドレスに変更します。
          ステップ 5   topology.xml ファイルを保存します。
          ステップ 6   Lync Server 管理シェルで次のコマンドを実行します。 Publish-CsTopology -FileName "C:\topology.xml"

          次の作業

          Lync への認証局のルート証明書のインストール

          Lync への認証局のルート証明書のインストール

          TLS の設定は、IM and Presence サービスと Lync との間のパーティション イントラドメイン フェデレーションに使用する必要があります。 TCP は使用できません。 IM and Presence サービスおよび Lync 間の TLS 暗号化をサポートするには、Lync サーバごとに署名付きセキュリティ証明書がなければなりません。 この署名付き証明書は、証明書に署名した認証局(CA)のルート証明書とともに、Lync サーバごとにインストールする必要があります。

          Lync と IM and Presence サービス サーバで同じ CA を共有することをお勧めします。 そうしないと、IM and Presence サービスの証明書に署名した CA のルート証明書も Lync サーバごとにインストールする必要があります。

          通常、Lync CA のルート証明書は Lync サーバごとにあらかじめインストールされています。 したがって、Lync と IM and Presence サービスが同じ CA を共有する場合、ルート証明書をインストールする必要はありません。 ただし、ルート証明書が必要な場合は、次の詳細を参照してください。

          Microsoft 認証局を使用している場合、Microsoft 認証局から Lync へのルート証明書のインストールについて、『Interdomain Federation for IM and Presence Service on Cisco Unified Communications Managerに記載の次の手順を参照してください。

          • CA 証明書チェーンのダウンロード

          • CA 証明書チェーンのインストール

          別の CA を使用する場合は、次の手順が Lync サーバにルート証明書をインストールするための一般的な手順です。 CA からルート証明書をダウンロードする手順は、選択した CA によって異なります。


          (注)  


          『Integration Guide for Configuring IM and Presence Service for Interdomain Federation』マニュアルでは、Access Edge サーバについて説明しています。 パーティション イントラドメイン フェデレーションについては、Access Edge サーバへの参照を Lync Standard Edition サーバまたは Enterprise Edition フロントエンド サーバと置き換えることができます。


          はじめる前に

          CA からルート証明書または証明書チェーンをダウンロードし、Lync サーバのハード ディスクに保存します。

          手順
            ステップ 1   Lync サーバで、[Start(開始)] > [Run(実行)] を選択します。
            ステップ 2   mmc と入力し、[OK] をクリックします。
            ステップ 3   [File(ファイル)] メニューで、[Add/Remove Snap-in(スナップ インの追加/削除)] を選択します。
            ステップ 4   [Add/Remove Snap-In(スナップ インの追加/削除)] ダイアログボックスで、[Add(追加)] を選択します。
            ステップ 5   [Available Standalone Snap-ins(使用可能なスタンドアロン スナップイン)] リストで、[Certificates(証明書)] を選択し、[Add(追加)] をクリックします。
            ステップ 6   [Computer Account(コンピュータ アカウント)] を選択し、[Next(次へ)] をクリックします。
            ステップ 7   [Select Computer(コンピュータの選択)] ダイアログ ボックスで、[<Local Computer> (the computer this console is running on)(<ローカル コンピュータ>(このコンソールが実行されるコンピュータ))] チェックボックスをオンにし、[Finish(完了)] をクリックします。
            ステップ 8   [Close(閉じる)] をクリックし、[OK] をクリックします。
            ステップ 9   [証明書(Certificates)] コンソールの左側のペインで、[証明書(ローカル コンピュータ)(Certificates (Local Computer))] を展開します。
            ステップ 10   [信頼されたルート証明機関(Trusted Root Certification Authorities)] を展開します。
            ステップ 11   [Certificates(証明書)] を右クリックし、[All Tasks(すべてのタスク)] を選択します。
            ステップ 12   [Import(インポート)] をクリックします。
            ステップ 13   インポート ウィザードで、[Next(次へ)] をクリックします。
            ステップ 14   [Browse(参照)] をクリックして、ルート証明書または証明書チェーンを保存した場所に移動します。
            ステップ 15   ファイルを選択し、[Open(開く)] をクリックします。
            ステップ 16   [Next(次へ)] をクリックします。
            ステップ 17   [Place all certificates in the following store(証明書をすべて次のストアに配置する)] というデフォルト値のままにして、[Certificate store(証明書ストア)] の下に [Trusted Root Certification Authorities(信頼されたルート証明機関)] が表示されていることを確認します。
            ステップ 18   [Next(次へ)] をクリックし、さらに [Finish(終了)] をクリックします。
            ステップ 19   他の CA について、必要に応じて手順 11 ~ 18 を繰り返します。

            次の作業

            既存の Lync 署名付き証明書の検証

            既存の Lync 署名付き証明書の検証

            IM and Presence サービスおよび Lync 間の TLS 暗号化をサポートするには、Lync サーバごとに、クライアント認証をサポートする署名付きセキュリティ証明書がなければなりません。 署名付き証明書がすでに Lync サーバにインストールされている場合、次の手順では、既存の署名付き証明書がクライアント認証をサポートしているかどうかを確認する方法について説明します。

            次のいずれかの OID 値が証明書に割り当てられていることを確認します。
            • サーバおよびクライアント認証の両方に証明書が設定されている場合、OID 値は "1.3.6.1.5.5.7.3.1,1.3.6.1.5.5.7.3.2" です。

            • 証明書がサーバ認証のみに設定されている場合、OID 値は "1.3.6.1.5.5.7.3.1" です。


            (注)  


            • Standard Edition の場合、すべての Standard Edition サーバでこの手順を実行する必要があります。

            • Enterprise Edition の場合、すべてのフロントエンド サーバでこの手順を実行する必要があります。


            手順
              ステップ 1   Lync サーバで、[Start(スタート)] > [Run(実行)] を選択します。
              ステップ 2   mmc と入力し、[OK(OK)] をクリックします。
              ステップ 3   [File(ファイル)] メニューで、[Add/Remove Snap-in(スナップインを追加/削除)] を選択します。
              ステップ 4   [Add/Remove Snap-In(スナップインを追加/削除)] ダイアログボックスで、[Add(追加)] を選択します。
              ステップ 5   [Available Standalone Snap-ins(利用可能なスタンドアロン スナップイン)] リストで、[Certificates(証明書)] を選択し、[Add(追加)] を選択します。
              ステップ 6   [Computer account(コンピュータ アカウント)] を選択し、[Next(次へ)] をクリックします。
              ステップ 7   [Select Computer(コンピュータを選択)] ダイアログ ボックスで、[Local Computer (the computer this console is running on)(ローカル コンピュータ(このコンソールを実行中のコンピュータ))] チェックボックスをオンにし、[Finish(完了)] を選択します。
              ステップ 8   [Close(閉じる)] をクリックしてから、[OK(OK)] をクリックします。
              ステップ 9   [証明書(Certificates)] コンソールの左側のペインで、[証明書(ローカル コンピュータ)(Certificates (Local Computer))] を展開します。
              ステップ 10   [Personal(パーソナル)] を展開して、[Certificates(証明書)] を選択します。
              ステップ 11   右側のペインで、現在 Lync で使用されている署名付き証明書を見つけます。
              ステップ 12   [Client Authentication(クライアント認証)] が [Intended Purposes(使用目的)] カラムに記載されていることを確認します。

              次の作業

              Lync の認証局からの署名付き証明書の要求

              Lync の認証局からの署名付き証明書の要求

              IM and Presence サービスと Lync との間で TLS 暗号化をサポートするには、Lync の各サーバには、クライアント認証とサーバ認証をサポートする署名付きセキュリティ証明書が必要です。 次の手順は、認証局(CA)からの新しい署名付き証明書を要求し、Lync サーバにインストールする方法について説明します。

              次の手順は、Windows Server 2003 認証局に基づきます。 この手順は、他の Windows サーバのバージョンとは多少異なる場合があります。


              (注)  


              CA にはクライアント証明書およびサーバ認証 Extended Key Usage(EKU)をサポートする証明書のテンプレートが必要で、証明書に署名するときにこのテンプレートを使用する必要があります。


              Lync サーバに証明書をインストールする前に、次のいずれかの OID 値が証明書に割り当てられていることを確認します。
              • サーバおよびクライアント認証の両方に証明書が設定されている場合、OID 値は "1.3.6.1.5.5.7.3.1,1.3.6.1.5.5.7.3.2" です。

              • 証明書がサーバ認証のみに設定されている場合、OID 値は "1.3.6.1.5.5.7.3.1" です。


              ヒント


              証明書署名要求(CSR)を生成する場合、特定のテンプレート タイプが指定されない場合、デフォルト テンプレート形式が使用されます。 ユーザが証明書の登録プロセス中に指定したテンプレートの種類は、証明書で指定されているテンプレートのタイプに一致する必要があります。それ以外の場合は、証明書の登録プロセスが失敗します。


              手順
                ステップ 1   Lync Server 管理シェルで CSR ファイルを作成するには、次のコマンドを入力します。

                Request-CsCertificate -New -Type Default -Output filename -ClientEku $true

                (注)     

                内部または外部証明書の特定の要求を作成する場合は、-Type Default の代わりに、-Type External または -Type Default のパラメータを使用します。

                証明書に署名するために CA でカスタム証明書テンプレートを使用している場合は、コマンド文字列に --Template template_name パラメータを追加します。

                ステップ 2   Lync サーバにログインし、Web ブラウザを開きます。
                ステップ 3   次の URL を開きます。http://ca_server_IP_address/certsrv(SSL 暗号化の場合、HTTP ではなく HTTPS を使用)。
                ステップ 4   [Request a certificate(証明書を要求)] を選択し、[Advanced certificate request(高度な証明書を要求)] を選択します。
                ステップ 5   [Submit a certificate request by using a base-64-encoded CMC or PKCS #10 file(Base-64 で暗号化した CMC または PKCS #10 ファイルを使用して証明書要求を提出)] または [Submit a renewal request by using a base-64-encoded PKCS #7 file(Base-64 で暗号化した PKCS #7 ファイルを使用した更新要求を提出)] を選択します。
                ステップ 6   テキスト エディタを使用して作成した要求ファイルを開きます。
                ステップ 7   要求ファイルからすべてのテキストを選択し、コピーしてから、ブラウザの [Base-64-encoded certificate request (CMC or PKCS #10 or PKCS #7)(Base-64 で暗号化した証明書要求(CMC または PKCS #10 または PKC #7))] フィールドに貼り付けます。
                ステップ 8   [Submit(送信)] をクリックします。

                次の作業

                CA サーバからの証明書のダウンロード

                CA サーバからの証明書のダウンロード

                次の手順を実行し、CA サーバからルート証明書をダウンロードします。

                手順
                  ステップ 1   CA サーバにログインします。
                  ステップ 2   [Start(スタート)] > [Administrative Tools(管理ツール)] > [Certificate Authority(認証局)] を選択し、CA コンソールを起動します。
                  ステップ 3   [Pending Requests(保留中の要求)] をクリックします。
                  ステップ 4   右側のペインで送信した証明書の要求を右クリックし、[All Tasks(すべてのタスク)] > [Issue(発行)] を選択します。
                  ステップ 5   Lync サーバにログインし、Web ブラウザを開きます。
                  ステップ 6   次の URL を開きます。http://ca_server_IP_address/certsrv(SSL 暗号化の場合、HTTP ではなく HTTPS を使用)。
                  ステップ 7   [View the Status of a Pending Certificate Request(保留中の証明書要求のステータスの表示)] から、証明書の要求をクリックします。
                  ステップ 8   証明書をダウンロードします。

                  次の作業

                  Lync 用の署名済み証明書のインポート

                  Lync 用の署名済み証明書のインポート

                  署名付き証明書をインポートするには、次の手順を実行します。

                  はじめる前に

                  (注)  


                  次のいずれかの OID 値が証明書に割り当てられていることを確認します。
                  • サーバおよびクライアント認証の両方に証明書が設定されている場合、OID 値は "1.3.6.1.5.5.7.3.1,1.3.6.1.5.5.7.3.2" です。

                  • 証明書がサーバ認証のみに設定されている場合、OID 値は "1.3.6.1.5.5.7.3.1" です。


                  手順
                  Lync Server 管理シェルで次のコマンドを入力し、署名付き証明書をインポートします。

                  Import-CsCertificate -Path "signed_certificate_path" -PrivateKeyExportable $false

                  (注)     

                  証明書に秘密キーが含まれる場合、 -PrivateKeyExportable $true パラメータを使用します。


                  次の作業

                  Lync への証明書の割り当て

                  Lync への証明書の割り当て

                  次の手順を実行し、証明書を割り当てます。

                  手順
                    ステップ 1   [Start(開始)] > [Lync Server Deployment Wizard(Lync サーバ展開ウィザード)] を選択します。
                    ステップ 2   [Install or Update Lync Server System(Lync サーバ システムのインストールまたはアップデート)] を選択します。
                    ステップ 3   証明書を要求、インストール、または割り当てるには [Run Again(再実行)] をクリックします。
                    ステップ 4   [Certificate Wizard(証明書ウィザード)] ウィンドウで、デフォルトの証明書を選択します。
                    ステップ 5   [Assign(割り当て)] をクリックします。
                    ステップ 6   証明書の割り当てウィンドウで、[Next(次へ)] をクリックします。
                    ステップ 7   証明書ストア ウィンドウでインポートされた証明書を選択し、[Next(次へ)] をクリックします。
                    ステップ 8   証明書の割り当ての概要ウィンドウで [Next(次へ)] をクリックします。
                    ステップ 9   コマンドの実行ウィンドウで、タスクのステータスに [Completed(完了)] と表示されるまで待機し、[Finish(終了)] をクリックします。
                    ステップ 10   証明書ウィザードのウィンドウを閉じます。

                    次の作業

                    Lync サーバでのサービスの再起動

                    Lync サーバでのサービスの再起動

                    Lync のすべての手順を実行した後、Lync フロント エンド サービスを再起動して設定を有効にする必要があります。


                    (注)  


                    • この手順は、あらかじめスケジュールされたメンテナンスの時間帯に実施することをお勧めします。

                    • Standard Edition の場合、すべての Standard Edition サーバでこの手順を実行する必要があります。

                    • Enterprise Edition の場合、すべてのフロントエンド サーバでこの手順を実行する必要があります。


                    手順
                      ステップ 1   [Start(スタート)] > [Programs(プログラム)] > [Administrative Tools(管理ツール)] > [Services(サービス)]を選択します。
                      ステップ 2   サービス Lync フロント エンド サーバを右クリックして、[Restart(リスタート)] を選択します。