Cisco Unity セキュリティ ガイド IBM Lotus Domino版 Release 5.x
Cisco Unity で必要となる IP 通信
Cisco Unity で必要となる IP 通信
発行日;2012/01/09 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 795KB) | フィードバック

目次

Cisco Unity で必要となる IP 通信

概要

Cisco Unity から各種サーバおよびクライアントへのネットワーク トラフィック

Cisco Unity からドメイン コントローラへのネットワーク トラフィック

Cisco Unity からグローバル カタログ サーバへのネットワーク トラフィック

Cisco Unity から DNS サーバへのネットワーク トラフィック

Cisco Unity サーバから Domino へのネットワーク トラフィック

Cisco Unity フェールオーバー サーバ間のネットワーク トラフィック

Cisco Unity から Cisco Unified Communications Manager および電話機へのネットワーク トラフィック

Cisco Unity から SIP エンドポイント(PIMG デバイスおよび電話機を含む)へのネットワーク トラフィック

Cisco Unity からユーザ ワークステーションへのネットワーク トラフィック(DUC for Cisco および Cisco PCA の場合)

クライアントから Cisco Unity へのネットワーク トラフィック

Cisco Unified Communications Manager および電話機から Cisco Unity へのネットワーク トラフィック

SIP エンドポイント(PIMG デバイスおよび電話機を含む)から Cisco Unity へのネットワーク トラフィック

VNC クライアント ワークステーションから Cisco Unity へのネットワーク トラフィック

SNMP 管理ステーションから Cisco Unity へのネットワーク トラフィック

管理者のワークステーションから Cisco Unity へのネットワーク トラフィック

ユーザ ワークステーションから Cisco Unity へのネットワーク トラフィック(DUC for Cisco および Cisco PCA の場合)

Cisco Unity ユーザ ワークステーションから各種サーバへのネットワーク トラフィック

Cisco Unity ユーザ ワークステーションから DNS サーバへのネットワーク トラフィック

DCOM によるダイナミック ポート割り当ての制限

概要

企業では、自社のネットワークを外部の脅威から保護する手段として、従来からファイアウォールが利用されています。最近は、基幹インフラストラクチャを他の内部ネットワークから保護するものとして利用され始めています。この章では、Cisco Unity の動作に最小限必要となるプロトコルについて説明します。次の点に注意してください。

このマニュアルでは、クライアントとサーバの両方の通信要素について、この環境での役割ごとに説明します。サーバが複数の役割を実行する場合は、そのサーバのすべての役割について、どのようなプロトコルに依存しているかを考慮してください。たとえば、Exchange サーバがドメイン コントローラとグローバル カタログ サーバを兼ねる場合は、これらの 3 つの役割を 1 つのサーバに適用するときに、それぞれの役割について説明されている要件を考慮します。

ここでは、Microsoft が推奨する手順を引用して、Windows の RPC ネゴシエーションを把握しやすくしています。また、一部の Exchange サービスのポートを手動で静的ポート番号に設定する手順を示します。このマニュアルの記述は、説明された手順に従っていることを前提としています。

詳細については、「TCP/UDP ポートの保護」を参照してください。

Cisco Unity から各種サーバおよびクライアントへのネットワーク トラフィック

次の各項を参照してください。

「Cisco Unity からドメイン コントローラへのネットワーク トラフィック」

「Cisco Unity からグローバル カタログ サーバへのネットワーク トラフィック」

「Cisco Unity から DNS サーバへのネットワーク トラフィック」

「Cisco Unity サーバから Domino へのネットワーク トラフィック」

「Cisco Unity フェールオーバー サーバ間のネットワーク トラフィック」

「Cisco Unity から Cisco Unified Communications Manager および電話機へのネットワーク トラフィック」

「Cisco Unity から SIP エンドポイント(PIMG デバイスおよび電話機を含む)へのネットワーク トラフィック」

「Cisco Unity からユーザ ワークステーションへのネットワーク トラフィック(DUC for Cisco および Cisco PCA の場合)」

Cisco Unity からドメイン コントローラへのネットワーク トラフィック

Cisco Unity は、ドメイン コントローラの次のポートに対して TCP と UDP のクライアント接続を確立できる必要があります。

 

ドメイン コントローラ上のポート
プロトコルまたはサービス

TCP および UDP 88

Kerberos

TCP および UDP 464

Kerberos パスワード v5

TCP および UDP 389

LDAP

TCP 636

LDAP over SSL

UDP 137

UDP 138

TCP 139

TCP 445

NetBIOS

UDP 123

NTP

TCP 135

WinRPC エンドポイント ロケータ

TCP および UDP 5000 ~ 5020

ポート自動割り当ての範囲を限定した後の DCOM RPC の範囲。「DCOM によるダイナミック ポート割り当ての制限」を参照してください。

Cisco Unity からグローバル カタログ サーバへのネットワーク トラフィック

Cisco Unity は、グローバル カタログ サーバの次のポートに対して TCP と UDP のクライアント接続を確立できる必要があります。

 

グローバル カタログ サーバ上のポート
プロトコルまたはサービス

TCP および UDP 88

Kerberos

TCP および UDP 464

Kerberos パスワード v5

TCP および UDP 389

LDAP

TCP 636

LDAP over SSL

TCP および UDP 3268

LDAP

TCP 3269

LDAP over SSL

UDP 137

UDP 138

TCP 139

TCP 445

NetBIOS

TCP 135

WinRPC エンドポイント ロケータ

TCP および UDP 5000 ~ 5020

ポート自動割り当ての範囲を限定した後の DCOM RPC の範囲。「DCOM によるダイナミック ポート割り当ての制限」を参照してください。

Cisco Unity から DNS サーバへのネットワーク トラフィック

Cisco Unity は、DNS サーバに対して TCP と UDP の接続をポート 53 で確立できる必要があります。

Cisco Unity サーバから Domino へのネットワーク トラフィック

Cisco Unity は、管理者が Cisco Unity ユーザを登録した Domino サーバへの接続を TCP ポート 1352 および 2284 で確立し、維持できる必要があります。

Cisco Unity フェールオーバー サーバ間のネットワーク トラフィック

フェールオーバーが設定されている場合、フェールオーバー ペアに含まれている Cisco Unity サーバは、次の接続を互いに確立できる必要があります。

 

各 Cisco Unity サーバ上のポート
プロトコルまたはサービス

UDP 137

UDP 138

TCP 139

TCP 445

NetBIOS

TCP 1433 および UDP 1434

Microsoft SQL Server

TCP 3372

Microsoft 分散トランザクション コーディネータ

TCP 3653

フェールオーバー ノード マネージャ

Cisco Unity から Cisco Unified Communications Manager および電話機へのネットワーク トラフィック

Cisco Unity の通信要件は SCCP 電話機と同一です。Cisco Unity は、次の接続を確立できる必要があります。

 

Cisco Unified Communications Manager サーバまたは各電話機のポート
プロトコルまたはサービス

TCP 2000 または 2443

ポート 2000 は、デフォルトの SCCP ポートです。

SCCP が TLS で保護されている場合、Cisco Unity はポート 2443(Cisco Unified Communications Manager サーバ上で設定される TLS ポート)に接続できる必要があります。

TCP 8443

Cisco Unified Communications Manager 5.0 以降の Web サーバ ポート

UDP 22800 ~ 32767

RTP(音声メディア トラフィック)。このトラフィックは、Cisco Unity が直接通信する VoIP 電話機およびゲートウェイでも許可されている必要があります。

Cisco Unity から SIP エンドポイント(PIMG デバイスおよび電話機を含む)へのネットワーク トラフィック

SIP が使用されている場合、Cisco Unity の直接の接続先となる SIP エンドポイント(PIMG デバイスを含む)に対して、Cisco Unity が次の接続を確立できる必要があります。

 

SIP エンドポイント上のポート
プロトコルまたはサービス

TCP 5060

SIP デバイスのデフォルト SIP 制御ポート。

UDP 22800 ~ 32767

RTP(音声メディア トラフィック)。このトラフィックは、Cisco Unity の直接の通信相手となる SIP 電話機およびゲートウェイでも許可されている必要があります。

Cisco Unity からユーザ ワークステーションへのネットワーク トラフィック(DUC for Cisco および Cisco PCA の場合)

IBM Lotus Domino Unified Communications (DUC) for Cisco では、Cisco Unity サーバを起点とする次の TCP 接続と UDP 接続にユーザ ワークステーションが対応できることが要件になります。Cisco Unity ユーザが Cisco Personal Communications Assistant(PCA)を使用する場合も、同様の TCP 接続と UDP 接続が必要です。

 

ユーザ ワークステーション上のポート
プロトコルまたはサービス

TCP 135

WinRPC エンドポイント ロケータ

TCP および UDP 5000 ~ 5020

ポート自動割り当ての範囲を限定した後の DCOM RPC の範囲。「DCOM によるダイナミック ポート割り当ての制限」を参照してください。

クライアントから Cisco Unity へのネットワーク トラフィック

次の各項を参照してください。

「Cisco Unified Communications Manager および電話機から Cisco Unity へのネットワーク トラフィック」

「SIP エンドポイント(PIMG デバイスおよび電話機を含む)から Cisco Unity へのネットワーク トラフィック」

「VNC クライアント ワークステーションから Cisco Unity へのネットワーク トラフィック」

「SNMP 管理ステーションから Cisco Unity へのネットワーク トラフィック」

「管理者のワークステーションから Cisco Unity へのネットワーク トラフィック」

「ユーザ ワークステーションから Cisco Unity へのネットワーク トラフィック(DUC for Cisco および Cisco PCA の場合)」

Cisco Unified Communications Manager および電話機から Cisco Unity へのネットワーク トラフィック

(SCCP を使用して)Cisco Unified Communications Manager (CM)(旧名称 Cisco Unified CallManager)を使用する場合、Cisco Unified CM および IP Phone は、UDP の RTP トラフィックを Cisco Unity の UDP ポート 22800 ~ 32767 に配信できる必要があります。

SIP エンドポイント(PIMG デバイスおよび電話機を含む)から Cisco Unity へのネットワーク トラフィック

(SIP が使用されている場合)Cisco Unity と直接に通信する SIP エンドポイントは、Cisco Unity に対して次の接続を確立できる必要があります。

 

Cisco Unity サーバ上のポート
プロトコルまたはサービス

TCP 5060

SIP デバイスのデフォルト SIP 制御ポート。

UDP 22800 ~ 32767

RTP(音声メディア トラフィック)。

VNC クライアント ワークステーションから Cisco Unity へのネットワーク トラフィック

VNC を使用して Cisco Unity を管理する場合、リモート管理に使用する VNC クライアント ワークステーションは、Cisco Unity サーバ上の選択された VNC デスクトップに接続できる必要があります。デフォルトの VNC リモート デスクトップ ポートは、TCP ポート 5900 です。

SNMP 管理ステーションから Cisco Unity へのネットワーク トラフィック

SNMP を使用して Cisco Unity を監視する場合、SNMP 管理ステーションは、Cisco Unity サーバの UDP ポート 161 にデータを配信できる必要があります。

管理者のワークステーションから Cisco Unity へのネットワーク トラフィック

HTTP または HTTPS を使用して Cisco Unity を管理する場合、Web 管理を実行するワークステーションは、Cisco Unity サーバの次のポートに対して接続を確立できる必要があります。

 

Cisco Unity サーバ上のポート
プロトコルまたはサービス

HTTPS が無効になっている場合は TCP 80

IIS Web サーバ

HTTPS が有効になっている場合は TCP 443

IIS Web サーバ

TCP 135

WinRPC エンドポイント ロケータ

TCP および UDP 5000 ~ 5020

ポート自動割り当ての範囲を限定した後の DCOM RPC の範囲。「DCOM によるダイナミック ポート割り当ての制限」を参照してください。

UDP 137

UDP 138

TCP 139

TCP 445

NetBIOS。Cisco Unity レポート用の Windows ファイル共有に管理者が直接アクセスする場合は必須。

TCP 3389

WTS または RDP を使用して Cisco Unity を管理する場合。

ユーザ ワークステーションから Cisco Unity へのネットワーク トラフィック(DUC for Cisco および Cisco PCA の場合)

IBM Lotus Domino Unified Communications (DUC) for Cisco では、ユーザ ワークステーションが Cisco Unity サーバの次の TCP ポートと UDP ポートに対して接続を確立できることが要件になります。

 

Cisco Unity サーバ上のポート
プロトコルまたはサービス

TCP 135

WinRPC エンドポイント ロケータ

TCP および UDP 5000 ~ 5020

ポート自動割り当ての範囲を限定した後の DCOM RPC の範囲。「DCOM によるダイナミック ポート割り当ての制限」を参照してください。

ユーザが Cisco PCA にアクセスする場合、ユーザ ワークステーションは、Cisco Unity サーバの次のポートに対して接続を確立できる必要があります。

 

Cisco Unity サーバ上のポート
プロトコルまたはサービス

HTTPS が無効になっている場合は TCP 80

IIS Web サーバ

HTTPS が有効になっている場合は TCP 443

IIS Web サーバ

TCP 135

WinRPC エンドポイント ロケータ

TCP および UDP 5000 ~ 5020

ポート自動割り当ての範囲を限定した後の DCOM RPC の範囲。「DCOM によるダイナミック ポート割り当ての制限」を参照してください。

Cisco Unity ユーザ ワークステーションから各種サーバへのネットワーク トラフィック

Cisco Unity ユーザ ワークステーションから DNS サーバへのネットワーク トラフィック

各 Cisco Unity ユーザ ワークステーションは、DNS サーバに対して TCP と UDP の接続をポート 53 で確立できる必要があります。

DCOM によるダイナミック ポート割り当ての制限

デフォルトでは、DCOM は TCP および UDP のポートを 1024 ~ 65535 の範囲で動的に割り当てます。動的に割り当てられるポートを制限して範囲を絞るには、次の手順を実行します。

DCOM によるダイナミック ポート割り当てを制限する


ステップ 1 Windows の[スタート]メニューで、 [プログラム] >[管理ツール] >[コンポーネント サービス] をクリックします。

ステップ 2 [コンポーネント サービス]ノードと[コンピュータ]ノードを展開します。 [マイ コンピュータ] を右クリックし、 [プロパティ] をクリックします。

ステップ 3 [既定のプロトコル]タブで、[DCOM プロトコル]リストの [接続指向 TCP/IP] をクリックし、 [プロパティ] をクリックします。

ステップ 4 [COM インターネット サービスのプロパティ]ダイアログボックスで、 [追加] をクリックします。

ステップ 5 [ポート範囲]テキスト ボックスで、ポート範囲を追加し(例:5000-5020)、 [OK] をクリックします。


) ポート数が 20 未満となるポート範囲を入力した場合、一部のサービスが開始されません。


ステップ 6 [ポート範囲の割り当て]オプションおよび[既定の動的ポート割り当て]オプションは、 [インターネットの範囲] に設定されたままにします。

ステップ 7 [OK] を 3 回クリックします。

ステップ 8 Cisco Unity サーバを再起動します。


 

ダイナミック ポート割り当ての範囲を限定する方法の詳細については、Microsoft サポート技術情報の記事 300083「 How To Restrict TCP/IP Ports on Windows 2000 and Windows XP 」を参照してください。このドキュメントは、Microsoft のサポート Web サイトから入手可能です。