登録管理

登録について

エンドポイントが Expressway を SIP レジストラまたは H.323 ゲートキーパーとして使用するには、まずエンドポイントを Expressway に登録する必要があります。 次のメカニズムを使用して、Expressway に登録できるデバイスを制御するように設定できます。

これらのメカニズムを組み合わせて使用することもできます。 たとえば、認証を使用して企業ディレクトリからエンドポイントの ID を検証し、登録制限を使用して認証されたエンドポイントのうちどのエンドポイントが特定の Expressway に登録できるかを制御できます。

次のようなプロトコル固有の動作も制御できます。

  • H.323 登録の登録競合モード自動検出設定

  • SIP 登録用の SIP 登録プロキシモード

クラスター内のピア間で登録を管理する方法の詳細については、「 ピア間での登録の共有 」セクションを参照してください。

ユニファイドコミュニケーション 導入では、SIP デバイスのエンドポイント登録を Unified CM が提供できます。このシナリオでは、Expressway が Unified CM 登録のための安全なファイアウォールトラバーサルと回線側サポートを提供します。 ドメインを設定するときに、Cisco Unified Communications Manager または Expressway のどちらがドメインの登録およびプロビジョニング サービスを提供するかを選択できます。

登録する Expressway を探す

エンドポイントを Expressway に登録する前に、どの Expressway に登録するか、または登録する必要があるかを決定する必要があります。 この設定はエンドポイントで構成され、プロセスは SIPH.323 で異なります


(注)  

たとえば、MRA を選択した場合、Expressway E は [登録(Registration)] タブを無効にしてもデバイスを登録します。

MCU、ゲートウェイ、コンテンツ サーバの登録

ゲートウェイ、MCU、コンテンツサーバーなどの H.323 システムも Expressway に登録できます。 これらはローカルに登録されたサービスとして知られています。 これらのシステムは独自のプレフィックスを使用して設定されており、登録時に Expressway に提供されます。 そうすることで、Expressway は、そのプレフィックスで始まるすべての通話を、ゲートウェイ、MCU、またはコンテンツ サーバに適切にルーティングするようになります。 これらのプレフィックスは登録を制御するためにも使用できます。

SIP デバイスはプレフィックスを登録できません。 ダイヤル プランで SIP デバイスに特定のプレフィックス経由でアクセスするように指定されている場合は、使用するプレフィックスと等しいパターン マッチを使用して、関連付けられた検索ルールを持つネイバー ゾーンとしてデバイスを追加する必要があります。

登録制限ポリシーの設定

登録構成 ページ (構成 > 登録 > 構成) は、Expressway が登録を管理する方法を制御するために使用されます。

制限ポリシー オプションは、どのエンドポイントが Expressway に登録できるかを決定するときに使用するポリシーを指定します。 次のオプションがあります。 

  • なし: どのエンドポイントでも登録できます。

  • 許可リスト: 許可リストのエントリと一致するエイリアスを持つエンドポイントのみが登録できます。

  • 拒否リスト: 拒否リストのエントリと一致しない限り、すべてのエンドポイントが登録できます。

  • ポリシーサービス: 外部ポリシーサービスによって許可された詳細を使用して登録するエンドポイントのみが登録できます。

デフォルトは なしです。

許可リスト または 拒否リストを使用する場合は、適切な 登録許可リスト または 登録拒否リスト 構成ページに移動してリストを作成する必要があります。

すべての登録制限ポリシーの決定を外部サービスに委託する場合は、 ポリシー サービス オプションを使用します。 このオプションを選択すると、外部サービスの接続詳細を指定できるように、追加の構成フィールドが表示されます。 「 外部サービスを使用するための登録ポリシーの構成」を参照してください。

エイリアスの登録

デバイス認証 プロセス (必要な場合) が完了すると、エンドポイントはエイリアスを Expressway に登録しようとします。

H.323

登録時に、H.323 エンドポイントは Expressway に次の 1 つ以上の情報を提示します。

  • 1 つ以上の H.323 ID

  • 1 つ以上の E.164 エイリアス

  • 1 つ以上の URI

他の登録済みエンドポイントのユーザは、これらのエイリアスのいずれかをダイヤルしてエンドポイントに電話をかけることができます。

  • URI を使用して H.323 エンドポイントを登録することをお勧めします。 これにより、SIP エンドポイントが標準として URI を使用して登録されるため、SIP と H.323 間の相互運用が容易になります。

  • 機密情報を公開するエイリアスは使用しないことをお勧めします。 H.323 の性質上、通話設定情報は暗号化されていない形式で交換されます。

SIP

登録時に、SIP エンドポイントは、連絡先アドレス (IP アドレス) と論理アドレス (レコードのアドレス) を Expressway に提示します。 論理アドレスはエイリアスと見なされ、通常は URI の形式になります。

H.350 ディレクトリ認証と登録

Expressway が登録要求の認証に H.350 ディレクトリ サービスを使用している場合は、 登録用のエイリアスのソース 設定を使用して、エンドポイントが登録を試行できるエイリアスを決定します。 詳細については、「 "LDAP 経由の H.350 ディレクトリ サービス検索の使用" 」を参照してください。

既存のエイリアスを使用して登録しようとしました

エンドポイントは、システムにすでに登録されているエイリアスを使用して Expressway に登録しようとする場合があります。 これをどのように管理するかは、Expressway の設定方法とエンドポイントが SIP か H.323 かによって異なります。

  • H.323: H.323 エンドポイントは、別の IP アドレスから Expressway にすでに登録されているエイリアスを使用して、Expressway に登録しようとする場合があります。 このような状況での Expressway の動作を制御するには、 [H.323] ページ ( [構成] [プロトコル][H.323] > ) で > [登録競合モード] を設定します。

  • SIP: SIP エンドポイントは、別の IP アドレスで既に使用されているエイリアスを使用して登録することが常に許可されます。 このエイリアスに対する呼び出しが受信されると、そのエイリアスを使用して登録されているすべてのエンドポイントが同時に呼び出されます。 この SIP 機能は、"フォーキング"として知られています。

登録をブロックする

Expressway を 拒否リスト を使用するように設定している場合は、登録をブロックするオプションがあります。 これにより、そのエンドポイントで使用されるすべてのエイリアスが拒否リストに追加されます。

既存の登録を削除する

制限ポリシーが有効になると、それ以降のすべての登録要求が制限ポリシーによって制御されます。 ただし、新しいリストによって既存の登録がブロックされる場合でも、既存の登録はそのまま残る場合があります。 したがって、制限ポリシーを実装した後は、既存の不要な登録をすべて手動で削除することをお勧めします。

登録を手動で削除するには、 [ステータス] > [登録] > [デバイス別] に移動し、削除する登録を選択して、 [登録解除] をクリックします

登録されたデバイスがアクティブな通話中にその登録が削除された(または期限切れになった)場合、通話への影響はプロトコルによって異なります。

  • H.323: 通話が切断されます。

  • SIP: デフォルトでは通話は継続されます。 この SIP の動作は変更できますが、CLI 経由でのみ、 xConfiguration SIP Registration Call Remove コマンドを使用する必要があります。

再登録

すべてのエンドポイントは、登録をアクティブに保つために、定期的に Expressway に再登録する必要があります。 登録を手動で削除しない場合、エンドポイントが再登録を試みたときに登録が削除される可能性がありますが、これはエンドポイントで使用されているプロトコルによって異なります。

  • H.323 エンドポイントは、初期登録で提示されたすべてのエイリアスを含まない "軽量" 再登録を使用することがあるため、再登録は制限ポリシーによってフィルタリングされない可能性があります。 この場合、登録は登録タイムアウト期間の終了時に期限切れにならないため、手動で削除する必要があります。

  • SIP 再登録には初期登録と同じ情報が含まれるため、制限ポリシーによってフィルタリングされます。 つまり、リストがアクティブ化された後、登録タイムアウト期間の終了時にすべての SIP 登録が消えます。

再登録の頻度は、SIP登録制御設定 ([設定(Configuration)] > [プロトコル(Protocols)] > [SIP]) および H.323 の存続可能時間設定 ([設定(Configuration)] > [プロトコル(Protocols)] > [H.323]) によって決まります。


(注)  

登録の有効期限を短くしすぎると、Expressway に登録要求が殺到し、パフォーマンスに深刻な影響を与える危険性があります。 この影響はエンドポイントの数に比例するため、時折の迅速なフェイルオーバーと、継続的な良好なパフォーマンスの必要性のバランスをとってください。

許可リストと拒否リストについて

エンドポイントが Expressway に登録しようとすると、エイリアスのリストを提示します。 登録を許可するエンドポイントを制御するために Expressway が提供する方法の 1 つは、 制限ポリシー ( 登録制限ポリシーの設定 ページ) を 許可リスト または 拒否リスト に設定し、必要に応じてエンドポイントのエイリアスのいずれかを許可リストまたは拒否リストに含めることです。 各リストには最大 2,500 件のエントリを含めることができます。

エンドポイントが登録を試みると、そのエイリアスのそれぞれが関連リスト内のパターンと比較され、一致するかどうかが確認されます。 登録を許可または拒否するには、エイリアスの 1 つだけが許可リストまたは拒否リストに表示される必要があります。

たとえば、 制限ポリシー拒否リスト に設定され、エンドポイントが 3 つのエイリアスを使用して登録を試み、そのうちの 1 つが拒否リストのパターンと一致する場合、そのエンドポイントの登録は拒否されます。 同様に、 制限ポリシー許可リストに設定されている場合、エンドポイントのエイリアスの 1 つだけが許可リストのパターンと一致すれば、そのすべてのエイリアスを使用して登録できるようになります。

許可リストと拒否リストは相互に排他的であり、一度に使用できるのは 1 つだけです。 サブゾーン レベルで登録を制御することもできます。 各サブゾーンの登録ポリシーは、サブゾーン メンバーシップ ルールを介して割り当てられた登録を許可または拒否するように構成できます。

登録許可リストの設定

登録許可リスト ページ (構成 > 登録 > 許可リスト) には、Expressway への登録が許可されているエンドポイント エイリアスとエイリアス パターンが表示されます。 登録が許可されるには、エンドポイントのエイリアスの 1 つだけが許可リストのエントリと一致する必要があります。

許可リストを使用するには、登録設定ページで、許可リスト制限ポリシー を選択する必要があります。

設定可能なオプションは次のとおりです。

フィールド

説明

使用上のヒント

説明

エントリのオプションの自由形式の説明。

パターンタイプ

パターン文字列 がエイリアスと一致する方法。

次のオプションがあります。

正確: エイリアスはパターン文字列と完全に一致する必要があります。

プレフィックス: エイリアスはパターン文字列で始まる必要があります。

サフィックス: エイリアスはパターン文字列で終わる必要があります。

正規表現: パターン文字列は 正規表現です。

パターンのチェック ツール (メンテナンス > ツール > パターンのチェック) を使用して、パターンが特定のエイリアスと一致するかどうかをテストできます。

パターン文字列

エイリアスを比較するパターン。

登録拒否リストの設定

登録拒否リスト ページ (構成 > 登録 > 拒否リスト) には、Expressway への登録が許可されていないエンドポイント エイリアスとエイリアス パターンが表示されます。 登録を拒否するには、エンドポイントのエイリアスの 1 つが拒否リストのエントリと一致すれば十分です。

拒否リストを使用するには、登録設定ページで、拒否リスト制限ポリシー を選択する必要があります。

設定可能なオプションは次のとおりです。

フィールド

説明

使用上のヒント

説明

エントリのオプションの自由形式の説明。

パターンタイプ

パターン文字列 がエイリアスと一致する方法。

次のオプションがあります。

正確: エイリアスはパターン文字列と完全に一致する必要があります。

プレフィックス: エイリアスはパターン文字列で始まる必要があります。

サフィックス: エイリアスはパターン文字列で終わる必要があります。

正規表現: パターン文字列は 正規表現です。

パターンのチェック ツール (メンテナンス > ツール > パターンのチェック) を使用して、パターンが特定のエイリアスと一致するかどうかをテストできます。

パターン文字列

エイリアスを比較するパターン。

外部サービスを使用するための登録ポリシーの構成

すべての登録制限ポリシーの決定を外部サービスに参照するように登録ポリシーを構成するには、次の手順を実行します。

手順

ステップ 1

[設定(Configuration)] > [登録(Registration)] > [設定(Configuration)]に移動します。

ステップ 2

[ポリシーサービス(Policy service)][制限ポリシー(Restriction policy)] を選択します。

ステップ 3

フィールドを次のように設定します。

フィールド

説明

使用上のヒント

Protocol(プロトコル)

ポリシー サービスに接続するために使用されるプロトコル。

デフォルトは HTTPS です

Expressway は、ポリシー サービス サーバと通信するときに、HTTP から HTTPS へのリダイレクトを自動的にサポートします。

証明書検証モード

HTTPS 経由で接続する場合、この設定はポリシー サーバによって提示された証明書が検証されるかどうかを制御します。

オンの場合、Expressway が HTTPS 経由でポリシー サーバに接続するには、そのサーバのサーバ証明書を承認するルート CA 証明書が Expressway にロードされている必要があります。 また、証明書のサブジェクト共通名またはサブジェクト代替名は、以下の サーバ アドレス フィールドのいずれかと一致する必要があります。

Expressway のルート CA 証明書は、(メンテナンス > セキュリティ > 信頼された CA 証明書) を介してロードされます。

HTTPS 証明書失効リスト(CRL)のチェック

CRL を使用して証明書のチェックを保護する必要があり、CRL ファイルを手動でロードした場合、または CRL の自動更新を有効にしている場合は、このオプションを有効にします。

Expressway が CRL ファイルをアップロードする方法を設定するには、「 メンテナンス > セキュリティ > CRL 管理 」に移動します。

サーバアドレス 1 - 3

サービスをホストするサーバの IP アドレスまたは完全修飾ドメイン名 (FQDN) を入力します。 アドレスに :<port> を追加することでポートを指定できます。

FQDN が指定されている場合は、Expressway に FQDN を解決できる適切な DNS 構成があることを確認してください。

レジリエンシーを高めるために、最大 3 つのサーバーアドレスを提供できます。

パス

サーバ上のサービスの URL を入力します。

ステータスパス

ステータス パス は、Expressway がリモート サービスのステータスを取得できるパスを識別します。

デフォルトはステータスです。

ポリシー サーバは戻りステータス情報を提供する必要があります。 ポリシー サーバのステータスと復元力を参照してください。

ユーザ名

Expressway がログインしてサービスを照会するために使用するユーザ名。

パスワード

Expressway がサービスにログインしてクエリを実行するために使用するパスワード。

プレーンテキストの最大長は 30 文字です (その後暗号化されます)。

デフォルトの CPL

これは、サービスが利用できない場合に Expressway が使用するフォールバック CPL です。

たとえば、応答サービスや録音されたメッセージにリダイレクトするように変更できます。

詳細については、「 ポリシー サービスのデフォルト CPL」を参照してください。

ステップ 4

[保存(Save)] をクリックします。

Expressway はポリシー サービス サーバに接続し、登録ポリシーの決定にサービスを使用し始める必要があります。

接続に関する問題があればこのページに報告されます。 ページの下部にある [ステータス(Status)] 領域を確認し、[サーバーアドレス(Server address)] フィールドに対して追加情報メッセージが表示されているかどうかを確認します。