この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
• 「Microsoft パフォーマンス モニタ カウンタの使用方法」
• 「Cisco CTL クライアントのトラブルシューティング」
• 「電話機および Cisco IOS MGCP ゲートウェイの暗号化のトラブルシューティング」
• 「セキュア SRST リファレンスのトラブルシューティング」
ヒント この章では、Cisco IP Phone がロード エラーやセキュリティのバグなどによって障害を起こした場合に IP Phone をリセットする方法は説明していません。IP Phone のリセットについては、IP Phone のモデルに対応した『Cisco IP Phone アドミニストレーション ガイド for Cisco CallManager 』を参照してください。
ここでは、Cisco IP Phone 7970 モデル、7960 モデル、および 7940 モデルだけから CTL ファイルを削除する方法について説明します。この作業の実行方法については、表 9-4、または IP Phone のモデルに対応した『Cisco IP Phone アドミニストレーション ガイド for Cisco CallManager』を参照してください。
Cisco CallManager Serviceability は、次の場合にアラームを生成します。
• 認証済みデバイスが非 TLS SCCP 接続を使用して登録する場合や、認証されていない IP Phone が TLS SCCP 接続を使用して登録する場合。
• ピア証明書のタイトルに含まれているデバイス名が、デバイス登録に使用されるデバイス名と一致しない場合。
• デバイスが Cisco CallManager 設定と互換性のない TLS 接続を使用して、Cisco CallManager に登録する場合。
次の状況では、IP Phone でアラームが生成される場合があります。
• TFTP Not Authorized: <IP address>
IP Phone がこのアラームを生成するのは、TFTP サーバ情報(代替またはそれ以外)が CTL ファイル内に存在しない場合です。DHCP がプライマリとバックアップのサーバ アドレスを提供した状況で、どちらのアドレスも CTL ファイルに存在しない場合は、IP Phone がアラームを 2 回発行することがあります。CTL ファイル情報を正しく入力したこと、および DHCP サーバに正しいアドレスを設定したことを確認してください。
IP Phone がこのアラームを生成する理由には、CTL ファイルの破損など、さまざまなものがあります。CTL ファイルが破損した場合は、sniffer トレースを使用して、ネットワークのトラブルシューティングを行う必要があります。問題を特定できない場合は、コンソール ケーブルを使用してデバッグする必要があります。詳細については、『 Cisco IP Phone アドミニストレーション ガイド for Cisco CallManager 』を参照してください(ただし、Cisco IP Phone 7970 モデル、7960 モデル、および 7940 モデルの場合で、IP Phone モデルに対応した管理マニュアルに詳細が記載されていないとき)。
ヒント IP Phone で生成されるその他のアラームについては、IP Phone のモデルに対応した『Cisco IP Phone アドミニストレーション ガイド for Cisco CallManager 』と、「CTL ファイルに問題がある場合の IP Phone のトラブルシューティング」を参照してください。
• Cisco CallManager Serviceability アドミニストレーション ガイド
Microsoft パフォーマンス モニタ カウンタは、Cisco CallManager に登録する認証済み IP Phone の数、完了した認証済みコールの数、および任意の時点でアクティブになっている認証済みコールの数を監視するために用意されています。
Cisco AVVID Partner や Cisco Technical Assistance Center(TAC)など、この製品のテクニカル サポートに連絡する場合は、事前に次のログ ファイルを取得して検討します。
• Cisco CallManager:C:\Program Files\Cisco\Trace\CCM
• TFTP:C:\Program Files\Cisco\Trace\TFTP
• DBL:C:\Program Files\Cisco\Trace\DBL
–C:\Program Files\Cisco\Trace\DBL\DBLR*
–C:\Program Files\Cisco\Trace\DBL\DBLRT*
–C:\Program Files\Cisco\Trace\DBL\DBL_CCM*
–C:\Program Files\Cisco\Trace\DBL\DBL_TFTP*
–C:\Program Files\Cisco\Trace\DBL\DBL_CTLPROVIDER*
• Cisco CallManager SDL Traces:C:\Program Files\Cisco\Trace\SDL\CCM
ヒント ローカルで有効な証明書の検証が失敗する場合は、SDL トレース ファイルを検討します。
• HTTPS:C:\program files\common files\cisco\logs\HTTPSCertInstall.log
• CTL Provider Service:C:\Program Files\Cisco\Trace\CTLProvider
• Cisco CTL クライアント:C:\Program Files\Cisco\CTL Client\Trace
デフォルトでは、Cisco CTL クライアントのインストール先は、CTL クライアントが存在するサーバまたはワークステーション上の
C:\Program Files\Cisco\CTL File になります(C:\ctlinstall.log を参照)。
• Cisco Certificate Authority Proxy Function(CAPF)サービス:
C:\Program Files\Cisco\Trace\CAPF
• SRST リファレンス:winnt\system32\Trace
表 9-1 は、HTTPS の設定時に問題が発生した場合に表示されるメッセージ、その問題への修正処置、および理由を説明しています。
|
|
---|---|
The security library has encountered an improperly formatted DER-encoded message. |
このエラーが発生するのは、HTTPS サービスを有効にする証明書が、証明書のサブジェクト名としてホスト名を使用するためです。Netscape 4.79 はサブジェクト名に含まれているアンダースコアを無効な文字と見なすため、HTTPS は動作しません。 HTTPS をサポートするには、Internet Explorer を使用します。Netscape 4.79 とホスト名を使用してアプリケーションにアクセスするには、HTTPS を無効にします(「仮想ディレクトリの HTTPS の無効化」を参照)。 |
A network error occurred while Netscape was receiving data. |
HTTPS 用の Cisco CallManager 証明書が、ローカルの Netscape 4.79 ブラウザに存在しますが、Cisco • Internet Explorer を使用して、アプリケーションにアクセスします。 • Netscape 4.79 を使用して、 Communicator -> Tools -> Security Info -> Certificates -> Web sites の順に選択し、Cisco CallManager サーバ用の HTTPS 証明書を強調表示させます。Web Sites Certificates ウィンドウで Delete をクリックします。確認プロンプトで OK をクリックして確定します。次に OK をクリックします。 |
仮想ディレクトリの HTTPS を有効にするには、次の手順を実行します。
ステップ 1 Start > Programs > Administrative Tools > Internet Services Manager の順に選択します。
ステップ 2 HTTPS 証明書が存在するサーバの名前をクリックします。
ステップ 3 Default Web Site をクリックします。
ステップ 6 Directory Security タブをクリックします。
ステップ 7 Secure Communications の下にある Edit ボタンをクリックします。
ステップ 8 SSL Required チェックボックスをオンにします。
ステップ 9 HTTPS を有効にするすべての仮想ディレクトリについて、この手順を実行します。
仮想ディレクトリの HTTPS を無効にするには、次の手順を実行します。
ステップ 1 Start > Programs > Administrative Tools > Internet Services Manager の順に選択します。
ステップ 2 HTTPS 証明書が存在するサーバの名前をクリックします。
ステップ 3 Default Web Site をクリックします。
ステップ 4 仮想ディレクトリ(たとえば、CCMAdmin)をクリックします。
ステップ 6 Directory Security タブをクリックします。
ステップ 7 Secure Communications の下にある Edit をクリックします。
ステップ 8 SSL Required チェックボックスをオフにします。
ステップ 9 この作業を、CCMAdmin、CCMService、CCMUser、AST、BAT、RTMTReports、
CCMTraceAnalysis、CCMServiceTraceCollectionTool、PktCap、および ART の各仮想ディレクトリについて実行します。
ステップ 1 Start > Programs > Administrative Tools > Internet Services Manager の順に選択します。
ステップ 2 HTTPS 証明書が存在するサーバの名前をクリックします。
ステップ 3 Directory Security タブをクリックします。
ステップ 4 Secure Communications で Server Certificate ボタンをクリックします。
ステップ 6 Remove the Current Certificate を選択します。
• 「セキュリティ トークン パスワード(Etoken)の変更」
• 「不適切なセキュリティ トークン パスワードを続けて入力した場合のロックされたセキュリティ トークンのトラブルシューティング」
• 「Smart Card サービスの Started および Automatic への設定」
• 「CTL ファイルに問題がある場合の IP Phone のトラブルシューティング」
• 「Cisco IP Phone およびサーバ上の CTL ファイルの比較」
• 「Cisco IP Phone 上の CTL ファイルの削除」
• 「セキュリティ トークン(Etoken)を 1 つ紛失した場合のトラブルシューティング」
• 「セキュリティ トークン(Etoken)をすべて紛失した場合のトラブルシューティング」
• 「Cisco CTL クライアントの確認とアンインストール」
• 「Cisco CallManager クラスタのセキュリティ モードの確認」
この管理パスワードは、証明書の秘密キーを取得し、CTL ファイルが署名されることを保証します。各セキュリティ トークンには、デフォルト パスワードが付属されています。セキュリティ トークン パスワードはいつでも変更できます。Cisco CTL クライアントによりパスワードの変更を求めるプロンプトが表示されたら、設定を続行する前にパスワードを変更する必要があります。
パスワード設定の関連情報を検討するには、 Show Tips ボタンをクリックします。何らかの理由でパスワードを設定できない場合は、表示されるヒントを検討してください。
セキュリティ トークン パスワードを変更するには、次の手順を実行します。
ステップ 1 Cisco CTL クライアントを Windows 2000 サーバまたはワークステーションにインストールしたことを確認します。
ステップ 2 Cisco CTL クライアントをインストールした Windows 2000 サーバまたはワークステーションの USB ポートにセキュリティ トークンが挿入されていなければ挿入します。
ステップ 3 Start > Programs > etoken > Etoken Properties の順に選択します。次に、 etoken を右クリックし、 Change etoken password を選択します。
ステップ 4 Current Password フィールドに、最初に作成したトークン パスワードを入力します。
各セキュリティ トークンには、リトライ カウンタが含まれています。リトライ カウンタは、etoken Password ウィンドウへのログインの連続試行回数を指定します。セキュリティ トークンのリトライ カウンタ値は 15 です。連続試行回数がカウンタ値を超えた場合、つまり、16 回連続で試行が失敗した場合は、セキュリティ トークンがロックされ、使用不能になったことを示すメッセージが表示されます。ロックされたセキュリティ トークンを再び有効にすることはできません。
追加のセキュリティ トークン(複数可)を取得し、CTL ファイルを設定します
(「Cisco CTL クライアントの設定」を参照)。必要であれば、新しいセキュリティ トークン(複数可)を購入し、ファイルを設定します。
ヒント パスワードを正しく入力すると、カウンタがゼロにリセットされます。
Cisco CTL クライアント インストールにより、Smart Card サービスが無効であると検出された場合は、Cisco CTL プラグインをインストールするサーバまたはワークステーションで、Smart Card サービスを automatic および started に設定する必要があります。
ヒント サービスが started および automatic に設定されていない場合は、セキュリティ トークンを CTL ファイルに追加できません。
オペレーティング システムのアップグレード、サービス リリースの適用、Cisco
CallManager のアップグレードなどを行ったら、Smart Card サービスが started および automatic になっていることを確認します。
サービスを started および automatic に設定するには、次の手順を実行します。
ステップ 1 Cisco CTL クライアントをインストールしたサーバまたはワークステーション
で、 Start > Programs > Administrative Tools > Services の順に選択します。
ステップ 2 Services ウィンドウで、 Smart Card サービスを右クリックし、 Properties を選択します。
ステップ 3 Properties ウィンドウに General タブが表示されていることを確認します。
ステップ 4 Startup type ドロップダウン リスト ボックスから、 Automatic を選択します。
ステップ 6 Service Status 領域で、 Start をクリックします。
ステップ 8 サーバまたはワークステーションをリブートし、サービスが動作していることを確認します。
• 「システム要件」
• 「Cisco CTL Provider サービスのアクティブ化」
表 9-2 は、Cisco CTL クライアントに関して表示される可能性のあるメッセージと、対応する修正処置または理由を示しています。
• 「システム要件」
表 9-3 は、IP Phone 上の CTL ファイルに関して発生する可能性のある問題を説明しています。
表 9-3 の修正処置を実行するには、CTL ファイル内に存在するセキュリティ トークンを 1 つ取得します。CTL ファイルを更新するには、「CTL ファイルの更新」を参照してください。
|
|
|
---|---|---|
• 最新の CTL ファイルに署名したセ • 既存の CTL ファイルに新しいセキュリティ トークンを追加しようとした。ファイルに追加された最後のトークンを使用して CTL ファイルに署名しようとした。IP Phone 上の既存の CTL ファイルに、新しいセキュリティ トークンのレコードが含まれていない可能性がある。 |
CTL ファイルを更新し、ファイル内に存在するセキュリティ トークンを使用して CTL ファイルに署名します。 問題が引き続き発生する場合は、IP Phone から CTL ファイルを削除し、Cisco CTL クライアントを再度実行します。 |
|
• IP Phone の代替 TFTP アドレスが CTL ファイル内に存在しない。 • 新しい TFTP レコードを含む新しい |
新しい CTL ファイルに含まれている TFTP 情報が、IP Phone 上の既存の CTL ファイル内の情報と異なる場合は、IP Phone から既存の CTL ファイルを削除します。「Cisco IP Phone 上の CTL ファイルの削除」を参照してください。 |
|
CTL ファイルを更新したら、 |
• 「システム要件」
IP Phone 上の CTL ファイルのバージョンを特定するには、MD5 ハッシュを計算します。MD5 ハッシュとは、ファイルの内容に基づいて計算される暗号ハッシュです。
IP Phone には、MD5 ハッシュ値を計算するための、CTL ファイル用のオプションがあります。MD5 アプリケーションを使用すると、ディスク上でファイルの MD5 ハッシュを計算できます。ディスク上に保存されている CTL ファイルのハッシュ値を電話機に表示されている値と比較すると、電話機にどのバージョンがインストールされているかがわかります。
IP Phone 上の CTL ファイルのバージョンを特定したら、サーバの CTL ファイルに対して MD5 チェックを実行すると、IP Phone が正しい CTL ファイルを使用していることを確認できます。
ステップ 1 CTL ファイルが存在するサーバ上で、コマンド ウィンドウを開き、 cd c:\program files\cisco\bin\ と入力します。
ステップ 2 ファイルの MD5 値を計算するには、 MD5UTIL.EXE <drive:><path><filename> と入力します。
ヒント <drive:><path> <filename> という変数は、MD5 値の計算対象となるドライブ、ディレクトリ、またはその両方を指定します。この説明を CLI に表示するには、md5util -? と入力します。
たとえば、CTL ファイルの MD5 値を計算するには、
MD5UTIL.exe c:\program files\cisco\tftppath\ctlfile.tlv と入力します。
次の状況が発生した場合は、Cisco IP Phone 上の CTL ファイルを削除してください。
• CTL ファイルに署名したセキュリティ トークンをすべて紛失した。
• CTL ファイルに署名したセキュリティ トークンが漏洩した。
• IP Phone をセキュア クラスタから、ストレージ領域、ノンセキュア クラスタ、または異なるドメインの別のセキュア クラスタへと移動する。
• IP Phone を、未知のセキュリティ ポリシーを持つ領域からセキュア クラスタへと移動する。
• 代替 TFTP サーバ アドレスを、CTL ファイル内に存在しないサーバへと変更する。
Cisco IP Phone 上の CTL ファイルを削除するには、 表 9-4 の作業を実行します。
• 「システム要件」
次の状況が発生した場合は、サーバ上の CTL ファイルを削除してください。
• CTL ファイルに署名したセキュリティ トークンをすべて紛失した。
• CTL ファイルに署名したセキュリティ トークンが漏洩した。
ヒント Cisco CallManager または Cisco TFTP サービスが動作するクラスタ内のサーバすべてからファイルを必ず削除してください。
ステップ 1 C:\Program Files\Cisco\tftppath (デフォルトの場所)または CTLFile.tlv が保存されている場所を参照します。
ステップ 2 CTLFile.tlv を右クリックし、 Delete を選択します。
ステップ 3 Cisco CallManager または Cisco TFTP サービスが動作するクラスタ内のサーバすべてについて、この手順を実行します。
• 「システム要件」
セキュリティ トークンを 1 つ紛失した場合は、次の手順を実行します。
ステップ 2 CTL ファイルに署名したトークンを使用し、次の作業を実行して CTL ファイルを更新します。
各作業の実行方法の詳細については、「CTL ファイルの更新」を参照してください。
ステップ 3 IP Phone をすべてリセットします(「デバイスのリセット、サービスの再起動、またはサーバおよびクラスタのリブート」を参照)。
• 「システム要件」
ヒント 次の手順は、定期のメンテナンス期間に実行してください。これは、変更内容を有効にするために、クラスタ内のサーバすべてをリブートする必要があるためです。
セキュリティ トークンを紛失した場合、CTL ファイルを更新する必要がある場合は、次の手順を実行します。
ステップ 1 各 Cisco CallManager、Cisco TFTP、または代替 TFTP サーバ上で、CTLFile.tlv ファイルが存在するディレクトリを参照します。
デフォルト ディレクトリは、C:\program files\cisco\tftppath です。CTL ファイルが保存されている場所を特定するには、Cisco CallManager Administration の Service
Parameters ウィンドウで、TFTP サービスの File Location サービス パラメータを見つけます。
ステップ 3 ステップ 1 とステップ 2 を、すべての Cisco CallManager、Cisco TFTP、および代替 TFTP サーバについて繰り返します。
ステップ 4 新しいセキュリティ トークンを 2 つ以上取得します。
ステップ 5 Cisco CTL クライアントを使用して、CTL ファイルを作成します(「Cisco CTL クライアントのインストール」と 「Cisco CTL クライアントの設定」を参照)。
ヒント クラスタ全体のセキュリティ モードが混合モードの場合は、Cisco CTL クライアントにより、「No CTL File exists on the server but the CallManager
Cluster Security Mode is in Mixed Mode.For the system to function, you must create the CTL File and set CallManager Cluster to Mixed Mode.」というメッセージが表示されます。OK をクリックします。次に、Set Call Manager Cluster to Mixed Mode を選択して、CTL ファイルの設定を完了します。
ステップ 6 すべてのサーバ上に CTL ファイルを作成したら、IP Phone から CTL ファイルを削除します(「Cisco IP Phone 上の CTL ファイルの削除」を参照)。
• 「システム要件」
Cisco CallManager クラスタのセキュリティ モードを確認するには、次の手順を実行します。
ステップ 1 Cisco CallManager Administration で、 System > Enterprise Parameters の順に選択します。
ステップ 2 Cluster Security Mode フィールドを見つけます。フィールド内の値が 1 と表示される場合、Cisco CallManager クラスタは混合モードに正しく設定されています。
ヒント この値は、Cisco CallManager Administration では変更できません。この値が表示されるのは、Cisco CTL クライアントの設定後です。
• 「システム要件」
Cisco CTL クライアントをアンインストールしても、CTL ファイルは削除されません。同様に、クライアントをアンインストールしても、クラスタ全体のセキュリティ モードと CTL ファイルは変更されません。必要であれば、CTL クライアントをアンインストールし、クライアントを別の Windows 2000 ワークステーションまたはサーバにインストールして、同じ CTL ファイルを引き続き使用することができます。
Cisco CTL クライアントがインストールされていることを確認するには、次の手順を実行します。
ステップ 1 Start > Control Panel > Add Remove Programs の順に選択します。
ステップ 2 Add Remove Programs をダブルクリックします。
ステップ 3 クライアントがインストールされていることを確認するには、 Cisco CTL Client を見つけます。
ステップ 4 クライアントを削除するには、 Remove をクリックします。
• 「システム要件」
使用している Cisco CTL クライアントのバージョンを特定するには、次の手順を実行します。
• デスクトップ上の Cisco CTL Client アイコンをダブルクリックします。
• Start > Programs > Cisco CTL Client の順に選択します。
ステップ 2 Cisco CTL クライアント ウィンドウの左上隅にあるアイコンをクリックします。
ステップ 3 About Cisco CTL Client を選択します。クライアントのバージョンが表示されます。
• 「IP Phone での認証文字列のトラブルシューティング」
• 「ローカルで有効な証明書の検証が失敗する場合のトラブルシューティング」
• 「CAPF 証明書がクラスタ内のサーバすべてにインストールされていることの確認」
• 「ローカルで有効な証明書が IP Phone 上に存在することの確認」
• 「Manufacture-Installed Certificate(MIC)が IP Phone 内に存在することの確認」
表 9-5 は、CAPF に関するメッセージと修正処置を示しています。
• 「システム要件」
• 「Certificate Authority Proxy Function の概要」
IP Phone で不適切な認証文字列を入力すると、IP Phone 上にメッセージが表示されます。IP Phone に正しい認証文字列を入力します。
ヒント IP Phone が Cisco CallManager に登録されていることを確認してください。IP
Phone が Cisco CallManager に登録されていない場合、IP Phone で認証文字列を入力することはできません。
IP Phone のデバイス セキュリティ モードがノンセキュアになっていることを確認してください。
CAPF では、IP Phone で認証文字列を入力できる連続試行回数が制限されています。10 回連続で正しい認証文字列が入力されなかった場合は、正しい文字列の入力を再試行できる状態になるまでに、10 分以上かかります。
IP Phone では、次のような場合に、ローカルで有効な証明書の検証が失敗することがあります。たとえば、証明書が CAPF によって発行されたバージョンでない場合、CAPF 証明書がクラスタ内の一部のサーバ上に存在しない場合、CAPF 証明書が CAPF ディレクトリ内に存在しない場合、IP Phone が Cisco CallManager に登録されていない場合などです。ローカルで有効な証明書の検証が失敗する場合は、SDL トレース ファイルと CAPF トレース ファイルでエラーを検討します。
Cisco Certificate Authority Proxy Function サービスをアクティブにすると、CAPF に固有なキー ペアおよび証明書が CAPF によって自動生成されます。CAPF 証明書は Cisco CTL クライアントによってクラスタ内のすべてのサーバにコピーされ、拡張子 .0 を使用します。CAPF 証明書が存在することを確認するには、クラスタ内の各サーバで C:\Program Files\Cisco\Certificates を参照し、次のファイルを見つけます。
ローカルで有効な証明書が IP Phone にインストールされていることを確認するには、 Settings > Model Information の順に選択し、LSC 設定を表示します。LSC 設定では、環境に応じて、 Installed または Not Installed と表示されます。
MIC が IP Phone 内に存在することを確認するには、IP Phone の Security
Configuration メニューで MIC option を選択します。この設定では、環境に応じて、 Installed または Not Installed と表示されます。
CAPF 1.0(1) ユーティリティをアンインストールするには、 Add/Remove
Programs に移動してアプリケーションを削除します。ユーティリティの削除後、「新規 CAPF 証明書の生成」を参照してください。
Certificate Authority Proxy Function には、独自の証明書と、認証に使用される秘密キーが含まれています。たとえば CAPF 1.0(1) ユーティリティの削除後など、CAPF 証明書または秘密キーが存在しない場合は、次の手順を実行します。
ステップ 1 C:\Program Files\Cisco\Certificates にある CAPF.cer ファイルの最新のコピーを、覚えやすい場所に保存します。
ステップ 2 C:\Program Files\Cisco\Certificates にある CAPF.cer ファイルを削除します。
ステップ 3 Cisco CallManager Serviceability で、Cisco Certificate Authority Proxy Function(CAPF)サービスを停止して起動します。
ステップ 5 更新された CTL ファイルを電話機がダウンロードしたことを確認します。
• 「BAT に対する IP Phone のパケット キャプチャの設定」
• 「Phone Configuration ウィンドウでのパケット キャプチャの設定」
• 「エンドポイント ID の MGCP Gateway Configuration ウィンドウでのパケット キャプチャの設定」
• 「IP Phone のパケット キャプチャおよび MGCP ゲートウェイ設定の設定値」
• 「Cisco CallManager Administration でのパケット キャプチャに関するメッセージ」
暗号化を有効にした後は、メディア パケットと TCP パケットのスニファを実行するサードパーティ製のトラブルシューティング ツールが連動しないため、問題が発生する場合は、Cisco CallManager Administration を使用して次の作業を実行する必要があります。
• Cisco CallManager とデバイス(電話機または Cisco IOS MGCP ゲートウェイ)の間で交換されるメッセージのパケットを分析する。
• メッセージからメディアの暗号化キー関連情報を抽出し、デバイス間のメディアを復号化する。
該当するデータを抽出および解析するには、次に示す 表 9-6 の作業を実行します。
パケット キャプチャのパラメータを設定するには、次の手順を実行します。
ステップ 1 Cisco CallManager Administration で、 Service > Service Parameters の順に選択します。
ステップ 2 Server ドロップダウン リスト ボックスから、Cisco CallManager サービスをアクティブにしたサーバを選択します。
ステップ 3 Service ドロップダウン リスト ボックスから、 Cisco CallManager サービスを選択します。
ステップ 4 Packet Capture パラメータまでスクロールし、設定値を設定します( 表 9-7 を参照)。
ステップ 5 変更内容を有効にするには、 Update をクリックします。
ステップ 6 パケット キャプチャの設定を続けるには、次の項のいずれかを参照してください。
• 「Phone Configuration ウィンドウでのパケット キャプチャの設定」
• 「エンドポイント ID の MGCP Gateway Configuration ウィンドウでのパケット キャプチャの設定」
「パケット キャプチャ サービス パラメータの設定」および 表 9-7 を参照してください。
この Cisco CallManager リリースと互換性のある Bulk Administration Tool を使用すると、電話機で Packet Capture モードを設定できます。この作業の実行方法については、『 Bulk Administration Tool ユーザ ガイド 』を参照してください。
ヒント BAT でこの作業を実行すると、CPU 消費量が高くなり、コール処理が中断される場合があります。この作業は、コール処理の中断を最小限に抑えられるときに実行することを強くお勧めします。
Service Parameter ウィンドウでパケット キャプチャを有効にしたら、Cisco
CallManager Administration の Phone Configuration ウィンドウで、デバイスごとにパケット キャプチャを設定する必要があります。
パケット キャプチャを電話機ごとに有効または無効にします。パケット キャプチャのデフォルト設定は、None です。
ヒント パケット キャプチャを一度に多くの電話機に対して有効にしないことを強くお勧めします。これは、そのように設定すると、Cisco CallManager ネットワークにおける CPU 消費量が高くなる場合があるためです。
パケットをキャプチャしない場合や、作業が完了した場合は、Signal Packet
Capture Mode を None に設定し、Packet Capture Enable サービス パラメータを False に設定します。
保護された電話機でパケット キャプチャを設定する場合は、次のガイドラインを考慮してください。
1. パケット キャプチャを設定する前に、「パケット キャプチャの設定チェックリスト」を参照してください。
2. Cisco CallManager Administration のデバイスにアクセスするには、 Device > Phone を選択します。
3. IP Phone の検索対象を指定してから Find をクリックするか、 Find をクリックして IP Phone すべてのリストを表示します。データベースに電話機を追加していない場合、電話機はリストに表示されません。IP Phone の追加については、『 Cisco CallManager アドミニストレーション ガイド 』を参照してください。
4. デバイス名をクリックして、デバイスの Phone Configuration ウィンドウを開きます。
5. トラブルシューティングの設定値を設定します(「IP Phone のパケット キャプチャおよび MGCP ゲートウェイ設定の設定値」 を参照)。
6. 設定の完了後、 Update をクリックしてから Reset Phone をクリックします。
ヒント IP Phone をリセットすると、ゲートウェイ上のアクティブ コールは終了します。
7. 関係するデバイス間でスニファ トレースを使用して、SRTP パケットをキャプチャします。
8. パケットをキャプチャしたら、Signal Packet Capture Mode を None に設定し、Packet Capture Enable サービス パラメータを False に設定します。
9. 詳細については、「キャプチャされたパケットの解析」を参照してください。
ヒント Cisco IOS MGCP ゲートウェイが『Cisco CallManager セキュリティ ガイド』で説明されている音声セキュリティ機能をサポートしているかどうかについては、
『Media and Signaling Authentication and Encryption Feature for Cisco IOS MGCP Gateways』を参照してください。ご使用の Cisco IOS MGCP ゲートウェイが SRTP をサポートしている場合は、Cisco CallManager Administration を使用してパケットをキャプチャできます。
Cisco IOS MGCP ゲートウェイが Cisco CallManager に登録すると、システムはゲートウェイ上のすべてのデバイスに対してデータベースから設定済みの
Signal Packet Capture Mode と Packet Capture Duration を取得します。
ヒント パケット キャプチャを一度に多くのデバイスに対して有効にしないことを強くお勧めします。これは、そのように設定すると、Cisco CallManager ネットワークにおける CPU 消費量が高くなる場合があるためです。
パケットをキャプチャしない場合や、作業が完了した場合は、Signal Packet
Capture Mode を None に設定し、Packet Capture Enable サービス パラメータを False に設定します。
パケット キャプチャを設定する場合は、次のガイドラインを考慮してください。
1. パケット キャプチャを設定する前に、「パケット キャプチャの設定チェックリスト」を参照してください。
2. Cisco CallManager Administration のゲートウェイにアクセスするには、 Device > Gateway の順に選択します。
3. パケット キャプチャを設定する Cisco IOS MGCP ゲートウェイを検索します。この作業を実行する方法については、『 Cisco CallManager アドミニストレーション ガイド 』を参照してください。
4. Cisco IOS MGCP ゲートウェイのポートをまだ設定していない場合は、『 Cisco
CallManager アドミニストレーション ガイド 』の説明に従って設定してください。
5. エンドポイント ID の Gateway Configuration ウィンドウにパケット キャプチャ設定が表示されます。このウィンドウにアクセスするには、音声インターフェイス カードのエンドポイント ID をクリックします。
6. トラブルシューティングを設定する場合は、「IP Phone のパケット キャプチャおよび MGCP ゲートウェイ設定の設定値」を参照してください。
7. パケット キャプチャを設定したら、 Update および Reset Gateway をクリックします。
8. 関係するデバイス間でスニファ トレースを使用して、SRTP パケットをキャプチャします。
9. パケットをキャプチャしたら、Signal Packet Capture Mode を None に設定し、Packet Capture Enable サービス パラメータを False に設定します。
10. 詳細については、「キャプチャされたパケットの解析」を参照してください。
Signal Packet Capture Mode 設定と Packet Capture Duration 設定について説明している次の情報を、次の各項とともに参照してください。
• 「Phone Configuration ウィンドウでのパケット キャプチャの設定」
• 「エンドポイント ID の MGCP Gateway Configuration ウィンドウでのパケット キャプチャの設定」
Signal Packet Capture Mode ドロップダウン ボックスから、次のオプションのいずれかを選択します。
• None :このオプションはデフォルト設定であり、パケット キャプチャが実行されないことを示します。パケット キャプチャの実行後、この設定値を設定します。
• Real-Time Mode :Cisco CallManager が、復号化されたメッセージまたは暗号化されていないメッセージを、セキュアなチャネルを通じて解析デバイスに送信します。Cisco CallManager と TAC デバッグ ツールの間に、TLS 接続が確立されます。Cisco CallManager とデバッグ ツールの間で認証が行われた後、Cisco CallManager は SCCP メッセージ(電話機)または UDP および TCP バックホール メッセージ(ゲートウェイ)を、接続されているすべてのリアルタイム デバッグ ツールに送信します。このアクションの対象は、パケット キャプチャを設定した選択済みのデバイスだけです。
このモードの場合、ネットワーク上でスニファは使用できません。
TAC デバッグ ツール(IREC)は、SRTP パケットをキャプチャし、復号化された SCCP か、UDP または TCP バックホール メッセージから抽出されたキー関連情報を使用して、パケットを復号化します。
デバッグ サイトにあるデバッグ ツールを実行する必要があります。
• Batch Processing Mode :Cisco CallManager が、復号化されたメッセージまたは暗号化されていないメッセージをファイルに書き込み、システムが各ファイルを暗号化します。システムは、毎日、新しい暗号化キーを使用して新しいファイルを作成します。また、Cisco CallManager は 7 日ごとにファイルを格納する際に、ファイルを暗号化するキーをセキュアな場所に格納します。Cisco CallManager はファイルを C:\Program Files\Cisco\PktCap に格納します。単一のファイルに含まれるのは、タイム スタンプ、送信元 IP アドレス、送信元 IP ポート、宛先 IP アドレス、パケット プロトコル、メッセージ長、およびメッセージです。TAC デバッグ ツールは、HTTPS、管理者のユーザ名とパスワード、および指定された日付を使用して、キャプチャされたパケットを含む単一の暗号化ファイルを要求します。同様に、ツールは暗号化されたファイルを復号化するキー情報を要求します。
TAC に連絡する前に、関係するデバイス間でスニファ トレースを使用して、SRTP パケットをキャプチャする必要があります。
このフィールドは、1 つのパケット キャプチャ セッションに割り当てる時間の最大値(分単位)を指定します。デフォルト設定値は 60 ですが、範囲は 0 ~ 300 分です。
Cisco Technical Assistance Center(TAC)は、デバッグ ツールを使用してパケットを解析します。TAC に連絡する前に、関係するデバイス間でスニファ トレースを使用して、SRTP パケットをキャプチャします。次の情報を収集したら、TAC に直接連絡してください。
• パケット キャプチャ ファイル:
https://<server name or IP address>/pktcap/pktcap.asp?file=mm-dd-yyyy.pkt 。ここで、サーバを参照し、月、日、年(mm-dd-yyyy)に基づいてパケット キャプチャ ファイルを見つけます。
• ファイルのキー:
https://<server name or IP address>pktcap/pktcap.asp?key=mm-dd-yyyy.pkt 。ここで、サーバを参照し、月、日、年(mm-dd-yyyy)に基づいてキーを見つけます。
• Cisco CallManager サーバの管理ユーザ名とパスワード。
表 9-8 は、Cisco CallManager Administration でパケット キャプチャを設定するときに表示される可能性のあるメッセージのリストを示しています。
「対話および制限」に加えて、次の情報も参照してください。
暗号化が設定されている Cisco IP Phone 7960 モデルおよび 7940 モデルに対して割り込みを設定しようとすると、次のメッセージが表示されます。
If you configure encryption for Cisco IP Phone models 7960 and 7940, those encrypted devices cannot accept a barge request when they are participating in an encrypted
call.When the call is encrypted, the barge attempt fails.
メッセージが表示されるのは、Cisco CallManager Administration で次の作業を実行したときです。
• Phone Configuration ウィンドウで、Device Security Mode に Encrypted を選択し(システム デフォルトは Encrypted)、Built In Bridge 設定に On を選択し(デフォルト設定は On)、さらにこの特定の設定の作成後に Insert または
Update をクリックする。
• Enterprise Parameter ウィンドウで、Device Security Mode パラメータを更新する。
• Service Parameter ウィンドウで、Built In Bridge Enable パラメータを更新する。
ヒント 変更内容を有効にするには、従属する Cisco IP デバイスをリセットする必要があります。
• 「暗号化の概要」
• 「その他の情報」
• 「SRST リファレンスの設定時に表示されるセキュリティ メッセージ」
• 「SRST 証明書がゲートウェイから削除された場合のトラブルシューティング」
セキュリティの設定後に SRST リファレンスをノンセキュアにするには、Cisco
CallManager Administration の SRST Configuration ウィンドウで、 Is the SRTS
Secure? チェックボックスをオフにします。ゲートウェイ上のクレデンシャル サービスを無効にする必要がある旨のメッセージが表示されます。
• 「Survivable Remote Site Telephony(SRST)リファレンスのセキュリティ設定」
• Cisco CallManager アドミニストレーション ガイド
• SRST 対応のゲートウェイおよびこのバージョンの Cisco CallManager に対応したシステム管理マニュアル
Cisco CallManager Administration でセキュア SRST リファレンスを設定するときに、次のメッセージが表示される場合があります。
「Port Numbers can only contain digits.」というメッセージです。このメッセージが表示されるのは、SRST Certificate Provider Port の設定時に無効なポート番号を入力した場合です。ポート番号は、1024 ~ 49151 の範囲に存在する必要があります。
• 「Survivable Remote Site Telephony(SRST)リファレンスのセキュリティ設定」
• Cisco CallManager アドミニストレーション ガイド
• SRST 対応のゲートウェイおよびこのバージョンの Cisco CallManager に対応したシステム管理マニュアル
SRST 証明書が SRST 対応のゲートウェイから削除されている場合は、その SRST 証明書を Cisco CallManager データベースと IP Phone から削除する必要があります。
この作業を実行するには、SRST Configuration ウィンドウで、 Is the SRST Secure? チェックボックスをオフにして Update をクリックし、 Reset Devices をクリックします。
• 「Survivable Remote Site Telephony(SRST)リファレンスのセキュリティ設定」
• Cisco CallManager アドミニストレーション ガイド
• SRST 対応のゲートウェイおよびこのバージョンの Cisco CallManager に対応したシステム管理マニュアル