企業内の Microsoft OCS へのドメイン間フェデレーション
Microsoft サーバーと IM and Presence Service のドメインが異なる場合は、企業内でフェデレーションを構成できます。サブドメインを使用する必要はありません。個別のドメインも同様に適用できます。詳細については、フェデレーションとサブドメインに関連するトピックを参照してください。
この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブ ランゲージの取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
ここでは、Microsoft OCS へのドメイン間フェデレーションについて説明します。
Microsoft サーバーと IM and Presence Service のドメインが異なる場合は、企業内でフェデレーションを構成できます。サブドメインを使用する必要はありません。個別のドメインも同様に適用できます。詳細については、フェデレーションとサブドメインに関連するトピックを参照してください。
IM and Presence Service と Microsoft OCS 間のフェデレーテッド リンクを設定するには、次のタスクを実行します。
Access Edge サーバーまたは Cisco 適応型セキュリティ アプライアンスを使用せずに IM and Presence Service から OCS への直接フェデレーションを使用している場合は、OCS サーバーの各ドメインに TLS または TCP スタティック ルートを構成する必要があります。これらのスタティック ルートは、IM and Presence Service ノードを指します。Cisco 適応型セキュリティアプライアンスまたは Microsoft Access Edge は必要ありません。
Standard Edition の場合は、すべての Standard Edition サーバーでスタティック ルートを設定します。
Enterprise Edition の場合は、すべてのプールでスタティック ルートを設定します。
コマンドまたはアクション | 目的 | |||
---|---|---|---|---|
ステップ 1 |
IM and Presence Service で、Microsoft OCS ドメインのフェデレーション ドメイン エントリを追加します。IM and Presence Service は、フェデレーテッド ドメイン エントリの着信 ACL を自動的に追加します。 |
|||
ステップ 2 |
IM and Presence Service で、Microsoft OCS サーバ ドメインごとに個別のスタティック ルートを設定します。各ルートは、特定の Microsoft フロント エンド サーバーを指す必要があります。
|
|||
ステップ 3 |
OCS サーバーで、IM and Presence Service ドメインを指す TCP または TLS スタティック ルートを設定します。各ルートは、特定の IM and Presence Service ノードを指している必要があります。 |
|||
ステップ 4 |
IM and Presence Service で、ピア認証リスナーがポート 5061 として設定され、サーバー認証リスナーがポート 5061 ではないことを確認します。 |
|||
ステップ 5 |
OCS サーバーで、各 IM and Presence Service ノードのホスト認証エントリを設定します。TLS 暗号化では、IM and Presence ノードごとに 2 つのエントリを追加する必要があります。
TLS 暗号化を使用していない場合は、ノード IP アドレスを使用して、各 IM and Presence Service ノードに 1 つのホスト認証エントリを構成します。 |
|||
ステップ 6 |
OCS と IM and Presence Service の間に TLS が設定されている場合は、IM and Presence Service とのドメイン間フェデレーション用に OCS で証明書を構成します。
|
|||
ステップ 7 |
OCS サーバーで、TLS(トランスポートは MTLS または TLS のいずれか)または TCP のリスナーポートが設定されていることを確認します。。
|
|||
ステップ 8 |
TLS を使用している場合は、FIPS を使用するように OCS を設定します。 |
|||
ステップ 9 |
TLS を使用している場合は、OCS サーバー証明書に署名する CA のルート証明書を IM and Presence Service にアップロードします。 |
OCS サーバのフェデレーション ドメイン エントリを構成すると、 IM and Presence Service は自動的にフェデレーション ドメイン エントリの着信 ACL を追加します。フェデレーテッド ドメインに関連付けられている着信 ACL は、IM and Presence Administration で確認できますが、変更や削除はできません。(関連付けられた)フェデレーテッド ドメイン エントリを削除する場合にのみ、着信 ACL を削除できます。
ステップ 1 |
Cisco Unified CM IM and Presence Administration のユーザ インターフェイスにログインします。 を選択します。 |
||
ステップ 2 |
[新規追加(Add New)] をクリックします。 |
||
ステップ 3 |
[ドメイン名(Domain Name)] フィールドにフェデレ―テッド ドメイン名を入力します。 |
||
ステップ 4 |
[説明(Description)] フィールドにフェデレ―テッド ドメインを識別する説明を入力します。 |
||
ステップ 5 |
[ドメイン間(Inter-domain to OCS/Lync)] を選択します。 |
||
ステップ 6 |
[直接フェデレーション(Direct Federation)] チェックボックスをオンにします。 |
||
ステップ 7 |
[保存(Save)] をクリックします。 |
||
ステップ 8 |
SIP フェデレーテッド ドメインを追加、編集、または削除した後、Cisco XCP ルータを再起動します。Cisco Unified IM and Presence Service Serviceability のユーザー インターフェイスにログインします。 を選択します。Cisco XCP ルータを再起動すると、 IM and Presence Serviceのすべての XCP サービスが再起動されます。
|
フェデレーション Microsoft サーバー ドメインと IM および可用性を交換するときに TLS を使用するように IM and Presence Serviceを 構成したり、OCS ドメインに TCP を使用したりするには、 Microsoft Access Edge の外部エッジではなく Microsoft サーバーを指す IM and Presence Service でスタティック ルートを構成する必要があります。
各 Microsoft サーバー ドメインに個別スタティック ルートを追加する必要があります。Microsoft サーバー ドメインのスタティック ルートは、特定の Microsoft サーバー Enterprise Edition フロントエンド サーバーまたは Standard Edition サーバーの IP アドレスを指す必要があります。
高可用性を実現するために、各 Microsoft サーバー ドメインへの追加のバックアップ スタティック ルートを構成できます。バックアップ ルートは優先度が低く、プライマリ スタティック ルートのネクスト ホップ アドレスが到達不可能な場合にのみ使用されます。
ステップ 1 |
Cisco Unified CM IM and Presence Administration のユーザ インターフェイスにログインします。 を選択します。 |
ステップ 2 |
[新規追加(Add New)] をクリックします。 |
ステップ 3 |
ドメインまたは FQDN が逆になるように、接続先パターン値を入力します。例:
|
ステップ 4 |
次のように残りのパラメータを入力します。 |
ステップ 5 |
[保存(Save)] をクリックします。 |
OCS が直接フェデレーションのために IM and Presence Service に要求をルーティングできるようにするには、各 IM and Presence Service ドメインの OCS サーバで TLS または TCP スタティック ルートを構成する必要があります。これらのスタティック ルートは、 IM and Presence Service ノードを指します。
(注) |
|
ステップ 1 |
の順に選択します。 |
||
ステップ 2 |
必要に応じて、Enterprise Edition プール名または Standard Edition サーバ名を右クリックします。 |
||
ステップ 3 |
の順に選択します。 |
||
ステップ 4 |
[ルーティング(Routing )] タブを選択し、[追加( Add)] をクリックします。 |
||
ステップ 5 |
IM and Presence Service ノードのドメインを入力します(例:foo.com)。 |
||
ステップ 6 |
[電話 URI(Phone URI)] のチェックボックスがオフになっていることを確認してください。 |
||
ステップ 7 |
ネクスト ホップ トランスポート、ポート、および IP アドレス/FQDN の値を設定します。
|
||
ステップ 8 |
[要求 URI のホストを置換する(Replace host in request URI)] チェックボックスがオフになっていることを確認します。 |
||
ステップ 9 |
[OK] をクリックすると、[スタティック ルートの追加(Add Static Route)] ウィンドウを閉じます。新しいスタティック ルートが [ルーティング(Routing)] リストに表示されます。 |
||
ステップ 10 |
もう一度 [OK] をクリックして、[フロント エンド サーバーのプロパティ( Front End Server Properties)] ウィンドウを閉じます。 |
『Cisco Unified Communcations Manager ガイド』で IM and Presence Service のドメイン間フェデレーションの「ピア認証リスナーの確認」を参照してください。
IM and Presence Service でピア認証リスナーが正しく設定されていることを確認します。
ステップ 1 |
Cisco Unified CM IM and Presence Administration から、 を選択します。 |
ステップ 2 |
[検索(Find)] をクリックします。 |
ステップ 3 |
[デフォルトの Cisco SIP プロキシ TLS リスナー - ピア認証ポート(Default Cisco SIP Proxy TLS Listener - Peer Auth port)] が 5061 であることを確認します。 |
ステップ 4 |
[デフォルトの Cisco SIP プロキシ TLS リスナー - サーバー認証ポート(Default Cisco SIP Proxy TLS Listener - Server Auth port)] が 5061 ではないことを確認します。このポートが 5061 として設定されている場合は、別の値に変更する必要があります。たとえば、5063 です。 |
OCS が認証を求められることなく IM and Presence Service からの SIP 要求を受け入れることができるようにするには、各 IM and Presence Service ノードの OCS でホスト認証エントリを構成する必要があります。
OCS と IM and Presence Service間の TLS 暗号化を構成する場合は、次のように各 IM and Presence Service ノードに 2 つのホスト認証エントリを追加する必要があります。
最初のエントリには、 IM and Presence Service ノードの FQDN が含まれている必要があります。
2 番目のエントリには、 IM and Presence Service ノードの IP アドレスが含まれている必要があります。
TLS 暗号化を構成しない場合は、各IM and Presence Service ノードにホスト認証エントリを 1 つだけ追加します。このホスト許可エントリには、 IM and Presence Service ノードの IP アドレスが含まれている必要があります。
次の手順では、必要なホスト許可エントリを追加する方法について説明します。
(注) |
|
ステップ 1 |
OCS の [ホスト認証(Host Authorization)] タブを選択します。 |
||
ステップ 2 |
次のいずれかの手順を実行します。
|
||
ステップ 3 |
[Add] をクリックします。 |
||
ステップ 4 |
[IP] を選択します。 |
||
ステップ 5 |
IM and Presence Service ノードの IP アドレスを入力します。 |
||
ステップ 6 |
[サーバーとしてスロットル(Throttle as Server)] チェックボックスをオンにします。 |
||
ステップ 7 |
[認証済みとして扱う(Treat as Authenticated)] チェックボックスをオンにします。
|
||
ステップ 8 |
[OK] をクリックします。 |
OCS と IM and Presence Service の間に TLS が設定されている場合は、IM and Presence Service とのドメイン間フェデレーション用に OCS で証明書を構成します。
(注) |
TLS を使用していない場合は、この手順をスキップできます。 |
ステップ 1 |
次の手順を実行して、CA ルート証明書と OCS 署名付き証明書を取得します。
|
ステップ 2 |
OCS フロントエンドサーバーのプロパティから、[証明書(Certificates)] タブを選択し、[証明書の選択(Select Certificate)] をクリックして OCS 署名付き証明書を選択します。 |
OCS サーバーへの TCP スタティック ルートの場合は、ポート 5060 を使用します。
OCS サーバーへの TLS スタティック ルートの場合は、ポート 5061 を使用します。
ステップ 1 |
を選択します。 |
ステップ 2 |
フロントエンド サーバーの FQDN を右クリックします。 |
ステップ 3 |
[全般(General)] タブを選択します。 を選択し、 |
ステップ 4 |
ポート 5060 または 5061 が [接続(Connections)] の下に表示されていない場合は、[追加(Add)] をクリックします。 |
ステップ 5 |
次のようにポート値を設定します。 |
ステップ 6 |
[OK] をクリックします。 |
OCS サーバーで FIPS を設定します。TLS のみ(SSLv3 ではなく TLSv1)を使用している場合にのみ、この手順を実行します。
ステップ 1 |
OCS の [ローカル セキュリティ設定(Local Security Settings)] を開きます。 |
||
ステップ 2 |
コンソール ツリーで、[ローカル ポリシー(Local Policies)] を選択します。 |
||
ステップ 3 |
[セキュリティ オプション(Security Options)] のいずれかを選択します。 |
||
ステップ 4 |
[システム暗号化:暗号化、ハッシュ、署名のためのFIPS準拠アルゴリズムを使う(System Cryptography: Use FIPS Compliant algorithms for encryption, hashing and signing)] をダブルクリップします。 |
||
ステップ 5 |
セキュリティ設定を有効にします。 |
||
ステップ 6 |
[OK] をクリックします。
|
||
ステップ 7 |
IM and Presence Service 証明書に署名する CA の CA ルート証明書をインポートします。証明書スナップ インを使用して、OCS の信頼ストアへ CA ルート証明書をインポートします。 |
This procedure applies only if you have set up TLS static routes between IM and Presence Service and Microsoft servers.
Step 1 |
On the IM and Presence Service, upload the root certificate for the CA that signs the Microsoft server certificate.
|
||
Step 2 |
Generate a CSR for the IM and Presence Service so that the certificate can be signed by a CA. Upload the CSR to the CA that signs your certificate.
|
||
Step 3 |
When you have retrieved the CA-signed certificate and the CA root certificate, upload the CA-signed certificate and the root certificate to the IM and Presence Service node.
|
||
Step 4 |
Add a TLS Peer subject on IM and Presence Service for the Microsoft server. Use the FQDN of the Microsoft server. |
||
Step 5 |
Add the TLS Peer to the Selected TLS Peer Subjects list.
|
Set up certificates on the Microsoft Lync server that have "Enhanced Key Usage" with "Server Authentication" and "Client Authentication" values. See:
Microsoft TechNet Library, Windows Server — Implementing and Administering Certificate Templates at http://technet.microsoft.com/en-us/library/cc731256(v=ws.10).aspx