Lync Server 2013 の Active Directory ドメインサービスActive Directory Domain Services for Lync Server 2013

 

トピックの最終更新日: 2013-11-13Topic Last Modified: 2013-11-13

Active Directory ドメインサービスは、Windows Server 2003、Windows Server 2008、Windows Server 2012、および Windows Server 2012 R2 ネットワークのディレクトリサービスとして機能します。Active Directory Domain Services functions as the directory service for Windows Server 2003, Windows Server 2008, Windows Server 2012, and Windows Server 2012 R2 networks. Active Directory ドメインサービスは、Microsoft Lync Server 2013 セキュリティインフラストラクチャを構築する基礎としても機能します。Active Directory Domain Services also serves as the foundation on which the Microsoft Lync Server 2013 security infrastructure is built. このセクションの目的は、Lync Server 2013 が Active Directory ドメインサービスを使用して IM、Web 会議、メディア、および音声の信頼できる環境を作成する方法について説明することです。The purpose of this section is to describe how Lync Server 2013 uses Active Directory Domain Services to create a trustworthy environment for IM, Web conferencing, media, and voice. Active Directory ドメインサービスに対する Lync Server extensions の詳細、および Active Directory ドメインサービス用の環境の準備については、「展開」のドキュメントの「 Active Directory ドメインサービスの Lync server 2013 の準備 」を参照してください。For details about Lync Server extensions to Active Directory Domain Services and about preparing your environment for Active Directory Domain Services, see Preparing Active Directory Domain Services for Lync Server 2013 in the Deployment documentation. Windows Server のネットワークにおける Active Directory ドメイン サービスの役割の詳細については、お使いのバージョンのオペレーティング システムのドキュメントを参照してください。For details about the role of Active Directory Domain Services in Windows Server networks, see the documentation for the version of the operating system you are using.

Lync Server 2013 は、Active Directory ドメインサービスを使用して次のものを格納します。Lync Server 2013 uses Active Directory Domain Services to store:

  • フォレスト内の Lync Server 2013 を実行しているすべてのサーバーに必要なグローバル設定。Global settings that all servers running Lync Server 2013 in a forest require.

  • フォレスト内の Lync Server 2013 を実行しているすべてのサーバーの役割を識別するサービス情報。Service information that identifies the roles of all servers running Lync Server 2013 in a forest.

  • 一部のユーザー設定。Some user settings.

Active Directory のインフラストラクチャActive Directory Infrastructure

Active Directory のインフラストラクチャ要件には、次のようなものがあります。Infrastructure requirements for Active Directory include the following:

  • ドメイン コントローラーのオペレーティング システム要件Operating system requirements for domain controllers

  • ドメインとフォレストの機能レベルの要件Domain and forest functional level requirements

  • グローバル カタログ ドメインの要件Global catalog domain requirements

詳細については、「展開」のドキュメントの「 Lync Server 2013 の Active Directory インフラストラクチャ要件 」を参照してください。For details, see Active Directory infrastructure requirements for Lync Server 2013 in the Deployment documentation.

Active Directory ドメイン サービスの準備Active Directory Domain Services Preparation

注意

グローバル設定はシステム コンテナーではなく構成コンテナーに展開することをお勧めします。We recommend that you deploy global settings to the Configuration container instead of the System container. これによってセキュリティが向上するわけではありませんが、一部の Active Directory ドメイン サービスのトポロジではスケーラビリティが向上することがあります。This does not enhance security, but can result in scalability improvements for some Active Directory Domain Services topologies. Microsoft Office Communications Server 2007 から移行していて、システムコンテナーを使用していて、構成コンテナーの使用を計画している場合は、アップグレードの準備を行う前に、システムコンテナーで設定を移動する必要があります。If you are migrating from Microsoft Office Communications Server 2007 and have used the System container but plan to use the Configuration container, you MUST move the settings in the System container BEFORE you do any upgrade preparations. システムコンテナー設定を構成コンテナーに移行するには、「Office Communications Server 2007 グローバル設定移行ツール」を参照してください https://go.microsoft.com/fwlink/p/?LinkId=145236To migrate your System container settings to the Configuration container, see Office Communications Server 2007 Global Settings Migration Tool at https://go.microsoft.com/fwlink/p/?LinkId=145236.

Lync Server 2013 を展開する場合、最初の手順として、Active Directory ドメインサービスを準備します。When deploying Lync Server 2013, the first step is to prepare Active Directory Domain Services. Lync Server 2013 用の Active Directory ドメインサービスの準備は、次の3つの手順で構成されます。Preparing Active Directory Domain Services for Lync Server 2013 consists of the following three steps:

  • スキーマを準備します。Prepare Schema. このタスクは、Active Directory ドメインサービスのスキーマを拡張して、Lync Server 2013 に固有のクラスと属性を含めます。This task extends the schema in Active Directory Domain Services to include classes and attributes specific to Lync Server 2013. スキーマの準備の詳細については、「展開」のドキュメントの「 Lync Server 2013 での Active Directory スキーマの準備の実行 」を参照してください。For details about preparing the schema, see Running Active Directory schema preparation in Lync Server 2013 in the Deployment documentation. 詳細については、「 Office Communications server 2007 R2 から Lync Server 2013 への移行」を参照してください。For more information, see Migration from Office Communications Server 2007 R2 to Lync Server 2013.

  • フォレストを準備します。Prepare Forest. このタスクは、フォレストのルートドメインにグローバル設定とオブジェクトを作成し、これらの設定およびオブジェクトへのアクセスを管理するユニバーサルサービスおよび管理グループと共に作成します。This task creates global settings and objects in the forest root domain, along with the universal service and administrative groups that govern access to these settings and objects. フォレストの準備の詳細については、「展開」のドキュメントの「 Lync Server 2013 の実行フォレストの準備 」を参照してください。For details about preparing the forest, see Running forest preparation for Lync Server 2013 in the Deployment documentation.

  • ドメインを準備します。Prepare Domain. このタスクは、ドメイン内のユーザーをホストおよび管理するためのアクセス許可を付与するユニバーサルグループに必要なアクセス制御エントリ (Ace) を追加します。This task adds the necessary access control entries (ACEs) to universal groups that grant permissions to host and manage users within the domain. このタスクは、Lync Server 2013 を実行しているサーバーを展開するすべてのドメインで、および Lync Server ユーザーが存在するすべてのドメインで完了する必要があります。This task must be completed in all domains where you want to deploy servers running Lync Server 2013 and any domains where your Lync Server users reside. ドメインの準備の詳細については、「展開」のドキュメントの「 Lync Server 2013 の実行ドメインの準備 」を参照してください。For details about preparing the domain, see Running domain preparation for Lync Server 2013 in the Deployment documentation.

Active Directory を準備するための完全なプロセス、および各手順を実行するために必要な権限とアクセス許可の概要については、「展開」のドキュメントの「 Lync Server 2013 の Active directory インフラストラクチャ要件 」を参照してください。For an overview of the complete process for preparing Active Directory and the rights and permissions required to perform each step, see Active Directory infrastructure requirements for Lync Server 2013 in the Deployment documentation.

ユニバーサル グループUniversal Groups

フォレストの準備時に、Lync Server 2013 は、グローバル設定とサービスにアクセスして管理するためのアクセス許可を持つ Active Directory ドメインサービス内にさまざまなユニバーサルグループを作成します。During preparation of the forest, Lync Server 2013 creates various universal groups within Active Directory Domain Services that have permission to access and manage global settings and services. 作成されるユニバーサル グループには、次のようなものがあります。These universal groups include:

  • 管理グループAdministrative groups. これらのグループは、Lync Server ネットワークの基本的な管理者の役割を定義します。These groups define the fundamental administrator roles for a Lync Server network. フォレストの準備中に、これらの管理者グループが Lync Server インフラストラクチャグループに追加されます。During forest preparation, these administrator groups are added to Lync Server infrastructure groups.

  • サービスグループService groups. これらのグループは、Lync Server で提供されるさまざまなサービスにアクセスするために必要なサービスアカウントです。These groups are service accounts that are required to access various services provided by Lync Server.

  • インフラストラクチャグループInfrastructure groups. これらのグループは、Lync Server インフラストラクチャの特定の領域にアクセスするためのアクセス許可を提供します。These groups provide permission to access specific areas of the Lync Server infrastructure. 変更したり、ユーザーを直接追加したりしないでください。They function as components of administrative groups, and you should not modify them or add users to them directly. フォレストの準備時に、特定のサービスおよび管理グループが適切なインフラストラクチャグループに追加されます。During forest preparation, specific service and administration groups are added to the appropriate infrastructure groups.

Lync Server 用の AD の準備時に作成される特定のユニバーサルグループと、インフラストラクチャグループに追加されるサービスおよび管理グループの詳細については、「展開」のドキュメントの「 Lync server 2013 でのフォレストの準備による変更点 」を参照してください。For details about the specific universal groups created when preparing AD for Lync Server, as well as the service and administration groups that get added to the infrastructure groups, see Changes made by forest preparation in Lync Server 2013 in the Deployment documentation.

注意

Lync Server 2013 は、Windows server 2012 のユニバーサルグループをサポートしています。また、Lync Server 2013 を実行しているサーバーと、ドメインコントローラーの Windows Server 2003 オペレーティングシステムもサポートしています。Lync Server 2013 supports the universal groups in the Windows Server 2012 for servers running Lync Server 2013, as well as Windows Server 2003 operating systems for domain controllers. ユニバーサルグループのメンバーには、ドメインツリーまたはフォレスト内の任意のドメインの他のグループとアカウントを含めることができます。また、ドメインツリーまたはフォレスト内の任意のドメインでアクセス許可を割り当てることができます。Members of universal groups can include other groups and accounts from any domain in the domain tree or forest and can be assigned permissions in any domain in the domain tree or forest. ユニバーサルグループのサポートを管理者の委任と組み合わせて使用すると、Lync Server の展開の管理が簡単になります。Universal group support, combined with administrator delegation, simplifies the management of a Lync Server deployment. たとえば、あるドメインを別のドメインに追加して、管理者が両方を管理できるようにする必要はありません。For example, it is not necessary to add one domain to another to enable an administrator to manage both.

役割ベースのアクセス制御Role-Based Access Control

ユニバーサルサービスグループと管理グループの作成、および適切なユニバーサルグループへのサービスと管理グループの追加に加えて、フォレストの準備では Role-Based アクセス制御 (RBAC) グループも作成されます。In addition to creating universal service and administration groups and adding service and administration groups to the appropriate universal groups, forest preparation also creates Role-Based Access Control (RBAC) groups. フォレストの準備で作成された特定の RBAC グループの詳細については、「展開」のドキュメントの「 Lync Server 2013 でのフォレストの準備による変更点 」を参照してください。For details about the specific RBAC groups created by forest preparation, see Changes made by forest preparation in Lync Server 2013 in the Deployment documentation. RBAC グループの詳細については、「 Lync Server 2013 の役割ベースのアクセス制御 (RBAC)」を参照してください。For more information about RBAC groups, see Role-based access control (RBAC) for Lync Server 2013.

アクセス制御エントリ (ACE) と継承Access Control Entries (ACEs) and Inheritance

フォレストの準備では、プライベート ACE とパブリック ACE の両方が作成され、ユニバーサル グループの ACE が追加されます。Forest preparation creates both private and public ACEs and, adding ACEs for the universal groups it creates. Lync Server によって使用されるグローバル設定コンテナーに特定のプライベート Ace を作成します。It creates specific private ACEs on the global settings container used by Lync Server. このコンテナーは、Lync Server によってのみ使用され、グローバル設定を格納する場所に応じて、構成コンテナーまたはルートドメインのシステムコンテナーに格納されます。This container is used only by Lync Server and is located either in the Configuration container or the System container in the root domain, depending on where you store global settings.

ドメインの準備ステップでは、ドメイン内のユーザーをホストおよび管理するアクセス許可を与えるアクセス制御エントリ (ACE) をユニバーサル グループに追加します。ドメインの準備で、ドメイン ルートと 3 つの組み込みコンテナー (ユーザー、コンピューター、およびドメイン コントローラー) に対する ACE が作成されます。The domain preparation step adds the necessary access control entries (ACEs) to universal groups that grant permissions to host and manage users within the domain. Domain preparation creates ACEs on the domain root and three built-in containers: User, Computers, and Domain Controllers.

フォレストの準備およびドメインの準備で作成および追加されるパブリック Ace の詳細については、「展開」のドキュメントの「 Lync server 2013 でのフォレストの準備 に加えられた変更」および「 lync server 2013 のドメイン準備による変更 点」を参照してください。For details about the public ACEs created and added by forest preparation and domain preparation, see Changes made by forest preparation in Lync Server 2013 and Changes made by domain preparation in Lync Server 2013 in the Deployment documentation.

組織では、セキュリティ リスクを軽減するために Active Directory ドメイン サービス (AD DS) をロックダウンすることがよくあります。Organizations often lock down Active Directory Domain Services (AD DS) to help mitigate security risks. ただし、ロックダウンされた Active Directory 環境では、Lync Server 2013 に必要なアクセス許可を制限することができます。However, a locked-down Active Directory environment can limit the permissions that Lync Server 2013 requires. たとえば、コンテナーと OU からの ACE の削除や、ユーザー、連絡先、InetOrgPerson、コンピューターの各オブジェクトでのアクセス許可の継承の無効化などが挙げられます。This can include removal of ACEs from containers and OUs and disabling of permissions inheritance on User, Contact, InetOrgPerson, or Computer objects. ロックダウンされた Active Directory 環境では、コンテナーと OU のアクセス許可を必要に応じて手動で設定する必要があります。In a locked down Active Directory environment, permissions must be set manually on containers and OUs that require them. 詳細については、「展開」のドキュメントの「 Lync Server 2013 でロックダウンされた Active Directory ドメインサービスを準備する 」を参照してください。For details, see Preparing a locked-down Active Directory Domain Services in Lync Server 2013 in the Deployment documentation.

サーバー情報Server Information

ライセンス認証時に、Lync Server 2013 は、Active Directory ドメインサービス内の次の3つの場所にサーバー情報を公開します。During activation, Lync Server 2013 publishes server information to the three following locations in Active Directory Domain Services:

  • Lync Server 2013 がインストールされている物理コンピューターに対応する各 Active Directory コンピューターオブジェクトのサービス接続ポイント (SCP)。A service connection point (SCP) on each Active Directory computer object corresponding to a physical computer on which Lync Server 2013 is installed.

  • msRTCSIP-Pools クラスのコンテナーに作成されるサーバー オブジェクト。Server objects created in the container of the msRTCSIP-Pools class.

  • トポロジビルダーで指定されている信頼されたサーバー。Trusted servers specified in Topology Builder.

サービス接続ポイントService Connection Points

Active Directory ドメインサービスの各 Lync Server 2013 オブジェクトには、RTC Services という名前の SCP があります。これには、各コンピューターを識別して、提供されるサービスを指定するいくつかの属性が含まれます。Each Lync Server 2013 object in Active Directory Domain Services has an SCP called RTC Services, which in turn contains a number of attributes that identify each computer and specify the services that it provides. より重要な SCP 属性には、 serviceDNSNameserviceDNSNameTypeserviceClassname、および serviceBindingInformationがあります。Among the more important SCP attributes are serviceDNSName, serviceDNSNameType, serviceClassname, and serviceBindingInformation. サードパーティ製のアセット管理アプリケーションは、これらの属性とその他の SCP 属性を照会することによって、展開全体でサーバー情報を取得できます。Third-party asset management applications can retrieve server information across a deployment by querying against these and other SCP attributes.

Active Directory サーバー オブジェクトActive Directory Server Objects

各 Lync Server 2013 のサーバーの役割には、その役割によって提供されるサービスを定義する属性を持つ、対応する Active Directory オブジェクトがあります。Each Lync Server 2013 server role has a corresponding Active Directory object whose attributes define the services provided by that role. また、Standard Edition サーバーがアクティブになったとき、または Enterprise Edition プールが作成されたときに、Lync Server 2013 は、 msRTCSIPコンテナーに新しいmsRTCSIPオブジェクトを作成します。Also, when a Standard Edition server is activated, or when an Enterprise Edition pool is created, Lync Server 2013 creates a new msRTCSIP-Pool object in the msRTCSIP-Pools container. MsRTCSIPクラスは、プールの完全修飾ドメイン名 (FQDN) と、プールのフロントエンドおよびバックエンドのコンポーネント間の関連付けを指定します。The msRTCSIP-Pool class specifies the fully qualified domain name (FQDN) of the pool, along with the association between the front-end and back-end components of the pool. (Standard Edition サーバーは、1台のコンピューターにフロントおよびバックエンドが併置されている論理プールと見なされます)。(A Standard Edition server is regarded as a logical pool whose front and back ends are collocated on a single computer.)

信頼済みのサーバーTrusted Servers

Lync Server 2013 では、[信頼されたサーバー] は、トポロジビルダーを実行してトポロジを公開するときに指定されるものです。In Lync Server 2013, trusted servers are the ones specified when you run Topology Builder and publish your topology. 公開したトポロジは、すべてのサーバー情報を含めて、中央管理ストアに格納されます。The published topology, including all the server information, is stored in the Central Management store. 中央管理ストアで定義されているサーバーのみが信頼されます。Only servers defined in the Central Management store are trusted. Lync Server 2013 では、信頼されたサーバーは次の条件を満たすものです。In Lync Server 2013, a trusted server is one that meets the following criteria:

このどちらかの条件が満たされていない場合、サーバーは信頼されず、サーバーとの接続は拒否されます。この二重の要件により、悪意のあるサーバーが有効なサーバーの FQDN を乗っ取ろうとする攻撃を (たとえ攻撃の可能性が低くても) 防ぐことができます。If either of these criteria is missing, the server is not trusted and connection with it is refused. This double requirement prevents a possible, if unlikely, attack in which a rogue server attempts to take over a valid server’s FQDN.

さらに、Microsoft Office Communications Server 2007 R2 および Microsoft Office Communications Server 2007 の展開を Lync Server 2013 サーバーと通信できるようにするために、Lync Server 2013 は、以前のリリース用に信頼されたサーバーのリストを保持するために、フォレストの準備中にコンテナーを作成します。Additionally, to enable Microsoft Office Communications Server 2007 R2 and Microsoft Office Communications Server 2007 deployments to communicate with Lync Server 2013 servers, Lync Server 2013 creates containers during forest preparation for holding lists of trusted servers for previous releases. 次の表は、以前の展開との互換性維持のために作成されるコンテナーを示しています。The following table describes the containers created to enable compatibility with previous deployments.

信頼済みのサーバーのリストと、以前のリリースとの互換性を維持するための Active Directory コンテナーTrusted Server Lists and Their Active Directory Containers for Compatibility with Previous Releases

信頼済みのサーバーのリストTrusted server list Active Directory コンテナーActive Directory container

Standard Edition サーバーおよびエンタープライズ プールのフロント エンド サーバーStandard Edition servers and Enterprise pool Front End Servers

RTC サービス/グローバル設定RTC Service/Global Settings

会議サーバーConferencing Servers

RTC サービス/信頼済み MCURTC Service/Trusted MCUs

Web コンポーネント サーバーWeb Components Servers

RTC サービス/TrustedWebComponentsServersRTC Service/TrustedWebComponentsServers

仲介サーバーと Communicator Web Access サーバー、アプリケーション サーバー、レジストラーと QoE、音声ビデオ会議サービス (サードパーティの SIP サーバーを含む)Mediation Servers and Communicator Web Access Servers, Application Server, Registrar with QoE, A/V Conferencing Service (also 3rd-party SIP servers)

RTC サービス/信頼済みサービスRTC Service/Trusted Services

プロキシ サーバーProxy Servers

Lync Server 2013 は、プロキシサーバーの下位互換性をサポートしていません。Lync Server 2013 does not support backward compatibility for proxy servers

以前のリリースの信頼済みサーバーをサポートするには、ベストプラクティスアナライザーツールを実行する必要があります。To support trusted servers of previous releases, you must run the best practices analyzer tool. ベストプラクティスアナライザーの実行の詳細については、「」を参照してください https://go.microsoft.com/fwlink/p/?LinkId=330633For details about running the best practices analyzer, see https://go.microsoft.com/fwlink/p/?LinkId=330633.