Lync Server 2013 のActive Directory Domain Services
トピックの最終更新日: 2013-11-13
Active Directory Domain Servicesは、Windows Server 2003、Windows Server 2008、Windows Server 2012、Windows Server 2012 R2 ネットワークのディレクトリ サービスとして機能します。 Active Directory Domain Servicesは、Microsoft Lync Server 2013 セキュリティ インフラストラクチャが構築される基盤としても機能します。 このセクションの目的は、Lync Server 2013 がActive Directory Domain Servicesを使用して IM、Web 会議、メディア、音声の信頼できる環境を作成する方法を説明することです。 Active Directory Domain Servicesに対する Lync Server 拡張機能と、Active Directory Domain Services用の環境の準備の詳細については、「Lync Server 2013 のActive Directory Domain Servicesの準備」を参照してください。 のドキュメントを参照してください。 Windows Server ネットワークでのActive Directory Domain Servicesの役割の詳細については、使用しているオペレーティング システムのバージョンに関するドキュメントを参照してください。
Lync Server 2013 では、Active Directory Domain Servicesを使用して次の情報を格納します。
フォレスト内で Lync Server 2013 を実行しているすべてのサーバーが必要とするグローバル設定。
フォレスト内で Lync Server 2013 を実行しているすべてのサーバーの役割を識別するサービス情報。
一部のユーザー設定。
Active Directory インフラストラクチャ
Active Directory のインフラストラクチャ要件には、次のものが含まれます。
ドメイン コントローラーのオペレーティング システム要件
ドメインとフォレストの機能レベルの要件
グローバル カタログ ドメインの要件
詳細については、「展開」のドキュメントの 「Lync Server 2013 の Active Directory インフラストラクチャ 要件」を参照してください。
Active Directory Domain Services準備
注意
システム コンテナーの代わりに、構成コンテナーにグローバル設定をデプロイすることをお勧めします。 これによりセキュリティは強化されませんが、一部のActive Directory Domain Services トポロジのスケーラビリティが向上する可能性があります。 Microsoft Office Communications Server 2007 から移行中で、システム コンテナーを使用しているが、構成コンテナーを使用する予定がある場合は、アップグレード準備を行う前に、システム コンテナーの設定を移動する必要があります。 システム コンテナーの設定を構成コンテナーに移行するには、「Office Communications Server 2007 Global Settings Migration Tool at https://go.microsoft.com/fwlink/p/?LinkId=145236.
Lync Server 2013 を展開する場合、最初の手順はActive Directory Domain Servicesを準備することです。 Lync Server 2013 のActive Directory Domain Servicesの準備は、次の 3 つの手順で構成されます。
スキーマを準備します。 このタスクでは、Active Directory Domain Servicesのスキーマを拡張して、Lync Server 2013 に固有のクラスと属性を含めます。 スキーマの準備の詳細については、展開のドキュメント の「Lync Server 2013 での Active Directory スキーマの準備の実行 」を参照してください。 詳細については、「 Office Communications Server 2007 R2 から Lync Server 2013 への移行」を参照してください。
フォレストを準備します。 このタスクでは、フォレスト ルート ドメインにグローバル設定とオブジェクトを作成し、これらの設定とオブジェクトへのアクセスを管理するユニバーサル サービスと管理グループを作成します。 フォレストの準備の詳細については、展開のドキュメントの 「Lync Server 2013 のフォレスト準備の実行 」を参照してください。
ドメインを準備します。 このタスクでは、ドメイン内のユーザーをホストおよび管理するためのアクセス許可を付与するユニバーサル グループに、必要なアクセス制御エントリ (ACE) を追加します。 このタスクは、Lync Server 2013 を実行するサーバーと、Lync Server ユーザーが存在するすべてのドメインを展開するすべてのドメインで完了する必要があります。 ドメインの準備の詳細については、展開のドキュメントの 「Lync Server 2013 のドメイン準備の実行 」を参照してください。
Active Directory を準備するための完全なプロセスと、各手順を実行するために必要な権限とアクセス許可の概要については、「展開」のドキュメントの 「Lync Server 2013 の Active Directory インフラストラクチャ要件 」を参照してください。
ユニバーサル グループ
フォレストの準備中に、Lync Server 2013 は、グローバル設定とサービスにアクセスして管理するアクセス許可を持つさまざまなユニバーサル グループをActive Directory Domain Services内に作成します。 作成されるユニバーサル グループには、次のようなものがあります。
管理グループ。 これらのグループは、Lync Server ネットワークの基本的な管理者ロールを定義します。 フォレストの準備中に、これらの管理者グループが Lync Server インフラストラクチャ グループに追加されます。
サービス グループ。 これらのグループは、Lync Server によって提供されるさまざまなサービスにアクセスするために必要なサービス アカウントです。
インフラストラクチャ グループ。 これらのグループは、Lync Server インフラストラクチャの特定の領域にアクセスするためのアクセス許可を提供します。 変更したり、ユーザーを直接追加したりしないでください。 フォレストの準備時に、特定のサービス グループと管理グループが、対応するインフラストラクチャ グループに追加されます。
Lync Server 用の AD の準備時に作成された特定のユニバーサル グループと、インフラストラクチャ グループに追加されるサービスグループと管理グループの詳細については、「展開」のドキュメント の「Lync Server 2013 のフォレスト準備による変更 」を参照してください。
注意
Lync Server 2013 では、Lync Server 2013 を実行しているサーバーのWindows Server 2012のユニバーサル グループと、ドメイン コントローラー用の Windows Server 2003 オペレーティング システムがサポートされています。 ユニバーサル グループのメンバーには、ドメイン ツリーまたはフォレスト内の任意のドメインの他のグループとアカウントを含めることができます。また、ドメイン ツリーまたはフォレスト内の任意のドメインにアクセス許可を割り当てることができます。 ユニバーサル グループのサポートと管理者委任の組み合わせにより、Lync Server 展開の管理が簡略化されます。 たとえば、管理者が両方を管理できるように、あるドメインを別のドメインに追加する必要はありません。
役割ベースのアクセス制御
ユニバーサル サービス グループと管理グループを作成し、サービス グループと管理グループを対応するユニバーサル グループに追加することに加えて、フォレストの準備では役割ベースのアクセス制御 (RBAC) グループも作成されます。 フォレストの準備によって作成された特定の RBAC グループの詳細については、展開のドキュメント の「Lync Server 2013 のフォレスト準備によって行われた変更 」を参照してください。 RBAC グループの詳細については、「 Lync Server 2013 のロールベースのアクセス制御 (RBAC)」を参照してください。
アクセス制御エントリ (ACE) と継承
フォレストの準備では、プライベート ACE とパブリック ACE の両方が作成され、ユニバーサル グループの ACE が追加されます。 Lync Server によって使用されるグローバル設定コンテナーに特定のプライベート ACE が作成されます。 このコンテナーは Lync Server でのみ使用され、グローバル設定を格納する場所に応じて、ルート ドメインの構成コンテナーまたはシステム コンテナーにあります。
ドメインの準備ステップでは、ドメイン内のユーザーをホストおよび管理するアクセス許可を与えるアクセス制御エントリ (ACE) をユニバーサル グループに追加します。 ドメインの準備で、ドメイン ルートと 3 つの組み込みコンテナー (ユーザー、コンピューター、およびドメイン コントローラー) に対する ACE が作成されます。
フォレストの準備とドメイン準備によって作成および追加されたパブリック ACE の詳細については、「展開」のドキュメント の「Lync Server 2013 でのフォレスト準備による変更と、Lync Server 2013でのドメイン準備による変更 」を参照してください。
組織は、多くの場合、セキュリティ リスクを軽減するためにActive Directory Domain Services (AD DS) をロックダウンします。 ただし、ロックダウンされた Active Directory 環境では、Lync Server 2013 に必要なアクセス許可を制限できます。 たとえば、コンテナーと OU からの ACE の削除や、ユーザー、連絡先、InetOrgPerson、コンピューターの各オブジェクトでのアクセス許可の継承の無効化などが挙げられます。 ロックダウンされた Active Directory 環境では、それらを必要とするコンテナーと OU に対してアクセス許可を手動で設定する必要があります。 詳細については、「展開」のドキュメントの「Lync Server 2013 のロックダウンActive Directory Domain Servicesの準備」を参照してください。
サーバー情報
アクティブ化中、Lync Server 2013 は、Active Directory Domain Servicesの次の 3 つの場所にサーバー情報を発行します。
Lync Server 2013 がインストールされている物理コンピューターに対応する各 Active Directory コンピューター オブジェクト上のサービス接続ポイント (SCP)。
msRTCSIP-Pools クラスのコンテナーに作成されるサーバー オブジェクト。
トポロジ ビルダーで指定された信頼されたサーバー。
サービス接続ポイント
Active Directory Domain Servicesの各 Lync Server 2013 オブジェクトには RTC Services と呼ばれる SCP があり、各コンピューターを識別し、提供するサービスを指定するさまざまな属性が含まれています。 より重要な SCP 属性の中には、 serviceDNSName、 serviceDNSNameType、 serviceClassname、 serviceBindingInformation があります。 サード パーティの資産管理アプリケーションは、これらおよびその他の SCP 属性に対してクエリを実行することで、デプロイ全体でサーバー情報を取得できます。
Active Directory Server オブジェクト
各 Lync Server 2013 サーバー ロールには、対応する Active Directory オブジェクトがあり、その属性はそのロールによって提供されるサービスを定義します。 また、Standard Edition サーバーがアクティブ化されたとき、またはEnterprise Edition プールが作成されると、Lync Server 2013 によって msRTCSIP-Pool コンテナーに新しい msRTCSIP-Pool オブジェクトが作成されます。 msRTCSIP-Pool クラスは、プールの完全修飾ドメイン名 (FQDN) と、プールのフロントエンド コンポーネントとバックエンド コンポーネント間の関連付けを指定します。 (Standard Edition サーバーは、1 台のコンピューターでフロントエンドとバックエンドが併置される論理プールと見なされます)。
信頼済みのサーバー
Lync Server 2013 では、トポロジ ビルダーを実行してトポロジを発行するときに指定されたサーバーが信頼されたサーバーです。 公開したトポロジは、すべてのサーバー情報を含めて、中央管理ストアに格納されます。 中央管理ストアで定義されているサーバーのみが信頼されます。 Lync Server 2013 では、信頼されたサーバーは、次の条件を満たすサーバーです。
サーバーの FQDN が、中央管理ストアに格納されているトポロジに出現する。
サーバーが、信頼されている CA からの有効な証明書を提示している。 詳細については、「 Lync Server 2013 の証明書インフラストラクチャ要件」を参照してください。
このどちらかの条件が満たされていない場合、サーバーは信頼されず、サーバーとの接続は拒否されます。 この二重の要件により、悪意のあるサーバーが有効なサーバーの FQDN を乗っ取ろうとする攻撃を (たとえ攻撃の可能性が低くても) 防ぐことができます。
さらに、Microsoft Office Communications Server 2007 R2 および Microsoft Office Communications Server 2007 の展開が Lync Server 2013 サーバーと通信できるように、Lync Server 2013 では、以前のリリースで信頼されたサーバーのリストを保持するためのフォレストの準備中にコンテナーが作成されます。 次の表は、以前の展開との互換性維持のために作成されるコンテナーを示しています。
以前のリリースとの互換性を確保するために信頼されたサーバー リストとその Active Directory コンテナー
| 信頼済みのサーバーのリスト | Active Directory コンテナー |
|---|---|
Standard Edition サーバーおよびエンタープライズ プールのフロント エンド サーバー |
RTC サービス/グローバル設定 |
会議サーバー |
RTC サービス/信頼済み MCU |
Web コンポーネント サーバー |
RTC サービス/TrustedWebComponentsServers |
仲介サーバーと Communicator Web Access サーバー、アプリケーション サーバー、レジストラーと QoE、音声ビデオ会議サービス (サードパーティの SIP サーバーを含む) |
RTC サービス/信頼済みサービス |
プロキシ サーバー |
Lync Server 2013 では、プロキシ サーバーの下位互換性はサポートされていません |
以前のリリースの信頼できるサーバーをサポートするには、ベスト プラクティス アナライザー ツールを実行する必要があります。 ベスト プラクティス アナライザーの実行の詳細については、以下を参照してください https://go.microsoft.com/fwlink/p/?LinkId=330633。