Lync Server 2013 の自動検出サービスの要件

  • [アーティクル]

 

トピック最終更新日: 2013-02-25

Microsoft Lync Server 2013 自動検出サービスは、ディレクターおよびフロント エンド プール サーバーで実行され、DNS で発行されると、Lync Mobile を実行するモバイル デバイスがモビリティ サービスを見つけるために使用できます。 Lync Mobile を実行しているモバイル デバイスで自動検出を利用するには、自動検出サービスを実行しているディレクターとフロント エンド サーバーの証明書サブジェクトの別名リストを変更する必要があります。 さらに、リバース プロキシの外部 Web サービス公開規則に使用される証明書のサブジェクト代替名リストを変更する必要がある場合があります。

ディレクター、フロントエンド サーバー、リバース プロキシに必要なサブジェクトの別名エントリの詳細については、「モビリティの計画」の 「Lync Server 2013 のモビリティの技術的要件 」を参照してください。

リバース プロキシでのサブジェクト代替名リストの使用に関する決定は、自動検出サービスをポート 80 またはポート 443 に発行するかどうかに基づいています。

  • ポート 80 で発行済み 自動検出サービスに対する最初のクエリがポート 80 経由で行われる場合、証明書の変更は必要ありません。 これは、Lync を実行しているモバイル デバイスがポート 80 のリバース プロキシに外部からアクセスし、ポート 8080 のディレクターまたはフロント エンド サーバーに内部的にリダイレクトされるためです。 詳細については、このトピックの後半の「ポート 80 を使用した初期自動検出プロセス」セクションを参照してください。

  • ポート 443 で発行済み外部 Web サービス発行規則で使用される証明書のサブジェクトの別名リストには、lyncdiscover が含まれている必要があります。<organization内の各 SIP ドメインの sipdomain> エントリ。

通常、内部証明機関を使用して証明書を再発行することは簡単なプロセスですが、Web サービス公開規則で使用されるパブリック証明書の場合、複数のサブジェクトの別名エントリを追加するとコストが高くなる可能性があります。 この問題を回避するために、ポート 80 経由の最初の自動検出接続がサポートされ、その後、ディレクターまたはフロント エンド サーバーのポート 8080 にリダイレクトされます。

たとえば、Lync Mobile を実行しているモバイル クライアントが、最初の要求に HTTP を使用して自動検出機能を使用して Lync Server 2013 にサインインするように構成されているとします。

ポート 80 を使用したモバイル デバイスの初期自動検出プロセス

  1. Lync Mobile を実行しているモバイル デバイスは、A レコードが存在する DNS を使用して lyncdiscover.contoso.com を検索します。

  2. 外部 DNS は、外部 Web サービスの IP アドレスをクライアントに返します。

  3. Lync Mobile を実行しているモバイル デバイスがリバース プロキシに要求 http://lyncdiscover.contoso.com?sipuri=lyncUser1@contoso.com を送信する

  4. Web 公開規則は、ポート 80 からの要求を内部的にポート 8080 にブリッジし、ディレクターまたはフロント エンド サーバーにルーティングします。

    要求は HTTP であり HTTPS ではないため、自動検出サービスをサポートするために、外部 Web サービス発行規則の証明書に変更は必要ありません。

  5. 自動検出サービスは、(HTTPS 形式で) 外部 Web サービス URL を返します。

  6. Lync Mobile を実行しているモバイル デバイスは、ポート 443 でリバース プロキシに再接続でき、4443 経由でユーザーのホーム プールで実行されているモビリティ サービスにリダイレクトされます。

    HTTPS クエリは外部 Web サービス URL と自動検出サービス URL に対するため、証明書には外部 Web サービスの完全修飾ドメイン名 (FQDN) のサブジェクト代替名エントリが既に含まれているため、成功します。

    このシナリオでは、モビリティをサポートするために証明書の変更は必要ありません。

    注意

    ターゲット Web サーバーに、サブジェクト代替名リスト値として lyncdiscover.contoso.com に一致する値がない証明書がある場合:
    a.   Web サーバーは"Server Hello" で応答し、証明書は応答しません。
    b.   Lync Mobile を実行しているモバイル デバイスは、セッションを直ちに終了します。
    ターゲット Web サーバーに、サブジェクトの別名リスト値として lyncdiscover.contoso.com を含む証明書がある場合:
    a.   Web サーバーは、"Server hello" と証明書で応答します。
    b.   Lync Mobile を実行しているモバイル デバイスは、証明書を検証し、ハンドシェイクを完了します。

リバース プロキシ サーバー上のポート 80 を使用して自動検出サービスへの初期接続をサポートするには、Forefront Threat Management Gateway 2010 リバース プロキシ Web 発行規則の次の例のような http 公開規則を作成します。

  1. 新しい Web 公開ルール ( Lync Server 自動検出 (HTTP) など) を作成します。

  2. [ パブリック名] に「lyncdiscover.contoso.com」と入力します。

  3. [ ブリッジ ] タブで、ポート 80 からポート 8080 への要求をブリッジするオプションのみを選択します。

  4. [ 認証 ] タブで、[ 認証なし] を選択し、 クライアントは直接認証できません

  5. 変更をコミットし、ルールを Lync ルールの一覧の一番上 (最初の処理順序) に移動します。

分割ドメイン展開のモビリティ

共有 SIP アドレス空間 ( スプリット ドメインまたはハイブリッド展開 とも呼ばれます) は、ユーザーがオンプレミスのデプロイとオンライン環境全体に展開される構成です。 望ましい結果は、ホーム サーバーが配置されている場所 (オンプレミスまたはオンライン) に関係なく、ユーザーがデプロイにログインし、ホーム サーバーの場所にリダイレクトできるようにすることです。 これを実現するために、Microsoft Lync Server 2013 の自動検出機能を使用して、オンライン ユーザーをオンライン トポロジにリダイレクトします。 これを行うには、Lync Server 管理シェルとコマンドレット Get-CsHostingProvider と Set-CsHostingProvider を使用して自動検出の均一リソース ロケーター (URL) 構成します。

次のデプロイされた属性を収集して記録する必要があります。

  • Lync Server 管理シェルから、「」と入力します。 Get-CsHostingProvider

  • 結果で、 ProxyFQDN 属性を持つオンライン プロバイダーを見つけます。 たとえば、sipfed.online.lync.com

  • ProxyFQDN の値を記録する

  • オンプレミスの Lync Server コントロール パネルでフェデレーションを有効にして、オンライン プロバイダーとのフェデレーションを許可する

  • オンライン プロバイダーのフェデレーションを有効にします。 既定では、すべてのオンライン ユーザーがドメインフェデレーションに対して有効になっており、すべてのドメインと通信できます

  • ブロックされたドメインと許可されるドメインを定義する場合は、明示的に許可または明示的にブロックするドメインを決定します

  • オンライン フェデレーションの場合は、ファイアウォールの例外、証明書、DNS ホスト (IPv6 を使用する場合は A または AAAA) を計画する必要があります。 さらに、フェデレーション ポリシーを構成する必要があります。 詳細については、「Lync Server 2013 および Office Communications Server フェデレーションの計画」を参照してください。