Lync Server 2013 での単一内部プールの Web 公開ルールの構成

  • [アーティクル]

 

トピック最終更新日時: 2014-07-07

Microsoft Forefront Threat Management Gateway 2010 および Internet Information Server アプリケーション要求ルーティング (IIS ARR) では、Web 公開ルールを使用して、会議 URL などの内部リソースをインターネット上のユーザーに公開します。

仮想ディレクトリの Web サービス URL に加えて、単純な URL、LyncDiscover URL、Office Web Apps Server の発行ルールも作成する必要があります。 単純な URL ごとに、その単純な URL を指すリバース プロキシに個別のルールを作成する必要があります。

モビリティをデプロイし、自動検出を使用している場合は、外部の自動検出サービス URL の発行規則を作成する必要があります。 自動検出には、ディレクター プールとフロント エンド プールの外部 Lync Server Web Services URL の公開規則も必要です。 自動検出用の Web 公開ルールの作成の詳細については、「 Lync Server 2013 でのモビリティ用のリバース プロキシの構成」を参照してください。

Web 公開ルールを作成するには、次の手順に従います。

注意

これらの手順は、Standard Edition of Forefront Threat Management Gateway (TMG) 2010 をインストールしているか、アプリケーション要求ルーティング (IIS ARR) 拡張機能を使用してインターネット インフォメーション サーバーをインストールして構成していることを前提としています。 TMG または IIS ARR のいずれかを使用します。

TMG 2010 を実行しているコンピューターに Web サーバー発行規則を作成するには

  1. [ スタート] ボタン、[ プログラム] の順に選択し、 Microsoft Forefront TMG を選択して、[ Forefront TMG Management] をクリックします。

  2. 左側のウィンドウで [ ServerName] を展開し、[ ファイアウォール ポリシー] を右クリックして [ 新規] を選択し、[ Web サイト発行規則] をクリックします。

  3. [ 新しい Web 発行規則へようこそ ] ページで、発行ルールの表示名 (LyncServerWebDownloadsRule など) を入力します。

  4. [ ルールアクションの選択] ページで、[ 許可] を選択します。

  5. [ 発行の種類] ページ で、[1 つの Web サイトまたはロード バランサーを発行する] を選択します。

  6. [ サーバー接続セキュリティ ] ページで、[ SSL を使用して発行された Web サーバーまたはサーバー ファームに接続する] を選択します。

  7. [ 内部発行の詳細] ページで、[ 内部サイト 名] ボックスに、会議コンテンツとアドレス帳コンテンツをホストする内部 Web ファームの完全修飾ドメイン名 (FQDN) を入力します。

    注意

    内部サーバーが Standard Edition サーバーの場合、この FQDN は Standard Edition サーバー FQDN です。 内部サーバーがフロントエンド プールの場合、この FQDN は、内部 Web ファーム サーバーの負荷分散を行うハードウェア ロード バランサー仮想 IP (VIP) です。 TMG サーバーは、FQDN を内部 Web サーバーの IP アドレスに解決できる必要があります。 TMG サーバーが FQDN を適切な IP アドレスに解決できない場合は、[ コンピューター名または IP アドレスを使用して発行されたサーバーに接続する] を選択し、[ コンピューター名またはIP アドレス ] ボックスに内部 Web サーバーの IP アドレスを入力します。 これを行う場合は、ポート 53 が TMG サーバーで開かれていることと、境界ネットワーク内に存在する DNS サーバーに到達できることを確認する必要があります。 ローカル ホスト ファイルのエントリを使用して、名前解決を提供することもできます。

  8. [ 内部発行の詳細 ] ページの [ パス ( オプション)] ボックスに、発行するフォルダーのパスを入力 /* します。

    注意

    Web サイト発行ウィザードでは、1 つのパスのみを指定できます。 ルールのプロパティを変更することで、追加のパスを追加できます。

  9. [パブリック名の詳細] ページで、[要求の受け入れ] で [このドメイン名] が選択されていることを確認し、[パブリック名] ボックスに外部 Web サービスの FQDN を入力します。

  10. [ Web リスナーの選択] ページで、[ 新規 ] をクリックして、新しい Web リスナー定義ウィザードを開きます。

  11. [ 新しい Web リスナー ウィザードへようこそ ] ページの [Web リスナー名] ボックスに Web リスナーの名前 を入力します (LyncServerWebServers など)。

  12. [ クライアント接続セキュリティ ] ページで、[ クライアントとの SSL セキュリティで保護された接続が必要] を選択します。

  13. Web リスナーの [IP アドレス] ページで、[ 外部] を選択し、[ IP アドレスの選択] をクリックします。

  14. [外部リスナー IP の選択] ページで、選択したネットワーク内の Forefront TMG コンピューターで [指定された IP アドレス] を選択し、適切な IP アドレスを選択して、[追加] をクリックします。

  15. [ リスナー SSL 証明書 ] ページで、[ 各 IP アドレスに証明書を割り当てる] を選択し、外部 Web FQDN に関連付けられている IP アドレスを選択して、[ 証明書の選択] をクリックします。

  16. [ 証明書の選択] ページで、手順 9. で指定したパブリック名と一致する証明書を 選択し、[選択] をクリックします。

  17. [ 認証設定] ページで、[ 認証なし] を選択します。

  18. [ シングル サインオンの設定] ページで 、[ 次へ] をクリックします。

  19. [ Web リスナー ウィザードの完了] ページで、 Web リスナー の設定が正しいことを確認し、[完了] をクリック します

  20. [ 認証委任 ] ページで、[委任なし] を選択 しますが、クライアントは直接認証できます

  21. [ ユーザー セット ] ページで、[ 次へ] をクリックします。

  22. [ 新しい Web 発行規則ウィザードの完了 ] ページで、Web 発行規則の設定が正しいことを確認し、[完了] をクリック します

  23. 詳細ウィンドウで [ 適用 ] をクリックして変更を保存し、構成を更新します。

IIS ARR を実行しているコンピューターに Web サーバー発行規則を作成するには

  1. リバース プロキシに使用する証明書を HTTPS プロトコルにバインドします。 [ スタート] ボタンをクリックし、[ プログラム] を選択し、[ 管理ツール] を選択して、[ インターネット インフォメーション サービス (IIS) マネージャー] をクリックします。

    注意

    IIS ARR の展開と構成に関するその他のヘルプ、スクリーン ショット、ガイダンスについては、 Lync Server 2013 のリバース プロキシとしての IIS ARR の使用に関する次の記事を参照してください。

  2. まだ行っていない場合は、リバース プロキシに使用する証明書をインポートします。 インターネット インフォメーション サービス (IIS) マネージャーで、コンソールの左側のサイズでリバース プロキシ サーバー名をクリックします。 [IIS] のコンソールの中央で、[サーバー証明書] を探します[サーバー証明書] を右クリックし、[機能を開く] を選択します。

  3. 本体の右側にある [ インポート]... をクリックします。 拡張子を持つ証明書のパスとファイル名を入力するか、 ... をクリックして証明書を参照します。 証明書を選択し、[ 開く] をクリックします。 秘密キーの保護に使用するパスワードを指定します (証明書と秘密キーをエクスポートするときにパスワードを割り当てた場合)。 [OK] をクリックします。 証明書のインポートが成功した場合、証明書はコンソールの中央のエントリとして サーバー証明書のエントリとして表示されます。

  4. HTTPS で使用する証明書を割り当てます。 コンソールの左側で、IIS サーバーの 既定の Web サイト を選択します。 右側にある [ バインド]... をクリックします。 [ サイト バインド] ダイアログで、[ 追加....] をクリックします。 [種類] の [サイト バインドの追加] ダイアログで、https を選択します。 https を選択すると、https に使用する証明書を選択できます。 [ SSL 証明書]:リバース プロキシ用にインポートした証明書を選択します。 [OK] をクリックします。 次に、[ 閉じる] をクリックします。 証明書は、セキュリティで保護されたソケット層 (SSL) とトランスポート層セキュリティ (TLS) のリバース プロキシにバインドされるようになりました。

    大事な

    中間証明書が見つからないというバインド ダイアログを閉じるときに警告が表示された場合は、パブリック CA ルート機関証明書と中間 CA 証明書を見つけてインポートする必要があります。 証明書を要求したパブリック CA の手順を参照し、指示に従って証明書チェーンを要求およびインポートします。 エッジ サーバーから証明書をエクスポートした場合は、ルート CA 証明書と、エッジ サーバーに関連付けられているすべての中間 CA 証明書をエクスポートできます。 ルート CA 証明書をコンピューターの (ユーザー ストアと混同しないように) 信頼されたルート証明機関ストアにインポートし、中間証明書をコンピューターの中間証明機関ストアにインポートします。

  5. IIS サーバー名の下にあるコンソールの左側で、[ サーバー ファーム ] を右クリックし、[ サーバー ファームの作成]... をクリックします。

    注意

    [サーバー ファーム] ノードが表示されない場合は、アプリケーション要求ルーティングをインストールする必要があります。 詳細については、「 Lync Server 2013 のリバース プロキシ サーバーのセットアップ」を参照してください。

    [サーバー ファーム名] の [サーバー ファームの作成] ダイアログで、最初の URL の名前 (識別の目的でフレンドリ名を指定できます) を入力します。 [次へ] をクリックします。

  6. [サーバー アドレス] の [サーバーの追加] ダイアログで、フロントエンド サーバー上の外部 Web サービスの完全修飾ドメイン名 (FQDN) を入力します。 この例で使用する名前は、Lync Server 2013 のリバース プロキシの[計画]セクションの[ 証明書の概要 - リバース プロキシ]で使用される名前と同じです。 リバース プロキシ計画を参照して、FQDN webext.contoso.comを入力します。 [オンライン] の横にあるチェック ボックスがオンになっていることを確認します。 [ 追加] をクリックして、この構成の Web サーバーのプールにサーバーを追加します。

    警告

    Lync Server では、ハードウェア ロード バランサーを使用して、HTTP トラフィックと HTTPS トラフィック用のディレクター サーバーとフロントエンド サーバーをプールします。 IIS ARR サーバー ファームにサーバーを追加する場合は、FQDN を 1 つだけ指定します。 FQDN は、プールされていないサーバー構成のフロント エンド サーバーまたはディレクター、またはサーバー プール用に構成されたハードウェア ロード バランサーの FQDN になります。 HTTP トラフィックと HTTPS トラフィックを負荷分散するためにサポートされている唯一の方法は、ハードウェア ロード バランサーを使用することです。

  7. [ サーバーの追加] ダイアログで、[ 詳細設定]... をクリックします。 これにより、構成済みの FQDN への要求に対するアプリケーション要求のルーティングを定義するダイアログが開きます。 目的は、IIS ARR によって要求が処理されるときに使用されるポートを再定義することです。

    既定では、宛先 HTTP ポートは 8080 として定義されている必要があります。 現在の httpPort 80 の横をクリックし、値を 8080 に設定します。 現在の httpsPort 443 の横をクリックし、値を 4443 に設定します。 weight パラメーターは 100 のままにします。 必要に応じて、ベースライン統計を作成したら、特定のルールの重みを再定義できます。 [ 完了] を クリックして、ルール構成のこの部分を完了します。

  8. IIS マネージャーが URL 書き換え規則を作成して、すべての受信要求をサーバー ファームに自動的にルーティングできることを示すダイアログの書き換え規則が表示される場合があります。 [ はい] をクリックします。 ルールは手動で調整しますが、[はい] を選択すると初期構成が設定されます。

  9. 作成したサーバー ファームの名前をクリックします。 [IIS マネージャー機能ビュー] の [ サーバー ファーム ] で、[ キャッシュ] をダブルクリックします。 [ ディスク キャッシュを有効にする] をオフにします。 右側の [ 適用] をクリックします。

  10. サーバー ファームの名前をクリックします。 [IIS マネージャー機能ビュー] の [ サーバー ファーム ] で、[ プロキシ] をダブルクリックします。 [プロキシ設定] ページで、 タイムアウト (秒) の値をデプロイに適した値に変更します。 [ 適用] をクリックして変更を保存します。

    大事な

    プロキシタイムアウト値は、デプロイごとに異なる数値です。 展開を監視し、クライアントに最適なエクスペリエンスを得るための値を変更する必要があります。 値を 200 に設定できる場合があります。 環境で Lync モバイル クライアントをサポートしている場合は、タイムアウト値が 900 のOffice 365からのプッシュ通知タイムアウトを許可するように値を 960 に設定する必要があります。 タイムアウト値を大きくして、値が小さすぎる場合にクライアントが切断されないようにする必要がある可能性があります。または、プロキシ経由の接続が切断されず、クライアントが切断された後に長くクリアされない場合は、数を減らします。 この値に対して適切な設定がどこにあるかを判断する唯一の正確な手段は、環境に対して正常なものを監視し、ベースラインを設定することです。

  11. サーバー ファームの名前をクリックします。 [IIS マネージャー機能ビューの サーバー ファーム ] で、[ ルーティング規則] をダブルクリックします。 [ルーティング規則] ダイアログの [ルーティング] で、[SSL オフロードを有効にする] の横にあるチェック ボックスをオフにします。 チェック ボックスをオフにする機能が利用できない場合は、[ URL 書き換えを使用して受信要求を検査する] チェック ボックスをオンにします。 [ 適用] をクリックして変更を保存します。

    警告

    リバース プロキシによる SSL オフロードはサポートされていません。

  12. リバース プロキシを通過する必要がある URL ごとに、手順 5 ~ 11 を繰り返します。 一般的な一覧は次のとおりです。

    • フロントエンド サーバー Web サービス外部: webext.contoso.com (初期の手順で既に構成済み)

    • Director の外部の Director Web サービス: webdirext.contoso.com (ディレクターがデプロイされている場合は省略可能)

    • 単純な URL meet: meet.contoso.com

    • 単純な URL ダイヤルイン: dialin.contoso.com

    • Lync 自動検出 URL: lyncdiscover.contoso.com

    • Office Web Apps サーバー URL: officewebapps01.contoso.com

      大事な

      Office Web Apps サーバーの URL では、別の httpsPort アドレスが使用されます。 手順 7 では、 httpsPort443 として、 httpPort を ポート 80 として定義します。 その他の構成設定はすべて同じです。

  13. コンソールの左側で、IIS サーバー名をクリックします。 コンソールの中央で、IISURL の書き換えを見つけます。 [URL 書き換え] をダブルクリックして、URL 書き換え規則の構成を開きます。 前の手順で作成した各サーバー ファームのルールが表示されます。 そうでない場合は、インターネット情報サーバー マネージャー コンソールの [スタート ページ] ノードのすぐ下にある IIS サーバー名をクリックしたことを確認します。

  14. [URL 書き換え] ダイアログで、webext.contoso.com を例として使用すると、表示されるルールの完全な名前は ARR_webext.contoso.com_loadbalance_SSL です

    • ルールをダブルクリックして、[ 受信規則の編集] ダイアログを開きます。

    • [条件] ダイアログで [追加... ] をクリックします。

    • [条件の追加]入力に「{HTTP_HOST}」と入力します。 (入力すると、条件を選択できるダイアログが表示されます)。 [入力文字列の確認] で、[パターンに一致する] を選択します。 パターン入力の種類 *[大文字と小文字を区別しない ] を選択する必要があります。 [OK] をクリックします。

    • [受信規則の編集] ダイアログで下にスクロールして、[アクション] ダイアログを見つけます。 アクションの種類:[サーバー ファームへのルート]、[ スキーム:https://] に設定する、 サーバー ファーム: この規則が適用される URL に設定する必要があります。 この例では、 webext.contoso.com に設定する必要があります。 パス:/{R:0} に設定されます

    • [ 適用] をクリックして変更を保存します。 [ ルールに戻る ] をクリックして、URL 書き換えルールに戻ります。

  15. 定義した SSL 書き換え規則ごとに、手順 14 で定義した手順を繰り返します。サーバー ファーム URL ごとに 1 つずつです。

    警告

    既定では、HTTP ルールも作成され、SSL ルールと同様の名前が付けられます。 現在の例では、HTTP ルールの名前は ARR_webext.contoso.com_loadbalance になります。 これらの規則に変更は必要ありません。無視しても問題ありません。

TMG 2010 の Web 発行ルールのプロパティを変更するには

  1. [ スタート] ボタンをクリックし、[ プログラム] をポイントして Microsoft Forefront TMG を選択し、[ Forefront TMG 管理] をクリックします。

  2. 左側のウィンドウで [ ServerName] を展開し、[ ファイアウォール ポリシー] をクリックします。

  3. 詳細ウィンドウで、前の手順で作成した Web サーバー発行ルール (LyncServerExternalRule など) を右クリックし、[ プロパティ] をクリックします。

  4. [ プロパティ ] ページの [ ] タブで、次の操作を行います。

    • [この規則は、これらのソースからのトラフィックに適用されます] ボックスの一覧で、[任意の場所] をクリックし、[削除] をクリックします

    • [追加] をクリックします。

    • [ネットワーク エンティティの追加] で [ネットワーク] を展開し、[外部] をクリックして [追加] をクリックし、[閉じる] をクリックします。

  5. [ 転送先 ] タブで、[ 実際のホスト ヘッダーではなく元のホスト ヘッダーを転送する ] チェック ボックスがオンになっていることを確認します。

  6. [ ブリッジ] タブで、[ SSL ポートへの要求のリダイレクト ] チェック ボックスをオンにし、ポート 4443 を指定します。

  7. [ パブリック名 ] タブで、単純な URL (meet.contoso.com や dialin.contoso.com など) を追加します。

  8. [ 適用] をクリックして変更を保存し、[OK] をクリック します

  9. 詳細ウィンドウで [ 適用 ] をクリックして変更を保存し、構成を更新します。

IIS ARR で Web 発行ルールのプロパティを変更するには

  1. [ スタート] ボタンをクリックし、[ プログラム] を選択し、[ 管理ツール] を選択して、[ インターネット インフォメーション サービス (IIS) マネージャー] をクリックします。

  2. コンソールの左側で、IIS サーバー名をクリックします。

  3. コンソールの中央で、IISURL の書き換えを見つけます。 [URL 書き換え] をダブルクリックして、URL 書き換え規則の構成を開きます。

  4. 変更する必要があるルールをダブルクリックします。 必要に応じて、[ 一致 URL]、[ 条件]、[ サーバー変数] 、または [アクション] で変更を加えます。

  5. [ 適用] をクリックして変更をコミットします。 [ ルールに戻る ] をクリックして他のルールを変更するか、変更が完了したら IIS マネージャー コンソールを閉じます。