認証プロセス
トピックの最終更新日: 2014-10-22
UNRESOLVED_TOKEN_VAL(nm-oc-14-3rd) の IP 電話の中には、次の表に示すように、暗証番号 (PIN) と証明書による認証をサポートするもの、NTLM と証明書による認証をサポートするもの、およびその両方をサポートするものがあります。認証の際にデバイスは、認証要求の一部として、ユーザーの資格情報を Web サービスに送信します。NTLM 認証の場合は、資格情報はドメイン ユーザー名とパスワードです。PIN 認証の場合は、資格情報は電話番号と PIN です。どちらの場合も、クライアントの Lync 証明書 (前の手順で取得) を使用して、その後のすべての通信で使用する通信チャネルのセキュリティについてネゴシエートを行います。
電話 | PIN 認証 | NTLM 認証 |
---|---|---|
Aastra 6721ip 共通領域電話 |
はい |
いいえ |
Aastra 6725ip 卓上電話 |
はい |
はい |
HP 4110 IP 電話 (共通領域電話) |
はい |
いいえ |
HP 4120 IP 電話 (卓上電話) |
はい |
はい |
Polycom CX500 IP 共通領域電話 |
はい |
いいえ |
Polycom CX600 IP 卓上電話 |
はい |
はい |
Polycom CX700 IP 卓上電話 |
はい |
|
Polycom CX3000 IP 会議電話 |
はい |
はい |
注: |
---|
2 人のユーザーが同じ電話番号を入力する場合は、両者の区別には PIN が使用されます。電話番号と PIN の組み合わせが一意でない場合は、両者の区別には電話番号と内線番号が使用されます。電話番号と内線番号の組み合わせは常に一意である必要があります。このシナリオは、認証のときではなく PIN を最初に設定するときに発生することがありますが、PIN 認証という状況の中で理解しておくことには意味があります。 |
問題 1: ユーザーのアカウントがロックされた (Aastra 6725ip、HP 4120、および Polycom CX600 に該当)
問題: ユーザー認証で、誤った PIN による試行が上限の回数に達しました。再試行できる回数の上限は、サイトまたはユーザーの PIN ポリシーで設定されます。
解決法: ユーザーが間違った PIN を入力した回数が上限に達した後は、Lync Server の管理者のみがアカウントのロックを解除できます。管理者がそのユーザーのアカウントのロックを解除するには、Lync Server コントロール パネルを使用します。それには、Lync Server コントロール パネルに接続します。Lync Server の管理役割のメンバーでない管理者は接続できません。Lync Server コントロール パネルで、[ユーザー] をクリックし、検索フィールドにユーザーの名前を入力します。検索結果で、該当するユーザーをダブルクリックしてそのユーザーの設定を表示し、PIN をリセットします。
または、ユーザーがダイヤルイン会議の設定の Web ページで自らの PIN をリセットすることもできます。ダイヤルイン会議の設定の Web ページを開くには、次のいずれかの操作を行います。
Microsoft Outlook メッセージングおよびコラボレーション クライアントで、[会議] アイテムをクリックし、[ダイヤルイン設定] をクリックします。
UNRESOLVED_TOKEN_VAL(nm-oc-14-3rd) で、[メニュー]、[ツール]、[ダイヤルイン設定] の順にクリックします。
会議への招待で、[電話番号の検索] または [ダイヤルイン PIN を忘れた場合] をクリックします。
ユーザーは、PIN をリセットした後で、デバイスで正しい PIN を入力し直して認証を続行できます。
問題 2: PIN の有効期限が切れた (Aastra 6725ip、HP 4120、および Polycom CX600 に該当)
問題: ユーザーのアカウントの PIN の有効期限が切れました。PIN の有効期限は、ユーザーが所属するサイトの PIN ポリシーで設定されているか、または個別のユーザーに対して設定されています。
解決法: PIN の有効期限は、サイトまたはユーザーに割り当てられている PIN ポリシーの属性の 1 つです。ユーザーに適用されている PIN ポリシーを判断するには、Lync Server の管理役割のメンバーとしてログオンする必要があります。詳細については、「計画」のドキュメントの「役割ベースのアクセス制御」を参照してください。まず、Lync Server コントロール パネルに接続します。Lync Server の管理役割のメンバーでない管理者は接続できません。
PIN の有効期限が切れている場合は、ユーザーの PIN をリセットします。Lync Server コントロール パネルで、[ユーザー] をクリックし、検索フィールドにユーザーの名前を入力します。検索結果で、該当するユーザーをダブルクリックしてそのユーザーの設定を表示し、PIN をリセットします。
または、ユーザーがダイヤルイン会議の設定の Web ページで自らの PIN をリセットすることもできます。ダイヤルイン会議の設定の Web ページを開くには、次のいずれかの操作を行います。
Microsoft Outlook メッセージングおよびコラボレーション クライアントで、[会議] アイテムをクリックし、[ダイヤルイン設定] をクリックします。
UNRESOLVED_TOKEN_VAL(nm-oc-14-3rd) で、[メニュー]、[ツール]、[ダイヤルイン設定] の順にクリックします。
会議への招待で、[電話番号の検索] または [ダイヤルイン PIN を忘れた場合] をクリックします。
ユーザーは、PIN をリセットした後で、デバイスで正しい PIN を入力し直して認証を続行できます。
問題 3: ユーザーが PIN を持っていない (Aastra 6725ip、HP 4120、および Polycom CX600 に該当)
問題: ユーザーが、認証に使用できる PIN を持っていません。
解決法: ユーザー用の PIN を作成します。それには、Lync Server コントロール パネルに接続します。Lync Server の管理役割のメンバーでない管理者は接続できません。
Lync Server コントロール パネルで、[ユーザー] をクリックし、検索フィールドにユーザー名を入力します。検索結果で、該当するユーザーをダブルクリックしてそのユーザーの設定を表示し、PIN を設定します。
または、ユーザーがダイヤルイン会議の設定の Web ページで自らの PIN を設定することもできます。ダイヤルイン会議の設定の Web ページを開くには、次のいずれかの操作を行います。
Microsoft Outlook メッセージングおよびコラボレーション クライアントで、[会議] アイテムをクリックし、[ダイヤルイン設定] をクリックします。
UNRESOLVED_TOKEN_VAL(nm-oc-14-3rd) で、[メニュー]、[ツール]、[ダイヤルイン設定] の順にクリックします。
会議への招待で、[電話番号の検索] または [ダイヤルイン PIN を忘れた場合] をクリックします。
ユーザーは、PIN をリセットした後で、デバイスで正しい PIN を入力し直して認証を続行できます。新しく設定した PIN を、たとえば電子メール メッセージでユーザーに送信することもできます。新しい PIN を受け取ったユーザーは、その値を電話番号と共にデバイスに入力することで認証を行えます。
問題 4: 電話番号が明確でない (Aastra 6725ip、HP 4120、および Polycom CX600 に該当)
問題: ユーザーがデバイスで入力した電話番号が一意でないか、または特定のユーザー 1 人に属していません。
解決法: そのユーザーの電話番号をリセットします。それには、Lync Server コントロール パネルに接続します。Lync Server の管理役割のメンバーでない管理者は接続できません。
Lync Server コントロール パネルで、[ユーザー] をクリックし、検索フィールドにユーザーの名前を入力します。検索結果で、該当するユーザーをダブルクリックしてそのユーザーの設定を表示し、新しい電話番号を [回線 URI] フィールドに入力します。変更を保存するには、[コミット] をクリックします。新しい電話番号をユーザーに送信します。新しい電話番号を受信したユーザーは、その値を PIN と共にデバイスに入力することで認証を行えます。
注: |
---|
2 人のユーザーが同じ電話番号を入力する場合は、両者の区別には PIN が使用されます。電話番号と PIN の組み合わせが一意でない場合は、両者の区別には電話番号と内線番号が使用されます。電話番号と内線番号の組み合わせは常に一意である必要があります。 |
問題 5: 複数のデバイスで PIN 認証の問題が発生している (Aastra 6725ip、HP 4120、および Polycom CX600 に該当)
問題: これは、特定のユーザーではなくサーバー側に問題があることを表します。問題の原因を特定するには、Lync Server 管理シェルを開き、test-OcsAuth コマンドレットを実行します。test-OcsAuth コマンドレットの実行に必要な管理者権限とアクセス許可を持つのは、CsVoiceAdministrator の役割または CsAdministrator の役割を持つ管理者のみです。Lync Server の管理役割の詳細については、「計画」のドキュメントの「役割ベースのアクセス制御」を参照してください。
解決法: 次の代理トランザクションを実行します。
$cred = get-credential
test-CsClientAuth -UserSipAddress <SIP address> -UserCredential $cred -TargetFQDN
DHCP 検出を使用する場合は、TargetFQDN の指定を省略します。DHCP 検出を使用しない場合は、対象の FQDN を代理トランザクションに指定することによって、DHCP 検出をバイパスできます。
出力を見ると、どの段階で認証が失敗しているかがわかります。たとえば、DHCP 検出メッセージに対して応答を受信していない場合があります。トランザクションの出力の指示に従って、問題を解決します。
問題 6: ユーザーが Lync Server にサインインできない
問題: ユーザーが有効な資格情報 (Aastra 6721ip、Aastra 6725ip、HP 4110、HP 4120、Polycom CX500、または Polycom CX600 での PIN と電話番号、または Polycom CX700 でのドメイン ユーザー名とパスワード) を入力しているにもかかわらず、Lync でそのユーザーがサインインできません。このユーザーは統合コミュニケーション (UC) が有効になっていません。デバイスには、"サインインできません。サインイン アドレスが正しくないか、アカウントが設定されていません。" のようなメッセージが表示されます。
解決法: このユーザーが Lync Server で有効になるようにします。それには、Lync Server コントロール パネルに接続します。Lync Server の管理役割のメンバーでない管理者は接続できません。
Lync Server コントロール パネルで、[ユーザー] をクリックし、検索フィールドにユーザー名を入力します。検索結果で、該当するユーザーをダブルクリックしてそのユーザーの設定を表示し、[Lync Server に対応] チェック ボックスをオンにします。[テレフォニー] で、[エンタープライズ VoIP] を選択し、ユーザーの電話番号を [回線 URI] フィールドに入力します。必要に応じて、ユーザーのダイヤル プラン ポリシーを変更します。変更を保存するには、[コミット] をクリックします。
ユーザーは、デバイスに資格情報を入力し直すことで、再び認証とログオンを行うことができます。今度は Lync Server にログオンできます。
問題 7: 証明書の発行が失敗する
問題: レジストラーがユーザーの証明書を User Services に発行できない場合、ユーザーの証明書の取得と発行を求める要求が失敗する可能性があります。デバイスはユーザーの証明書を受け取ることができません。ユーザーはログオンできず、最初からやり直す必要があります。
解決法: 次の代理トランザクションを実行して、Web サービスがユーザーの証明書を生成および発行できることを確認します。
$cred = get-credential
test-CsClientAuth -UserSipAddress <sip address> -UserCredential $cred -TargetFQDN
DHCP 検出を使用する場合は、TargetFQDN の指定を省略します。DHCP 検出を使用しない場合は、対象の FQDN を代理トランザクションに指定することによって、DHCP 検出をバイパスできます。
出力を見ると、どの段階で認証が失敗しているかがわかります。たとえば、DHCP 検出メッセージに対して応答を受信していない場合があります。問題を解決するには、トランザクションの出力の指示に従います。
これが成功した場合は、デバイスを再起動して、ユーザーに再度認証を行ってもらいます。これが失敗した場合は、提示された問題を解決します。