Skype for Business Serverの Edge Server 環境要件
概要:Skype for Business Serverの Edge Server の環境要件について説明します。
計画と準備の多くは、Skype for Business Server Edge Server 環境自体の外部で行う必要があります。 この記事では、以下の一覧に従って、組織環境でどのような準備を実施する必要があるかを確認します。
トポロジの計画
Skype for Business Server Edge Server トポロジでは、次の機能を使用できます。
ルーティング可能なパブリック IP アドレス
ルーティング不可のプライベート IP アドレス (対称ネットワーク アドレス変換 (NAT) を使用する場合)
ヒント
エッジ サーバーは、サービスごとに個別のポートを持つ 1 つの IP アドレスを使用するように構成することも、サービスごとに個別の IP アドレスを使用することもできますが、同じ既定のポート (既定では TCP 443) を使用できます。 IP アドレスの要件に関する以下のセクションで、詳細について説明します。
ルーティング不可のプライベート IP アドレスと NAT を使用する場合の注意点は次のとおりです。
3 つすべての外部インターフェイスでルーティング可能なプライベート IP アドレスを使用する必要があります。
受信と送信のトラフィックについて、対称 NAT を構成する必要があります。 対称 NAT は、Skype for Business Server エッジ サーバーで使用できる唯一のサポートされる NAT です。
受信元アドレスを変更しないように NAT を構成してください。 A/V Edge サービスは、最適なメディア パスを見つけるために受信ソース アドレスを受信できる必要があります。
エッジ サーバーは、パブリック A/V Edge IP アドレスから相互に通信できる必要があります。 ファイアウォールでこのトラフィックを許可する必要があります。
NAT は、DNS 負荷分散を使用する場合 にのみ 、スケーリングされた統合エッジ サーバーに使用できます。 ハードウェア ロード バランサー機器 (HLB) を使用する場合は、NAT なしでパブリック ルーティング可能な IP アドレスを使用する必要があります。
(ハードウェア負荷分散を使用していない限り) 単一およびスケーリングされた統合エッジ サーバー トポロジの両方に対して対称 NAT を実行するルーターまたはファイアウォールの背後に、Access、Web 会議、および A/V Edge インターフェイスを使用しても問題はありません。
エッジ サーバー トポロジ オプションの概要
Skype for Business Server Edge Server の展開に使用できるトポロジ オプションがいくつかあります。
プライベート IP アドレスと NAT を使用する単一統合エッジ
パブリック IP アドレスを使用する単一統合エッジ
プライベート IP アドレスと NAT を使用する拡張統合エッジ
パブリック IP アドレスを使用する拡張統合エッジ
ハードウェア ロード バランサーによる拡張統合エッジ
選択の目安として、各トポロジで使用できるオプションの概要を次の表に示します。
| トポロジ | 高可用性 | エッジ プール内の外部エッジ サーバーに追加の DNS レコードが必要ですか? | Skype for Business Server セッションのエッジ フェールオーバー | Skype for Business Serverフェデレーション セッションのエッジ フェールオーバー |
|---|---|---|---|---|
| プライベート IP アドレスと NAT を使用する単一統合エッジ |
いいえ |
いいえ |
いいえ |
いいえ |
| パブリック IP アドレスを使用する単一統合エッジ |
いいえ |
いいえ |
いいえ |
いいえ |
| NAT によるプライベート IP アドレスを使用した拡張統合エッジ (DNS 負荷分散) |
はい |
はい |
はい |
はい¹ |
| パブリック IP アドレスを使用した拡張統合エッジ (DNS 負荷分散) |
はい |
はい |
はい |
はい¹ |
| ハードウェア ロード バランサーによる拡張統合エッジ |
はい |
× (VIP ごとに 1 つの DNS A レコード) |
はい |
はい |
¹ DNS 負荷分散を使用した Exchange ユニファイド メッセージング (UM) リモート ユーザー フェールオーバーには、Exchange 2013 以降が必要です。
IP アドレスの要件
基本的なレベルでは、3 つのサービスに IP アドレスが必要です。Edge サービス、Web 会議エッジ サービス、および A/V Edge サービスにアクセスします。 3 つの IP アドレスを使用してサービスごとに 1 つのアドレスを割り当てるか、1 つの IP アドレスおよびサービスごとに異なる 1 つのポートを選択して割り当てることができます (この点の詳細について、「Port and firewall planning」を参照することもできます)。 単一統合エッジ環境ではかなり明快です。
注意
前述のように、3 つのサービスすべてで 1 つの IP アドレスを使用して各サービスに異なるポートを割り当てることもできます。 ただし、状況を明快にするために、この方法はお勧めしません。 このシナリオを採用した状況で、顧客が代替ポートにアクセスできない場合、顧客はエッジ環境の全機能にアクセス不可能になるからです。
スケーリングされた統合トポロジでは少し複雑になる可能性があるため、トポロジの選択の主な決定ポイントは高可用性と負荷分散であることを念頭に置いて、IP アドレス要件をレイアウトするテーブルをいくつか見てみましょう。 高可用性のニーズは、負荷分散の選択に影響を与える可能性があります (これについては、テーブルの後で詳しく説明します)。
拡張統合エッジに必要な IP アドレス (役割ごとの IP アドレス)
| プールあたりのエッジ サーバーの数 | DNS 負荷分散を使用する場合必要な IP アドレス数 | ハードウェア負荷分散を使用する場合に必要な IP アドレス数 |
|---|---|---|
| 2 |
6 |
3 (VIP ごとに 1 つ) + 6 |
| 3 |
9 |
3 (VIP ごとに 1 つ) + 9 |
| 4 |
12 |
3 (VIP ごとに 1 つ) + 12 |
| 5 |
15 |
3 (VIP ごとに 1 つ) +15 |
拡張統合エッジに必要な IP アドレス (すべての役割に対して 1 つの IP アドレス)
| プールあたりのエッジ サーバーの数 | DNS 負荷分散を使用する場合必要な IP アドレス数 | ハードウェア負荷分散を使用する場合に必要な IP アドレス数 |
|---|---|---|
| 2 |
2 |
1 (VIP ごとに 1 つ) + 2 |
| 3 |
3 |
1 (VIP ごとに 1 つ) + 3 |
| 4 |
4 |
1 (VIP ごとに 1 つ) + 4 |
| 5 |
5 |
1 (VIP ごとに 1 つ) + 5 |
計画を立てるときに、いくつかの追加事項も考慮してください。
高可用性: デプロイで高可用性が必要な場合は、プールに少なくとも 2 つのエッジ サーバーをデプロイする必要があります。 1 つのエッジ プールで最大 12 台のエッジ サーバーがサポートされることに注目してください (ただし、トポロジ ビルダーでは、テストもサポートもされていない最大 20 台まで追加できるため、サポートしないことをお勧めします)。 12 を超えるエッジ サーバーが必要な場合は、追加のエッジ プールを作成する必要があります。
ハードウェア負荷分散: ほとんどのシナリオでは、DNS 負荷分散をお勧めします。 もちろん、ハードウェア負荷分散もサポートされていますが、特に DNS 負荷分散に対する単一のシナリオでは必要です。
- Exchange 2007 または Exchange 2010 (SP なし) ユニファイド メッセージング (UM) への外部アクセス。
DNS 負荷分散: UM の場合、Exchange 2010 SP1 以降は DNS 負荷分散でサポートできます。 以前のバージョンの Exchange の DNS 負荷分散を使用する必要がある場合は動作しますが、このトラフィックはすべてプール内の最初のサーバーに送信され、使用できない場合は、そのトラフィックは後で失敗します。
次を使用して企業とフェデレーションする場合は、DNS 負荷分散も推奨されます。
Skype for Business Server 2015:
- Lync Server 2010
- Lync Server 2013
- Microsoft 365 または Office 365
Skype for Business Server 2019:
- Lync Server 2013
- Skype for Business Server 2015
- Microsoft 365 または Office 365
DNS の計画
エッジ サーバーのデプロイSkype for Business Serverとなると、DNS を適切に準備することが重要です。 適切なレコードを配置すると、デプロイがはるかに簡単になります。 概要を行い、これらのシナリオの DNS レコードの概要を示すいくつかのテーブルを一覧表示するため、上記のセクションでトポロジを選択できたらと思います。 必要に応じて、より詳細な読み取りのために、Skype for Business Server用の高度なエッジ サーバー DNS 計画も用意します。
単一統合エッジ サーバー シナリオの DNS レコード
これらは、パブリック IP または NAT を使用したプライベート IP を使用して、エッジ サーバーを歌うために必要な DNS レコードになります。 これはサンプル データであるため、独自のエントリをより簡単に解決できるように、IP の例を示します。
内部ネットワーク アダプター: 172.25.33.10 (既定のゲートウェイは割り当てされていません)
注意
エッジ内部インターフェイスを含むネットワークから、Skype for Business Serverまたは Lync Server 2013 クライアントを実行しているサーバー (たとえば、172.25.33.0 から 192.168.10.0) を含むネットワークへのルートがあることを確認します。
外部ネットワーク アダプター:
パブリック IP:
Access Edge: 131.107.155.10 (これはプライマリであり、既定のゲートウェイはパブリック ルーターに設定されています(例: 131.107.155.1)
Web 会議エッジ: 131.107.155.20 (セカンダリ)
A/V Edge: 131.107.155.30 (セカンダリ)
Web 会議と A/V Edge パブリック IP アドレスは、Windows Server のローカル エリア接続プロパティのインターネット プロトコル バージョン 4 (TCP/IPv4) およびインターネット プロトコル バージョン 6 (TCP/IPv6) のプロパティの詳細セクションにある追加の (セカンダリ) IP アドレスです。
プライベート IP:
Access Edge: 10.45.16.10 (これはプライマリであり、既定のゲートウェイはルーターに設定されています(例: 10.45.16.1)
Web 会議エッジ: 10.45.16.20 (セカンダリ)
A/V Edge: 10.45.16.30 (セカンダリ)
Web 会議と A/V Edge パブリック IP アドレスは、Windows Server のローカル エリア接続プロパティのインターネット プロトコル バージョン 4 (TCP/IPv4) およびインターネット プロトコル バージョン 6 (TCP/IPv6) のプロパティの詳細セクションにある追加の (セカンダリ) IP アドレスです。
ヒント
ここでは、他の構成も利用できます。
外部ネットワーク アダプターで 1 つの IP アドレスを使用することもできますが、この方法はお勧めしません。 異なるポート (Skype for Business Serverで実行できる) を使用して、サービスを区別する必要があるため、これはお勧めしませんが、代替ポートをブロックする可能性のあるファイアウォールがいくつかあります。 この点の詳細については、「Port and firewall planning」を参照してください。
1 つではなく 3 つの外部ネットワーク アダプターを使用し、サービス IP の 1 つをそれぞれに割り当てることができます。 なぜこれを行うのですか? サービスが分離され、問題が発生した場合はトラブルシューティングが容易になり、問題の解決中に他のサービスが引き続き機能する可能性があります。
| 場所 | Type | ポート | FQDN または DNS レコード | IP アドレスまたは FQDN | メモ |
|---|---|---|---|---|---|
| 外部 DNS |
A レコード |
NA |
sip.contoso.com |
public: 131.107.155.10 private: 10.45.16.10 |
Access Edge サービスの外部インターフェイス。 Skype for Business ユーザーを持つすべての SIP ドメインに 1 つ必要になります。 |
| 外部 DNS |
A レコード |
NA |
webcon.contoso.com |
public: 131.107.155.20 private: 10.45.16.20 |
Web 会議エッジ サービスの外部インターフェイス。 |
| 外部 DNS |
A レコード |
NA |
av.contoso.com |
public: 131.107.155.30 private: 10.45.16.30 |
A/V Edge サービスの外部インターフェイス。 |
| 外部 DNS |
SRV レコード |
443 |
_sip._tls.contoso.com |
sip.contoso.com |
Access Edge サービスの外部インターフェイス。 この SRV レコードは、Skype for Business Server、Lync Server 2013、および Lync Server 2010 クライアントが外部で動作するために必要です。 Skype for Business ユーザーを持つすべてのドメインに対して 1 つ必要になります。 |
| 外部 DNS |
SRV レコード |
5061 |
_sipfederationtls._tcp.contoso.com |
sip.contoso.com |
Access Edge サービスの外部インターフェイス。 許可済み SIP ドメインという名前のフェデレーション パートナーの自動 DNS 検出に必要です。 Skype for Business ユーザーを持つすべてのドメインに対して 1 つ必要になります。 |
| 内部 DNS |
A レコード |
NA |
sfvedge.contoso.net |
172.25.33.10 |
統合エッジ用の内部インターフェイスです。 |
スケーリングされた DNS とハードウェア エッジ サーバーのシナリオの DNS レコード
これらは、パブリック IP または NAT を使用したプライベート IP を使用して、エッジ サーバーを歌うために必要な DNS レコードになります。 これはサンプル データであるため、独自のエントリをより簡単に解決できるように、IP の例を示します。
内部ネットワーク アダプター:
ノード 1: 172.25.33.10 (デフォルト ゲートウェイの割り当てなし)
ノード 2: 172.25.33.11 (デフォルト ゲートウェイの割り当てなし)
注意
エッジ内部インターフェイスを含むネットワークから、Skype for Business Serverまたは Lync Server 2013 クライアントを実行しているサーバー (たとえば、172.25.33.0 から 192.168.10.0) を含むネットワークへのルートがあることを確認します。
外部ネットワーク アダプター:
ノード 1
パブリック IP:
Access Edge: 131.107.155.10 (これはプライマリであり、既定のゲートウェイはパブリック ルーターに設定されています(例: 131.107.155.1)
Web 会議エッジ: 131.107.155.20 (セカンダリ)
A/V Edge: 131.107.155.30 (セカンダリ)
Web 会議と A/V Edge パブリック IP アドレスは、Windows Server のローカル エリア接続プロパティのインターネット プロトコル バージョン 4 (TCP/IPv4) およびインターネット プロトコル バージョン 6 (TCP/IPv6) のプロパティの詳細セクションにある追加の (セカンダリ) IP アドレスです。
プライベート IP:
Access Edge: 10.45.16.10 (これはプライマリであり、既定のゲートウェイはルーターに設定されています(例: 10.45.16.1)
Web 会議エッジ: 10.45.16.20 (セカンダリ)
A/V Edge: 10.45.16.30 (セカンダリ)
Web 会議と A/V Edge パブリック IP アドレスは、Windows Server のローカル エリア接続プロパティのインターネット プロトコル バージョン 4 (TCP/IPv4) およびインターネット プロトコル バージョン 6 (TCP/IPv6) のプロパティの詳細セクションにある追加の (セカンダリ) IP アドレスです。
ノード 2
パブリック IP:
Access Edge: 131.107.155.11 (これはプライマリであり、既定のゲートウェイはパブリック ルーターに設定されています(例: 131.107.155.1)
Web 会議エッジ: 131.107.155.21 (セカンダリ)
A/V Edge: 131.107.155.31 (セカンダリ)
Web 会議と A/V Edge パブリック IP アドレスは、Windows Server のローカル エリア接続プロパティのインターネット プロトコル バージョン 4 (TCP/IPv4) およびインターネット プロトコル バージョン 6 (TCP/IPv6) のプロパティの詳細セクションにある追加の (セカンダリ) IP アドレスです。
プライベート IP:
Access Edge: 10.45.16.11 (これはプライマリであり、既定のゲートウェイはルーターに設定されています(例: 10.45.16.1)
Web 会議エッジ: 10.45.16.21 (セカンダリ)
A/V Edge: 10.45.16.31 (セカンダリ)
Web 会議と A/V Edge パブリック IP アドレスは、Windows Server のローカル エリア接続プロパティのインターネット プロトコル バージョン 4 (TCP/IPv4) およびインターネット プロトコル バージョン 6 (TCP/IPv6) のプロパティの詳細セクションにある追加の (セカンダリ) IP アドレスです。
ここでは、他の構成も利用できます。
外部ネットワーク アダプターで 1 つの IP アドレスを使用することもできますが、この方法はお勧めしません。 異なるポート (Skype for Business Serverで実行できる) を使用して、サービスを区別する必要があるため、これはお勧めしませんが、代替ポートをブロックする可能性のあるファイアウォールがいくつかあります。 この点の詳細については、「Port and firewall planning」を参照してください。
1 つではなく 3 つの外部ネットワーク アダプターを使用し、サービス IP の 1 つをそれぞれに割り当てることができます。 なぜこれを行うのですか? サービスが分離され、問題が発生した場合はトラブルシューティングが容易になり、問題の解決中に他のサービスが引き続き機能する可能性があります。
| 場所 | Type | ポート | FQDN または DNS レコード | IP アドレスまたは FQDN | メモ |
|---|---|---|---|---|---|
| 外部 DNS |
A レコード |
NA |
sip.contoso.com |
public: 131.107.155.10 および 131.107.155.11 private: 10.45.16.10 および 10.45.16.11 |
Access Edge サービスの外部インターフェイス。 Skype for Business ユーザーを持つすべての SIP ドメインに 1 つ必要になります。 |
| 外部 DNS |
A レコード |
NA |
webcon.contoso.com |
public: 131.107.155.20 および 131.107.155.21 private: 10.45.16.20 および 10.45.16.21 |
Web 会議エッジ サービスの外部インターフェイス。 |
| 外部 DNS |
A レコード |
NA |
av.contoso.com |
public: 131.107.155.30 および 131.107.155.31 private: 10.45.16.30 および 10.45.16.31 |
A/V Edge サービスの外部インターフェイス。 |
| 外部 DNS |
SRV レコード |
443 |
_sip._tls.contoso.com |
sip.contoso.com |
Access Edge サービスの外部インターフェイス。 この SRV レコードは、Skype for Business Server、Lync Server 2013、および Lync Server 2010 クライアントが外部で動作するために必要です。 Skype for Businessを持つすべてのドメインに 1 つが必要です。 |
| 外部 DNS |
SRV レコード |
5061 |
_sipfederationtls._tcp.contoso.com |
sip.contoso.com |
Access Edge サービスの外部インターフェイス。 許可済み SIP ドメインという名前のフェデレーション パートナーの自動 DNS 検出に必要です。 Skype for Businessを持つすべてのドメインに 1 つが必要です。 |
| 内部 DNS |
A レコード |
NA |
sfvedge.contoso.net |
172.25.33.10 および 172.25.33.11 |
統合エッジ用の内部インターフェイスです。 |
フェデレーション用の DNS レコード (すべてのシナリオ)
| 場所 | Type | ポート | Fqdn | FQDN ホスト レコード | メモ |
|---|---|---|---|---|---|
| 外部 DNS |
SRV |
5061 |
_sipfederationtls_tcp.contoso.com |
sip.contoso.com |
自動 DNS 検出に必要な SIP アクセス エッジ外部インターフェイス。 他の潜在的なフェデレーション パートナーによって使用されます。 "SIP ドメインを許可する" とも呼ばれます。Skype for Business ユーザーを持つ SIP ドメインごとに、これらのいずれか 1 つが必要になります。 メモ: モビリティとプッシュ通知クリアハウスには、この SRV レコードが必要です。 |
XMPP (Extensible Messaging and Presence Protocol) 用の DNS レコード
| 場所 | Type | ポート | Fqdn | IP アドレスまたは FQDN ホスト レコード | メモ |
|---|---|---|---|---|---|
| 外部 DNS |
SRV |
5269 |
_xmpp-server._tcp.contoso.com |
xmpp.contoso.com |
Access Edge サービスまたはエッジ プール上の XMPP プロキシ インターフェイス。 XMPP 連絡先との接触が許可されているSkype for Business Server有効なユーザーを持つすべての内部 SIP ドメインに対して、必要に応じてこれを繰り返す必要があります。 • グローバル ポリシー • ユーザーが有効になっているサイト ポリシー • Skype for Business Server有効なユーザーに適用されたユーザー ポリシー 許可された XMPP ドメインは、XMPP フェデレーション パートナーのユーザー ポリシーでも構成されている必要があります。 |
| 外部 DNS |
SRV |
A |
xmpp.contoso.com |
XMPP プロキシ サービスをホストしているエッジ サーバーまたはエッジ プール上の Access Edge サービスの IP アドレス |
これは、XMPP プロキシ サービスをホストするエッジ サーバーまたはエッジ プール上の Access Edge サービスを指します。 通常、作成する SRV レコードは、このホスト (A または AAAA) レコードを参照します。 |
注意
XMPP ゲートウェイとプロキシは、Skype for Business Server 2015 で使用できますが、Skype for Business Server 2019 ではサポートされなくなりました。 詳細については、「 XMPP フェデレーションの移行 」を参照してください。
証明書の計画
Skype for Business Serverは、サーバー間とサーバー間のセキュリティで保護された暗号化された通信に証明書を使用します。 予期できるように、証明書に格納されているすべてのサブジェクト名 (SN) とサブジェクトの別名 (SAN) に一致するサーバーの DNS レコードが、証明書に記録されている必要があります。 現在はこの方法で機能しますが、計画段階で、証明書に格納されている SN と SAN の各エントリに対応する適切な FQDN を確実に DNS に登録してください。
外部証明書と内部証明書の要件を個別に説明します。その後、両者の要件を示す表を掲載します。
外部証明書
少なくとも、外部エッジ サーバー インターフェイスに割り当てられた証明書は、パブリック証明機関 (CA) によって提供される必要があります。 特定の CA をお勧めすることはできませんが、CA、 ユニファイド コミュニケーション証明書パートナー の一覧があり、お好みの CA が一覧表示されているかどうかを確認できます。
この公開証明書を取得するために CA に要求を送信する必要が生じるのはいつで、またどのような方法を使用すればよいでしょうか。 この作業を実行するいくつかの方法があります。
Skype for Business Serverのインストールとエッジ サーバーの展開を実行できます。 Skype for Business Server展開ウィザードには、証明書要求を生成する手順があり、選択した CA に送信できます。
また、Windows PowerShell コマンドを使用して、ビジネス ニーズやデプロイ戦略に合わせてこの要求を生成することもできます。
最後に、CA には独自の申請プロセスがあり、Windows PowerShellまたは別の方法も含まれる場合があります。 この場合は、参考としてここに掲載する情報に加えて、CA から提供されたドキュメントを参照する必要があります。
証明書を取得したら、次のSkype for Business Serverでこれらのサービスに割り当てる必要があります。
Edge サービス インターフェイスにアクセスする
Web 会議エッジ サービス インターフェイス
オーディオ/ビデオ認証サービス (音声およびビデオ ストリームの暗号化に証明書を使用しないため、A/V Edge サービスと混同しないでください)
重要
すべてのエッジ サーバー (エッジ サーバーの同じプールに属している場合) には、Media Relay Authentication サービスの秘密キーが同じ証明書が必要です。
内部証明書
内部エッジ サーバー インターフェイスでは、パブリック CA のパブリック証明書、またはorganizationの内部 CA から発行された証明書を使用できます。 内部証明書について覚えておく必要があるのは、SN エントリを使用し、SAN エントリを使用しないため、内部証明書の SAN について心配する必要がまったくないということです。
必須の証明書に関する表
要求について理解できるように、表を用意しました。 ここに示す FQDN エントリは、サンプルのドメインのみを対象にしています。 独自のプライベート ドメインとパブリック ドメインに基づいて要求する必要がありますが、この例で方針を説明します。
contoso.com: パブリック FQDN
fabrikam.com: 2 番目のパブリック FQDN (複数の SIP ドメインがある場合に要求する内容のデモとして追加)
Contoso.net: 内部ドメイン
エッジ証明書に関する表
単一のエッジ サーバーとエッジ プールのどちらを実行しているかに関係なく、証明書に必要なのは次のとおりです。
| コンポーネント | サブジェクト名 (SN) | サブジェクトの別名 (SAN)/順序 | メモ |
|---|---|---|---|
| 外部エッジ |
sip.contoso.com |
sip.contoso.com webcon.contoso.com sip.fabrikam.com |
これはパブリック CA に対して要求する必要のある証明書です。 以下のものに関して、この証明書を外部エッジ インターフェイスに割り当てる必要があります。 • Access Edge • Web 会議エッジ • オーディオ/ビデオ認証 良いニュースは、SAN が証明書要求に自動的に追加されるため、トポロジ ビルダーでこのデプロイに対して定義した内容に基づいて、要求を送信した後に証明書が追加されるということです。 そのため、サポートする必要のある追加の SIP ドメインに対応する SAN エントリを追加するだけですみます。 このインスタンスで sip.contoso.com が複製されているのはなぜでしょうか。 これは正常な動作にとって必要な複製であるため、この操作も自動的に実行されます。 メモ: この証明書は、パブリック インスタント メッセージング接続にも使用できます。 これとは異なる操作を行う必要はありませんが、このドキュメントの以前のバージョンでは、別のテーブルとして一覧表示されていましたが、現在はそうではありません。 |
| 内部エッジ |
sfbedge.contoso.com |
NA |
パブリック CA または内部 CA からこの証明書を取得できます。 この証明書にサーバーの EKU (拡張キー使用法) を含める必要があり、内部エッジ インターフェイスにこの証明書を割り当てることになります。 |
XMPP (Extensible Messaging and Presence Protocol) 用の証明書が必要な場合は、該当する表は前述の外部エッジに関する表とほぼ同じになりますが、以下の 2 つの SAN エントリを追加する必要があります。
Xmpp。contoso.com
*.contoso.com
現在、XMPP は Google Talk のSkype for Business Serverでのみサポートされていることに注意してください。他の何かのために使用する必要がある場合は、サードパーティベンダーが関与する機能を確認する必要があります。
ポートとファイアウォールの計画
Skype for Business Server Edge Server 展開のポートとファイアウォールの計画を適切に行うと、数日または数週間のトラブルシューティングとストレスを節約できます。 そのために、プロトコルの使用法、NAT を受信、送信、両方のどれで使用するのか、またパブリック IP に関してどのようなシナリオを想定するかに基づいて、どのポートを開く必要があるかを示すいくつかの表を掲載します。 さらに、ハードウェア負荷分散 (HLB) のシナリオに関する個別の表と、その点に関する詳細なガイダンスも示します。 そこからさらに詳しく読むには、特定の展開に関する問題にチェックSkype for Business Server、いくつかのエッジ サーバー シナリオもあります。
プロトコルの一般的な使用法
外部ファイアウォールと内部ファイアウォールの要約表に進む前に、次の表について考えてみましょう。
| 音声ビデオ トランスポート | 使用方法 |
|---|---|
| UDP |
音声とビデオの優先トランスポート層プロトコル |
| TCP |
音声とビデオのフォールバック トランスポート層プロトコル Skype for Business Server、Lync Server 2013、および Lync Server 2010 へのアプリケーション共有に必要なトランスポート層プロトコル。 Skype for Business Server、Lync Server 2013、および Lync Server 2010 へのファイル転送に必要なトランスポート層プロトコル。 |
外部ポートに対するファイアウォールの要約表
送信元 IP アドレスと宛先 IP アドレスには、プライベート IP アドレスと NAT の組み合わせを使用しているユーザーに関する情報、およびパブリック IP アドレスを使用しているユーザーに関する情報を含めます。 ここでは、Skype for Business Server セクションの Edge Server シナリオのすべての順列について説明します。
| 役割またはプロトコル | TCP または UDP | 宛先のポートまたはポート範囲 | 送信元 IP アドレス | 宛先 IP アドレス | メモ |
|---|---|---|---|---|---|
| XMPP Skype for Business Server 2019 ではサポートされていません |
TCP |
5269 |
任意 |
XMPP プロキシ サービス (Access Edge サービスと IP アドレスを共有する) |
XMPP プロキシ サービスは、定義済みの XMPP フェデレーション内の XMPP 連絡先からのトラフィックを受け入れます。 |
| アクセス/HTTP |
TCP |
80 |
NAT を使用したプライベート IP: Edge Server Access Edge サービス パブリック IP: Edge Server Access Edge サービスのパブリック IP アドレス |
任意 |
証明書の失効と CRL のチェックおよび取得 |
| アクセス/DNS |
TCP |
53 |
NAT を使用したプライベート IP: Edge Server Access Edge サービス パブリック IP: Edge Server Access Edge サービスのパブリック IP アドレス |
任意 |
TCP による DNS クエリ |
| アクセス/DNS |
UDP |
53 |
NAT を使用したプライベート IP: Edge Server Access Edge サービス パブリック IP: Edge Server Access Edge サービスのパブリック IP アドレス |
任意 |
UDP による DNS クエリ |
| アクセス/SIP (TLS) |
TCP |
443 |
任意 |
NAT を使用したプライベート IP: Edge Server Access Edge サービス パブリック IP: Edge Server Access Edge サービスのパブリック IP アドレス |
外部ユーザー アクセス用のクライアントからサーバーへの SIP トラフィック |
| アクセス/SIP (MTLS) |
TCP |
5061 |
任意 |
NAT を使用したプライベート IP: Edge Server Access Edge サービス パブリック IP: Edge Server Access Edge サービスのパブリック IP アドレス |
SIP を使用したフェデレーションおよびパブリック IM 接続用 |
| アクセス/SIP (MTLS) |
TCP |
5061 |
NAT を使用したプライベート IP: Edge Server Access Edge サービス パブリック IP: Edge Server Access Edge サービスのパブリック IP アドレス |
任意 |
SIP を使用したフェデレーションおよびパブリック IM 接続用 |
| Web 会議/PSOM (TLS) |
TCP |
443 |
任意 |
NAT を使用したプライベート IP: エッジ サーバー Web 会議エッジ サービス パブリック IP: Edge Server Web 会議 Edge サービスのパブリック IP アドレス |
Web 会議メディア。 |
| A/V/RTP |
TCP |
50000-59999 |
NAT を使用したプライベート IP: エッジ サーバー A/V Edge サービス パブリック IP: エッジ サーバー A/V Edge サービスのパブリック IP アドレス |
任意 |
これはメディア トラフィックのリレーに使用します。 |
| A/V/RTP |
UDP |
50000-59999 |
NAT を使用したプライベート IP: エッジ サーバー A/V Edge サービス パブリック IP: エッジ サーバー A/V Edge サービスのパブリック IP アドレス |
任意 |
これはメディア トラフィックのリレーに使用します。 |
| A/V/STUN.MSTURN |
UDP |
3478 |
NAT を使用したプライベート IP: エッジ サーバー A/V Edge サービス パブリック IP: エッジ サーバー A/V Edge サービスのパブリック IP アドレス |
任意 |
3478 送信に関する説明は次のとおりです。 • Skype for Business Serverが通信しているエッジ サーバーのバージョンを決定するために使用されます。 • エッジ サーバー間のメディア トラフィックに使用されます。 • Lync Server 2010 とのフェデレーションに必要です。 • organization内に複数のエッジ プールがデプロイされている場合に必要です。 |
| A/V/STUN.MSTURN |
UDP |
3478 |
任意 |
NAT を使用したプライベート IP: エッジ サーバー A/V Edge サービス パブリック IP: エッジ サーバー A/V Edge サービスのパブリック IP アドレス |
ポート 3478 を使用して UDP を経由する候補との STUN/TURNUDP ネゴシエーション |
| A/V/STUN.MSTURN |
TCP |
443 |
任意 |
NAT を使用したプライベート IP: エッジ サーバー A/V Edge サービス パブリック IP: エッジ サーバー A/V Edge サービスのパブリック IP アドレス |
ポート 443 を使用して TCP を経由する候補との STUN/TURNUDP ネゴシエーション |
| A/V/STUN.MSTURN |
TCP |
443 |
NAT を使用したプライベート IP: エッジ サーバー A/V Edge サービス パブリック IP: エッジ サーバー A/V Edge サービスのパブリック IP アドレス |
任意 |
ポート 443 を使用して TCP を経由する候補との STUN/TURNUDP ネゴシエーション |
内部ポートに対するファイアウォールの要約表
| プロトコル | TCP または UDP | ポート | 送信元 IP アドレス | 宛先 IP アドレス | メモ |
|---|---|---|---|---|---|
| XMPP/MTLS |
TCP |
23456 |
以下の XMPP ゲートウェイ サービスを実行する任意の機器 • フロントエンド サーバー • フロントエンド プール |
エッジ サーバーの内部インターフェイス |
フロントエンド サーバーまたはフロントエンド プールで実行されている XMPP ゲートウェイ サービスからの送信 XMPP トラフィック。 メモ:XMPP ゲートウェイとプロキシは、Skype for Business Server 2015 で使用できますが、Skype for Business Server 2019 ではサポートされなくなりました。 詳細については、「 XMPP フェデレーションの移行 」を参照してください。 |
| SIP/MTLS |
TCP |
5061 |
任意: •ディレクター • ディレクター プール • フロントエンド サーバー • フロントエンド プール |
エッジ サーバーの内部インターフェイス |
ディレクター、ディレクター プール、フロント エンド サーバー、またはフロント エンド プールからエッジ サーバーの内部インターフェイスへの送信 SIP トラフィック。 |
| SIP/MTLS |
TCP |
5061 |
エッジ サーバーの内部インターフェイス |
任意: •ディレクター • ディレクター プール • フロントエンド サーバー • フロントエンド プール |
エッジ サーバーの内部インターフェイスからディレクター、ディレクター プール、フロント エンド サーバー、またはフロント エンド プールへの受信 SIP トラフィック。 |
| PSOM/MTLS |
TCP |
8057 |
任意: • フロントエンド サーバー • 各フロントエンド サーバー フロント エンド プール内 |
エッジ サーバーの内部インターフェイス |
フロント エンド サーバーまたは各フロント エンド サーバー (フロント エンド プールがある場合) からエッジ サーバーの内部インターフェイスへの Web 会議トラフィック。 |
| SIP/MTLS |
TCP |
5062 |
任意: • フロントエンド サーバー • フロントエンド プール • このエッジ サーバーを使用する存続可能ブランチ アプライアンス • このエッジ サーバーを使用する存続可能なブランチ サーバー |
エッジ サーバーの内部インターフェイス |
エッジ サーバーを使用して、フロントエンド サーバーまたはフロントエンド プール、または存続可能ブランチ アプライアンスまたは存続可能ブランチ サーバーからの A/V ユーザーの認証。 |
| STUN/MSTURN |
UDP |
3478 |
任意 |
エッジ サーバーの内部インターフェイス |
内部ユーザーと外部ユーザーと存続可能ブランチ アプライアンスまたは存続可能ブランチ サーバー間の A/V メディア転送の優先パス。 |
| STUN/MSTURN |
TCP |
443 |
任意 |
エッジ サーバーの内部インターフェイス |
UDP 通信が機能しない場合、内部ユーザーと外部ユーザーと存続可能ブランチ アプライアンスまたは存続可能ブランチ サーバー間の A/V メディア転送のフォールバック パス。 この場合は、ファイル転送およびデスクトップ共有に TCP を使用 |
| HTTPS |
TCP |
4443 |
任意: • 中央管理ストアを保持するフロントエンド サーバー • 中央管理ストアを保持するフロント エンド プール |
エッジ サーバーの内部インターフェイス |
中央管理ストアからエッジ サーバーへの変更のレプリケーション。 |
| MTLS |
TCP |
50001 |
任意 |
エッジ サーバーの内部インターフェイス |
Skype for Business Server管理シェルと集中ログ サービス コマンドレット、ClsController コマンド ライン (ClsController.exe) またはエージェント (ClsAgent.exe) コマンドとログ収集を使用した一元的なログ サービス コントローラー。 |
| MTLS |
TCP |
50002 |
任意 |
エッジ サーバーの内部インターフェイス |
Skype for Business Server管理シェルと集中ログ サービス コマンドレット、ClsController コマンド ライン (ClsController.exe) またはエージェント (ClsAgent.exe) コマンドとログ収集を使用した一元的なログ サービス コントローラー。 |
| MTLS |
TCP |
50003 |
任意 |
エッジ サーバーの内部インターフェイス |
Skype for Business Server管理シェルと集中ログ サービス コマンドレット、ClsController コマンド ライン (ClsController.exe) またはエージェント (ClsAgent.exe) コマンドとログ収集を使用した一元的なログ サービス コントローラー。 |
エッジ ポートを対象にしたハードウェア ロード バランサーに関する表
ハードウェア ロード バランサー (HLB) と Edge ポートに独自のセクションを提供しています。これは、追加のハードウェアと少し複雑になります。 この特定のシナリオのガイダンスについては、次の表を参照してください。
外部ポートに対するファイアウォールの要約表
送信元 IP アドレスと宛先 IP アドレスには、プライベート IP アドレスと NAT の組み合わせを使用しているユーザーに関する情報、およびパブリック IP アドレスを使用しているユーザーに関する情報を含めます。 ここでは、Skype for Business Server セクションの Edge Server シナリオのすべての順列について説明します。
| 役割またはプロトコル | TCP または UDP | 宛先のポートまたはポート範囲 | 送信元 IP アドレス | 宛先 IP アドレス | メモ |
|---|---|---|---|---|---|
| アクセス/HTTP |
TCP |
80 |
Edge Server Access Edge サービスのパブリック IP アドレス |
任意 |
証明書の失効と CRL のチェックおよび取得 |
| アクセス/DNS |
TCP |
53 |
Edge Server Access Edge サービスのパブリック IP アドレス |
任意 |
TCP による DNS クエリ |
| アクセス/DNS |
UDP |
53 |
Edge Server Access Edge サービスのパブリック IP アドレス |
任意 |
UDP による DNS クエリ |
| A/V/RTP |
TCP |
50000-59999 |
エッジ サーバー A/V Edge サービスの IP アドレス |
任意 |
これはメディア トラフィックのリレーに使用します。 |
| A/V/RTP |
UDP |
50000-59999 |
エッジ サーバー A/V Edge サービスのパブリック IP アドレス |
任意 |
これはメディア トラフィックのリレーに使用します。 |
| A/V/STUN.MSTURN |
UDP |
3478 |
エッジ サーバー A/V Edge サービスのパブリック IP アドレス |
任意 |
3478 送信に関する説明は次のとおりです。 • Skype for Business Serverが通信しているエッジ サーバーのバージョンを決定するために使用されます。 • エッジ サーバー間のメディア トラフィックに使用されます。 • フェデレーションに必要です。 • organization内に複数のエッジ プールがデプロイされている場合に必要です。 |
| A/V/STUN.MSTURN |
UDP |
3478 |
任意 |
エッジ サーバー A/V Edge サービスのパブリック IP アドレス |
ポート 3478 を使用して UDP を経由する候補との STUN/TURNUDP ネゴシエーション |
| A/V/STUN.MSTURN |
TCP |
443 |
任意 |
エッジ サーバー A/V Edge サービスのパブリック IP アドレス |
ポート 443 を使用して TCP を経由する候補との STUN/TURNUDP ネゴシエーション |
| A/V/STUN.MSTURN |
TCP |
443 |
エッジ サーバー A/V Edge サービスのパブリック IP アドレス |
任意 |
ポート 443 を使用して TCP を経由する候補との STUN/TURNUDP ネゴシエーション |
内部ポートに対するファイアウォールの要約表
| プロトコル | TCP または UDP | ポート | 送信元 IP アドレス | 宛先 IP アドレス | メモ |
|---|---|---|---|---|---|
| XMPP/MTLS |
TCP |
23456 |
以下の XMPP ゲートウェイ サービスを実行する任意の機器 • フロントエンド サーバー XMPP ゲートウェイ サービスを実行しているフロントエンド プール VIP アドレス |
エッジ サーバーの内部インターフェイス |
フロントエンド サーバーまたはフロントエンド プールで実行されている XMPP ゲートウェイ サービスからの送信 XMPP トラフィック。 メモ:XMPP ゲートウェイとプロキシは、Skype for Business Server 2015 で使用できますが、Skype for Business Server 2019 ではサポートされなくなりました。 詳細については、「 XMPP フェデレーションの移行 」を参照してください。 |
| HTTPS |
TCP |
4443 |
任意: • 中央管理ストアを保持するフロントエンド サーバー • 中央管理ストアを保持するフロント エンド プール |
エッジ サーバーの内部インターフェイス |
中央管理ストアからエッジ サーバーへの変更のレプリケーション。 |
| PSOM/MTLS |
TCP |
8057 |
任意: • フロントエンド サーバー • フロントエンド プール内の各フロントエンド サーバー |
エッジ サーバーの内部インターフェイス |
フロント エンド サーバーまたは各フロント エンド サーバー (フロント エンド プールがある場合) からエッジ サーバーの内部インターフェイスへの Web 会議トラフィック。 |
| STUN/MSTURN |
UDP |
3478 |
任意: • フロントエンド サーバー • フロントエンド プール内の各フロントエンド サーバー |
エッジ サーバーの内部インターフェイス |
内部ユーザーと外部ユーザーと存続可能ブランチ アプライアンスまたは存続可能ブランチ サーバー間の A/V メディア転送の優先パス。 |
| STUN/MSTURN |
TCP |
443 |
任意: • フロントエンド サーバー • プール内の各フロントエンド サーバー |
エッジ サーバーの内部インターフェイス |
UDP 通信が機能しない場合、内部ユーザーと外部ユーザーと存続可能ブランチ アプライアンスまたは存続可能ブランチ サーバー間の A/V メディア転送のフォールバック パス。 この場合は、ファイル転送およびデスクトップ共有に TCP を使用 |
| MTLS |
TCP |
50001 |
任意 |
エッジ サーバーの内部インターフェイス |
Skype for Business Server管理シェルと集中ログ サービス コマンドレット、ClsController コマンド ライン (ClsController.exe) またはエージェント (ClsAgent.exe) コマンドとログ収集を使用した一元的なログ サービス コントローラー。 |
| MTLS |
TCP |
50002 |
任意 |
エッジ サーバーの内部インターフェイス |
Skype for Business Server管理シェルと集中ログ サービス コマンドレット、ClsController コマンド ライン (ClsController.exe) またはエージェント (ClsAgent.exe) コマンドとログ収集を使用した一元的なログ サービス コントローラー。 |
| MTLS |
TCP |
50003 |
任意 |
エッジ サーバーの内部インターフェイス |
Skype for Business Server管理シェルと集中ログ サービス コマンドレット、ClsController コマンド ライン (ClsController.exe) またはエージェント (ClsAgent.exe) コマンドとログ収集を使用した一元的なログ サービス コントローラー。 |
外部インターフェイスの仮想 IP
| 役割またはプロトコル | TCP または UDP | 宛先のポートまたはポート範囲 | 送信元 IP アドレス | 宛先 IP アドレス | メモ |
|---|---|---|---|---|---|
| XMPP Skype for Businesss Server 2019 ではサポートされていません |
TCP |
5269 |
任意 |
XMPP プロキシ サービス (Access Edge サービスと IP アドレスを共有) |
XMPP プロキシ サービスは、定義済みの XMPP フェデレーション内の XMPP 連絡先からのトラフィックを受け入れます。 |
| XMPP Skype for Businesss Server 2019 ではサポートされていません |
TCP |
5269 |
XMPP プロキシ サービス (Access Edge サービスと IP アドレスを共有) |
任意 |
XMPP プロキシ サービスは、定義された XMPP フェデレーション内の XMPP 連絡先からトラフィックを送信します。 |
| アクセス/SIP (TLS) |
TCP |
443 |
任意 |
NAT を使用したプライベート IP: Edge Server Access Edge サービス パブリック IP: Edge Server Access Edge サービスのパブリック IP アドレス |
外部ユーザー アクセス用のクライアントからサーバーへの SIP トラフィック |
| アクセス/SIP (MTLS) |
TCP |
5061 |
任意 |
NAT を使用したプライベート IP: Edge Server Access Edge サービス パブリック IP: Edge Server Access Edge サービスのパブリック IP アドレス |
SIP を使用したフェデレーションおよびパブリック IM 接続用 |
| アクセス/SIP (MTLS) |
TCP |
5061 |
NAT を使用したプライベート IP: Edge Server Access Edge サービス パブリック IP: Edge Server Access Edge サービスのパブリック IP アドレス |
任意 |
SIP を使用したフェデレーションおよびパブリック IM 接続用 |
| Web 会議/PSOM (TLS) |
TCP |
443 |
任意 |
NAT を使用したプライベート IP: エッジ サーバー Web 会議エッジ サービス パブリック IP: Edge Server Web 会議 Edge サービスのパブリック IP アドレス |
Web 会議メディア。 |
| A/V/STUN.MSTURN |
UDP |
3478 |
任意 |
NAT を使用したプライベート IP: エッジ サーバー A/V Edge サービス パブリック IP: エッジ サーバー A/V Edge サービスのパブリック IP アドレス |
ポート 3478 を使用して UDP を経由する候補との STUN/TURNUDP ネゴシエーション |
| A/V/STUN.MSTURN |
TCP |
443 |
任意 |
NAT を使用したプライベート IP: エッジ サーバー A/V Edge サービス パブリック IP: エッジ サーバー A/V Edge サービスのパブリック IP アドレス |
ポート 443 を使用して TCP を経由する候補との STUN/TURNUDP ネゴシエーション |
内部インターフェイスの仮想 IP
ここに示すガイダンスは多少変化する予定です。 事実、現時点で HLB を使用する状況では、以下の場合のみ、内部 VIP を経由するルーティングを使用することをお勧めします。
Exchange 2007 または Exchange 2010 ユニファイド メッセージング (UM) を使用している場合。
エッジを使用するレガシ クライアントが存在している場合
次の表では、これらのシナリオのガイダンスを示しますが、それ以外の場合は、中央管理ストア (CMS) に依存して、認識されている個々のエッジ サーバーにトラフィックをルーティングできます (もちろん、CMS はエッジ サーバー情報で最新の状態に保たれる必要があります)。
| プロトコル | TCP または UDP | ポート | 送信元 IP アドレス | 宛先 IP アドレス | メモ |
|---|---|---|---|---|---|
| アクセス/SIP (MTLS) |
TCP |
5061 |
任意: •ディレクター • ディレクター プール VIP アドレス • フロントエンド サーバー • フロントエンド プール VIP アドレス |
エッジ サーバーの内部インターフェイス |
ディレクター、ディレクター プール VIP アドレス、フロントエンド サーバー、またはフロントエンド プール VIP アドレスからエッジ サーバーの内部インターフェイスへの送信 SIP トラフィック。 |
| アクセス/SIP (MTLS) |
TCP |
5061 |
エッジ サーバーの内部 VIP インターフェイス |
任意: •ディレクター • ディレクター プール VIP アドレス • フロントエンド サーバー • フロントエンド プール VIP アドレス |
エッジ サーバーの内部インターフェイスからディレクター、ディレクター プール VIP アドレス、フロントエンド サーバー、またはフロントエンド プール VIP アドレスへの受信 SIP トラフィック。 |
| SIP/MTLS |
TCP |
5062 |
任意: フロントエンド サーバーの IP アドレス フロントエンド プールの IP アドレス • このエッジ サーバーを使用する存続可能ブランチ アプライアンス • このエッジ サーバーを使用する存続可能なブランチ サーバー |
エッジ サーバーの内部インターフェイス |
エッジ サーバーを使用して、フロントエンド サーバーまたはフロントエンド プール、または存続可能ブランチ アプライアンスまたは存続可能ブランチ サーバーからの A/V ユーザーの認証。 |
| STUN/MSTURN |
UDP |
3478 |
任意 |
エッジ サーバーの内部インターフェイス |
内部ユーザーと外部ユーザーとの間の音声ビデオ メディア転送の優先パス |
| STUN/MSTURN |
TCP |
443 |
任意 |
エッジ サーバーの内部 VIP インターフェイス |
UDP 通信を確立できない場合に、内部ユーザーと外部ユーザーの間で音声ビデオ メディア転送を行うフォールバック パス。 この場合は、ファイル転送およびデスクトップ共有に TCP を使用 |