導入ガイド Microsoft Lync 2013 と Citrix NetScaler: 導入ガイド www.citrix.co.jp 導入ガイド NetScaler と Microsoft Lync 2013 目次 Microsoft Lync 2013 の概要 ............................................................................................................... 4 Lync のサーバーロール ...................................................................................................................... 4 Standard Edition サーバー ............................................................................................................. 4 フロントエンドサーバーとバックエンドサーバー ........................................................................ 4 エッジサーバー ............................................................................................................................. 5 仲介サーバー ................................................................................................................................. 6 ディレクター ................................................................................................................................. 6 常設チャットフロントエンドサーバー .......................................................................................... 6 ワークロードタイプ .......................................................................................................................... 6 インスタントメッセージ(IM)とプレゼンス............................................................................... 6 音声/ビデオ会議と Web 会議......................................................................................................... 7 エンタープライズボイス ............................................................................................................... 7 マイクロソフトが推奨する HLB とリバースプロキシ向けのトポロジー ...................................... 7 フロントエンドプールの内部インターフェイス⽤ロードバランサーの設定................................. 8 フロントエンドプールの外部インターフェイス⽤ロードバランサーの設定................................. 9 ディレクタープールのロードバランサーの設定 ........................................................................... 9 エッジ内部ロードバランサーの設定 ............................................................................................. 9 エッジ外部ロードバランサーの設定 ........................................................................................... 10 リバースプロキシの外部インターフェイスのポート情報 ........................................................... 10 リバースプロキシ内部インターフェイスのポート情報 ............................................................... 10 NetScaler を使⽤した Microsoft Lync 2013 の負荷分散 ................................................................... 11 推奨テクノロジー ........................................................................................................................ 11 負荷分散の内部トラフィック ...................................................................................................... 11 内部トラフィックに関する Lync プロトコル/ポート情報............................................................ 12 内部 DNS に関する注意点 ............................................................................................................... 19 SSL 証明書の統合 ....................................................................................................................... 19 リソースのモニタリング ............................................................................................................. 20 外部トラフィック⽤の負荷分散とリバースプロキシ ...................................................................... 20 負荷分散エッジプール ................................................................................................................. 20 HTTPS リバースプロキシ ........................................................................................................... 21 モビリティ................................................................................................................................... 21 フェデレーションと XMPP パートナー....................................................................................... 21 外部 DNS に関する注意点 ........................................................................................................... 24 www.citrix.co.jp 2 導入ガイド NetScaler と Microsoft Lync 2013 SSL 証明書に関する注意点 ......................................................................................................... 24 ハードウェアアプライアンス型のロードバランサーを使⽤するメリット ...................................... 25 まとめ .............................................................................................................................................. 26 付録 ................................................................................................................................................. 26 テストに使⽤した製品のバーション ........................................................................................... 26 Lync の PowerShell コマンド ...................................................................................................... 26 www.citrix.co.jp 3 導入ガイド NetScaler と Microsoft Lync 2013 Citrix NetScaler は業界トップのアプリケーションデリバリーコントロー ラー(ADC)であり、これを使うことで Microsoft Lync 2013 の性能、可⽤ 性、スケーラビリティ、セキュリティの最適化や強化が⾏えます。Citrix NetScaler は、物理アプライアンスおよび仮想アプライアンスのどちらの 形式でも利⽤できます。この⽂書では、Microsoft Lync 2013 向けに Citrix NetScaler を導入するための⼿順を詳しく紹介します。 Microsoft Lync 2013 の概要 Microsoft Lync 2013 はユニファイドコミュニケーション製品の 1 つであり、インスタントメッセー ジ(IM)、VOIP、オンライン会議、コラボレーション、ファイル共有などの機能を提供するほか、 Exchange UM との統合を実施し、フェデレーションサービスをその他の企業 IM またはパブリック IM と統合します。 IM クライアントは、Windows、Mac、モバイルデバイス向けに提供されており、これらは Lync 2013 サーバーや Lync Online(Office 365)と連携します。 Lync のサーバーロール Standard Edition サーバー • Standard Edition サーバーは小規模向け、または大規模のパイロットプロジェクト向けに設計さ れたサーバーであり、これを使うと、Lync Server の持つ多くの機能(必須データベースを含む) を単一サーバー上で実⾏できます。Standard Edition サーバーは Lync Server の機能を低コスト で提供しますが、本格的な⾼可⽤性ソリューションは提供しません。 • Standard Edition サーバーを使⽤すると、インスタントメッセージ(IM) 、プレゼンス、会議、エ ンタープライズボイスを単一サーバー上で実⾏できます。 • Lync Server 2013 Enterprise Edition と Lync Server 2013 Standard Edition との大きな違いは、 Enterprise Edition に含まれている⾼可⽤性機能を Standard Edition ではサポートしていないこと にあります。⾼可⽤性を実現するには、複数のフロントエンドサーバーをプールに導入し、SQL Server をミラー化する必要があります。Standard Edition サーバーはプール化できません。 フロントエンドサーバーとバックエンドサーバー • Lync Server Enterprise Edition では、フロントエンドサーバーがコアサーバーロールを担当し、 多くの基本的な Lync Server 機能を実⾏します。いかなる Lync Server Enterprise Edition 導入環 境であれ、フロントエンドサーバーとバックエンドサーバーという 2 つのサーバーロールだけは 存在する必要があります。 • フロントエンドプールとは、同じ設定を持つ複数のフロントエンドサーバーからなる集合であり、 プール内の各サーバーが連携して動作することで、特定のユーザーグループにサービスを提供し ます。 • フロントエンドサーバーには次のロールが含まれています。 ユーザー認証とユーザー登録 プレゼンス情報や連絡先カードの交換 アドレス帳サービスと配布リストの拡張 IM 機能(マルチパーティ型の IM 会議を含む) www.citrix.co.jp 4 導入ガイド NetScaler と Microsoft Lync 2013 Web 会議、PSTN ダイヤルイン会議、音声/ビデオ会議(導入されている場合) Lync Server に含まれているアプリケーション(会議アテンダントや応答グループなど)や サードパーティ製のアプリケーションを対象とするアプリケーションホスティング オプション:使⽤状況に関する情報を通話詳細記録(CDR)や通話エラー記録(CER)の形 式で収集する監視機能。この情報は、エンタープライズ VoIP と音声ビデオ会議の両方でネッ トワークを通過するメディア(音声/ビデオ)の品質に関する数値指標を提供します。 Web スケジューラー、Join Launcher など、Web ベースのタスクをサポートするための Web コンポーネント。 オプション:コンプライアンス上の理由で IM 通信および会議の内容をアーカイブするアー カイブ機能。 オプション:常設チャットが有効になっている場合は、チャットルーム管理⽤の常設チャッ ト Web サービス、 およびファイルのアップロード/ダウンロード⽤の常設チャット Web サー ビス。 注:Lync Server 2010 およびそれ以前のバージョンでは、監視機能とアーカイブ機能は別々 のサーバーロールであり、フロントエンドサーバー上には共存していませんでした。 • フロントエンドプールは、ユーザーおよび会議データ⽤のプライマリストアでもあります。各 ユーザーに関する情報は、プール内の 3 つのフロントエンドサーバーにレプリケートされ、バッ クエンドサーバーにバックアップされます。 • さらに、展開内の 1 つのフロントエンドプールでは中央管理サーバーも実⾏されます。中央管理 サーバーでは、基本構成データを管理したり、Lync Server を実⾏しているすべてのサーバーに 基本構成データを展開したりします。また、中央管理サーバーは Lync Server 管理シェルやファ イル転送の機能も備えています。 • バックエンドサーバーは、Microsoft SQL Server を実⾏しているデータベースサーバーであり、 フロントエンドプールにデータベースサービスを提供します。バックエンドサーバーは、プール のユーザーおよび会議データのバックアップストアとして機能し、応答グループデータベースな どの他のデータベースのプライマリストアになります。バックエンドサーバーは 1 つでも問題あ りませんが、フェイルオーバーできるように SQL Server ミラーリングを使⽤するソリューショ ンをお勧めします。バックエンドサーバーでは Lync Server ソフトウェアは実⾏されません。 エッジサーバー • エッジサーバーを使⽤すると、ユーザーは組織のファイアウォールの外側にいるユーザーと通信 や共同作業を⾏うことができます。このような外部ユーザーには、現在オフサイトで作業してい る組織のユーザー、フェデレーションパートナー組織のユーザー、および Lync Server の展開で ホストされる会議に参加するように招待された外部ユーザーが含まれます。また、エッジサー バーでは、パブリック IM 接続サービス(Windows Live、AOL、Yahoo!、Google Talk など)に接 続できます。 • エッジサーバーを導入すると、モバイルデバイスで Lync 機能をサポートするモビリティサービ スも有効になります。ユーザーは、サポートされる Apple iOS、Android、Windows Phone、また は Nokia のモバイルデバイスを使⽤して、インスタントメッセージの送受信、連絡先の表示、プ レゼンスの表示などのアクティビティを実⾏できます。さらに、モバイルデバイスは、クリック して会議に参加、勤務先から通話、同一番号接続、ボイスメール、不在着信通知など、いくつか のエンタープライズ VoIP 機能をサポートしています。モビリティ機能では、バックグラウンド で実⾏されているアプリケーションをサポートしないモバイルデバイス⽤のプッシュ通知もサ ポートされます。プッシュ通知とは、モバイルアプリケーションが非アクティブな場合に発生し たイベントについてモバイルデバイスに送信される通知です。 www.citrix.co.jp 5 導入ガイド NetScaler と Microsoft Lync 2013 • エッジサーバーには、完全に統合された XMPP(eXtensible Messaging and Presence Protocol) プロキシと、フロントエンドサーバーに含まれる XMPP ゲートウェイも含まれます。これらの XMPP コンポーネントを構成することにより、Lync Server 2013 ユーザーがインスタントメッ セージ(IM)およびプレゼンス⽤に XMPP ベースのパートナー(Google Talk など)から連絡先 を追加できるようなります。 仲介サーバー • 仲介サーバーは、エンタープライズ VoIP とダイヤルイン会議を実装するために必要なコンポー ネントです。仲介サーバーは、内部の Lync Server インフラストラクチャーと、公衆交換電話網 (PSTN)ゲートウェイ、IP-PBX、またはセッション開始プロトコル(SIP)トランク間で信号と メディア(一部の構成の場合)の変換を⾏います。フロントエンドサーバーと同じサーバーに配 置されている、またはスタンドアロンの仲介サーバープールに分離されている仲介サーバーを実 ⾏できます。 ディレクター • ディレクターでは、Lync Server ユーザーの要求を認証できますが、ユーザーアカウントの配置 や、プレゼンスまたは会議サービスの提供は⾏いません。ディレクターは、外部ユーザーアクセ スが有効になっている展開でセキュリティを強化するのに非常に役⽴ちます。内部サーバーに要 求を送信する前にディレクターで認証を実⾏できます。サービス拒否攻撃が発生した場合、攻撃 はディレクターによって終了され、フロントエンドサーバーには到達しません。 常設チャットフロントエンドサーバー • 常設チャットでは、ユーザーがトピックに基づく⻑時間のマルチパーティ会話に参加できます。 常設チャットフロントエンドサーバーは、常設チャットサービスを実⾏します。常設チャット バックエンドサーバーでは、チャット履歴データと、カテゴリおよびチャットルームに関する情 報が格納されます。オプションの常設チャットコンプライアンスバックエンドサーバーでは、コ ンプライアンスの目的でチャットの内容とイベントを格納できます。 • Lync Server Standard Edition を実⾏している環境では、同じサーバー上に配置されている常設 チャットも実⾏できます。常設チャットフロントエンドサーバーを Enterprise Edition フロント エンドサーバーと共存させることはできません。 ワークロードタイプ インスタントメッセージ(IM)とプレゼンス • インスタントメッセージ(IM)は、インターネットや企業のネットワークをはじめとするインター ネットプロトコル(IP)ネットワークで、テキストメッセージをリアルタイムに転送する機能で す。二者間の IM 会話とマルチパーティ IM セッションの両方がサポートされています。二者間の IM 会話の参加者は、任意の時点で第 3 の参加者を会話に追加できます。これを⾏うと、 [Conversation]ウィンドウが、会議機能をサポートするように変化します。 • プレゼンスは、別のユーザーのステータスに関する情報を提供する機能です。ユーザーのプレゼ ンスステータス情報は、そのユーザーが連絡可能であるかどうかや、インスタントメッセージ、 電話、電子メールのどれを利⽤できるかなどを他のユーザーに知らせます。プレゼンスは、可能 な場合は即座の通信を奨励しますが、ユーザーが会議中または外出中であるために、即座の通信 が不可能であることを示す場合もあります。このようなプレゼンスステータスは、Lync やその他 のプレゼンス対応型のアプリケーション(Microsoft Outlook のメッセージングおよびコラボレー ションクライアント、Microsoft SharePoint、Microsoft Word、Microsoft Excel など)においてプ レゼンスアイコンとして表示されます。プレゼンスアイコンは、現時点で、特定のユーザーのス www.citrix.co.jp 6 導入ガイド NetScaler と Microsoft Lync 2013 ケジュールが空いているかどうかや、そのユーザーにコミュニケートする意思があるかどうかを 表します。 音声/ビデオ会議と Web 会議 • Web 会議では、ユーザーは会議中に、Microsoft PowerPoint などのドキュメントを共有し、それ に基づいてコラボレーションが⾏えます。また、ユーザーは、各自のデスクトップの一部または 全部を、他の出席者とリアルタイムで共有できます。 • 音声/ビデオ会議では、参加者の間でリアルタイムの音声およびビデオ通信が⾏えます(音声会議 の場合にはヘッドセット、ビデオ会議の場合には Web カメラのような、適切なクライアントデ バイスが提供されていることが前提となります) 。 エンタープライズボイス • Lync Server 2013 は仲介サーバーとゲートウェイ間で複数のトランクをサポートしています。ト ランクとは、あるポート番号/仲介サーバーおよびポート番号/ゲートウェイ間の論理的な関連付 けです。つまり、仲介サーバーは異なるゲートウェイに対する複数のトランクを持つことができ、 ゲートウェイは異なる仲介サーバーに対する複数のトランクを持つことができます。トランク間 のルーティングにより、Lync Server 2013 が IP-PBX を PSTN ゲートウェイに相互接続すること や、複数の IP-PBX システムを相互接続することが可能となります。Lync Server 2013 は異なる テレフォニーシステム間をつなぐ「糊」(つまり相互接続)として機能します。Microsoft Lync Server 2013 では、通話転送、同時呼び出し、ボイスメール処理、発呼者 ID プレゼンテーション などの分野に関する改善を⾏っています。 マイクロソフトが推奨する HLB とリバースプロキシ向けのトポロジー www.citrix.co.jp 7 導入ガイド NetScaler と Microsoft Lync 2013 フロントエンドプールの内部インターフェイス⽤ロードバランサーの設定 サーバー ポート ノード ポート フロント エンド 443 443 TCP Source Address Affinity 内部 Web 会議にアクセスするリモー トユーザーアクセス⽤の SIP/TLS 通 信の内部ポートとして使⽤されるか、 内部メディアおよび音声ビデオセッ ションにアクセスするための STUN/TCP インバウンドおよびアウ トバウンドメディア通信の内部ポー トとして使⽤される フロント エンド 135 135 TCP Source Address Affinity RPC フロント エンド 444 444 TCP Source Address Affinity HTTPS – プール内部およびプール間 の通信 フロント エンド 5061 5061 TCP Source Address Affinity SIP/MTLS フロント エンド 443 4443 TCP Source Address Affinity HTTPS フロント エンド 80 8080 TCP Source Address Affinity HTTP フロント エンド 5065 5065 TCP Source Address Affinity アプリケーション共有の要求を待ち 受ける着信 SIP で使⽤ フロント エンド 5071 5071 TCP Source Address Affinity 応答グループアプリケーション⽤の 着信 SIP 要求で使⽤ フロン トエンド 5072 5072 TCP Source Address Affinity 出席者(ダイヤルイン会議の)向けの 着信 SIP 要求で使⽤ フロント エンド 5073 5073 TCP Source Address Affinity Lync Server 会議アナウンスメント サービス(ダイヤルイン会議での)向 けの着信 SIP 要求で使⽤ フロント エンド 5075 5075 TCP Source Address Affinity Call Park アプリケーション⽤の着信 SIP 要求で使⽤. フロント エンド 5076 5076 TCP Source Address Affinity 音声テストサービス向けの着信 SIP 要 求で使⽤ フロント エンド 5080 5080 TCP Source Address Affinity 音 声 ビ デ オ エ ッ ジ の TURN ト ラ フィックに関する帯域幅ポリシー サービスによるコールアドミッショ ンコントロールで使⽤ フロント エンド 448 448 TCP Source Address Affinity Lync Server 帯域幅ポリシーサービス によるコールアドミッションコント ロールで使⽤ www.citrix.co.jp プロトコル タイプ プロトコル LB 方式、パーシステンス、 クライアントタイムアウト 8 導入ガイド NetScaler と Microsoft Lync 2013 フロントエンドプールの外部インターフェイス⽤ロードバランサーの設定 パーシステ ンスプロ ファイル サーバー ポート ノード ポート プロトコルプ ロファイル フロント エンド 443 443 TCP Source Address Affinity 内部 Web 会議にアクセスするリ モートユーザーアクセス⽤の SIP/TLS 通信の内部ポートとして 使⽤されるか、内部メディアおよ び音声ビデオセッションにアクセ スするための STUN/TCP インバウ ンドおよびアウトバウンドメディ ア通信の内部ポートとして使⽤さ れる フロント エンド 443 4443 TCP Source Address Affinity HTTP フロント エンド 80 8080 TCP Affinity なし HTTP 説明 ディレクタープールのロードバランサーの設定 プロトコルプ ロファイル パーシステ ンスプロ ファイル サーバー ポート ノード ポート ディレク ター 443 443 TCP なし 内部 Web 会議にアクセスするリ モートユーザーアクセス⽤の SIP/TLS 通信の内部ポートとして 使⽤されるか、内部メディアおよ び音声ビデオセッションにアクセ スするための STUN/TCP インバ ウンドおよびアウトバウンドメ ディア通信の内部ポートとして使 ⽤される ディレク ター 443 4443 TCP なし HTTPS ディレク ター 80 8080 TCP なし HTTP 5061 5061 TCP なし サーバー間の内部通信、およびク ライアント接続⽤の内部通信で使 ⽤ ディレク ター 説明 エッジ内部ロードバランサーの設定 サーバー ポート ノード ポート ディレク ター 443 443 www.citrix.co.jp プロトコルプ ロファイル パーシステ ンスプロ ファイル TCP なし 説明 内部 Web 会議にアクセスするリ モートユーザーアクセス⽤の SIP/TLS 通信の内部ポートとして 使⽤されるか、内部メディアおよ び音声ビデオセッションにアクセ スするための STUN/TCP インバ ウンドおよびアウトバウンドメ ディア通信の内部ポートとして使 ⽤される 9 導入ガイド NetScaler と Microsoft Lync 2013 プロトコルプ ロファイル パーシステ ンスプロ ファイル 説明 サーバー ポート ノード ポート ディレク ター 443 4443 TCP なし HTTPS ディレク ター 80 8080 TCP なし HTTP 5061 5061 TCP なし サーバー間の内部通信、およびク ライアント接続⽤の内部通信で使 ⽤ ディレク ター エッジ外部ロードバランサーの設定 プロトコルプ ロファイル パーシステ ンスプロ ファイル サーバー ポート ノード ポート 音声/ビデ オ、アクセ ス、Web 会 議 443 443 TCP Source Address Affinity 内部 Web 会議にアクセスするリ モートユーザーアクセス⽤の SIP/TLS 通信の外部ポートとして 使⽤されるか、内部メディアおよ び音声ビデオセッションにアクセ スするための STUN/TCP インバ ウンドおよびアウトバウンドメ ディア通信の外部ポートとして使 ⽤される アクセス 5061 5061 TCP Source Address Affinity リモートユーザーアクセスやフェ デレーション⽤の SIP/MTLS 通信 の外部ポートとして使⽤ 音声/ ビデオ 3478 3478 UDP Source Address Affinity STUN/TCP インバウンドおよびア ウトバウンドメディア通信の外部 ポートとして使⽤ 説明 リバースプロキシの外部インターフェイスのポート情報 サーバー ポート アドレス帳のダウンロード、アドレス帳 443 Web クエリサービス、Autodiscover、クラ イアントアップデート、ミーティングの内 容、デバイスアップデート、グループ拡張、 会議/ダイヤルイン会議/ミーティング⽤の Office Web アプリ デスティネーション IP リバースプロキシリス ナー(VIP) ソース IP 任意 リバースプロキシ内部インターフェイスのポート情報 デスティネーション リバースプロキシ上の 443 ポートに送信 されたトラフィックは、リバースプロキ シの内部インターフェイスの 4443 ポー トを通じてプールへとリダイレクトされ るため、プール Web サービスはこのトラ フィックを内部 Web トラフィックから区 別できるようになります www.citrix.co.jp プロトコ ルプロ ファイル 4443 デスティネーション IP フロントエンドサー バ ー、 フロ ント エン ド プール、ディレクター、 ディレクタープール ソース IP 内部リバースプロキシ インターフェイス 10 導入ガイド NetScaler と Microsoft Lync 2013 NetScaler を使用した Microsoft Lync 2013 の負荷分散 推奨テクノロジー 負荷分散の内部トラフィック このシナリオでは、NetScaler®が、Enterprise プール内にある、複数のフロントエンド、ディレク ター、Outlook Web App サーバーに対する接続ポイントとなります。 ロール FQDN IP 備考 Active Directory DC.ctxns.net 192.168.1.15 ドメインコントローラーと DNS SQL Server 2012 LyncSql01.ctxns.net 192.168.1.20 Lync 2013 のデフォルトインスタ ンス Lync 2013 フロント エンド 1 LyncFE01.ctxns.net 192.168.1.21 プール名:Pool.Ctxns.net Lync 2013 フロント エンド 2 LyncFE02.ctxns.net 192.168.1.22 プール名:Pool.Ctxns.net Lync 2013 フロントエン ド3 LyncFE03.ctxns.net 192.168.1.23 プール名:Pool.Ctxns.net Lync 2013 フロントエン ド 4 LyncFE04.ctxns.net 192.168.1.32 プール名:Pool.Ctxns.net Lync 2013 ディレクター1 Dir1.ctxns.net 172.16.99.201 xencloud¥user1 Lync 2013 ディレクター2 Dir2.ctxns.net 172.16.99.202 xencloud¥user2 Outlook Web App サーバー Owa.ctxns.net 172.16.99.203 xencloud¥user3 NetScaler 10.105.157.50 フロントエンドプール Pool.Ctxns.net 192.168.1.61 NS VIP 1 ディレクタープール Dirpool.ctxns.net 192.168.1.62 NS VIP 2 OWA プール Owa.ctxns.net 192.168.1.63 NS VIP 3 www.citrix.co.jp 11 導入ガイド NetScaler と Microsoft Lync 2013 内部トラフィックに関する Lync プロトコル/ポート情報 カスタムモニタを追加します。 導入環境内にあるすべての適⽤可能なポートに関して設定を⾏います。 Lync アプリケーションサーバーを追加します。 www.citrix.co.jp 12 導入ガイド NetScaler と Microsoft Lync 2013 サーバーの状態が稼働中であることを確認します。 www.citrix.co.jp 13 導入ガイド NetScaler と Microsoft Lync 2013 Lync サービスを作成します。 www.citrix.co.jp 14 導入ガイド NetScaler と Microsoft Lync 2013 作成されたサービスの状態を確認します。導入環境の一部として、次のサービスが作成されている 必要があります。 www.citrix.co.jp 15 導入ガイド NetScaler と Microsoft Lync 2013 仮想サーバーを作成します。 www.citrix.co.jp 16 導入ガイド www.citrix.co.jp NetScaler と Microsoft Lync 2013 17 導入ガイド NetScaler と Microsoft Lync 2013 推奨される最適化:Microsoft 社はポート 5061 で TCP vip を使⽤することを推奨していますが、こ のようにすると、サポートされるパーシステンシーが「ソース IP」に限定されてしまいます。この ため、パーシステンシーパラメータである“SIP Call ID”を有効化したい場合は、次のような変更を⾏ うことを推奨します。 • v_director_5061 および v_front_end_5061 をタイプ SIP_SSL に変更する • バウンドサービスタイプを Sip_SSL に変更する • クライアントで圧縮が有効化されている場合、不正な要求として応答するようなレスポンダーポ リシーを追加する www.citrix.co.jp 18 導入ガイド NetScaler と Microsoft Lync 2013 内部 DNS に関する注意点 ラボにおけるテストの実施時に使⽤した内部 DNS の設定例を以下に示します。 dialin.ctxns.net 192.168.1.62 meet.ctxns.net 192.168.1.62 Lyncdiscover.ctxns.net 192.168.1.62 Owa.ctxns.net 192.168.1.63 LyncWeb.ctxns.net 192.168.1.61 LyncWebDir.ctxns.net 192.168.1.62 SSL 証明書の統合 次に示すような、Subject 名と Subject Alternative 名を持つ内部 CA を使⽤するサーバー証明書を作 成します。 Subject: CN=Dirpool.ctxns.net X509v3 Subject Alternative Name: DNS:sip.CTXNS.net, DNS:dir2.ctxns.net, DNS:Dirpool.ctxns.net, DNS:Dir1. CTXNS.net, DNS:dialin.ctxns.net, DNS:meet.ctxns.net, DNS:admin.ctxns.net, DNS:LyncdiscoverInternal.CTXNS.net, DNS:Lyncdiscover.CTXNS.net add ssl certKey lync_cert -cert dirpool.pem -key dirpool.pem -passcrypt Wa4i9NP1Ma0=<password> bind ssl vserver v_director_443 -certkeyName lync_cert bind ssl vserver v_director_444 -certkeyName lync_cert bind ssl vserver v_director_5061 -certkeyName lync_cert Subject: CN=LyncwebDir.ctxns.net X509v3 Subject Alternative Name: DNS:Dirpool.ctxns.net, DNS:dialin.ctxns.net, DNS:meet.ctxns.net, DNS:admin.ctxns. net, DNS:LyncdiscoverInternal.CTXNS.net, DNS:Lyncdiscover.CTXNS.net add ssl certKey dirwebcert -cert dirweb.pem -key dirwebkey.pem bind ssl vserver v_director_4443 -certkeyName dirwebcert X509v3 Subject Alternative Name: DNS:sip.CTXNS.net, DNS:UCUpdates-r2.ctxns.net, DNS:UCupdates-r2, DNS:Lyncfe01. Ctxns.net, DNS:Lyncfe02.Ctxns.net, DNS:Lyncfe03.Ctxns.net, DNS:Lyncfe04.Ctxns.net, DNS:Pool.CTXNS.net, DNS:dialin.ctxns.net, DNS:meet.ctxns.net, DNS:admin.ctxns.net, DNS:LyncdiscoverInternal.CTXNS.net, DNS:LyncWeb.CTXNS.net, DNS:Lyncdiscover. CTXNS.net add ssl certKey poolupdate_cert -cert pool-update-r2.pem -key pool-update-r2.ky bind ssl vserver v_front_end_443 -certkeyName poolupdate_cert bind ssl vserver v_front_end_444 -certkeyName poolupdate_cert bind ssl vserver v_front_end_4443 -certkeyName poolupdate_cert bind ssl vserver v_front_end_5061 -certkeyName poolupdate_cert www.citrix.co.jp 19 導入ガイド NetScaler と Microsoft Lync 2013 リソースのモニタリング ポート 5061 上でのフロントエンドプールの SIP トラフィックは暗号化されます。ただし、オプショ ンとして、暗号化されていない 5060 ポートをヘルスモニタリング⽤に有効化することもできます (注:SIP 通信は暗号化されているポート上でのみ発生します。オプションでのポート 5060 の有効 化はヘルスモニタリングを目的とする場合にのみ⾏います)。これを⾏うには、Lync の Topology Builder で次の操作を実施します。 変更を⾏った後、このトポロジーを公開して当該ポートを有効にし、続いてカスタムの NetScaler モニタを作成します。注:NetScaler ソフトウェアの将来のリリースでは、SIP-TCP を通じた拡張 コンテンツ検証がサポートされる予定です。SIP_TCP モニタは 10.5.e で利⽤可能であるため、こ れを使⽤して書き込みを⾏うものと仮定します。それ以前のリリースでは SIP-UDP を使うことに 注意してください。 内部 SIP 仮想サーバー向けにカスタムモニタを作成します(オプション) 。 外部トラフィック用の負荷分散とリバースプロキシ 負荷分散エッジプール このシナリオでは、NetScaler は、1 つのアレイ内にある複数のエッジサーバーの内部 NIC および 外部 NIC の両方に対する接続ポイントとして動作します。 • アクセスエッジサービス:このサービスは、アウトバウントおよびインバウンド SIP(Session Initiation Protocol)向けの単一の信頼できる接続ポイントを提供します。 • Web 会議エッジサービス:このサービスを使うと、外部ユーザーを、Lync Server 2013 環境でホ スティングされているミーティングに参加させることができます。 • 音声/ビデオエッジサービス:このサービスを使うと、外部ユーザーが、音声、ビデオ、アプリケー ション、共有、ファイル転送を利⽤できるようになります。ユーザーは、外部の参加者を含むミー ティングに音声とビデオを追加することで、ポイントツーポイントセッションにおいて音声やビ デオを使⽤して外部ユーザーと直接通信できます。また、音声/ビデオエッジサービスは、デスク トップ共有やファイル転送もサポートします。 • XMPP プロキシサービス:このサービスは、XMPP(extensible messaging and presence protocol) フェデレーションパートナー間での XMPP メッセージの送受信を可能にします。 www.citrix.co.jp 20 導入ガイド NetScaler と Microsoft Lync 2013 HTTPS リバースプロキシ Microsoft Lync Server 2013 Edge Server 導入環境では、外部クライアントがディレクターおよび ユーザーのホームプール上にある Lync Server 2013 の各種の Web サービス(これらは Office Communications Server 内では Web コンポーネントと呼ばれます)にアクセスできるようにするた めに、境界ネットワーク内に 1 台の HTTPS リバースプロキシ(すなわち NetScaler)が必要となり ます。リバースプロキシが必要となるのは、これらの Web サービスが内部 Lync プール内に配置さ れているからです。Lync エッジはこのような機能を提供しません。 リバースプロキシを経由した外部アクセスを必要とする機能としては、次のものが挙げられます。 • 外部ユーザーがミーティングのコンテンツをダウンロードできるようにする機能 • 外部ユーザーが配布グループを拡張できるようにする機能 • リモートユーザーがアドレス帳サービスからファイルをダウンロードできるようにする機能 • Lync Web App クライアントにアクセスする機能 • [ダイヤルイン会議の設定] という Web ページにアクセスする機能 • ロケーション情報サービスにアクセスする機能 • 外部デバイスがデバイスアップデート Web サービスに接続してアップデートを取得できるよう にする機能 • モバイルアプリケーションがインターネット経由でモビリティ(Mcx)の URL を自動的に検出し 利⽤できるようにする機能 • Lync 2013 クライアント、Lync Windows Store アプリ、Lync 2013 モバイルクライアントが Lync Discover(autodiscover)の URL を検出し、Unified Communications Web API(UCWA)を利⽤ できるようにする機能 モビリティ モビリティサービスのすべてのトラフィックは、送信元が内部または外部のどちらであっても、リ バースプロキシを通過します。単一のリバースプロキシ、またはリバースプロキシのファームの場 合、あるいはリバースプロキシ機能を提供するデバイスの場合、内部トラフィックがインターフェ イスを出てすぐに同じインターフェイスに入ろうとすると問題が発生する可能性があります。これ は、TCP パケットスプーフィング(または単にスプーフィング)と呼ばれるセキュリティルール違 反をしばしば引き起こします。ヘアピン(単一パケットまたは一連のパケットが出てすぐに戻るこ と)は、モビリティが機能するためには許容する必要があります。この問題に対する 1 つの解決策 は、ファイアウォールから切り離されたリバースプロキシを使⽤することです(セキュリティ上、 スプーフィング防止ルールは、ファイアウォールに常に適⽤される必要があります)。ヘアピンは、 ファイアウォール外部インターフェイスではなくリバースプロキシの外部インターフェイスで発生 する可能性があります。ファイアウォールでスプーフィングを検出して、リバースプロキシでのルー ルを緩めることで、モビリティが必要とするヘアピンを結果的に可能にできます。 フェデレーションと XMPP パートナー フェデレーション、パブリックインスタントメッセージ接続、および XMPP(Extensible Messaging and Presence Protocol)は、別の外部ユーザークラスである「フェデレーテッドユーザー」を定義 します。 Lync Server のフェデレーション導入、または XMPP のフェデレーション導入のユーザー は、サービスのうち限られた一部にアクセスでき、外部導入によって認証されます。リモート ユー ザーは、Lync Server 導入のメンバーであり、同導入により提供されるすべてのサービスにアクセス できます。 www.citrix.co.jp 21 導入ガイド NetScaler と Microsoft Lync 2013 パブリックインスタントメッセージ接続は、フェデレーションの特殊なタイプであり、これを使う と、Lync Server クライアントが Lync 2013 を使⽤して構成済みのパブリックインスタントメッセー ジパートナーにアクセスできるようになります。現時点のパブリックインスタントメッセージ接続 パートナーは次の通りです。 • America Online • Windows Live • Yahoo! 注:AOL と Yahoo!ではサービス終了⽇が 2014 年 6 月であると発表されています。 パブリックインスタントメッセージング接続を構成すると、Lync ユーザーは次の方法でパブリック インスタントメッセージング接続ユーザーにアクセスできるようになります。 • IM とプレゼンス • パブリックインスタントメッセージング接続の連絡先を Lync クライアント内に表示 • 連絡先との 1 対 1 のインスタントメッセージ会話 • Windows Live ユーザーとの音声およびビデオ通話 Lync Server フェデレーションは、Lync Server の導入と他の Office Communications Server 2007 R2 導入または Lync Server 導入間での合意を定義します。Lync Serve フェデレーションを構成す ると、Lync ユーザーは次の方法でフェデレーテッドユーザーにアクセスできます。 • インスタントメッセージとプレゼンス • フェデレーションの連絡先を Lync クライアント内で作成 XMPP フェデレーションは、XMPP に基づく外部導入を定義します。XMPP を構成すると、Lync ユーザーは許可された XMPP ドメインユーザーに次の方法でアクセスできます。 • インスタントメッセージとプレゼンス - 1 対 1 のみ • XMPP フェデレーションからの連絡先を Lync クライアント内で作成 表 2:ラボで使⽤した IP アドレス ロール FQDN IP アドレス Lync エッジ内部サーバー Edge1.ctxns.net 192.168.1.64 Lync エッジ外部サーバー1 LyncEdge01.ctxns.net 192.168.1.25 Lync エッジ外部サーバー2 LyncEdge02.ctxns.net 192.168.1.26 NetScaler 備考 10.105.157.70 「内部トラフィックに関する Lync プロトコル/ポート情報」のセクションで示した⼿順に従って、 モニタ、サーバー、サービスを作成します。導入環境の一部として、次のサービスを作成する必要 があります。 www.citrix.co.jp 22 導入ガイド NetScaler と Microsoft Lync 2013 サービスの作成 「内部トラフィックに関する Lync プロトコル/ポート情報」のセクションで示した⼿順に従って、 仮想サーバー(vServer)を作成します。導入環境の一部として、次の仮想サーバーを作成する必要 があります。 仮想サーバーの作成 www.citrix.co.jp 23 導入ガイド NetScaler と Microsoft Lync 2013 外部 DNS に関する注意点 ラボにおけるテストの実施時に使⽤した外部 DNS の設定例を以下に示します。 Owa.ctxns.net 10.105.157.154:443 192.168.1.15 ドメインコントローラーと DNS Lyncdiscover.ctxns.net 10.105.157.155:443 192.168.1.20 Lync 2013 のデフォルトインスタンス Lyncweb.ctxns.net 10.105.157.156:443 192.168.1.21 プール名:Pool.Ctxns.net LyncWebDir.ctxns.net 10.105.157.155:443 192.168.1.22 プール名:Pool.Ctxns.net Dialin.ctxns.net 10.105.157.155:443 192.168.1.23 プール名:Pool.Ctxns.net Meet.ctxns.net 10.105.157.155:443 192.168.1.32 プール名:Pool.Ctxns.net Mail.ctxns.net 10.105.157.157:443 172.16.99.201 xencloud¥user1 Sip.ctxns.net 10.105.157.151:5061 172.16.99.202 xencloud¥user2 webconf.ctxns.net 10.105.157.152:443 172.16.99.203 xencloud¥user3 av.ctxns.net 10.105.157.153:443 10.105.157.50 SSL 証明書に関する注意点 次に示すような、Subject 名と Subject Alternative 名を持つ信頼できるパブリック CA を使⽤する サーバー証明書を作成します。 Subject: CN=*.ctxns.net Subject Alternative Name: DNS:dialin.ctxns.net, DNS:meet.ctxns.net, DNS:Lyncdiscover.ctxns.net, DNS:Lyncwebdir.ctxns.net, DNS:admin.ctxns.net, DNS:sip.ctxns.net, DNS:webconf.ctxns.net, DNS:av.ctxns.net, DNS:owa.ctxns.net, DNS:Lyncweb.ctxns.net, DNS:*.ctxns.net 例:上記の証明書は、rp.pem とそれに対応するプライベートキーを使⽤して生成されます。 この証明書を NS に内部に追加し、下記の外部 VIP とバインドします。 add ssl certKey rpcert -cert rp.pem -key rpkey.pem bind ssl vserver v_rproxy_443_owa -certkeyName rpcert bind ssl vserver v_rproxy_director_443 -certkeyName rpcert bind ssl vserver v_rproxy_frontend_443 -certkeyName rpcert www.citrix.co.jp 24 導入ガイド NetScaler と Microsoft Lync 2013 ハードウェアアプライアンス型のロードバランサーを使用するメリット Lync 2013 では、Lync Server に固有のネットワークトラフィック(SIP トラフィックやメディアト ラフィックなど)の負荷分散が⾏えます。DNS 負荷分散は、フロントエンドプール、エッジサーバー プール、ディレクタープール、おとびスタンドアロンの仲介サーバープールをサポートしています。 DNS 負荷分散では保守が簡単で容易になりますが、これは⾼可⽤性、セキュリティ、エンドユーザー のサービス品質を提供しないことを代償としていることに注意してください。 Lync 2013 導入環境でハードウェアアプライアンスベースのロードバランサーを使⽤する場合のメ リットを以下に示します。 1. HTTP トラフィックのパーシステンシー IM トラフィックは SIP トラフィックですが、アドレス帳、共有コンテンツ、Web ベースのミーティ ングの接続、 グループ拡張、 デバイスアップデートなどのデータは HTTP トラフィックとなります。 HTTP トラフィックはセッション指向であるため、パーシステンシーを必要とします。DNS 負荷分 散パーシステンシーをサポートしていないため、単一のアプリケーションサーバーを導入すると単 一障害点が形成されてしまいます。ハードウェアアプライアンスベースのロードバランサーには次 のような特徴があります。 • HTTP トラフィックをパーシステンシーと共にサポート • ワールドクラスの HTTP 負荷分散、モニタリング、パーシステンシーモジュールを提供 • 接続の多重化を使⽤してサーバーリソースの最適な利⽤を実現 • 負荷分散と共に最先端の最適化機能を利⽤可能 2. 障害を素早く自動的に検出 DNS 負荷分散は、クライアントやエンドポイントに依拠することで、各プール内におけるサーバー の利⽤可能性を判定しています。これは、後⼿に回ったメカニズムであり、先⼿を打ったメカニズ ムではありません。このメカニズムでは、FQDN へのクエリによりすべてのプールメンバーの IP の リストが送信され、クライアントが故障したノードをヒットした場合、このリスト内にある次のノー ドが選択されます。このような後⼿に回ったメカニズムでは遅延が発生するほか、故障したノード をリストから⼿動で削除する必要があります。 • ハードウェアアプライアンスベースのロードバランサーは、ping による監視を提供すること でサーバーの利⽤可能性をチェックします。このような先⼿を打ったメカニズムを採⽤するこ とにより、遅延を削減できます。 • NetScaler のアプリケーション認識型のモニタを活⽤してインテリジェントな監視を実現しま す。 • NetScaler の広域負荷分散(GSLB)機能により、複数のデータセンター間での災害復旧ソ リューションを提供できます。 3. フェデレーションケースのシームレスな統合 OCS 2007 は DNS 負荷分散をサポートしておらず、また AOL や Gmail などのパブリック IM サー ビスもサポートしていません。エッジサーバー上で DNS 負荷分散を使⽤すると、フェイルオーバー 機能が利⽤できなくなるため、エンタープライズ間での統合が困難になります。このシナリオは、 プール内にあるエッジサーバーが正常に稼働している限り正しく機能しますが、1 つのエッジサー バーが利⽤不可になると、このシナリオでは、そのエッジサーバーに送信された要求は、別のエッ ジサーバーへとルーティングされるのではなく、すべて失敗することになります。 • ハードウェアアプライアンスベースのロードバランサーは、透過的な負荷分散と⾼可⽤性ソ リューションを提供するため、これを使⽤することでエンタープライズ間でのシームレスな統 合を実現できます。 www.citrix.co.jp 25 導入ガイド NetScaler と Microsoft Lync 2013 4. DNS 負荷分散をサポートしていない Exchange Server UM をシームレスに統合可能 5. テレフォニー機器のサポート DNS 負荷分散を理解しない IPBX の場合に、DNS 負荷分散を仲介サーバーロールとして使⽤する と、呼失敗率が⾼くなります。 まとめ 業界をリードするアプリケーションデリバリーソリューションである Citrix® NetScaler は、Lync 導 入環境向けの外部ロードバランサーとしての推奨事項をすべて満たしているだけでなく、それらを 超えた機能を提供します。Microsoft 社のエンジニアリングチームおよびテストチームとの緊密な連 携作業を通じて、シトリックスはトラフィックのデリバリーを最適化するように NetScaler を設計 しており、TCO の大幅な削減を達成すると同時に、可⽤性、キャパシティ、性能、セキュリティ、 管理容易性を改善しています。インフラストラクチャーのオーバーヘッドをなくすことにより Lync の価値を最大化することが NetScaler の目標です。NetScaler が Lync 導入環境にもたらすメリット の詳細や、NetScaler がその他のアプリケーションデリバリー要件にどのように対処するかについ ては、http://www.citrix.com をご覧ください。 付録 テストに使⽤した製品のバーション Microsoft Lync 2013 en_lync_server_2013_x64 Lync Client(MS Office 2013) en_office_professional_plus_2013_x86 Lync Platform (Server 2012) en_windows_server_2012_x64 Active Directory (Server 2012) en_windows_server_2012_x64 SQL Server (SQL Server 2012) en_sql_server_2012_standard_edition_with_sp1_x64 Citrix NetScaler 10.1 NS10.1: Build 112.15.nc Citrix XenServer 6.1 6.1: Build 59235p ファイアウォールとディレイルータ CentOS 6.4 Lync の PowerShell コマンド エッジサーバーの設定のエクスポート Export-CsConfiguration –FileName <path/filename> アドレス帳の更新 Update-CsAddressBook レプリケーションステータスの確認 Get-CsManagementStoreReplicationStatus アクセスエッジ設定の表示 Get-CsAccessEdgeConfiguration www.citrix.co.jp 26 導入ガイド NetScaler と Microsoft Lync 2013 Citrix について Citrix Systems, Inc.(NASDAQ:CTXS)は、新しい快適なワークスタイルを実現する仮想化、ネットワーキング、クラウドイン フラストラクチャーのリーディングカンパニーです。多くの企業および組織の IT 部門やサービスプロバイダーが、仮想化、モ バイル化されたワークスペースの構築、管理、セキュリティ確保のために、シトリックスのソリューションを利⽤しています。 仮想化、モバイル化されたワークスペースでは、デバイス、ユーザー、利⽤するネットワークやクラウドを問わず、アプリケー ション、デスクトップ、データ、サービスをシームレスに利⽤することができます。シトリックスは今年、創設 25 周年を迎え ますが、今後も革新に取り組み、モバイルワークスタイルにより IT をさらにシンプルにするとともに生産性の向上に貢献して いきます。シトリックスの 2013 年度の年間売上⾼は 29 億ドルで、その製品は世界中の 33 万以上の企業や組織において、1 億 ⼈以上の⼈々に利⽤されています。シトリックスの詳細については www.citrix.co.jp をご覧ください。 ©2014 Citrix Systems, Inc. All rights reserved. Citrix および NetScaler は、Citrix Systems, Inc.またはその子会社の登録商標であ り、米国の特許商標局およびその他の国に登録されています。その他の商標や登録商標はそれぞれの各社が所有権を有するもの です。 E1014/PDF J1214/PDF www.citrix.co.jp 27
© Copyright 2024 ExpyDoc