次の方法で共有


Skype for Business - Customer Action Alert について

こんにちは。Skype for Business サポート チームです。
メッセージセンターにおいて、以下のようなアラートが表示され、不安に思われている方がいらっしゃるようなので、アラートの内容と対処方法について少し説明したいと思います。

本アラートは、メデイアポートの開放やお客様ネットワークの接続環境が原因でユーザーが会議に参加ができていないパターンが多いため、現在の通信品質向上を管理者に周知提案するためのアラートとなります。
とはいえ、何か問題が潜んでいるのではないかと不安に感じる方もいらっしゃると思いますので、本アラートが表示された場合の初動についてご案内したいと思います。
まず、このアラートが表示された場合は、状況をより良くするため、以下のような事を確かめるとよいと思います。

1. Skype for Business Online 向けの IP アドレス・ URL がすべて開放されている事

参考情報
Title: Office 365 URL and IP
URL: https://support.office.com/ja-jp/article/Office-365-URL-%e3%81%8a%e3%82%88%e3%81%b3-IP-%e3%82%a2%e3%83%89%e3%83%ac%e3%82%b9%e7%af%84%e5%9b%b2-8548a211-3fe7-47cb-abb1-355ea5aa88a2?ui=ja-JP&rs=ja-JP&ad=JP

2. Skype for Business Online 向けの IP アドレス・URL に対して SSL インスペクションを行っていない事、

Skype for Business クライアントではお客様 F/W で SSL によるインスペクションを実施している場合会議に参加をする際のメデイア通信を F/W でブロックされる現象が発生する場合があります。

F/W のブロックログをご覧になり、Office 365 の URL/IP 宛の通信がブロックされているかについてご確認下さい。
Proxy を利用している場合には、TLS のパケットの内部を監視しないよう構成していただけますようお願いいたします。

多くのお客様では、Office 365 当ての通信を制御するため、IP ではなく、URL ベースでフィルターリングを実施していただいております。こちらの方法でもちろん問題ございませんが、URL ベースでフィルターリングを行っている場合、TLS のパケットの中も監視し、本当に安全なパケットなのかを監視しているお客様も多くいらっしゃいます。

その場合、保護された接続を確立する際に以下のように接続が確立されます。
1. TCP 3-way handshake
2. Client Hello (クライアントから暗号化通信を開始)
3. Server Hello

その際、多くのお客様では 2 の段階で F/W やプロキシーでブロックが発生いたします。
その理由としては Client Hello の中に SNI (Server Name Indicator) や証明書 (Certificate) がない事になります。
多くの F/W では、TLS で暗号化された通信を監視するため、TLS 接続でやり取りされる証明書を使い TLS 接続が成立後も、パケットの内容をインスペクションしますが、Skype for Business クライアントについてはメデイアの通信のセッションで利用している TLS セッションでは、Pseudo-TLS のプロトコール (TLS に見た通信)が利用され、そのセッションの上で、SRTP (Secure Real-Time Transport Protocol) のセキュアなパケットで通信が行われます。

Title: 2.1.1 Pseudo-TLS over TCP
https://msdn.microsoft.com/en-us/library/dd947700(v=office.12).aspx

そのため、Skype for Business の通信を F/W で制御する場合には、ネットワークベンダー様にご相談いただくか、インスペクションは実施されないようお願いします。

3. 以下の CQD を利用していただき、お客様のサブネットや接続形態により現象が発生していないかを確認しネットワークベンダ様に相談する。

https://support.office.com/en-us/article/Turning-on-and-using-Call-Quality-Dashboard-in-Skype-for-Business-Online-553fa13c-92d2-4d5c-a3d5-41a073cb047c?ui=en-US\&rs=en-US\&ad=US

まず、CQD の基本としては、お客様のネットワークのサブネット情報のご登録となります。
サブネット情報を追加していただいた後、CQD データからは、たとえば、フェールカウントが wifi で高いのであれば、Wifi 環境を見直すなど、改善ポイントの参考にしてください。
ただし、データーセンターで会議参加ができない障害の影響
により、フェールカウント数が増加する場合がございます。

お客様の管理センターの障害情報 (サービスの正常性) をご確認の上、
それに合わせて、CQD データを確認し、障害が発生した月だけフェール数が多い場合は、本アラートは無視してください。

なお、上記以上の対処が必要であると感じていらっしゃるお客様については、弊社導入設計部隊によるパフォーマンス改善支援サービスをご利用ください。当該サービスには、我々のテクニカル サポート部門にはない、製品導入時にユーザーへのスムーズな製品利用を促すためのノウハウや、トラブルを誘発しやすい構成ポイントに関するノウハウ、パフォーマンス改善のノウハウを提供し、プロアクティブな支援を行うことが可能です。我々はリアクティブサポートとなりますので、お問い合わせいただいても、このブログでご案内した内容以上の支援はできません。何卒宜しくお願いいたします。

本情報の内容 (添付文書、リンク先などを含む) は、作成日時点でのものであり、予告なく変更される場合があります。