次の方法で共有

Lync Server 2013 での単一内部プールの Web 公開ルールの構成

  • [アーティクル]

 

トピック最終更新日: 2014-07-07

Microsoft Forefront Threat Management Gateway 2010 およびインターネット インフォメーション サーバー アプリケーション要求ルーティング (IIS ARR) では、Web 発行ルールを使用して、会議 URL などの内部リソースをインターネット上のユーザーに発行します。

仮想ディレクトリの Web サービス URL に加えて、単純な URL、LyncDiscover URL、Office Web Apps Server の発行規則も作成する必要があります。 単純な URL ごとに、その単純な URL を指す個々のルールをリバース プロキシに作成する必要があります。

モビリティをデプロイし、自動検出を使用している場合は、外部自動検出サービス URL の発行規則を作成する必要があります。 自動検出には、ディレクター プールとフロント エンド プールの外部 Lync Server Web サービス URL の発行規則も必要です。 自動検出用の Web 公開規則の作成の詳細については、「 Lync Server 2013 でのモビリティのためのリバース プロキシの構成」を参照してください。

Web 公開ルールを作成するには、次の手順に従います。

注意

これらの手順では、Forefront Threat Management Gateway (TMG) 2010 の Standard Edition をインストールしているか、アプリケーション要求ルーティング (IIS ARR) 拡張機能を使用してインターネット インフォメーション サーバーをインストールして構成していることを前提としています。 TMG または IIS ARR を使用します。

TMG 2010 を実行しているコンピューターに Web サーバー発行規則を作成するには

  1. [ スタート] をクリックし、[ プログラム] を選択し、[ Microsoft Forefront TMG] を選択し、[ Forefront TMG Management] をクリックします。

  2. 左側のウィンドウで [ ServerName] を展開し、[ ファイアウォール ポリシー] を右クリックし、[ 新規] を選択し、[ Web サイト発行規則] をクリックします。

  3. [ 新しい Web 発行規則へようこそ ] ページで、発行ルールの表示名を入力します (LyncServerWebDownloadsRule など)。

  4. [ ルール アクションの選択] ページで、[許可] を選択 します

  5. [ 発行の種類 ] ページで、[ 単一の Web サイトまたはロード バランサーを発行する] を選択します。

  6. [ サーバー接続のセキュリティ ] ページで、[ SSL を使用して発行された Web サーバーまたはサーバー ファームに接続する] を選択します。

  7. [ 内部発行の詳細 ] ページで、[ 内部サイト 名] ボックスに、会議コンテンツとアドレス帳コンテンツをホストする内部 Web ファームの完全修飾ドメイン名 (FQDN) を入力します。

    注意

    内部サーバーが Standard Edition サーバーの場合、この FQDN は Standard Edition サーバー FQDN です。 内部サーバーがフロントエンド プールの場合、この FQDN は、内部 Web ファーム サーバーを負荷分散するハードウェア ロード バランサー仮想 IP (VIP) です。 TMG サーバーは、FQDN を内部 Web サーバーの IP アドレスに解決できる必要があります。 TMG サーバーが FQDN を適切な IP アドレスに解決できない場合は、[ コンピューター名または IP アドレスを使用して発行されたサーバーに接続する] を選択し、[ コンピューター名またはIP アドレス ] ボックスに内部 Web サーバーの IP アドレスを入力します。 これを行う場合は、ポート 53 が TMG サーバー上で開かれていること、および境界ネットワークに存在する DNS サーバーに到達できることを確認する必要があります。 ローカル ホスト ファイルのエントリを使用して、名前解決を提供することもできます。

  8. [ 内部発行の詳細 ] ページの [ パス (省略可能)] ボックスに、発行するフォルダーのパスとして「 /* 」と入力します。

    注意

    Web サイト発行ウィザードでは、1 つのパスのみを指定できます。 ルールのプロパティを変更することで、追加のパスを追加できます。

  9. [パブリック名の詳細] ページで、[要求の受け入れ] で [このドメイン名] が選択されていることを確認し、[パブリック名] ボックスに外部 Web サービスの FQDN を入力します。

  10. [ Web リスナーの選択 ] ページで、[ 新規 ] をクリックして、新しい Web リスナー定義ウィザードを開きます。

  11. [ 新しい Web リスナー ウィザードへようこそ ] ページで、[Web リスナー名] ボックスに Web リスナーの 名前 を入力します (LyncServerWebServers など)。

  12. [ クライアント接続セキュリティ ] ページで、[ クライアントとの SSL セキュリティで保護された接続が必要] を選択します。

  13. [ Web リスナー IP アドレス ] ページで、[ 外部] を選択し、[ IP アドレスの選択] をクリックします。

  14. [ 外部リスナー IP の選択 ] ページ で、選択したネットワークの Forefront TMG コンピューターで [指定した IP アドレス] を選択し、適切な IP アドレスを選択し、[ 追加] をクリックします。

  15. [ リスナー SSL 証明書 ] ページで、[ IP アドレスごとに証明書を割り当てる] を選択し、外部 Web FQDN に関連付けられている IP アドレスを選択し、[ 証明書の選択] をクリックします。

  16. [ 証明書の選択 ] ページで、手順 9 で指定したパブリック名と一致する証明書を選択し、[ 選択] をクリックします。

  17. [ 認証設定 ] ページで、[ 認証なし] を選択します。

  18. [シングル サインオン設定] ページで、[次へ] をクリックします。

  19. [ Web リスナー ウィザードの完了 ] ページで、 Web リスナー 設定が正しいことを確認し、[完了] をクリック します

  20. [ 認証委任 ] ページで、[委任なし] を選択 しますが、クライアントは直接認証できます

  21. [ ユーザー セット ] ページで、[ 次へ] をクリックします。

  22. [ 新しい Web 発行規則ウィザードの完了 ] ページで、Web 発行規則の設定が正しいことを確認し、[完了] をクリック します

  23. 詳細ウィンドウで [ 適用 ] をクリックして変更を保存し、構成を更新します。

IIS ARR を実行しているコンピューターに Web サーバー発行規則を作成するには

  1. リバース プロキシに使用する証明書を HTTPS プロトコルにバインドします。 [ スタート] をクリックし、[ プログラム] を選択し、[ 管理ツール] を選択し、[ インターネット インフォメーション サービス (IIS) マネージャー] をクリックします。

    注意

    IIS ARR の展開と構成に関するその他のヘルプ、スクリーン ショット、ガイダンスについては、NextHop の記事 「Lync Server 2013 のリバース プロキシとしての IIS ARR の使用」を参照してください。

  2. まだ行っていない場合は、リバース プロキシに使用する証明書をインポートします。 インターネット インフォメーション サービス (IIS) マネージャーで、コンソールの左側のサイズでリバース プロキシ サーバー名をクリックします。 コンソールの中央にある [IIS ] で [ サーバー証明書] を見つけます[サーバー証明書] を右クリックし、[機能を開く] を選択します。

  3. 本体の右側にある [ Import...]\(インポート...\) をクリックします。 拡張子を持つ証明書のパスとファイル名を入力するか、[ ... ] をクリックして証明書を参照します。 証明書を選択し、[ 開く] をクリックします。 秘密キーの保護に使用するパスワードを指定します (証明書と秘密キーをエクスポートするときにパスワードを割り当てた場合)。 [OK] をクリックします。 証明書のインポートが成功した場合、証明書はコンソールの中央のエントリとして サーバー証明書のエントリとして表示されます。

  4. HTTPS で使用する証明書を割り当てます。 コンソールの左側で、IIS サーバーの 既定の Web サイト を選択します。 右側の [ Bindings...] をクリックします。 [ サイト バインド ] ダイアログで、[追加]をクリック します。 [種類] の [サイト バインドの追加] ダイアログで、[https] を選択します。 https を選択すると、https に使用する証明書を選択できます。 [ SSL 証明書:] で、リバース プロキシ用にインポートした証明書を選択します。 [OK] をクリックします。 次に、[ 閉じる] をクリックします。 セキュリティで保護されたソケット層 (SSL) とトランスポート層セキュリティ (TLS) のために、証明書がリバース プロキシにバインドされるようになりました。

    Important

    中間証明書が見つからないという [バインド] ダイアログを閉じるときに警告が表示される場合は、パブリック CA ルート証明機関証明書と中間 CA 証明書を見つけてインポートする必要があります。 証明書を要求したパブリック CA の手順を参照し、指示に従って証明書チェーンを要求してインポートします。 エッジ サーバーから証明書をエクスポートした場合は、ルート CA 証明書と、エッジ サーバーに関連付けられているすべての中間 CA 証明書をエクスポートできます。 ルート CA 証明書をコンピューターの (ユーザー ストアと混同しないように) 信頼されたルート証明機関ストアにインポートし、中間証明書をコンピューターの中間証明機関ストアにインポートします。

  5. IIS サーバー名の下にあるコンソールの左側で、[ サーバー ファーム ] を右クリックし、[ サーバー ファームの作成]をクリックします。

    注意

    [サーバー ファーム] ノードが表示されない場合は、アプリケーション要求ルーティングをインストールする必要があります。 詳細については、「 Lync Server 2013 のリバース プロキシ サーバーを設定する」を参照してください。

    [ サーバー ファーム 名] の [ サーバー ファームの作成] ダイアログで、最初の URL の名前 (識別用のフレンドリ名を指定できます) を入力します。 [次へ] をクリックします。

  6. [サーバー アドレス] の [サーバーの追加] ダイアログで、フロントエンド サーバー上の外部 Web サービスの完全修飾ドメイン名 (FQDN) を入力します。 ここでは、たとえば目的で使用される名前は、Lync Server 2013 のリバース プロキシの [計画] セクションの [ 証明書の概要 ] - [リバース プロキシ] で使用される名前と同じです。 リバース プロキシの計画を参照して、FQDN webext.contoso.comを入力します。 [ オンライン ] の横にあるチェック ボックスがオンになっていることを確認します。 [ 追加] をクリックして、この構成の Web サーバープールにサーバーを追加します。

    警告

    Lync Server では、ハードウェア ロード バランサーを使用して、HTTP トラフィックと HTTPS トラフィック用にディレクター サーバーとフロント エンド サーバーをプールします。 IIS ARR サーバー ファームにサーバーを追加する場合、FQDN は 1 つだけ指定します。 FQDN は、プールされていないサーバー構成のフロントエンド サーバーまたはディレクター、またはサーバー プール用に構成されたハードウェア ロード バランサーの FQDN になります。 HTTP トラフィックと HTTPS トラフィックを負荷分散するためにサポートされる唯一の方法は、ハードウェア ロード バランサーを使用することです。

  7. [ サーバーの追加 ] ダイアログで、[ 詳細設定]をクリックします。 これにより、構成された FQDN への要求のアプリケーション要求ルーティングを定義するダイアログが開きます。 目的は、要求が IIS ARR によって処理されるときに使用されるポートを再定義することです。

    既定では、宛先 HTTP ポートは 8080 として定義する必要があります。 現在の httpPort 80 の横にあるをクリックし、値を 8080 に設定します。 現在の httpsPort 443 の横にあるをクリックし、値を 4443 に設定します。 weight パラメーターは 100 のままにします。 必要に応じて、ベースライン統計を取得したら、特定のルールの重みを再定義できます。 [ 完了] をクリックして、ルール構成のこの部分を完了します。

  8. IIS マネージャーが URL 書き換えルールを作成して、すべての受信要求をサーバー ファームに自動的にルーティングできることを通知する [書き換えルール] ダイアログが表示される場合があります。 [ はい] をクリックします。 ルールは手動で調整しますが、[はい] を選択すると初期構成が設定されます。

  9. 作成したサーバー ファームの名前をクリックします。 IIS マネージャー機能ビューの [サーバー ファーム ] で、[ キャッシュ] をダブルクリックします。 [ ディスク キャッシュを有効にする] の選択を解除します。 右側の [ 適用 ] をクリックします。

  10. サーバー ファームの名前をクリックします。 [IIS マネージャー機能ビューの サーバー ファーム ] で、[ プロキシ] をダブルクリックします。 [プロキシ設定] ページで、 タイムアウト (秒) の値をデプロイに適した値に変更します。 [ 適用 ] をクリックして変更を保存します。

    Important

    プロキシのタイムアウト値は、デプロイごとに異なる数値です。 デプロイを監視し、クライアントにとって最適なエクスペリエンスを得るための値を変更する必要があります。 値を 200 に設定できる場合があります。 環境内で Lync モバイル クライアントをサポートしている場合は、タイムアウト値が 900 のOffice 365からのプッシュ通知のタイムアウトを許可するには、値を 960 に設定する必要があります。 値が小さすぎる場合はクライアントの切断を避けるためにタイムアウト値を増やす必要があり、プロキシ経由の接続が切断されず、クライアントが切断されてから長い間クリアしない場合は数を減らす必要があります。 環境の正常な監視とベースライニングは、この値に対して適切な設定がどこにあるかを判断するための唯一の正確な手段です。

  11. サーバー ファームの名前をクリックします。 [IIS マネージャー機能ビューの サーバー ファーム ] で、[ ルーティング規則] をダブルクリックします。 [ルーティング規則] ダイアログの [ルーティング] で、[SSL オフロードを有効にする] の横にあるチェック ボックスをオフにします。 チェック ボックスをオフにできない場合は、[ URL 書き換えを使用して受信要求を検査する] チェック ボックスをオンにします。 [ 適用 ] をクリックして変更を保存します。

    警告

    リバース プロキシによる SSL オフロードはサポートされていません。

  12. リバース プロキシを通過する必要がある URL ごとに手順 5 ~ 11 を繰り返します。 一般的な一覧は次のとおりです。

    • フロントエンド サーバー Web サービスの外部: webext.contoso.com (初期ウォークスルーによって既に構成されています)

    • Director の外部のディレクター Web サービス: webdirext.contoso.com (ディレクターが展開されている場合は省略可能)

    • 単純な URL meet: meet.contoso.com

    • 単純な URL ダイヤルイン: dialin.contoso.com

    • Lync 自動検出 URL: lyncdiscover.contoso.com

    • Office Web Apps サーバー URL: officewebapps01.contoso.com

      Important

      Office Web Apps Server の URL では、別の httpsPort アドレスが使用されます。 手順 7 では、 httpsPort443httpPort をポート 80 として定義します。 その他の構成設定はすべて同じです。

  13. コンソールの左側で、IIS サーバー名をクリックします。 コンソールの中央にある [IIS] の下にある [URL の書き換え] を見つけます。 [URL 書き換え] をダブルクリックして、URL 書き換えルールの構成を開きます。 前の手順で作成した各サーバー ファームのルールが表示されます。 そうでない場合は、インターネット情報サーバー マネージャーコンソールの [スタート ページ] ノードのすぐ下にある IIS サーバー名をクリックしたことを確認します。

  14. [ URL 書き換え ] ダイアログで、webext.contoso.com を例として使用すると、表示されるルールの完全な名前は ARR_webext.contoso.com_loadbalance_SSL です

    • ルールをダブルクリックして、[受信規則の 編集 ] ダイアログを開きます。

    • [条件] ダイアログで [追加...] をクリックします。

    • [ 条件の追加]入力「{HTTP_HOST}」と入力します。 (入力すると、条件を選択できるダイアログが表示されます)。 [ 入力文字列のチェック]: [ パターンに一致する] を選択します。 [ パターン] 入力 タイプ *[大文字と小文字を区別しない ] を選択する必要があります。 [OK] をクリックします。

    • [ 受信規則の編集 ] ダイアログで下にスクロールして、[ アクション ] ダイアログを見つけます。 アクションの種類: [ Route to Server Farm]\(サーバー ファームへのルーティング\) に設定する必要があります。 スキーム:https:// に設定し、[ サーバー ファーム: この規則が適用される URL に設定します。 この例では、これを webext.contoso.com に設定する必要があります。 パス:/{R:0} に設定されています

    • [ 適用 ] をクリックして変更を保存します。 [ 規則に戻る ] をクリックして、URL 書き換えルールに戻ります。

  15. 定義した SSL 書き換え規則ごとに、手順 14 で定義した手順を、サーバー ファーム URL ごとに 1 つずつ繰り返します。

    警告

    既定では、HTTP 規則も作成され、SSL 規則と同様の名前付けによって示されます。 現在の例では、HTTP 規則の名前は ARR_webext.contoso.com_loadbalance です。 これらの規則に変更は必要ありません。無視しても問題ありません。

TMG 2010 で Web 公開規則のプロパティを変更するには

  1. [ スタート] をクリックし、[ プログラム] をポイントし、[ Microsoft Forefront TMG] を選択し、[ Forefront TMG Management] をクリックします。

  2. 左側のウィンドウで [ ServerName] を展開し、[ ファイアウォール ポリシー] をクリックします。

  3. 詳細ウィンドウで、前の手順で作成した Web サーバー発行規則 (LyncServerExternalRule など) を右クリックし、[ プロパティ] をクリックします。

  4. [ プロパティ ] ページの [ From ] タブで、次の操作を行います。

    • [ このルールは、これらのソースからのトラフィックに適用されます ] ボックスの一覧で、[ 任意の場所] をクリックし、[ 削除] をクリックします。

    • [追加] をクリックします。

    • [ ネットワーク エンティティの追加] で、[ ネットワーク] を展開し、[ 外部] をクリックし、[ 追加] をクリックして、[ 閉じる] をクリックします。

  5. [移動先] タブで、[実際のホスト ヘッダーではなく元のホスト ヘッダーを転送する] ボックスがオンになっていることを確認チェック。

  6. [ブリッジング] タブで、[要求を SSL ポートにリダイレクトチェック] ボックスを選択し、ポート 4443 を指定します。

  7. [ パブリック名 ] タブで、単純な URL (meet.contoso.com や dialin.contoso.com など) を追加します。

  8. [ 適用 ] をクリックして変更を保存し、[OK] をクリック します

  9. 詳細ウィンドウで [ 適用 ] をクリックして変更を保存し、構成を更新します。

IIS ARR で Web 発行規則のプロパティを変更するには

  1. [ スタート] をクリックし、[ プログラム] を選択し、[ 管理ツール] を選択し、[ インターネット インフォメーション サービス (IIS) マネージャー] をクリックします。

  2. コンソールの左側で、IIS サーバー名をクリックします。

  3. コンソールの中央にある [IIS] の下にある [URL の書き換え] を見つけます。 [URL 書き換え] をダブルクリックして、URL 書き換えルールの構成を開きます。

  4. 変更する必要があるルールをダブルクリックします。 必要に応じて、 一致 URL条件サーバー変数 、またはアクションで変更を行 います

  5. [ 適用 ] をクリックして変更をコミットします。 [ ルールに戻る ] をクリックして他のルールを変更するか、変更が完了したら IIS マネージャー コンソールを閉じます。