Cisco UC Integration for Microsoft Lyncトラフィックがネットワークを通過する際に優先されるよ うに、RTPメディア パケット ヘッダーにDifferentiated Services Code Point(DSCP)値を設定しま す。
Cisco Unified Communications Manager のポート範囲
クライアントは、Cisco Unified Communications ManagerのSIPプロファイルで使用するポート範囲 を定義します。 クライアントは、このポート範囲を使用して、ネットワークにRTPトラフィック を送信します。
SIP プロファイルでのポート範囲の指定
クライアントがRTPトラフィックを使用できるように、ポート範囲を指定するには、次のとおり に実行します。
導入の計画 Cisco Media Services Interface
手順
ステップ 1 [Cisco Unified CMの管理(Cisco Unified CM Administration)]インターフェイスを開きます。
ステップ 2 [デバイス(Device)] > [デバイスの設定(Device Settings)] > [SIPプロファイル(SIP Profile)]の 順に選択します。
ステップ 3 適切なSIPプロファイルを検索するか、新しいSIPプロファイルを作成します。
[SIPプロファイルの設定(SIP Profile Configuration)]ウィンドウが開きます。
ステップ 4 次のフィールドにポート範囲を指定してください。
開始メディアポート(Start Media Port)
メディア ストリームの開始ポートを定義します。 このフィールドは、範囲の最小ポートを 設定します。
終了メディア ポート(Stop Media Port)
メディア ストリームの終了ポートを定義します。 このフィールドは、範囲の最大ポートを 設定します。
ステップ 5 [設定の適用(Apply Config)]を選択し、[OK]をクリックします。
クライアントによるポート範囲の使用方法
Cisco UC Integration for Microsoft Lyncは、SIPプロファイルに設定したポート範囲を均等に配分し ます。 クライアントは、次のようにポート範囲を使用します。
•ポート範囲の下半分は、オーディオ ストリーム用
•ポート範囲の上半分は、ビデオ ストリーム用
たとえば、3000のスタート メディア ポートおよび4000のエンド メディア ポートを使用する場 合、クライアントはポート経由で次のようにメディアを送信します。
•オーディオ ストリームのポート:3000~3501
•ビデオ ストリームのポート:3502~4000
オーディオメディアおよびビデオメディアのポート範囲を分割する結果として、クライアントに より識別可能なメディア ストリームが作成されます。IPパケットのヘッダー内のDSCP値を設定 することで、それらのメディア ストリームを分類し、優先させることができます。
DSCP 値を設定するオプション
次の表は、DSCP値の設定に関するオペレーティング システムごとのオプションを示します。
導入の計画
DSCP 値の設定
Microsoft Windows 8 Microsoft Windows 7
DSCP 値を設定する方式
[はい(Yes)] [はい(Yes)]
Microsoftグループ ポリシーを 用いたDSCP値の設定
[はい(Yes)]
[はい(Yes)]
ネットワーク スイッチおよび ルータでのDSCP値の設定
グループ ポリシーを用いた DSCP 値の設定
より新しいWindowsオペレーティング システム(Microsoft Windows 7など)にCisco UC Integration for Microsoft Lyncを導入する場合は、Microsoftグループ ポリシーを使用してDSCP値を適用でき ます。
グループ ポリシーを作成するには、次のMicrosoftサポート記事の手順に従います:http://
technet.microsoft.com/en-us/library/cc771283%28v=ws.10%29.aspx。
次の属性を用いて音声メディアとビデオ メディアに別々のポリシーを作成する必要があります。
シグナリング ポリシー ビデオ ポリシー
音声ポリシー 属性(Attributes)
CUCILync.exe CUCILync.exe
CUCILync.exe アプリケーション名
[TCP]
UDP [プロトコル UDP
(Protocol)]
SIPは5060
安全なSIPの場合は5061 Cisco Unified
Communications ManagerのSIPプロ ファイルからの対応 するポート番号また は範囲。
Cisco Unified Communications ManagerのSIPプロ ファイルからの対応 するポート番号また は範囲。
ポート番号または範 囲
24 34
DSCP値 46
ネットワーク内の DSCP 値の設定
スイッチおよびルータを設定し、RTPメディアのIPヘッダーでDSCP値をマーキングします。
ネットワーク内のDSCP値を設定するには、クライアント アプリケーションからの異なるスト リームを識別する必要があります。
導入の計画 DSCP 値の設定
メディア ストリーム
クライアントは、オーディオ ストリームとビデオ ストリームに異なるポート範囲を使用す るため、それらのポート範囲に基づいて音声およびビデオ メディアを区別できます。SIP プロファイルのデフォルトのポート範囲を使用して、次のようにメディア パケットをマー キングする必要があります。
•音声メディアは、EFとして、16384~24574のポートでストリーミング
•ビデオ メディアは、AF41として、24575~32766のポートでストリーミング
シグナリング ストリーム
SIP、CTI QBE、XMPPに必要な各種ポートに基づいて、クライアントおよびサーバ間のシ
グナリングを識別できます。 たとえば、Cisco UC Integration for Microsoft LyncとCisco Unified Communications Managerとの間のSIPシグナリングは、ポート5060を通して行われます。
AF31としてシグナリング パケットをマーキングする必要があります。
導入の計画
DSCP 値の設定
導入の計画 DSCP 値の設定
第
4
章証明書検証の設定
Cisco UC Integration for Microsoft Lyncでは、証明書の検証を使用して、サーバとのセキュア接続 を確立します。
セキュア接続の確立を試行するとき、サーバはCisco UC Integration for Microsoft Lyncに証明書を 提供します。Cisco UC Integration for Microsoft Lyncは、それらの証明書をMicrosoft Windowsの 証明書ストアにある証明書と照合して検証します。 クライアントが証明書を検証できない場合、
ユーザは、証明書を受け入れるかどうかの確認を求められます。
• 必要な証明書, 35 ページ
• 認証局により署名された証明書の取得, 36 ページ
• 証明書のサーバ識別情報, 37 ページ
• クライアント コンピュータのルート証明書のインポート, 37 ページ
必要な証明書
セキュアな接続を確立するために、次の証明書が提供されます。
証明書 [サーバ(Server)]
HTTP(Tomcat) Cisco Unified Communications Manager
HTTP(Tomcat)
Cisco Unity Connection
特記事項
•クラスタ内の各ノード(サブスクライバとパブリッシャの両方を含む)は、Tomcatサービス を実行し、クライアントにHTTP証明書を提供できます。 クラスタ内の各ノードの証明書に 署名する必要があります。
•クライアントとCisco Unified Communications Managerとの間でSIPシグナリングのセキュリ ティを確保するには、Certification Authority Proxy Function(CAPF)登録を使用します。
認証局により署名された証明書の取得
シスコは、次の認証局(CA)のいずれかにより署名されたサーバ証明書を使用することを推奨し ます。
•パブリックCA
サードパーティ企業が、サーバの識別情報を確認し、信頼できる証明書を発行します。
•プライベートCA
自身でローカルのCAを作成および管理し、信頼できる証明書を発行します。
署名プロセスは、各サーバごとに異なり、サーバのバージョン間でも異なります。 各サーバのす べてのバージョンに関する詳細な手順については、このマニュアルの範囲外になります。CAに より署名された証明書を取得する方法の詳細な指示については、該当するサーバのマニュアルを 参照してください。 以下のステップでは、手順の概要を示します。
手順
ステップ 1 クライアントに証明書を提示できる各サーバで証明書署名要求(CSR)を作成します。
ステップ 2 CAに各CSRを送信します。
ステップ 3 CAが各サーバに発行する証明書をアップロードします。
証明書署名要求の形式と要件
パブリックCAは、通常CSRに特定の形式に確認するよう要求します。 たとえば、パブリック CAは、次のようなCSRを受け入れる場合があります。
• Base 64エンコードである。
• @&!などの文字を[組織(Organization)]や[OU]などのフィールドに含めない。
•サーバの公開キーで特定のビット長を使用する。
同様に、複数ノードからCSRを送信すると、パブリックCAは、すべてのCSRで情報の整合性が とれていることを必要とする場合があります。
CSRの問題を回避するために、CSRを送信するパブリックCAからの形式の要件を確認する必要 があります。 次に、サーバを構成する際に、入力する情報がパブリックCAが要求する形式に適 合していることを保証する必要があります。
FQDNあたり証明書1つ:いくつかのパブリックCAは、完全修飾ドメイン名(FQDN)あたり1 つの証明書にのみ署名します。
証明書検証の設定 認証局により署名された証明書の取得
証明書のサーバ識別情報
CAは、署名プロセスの一部として証明書にサーバIDを指定します。 クライアントがその証明書 を検証する場合、次のことを確認します。
•信頼できる機関が証明書を発行している。
•証明書を提示するサーバの識別情報は、証明書に明記されたサーバの識別情報と一致しま す。
パブリックCAは、通常、サーバの識別情報として、IPアドレスではなく、ドメインを含む完 全修飾ドメイン名(FQDN)を必要とします。
(注)
IDフィールド
クライアントは、識別情報の一致に関して、サーバ証明書の次の識別子フィールドを確認します。
•HTTP証明書
◦ SubjectAltName\dnsNames
◦ Subject CN
[件名CN(Subject CN)]フィールドには、左端の文字としてワイルドカード(*)を含めるこ
とができます。たとえば、*.cisco.comのようになります。
ヒント
IDの不一致の防止
ユーザがIPアドレスでサーバに接続し、サーバ証明書がFQDNでサーバを識別しようとすると、
クライアントは、信頼できるポートとサーバを識別できないため、ユーザにとって良い結果をも たらしません。
サーバ証明書がFQDNでサーバを識別する場合、環境全体のFQDNとして各サーバ名を指定する 必要があります。
クライアントコンピュータのルート証明書のインポート
サーバ証明書はクライアント コンピュータの信頼ストアに存在する関連のルート証明書が必要で す。Cisco UC Integration for Microsoft Lyncは、サーバが信頼ストアのルート証明書に対して提示 する証明書を検証します。
パブリックCAによって署名されたサーバ証明書を取得する場合、パブリックCAはすでにクラ イアントコンピュータの信頼ストアで提示されるルート証明書を持っている必要があります。こ の場合、クライアント コンピュータのルート証明書をインポートする必要はありません。
次の場合、Microsoft Windows証明書ストアにルート証明書をインポートする必要があります。
証明書検証の設定
証明書のサーバ識別情報