目次はじめに... 4 構築ガイドの概要... 5 本書の前提条件... 7 Lync Server 2013 のサーバ役割... 8 AX/Thunder の構成... 9 CLI へのログイン AX/Thunder グラフィカルユーザインターフェース (GUI) へのログイン...

(1)

構築ガイド

Microsoft Lync Server 2013 AX/Thunder 構築ガイド

Document No. : DG_AXTHLync_20131206 Ver.1.0 Date : 2013/12/6

(2)

2 目次

はじめに ... 4

構築ガイドの概要 ... 5

本書の前提条件 ... 7

Lync Server 2013のサーバ役割 ... 8

AX/Thunderの構成 ... 9

CLIへのログイン ... 10

AX/Thunder グラフィカルユーザインターフェース(GUI)へのログイン ... 12

構成要件表 ... 13

機能テンプレートと構成テンプレート ... 18

A. TCPタイムアウトテンプレートを作成するには： ... 18

B. ソースIPパーシステンスを作成する方法： ... 19

C. ヘルスモニタを作成する方法： ... 20

D. フロントエンドサーバでのSIPモニタの構成方法： ... 21

Lyncフロントエンドプールのロードバランス ... 23

外部エッジプールのロードバランス ... 33

内部エッジプールのロードバランス ... 42

Office Web Appsプールのロードバランス ... 52

リバースプロキシ ... 62

(3)

動作確認 ... 76

要約と結論 ... 77

Appendix ... 78

(4)

4 はじめに

AX/Thunderシリーズアプリケーションサービスゲートウェイは、Microsoft Lync 2013の新機能

やアプリケーションに対応した高度なロードバランシングサービスを提供します。Lyncの展開に関連してハードウェアとソフトウェア(SoftAX)の両バージョンが、マイクロソフト社により認定されています。

A10ネットワークスはマイクロソフト社とのパートナーシップを通じ、マイクロソフト社の認定を取得しマイクロソフト社製品向けの各種展開ガイドを提供しています。A10 ネットワークスは、

Office Communication Server （OCS）2007 R2 並びにLync Server 2010同様、マイクロソフト社のユニファイドコミュニケーション製品を今後も継続してサポートしていきます。

Microsoft Lync Server 2013では、数多くの新機能がリリースしされましたが、過去オプション

機能として存在していた、アーカイブ・モニタリング機能、A/V会議機能(大規模展開時に必要) がフロントエンドサーバーに統合されたことを除き、ネットワークトポロジに大きな変更はありません。また、Lync Server 2010で展開を推奨されていたディレクター役割は、Lync Server 2013ではオプション扱いとなっています。フロントエンドサーバーがディレクター役割を代行することで、全体のサーバ台数を削減することができるアーキテクチャとなっています。

マイクロソフト社は、Lyncのリバースプロキシとして推奨していた¹Threat Management

Gateway (TMG) 2010の販売を終了しました。A10ネットワークスのAX/Thunderシリーズ製品

は、TMG 2010同様、外部ネットワーク上のデバイス(Lyncモバイル、Lync Web Apps等)から内部のLyncシステムへのセキュアな通信を実現するLyncのリバースプロキシとして動作します。

AX/Thunderは、TMG 2010が持ち合わせているセキュリティ機能を補完し、TMGからのシー

ムレスな移行をサポートします。また、AX/Thunderのセキュリティ機能は今後更なる拡張を予定しております。

1 http://technet.microsoft.com/ja-jp/forefront/bb852242

(5)

構築ガイドの概要

本書では、A10ネットワークのAX/ThunderシリーズアプリケーションサービスゲートウェイおよびLyncのサーバロードバランサ構成手順に従い、Microsoft Lync 2013 エンタープライズサーバエディションをサポートする構成について順を追って説明していきます。本書の内容は、

Microsoft Lync 2013 エンタープライズサーバエディションでテストして確認しております。

Microsoft OCS 2007の構築にあたり本書を使用することはできません。Microsoft OCS向け

AX/Thunder構築ガイドについては、別途www.a10networks.comを参照してください。

下記のラボトポロジ(図1)は、内部および外部のユーザに対し高可用性を備えたLync 音声、IM/

プレゼンス、デスクトップ共有および会議コミュニケーションをサポートできるようにすることを目的として設計されています。このラボトポロジは、フロントエンドプールに3台のサーバを使用して構築されていますが、必要に応じてサーバを追加することができます。

このラボトポロジは、Lync展開で必要な4つのネットワークをサポートするにあたり１組の

A10 Networksロードバランサを使用して構築されています。4つのネットワークは、内部(フロ

ントエンド)、内部エッジ、外部エッジ並びにリバースプロキシです。

(6)

6 ラボトポロジ

図1：ラボトポロジ

注) ADP : Application Delivery Partitionsとは、1台のAX/Thunder上に複数パーティションを構成できる機能となります。

役割ホスト名 IPアドレス

AD/内部 CA/内部DNS A10ADS1 192.168.10.14/24

フロントエンド A10LY13FES1 192.168.10.17/24 A10LY13FES2 192.168.10.18/24 A10LY13FES3 192.168.10.19/24 バックエンド A10LY13BES1 192.168.10.20/24

エッジ A10LY13EGS1 172.17.0.21, 22, 23/ 24 (外部)

172.19.0.121/24 (内部) A10LY13EGS2 172.17.0.31, 32, 33/ 24 (外部)

172.19.0.131/24 (内部)

Office W eb Apps A10LY13W AC1 192.168.10.23/24

A10LY13W AC2 192.168.10.24/24

注：CA : Certificate Authorit yの略で、認証局となります。

ネットワーク外部

Active Directory

外部エッジルーター

A10LY13EGS1

A10ADS1

外部エッジ A10LY13EGS2

A10LY13BES1 A10LY13FES1

A10LY13FES2

A10LY13FES3 A10LY13WAC1

A10LY13WAC2

注)ADP >>

(7)

本書の前提条件

本書の内容は、以下の前提条件に基づいてテストされています。

 AX/ThunderのACOSバージョンは2.7.1-p2で、Lyncの各役割向け負荷分散等を実現す

るにあたりADPを利用しています。

 Lync Server 2013の音声、インスタントメッセージ(IM)、プレゼンス、デスクトップコ

ラボレーション、および音声ビデオ(AV)の会議アプリケーションについてテストで動作確認を実施しました。テストは、内部ユーザと外部ユーザの両方で実施しています。

 テストは、Microsoft Lync 2013エンタープライズサーバエディションと共にMicrosoft

SQL Server 2012 エンタープライズエディションバージョン11.00.2100.60を使用して

います。

 Lync Server 2013のすべてのコンポーネント(Office Web Appsサーバ含)はWindows

Server 2012 (64ビット) Standard Editionオペレーティングシステム上に実装されてい

ます。

 Lyncクライアントとして、Lync 2013(Windows 7オペレーティングシステム)、iPhone 向けLyncモバイル 5.1を使用しています。

 AX/Thunderはワンアームで構成されています。

(8)

8 L ync Server 2013のサーバ役割

Lyncソリューションには複数のサーバ役割が含まれています。以下にそれらサーバ役割について記します。

フロントエンドサーバー – Lync Server 2013のフロントエンドサーバーは、Lync Server 2010 と同様の機能を提供します。ユーザ認証・登録、音声、IM/プレゼンス、Web会議およびアプリケーション共有機能を提供します。また、アドレス帳サービスや配布リストも提供します。フロントエンドサーバーは、フロントエンドプール内にプロビジョニングされ、拡張性および冗長性・復元性を提供するため、すべて同じ構成となります。

Active Directoryドメインサービス(AD DS) - トポロジ内で参照されるすべてのLync Serverは

Active Directoryドメインサービス(AD DS)に参加する必要があります。ただし、エッジサーバは

例外です。Lyncユーザは、Active DirectoryドメインおよびLync Server 2013コントロールパネル(CSCP)内で管理されます。Active DirectoryドメインサービスはLync Server 2013の展開で必須となります。

バックエンドサーバー - バックエンドサーバー、フロントエンドプールにデータベースサービス を提供するMicrosoft SQL Serverです。バックエンドサーバーは、プール内ユーザデータ、会議データ用のバックアップストアとして動作し、応答グループサービス等のその他データベースのプライマリストアとなります。SQLサーバは、単一のバックエンドサーバーとして構成できますが、冗長性を実現するにあたり、複数のサーバをクラスタとして構成することを推奨しています。

エッジサーバ - エッジサーバを展開すると、外部ユーザは内部ユーザとコミュニケーション、コ ラボレーション作業を行うことができます。冗長性実現のため、複数のエッジサーバをエッジサーバプールに配置することができます。エッジサーバはまたSkype、Windows Live、AOL、

YahooおよびGoogle TalkなどのサードパーティのIMサービスへの接続にも利用します。

(9)

AX/Thunder の構成

AX/Thunderは以下の管理インターフェースを提供します。

 コマンドラインインターフェース(CLI) –

コマンドライン上でコマンドを入力するテキストベースのインターフェース。以下のプロトコルのいずれかを使用して、シリアルコンソールまたはネットワーク経由でCLIに直接アクセス可能です。

o セキュリティで保護されたプロトコル – Secure Shell (SSH)バージョン1または2 o セキュリティで保護されていないプロトコル – Telnet (利用可能な環境の場合)

 グラフィカルユーザインターフェース(GUI) –

クリックして構成ページまたは管理ページにアクセスし、値を入力または選択してデバイスの構成または管理を実行するWebベースのインターフェース。GUIには、セキュリティで保護されたプロトコル – Hypertext Transfer Protocol over Secure Socket Layer (HTTPS)を使用します。

注：AX/Thunderでは、http要求はhttpsにデフォルトでリダイレクトされます。

デフォルトでは、Telnetのアクセスは、管理インターフェースをはじめとするすべてのインターフェースで無効です。また、SSH、HTTPおよびHTTPSはデフォルトで管理インターフェース上のみ有効で、その他すべてのデータインターフェース上ではデフォルトで無効となっています。

(10)

10 CLIへのログイン

AX/Thunderには、管理アクセスをセキュリティで保護する高度な機能が備わっています。この

セクションでは、デフォルトのセキュリティ設定のみが実施されていることを前提とします。

SSHを使用してCLIにログインするには、以下の手順を実行します。

1. AX/Thunderの管理インターフェースにアクセス可能な、ネットワークに接続したPCで、

管理インターフェースのIPアドレスを使ってSSH接続を開きます。

注：AX/Thunderの管理インターフェースのデフォルトのIPアドレスは、

172.31.31.31です。

2. 通常、SSHクライアントがAX/Thunderに初めて接続すると、SSHクライアントから安全上の警告が表示されます。警告を注意深く読み、警告に同意して接続を完了します。

(Enterキーを押します)。

3. login as:プロンプトにユーザ名として”admin”を入力します。

(11)

4. Password:プロンプトにadminパスワード(初期値は”a10”)を入力します。adminユーザ名とパスワードが有効な場合は、CLIのUser EXECレベルのコマンドプロンプトが表示されます。

AX>

User EXECレベルでは、showコマンドに加え、pingやtracerouteなどのいくつかの基

本コマンドを利用できます。

注：CLIプロンプトには「AX」もしくは「ACOS」が表示されます。これは、デバイス上に構成されているホスト名を表しております。ホスト名を変更した場合には、設定したホスト名がプロンプトに表示されます。

5. CLIのPrivileged EXECレベルにアクセスし、すべての構成レベルにアクセスできるよ

うにするには、”enable”コマンドを入力します。Password:プロンプトにenableパスワードを入力します(初期ではパスワード無となっております)。このパスワードは

adminパスワードとは異なりますが、どちらのパスワードにも同じ値を構成することは

可能です。

enableパスワードが正しい場合は、CLIのPrivileged EXECレベルのコマンドプロンプ

トが表示されます。

AX#

6. グローバル構成レベルにアクセスするには、”config”コマンドを入力します。構成モードでは以下のコマンドプロンプトが表示されます。

AX(config)#

(12)

12 AX/THUNDER グラフィカルユーザインターフェース(GUI)へのログイン

ブラウザで、“https://管理インターフェースのIPアドレス”を入力すると、以下のログインダイアログが表示されます。

図2：GUIログイン画面

注：ダイアログの名前と外観は、使用しているブラウザに応じて異なります。

注：AX/Thunderが利用しているWebサーバ証明書を発行した認証局(AX/Thunder内部の認証局) のルート証明書が、アクセスしているPC上の信頼されたルート証明機関に存在しないため、

最初のアクセス時にはエラーがでますが、セキュリティ例外と処理することにより上記ログイン画面が表示されます。

1. adminユーザ名とパスワード(デフォルト”a10”)を入力し、[OK]をクリックします。

AX/Thunderの情報がひと目でわかるサマリーページが開きます。GUI使用中はこのページにい

つでもアクセスできます。それには、[モニタ] > [概要] > [サマリ]を選択します。

(13)

構成要件表

以下の表は、Lync Server 2013エンタープライズエディションの展開に必要なサービスのリストです。

表1：Lync フロントエンドサーバー(必須)

サービス名ポート VIP

タイプソース NAT

機能テンプレートメモ

Lyncフロントエンドサービス

135 TCP Auto パーシステンス：ソースIP

TCPアイドルタイムアウト：1200 ヘルスモニタ：デフォルト

ユーザの移動、ユーザレプリケータ同期、およびアドレス帳同期などの DCOMベースの操作で使用。

Lync Server Web 互換性サービス

ヘルスモニタ：デフォルト

フロントエンドサーバーからWebファームFQDN (IIS Webコンポーネントで使用されるURL)への通信に使用。

SSLオフロードを利用する場合には、クライアントSSLテンプレートが必要。

Web サーバコンポーネント

4443 TCP Auto パーシステンス：ソースIP ヘルスモニタ：デフォルト

外部アクセスのための Web コンポーネントで使用。

Lync Server Web 互換性サービス

会議の状態を管理するLync Serverコンポーネントと個別のサーバ間の通信で使用。

Lyncフロントエンドサービス

5061 TCP Auto パーシステンス：ソースIP TCPアイドルタイムアウト：1200 ヘルスモニタ：SIP 5060

サーバ間のすべての内部SIP通信 (MTLS)、サーバとクライアントの間のSIP通信(TLS)、およびフロントエンドサーバーと仲介サーバの間のSIP 通信 (MTLS) において、フロントエンドプールで使用

(14)

14

表2：Lyncフロントエンドサーバー (オプション)

機能テンプレートメモ Lync Server

アプリケーション共有サービス

5065 TCP Auto パーシステンス：ソースIP アイドルタイムアウト：1200 ヘルスモニタ：デフォルト

アプリケーション共有のSIPリッスン要求を受信するためのポート。

Lync Server 応答グループサービス

応答グループアプリケーションのSIP 要求を受信するためのポート。

Lync Server 会議アテンダントサービス (ダイヤルイン会議)

Microsoft Lync 2010 Attendant (ダイヤルイン会議)のSIP要求を受信するためのポート。

Lync Server 会議アナウンスサービス

Lync Server会議アナウンスサービスのSIP要求を受信するためのポート。

Lync Server コールパークサービス

コールパークアプリケーションのSIP 要求を受信するためのポート。

Lync Server オーディオテストサービス

オーディオテストサービスの SIP 要求を受信するために使用。

注 : Lyncフロントエンドサーバーのポートとプロトコルに詳細については以下で確認できます。

http://technet.microsoft.com/ja-jp/library/gg398833.aspx

(15)

表3：内部エッジサーバ

サーバの役割ポート VIP

フィーチャテンプレート使用上の注意

内部エッジサーバ

内部エッジサーバとファームFQDNとの間の通信で使用。

3478 UDP Auto ヘルスモニタ：デフォルト内部ユーザと外部ユーザ間のメディア

転送(UDP)の推奨パス。

5061 TCP/TLS Auto パーシステンス：ソースIP TCPアイドルタイムアウト：1200 ヘルスモニタ：デフォルト

リモートユーザアクセスまたはフェデレーションのSIP/MTLS通信用の外部ポートに使用。

5062 TCP Auto パーシステンス：ソースIP TCPアイドルタイムアウト：1200 ヘルスモニタ：デフォルト

AVユーザの認証で使用・

Web会議サーバに送信されるPSOM トラフィックを発信するために使用。

注 : Lyncエッジサーバのポートとプロトコルに詳細については以下で確認できます。

http://technet.microsoft.com/ja-JP/library/gg398739.aspx

(16)

16

表4：外部エッジサーバ

サーバの役割ポート VIP

外部エッジアクセス

すべての内部メディア通信にアクセスする、

リモートユーザのアクセス用のSIP/TLS通信で使用されるポート。

外部エッジアクセス

5061 TCP Auto パーシステンス：ソースIP TCPアイドルタイムアウト：1200 ヘルスモニタ：デフォルト

リモートユーザのアクセスとフェデレーション用の外部SIP/MTLS通信に使用されるポート。

外部エッジ WebConf

すべての内部メディア通信にアクセスする、

リモートユーザのアクセス用のSIP/TLS通信で使用されるポート。

外部エッジ AV

すべての内部メディア通信にアクセスするリモートユーザのアクセス用のSIP/TLS通信で使用されるポート。

外部エッジ AV

3478 UDP Auto ヘルスモニタ：デフォルト STUN/UDPの受信用および送信用のメディ

アリソースで使用。

注：外部エッジプールの展開時に、Lyncエッジサーバプールを単一のFQDNおよびIPアドレスまたは複数のFQDNおよびIPアドレスで展開するかどうかを尋ねる機能選択が表示されます。[単一 FQDNおよび IPアドレス使用]の機能選択を解除すると、外部エッジプールで複数IP構成が可能になります。AX/Thunderは単一IP構成と複数IP構成のどちらの展開でもサポートしています。複数 IP構成の場合はアクセス、Web会議およびAVエッジ向けに3つのパブリックIPアドレスが必要となります。単一のFQDNおよびIPアドレス構成では、パブリックIPアドレス(VIP)は1つだけ必要となります。

プロトコルの定義

STUN - Session Traversal Utilities for NAT (STUN)

SIP- Session Initiation Protocol (セッション開始プロトコル) MTLS - Multiplexed Transport Layer Security

PSOM - Persistent Shared Object Protocol

TLS -Transport Layer Security (トランスポート層セキュリティ) FQDN -Fully Qualified Domain Name (完全修飾ドメイン名)

DCOM - Distributed Component Object Model (分散コンポーネントオブジェクトモデル)

(17)

表5：Office Web Appsサーバ(オプション)

機能テンプレートメモ Office Web Apps

サーバーサービス

443 TCP Auto パーシステンス：クッキー

ヘルスモニタ：

Office Web Apps専用

クライアントSSLテンプレート：

オプション

Lync Server 2013環境で、パワーポイント資料共有を実行する際に、Lync クライアントとOffice Web Appsサーバ間の通信で使用。

表6：リバースプロキシ(オプション)

Lync 外部公開 Webサービス

443 >>

4443

TCP Auto パーシステンス：ソースIP クライアントSSLテンプレート：要サーバSSLテンプレート：要 aFlex : オプション

Lync Server 2013環境で、外部からの Webサービスへの通信を内部のLync サーバへ中継する際に使用。

外部公開ポート番号は443で、中継先のLyncサーバのポート番号は4443 を使用。

Office Web Apps 外部公開サービス

クライアントSSLテンプレート：要サーバSSLテンプレート：要 aFlex : オプション

Lync Server 2013環境で、パワーポイント資料共有を実行する際に、Lync クライアントとOffice Web Appsサーバ間の通信で使用。

注 :リバースプロキシのポートとプロトコルに詳細については以下で確認できます。

http://technet.microsoft.com/ja-JP/library/jj204932.aspx

(18)

18 機能テンプレートと構成テンプレート

以下のテンプレートおよび構成は、特定のサーバ役割に必要です。構成要件表を参照してください。

A. TCPアイドルタイムアウト

B. ソースIPパーシステンス

C. ヘルスモニタ

D. Lync Server上のロードバランサモニタ

A. TCPタイムアウトテンプレートを作成するには：

[コンフィグ] > [サービス] > [テンプレート] > [L4]の順に選択します。

図3：L4 TCPテンプレート

注：1200秒のTCPアイドルタイムアウトは、AX/ThunderでTCP接続がリセットされるまでに必要なアイドル時間です。

(19)

1. [追加]をクリックし、以下の設定を実行します。

a. [名前]：TCP

b. [アイドルタイムアウト] ：1200 c. [リセット送信(サーバ)] ：有効 d. [リセット送信(クライアント)] ：有効

2. 完了したら、[OK]をクリックし、[保存]をクリックします。

B. ソースIPパーシステンスを作成する方法：

[コンフィグ] > [SLB] > [サービス] > [テンプレート] > [パーシステンス] の順に選択します。

図4：ソースIPパーシステンステンプレート

(20)

20 1. ドロップダウンリストから[ソースIPパーシステンス]を選択します。

2. [追加]をクリックし、以下の設定を実行します。

a. [名前]： SIP (リバースプロキシでは「RP」で定義) b. [マッチタイプ]：サーバ

c. [タイムアウト]：「20」分

d. [ネットマスク]：255.255.255.255 (デフォルト)

3. [OK]をクリックし、[保存]をクリックして構成を保存します。

C. ヘルスモニタを作成する方法：

[コンフィグ] > [SLB] > [ヘルスモニタ] の順に選択します。

図5：ヘルスモニタ

1. [追加]をクリックし、以下の設定を実行します。

a. [名前]：Lync-HM b. その他はデフォルト値

(21)

3. 続いて同様の手順で、Lync SIP向けのヘルスモニタを以下の設定内容で構成します。

a. [名前] : SIP 5060 b. [クラス] : TCP c. [ポート] : 5060

D. フロントエンドサーバーでのSIPモニタの構成方法：

この設定は、Lync Server 2013 トポロジビルダーでEnterprise Editionフロントエンドプールを選択して有効にできます。この機能の目的は、A10ネットワークス社AX/Thunderでポート 5060を利用してLyncサーバの状態を監視できるようにすることです。

1. Lync フロントエンドサーバーのいずれかからLync Serverトポロジビルダーを起動します。

2. 既存の展開から[トポロジのダウンロード]を選択して構成を保存します。

3. [Enterprise Edition フロントエンドプール] の名前を選択します。

4. 本構成では、プール名「lync2013.a10domain.a10.local」のプロパティを編集します。

[ロードバランサー機器の監視ポートの有効化 ]チェックボックスをオンにし、「5060」

と入力して[OK]をクリックします。

図6：Microsoft Lync での全般プロパティの編集

(22)

22 5. プール名を右クリックし、[トポロジ] > [公開]を選択し、変更したLyncトポロジを公開

して、データベースに反映させます。

図7：Microsoft Lyncトポロジビルダー

注：トポロジの変更を有効にするために「公開」する必要があります。

(23)

Lyncフロントエンドプールのロードバランス

サイトは1つまたは複数のプールで構成され、プール内には、1台または複数のLyncサーバが含まれます。フロントエンドサーバープールは、Lyncサーバの集合体で、IM/プレゼンス、会議サービス、コラボレーション、音声などのサービスを提供します。プール内の複数サーバのうち、

1つがダウンしても、残りのフロントエンドサーバーでサービスを継続することができます。

図8：フロントエンドプール、Office Web Apps負荷分散構成図

フロントエンドLync プール

Office Web Appsファーム

OfficeWebAppsLyncフロントエンド

HTTPS/443

HTTP/80

TCP/135 TCP/443 TCP/444 TCP/4443 TCP/5061 TCP/5065,

5071, 5072, 5073, 5075, 5076

TCP/135, 443, 444, 4443 5061

TCP/5065, 5071, 5072, 5073, 5075, 5076 AX/Thunder

(24)

24 ロードバランサを利用して高可用性を構成する Lync フロントエンドエンタープライズプールを、

AX/Thunderで設定する手順を以下に記します。

A. AX/Thunderの構成画面で、[構成] > [SLB] > [サービス] > [サーバ]を選択します。

1. [追加]をクリックし、新しいサーバを追加します。

2. 今回の構成では、以下の情報を入力しています。

a. [名前]：Lync2013FE1

b. [IPアドレス/ホスト]：192.168.10.17

図9：Lyncフロントエンドサーバーの構成

(25)

3. サーバ構成でポートを追加します

a. ポートを入力し、適切なプロトコルタイプを選択して[追加]をクリックします。

b. 実際に利用するサービスに合わせて、必要なポート設定(表1に記載した必須ポートと表2に記載したオプションで使用するポート)を全て行います。

注：SSL通信を利用しないポートを設定する場合には、”SSLなし”をチェックします。

図10：Lyncフロントエンドサーバポートの構成

(26)

26

5. 1-4までの工程を、全フロントエンドサーバ分(今回のケースではLync2013FE2-

Lync2013FE3)繰り返し実行します。

図11：Lyncフロントエンドサーバ一覧

B. サービスグループを構成します。サービスグループを作成するには、[コンフィグ] > [SLB]

> [サービス] > [サービスグループ]に移動します。

1. [追加]をクリックし、新しいサービスグループを追加します。

2. 今回の構成では、以下を入力しています。

a. [名前]：Lync2013SG-135 b. [クラス]：TCP

c. [アルゴリズム]：Least Connection d. [ヘルスモニタ]：Lync-HM

図12：Lyncフロントエンドサービスグループの構成

(27)

注：サービスグループとは、AX/Thunder上に構成される複数のサーバロードバランシング (SLB)サービスグループのことです。サービスグループは、リアルサーバとサービスポートのセットで構成され、サーバの選択アルゴリズムを定義します。

e. [サーバー]ドロップダウンリストから少なくとも1つ以上のサーバを選択して

ポートと共に追加します。

図13： Lyncフロントエンドサービスグループの構成

f. 上記a-eの工程を、表1に記載されている残りの全ポート(TCP/443, TCP/444, TCP/4443, TCP/5061)と必要に応じ、表２に記載されているオプションのポート (TCP/5065, TCP/5071, TCP/5072, TCP/5073, TCP/5075, TCP/5076)分実行します。

(28)

28

図14：Lyncフロントエンドサービスグループ一覧

(29)

C. バーチャルサーバを作成します。[コンフィグ] > [SLB] > [サービス] > [バーチャルサーバ]に移動します。

1. [追加]をクリックし、バーチャルサーバを追加していきます。

2. 今回の構成では、以下を入力しています。

a. [名前]：Lync2013VIP

b. [IP アドレス or CIDR Subnet ]：192.168.0.80

注：バーチャルサーバ：

AX/Thunder上には、複数のバーチャルサーバを構成できます。バーチャルサーバは、クライアントの要求送信を受けるサーバとなります。AX/Thunderは、バーチャルサーバに紐づくサービスグループから適切なリアルサーバを選択し、クライアントからの要求を転送処理します。

図15：Lyncフロントエンドバーチャルサーバの構成

(30)

30 3. [ポート]セクションにある[追加]をクリックします。

4. 必要なバーチャルサーバポートを追加します。

5. [追加]をクリックし、以下の構成でポートを追加します。

a. [タイプ] ：[TCP]

b. [ポート]：「135」

c. [サービスグループ]：[Lync2013SG-135]

図16： Lyncフロントエンドバーチャルサーバポートの構成

d. [ソースNATプール]： [Auto]

注：送信元IPアドレスを、AX/Thunderのサーバ向けネットワークインターフェースに割り当てたIPアドレスに強制的に変更します。

e. [TCPテンプレート]：「TCP」

f. [パーシステンステンプレートタイプ]：[ソースIPパーシステンス]

g. [ソースIPパーシステンス]：「SIP」

(31)

図17：Lyncフロントエンド機能テンプレートの構成

注：各種テンプレートおよびパーシステンスの要件などのAX/Thunderのバーチャルサービステンプレートオプションは、構成要件表に記載されています。表1を参照してください。

7. Lyncフロントエンドサーバーのバーチャルサービスポートの残り分(TCP/443, TCP/444, TCP/4443, TCP/5061)と、利用するサービスに応じてオプションポート(TCP/5065, TCP/5071, TCP/5072, TCP/5073, TCP/5075, TCP/5076)について、3-6の設定を繰り返し実行します。

(32)

32 図18：Lyncフロントエンドバーチャルサーバポートの一覧

8. 最後にバーチャルサーバの設定画面で、[OK]をクリックし、[保存]をクリックして構成を保存します。

(33)

外部エッジプールのロードバランス

エッジサーバは、外部ユーザが企業のファイアウォールを越えてLyncサーバにアクセスすることを可能にします。エッジサーバを設置することで、リモートユーザは、IM/プレゼンス、会議並びに音声機能をVPN接続無しで利用できます。さらに、エッジサーバを設置することで、他企業とのフェデレーションやパブリックIM接続なども実現することができ、ユーザは豊富な Lync機能を全て利用することができます。エッジサーバは、単一サーバまたは複数サーバのどちらでも展開できます。ロードバランサは、アプリケーションに冗長性と復元性を提供する複数サーバ展開時に必要となります。

図19：外部エッジ向け負荷分散構成図

AVエッジ

TCP/443

AX/Thunder

Web会議エッジアクセスエッジ

TCP/5061

Lyncエッジプール

TCP/443 UDP/3478

TCP/443 TCP/5061

TCP/443

UDP/3478 TCP/443

(34)

34

AX/Thunderで、Lync外部エッジプールを構成する方法を以下に記します。

A. 外部エッジサーバをAX/Thunderで作成するため、[コンフィグ] > [SLB] > [サービス] >

[サーバ]に移動します。

1. [追加]をクリックし、新しいサーバを追加します。

2. サーバーメニューで、以下の必須情報を入力します。

a. [名前]：ExternalEdge1-access b. [IPアドレス/ホスト]：172.17.0.21

図20：外部エッジサーバの構成

(35)

3. [ポート]セクションで[追加]を選択します。

4. 必要なポート情報(表4に記載)を追加し、[OK]をクリックした後、[保存]をクリックして構成を保存します。

図21：外部エッジサーバーポートの構成

注：外部エッジサービスの必須ポートについては、表4を参照してください。今回のケースでは、アクセス、Web会議、AVエッジのIPアドレスは各々独立しており同じポート番号 443を利用しています。

6. 1-5までの工程を、全ての外部エッジサーバ分(A10LY13EGS1のWeb会議エッジ、AV

エッジ並びにA10LY13EGS2の全エッジ)について、繰り返し実行します。

図22：外部エッジサーバ一覧

(36)

36 B. AX/Thunderにサービスグループを作成します。[コンフィグ] > [SLB] > [サービス] >

[サービスグループ]を選択します。

1. [追加]をクリックし、新しいサービスグループを追加します。

2. サービスグループメニューで、以下の情報を入力します。

a. [名前]：ExternalEdge-access-443 b. [クラス]：TCP

c. [アルゴリズム]：Least Connection d. [ヘルスモニタ]：HM

図23：外部エッジサービスグループの構成

注：サービスグループとは、AX/Thunder上に構成された多数のサーバロードバランシング(SLB) サービスグループのことです。サービスグループは、リアルサーバとサービスポートのセットで構成され、サーバの選択アルゴリズムを定義します。

注 : 上記設定では、ヘルスモニタとして明示的に[HM]を選択していますが、HMの設定内容は (default)と相違ありませんので、[HM]選択せず、(default)を選択することも可能です。

(37)

3. [サーバー]ドロップダウンリストから少なくとも1つ以上のサーバを選択してポートと共に追加します。

図24：外部エッジサービスグループサーバーの一覧

5. 外部エッジサービスに必須のサービスグループ（表 4 に記載）すべてについて、

上記の1-4の設定を繰り返し実施します。

図25：外部エッジサービスグループ一覧

注：フェデレーション接続、パブリックIM接続が無いケースでは、外部アクセスエッジの TCP/5061を構成する必要はありません。今回のテスト環境では接続先はありませんが、

設定だけ実施しております。

(38)

38 C. 前章のフロントエンドサーバーのバーチャルサーバでは、明示的にバーチャルサーバとバーチャルサーバポートの設定を分ける方法を記載しましたが、外部エッジのバーチャルサーバは、バーチャルサービスの設定の一環で定義します。

どちらの方法でも、設定内容は完全に一致しており、特に問題ありません。

本構成では、アクセスエッジ、Webエッジ、AVエッジのパブリック(公開)IPアドレス

(VIP)が独立していますので、アクセスエッジ以外の2つのエッジ役割向けに、以下の

バーチャルサーバポートの設定を繰り返し実行する必要があります

[コンフィグ] > [SLB] > [サービス] > [バーチャルサービス]に移動します。

1. [追加]ボタンをクリックし、バーチャルサービスを追加します。

2. 以下の構成を入力します。

a. [バーチャルサービス]：ExternalEdge-ac443 b. [タイプ]：TCP

c. [ポート]：443

d. [アドレス]：172.17.0.111

e. [サービスグループ]：ExternalEdge-access-443

図26：外部エッジバーチャルサービスの構成

(39)

機能テンプレートとして以下を構成します

f. [ソースNATプール]：Auto g. [TCPテンプレート]：TCP

h. [パーシステンステンプレートタイプ]：ソースIPパーシステンス

i. [ソースIPパーシステンス]：SIP

図27：外部エッジバーチャルサービス機能テンプレート

3. 完了したら、[OK]をクリックし、[保存]をクリックして構成を保存します。

4. 1-3の工程を、表4で記載されているWeb会議エッジとAVエッジのバーチャルサーバとバーチャルサービスポート (TCP/443、UDP/3478)に対して実行します。

注：アクセスエッジのTCP/5061については、今回の構成で利用していないため定義しておりません。

(40)

40

図28：外部アクセスエッジバーチャルサーバの構成

図29：外部Webエッジバーチャルサーバの構成

(41)

図30：外部Webエッジバーチャルサーバの構成

(42)

42 内部エッジプールのロードバランス

外部エッジプールの負荷分散として専用のロードバランサ(AX/Thunder)を利用した場合には、内部エッジプールでも同様のロードバランサが必須となります。外部エッジプールにDNSロードバランスを利用した場合には、内部エッジプールでもDNSロードバランスを利用することが要求されます。内部エッジプールでは、Lyncサーバ若しく内部ネットワークのLyncクライアントと、外部ネットワークのLyncクライアントや他Lyncシステムとの間の通信を処理します。内部エッジプールは、外部エッジプール(アクセスエッジ、Web会議エッジ、AVエッジ)と違いサーバ役割は単一です。

図31：内部エッジ向け負荷分散構成図

Lyncエッジ

プール TCP/443

UDP/3478 TCP/5061 TCP/5062 TCP/8057 TCP/443

UDP/3478 TCP/5061 TCP/5062

TCP/8057

AX/Thunder

(43)

AX/ThunderでLync内部エッジプールを構成する方法を、以下に記します。

A. 内部エッジサーバをAX/Thunder内に作成するため、[コンフィグ] > [SLB] > [サービス]

> [サーバー]に移動します。

1. [追加]をクリックし、内部エッジサーバを追加します。

a. [名前]：InternalEdge-1

b. [IP アドレス/ホスト]：172.19.0.121

図32：内部エッジサーバの構成

(44)

44

3. [ポート]セクションにある[追加]を選択し、サーバ構成にポートを追加します。

a. ポートおよびプロトコルタイプを入力し、[追加]をクリックします。

b. 実際に利用するサービスに合わせて、必要なポートの設定を実行します。

図33：内部エッジサーバーポートの構成

注：内部エッジサービスの必須ポートについては、表3を参照してください。

5. 1-4までの工程を、残りの全ての内部エッジサーバ (本構成ではA10LY13EGS2) について、繰り返し実行します。

図34：内部エッジサーバ一覧

(45)

B. サービスグループをAX/Thunder内に作成するため、[コンフィグ] > [SLB] > [サービス]

> [サービスグループ]に移動します。

1. [追加]をクリックし、新しいサービスグループを作成します。

a. [名前]：internalEdge-443 b. [クラス]：TCP

c. [アルゴリズム]：Least Connection

d. [ヘルスチェック]：HM

図35：内部エッジサービスグループの構成

注：サービスグループとは、AX/Thunderに構成される複数のサーバーロードバランシング(SLB) サービスグループのことです。サービスグループは、リアルサーバとサービスポートのセットで構成され、サーバの選択アルゴリズムを定義します。

注 : 上記設定では、ヘルスモニタとして明示的に[HM]を選択していますが、HMの設定内容は (default)と相違ありませんので、[HM]選択せず、(default)を選択することも可能です。

(46)

46

e. [サーバ]ドロップダウンリストから少なくとも1つ以上のサーバを選択してポー

トと共に追加します。

図36：内部エッジサービスグループのサーバ一覧

f. 上記a-eの工程を、表3に記載されている残りのTCPポート分(TCP/5061, TCP/5062, TCP/8057)全てに対して実行します。

UDP/3478は設定内容が異なるため、次に設定例を記します。

図37：内部エッジサービスグループ一覧

(47)

3. 下記は、UDP/3478をサービスグループで定義した内容です。

a. [名前]： InternalEdge-3478 b. [クラス] ： UDP

c. [アルゴリズム] ：LeastConenctions d. [ヘルスモニタ] ： HM

e. [サーバー] ： InternalEdge-1, InternalEde-2 f. [ポート] ： 3478

図38：UDP/3478のサービスグループ設定

(48)

48 C. 内部エッジのバーチャルサーバは、外部エッジ同様バーチャルサービスの設定の一環で定義

します。

[コンフィグ] > [SLB] > [サービス] > [バーチャルサービス]に移動します。

1. [追加]ボタンをクリックし、バーチャルサービスを追加します。

a. [バーチャルサービス]：Internal-443 b. [タイプ]：TCP

c. [ポート] : 443

d. [アドレス] : 172.19.0.101

e. [サービスグループ] : InternalEdge-443

図39：内部エッジバーチャルサービスの構成

(49)

f. [ソースNATプール]：Auto g. [TCPテンプレート] : TCP

h. [パーシステンステンプレート] ：ソースIPパーシステンス

i. [ソースIPパーシステンス] ： SIP

図40：内部エッジバーチャルサービス機能テンプレートの構成

4. 上記1-3の工程を、表3の残りのポート分(UDP/3478, TCP/5061, TCP/5062, TCP/8057) 全てに対して実行します。設定するVIPアドレス、サービスグループ、機能テンプレー

トはUDP/3478を除き全て共通となります。

(50)

50 D. 以下は、UDP/3478の設定内容となります。

1. 本構成では下記内容で設定を実施しています。

a. [バーチャルサービス]：Internal-3478-UDP b. [タイプ]：UDP

c. [ポート] : 3478

d. [アドレス] : _172.19.0.101_vserver

(既に同IPアドレスの設定があるためリストから選択する形となります) e. [サービスグループ] : InternalEdge-3478

f. [ソースIPパーシステンス] ： SIP

図41：UDP/3478のバーチャルサービスの構成

(51)

図42：UDP/3478バーチャルサービス機能テンプレートの構成

図43：内部エッジバーチャルサーバの構成

注：内部エッジサービスで定義する必須ポートのリストについては、表3を参照してください。

(52)

52

Office Web Appsプールのロードバランス

AX/ThunderでOffice Web Appsプールを構成する方法を記します。Office Web Appsサーバの

ロードバランス要件でSSLオフロードを推奨しているため、以下ではSSLオフロードの構成方法を記載します。負荷分散構成イメージについては、"図8：フロントエンドプール向け負荷分散構成図”にまとめて記載しています。

A. Office Web AppsサーバをAX/Thunder内に作成するため、[コンフィグ] > [SLB] > [サー ビス] > [サーバー]に移動します。

1. [追加]をクリックし、エッジサーバを追加します。

a. [名前]：WAC1

b. [IP アドレス/ホスト]：192.168.10.23

図44：Office Web Appsサーバの構成

(53)

3. [ポート]セクションにある[追加]を選択し、サーバ構成にポートを追加します。

a. ポート80を入力、プロトコルタイプでTCPを選択、SSLなしをチェックし、

[追加]をクリックします。

b. ポート 443を入力、プロトコルタイプでTCPを選択し、[追加]をクリックしま

す。

図45：Office Web Appsサーバーポートの構成

注：SSLオフロードを構成する場合には、TCP/443の設定は不要ですが、本構成ではTCP/443 とTCP/80のテストを各々実施したため、両方設定しています。

5. 1-4までの工程を、残り全てのOffice Web Appsサーバ分(本構成では A10LY13WAC2)について、繰り返し実行します。

(54)

54 B. サービスグループをAX/Thunder内に作成するため、[コンフィグ] > [SLB] > [サービス]

> [サービスグループ]に移動します。

1. [追加]をクリックし、[WAC-SG-80」という新しいサービスグループを作成します。

a. [名前]：WAC-SG-80 b. [クラス]：TCP

c. [アルゴリズム]：Least Connection

d. [ヘルスモニタ]：WAC-80 (構成については後述)

図46：Office Web Appsサービスグループの構成

注：サービスグループとは、AX/Thunder上に構成される複数のサーバーロードバランシング(SLB)サービスグループのことです。サービスグループは、リアルサーバとサービスポートのセットで構成され、サーバの選択アルゴリズムを定義します。

(55)

e. [サーバー]ドロップダウンリストから少なくとも1つ以上のサーバを選択してポートと共に追加します。図43では、サーバ名WAC1 およびWAC2をポート80で設定しています。

図47：Office Web Appsサービスグループのサーバ一覧

3. [OK]をクリックした後、[保存]をクリックして設定を保存します。

(56)

56

C. Office Web Appsのバーチャルサーバは、外部エッジ、内部エッジ同様バーチャルサー

ビスの設定の一環で定義します。

[コンフィグ] > [SLB] > [サービス] > [バーチャルサーバポート]に移動します。

1. [追加]ボタンをクリックします。

a. [バーチャルサービス]：OWA_VIP

b. [タイプ]：https c. [ポート]：443

d. [アドレス]：192.168.10.86

e. [サービスグループ]：WAC-SG-80

図48：Office Web Appsバーチャルサービスの構成

(57)

f. [ソースNATプール]：Auto

g. [クライアントSSLテンプレート] : wac-hlb-c-ssl (構成については後述)

h. [パーシステンステンプレート] ：クッキーパーシステンステンプレート

i. [ソースIPパーシステンス] ： persistence-wac (構成については後述)

図49：Office Web Appsバーチャルサービスの機能テンプレートの構成

(58)

58

D. Office Web Appsのヘルスモニタの構成方法を説明します。Office Web Appsサーバ

は、”/hosting/discovery” URLへの正しいリクエストが来た場合に”wopi-discovery”を返すことを利用し、ヘルスモニタを以下のように構成します。

[コンフィグ] > [SLB] > [ヘルスモニタ] > [ヘルスモニタ]に移動します。

1. [追加]ボタンをクリックします。

a. [名前]：WAC-80 b. [間隔]：30

c. [タイムアウト]：10

d. [クラス]：HTTP e. [ポート]： 80

f. [URL] ： GET /hosting/discovery g. [エクスペクト]：wopi-discovery

図50 : Office Web Appsヘルスモニタの構成

注 : 間隔、タイムアウトについてはユーザ環境におけるサービスレベル等に依存します

(59)

E. Office Web AppsのSSLオフロード設定時に利用したクライアントSSLテンプレートと証

明書の構成を説明します。

最初に、証明書のインポートを実施します。

1. [コンフィグ] > [SLB] > [SSL管理] > [証明書]に移動します。

2. [追加]ボタンをクリックします。

3. 以下の手順で、内部CA(認証局)で発行したOffice Web Apps向けSSL証明書をインポートします。

a. [名前]：wac-hlb.a10domain.a10.com b. [Import Certificate From]：ローカル c. [Certificate Format] : PFX

d. [パスワード] : 証明書と一緒にファイル化されている秘密鍵のパスワード

e. [証明書送信元] : Office Web AppsサーバSSL証明書のファイルを指定

図51 : Office Web Apps SSLサーバ証明書の構成

注：本構成では、内部CA(認証局)で発行したSSL証明書を利用していますが、公開CA(認証

局)で発行したSSL証明書を利用することも可能です。

(60)

60 証明書のインポート後、クライアントSSLテンプレートを作成します。

5. [コンフィグ] > [SLB] > [テンプレート] > [SSL] > [クライアントSSL]に移動します。

7. 以下の手順で、先ほどインポートしたSSL証明書でクライアントSSLテンプレートを作成します。

a. [名前]：wac-hlb-c-ssl

b. [証明書名]：wac-hlb.a10domain.a10.com c. [キー名] : wac-hlb.a10domain.a10.com

<< 秘密鍵が証明書ファイルと独立している場合には異なる名前となります。

図52 : Office Web Apps クライアントSSLテンプレートの構成

(61)

F. Office Web Appで利用するクッキーパーシステンステンプレートの構成について説明します。

1. [コンフィグ] > [SLB] > [テンプレート] > [クッキーパーシステンス]に移動します。

3. 以下の手順で、クッキーパーシステンステンプレートを設定します。

a. [名前]：persistence-wac

b. [マッチタイプ]：ポート (デフォルト設定)

図53 : Office Web Apps クッキーパーシステンステンプレートの構成

(62)

62 リバースプロキシ

AX/Thunderで、Lync Sever 2013、Office Web Appsサーバ向けにリバースプロキシを構成する

方法を、以下に記します。リバースプロキシは、両サーバ群が内部ネットワークのLyncクライアントに提供しているWebサービスを外部ネットワーク(インターネット)に公開するために利用されます。

AX/Thunderでリバースプロキシを構成する方法の詳細については、下記リンクのドキュメント

を参照願います。

http://www.a10networks.co.jp/support/files/Lync_RP_Deployment_Guide_v1.pdf

図54：リバースプロキシの負荷分散構成

フロントエンドLync プール AX/Thunder

AX/Thunder HTTPS/443

HTTPS/443 TCP/4443

OfficeWebAppsLyncフロントエンド

Office Web Apps ファーム

HTTP/80

TCP/4443

(63)

A. 最初にクライアントからのアクセス要求に対応するための公開用SSL証明書と、内部ネットワークのLync Server 2013とOffice Web Appsサーバとの間でSSLセッションを確立するための内部CA(認証局)のルート証明書を各々インポートします。

1. [コンフィグ] > [SLB] > [SSL管理] > [証明書]に移動します。

3. 以下の手順で、公開CA(認証局)で発行したLync Server 2013、Office Web Apps 公開Webサービス向けSSL証明書をインポートします。

a. [名前]：RP_external

b. [Import Certificate From]：ローカル c. [Certificate Format] : PFX

e. [証明書送信元] : Lync Server 2013、Office Web Appsサーバの公開Webサービス向けに公開CA(認証局)から発行されたSSL証明書のファイルを指定

図55：リバースプロキシ公開証明書のインポート

4. [OK]ボタンをクリックし、設定を完了します。

(64)

64 内部認証局のルート証明書をインポートします。

5. 再度[追加]ボタンをクリックします。

6. 以下の手順で、内部CA(認証局)のルート証明書をインポートします。

f. [名前]：a10domain_a10_local_rootCA g. [Import Certificate From]：ローカル

h. [Certificate Format] : DER (ルート証明書のファイル形式を選択)

i. [証明書送信元] : 社内認証局のルート証明書ファイルを指定

図56 : リバースプロキシ内部ルート証明書のインポート

7. [OK]ボタンをクリックし、設定を完了します。

(65)

B. 先ほどインポートした証明書を利用し、クライアントSSLテンプレートとサーバSSL テンプレートを作成します。Office Web Appsサーバのオフロード時には利用しなかったサーバSSLテンプレートは、2つのSSLセッションをブリッジするリバースプロキシの構成では必要となります。

1. [コンフィグ] > [SLB] > [テンプレート] > [SSL] > [クライアントSSL]に移動します。

a. [名前]：RP-Client-SSL b. [証明書名]：RP-External

c. [キー名] : RP-External << 秘密鍵が証明書ファイルと独立している場合には異なる名前となります。

図57：リバースプロキシクライアントSSLテンプレートの構成

(66)

66 4. [コンフィグ] > [SLB] > [テンプレート] > [SSL] > [サーバSSL]に移動します。

a. [名前]：RP-Server-SSL

b. [CA証明書] ：先ほどインポートした内部認証局のルート証明書を選択し、追加します。

図58：リバースプロキシサーバSSLテンプレートの構成

(67)

C. リバースプロキシで公開するサーバを定義します。

1. [コンフィグ] > [SLB] > [サービス] > [サーバー]に移動します。

2. [追加]をクリックし、Lyncフロントエンドプールで定義したVIPで

「Lync-Internal-VIP」という新しいサーバを作成します。

3. サーバ設定で、以下の情報を入力します。

a. [名前]：Lync-Internal-VIP

b. [IPアドレス/ホスト]：192.168.10.82

図59：リバースプロキシサーバの構成(Lyncフロントエンド)

目次 はじめに... 4 構築ガイドの概要... 5 本書の前提条件... 7 Lync Server 2013 のサーバ役割... 8 AX/Thunder の構成... 9 CLI へのログイン AX/Thunder グラフィカルユーザインターフェース (GUI) へのログイン...

構築ガイド

Microsoft Lync Server 2013 AX/Thunder 構築ガイド

目次はじめに... 4 構築ガイドの概要... 5 本書の前提条件... 7 Lync Server 2013 のサーバ役割... 8 AX/Thunder の構成... 9 CLI へのログイン AX/Thunder グラフィカルユーザインターフェース (GUI) へのログイン...