Skype for Business Server 2019 のシステム要件
概要: この記事の助けを借りて、Skype for Business Server 2019 をインストールする準備をします。 ハードウェア、OS、ソフトウェア、データベース、証明書、Active Directory、DNS、ファイル共有については、こちらを参照してください。 すべてのシステム要件と推奨事項は、サーバー ファームの正常なインストールとデプロイを確実に行うために役立ちます。
ご期待のとおり、Skype for Business Server 2019 の展開を開始する前に、いくつかの準備を行う必要があります。 この記事では、次の計画について説明します。
Skype for Business Server 2019 用ハードウェア
トポロジを確立したら (そうでない場合は、 Skype for Business Server 2019 のトポロジの基本 に関する記事を参照してください)、サーバーについて考えてみましょう。 Skype for Business Server 2019 サーバーには 64 ビット ハードウェアが必要です。 ハードウェアに関する推奨事項を次の表に示します。 これらは要件ではありませんが、最適なパフォーマンスに必要な要件を反映しています。 お客様の状況に応じて、これらの要件以上のものが必要かどうかを判断するのに役立つ容量計画ドキュメントがあります。
Standard Edition サーバーに推奨されるハードウェア
| ハードウェア コンポーネント | 推奨 |
|---|---|
| CPU | Intel Xeon E5-2673 v3 デュアル プロセッサ、6 コア、2.4 ギガヘルツ (GHz) 以上。 Intel Itanium プロセッサは、Skype for Business Server 2019 ロールではサポートされていません。 |
| メモリ | 32 ギガバイト (GB) |
| ディスク | 次のいずれか: • 72 GB 以上の空きディスク領域を備えた 10,000 RPM 以上のハード ディスク ドライブ (RAID 1 と RAID 10 を使用する 6 を使用する 2 台のディスク)。 または • ソリッド ステート ドライブ (SSD) は、8 台の 10,000 RPM の機械式ディスク ドライブと同じ空き領域と同様のパフォーマンスを提供できます。 |
| ネットワーク | 1 つのデュアル ポート ネットワーク アダプター、1 Gbps 以上 (2 つのネットワーク アダプターを使用できますが、1 つの MAC アドレスと 1 つの IP アドレスでチーム化する必要があります)。 デュアルまたはマルチホーム構成は、フロントエンド サーバー、バックエンド サーバー、および Standard Edition サーバーではサポート されていません 。 DRAC や ILO などの帯域外管理システムは、オペレーティング システムに公開されておらず、サーバー ハードウェアの監視と管理に使用されている限り、使用できます。 このシナリオはマルチホーム サーバーを構成せず、サポートされています。 |
フロントエンド サーバーとバックエンド サーバーに推奨されるハードウェア
| ハードウェア コンポーネント | 推奨 |
|---|---|
| CPU | Intel Xeon E5-2673 v3 デュアル プロセッサ、6 コア、2.4 ギガヘルツ (GHz) 以上。 Intel Itanium プロセッサは、Skype for Business Server 2019 ロールではサポートされていません。 |
| メモリ | 64 ギガバイト (GB)。 |
| ディスク | 次のいずれか: • 72 GB 以上の空きディスク領域を備えた 10,000 RPM 以上のハード ディスク ドライブ (RAID 1 と RAID 10 を使用する 6 を使用する 2 台のディスク)。 または • ソリッド ステート ドライブ (SSD) は、8 台の 10,000 RPM メカニカル ディスク ドライブと同じ空き領域と同様のパフォーマンスを提供できます。 |
| ネットワーク | 1 つのデュアル ポート ネットワーク アダプター、1 Gbps 以上 (2 つのネットワーク アダプターを使用できますが、1 つの MAC アドレスと 1 つの IP アドレスでチーム化する必要があります)。 デュアルまたはマルチホーム構成は、フロントエンド サーバー、バックエンド サーバー、および Standard Edition サーバーではサポート されていません 。 DRAC や ILO などの帯域外管理システムは、オペレーティング システムに公開されておらず、サーバー ハードウェアの監視と管理に使用されている限り、使用できます。 このシナリオはマルチホーム サーバーを構成せず、サポートされています。 |
エッジ サーバー、スタンドアロン仲介サーバー、およびディレクターに推奨されるハードウェア
| ハードウェア コンポーネント | 推奨 |
|---|---|
| CPU | Intel Xeon E5-2673 v3 デュアル プロセッサ、6 コア、2.4 ギガヘルツ (GHz) 以上。 Intel Itanium プロセッサは、Skype for Business Server 2019 ロールではサポートされていません。 |
| メモリ | 32 ギガバイト。 |
| ディスク | 次のいずれか: • 72 GB 以上の空きディスク領域を備えた 10,000 RPM 以上のハード ディスク ドライブ (ディスクは 2x RAID 1 構成にする必要があります)。 または • ソリッドステートドライブ(SSD)は、4台の10,000 RPMメカニカルディスクドライブと同じ空き領域と同様のパフォーマンスを提供できます。 |
| ネットワーク | 1 つのデュアル ポート ネットワーク アダプター、1 Gbps 以上 (2 つのネットワーク アダプターを使用できますが、1 つの MAC アドレスと 1 つの IP アドレスでチーム化する必要があります)。 デュアルホーム構成またはマルチホーム構成は、ビデオ相互運用サーバーとディレクターではサポート されていません 。 エッジ サーバーには、デュアルポート ネットワーク アダプターである 2 つのネットワーク インターフェイス (1 Gbps 以上) が必要です (または、2 つのペアのネットワーク アダプター (合計 4 つ、1 つの MAC アドレスと 1 つの IP アドレスでチーム化された各ペアの合計 2 つのペア) が必要です。 スタンドアロン仲介サーバーでは、特定の PSTN IP アドレスの構成を許可する追加のネットワーク インターフェイス カード (NIC) のインストールがサポートされています。 |
注意
サーバーの役割に関係なく、Skype for Business Server 2019 の次のハードウェア設定も推奨されます (設定は購入したハードウェアのブランドによって異なる場合があるため、詳細については製造元のドキュメントを参照してください)。
- BIOS 構成 - NUMA から FLAT に設定する必要があります。
- ハイパースレッディングを有効にします。
- RSS キューの設定は 8 キューに設定する必要があります。
Skype for Business Server 2019 のオペレーティング システム
ハードウェアを設定したら、Skype for Business Server 2019 をインストールして正常に使用できるようにするオペレーティング システム (OS) をインストールする必要があります。
- Windows Server 2022
- Windows Server 2019
- Windows Server 2016
ここに記載されているオペレーティング システム以外のオペレーティング システムは正しく動作しません。 Skype for Business Server 2019 のインストールに他の何も使用しないでください。 たとえば、Server Core オプションは表示されません。 そのため、サポートされていません。
注意
Windows Server 2022 は、累積的な更新プログラム 7 以降 (最小ビルド番号 2046.524) の Skype for Business Server 2019 でのみ適用されます。
OS のインプレース アップグレードはサポートされていません。 別の OS を実行している別のプールをデプロイしてから、ユーザーを新しいプールに移行する必要があります。 プール内のすべてのサーバーには、同じ OS バージョンが必要です。
Windows Server 2019 コンピューターに Windows Admin Center 2019 をインストールする場合は、リッスンするポートの入力を求めるメッセージが表示されます。 ポート 443 を選択する可能性があります。 ただし、そのコンピューターに Skype for Business Server 2019 がインストールされているか、Skype for Business Server 2019 がインストールされている場合は、別のポート番号を選択する必要があります。
なぜでしょうか。 Windows Admin Center 2019 がポート 443 で実行されている場合、Skype for Business コントロール パネルを使用してサーバーに接続することも、サーバー上で実行されている内部 Web サービス (アドレス帳 Web サービス、自動検出サービス、WebTicket Service など) に接続することもできません。 実際、内部 Web サービス URL に接続することはできません。 Skype for Business Server 2019 を持つサーバーに Windows Admin Center 2019 を配置する必要がある場合、または必要な場合は、別のポートを選択します。
Skype for Business Server 2019 展開の前にインストールする必要があるソフトウェア
注意
Windows Server 2022 の使用中に Skype for Business Server 2019 をインストールするための前提条件として、 Windows Server 2022 の互換性スクリプトを実行する必要があります。
Skype for Business Server 2019 を実行しているサーバーには、インストールまたは構成する必要がある事項がいくつかあります。 これらの項目を次の表に示し、その後に特定のサーバー ロールの追加要件を示します。
Important
Skype For Business 2019 では、.Net Framework 4.8 がサポートされています。 および .Net Framework 4.8.1
すべてのサーバー
| ソフトウェア/ロール | 詳細 |
|---|---|
| Windows PowerShell 3.0 | すべての Skype for Business Server サーバーには、Windows PowerShell 3.0 がインストールされている必要があります。 • PowerShell 3.0 は、既定で Windows Server 2016 にインストールする必要があります。 |
| Microsoft .NET Framework | WCF サービスは、サーバー マネージャーの下の Windows 機能としてインストールされる機能です。 最初は、ダウンロードは必要ありません。 • この機能をインストールする場合、または既にインストールされていて確認している場合は、次のように [ HTTP ライセンス認証 ] オプションも選択され、インストールされていることを確認する必要があります。 ![.NET Framework 4.5 機能の下に [HTTP アクティブ化] オプションが表示されたスクリーンショット](../sfbserver/media/a4064fa0-fa49-4474-bd98-b9a79ff68f8b.png)
HTTP ライセンス認証をインストールするために他の何らかのインストールが必要であることを示す別のポップアップ ウィンドウが表示される場合は、心配しないでください。 それは正常です。 [OK] を選択し、続行します。 このポップアップ ウィンドウが表示されない場合は、これらのものが既にインストールされていると仮定できます。 Microsoft .NET Framework は、Windows Server 2016 のインストール時にインストールされます。 ただし、Skype for Business Server には Microsoft .NET Framework 4.7、4.8、または 4.8.1 が必要であるため、おそらく更新する必要があります。 更新プログラムについては、こちらを参照してください。 |
| メディア ファンデーション | Windows Server 2016 の場合、Windows Media Format Runtime は Microsoft Media Foundation と共にインストールされます。 会議に使用されるすべてのフロント エンド サーバーと Standard Edition サーバーでは、コール パーク、アナウンス、応答グループ アプリケーションがアナウンスや音楽のために再生する Windows Media Audio (.wma) ファイルを実行するために Windows Media Format Runtime が必要です。 |
| Windows Identity Foundation | Skype for Business Server 2019 のサーバー間認証シナリオをサポートするには、Windows Identity Foundation 3.5 が必要です。 • Windows Server 2016 の場合、何もダウンロードする必要はありません。 サーバー マネージャーを開いて、[役割と機能の追加ウィザード] に進みます。 [機能] セクションの一覧に [Windows Identity Foundation 3.5] が表示されています。 選択されている場合は、すべて設定されます。 それ以外の場合は、それを選択し、[ 次へ ] を選択して [インストール ] ボタンに移動します。 |
| リモート サーバー管理ツール | 役割管理ツール: AD DS および AD LDS ツール |
フロントエンド サーバーと Standard Edition サーバー
| ソフトウェア/ロール | 詳細 |
|---|---|
| インターネット インフォメーション サービス (IIS) | IIS は、すべてのフロント エンド サーバーとすべての Standard Edition サーバーで必要であり、次のモジュールが選択されています。 • 一般的な HTTP 機能: 既定のドキュメント、HTTP エラー、静的コンテンツ • 正常性と診断: HTTP ログ、ログ ツール、トレース • パフォーマンス: 静的コンテンツ圧縮、動的コンテンツ圧縮 セキュリティ: 要求フィルター処理、クライアント証明書マッピング認証、Windows 認証 アプリケーション開発: .NET Extensibility 3.5、.NET Extensibility 4.5、ASP.NET 3.5、ASP.NET 4.5、ISAPI Extensions、ISAPI Filters • 管理ツール: IIS 管理コンソール、IIS 管理スクリプトおよびツール 匿名アクセスも必要ですが、IIS をインストールすると、一覧で選択する場所がありません。 |
| Windows Media フォーマット ランタイム | Windows Server 2016 の場合は、Server Manager に Media Foundation 機能をインストールする必要があります。 実際には、この機能なしで Skype for Business Server 2019 のインストールを開始できます。 ただし、インストールするように求められたら、Skype for Business Server 2019 のインストールを続行する前にサーバーを再起動します。 事前に実行することをお勧めします。 |
| Silverlight | Silverlight の最新バージョンは 、こちらでインストールできます。 |
| 中国リージョンのユーザー向け | サーバーを Skype for Business Server 2019 累積的な更新プログラム 7 修正プログラム 1 (2046.524) の最小ビルド番号に更新した後、PowerShell スクリプトを実行します。 |
役立つ、このプロセスを自動化するために実行できるサンプル PowerShell スクリプトを次に示します。
Add-WindowsFeature RSAT-ADDS, Web-Server, Web-Static-Content, Web-Default-Doc, Web-Http-Errors, Web-Asp-Net, Web-Net-Ext, Web-ISAPI-Ext, Web-ISAPI-Filter, Web-Http-Logging, Web-Log-Libraries, Web-Request-Monitor, Web-Http-Tracing, Web-Basic-Auth, Web-Windows-Auth, Web-Client-Auth, Web-Filtering, Web-Stat-Compression, Web-Dyn-Compression, NET-WCF-HTTP-Activation45, Web-Asp-Net45, Web-Mgmt-Tools, Web-Scripting-Tools, Web-Mgmt-Compat, Windows-Identity-Foundation, Server-Media-Foundation, Telnet-Client, BITS, ManagementOData, Web-Mgmt-Console, Web-Metabase, Web-Lgcy-Mgmt-Console, Web-Lgcy-Scripting, Web-WMI, Web-Scripting-Tools, Web-Mgmt-Service
取締役には、次のものが必要です。
次のモジュールを選択した IIS:
HTTP 共通機能
既定のドキュメント
HTTP エラー
静的コンテンツ
状態と診断
HTTP ログ
ログ ツール
トレース
パフォーマンス
- 静的コンテンツ圧縮
セキュリティ
要求のフィルタリング
クライアント証明書マッピング認証
Windows 認証
アプリケーション開発
.NET 拡張機能 3.5
.NET 拡張機能 4.5
ASP.NET 3.5
ASP.NET 4.5
ISAPI 拡張機能
ISAPI フィルター
(疑問に思う場合は、動的コンテンツ圧縮および管理ツールを含まない、フロントエンド サーバーと Standard Edition サーバーと同じモジュール セットです)。
また、このプロセス用の PowerShell コードもあります。
Add-WindowsFeature RSAT-ADDS, Web-Server, Web-Static-Content, Web-Default-Doc, Web-Http-Errors, Web-Asp-Net, Web-Net-Ext, Web-ISAPI-Ext, Web-ISAPI-Filter, Web-Http-Logging, Web-Log-Libraries, Web-Request-Monitor, Web-Http-Tracing, Web-Basic-Auth, Web-Windows-Auth, Web-Client-Auth, Web-Filtering, Web-Stat-Compression, NET-WCF-HTTP-Activation45, Web-Asp-Net45, Web-Scripting-Tools, Web-Mgmt-Compat, Server-Media-Foundation, Telnet-Client
Windows Server 2022 の互換性スクリプトのインストール
Skype for Business Server for Windows Server 2022 を設定するときは、Windows Server 2022 との互換性を確保するために、次のスクリプトを実行する必要があります。
$providerName = "AesProvider"
$keyContainerName = "iisCustomConfigurationKey"
$exe = Get-ChildItem -Path "$env:SystemRoot\Microsoft.NET\Framework64" -Filter "aspnet_regiis.exe" -Recurse -ErrorAction SilentlyContinue | Select-Object -First 1
if ($exe -eq $null) {
Write-Error "aspnet_regiis.exe not found. Exiting";
Exit
}
$existingProvider = Get-WebConfiguration -PSPath 'MACHINE/WEBROOT/APPHOST' -Filter "configProtectedData/providers/add[@name='$providerName']"
if ($null -ne $existingProvider) { # Provider already exists
Write-Host "Script has already run. $providerName already exists. Exiting"
Exit 0
}
& $exe.FullName -pc $keyContainerName -exp
& $exe.FullName -pa $keyContainerName "BUILTIN\IIS_IUSRS"
& $exe.FullName -pa $keyContainerName "NT SERVICE\WMSVC"
Add-WebConfigurationProperty -PSPath 'MACHINE/WEBROOT/APPHOST' -Filter "configProtectedData/providers" -Name "." -Value @{name="$providerName";type='System.Configuration.RsaProtectedConfigurationProvider,System.Configuration, Version=4.0.0.0, Culture=neutral, PublicKeyToken=b03f5f7f11d50a3a'}
$applicationHostConfigPath = "$env:SystemRoot\System32\inetsrv\config\applicationHost.config"
[xml] $applicationHostConfigFile = Get-Content $applicationHostConfigPath
foreach ($ele in $applicationHostConfigFile.configuration.configProtectedData.providers.add) {
if ($ele.name -eq $providerName) {
$ele.SetAttribute("keyContainerName", $keyContainerName)
$ele.SetAttribute("useMachineContainer", "true")
$ele.SetAttribute("useOAEP", "false")
$ele.SetAttribute("useFIPS", "true")
}
}
$applicationHostConfigFile.Save($applicationHostConfigPath)
Write-Host "Script ran successfully. Key container $keyContainerName created. Provider $providerName added."
Skype for Business Server 2019 で動作するバックエンド データベース
Skype for Business Server 2019 Standard Edition をインストールすると、SQL Server 2016 Express (64 ビット エディション) もインストールされます。
Skype for Business Server 2019 Enterprise Edition には、次に示すように、完全版の SQL Server が必要です (64 ビット エディションのみ。32 ビット エディションは使用しないでください)。
- Microsoft SQL Server 2019 (64 ビット エディション) - 最新の更新プログラムと共に実行する必要があります
- Microsoft SQL Server 2017 (64 ビット エディション) - 最新の更新プログラムと共に実行する必要があります
- Microsoft SQL Server 2016 (64 ビット エディション) - 最新の更新プログラムと共に実行する必要があります
使用する SQL Server エディションがここに表示されない場合は、使用できません。
注意
監視サーバー ロール用の SQL Server Reporting Services もインストールする必要があります。
SQL クラスタリングと SQL Always On
Skype for Business Server 2019 での SQL クラスタリングがサポートされています。 SQL クラスタリングを設定する場合は、SQL Server で行います。
サポートされている SQL クラスタリングのアクティブ/パッシブ構成があることを確認します。 パッシブ ノードを他の SQL インスタンスと共有しないでください。
フェールオーバー クラスタリングの場合は、次のことができます。
2 ノードの場合:
- Microsoft SQL Server 2019 Standard (64 ビット エディション)、最新のサービス パックで実行することをお勧めします。
- Microsoft SQL Server 2017 Standard (64 ビット エディション)、最新のサービス パックで実行することをお勧めします。
- Microsoft SQL Server 2016 Standard (64 ビット エディション)、最新のサービス パックで実行することをお勧めします。
16 ノードの場合:
- Microsoft SQL Server 2019 Enterprise (64 ビット エディション)、最新のサービス パックで実行することをお勧めします。
- Microsoft SQL Server 2017 Enterprise (64 ビット エディション)、最新のサービス パックで実行することをお勧めします。
- Microsoft SQL Server 2016 Enterprise (64 ビット エディション)、最新のサービス パックで実行することをお勧めします。
SQL Always On はサポートされており、詳細については、 Skype for Business Server 2019 のバックエンド サーバーの高可用性に関するページを参照してください。
サーバーのインストールに関するその他の推奨事項
Microsoft Internet Security and Acceleration (ISA) Server クライアント ソフトウェア、または他の Winsock Layered Service Providers (LSP) ソフトウェア (サード パーティ製ファイアウォールまたはウイルス対策ネットワーク検査ソフトウェアがここに含まれる) は、どのフロントエンド サーバーまたはスタンドアロン仲介サーバーにもインストールしないでください。 そのソフトウェアがインストールされている場合、メディア トラフィックのパフォーマンスが低下しています。
Active Directory
サーバーとサービスの構成データの多くは、Skype for Business Server 2019 Central Management ストアに格納されますが、Active Directory には引き続き格納されるものもあります。
| Active Directory オブジェクト | オブジェクトの種類 |
|---|---|
| スキーマ拡張 | ユーザー オブジェクトの拡張 |
| 以前のサポートされているバージョンとの下位互換性を維持するために、Skype for Business Server 2015 および Lync Server 2013 の拡張機能 | |
| データ | ユーザーの SIP URI と他のユーザー設定 |
| アプリケーションの連絡先オブジェクト (応答グループ アプリケーションや会議アテンダント アプリケーションなど) | |
| 下位互換性のために公開されたデータ | |
| 中央管理ストアのサービス制御ポイント (SCP) | |
| Kerberos 認証アカウント (オプションのコンピューター オブジェクト) |
ドメイン コントローラー用の OS
次のドメイン コントローラー オペレーティング システムを使用できます。
- Windows Server 2022
- Windows Server 2019
- Windows Server 2016
- Windows Server 2012 R2
- Windows Server 2012
Skype for Business Server 2019 を展開するドメインのドメイン機能レベルと、Skype for Business Server 2019 を展開するフォレストのフォレストの機能レベルは、次のいずれかである必要があります。
- Windows Server 2016
- Windows Server 2012 R2
- Windows Server 2012
これらの環境で読み取り専用ドメイン コントローラーを使用できますか? はい。書き込み可能なドメイン コントローラーも使用できる限り、可能です。
Skype for Business Server 2019 では、単一ラベルのドメインがサポートされていないことを知っておくべきことが重要です。 これらは何ですか? "contoso.local" というラベルが付いたルート ドメインがある場合、これは機能します。 "local" という名前のルート ドメインがある場合、これは機能せず、サポートされていません。 詳細については、「 単一ラベルの DNS 名を使用して構成された Active Directory ドメインの展開と操作」を参照してください。
Skype for Business Server 2019 では、ドメインの名前変更もサポートされていません。 ドメインの名前を変更する必要がある場合は、Skype for Business Server 2019 をアンインストールし、ドメイン名を変更してから、Skype for Business Server 2019 を再インストールする必要があります。
最後に、ロックダウンされた AD DS 環境を持ち、それが許容されるドメインを処理している可能性があります。 Skype for Business Server 2019 をロックダウンされた AD DS 環境に展開する方法の詳細については、展開に関するドキュメントを参照してください。
Active Directory トポロジ
Skype for Business Server 2019 でサポートされているトポロジは次のとおりです。
単一のドメインを含む単一のフォレスト
単一のツリーと複数のドメインを含む単一のフォレスト
複数のツリーと不整合の名前空間を含む単一のフォレスト
中央フォレスト トポロジの複数のフォレスト
リソース フォレスト トポロジの複数のフォレスト
Exchange Online を使用する Skype for Business リソース フォレスト トポロジの複数フォレスト
Skype for Business Online と Microsoft Entra Connect を使用したリソース フォレスト トポロジ内の複数のフォレスト
環境内のトポロジや、Skype for Business Server 2019 をインストールする前に設定する必要がある可能性のあるものを判断するのに役立つ図と説明があります。 簡単にするために、次のキーも含まれています。
単一のドメインを含む単一のフォレスト
これ以上簡単にはいきません。 これは 1 つのドメイン フォレストであり、一般的なトポロジです。
単一のツリーと複数のドメインを含む単一のフォレスト
この図は、1 つのフォレストをもう一度示していますが、1 つ以上の子ドメインもあります (この特定の例では 3 つあります)。 ユーザーが作成するドメインは、Skype for Business Server 2019 が展開されているドメインとは異なる場合があります。 なぜこの状況を心配するのですか? Skype for Business Server フロントエンド プールを展開するときは、そのプール内のすべてのサーバーを 1 つのドメインに配置する必要があります。 Windows ユニバーサル管理者グループの Skype for Business Server サポートを使用して、クロスドメイン管理を行うことができます。
前の図では、1 つのドメインのユーザーが子ドメイン内にある場合でも、同じドメインまたは異なるドメインの Skype for Business Server プールにアクセスできることを確認できます。
複数のツリーと不整合の名前空間を含む単一のフォレスト
この図のようなトポロジがある場合、フォレストは 1 つですが、そのフォレスト内には複数のドメインがあり、個別の AD 名前空間があります。 この場合、この図は、Skype for Business Server 2019 にアクセスする 3 つの異なるドメインのユーザーが含まれているため、適切な図です。 実線は、自分のドメイン内の Skype for Business Server プールにアクセスしていることを示し、破線は別のツリー内のプールに完全にアクセスすることを示します。
ご覧のように、同じドメイン、同じツリー、または別のツリーのユーザーは、プールに正常にアクセスできます。
中央フォレスト トポロジの複数のフォレスト
Skype for Business Server 2019 では、中央フォレスト トポロジで構成された複数のフォレストがサポートされています。 これが自分の持っている内容がわからない場合、トポロジの中央フォレストでは、その中のオブジェクトを使用して他のフォレスト内のユーザーを表し、フォレスト内のすべてのユーザーのユーザー アカウントをホストします。
どのように入手すればよいですか? ディレクトリ同期製品 (Forefront Identity Manager、FIM など) は、その存在全体を通じて組織のユーザー アカウントを管理します。 アカウントがフォレストから作成または削除されると、その変更は中央フォレスト内の対応する連絡先まで同期されます。
明らかに、AD インフラストラクチャが整っている場合、このトポロジへの移行は簡単ではないかもしれませんが、既に存在している場合、またはフォレスト インフラストラクチャを計画している場合は、これが適切な選択になる可能性があります。 Skype for Business Server 2019 の展開を 1 つのフォレスト内に一元化し、ユーザーは任意のフォレスト内の他のユーザーの検索、通信、および表示を行うことができます。 すべてのユーザーの連絡先の更新は、同期ソフトウェアで自動的に処理されます。
Skype for Business リソース フォレスト トポロジの複数のフォレスト
リソース フォレスト トポロジもサポートされています。フォレストは、Microsoft Exchange Server や Skype for Business Server 2019 などのサーバー アプリケーションの実行専用です。 このリソース フォレストでは、アクティブなユーザー オブジェクトの同期された表現もホストされますが、ログオンが有効なユーザー アカウントはホストされません。 そのため、リソース フォレストは、ユーザー オブジェクトが存在する他のフォレストの共有サービス環境であり、リソース フォレストとのフォレスト レベルの信頼関係を持ちます。
Exchange Server は、Skype for Business Server と同じリソース フォレストまたは別のフォレストに展開できます。
この種類のトポロジで Skype for Business Server 2019 を展開するには、ユーザー フォレスト内のユーザー アカウントごとに、リソース フォレストに無効なユーザー オブジェクトを 1 つ作成します (Microsoft Exchange Server が既に環境内にある場合は、このアクションが実行される可能性があります)。 その後、ライフサイクルを通じてユーザー アカウントを管理するためのディレクトリ同期ツール (Forefront Identity Manager、FIM など) が必要です。
Exchange Online を使用する Skype for Business リソース フォレスト トポロジの複数フォレスト
このトポロジは「Skype for Business リソース フォレスト トポロジの複数フォレスト」で説明されるトポロジと同様のものです。
このトポロジには 1 つ以上のユーザー フォレストがあり、Skype for Business Server は専用リソース フォレストに展開されます。 Exchange Server は、同じリソース フォレストまたは別のフォレストにオンプレミスで展開し、Exchange Online とのハイブリッド用に構成できます。また、電子メール サービスは、Exchange Online によってオンプレミス アカウント専用に提供される場合があります。 このトポロジで使用できる図はありません。
Skype for Business Online と Microsoft Entra Connect を使用したリソース フォレスト トポロジ内の複数のフォレスト
このシナリオでは、リソース フォレスト トポロジを使用して、オンプレミスに複数のフォレストがあります。 Active Directory フォレスト間には完全な信頼関係があります。 Microsoft Entra Connect ツールは、オンプレミスのユーザー フォレストと Microsoft 365 または Office 365 の間でアカウントを同期するために使用されます。
組織には Microsoft 365 または Office 365 もあり、 Microsoft Entra Connect を使用してオンプレミス アカウントを Microsoft 365 または Office 365 と同期します。 Skype for Business で有効になっているユーザーは、Microsoft 365 または Office 365 と Skype for Business Online を使用して有効になります。 Skype for Business Server はオンプレミスに展開されていません。
シングル サインオン認証は、ユーザー フォレストにある Active Directory フェデレーション サービス ファームによって提供されます。
このシナリオでは、Exchange オンプレミス、Exchange Online、ハイブリッド Exchange ソリューションを展開するか、Exchange をまったく展開しないようにすることがサポートされています。 (この図は Exchange オンプレミスのみを示していますが、他の Exchange ソリューションも完全にサポートされています)。
ハイブリッド Skype for Business を使用するリソース フォレスト トポロジの複数フォレスト
このシナリオでは、1 つ以上のオンプレミス ユーザー フォレストがあり、Skype for Business は専用のリソース フォレストに展開され、Skype for Business Online でハイブリッド モード用に構成されています。 Exchange Server は、同じリソース フォレストまたは別のフォレストにオンプレミスで展開でき、Exchange Online とのハイブリッド用に構成できます。 または、メール サービスは、オンプレミス アカウントに対して Exchange Online によって排他的に提供される場合があります。
詳細については、「 ハイブリッド Skype for Business のマルチフォレスト環境を構成する」を参照してください。
ドメイン ネーム システム (DNS)
Skype for Business Server 2019 では、次の理由から DNS が必要です。
DNS を使用すると、Skype for Business Server 2019 は内部サーバーまたはプールを検出し、サーバー間通信を可能にします。
DNS を使用すると、クライアント コンピューターは SIP トランザクションに使用されるフロントエンド プールまたは Standard Edition サーバーを検出できます。
会議用の簡易 URL と、これらの会議をホストするサーバーが関連付けられます。
DNS を使用すると、外部ユーザーとクライアント コンピューターは、インスタント メッセージング (IM) または会議のためにエッジ サーバーまたは HTTP リバース プロキシに接続できます。
これにより、ログインしていない統合通信 (UC) デバイスは、デバイス更新 Web サービスを実行しているフロント エンド プールまたは Standard Edition サーバーを検出して、更新プログラムを取得し、ログを送信できます。
DNS を使用すると、モバイル クライアントでは、デバイス設定で URL を手動入力しなくても Web サービス リソースを自動的に検出できます。
DNS 負荷分散で使用されます。
Skype for Business Server 2019 では、国際化ドメイン名 (IDN) はサポートされていません。
また、DNS 内の任意の名前は、Skype for Business Server 2019 で使用されている任意のサーバーで構成されているコンピューター名と同じであることを覚えておくことを非常に重要です。 具体的には、環境内に短い名前を付けることはできません。トポロジ ビルダーには FQDN が必要です。
これは、ドメインに既に参加しているコンピューターにとって論理的なようです。 ただし、ドメインに参加していないエッジ サーバーがある場合、既定では、ドメイン サフィックスのない短い名前になる可能性があります。 DNS またはエッジ サーバー、または Skype for Business Server 2019 サーバーまたはプールでは、このようなことがないようにしてください。
ドメイン名に Unicode 文字またはアンダースコアを使用しないでください。 標準文字 (A-Z、a-z、0-9、ハイフン) は、外部 DNS とパブリック証明機関でサポートされています (証明書の SN に FQDN を割り当てる必要があります。覚えておかなければなりません)。 そのため、最初からこのルールを念頭に置くと、多くの問題が発生します。
ネットワークの DNS 要件の詳細については、計画に関するドキュメントの 「ネットワーク 」セクションを参照してください。
証明書
展開する前に実行できる最も重要なことの 1 つは、証明書が順番に用意されていることを確認する方法です。 Skype for Business Server 2019 には、トランスポート層セキュリティ (TLS) と相互トランスポート層セキュリティ (MTLS) 接続用の公開キー インフラストラクチャ (PKI) が必要です。 基本的に、標準化された方法で安全に通信するために、Skype for Business Server では証明機関 (CA) によって発行された証明書が使用されます。
Skype for Business Server 2019 で証明書が使用される内容の一部を次に示します。
クライアントとサーバー間の TLS 接続
サーバー間の MTLS 接続
パートナーの自動 DNS 検出を使用したフェデレーション
インスタント メッセージング (IM) 用のリモート ユーザー アクセス
音声/ビデオ (AV) セッション、アプリケーション共有、および会議への外部ユーザー アクセス
Web アプリケーションと Outlook Web Access (OWA) との通信
そのため、証明書の計画は必須です。 次に、証明書を要求するときに留意する必要があるいくつかの点の一覧を見てみましょう。
すべてのサーバー証明書がサーバーの承認 (サーバー EKU) をサポートしている必要がある。
すべてのサーバー証明書に CRL 配布ポイント (CDP) を含める必要がある。
すべての証明書が、オペレーティング システムでサポートされている署名アルゴリズムによって署名されている必要がある。 Skype for Business Server 2019 では、SHA-1 および SHA-2 スイートのダイジェスト サイズ (224 ビット、256 ビット、384 ビット、512 ビット) がサポートされ、オペレーティング システムの要件を満たすか超えています。
自動登録は、Skype for Business Server 2019 を実行している内部サーバーでサポートされています。
Skype for Business Server 2019 Edge Server では、自動登録はサポートされていません。
注意
RSASSA-PSS 署名アルゴリズムの使用はサポートされていないため、ログインと通話転送の問題などのエラーが発生する可能性があります。
暗証キーの長さとして 1024、2048、4096 がサポートされます。 2048 以上のキーの長さはお勧めしません。
既定のダイジェストまたはハッシュ アルゴリズムは RSA です。 ECDH_P256、ECDH_P384、ECDH_P521 のハッシュ アルゴリズムもサポートされます。
これは多くのことを考慮する必要があり、CA から証明書を要求するためのさまざまな快適なレベルがあります。 計画を可能な限り痛みを伴わないよう、以下のセクションでさらにガイダンスを提供します。
内部サーバー用の証明書
ほとんどの内部サーバーには証明書が必要です。ほとんどの場合、内部 CA (ドメイン内にある CA) から証明書を取得します。 必要に応じて、外部 CA (インターネット上にある証明書) からこれらの証明書を要求できます。 どのパブリック CA にアクセスする必要があるのか疑問に思っている場合は、 ユニファイド コミュニケーション証明書パートナー の一覧を確認できます。
また、Skype for Business Server 2019 が Microsoft Exchange Server などの他のアプリケーションやサーバーと通信する場合にも証明書が必要になります。 これは明らかに、これらの他のアプリやサーバーがサポートされている方法で使用できる証明書である必要があります。 Skype for Business Server 2019 およびその他の Microsoft 製品では、サーバー間の認証と承認のための Open Authorization (OAuth) プロトコルがサポートされています。 ご興味をお持ちの場合は、OAuth と Skype for Business Server 2019 の追加計画に関する記事をご覧ください。
Skype for Business Server 2019 には、SHA-256 暗号化ハッシュ関数を使用して署名された証明書 (不要) のサポートも含まれています。 SHA-256 を使用する外部アクセスをサポートするには、SHA-256 を使用するパブリック CA が外部証明書を発行する必要があります。
わかりやすくするために、Standard Edition サーバー、フロントエンド プール、およびその他のロールの証明書要件を次の表に示し、架空の contoso.com を例として使用しました (環境に別のものを使用している可能性があります)。 これらはすべて標準の Web サーバー証明書であり、秘密キーはエクスポートできません。 注意すべきその他の点:
サーバーの拡張キー使用法 (EKU) は、証明書ウィザードを使って証明書を要求するときに自動的に構成されます。
各証明書のフレンドリ名は、コンピューター ストアで一意である必要があります。
次のサンプル名に従って、sipinternal.contoso.com または DNS で sipexternal.contoso.com を構成している場合は、証明書のサブジェクト代替名 (SAN) に追加する必要があります。
Standard Edition サーバーの証明書
| 証明書 | サブジェクト名/共通名 | サブジェクトの別名 | 例 | コメント |
|---|---|---|---|---|
| Default | プールの FQDN | プールの FQDN およびサーバーの FQDN SIP ドメインが複数あり、自動クライアント構成が有効な場合は、証明書ウィザードによって、サポートされている各 SIP ドメインの FQDN が検出され、追加されます。 このプールがクライアントの自動ログオン サーバーであり、グループ ポリシーで厳密なドメイン ネーム システム (DNS) の一致が必要な場合は、sip.sipdomain (持っている SIP ドメインごとに) エントリも必要です。 |
SN=se01.contoso.com; SAN=se01.contoso.com このプールがクライアントの自動ログオン サーバーであり、グループ ポリシーで厳密な DNS マッチングが必要な場合は、SAN=sip.contoso.com、SAN=sip.fabrikam.com も必要です。 |
Standard Edition サーバーでは、サーバー FQDN はプール FQDN と同じです。 このウィザードでは、セットアップ時に指定した SIP ドメインが検出され、サブジェクトの別名に自動的に追加されます。 また、この証明書はサーバー間認証でも使用できます。 |
| 内部 Web | サーバーの FQDN | 次のうちのすべて: 内部 Web FQDN (サーバーの FQDN と同じ) および • 単純な URL を満たす • ダイヤルインの単純な URL • 管理者の単純な URL または • 単純な URL のワイルドカード エントリ |
SN=se01.contoso.com; SAN=se01.contoso.com; SAN=meet.contoso.com; SAN=meet.fabrikam.com; SAN=dialin.contoso.com; SAN=admin.contoso.com ワイルドカード証明書使用時: SN=se01.contoso.com; SAN=se01.contoso.com; SAN=*.contoso.com |
トポロジ ビルダーで内部 Web FQDN をオーバーライドすることはできません。 複数の Meet シンプル URL がある場合は、それらすべてを SAN として含める必要があります。 簡易 URL エントリではワイルドカード エントリがサポートされます。 |
| 外部 Web | サーバーの FQDN | 次のうちのすべて: • 外部 Web FQDN および • ダイヤルインの単純な URL • SIP ドメインごとに単純な URL を満たす または • 単純な URL のワイルドカード エントリ |
SN=se01.contoso.com; SAN=webcon01.contoso.com; SAN=meet.contoso.com; SAN=meet.fabrikam.com; SAN=dialin.contoso.com ワイルドカード証明書使用時: SN=se01.contoso.com; SAN=webcon01.contoso.com; SAN=*.contoso.com |
複数の Meet シンプル URL がある場合は、それらのすべてをサブジェクトの別名として含める必要があります。 簡易 URL エントリではワイルドカード エントリがサポートされます。 |
フロントエンド プール内のフロントエンド サーバーの証明書
| 証明書 | サブジェクト名/共通名 | サブジェクトの別名 | 例 | コメント |
|---|---|---|---|---|
| Default | プールの FQDN | プールの FQDN およびサーバーの FQDN SIP ドメインが複数あり、自動クライアント構成が有効な場合は、証明書ウィザードによって、サポートされている各 SIP ドメインの FQDN が検出され、追加されます。 このプールがクライアントの自動ログオン サーバーであり、グループ ポリシーで厳密なドメイン ネーム システム (DNS) の一致が必要な場合は、sip.sipdomain (持っている SIP ドメインごとに) エントリも必要です。 |
SN=eepool.contoso.com; SAN=eepool.contoso.com; SAN=ee01.contoso.com このプールがクライアントの自動ログオン サーバーであり、グループ ポリシーで厳密な DNS マッチングが必要な場合は、SAN=sip.contoso.com、SAN=sip.fabrikam.com も必要です。 |
このウィザードでは、セットアップ時に指定した SIP ドメインが検出され、サブジェクトの別名に自動的に追加されます。 また、この証明書はサーバー間認証でも使用できます。 |
| 内部 Web | プールの FQDN | 次のうちのすべて: • 内部 Web FQDN (サーバーの FQDN と同じではありません) • サーバー FQDN • Skype for Business プール FQDN および • 単純な URL を満たす • ダイヤルインの単純な URL • 管理者の単純な URL または • 単純な URL のワイルドカード エントリ |
SN=ee01.contoso.com; SAN=ee01.contoso.com; SAN=meet.contoso.com; SAN=meet.fabrikam.com; SAN=dialin.contoso.com; SAN=admin.contoso.com ワイルドカード証明書使用時: SN=ee01.contoso.com; SAN=ee01.contoso.com; SAN=*.contoso.com |
複数の Meet シンプル URL がある場合は、それらのすべてをサブジェクトの別名として含める必要があります。 簡易 URL エントリではワイルドカード エントリがサポートされます。 |
| 外部 Web | プールの FQDN | 次のうちのすべて: • 外部 Web FQDN および • ダイヤルインの単純な URL • 管理者の単純な URL または • 単純な URL のワイルドカード エントリ |
SN=ee01.contoso.com; SAN=webcon01.contoso.com; SAN=meet.contoso.com; SAN=meet.fabrikam.com; SAN=dialin.contoso.com ワイルドカード証明書使用時: SN=ee01.contoso.com; SAN=webcon01.contoso.com; SAN=*.contoso.com |
複数の Meet シンプル URL がある場合は、それらのすべてをサブジェクトの別名として含める必要があります。 簡易 URL エントリではワイルドカード エントリがサポートされます。 |
ディレクターの証明書
| 証明書 | サブジェクト名/共通名 | サブジェクトの別名 | 例 |
|---|---|---|---|
| Default | ディレクター プール | ディレクターの FQDN、ディレクター プールの FQDN。 このプールがクライアントの自動ログオン サーバーであり、グループ ポリシーで厳密な DNS 照合が必要な場合は、sip.sipdomain (持っている SIP ドメインごとに) のエントリも必要になります。 |
pool.contoso.com; SAN=dir01.contoso.com このディレクター プールがクライアントの自動ログオン サーバーであり、グループ ポリシーで厳密な DNS 照合が必要な場合は、SAN=sip.contoso.comも必要です。SAN=sip.fabrikam.com |
| 内部 Web | サーバーの FQDN | 次のうちのすべて: 内部 Web FQDN (サーバーの FQDN と同じ) • サーバー FQDN • Skype for Business プール FQDN および • 単純な URL を満たす • ダイヤルインの単純な URL • 管理者の単純な URL または • 単純な URL のワイルドカード エントリ |
SN=dir01.contoso.com; SAN=dir01.contoso.com; SAN=meet.contoso.com; SAN=meet.fabrikam.com; SAN=dialin.contoso.com; SAN=admin.contoso.com ワイルドカード証明書使用時: SN=dir01.contoso.com; SAN=dir01.contoso.com SAN=*.contoso.com |
| 外部 Web | サーバーの FQDN | 次のうちのすべて: • 外部 Web FQDN および • SIP ドメインごとに単純な URL を満たす • ダイヤルインの単純な URL または • 単純な URL のワイルドカード エントリ |
Director 外部 Web FQDN は、フロント エンド プールまたはフロント エンド サーバーとは異なる必要があります。 SN=dir01.contoso.com; SAN=directorwebcon01.contoso.com SAN=meet.contoso.com; SAN=meet.fabrikam.com; SAN=dialin.contoso.com ワイルドカード証明書使用時: SN=dir01.contoso.com; SAN=directorwebcon01.contoso.com SAN=*.contoso.com |
スタンドアロン 仲介サーバーの証明書
| 証明書 | サブジェクト名/共通名 | サブジェクトの別名 | 例 |
|---|---|---|---|
| Default | プールの FQDN | プールの FQDN プール メンバー サーバーの FQDN |
SN=medsvr-pool.contoso.net; SAN=medsvr-pool.contoso.net; SAN=medsvr01.contoso.net |
存続可能ブランチ アプライアンスの証明書 (具体的には、存続可能ブランチ アプライアンス 2015 for Skype for Business Server 2019)
| 証明書 | サブジェクト名/共通名 | サブジェクトの別名 | 例 |
|---|---|---|---|
| Default | アプライアンスの FQDN | Sip。<sipdomain> (SIP ドメインごとに 1 つのエントリのみが必要) | SN=sba01.contoso.net; SAN=sip.contoso.com; SAN=sip.fabrikam.com |
外部ユーザー アクセス (エッジ) 用の証明書
Skype for Business Server 2019 では、アクセスと Web 会議のエッジ外部インターフェイスに対する 1 つのパブリック証明書 の使用と、すべてエッジ サーバー経由で提供される A/V 認証サービスがサポートされています。 Edge 内部インターフェイスでは、内部 CA によって発行されたプライベート証明書が使用されますが、必要に応じて、信頼できる CA からのパブリック証明書も使用できます。
リバース プロキシ (RP) もパブリック証明書を使用し、HTTP (より正確には TLS over HTTP) を使用して RP からクライアント、RP から内部サーバーへの通信を暗号化します。
モビリティ用の証明書
モビリティを展開していて、モバイル クライアントの自動検出をサポートしている場合は、モバイル クライアントからのセキュリティで保護された接続をサポートするために、証明書にいくつかの追加のサブジェクト代替名エントリを含める必要があります。
次の証明書で自動検出を行うには SAN 名が必要です。
ディレクター プール
フロントエンド プール
リバース プロキシ
詳細は、次の表に一覧表示されます。
これは、少し事前計画が良い場所です。 ただし、場合によっては、モビリティを展開せずに Skype for Business Server 2019 を展開したことがあり、その後、環境内に証明書がある場合に表示されます。 通常、内部 CA を介した証明書の再発行は非常に簡単です。 ただし、パブリック CA からのパブリック証明書の場合は、もう少し価格が高くなります。
これが見ている状況で、多数の SIP ドメインがある場合 (SANS の追加コストが高くなる)、HTTPS (既定の構成) を使用するのではなく、最初の自動検出サービス要求に HTTP を使用するようにリバース プロキシを構成できます。 詳細については、「 モビリティの計画」を参照してください。
ディレクター プールとフロント エンド プールの証明書の要件
| 説明 | SAN エントリ |
|---|---|
| 内部自動検出サービス URL | SAN=lyncdiscoverinternal。<sipdomain> |
| 外部自動検出サービス URL | SAN=lyncdiscover。<sipdomain> |
または、SAN=* を使用することもできます。<sipdomain>
リバース プロキシ (パブリック CA) 証明書の要件
| 説明 | SAN エントリ |
|---|---|
| 外部自動検出サービス URL | SAN=lyncdiscover。<sipdomain> |
この SAN は、リバース プロキシの SSL リスナーに割り当てられている証明書に割り当てる必要があります。
注意
リバース プロキシ リスナーには、外部 Web サービス URL の SAN が含まれます。 ディレクター (省略可能) をデプロイした場合は、いくつかの例がSAN=skypewebextpool01.contoso.comされ、dirwebexternal.contoso.com されます。
ファイル共有
Skype for Business Server 2019 では、すべてのファイル ストレージに同じファイル共有を使用できます。 次の点に留意する必要があります。
ファイル共有は、直接接続ストレージ (DAS) または記憶域ネットワーク (SAN) 上にある必要があります。 この要件には、分散ファイル システム (DFS) と、ファイル ストア用の独立ディスク (RAID) の冗長アレイも含まれます。 Windows Server 2012 の DFS の詳細については、「 DFS 名前空間と DFS レプリケーションの概要」を参照してください。
ファイル共有には共有クラスターを使用することをお勧めします。 既に使用している場合は、Windows Server 2012 以降のバージョンをクラスター化する必要があります。
注意
最新の Windows の理由 以前のバージョンでは、すべての機能を有効にするための適切なアクセス許可がない場合があります。 クラスター管理者を使用して、ファイル共有を作成できます。 詳細については、「 クラスターでファイル共有を作成する方法」を参照してください。
注意
ファイル共有としてネットワーク接続ストレージ (NAS) を使用することはサポートされていないことを知っている必要があります。 したがって、ここに記載されているオプションのいずれかを使用します。 このサポート制限は、デバイスの共有ファイル システムにアクセスする Windows Server ベースのコンピューターにファイル システムの適応性を提供する必要がある NAS デバイスの可変設計によって発生します。