Skype for Business Server 2019 のシステム要件
概要:この記事の助けを借りて、Skype for Business Server 2019 をインストールする準備をします。 ハードウェア、OS、ソフトウェア、データベース、証明書、Active Directory、DNS、ファイル共有については、こちらを参照してください。 すべてのシステム要件と推奨事項は、サーバー ファームの正常なインストールとデプロイを確実に行うために役立ちます。
ご期待のとおり、2019 年Skype for Business Serverデプロイを開始する前に、いくつかの準備を行う必要があります。 この記事では、次の計画について説明します。
Skype for Business Server 2019 用ハードウェア
トポロジを確立した後 (そうでない場合は、Skype for Business Server 2019 のトポロジの基本) トピックをチェックして、サーバーについて考えてみましょう。 Skype for Business Server 2019 サーバーには 64 ビット ハードウェアが必要です。 ハードウェアに関する推奨事項を次の表に示します。 これらは要件ではありませんが、最適なパフォーマンスに必要な要件を反映しています。 お客様の状況に応じて、これらの要件以上のものが必要かどうかを判断するのに役立つ容量計画ドキュメントがあります。
Standard Edition サーバーに推奨されるハードウェア
| ハードウェア コンポーネント | 推奨 |
|---|---|
| CPU | Intel Xeon E5-2673 v3 デュアル プロセッサ、6 コア、2.4 ギガヘルツ (GHz) 以上。 Intel Itanium プロセッサは、Skype for Business Server 2019 ロールではサポートされていません。 |
| メモリ | 32 ギガバイト (GB) |
| ディスク | 次のいずれか: • 少なくとも 72 GB の空きディスク領域を備えた 10,000 RPM ハード ディスク ドライブ (RAID 1 と RAID 10 を使用する 6 を使用するディスクの 2 つ)。 または • ソリッド ステート ドライブ (SSD) は、8 台の 10,000 RPM の機械式ディスク ドライブと同じ空き領域と同様のパフォーマンスを提供できます。 |
| ネットワーク | 1 つのデュアル ポート ネットワーク アダプター、1 Gbps 以上 (2 つのネットワーク アダプターを使用できますが、1 つの MAC アドレスと 1 つの IP アドレスでチーム化する必要があります)。 デュアルまたはマルチホーム構成は、フロントエンド サーバー、バックエンド サーバー、および Standard Edition サーバーではサポート されていません 。 DRAC や ILO などの帯域外管理システムは、オペレーティング システムに公開されておらず、サーバー ハードウェアの監視と管理に使用されている限り、使用できます。 このシナリオはマルチホーム サーバーを構成せず、サポートされています。 |
フロントエンド サーバーとバックエンド サーバーに推奨されるハードウェア
| ハードウェア コンポーネント | 推奨 |
|---|---|
| CPU | Intel Xeon E5-2673 v3 デュアル プロセッサ、6 コア、2.4 ギガヘルツ (GHz) 以上。 Intel Itanium プロセッサは、Skype for Business Server 2019 ロールではサポートされていません。 |
| メモリ | 64 ギガバイト (GB)。 |
| ディスク | 次のいずれか: • 少なくとも 72 GB の空きディスク領域を備えた 10,000 RPM ハード ディスク ドライブ (RAID 1 と RAID 10 を使用する 6 を使用するディスクの 2 つ)。 または • ソリッド ステート ドライブ (SSD) は、8 台の 10,000 RPM の機械式ディスク ドライブと同じ空き領域と同様のパフォーマンスを提供できます。 |
| ネットワーク | 1 つのデュアル ポート ネットワーク アダプター、1 Gbps 以上 (2 つのネットワーク アダプターを使用できますが、1 つの MAC アドレスと 1 つの IP アドレスでチーム化する必要があります)。 デュアルまたはマルチホーム構成は、フロントエンド サーバー、バックエンド サーバー、および Standard Edition サーバーではサポート されていません 。 DRAC や ILO などの帯域外管理システムは、オペレーティング システムに公開されておらず、サーバー ハードウェアの監視と管理に使用されている限り、使用できます。 このシナリオはマルチホーム サーバーを構成せず、サポートされています。 |
エッジ サーバー、スタンドアロン仲介サーバー、およびディレクターに推奨されるハードウェア
| ハードウェア コンポーネント | 推奨 |
|---|---|
| CPU | Intel Xeon E5-2673 v3 デュアル プロセッサ、6 コア、2.4 ギガヘルツ (GHz) 以上。 Intel Itanium プロセッサは、Skype for Business Server 2019 ロールではサポートされていません。 |
| メモリ | 32 ギガバイト。 |
| ディスク | 次のいずれか: • 少なくとも 72 GB の空きディスク領域を備えた 10,000 RPM ハード ディスク ドライブ 4 台以上 (ディスクは 2x RAID 1 構成にする必要があります)。 または • ソリッドステートドライブ(SSD)は、4台の10,000 RPMメカニカルディスクドライブと同じ空き領域と同様のパフォーマンスを提供できます。 |
| ネットワーク | 1 つのデュアル ポート ネットワーク アダプター、1 Gbps 以上 (2 つのネットワーク アダプターを使用できますが、1 つの MAC アドレスと 1 つの IP アドレスでチーム化する必要があります)。 デュアルホーム構成またはマルチホーム構成は、ビデオ相互運用サーバーとディレクターではサポート されていません 。 エッジ サーバーには、デュアルポート ネットワーク アダプターである 2 つのネットワーク インターフェイス (1 Gbps 以上) が必要です (または、2 つのペアのネットワーク アダプター (合計 4 つ、1 つの MAC アドレスと 1 つの IP アドレスでチーム化された各ペアの合計 2 つのペア) が必要です。 スタンドアロン仲介サーバーでは、特定の PSTN IP アドレスの構成を許可する追加のネットワーク インターフェイス カード (NIC) のインストールがサポートされています。 |
注意
サーバーの役割に関係なく、Skype for Business Server 2019 の次のハードウェア設定も推奨されます (設定は購入したハードウェアのブランドによって異なる場合があるため、詳細については製造元のドキュメントを参照してください)。
- BIOS 構成 - NUMA から FLAT に設定する必要があります。
- ハイパースレッディングを有効にします。
- RSS キューの設定は 8 キューに設定する必要があります。
Skype for Business Server 2019 のオペレーティング システム
ハードウェア セットが完了したら、オペレーティング システム (OS) をインストールして、Skype for Business Server 2019 を正常に使用できるようにする必要があります。
- Windows Server 2022
- Windows Server 2019
- Windows Server 2016
ここに記載されているオペレーティング システム以外のオペレーティング システムは正しく動作しません。 Skype for Business Server 2019 のインストールに他の何も使用しないでください。 たとえば、Server Core オプションは表示されません。 そのため、サポートされていません。
注意
Windows Server 2022 は、累積的な更新プログラム 7 以降のバージョン (最小ビルド番号 2046.524) に対して、Skype for Business Server 2019 でのみ適用されます。
OS のインプレース アップグレードはサポートされていません。 別の OS を実行している別のプールをデプロイしてから、ユーザーを新しいプールに移行する必要があります。 プール内のすべてのサーバーには、同じ OS バージョンが必要です。
Windows Server 2019 コンピューターに Windows Admin Center 2019 をインストールする場合は、リッスンするポートの入力を求めるメッセージが表示されます。 ポート 443 を選択する可能性があります。 ただし、そのコンピューターに 2019 Skype for Business Serverがインストールされているか、2019 Skype for Business Serverインストールされている場合は、別のポート番号を選択する必要があります。
なぜでしょうか。 Windows Admin Center 2019 がポート 443 で実行されている場合、Skype for Business コントロール パネルを使用してサーバーに接続することも、サーバー上で実行されている内部 Web サービス (アドレス帳 Web サービス、自動検出サービス、WebTicket Service など) に接続することもできません。 実際、内部 Web サービス URL に接続することはできません。 2019 Windows Admin Centerを 2019 Skype for Business Serverサーバーに配置する必要がある場合、または必要な場合は、別のポートを選択します。
Skype for Business Server 2019 展開の前にインストールする必要があるソフトウェア
注意
Windows Server 2022 の使用中に、Skype for Business Server 2019 をインストールするための前提条件として、Windows Server 2022 の互換性スクリプトを実行する必要があります。
2019 年Skype for Business Server実行されているサーバーに対してインストールまたは構成する必要がある事項がいくつかあります。 これらの項目を次の表に示し、その後に特定のサーバー ロールの追加要件を示します。
重要
Skype For Business 2019 では、.Net Framework 4.8 がサポートされています。 および .Net Framework 4.8.1
すべてのサーバー
| ソフトウェア/ロール | 詳細 |
|---|---|
| Windows PowerShell 3.0 | すべてのSkype for Business Server サーバーには、Windows PowerShell 3.0 がインストールされている必要があります。 • PowerShell 3.0 は、既定で Windows Server 2016 でインストールする必要があります。 |
| Microsoft .NET Framework | WCF サービスは、サーバー マネージャーの下の Windows 機能としてインストールされる機能です。 最初は、ダウンロードは必要ありません。 • この機能をインストールする場合、または既にインストールされていて確認している場合は、次のように [ HTTP ライセンス認証 ] オプションも選択され、インストールされていることを確認する必要があります。 ![.NET Framework 4.5 機能の下に [HTTP アクティブ化] オプションが表示されたスクリーンショット](../sfbserver/media/a4064fa0-fa49-4474-bd98-b9a79ff68f8b.png) HTTP ライセンス認証をインストールするために他の何らかのインストールが必要であることを示す別のポップアップ ウィンドウが表示される場合は、心配しないでください。 それは正常です。 [OK] を選択し、続行します。 このポップアップ ウィンドウが表示されない場合は、これらのものが既にインストールされていると仮定できます。 microsoft .NET Frameworkは、Windows Server 2016がインストールされるときにインストールされます。 ただし、Skype for Business Serverには Microsoft .NET Framework 4.7、4.8、または 4.8.1 が必要であるため、おそらく更新する必要があります。 更新プログラムについては、こちらを参照してください。 |
| メディア ファンデーション | Windows Server 2016の場合、Windows Media Format Runtime は Microsoft Media Foundation と共にインストールされます。 会議に使用されるすべてのフロント エンド サーバーと Standard Edition サーバーでは、コール パーク、アナウンス、応答グループ アプリケーションがアナウンスや音楽のために再生する Windows Media Audio (.wma) ファイルを実行するために Windows Media Format Runtime が必要です。 |
| Windows Identity Foundation | Skype for Business Server 2019 のサーバー間認証シナリオをサポートするには、Windows Identity Foundation 3.5 が必要です。 •Windows Server 2016のために、何かをダウンロードする必要はありません。 サーバー マネージャーを開いて、[役割と機能の追加ウィザード] に進みます。 [機能] セクションの一覧に [Windows Identity Foundation 3.5] が表示されています。 選択されている場合は、すべて設定されます。 それ以外の場合は、それを選択し、[ 次へ ] を選択して [インストール ] ボタンに移動します。 |
| リモート サーバー管理ツール | 役割管理ツール: AD DS および AD LDS ツール |
フロントエンド サーバーと Standard Edition サーバー
| ソフトウェア/ロール | 詳細 |
|---|---|
| インターネット インフォメーション サービス (IIS) | IIS は、すべてのフロント エンド サーバーとすべての Standard Edition サーバーで必要であり、次のモジュールが選択されています。 • 一般的な HTTP 機能: 既定のドキュメント、HTTP エラー、静的コンテンツ • 正常性と診断: HTTP ログ、ログ ツール、トレース • パフォーマンス: 静的コンテンツ圧縮、動的コンテンツ圧縮 セキュリティ: 要求フィルター処理、クライアント証明書マッピング認証、Windows 認証 アプリケーション開発: .NET Extensibility 3.5、.NET Extensibility 4.5、ASP.NET 3.5、ASP.NET 4.5、ISAPI Extensions、ISAPI Filters • 管理ツール: IIS 管理コンソール、IIS 管理スクリプトおよびツール 匿名アクセスも必要ですが、IIS をインストールすると、一覧で選択する場所がありません。 |
| Windows Media フォーマット ランタイム | Windows Server 2016の場合は、サーバー マネージャーに Media Foundation 機能をインストールする必要があります。 実際には、この機能なしでSkype for Business Server 2019 のインストールを開始できます。 ただし、Skype for Business Server 2019 のインストールを続行する前に、サーバーをインストールしてから再起動するように求められます。 事前に実行することをお勧めします。 |
| Silverlight | Silverlight の最新バージョンは 、こちらでインストールできます。 |
| 中国リージョンのユーザー向け | 2019 累積的な更新プログラム 7 修正プログラム 1 (2046.524) Skype for Business Server最小ビルド番号にサーバーを更新した後、PowerShell スクリプトを実行します。 |
役立つ、このプロセスを自動化するために実行できるサンプル PowerShell スクリプトを次に示します。
Add-WindowsFeature RSAT-ADDS, Web-Server, Web-Static-Content, Web-Default-Doc, Web-Http-Errors, Web-Asp-Net, Web-Net-Ext, Web-ISAPI-Ext, Web-ISAPI-Filter, Web-Http-Logging, Web-Log-Libraries, Web-Request-Monitor, Web-Http-Tracing, Web-Basic-Auth, Web-Windows-Auth, Web-Client-Auth, Web-Filtering, Web-Stat-Compression, Web-Dyn-Compression, NET-WCF-HTTP-Activation45, Web-Asp-Net45, Web-Mgmt-Tools, Web-Scripting-Tools, Web-Mgmt-Compat, Windows-Identity-Foundation, Server-Media-Foundation, Telnet-Client, BITS, ManagementOData, Web-Mgmt-Console, Web-Metabase, Web-Lgcy-Mgmt-Console, Web-Lgcy-Scripting, Web-WMI, Web-Scripting-Tools, Web-Mgmt-Service
取締役には、次のものが必要です。
次のモジュールを選択した IIS:
HTTP 共通機能
既定のドキュメント
HTTP エラー
静的コンテンツ
状態と診断
HTTP ログ
ログ ツール
トレース
パフォーマンス
- 静的コンテンツ圧縮
セキュリティ
要求のフィルタリング
クライアント証明書マッピング認証
Windows 認証
アプリケーション開発
.NET 拡張機能 3.5
.NET 拡張機能 4.5
ASP.NET 3.5
ASP.NET 4.5
ISAPI 拡張機能
ISAPI フィルター
(疑問に思う場合は、動的コンテンツ圧縮および管理ツールを含まない、フロントエンド サーバーと Standard Edition サーバーと同じモジュール セットです)。
また、このプロセス用の PowerShell コードもあります。
Add-WindowsFeature RSAT-ADDS, Web-Server, Web-Static-Content, Web-Default-Doc, Web-Http-Errors, Web-Asp-Net, Web-Net-Ext, Web-ISAPI-Ext, Web-ISAPI-Filter, Web-Http-Logging, Web-Log-Libraries, Web-Request-Monitor, Web-Http-Tracing, Web-Basic-Auth, Web-Windows-Auth, Web-Client-Auth, Web-Filtering, Web-Stat-Compression, NET-WCF-HTTP-Activation45, Web-Asp-Net45, Web-Scripting-Tools, Web-Mgmt-Compat, Server-Media-Foundation, Telnet-Client
Windows Server 2022 の互換性スクリプトのインストール
Windows Server 2022 のSkype for Business Serverを設定するときは、次のスクリプトを実行して、Windows Server 2022 との互換性を確保する必要があります。
$providerName = "AesProvider"
$keyContainerName = "iisCustomConfigurationKey"
$exe = Get-ChildItem -Path "$env:SystemRoot\Microsoft.NET\Framework64" -Filter "aspnet_regiis.exe" -Recurse -ErrorAction SilentlyContinue | Select-Object -First 1
if ($exe -eq $null) {
Write-Error "aspnet_regiis.exe not found. Exiting";
Exit
}
$existingProvider = Get-WebConfiguration -PSPath 'MACHINE/WEBROOT/APPHOST' -Filter "configProtectedData/providers/add[@name='$providerName']"
if ($null -ne $existingProvider) { # Provider already exists
Write-Host "Script has already run. $providerName already exists. Exiting"
Exit 0
}
& $exe.FullName -pc $keyContainerName -exp
& $exe.FullName -pa $keyContainerName "BUILTIN\IIS_IUSRS"
& $exe.FullName -pa $keyContainerName "NT SERVICE\WMSVC"
Add-WebConfigurationProperty -PSPath 'MACHINE/WEBROOT/APPHOST' -Filter "configProtectedData/providers" -Name "." -Value @{name="$providerName";type='System.Configuration.RsaProtectedConfigurationProvider,System.Configuration, Version=4.0.0.0, Culture=neutral, PublicKeyToken=b03f5f7f11d50a3a'}
$applicationHostConfigPath = "$env:SystemRoot\System32\inetsrv\config\applicationHost.config"
[xml] $applicationHostConfigFile = Get-Content $applicationHostConfigPath
foreach ($ele in $applicationHostConfigFile.configuration.configProtectedData.providers.add) {
if ($ele.name -eq $providerName) {
$ele.SetAttribute("keyContainerName", $keyContainerName)
$ele.SetAttribute("useMachineContainer", "true")
$ele.SetAttribute("useOAEP", "false")
$ele.SetAttribute("useFIPS", "true")
}
}
$applicationHostConfigFile.Save($applicationHostConfigPath)
Write-Host "Script ran successfully. Key container $keyContainerName created. Provider $providerName added."
Skype for Business Server 2019 で動作するバックエンド データベース
Skype for Business Server 2019 Standard Edition をインストールすると、SQL Server 2016 Express (64 ビット エディション) もインストールされます。
Skype for Business Server 2019 Enterprise Editionには、ここに示すように、完全版のSQL Serverが必要です (64 ビット エディションのみ。32 ビット エディションは使用しないでください)。
- Microsoft SQL Server 2019 (64 ビット エディション) - 最新の更新プログラムと共に実行する必要があります
- Microsoft SQL Server 2017 (64 ビット エディション) - 最新の更新プログラムと共に実行する必要があります
- Microsoft SQL Server 2016 (64 ビット エディション) - 最新の更新プログラムと共に実行する必要があります
ここで使用するSQL Serverエディションが表示されない場合は、使用できません。
注意
監視サーバーロールのSQL Server Reporting Servicesもインストールする必要があります。
SQL クラスタリングと SQL Always On
Skype for Business Server 2019 を使用した SQL クラスタリングがサポートされています。 SQL クラスタリングを設定する場合は、SQL Serverで行います。
サポートされている SQL クラスタリングのアクティブ/パッシブ構成があることを確認します。 パッシブ ノードを他の SQL インスタンスと共有しないでください。
フェールオーバー クラスタリングの場合は、次のことができます。
2 ノードの場合:
- Microsoft SQL Server 2019 Standard (64 ビット エディション)、最新のサービス パックで実行することをお勧めします。
- Microsoft SQL Server 2017 Standard (64 ビット エディション)、最新のサービス パックで実行することをお勧めします。
- Microsoft SQL Server 2016 Standard (64 ビット エディション)、最新のサービス パックで実行することをお勧めします。
16 ノードの場合:
- Microsoft SQL Server 2019 Enterprise (64 ビット エディション)、最新のサービス パックで実行することをお勧めします。
- Microsoft SQL Server 2017 Enterprise (64 ビット エディション)、最新のサービス パックで実行することをお勧めします。
- Microsoft SQL Server 2016 Enterprise (64 ビット エディション)、最新のサービス パックで実行することをお勧めします。
SQL Always Onはサポートされており、詳細については、Skype for Business Server 2019 のバックエンド サーバーの高可用性に関するページを参照してください。
サーバーのインストールに関するその他の推奨事項
Microsoft Internet Security and Acceleration (ISA) Server クライアント ソフトウェア、または他の Winsock Layered Service Providers (LSP) ソフトウェア (サード パーティ製ファイアウォールまたはウイルス対策ネットワーク検査ソフトウェアがここに含まれる) は、どのフロントエンド サーバーまたはスタンドアロン仲介サーバーにもインストールしないでください。 そのソフトウェアがインストールされている場合、メディア トラフィックのパフォーマンスが低下しています。
Active Directory
サーバーとサービスの構成データの多くは、Skype for Business Server 2019 中央管理ストアに格納されますが、Active Directory には引き続き格納されるものもあります。
| Active Directory オブジェクト | オブジェクトの種類 |
|---|---|
| スキーマ拡張 | ユーザー オブジェクトの拡張 |
| Skype for Business Server 2015 および Lync Server 2013 の拡張機能。以前のサポートされているバージョンとの下位互換性を維持する | |
| データ | ユーザーの SIP URI と他のユーザー設定 |
| アプリケーションの連絡先オブジェクト (応答グループ アプリケーションや会議アテンダント アプリケーションなど) | |
| 下位互換性のために公開されたデータ | |
| 中央管理ストアのサービス制御ポイント (SCP) | |
| Kerberos 認証アカウント (オプションのコンピューター オブジェクト) |
ドメイン コントローラー用の OS
次のドメイン コントローラー オペレーティング システムを使用できます。
- Windows Server 2022
- Windows Server 2019
- Windows Server 2016
- Windows Server 2012 R2
- Windows Server 2012
Skype for Business Server 2019 を展開するすべてのドメインのドメイン機能レベルと、2019 年Skype for Business Server展開するすべてのフォレストのフォレスト機能レベルは、次のいずれかである必要があります。
- Windows Server 2016
- Windows Server 2012 R2
- Windows Server 2012
これらの環境で読み取り専用ドメイン コントローラーを使用できますか? はい。書き込み可能なドメイン コントローラーも使用できる限り、可能です。
Skype for Business Server 2019 では単一ラベルドメインがサポートされていないことを知っておくべきことが重要です。 これらは何ですか? "contoso.local" というラベルが付いたルート ドメインがある場合、これは機能します。 "local" という名前のルート ドメインがある場合、これは機能せず、サポートされていません。 詳細については、「 単一ラベルの DNS 名を使用して構成された Active Directory ドメインの展開と操作」を参照してください。
Skype for Business Server 2019 では、ドメインの名前変更もサポートされていません。 ドメインの名前を変更する必要がある場合は、2019 Skype for Business Serverアンインストールし、ドメイン名を変更してから、2019 Skype for Business Server再インストールする必要があります。
最後に、ロックダウンされた AD DS 環境を持ち、それが許容されるドメインを処理している可能性があります。 Skype for Business Server 2019 をロックダウンされた AD DS 環境に展開する方法の詳細については、展開に関するドキュメントを参照してください。
Active Directory トポロジ
Skype for Business Server 2019 でサポートされるトポロジは次のとおりです。
単一のドメインを含む単一のフォレスト
単一のツリーと複数のドメインを含む単一のフォレスト
複数のツリーと不整合の名前空間を含む単一のフォレスト
中央フォレスト トポロジの複数のフォレスト
リソース フォレスト トポロジの複数のフォレスト
Exchange Online を使用する Skype for Business リソース フォレスト トポロジの複数フォレスト
Skype for Business Online と Microsoft Entra Connect を使用したリソース フォレスト トポロジ内の複数のフォレスト
環境で使用しているトポロジや、2019 年のインストール前に設定する必要があるトポロジを特定するのに役立つ図と説明Skype for Business Server用意されています。 簡単にするために、次のキーも含まれています。
単一のドメインを含む単一のフォレスト
これ以上簡単にはいきません。 これは 1 つのドメイン フォレストであり、一般的なトポロジです。
単一のツリーと複数のドメインを含む単一のフォレスト
この図は、1 つのフォレストをもう一度示していますが、1 つ以上の子ドメインもあります (この特定の例では 3 つあります)。 ユーザーが作成するドメインは、2019 年Skype for Business Server展開されているドメインとは異なる場合があります。 なぜこの状況を心配するのですか? Skype for Business Server フロントエンド プールをデプロイする場合、そのプール内のすべてのサーバーが 1 つのドメインに存在する必要があります。 Windows ユニバーサル管理者グループをSkype for Business Serverサポートすることで、クロスドメイン管理を行うことができます。
前の図では、1 つのドメインのユーザーが子ドメイン内にある場合でも、同じドメインまたは異なるドメインのSkype for Business Server プールにアクセスできることを確認できます。
複数のツリーと不整合の名前空間を含む単一のフォレスト
この図のようなトポロジがある場合、フォレストは 1 つですが、そのフォレスト内には複数のドメインがあり、個別の AD 名前空間があります。 この場合、この図は、2019 年にアクセスする 3 つの異なるドメインのユーザー Skype for Business Server含まれているため、適切な図です。 実線は、自分のドメイン内のSkype for Business Server プールにアクセスしていることを示し、破線は別のツリー内のプールに完全に移動することを示します。
ご覧のように、同じドメイン、同じツリー、または別のツリーのユーザーは、プールに正常にアクセスできます。
中央フォレスト トポロジの複数のフォレスト
Skype for Business Server 2019 では、中央フォレスト トポロジで構成された複数のフォレストがサポートされます。 これが自分の持っている内容がわからない場合、トポロジの中央フォレストでは、その中のオブジェクトを使用して他のフォレスト内のユーザーを表し、フォレスト内のすべてのユーザーのユーザー アカウントをホストします。
どのように入手すればよいですか? ディレクトリ同期製品 (Forefront Identity Manager、FIM など) は、organizationのユーザー アカウントを存在全体にわたって管理します。 アカウントがフォレストから作成または削除されると、その変更は中央フォレスト内の対応する連絡先まで同期されます。
明らかに、AD インフラストラクチャが整っている場合、このトポロジへの移行は簡単ではないかもしれませんが、既に存在している場合、またはフォレスト インフラストラクチャを計画している場合は、これが適切な選択になる可能性があります。 Skype for Business Server 2019 のデプロイを 1 つのフォレスト内に一元化し、ユーザーは任意のフォレスト内の他のユーザーの検索、通信、表示を行うことができます。 すべてのユーザーの連絡先の更新は、同期ソフトウェアで自動的に処理されます。
Skype for Business リソース フォレスト トポロジの複数のフォレスト
リソース フォレスト トポロジもサポートされています。フォレストは、Microsoft Exchange ServerやSkype for Business Server 2019 など、サーバー アプリケーションの実行専用です。 このリソース フォレストでは、アクティブなユーザー オブジェクトの同期された表現もホストされますが、ログオンが有効なユーザー アカウントはホストされません。 そのため、リソース フォレストは、ユーザー オブジェクトが存在する他のフォレストの共有サービス環境であり、リソース フォレストとのフォレスト レベルの信頼関係を持ちます。
Exchange Serverは、Skype for Business Serverと同じリソース フォレストまたは別のフォレストにデプロイできます。
この種類のトポロジSkype for Business Server 2019 をデプロイするには、ユーザー フォレスト内のユーザー アカウントごとに、リソース フォレストに無効なユーザー オブジェクトを 1 つ作成します (Microsoft Exchange Serverが既に環境内にある場合は、このアクションが実行される可能性があります)。 その後、ライフサイクルを通じてユーザー アカウントを管理するには、ディレクトリ同期ツール (Forefront Identity Manager、FIM など) が必要です。
Exchange Online を使用する Skype for Business リソース フォレスト トポロジの複数フォレスト
このトポロジは「Skype for Business リソース フォレスト トポロジの複数フォレスト」で説明されるトポロジと同様のものです。
このトポロジでは、1 つ以上のユーザー フォレストがあり、Skype for Business Serverは専用リソース フォレストにデプロイされます。 Exchange Serverは、同じリソース フォレストまたは別のフォレストにオンプレミスにデプロイし、Exchange Onlineとのハイブリッド用に構成できます。また、電子メール サービスは、オンプレミス アカウントのExchange Onlineによって排他的に提供される場合があります。 このトポロジで使用できる図はありません。
Skype for Business Online と Microsoft Entra Connect を使用したリソース フォレスト トポロジ内の複数のフォレスト
このシナリオでは、リソース フォレスト トポロジを使用して、オンプレミスに複数のフォレストがあります。 Active Directory フォレスト間には完全な信頼関係があります。 Microsoft Entra Connect ツールは、オンプレミスのユーザー フォレストと Microsoft 365 または Office 365の間でアカウントを同期するために使用されます。
organizationには Microsoft 365 または Office 365もあり、Microsoft Entra Connect を使用してオンプレミス アカウントを Microsoft 365 またはOffice 365と同期します。 Skype for Businessに対して有効になっているユーザーは、Microsoft 365 または Office 365 を介して有効になり、オンラインSkype for Business。 Skype for Business Serverはオンプレミスにデプロイされていません。
シングル サインオン認証は、ユーザー フォレストにあるActive Directory フェデレーション サービス (AD FS) ファームによって提供されます。
このシナリオでは、Exchange オンプレミス、Exchange Online、ハイブリッド Exchange ソリューションの展開、または Exchange の展開をまったく行わない場合にサポートされます。 (この図は Exchange オンプレミスのみを示していますが、他の Exchange ソリューションも完全にサポートされています)。
ハイブリッド Skype for Business を使用するリソース フォレスト トポロジの複数フォレスト
このシナリオでは、1 つ以上のオンプレミス ユーザー フォレストがあり、Skype for Businessは専用リソース フォレストにデプロイされ、Skype for Business Online を使用してハイブリッド モード用に構成されます。 Exchange Serverは、同じリソース フォレストまたは別のフォレストにオンプレミスでデプロイでき、Exchange Onlineを使用したハイブリッド用に構成できます。 または、電子メール サービスは、オンプレミス アカウントのExchange Onlineによってのみ提供される場合があります。
詳細については、「ハイブリッド Skype for Businessのマルチフォレスト環境を構成する」を参照してください。
ドメイン ネーム システム (DNS)
Skype for Business Server 2019 では、次の理由で DNS が必要です。
DNS を使用すると、Skype for Business Server 2019 で内部サーバーまたはプールを検出でき、サーバー間通信が可能になります。
DNS を使用すると、クライアント コンピューターは SIP トランザクションに使用されるフロントエンド プールまたは Standard Edition サーバーを検出できます。
会議用の簡易 URL と、これらの会議をホストするサーバーが関連付けられます。
DNS を使用すると、外部ユーザーとクライアント コンピューターは、インスタント メッセージング (IM) または会議のためにエッジ サーバーまたは HTTP リバース プロキシに接続できます。
これにより、ログインしていない統合通信 (UC) デバイスは、デバイス更新 Web サービスを実行しているフロント エンド プールまたは Standard Edition サーバーを検出して、更新プログラムを取得し、ログを送信できます。
DNS を使用すると、モバイル クライアントでは、デバイス設定で URL を手動入力しなくても Web サービス リソースを自動的に検出できます。
DNS 負荷分散で使用されます。
Skype for Business Server 2019 では国際化ドメイン名 (IDN) がサポートされていない点に注意してください。
また、DNS 内の任意の名前は、Skype for Business Server 2019 で使用されるすべてのサーバーで構成されているコンピューター名と同じであることを覚えておくことを非常に重要です。 具体的には、環境内に短い名前を付けることはできません。トポロジ ビルダーには FQDN が必要です。
これは、ドメインに既に参加しているコンピューターにとって論理的なようです。 ただし、ドメインに参加していないエッジ サーバーがある場合、既定では、ドメイン サフィックスのない短い名前になる可能性があります。 DNS またはエッジ サーバー、または Skype for Business Server 2019 サーバーまたはプールでは、このようなことがないことを確認します。
ドメイン名に Unicode 文字またはアンダースコアを使用しないでください。 標準文字 (A-Z、a-z、0-9、ハイフン) は、外部 DNS とパブリック証明機関でサポートされています (証明書の SN に FQDN を割り当てる必要があります。覚えておかなければなりません)。 そのため、最初からこのルールを念頭に置くと、多くの問題が発生します。
ネットワークの DNS 要件の詳細については、計画に関するドキュメントの「ネットワーク」セクションをチェックしてください。
証明書
展開する前に実行できる最も重要なことの 1 つは、証明書が順番に用意されていることを確認する方法です。 Skype for Business Server 2019 では、トランスポート層セキュリティ (TLS) と相互トランスポート層セキュリティ (MTLS) 接続用の公開キー インフラストラクチャ (PKI) が必要です。 基本的に、標準化された方法で安全に通信するために、Skype for Business Serverは証明機関 (CA) によって発行された証明書を使用します。
Skype for Business Server 2019 で証明書が使用される内容の一部を次に示します。
クライアントとサーバー間の TLS 接続
サーバー間の MTLS 接続
パートナーの自動 DNS 検出を使用したフェデレーション
インスタント メッセージング (IM) 用のリモート ユーザー アクセス
音声/ビデオ (AV) セッション、アプリケーション共有、および会議への外部ユーザー アクセス
Web アプリケーションと Outlook Web Access (OWA) との通信
そのため、証明書の計画は必須です。 次に、証明書を要求するときに留意する必要があるいくつかの点の一覧を見てみましょう。
すべてのサーバー証明書がサーバーの承認 (サーバー EKU) をサポートしている必要がある。
すべてのサーバー証明書に CRL 配布ポイント (CDP) を含める必要がある。
すべての証明書が、オペレーティング システムでサポートされている署名アルゴリズムによって署名されている必要がある。 Skype for Business Server 2019 では、SHA-1 と SHA-2 のダイジェスト サイズスイート (224 ビット、256 ビット、384 ビット、512 ビット) がサポートされ、オペレーティング システムの要件を満たすか超えています。
自動登録は、Skype for Business Server 2019 を実行している内部サーバーでサポートされています。
Skype for Business Server 2019 エッジ サーバーでは、自動登録はサポートされていません。
注意
RSASSA-PSS 署名アルゴリズムの使用はサポートされていないため、ログインと通話転送の問題などのエラーが発生する可能性があります。
暗証キーの長さとして 1024、2048、4096 がサポートされます。 2048 以上のキーの長さはお勧めしません。
既定のダイジェストまたはハッシュ アルゴリズムは RSA です。 ECDH_P256、ECDH_P384、ECDH_P521 のハッシュ アルゴリズムもサポートされます。
これは多くのことを考慮する必要があり、CA から証明書を要求するためのさまざまな快適なレベルがあります。 計画を可能な限り痛みを伴わないよう、以下のセクションでさらにガイダンスを提供します。
内部サーバー用の証明書
ほとんどの内部サーバーには証明書が必要です。ほとんどの場合、内部 CA (ドメイン内にある CA) から証明書を取得します。 必要に応じて、外部 CA (インターネット上にある証明書) からこれらの証明書を要求できます。 どのパブリック CA にアクセスする必要があるのか疑問に思っている場合は、ユニファイド コミュニケーション証明書パートナーの一覧をチェックできます。
また、Skype for Business Server 2019 がMicrosoft Exchange Serverなどの他のアプリケーションやサーバーと通信する場合にも証明書が必要になります。 これは明らかに、これらの他のアプリやサーバーがサポートされている方法で使用できる証明書である必要があります。 Skype for Business Server 2019 およびその他の Microsoft 製品では、サーバー間の認証と承認のための Open Authorization (OAuth) プロトコルがサポートされています。 ご興味をお持ちの場合は、OAuth と Skype for Business Server 2019 の追加の計画に関する記事があります。
Skype for Business Server 2019 には、SHA-256 暗号化ハッシュ関数を使用して署名された (不要な) 証明書のサポートも含まれています。 SHA-256 を使用する外部アクセスをサポートするには、SHA-256 を使用するパブリック CA が外部証明書を発行する必要があります。
わかりやすくするために、Standard Edition サーバー、フロントエンド プール、およびその他のロールの証明書要件を次の表に示し、架空の contoso.com を例として使用しました (環境に別のものを使用している可能性があります)。 これらはすべて標準の Web サーバー証明書であり、秘密キーはエクスポートできません。 注意すべきその他の点:
サーバーの拡張キー使用法 (EKU) は、証明書ウィザードを使って証明書を要求するときに自動的に構成されます。
各証明書のフレンドリ名は、コンピューター ストアで一意である必要があります。
次のサンプル名に従って、sipinternal.contoso.com または DNS で sipexternal.contoso.com を構成している場合は、証明書のサブジェクト代替名 (SAN) に追加する必要があります。
Standard Edition サーバーの証明書
| 証明書 | サブジェクト名/共通名 | サブジェクトの別名 | 例 | コメント |
|---|---|---|---|---|
| Default | プールの FQDN | プールの FQDN およびサーバーの FQDN SIP ドメインが複数あり、自動クライアント構成が有効な場合は、証明書ウィザードによって、サポートされている各 SIP ドメインの FQDN が検出され、追加されます。 このプールがクライアントの自動ログオン サーバーであり、グループ ポリシーで厳密なドメイン ネーム システム (DNS) の一致が必要な場合は、sip.sipdomain (持っている SIP ドメインごとに) エントリも必要です。 |
SN=se01.contoso.com; SAN=se01.contoso.com このプールがクライアントの自動ログオン サーバーであり、グループ ポリシーで厳密な DNS マッチングが必要な場合は、SAN=sip.contoso.com、SAN=sip.fabrikam.com も必要です。 |
Standard Edition サーバーでは、サーバー FQDN はプール FQDN と同じです。 このウィザードでは、セットアップ時に指定した SIP ドメインが検出され、サブジェクトの別名に自動的に追加されます。 また、この証明書はサーバー間認証でも使用できます。 |
| 内部 Web | サーバーの FQDN | 次のうちのすべて: 内部 Web FQDN (サーバーの FQDN と同じ) および • 単純な URL を満たす • ダイヤルインの単純な URL • 管理単純な URL または • 単純な URL のワイルドカード エントリ |
SN=se01.contoso.com; SAN=se01.contoso.com; SAN=meet.contoso.com; SAN=meet.fabrikam.com; SAN=dialin.contoso.com; SAN=admin.contoso.com ワイルドカード証明書使用時: SN=se01.contoso.com; SAN=se01.contoso.com; SAN=*.contoso.com |
トポロジ ビルダーで内部 Web FQDN をオーバーライドすることはできません。 複数の Meet シンプル URL がある場合は、それらすべてを SAN として含める必要があります。 簡易 URL エントリではワイルドカード エントリがサポートされます。 |
| 外部 Web | サーバーの FQDN | 次のうちのすべて: • 外部 Web FQDN および • ダイヤルインの単純な URL • SIP ドメインごとに単純な URL を満たす または • 単純な URL のワイルドカード エントリ |
SN=se01.contoso.com; SAN=webcon01.contoso.com; SAN=meet.contoso.com; SAN=meet.fabrikam.com; SAN=dialin.contoso.com ワイルドカード証明書使用時: SN=se01.contoso.com; SAN=webcon01.contoso.com; SAN=*.contoso.com |
複数の Meet シンプル URL がある場合は、それらのすべてをサブジェクトの別名として含める必要があります。 簡易 URL エントリではワイルドカード エントリがサポートされます。 |
フロントエンド プール内のフロントエンド サーバーの証明書
| 証明書 | サブジェクト名/共通名 | サブジェクトの別名 | 例 | コメント |
|---|---|---|---|---|
| Default | プールの FQDN | プールの FQDN およびサーバーの FQDN SIP ドメインが複数あり、自動クライアント構成が有効な場合は、証明書ウィザードによって、サポートされている各 SIP ドメインの FQDN が検出され、追加されます。 このプールがクライアントの自動ログオン サーバーであり、グループ ポリシーで厳密なドメイン ネーム システム (DNS) の一致が必要な場合は、sip.sipdomain (持っている SIP ドメインごとに) エントリも必要です。 |
SN=eepool.contoso.com; SAN=eepool.contoso.com; SAN=ee01.contoso.com このプールがクライアントの自動ログオン サーバーであり、グループ ポリシーで厳密な DNS マッチングが必要な場合は、SAN=sip.contoso.com、SAN=sip.fabrikam.com も必要です。 |
このウィザードでは、セットアップ時に指定した SIP ドメインが検出され、サブジェクトの別名に自動的に追加されます。 また、この証明書はサーバー間認証でも使用できます。 |
| 内部 Web | プールの FQDN | 次のうちのすべて: • 内部 Web FQDN (サーバーの FQDN と同じではありません) • サーバー FQDN • Skype for Business プール FQDN および • 単純な URL を満たす • ダイヤルインの単純な URL • 管理単純な URL または • 単純な URL のワイルドカード エントリ |
SN=ee01.contoso.com; SAN=ee01.contoso.com; SAN=meet.contoso.com; SAN=meet.fabrikam.com; SAN=dialin.contoso.com; SAN=admin.contoso.com ワイルドカード証明書使用時: SN=ee01.contoso.com; SAN=ee01.contoso.com; SAN=*.contoso.com |
複数の Meet シンプル URL がある場合は、それらのすべてをサブジェクトの別名として含める必要があります。 簡易 URL エントリではワイルドカード エントリがサポートされます。 |
| 外部 Web | プールの FQDN | 次のうちのすべて: • 外部 Web FQDN および • ダイヤルインの単純な URL • 管理単純な URL または • 単純な URL のワイルドカード エントリ |
SN=ee01.contoso.com; SAN=webcon01.contoso.com; SAN=meet.contoso.com; SAN=meet.fabrikam.com; SAN=dialin.contoso.com ワイルドカード証明書使用時: SN=ee01.contoso.com; SAN=webcon01.contoso.com; SAN=*.contoso.com |
複数の Meet シンプル URL がある場合は、それらのすべてをサブジェクトの別名として含める必要があります。 簡易 URL エントリではワイルドカード エントリがサポートされます。 |
ディレクターの証明書
| 証明書 | サブジェクト名/共通名 | サブジェクトの別名 | 例 |
|---|---|---|---|
| Default | ディレクター プール | ディレクターの FQDN、ディレクター プールの FQDN。 このプールがクライアントの自動ログオン サーバーであり、グループ ポリシーで厳密な DNS 照合が必要な場合は、sip.sipdomain (持っている SIP ドメインごとに) のエントリも必要になります。 |
pool.contoso.com; SAN=dir01.contoso.com このディレクター プールがクライアントの自動ログオン サーバーであり、グループ ポリシーで厳密な DNS 照合が必要な場合は、SAN=sip.contoso.com も必要です。SAN=sip.fabrikam.com |
| 内部 Web | サーバーの FQDN | 次のうちのすべて: 内部 Web FQDN (サーバーの FQDN と同じ) • サーバー FQDN • Skype for Business プール FQDN および • 単純な URL を満たす • ダイヤルインの単純な URL • 管理単純な URL または • 単純な URL のワイルドカード エントリ |
SN=dir01.contoso.com; SAN=dir01.contoso.com; SAN=meet.contoso.com; SAN=meet.fabrikam.com; SAN=dialin.contoso.com; SAN=admin.contoso.com ワイルドカード証明書使用時: SN=dir01.contoso.com; SAN=dir01.contoso.com SAN=*.contoso.com |
| 外部 Web | サーバーの FQDN | 次のうちのすべて: • 外部 Web FQDN および • SIP ドメインごとに単純な URL を満たす • ダイヤルインの単純な URL または • 単純な URL のワイルドカード エントリ |
Director 外部 Web FQDN は、フロント エンド プールまたはフロント エンド サーバーとは異なる必要があります。 SN=dir01.contoso.com; SAN=directorwebcon01.contoso.com SAN=meet.contoso.com; SAN=meet.fabrikam.com; SAN=dialin.contoso.com ワイルドカード証明書使用時: SN=dir01.contoso.com; SAN=directorwebcon01.contoso.com SAN=*.contoso.com |
スタンドアロン 仲介サーバーの証明書
| 証明書 | サブジェクト名/共通名 | サブジェクトの別名 | 例 |
|---|---|---|---|
| Default | プールの FQDN | プールの FQDN プール メンバー サーバーの FQDN |
SN=medsvr-pool.contoso.net; SAN=medsvr-pool.contoso.net; SAN=medsvr01.contoso.net |
存続可能ブランチ アプライアンスの証明書 (具体的には、存続可能ブランチ アプライアンス 2015 for Skype for Business Server 2019)
| 証明書 | サブジェクト名/共通名 | サブジェクトの別名 | 例 |
|---|---|---|---|
| Default | アプライアンスの FQDN | Sip。<sipdomain> (SIP ドメインごとに 1 つのエントリのみが必要) | SN=sba01.contoso.net; SAN=sip.contoso.com; SAN=sip.fabrikam.com |
外部ユーザー アクセス (エッジ) 用の証明書
Skype for Business Server 2019 では、アクセスと Web 会議のエッジ外部インターフェイスに対する 1 つのパブリック証明書の使用と、すべてエッジ サーバー経由で提供される A/V 認証サービスがサポートされています。 Edge 内部インターフェイスでは、内部 CA によって発行されたプライベート証明書が使用されますが、必要に応じて、信頼できる CA からのパブリック証明書も使用できます。
リバース プロキシ (RP) もパブリック証明書を使用し、HTTP (より正確には TLS over HTTP) を使用して RP からクライアント、RP から内部サーバーへの通信を暗号化します。
モビリティ用の証明書
モビリティを展開していて、モバイル クライアントの自動検出をサポートしている場合は、モバイル クライアントからのセキュリティで保護された接続をサポートするために、証明書にいくつかの追加のサブジェクト代替名エントリを含める必要があります。
次の証明書で自動検出を行うには SAN 名が必要です。
ディレクター プール
フロントエンド プール
リバース プロキシ
詳細は、次の表に一覧表示されます。
これは、少し事前計画が良い場所です。 ただし、2019 Skype for Business Server展開してもモビリティを展開する予定がなく、後で環境内に証明書が既に存在する場合に発生することがあります。 通常、内部 CA を介した証明書の再発行は非常に簡単です。 ただし、パブリック CA からのパブリック証明書の場合は、もう少し価格が高くなります。
これが見ている状況で、多数の SIP ドメインがある場合 (SANS の追加コストが高くなる)、HTTPS (既定の構成) を使用するのではなく、最初の自動検出サービス要求に HTTP を使用するようにリバース プロキシを構成できます。 詳細については、「 モビリティの計画」を参照してください。
ディレクター プールとフロント エンド プールの証明書の要件
| 説明 | SAN エントリ |
|---|---|
| 内部自動検出サービス URL | SAN=lyncdiscoverinternal。<sipdomain> |
| 外部自動検出サービス URL | SAN=lyncdiscover。<sipdomain> |
または、SAN=* を使用することもできます。<sipdomain>
リバース プロキシ (パブリック CA) 証明書の要件
| 説明 | SAN エントリ |
|---|---|
| 外部自動検出サービス URL | SAN=lyncdiscover。<sipdomain> |
この SAN は、リバース プロキシの SSL リスナーに割り当てられている証明書に割り当てる必要があります。
注意
リバース プロキシ リスナーには、外部 Web サービス URL の SAN が含まれます。 例としては、SAN=skypewebextpool01.contoso.com と dirwebexternal.contoso.com があります (ディレクターをデプロイした場合は省略可能)。
ファイル共有
Skype for Business Server 2019 では、すべてのファイル ストレージに同じファイル共有を使用できます。 次の点に留意する必要があります。
ファイル共有は、直接接続ストレージ (DAS) または記憶域ネットワーク (SAN) 上にある必要があります。 この要件には、分散ファイル システム (DFS) と、ファイル ストア用の独立ディスク (RAID) の冗長アレイも含まれます。 Windows Server 2012の DFS の詳細については、「DFS 名前空間と DFS レプリケーションの概要」を参照してください。
ファイル共有には共有クラスターを使用することをお勧めします。 既に使用している場合は、Windows Server 2012以降のバージョンをクラスター化する必要があります。
注意
最新の Windows の理由 以前のバージョンでは、すべての機能を有効にするための適切なアクセス許可がない場合があります。 クラスター管理者を使用して、ファイル共有を作成できます。 詳細については、「 クラスターでファイル共有を作成する方法」を参照してください。
注意
ファイル共有としてネットワーク接続ストレージ (NAS) を使用することはサポートされていないことを知っている必要があります。 したがって、ここに記載されているオプションのいずれかを使用します。 このサポート制限は、デバイスの共有ファイル システムにアクセスする Windows Server ベースのコンピューターにファイル システムの適応性を提供する必要がある NAS デバイスの可変設計によって発生します。