デバイス接続プロセス
トピックの最終更新日: 2012-06-21
ここでは、デバイス接続のプロセスについて説明します。プロセスの手順はユーザーがトラブルシューティングできる潜在的な障害点に対応しているので、デバイスをトラブルシューティングするときは、このプロセスを理解しておくことが重要です。
内部 IP 電話の接続プロセス
内部 IP 電話の接続プロセスは、すべての IP 電話に適用されます。プロセスは、各 IP 電話が使用する認証の種類によってのみ異なります。新しい IP 電話 (Aastra 6721ip 共通領域電話、Aastra 6725ip 卓上電話、HP 4110 IP 電話 (共通領域電話)、HP 4120 IP 電話 (卓上電話)、Polycom CX500 IP 共通領域電話、Polycom CX600 IP 卓上電話、および Polycom CX3000 IP 会議電話) だけは、暗証番号 (PIN) 認証を使用できます。Polycom CX700 IP 卓上電話は、証明書または NTLM 認証を使用できます。
プロセスは、デバイスが仮想ローカル エリア ネットワーク (VLAN) ID の取得を試みることから開始します。そのためには、最初に LLDP (Link Layer Discovery Protocol) を試し、それが使用できない場合は、動的ホスト構成プロトコル (DHCP) にフォールバックします。
注: |
---|
デバイスが VLAN ID の取得に失敗すると、ブートストラップ プロセスが続行されます。 |
次に、デバイスは DHCP を使用して IP アドレスを取得し、ドメイン ネーム システム (DNS) で Lync Server SIP の SRV レコードを照会した後、そのレコードを解析してドメイン名を取得します。Web サーバーの名前 ucupdates-r2 をドメインの先頭に追加して、デバイス更新 Web サービスの完全修飾ドメイン名 (FQDN) を得ます。その後、デバイスは、DNS でデバイス更新 Web サービスの FQDN の A レコードを照会し、デバイス更新 Web サービスで更新プログラムを照会します。更新プログラムがある場合、デバイスはデバイス更新 Web サービスのストアからそれを取得し、再起動する前に適用します。再起動の後、デバイスは DHCP のクエリを行って、Web サービスの URL およびディレクターの FQDN を検出します。デバイスは、DNS で SRV レコードを照会して、ディレクターの FQDN を特定することもできます。
ユーザーがサインインを始めると、認証プロセスが開始します。デバイスは、Web サービスのルート証明書発行者チェーンをダウンロードし (以前に取得していない場合)、TLS を使用して Web サーバーに接続し、そのチェーンを使用してサーバーの証明書を検証します。証明書とチェーンは、後で使用できるようにデバイス上に保管されます。
デバイスは、次のように資格情報を提供し、通信に TLS を使用して、認証を行います。
新しい IP 電話 (Aastra 6721ip、Aastra 6725ip、HP 4110、HP 4120、Polycom CX500、Polycom CX600、および Polycom CX3000) は、PIN と電話番号または内線番号を提供します。
古い IP 電話 (Polycom CX700 IP 電話) は、ユーザー名、ドメイン名、およびパスワードを提供します。
注: Aastra 6725ip、HP 4120、Polycom CX600、Polycom CX700、および Polycom CX3000 の場合は、ユーザーは USB ケーブルを使用してコンピューターにデバイスを接続することによってもサインインできます。
Web サービスは、レジストラーに接続してユーザーおよびユーザーのホーム プールを検索することで、資格情報を確認します。資格情報が正しい場合、デバイスはユーザーの証明書を要求します。証明書は、デバイスに返されると共に、ユーザー ストアにも公開されます。デバイスは、ユーザーの証明書を使用して、ログオン要求およびそれ以降のレジストラーとのすべての SIP 通信を認証します。
使用されるレジストラーの FQDN (つまり、DHCP によって返される FQDN または DNS によって返される FQDN) を特定には、次のロジックが使用されます。このロジックでは、成功するまでレコードが 1 つずつ試されます。Lync Server Standard Edition では、レコードは自動的に公開されます。フロントエンド プールでは、ユーザーが手動でレコードを公開する必要があります。この A レコードは、フロントエンド プールの仮想 IP (VIP) を参照している必要があります。
内部 DNS SRV (TLS)
DHCP アドレス (TLS)
内部 DNS SRV (TCP)
DHCP アドレス (TCP)
外部 DNS (TLS)
外部 DNS (TCP)
最後に、デバイスは SIP レジストラー要求でレジストラーに接続し、ユーザーの証明書で通信を認証します。このログオンによって、SIP 通信が開始します。
外部 IP 電話の接続プロセス
外部 IP 電話が接続できるためには、事前に内部的に正常に接続している必要があります。企業ネットワークの外部にあるデバイスの接続プロセスは、その内部接続に使用された認証方法によって異なります。
Aastra 6721ip、Aastra 6725ip、HP 4110、HP 4120、Polycom CX500、Polycom CX600、および Polycom CX3000 のユーザーは、デバイス更新 Web サービスの FQDN (ユーザーが Lync Server にログオンするときにインバンド プロビジョニングによって提供されます)、Web サービスの発行者証明書チェーンとサーバー証明書、およびユーザーの証明書を取得するには (これらはすべて、正常な外部接続のために必要です)、正常に認証を受けて、レジストラーに内部的にログオンする必要があります。
a Polycom CX700 のユーザーは、デバイスがインバンド プロビジョニングから外部デバイス更新 Web サービスの FQDN を取得できるように、正常に内部的にログオンする必要があります。これを行うために、デバイスは証明書認証を使用する必要はありません。NTLM 認証で十分です。
または、デバイス更新 Web サービスのアドレスを取得できない場合は、デバイスは処理を続けて認証とログオンを試みます。正常にログオンした後、デバイスはデバイス更新 Web サービスを実行しているサーバーの FQDN を認識し、それを解決して更新プログラムを照会します。
NTLM 認証を使用して内部的にログオンした外部の Polycom CX700
NTLM 認証を使用して既に内部的にログオンしている外部の Polycom CX700 は、最初に、ローカル (外部) DHCP サーバーを使用して、IP アドレスの取得を試みます。次に、FQDN の値を提供して DNS を照会することでデバイス更新 Web サービスを実行しているサーバーのアドレスを特定し、更新プログラムを照会します。使用できるものがある場合、デバイスは更新プログラムをダウンロードし、インストールして、再起動します。
再起動した後、デバイスは再び IP アドレスを取得し、再びデバイス更新 Web サービスで更新プログラムを照会します。今度は別の更新プログラムは必要ないので、デバイスは DNS でエンタープライズのレジストラー FQDN に対する SRV を照会します。これを取得した後、デバイスは対応する A レコードを照会します。
次に、デバイスは資格情報として NTLM を使用して、接続および認証を行います。レジストラーは、認証を確認し、ユーザーのホーム プールと SIP URI を返します。その後、デバイスは SIP REGISTER 要求を送信してログオンし、レジストラーは ACK 応答で Web サービスの FQDN を返します。
この時点で、デバイスは Web サービスに接続し、Web サーバーの証明書チェーンを取得します。取得した後、デバイスは、最初に TCP で認証を試みますが、エクストラネット内の Web サービスはセキュリティで保護された通信を必要とするためにこの認証は失敗し、次に TLS で認証を試みます。Web サービスは TLS クエリに応答し、資格情報として Web サーバーの証明書を提供します。前にダウンロードした証明書チェーンを使用することによって、デバイスは Web サービスを認証できます。デバイスは getAndPublish 要求を送信します。Web サービスは、デバイス上のユーザーに対する証明書を生成し、それをユーザー ストアで公開して、デバイスにも戻します。
これ以降、デバイスは、必要な資格情報を持っているので証明書認証 (推奨される方法) を使用でき、以降の接続要求に対して証明書認証を使用します。
証明書認証を使用して内部的にログオンした外部の Aastra 6725ip、HP 4120、Polycom CX600、および Polycom CX700
この場合は、起動時に、外部デバイスは最初にローカル (外部) DHCP サーバーを使用して IP アドレスの取得を試みます。次に、デバイスは、前にインバンド プロビジョニングを使用して取得した FQDN を提供して DNS を照会し、デバイス更新 Web サービスのアドレスを取得して、更新プログラムを照会します。使用できる更新プログラムがある場合、デバイスはそれをダウンロードし、インストールして、再起動します。
再起動の後、デバイスは再び IP アドレス取得処理を行ってから、TLS 認証要求を Web サービスに送信し、資格情報としてユーザーの証明書を提供します。Web サービスがユーザーを検証できる場合は、応答は成功であり、デバイスは SIP REGISTER 要求を外部レジストラーのアドレスに送信して、ユーザーの暗証番号 (PIN) および電話番号/内線番号を資格情報として提供します。
外部ユーザー アクセスの詳細については、「計画」のドキュメントの「外部ユーザー アクセスの計画」を参照してください。
ブートストラップ プロセス
IP 電話の電源を入れて企業ネットワークに接続した後、次のようにブートストラップ プロセスが行われます。
ヒント: |
---|
これらの各ステージでは問題が発生する可能性があり、発生する問題は、デバイスが組織のファイアウォールの内側または外側のどちらにあるか、および新しい IP 電話か古い IP 電話かによって異なります。このプロセスの間に発生する可能性のある問題については、以下のトピックを参照してください。 |