Skype for Business Serverでレジストラー構成設定を管理する

2023-03-18

適用対象: 2015 2019 サブスクリプションエディション

概要：Skype for Business Serverのレジストラー構成設定を管理します。

レジストラーを使用してプロキシサーバーの認証方式を構成できます。指定する認証プロトコルにより、プール内のサーバーがクライアントに発行するチャレンジの種類が決まります。使用可能なプロトコルは以下のとおりです。

Kerberos これは、クライアントで使用できる最も強力なパスワードベースの認証スキームですが、通常、キー配布センター (Kerberos ドメインコントローラー) へのクライアント接続が必要なため、エンタープライズクライアントでのみ使用できます。この設定は、サーバーでエンタープライズのクライアントのみを認証する場合に適しています。
NTLM これは、パスワードでチャレンジ応答ハッシュ方式を使用するクライアントで使用できるパスワードベースの認証です。これは、リモートユーザーなど、キー配布センター (Kerberos ドメインコントローラー) に接続できないクライアントの認証で使用できる唯一のクライアント認証方式です。サーバーでリモートユーザーのみの認証処理を行う場合は、NTLM を選択してください。
証明書認証これは、サーバーが Lync Phone Edition クライアント、共通エリア電話、Skype for Business、Lync Windows ストアアプリから証明書を取得する必要がある場合の新しい認証方法です。 Lync Phone Edition クライアントでは、ユーザーがサインインし、個人識別番号 (PIN) を指定して正常に認証された後、SKYPE FOR BUSINESS SERVER SIP URI を電話にプロビジョニングし、Skype for Business Server署名された証明書または Joe (例: SN=joe@contoso.com) を識別するユーザー証明書を電話にプロビジョニングします。この証明書は、レジストラーサービスと Web サービスでの認証に使用されます。

注意

サーバーがリモートとエンタープライズ両方のクライアント認証をサポートする場合は、Kerberos と NTLM の両方を有効にすることをお勧めします。エッジサーバーと内部サーバーは通信して、NTLM 認証のみがリモートクライアントに提供されるようにします。これらのサーバーで Kerberos のみが有効な場合、リモートユーザーを認証できません。エンタープライズユーザーはサーバーに対しても認証を行い、Kerberos が使用されます。

Lync Windows ストアアプリクライアントを使用する場合は、証明書認証を有効にする必要があります。

レジストラー構成設定を作成するには

RTCUniversalServerAdmins グループのメンバー (または同等のユーザー権限を持つ) または CsServerAdministrator ロールまたは CsAdministrator ロールに割り当てられているユーザーアカウントから、Skype for Business Serverを展開したネットワーク内の任意のコンピューターにログオンします。
ブラウザーウィンドウを開き、管理 URL を入力してSkype for Business Server コントロールパネルを開きます。
左側のナビゲーションバーで [セキュリティ] をクリックし、[レジストラー] をクリックします。
[レジストラー] ページで [新規作成] をクリックします。
[サービスの選択] で、レジストラーを適用するサービスをクリックし、[OK] をクリックします。
[新規レジストラー設定] で、クライアントの機能および環境のサポート状況に応じて、次の中から 1 つ以上選択します。
- [Kerberos 認証を有効にする]。プール内のサーバーは、Kerberos 認証を使用してチャレンジを発行します。
- [NTLM 認証を有効にする]。プール内のサーバーは、NTLM 認証を使用してチャレンジを発行します。
- [証明書認証を有効にする]。プール内のサーバーは、クライアントに対して証明書を発行します。
[確定] をクリックします。

既存のレジストラー構成設定を変更する

レジストラーを使用して、プロキシサーバーの認証プロトコルを構成できます。

注意

既存のレジストラーを変更するには、次の手順を実行します。

既存のレジストラー構成設定を変更するには

RTCUniversalServerAdmins グループのメンバー (または同等のユーザー権限を持つ) または CsServerAdministrator ロールまたは CsAdministrator ロールに割り当てられているユーザーアカウントから、Skype for Business Serverを展開したネットワーク内の任意のコンピューターにログオンします。
ブラウザーウィンドウを開き、管理 URL を入力してSkype for Business Server コントロールパネルを開きます。
左側のナビゲーションバーで [セキュリティ] をクリックし、[レジストラー] をクリックします。
[レジストラー] ページでサービスをクリックし、[編集] をクリックして、[詳細の表示] をクリックします。
[レジストラー設定の編集] で、クライアントの機能や環境内のサポートに合わせて、次のうち 1 つまたは複数を選択します。
- [Kerberos 認証を有効にする]。プール内のサーバーは、Kerberos 認証を使用してチャレンジを発行します。
- [NTLM 認証を有効にする]。プール内のサーバーは、NTLM 認証を使用してチャレンジを発行します。
- [証明書認証を有効にする]。プール内のサーバーは、クライアントに対して証明書を発行します。
[確定] をクリックします。

レジストラー構成設定を削除するには

RTCUniversalServerAdmins グループのメンバー (または同等のユーザー権限を持つ) または CsServerAdministrator ロールまたは CsAdministrator ロールに割り当てられているユーザーアカウントから、Skype for Business Serverを展開したネットワーク内の任意のコンピューターにログオンします。
ブラウザーウィンドウを開き、管理 URL を入力してSkype for Business Server コントロールパネルを開きます。
左側のナビゲーションバーで [セキュリティ] をクリックし、[レジストラー] をクリックします。
[レジストラー] ページの検索フィールドに、削除するレジストラーの名前の全体または一部を入力します。
一覧で、対象のレジストラーをクリックし、[編集] をクリックして、[削除] をクリックします。
[OK] をクリックします。

Windows PowerShell コマンドレットを使用したレジストラー構成設定の削除

レジストラー構成設定は、Windows PowerShellと Remove-CsProxyConfiguration コマンドレットを使用して削除できます。このコマンドレットは、Skype for Business Server管理シェルまたはWindows PowerShellのリモートセッションから実行できます。リモート Windows PowerShellを使用してSkype for Business Serverに接続する方法の詳細については、「Microsoft Lync リモート PowerShell 管理」を参照してください。

レジストラーのセキュリティ設定の特定のセットを削除するには

次のコマンドは、エッジサーバー atl-edge-011.litwareinc.com に適用されるレジストラーのセキュリティ設定を削除します。
```
Remove-CsProxyConfiguration -Identity service:EdgeServer:atl-edge-011.litwareinc.com
```

サイトスコープに適用されるレジストラーのセキュリティ設定をすべて削除するには

次のコマンドは、レジストラーサービスに適用されるすべてのレジストラーのセキュリティ設定を削除します。
```
Get-CsProxyConfiguration -Filter "service:Registrar:*" | Remove-CsProxyConfiguration
```

NTLM 認証を許可するレジストラーのセキュリティ設定をすべて削除するには

次のコマンドは、クライアント認証に NTLM の使用を許可するレジストラーのセキュリティ設定をすべて削除します。
```
Get-CsProxyConfiguration | Where-Object {$_.UseNtlmForClientToProxyAuth -eq $True}| Remove-CsProxyConfiguration
```

詳細については、「 Remove-CsProxyConfiguration」を参照してください。