Active Directory ドメイン サービス

Active Directory ドメイン サービスの準備

注:
グローバル設定を、システム コンテナよりも構成コンテナに展開することをお勧めします。以前のリリースから移行する際、以前はシステム コンテナを使用していたが今後は構成コンテナを使用する予定の場合は、アップグレードの準備の前にシステム コンテナの設定を移行する必要があります。システム コンテナの設定を構成コンテナに移行するには、Microsoft Office Communications Server 2007 グローバル設定移行ツール (https://go.microsoft.com/fwlink/?LinkId=145236) を参照してください。

Office Communications Server を展開するための最初のステップは、Active Directory ドメイン サービスを準備することです。Office Communications Server 用に Active Directory ドメイン サービスを準備する手順は、次の 3 つのステップで構成されます。

• スキーマの準備: このタスクでは、Office Communications Server 2007 R2 固有のクラスおよび属性を含めるために Active Directory ドメイン サービスのスキーマを拡張します。スキーマの準備は、スキーマ管理者またはスキーマ マスタのローカル管理者のみが実行できます。
• フォレストの準備: このタスクでは、フォレストのルート ドメインのグローバル設定およびオブジェクト、これらの設定およびオブジェクトへのアクセスを管理するユニバーサル サービス グループとユニバーサル管理グループを作成します。
• ドメインの準備: このタスクでは、ドメイン内のユーザーをホストおよび管理するアクセス許可を与えるユニバーサル グループに対して、必要なアクセス制御エントリ (ACE) を追加します。ドメインの準備は、Office Communications Server を展開するすべてのドメインと、Office Communications Server ユーザーが格納されるすべてのドメインで実行する必要があります。

Active Directory ドメイン サービスの準備の各ステップの詳細については、「Office Communications Server 2007 R2 用の Active Directory ドメイン サービスの準備」を参照してください。

ユニバーサル グループ

フォレストの準備時、Office Communications Server では、グローバル設定およびサービスのアクセスと管理のためのアクセス許可を持つさまざまなユニバーサル グループを Active Directory ドメイン サービス内に作成します。これには、次のようなユニバーサル グループが含まれます。

• 管理グループ: Office Communications Server ネットワークの基本的な管理者役割を定義するグループです。フォレストの準備時、これらの管理者グループが Office Communications Server のインフラストラクチャ グループに追加されます。
• インフラストラクチャ グループ: Office Communications Server のインフラストラクチャの特定の領域へのアクセスを許可するグループです。このグループは管理グループの構成要素として機能するため、このグループを変更することや、このグループにユーザーを直接追加することは避けてください。
• サービス グループ: このグループは、Office Communications Server によって提供されるさまざまなサービスにアクセスするために必要なサービス アカウントです。

次の表に、Office Communications Server のユニバーサル グループとその特権を示します。

表 1. Office Communications Server 2007 R2 で作成されるユニバーサル グループ

サーバー情報

アクティブ化時に、Office Communications Server は、Active Directory ドメイン サービス内の次の 3 つの場所にサーバー情報を公開します。

• Office Communications Server がインストールされている物理的なコンピュータに対応する各 Active Directory コンピュータ オブジェクトのサービス接続ポイント (SCP)
• msRTCSIP-Pools クラスのコンテナに作成されるサーバー オブジェクト
• 信頼済みサーバーのリスト

サービス接続ポイント

Active Directory ドメイン サービス内の各 Office Communications Server オブジェクトには、RTC サービスと呼ばれる SCP があります。RTC サービスには、各コンピュータを識別し、それぞれのコンピュータが提供するサービスを指定するさまざまな属性が格納されます。SCP の属性のうち、重要なものとしては、serviceDNSName、serviceDNSNameType、serviceClassname、および serviceBindingInformation を挙げることができます。サードパーティの資産管理アプリケーションは、これらおよび他の SCP 属性を問い合わせることで、展開全体にわたるサーバー情報を取得できます。

Active Directory サーバー オブジェクト

Office Communications Server の各役割には対応する Active Directory オブジェクトがあり、このオブジェクトの属性が、その役割によって提供されるサービスを定義します。Standard Edition サーバーがアクティブ化されたとき、または Enterprise Edition プールが作成されたとき、Office Communications Server では、msRTCSIP-Pools コンテナ内に新しい msRTCSIP-Pool オブジェクトが作成されます。msRTCSIP-Pool クラスは、プールの完全修飾ドメイン名 (FQDN) と、プールのフロントエンドおよびバックエンド コンポーネント間の関連付けを指定します (Standard Edition サーバーは、フロントエンドとバックエンドが 1 台のコンピュータに配置された論理プールと見なされます)。

信頼済みサーバーのリスト

フォレストの準備時、Office Communications Server は、信頼済みサーバーのリストを格納するためのコンテナを作成します。アクティブ化時に、Office Communications Server サーバーは各サーバーの FQDN を該当するコンテナに公開します。信頼済みサーバーは、以下の条件を満たすサーバーです。

• サーバーの FQDN が、前のセクションで説明したように、Active Directory ドメイン サービスの信頼済みサーバーのリストのいずれかに出現する。
• サーバーは信頼済み CA からの有効な証明書を提示していて、この証明書の FQDN が、信頼済みサーバーのリストのいずれかに含まれる、そのサーバーの FQDN に一致している。Office Communications Server における証明書の使用方法の詳細については、「Office Communications Server 2007 R2 における公開キー基盤」を参照してください。

この条件のいずれかに合致しない場合、サーバーは信頼されず、そのサーバーへの接続は拒否されます。この二重の要件により、悪意のあるサーバーが有効なサーバーの FQDN を取得しようとする攻撃 (実行される可能性は低い) を防ぐことができます。

複数の信頼済みサーバー リストの使用は、単一の信頼済みサーバー リストのみを管理していた以前のバージョンの Live Communications Server からの脱却を示します。リストの各サーバーは、グロバール設定コンテナのグローバル一意識別子 (GUID) として表されます。Office Communications Server 2007 R2 で新しいサーバーの役割が追加されたことにより、さまざまなサーバーの役割の GUID を保持するための新しいコンテナが定義されました。次の表に、新しいコンテナと、それぞれのコンテナの信頼済みサーバーのリストを示します。

表 2. 信頼済みサーバーのリストとその Active Directory コンテナ

信頼済みサーバーのリストの FQDN エントリは、個々の Office Communications Server オブジェクトの FQDN エントリと重複しています。この冗長性の目的は、信頼済みサーバーのスプーフィングを防ぐことです。Active Directory ドメイン サービスでは個々のユーザーが自分のパーソナル コンピュータに対応するコンピュータ オブジェクトの属性を変更できるため、このようなスプーフィングが行われることが考えられます。ほとんどの組織では、作業用コンピュータでこのように変更を行うことをユーザーに対して許可していませんが、信頼済みサーバーのリストによって、RTCUniversalServerAdmins のメンバだけがこのような変更を行うことができるようにすることで、セキュリティが一段と強化されます。