Lync Server 2013 で SQL Server の非標準ポートおよびエイリアスを展開する
トピックの最終更新日: 2015-09-16
Microsoft Lync Server 2013 では、SQL Serverでの標準以外のポートとエイリアスの使用がサポートされています。 SQL Server非標準ポートとエイリアスを使用すると、セキュリティが強化され、Lync 展開の柔軟性が向上します。 これらの手順は、Lync Server 2013 環境を適切にセキュリティで保護するための 1 つの手順に過ぎません。 Lync Server 2013 実装の攻撃対象を減らすには、追加の手順を実行する必要があります。
次の記事では、Lync Server 2013 で標準以外のポートとエイリアスSQL Serverセットアップするために必要な手順について説明します。
Lync Server 2013 でのSQL Server非標準ポートとエイリアスの展開
Lync Server 2013 トポロジ ビルダーでは、Lync Server 2013 の構成時に実際のSQL Server FQDN ではなく、完全修飾ドメイン名 (FQDN) としてSQL Serverエイリアスを使用できます。 これにより、実際のSQL Server FQDN を悪意のある攻撃者から非表示にすることができます。 さらに、標準以外のポートを使用すると、次の図に示すように、攻撃者が標準ポート 1433 上のデータベースを攻撃しようとしているものから実際のポートが隠されます。
Lync Server 2013 がSQL Serverとの通信に使用しているポートの決定に成功するには、攻撃者はすべてのポートをスキャンしてポート情報を取得する必要があります。 攻撃者によるポート スキャンにより、セキュリティが命令を検出して停止する可能性が高くなります。 標準以外のポートでセキュリティを強化するだけでなく、SQL Server エイリアスを使用してデプロイに柔軟性を提供することもできます。 これは、SQL Server名の変更が必要な状況で構成変更を減らすために役立ちます。
注意
SQL Serverには、2 つのフォールト トレランス方法 (フェールオーバー クラスタリングとミラーリング) が用意されています。 両方のSQL Serverフォールト トレランス方法は、Lync Server 2013 SQL Server非標準ポートとエイリアスを使用してサポートされています。 プールで使用されるSQL Server バックエンドがミラー化された構成の場合、ミラー化されたSQL Serverにデータベースがフェールオーバーされたときに、フロントエンド サーバーがミラー化されたデータベースに接続するために、SQL Server バックエンド サーバーの SQL ブラウザー サービスを実行する必要があります。
トポロジ ビルダー内からSQL Serverデータベース接続を構成する場合、または Install-CsDatabase コマンドレットを使用する場合、SQL Server非標準ポート番号を明示的に定義して SQL インスタンスに関連付けすることはできません。 標準以外のポートを設定するには、SQL Serverユーティリティと Windows Server ユーティリティを使用する必要があります。
Lync Server 2013 で使用する標準以外のポートとエイリアスSQL Server設定するには、3 つの主要な手順を完了する必要があります。 次の手順を実行します。
Lync Server 2013 に最新の更新が適用されていることを確認します。
SQL Server標準以外のポートとエイリアスを設定します。
トポロジ ビルダーを使用して、SQL Server エイリアスを使用して Lync Server 2013 を構成します。
トポロジを発行し、データベースを確認します。
Lync Server 2013 に最新の更新が適用されていることを確認する
Lync Server 2013 を最新の状態に保つことが重要です。 最新の更新プログラムとその適用方法については、「Lync Server 2013 の更新」を参照してください。
SQL Server標準以外のポートとエイリアスを設定する
SQL Server標準以外のポートとエイリアスは、Lync Server 2013 トポロジ ビルダーから参照する前に、データベース インスタンスに設定する必要があります。 SQL Server非標準のポートとエイリアスを設定するには、3 つの主要な手順を完了する必要があります。 これらの手順は次のとおりです。
既定の TCP/IP プロトコル値を変更します。
SQL Server エイリアスを作成して構成します。
ドメイン ネーム システム (DNS) 標準名 (CNAME) リソース レコードを作成します。
既定の TCP/IP プロトコル値を変更する
次の図に示すように、[開始] を選択し、SQL Server 構成マネージャーを選択します。
ナビゲーション ウィンドウで、SQL Server インスタンスを展開し、ネットワーク構成SQL Server展開し、次の図に示すように [プロトコル<>] を選択します。
右側のウィンドウで TCP /IP を右クリックし、[ プロパティ] を選択します。 [TCP/IP プロパティ] ダイアログ ボックスが表示されます。
[ IP アドレス] タブを 選択します。[IP アドレス] タブには、サーバー上のすべてのアクティブな IP アドレスが表示されます。 次の図に示すように、IP1、IP2、IPAll までの形式です。
すべての IP アドレスの TCP 動的ポート フィールドをクリアします。 フィールドに 0 文字が含まれている場合は、SQL Serverが動的ポートでリッスンしていることを意味します。 これらのフィールドがクリアされ、0 が含まれていないことを確認します。
Lync Server がデータベースへの接続に使用する IP アドレスについては、次の図に示すように 、[有効] が [はい] に設定されていることを確認します。
ダイアログの下部にある [IPAll ] セクションで、次の図に示すように、[ TCP ポート ] フィールドに目的のポートを入力します。 この例ではポート 50062 を使用しますが、49152 から 65535 までの任意のポートを使用できます。 これらは動的およびプライベートの使用に割り当てられたポートであり、これにより、Lync Server 2013 展開で使用されている他のポートと競合することはありません。
[OK] を選択して、[TCP/IP プロパティ] ダイアログを終了します。
SQL Server 構成マネージャーの左側のウィンドウで [SQL Server サービス] を選択して、SQL Server インスタンスを再起動します。 次に、次の図に示すように、右側の<ウィンドウでSQL Serverインスタンス名>を右クリックし、[再起動] を選択します。
大事な
新しいSQL Server ポートに対応するようにファイアウォール設定を更新してください。
SQL Server エイリアスの作成と構成
次の図に示すように、[開始] を選択し、SQL Server 構成マネージャーを選択します。
左側のウィンドウで、インスタンスSQL Server展開し、SQL Native Client <バージョン>の構成を展開し、次の図に示すように [エイリアス] を選択します。
[エイリアス] を右クリックし、[新しいエイリアス]... を選択します。
次の図に示すように、 エイリアス名、 ポート番号、 プロトコル、 およびサーバーを入力します。
注意
前の手順で使用したのと同じ非標準ポートを入力してください。これは、SQL Serverがリッスンするポートであるためです。 構成されたエイリアスが間違ったSQL Server FQDN またはインスタンスに接続している場合は、関連付けられているネットワーク プロトコルを無効にして再度有効にします。 これにより、キャッシュされた接続情報がクリアされ、クライアントが正しく接続できるようになります。
DNS CNAME リソース レコードを作成する
DNS を管理しているコンピューターにサインインします。
次の図に示すように、[開始] を選択し、サーバー マネージャーを選択します。
次の図に示すように、[ ツール ] ドロップダウンを選択し、[ DNS] を選択します。
左側のウィンドウで、サーバー名ノードを展開し、[前方参照ゾーン] ノードを展開して、関連するドメインを選択します。
次の図に示すように、ドメインを右クリックし、 新しいエイリアス (CNAME)...を選択します。
する
次の図に示すように、SQL Serverのエイリアス名と FQDN を入力します。
[ OK] を 選択して CNAME を保存し、DNS マネージャーで表示します。
データベース接続を検証する
動作を確認するには、さまざまな方法があります。 SQL Server データベースがエイリアスを使用して指定したポートでリッスンしていることを確認する必要があります。 netstat コマンドと telnet コマンドを使用して、クイック チェックを完了できます。
注意
Telnet クライアントは Windows Server に付属していますが、インストールする必要がある機能です。 Windows Server 機能をインストールするには、サーバー マネージャーを開き、[管理] メニューの [役割と機能の追加] を選択します。
netstat と telnet を使用してデータベース接続を確認する
[スタート] を選択し、「cmd」と入力してコマンド プロンプトを開きます。
netstat -a -f と入力し、次の図に示すように、SQL Serverが正しいポートで実行されていることを確認します。
telnet <エイリアス名><ポート # と>入力して、SQL Server インスタンスへの接続を確認します。 接続に成功すると、Telnet が接続され、エラーは表示されません。 これは、SQL Server インスタンスが正しいエイリアスを持つ正しいポートでリッスンしていることを示しています。 SQL Server データベースへの接続で問題が発生した場合は、接続できないというエラーが telnet に表示されます。 データベース サーバーでデータベース接続を確認したので、Lync Server から (ネットワーク経由で) 同じ操作を行い、途中でアクセスをブロックするファイアウォールがないことを確認できます。
終わりに
SQL Serverエイリアスを構成したら、それを使用してトポロジ ビルダー ツールで Lync Server 2013 トポロジを作成できます。 トポロジの詳細については、「 Lync Server 2013 でのトポロジの定義と構成」を参照してください。