Skype for Business ServerのActive Directory Domain Services
Active Directory Domain Servicesは、Windows Server 2003、Windows Server 2008、Windows Server 2012、および Windows Server 2012 R2 ネットワークのディレクトリ サービスとして機能します。 Active Directory Domain Servicesは、Skype for Business Serverセキュリティ インフラストラクチャが構築される基盤としても機能します。 このセクションの目的は、Skype for Business ServerがActive Directory Domain Servicesを使用して IM、Web 会議、メディア、音声の信頼できる環境を作成する方法について説明することです。 Active Directory Domain Services用に環境を準備する方法の詳細については、展開に関するドキュメントの「Skype for Business Serverのインストール」を参照してください。 Windows Server ネットワークでのActive Directory Domain Servicesの役割の詳細については、使用しているオペレーティング システムのバージョンに関するドキュメントを参照してください。
Skype for Business Serverでは、Active Directory Domain Servicesを使用して格納します。
フォレスト内でSkype for Business Server実行されているすべてのサーバーに必要なグローバル設定。
フォレスト内でSkype for Business Serverを実行しているすべてのサーバーの役割を識別するサービス情報。
一部のユーザー設定。
Active Directory インフラストラクチャ
Active Directory のインフラストラクチャ要件は次のとおりです。
ドメイン コントローラーのオペレーティング システム要件
ドメインとフォレストの機能レベルの要件
グローバル カタログ ドメインの要件
詳細については、「Skype for Business Server 2015 の環境要件」または「Skype for Business Server 2019 のサーバー要件」を参照してください。
ユニバーサル グループ
フォレストの準備中に、Skype for Business Serverは、グローバル設定とサービスにアクセスして管理するためのアクセス許可を持つさまざまなユニバーサル グループをActive Directory Domain Services内に作成します。 作成されるユニバーサル グループには、次のようなものがあります。
管理グループ。 これらのグループは、Skype for Business Server ネットワークの基本的な管理者ロールを定義します。 フォレストの準備中に、これらの管理者グループはSkype for Business Serverインフラストラクチャ グループに追加されます。
サービス グループ。 これらのグループは、Skype for Business Serverによって提供されるさまざまなサービスにアクセスするために必要なサービス アカウントです。
インフラストラクチャ グループ。 これらのグループは、Skype for Business Server インフラストラクチャの特定の領域にアクセスするためのアクセス許可を提供します。 変更したり、ユーザーを直接追加したりしないでください。 フォレストの準備時に、特定のサービス グループと管理グループが、対応するインフラストラクチャ グループに追加されます。
Skype for Business Server用に AD を準備するときに作成される特定のユニバーサル グループと、インフラストラクチャ グループに追加されるサービスグループと管理グループの詳細については、デプロイに関するドキュメントのSkype for Business Serverの「フォレストの準備によって行われた変更」を参照してください。
注意
Skype for Business Serverでは、Windows Server 2012 のユニバーサル グループと、ドメイン コントローラー用の Windows Server 2003 オペレーティング システムがサポートされています。 ユニバーサル グループのメンバーには、ドメイン ツリーまたはフォレスト内の任意のドメインの他のグループとアカウントを含め、ドメイン ツリーまたはフォレスト内の任意のドメインにアクセス許可を割り当てることができます。 ユニバーサル グループのサポートと管理者の委任を組み合わせることで、Skype for Business Server展開の管理が簡略化されます。 たとえば、管理者が両方を管理できるようにするために、あるドメインを別のドメインに追加する必要はありません。
役割ベースのアクセス制御
ユニバーサル サービス グループと管理グループを作成し、サービス グループと管理グループを対応するユニバーサル グループに追加することに加えて、フォレストの準備では役割ベースのアクセス制御 (RBAC) グループも作成されます。 フォレストの準備で作成される個々の RBAC グループの詳細については、「展開」のドキュメントの「Changes made by forest preparation in Skype for Business Server」を参照してください。 RBAC グループの詳細については、Skype for Business Serverのロールベースのアクセス制御 (RBAC) に関するページを参照してください。
アクセス制御エントリ (ACE) と継承
フォレストの準備では、プライベート ACE とパブリック ACE の両方が作成され、ユニバーサル グループの ACE が追加されます。 Skype for Business Serverによって使用されるグローバル設定コンテナーに、特定のプライベート ACE が作成されます。 このコンテナーはSkype for Business Serverでのみ使用され、グローバル設定を格納する場所に応じて、構成コンテナーまたはルート ドメインのシステム コンテナーに配置されます。
ドメインの準備ステップでは、ドメイン内のユーザーをホストおよび管理するアクセス許可を与えるアクセス制御エントリ (ACE) をユニバーサル グループに追加します。 ドメインの準備で、ドメイン ルートと 3 つの組み込みコンテナー (ユーザー、コンピューター、およびドメイン コントローラー) に対する ACE が作成されます。
フォレストの準備とドメインの準備によって作成および追加されたパブリック ACE の詳細については、「デプロイ」ドキュメントの「Skype for Business Serverでのフォレストの準備によって行われた変更」および「ドメインの準備によって行われた変更」Skype for Business Serverを参照してください。
組織は、セキュリティ リスクを軽減するために、多くの場合、Active Directory Domain Services (AD DS) をロックダウンします。 ただし、ロックダウンされた Active Directory 環境では、Skype for Business Serverに必要なアクセス許可を制限できます。 たとえば、コンテナーと OU からの ACE の削除や、ユーザー、連絡先、InetOrgPerson、コンピューターの各オブジェクトでのアクセス許可の継承の無効化などが挙げられます。 ロックダウンされた Active Directory 環境では、アクセス許可を必要とするコンテナーと OU に対して手動で設定する必要があります。
サーバー情報
アクティブ化中、Skype for Business Serverは、Active Directory Domain Servicesの次の 3 つの場所にサーバー情報を発行します。
Skype for Business Serverがインストールされている物理コンピューターに対応する各 Active Directory コンピューター オブジェクト上のサービス接続ポイント (SCP)。
msRTCSIP-Pools クラスのコンテナーに作成されるサーバー オブジェクト。
トポロジ ビルダーで指定された信頼されたサーバー。
サービス接続ポイント
Active Directory Domain Servicesの各Skype for Business Server オブジェクトには RTC Services という SCP があり、その中には、各コンピューターを識別し、提供するサービスを指定する属性が多数含まれています。 さらに重要な SCP 属性には、 serviceDNSName 、 serviceDNSNameType 、 serviceClassname 、 serviceBindingInformation などがあります 。 サード パーティの資産管理アプリケーションは、これらの属性と他の SCP 属性に対してクエリを実行することで、デプロイ全体でサーバー情報を取得できます。
Active Directory サーバー オブジェクト
各Skype for Business Serverサーバー ロールには、そのロールによって提供されるサービスを定義する属性を持つ対応する Active Directory オブジェクトがあります。 また、Standard Edition サーバーがアクティブ化されたとき、またはEnterprise Edition プールが作成されると、Skype for Business Serverは msRTCSIP-Pool コンテナーに新しい msRTCSIP-Pool オブジェクトを作成します。 msRTCSIP-Pool クラスは、プールの完全修飾ドメイン名 (FQDN) と、プールのフロントエンド コンポーネントとバックエンド コンポーネントの関連付けを指定します。 (Standard Edition サーバーは、フロントエンドとバックエンドが 1 台のコンピューターに併置される論理プールと見なされます)。
信頼済みのサーバー
Skype for Business Serverでは、トポロジ ビルダーを実行してトポロジを発行するときに指定されたサーバーが信頼済みサーバーです。 公開したトポロジは、すべてのサーバー情報を含めて、中央管理ストアに格納されます。 中央管理ストアで定義されているサーバーのみが信頼されます。 Skype for Business Serverでは、信頼されたサーバーは次の条件を満たすサーバーです。
サーバーの FQDN が、中央管理ストアに格納されているトポロジに出現する。
サーバーが、信頼されている CA からの有効な証明書を提示している。 詳細については、「Skype for Business Server 2015 の環境要件」または「Skype for Business Server 2019 のシステム要件」を参照してください。
このどちらかの条件が満たされていない場合、サーバーは信頼されず、サーバーとの接続は拒否されます。 この二重要件により、悪意のあるサーバーが有効なサーバーの FQDN を引き継ぐ攻撃が発生する可能性が低くなります。
さらに、Microsoft Office Communications Server 2007 R2 および Microsoft Office Communications Server 2007 の展開をSkype for Business Server サーバーと通信できるようにするため、Skype for Business Serverは、以前のリリースの信頼されたサーバーの一覧を保持するためのフォレストの準備中にコンテナーを作成します。 次の表は、以前の展開との互換性維持のために作成されるコンテナーを示しています。
以前のリリースとの互換性を確保するために、信頼されたサーバー リストとその Active Directory コンテナー
| 信頼済みのサーバーのリスト | Active Directory コンテナー |
|---|---|
| Standard Edition サーバーおよびエンタープライズ プールのフロント エンド サーバー |
RTC サービス/グローバル設定 |
| 会議サーバー |
RTC サービス/信頼済み MCU |
| Web コンポーネント サーバー |
RTC サービス/TrustedWebComponentsServers |
| 仲介サーバーと Communicator Web Access サーバー、アプリケーション サーバー、レジストラーと QoE、音声ビデオ会議サービス (サードパーティの SIP サーバーを含む) |
RTC サービス/信頼済みサービス |
| プロキシ サーバー |
Skype for Business Serverはプロキシ サーバーの下位互換性をサポートしていません |