Lync Server 2010にて外部接続を構成する際のポイント

先日Lync Server 2010をほぼ触ったことがない状態から、「外部接続設定」を行なって正常動作を確認しました。Lync Serverの構成自体あまり理解していない中だったので少々と混乱するところなどあったので、ポイントだけまとめて記録しておこうと思います。

何を読めばよいか

外部接続の構成に関しては以下の2つのドキュメントと1つのブログを読めば基本的な部分は十分でした。ステップバイステップになっているので、このとおりに進めれば基本的な構成であれば問題ないと思います。

- [Download: Microsoft Lync Server 2010 エッジ サーバー展開ガイド - Microsoft Download Center - Download Details](http://www.microsoft.com/ja-jp/download/details.aspx?id=11379)
- Lync Server 2010 Enterprise Edition ステップ バイ ステップ自習ガイド ( [XPS、8.87 MB](http://download.microsoft.com/download/6/4/1/6410955C-CF84-43AE-93B6-D36F23156421/LyncServer2010_SelfStudy_EE_External.xps) | [PDF、7.19 MB](http://download.microsoft.com/download/6/4/1/6410955C-CF84-43AE-93B6-D36F23156421/LyncServer2010_SelfStudy_EE_External.pdf))
- [Deploying an Edge Server with Lync | The Lync Guy's Blog](http://ocsguy.com/2010/11/21/deploying-an-edge-server-with-lync/)

構成パターン

構成パターンは複数あり、適切なものを選ばなければいけません。

- [外部ユーザー アクセスのシナリオ](http://technet.microsoft.com/ja-jp/library/gg425727.aspx)

[プライベート IP アドレスと NAT を用いた単一統合エッジ](http://technet.microsoft.com/ja-jp/library/gg399001.aspx)
- [パブリック IP アドレスを使用する単一統合エッジ](http://technet.microsoft.com/ja-jp/library/jj205148.aspx)
- [拡張統合エッジ、NAT によるプライベート IP アドレスを使用した DNS 負荷分散](http://technet.microsoft.com/ja-jp/library/gg398823.aspx)
- [パブリック IP アドレスと DNS 負荷分散を使用する拡張統合エッジ](http://technet.microsoft.com/ja-jp/library/jj204761.aspx)
- [ロード バランサー機器を使用した拡張統合エッジ](http://technet.microsoft.com/ja-jp/library/gg398478.aspx)

構成後のテスト

構成後には外部からの接続テストが必要になりますが、以下のMicrosoft提供のテストサービスが便利です。

- [Microsoft リモート接続アナライザー](https://www.testexchangeconnectivity.com/)

私が戸惑ったポイント

Lyncをよく知らなかった私が戸惑ったポイント、まだよくわかっていないポイントは以下です。

エッジプールの「外部FQDN」の「SIPアドレス」

SIPアクセスのためのFQDNの例が「access.xxx.xxx」のものと「sip.xxx.xxx」のものがありどちらも固定的なものかと勘違いしましたが、単純にどちらでもいいし、別のものであってもよく単純に任意のものが設定できるというだけでした。DNSに登録するレコードの例のところでなんの前置きもなく使用されている例が多いので注意が必要です。

これはWeb会議や音声ビデオに関しても同じです。web会議はwebconf.xxx.xxxが多いですが、音声ビデオに関してはav.xxx.xxxだったり、avconf.xxx.xxxだったりするようです。外部WebサービスのFQDNも色々バリエーションがあるので注意が必要です。

内部用のポートは443、外部用のポートは4443

Lyncサーバーには内部からアクセスされるための443ポートのWebサイトと外部からアクセスされるための4443ポートのWebサイトがあり、同じ機能を提供している部分もあれば異なる機能を提供したり、そもそも内部と外部で存在していたり、しなかったりするページがあったりしています。なので、外部から内部へリバースプロキシするときには4443ポートへとフォワードさせます。

DNSに登録するレコードが多数存在

LyncではDNSサーバーに多数のレコードを登録させる必要があります。数が多数必要な上にパターンごとに微妙に異なり、更に内部と外部のスプリットブレイン構成(内部DNSにもインターネット空間と同じドメインを作成し、IP管理を二重化する構成方法)を取るのが一般的だったりしてしまうので、本当に多数のレコード(20ちかく)を登録する必要があります。私はこういうのはたくさんあると何度チェックしても抜けてしまいます…。

証明書の作成が面倒…

DNSに登録するレコードが多数ありHTTPSをつかってますので、証明書を作成するのもなかなかに面倒です。組織内部の証明書に関しては、ウィザードをつかってLyncトポロジを元に自動的に必要なエントリを取得、要求、割り当てまで行なってくれるのですが、外部公開用はEdgeとリバースプロキシ用で分かれていることもあり、きちんと手当しなければなりません。さらに、ちょっとURLを変更…ということが簡単にできてしまう構造なので証明書の作り直しリスクがなかなか高いです。このあたりはワイルドカード証明書を使ってしまえば楽です。

とりあえず、このあたりが私の思うポイントであり、戸惑ったところです。何か参考になるところがあれば幸いです。