Lync Server 2013 パッシブ認証の構成

  • [アーティクル]

 

トピック最終更新日時: 2013-07-11

次のセクションでは、パッシブ認証をサポートするために、累積的な更新を使用して Lync Server 2013 を構成する方法について説明します。2013 年 7 月です。 有効にすると、2 要素認証を有効にした Lync ユーザーは、物理スマート カードまたは仮想スマート カードと有効な PIN を使用して、Lync 2013 と累積更新: 2013 年 7 月クライアントを使用してサインインする必要があります。

注意

レジストラーと Web サービスのパッシブ認証はサービス レベルで有効にすることを強くお勧めします。 グローバル レベルでレジストラーと Web サービスに対してパッシブ認証が有効になっている場合、累積更新: 2013 年 7 月のクライアント デスクトップ クライアントで Lync 2013 でサインインしていないユーザーの組織全体の認証エラーが発生する可能性があります。

Web サービス構成設定

次の手順では、パッシブ認証を有効にするディレクター、エンタープライズ プール、Standard Edition サーバーにカスタムの Web サービス構成設定を作成する方法について説明します。

カスタムの Web サービス構成設定を作成するには

  1. Lync 管理者アカウントを使用して、累積的な更新: 2013 年 7 月のフロントエンド サーバーで Lync Server 2013 にログインします。

  2. Lync Server 2013 管理シェルを起動します。

  3. Lync Server Management Shell コマンド ラインから、次のコマンドを実行してパッシブ認証を有効にする、ディレクター、エンタープライズ プール、および Standard Edition サーバーごとに新しい Web サービス構成を作成します。

    New-CsWebServiceConfiguration -Identity "Service:WebServer:LyncPool01.contoso.com" -UseWsFedPassiveAuth $true -WsFedPassiveMetadataUri https://dc.contoso.com/federationmetadata/2007-06/federationmetadata.xml

    警告

    WsFedPassiveMetadataUri の FQDN の値は、AD FS 2.0 サーバーのフェデレーション サービス名です。 フェデレーション サービス名の値は、AD FS 2.0 管理コンソールでナビゲーション ウィンドウの [サービス] を右クリックし、[Edit Federation Service Properties] を選択すると確認できます。

  4. 次のコマンドを実行して、UseWsFedPassiveAuth と WsFedPassiveMetadataUri の値が正しく設定されたことを確認します。

    Get-CsWebServiceConfiguration -identity "Service:WebServer:LyncPool01.contoso.com" | format-list UseWsFedPassiveAuth, WsFedPassiveMetadataUri

  5. クライアントでは、パッシブ認証は WebTicket 認証の最も望ましくない方法です。 パッシブ認証が有効になるすべてのディレクター、エンタープライズ プール、Standard Edition サーバーでは、次のコマンドを実行して、他のすべての認証の種類を Lync Web Services で無効にする必要があります。

    Set-CsWebServiceConfiguration -Identity "Service:WebServer:LyncPool01.contoso.com" -UseCertificateAuth $false -UsePinAuth $false -UseWindowsAuth NONE

  6. 次のコマンドを実行して、他のすべての認証の種類が正常に無効になっていることを確認します。

    Get-CsWebServiceConfiguration -Identity "Service:WebServer:LyncPool01.contoso.com" | format-list UseCertificateAuth, UsePinAuth, UseWindowsAuth

プロキシ構成設定

Lync Web Services で証明書認証が無効になっている場合、Lync クライアントは、Kerberos や NTLM などのあまり優先されない認証の種類を使用して、レジストラー サービスに対する認証を行います。 Lync クライアントが Web チケットを取得できるようにするには、証明書認証が引き続き必要ですが、レジストラー サービスでは Kerberos と NTLM を無効にする必要があります。

次の手順では、パッシブ認証を有効にするエッジ プール、エンタープライズ プール、Standard Edition サーバーにカスタムのプロキシ構成設定を作成する方法について説明します。

カスタムのプロキシ構成設定を作成するには

  1. Lync Server Management Shell コマンド ラインから、各 Lync Server 2013 の新しいプロキシ構成と累積更新を作成します。2013 年 7 月のエッジ プール、エンタープライズ プール、Standard Edition サーバーは、次のコマンドを実行してパッシブ認証を有効にします。

     New-CsProxyConfiguration -Identity "Service:EdgeServer:EdgePool01.contoso.com" 
 -UseKerberosForClientToProxyAuth $False -UseNtlmForClientToProxyAuth $False

     New-CsProxyConfiguration -Identity "Service:Registrar:LyncPool01.contoso.com" 
 -UseKerberosForClientToProxyAuth $False -UseNtlmForClientToProxyAuth $False

  2. 次のコマンドを実行して、他のすべてのプロキシ認証の種類が無効になっていることを確認します。

    Get-CsProxyConfiguration -Identity "Service:Registrar:LyncPool01.contoso.com"
     | format-list UseKerberosForClientToProxyAuth, UseNtlmForClientToProxyAuth, UseCertifcateForClientToProxyAuth