次の方法で共有

  • [アーティクル]

Lync Server 2010 のデータベースのセキュリティ強化および保護

 

トピックの最終更新日: 2012-10-18

Microsoft Lync Server 2010 は、ユーザー情報、会議の状態、アーカイブ データ、および通話詳細記録 (CDR) を格納するために、SQL Server データベースも使用します。Lync Server バックエンド データベースに格納された Lync Server 2010 データの可用性を最大限高めるには、フォールト トレランスが向上し、トラブルシューティングが容易になるように、アプリケーション データを分割します。アプリケーション データを分割する方法は、次のとおりです。

  • **サーバーの分割に関するベスト プラクティスを使用します。**オペレーティング システム、アプリケーション、およびプログラム ファイルをデータ ファイルと分離します。

  • **トランザクション ログ ファイルとデータベース ファイルを格納します。**これらのファイルを別々の場所に格納することにより、フォールト トレランスを向上させ、復旧処理を最適化します。これらのファイルは、暗号化されたディスクまたはボリュームに格納します。

  • **サーバーのクラスター化を使用します。**バックエンド サーバーをクラスター化し、Lync Server 2010 システムの可用性を高めます。

  • **すべてのデータ バックアップが暗号化され、正しく処理されていることを確認します。**バックアップ メディアの紛失、破棄、または誤った設置は、Lync Server 2010 展開のデータ セキュリティにとって重大な脅威となる可能性があります。

Standard Edition サーバー以外の Lync Server 2010 サーバーでは、SQL Server Express インスタンス (RTCLOCAL インスタンス) にはリモートからアクセスできません。また、Standard Edition サーバー上の SQL Server Express を除いて、ローカルのファイアウォール例外が作成されることはありません。Standard Edition サーバーでは、バックエンド データベースおよび中央管理ストア (CMS) が設定され、リモートからアクセスできます。SQL Server データベースのセキュリティを強化するには、次の操作を実行できます。

  • Standard Edition サーバー上の SQL Server Express ファイアウォールをカスタマイズして、データベースにリモートからアクセスできるサーバーのスコープを制限します。既定では、すべての IP アドレスがデータベースにリモートからアクセスできます。

  • SQL Server 構成マネージャーを使用して、SQL Server リモート アクセス用のプロトコル、IP アドレス、およびポートを指定します。

    • Lync Server 2010 では TCP/IP プロトコルを使用します。IP version 4 (IPv4) をサポートし、IP version 6 (IPv6) はサポートしません。

      note注:
      Lync Server 2010 は、デュアル IP スタックが有効になっているネットワークで動作できます。

    • Lync Server 2010 は複数の IP アドレス (マルチホーム ネットワーク アドレス カード) をサポートします。SQL Server が特定の IP アドレス (個別のアドレスまたはサブネット単位) のみをリッスンすることや、特定のプロトコルのみを使用することを指定できます。

    • Lync Server 2010 は静的および動的な SQL Server ポートをサポートします。

  • 既定でない静的ポートで SQL Server を実行し、SQL Server ブラウザーを実行しません (この結果、クライアントにリッスン ポートをレポートできません)。フロント エンド サーバー、監視サーバー、アーカイブ サーバー、管理コンソール (Lync Server 管理シェル、Lync Server コントロール パネル、またはトポロジ ビルダーを実行)、および Lync Server データベースを実行している他のすべてのサーバーを含めて、各 SQL Server クライアントでのカスタム構成が必要になります。

note注:
データベースへのアクセスは、信頼できるデータベース管理者に制限する必要があります。悪意のあるデータベース管理者は、Lync Server 2010 サーバーへの直接アクセスや制御が付与されていない場合でも、データベースにデータを挿入したりデータを変更したりして、Lync Server 2010 サーバーの特権を取得したり、サービスの機密情報を入手する可能性があります。

カスタム構成および SQL Server データベースのセキュリティ強化の詳細については、NextHop のブログ記事「Using Lync Server 2010 with a Custom SQL Server Network Configuration」(https://go.microsoft.com/fwlink/?linkid=214008&clcid=0x411) を参照してください。

note注:
オペレーティング システムとアプリケーション サーバーのセキュリティも強化できます。また、グループ ポリシーを使用して Lync Server 展開にセキュリティ ロックダウンを実装できます。詳細については、「Lync Server 2010 のサーバーおよびアプリケーションの強化と保護」を参照してください。