Skype For Business Online に Web Proxy で接続


こんばんは、Lync サポートのワトソンです。

Lync 2013/SfB  クライアントから、SfB Online に接続を行う際、Lync 2013 / SfB クライアントは

端末の IE の Proxy 設定を利用し、各 URL に接続を行います。

Proxy をご利用頂く際、以下 1,2,3 の準備が必要になります。

 

■ 1. Proxy サーバーで必要な URL およびに IP のワイトリスト登録

内部のユーザーから Lync Online へのアクセスが発生した際、そのアクセスがプロキシ上で許可されており、認証などが求められない事。

メーカー様により設定の名前は異なりますが、一般的にはこれを事をホワイトリスト登録や認証除外設定を行います。

登録が必要な URL に関しましては以下のサイトをご覧ください。

URL:http://technet.microsoft.com/en-us/hh373144.aspx

Lync Online のみを登録の場合、以下のセクションの URL をご登録下さい。

A. Office 365 portal and identity

B. Lync Online

注意 1: 上記と合わせまして、Online のサーバーで利用されている証明書の失効 URL

の解決先である、公的証明機関の FQDN もご登録下さい。

上記 Technet 資料でも確認いただけますが、正しいリストに関しましては以下のサポート資料をご参照下さい。

http://support.microsoft.com/kb/2409256

例:crl.microsoft.com

*.verisign.com

*.symcb.com

*.symcd.com

*.verisign.net

*.geotrust.com

*.public-trust.com.

注意 2 : カスタムドメインをご利用の場合はカスタムドメインもワイトリスト登録を行って下さい。

 

■ 2. IE で Proxy を設定

直接入力する方法や Proxy.pac から、Proxy の設定を読み込む方法があります。

 

直接 IE で設定されている場合、以下のような設定になります

注意 1:AD FS を利用している場合、必ず、組織の AD FS サーバーを除外するよう設定して下さい。
もし、Proxy を経由し、AD FS に接続が行われた場合、Proxy からのアクセスであるため、
外部 DNS が利用され、AD FS Proxy 経由でトークンの取得がおこなわれ、クレームルールで弾かれます。
そのため、認証できない現象が発生する可能性がございます。
構成によっては、STS URL (AD FS) サーバーへのアクセスが Proxy を経由する事があるため、
Proxy サーバーに hosts レコードなどを登録して頂き、AD FS のサーバーに向けて頂ければ回避が可能になります。

注意 2: WPAD 方式を利用していない場合、 IE Proxy の Proxy 設定の [設定を自動的に検出する] を外しましょう。
Lync からの Proxy の検出が早くなる上に、不良なネットワークに抜けていく、Broadcast パケットも
へるためです。

 

Pac ファイルを利用する場合は以下の用な設定になります

■ 3. Proxy サーバーで HTTPS/SSL のセッションのタイムアウトを8時間に設定

上記、と合わせまして、Proxy サーバーでの設定の確認については以下の URL をご参照下さい。

http://support.microsoft.com/kb/2409256

 

■ Proxy サーバーを展開している環境での注意事項

1.  接続先の検出を行う為に使われる lyncdiscover.ホストについては以下のように個別で指定して下さい。

例:

function FindProxyForURL(url,host)  {

//  define proxy servers
var proxy01 = “PROXY kaisyanoproxy1.mydomain.jp:8080”;
var proxy02 = “PROXY kaisyanoproxy2.mydomain.jp:8080”;
{

if (url.substring(0, 21) == “https://lyncdiscover.”) {
return proxy01;
}

以下の列では lyncdiscover.mydomain.jp へのアクセスが、は正しく反映されない場合がありますので、

上記のようにご指定下さい。

dnsDomainIs(host, “*.mydomain.jp”)

2.  内部サブネットおよびに AD FS URL については DIRECT で指定して下さい。

例:

// Internal
if(
isInNet(host,”127.0.0.0″,”255.0.0.0″) ||
isInNet(host,”10.0.0.0″,”255.0.0.0″) ||
isInNet(host,”10.0.0.0″,”255.255.0.0″) ||
shExpMatch(host, “sts.mydomain.jp”) ||
){
return  “Direct”;
}

3. サインインはでき、EWS の展開もできており、プレゼンスは
Outlook のカレンダに基好き更新される。しかし、利用している際に
急に、Proxy の認証画面が表示される。

EWS の Autodiscovery 機能がリフレッシしており、以下の URL への
アクセスが発生している可能性がございます。

https://smtpdomain/autodiscover/autodiscover.xml

上記は Lync クライアントにハードコードされている EWS の接続
先を特定するために自動的にアクセスが行われる URL になり、
アクセスは通常の環境では失敗し、次の https://autodiscover.smtpdomain/autodiscover/autodiscover.xml
へ進みます。

Pac ファイルを利用している際は上記へのアクセスが Proxy 経由で抜けてしまう
場合があります。

そのため、以下のような列を追加し、失敗させるような対策方法を行って下さい。

ユーザーのメールアドレスが tarou@contoso.com の場合

例:

if (url.substring(0, 20) == https://contoso.com/) {
return proxy01;
}

注意:実際に他のシステムで上記のような URL を利用している場合、
Proxy サーバー内でリクエストをブロックするなどの対処方法を
とる必要がございます。

4.  クライアントの設定で、すべての通信をプロキシー経由にする設定はございません。

プロキシサーバーをご利用されているお客様は Pac ファイルや手動構成によりプロキシーの設定をいれております。
この場合、想定としては、SfB や Lync クライアントがその設定のみを利用し、サーバーへの接続を実施すると考えますが、
実際には Skype for  Business のクライアントではダイレクトの接続が可能である場合にはダイレクトの通信を
試す動作となります。

SfB/Lync クライアントは音声・ビデオ・アプリケーション共有などのリアルタイムの通信を行うクライアントであるため、
なるべくダイレクトのパスを利用しそれがだめであった場合にのみ、プロキシーにフォールバックする動作となります。

ダイレクトの通信をさせないオプションはご用意されていない状況となります。

5. Proxy 環境で、Skype for Business Online の IP アドレスに対して、一部ダイレクトで接続が可能であった場合に通信に問題が発生いたします。

Skype For Business Online で利用される IP アドレスや URL に関しましては以下の URL にて常に最新の情報がリリースされております。

Title:Office 365 URLs and IP address ranges
URL:https://support.office.com/en-us/article/Office-365-URLs-and-IP-address-ranges-8548a211-3fe7-47cb-abb1-355ea5aa88a2?ui=en-US&rs=en-US&ad=US

プロキシーサーバーを返した通信を実施させたい場合には、上記 URL や IP に対して、クライアントよりアクセスが可能ではないよう、
F/W でブロックを実施する必用がございます。

もし、一部の通信が通り、一部の通信が通らないよう構成を行っていた場合、Skype For Business のクライアントは会議などに参加を行うタイミングで
自身が直接接続できると判断してしまい会議に参加ができないなどの障害が発生いたします。

反対に Skype For Business Online への通信に関してはプロキシサーバーを返さないようにしたい場合、つまり、ダイレクトで成立させたい場合には
上記 URL にございます、IP アドレスへのアクセスを F/W 上で許可していただけますようお願いいたします。

引き続き快適な Sfb Life をお楽しみください。

 

免責事項:
本情報の内容 (添付文書、リンク先などを含む) は、作成日時点でのものであり、予告なく変更される場合があります。

 

 

Comments (1)

  1. 吉谷 より:

    ありがとうございます、私も、https://smtpdomain/autodiscover/autodiscover.xml にアクセスが発生してました。

Skip to main content