Skype For Business Online に Web Proxy で接続 「2017 年 2 月更新」


こんばんは、Lync サポートのワトソンです。

Lync 2013/SfB  クライアントから、SfB Online に接続を行う際、Lync 2013 / SfB クライアントは

端末の IE の Proxy 設定を利用し、各 URL に接続を行います。

Proxy をご利用頂く際、以下 1,2,3 の準備が必要になります。

 

■ 1. Proxy サーバーで必要な URL およびに IP のワイトリスト登録

内部のユーザーから Lync Online へのアクセスが発生した際、そのアクセスがプロキシ上で許可されており、認証などが求められない事。

メーカー様により設定の名前は異なりますが、一般的にはこれを事をホワイトリスト登録や認証除外設定を行います。

登録が必要な URL に関しましては以下のサイトをご覧ください。

URL:http://technet.microsoft.com/en-us/hh373144.aspx

Lync Online のみを登録の場合、以下のセクションの URL をご登録下さい。

A. Office 365 portal and identity

B. Lync Online

注意 1: 上記と合わせまして、Online のサーバーで利用されている証明書の失効 URL

の解決先である、公的証明機関の FQDN もご登録下さい。

上記 Technet 資料でも確認いただけますが、正しいリストに関しましては以下のサポート資料をご参照下さい。

http://support.microsoft.com/kb/2409256

例:crl.microsoft.com

*.verisign.com

*.symcb.com

*.symcd.com

*.verisign.net

*.geotrust.com

*.public-trust.com.

注意 2 : カスタムドメインをご利用の場合はカスタムドメインもワイトリスト登録を行って下さい。

 

■ 2. IE で Proxy を設定

直接入力する方法や Proxy.pac から、Proxy の設定を読み込む方法があります。

 

直接 IE で設定されている場合、以下のような設定になります

注意 1:AD FS を利用している場合、必ず、組織の AD FS サーバーを除外するよう設定して下さい。
もし、Proxy を経由し、AD FS に接続が行われた場合、Proxy からのアクセスであるため、
外部 DNS が利用され、AD FS Proxy 経由でトークンの取得がおこなわれ、クレームルールで弾かれます。
そのため、認証できない現象が発生する可能性がございます。
構成によっては、STS URL (AD FS) サーバーへのアクセスが Proxy を経由する事があるため、
Proxy サーバーに hosts レコードなどを登録して頂き、AD FS のサーバーに向けて頂ければ回避が可能になります。

注意 2: WPAD 方式を利用していない場合、 IE Proxy の Proxy 設定の [設定を自動的に検出する] を外しましょう。
Lync からの Proxy の検出が早くなる上に、不良なネットワークに抜けていく、Broadcast パケットも
へるためです。

 

Pac ファイルを利用する場合は以下の用な設定になります

■ 3. Proxy サーバーで HTTPS/SSL のセッションのタイムアウトを8時間に設定

上記、と合わせまして、Proxy サーバーでの設定の確認については以下の URL をご参照下さい。

http://support.microsoft.com/kb/2409256

 

■ Proxy サーバーを展開している環境での注意事項

1.  接続先の検出を行う為に使われる lyncdiscover.ホストについては以下のように個別で指定して下さい。

例:

function FindProxyForURL(url,host)  {

//  define proxy servers
var proxy01 = “PROXY kaisyanoproxy1.mydomain.jp:8080”;
var proxy02 = “PROXY kaisyanoproxy2.mydomain.jp:8080”;
{

if (url.substring(0, 21) == “https://lyncdiscover.”) {
return proxy01;
}

以下の列では lyncdiscover.mydomain.jp へのアクセスが、は正しく反映されない場合がありますので、

上記のようにご指定下さい。

dnsDomainIs(host, “*.mydomain.jp”)

2.  内部サブネットおよびに AD FS URL については DIRECT で指定して下さい。

例:

// Internal
if(
isInNet(host,”127.0.0.0″,”255.0.0.0″) ||
isInNet(host,”10.0.0.0″,”255.0.0.0″) ||
isInNet(host,”10.0.0.0″,”255.255.0.0″) ||
shExpMatch(host, “sts.mydomain.jp”) ||
){
return  “Direct”;
}

3. サインインはでき、EWS の展開もできており、プレゼンスは
Outlook のカレンダに基好き更新される。しかし、利用している際に
急に、Proxy の認証画面が表示される。

EWS の Autodiscovery 機能がリフレッシしており、以下の URL への
アクセスが発生している可能性がございます。

https://smtpdomain/autodiscover/autodiscover.xml

上記は Lync クライアントにハードコードされている EWS の接続
先を特定するために自動的にアクセスが行われる URL になり、
アクセスは通常の環境では失敗し、次の https://autodiscover.smtpdomain/autodiscover/autodiscover.xml
へ進みます。

Pac ファイルを利用している際は上記へのアクセスが Proxy 経由で抜けてしまう
場合があります。

そのため、以下のような列を追加し、失敗させるような対策方法を行って下さい。

ユーザーのメールアドレスが tarou@contoso.com の場合

例:

if (url.substring(0, 20) == https://contoso.com/) {
return proxy01;
}

注意:実際に他のシステムで上記のような URL を利用している場合、
Proxy サーバー内でリクエストをブロックするなどの対処方法を
とる必要がございます。

4.  クライアントの設定で、すべての通信をプロキシー経由にする場合、以下のレジストリーの設定を行って下さい (2017/02 月更新)

1. レジストリーエデイターを開きます
2. 次のレジストリ キーをクリックしますHKEY_CURRENT_USER\Software\Microsoft\UCCPlatform\Lync 。
3. [編集] メニューで、新規作成] を選択し、 DWORD 値します。
4. 型のEnableDetectProxyForAllConnectionsです。
5. [編集] メニューの [変更を] を選択します。
6.  1」と入力し、 [ok]を選択します。
7. レジストリ エディターを終了します。
8. ビジネス クライアント用の Lync と Skype を起動します。
参考情報:
https://support.microsoft.com/ja-jp/help/3207112/skype-for-business-should-use-proxy-server-to-sign-in-instead-of-trying-direct-connection

上記レジストリーを設定した場合、DNS 解決を行い、DNS サーバーから IP アドレスを取得した場合であっても、
その IP に対して、直接アクセスを試す事はございません。

ただし、DNS サーバーが、 ルートヒントにアクセスができず、SERVER FAILURE などのレスポンスを返しており、
lync.com 系の ホストの IP を返していないような環境の場合、サインインが 1 分以上かかる状況が発生します。

その場合、DNS サーバーで、ルートヒントの無効化を行う事や、lync.com の空ゾーンを作っていただくなどの
対応をご検討下さい。

参考情報:
Title: Skype for Business Online – Proxy 環境における DNS の影響
URL: https://blogs.msdn.microsoft.com/lync_support_team_blog_japan/2015/04/15/skype-for-business-online-proxy-dns/

5. Proxy 環境で、Skype for Business Online の IP アドレスに対して、一部ダイレクトで接続が可能であった場合に通信に問題が発生いたします。 (2017/02 月更新)

Skype For Business Online で利用される IP アドレスや URL に関しましては以下の URL にて常に最新の情報がリリースされております。

Title:Office 365 URLs and IP address ranges
URL:https://support.office.com/en-us/article/Office-365-URLs-and-IP-address-ranges-8548a211-3fe7-47cb-abb1-355ea5aa88a2?ui=en-US&rs=en-US&ad=US

上記 4 のレジストリーを設定しておらず、プロキシーサーバーを返した通信を実施させたい場合には、上記 URL や IP に対して、クライアントよりアクセスが可能ではないよう、
F/W でブロックを実施する必用がございます。

もし、一部の通信が通り、一部の通信が通らないよう構成を行っていた場合、Skype For Business のクライアントは会議などに参加を行うタイミングで
自身が直接接続できると判断してしまい会議に参加ができないなどの障害が発生いたします。

反対に Skype For Business Online への通信に関してはプロキシサーバーを返さないようにしたい場合、つまり、ダイレクトで成立させたい場合には
上記 URL にございます、IP アドレスへのアクセスを F/W 上で許可していただけますようお願いいたします。

引き続き快適な Sfb Life をお楽しみください。

 

 

免責事項:
本情報の内容 (添付文書、リンク先などを含む) は、作成日時点でのものであり、予告なく変更される場合があります。

 

 

Comments (1)

  1. 吉谷 より:

    ありがとうございます、私も、https://smtpdomain/autodiscover/autodiscover.xml にアクセスが発生してました。

Skip to main content