Lync Online構成のDNSレコード(再変更)

 

昨年の11月頃、こちらの記事で紹介させて頂いた通り、Office365の管理者ポータルのドメインメニューから表示されるDNSレコードの構成要件が変更になりました。

おそらく先月くらいからだと思うのですが、こちらの表示が少し変わったように思えます。

_sip._tlsのSRVレコードの行が復活し、しかも微妙に表示がずれています。これは、プランPの方でも同じ表示になっています。

最近は特に_sip._tlsのレコードは明示的に追加はしていないのですが、もし問題が発生したら追加してみようと思います。

(9/5追加)
コミュニティで回答がありました。Lync AttendeeクライアントがSIPのAレコードは認識せずにSRVレコードのみ対応しているため、それ用に必要なレコードだそうです。

なるほど、そういえば微妙にLyncとLync Attendeeの挙動が違う環境があると思ってましたが、AttendeeはSRVレコードのみ(=Proxy非対応でIEの設定の影響を受けない)なのですね。

【参照】
Lync Online の会議に Lync Attendee クライアントを利用して接続できない

.NETラボ勉強会(9月)

9/22に実施される.NETラボさんの勉強会に、MVP for Directory Servicesである国井さんと一緒に「ADFS/Office365連携の紹介」のタイトルで登壇させて頂くことになりました。

内容の詳細はこれから詰めるのですが、私のパートの方はOffice365のADFSの運用やトラブルシュート関係(おそらく、今であれば証明書周りになると思いますが)にしようかなと思ってます。

FIMのハンズオン(GoogleAppsとのシングルサインオン環境構築)も有りますし、凄い豪華な内容になっています。まだ申込みは始まってないようですが、興味のある方は是非参加頂けると幸いです。

ディレクトリ同期のフィルタ設定

ディレクトリ同期ツールは、デフォルトでいくつかのフィルタルール(例えば、isSystemCriticalObject属性の物は同期しない)などが設定されており、それらを除いて同期オブジェクトのフィルタリングはMicrosoftの正式なサポートとしては提供されておりません。

ただ、用途によっては特定のOUのみ同期させたい、特定のドメインのオブジェクトのみ同期させたいということがあるかと思います。(テストで実施をする場合や、オンプレミスのシステムで利用しているサービスアカウント群を同期したくない、など)

英語版のコミュニティのWikiに Configure Filtering for Directory Synchronization というカスタムのフィルタを設定する方法が公開されておりますので、ここではその内容を一部抜粋して紹介したいと思います。

【前提】以下で紹介する手順は、いずれもディレクトリ同期ツールに含まれるdentity ManagerもしくはSyncronization Service Managerという管理コンソールからMIISAdminsグループに所属するユーザーアカウントで実行します。(ディレクトリ同期ツールは32bit版はILM2007、64bit版はFIM2010をベースにしていますので、インストールされている場所が異なりますが、見た目含め中身はほぼ一緒です)

  • 32bit版:C:Program FilesMicrosoft Online Directory SyncSYNCBUSUIShellmiisclient.exe
  • 64bit版:C:Program FilesMicrosoft Online Directory SyncSYNCBUSSynchronization ServiceUIShellmiisclient.exe

(参考:64bit版のツールを起動した画面)

①OUベースのフィルタリング

  • 「Management Agents」を開き、「SourceAD」をダブルクリックする
  • 「Configure Directory Partitions」をクリックし、「Containers」を開く
  • ADのログオン情報を求められるので、ADへの読み取りアクセス権を持つユーザーのID、PASSを入力する
  • ドメインのツリーが表示されますので、同期したくないOU、コンテナのチェックを外す
  • SourceADを右クリックして「Run」「Full Import Full Sync」を選択する

②ドメインベースのフィルタリング

  • 「Management Agents」を開き、「SourceAD」をダブルクリックする
  • 「Configure Directory Partitions」をクリックする
  • 「Select Directory Partitions」から、同期したくないドメインのチェックを外す
  • SourceADを右クリックして「Run」「Full Import Full Sync」を選択する

③ユーザー属性ベースのフィルタリング

例として、extensionAttribute15属性にNoSyncが設定されているユーザーを同期対象外とするように構成したいと思います。
※ここで紹介するフィルタリングはユーザーオブジェクトのみに適用可能です。(グループならびに連絡先は、より複雑なフィルタリングが施されております。)

  • 「Management Agents」を開き、「SourceAD」をダブルクリックする
  • 「Configure Connector Filter」をクリックする
  • Data Source Object Typeに「user」を選択して「New」をクリックする
  • Data source attributeに「extensionAttribute15」、Operatorに「Equals」、Valueに「NoSync」を入力し、「Add Condition」「OK」の順にクリックする
  • Configure Connector Filterの画面でOKをクリックする
  • SourceADを右クリックして「Run」「Full Import Full Sync」を選択する

この辺りの概要については、ILM 2007 を使用して Active Directory ユーザーを管理する などのTechnet記事などに紹介がありますので、それぞれの項目についてもう少し理解をしたい場合には参考になさってください。

Exchangeの一部設定は定期的に見直しましょう

※2013.1追記 Office365のUpgradeプロセス見直しにより、各テナントのパラメータが保持されるようになったようです。よって、以下の問題は発生しないものと思われます。

Office365は、Exchange2010をベースとして開発されておりますが、クラウドサービス向けにデフォルトの設定値とは少しパラメータを変更して提供されております。

ところが、クラウドサービスの性質上、定期的にバージョンアップや仕様変更(例えば、メールボックス容量の増加)などを実装する場合があり、この際にExchangeデフォルト値→Office365デフォルト値に変更をするというスクリプトが実行されています(サーバの設定値がソフトウェアデフォルトに戻ってしまわないようにだと思われますが、)。

通常であればあまり問題は無いのですが、ユーザー側でも設定変更が可能なパラメーターが少数ながら存在し、その値をユーザーサイドでカスタマイズして利用している場合は、定期的に変更していないか確認をして設定変更する必要があります。

私の確認した範囲で、上書きされる可能性の有るパラメータは以下2コマンドの3パラメータです。

Set-RemoteDomain AutoForwardEnabled True
AutoReplyEnabled True
Set-OrganizationConfig MailTipsLargeAudienceThreshold 25

特に、前者はセキュリティ上の理由で外部転送を拒否していると思われますので、定期的に確認をして設定が戻っていないかを調査するのが望ましいと思われます。

なお、この変更は私のテナントだと2011/8、2011/11、2012/6の3回実施されております。実施されたかどうか、どういったコマンドが実行されたかは管理者監査ログを取得することにより、確認をすることができます。通常は利用することができない Administrator w3wp などの特権アカウントでメンテナンスは実行されますので、それと合わせることにより確認がしやすいかと思います。

実行されている詳細なコマンドは以下の通りです。

Set-OrganizationFlags 影響なし
Set-TenantObjectVersion 影響なし
Set-PerimeterConfig DomainController “” 影響なし
Identity apcprd03.prod.outlook.com
/Microsoft Exchange Hosted
Organizations/contoso.onmicrosoft.com
EhfConfigSyncEnabled True
RouteOutboundViaEhfEnabled True
SyncToHotmailEnabled False
EhfAdminAccountSyncEnabled False
HygieneSuite Standard
Set-TransportConfig DomainController “” 影響なし
Identity contoso.onmicrosoft.com
UseServicePlanAsCounterInstanceName True
OrganizationFederatedMailbox FederatedEmail.xxxxxx
@contoso.onmicrosoft.com
SupervisionTags Reject;Allow
Set-MailboxPlan DomainController “” 影響なし
Identity apcprd03.prod.outlook.com/
Microsoft Exchange Hosted
Organizations/contoso.onmicrosoft.com
/Default-xxxxx
QueryBaseDNRestrictionEnabled False
RecipientLimits 500
MaxSendSize 35 MB (36,700,160 bytes)
MaxReceiveSize 36 MB (37,748,736 bytes)
ResetPasswordOnNextLogon False
SingleItemRecoveryEnabled True
EwsEnabled True
ActiveSyncEnabled True
MAPIEnabled True
MAPIBlockOutlookNonCachedMode True
HiddenFromAddressListsEnabled False
UseDatabaseRetentionDefaults False
RecoverableItemsQuota 30 GB (32,212,254,720 bytes)
RecoverableItemsWarningQuota 20 GB (21,474,836,480 bytes)
Set-CASMailboxPlan 影響なし
Set-RemoteDomain Identity contoso.onmicrosoft.com 影響あり
AutoForwardEnabled True
AutoReplyEnabled True
Set-OrganizationConfig DomainController “” 影響あり
Identity contoso.onmicrosoft.com
MailTipsGroupMetricsEnabled True
MailTipsMailboxSourcedTipsEnabled True
MailTipsAllTipsEnabled True
MailTipsLargeAudienceThreshold 25
Set-Mailbox Identity apcprd03.prod.outlook.com
/Microsoft Exchange Hosted
Organizations/contoso.
onmicrosoft.com/FederatedEmail.xxxxx
影響なし
SCLQuarantineEnabled False
Force True
Arbitration True
ProhibitSendQuota 10 GB (10,737,418,240 bytes)
RecoverableItemsQuota 30 GB (32,212,254,720 bytes)
SCLDeleteEnabled False
UseDatabaseQuotaDefaults False
SCLRejectEnabled False
DisplayName Microsoft Exchange
RecoverableItemsWarningQuota 20 GB (21,474,836,480 bytes)
IssueWarningQuota 9 GB (9,663,676,416 bytes)
ProhibitSendReceiveQuota 10 GB (10,737,418,240 bytes)
HiddenFromAddressListsEnabled True
SCLJunkEnabled False
New-ApprovalApplication 影響なし
New-ApprovalApplicationContainer 影響なし
install-Container 影響なし
Install-ActiveSyncDeviceClassContainer 影響なし
Set-MServSyncConfigFlags 影響なし
Set-Organization 影響なし
Install-FederationContainer 影響なし
New-MicrosoftExchangeRecipient 影響なし
Install-InternetMessageFormat 影響なし
Install-GlobalSettingsContainer 影響なし
Install-EmailAddressPolicy 影響なし
install-PerimeterConfigContainer 影響なし
install-TransportConfigContainer 影響なし
Install-GlobalAddressLists 影響なし
Set-ManagementSiteLink 影響なし