実機で確認したところ、Unified CM 11.5 - 8ページ

CiscoJapanModerator · ‎2016-07-20

シスコのサポートエンジニアに質問して疑問を解決できる「エキスパートに質問」へようこそ！
シスコのエキスパートから、アドバイスや最新の情報が得られる場として気軽にご質問ください。

開催期間: 2016年8月1日～8月31日
担当エキスパート: ユニファイドコラボレーション製品担当エンジニア

テクニカルアシスタンスセンター(TAC) で、ユニファイドコラボレーション製品に関するテクニカルサポートを担当するエンジニア達が、1か月間ご質問に回答いたします。

[質問方法]
・サポートコミュニティへ Cisco.com ID でログインすると、この説明の右下に「返信」ボタンが表示されます。「返信」ボタンのクリック後に表示される投稿欄に質問をご記入ください。「Submit」ボタンをクリックすると質問が投稿されます。
・個別のディスカッションが進行している場合でも、新規質問の投稿は可能です。
※期間終了後の投稿は、事務局より通常コミュニティへの再投稿をご案内させて頂きます。

[エキスパートからの回答について]
・ご質問の投稿から原則数日以内に回答できるよう努めますが、内容によっては、確認に時間をいただく場合もありますのでご了承ください。
・ご質問の内容がエキスパートの担当範囲外の場合は、サポートコミュニティ事務局から適切な投稿先をご案内させて頂きます。
・エキスパートからの回答が参考になった場合は、コメント及び評価機能にてエキスパートにお伝えください。

[制限事項]
・IP テレフォニー、ボイスゲートウェイ、コンタクトセンター、UC アプリケーション、テレプレゼンスに関連するご質問のみ対象とさせて頂きます。
・ソフトウェアの不具合に関するご質問は、本ディスカッションの対象外とさせて頂きます。
・ご質問の内容がソフトウェアの不具合に該当するか、詳細な調査が必要と判断した場合は、サービスリクエストでのお問い合わせをご案内させて頂きます。

Hiroaki Usui · ‎2016-08-19

こんにちは。

TCSはDNS SRVにて登録先アドレスの取得は行えません。
ご指摘のBug idにて機能拡張リクエストが行われていますが、実装については未定です。
よろしくお願いします。

Koji Kimura · ‎2016-08-15

TCS7.x の利用する TCP/IP ポートに関して教えてください。
以下のドキュメントでは、少なくとも SIP および RTP/RTCP の記載がありません。
http://www.cisco.com/c/en/us/td/docs/telepresence/tcs/7_1/admin/administration/tcs_7_1/ports.html
抜け漏れの内容または内容が記載される DDTS 番号など教えていただけないでしょうか？

Kenichi Ogami · ‎2016-08-29

返信が遅くなり申し訳ありませんでした。

メディアポートについては、Admin ガイドに "Use static ports" が disable 時の動作として、下記の記載があります。

Cisco TelePresence Content Server Release 7.1 Administration and User Guide

なお、過去に確認した限りでは "Use static port" を disable 時には下記のポートレンジが使われます。

Media: 12000-17000
H.245: 11000-20999

SIP については登録した DDTS などは見当たりませんでしたが、Firewall は 5060/5061 をオープンしてください。

どうぞ、よろしくお願いします。

Koji Kimura · ‎2016-08-29

> H.245: 11000-20999

>SIP については登録した DDTS などは見当たりませんでしたが、Firewall は 5060/5061 をオープンしてください。

ご回答ありがとうございました。

ガイド上に記載が無いが決められている tcp/ip ポートがあると理解しました。

Windows や Firewall などのログより確認していきたいと思います。

想定外のポートなどある場合は、ケースオープンさせていただきます。

Koji Kimura · ‎2016-08-15

TCS をクラスタ構成とする場合に、クラスタ構成ウィザードで指定するデータベースのカタログ名（database (catalog) prefix）とはなんでしょうか？
数値で始まる文字列をサポートされないなど文字列の制限などあるのでしょうか？

Kenichi Ogami · ‎2016-08-19

下記にデータベース（カタログ）プレフィックスに関する記載がありましたので、ご確認ください。文字数など詳細な条件については公開されているドキュメントは見当たりませんでした。

コンテンツサーバクラスタの作成と管理

Koji Kimura · ‎2016-08-22

ご回答ありがとうございます。

TCS7.1 まで含めてガイド上の記載は、同じ内容が記載されており、具体的な用途はガイド上の節からは読み取れない認識です。

ご回答より、

・上記の記載以外の具体的な内容はメーカでは提供していない。SQL Server の部分なので、技術的な内容は Microsoft 社へ。

・TCS 構築時に気にする値ではない（TCS クラスタ用に専用の外部データベースインスタンスを建てるため他のシステムとは干渉しない）

と、読み取りました。

Koji Kimura · ‎2016-08-24

・事前に SQL Server 内に作成した TCS 専用インスタンス内に

ウィザードの"（database (catalog) prefix）" で指定する文字列のデータベースが作成され、データベースの文字列の最後に "3" が付与されました。

共有まで。

Koji Kimura · ‎2016-08-15

VMmware Tools が提供する CUCM、IM&P など RHEL ベースの仮想マシンへの効果に関して教えてください。
インストールされていない場合の影響は具体的には何があるでしょうか？たとえば、メモリ利用の効率化など。背景としては、Tools10.0 を利用する ESXi へ CUCM を配備すると、Tools が実行されない、インストールされないいくつかの DDTS へ該当します。また、CSCuz50894 など修正されている ES を利用した場合でも、改善されないような事象もおきています。
SELinux を一時的に Permissive モードへ変更すれば改善はできそうですが、対応方法はケースオープンするとして「そもそも、CUCM などで Tools の具体的な効能が記載されているドキュメントを教えてほしいです。」

Yuki Iwagishi · ‎2016-08-15

お世話になっております。

Cisco Unified CM/IM & Presence/Unity Connection の場合、VMware Toolはインストールされた状態で出荷されています。VMware Toolがインストールされた状態を元にドキュメントを記載しているため、具体的な効能を示すドキュメントはありません。

例えば、ゲストの再起動・シャットダウン、vSphere Client上でのホスト名の取得、各種ESXi環境に最適化するためのドライバーはVMware Toolsを利用しています

ではなぜ、明示的にVMware Toolsを明示的にインストールするかなのですが、お客様環境でインストールするESXiとVMware Toolsのバージョンがマッチしていないから、になります。

バージョンがマッチしないことにより、機能はともかく、ドライバー関連の不整合が起きる可能性があります。

http://docwiki.cisco.com/wiki/VMware_Tools

VMware Tools are specialized drivers for virtual hardware that is installed in the UC applications when they are running virtualized. It is very important that the VMware tools version running in the UC application be in sync with the version of ESXi being used

If VMware tools status does not show "OK" from the viClient, the VMware Tools must be upgraded.

http://blogs.vmware.com/kb/2010/04/running-older-versions-of-virtual-machine-tools-on-newer-versions-of-esx-hosts.html

It is strongly recommended that the version of VMware Tools running in the VM match the version of ESX/ESXi on which the VM is running. It is also recommended that after ESX/ESXi is upgraded, that VMware Tools in all the VMs on that host be upgraded at the earliest opportunity.

よろしくお願いします。

Koji Kimura · ‎2016-08-15

・　具体的なドキュメントが無い旨、理解しました。

> http://blogs.vmware.com/kb/2010/04/running-older-versions-of-virtual-mac...

　参考になりました。

・　CSCuz50894,CSCux90747,CSCul78735 の修正版やワークアラウンドを行っているが予期せぬ事象が起きているのですが、こちらは実担当者よりケースオープンさせていただきました。

Koji Kimura · ‎2016-08-15

TMS と MCU5300 シリーズで予約会議でカスケード時の使用に関して教えてください。
CCC よりすべての参加者へメッセージを送信したいのですが、カスケードが構成された場合も CCC からメッセージは送信できるでしょうか。
カスケードスレーブ側に接続されるエンドポイントへは、メッセージがどのように表示されるか？
（カスケードマスター側のエンドポイント同様に画面中央に、メッセージが出力される。マスター側の発言者の枠内の中央にメッセージが表示されるなど）

Yuki Iwagishi · ‎2016-08-18

カスケードが構成された場合でも TMSのCCCからメッセージは送信できます。

メッセージの表示位置はTMSからの送信の場合、カスケードマスター側・スレーブ側共通で上部中央に表示されます。

Koji Kimura · ‎2016-08-15

TCS7.1 の OVA をデプロイ時の使用に関して教えてください。
http://docwiki.cisco.com/wiki/Virtualization_for_Cisco_TelePresence_Content_Server#Version_7.1
では、
(Hyperthreading Enabled) vCPU:12 となっており、物理コアとしては 6 コア割り当てればよいと読み取っています。
http://docwiki.cisco.com/wiki/Virtualization_for_Cisco_TelePresence_Content_Server#Version_7.0
では、(Hyperthreading Enabled) vCPU:4 となっており、物理コアとしては 2 コア割り当てればよいと読み取っています。
考え方として誤っているでしょうか？他の製品と記載のされ方が異なっているため、困っています。

Yuki Iwagishi · ‎2016-08-18

本件、docwiki 上の 7.0 の記載に誤りがあり、修正依頼中です。

BE6K専用ではないOVAの展開の場合ですが、下記の通りです。(Hyperthreading Enabled 前提)

	vCPU	物理CPUコア数
7.0	8	4
7.1	12	6

Koji Kimura · ‎2016-08-25

表が修正され Notes に説明がなされたことを確認しました。

ありがとうございます。

http://docwiki.cisco.com/wiki/Virtualization_for_Cisco_TelePresence_Content_Server#Notes_on_7.1_for_2_Live_.2B_10_Recording_VM_configuration

7.0 に関しては、OVA の記載に違和感を覚えますが、7.1 を利用したいと思います。

（CPU）

7.0

<rasd:ElementName>8 virtual CPU(s)</rasd:ElementName>

<rasd:InstanceID>1</rasd:InstanceID>

<rasd:ResourceType>3</rasd:ResourceType>

<rasd:VirtualQuantity>8</rasd:VirtualQuantity>

<vmw:CoresPerSocket ovf:required="false">2</vmw:CoresPerSocket>

7.1

<rasd:ElementName>12 virtual CPU(s)</rasd:ElementName>

<rasd:InstanceID>1</rasd:InstanceID>

<rasd:ResourceType>3</rasd:ResourceType>

<rasd:VirtualQuantity>12</rasd:VirtualQuantity>

<vmw:CoresPerSocket ovf:required="false">6</vmw:CoresPerSocket>

Koji Kimura · ‎2016-08-15

CUCM および VCS の証明書仕様に関して教えてください。
CUCM などへ、自己署名でなくプライベート CA より証明書を発行する場合
例えば、Micrsoft AD CS などで、証明書テンプレートを作成する必要がある認識です。

VCS などでの MRA に関するドキュメントでは、
X509v3 Extended Key Usage。
　- TLS Web Server Authentication。
　- TLS Web Client Authentication。
の記載を見かけます。

CUCM では、複数の証明書があり、証明書毎にどのようなテンプレートであるべきが記載されたドキュメントが見つけられませんでした。

例えば、CUCM のすべての証明書を発行するテンプレートは以下を含んでいれば動作するでしょうか？
X509v3 Key Usage。
　- Digital Signature。
　- Key Encipherment。
　- Data Encipherment。
　- Key Agreement。
X509v3 Extended Key Usage。
　- TLS Web Server Authentication。
　- TLS Web Client Authentication。
　- IPSec End System。

また、単一の VCS および CUCM で、MRA とB2B を提供し
シグナリングを TLS で接続する場合には、

X509v3 Extended Key Usage。
　- TLS Web Server Authentication。
　- TLS Web Client Authentication。
ではなく
X509v3 Extended Key Usage。
　- TLS Web Server Authentication。
　- TLS Web Client Authentication。
　- IPSec End System。
で発行するべきでしょうか？

X509v3 Key Usage および X509v3 Extended Key Usage の内容に不足がある場合、動作しなくなるものでしょうか？

Kenichi Ogami · ‎2016-08-17

実機で確認したところ、Unified CM 11.5 の証明書署名要求 (CSR: Certificate Signing Request) には下記の Key Usage と Extended Key Usage が記載されています。基本的には CSR に従って証明書を作成してください。

CSR の内容は、Unix や Mac などで、openssh req -in XXXX.csr -text コマンドで確認できます。

- Callmanager.csr

        Requested Extensions:
            X509v3 Extended Key Usage:
                TLS Web Server Authentication, TLS Web Client Authentication
            X509v3 Key Usage:
                Digital Signature, Key Encipherment, Data Encipherment

- capf.csr

        Requested Extensions:
            X509v3 Basic Constraints:
                CA:TRUE, pathlen:0
            X509v3 Extended Key Usage:
                TLS Web Server Authentication
            X509v3 Key Usage:
                Digital Signature, Certificate Sign

- tomcat.csr

        Requested Extensions:
            X509v3 Extended Key Usage:
                TLS Web Server Authentication, TLS Web Client Authentication
            X509v3 Key Usage:
                Digital Signature, Key Encipherment, Data Encipherment

- ipsec.csr

        Requested Extensions:
            X509v3 Extended Key Usage:
                TLS Web Server Authentication, TLS Web Client Authentication, IPSec End System
            X509v3 Key Usage:
                Digital Signature, Key Encipherment, Data Encipherment

ご参考

Administration Guide for Cisco Unified Communications Manager and IM and Presence Service, Release 11.5(1) ※Extended Key Usage の項目は誤記があり確認中
Cisco Expressway Certificate Creation and Use Deployment Guide (X8.8)

Koji Kimura · ‎2016-08-17

ご回答いただいたドキュメントは見ていたのですが、

例えば CallManager サービスの証明書では

--------① ご回答いただいた内容---------

- Callmanager.csr

        Requested Extensions:
            X509v3 Extended Key Usage:
                TLS Web Server Authentication, TLS Web Client Authentication
            X509v3 Key Usage:
                Digital Signature, Key Encipherment, Data Encipherment

--------②掲示いただいた参照先の 11.5 のガイドの内容---------

The CSRs for Cisco Unified Communications Manager use the following extensions:
X509v3 Extended Key Usage:
TLS Web Server Authentication, TLS Web Client Authentication, IPSec End System
X509v3 Key Usage:
Digital Signature, Key Encipherment, Data Encipherment, Key Agreement

--------③CUCM 10.5.2 の実機で生成した CSR の内容---------

        Requested Extensions:
            X509v3 Extended Key Usage:
                TLS Web Server Authentication, TLS Web Client Authentication, IPSec End System
            X509v3 Key Usage:
                Digital Signature, Key Encipherment, Data Encipherment, Key Agreement

----- ④CUCM 10.5.2 のインストール時に生成される自己署名証明書------

        X509v3 extensions:
            X509v3 Key Usage:
                Digital Signature, Key Encipherment, Data Encipherment, Key Agreement, Certificate Sign
            X509v3 Extended Key Usage:
                TLS Web Server Authentication, TLS Web Client Authentication, IPSec End System

----------

・CSCuq48738 により ④の「Certificate Sign」は含んでいなくてよい認識でいます。

・②③の「Key Encipherment, Data Encipherment,」と「Key Agreement」は

Windows Server 2012R2 の AD CS で定義する証明書テンプレートでは排他設定となっており、双方を含めることができません。結果、CSR と発行される証明書とに不一致が起きています。

・①と②の内容の差分が、「誤記があり確認中」を指しているのでしょうか？

CSCuq73658 を見ると「Key Agreement」や「IPSec End System」あたりは、含まれていなくともよさそうにも読み取れますが、、、

・Key Usage や Extended Key Usage が Critical 扱いになってないので、CN や SAN が正しければ実際のところ何でもよいのでしょうか…

各種イベントや cisco.com サイトにて、CA-Signed や Multiserver SAN などドキュメントや構成をメーカさまより提供いただいてはおりますが、各サービス毎のあるべき証明書の内容や差分があるときの影響が理解できていません。

Kenichi Ogami · ‎2016-08-30

返信が遅くなり申し訳ありませんでした。

確認したところ、ご認識のとおり Key Agreement は参照していないようで、CSCuq73658 で CSR から削除されています。結果として上記の 10.5 と 11.5 の CSR の差分となっています。類似の DDTS として CSCus11311 がありますが、CSCuq73658 に Duplicate されています。

この修正の 10.5 へのバックポーティングについては、リグレッション試験の関係で見送られたようでした。

どうぞ、よろしくお願いします。

教えて！ユニファイドコラボレーション(エキスパートに質問)