サポート情報Techinical FAQ Version 3.2
Visual Nexus Secure Transport
- 管理(一般的な質問)
- インストール・動作環境
- グループクライアントとしてインストールした場合、パーソナルクライアントとしては利用できないのですか?
- Secure Transport Serverを静的NATの中に入れることはできますか?
- Secure Transport Serverが動作していることを確認するためにプロセス名を教えてください。
- Secure Transport Serverを稼動させるために必要なOSの条件はありますか?
- ゲートキーパをローカルのネットワークに入れることは可能ですか?
- Visual Nexus Secure Transportクライアント と Visual Nexus Secure Transportサーバ間は、HTTP Proxy Serverを経由して接続できません。
- Visual Nexus Secure TransportサーバとVisual Nexus Meeting Serverを同一サーバマシン上で稼動させることは可能ですか?
- サーバのIPアドレスを変更した場合、Secure Transportサーバはどのような設定変更が必要ですか?
- 仕様
- 運用
- 暗号化対応版
管理(一般的な質問)
- どのような構成になりますか?
Visual Nexus Meeting ServerとSecure Transport ServerそれぞれにグローバルIPアドレスを割り当てる必要があります。
Secure Transport Server側から見て、Visual Nexus Meeting Serverはゲートキーパという位置づけになります。
必ずしも同じネットワークセグメントに設置する必要はありませんが、Visual Nexus Meeting ServerとSecure Transport Serverの間でRASの通信を行いますので、基本的に同じネットワークセグメント(DMZ)に設置します。クライアント側は、パーソナルクライアントとグループクライアントという2つのインストールタイプがあります。
パーソナルクライアントは、同じPC端末にインストールされているソフトウェアタイプのH.323端末を使用する際に利用します。Visual Nexus v3.0では、パーソナルクライアントはVisual Nexus Endpointをインストールすると同時に一緒にインストールされます。個別にインストールすることも可能です。
グループクライアントは、主にハードウェアタイプのH.323端末を使用する場合に利用します。H.323端末のあるネットワーク(LAN)上にPCを設置し、そのPCにグループクライアントをインストールします。
パーソナルクライアント、グループクライアントともに、H.323端末から見て、ゲートキーパという位置づけです。- Firewall/NAT OptionとSecure Transportの違いを教えてください。
Firewall/NAT OptionとSecure Transportは、どちらもH.323トンネリングを構成してファイアウォール/NATを越えてH.323通信を行うことを目的としています。
主な違いを下記の表に記述します。
Firewall/NAT Option Secure Transport 使用ポート TCP 2776
UDP 2776
UDP 2777TCPモード:TCP 8081
UDPモード:TCP 8081/UDP 8081/UDP 8082
- ※デフォルトの場合
ポート変更 変更不可。固定 変更可能 クライアントソフトウェア 2種類のクライアントソフトウェア
- パーソナルクライアント
- サイトクライアント
2種類のクライアントソフトウェア
- パーソナルクライアント
- サイトクライアント
サーバ対応OS Windows2000サーバ Red Hat Enterprise Linux, v3 AS/ES
Red Hat Enterprise Linux, v4 AS/ES
Fedora Core 4暗号化 AES AES キー長 128bit 128、192、256bit 暗号化データ RTP(映像・音声) RTP(映像・音声)、T.120(データ) ライセンス FW/NAT Option独自機構 Visual Nexusライセンス機構 - Web管理ページにログイン後、ログアウトせずにブラウザを閉じると3分間は再ログインできません。
Web管理ページにログインした後で、ログアウト処理を行わずにブラウザを閉じて、すぐに同じユーザアカウントでログインしようとすると、以下のエラーが表示されます。
「この名前で別な人が既にログインしています。ログインできません。」
これは、セッション情報が残っているためです。3分後には再ログイン出来るようになります。
セッション保持時間は設定で変更可能です。
変更方法は、『Visual Nexus Secure Transport 管理者ガイド』をご参照ください。- グループクライアントを利用するために、CALは必要ですか?
CALについて
VNSTグループクライアントが、Windows 2000、Windows XP、Windows Vistaの場合、CALライセンスの別途発生はありません。
Windows Server 2003 では、CALライセンスが必要です。
必要数分のCAL(デバイスCALもしくはユーザCAL)を購入する必要があります。クライアントの種類は問いません。接続数制限
Windows OSが規定している接続数制限があります。
OS 接続制限数 Windows 2000Professional 10 Windows XP Home edition 5 Professional 10 Windows Vista Home Basic 5 Home Premium 10 Business 10 Ultimate 10 Windows Server 2003 CALライセンス分だけ接続可能 - どのようなデータが H.323トンネリングを通りますか?
Secure TransportのH.323トンネリングを通過するデータは、H.323プロトコルのデータです。
主に以下のデータがH.323トンネリングを通過します。- RTP/RTCP(映像・音声)
- データ共有(T.120 : v3.2-1まで)
- RAS(ゲートキーパ登録)
Visual Nexus Meeting Serverには、プレゼンス機能などがありますが、これらはH.323プロトコルではありませんので、Secure TransportのH.323トンネリングを通過しません。
以下の通信はH.323 トンネリングを経由せずに、直接Visual Nexus Meeting ManagerからVisual Nexus Meeting Serverへ接続します。- ログイン・ドキュメント共有 (TCP 8080ポートを使用)
- プレゼンス機能(TCP 8081ポートを使用)
- アプリケーション共有機能(TCP 8079ポートを使用 : v3.2-2以降)
インストール・動作環境
- グループクライアントとしてインストールした場合、パーソナルクライアントとしては利用できないのですか?
Visual Nexus v3.0のグループクライアントをパーソナルクライアントとして利用することはできません。
- Secure Transport Serverを静的NATの中に入れることはできますか?
- Secure Transport Serverが動作していることを確認するためにプロセス名を教えてください。
Secure Transport Serverはjavaのサービスとして起動します。
サーバOS上で、
ps -ef | grep java
とタイプして実行します。
jre/bin/java -server -jar horizon.jar
このサービスが表示されれば、Secure Transport Serverは起動しています。- Secure Transport Serverを稼動させるために必要なOSの条件はありますか?
Secure Transport Serverは、以下のOSで稼動します。
- Red Hat Enterprise Linux, version3 (AS/ES)
- Red Hat Enterprise Linux, version4 (AS/ES)
- CentOS 4
Red Hat Enterprise Linux, version3(AS/ES)には、Secure Transport Serverが稼動するために特別に必要とするOSのコンポーネントはありません。 Red Hat Enterprise Linux, version4(AS/ES)及びCentOS 4 には、
xorg-x11-deprecated-libs-6.8.1-*
が必要です。OSにApacheやTomcatがインストールされている場合は、使用するポートがバッティングする可能性があります。
ポートがバッティングするとSecure Transport Serverが起動できません。ポート番号の変更を行ってください。
ポートの変更方法については、下記を参照してください。- ゲートキーパをローカルのネットワークに入れることは可能ですか?
Secure Transport Serverがアクセスするゲートキーパ"だけ"をローカルネットワーク内に入れることはできません。
ver3.2-1から、VNSTサーバをNATの内側に設置することが可能になりました。ゲートキーパをVNSTサーバと同一のネットワークセグメントに入れなければいけないため、その意味ではGKをLAN内に設置することも可能になります。
- Visual Nexus Secure Transportクライアント と Visual Nexus Secure Transportサーバ間は、HTTP Proxy Serverを経由して接続できません。
Visual Nexus Secure Transport(以下、VNST)は、H.323トンネリングポートとして、デフォルトではTCP 8081ポートを指定しますが、VNSTクライアントとVNSTサーバ間は、HTTP Proxy Serverを経由して接続できません。
VNSTのH.323トンネリングポートの変更、もしくは HTTP Proxy Serverの例外設定等を行い、VNSTクライアントとVNSTサーバ間は、HTTP Proxy Serverを経由しない構成でご利用下さい。
- Visual Nexus Secure TransportサーバとVisual Nexus Meeting Serverを同一サーバマシン上で稼動させることは可能ですか?
可能です。
ただし、デフォルトのままでは8080ポートおよび8081ポートがバッティングするため使用できません。
「Webサービスのポートの変更方法を教えてください。」及び「H.323トンネリングのポートの変更方法を教えてください。」を参照し、ポート番号を変更してください。
同一サーバ上で利用する場合のユーザ数の制限については、サポートまでお問い合わせください。
- サーバのIPアドレスを変更した場合、Secure Transportサーバはどのような設定変更が必要ですか?
Secure Transportサーバ(VNST)だけではなく、Visual Nexus Meeting Server(VNMS)の設定も変更する必要があります。
以下に変更手順を示します。
VNSTサーバ
OSのIPアドレス変更、/etc/hostsの変更を実施した後で下記を実行します。
- IPアドレスの設定用シェルスクリプトで設定変更します。
# cd /usr/local/vn/vnst
# ./vnst-address-setup.sh <VNMSのIPアドレス> - VNSTサービスを再起動します。
# /sbin/service vnst restart
VNMSマスターサーバ/VNMSスタンドアローン
VNMSのIPアドレス変更済みを前提とします。VNMSのIPアドレス変更手順については、「サーバのIPアドレスを変更した場合、Visual Nexus ではどのような設定変更が必要ですか?」を参照してください。
- VNONLINEに管理者権限でログインし、[サーバ]メニューから[Secure Transport]を選択します。
- 登録済みのVNSTサーバのIPアドレスを変更します。
- 下記のファイルを編集して、VNSTサーバからDBサーバへのアクセス許可を与えます。
/var/lib/pgsql/data/pg_hba.conf
VNSTサーバのIPアドレスを登録します。 - DBサーバを再起動するため、OSを再起動します。
- IPアドレスの設定用シェルスクリプトで設定変更します。
仕様
- Secure Transportで使用するポートを教えてください。
Visual Nexus v3.0のSecure TransportはデフォルトではH.232トンネリングに下記のポートを使用します。
TCP 8081
- TCPモードのとき、TCP 8081ポートだけを使用します。
- UDPモードのとき、TCP 8081ポートに加えて、UDP 8081、UDP 8082 を使用します。
これらのポートは、変更可能です。
プロトコル 送信元ポート 送信元アドレス 送信先ポート 送信先アドレス TCP 1024~65535 クライアントのアドレス 8081 サーバ・サービスのアドレス UDP 1024~65535 クライアントのアドレス 8081 サーバ・サービスのアドレス UDP 1024~65535 クライアントのアドレス 8082 サーバ・サービスのアドレス クライアントからサーバへの接続を許可する(outbound:外向き)ルールと、その接続に対するレスポンスを許可する(inbound:内向き)ルールを設定する必要があります。
また、管理ページはWebブラウザで使用しますが、そのアクセスのために下記のポートを使用します。
TCP 8080
- ログファイルの最大サイズと最大ファイル数を教えてください。
ログファイルは、/var/log/vn 以下に、vnst.log.0, vnst.log.1 といった名称で作成されます。
リネームするタイミングは、ファイルサイズが500000バイトを越えた時点です。
vnst.log.0
↓
vnst.log.1
↓
vnst.log.2
↓
vnst.log.3
↓
・・・
↓
vnst.log.999最大1000ファイルまでリネームし保持されます。
ファイルを更新するファイルサイズ(500000バイト)や、最大保持ファイル数(1000)は変更出来ません。
- 同一セグメント内のP2P接続でもライセンスを消費しますか?
Visual Nexus v3.0では、ゲートキーパを経由する[Routed Mode]で接続されますので、同一セグメント内のP2P接続でもライセンスは消費されます。
以下に、同一セグメント内にあるP2P接続に限って説明します。
2台ともパーソナルクライアント経由の接続の場合
パーソナルクライアント経由の場合、それぞれがトンネリングを経由しますので、Secure Transport Serverを経由します。よって、ライセンスを2カウント消費します。
2台とも、別々のグループクライアント経由の接続の場合
別々のグループクライアント経由の場合、それぞれがトンネリングを経由しますので、Secure Transport Serverを経由します。よって、ライセンスを2カウント消費します。
2台とも同一のグループクライアント経由の接続の場合
同一のグループクライアント経由の場合、お互いのセッションが直接張られますが、Secure Transportのライセンスは2カウント消費します。
- ユーザ名の文字制限はありますか?
ユーザ名の文字数は、50文字まで可能です。ユーザ名には、以下の文字が使用できます。
- 半角英数字 (A-Z、a-z、0-9)
- @
- . (ドット)
- _ (アンダースコア)
- - (ハイフン)
パスワードは、4文字から16文字までの半角英数字で設定可能です。
運用
- Webサービスのポートの変更方法を教えてください。
Webサービスではデフォルトで8080ポートを使用します。ブラウザで管理ページへアクセスするには、このポートを指定して接続します。
ポートを変更するには、Secure Transport Serverのインストールディレクトリにある"horizon.web"ファイルに、以下の1行を追加します。
ListeningPort=xxxx
xxxxは、任意のTCPポートです。他のアプリケーションで使用されているポートと重複しないように注意してください。設定後、Secure Transport Serverを再起動してください。
ポートに関する詳細は、『Visual Nexus 管理者ガイド』をご参照ください。
- H.323トンネリングのポートの変更方法を教えてください。
H.323トンネリングではデフォルトで TCPモードのときTCP 8081ポートを使用します。UDPモードのときはUDP 8081、UDP 8082も使用します。
これらのポートを変更するには、Secure Transport Serverのインストールディレクトリにある"horizon.tnl"ファイルの記述を変更します。
ControlledPort=8081
UDPFixedPorts=8081-8082
ControlledPortは1つのポート番号を指定します。UDPFixedPortsは、"-"で結んで範囲指定を行います。他のアプリケーションで使用されているポートと重複しないように注意してください。 設定後、Secure Transport Serverを再起動してください。
- パーソナルクライアントの自動更新後、自動的には接続されません。
パーソナルクライアントの自動更新機能は、指定された時間に実行されます。
自動更新後、パーソナルクライアントは自動的に起動しません。- メインサーバへの接続に失敗すると、2分後の再接続要求は2次サーバに対して行われます。
クライアントからサーバへの接続に失敗した場合、再接続要求は2分後に行われます。
その際、クライアントに2次サーバが設定されていると、2分後の再接続は2次サーバに対して行われます。
以降の再接続要求は、2分毎にメインサーバ、2次サーバの順で切り替わります。- 接続直後から音声が聞こえなかったり、映像が見えなかったりする場合の対応。
原因
ネットワーク上のパケットロストや遅延などが原因でこの現象となる場合があります。
対応策
一旦呼を切断した後、再度接続しなおして下さい。
説明
端末がVNSTを経由して会議接続やP2P接続を行なう際、VNSTサーバとVNSTクライアントの間に、新たに音声と映像データを送受信するためのトンネルが準備されます。
このトンネル用チャネルのベースプロトコルとして、デフォルトではTCPが利用されます。トンネル用チャネルの確立に5秒以上時間がかかるとVNSTはタイムアウトとして処理し、トンネル用チャネルの確立をあきらめるという仕様になっています。
いずれかのトンネル用チャネルが確立できない場合に、片方の音声が聞こえなかったり、映像が見えなかったりという現象となります。VNSTクライアントは、接続時にチャネル確立用のパケットをサーバに向かって送信しますが、ネットワーク上のロストや遅延の影響で、3秒以内にそのパケットのACKが返ってこない場合、3秒後にそのパケットを再送します。
もし、その再送パケットあるいはそのパケットのACKもロストしてしまった場合、VNSTはタイムアウトとして処理します。
また遅延が大きく5秒以内に確立できない場合もタイムアウトとして処理します。
暗号化対応版
- 非暗号化版サーバに対して、暗号化版のクライアントは接続できません。
Secure Transportの非暗号化版と暗号化版の接続性は、以下のパターンになります。
Visual Nexus Secure TransportServer Visual Nexus Secure Transport Client VNST Server: NonAES版 VNST Server: AES版 VNST Client: NonAES版 非暗号化で接続 メディア通信不能 VNST Client: AES版(Encrypt=true) 自動で非暗号化で接続 暗号化で接続 VNST Client: AES版(Encrypt=false) 非暗号化で接続 非暗号化で接続 Visual Nexus Secure Transport Client AES版は、Encrypt=trueをデフォルト設定としてインストールされます。
- Secure Transport Serverの暗号化版と非暗号化版を見分ける方法を教えてください。
バージョン番号で判別できます。バージョン番号は、/usr/local/vn/vnst/version.txtファイルで確認できます。
現行のバージョンでは、
- 暗号化版: 2.2.2.x
- 非暗号化版: 2.2.3.x
となっています。
- Secure Transport Clientの暗号化版と非暗号化版を見分ける方法を教えてください。
「プログラムの追加と削除」で、「Visual Nexus Endpoint」の「サポート情報を参照するには、ここをクリックしてください」をクリックして開いてください。
暗号化版の場合は、「メモ:」に「暗号化版」と表示されます。
非暗号化版の場合は、何も表示されません。
なお、バージョン番号でも判別できます。Visual Nexus v3.2-1では、
- 暗号化版: 3.21.x
- 非暗号化版: 3.20.x
となっています。
- 暗号対応版で暗号化されるデータは何ですか?
暗号対応版では、映像、音声、データ共有が暗号化されます。
