複雑な Exchange 組織の計画
適用先: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007
トピックの最終更新日: 2009-09-15
複雑な Exchange 組織は、その名前が示すように、Microsoft Exchange Server 2007 を展開するトポロジの中で最も複雑なトポロジを表します。Exchange 2007 に対して定義されている 4 つの組織モデルの中で、複雑な Exchange 組織は、複数の Active Directory ディレクトリ サービス フォレストを含み、同期テクノロジを使用する唯一のモデルです。
Exchange サーバーと、メールボックスが有効なアカウントをホストする複数の Active Directory フォレストの展開は、一般的なシナリオになっています。こうした展開を促進している主な要因は、ユーザー環境の管理と、信頼されたセキュリティ コンテキストの管理を隔離することの必要性です。フォレストは、セキュリティやリソース アクセスの制御が主な懸念事項である展開での Active Directory のセキュリティの境界を表しているため、複数の Active Directory フォレストが並列に展開されている状態が一般的です。
.gif "note") 注 : |
|---|
| すべての複数フォレスト トポロジでは、各フォレストに Service Pack 1 以降の Windows Server 2003 を実行しているディレクトリ サーバーが必要です。 |
複雑な Exchange 組織の例
複数の Active Directory フォレストを実装する理由はさまざまです。それらの理由のいくつかは、次のとおりです。
- データとサービスの分離が必要な複数のビジネス単位が存在する。
- 異なるスキーマ要件を有する複数のビジネス単位が存在する。
- 吸収、合併、または事業の再編成が行われた。
Exchange リソース フォレストのトポロジ
ビジネス単位の厳密な境界を作成する唯一の方法は、ビジネス単位ごとに個別の Active Directory フォレストを作成することです。Active Directory 構成がこの条件に当てはまる場合は、Exchange リソース フォレストを使用することをお勧めします。
図 1 は、Exchange リソース フォレストを含む複雑な Exchange 組織の例を示しています。
.gif "リソース フォレストを含む複雑な Exchange 組織")
図 1 で、フォレスト B には Exchange サーバーが、フォレスト A にはユーザー アカウントが含まれています。フォレスト B にも同一のユーザー アカウントが含まれていますが、これらのアカウントは無効になっているため、メールボックスが有効なユーザーはフォレスト A のアカウントを使用して Active Directory にログオンします。
Exchange 2007 をリソース フォレストに展開した場合、ユーザー アカウントのみを含むフォレスト内の管理者は、既定では Exchange フォレストにメールボックスを作成するためのアクセス許可を持っていません。ユーザー アカウントを含むフォレスト内の管理者はユーザー アカウントを作成できますが、リソース フォレストのトポロジでは、この管理者は、特殊なアクセス許可をアカウント管理者に委任しなければどのメールボックス管理タスクも実行できません。Exchange フォレスト内の管理者は、ユーザー アカウントとは別に手動でメールボックスを作成し、そのメールボックスを既存のユーザー アカウントにリンクする必要があります。また、電話番号やオフィスの場所などの追加情報がある場合は、それらの情報が関連付けられたユーザー アカウントと共に既に存在している場合であっても、その情報を個別に Exchange フォレストに追加することも必要です。
複数の Exchange フォレストのトポロジ
吸収や合併が行われた場合は、複数の Active Directory フォレストと複数の Exchange 組織が存在していることがよくあります。複数のフォレストが存在する環境で Exchange を実行する場合、システム設計者や Exchange 管理者は一般に、単純、標準、および大規模な Exchange 組織モデルに見られるのと同じ設計上の問題に直面します。ただし、複雑な Exchange 組織に特有の問題として、ディレクトリ オブジェクトを異種のフォレスト間で同期したり、空き時間情報データをレプリケートしたりする必要性が挙げられます。Microsoft は、ディレクトリ同期のための次の 2 つのソリューションを提供します。
- Identity Integration Feature Pack for Microsoft Windows Server Active Directory (IIFP) Service Pack 2 (SP2)
- Microsoft Identity Integration Server (MIIS)
どちらのソリューションも、MIIS をベースにしています。IIFP は、無料で入手可能な、MIIS の簡易版です。MIIS は、機能は豊富ですが、より高価なソリューションです。
| 注 : |
|---|
| IIFP の詳細については、Identity Integration Feature Pack for Microsoft Windows Server Active Directory Service Pack 2 (SP2) についてのページを参照してください (このサイトは英語の場合があります)。MIIS の詳細については、「Microsoft Identity Integration Server 2003 の技術情報」を参照してください。 |
ディレクトリの同期に加えて、頻繁に発生する要件として、各フォレストにホストされている Exchange 組織間で空き時間情報データやパブリック フォルダを使用可能にすることがあります。以前のバージョンの Exchange Server でこれを可能にするには、切り離された Exchange 組織間での会議、予定、連絡先、およびパブリック フォルダ情報の調整が可能な Microsoft Exchange Server 組織間のレプリケーション (IORepl) ツールを使用する必要がありました。別のフォレストにホストされている Exchange 2007 組織間で空き時間情報と予定表の情報を共有するには、以下の方法が使用できます。
- 両方の組織が Microsoft Office Outlook 2007 を使用している場合は、Exchange 2007 の可用性サービスを使用して組織間で空き時間情報と予定表の情報を共有できます。ただし、このソリューションでは、組織間でパブリック フォルダのデータが共有されません。
- 以前のバージョンの Outlook を使用している場合は、IORepl を使用して、組織間で空き時間情報と予定表の情報を共有できます。IORepl のインストールは、Exchange 2007 管理ツールがインストールされた他の Exchange 2007 サーバーの役割を持たないコンピュータや、Exchange Server 2003 または Exchange 2000 Server を実行するサーバーでサポートされます。このソリューションでは、組織間でパブリック フォルダのデータも共有できます。Exchange 2007 管理ツールがインストールされているコンピュータにツールをインストールする場合、Exchange MAPI クライアントのライブラリもインストールする必要があります。組織間のレプリケーション ツールの詳細については、Microsoft Exchange Server 組織間のレプリケーションについてのページを参照してください (このサイトは英語の場合があります)。Exchange MAPI クライアント ライブラリのダウンロードの詳細については、Microsoft Exchange Server MAPI クライアントと Collaboration Data Objects 1.2.1 についてのページを参照してください (このサイトは英語の場合があります)。
| 注 : |
|---|
| IORepl で必要な機能が抜けている可能性があります。既定では、Exchange Server 2007 以降のバージョンでは、製品の基本インストールの一部にメッセージ API (MAPI) クライアント ライブラリまたは Collaboration Data Objects (CDO) Version 1.2.1 を含みません。MAPI ストアの内容にアクセスするには、Microsoft Exchange MAPI と CDO 1.2.1 をインストールする必要があります。サーバーに Office Outlook がインストールされている場合、Exchange MAPI と CDO 1.2.1 をインストールする前に Outlook をアンインストールする必要があります。 |
IORepl を Exchange 2007 と共に使用する方法の詳細については、Exchange ヘルプの「Inter-Organization Replication (組織間のレプリケーション) ツール」を参照してください。
図 2 は、複数の Exchange フォレストを含む複雑な Exchange 組織の例を示しています。
.gif "複数のフォレストを含む複雑な Exchange 組織")
Exchange フォレスト間のトポロジ
フォレスト間の環境では、Exchange Server は独立した Active Directory フォレストで実行されますが、メール機能はフォレスト間で使用可能です。ディレクトリ同期を含むフォレスト間の環境に Exchange 2007 を展開する場合は、次のような制限事項があります。
- メンバが別のフォレストにメールボックスを持っている場合は、配布リストのメンバシップを表示できません。
- 別のフォレスト内のユーザーを配布リストに追加できません。
- 配布リストをフォレスト間で入れ子にできません。
- 配布リストを別のフォレストに移動するツールが存在しません。
- メールボックスをフォレスト間で移動する場合は、委任プロパティを保持できません。
- パブリック フォルダを別のフォレストに移動するツールが存在しません。
- Microsoft Windows 公開キー基盤 (PKI) の自己署名入りの証明書を使用している場合は、署名されたメッセージまたは暗号化されたメッセージをフォレスト間で送信できません。
複雑な Exchange 組織を計画する場合の考慮事項
展開の計画段階にあり、複雑な Exchange 組織に任意の Exchange 2007 サーバーを展開する前に、以下の点を考慮することをお勧めします。
- 複数の Exchange 組織が共通のグローバル アドレス一覧 (GAL) を共有している場合は、何らかの形式の GAL 同期の必要性や、フォレスト間で予定表リソースをレプリケートする必要性が発生します。
- 複雑な Exchange 組織では一般に、インターネットへの出口と入口が複数存在します。インターネットに公開されるサービスの種類が増えるにしたがって、展開されるファイアウォール システムもより高度になります。Microsoft Internet Security and Acceleration (ISA) Server は、アプリケーション レベルのファイアウォールであり、Outlook Web Access、POP3 (Post Office Protocol 3) および IMAP4 (インターネット メッセージ アクセス プロトコル Version 4)、ActiveSync、Outlook Anywhere などの Exchange サービスの公開に使用できます。境界ネットワークとプライベートの企業ネットワークとの間に、ISA Server または ISA Server を実行しているサーバーのアレイを展開することをお勧めします。
- 複雑な Exchange 組織を展開する場合は一般に、高可用性を実現することが必要になります。Exchange 2007 には、各サーバーの役割に高可用性を提供するために使用できる複数のソリューションがあります。Exchange 2007 の高可用性の戦略および機能の詳細については、「高可用性」を参照してください。
- 複数の Active Directory フォレストを使用した場合は、名前空間も複数使用されます。Exchange 2007 の場合、クライアント アクセス サーバーでは、フォレスト間の環境の各フォレスト内で固有の URL 名前空間を使用する必要があります。
複雑な Exchange 組織の移行
既存の Exchange Server 2003 組織または Exchange 2000 Server 組織から Exchange 2007 組織に移行している場合、サーバーの一括アップグレードは実行できません。1 つ以上の Exchange 2007 サーバーを既存の組織に追加し、メールボックスおよびその他のデータを Exchange 2007 に移動した後で、Exchange 2003 または Exchange 2000 サーバーを組織から削除する必要があります。
複雑な Exchange 2007 組織の展開および移行の詳細については、「複雑な Exchange 組織の展開」を参照してください。
参照している情報が最新であることを確認したり、他の Exchange Server 2007 ドキュメントを見つけたりするには、Exchange Server TechCenter を参照してください。