Outlook Web Access の ISA Server 2006 の使用

  • [アーティクル]

 

適用先: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007

トピックの最終更新日: 2007-04-20

Exchange Server 2007 用の Outlook Web Access は、Internet Security and Acceleration (ISA) Server 2006 の新機能を最大限に活用できるように設計されています。Exchange 2007 は、以前のバージョンの ISA Server との統合もできるように設計されています。ISA Server 2006 を使用して企業ネットワークをセキュリティで保護している環境で Exchange 2007 を展開する場合は、Exchange クライアント アクセス用のすべての機能を使用できます。

Outlook Web Access で ISA Server 2006 を使用する利点

次の表は、Outlook Web Access が含まれる Microsoft Exchange メッセージング環境のセキュリティ保護に役立つ ISA Server 2006 の機能の一覧です。

Outlook Web Access での ISA Server 2006 の機能

機能 説明

リンクの変換

ISA Server 2006 は、電子メール メッセージや予定表エントリなど、Outlook Web Access のすべてのオブジェクトの本文に含まれている内部 URL への Outlook Web Access 要求をリダイレクトします。ユーザーは、外部の名前空間にマップされている企業内情報について外部の名前空間を覚えておく必要がなくなりました。たとえば、ユーザーが http://contoso などの内部の名前空間へのリンクを電子メール メッセージで送信するときに、この内部 URL が https://www.contoso.com などの外部の名前空間にマップされている場合、ユーザーが内部 URL をクリックすると、内部 URL は自動的に外部 URL に変換されます。

Web 発行の負荷分散

ISA Server 2006 では、クライアント要求の負荷を分散し、クライアント要求をクライアント アクセス サーバー アレイに送信します。ISA Server 2006 は、Outlook Web Access への接続要求を受信すると、クライアント アクセス サーバーを選択し、そのクライアント アクセス サーバー名を Web ブラウザに Cookie で返します。

HTTP 圧縮

これまで、Exchange Server 2003 と ISA Server 2004 または ISA Server 2000 がインストールされた ISA Server コンピュータでフォーム ベース認証を使用する場合、Gzip 圧縮を使用することができませんでした。ISA Server で情報の圧縮解除と再圧縮を正しく行うことができなかったためです。ISA Server 2006 では、データの圧縮解除、検査、および再圧縮を行ってからデータを Exchange サーバーに送信できます。

note注 :
ISA Server 2004 Service Pack 2 (SP2) では、Gzip 圧縮を使用できます。

Exchange サーバーの場所が隠される

ISA Server を介してアプリケーションを公開すると、サーバーの名前と IP アドレスがユーザーから参照できなくなるため、サーバーを直接の外部アクセスから保護することができます。ユーザーは、ISA Server コンピュータにアクセスします。ISA Server コンピュータは、サーバー公開ルールの条件に従ってクライアント アクセス サーバーへの接続を作成します。

SSL ブリッジと検査

SSL (Secure Sockets Layer) ブリッジは、SSL で暗号化された接続に隠された攻撃を防ぎます。SSL 対応の Web アプリケーションの場合、ISA Server は、クライアントの要求を受信した後、それを解読し、検査して、クライアント コンピュータとの SSL 接続のエンドポイントとして動作します。Web 公開ルールにより、オブジェクトに対する要求を ISA Server が公開されている Web サーバーに送る方法が決まります。SSL ブリッジを使用すると、Secure HTTP (HTTPS) を使用して要求を転送するセキュリティで保護された Web 公開ルールが構成されます。ISA Server は、次に、公開されているサーバーとの新しい SSL 接続を開始します。ISA Server コンピュータは、SSL クライアントになるので、公開されている Web サーバーに対し、証明書を使用して応答するよう要求します。

SSL ブリッジのもう 1 つの利点は、組織が外部の証明機関から SSL 証明書を購入する必要があるのは ISA Server コンピュータに関してのみであることです。ISA Server をリバース プロキシとして使用するサーバーは、SSL を必要としないか、または内部で生成される SSL 証明書を使用することができます。

また、ISA Server コンピュータでの SSL 接続を終了し、暗号化されない接続を使用してクライアント アクセス サーバーへの接続を継続することもできます。これを SSL オフロードと呼びます。SSL オフロードを実行する場合は、Outlook Web Access の内部 URL で HTTP を使用し、外部 URL で HTTPS を使用するように設定する必要があります。内部 URL と外部 URL を構成するには、Exchange 管理コンソールを使用するか、Exchange 管理シェルで Set-OwaVirtualDirectory コマンドレットの InternalURL パラメータと ExternalURL パラメータを使用します。

Set-OwaVirtualDirectory コマンドレットの使用方法および Exchange 管理コンソールを使用して Outlook Web Access 仮想ディレクトリを管理する方法の詳細については、「Set-OwaVirtualDirectory」および「Outlook Web Access 仮想ディレクトリのプロパティを変更する方法」を参照してください。

シングル サインオン

シングル サインオンにより、ユーザーは一連の公開された Web サイトに、Web サイトごとに認証を要求されずにアクセスできます。ISA Server 2006 を Outlook Web Access のリバース プロキシ サーバーとして使用する場合は、ユーザーの資格情報を取得してクライアント アクセス サーバーに渡すように ISA Server 2006 を構成できます。これにより、ユーザーには資格情報を要求するメッセージが 1 回だけ表示されます。

Exchange 2007 と共に使用する場合の ISA Server 2006 の新機能の詳細については、ISA Server 2006 の新機能と機能強化についてのページを参照してください (このサイトは英語の場合があります)。

展開オプション

ISA Server 2006 を Exchange 2007 と共に展開する場合は、Microsoft Exchange インフラストラクチャに対する追加の構成は必要ありません。ただし、ISA Server 2006 はさまざまな方法で構成し、Outlook Web Access、POP3 または IMAP アクセス、Exchange ActiveSync、および Outlook Anywhere を使用した Exchange クライアント アクセスを有効にすることができます。構成オプションは、Exchange へのアクセスに使用する認証方法によって異なります。

ISA Server 2004 や ISA Server 2000 を含む以前のバージョンの ISA Server を Exchange 2007 で展開した場合、認証用の同じ展開オプションはありません。また、Exchange 2007 を ISA Server 2006 と以前のバージョンの ISA Server と共に展開している場合は、次の認証オプションを使用できます。

  • Outlook Web Access に対する基本認証   Outlook Web Access に対する基本認証を使用する予定がある場合は、ISA Server 2006 および以前のバージョンの ISA Server のすべてで Web Publishing を使用して Outlook Web Access を公開する必要があります。
  • クライアント証明書の認証   クライアント証明書ベースの認証方法を使用する予定がある場合、ISA Server を実行しているコンピュータにおいて ISA Server により、自動的に認証が実行されます。以前のバージョンの ISA Server (ISA Server 2004 や ISA Server 2000 など) でクライアント証明書の認証を使用するには、サーバーの公開が必要です。クライアント証明書の認証を使用する場合は、ISA Server を使用して、SSL パケットをクライアント アクセス サーバーに送信する前に検査することはできません。

Outlook Web Access 用の ISA Server 2006 の展開

Outlook Web Access 用に ISA Server 2006 を展開する場合は、ファイアウォール ポリシーのタスクに関する新しい Exchange 公開ルール ウィザードを使用します。この新しいウィザードには、Microsoft Exchange アクセスを有効にするために構成する必要のある特定の設定が表示されます。

important重要 :
Exchange 組織で複数のバージョンの Microsoft Exchange が使用されている場合、サポートする Microsoft Exchange の各バージョンについて Exchange 公開ルールを作成する必要があります。

Outlook Web Access 用の ISA Server 2006 の構成には、次の手順が含まれます。

  1. 新しい公開ルールの作成
  2. 追加オプションの構成

ここでは、Outlook Web Access 用に ISA Server 2006 を正しく展開するために、新しい公開ルールに適用する必要がある設定について説明します。

新しい Exchange 公開ルールの作成

この処理では、次の情報を指定する必要があります。

  • Exchange 公開ルール名   公開ルールのわかりやすい名前 ("Exchange 電子メール アクセス" など) を指定します。
  • サポートするクライアント アクセス サービス   [サービスの選択] ページで、展開する Microsoft Exchange のバージョンおよびユーザーのためにサポートするクライアント アクセス サービスを選択します。既定では、[Exchange Server 2007] を選択すると、[Outlook Web Access] が選択されます。
  • 公開の種類**   [公開の種類]** ページで、単一のサイトや外部の負荷分散装置、Web サーバー ファーム、または複数の Web サイトの公開を予定しているかどうかに応じて、使用するオプションを選択します。
  • サーバー接続のセキュリティ   このページでは、ISA Server コンピュータから Microsoft Exchange への接続で SSL (Secure Sockets Layer) 接続とセキュリティで保護されていない接続のいずれを使用するかを選択します。
  • 内部の公開の詳細**   [内部の公開の詳細]** ページでは、Outlook Web Access の内部サイト名を入力するか、Microsoft Exchange に接続するためのコンピュータ名または IP アドレスを使用するためのオプションを選択します。
  • パブリック名の詳細**   [パブリック名の詳細]** ページでは、要求を受け付けるドメインを選択します。www.contoso.com などのパブリック名も指定する必要があります。
  • Web リスナの選択**   [Web リスナの選択]** ページでは、接続する Exchange サーバーのリスナを指定します。リスナを使用して、クライアントが初めて ISA Server コンピュータと通信するときに使用する認証の種類を指定します。リスナには、暗号化、圧縮、外部接続で使用する認証など、ISA Server コンピュータがクライアントからの要求を受け付ける方法についての情報が含まれます。このページから、新しいリスナの作成と既存のリスナの編集を行うことができます。
  • 認証の委任**   [認証の委任]** ページでは、クライアント アクセス サーバーが ISA Server に委ねる認証機構の種類を指定します。次のいずれかを選択します。
    • [委任できません。クライアントは直接認証できます]
    • [基本認証]
    • [NTLM 認証]
    • [ネゴシエート (Kerberos/NTLM)]
    • [Kerberos の制約付き委任]
  • ユーザー セット**   [ユーザー セット]** ページでは、このルールを使用して Exchange に接続できるユーザーを選択します。

ユーザーを認証するように ISA Server コンピュータを構成している場合は、組織で要求される認証の種類に応じて、統合 Windows 認証または基本認証のどちらかを使用するように Outlook Web Access 仮想ディレクトリを構成する必要があります。ISA Server 2006 認証と共に Outlook Web Access 仮想ディレクトリの基本認証または統合 Windows 認証を使用すると、ユーザーはログイン情報を 1 回だけ要求されます。

note注 :
ISA リスナ用にフォームベースの認証を選択すると、Outlook Web Access セッションのタイムアウト時にユーザーは認証資格情報の再入力を求められます。

ただし、統合 Windows 認証では、Windows ファイル共有上のドキュメントや、Windows SharePoint Services ドキュメント ライブラリ内のドキュメントへの Outlook Web Access からのアクセスが禁止されます。Outlook Web Access からドキュメントにアクセスする必要がある場合は、Outlook Web Access 仮想ディレクトリの基本認証を使用する必要があります。

ウィザードは、完了時に Exchange 公開ルールを作成します。作成したルールは、[ファイアウォール ポリシー] タブの [ファイアウォール ポリシー ルール] の一覧に表示されます。

note注 :
公開ルールの作成が完了したら、設定が有効になるまで待機します。ISA Server 2006 管理コンソールの [監視] ノードを使用して、ISA Server 2006 公開ルールの進捗状況を監視できます。

追加オプションの構成

ISA Server 2006 管理コンソールで作成した新しいルールについて、リンクの変換や HTTP 圧縮などの追加機能を構成できます。リンクの変換や HTTP 圧縮の追加設定は、ISA Server 2006 管理コンソールの [全般] ノードで管理します。

リンクの変換の構成

リンクの変換を構成するには、作成した Exchange 公開ルールを選択し、[ポリシー編集タスク][選択したルールの編集] をクリックします。[リンクの変換] タブで、ユーザーのニーズに基づいてリンクの変換を構成できます。

HTTP 圧縮の構成

HTTP 圧縮オプションは、ISA Server 2006 管理コンソールの [構成] の下の [全般] ノードで構成できます。[HTTP 圧縮基本設定の定義] をクリックし、ユーザーに対してサポートするオプションを選択します。

これらのオプションを構成したら、Microsoft Exchange 用の ISA Server の構成は終了です。

ISA Server 2006 用のサーバー証明書のインストール

クライアント コンピュータと ISA Server コンピュータの間で SSL を使用する暗号化されたチャネルを有効にするには、ISA Server コンピュータにサーバー証明書をインストールする必要があります。この証明書は、インターネット上のユーザーによってアクセスされるため、公共の証明機関 (CA) が発行したものである必要があります。プライベート CA を使用する場合は、プライベート CA からのルート CA 証明書を、ISA Server コンピュータに対して暗号化されたチャネル (HTTPS) を作成する必要のあるすべてのコンピュータにインストールする必要があります。インストールしないと、証明書が信頼されていないという警告がユーザーに対して表示されます。

ISA Server 2006 にサーバー証明書をインストールする方法の詳細については、ISA Server 2006 での Exchange Server 2007 の公開についてのページを参照してください (このサイトは英語の場合があります)。

詳細情報

参照している情報が最新であることを確認したり、他の Exchange Server 2007 ドキュメントを見つけたりするには、Exchange Server TechCenter を参照してください。