専用の Exchange フォレストの使用

  • [アーティクル]

 

Exchange の実行専用の Active Directory フォレストを個別にセットアップする必要がある場合があります。たとえば、保持する必要がある Windows NT フォレストがある場合があります。または、Active Directory オブジェクトと Exchange オブジェクトの管理を分ける必要があるため、Exchange の実行専用の Active Directory フォレストを個別にセットアップする場合があります。Active Directory 管理と Exchange 管理の間にセキュリティ (フォレスト) 境界を必要とする企業は、このオプションを選択できます。

Exchange フォレスト (リソース フォレストとも呼びます) は、Exchange の実行とメールボックスのホスト専用です。ユーザー アカウントは、アカウント フォレストと呼ばれる、リソース フォレストとは別個の 1 つ以上のフォレストに格納されます。Exchange を複数のフォレスト環境に展開することの詳細については、「複数のフォレスト環境での Exchange の展開の計画」を参照してください。

アカウント フォレストの有効なユーザーは、リソース フォレストの無効なユーザーに接続されたメールボックスに関連付けられます。この構成により、ユーザーは異なるフォレストにあるメールボックスにアクセスすることができます。このシナリオでは、リソース フォレストとアカウント フォレストの間に信頼を構成することになります。管理者が Active Directory でユーザーを作成するたびに、メールボックスを持つ無効なユーザーが Exchange に作成されるように、準備プロセスをセットアップする必要がある場合もあります。

note注 :
ユーザー アカウントにセキュリティ識別子 (SID) の履歴が含まれている場合は、アカウント フォレストとリソース フォレスト間の SID フィルタを無効にする必要があります。無効にしないと、ユーザーはメールボックスにアクセスすることができません。アカウントが SID 履歴を取得する方法には、次の 2 つの方法があります。
•   外部へ移行する方法に従って Exchange 5.5 から Exchange 2003 に移行する場合は、それぞれの新しいアカウントで、SIDHistory 属性に古い SID が保持されます。
•   Active Directory 移行ツール (ADMT) を使用して 1 つのフォレストから別のフォレストにアカウントを移動する場合は、それぞれの新しいアカウントで、SIDHistory 属性に古い SID が保持されます。

Exchange リソースはすべて単一フォレストに含まれるため、単一の GAL にすべてのフォレスト全体のユーザーが含まれます。次の図は、専用の Exchange フォレストのシナリオを示しています。

b01795e0-b2c9-4c56-9938-4b5d064ba3fb

専用の Exchange フォレスト シナリオの主な利点は、Active Directory 管理と Exchange 管理の間のセキュリティ境界です。

このシナリオの欠点には、以下のものがあります。

  • Exchange 管理と Active Directory 管理の統合による利点を活用しないため、管理のオーバーヘッドが大きくなります。
  • Exchange が実行される Microsoft Windows® サイトに、二重にドメイン コントローラとグローバル カタログ サーバーをインストールする必要があるため、コストが増加します。
  • Active Directory の更新を Exchange で反映するための準備プロセスが必要です。たとえば、フォレスト A に新しい Active Directory ユーザーを作成すると、アクセス許可を持つ、メールボックスが有効なプレースホルダ オブジェクトが生成されます。1 つのフォレストでオブジェクトを作成するときは、対応するオブジェクトが他方のフォレストで作成されるようにする必要があります。たとえば、1 つのフォレストでユーザーを作成するときは、他方のフォレストで、そのユーザー用のプレースホルダが作成されるようにします。対応するオブジェクトは、手動で作成することができます。また、スクリプトを作成するか、またはサードパーティーのソフトウェアを実装することで、このプロセスを自動化することもできます。
    important重要 :
    Microsoft Identity Integration Server 2003 (MIIS 2003) の GAL 同期機能は、メールボックスとは別のフォレストにユーザー アカウントが存在するリソース フォレスト モデルで操作を行うようには設計されていません。MIIS 2003 の GAL 同期機能を使用することはできませんが、リソース フォレストとアカウント フォレストの間でオブジェクトを準備するように MIIS 2003 を構成することは可能です。さらに、GAL 同期を使用すると、リソース フォレストおよび他の Exchange フォレストを同期することができます。ただし、アカウント フォレストを同期することはできません。

リソース フォレスト シナリオの変形は、Exchange をホストしている 1 つのフォレストを含む複数のフォレストです。複数の Active Directory フォレストがある場合、Exchange を展開する方法は、フォレスト間で保持する必要がある独立性の程度によって異なります。ディレクトリ オブジェクトに対してはセキュリティ (フォレスト) 境界を必要とするが、Exchange オブジェクトは共有できるビジネス単位を抱える企業は、いずれかのフォレストで Exchange を展開し、そのフォレストを使用して企業内の他のフォレストのメールボックスをホストすることを選択できます。Exchange リソースはすべて単一フォレストに含まれるため、単一の GAL にすべてのフォレストのすべてのユーザーが含まれます。次の図はこのシナリオを示しています。

6c2f5563-8abc-477b-a970-7804ab5fe1f3

このシナリオの主な利点には、以下のものがあります。

  • 既存の Active Directory 構造を活用します。
  • 既存のドメイン コントローラおよびグローバル カタログ サーバーを使用します。
  • フォレスト間の厳密なセキュリティ境界を提供します。

このシナリオの欠点には、以下のものがあります。

  • Active Directory の更新を Exchange で反映するための準備プロセスが必要です。たとえば、フォレスト A に新しい Active Directory ユーザーを作成すると、アクセス許可を持つ、メールボックスが有効なオブジェクトが生成されます。このオブジェクトはフォレスト B では無効になります。
  • フォレスト管理者は、Active Directory オブジェクトと Exchange オブジェクトの管理責任を共有または分割する方法を決定する必要があります。