エッジ サブスクリプションについて

  • [アーティクル]

 

適用先: Exchange Server 2010 SP2, Exchange Server 2010 SP3

トピックの最終更新日: 2015-03-09

ここでは、エッジ サブスクリプションおよび EdgeSync 同期プロセスの詳細について説明します。 エッジ サブスクリプションは、Microsoft Exchange Server 2010 のエッジ トランスポート サーバーの役割の上で動作する Active Directory ライトウェイト ディレクトリ サービス (AD LDS) インスタンスに、Active Directory データを設定するために使用します。

Exchange 2010 では、エッジ トランスポート サーバーの役割は組織の境界ネットワークに展開されます。 エッジ トランスポート サーバーは攻撃の範囲を最小限にするよう設計されており、インターネットに直接接続されたすべてのメール フローを処理し、Exchange 組織に SMTP 中継およびスマート ホスト サービスを提供します。 さらに、エッジ トランスポート サーバーで実行される一連のエージェントによってメッセージ保護とセキュリティの層が提供され、メッセージ トランスポート コンポーネントによりメッセージが処理されるとき、メッセージに作用します。 これらのエージェントでは、ウイルスやスパムを防御し、メッセージ フローを制御するトランスポート ルールを適用する機能がサポートされています。

エッジ サブスクリプションを作成しないという選択もありえますが、エッジ トランスポート サーバーで Exchange 組織を購読すると、管理作業が簡素化され、提供されているスパム対策機能がより強化されます。 受信者参照機能またはセーフ リスト集約機能の使用を計画している場合、あるいは相互トランスポート層セキュリティ (TLS) を使用したパートナー ドメインとの SMTP 通信のセキュリティ保護を計画している場合は、エッジ サブスクリプションを作成する必要があります。

トランスポート サーバーの管理に関連する管理タスクについては、 「トランスポート サーバーの管理」を参照してください。

目次

エッジ サブスクリプション プロセス

Microsoft Exchange EdgeSync サービス

エッジ サブスクリプションの管理

エッジ サブスクリプション プロセス

一般的な展開シナリオでは、エッジ トランスポート サーバーの役割がインストールされているコンピューターには、Active Directory へのアクセス権がありません。 エッジ トランスポート サーバーがメッセージを処理する際に使用する、構成と受信者に関するすべての情報は AD LDS に格納されます。 エッジ サブスクリプションを作成することによって、Active Directory から AD LDS への、セキュリティ保護された自動の情報レプリケーションが確立されます。 エッジ サブスクリプション プロセスは、ハブ トランスポート サーバーと購読済みエッジ トランスポート サーバーとの間でセキュリティ保護された LDAP 接続を確立するために使用する資格情報を準備します。 次に、ハブ トランスポート サーバー上で動作する Microsoft Exchange EdgeSync サービスが、定期的な一方向の同期を実行して、データを AD LDS に転送し、そのデータを最新状態に維持します。 この処理によって、ハブ トランスポート サーバーの役割で必要な構成が実行され、エッジ トランスポート サーバーにその情報が書き込まれます。これによって、境界ネットワーク内で実行する必要のある管理作業が軽減されます。

Active Directory サイトでエッジ トランスポート サーバーを購読し、このサイトには、直接エッジ トランスポート サーバーと直接メッセージを交換するハブ トランスポート サーバーが含まれます。 エッジ サブスクリプション プロセスは、エッジ トランスポート サーバーに関する Active Directory サイトのメンバーシップの関係を作成します。 このサイトの関係によって、Exchange 組織内のハブ トランスポート サーバーは、明示的な送信コネクタを構成しなくても、インターネットに向けて配信するメッセージをエッジ トランスポート サーバーに中継できます。

1 つ以上のエッジ トランスポート サーバーで、1 つの Active Directory サイトを購読できます。 ただし、1 つのエッジ トランスポート サーバーで複数の Active Directory サイトを購読することはできません。 複数のエッジ トランスポート サーバーが展開されている場合、各サーバーが別の Active Directory サイトを購読できます。 各エッジ トランスポート サーバーには個別のエッジ サブスクリプションが必要です。

エッジ トランスポート サーバーを展開し、Active Directory サイトを購読するには、次の手順を実行します。

  1. エッジ トランスポート サーバーの役割をインストールします。

  2. ハブ トランスポート サーバーとエッジ トランスポート サーバーが、ドメイン ネーム システム (DNS) 名前解決を使用して互いを見つけることができることを確認します。

  3. エッジ トランスポート サーバーにレプリケートされるオブジェクトと設定を構成します。

  4. エッジ トランスポート サーバー上で、エッジ サブスクリプション ファイルを作成およびエクスポートします。 この手順の詳細については、「エッジ サブスクリプション ファイルを作成する」を参照してください。

  5. エッジ サブスクリプション ファイルをハブ トランスポート サーバーまたは、ハブ トランスポート サーバーを含む Active Directory サイトからアクセス可能なファイル共有にコピーします。

  6. エッジ サブスクリプション ファイルを、エッジ トランスポート サーバーを購読する Active Directory サイトにインポートします。 この手順の詳細については、「エッジ サブスクリプションの作成」を参照してください。

次の図は、エッジ サブスクリプション プロセスを示しています。

エッジ サブスクリプション プロセス

エッジ サブスクリプション ファイルのインポートとエクスポートのプロセス

新しいエッジ サブスクリプションの作成時に行われる構成の変更

エッジ トランスポート サーバー上でエッジ サブスクリプション ファイルを作成するために New-EdgeSubscription コマンドレットを実行すると、次の処理が行われます。

  • AD LDS アカウントが作成されます。 このアカウントは、EdgeSync ブートストラップ レプリケーション アカウント (ESBRA) と呼ばれます。 この資格情報は、エッジ トランスポート サーバーへの最初の EdgeSync 接続の認証で使用されます。 このアカウントは、作成後 1,440 分 (24 時間) で期限切れになるように構成されます。 このため、有効期限が切れる前にサブスクリプション プロセスを完了する必要があります。 エッジ サブスクリプション プロセスが完了する前に ESBRA が期限切れになった場合は、エッジ トランスポート サーバー上で New-EdgeSubscription コマンドレットを再実行して、エッジ サブスクリプション ファイルを作成する必要があります。

  • ESBRA 資格情報は AD LDS から取得され、エッジ サブスクリプション ファイルに書き込まれます。 エッジ トランスポート サーバーの自己署名証明書の公開キーも、エッジ サブスクリプション ファイルにエクスポートされます。 エッジ サブスクリプション ファイルに書き込まれる資格情報は、ファイルのエクスポート元のサーバーによって異なります。

  • クラス内に既に作成されている構成オブジェクトのうち、Active Directory から AD LDS にレプリケートされる予定のオブジェクトは、AD LDS から削除されます。また、これらのオブジェクトを構成するために使用されていた Exchange 管理シェル コマンドは無効になります。 これらのオブジェクトを表示するためのコマンドレットはその後も使用できます。 New-EdgeSubscription コマンドレットを実行すると、エッジ トランスポート サーバー上で次のコマンドレットが無効になります。

    • Set-SendConnector

    • New-SendConnector

    • Remove-SendConnector

    • New-AcceptedDomain

    • Set-AcceptedDomain

    • Remove-AcceptedDomain

    • New-MessageClassification

    • Set-MessageClassification

    • Remove-MessageClassification

    • New-RemoteDomain

    • Set-RemoteDomain

    • Remove-RemoteDomain

シェルで New-EdgeSubscription コマンドレットを実行するか、または Exchange 管理コンソールでエッジ サブスクリプションの新規作成ウィザードを使用して、エッジ サブスクリプション ファイルをハブ トランスポート サーバーにインポートすると、次の処理が行われます。

  • エッジ サブスクリプションが作成されます。これにより、Exchange 組織に参加しており、Microsoft Exchange EdgeSync サービスによって構成データが伝達されるエッジ トランスポート サーバーのレコードが設定されます。 この手順により、Active Directory にエッジ構成オブジェクトが作成されます。

  • Active Directory サイトの各ハブ トランスポート サーバーが、Active Directory から、新しいエッジ トランスポート サーバーが購読済みになった旨の通知を受信します。 ハブ トランスポート サーバーは、エッジ サブスクリプション ファイルから ESBRA を受け取ります。 次に、ハブ トランスポート サーバーは、エッジ トランスポート サーバーの自己署名証明書の公開キーを使用して、この ESBRA を暗号化します。 暗号化された資格情報はエッジ構成オブジェクトに書き込まれます。

  • また、各ハブ トランスポート サーバーは、自分の公開キーを使用して ESBRA を暗号化し、この資格情報を自分の構成オブジェクトに格納します。

  • エッジ トランスポート サーバーとハブ トランスポート サーバーのペアごとに、Active Directory 内に EdgeSync レプリケーション アカウント (ESRA) が作成されます。 各ハブ トランスポート サーバーでは、この ESRA 資格情報をハブ トランスポート サーバーの構成オブジェクトの属性として格納します。

  • エッジ トランスポート サーバーからインターネットへの送信メッセージ、およびエッジ トランスポート サーバーから Exchange 組織への受信メッセージを中継する送信コネクタが自動的に作成されます。

  • ハブ トランスポート サーバー上で実行される Microsoft Exchange EdgeSync サービスは、ESBRA 資格情報を使用して、ハブ トランスポート サーバーとエッジ トランスポート サーバーとの間でセキュリティで保護された LDAP 接続を確立し、最初のデータ レプリケーションを実行します。 次のデータが AD LDS にレプリケートされます。

    • トポロジ データ

    • 構成データ

    • 受信者データ

    • ESRA 資格情報

  • エッジ トランスポート サーバー上で実行される Microsoft Exchange Credential Service により、ESRA 資格情報がインストールされます。 これらの資格情報は、その後の同期接続を認証し、セキュリティで保護するために使用されます。

  • EdgeSync 同期スケジュールが確立されます。

エッジ トランスポート サーバーを購読する Active Directory サイト内のハブ トランスポート サーバー上で実行される Microsoft Exchange EdgeSync サービスによって、Active Directory から AD LDS へのデータの一方向レプリケーションが定期的に実行されるようになります。 シェルで Start-EdgeSynchronization コマンドレットを使用することによって、EdgeSync 同期スケジュールを無視して、直ちに同期を開始することもできます。

ESRA アカウントの詳細、およびこのアカウントを使用して EdgeSync 同期プロセスをセキュリティで保護する方法の詳細については、「エッジ サブスクリプションの資格情報について」を参照してください。

エッジ サブスクリプション プロセスの処理中に作成される送信コネクタ

既定では、エッジ サブスクリプション ファイルをハブ トランスポート サーバーにインポートしてエッジ サブスクリプション プロセスを完了すると、インターネットと Exchange 組織の間のエンド ツー エンドのメール フローを可能にするために必要な送信コネクタが自動的に作成されます。 エッジ トランスポート サーバーの既存の送信コネクタは削除されます。 これは推奨する方法でもあるのですが、送信コネクタの自動作成を抑制し、送信コネクタの手動構成を選択することもできます。 送信コネクタを手動で構成する方法の詳細については、「EdgeSync を使用しないエッジ トランスポート サーバーとハブ トランスポート サーバー間のメール フローを構成する」を参照してください。

エッジ サブスクリプション プロセスでは、以下の送信コネクタが準備されます。

  • Exchange 組織からインターネットに電子メール メッセージを中継するように構成された送信コネクタ

  • エッジ トランスポート サーバーから Exchange 組織に電子メール メッセージを中継するように構成された送信コネクタ

また、Exchange 組織でエッジ トランスポート サーバーを購読することによって、エッジ トランスポート サーバーを購読する Active Directory サイト内にあるハブ トランスポート サーバーが、組織内の送信コネクタを使用してそのエッジ トランスポート サーバーにメッセージを中継できるようになります。

インターネットにメッセージを送信するための送信コネクタを自動的に作成する

ハブ トランスポート サーバー上のシェルで New-EdgeSubscription コマンドレットを実行する際に、CreateInternetSendConnector パラメーターは既定で $true に設定されます。 これにより、インターネットにメッセージを送信するために必要となる送信コネクタが作成されます。 次の表は、この送信コネクタの既定の構成を示しています。

インターネット送信コネクタの自動構成

パラメーター

名前

EdgeSync - <サイト名> からインターネットへ

アドレス スペース

SMTP:*;100

Source Server

エッジ サブスクリプションの名前

注意

エッジ サブスクリプションの名前は、購読済みのエッジ トランスポート サーバーの名前と同じです。

有効

True

[DNS ルーティングが有効]

True

DomainSecureEnabled (相互認証 TLS)

True

同一の Active Directory サイトで複数のエッジ トランスポート サーバーを購読している場合、インターネットへの送信コネクタが追加作成されることはありません。 代わりに、すべてのエッジ サブスクリプションが送信元サーバーとして同一の送信コネクタに追加されます。 この構成では、インターネットへの送信接続は、購読済みのエッジ トランスポート サーバー間で負荷分散されます。

この送信コネクタは、Exchange 組織からすべてのリモート SMTP ドメインに電子メール メッセージを送信するように構成されます。 この送信コネクタは DNS ルーティングを使用して、ドメイン名を MX リソース レコードに解決します。 このコネクタの構成は手動で変更できます。 ただし、たとえばスマート ホスト経由で送信電子メールをルーティングする必要があるような場合は、このコネクタの作成を抑制し、インターネットへの送信コネクタを手動で構成することができます。

注意

スマート ホストを使用して電子メールをルーティングするように構成された送信コネクタでは、DNSRoutingEnabled パラメーターが $false に設定されている必要があります。 DNSRoutingEnabled パラメーターを $false に設定する場合は、DomainSecureEnabled パラメーターも $false に設定する必要があります。

受信用の送信コネクタを自動的に作成する

ハブ トランスポート サーバー上のシェルで New-EdgeSubscription コマンドレットを実行する際に、CreateInboundSendConnector パラメーターは既定で $true に設定されます。 これにより、Exchange 組織にメッセージを送信するために必要となる送信コネクタが作成されます。 次の表は、この送信コネクタの構成を示しています。

受信用の送信コネクタの自動構成

パラメーター

名前

<サイト名> への EdgeSync 受信

アドレス スペース

SMTP:--;1

Source Server

エッジ サブスクリプションの名前

有効

True

[DNS ルーティングが有効]

False

Smart Hosts

--

受信用の送信コネクタのアドレス スペース内の -- プレースホルダーは、Exchange 組織の権限のあるドメインおよび内部の中継が承認されているドメインを表し、リテラル文字が表示されます。 エッジ トランスポート サーバーが受信する、権限のあるドメインや内部の中継が承認されているドメイン宛てのメッセージは、この送信コネクタにルーティングされ、スマート ホストに中継されます。

スマート ホストの一覧内の -- プレースホルダーは、購読済みの Active Directory サイト内にあるすべてのハブ トランスポート サーバーを表し、リテラル文字が表示されます。 エッジサブスクリプションが確立した後に Active Directory サイトに追加されるハブ トランスポート サーバーは、EdgeSync 同期プロセスには参加しません。 ただし、ハブ トランスポート サーバーは、受信用の送信コネクタのスマート ホストの一覧に追加されます。 購読済みの Active Directory サイトに複数のハブ トランスポート サーバーがある場合、受信接続はスマート ホスト間で負荷分散されます。

自動作成された受信用の送信コネクタのアドレス スペースまたはスマート ホストの一覧を変更することはできません。 ただし、エッジ サブスクリプトの作成時に CreateInboundSendConnector パラメーターの値を $false に設定して、エッジ トランスポート サーバーから Exchange 組織への送信コネクタを手動で構成できます。

組織内の送信コネクタ

組織内の送信コネクタは、Exchange 2010 によって自動的に計算される暗黙的で非表示の送信コネクタで、同じ組織内のハブ トランスポート サーバーが明示的な送信コネクタを使用せずに相互にメッセージを中継できるようにします。 エッジ サブスクリプション用として Active Directory サイトとの関連付けを持つ構成オブジェクトが Active Directory 内に存在するため、組織内の送信コネクタは、エッジ トランスポート サーバーにメッセージを中継するためにも使用されます。

エッジ トランスポート サーバーを購読する同一の Active Directory サイト内にあるハブ トランスポート サーバーのみが、購読済みのエッジ トランスポート サーバーとの間で直接電子メールを送受信できます。 複数サイトのフォレストがあり、Exchange 2010 が複数のサイトに展開されている場合、購読済みサイト以外のサイト内のハブ トランスポート サーバーは、送信電子メールを購読済みサイトにルーティングします。 購読済みサイト内のハブ トランスポート サーバーは、送信電子メールをエッジ トランスポート サーバーにルーティングします。

エッジ サブスクリプションが完了した後の追加の送信コネクタの作成

Active Directory サイトでエッジ トランスポート サーバーを購読すると、エッジ トランスポート サーバー上で送信コネクタを作成および変更するためのタスクが無効になります。 送信元サーバーとしてエッジ トランスポート サーバーを指定する送信コネクタを作成する場合は、Exchange 組織内部に送信コネクタを作成します。 1 つまたは複数のエッジ サブスクリプションを送信コネクタの送信元サーバーとして指定できます。同一の送信コネクタの送信元サーバーとしてハブ トランスポート サーバーとエッジ サブスクリプションの両方を指定することはできません。 この送信コネクタは、EdgeSync 同期プロセスによって構成データが次回同期されるときに、送信元サーバーとして構成されているエッジ トランスポート サーバー上の AD LDS インスタンスにレプリケートされます。 送信元サーバーとして複数のエッジ サブスクリプションを指定した場合、その送信コネクタへの接続は、購読済みのエッジ トランスポート サーバー間で負荷分散されます。 ただし、負荷分散が行われるためには、エッジ トランスポート サーバーが同じ Active Directory サイトで購読されている必要があります。 異なる Active Directory サイト内のエッジ サブスクリプションが同一の送信コネクタで送信元サーバーとして構成されている場合、ハブ トランスポート サーバーは最も近い送信元サーバーのみにルーティングします。

以下のシナリオでは、送信コネクタを手動で作成する必要があります。

  • インターネット送信コネクタまたは受信用の送信コネクタの自動作成を抑制した。

  • 外部の中継ドメインとして構成されている承認済みドメインがある。

送信コネクタの自動作成の抑制

Exchange 組織のトポロジによっては、送信コネクタの自動作成を抑制する方がいい場合があります。 以下のシナリオは、送信コネクタの自動作成を抑制する必要があるトポロジの例を示しています。

メール フローのパーティション分割

2 つのエッジ トランスポート サーバー間で受信メール処理と送信メール処理をパーティション分割する場合があります。 このシナリオでは、1 つのエッジ トランスポート サーバーが送信メール フローの処理を担当し、もう 1 つのエッジ トランスポート サーバーが受信メール フローの処理を担当します。 このシナリオを実現するには、次のようにエッジ サブスクリプションを構成します。

  • 送信メール フローのみを処理するエッジ トランスポート サーバー用に、ハブ トランスポート サーバー上のシェルで次のコマンドを実行します。

    New-EdgeSubscription -FileData ([byte[]]$(Get-Content -Path "C:\EdgeServerSubscription.xml" -Encoding Byte -ReadCount 0)) -Site "Site-A" -CreateInboundSendConnector $false -CreateInternetSendConnector $true

  • 受信メール フローのみを処理するエッジ トランスポート サーバー用に、ハブ トランスポート サーバー上のシェルで次のコマンドを実行します。

    New-EdgeSubscription -FileData ([byte[]]$(Get-Content -Path "C:\EdgeServerSubscription.xml" -Encoding Byte -ReadCount 0)) -Site "Site-A" -CreateInboundSendConnector $true -CreateInternetSendConnector $false

スマート ホストへの送信電子メールのルーティング

Exchange 組織がすべての送信電子メールをスマート ホスト経由でルーティングする場合、既定で自動的に作成されるインターネットへの送信コネクタでは正しい構成が行われません。

このシナリオでは、ハブ トランスポート サーバー上のシェルで次のコマンドを実行して、インターネットへの送信コネクタの自動作成を抑制します。

New-EdgeSubscription -FileData ([byte[]]$(Get-Content -Path "C:\EdgeServerSubscription.xml" -Encoding Byte -ReadCount 0)) -Site "Site-A" -CreateInternetSendConnector $false

エッジ サブスクリプション プロセスが完了した後で、インターネットへの送信コネクタを手動で作成します。 Exchange 組織内部の送信コネクタを作成し、このコネクタの送信元サーバーとしてエッジ サブスクリプションを選択します。 使用法として [カスタム] を選択し、1 つまたは複数のスマート ホストを構成します。 EdgeSync が構成データを次回同期するときに、この送信コネクタはエッジ トランスポート サーバー上の AD LDS インスタンスにレプリケートされます。 ハブ トランスポート サーバー上のシェルで Start-EdgeSynchronization コマンドレットを実行することによって、EdgeSync の同期を強制的に直ちに開始することもできます。

次のコードは、シェルを使用して、購読済みのエッジ トランスポート サーバー用の送信コネクタを構成し、すべてのインターネット アドレス スペース宛てのメッセージをスマート ホスト経由でルーティングする方法の例を示しています。 このタスクは、エッジ トランスポート サーバー上ではなく、Exchange 組織内部で実行します。

New-SendConnector -Name "EdgeSync - Site-A to Internet" -Usage Custom -AddressSpaces SMTP:*;100 -DNSRoutingEnabled $false -SmartHosts 192.168.10.1 -SmartHostAuthMechanism None -SourceTransportServers EdgeSubscriptionName

重要

この例では、スマート ホストの認証機構を指定していません。 自分の Exchange 組織でスマート ホスト コネクタを作成するときには、正しい認証機構を構成し、必要な資格情報をすべて指定してください。

外部の中継ドメイン用の送信コネクタの構成

外部の中継ドメインとして構成されている承認済みドメインが Exchange 組織内にある場合は、これらのアドレス スペース用の送信コネクタを手動で作成する必要があります。 外部の中継ドメインに配信されるメッセージは、エッジ トランスポート サーバーによって中継されます。 エッジ サブスクリプション プロセスでは、外部の中継ドメイン用の送信コネクタは自動的に作成および構成されません。 このため、これらのドメイン用の送信コネクタを構成し、これらの送信コネクタの送信元サーバーとして 1 つまたは複数のエッジ サブスクリプションを指定する必要があります。

外部の中継ドメイン用の DNS MX リソース レコードは、エッジ トランスポート サーバーに解決されます。 外部の中継ドメインに電子メールを中継する送信コネクタは、ルーティングにスマート ホストを使用するように構成します。 DNS ルーティングを使用するように外部の中継ドメイン用の送信コネクタを構成すると、ルーティング ループが発生します。 外部の中継ドメインの詳細については、「承認済みドメインについて」を参照してください。

ページのトップへ

Microsoft Exchange EdgeSync サービス

Active Directory サイトでエッジ トランスポート サーバーを購読した後に、ハブ トランスポート サーバー上で実行される EdgeSync サービスは、Microsoft Exchange EdgeSync サービスを使用して、構成および受信者データをエッジ トランスポート サーバーにレプリケートします。このサービスは、次のデータを Active Directory から AD LDS にレプリケートします。

  • 送信コネクタの構成

  • 承認済みドメイン

  • リモート ドメイン

  • メッセージ分類

  • 差出人セーフ リスト

  • 受信拒否リスト

  • 受信者

  • セキュリティで保護されたドメインがパートナーとの通信で使用する送受信ドメインの一覧

  • 組織のトランスポートの構成で内部として一覧される SMTP サーバーの一覧

  • 購読済み Active Directory サイト内のハブ トランスポート サーバーの一覧

AD LDS にレプリケートされるデータとその使用方法の詳細については、「EdgeSync レプリケーション データ」を参照してください。

Microsoft Exchange EdgeSync サービスは、セキュリティで保護された LDAP チャネルを使用してこのデータを転送します。 ハブ トランスポート サーバーからエッジ トランスポート サーバーに対して、相互に認証、承認されるセキュリティで保護された LDAP チャネルが確立されます。

データを AD LDS にレプリケートするため、ハブ トランスポート サーバーは更新済みデータを取得するグローバル カタログ サーバーをバインドします。 Microsoft Exchange EdgeSync サービスは、ハブ トランスポート サーバーと購読済みエッジ トランスポート サーバーとの間で、非標準の TCP ポート 50636 を使用して、セキュリティで保護された LDAP セッションを開始します。

次の図は、EdgeSync の同期プロセスを示しています。

EdgeSync の同期プロセス

EdgeSync 同期プロセス

Active Directory サイトで最初にエッジトランスポートサーバーを購読した際、最初のレプリケーションでは、Active Directory からのデータが AD LDS に格納されます。このときディレクトリ サービスのデータ量によっては時間がかかることがあります。 最初のレプリケーションが完了した後に、EdgeSync サービスによって、新しいオブジェクトと変更されたオブジェクトのみが同期され、Active Directory から削除されたオブジェクトは削除されます。

同期スケジュール

異なる種類のデータは、異なるスケジュールで同期されます。 EdgeSync の同期スケジュールでは、EdgeSync 同期間隔の最長時間が指定されています。 EdgeSync の同期は次の間隔で行われます。

  • 構成データは 3 分おきに同期するようにスケジュールされます。

  • 受信者データは 5 分おきに同期するようにスケジュールされます。

  • トポロジ データは 5 分ごとに再読み込みされます。

Set-EdgeSyncServiceConfig コマンドレットを使用して、EdgeSync 同期のスケジュール間隔を構成します。 ハブ トランスポート サーバー上の シェルで Start-EdgeSynchronization コマンドレットを使用して、エッジ サブスクリプションの同期を強制的に直ちに実行することができます。この同期処理は、EdgeSync の次回のスケジュール同期の時刻を決定するタイマーより優先されます。

ハブ トランスポート サーバーの選択

購読済みのエッジ トランスポート サーバーは、特定の Active Directory サイトと関連付けられます。 複数のハブ トランスポート サーバーがサイトに存在する場合、それらのサーバーのいずれかが購読済みエッジ トランスポート サーバーにデータをレプリケートします。同期実行時のハブ トランスポート サーバー間での競合を防ぐために、優先するハブ トランスポート サーバーの選択は次のように行われます。

  1. Active Directory サイトでトポロジ スキャンを実行して新しいエッジ サブスクリプションを検出する最初のハブ トランスポート サーバーが、最初のレプリケーションを実行します。 この検出はトポロジ スキャンのタイミングに基づいているため、サイトのどのハブ トランスポート サーバーも最初のレプリケーションを実行する可能性があります。

  2. 最初のレプリケーションを実行するハブ トランスポート サーバーは、EdgeSync リース オプションを設定し、エッジ サブスクリプションに "ロック" を掛けます。 リース オプションにより、そのハブ トランスポート サーバーが、そのエッジ トランスポート サーバーに同期サービスを提供する優先サーバーであることを確立します。 ロックにより、別のハブ トランスポート サーバーの Microsoft Exchange EdgeSync サービスがリース オプションを引き継ぐことを防ぎます。

  3. EdgeSync リース オプションは 1 時間有効です。 この 1 時間の間に、他のハブ トランスポート サーバーから別の Microsoft Exchange EdgeSync サービスがオプションを引き継ぐことはできません。ただし、この有効時間が切れる前に手動による同期が発生した場合は例外です。 手動による同期が実行されたときに、優先ハブ トランスポート サーバーが Microsoft Exchange EdgeSync サービスを提供できない場合は、5 分間の待機後にロックが解除され、別の Microsoft Exchange EdgeSync サービスがリース オプションを引き継ぎ、同期を実行します。

  4. 手動による同期が実行されない場合は、EdgeSync 同期スケジュールに基づいて同期が発生します。 スケジュールされた同期が発生したときに、優先ハブ トランスポート サーバーを利用できない場合は、5 分間の待機後にロックが解除され、別の Microsoft Exchange EdgeSync サービスがリース オプションを引き継ぎ、同期を実行します。

ロックとリースを使用するこの方法により、Microsoft Exchange EdgeSync サービスの複数のインスタンスが同じエッジ トランスポート サーバーに同時にデータをプッシュすることを防ぐことができます。

注意

エッジ トランスポート サーバーを購読している Active Directory サイトに Exchange 2010 と Exchange Server 2007 の両方のハブ トランスポート サーバーがある場合、Exchange 2010 のハブ トランスポート サーバーは、Exchange 2007 ハブ トランスポート サーバーより常に優先されます。

注意

エッジ トランスポート サーバーが Active Directory サイトで購読されると、その時点でその Active Directory サイトにインストールされているすべてのハブ トランスポート サーバーが EdgeSync 同期プロセスに参加できます。 これらのサーバーの 1 つを削除した場合、残りのハブ トランスポート サーバーで実行されている Microsoft Exchange EdgeSync サービスはデータ同期プロセスを続行します。 ただし、Active Directory サイトに新しいハブ トランスポート サーバーをインストールした場合、新しいサーバーが EdgeSync 同期プロセスに自動的に参加することはありません。 これらのハブ トランスポート サーバーを EdgeSync 同期プロセスに参加させるには、エッジ トランスポート サーバーを再度購読する必要があります。

次の表は、ロックおよびリース処理に関連する EdgeSync プロパティを示しています。 Set-EdgeSyncServiceConfig コマンドレットを使用して、これらのプロパティを構成できます。

EdgeSync リース プロパティ

プロパティ名 説明

ロック時間

5 分

この設定は、特定の Microsoft Exchange EdgeSync サービスがロックを保持する時間を決定します。 このロックを保持しているハブ トランスポート サーバーの Microsoft Exchange EdgeSync サービスが応答しない場合は、5 分後に別のハブ トランスポート サーバーの Microsoft Exchange EdgeSync サービスがリースを引き継ぎます。 EdgeSync 同期を強制実行しても、この値は上書きされません。

オプション時間

1 時間

この設定は、Microsoft Exchange EdgeSync サービスがエッジ トランスポート サーバーについてのリース オプションを宣言できる時間を決定します。 リースを保持している Microsoft Exchange EdgeSync サービスが使用できず、このオプション時間内に再起動されない場合は、EdgeSync 同期を強制実行しない限り、他の Microsoft Exchange EdgeSync サービスがリース オプションを引き継ぐことはありません。

ロック更新

1 分

この設定は、Microsoft Exchange EdgeSync サービスがエッジ トランスポート サーバーへのロックを保持しているときに、ロック フィールドが更新される頻度を決定します。

EdgeSync サービスの実行の準備

Exchange 組織でエッジ トランスポート サーバーを購読できるようにするには、事前にインフラストラクチャとハブ トランスポート サーバーが EdgeSync サービス用に準備されていることを確認する必要があります。 次の一覧は、EdgeSync 同期を準備するために実行すべき事項をまとめたものです。

  • Exchange 組織とエッジ トランスポート サーバーを分ける境界ネットワーク ファイアウォールが、正しいポートを使用して通信できるように構成されていることを確認します。 エッジ トランスポート サーバーでは、標準とは異なる LDAP ポートを使用します。 使用している環境で特定のポートが必要な場合は、Exchange 2010 で提供される ConfigureAdam.ps1 スクリプトを使用して、AD LDS で使用するポートを変更できます。 詳細については、「AD LDS の構成を変更する」(英語) を参照してください。 ただし、エッジ サブスクリプションを作成した後はポートを変更しないでください。 エッジ サブスクリプションを作成した後でポートを変更した場合は、そのエッジ サブスクリプションを削除して、サブスクリプションを作成する必要があります。 既定では、次の LDAP ポートが AD LDS へのアクセスに使用されます。

    • LDAP   ポート 50389/TCP が、AD LDS インスタンスへのバインドにローカルに使用されます。 境界ネットワーク ファイアウォールでこのポートを開く必要はありません。

    • セキュリティで保護された LDAP   ポート 50636/TCP が、ハブ トランスポート サーバーから AD LDS へのディレクトリ同期に使用されます。 EdgeSync 同期が成功するには、このポートを開く必要があります。

  • エッジ トランスポート サーバーからハブ トランスポート サーバーへ、およびハブ トランスポート サーバーからエッジ トランスポート サーバーへの、DNS のホスト名解決が正常に行われることを確認します。

  • エッジ トランスポート サーバーのライセンスを発行します。 エッジ トランスポート サーバーのライセンス情報は、エッジ サブスクリプションの作成時に取得され、Exchange 組織の EMC に表示されます。 購読済みのエッジ トランスポート サーバーがライセンス発行済みとして表示されるには、エッジ トランスポート サーバーにライセンス キーを適用した後で Exchange 組織を購読する必要があります。 エッジ サブスクリプション プロセスの実行後にエッジ トランスポート サーバーにライセンス キーを適用した場合、ライセンス情報は Exchange 組織で更新されないため、エッジ トランスポート サーバーを再度購読する必要があります。

  • エッジ トランスポート サーバーの役割に伝達する次の設定を構成します。

    • 内部 SMTP サーバー   InternalSMTPServers パラメーターを構成するには、Set-TransportConfig コマンドレットを使用します。 このパラメーターには、Sender ID および接続フィルターによって無視される必要のある、内部 SMTP サーバーの IP アドレスまたは IP アドレスの範囲の一覧を指定します。

    • 承認済みドメイン   権限のあるドメイン、内部の中継ドメイン、および外部の中継ドメインをすべて構成します。

    • リモート ドメイン   リモート ドメインの設定を構成します。

ページのトップへ

エッジ サブスクリプションの管理

ここでは、エッジ サブスクリプションのさまざまな管理タスクに関する背景情報について説明します。 詳しい手順については、「エッジ サブスクリプションの管理」を参照してください。

エッジ トランスポート サーバーの追加

1 つ以上のエッジ トランスポート サーバーで 1 つの Active Directory サイトを購読できます。 境界ネットワークに追加のエッジ トランスポート サーバーを展開し、エッジ サブスクリプションが既に存在する Active Directory サイトを購読すると、次の処理が行われます。

  • Active Directory に新しいエッジ サブスクリプション オブジェクトが作成されます。

  • Active Directory サイト内の各ハブ トランスポート サーバーで、追加の ESRA アカウントが作成されます。 これらのアカウントは AD LDS にレプリケートされ、新しいサーバーとの同期中に EdgeSync 同期プロセスによって使用されます。

  • 自動的に構成されるインターネットへの送信コネクタの送信元サーバー一覧に、新しいエッジ サブスクリプションが追加されます。 処理のためにこのコネクタに送信されるメッセージは、購読済みのエッジ トランスポート サーバー間で負荷分散されます。

  • エッジ トランスポート サーバーから Exchange 組織への受信用の送信コネクタが自動的に作成されます。

  • エッジ トランスポート サーバーへの EdgeSync 同期が開始されます。

エッジ サブスクリプションを作成する方法の詳細な手順については、次のトピックを参照してください。

ハブ トランスポート サーバーの追加または削除

エッジ トランスポート サーバーが既に購読している Active Directory サイトにハブ トランスポート サーバーが追加された場合、このハブ トランスポート サーバーは EdgeSync 同期プロセスに自動的には参加しません。 新しく展開されたハブ トランスポート サーバーを EdgeSync 同期プロセスに参加させるには、それぞれのエッジ トランスポート サーバーで Active Directory サイトを再購読する必要があります。

エッジ トランスポート サーバーが購読している Active Directory サイトからハブ トランスポート サーバーを削除しても、そのハブ トランスポート サーバーがサイト内の最後のハブ トランスポート サーバーでない限り、EdgeSync 同期には影響しません。 エッジ トランスポート サーバーが購読している Active Directory サイトからすべてのハブ トランスポート サーバーを削除すると、購読済みのエッジ トランスポート サーバーは孤立します。

エッジ トランスポート サーバーの再購読

エッジ トランスポート サーバーで Active Directory サイトの再購読が必要になる場合があります。 エッジ サブスクリプションが再作成されると、新しい資格情報が生成され、続いて完全なエッジ サブスクリプション プロセスが実行されます。 このプロセスは、次のようなシナリオで使用します。

  • 新しいハブ トランスポート サーバーが購読済み Active Directory サイトに展開され、このサーバーを EdgeSync 同期に参加させる場合。

  • エッジ サブスクリプションが作成された後に、エッジ トランスポート サーバーにライセンス キーを適用した場合。 エッジ トランスポート サーバーのライセンス情報は、エッジ サブスクリプションの作成時に取得され、Exchange 組織の EMC に表示されます。 購読済みのエッジ トランスポート サーバーがライセンス発行済みとして表示されるには、エッジ トランスポート サーバーにライセンス キーを適用した後で Exchange 組織を購読する必要があります。 エッジ サブスクリプション プロセスの実行後にエッジ トランスポート サーバーにライセンス キーを適用した場合、ライセンス情報は Exchange 組織で更新されないため、エッジ トランスポート サーバーを再度購読する必要があります。

  • ESRA 資格情報が侵害されている場合。

    重要

    エッジ トランスポート サーバーを再購読するには、エッジ トランスポート サーバー上で新しいエッジ サブスクリプション ファイルをエクスポートし、ハブ トランスポート サーバー上でその XML ファイルをインポートします。 エッジ トランスポート サーバーは、以前に購読していた Active Directory サイトと同じサイトを再購読する必要があります。 元のエッジ サブスクリプションをあらかじめ削除する必要はありません。 再購読プロセスにより、既存のエッジ サブスクリプションは上書きされます。

エッジ サブスクリプションの削除

Exchange 組織から、または Exchange 組織とエッジ トランスポート サーバーの両方からエッジ サブスクリプションを削除する必要があるシナリオがいくつかあります。 エッジ トランスポート サーバーで Exchange 組織を再度購読する場合は、エッジ トランスポート サーバーからエッジ サブスクリプションを削除しないでください。 エッジ トランスポート サーバーからエッジ サブスクリプションを削除すると、レプリケートされたすべてのデータが AD LDS から削除されます。 受信者データが多い場合は、これに長い時間がかかることがあります。

以下にエッジ サブスクリプションの削除が必要になる状況の例を示します。

  • EdgeSync 同期プロセスにエッジ トランスポート サーバーを以降参加させない場合。 このシナリオでは、エッジ トランスポート サーバーと Exchange 組織の両方からエッジ サブスクリプションを削除する必要があります。

  • エッジ トランスポート サーバーの使用を停止する場合。 このシナリオでは、Exchange 組織のみからエッジ サブスクリプションを削除する必要があります。 エッジ トランスポート サーバーの役割をコンピューターからアンインストールすると、AD LDS インスタンスおよび AD LDS に格納されているすべての Active Directory データも削除されます。

  • エッジ サブスクリプションに関する Active Directory サイトの関連付けを変更する場合。 このシナリオでは、Exchange 組織のみからエッジ サブスクリプションを削除する必要があります。 Exchange 組織からエッジ サブスクリプションを削除すると、エッジ トランスポート サーバーで別の Active Directory サイトを再購読できます。

Exchange 組織からエッジ サブスクリプションを削除すると、次の影響があります。

  • Active Directory から AD LDS への情報の同期が停止します。

  • ESRA アカウントが Active Directory と AD LDS の両方から削除されます。

  • すべての送信コネクタの送信元サーバー一覧から、エッジ トランスポート サーバーの役割がインストールされているコンピューターが削除されます。

  • 自動で構成される、エッジ トランスポート サーバーから Exchange 組織への受信用の送信コネクタが、AD LDS から削除されます。

エッジ トランスポート サーバーからエッジ サブスクリプションを削除すると、次の影響があります。

  • Active Directory データを利用するエッジ トランスポート サーバーの機能は使用できなくなります。

  • レプリケートされたデータが、AD LDS から削除されます。

  • エッジ サブスクリプションの作成で無効になったタスクが再び有効になり、ローカルの構成ができるようになります。

エッジ サブスクリプションを削除する方法の詳細な手順については、「エッジ サブスクリプションを削除する」を参照してください。

EdgeSync の結果の確認

Test-EdgeSynchronization 診断コマンドレットを使用すると、エッジ同期が動作していることを確認できます。 このコマンドレットを実行すると、購読済みエッジ トランスポート サーバーの同期状態レポートが生成されます。 この診断コマンドレットは手動で実行することも、Microsoft System Center Operations Manager 2007 によって呼び出すことも可能です。System Center Operations Manager 2007 によってタスクが呼び出されると、エッジ トランスポート サーバーが同期されない場合に警告が生成されます。

このコマンドレットの出力によって、エッジ トランスポート サーバーに同期されていないオブジェクトを確認することができます。 このタスクでは、Active Directory に格納されているデータと、AD LDS に格納されているデータが比較されます。 データに不整合があると、このコマンドの結果出力の中で報告されます。

Test-EdgeSynchronization コマンドレットで ExcludeRecipientTest パラメーターを使用することによって、受信者データの同期の検証を除外できます。 このパラメーターを含めると、構成オブジェクトの同期だけが検証されます。 受信者データの同期の検証は、構成データだけを検証する場合より時間がかかります。

詳細な手順については、「受信者に関する EdgeSync の結果を確認する」を参照してください。

ページのトップへ

 © 2010 Microsoft Corporation.All rights reserved.