従来の Exchange アクセス許可の準備

  • [アーティクル]

 

適用先: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007

トピックの最終更新日: 2007-11-21

Microsoft Exchange Server 2003 または Exchange 2000 Server から Exchange Server 2007 に移行する場合は、まず Exchange 2003 または Exchange 2000 の DomainPrep を実行した各ドメインで特定の Exchange アクセス許可を付与する必要があります。これを行うには、setup /PrepareLegacyExchangePermissions コマンドを実行します。setup /PrepareLegacyExchangePermissions コマンドは、Active Directory フォレストのルート ドメインで実行することをお勧めします。このコマンドは、目的の Exchange 2007 サーバー、または Exchange 2007 管理ワークステーションで実行できます。setup /PrepareLegacyExchangePermissions コマンドをどこで実行するかにかかわらず、セットアップ プログラムは Service Pack 1 以降の Windows Server 2003 を実行している Active Directory ディレクトリ サーバーと通信できる必要があります。

これらのアクセス許可を付与するのは、Exchange 2007 のインストールに備えて Active Directory ディレクトリ サービスおよびドメインを準備する作業の一環です。詳細については、「Active Directory とドメインを準備する方法」を参照してください。

ここでは、setup /PrepareLegacyExchangePermissions コマンドを実行する理由とそのタイミング、およびこのコマンドによって Exchange 2007 組織で設定されるアクセス許可について説明します。

Setup /PrepareLegacyExchangePermissions を実行する理由

基本的に、Active Directory スキーマを Exchange 2007 用に更新した後、setup /PrepareLegacyExchangePermissions コマンドを実行し、Exchange 2003 または Exchange 2000 の受信者更新サービスが正しく機能するようにする必要があります。ここでは、主な問題と、その問題がこのコマンドを実行することによってどのように解決されるのかを説明します。

問題

Exchange Server 2003 および Exchange 2000 Server では、受信者更新サービスにより、メールが有効なユーザー オブジェクトで一部のメールボックス属性 (プロキシ アドレスなど) が更新されます。受信者更新サービスがこれらの属性を変更するアクセス許可を保持しているのは、受信者更新サービスが実行されるサーバーのコンピュータ アカウント (<サーバー名>) が Exchange Enterprise Servers (EES) グループに含まれているためです。EES グループは、Exchange Server 2003 または Exchange 2000 Server の DomainPrep を実行したときに作成されます。受信者更新サービスが変更する必要があるメールボックス属性ごとに、アクセス許可が EES グループに付与されるのではなく、それらのメールボックス属性がプロパティ セットにグループ化されます。Exchange Server 2003 または Exchange 2000 Server の DomainPrep を実行すると、Exchange は、自らが Active Directory のドメイン コンテナに設定したアクセス制御エントリ (ACE) を通じてプロパティ セットを変更するアクセス許可を、EES グループに付与します。

Exchange 2007 には、Exchange 受信者の管理者と呼ばれる、新しい定義済みの Exchange 管理者の役割があります。この役割には、すべてのユーザーの電子メール属性を管理するためのアクセス許可が含まれています。Exchange 受信者の管理者の役割のメンバである Exchange 管理者は、ユーザーの電子メール プロパティのみを管理できます。この機能を有効にするには、ユーザーの電子メール属性の一部を、"Exchange-Information プロパティ セット" と呼ばれるプロパティ セットに移動する必要があります。Exchange では、新しい Exchange 2007 スキーマをインポートするときに Active Directory で属性スキーマを再定義することにより、これを行います。ただし、従来の EES グループは Exchange-Information プロパティ セットに対するアクセス許可を持ちません。したがって、新しい Exchange 2007 スキーマをインポートするときに、受信者更新サービスにはユーザーの電子メール属性に対するアクセス許可がなくなり、正しく機能しなくなります (たとえば、新たに作成された Exchange Server 2003 ユーザーのプロキシ アドレスを設定できなくなります)。

解決方法

setup /PrepareLegacyExchangePermissions コマンドを実行すると、従来の受信者更新サービスが正しく機能するようになります。新しい Exchange 2007 スキーマをインポートする前に、Exchange 2007 では Exchange Server 2003 または Exchange 2000 Server を実行したドメインごとに新しいアクセス許可を付与する必要があります。setup /PrepareLegacyExchangePermissions コマンドにより、これらの新しいアクセス許可が付与されます。setup /PrepareSchema を実行する前に、setup /PrepareLegacyExchangePermissions を実行し、Exchange 組織全体でのアクセス許可のレプリケートを許可する必要があります。setup /PrepareLegacyExchangePermissions を実行するサーバーは、ローカル グローバル カタログに照会して、EES グループと Exchange Domain Servers (EDS) グループを確認することによって、Exchange Server 2003 または Exchange 2000 Server DomainPrep を実行しているドメインを検索します。このサーバーは、Exchange Server 2003 または Exchange 2000 Server DomainPrep を実行したフォレスト内のすべてのドメインと通信できる必要があります。また、setup /PrepareLegacyExchangePermissions を実行するために使用するアカウントは、各ドメインおよび Exchange 組織で ACE を設定できるように、Enterprise Admins ユニバーサル セキュリティ グループ (USG) に割り当てられたアクセス許可を保持している必要があります。

Setup /PrepareLegacyExchangePermissions によって設定されるアクセス許可

setup /PrepareLegacyExchangePermissions を実行すると、EES グループと Exchange Domain Servers (EDS) グループを持つフォレスト内のすべてのドメインが検索されます。これらのグループを持つ各ドメインに対し、setup /PrepareLegacyExchangePermissions は次のことを実行します。

  • ドメイン ルートのアクセス制御リスト (ACL) に ACE を追加し、Exchange-Information プロパティ セットに対する WRITE_PROP アクセス許可を EES グループに付与します。
  • ドメイン ルートの ACL に ACE を追加し、Exchange-Information プロパティ セットに対する READ_PROP アクセス許可を認証されたユーザーに付与します。
  • ドメインの AdminSDHolder コンテナに ACE を追加し、Exchange-Information プロパティ セットに対する WRITE_PROP アクセス許可と READ_PROP アクセス許可を EES グループに付与します。
  • Exchange 組織コンテナの ACL に ACE を追加し、Exchange-Information プロパティ セットに対する WRITE_PROP アクセス許可を EDS グループに付与します。

Setup /PrepareLegacyExchangePermissions の再実行

次のような場合は、setup /PrepareLegacyExchangePermissions を再実行する必要があります。

  • Exchange Server 2003 または Exchange 2000 Server サーバーを含むドメインが存在し、DomainPrep を実行していない場合
  • フォレストに新しいドメインを追加し、このドメインに Exchange Server 2003 または Exchange 2000 Server をインストールする場合
  • 新しいドメインまたは既存のドメインで、DomainPrep を実行していないドメイン内の Exchange Server 2003 または Exchange 2000 Server サーバー上のメールボックスにログオンするユーザーのメールボックスを有効にする場合

これらの場合は、Exchange Server 2003 または Exchange 2000 Server DomainPrep を実行した後に、再度 setup /PrepareLegacyExchangePermissions を実行する必要があります。これにより、そのドメインで Exchange Server 2003 または Exchange 2000 Server の受信者更新サービスが正しく機能するようになります。

参照している情報が最新であることを確認したり、他の Exchange Server 2007 ドキュメントを見つけたりするには、Exchange Server TechCenter を参照してください。