中規模組織に対する推奨事項

75 人以上のユーザーを抱える組織に Small Business Server 2003 を展開することはできません。このような組織では、別のコンピュータで Exchange 2003 を実行する必要があります。中規模組織の場合、中心的な場所でのユーザー数は最大で 1,000 人程度です。この場合、単一の Exchange 2003 サーバーですべてのメールボックスおよびパブリック フォルダをホストすることができます。限られた数の遠隔地なら、インターネット上の仮想プライベート ネットワーク (VPN) 接続を介してデータ センターへ接続することができます。リモート ユーザーは、インターネットへのダイヤルアップ接続を使って、VPN 接続または HTTP プロキシを経由した RPC でメールボックスにアクセスできます。次の図は、ローカルおよびリモートのユーザー数が 500 人である中規模組織で考えられる Exchange 2003 の構成を示しています。

中規模組織向けのサーバー統合戦略を開発する場合、以下の推奨事項を検討します。

• 単一ドメインで DNS サーバーおよびグローバル カタログ サーバーとして構成された、Windows Server 2003 を実行している 2 つのドメイン コントローラを展開する Exchange 2003 には、信頼性の高い DNS および Active Directory インフラストラクチャが必要なため、少なくとも 2 つのグローバル カタログ サーバーを展開することが重要です。一方のグローバル カタログ サーバーをシャットダウンしても、もう 1 つのグローバル カタログ サーバーが引き続き Exchange 2003 組織にディレクトリ サービスを提供できるため、ユーザーはメールボックスにアクセスしたり、メッセージを送受信したりすることができます。
  DNS インフラストラクチャで十分な冗長性を提供するため、両方のグローバル カタログを DNS サーバーとして構成します。DNS は非常に重要なネットワーク サービスです。DNS がなければ、Active Directory および Exchange 2003 組織は機能できません。メッセージング クライアントは、ドメイン コントローラやメールボックス サーバーなどの、内部リソースを見つける際に、DNS に照会します。一方、Exchange 2003 はディレクトリ参照のためにドメイン コントローラのインターネット プロトコル (IP) アドレスを取得する際は DNS に依存し、インターネットにメッセージを送信する際は、外部 SMTP (Simple Mail Transfer Protocol) ホストに依存します。ドメイン コントローラで DNS サーバーを実行することで、DNS ゾーンを Active Directory に統合することができます。Active Directory 統合ゾーンの利点は、書き込み可能なコピーがすべての DNS サーバーにあること、およびゾーン情報への変更が Active Directory レプリケーションの一部として DNS サーバー間でレプリケートされることです。

  注 :

  ドメイン コントローラへの Exchange 2003 の直接インストールが可能となりサポートされています。これは、Windows Server 2003 と Active Directory を実行する 2 つの追加サーバーを展開することを望まない組織には最適な方法です。ただし、この構成には、パフォーマンス上の制限があります。ドメイン コントローラで Exchange 2003 を実行する場合、ディレクトリ参照のためにローカル ドメイン コントローラを常に使用する必要があり、ネットワーク上の複数のドメイン コントローラ間で負荷を分散することができません。特に、ファイル サーバー、プリント サーバー、SQL サーバーのように、Active Directory アクセスも必要な追加サーバーが存在する場合、Exchange 2003 組織のフォレスト内に専用のドメイン コントローラを展開します。

• Exchange Server 2003 Standard Edition を展開する Exchange 2003 の Standard Edition は、小規模および中規模組織のメッセージングおよびコラボレーション ニーズに合うように設計されています。価格は、Enterprise Edition の基本価格の約 6 分の 1 です。ただし、Standard Edition では Windows クラスタ構成はサポートされていません。また、単一のストレージ グループに 1 つのメールボックス データベースと 1 つのパブリック フォルダ データベースのみのサポートとなります。メッセージング データベースは 16 GB に制限されます。Standard Edition の機能では、組織のサービス レベル要件を満たせない場合は、Microsoft Windows 2000 Advanced Server、Microsoft Windows 2000 Datacenter、または Windows Server 2003 Enterprise Edition に Exchange Server 2003 Enterprise Edition を展開します。Enterprise Edition では、サイズ制限を受けることなく各サーバーで複数のデータベースを使用できるほか、Windows クラスタもサポートされていますが、追加ハードウェアのコストを合わせると、コストが中規模組織でのサーバー統合の利点を上回る可能性があることに留意してください。たとえば、Exchange 2003 メールボックス サーバー用にアクティブ/パッシブ構成の 2 ノード クラスタを実装するため、追加ハードウェアを購入する必要があるとします。
  この場合は、Exchange ストアに十分なフォールト トレランスを提供するために、ストレージ サブシステムを RAID 構成で設計します。既定では、すべてのメッセージング データベースおよびそのトランザクション ログ ファイルは、\Program Files\Exchsrvr\Mdbdata ディレクトリにあります。Exchange 2003 は、サーバーが突然シャットダウンした場合に、コミットされたトランザクションが失われないようにするため、トランザクション ログを使用して、メモリ キャッシュでコミットされたトランザクションを保持します。トランザクション ログとデータベースを切り離し、別の物理ディスク上に配置することによって、Exchange ストアのフォールト トレランスを向上させることができます。データベース ハード ディスクが壊れた場合は、ディスクを置き換え、新しいデータベースを作成してから、トランザクション ログを再生します。トランザクション ログは、別のディスク上に存在するため、引き続き利用できます。ユーザーは、何も起こらなかったかのように作業を続行できます。トランザクション ログが存在するディスクで障害が発生した場合も、データベースは引き続き利用できます。問題の発生前に、最新のトランザクションがデータベースに反映されていなかった場合は、最新のトランザクションのみ失われる可能性があります。次の図は、Exchange Server 2003 Standard Edition を実行しているクラスタ化されていないサーバーの推奨ハード ディスク構成を示しています。
  

• 内部リソースをインターネットから保護するために境界ネットワークを展開する 内部ネットワークは、専用の異なるファイアウォールを配置することで、インターネットから切り離す必要があります。Exchange 2003 サーバーはファイアウォールとして使用しないことを強くお勧めします。外部ファイアウォールには、パケット フィルタリング ルーターや、境界ネットワーク上のリソースへのアクセス制御を提供するためのより高度なファイアウォール システムを使用することができます。可能な場合は、外部と内部の両方のファイアウォールでネットワーク アドレス変換を有効にして、潜在的な攻撃者に実際の IP アドレスを知られることがないようにします。Microsoft Internet Security and Acceleration (ISA) Server 2000 および Exchange 2003 は、より安全性の高いメッセージング環境を提供するために密接に関連しながら機能するよう設計されているため、内部ファイアウォールでは、ISA Server を展開することを検討します。内部ファイアウォールに ISA Server 2000 Feature Pack 1 を展開する場合、SSL (Secure Sockets Layer) 暗号化、二要素認証、URL スキャン、および SMTP フィルタにより、内部 Exchange 2003 組織を保護できます。同時に、VPN または RPC を経由した HTTP 接続をリモート インターネット ユーザーに提供し、Post Office Protocol version 3 (POP3) または IMAP4 (Internet Message Access Protocol version 4rev1)、Microsoft Outlook Web Access 2003、Microsoft Outlook Mobile Access、および Exchange ActiveSync を使用して、メールボックスにアクセスできるようにします。ISA Server 2000 を Exchange 2003 用に構成する方法の詳細については、ISA Server 2000 の Exchange Server 2003 との使用についてのページを参照してください (このサイトは英語の場合があります)。ISA Server 2004 を Exchange Server 2003 と共に使用する方法の詳細については、「ISA Server 2004 を Exchange Server 2003 と共に使用する」を参照してください。

  注 :
  高セキュリティを実現するには、内部と外部で異なるファイアウォール製品を使用し、攻撃者が内部ネットワークへ侵入する際に、外部および内部のファイアウォールで同じテクニックを使用できないようにします。内部ファイアウォールで ISA サーバーを使用している場合は、外部ファイアウォールで Microsoft 以外の製品を使用します。その逆も同様です。さらに、Exchange サーバーでは多くのサービスがを実行されており、それを攻撃者が悪用する可能性があるため、ファイアウォールでは Exchange 2003 を実行しないようにします。

• 境界ネットワークに SMTP スマート ホストを展開することを検討する 図 3 の Exchange 2003 環境では、インターネット経由でメッセージを送受信するために、明示的なメッセージング コネクタが必要ありません。Exchange サーバーが DNS 経由で SMTP ドメイン名を外部 SMTP ホストの IP アドレスに解決できる場合、サーバーはメッセージを直接送信するための SMTP 接続を確立することができます。SMTP 受信接続を受け付け、受け付けたメッセージを Exchange 2003 に転送するように ISA Server を構成することができます。ただし、ほとんどの組織は、内部メッセージング システムとの間のインターネット上の直接接続を防ぐため、境界ネットワークで追加の SMTP スマート ホストの展開 (またはスマート ホストの配置) を選択しています。SMTP スマート ホストはインターネットからのメッセージを受け入れ、内部ファイアウォールを介して Exchange サーバーへ中継します。反対方向の場合は、SMTP ホストは Exchange 2003 からのメッセージを受け入れ、DNS に宛先の SMTP ホストを照会し、メッセージを送信します。すべての送信メッセージを境界ネットワーク上のスマート ホストに転送するように、Exchange 2003 の SMTP サービスを構成することができます。また、Windows Server 2003 の標準 SMTP サービスを使用して、スマート ホストを実装することもできます。

  注 :
  メッセージ転送のスループットと信頼性を向上させるには、境界ネットワーク上に複数の SMTP スマート ホストを展開することを検討します。負荷分散およびフォールト トレランスのために、SMTP ドメインの複数の MX (メール交換) リソース レコードを DNS に登録することができます。