大規模な Exchange 組織の計画

  • [アーティクル]

 

適用先: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007

トピックの最終更新日: 2011-06-21

企業の規模が拡大すると、一般的に、そのインフラストラクチャもそれに伴って拡大します。こうした拡大によって、多くの場合は複雑さが増し、新しいセキュリティの課題も発生します。Microsoft Exchange Server 2007 に対して定義されている 4 つの組織モデルの中で、大規模な Exchange 組織は、単一の Active Directory ディレクトリ サービス フォレスト環境に展開できる最も大きな組織モデルです。大規模な Exchange 組織の特徴には、以下のようなものがあります。

  • 5 つ以上のルーティング グループ、または少なくとも 1 台の Exchange サーバーが展開されている 5 つ以上の Active Directory サイト。複数の場所と Active Directory サイトが存在するため、複数サイトのルーティング プロトコルおよび役割検出アルゴリズムや、IP サイト リンクを使用するための要件が導入されます。

    note注 :
    複数のルーティング グループは、Exchange 2007 と、Exchange Server 2003 または Exchange 2000 Server あるいはこの両方を含む大規模な Exchange 組織にのみ存在します。純粋な Exchange 2007 環境では、すべてのサーバーが単一のルーティング グループに属します。

  • 単一の Active Directory フォレスト。2 番目以降のフォレストの導入、または Microsoft Identity Integration Server などのディレクトリ同期ツールの導入により、複雑な Exchange 組織としてトポロジが自動的に再定義されます。複雑な Exchange 組織の詳細については、「複雑な Exchange 組織の計画」を参照してください。

  • サービスの提供場所 (SDL) とクライアント サービスの場所 (CSL) は複数の物理的な場所に存在しており、多くの場合その両者には大きな隔たりがあります。

  • このトポロジでは、Exchange 組織に複数の POP (Points of Presence) が含まれますが、外部メッセージングおよびクライアント プロトコル固有の名前空間は、ほとんどの場所またはすべての場所で共通です。

ここに記載されたすべての特性を持つ Exchange 組織は、大規模な Exchange 組織と見なされます。

単一および複数の Active Directory ドメイン

単一ドメインのトポロジには、すべてのユーザーおよびコンピュータ オブジェクトに対して単一の Active Directory ドメインが展開されるすべてのシナリオが含まれます。単一ドメイン モデルでは、すべてのコンピュータ オブジェクトによって共通のドメイン名サフィックスが使用され、そのドメイン名サフィックスは Active Directory で使用されるドメイン名前空間に一致します。

大規模な Exchange 組織には、一般的に複数の Active Directory ドメインが含まれます。Active Directory フォレスト内には、さまざまなドメインの構成が存在します。地理的な境界はビジネス単位に比べると変更の頻度が少ないため、一般的に、ビジネス単位の境界ではなく地理的な境界に基づいたドメイン モデルの方が長期的に使用でき、柔軟性も高くなります。複数ドメイン環境の必須条件ではありませんが、可能な場合は、地理的な境界に基づいたドメインを展開することをお勧めします。

最も多く見られる複数ドメイン モデルは、親/子のドメイン関係です。このモデルでは、ルートまたは親ドメインは主に、フォレストに名前空間を提供するために展開されます。同様に重要な機能としては、ドメインの拡散やフォレストの拡張の防止があります。フォレストにドメインを追加するにはルート ドメインに対する管理者アクセスが必要であり、通常は、ルート ドメインに対する管理者アクセスを持つスタッフはごく少数しかいません。親ドメインをインストールすると、1 つ以上の子ドメインを追加できるようになります。子ドメインとは、親ドメインの下位にあるドメインを指します。子ドメインには、通常、ユーザー アカウント、ファイル サーバー、およびアプリケーション サーバーがインストールされます。通常の Active Directory トポロジでは、ドメイン名前空間は連続しており、展開されているドメインの階層が反映されます。たとえば、ルート ドメインに fabrikam.com という名前が付けられている場合、子ドメインの名前は us.fabrikam.com、eu.fabrikam.com、asia.fabrikam.com などである可能性があります。

第 1 レベルの子ドメインの下に、別の階層を展開することもできます。これらの層は一般的に、孫ドメインと呼ばれます。Exchange 環境を簡略化するには、Exchange をホストするために孫ドメインを使用することはせずに、Exchange サーバー メンバシップを子ドメインに制限することをお勧めします。この方法を採用した場合でも、孫ドメインを使用してメールボックスが有効なユーザーをホストすることはできます。フォレスト内のすべてのドメインの間には推移性の信頼が存在するため、ドメイン ネーム システム (DNS) がフォレスト内のすべてのドメインに対して正常に動作している限り、ユーザーとサーバーのこの構成は正常に機能します。

note注 :
孫ドメインを使用して正常に機能させるには、フォレスト内の各ホストで、DNS サフィックスの検索順序の追加の構成が必要になることがあります。

複数の親/子ドメイン関係の最も単純な実装は、すべてのドメインが単一の場所に展開されている場合です。このトポロジは一般的ではなく、多くの場合は、ドメイン間に管理責任の分離が発生します。複数の親/子ドメイン関係のより一般的な展開シナリオは、ドメインが SDL 境界に沿って展開されている場合です。

専用の Active Directory サイト

単一の SDL から Exchange サーバーおよびクライアントを集中してサポートすると、ディレクトリ サービスへの大量の要求が生成される可能性があります。Exchange に加えて、ディレクトリ サービス、クライアント認証、またはディレクトリ レプリケーションを必要とする他のアプリケーションを追加すると、Exchange の状態とパフォーマンスが大幅に低下する場合があります。ディレクトリ サービスの混雑を軽減するために、専用のドメイン コントローラとグローバル カタログ サーバーを使用して、Exchange サーバーをホストする専用の Active Directory サイトを作成することが、現在のベスト プラクティスです。SDL を複数の Active Directory サイトに分割することにより、Exchange サーバーおよび Microsoft Outlook クライアントによって生成されるディレクトリ トラフィックを他のディレクトリ サービス トラフィックから分離できるようになります。

note注 :
現時点では、Exchange 2007 に対して、64 ビット ディレクトリ サーバーを含むシステムのパフォーマンス特性のテストを始め、パフォーマンスとスケーラビリティのテストおよび調整が行われています。このテストが完了した後、このベスト プラクティスのレビューが行われ、追加情報が提供される予定です。

専用の Exchange Active Directory サイトをホストする場所については、外部のドメイン コントローラが専用の Exchange Active Directory サイトではなく、一般的なクライアント認証に使用される Active Directory サイトと同じサイトに配置されていても問題はありません。ただし、この 2 つの Active Directory サイト間に直接の IP サイト リンクが存在すること、およびメールボックス所有権の分離が SDL 間で維持されていることが条件です。

大規模な Exchange 組織の例

大規模な Exchange 組織にはさまざまな形態があります。ただし、大規模な Exchange 組織には、一般的に共通の属性があります。たとえば、Exchange がすべての場所に展開されていない場合でも、Exchange によってサポートされる物理的な場所の数は増加します。さらに、多くの大規模な Exchange 組織にはインターネットへの複数の出口が存在し、通常は複数のインターネット サービス プロバイダ (ISP) を使用していますが、単一のメッセージングおよびクライアント プロトコル名前空間が保持されています。

  • 図 1 は、大規模な Exchange 組織の一例を示しています。

大規模な Exchange 組織トポロジ

大規模な Exchange 組織を計画する場合の考慮事項

  • 展開の計画段階にある場合は、大規模な Exchange 組織に任意の Exchange 2007 サーバーを展開する前に、以下の点を考慮することをお勧めします。
  • 複数ドメイン モデルを展開する場合は、Exchange オブジェクトに関してセキュリティ プリンシパルとして使用されるすべてのドメインが、多くの Exchange リソースをホストしている場所への優れた接続性を保つように、ドメイン コントローラを配置する必要があります。この点は、Exchange サーバー統合のシナリオで特に重要です。
  • 組織が Exchange のための専用の Active Directory サイトを必要とするだけの規模に達すると、一般的に、この構成が主要なデータ センタの場所の間でレプリケートされます。これによって、トポロジ検出で考慮する必要のあるレプリケーション リンクや、Exchange が存在しない Active Directory サイトが追加されます。
  • ドメインの境界が、地理的な境界ではなくビジネス単位の境界に基づいている場合は、一般的に、ドメインと SDL の配置に大幅な重複が発生します。この状態が発生すると、単一の Exchange サーバーまたは Exchange サーバーのグループは最終的に、複数のドメインのリソースを共通の SDL からホストすることになります。このインフラストラクチャの共有によって、各ドメインの認証要件が増えるために、影響を受ける各ドメインのディレクトリ リソースや追加のドメイン コントローラの必要性が増大します。また、Outlook クライアントからの配布リストの管理の必要性や、グローバル カタログ サーバーへのクライアント参照の必要性も増大します。Exchange サーバーは、メールボックス アカウントがホストされているドメインのグローバル カタログ サーバーを含むグローバル カタログ サーバー参照をクライアントに送信するため、適切なドメインの相応の数のグローバル カタログ サーバーをクライアントが使用できるようにする必要があります。つまり、専用の Exchange Active Directory サイトの場合は、Exchange サーバーがリソースをホストしている各ドメインのドメイン コントローラが Exchange Active Directory サイトに含まれている必要があります。
  • 大規模な Exchange 組織を展開する場合は、高可用性展開オプションの提供が重要な考慮事項になります。Exchange 2007 には、各サーバーの役割に高可用性を提供するために使用できる複数のソリューションがあります。Exchange 2007 の高可用性の戦略および機能の詳細については、「高可用性」を参照してください。

大規模な Exchange 組織の移行

既存の Exchange Server 2003 組織または Exchange 2000 Server 組織から Exchange 2007 組織に移行している場合、サーバーの一括アップグレードは実行できません。1 つ以上の Exchange 2007 サーバーを既存の組織に追加し、メールボックスおよびその他のデータを Exchange 2007 に移動した後で、Exchange 2003 または Exchange 2000 サーバーを組織から削除する必要があります。

大規模な Exchange 2007 組織の展開と移行については、「大規模な Exchange 組織の展開」を参照してください。

参照している情報が最新であることを確認したり、他の Exchange Server 2007 ドキュメントを見つけたりするには、Exchange Server TechCenter を参照してください。