複数のフォレスト環境での Exchange の展開の計画
「Active Directory および管理モデルの計画」では、複数のフォレスト環境で Exchange を展開することになる以下のシナリオについて説明しています。
- 専用の Exchange フォレスト (リソース フォレスト)
- Exchange を実行している複数のフォレスト (従来の複数のフォレスト)
- 吸収および合併
ここでは、従来の複数のフォレストのシナリオでメッセージング機能を有効にするための構成要件について説明します。ただし、要件によっては、ここでの情報の一部またはすべてをリソース フォレストおよび吸収と合併のシナリオに適用することができます。
複数のフォレスト環境で利用可能な機能
当初、メール機能のほとんどは、単一のフォレストでのみ機能するように設計されていました。したがって、これらの機能を複数のフォレスト間でも使用できるようにするためには、設計上の多くの制約を克服する必要があります。ユーザーが別のフォレストに属している場合、メールボックス アクセスの委任や予定表の表示などの一部の拡張機能は使用できません。
複数のフォレスト環境の機能
| 機能 | フォレスト間での利用 |
|---|---|
基本的なメールの流れ |
可。フォレスト間の信頼は必要ありません。 |
共通のグローバル アドレス一覧 (GAL) |
可。Microsoft Identity Integration Server MIIS 2003 (MIIS 2003) を使用することにより可能です。 |
空き時間データの同期 |
可。Inter-Organization Replication (組織間のレプリケーション) ツールを使用することにより可能です。Microsoft Office OutlookR では、会議開催者は他のフォレストに属する出席者を会議出席依頼に追加したり、[スケジュール] タブで出席者の空き時間を確認できます。 |
パブリック フォルダの同期 |
可。Inter-Organization Replication ツールを使用することにより可能です。 |
会議出席依頼の転送 |
可。GAL の同期を構成し、SMTP 認証をセットアップする必要があります。 |
配布グループ |
可。他のフォレストに属する配布グループは連絡先として表されます。他のフォレストの配布グループにメールを送信できますが、グループのメンバシップを参照することはできません。 |
S/MIME (Secure/Multipurpose Internet Mail Extensions) |
可。手動で構成することにより可能です。既定では、フォレスト間でユーザー証明書は同期されません。userCertificate を構成して S/MIME を有効にする必要があります。Exchange 2000 および Exchange 5.5 のキー マネージメント サービスは、複数のフォレスト環境ではサポートされていません。 |
配信確認および開封確認 |
可。グローバル設定を正しく構成する必要があります。この設定を行うためのオプションがいくつか用意されています。「フォレスト間のメールの流れの構成」を参照してください。 |
フォレスト間での共有 SMTP 名前空間 |
可。共有の名前空間に加えて固有の SMTP ドメイン名前空間が各組織に存在している必要があります。固有の SMTP プロキシ アドレスを各フォレストに指定する受信者ポリシーを追加します。フォレストで Exchange 5.5 を実行している場合、双方向の接続許可書がセットアップされていれば、ADC は 2 つ目のプロキシ アドレスを Exchange 5.5 ディレクトリにレプリケートします。 |
パブリック フォルダのアクセス許可 |
不可。Inter-Organization Replication ツールを使用してパブリック フォルダをレプリケートする場合、各フォレストの管理者はフォルダにアクセス許可を設定する必要があります。 |
仕訳ルール |
不可。フォレストを越える移動では、ルールは保持されません。 |
メールボックスの委任 |
不可。他のフォレストに属するユーザーまたはグループは連絡先として表されるため、他のフォレストのユーザーにメールボックス アクセスを委任することはできません。メールボックスのアクセス権で連絡先を指定することはできません。また、1 つのフォレストから別のフォレストにメールボックスを移動するときに、メールボックスの委任アクセス許可は保持されません。 |
予定表の表示 |
不可。フォレスト間で空き時間情報を同期し、その情報を使用して会議をスケジュールすることはできますが、Outlook の [ほかのユーザーのフォルダを開く] 機能を使用して、他のフォレストのユーザーの予定表を表示することはできません。 |
グループのメンバシップの表示 |
不可。他のフォレストに属するグループは連絡先として表されるため、グループのメンバを表示することはできません。移動元のフォレストに電子メール メッセージが送信されるまでは、グループのメンバシップは展開されません。 |
外部のメッセージング システムへのコネクタ |
可。1 つのフォレストが外部のメッセージング システムに接続されていて、さらに MIIS 2003 を使用している場合は、外部のメッセージング システムの連絡先を他のフォレストにレプリケートすることができます。 |
送信者 |
不可。ユーザーは同じフォレストに含まれている必要があります。 |
複数のフォレストに対するフロントエンド サーバー |
不可。フロントエンド サーバーは、異なるフォレストに存在するバックエンド サーバーに要求をプロキシすることはできません。この制限が適用されるのは、Outlook Web Access または Outlook Mobile Access 用にフロントエンド サーバーを使用しているときです。 |
複数のフォレスト展開の計画
複数のフォレスト環境に Exchange をインストールする場合、メールの流れを有効にし、さらに共通の GAL を作成することで基本的なメール機能を使用可能にすることが最小要件となります。要件によっては、空き時間データやパブリック フォルダの同期などの拡張メール機能も使用できるようにする必要があります。
いくつかの追加の展開手順によって、できるだけ多くのメッセージング機能をフォレスト間にわたって提供するように環境を構成することができます。Exchange のインストールまたはアップグレードをすべてのフォレストで行った後、次の手順を実行することで展開を完了できます。
- ユーザーがメールを送信する際に共通の GAL を検索できるように、MIIS 2003 の GAL 同期機能を使用します。
- フォレスト間のメールの流れを構成します。フォレスト間のメールの流れに関しては、ネットワーク接続が唯一の必須要件です。信頼関係は必要はありませんが、フォレスト間に SMTP コネクタをセットアップする必要があります。また、フォレスト間で認証を有効にすることをお勧めします。これにより、ユーザーの電子メール アドレスを GAL 表示名に解決する機能などが提供されます。
- 共有 SMTP 名前空間やグローバル設定などの拡張メール機能を構成します。
- Inter-Organization Replication ツールを構成して、空き時間データを同期し、パブリック フォルダをレプリケートします。異なるフォレストのユーザーが互いに会議をスケジュールする場合は、フォレスト間で空き時間データを同期する必要があります。同様に、フォレスト間でパブリック フォルダを共有する場合は、各フォレストでレプリカをセットアップする必要があります。
- 必要に応じてフォレスト間でメールボックスとアカウントを移動します。
最初の 2 つの手順は、基本的なメッセージングに必要です。同期されたグローバルな GAL を、すべてのフォレストで使用可能にする必要があります。さらに、フォレスト間でメールが流れるように、トランスポート ルートが存在している必要があります。残りの手順は、要件に応じて実装が必要となる拡張メール機能です。
以下では、これらの機能を展開する方法の概要について説明します。
MIIS 2003 での GAL 同期の使用
既定では、グローバル アドレス一覧 (GAL) には単一のフォレストに属するメール受信者が含まれます。複数のフォレスト環境がある場合は、MIIS 2003 の GAL 同期機能を使用することで、任意のフォレストの GAL に他のフォレストに属するメール受信者を含めるようにできます。この機能により、他のフォレストに属する受信者を表す、メールが有効な連絡先が作成されます。ユーザーは GAL でそれらの連絡先を参照してメールを送信できます。たとえば、フォレスト A のユーザーは、フォレスト B では連絡先として表示されます。また、その逆の場合も同様です。送信先フォレスト内のユーザーは、他のフォレストの受信者を表す連絡先オブジェクトを選択してメールを送信できます。
各フォレストに少なくとも 1 つの Exchange 2003 サーバーが含まれている場合は、MIIS 2003 を使用することで、Exchange 5.5、Exchange 2000、および Exchange 2003 の任意の組み合わせが実行されている複数のフォレストを同期できます (ただし、GAL 同期は Exchange 5.5 のみが存在するフォレストに対しては動作しません)。同期元または同期先のフォレストが混在モードで、なおかつ ADC が実行されている場合でも、MIIS 2003 は GAL を同期します。ADC は、同期元のフォレストで Active Directory と Exchange 5.5 のオブジェクトを同期します。次に、MIIS 2003 は Active Directory のオブジェクトを使用して、他のフォレストと同期するメタディレクトリ オブジェクトを作成します。同期先のフォレストで、ADC は連絡先を Exchange 5.5 ディレクトリにレプリケートします。
ADC を実行している場合は、追加の構成が必要になります。特に、ユーザーと連絡先をフォレスト間で確実に同期するには、共通の組織単位を使用するように ADC および MIIS 2003 の GAL 同期を構成する必要があります。
.gif "note") 注 : |
|---|
| ADC はフォレストを越えて同期を行うように設計されていません。ADC は、Active Directory に移行する目的で、Exchange 5.5 のオブジェクトと Active Directory を同期します。フォレスト間で GAL を同期するには、MIIS 2003 を使用します。フォレストが混在モードで、ADC が実行されている場合でも、MIIS 2003 を使用できます。 |
GAL 同期を有効にするには、メールが有効なユーザー、連絡先、およびグループを、指定された Active Directory サービスから集中メタディレクトリにインポートする管理エージェントを作成します。メタディレクトリでは、メールが有効なオブジェクトは連絡先として表されます。グループはメンバシップが関連付けられていない連絡先として表されます。次に、管理エージェントは、指定された同期先フォレストの組織単位にこれらの連絡先をエクスポートします。
同期元フォレストは、MIIS 2003 に提供するメールが有効なオブジェクトに対して特権を持ちます。同期先フォレストのオブジェクトの属性を変更した場合、その変更は同期元フォレストには適用されません。
GAL 同期を設定する場合は、次の点を考慮します。
- 同期に参加している各フォレストには、別の管理エージェントが必要です。
- 管理エージェントが連絡先を目的のフォレストにエクスポートできるように、MIIS 2003 を実行しているサーバーは、参加している各フォレストのドメイン コントローラに接続できる必要があります。管理エージェントは複数のドメインを管理できますが、グローバル カタログ サーバーではなくドメイン コントローラにアクセスする必要があります。これは、グローバル カタログ サーバーにはすべての名前付けコンテキストの書き込み可能なコピーがないためです。
- 管理エージェントをセットアップする場合、適切なアクセス許可を持つアカウントを指定する必要があります。
- フォレストの 1 つに外部のメッセージング システムへのコネクタが含まれている場合、そのフォレストは既定で連絡先に対する特権を持ちます。ただし、この設定は変更することができます。詳細については、後の「フォレスト間のメールの流れの構成」を参照してください。
- ユーザーは、暗号化されたメールを 1 つのフォレストから他のフォレストの配布リストに送信することはできません。フォレストが SMTP コネクタによって接続され、さらに GAL 同期によって同期されている場合、配布リストは目的のフォレストでは連絡先として表され、メンバシップを展開することはできません。
MIIS 2003 の GAL 同期の詳細については、以下のリソースを参照してください。
- Microsoft Identity Integration Server 2003 のシナリオについてのドキュメント
(https://go.microsoft.com/fwlink/?LinkId=21270) (このドキュメントは英語の場合があります) - Microsoft Identity Integration Server 2003 (MIIS 2003) のドキュメント
(https://go.microsoft.com/fwlink/?LinkId=21271) (このサイトは英語の場合があります)
GAL 同期でサポートされるトポロジ
MIIS 2003 の GAL 同期に関するドキュメントで説明しているように、MIIS 2003 および Exchange フォレストを実行しているサーバーは、メッシュ構成またはハブとスポーク構成とする必要があります。2 つの構成の組み合わせもサポートされます。ただし、フォレストをチェーンで接続することはできません。
.gif "important") 重要 : |
|---|
| MIIS 2003 の GAL 同期機能は、ユーザー アカウントがメールボックスとは別のフォレストに存在するリソース フォレスト モデルでは動作しません。リソース フォレストとアカウント フォレストの間でオブジェクトを準備するように MIS を構成することはできますが、MIIS 2003 の GAL 同期機能を使用してこの操作を行うことはできません。ただし、GAL 同期を使用して、リソース フォレストと他の Exchange フォレストを同期することは可能です。 |
.gif "a820a785-ca35-47de-92ac-f529e8afd217")
ハブとスポークのトポロジ では、1 つのサーバーが MIIS 2003 を実行し、そのサーバーが全フォレストのすべてのデータを読み取り、変更と競合を評価して、変更内容を各フォレストに適用します。このトポロジは集中管理され、展開が最も容易であるため、お勧めするトポロジです。
| 重要 : |
|---|
| MIIS 2003 を実行しているサーバーに対して構成されるアカウントは、すべてのフォレストに対して書き込みが可能である必要があります。組織によっては、これによりセキュリティの問題が発生する可能性があります。 |
.gif "c66f2005-072b-4f2d-83f1-7e54d080916c")
メッシュ トポロジでは、MIIS 2003 を実行しているサーバーが各フォレストに含まれます。各フォレストでは、MIIS 2003 を実行しているサーバーから他のすべてのフォレストへの接続がセットアップされています。このトポロジは複雑であるため、事前に綿密なテストを行わない場合はお勧めできません。このトポロジを選択する主な理由は、フォレストがそのディレクトリへの書き込みアクセスを許可する必要がないことにあります。ただし、読み取りアクセスは必要であり、管理エージェントは他のすべてのフォレストからのディレクトリ情報を読み取るように構成されます。
フォレスト間のメールの流れの構成
GAL 同期をセットアップした後は、組織間およびインターネットでメールが正しく流れるようにする必要があります。基本的なメールの流れを実現するための唯一の要件は、参加している各フォレストへの経路を解決できることです。フォレスト間の信頼は必要ありません。
メールの流れは、フォレスト間のネットワーク接続と、SMTP プロキシ アドレスの構成方法によって決定されます。理想的な構成は、ファイアウォールのないフォレスト間で直接のネットワーク接続を備えることです。フォレスト間にファイアウォールがある場合は、適切なポートを開く必要があります。
| 注 : |
|---|
| フォレスト間では、リンク状態情報やルーティング トポロジ情報は共有されません。 |
フォレスト間の SMTP コネクタもセットアップする必要があります。さらに、フォレスト間の認証を有効にすることをお勧めします。認証を有効にすると、次のような利点が得られます。
- フォレスト間のユーザー名の解決 (ResolveP2 レジストリ キー) が自動的に行われます。つまり、ユーザーの電子メール アドレスは、Active Directory に格納されているユーザー名に解決されます。
- メール転送などの追加の予定表機能やメール機能を使用できるようになります。
なりすまし (スプーフィング) を防ぐため、Exchange 2003 では、送信者の名前を GAL 上の表示名に解決する際に認証が要求されます。複数のフォレスト環境では、1 つのフォレストから別のフォレストにメールを送信するユーザーが、SMTP アドレスではなく、GAL の表示名に解決されるように認証を構成することをお勧めします。
クロス フォレスト SMTP 認証を有効にするには、別のフォレストから認証されたアカウントを使用する各フォレストで、コネクタを作成する必要があります。認証を有効にすると、認証された SMTP 接続によって 2 つのフォレスト間で送信されるメールは、GAL で該当する表示名に解決されるようになります。詳細については、Exchange Server 2003 デプロイメント ガイドについてのページ (https://go.microsoft.com/fwlink/?linkid=47569) を参照してください (このサイトは英語の場合があります)。
拡張メール機能の構成
ほとんどの企業は、インターネット接続と 1 つ以上の公開ドメイン名を保有しています。各 Exchange 組織が別の名前空間を保持する場合、組織間で同期される連絡先では、正しいルーティングのために SMTP アドレスが 1 つだけ必要となります。しかし、複数の Exchange 組織が存在していても、インターネット上で企業を表す名前空間は 1 つのみ (たとえば contoso.com) である場合もあります。この場合、個別のフォレスト名前空間を保持しながら、個別のフォレストに正しくメールをルーティングするためには、互いのフォレストを区別する必要があります。
さらに、不在時の応答、自動返信、配信レポートなどのメール機能を有効または無効にするには、グローバル設定を構成しなければならないことがあります。
共有 SMTP 名前空間の構成
GAL 同期によって元のフォレストのメール受信者から連絡先が作成されると、次は SMTP アドレスを使用して各連絡先に対する TargetAddress プロパティが作成されます。そのため、フォレストのユーザーが連絡先にメールを送信すると、ユーザーが手動でプライマリ返信アドレスを入力したとしても、そのメールは連絡先の TargetAddress プロパティに配信されます。GAL 同期で連絡先に割り当てる TargetAddress を決定するために、受信者の ProxyAddresses プロパティが、Exchange 組織で該当する SMTP アドレスと比較されます。各組織では、連絡先が一意の TargetAddress を受け取れるように、一意の SMTP ドメイン名前空間を持つ必要があります。フォレストに固有の名前空間がない場合は、フォレスト間でレプリケートするユーザーが含まれている Exchange 組織ごとに、該当する受信者ポリシーに対して一意の SMTP アドレスを追加できます。この処理を行うと、連絡先に送信されたメッセージは送信元のフォレストに直接ルーティングされます。このとき、送信先のアドレスは実際のメールボックスに名前解決され、メッセージが配信されます。
また、フォレスト単位で連絡先をルーティングすることもできます。GAL 同期の管理エージェントをセットアップするときは、フォレストにインポートされた連絡先へ送信されたメールが、元のフォレストを通じて逆にルーティングされる必要があるかどうかを選択できます。外部のメッセージング システムへのコネクタがある場合、連絡先を宛先としたメールは、既定で元のフォレスト (コネクタを管理しているフォレスト) にルーティングされます。ただし、フォレストの管理者は、このルーティング構成を変更することができます。
| 注 : |
|---|
| フォレストで Exchange 5.5 を実行している場合、双方向の接続許可書がセットアップされていれば、ADC は 2 つ目のプロキシ アドレスを Exchange 5.5 ディレクトリにレプリケートします。 |
複数のフォレスト環境での SMTP ルーティングの例として、contoso.com という SMTP プロキシ アドレスを持つ既定の受信者ポリシーがある 2 つのフォレストについて考えます。固有の名前空間をセットアップするには、各 Exchange 組織で次の操作を行います。
- 組織 1 で、Org1.contoso.com という SMTP プロキシ アドレスを、既定の受信者ポリシーに追加します。
- 組織 2 で、Org2.contoso.com という SMTP プロキシ アドレスを、既定の受信者ポリシーに追加します。
いずれの場合も、プロキシ アドレスを追加するには、[このアドレスへのメール配信すべてに、この Exchange 組織を使用する] チェック ボックスをオンにします。また、contoso.com プロキシをプライマリ アドレスのままとし、ユーザーがメールを送信したときに、返信アドレスが user@Org1.contoso.com や user@Org2.contoso.com ではなく、user@contoso.com となるようにします。
次の例では、ハブとスポークのトポロジでメールがどのように流れるかを示します。この例では、複数の Exchange 組織が存在していますが、すべてのユーザーは単一のドメイン空間 (たとえば @example.com) でアドレスを指定することができます。この場合、宛先が @example.com であるすべての外部メールは、OrgA という集中ハブ組織に流れます。OrgA は、各スポーク組織を表すセカンダリ SMTP プロキシ アドレスを使用して構成されます。これらのアドレスの 1 つが、@OrgB.example.com です。UserB@example.com 宛てのメールが OrgA に届くと、そのメールは連絡先に解決され、OrgB にリダイレクトされます。このメールが OrgA を離れると、宛先行が TargetAddress プロパティに変換され、ルーティングが可能になります。ただし、返信先アドレスは UserB@example.com のままです。
次の理由により、受信者を 1 つの組織から別の組織に移動しても、古い電子メール メッセージに返信できなくなることはありません。
- メッセージには legacyExchangeDN プロパティが保持されているため、受信者はメールに返信することができます。
- GAL 同期では、移動されたユーザーに対してセカンダリ X.500 プロキシ アドレスが作成されます。したがって、古いメッセージは、legacyExchangeDN プロパティに基づいてユーザーの新しいメールボックスに正しくルーティングされます。
たとえば、UserA が、同じ組織に属する UserB にメールを送信するとします。そして、後日 UserA は別の組織に移動されるとします。このとき、UserA が最初に送信したメールは、UserA の legacyExchangeDN プロパティを依然として示しています。GAL 同期は、UserA が以前属していた組織に UserA の連絡先を作成し、古い legacyExchangeDN プロパティと共に X.500 アドレスを割り当てます。これにより、UserB は古いメールに返信することができ、このメッセージは UserA の TargetAddress プロパティに正しくルーティングされます。メールボックスを何回も移動した場合は、セカンダリ プロキシ アドレスの一覧が大規模になる可能性があります。
SMTP 中継サーバー
インターネットからのすべてのメールを正しいフォレストにルーティングする目的で SMTP 中継サーバーを使用する場合は、SMTP 中継サーバーをセットアップすることをお勧めします。SMTP 中継サーバーでは、他のすべてのフォレストへの SMTP コネクタを作成し、メールが各フォレストに直接ルーティングされるようにします。この構成により、負荷分散のために、必要に応じて SMTP サーバーを追加することができます。SMTP コネクタを追加して、すべての送信インターネット メールを新しいフォレスト経由でルーティングすることもできます。
グローバル設定の構成
不在時の応答、自動返信、配信レポートなどのメール機能を有効または無効にするには、該当するドメインのインターネット メッセージ形式を構成する必要があります。インターネット メッセージ形式を構成するには、次の 3 つの方法があります。
- 既定のドメイン (*) を構成し、すべてのドメインの設定が同じになるようにします。
- SMTP 名前空間 (たとえば、@OrgA.contoso.com など) ごとに個別のインターネット メッセージ形式を追加し、各ドメインを異なる方法で構成します。
- 共通のサフィックス (たとえば、@*.contoso.com など) を持つドメインを表すインターネット メッセージ形式ドメインを追加し、各エントリを異なる方法で構成します。
インターネット メッセージ形式は、Exchange システム マネージャの [グローバル設定] で設定できます。
空き時間データの共有
複数の Exchange 組織が存在する企業では、会議、予定、および連絡先の情報を別の Exchange 組織のユーザーと調整する機能が、共通の要件となります。Inter-Organization Replication ツールを使用すると、フォレスト間でこれらの Free/Busy システム フォルダをレプリケートすることができます。企業でパブリック フォルダを使用している場合は、Inter-Organization Replication ツールを使用して、Exchange 組織間でパブリック フォルダのデータを共有することができます。
| 注 : |
|---|
| Inter-Organization Replication ツールは、Exchange Server 2003 のツールおよびアップデート Web サイト (https://go.microsoft.com/fwlink/?LinkId=21316) からダウンロードできます (このサイトは英語の場合があります)。 |
Inter-Organization Replication ツールは、Exchange Server Replication Configuration (レプリケーション構成) ツール (Exscfg.exe) および Exchange Server Replication (レプリケーション) サービス (Exssrv.exe) の 2 つのプログラムで構成されています。Exscfg.exe は、1 つのサーバーから別のサーバーに継続的に情報を更新するために Exssrv.exe が使用する構成ファイルを作成します。更新内容を送信するサーバーは発行元となり、更新内容を受信するサーバーは購読側となります。すべてのレプリケーションは、組織のサーバー間で確立される MAPI セッションで行われます。
Inter-Organization Replication ツールでは、メールボックスを有効にしたユーザー オブジェクトと他の組織への連絡先オブジェクトに対して空き時間データが発行されます。この場合、GAL 同期で作成された、対応する連絡先オブジェクトが目的の組織に存在することが条件になります。連絡先は、その SMTP アドレスによって対応付けられます。Inter-Organization Replication ツールをセットアップする際は、[カスタム受信者の空き時間情報データを発行する] オプションを使用します。これにより、空き時間データのすべてまたは一部を 1 つの組織から別の組織にレプリケートできるようになります。ただし、空き時間データのレプリケーションは 1 方向のみで行われます。そのため、双方向で空き時間データを更新するには、2 つのセッションを構成する必要があります。
Inter-Organization Replication ツールを使用して、アドレス帳またはディレクトリを変更することはできません。アドレス帳の変更内容は他の組織には反映されません。これらの変更は個別に行う必要があります。
空き時間データと同様に、パブリック フォルダのデータのすべてまたは一部についても、1 つの組織から別の組織にレプリケートできます。ただし、空き時間データとは異なり、パブリック フォルダをレプリケートできるのは、発行元から購読側、または双方向であるため、セッション数を減らすことができます。さらに、Inter-Organization Replication ツールの 1 つのインスタンスで、最大 15 個のセッションをサポートできます。つまり、パブリック フォルダ サーバーは複数の発行元サーバーを購読することができます。個別のフォルダを指定するか、フォルダとサブフォルダの両方を指定できます。さらに、レプリケーションの頻度、メッセージとフォルダのレプリケーション ログ、およびレプリケーション プロセスに割り当てる処理能力を構成できます。
| 重要 : |
|---|
| Inter-Organization Replication ツールでは、パブリック フォルダに対するアクセス許可はレプリケートされません。他のフォレストにパブリック フォルダをレプリケートするときは、そのフォレストの管理者が、パブリック フォルダにアクセス許可を設定する必要があります。 |
Inter-Organization Replication ツールの構成に、メッシュ構成とハブとスポーク構成のどちらを使用するかは、環境内の組織数に大きく依存します。メッシュ構成は、4 つの組織まで可能です。ただし、4 つを超える組織が存在する場合は、ハブとスポーク構成の方が Inter-Organization Replication ツールを容易に管理できます。
| 注 : |
|---|
| 組織間のレプリケーションでは、リング トポロジはお勧めできません。リングによってレプリケーションの遅延が高くなる可能性があるため、ユーザーはレプリケーションの更新内容を受け取っていないフォレストで情報を更新してしまう可能性があります。その結果、最新の更新内容がレプリケートされた更新内容によって上書きされることになります。リング トポロジの別の問題は、1 つの接続が切断されるとループが壊れてしまうことです。 |
Inter-Organization Replication ツールの詳細な構成情報は、このツールをダウンロードするときに入手できます。Inter-Organization Replication ツールの詳細については、以下のマイクロソフト サポート技術情報の文書を参照してください。
- 文書番号 238573「[XADM] InterOrg Replication ユーティリティのインストール、構成、使用」
(https://go.microsoft.com/fwlink/?linkid=3052&kbid=238573) - 文書番号 238642「XADM: InterOrg レプリケーション ユーティリティのトラブルシューティング」
(https://go.microsoft.com/fwlink/?linkid=3052&kbid=238573)
フォレスト間のメールボックスおよびアカウントの移動
Exchange 2000 または Exchange 2003 組織から、別の Exchange 2000 または Exchange 2003 組織にアカウントとメールボックスを移行する場合は、最初に Active Directory 移行ツール (ADMT) を使用し、次に Exchange 移行ウィザードを使用することをお勧めします。
最初に実行する ADMT により、Active Directory 上にアクティブなユーザー アカウントが作成されます。ADMT により、元のアカウントの SID が新しいアカウントの SID の履歴属性に追加されるため、SID の移行オプションを選択することをお勧めします。次の手順では、移行ウィザードは SID を使用してメールボックスをアカウントに一致させます。
| 注 : |
|---|
| SID を移行するには、移行先の Windows ドメインがネイティブ モードである必要があります。 |
アカウントの移行が完了したら、移行ウィザードを使用してメールボックスを移行します。ADMT を実行したときに SID を移行している場合、移行ウィザードは SID を使用してメールボックスを新しいアカウントに一致させ、アカウントをメールボックスが有効なユーザー アカウントに変換します。最初の手順で SID を移行していない場合、移行ウィザードはメールボックスをアカウントに一致させることができず、代わりにメールボックスに関連付けるための無効なユーザー アカウントが作成されます。
アカウントを移行する前にメールボックスを移行する必要が生じることもあります。このような場合、移行ウィザードはメールボックスを保持するために無効なユーザー アカウントを作成し、新しいメールボックスを外部の Windows NT アカウントに関連付けます。その後、ADMT を使用してアカウントを移行するときに、新しいアカウントが Active Directory に作成されます。その結果、Active Directory には同じユーザーに関連する 2 つのオブジェクトが含まれることになります。重複したこれらのオブジェクトを結合するには、Active Directory アカウント クリーンアップ ウィザード (Adclean.exe) を使用します。Adclean.exe は Exchange と共にインストールされ、Exchange システム マネージャからアクセスできます。[スタート] ボタンをクリックし、[すべてのプログラム] をポイントします。次に、[Microsoft Exchange] をポイントし、[展開] をポイントして、[Active Directory アカウント クリーンアップ ウィザード] をクリックします。
フォレスト間でメールボックスを移動する場合には、次のような制限があります。これらの状況について検討し、移動前と移動後に実行する必要がある手順をユーザーに通知してください。
- Outlook プロファイルでは、フォレスト間で移動されたユーザーを解決することができません。ユーザーを移動した場合は、ユーザーの移動先の新しいサーバー名を使用してプロファイルを更新する必要があります。Exchange プロファイル更新ツール (exprofre.exe) は、クライアント コンピュータで実行し、ユーザーの Outlook プロファイルを自動的に更新するためのコマンドライン ツールです。exprofre.exe は、既定の Outlook プロファイルを変更し、移動後のメールボックスにユーザーが正常にログオンできるようにします。このツールは、Exchange Server 2003の ツールおよびアップデート Web サイト (https://go.microsoft.com/fwlink/?linkid=21316) から入手できます (このサイトは英語の場合があります)。
- Outlook の Exchange キャッシュ モード機能を使用している場合は、アカウントの移行後に、ユーザーのコンピュータの正しい .ost ファイルに新しいプロファイルが関連付けられるようにします。この操作により, .ost ファイルを再同期する必要がなくなります。また、ユーザーを移動する前に、ユーザーがすべてのオフライン ファイルを Exchange サーバーと同期していることを確認してください。
- メールボックスのアクセス制御リスト (ACL) またはアクセス許可の委任は、フォレスト間の移動中に保持されません。
- 発行済みの証明書は移行されません。さらに、移行後にキー マネージメント サービスの証明書を回復することはできません。回復するには、証明書にドメイン名が必要になります。
- フォレストを越える移動を行う場合、ルールは保持されません。
Exchange 移行ウィザードの使用の詳細については、Exchange Server 2003 デプロイメント ガイドについてのページ (https://go.microsoft.com/fwlink/?linkid=47569) を参照してください (このサイトは英語の場合があります)。