セキュリティが強化された環境で Exchange Server 2003 クラスタを構成し実行する方法

ここでは、Exchange 2003 クラスタ ノード グループ ポリシー オブジェクト (GPO) テンプレートを Microsoft® Exchange Server 2003 クラスタ ノードに適用する方法について説明します。このトピックの手順を実行する前に、「セキュリティが強化された環境で Exchange Server 2003 クラスタを実行する」をお読みになることを強くお勧めします (このサイトは英語の場合があります)。

重要 :
クラスタ ノードに GPO ポリシーを適用し有効にするには、クラスタ内のコンピュータを再起動する必要があります。このため、ポリシーの適用はピーク時を避けて実行することをお勧めします。

注 :
セキュリティが強化された環境で Microsoft Exchange Server 2003 クラスタを構成して実行する方法についてのドキュメントをダウンロードして、印刷するか、またはオフラインで参照してください (このサイトは英語の場合があります)。

前提条件

このトピックの手順を実行するには、以下の前提条件を満たしている必要があります。

• すべての Exchange クラスタ ノードが、Microsoft Windows Server™ 2003 で Exchange Server 2003 Service Pack 1 (SP1) を実行していること。
• 組織内に、Windows Server 2003 エンタープライズ クライアント メンバ サーバー セキュリティ GPO テンプレートと Exchange 2003 バックエンド GPO テンプレートが実装されていること。
• 組織単位 (OU) の階層が「Windows Server 2003 セキュリティ ガイド」と「Exchange Server 2003 セキュリティ強化ガイド」に従って構成されていること。お使いの階層が推奨される OU 階層と一致していない場合でも、その階層および結果として生じる GPO ポリシー継承によって、上記ガイドで推奨しているのと同じ効果を持つ GPO ポリシーが実現される場合は、このトピックの手順を使用できます。
• Exchange 2003 クラスタ ノード GPO ファイルをダウンロード済みであること。「Exchange Server 2003 セキュリティ強化ガイド」をダウンロードすると、Exchange 2003 クラスタ ノード GPO ファイルが利用できます。Exchange 2003 クラスタ ノード GPO ファイルは、Exchange クラスタ ノード ポリシー GPO を作成するコンピュータ上で使用可能になっている必要があります。

  重要 :
  Exchange 2003 クラスタ ノード GPO テンプレートを個別に適用しても Exchange 環境は強化されません。Exchange 2003 クラスタ ノード GPO テンプレートは、Exchange バックエンド GPO テンプレートおよび Windows Server 2003 エンタープライズ クライアント メンバ サーバー セキュリティ GPO テンプレートが両方とも適用されていて、Exchange クラスタ ノードを配置した OU によって継承されていることを前提とします。

操作の順序

Windows サーバー セキュリティ GPO テンプレートと Exchange セキュリティ GPO テンプレートが展開される Exchange クラスタ化機能環境を有効にするには、以下の操作を指定された順序で実行する必要があります。

Exchange のクラスタ化機能を有効にするには

1. NTLM Version 2 (NTLMv2) クラスタ ホットフィックスをダウンロードし、Exchange Server を実行するすべてのクラスタ ノードにインストールします。NTLMv2 クラスタ ホットフィックスの詳細については、マイクロソフト サポート技術情報の文書番号 890761「ノードを追加したり、または NTLM Windows Server 2003 で Version 2 を使用する場合、クラスタでノードに参加すると、「エラー」0x8007042b エラー メッセージを表示します。」を参照してください。

2. Exchange 仮想サーバー (EVS) 組織単位 (OU) を作成し、構成します。手順の詳細については、「Exchange 仮想サーバー組織単位を作成し構成する方法」を参照してください。

   また、この OU のコンピュータ アカウントにセキュリティ ポリシーが適用されないよう、EVS OU の GPO ポリシー継承をオフにする必要があります。

   さらに、組織内のクラスタ サービス アカウントが、EVS コンピュータ アカウントのアカウント プロパティを管理できる必要があります。このため、クラスタ サービス アカウントに、EVS OU に対するフル コントロールを与える必要があります。

3. 既に 1 つ以上の EVS コンピュータ アカウントが存在する場合は、それらを EVS OU に移動します。手順の詳細については、「Exchange 仮想サーバー コンピュータ アカウントを作成および移動する方法」を参照してください。EVS コンピュータ アカウントが既に存在する場合は、手順の 3 と 4 を無視してください。クラスタ環境を強化した後で新しい EVS コンピュータ アカウントを作成する必要が生じた場合に、これらの手順を参照してください。

4. Exchange クラスタ ノード OU を作成します。Exchange Cluster Node Policy GPO を作成し、新しい GPO に Exchange_2003-Cluster_Node_Base_V1_1.inf ファイルをインポートします。Exchange クラスタ ノード GPO は、Exchange クラスタをバックエンド メールボックス サーバーとして構成します。手順の詳細については、「Exchange クラスタ ノード OU とポリシー GPO を作成し、GPO テンプレートをインポートする方法」を参照してください。GPO セキュリティ テンプレートによって行われる構成の詳細については、「セキュリティが強化された環境で Exchange Server 2003 クラスタを実行する」を参照してください (このサイトは英語の場合があります)。

5. 組織の必要に応じて、POP3 または IMAP4 の GPO テンプレートを作成し、インポートします。手順の詳細については、「Exchange クラスタ ノード上で POP3 または IMAP4 機能を有効にする方法」を参照してください。この手順は省略可能です。Exchange 組織内のクライアントが POP3 または IMAP4 アクセスを必要とする場合は、適切な GPO を作成およびインポートして、それらのプロトコルを有効にしなければなりません。このトピックでは、必要なクライアント プロトコル クラスタ リソースが既に作成されていることを前提とします。

6. 新しいセキュリティ ポリシーを有効にし、適用します。手順の詳細については、「Exchange クラスタ ノードで新しいセキュリティ ポリシーを有効にする方法」を参照してください。新しい GPO を作成した後は、クラスタ上でポリシーを強制的に更新する必要があります。Windows® ホットフィックスまたはセキュリティ ポリシーを適用した後は、クラスタ ノードを再起動する必要があります。クラスタ ノードの再起動を一度で済ませるため、すべての更新がインストールされるまで待つことをお勧めします。

詳細情報

詳細については、以下のリソースを参照してください。

• Windows Server 2003 セキュリティ ガイド
• Exchange Server 2003 セキュリティ強化ガイド
• セキュリティが強化された環境で Exchange Server 2003 クラスタを実行する (英語ページの可能性があります)