クライアント アクセス サーバーの計画

適用先: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007

トピックの最終更新日: 2008-07-03

ここでは、Microsoft Exchange Server 2007 を実行しているコンピュータに、クライアント アクセス サーバーの役割を展開する場合の考慮事項の概要について説明します。クライアント アクセス サーバーの役割は、Microsoft Outlook Web Access、Outlook Anywhere、Microsoft Entourage 2004 および Entourage 2008 for Mac、および Microsoft Exchange ActiveSync のクライアント アプリケーションと、POP3 (Post Office Protocol Version 3) プロトコルおよび IMAP4 (インターネット メッセージ アクセス プロトコル Version 4rev1) プロトコルをサポートします。Entourage 2008 for Mac の詳細については、Microsoft Office 2008 for Mac 管理者ガイドを参照してください (このサイトは英語の場合があります)。

また、クライアント アクセス サーバーの役割は、自動検出サービスや Exchange Web サービスなどのさまざまな主要サービスもホストします。

メールボックス サーバーの役割がインストールされている Exchange 2007 サーバーを含む組織内のすべての Active Directory サイトに、クライアント アクセス サーバーの役割をインストールする必要があります。組織に単一の Active Directory サイトのみが含まれる場合は、Exchange 組織内の少なくとも 1 台のコンピュータにクライアント アクセス サーバーの役割をインストールする必要があります。

注 :
クライアント アクセス サーバーの役割は、エッジ トランスポート サーバーの役割以外の任意のサーバーの役割を実行している Exchange 2007 コンピュータにインストールできます。クライアント アクセス サーバーの役割は、クラスタ内にインストールされているコンピュータにはインストールできません。境界ネットワークでのクライアント アクセス サーバーのインストールはサポートされていません。

境界ネットワークでのクライアント アクセス サーバーのインストールはサポートされていません。クライアント アクセス サーバーは Active Directory ディレクトリ サービス ドメインのメンバである必要があり、クライアント アクセス サーバーのコンピュータ アカウントは Exchange サーバーの Active Directory セキュリティ グループのメンバである必要があります。このセキュリティ グループは、組織内のすべての Exchange サーバーに対する読み取りおよび書き込みアクセスが可能です。組織内のクライアント アクセス サーバーとメールボックス サーバー間の通信は、RPC を介して行われます。これらの要件があるのは、境界ネットワークへのクライアント アクセス サーバーのインストールはサポートされていないためです。

クライアント アクセス サーバーの役割の機能の概要

クライアント アクセス サーバーの役割は、Exchange 2007 サーバーへのクライアント アクセスを管理します。次のクライアント アプリケーションでは、クライアント アクセス サーバーの役割が必要です。

• Exchange ActiveSync   ユーザーは、Exchange ActiveSync を使用して、Exchange サーバーとモバイル デバイスの間にパートナーシップを確立することができます。ユーザーは電子メール メッセージ、連絡先、タスク、および予定表情報を同期できます。

  注 :
  Exchange ActiveSync では、Exchange サーバーに格納されているすべてのメール フォルダ内 ([下書き] および [送信トレイ] フォルダを除く) のメッセージを同期することができます。

• Outlook Web Access   ユーザーは、Office Outlook Web Access を使用して、Web ブラウザから各自の Exchange メールボックス データにアクセスできます。Outlook Web Access の仮想ディレクトリは、クライアント アクセス サーバーに格納されます。

  注 :
  Outlook Web Access は、モバイル デバイスの Pocket Internet Explorer ではサポートされていません。

  注 :

  Exchange 2007 の Outlook Web Access は、URL https://servername/owa を使用してアクセスできます。Exchange 2007 の Outlook Web Access を介してパブリック フォルダにアクセスするには、URL https://servername/public を使用します。以前のバージョンの Exchange の Outlook Web Access へは、URL https://servername/exchange、https://servername/exchweb、および https://servername/public を使用してアクセスします。ユーザーのメールボックスが Exchange 2000 または Exchange 2003 サーバーにある場合は、これらの従来の URL を使用する必要があります。

• Microsoft Office Outlook   Office Outlook 2007 は直接メールボックス サーバー上の Microsoft Exchange メッセージング データにアクセスしますが、自動検出サービスや可用性サービスなどのサービスについてはクライアント アクセス サーバーの役割に依存します。

• Outlook Anywhere   Outlook では、Outlook Anywhere を有効にした場合、内部ネットワークへの VPN 接続を使用せずに、インターネット上で Exchange メールボックスに接続できます。Outlook Anywhere は、以前は RPC over HTTP と呼ばれていました。

• POP3 and IMAP4 Clients   ユーザーが POP3 または IMAP4 クライアントを使用して Exchange 2007 に接続する場合、それらの接続はクライアント アクセス サーバーを通過します。Exchange 2007 をインストールするときに、POP3 および IMAP4 に必要なすべてのサービスがインストールされます。ただし、それらは無効になっています。POP3 または IMAP4 を使用して Exchange 2007 に接続するには、POP3 サービスまたは IMAP4 サービスを有効にする必要があります。

クライアント アクセス サーバーの役割は、クライアント アプリケーションに対して接続ポイントを提供するだけでなく、次のサービスのサポートを提供します。

• 自動検出サービス   Exchange 2007 には、自動検出サービスという新しい Microsoft Exchange サービスがあります。自動検出サービスにより、Outlook 2007 を実行するクライアント コンピュータの構成が行われます。また、サポートされるモバイル デバイスの構成も行われます。自動検出サービスは、Microsoft Exchange メッセージング環境に接続する Outlook 2007 クライアントに、Exchange の機能へのアクセスを提供します。自動検出サービスは、Outlook 2007 クライアントがオフライン アドレス帳、可用性サービス、ユニファイド メッセージング (UM) などの Microsoft Exchange の機能に自動的に接続できるように、正しく展開および構成する必要があります。さらに、Outlook 2007 クライアントに外部アクセスを提供できるように、これらの Exchange の機能も正しく構成する必要があります。詳細については、「自動検出サービスのために Exchange サービスを構成する方法」を参照してください。
• Exchange Web サービス   Exchange Web サービスは、クライアント アプリケーションの Exchange サーバーとの通信を有効にする機能を提供します。Exchange Web サービスは、Outlook を介して使用できるデータの大半に対するアクセスを提供します。Exchange Web サービス クライアントは、Outlook データを基幹業務 (LOB) アプリケーションに統合することができます。Exchange Web サービスを使用する LOB アプリケーションは、自動検出サービスを使用して、特定のクライアントのプロファイル設定を取得することができます。

フロント エンド サーバーとクライアント アクセス サーバーの違いについて

以前のバージョンの Microsoft Exchange では、組織内のフロントエンド サーバーをサポートしていました。Exchange 2007 クライアント アクセス サーバーの役割を実行しているコンピュータは、Exchange 2003 フロントエンド サーバーとまったく異なります。以前のバージョンの Microsoft Exchange では、フロントエンド サーバーはクライアントから送信された要求を受け付け、それらを処理のために適切なバックエンド サーバーに送信していました。これにより、組織内の同時クライアント セッション数に対する容量を増やし、メールボックスが配置されているバックエンド サーバーの負荷を軽減することができました。フロントエンド サーバーは通常、外部ファイアウォールと内部ファイアウォールの間の境界ネットワーク内にありました。フロントエンド サーバーの主な利点の 1 つが、複数のバックエンド サーバーが存在する場合、単一の一貫した名前空間を示すことができるという点でした。フロントエンド サーバーがない場合、Outlook Web Access ユーザーは、メールボックスが格納されているサーバーの名前を知っている必要がありました。フロントエンド サーバーを含めることにより、ユーザーは Outlook Web Access の単一の URL にアクセスすることができました。フロントエンド サーバーは、ユーザーの要求を適切なバックエンド サーバーに転送していました。

Exchange 2007 では、クライアント アクセス サーバーの役割は、バックエンド サーバーで直前に発生した処理の大半を処理することにより、メールボックス サーバーの役割のパフォーマンスを最適化するように設計されていました。Exchange ActiveSync メールボックス ポリシーや Outlook Web Access セグメンテーションなどのビジネス ロジック プロセスは、メールボックス サーバーではなく、クライアント アクセス サーバーで実行されるようになりました。メールボックス サーバーの役割は、受信クライアント接続の処理をクライアント アクセス サーバーの役割に依存するため、メールボックス サーバーがある各 Active Directory サイトには、クライアント アクセス サーバーも必要です。両方の役割を単一の物理コンピュータで実行することができます。Active Directory サイトが複数存在し、Outlook Web Access または Exchange ActiveSync の単一の外部 URL が必要な場合は、クライアント アクセス サーバーでプロキシを構成する必要があります。

クライアント アクセス サーバーの役割を実行している Exchange 2007 コンピュータは、サービスするメールボックス サーバーに接続するのに、Exchange RPC プロトコルを使用します。クライアント アクセス サーバーとメールボックス サーバーの間では、帯域幅が広く待機時間が短い接続を使用する必要があります。推奨する最小帯域幅は 100 Mbps ですが、企業のデータセンターの場合は 1-Gpbs の接続を検討する必要があります。

Exchange ActiveSync を計画する場合の考慮事項

Exchange ActiveSync は、待機時間が長く帯域幅が狭いネットワークで機能するように最適化された Microsoft Exchange 同期プロトコルです。HTTP および XML に基づく Exchange ActiveSync により、ブラウザに対応した携帯電話や Microsoft Windows Mobile に対応したデバイスなどが、Microsoft Exchange を実行しているサーバー上の組織の情報にアクセスできます。Exchange ActiveSync を使用すると、モバイル デバイス ユーザーは、電子メール、予定表、連絡先、および仕事にアクセスできるようになります。また、オフライン作業の間も継続してこの情報にアクセスできます。

注 :
Exchange ActiveSync により、電子メール メッセージ、予定表アイテム、連絡先、および仕事を同期できます。Exchange ActiveSync を使用して、Outlook のメモを同期することはできません。

Exchange ActiveSync を展開する場合は、次の問題を考慮してください。

• Exchange ActiveSync デバイス   さまざまなデバイスが Exchange ActiveSync をサポートしています。これらのデバイスには、Windows Mobile に対応したデバイスや、その他のサードパーティ製デバイスがあります。Exchange ActiveSync をサポートするデバイスの詳細については、「ActiveSync デバイスおよび互換機能」を参照してください。

• デバイスのデータ プラン   Exchange ActiveSync では、モバイル デバイスとのメッセージング データの同期を維持するために、ダイレクト プッシュと呼ばれる処理を使用します。ダイレクト プッシュでは、データの交換が携帯電話接続を介して行われます。ユーザーのデータ プランが分単位または MB 単位で課金されるものである場合、毎月のコストはすぐに増大します。Exchange ActiveSync でダイレクト プッシュを使用するには、ユーザーは携帯電話で無制限のデータ プランを使用する必要があります。

  注 :
  ダイレクト プッシュは、802.11b 接続などの Wi-Fi インターネット接続では動作しません。ダイレクト プッシュは携帯電話接続でのみ動作します。

• Exchange ActiveSync のセキュリティ   Exchange ActiveSync を展開する場合は、セキュリティ計画を準備する必要があります。Exchange ActiveSync で Secure Sockets Layer (SSL) を使用することをお勧めします。既定では、Exchange 2007 をインストールすると、ユーザーに対して Exchange ActiveSync が有効になります。Exchange ActiveSync 仮想ディレクトリが、SSL を使用した基本認証を使用するように構成されます。統合 Windows 認証または証明書ベースの認証を使用するように Exchange ActiveSync 仮想ディレクトリを構成することができます。
  認証を構成するほかに、Exchange ActiveSync メールボックス ポリシーを展開して、モバイル ユーザーおよびそのデバイスのさまざまな設定を制御することをお勧めします。パスワードを必須にしたり、添付ファイルのダウンロードを許可またはブロックしたり、デバイスの暗号化を必須にしたり、パスワード失敗の最大数を指定したり、パスワードの回復を有効にすることができます。Exchange ActiveSync メールボックス ポリシーの詳細については、「Exchange ActiveSync メールボックス ポリシーについて」を参照してください。

• Exchange Server 2003 から Exchange Server 2007 への移行   Exchange Server 2003 から Exchange 2007 に移行する場合は、まずフロントエンド サーバーをクライアント アクセス サーバーの役割にアップグレードすることをお勧めします。Exchange ActiveSync が正しく動作するためには、Exchange Server 2003 バックエンド サーバーで統合 Windows 認証を有効にする必要があります。すべてのフロントエンド サーバーを Exchange 2007 に移行したら、バックエンド サーバーを Exchange 2007 メールボックス サーバーに移行できます。

Outlook Web Access を計画する場合の考慮事項

Outlook Web Access では、インターネット ブラウザを使用して、Exchange 情報へのアクセスを提供します。Outlook Web Access には、Outlook 2007 に似た強力でわかりやすいインターフェイスが用意されており、コンピュータに Outlook 2007 をインストールする必要はありません。インターネット ベースの外部アクセスのために Exchange メッセージング インフラストラクチャを展開すると、ユーザーは HTML 3.2 および European Computer Manufacturers Association (ECMA) 形式をサポートするインターネット ブラウザがあれば、任意の場所で任意のコンピュータを使用できます。これらのブラウザには、Internet Explorer、Mozilla Firefox 1.8、Opera 7.54、Safari 1.2 などが含まれます。

Outlook Web Access では、Outlook 2007 の大部分の機能がサポートされています。既定では、すべてのクライアント機能が有効です。Outlook Web Access で使用可能なクライアント機能の詳細については、「Outlook Web Access のクライアント機能」を参照してください。

組織のセキュリティおよび情報管理の要件に応じて、ユーザーが Outlook Web Access を介して使用できる機能を制限することができます。Exchange 管理コンソールおよび Exchange 管理シェルを使用して機能を有効または無効にする方法の詳細については、「Outlook Web Access の管理」を参照してください。

Exchange 2007 の Outlook Web Access では、さまざまな面でセキュリティが強化されています。標準およびフォームベースの認証のほかに、Outlook Web Access 仮想ディレクトリで SSL を構成することができます。Exchange 管理コンソールまたは Exchange 管理シェルを使用して、Outlook Web Access の次の認証方法を構成します。

• 標準的な認証方法   標準的な認証方法には、統合 Windows 認証、ダイジェスト認証、基本認証などがあります。Outlook Web Access の標準的な認証方法の詳細については、「Outlook Web Access の標準的な認証方法の構成」を参照してください。
• フォーム ベース認証   フォーム ベース認証では、Outlook Web Access のログオン ページが作成されます。フォーム ベース認証では、クッキーを使用してユーザーのログオン資格情報とパスワード情報を暗号化して格納します。フォーム ベース認証の詳細については、「Outlook Web Access のフォーム ベース認証の構成」を参照してください。

  注 :
  複数の認証方法を構成する場合は、IIS は最初に最も制限の厳しい方法を使用します。それから、クライアントとサーバーの両方がサポートしている認証方法が見つかるまで、IIS は利用可能な認証プロトコルの一覧を最もセキュリティの高い順に検索します。

既定では、Exchange 2007 サーバーにクライアント アクセス サーバーの役割をインストールすると、Exchange サーバー上の既定のインターネット インフォメーション サービス (IIS) Web サイトに 4 つの Outlook Web Access 仮想ディレクトリが作成されます。既定では、これらの仮想ディレクトリと既定の Web サイトは、SSL を要求するように構成されます。Outlook Web Access の SSL を構成する方法の詳細については、「SSL が使用されるように Outlook Web Access 仮想ディレクトリを構成する方法」を参照してください。

Outlook Web Access の仮想ディレクトリまたは Web サイトを追加し、それらを SSL を使用してセキュリティで保護するには、手動で作業する必要があります。SSL を使用するサイトを構成するには、証明書を取得し、その証明書を使用して SSL を要求するように Web サイトまたは仮想ディレクトリを構成する必要があります。

Outlook Anywhere を計画する場合の考慮事項

Outlook Anywhere を使用すると、Outlook 2007 または Outlook 2003 を実行しているユーザーは、Outlook Anywhere ネットワーク テクノロジを使用して、インターネットから Microsoft Exchange メッセージング インフラストラクチャに接続することができます。

Exchange Server 2007 を実行しているコンピュータにクライアント アクセス サーバーの役割をインストールすると、組織内の任意のクライアント アクセス サーバーで Outlook Anywhere を有効にするウィザードを使用して、組織で Outlook Anywhere を有効にすることができます。管理するサイトごとに、Outlook Anywhere アクセス用のクライアント アクセス サーバーを少なくとも 1 つ有効にすることをお勧めします。

Outlook Anywhere の展開を計画する前に、次のトピックに目をとおしてください。

• Outlook Anywhere の概要
• Outlook Anywhere についての推奨事項
• White Paper: Outlook Anywhere Scalability with Outlook 2007, Outlook 2003, and Exchange 2007 (このサイトは英語の場合があります)

POP3 および IMAP4 を計画する場合の考慮事項

Exchange 2007 は、POP3 および IMAP4 プロトコルを使用するクライアントのサポートを提供しています。ただし既定では、Exchange 2007 で POP3 および IMAP4 サービスは開始されていません。これらのプロトコルを使用するには、まずクライアント アクセス サーバーで POP3 および IMAP4 サービスを開始する必要があります。

POP3 および IMAP4 を元のリリース (RTM) 版の Microsoft Exchange Server 2007 で管理する必要がある場合、Exchange 管理シェルですべての管理タスクを実行します。Exchange 2007 Service Pack 1 (SP1) では、Exchange 管理コンソールを使用して POP3 および IMAP4 の設定を管理できます。

POP3 と IMAP4 を管理する方法の詳細については、「POP3 および IMAP4 の管理」を参照してください。

クライアント アクセス サーバーを展開して POP3 および IMAP4 クライアントをサポートする際、以前のバージョンの Microsoft Exchange (Exchange Server 2003 など) を使用する場合は、物理的な制限およびセキュリティ上の制限があります。POP3 および IMAP4 を展開する際の主な物理的な制限は、異なる Active Directory サイト内のクライアント アクセス サーバーとメールボックス サーバーの間のサイト間通信がサポートされないという点です。ユーザーが、メールボックスがあるメールボックス サーバーと同じサイトにあるクライアント アクセス サーバーに接続していることを確認する必要があります。

注 :
Active Directory サイト内のクライアント アクセス サーバーとメールボックス サーバーで Exchange 2007 が実行されている場合、POP3 クライアントと IMAP4 クライアント用のサイト間接続を有効にするための設定を構成できます。詳細については、「POP3 クライアントおよび IMAP4 クライアントのサイト間接続を有効にする方法」を参照してください。

Exchange 2007 Web サービスを計画する場合の考慮事項

Exchange 2007 クライアント アクセス サーバーは、2 つの Web サービスをサポートしています。Exchange Web サービスと自動検出サービスです。

Exchange Web サービスでは、以下へのアクセスが提供されます。

• 空き時間情報、会議提案、および不在時機能。
• ユーザーのメールボックス内の予定表、電子メール、連絡先、フォルダ、および仕事アイテム。
• ユーザーのメールボックスで発生したイベントに関する通知。
• クライアントを関連付けられているメールボックスと同期する同期機能。
• あいまいな名前の解決。
• 配布リスト展開。

自動検出サービスを使用すると、Outlook などのクライアント、カスタム アプリケーション、および一部のモバイル デバイスは、可用性サービス、ユニファイド メッセージング、オフライン アドレス帳 (OAB) などのサービスのさまざまな設定を取得することができます。クライアントは、ユーザーの SMTP アドレスに基づく 2 つの URL を介して、自動検出サービスへの接続を試みます。次の 2 つの URL です。

• https://autodiscover.<ドメイン>/autodiscover/autodiscover.xml
• https://<ドメイン>/autodiscover/autodiscover.xml

Outlook は、ユーザーの電子メール アドレスを含む XML 要求を送信します。自動検出サービスは、ユーザーに関する構成情報と、さまざまなサービスへの接続に使用される URL および設定を返します。Exchange Web サービスは、顧客やパートナーが独自のカスタム アプリケーションを記述するための、開発者 API も提供します。これにより、これらのカスタム アプリケーションは、Exchange メールボックス データとやり取りすることができます。

クライアント アクセス サーバーのセキュリティ計画

セキュリティが強化されたメッセージング環境を計画するときは、多くのことについて検討する必要があります。電子メールの添付ファイルや、社内データおよび社外データへのアクセスなどの要素により、メッセージング環境を展開する前に、複数のセキュリティ上の予防措置を考慮することが重要です。すべてのクライアント アクセス機能に対して SSL 暗号化を使用することをお勧めします (Outlook Web Access および Outlook Anywhere を含む)。また、基本認証の代わりに、統合 Windows 認証などの認証方法を選択することをお勧めします。基本認証では、ユーザー名およびパスワードがクリア テキストで送信されます。別の認証方法を選択すると、通信のセキュリティが向上します。異なるセキュリティ メカニズムを使用するように、各クライアント アクセス機能をカスタマイズすることができます。

メッセージング環境のセキュリティを強化する方法の 1 つに、Microsoft Internet Security and Acceleration (ISA) Server 2006 などの高性能のファイアウォール サーバー ソリューションを展開する方法があります。ISA Server 2006 を使用すると、異なるレベルのセキュリティを提供することができ、Exchange 2007 および ISA Server 2006 用に設計されている新機能によりクライアント機能を強化することもできます。ISA Server 2006 を Exchange 2007 と共に使用する方法については、「Exchange クライアント アクセス用の ISA Server 2006 の構成」を参照してください。

参照している情報が最新であることを確認したり、他の Exchange Server 2007 ドキュメントを見つけたりするには、Exchange Server TechCenter を参照してください。