Outlook Web Access のプロキシ サーバーを構成する方法

適用先: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007

トピックの最終更新日: 2007-04-20

リバース プロキシ サーバーを使用すると、クライアント アクセス サーバーの役割がインストールされた Microsoft Exchange Server 2007 を実行するコンピュータ、または Outlook Web Access を提供するサーバーへの受信要求を管理できます。リバース プロキシ サーバーには、クライアント アクセス サーバーへの直接の接続と比べて次の利点があります。

• セキュリティ   リバース プロキシ サーバーによって、ネットワークと外部のコンピュータの間に保護レイヤが追加されます。セキュリティに関するベスト プラクティスとしては、リバース プロキシ サーバーを使用して、クライアント アクセス サーバーがインターネットに直接公開されないようにします。
• SSL 暗号化と高速設定   クライアント アクセス サーバーを構成して SSL (Secure Sockets Layer) 暗号化を実行する代わりに、その機能をリバース プロキシ サーバーにオフロードできます。これにより、Web ブラウザとクライアント アクセス サーバーの間で送信されるデータが暗号化されるだけではなく、データ パケットがクライアント アクセス サーバーに達する前に、リバース プロキシ サーバーがそのデータ パケットを検査し、フィルタを適用できるようになります。SSL 暗号化がプロキシ サーバーにオフロードされている場合、リバース プロキシ サーバーとクライアント アクセス サーバーの間で送信されるデータは、SSL ブリッジが使用されない限り暗号化されません。
• SSL ブリッジ   リバース プロキシ サーバーとクライアント アクセス サーバーの間の通信を暗号化する必要がある場合は、Web ブラウザとリバース プロキシ サーバーの間の SSL セッションを終了してから、リバース プロキシ サーバーとクライアント アクセス サーバーの間で新しい SSL セッションを確立できます。これにより、クライアント アクセス サーバーがインターネットからの直接アクセスから保護されると共に、データ パケットがクライアント アクセス サーバーに達する前にリバース プロキシ サーバーがそのデータ パケットをフィルタできるようになります。さらに、Web ブラウザとクライアント アクセス サーバーの間のパス全体でデータが暗号化されます。信頼性できる証明機関からの証明書が必要なのは、リバース プロキシ サーバーだけです。クライアント アクセス サーバーは、自己署名入りの証明書またはエンタープライズ証明機関からの証明書を使用できます。リバース プロキシ サーバーが複数の内部サーバーに接続されている場合は、これにより証明書のコストが削減される可能性があります。
• SSL オフロード   リバース プロキシ サーバーで SSL 接続を終了し、暗号化されていない接続で引き続きクライアント アクセス サーバーに接続することもできます。これを SSL オフロードと呼びます。SSL オフロードを使用する場合、Outlook Web Access の内部 URL は HTTP を使用するように設定し、外部 URL は HTTPS を使用するように設定する必要があります。内部 URL と外部 URL は、Exchange 管理コンソールで構成できます。また、Exchange 管理シェルの Set-OwaVirtualDirectory コマンドレットで InternalURL パラメータと ExternalURL パラメータを使用して構成することも可能です。
• 負荷分散   リバース プロキシ サーバーは、単一の URL 宛てのトラフィックをサーバーのグループに分散できます。

Microsoft Internet Security and Acceleration (ISA) Server をリバース プロキシ サーバーとして使用できます。

ISA Server をリバース プロキシ サーバーとして使用する方法の詳細については、Microsoft Internet Security and Acceleration Server の Web サイトを参照してください。

開始する前に

ISA Server 2006 コンピュータで次の手順を実行するには、使用するアカウントに ISA Server エンタープライズ管理者の役割が委任されている必要があります。Exchange クライアント アクセス サーバーで Outlook Web Access を構成するには、使用するアカウントに Exchange Server 管理者の役割が委任されており、かつ使用するアカウントがターゲット サーバーのローカルの Administrators グループのメンバである必要があります。

Exchange Server 2007 を管理するために必要なアクセス許可、役割の委任、および権限の詳細については、「アクセス許可に関する考慮事項」を参照してください。

手順

ISA Server 2006 を使用して Outlook Web Access のリバース プロキシを構成するには、次の操作を行います。

1. ISA Server 2006 コンソールで、Exchange Web クライアント アクセスの公開ウィザードを使用して Outlook Web Access を公開します。

2. ユーザーが Outlook Web Access 仮想ディレクトリに接続するときにそれらのユーザーを認証するように ISA Server を構成します (省略可能)。

   ISA Server を構成する方法の詳細については、ISA Server 2006 での Exchange Server 2007 の公開についてのページを参照してください (このサイトは英語の場合があります)。

ISA Server コンピュータがユーザーを認証するように構成した場合、Outlook Web Access 仮想ディレクトリは、組織で要求される認証の種類に応じて、統合 Windows 認証または基本認証を使用するように構成することをお勧めします。基本認証または統合 Windows 認証を使用している場合、ユーザーがログオン情報の入力を求められるのは 1 回だけです。

注 :
統合 Windows 認証では、Windows ファイル共有上のドキュメントや、Windows SharePoint Services ドキュメント ライブラリ内のドキュメントへの Outlook Web Access からのアクセスが禁止されます。Outlook Web Access からドキュメントにアクセスする必要がある場合は、基本認証を使用する必要があります。

詳細情報

• ISA Server 2006 を Exchange 2007 と共に使用する方法の詳細については、以下のトピックを参照してください。
  • Exchange クライアント アクセス用の ISA Server 2006 の構成
  • Exchange 2007 での ISA Server 2006 の使用
• Outlook Web Access の認証方法の詳細については、以下のトピックを参照してください。
  • Outlook Web Access のセキュリティの管理
  • 統合 Windows 認証を構成する方法
  • 基本認証を構成する方法
• Set-OwaVirtualDirectory コマンドレットの使用方法および Exchange 管理コンソールを使用して Outlook Web Access 仮想ディレクトリを管理する方法の詳細については、以下のトピックを参照してください。
  • Set-OwaVirtualDirectory
  • Outlook Web Access 仮想ディレクトリのプロパティを変更する方法

参照している情報が最新であることを確認したり、他の Exchange Server 2007 ドキュメントを見つけたりするには、Exchange Server TechCenter を参照してください。