• [アーティクル]

Exchange Server 2007

Exchange Server 2007 との常時接続

Joshua Trupin

 

概要:

  • Outlook Web Access の機能強化
  • Exchange Server 2007 のユニファイド メッセージング
  • ISA Server 2006 との併用によるセキュリティ強化

数年前、オンライン通信では、基本的なことが行われていました。POP3 や SMTP を使用して電子メールを送信していました。非常にシンプルでした。けれども、ニーズは変化します。現在、組織では、従業員が

作業を行うタイミングや方法を柔軟に選択でき、作業を安全に行えるようにする必要があります。Microsoft® Exchange Server 2007 には、Microsoft Office Outlook® Web Access (OWA) やユニファイド メッセージングなど、このようなニーズに対応する組み込みの機能が用意されています。この記事では、Exchange Server 2007 の 2 つの新しい主要コンポーネントについて説明します。また、これらのコンポーネントが、今日の企業で必要とされるより強力な通信プラットフォームを作成する上で、以前のバージョンのコンポーネントと比較して、どう優れているのかについても説明します。

OWA は、Exchange Server 5.5 から Exchange Server に導入されました。正直なところ、初期のバージョンは、それほど優れたものではなく、Web ブラウザを使用して Exchange Server のメールボックスにアクセスするために導入されたコンポーネントで、Outlook の機能は、ほとんど使用しませんでした。

Exchange Server 2003 に同梱された OWA では機能が強化され、エンド ユーザーにとって物事が良い方向に進み始めました。ブラウザ ベースの操作は、クライアント プログラムを操作しているのと変わらないくらい快適になりました。Exchange Server 2007 の OWA では、以前のバージョンをまったく新しく書き直し、HTTP を経由した RPC や ASP.NET 2.0 などの他の最近の技術的な革新を元に構築したので、さらなに機能が強化されました。

たとえば、OWA による表示方法を見てみましょう。以前のバージョンの OWA は、格納プロセス中に、メールボックス サーバーによって表示されていました。そのため、メールボックス サーバーに負荷がかかり、システムの他の処理速度が低下しました。Outlook Web Access 2007 では、クライアント アクセス サーバー (CAS) 上で ASP.NET を使用してデータを表示しています。ページの処理がメールボックス サーバー以外の場所で行われるようになるため、サーバーのパフォーマンスが向上します。

フロント エンドで行われる処理も変更されました。以前のバージョンの Exchange Server では、OWA の HTTP 要求は、該当するメールボックス サーバーにプロキシ処理されていましたが、Exchange Server 2007 では、RPC 経由で適切なメールボックス サーバーからデータを直接取得することによって、OWA に関連するトラフィックを軽減しています。これは、企業ネットワークへの仮想プライベート ネットワーク (VPN) 接続を使用していないクライアントで Outlook を使用できるようにする処理と基本的に同じ処理です。このように取得されたデータが OWA に表示されます。Exchange Server 2007 では、OWA の要求をプロキシ処理できますが、これらの要求をメールボックス サーバーに直接送信するのではなく、他の CAS サーバーに転送します。

図 1 は、Exchange Server 2007 の OWA のアーキテクチャです。

図 1 OWA が Exchange Server のリソースにアクセスする方法

図 1** OWA が Exchange Server のリソースにアクセスする方法 **(画像を拡大するには、ここをクリックします)

管理

改良された Exchange Server 2007 のアーキテクチャでは、OWA を管理するオプションも強化されました。OWA の管理には、Exchange 管理コンソールまたは Exchange 管理シェルを使用できますが、構成設定は複数の場所に保存されます。

Exchange 管理コンソールを使用すると、ほとんどの構成設定にアクセスできます。たとえば、セグメンテーション、添付ファイルのブロック、認証などを使用する機能を有効または無効にしたり、予定表、仕事リスト、スペル チェックなどの機能にアクセスしたりすることができます。Exchange 管理コンソールを使用して行える操作は、Exchange 管理シェルのタスクを使用して行うこともできます。

Exchange 管理シェルを使用すると、OWA の新しい仮想ディレクトリを作成したり、削除したりすることができます。また、ユーザー単位で、セグメンテーションの設定を制御したり、既定の言語設定を変更したりすることができます。

既定では、フォーム ベースの認証のタイムアウト値は Windows レジストリに格納されます (タイムアウトの設定は、Exchange 管理コンソールや Exchange 管理シェルからはアクセスできません)。添付ファイルのブロックやセグメンテーションなど、OWA 固有の設定は、Active Directory® からアクセスできます。IIS メタベースには、IIS の動作に影響を及ぼす設定 (認証、GZIP) が格納され、web.config には、OWA の添付ファイルのアップロード処理を制御する ASP.NET の設定 (maxuploadsize など) が格納されています。

認証

OWA には、サーバー側の認証においていくつかの選択肢が用意されています。セットアップ完了後、セキュリティは既定でフォーム ベースの認証になります。ただし、この設定は組織のニーズに応じて強化することができます。IIS では、Active Directory に対して認証を行い、アクセスしているユーザーが適切なドメインのアクセス許可を持っていることを確認します。また、基本認証、ダイジェスト認証、RSA SecurID、または SmartCard サインインを使用して、電子メールにアクセスすることもできます。

OWA で利用できる最高レベルのセキュリティは、Kerberos と NTLM を組み合わせた Windows 統合認証です。実際、Windows 統合認証は、Outlook Web Access 2007 の Web パーツにアクセスしたり、Active Directory サイト間の CAS のプロキシ処理に必要です。また、Windows 統合認証を使用すると、イントラネットで OWA にアクセスするユーザーにもメリットがあります。信頼されているユーザーであれば、Windows クライアント認証によりシングル サインオンが実現されるので、OWA にログオンする必要がありません。

既定のフォーム ベースの認証を使用している場合、一定時間操作が行われないと、OWA は自動的にタイムアウトします。ユーザーがログイン時に共有のコンピュータまたは個人のコンピュータのどちらのオプションを選択したかによって、タイムアウトの時間は異なります。タイムアウトの時間は、共有のコンピュータであれば 15 分であったり、個人のコンピュータであれば最大 8 時間までのタイムアウトの時間が設定されていることがあります。共有のコンピュータと個人のコンピュータのどちらを選択するかによって、他のセキュリティ設定の構成方法も異なる可能性があるため、このオプションの選択は重要です。たとえば、共有のコンピュータでは添付ファイルをブロックしたり、認証のタイムアウトを変更したりすることができます。フォーム ベースの認証は、基本的に、図 2 に示すように 4 つの手順から成るプロセスです。

図 2 認証プロセス

  1. クライアントがサーバーに要求を送信します (非暗号化)。
  2. サーバーは暗号化した Cookie をクライアントに返します。
  3. サーバーでは、継続的に新しい暗号化キーを破棄して作成し、メモリには最も新しいものを 3 つ保持します。
  4. 期限が切れているが、メモリ内にある暗号化キーを使用して要求を送信したクライアントは、最新の暗号化キーで暗号化された新しい Cookie を受け取ります。
    - または -
    有効期限が切れている、破棄されてタイムアウトしている暗号化キーを使用して要求を送信したクライアントは、再度ログインする必要があります。

msExchQueryBaseDN は、特定のユーザーに対して OWA のアドレス帳のサブセクションのみが表示されるようにするためのメカニズムです。msExchQueryBaseDN は、Active Directory ユーザー オブジェクトに設定され、アドレス一覧 (AL) または組織単位 (OU) をポイントします。この AL は、ユーザーのグローバル アドレス一覧 (GAL) として使用され、ユーザーには、この OU のユーザー アカウントのみを含む GAL が表示されます。msExchQueryBaseDN は LDAP を使用して設定できます。

旧バージョンとの互換性

Exchange Server 2007 の Outlook Web Access の中核を成しているのは CAS です。この CAS モデルは、以前のバージョンの Exchange Server を実行しているサーバーとの間で最大限の相互運用性を実現することを目的に構築されています。このモデルが動作するには、CAS サーバーと関連付けられているメールボックス サーバーをアップグレードする前に、CAS サーバーを展開またはアップグレードする必要があります。

CAS の役割を持つ Exchange Server 2007 サーバーを使用して、Exchange Server 2000 および Exchange Server 2003 を実行しているサーバー上にあるメールボックスに接続することができます。HTTP を経由した RPC および Exchange ActiveSync® は、どちらも部分的なサイトのアップグレードに対応します。/exchange、/public、または /exchweb 仮想ディレクトリからアクセスすれば、OWA と WebDAV も機能します。また、Exchange Server 2007 を実行しているサーバー上には、以前のバージョンの Exchange Server 用のカスタム OWA 仮想ディレクトリを作成することもできます。

ISA Server 2006 は友達

Exchange Server 2007 の Outlook Web Access では多くの機能強化が行われましたが、Internet Security and Acceleration (ISA) Server 2006 と組み合わせて使用することで、その機能をさらに強化できます。

ISA Server 2006 は、統合エッジ セキュリティ ゲートウェイです。ISA Server はインターネットで発生する脅威からサイトを保護するのに役立つだけでなく、アプリケーションやデータへのリモート アクセスをセキュリティで保護するのにも役立ちます。これは OWA が目的としていることでもあるので、この 2 つの製品を組み合わせることによって、すべてのコンピューティング概念の相乗効果を得られます (ISA Server の詳細については、microsoft.com/japan/isaserver/prodinfo/ を参照してください)。

ISA Server 2006 には、時間のない Exchange Server の管理者に役立つ機能があります。たとえば、Web 公開負荷分散 (WPLB) 機能を使用すると、HTTP の Cookie を使用して負荷を分散することができます。クライアントの IP アドレスが変更されても、クライアントとサーバー間の関係を維持できます。ISA Server 2006 では、GZIP 形式の圧縮と展開機能が提供されるので、トラフィックを解析したり、圧縮処理の負荷を Web サーバーからオフロードしたりすることが可能になります。ISA Server 2004 では、OWA で HTTP 圧縮を使用するか、または ISA Server でフォーム ベースの認証を使用するかのいずれかを選択する必要がありました。幸い、ISA Server 2006 では、両方を同時にサポートできます。

また、ISA Server を使用すると、OWA リンクの変換を実行できます。ISA Server では、OWA 電子メールに挿入されているイントラネットのリンクを、適切なインターネット リンクに変換することができます。これは便利な機能ですが、OWA を公開している ISA Server のアレイと同じ場所にイントラネットのリンクを公開する必要があるということに注意する必要があります。

おそらく最も重要なことは、ISA Server 2006 では、ネットワークを保護するのに役立つ事前認証が境界で実行されることです。事前認証は、悪意のある HTTP トラフィックがサーバーにアクセスできないようにすることを目的としています。CAS にリダイレクトされたトラフィックが有効なトラフィックである場合、ISA Server では、そのトラフィックを境界からドメインにアクセスできるようにします (境界サーバーは、イントラネット ドメインの外側に配置されているので、ドメインに属していないトラフィックをブロックできます。CAS は、境界ドメインに配置しないでください。CAS は、イントラネット ドメインに配置して、Active Directory ユーザー アカウントにアクセスできるようにする必要があります)。

Outlook Web Access のトラブルシューティング

Outlook Web Access 2007 では、監視とトラブルシューティングを強化するための新しいツールが導入されました。CAS サーバーでは監視タスクが自動的に実行されます。監視タスクでは、各メールボックス サーバーの接続だけでなく、OWA ログオンのテストも行います。また、Exchange Server 2007 には、これまでよりも詳細なイベント ログ メッセージやパフォーマンス カウンタが用意されています。

Exchange Server のベスト プラクティス アナライザは強化され、OWA が正しく構成されていない場合には、管理者に警告やエラー メッセージが表示されるようになりました (このツールの詳細については、microsoft.com/technet/technetmag/issues/2006/01/TuneUpExchange (英語) を参照してください)。LogParser ツールを使用して IIS ログから OWA の使用状況レポートを生成することもできます (このツールの詳細については、microsoft.com/technet/technetmag/issues/2006/10/LogParser (英語) を参照してください)。

ユニファイド メッセージング

OWA ではモバイル ビジネスのニーズに対応していますが、ユニファイド メッセージングでは、1 つの場所にさまざまな形式のメッセージを統合します (そのため、このような名前が付けられています)。現在、電子メールは Exchange Server 上に格納され、ボイス (電話やボイス メール) はテレフォニー サーバーで利用できます。電子メールはデスクトップで受信し、ボイス メールは電話を使用して受け取ります。読者の皆さんが言わんとしていることはわかっていますが、FAX メッセージについての説明は割愛させてください。

Exchange Server 2007 のユニファイド メッセージングを使用すると、組織では、ユーザーが Outlook や OWA を使用してアクセスできる 1 つの受信トレイに電子メール、ボイス メール、および FAX データを配信することが可能になります。ユニファイド メッセージングは、逆の用途にも使用できます。つまり、ユーザーは、Outlook Voice Access を使用し、電話でボイス メール、電子メール、連絡先、および予定表にアクセスすることができます。

システム管理者にとってのメリットは、ユニファイド メッセージングを使用すると、Exchange Server とテレフォニー サーバーのインフラストラクチャを組み合わせて、単一のストア ソリューション、単一のディレクトリ、および単一のトランスポートが提供されるので、メッセージングが簡略化されることです。各ユーザーのメールボックスが 1 つになれば、全体的な複雑さのレベルが低くなります。

最も優れている点は、既存のサーバーにも使用できることです。また、Exchange Server 2007 とテレフォニーについての知識があれば、それほど多くのことを習得する必要はありません。ユニファイド メッセージングの機能は Exchange Server に統合されているので、使用するセキュリティ モデルと受信トレイは同じです。また、OWA を使用してボイス メールや FAX データにアクセスすることもできます。

図 3 は、ユニファイド メッセージング サーバーの役割がインストールされた Exchange Server 2007 環境におけるユニファイド メッセージングのアーキテクチャを示します。後で簡単なテストを行うかもしれないので、この図をよく見ておいてください。今度は、ユニファイド メッセージングのアーキテクチャについて、もう少し詳しく説明しましょう。

図 3 ユニファイド メッセージングによるボイス、FAX、および電子メールによる通信の統合

図 3** ユニファイド メッセージングによるボイス、FAX、および電子メールによる通信の統合 **(画像を拡大するには、ここをクリックします)

企業でユニファイド メッセージングを設定する場合には、把握しておく必要のある要素があります。Exchange Server には、テレフォニー ハードウェアを表すオブジェクトが含まれています。これらのオブジェクトでは、Exchange Server 環境内における関係を定義できます。Exchange Server のユニファイド メッセージングのシステム オブジェクトには、UM Server、UM Dial Plan、UM IP Gateway、UM Hunt Group、UM Mailbox Policy、および UM Auto Attendant があります。これらのオブジェクトの役割を説明しましょう。

UM Server オブジェクトは、UM の役割がインストールされている Active Directory に作成されます。このオブジェクトにより、管理コントロールで、Exchange Server 2007 のユニファイド メッセージング展開のセットアップとプロパティを制御できます。UM Dial Plan は、ユニファイド メッセージングの基本的な管理単位で、内部で拡張機能がどのように使用されるのかを表します。UM Dial Plan に含まれるすべてのユーザーは、内線番号を使用して他のユーザーにアクセスできます。他の場所を結合している場合は、通常、各場所ごとに独自の UM Dial Plan を使用します。

UM IP Gateway オブジェクトは、物理的なボイスオーバー IP (VoIP) ゲートウェイまたはセッション開始プロトコル (SIP) 対応の IP Private Branch Exchange (PBX) を表します。ユニファイド メッセージング サーバーでは、IP または VoIP ゲートウェイ デバイスからの呼び出しを受け取ることができます。UM Hunt Group では、UM IP Gateway を UM Dial Plan にリンクします。PBX で UM Hunt Group が構成されると、このこのオブジェクトを表す UM Hunt Group が Active Directory に作成されます。UM Hunt Group を構成して、IP ゲートウェイの負荷分散を行うことができます。これらのゲートウェイでは、単一の UM Hunt Group を複数のゲートウェイと関連付けることによって負荷分散を実現します。UM Mailbox Policy は、ボイス メールの Classes of Service と似ています。このオブジェクトには、UM Dial Plan およびユーザーとグループの運用ポリシーを設定するプロパティが含まれます。

UM Auto Attendant は、単一の UM Dial Plan と関連付けられます。このオブジェクトはカスタマイズして複数のタスクを実行することができます。たとえば、日時指定でタスクを記録したり、定義したりするカスタム プロンプトを実行できます。UM Auto Attendant は、アドレスの一覧を使用してスコープを設定できます。

図 4 は、これらの 6 つのユニファイド メッセージング オブジェクトが、どのように連動するのかを示しています。

図 4 ユニファイド メッセージング テレフォニー オブジェクトの対話

図 4** ユニファイド メッセージング テレフォニー オブジェクトの対話 **(画像を拡大するには、ここをクリックします)

セットアップ

ユーザーが Exchange Server 2007 のメールボックスを設定したら、管理者は、そのメールボックスのユニファイド メッセージングを有効にする必要があります。これを行うには、管理者が、UM Dial Plan でメールボックスを UM Mailbox Policy と内線番号の両方と関連付ける必要があります。PBX は、ユニファイド メッセージングへの呼び出しを RNA (ring, no answer) でルーティングするように構成する必要があります。PBX では、まず、ユーザーの内線に呼び出しをルーティングします。RNA が発生すると、呼び出しは VoIP ゲートウェイにルーティングされ、その後、ユニファイド メッセージング サーバーにルーティングされます。

ユニファイド メッセージングはスケーラブルです。回線交換を行っている PBX チャネルとユニファイド メッセージング サーバーは必要な数だけ追加して、処理能力を上げることができます。VoIP ゲートウェイを使用すると、IP ベースの呼び出しはユニファイド メッセージング サーバーに配信されます。これは、多くの企業にとって新しい機能であるため、ネットワークの詳細な分析を行い、IP ネットワークがデータとボイスの両方に対応できる帯域幅を備えていることを確認する必要があります。

一般的な Exchange Server 2007 のユニファイド メッセージング サーバーでは、同時に 50 ~ 200 の IP 呼び出しと、最大で 200 の着信ボイスと FAX 呼び出しを処理できます (着信ボイスと FAX 呼び出しの既定値は 100 です)。これよりも多くの処理量に対応する必要がある場合、またはフォールト トレランスを強化する場合は、追加のユニファイド メッセージング サーバーを構築できます。

まとめ

これで、Exchange Server 2007 で提供される Outlook Web Access とユニファイド メッセージングの概要の説明は終わりです。組織では、これらの機能を組み合わせて使用すると大きなメリットを得られます。Outlook Web Access を使用すると、どこからでも安全に電子メールにアクセスできます。また、ユニファイド メッセージングを使用すると、電子メール、ボイス メール、FAX メッセージ、および他のデータを Exchange Server 2007 のメールボックスに配信して、1 つの場所で通信データを管理できるようになります。

Joshua Trupin MSDN Magazine と TechNet Magazine の編集主幹です。彼は、MSJ、MIND、MSDN Magazine、および TechNet Magazine などで多数の記事を執筆しています。また、彼の著書には、『Hoop Stats: The Basketball Abstract』(英語) があります。

© 2008 Microsoft Corporation and CMP Media, LLC. All rights reserved; 許可なしに一部または全体を複製することは禁止されています.