エッジ サブスクリプション

  • [アーティクル]

製品: Exchange Server 2013

エッジ トランスポート サーバーは、インターネットに接続するすべてのメール フローを処理し、Exchange 組織に SMTP リレーとスマート ホスト サービスを提供することで、攻撃面を最小限に抑えます。 メッセージ保護とセキュリティの追加レイヤーは、組織の境界ネットワーク内のエッジ トランスポート サーバーで実行されている一連のエージェントによって提供されます。 これらのエージェントは、ウイルスやスパムに対する保護を提供し、トランスポート ルールを適用してメッセージ フローを制御する機能をサポートします。

エッジ サブスクリプションを使用して、エッジ トランスポート サーバー上の Active Directory Lightweight Directory Services (AD LDS) インスタンスに Active Directory データを取り込みます。 エッジ サブスクリプションの作成はオプションですが、エッジ トランスポート サーバーを Exchange 組織にサブスクライブすることで、管理作業が簡素化され、スパム対策機能がさらに強化されます。 受信者参照機能またはセーフ リスト集約機能の使用を予定している場合、あるいは相互トランスポート層セキュリティ (MTLS) を使用したパートナー ドメインとの SMTP 通信のセキュリティ保護を計画している場合は、エッジ サブスクリプションを作成する必要があります。

エッジ サブスクリプション プロセス

エッジトランスポート サーバーは、Active Directory に直接アクセスできません。 エッジ トランスポート サーバーがメッセージを処理する際に使用する構成および受信者情報は、AD LDS にローカルに格納されます。 エッジ サブスクリプションを作成することによって、Active Directory から AD LDS への、セキュリティ保護された自動の情報レプリケーションが確立されます。 エッジ サブスクリプション プロセスは、Exchange 2013 メールボックス サーバーとサブスクライブされたエッジ トランスポート サーバーの間にセキュリティで保護された LDAP 接続を確立するために使用される資格情報をプロビジョニングします。 メールボックス サーバーで実行される Microsoft Exchange EdgeSync サービス (EdgeSync) は、定期的な一方向同期を実行して、最新のデータを AD LDS に転送します。 このように、メールボックス サーバーを構成した後は、その情報をエッジ トランスポート サーバーに同期できるため、境界ネットワークで実行する管理タスクが軽減されます。

エッジトランスポート サーバーのサブスクライブ先は、エッジトランスポート サーバーとの間でメッセージを転送するメールボックス サーバーが含まれる Active Directory サイトです。 エッジ サブスクリプション プロセスは、エッジトランスポート サーバーに関する Active Directory サイトのメンバーシップの関係を作成します。 このサイトとの関係により、Exchange 組織内のメールボックス サーバーは、明示的な送信コネクタを構成しなくても、インターネットに配信するメッセージをエッジ トランスポート サーバーに中継できます。

1 つ以上のエッジトランスポート サーバーで、1 つの Active Directory サイトを購読できます。 ただし、1 つのエッジトランスポート サーバーで複数の Active Directory サイトを購読することはできません。 複数のエッジトランスポート サーバーが展開されている場合、各サーバーが別の Active Directory サイトを購読できます。 各エッジ トランスポート サーバーには個別のエッジ サブスクリプションが必要です。

エッジトランスポート サーバーを展開し、Active Directory サイトを購読するには、次の手順を実行します。

  1. エッジ トランスポート サーバーの役割をインストールします。
  2. メールボックス サーバーとエッジ トランスポート サーバーが、DNS 名前解決を使用して互いを検出できることを確認します。
  3. メールボックス サーバーで、エッジ トランスポート サーバーにレプリケートするオブジェクトと設定を構成します。
  4. エッジ トランスポート サーバーで、Edge サブスクリプション ファイルを作成してエクスポートします。
  5. エッジサブスクリプション ファイルを、メールボックス サーバーにコピーするか、メールボックス サーバーが含まれる Active Directory サイトからアクセス可能なファイル共有にコピーします。
  6. Edge サブスクリプション ファイルを Active Directory サイトにインポートします。

新しい Edge サブスクリプションを作成するとどうなりますか

エッジ サブスクリプション ファイルを作成すると (エッジ トランスポート サーバーで New-EdgeSubscription コマンドレットを実行することによって)、次のアクションが実行されます。

  • EdgeSync ブートストラップ レプリケーション アカウント (ESBRA) と呼ばれる AD LDS アカウントが作成されます。 これらの ESBRA 資格情報は、エッジ トランスポート サーバーへの最初の EdgeSync 接続を認証するために使用されます。 このアカウントは、作成後 24 時間で失効するように構成されます。 そのため、前のセクションで説明した 6 ステップのサブスクリプション プロセスを 24 時間以内に完了する必要があります。 エッジ サブスクリプション プロセスが完了する前に ESBRA が期限切れになった場合は、 New-EdgeSubscription コマンドレットを再実行して、新しいエッジ サブスクリプション ファイルを作成する必要があります。

  • ESBRA 資格情報は AD LDS から取得され、エッジ サブスクリプション ファイルに書き込まれます。 エッジ トランスポート サーバーの自己署名証明書の公開キーも、エッジ サブスクリプション ファイルにエクスポートされます。 エッジ サブスクリプション ファイルに書き込まれる資格情報は、そのファイルのエクスポート元のサーバーに固有の情報です。

  • Active Directory から AD LDS にレプリケートされるエッジ トランスポート サーバー上で以前に作成した構成オブジェクトはすべて AD LDS から削除され、これらのオブジェクトの構成に使用される Exchange 管理シェル コマンドレットは無効になります。 ただし、 Get-* コマンドレットを使用してこれらのオブジェクトを表示することはできます。 New-EdgeSubscription コマンドレットを実行すると、エッジ トランスポート サーバーで次のコマンドレットが無効になります。

    • Set-SendConnector
    • New-SendConnector
    • Remove-SendConnector
    • New-AcceptedDomain
    • Set-AcceptedDomain
    • Remove-AcceptedDomain
    • New-MessageClassification
    • Set-MessageClassification
    • Remove-MessageClassification
    • New-RemoteDomain
    • Set-RemoteDomain
    • Remove-RemoteDomain

メールボックス サーバーで New-EdgeSubscription コマンドレットを実行して、メールボックス サーバーにエッジ サブスクリプション ファイルをインポートする場合:

  • エッジ サブスクリプションが作成され、エッジ トランスポート サーバーが Exchange 組織に参加します。 EdgeSync はこのエッジ トランスポート サーバーに構成データを伝達し、Active Directory に Edge 構成オブジェクトを作成します。

  • Active Directory サイトの各メールボックス サーバーは、新しいエッジトランスポート サーバーがサブスクライブされている旨の通知を Active Directory から受信します。 メールボックス サーバーは、エッジ サブスクリプション ファイルから ESBRA を取得します。 メールボックス サーバーは、エッジ トランスポート サーバーの自己署名証明書の公開キーを使用して、この ESBRA を暗号化します。 暗号化された資格情報はエッジ構成オブジェクトに書き込まれます。

  • また、各メールボックス サーバーは、自身の公開キーを使用して ESBRA を暗号化し、この資格情報を自身の構成オブジェクトに格納します。

  • EdgeSync レプリケーション アカウント (ESRA) は、Edge Transport-Mailbox サーバー ペアごとに Active Directory に作成されます。 各メールボックス サーバーは、自身の ESRA 資格情報をメールボックス サーバー構成オブジェクトの属性として格納します。

  • エッジ トランスポート サーバーからインターネットへの送信メッセージ、およびエッジ トランスポート サーバーから Exchange 組織への受信メッセージを中継する送信コネクタが自動的に作成されます。

  • メールボックス サーバーで実行される Microsoft Exchange EdgeSync サービスは、ESBRA 資格情報を使用して、メールボックス サーバーとエッジ トランスポート サーバーの間にセキュリティで保護された LDAP 接続を確立し、データの初期レプリケーションを実行します。 次のデータが AD LDS にレプリケートされます。

    • トポロジ データ
    • 構成データ
    • 受信者データ
    • ESRA 資格情報

  • エッジ トランスポート サーバー上で実行される Microsoft Exchange Credential Service により、ESRA 資格情報がインストールされます。 これらの資格情報は、その後の同期接続を認証し、セキュリティで保護するために使用されます。

  • EdgeSync 同期スケジュールが確立されます。

サブスクライブした Active Directory サイトのメールボックス サーバーで実行されている Microsoft Exchange EdgeSync サービスは、Active Directory から AD LDS へのデータの一方向レプリケーションを定期的なスケジュールで実行します。 また、Start-EdgeSynchronization コマンドレットを使用して、EdgeSync 同期スケジュールをオーバーライドし、すぐに同期を開始することもできます。

ESRA アカウントと、EdgeSync 同期プロセスのセキュリティ保護に役立つアカウントの使用方法の詳細については、「 Edge サブスクリプションの資格情報」を参照してください。

この例では、エッジ トランスポート サーバーを指定のサイトにサブスクライブして、エッジ トランスポート サーバーからメールボックス サーバーへのインターネット送信コネクタおよび送信コネクタを自動的に作成します。

New-EdgeSubscription -FileData ([System.IO.File]::ReadAllBytes('C:\EdgeSubscriptionInfo.xml')) -CreateInternetSendConnector $true -CreateInboundSendConnector $true -Site "Default-First-Site-Name"

注:

CreateInternetSendConnector パラメーターと CreateInboundSendConnector パラメーターの既定値はどちらも $trueです。 ここに示されているのは、デモのみです。

この例では、エッジ サブスクリプション ファイルをエクスポートします。

New-EdgeSubscription -FileName "C:\EdgeSubscriptionInfo.xml"

注:

Edge トランスポート サーバーで New-EdgeSubscription コマンドレットを実行すると、無効になるコマンドと、エッジ トランスポート サーバーで上書きされる構成を確認するプロンプトが表示されます。 この確認をバイパスするには、 Force パラメーターを使用する必要があります。 このパラメーターは、 New-EdgeSubscription コマンドレットをスクリプトで使用するときに便利です。 Force パラメーターは、エッジ トランスポート サーバーを再サブスクライブするときに作成するファイルと同じ名前の既存のファイルを上書きするためにも使用されます。

構文とパラメーターの詳細については、「New-EdgeSubscription」を参照してください。

Edge サブスクリプション プロセス中に作成された送信コネクタ

既定では、Edge サブスクリプション ファイルをメールボックス サーバーにインポートして推奨されるエッジ サブスクリプション プロセスを完了すると、インターネットと Exchange 組織の間のエンド ツー エンドメール フローを有効にするために必要な送信コネクタが自動的に作成され、エッジ トランスポート サーバー上の既存の送信コネクタはすべて削除されます。 一部のシナリオでは、送信コネクタの自動作成を抑制し、送信コネクタを手動で構成することもできます。 送信コネクタの手動構成の詳細については、「 エッジ トランスポート サーバーのメール フローを手動で構成 する」および「 EdgeSync を使用せずにエッジ トランスポート サーバー経由のインターネット メール フローを構成する」を参照してください。

Edge サブスクリプション プロセスでは、次の送信コネクタがプロビジョニングされます。

  • Exchange 組織からインターネットに電子メール メッセージを中継するように構成された送信コネクタ。
  • エッジ トランスポート サーバーから Exchange 組織に電子メール メッセージを中継するように構成された送信コネクタ。

また、Exchange 組織にエッジ トランスポート サーバーをサブスクライブすると、サブスクライブされた Active Directory サイト内のメールボックス サーバーが組織内送信コネクタを使用して、そのエッジ トランスポート サーバーにメッセージを中継できます。

インターネットからメッセージを受信する受信送信コネクタを自動的に作成する

既定では、メールボックス サーバーで New-EdgeSubscription コマンドレットを実行すると、受信送信コネクタ パラメーター CreateInboundSendConnector が 値 $trueに設定されます。 これにより、Exchange 組織にメッセージを送信するために必要な送信コネクタが作成されます。 次の表は、この送信コネクタの構成を示しています。

プロパティ
名前 EdgeSync - サイト名>への<受信
AddressSpaces SMTP:--;1

アドレス空間の値は -- 、Exchange 組織のすべての権限のある内部リレー承認済みドメインを表します。 エッジ トランスポート サーバーが受信する、これらの許可されたドメイン宛てのメッセージは、この送信コネクタにルーティングされて、スマート ホストに中継されます。
SourceTransportServers <Edge サブスクリプション名>
Enabled (有効) True
DNSRoutingEnabled False
SmartHosts --

スマート ホストの一覧の値は -- 、サブスクライブされている Active Directory サイト内のすべてのメールボックス サーバーを表します。 Edge サブスクリプションを確立した後にサブスクライブした Active Directory サイトに追加するすべてのメールボックス サーバーは、EdgeSync 同期プロセスに参加しません。 ただし、自動的に作成された受信用の送信コネクタのスマート ホストの一覧には追加されます。 サブスクライブ先の Active Directory サイトに複数のメールボックス サーバーがある場合、受信接続はスマート ホスト間で負荷分散されます。

作成時に、自動的に作成される受信用の送信コネクタのアドレス スペースまたはスマート ホストの一覧を変更することはできません。 ただし、Edge サブスクリプションを作成するときに、 CreateInboundSendConnector パラメーターを 値 $false に設定できます。 この設定では、エッジ トランスポート サーバーから Exchange 組織への送信コネクタを手動で作成できます。

インターネットにメッセージを送信する送信コネクタを自動的に作成する

既定では、メールボックス サーバーで New-EdgeSubscription コマンドレットを実行すると、送信送信コネクタ パラメーター CreateInternetSendConnector が 値 $trueに設定されます。 これにより、インターネットにメッセージを送信するために必要な送信コネクタが作成されます。 次の表は、この送信コネクタの既定の構成を示しています。

プロパティ
名前 EdgeSync - <インターネットへのサイト名>
AddressSpaces SMTP:*;100
SourceTransportServers <Edge サブスクリプション名>

: Edge サブスクリプションの名前は、サブスクライブされているエッジ トランスポート サーバーの名前と同じです。
Enabled (有効) True
DNSRoutingEnabled True
DomainSecureEnabled True

同一の Active Directory サイトに複数のエッジトランスポート サーバーをサブスクライブしても、インターネットへの追加の送信コネクタは作成されません。 代わりに、すべてのエッジ サブスクリプションが、送信元サーバーと同じ送信コネクタに追加されます。 これにより、サブスクライブ済みエッジ トランスポート サーバー間で、インターネットへの送信接続の負荷が分散されます。

送信用の送信コネクタは、Exchange 組織からすべてのリモート SMTP ドメインに電子メール メッセージを送信する際に、DNS ルーティングを使用してドメイン名を MX リソース レコードに解決するように構成されます。 コネクタの構成を手動で構成する方法の詳細については、「 エッジ トランスポート サーバーのメール フローを手動で構成する」を参照してください。

Microsoft Exchange EdgeSync サービス

Edge トランスポート サーバーを Active Directory サイトにサブスクライブすると、EdgeSync は構成と受信者のデータをエッジ トランスポート サーバーにレプリケートします。 このサービスは、次のデータを Active Directory から AD LDS にレプリケートします。

  • 送信コネクタの構成
  • 承認済みドメイン
  • リモート ドメイン
  • メッセージ分類
  • 差出人セーフ リスト
  • 受信拒否リスト
  • 受信者
  • セキュリティで保護されたドメインがパートナーとの通信で使用する送受信ドメインの一覧
  • 組織のトランスポートの構成で内部として一覧される SMTP サーバーの一覧
  • サブスクライブされた Active Directory サイトにあるメールボックス サーバーの一覧

AD LDS にレプリケートされるデータとその使用方法の詳細については、「 EdgeSync レプリケーション データ」を参照してください。

EdgeSync は、相互に認証され、承認されたセキュリティで保護された LDAP チャネルを使用して、メールボックス サーバーからエッジ トランスポート サーバーにデータを転送します。

データを AD LDS にレプリケートするため、メールボックス サーバーは、更新済みデータを取得するグローバル カタログ サーバーにバインドします。 EdgeSync は、標準以外の TCP ポート 50636 を介して、メールボックス サーバーとサブスクライブされたエッジ トランスポート サーバーの間でセキュリティで保護された LDAP セッションを開始します。

Active Directory サイトにエッジ トランスポート サーバーを最初にサブスクライブする場合、Active Directory からのデータを AD LDS に設定する初期レプリケーションには、ディレクトリ サービス内のデータ量に応じて、5 分以上かかることがあります。 初期レプリケーション後、EdgeSync は新しいオブジェクトと変更されたオブジェクトのみを同期し、削除されたすべてのオブジェクトを削除します。

同期スケジュール

異なる種類のデータは、異なるスケジュールで同期されます。 EdgeSync 同期スケジュールでは、EdgeSync 同期間の最大間隔を指定します。 EdgeSync 同期は、次の間隔で行われます。

  • 構成データ: 3 分。
  • 受信者データ: 5 分。
  • トポロジ データ: 5 分

これらの間隔を変更するには、 Set-EdgeSyncServiceConfig コマンドレットを使用します。 メールボックス サーバーで Start-EdgeSynchronization コマンドレットを使用してエッジ サブスクリプションの同期を強制すると、次にスケジュールされた EdgeSync 同期のタイマーがオーバーライドされ、EdgeSync が直ちに開始されます。

メールボックス サーバーの選択

サブスクライブされた各エッジトランスポート サーバーは、特定の Active Directory サイトと関連付けられます。 サイトに複数のメールボックス サーバーが存在している場合は、そのうちのどのメールボックス サーバーでもサブスクライブ済みエッジエッジ トランスポート サーバーにデータをレプリケートする可能性があります。 同期中にメールボックス サーバー間で競合が発生しないようにするために、以下のようにして、優先するメールボックス サーバーが選択されます。

  1. Active Directory サイトでトポロジ スキャンを実行して新しいエッジ サブスクリプションを検出した最初のメールボックス サーバーが、初期レプリケーションを実行します。 この検出はトポロジ スキャンのタイミングに基づいているため、サイトのどのメールボックス サーバーも最初のレプリケーションを実行する可能性があります。

  2. 初期レプリケーションを実行するメールボックス サーバーは、EdgeSync リース オプションを確立し、Edge サブスクリプションにロックを設定します。 リース オプションにより、その特定のメールボックス サーバーが、そのエッジ トランスポート サーバーに同期サービスを提供する優先サーバーとして確定されます。 ロックにより、別のメールボックス サーバーで EdgeSync が実行され、リース オプションが引き継がれなくなります。

  3. EdgeSync リース オプションは 1 時間続きます。 その時間の間、時間の終わり前に手動同期が開始されない限り、他の EdgeSync サービスはオプションを引き継ぐできません。 手動同期が開始された時点で、優先メールボックス サーバーが EdgeSync サービスを提供できない場合は、5 分間待機した後にロックが解除され、別の EdgeSync サービスがリース オプションを引き継ぎ、同期を実行できます。

  4. 手動同期が開始されない限り、同期は EdgeSync 同期スケジュールに基づいて行われます。 スケジュールされた同期が発生したときに優先サーバーが使用できない場合は、5 分間待機した後にロックが解放され、別の EdgeSync サービスがリース オプションを引き継ぎ、同期を実行できます。

このロックとリースの方法により、EdgeSync の複数のインスタンスが同時に同じエッジ トランスポート サーバーにデータをプッシュできなくなります。

注:

また、サブスクライブされている Active Directory サイトに Exchange 2010 または Exchange 2007 メールボックス サーバーがある場合、Exchange 2013 メールボックス サーバーが常に優先され、レプリケーションが実行されます。

エッジ トランスポート サーバーを Active Directory サイトにサブスクライブすると、その Active Directory サイトにインストールされているすべてのメールボックス サーバーが EdgeSync 同期プロセスに参加できます。 これらのサーバーのいずれかが削除された場合、残りのメールボックス サーバーで実行されている EdgeSync サービスは、データ同期プロセスを続行します。 ただし、Active Directory サイトに新しいメールボックス サーバーをインストールした場合、EdgeSync 同期には自動的に参加しません。 これらの新しいメールボックス サーバーが EdgeSync 同期に参加できるようにするには、エッジ トランスポート サーバーをもう一度サブスクライブする必要があります。

次の表に、ロックとリースに関連する EdgeSync プロパティを示します。 Set-EdgeSyncServiceConfig コマンドレットを使用して、これらのプロパティを構成できます。

EdgeSync リース プロパティ

パラメーター 既定値 説明
LockDuration 00:05:00 (5 分) この設定は、特定の EdgeSync サービスがロックを取得する期間を決定します。 このロックを保持しているメールボックス サーバー上の EdgeSync サービスが応答しない場合、5 分後に別のメールボックス サーバーの EdgeSync サービスがリースを引き継ぐようになります。 EdgeSync の即時同期を強制しても、この設定はオーバーライドされません。
OptionDuration 01:00:00 (1 時間) この設定は、EdgeSync サービスがエッジ トランスポート サーバーでリース オプションを宣言できる期間を決定します。 リースを保持している EdgeSync サービスが使用できず、このオプション期間中に再起動しない場合、EdgeSync 同期を強制しない限り、他の Exchange EdgeSync サービスはリース オプションを引き継ぐ必要はありません。
LockRenewalDuration 00:01:00 (1 分) この設定は、EdgeSync サービスがエッジ トランスポート サーバーへのロックを取得したときにロック フィールドを更新する頻度を決定します。

EdgeSync サービスを実行するための準備

エッジ トランスポート サーバーを Exchange 組織にサブスクライブする前に、インフラストラクチャとメールボックス サーバーが EdgeSync サービス用に準備されていることを確認する必要があります。 EdgeSync 同期を準備するには、次の操作を行う必要があります。

  • Exchange 組織からエッジ トランスポート サーバーを分離する境界ネットワーク ファイアウォールが、正しいポートを介した通信を有効にするように構成されていることを確認します。 エッジ トランスポート サーバーは、標準以外の LDAP ポートを使用します。 環境で特定のポートが必要な場合は、Exchange で提供されるConfigureAdam.ps1 スクリプトを使用して、AD LDS で使用されるポートを変更できます。 詳細については、「 AD LDS 構成の変更」を参照してください。 ポートの変更は、エッジ サブスクリプションを作成する前に行ってください。 Edge サブスクリプションを作成した後でポートを変更する場合は、Edge サブスクリプションを削除してから、新しい Edge サブスクリプションを作成する必要があります。 既定では、次の LDAP ポートを使用して AD LDS にアクセスします。

    • LDAP: ポート 50389/TCP は、AD LDS インスタンスにバインドするためにローカルで使用されます。 このポートは、境界ネットワーク ファイアウォールで開く必要はありません。

    • セキュリティで保護された LDAP: ポート 50636/TCP は、メールボックス サーバーから AD LDS へのディレクトリ同期に使用されます。 EdgeSync 同期を正常に行うには、ファイアウォールでこのポートを開く必要があります。

  • エッジ トランスポート サーバーからメールボックス サーバー、メールボックス サーバーからエッジ トランスポート サーバーへの DNS ホスト名解決が成功したことを確認します。

  • エッジ トランスポート サーバーのライセンスを発行します。 エッジ トランスポート サーバーのライセンス情報は、エッジ サブスクリプションの作成時にキャプチャされます。 エッジ トランスポート サーバーにライセンス キーが適用された後、サブスクライブされたエッジ トランスポート サーバーを Exchange 組織にサブスクライブする必要があります。 エッジ サブスクリプション プロセスを実行した後にエッジ トランスポート サーバーにライセンス キーが適用された場合、ライセンス情報は Exchange 組織で更新されず、エッジ トランスポート サーバーを再サブスクライブする必要があります。

  • エッジ トランスポート サーバーに伝達するために、次のトランスポート設定を構成します。

    • 内部 SMTP サーバー: Set-TransportConfig コマンドレットの InternalSMTPServers パラメーターを使用して、エッジ トランスポート サーバーの送信者 ID および接続フィルター エージェントによって無視される内部 SMTP サーバーの IP アドレスまたは IP アドレス範囲の一覧を指定します。

    • 承認済みドメイン: すべての権限のあるドメイン、内部リレー ドメイン、および外部リレー ドメインを構成します。

    • リモート ドメイン: リモート ドメイン設定を構成します。

エッジ サブスクリプションの管理

Edge サブスクリプション管理タスクの詳細な手順については、「Edge サブスクリプションの 管理」を参照してください。