自動検出サービスの展開に関する考慮事項

 

適用先: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007

トピックの最終更新日: 2007-06-12

Microsoft Exchange Server 2007 の自動検出サービスは、Exchange メッセージング環境に接続された Microsoft Office Outlook 2007 クライアントに関するプロファイルの自動構成機能を提供します。

自動検出サービスのトポロジ要件

Outlook 2007 に関する自動検出サービスを正しく機能させるには、Exchange 組織が次の要件を満たしていることを確認する必要があります。

  • Exchange の展開に、少なくとも 1 つの Exchange 2007 クライアント アクセス サーバーがインストールされている必要があります。また、可用性サービスやユニファイド メッセージングなどの Exchange の機能を使用するには、クライアント アクセス サーバーまたは他のサーバーに、ユニファイド メッセージング、メールボックス、およびハブ トランスポート サーバーの役割がインストールされている必要があります。
  • 自動検出サービスが実行されるフォレストに、Exchange 2007 Active Directory スキーマが適用されている必要があります。

インターネットから自動検出サービスへの接続

Outlook Anywhere (以前は RPC over HTTP と呼ばれていました) を使用して Microsoft Exchange への外部アクセスを提供する場合、自動検出サービスを使用して Outlook 2007 クライアントを自動的に構成するには、クライアント アクセス サーバーに共通名 (たとえば、mail.contoso.com) とサブジェクトの別名 (たとえば、autodiscover.contoso.com) の両方を含む有効な SSL (Secure Sockets Layer) 証明書をインストールする必要があります。サブジェクトの別名を使用するように SSL 証明書を構成する方法の詳細については、「クライアント アクセス サーバーのホスト名を複数使用するように SSL 証明書を構成する方法」を参照してください。また、自動検出サービスがクライアントに適切な外部 URL を提供できるように、可用性サービスなどの Exchange サービスを正しく構成することも必要です。詳細については、「自動検出サービスのために Exchange サービスを構成する方法」を参照してください。

クライアントが Microsoft Exchange の展開に接続しようとする場合は、ユーザーの電子メール アドレスのプライマリ SMTP ドメイン アドレスを使用して、インターネット上の自動検出サービスの場所を特定します。自動検出サービスを、組織の既存の DNS ホスト名とは異なる名前を持つように構成したかどうかによって、自動検出サービスの URL は、https://<smtp-address-domain>/autodiscover/autodiscover.xml または https://autodiscover.<smtp-address-domain>/autodiscover/autodiscover.xml のいずれかになります。たとえば、ユーザーの電子メール アドレスが monica@contoso.com の場合、自動検出サービスの場所は https://contoso.com/autodiscover.xml または https://autodiscover.contoso.com/autodiscover/autodiscover.xml のいずれかになります。つまり、自動検出サービスのホスト レコードを外部 DNS ゾーンに追加する必要があります。

詳細については、「インターネット アクセスのために自動検出サービスを構成する方法」を参照してください。

自動検出サービスへのインターネット アクセスの複数サイトの使用

頻繁にアクセスされ、電子メール トラフィックもホストする Web サイトを管理している場合は、別のサイトで自動検出サービスをホストすることをお勧めします。他の Exchange の機能と同じコンピュータ上の個別のサイトに自動検出サービスをホストするには、以下の手順に従います。

note注 :
サイトごとに 1 つの IP アドレスを使用する必要があります。
  1. (省略可能) クライアント アクセス コンピュータに、自動検出サービスをホストする別のサイトを構成します。   自動検出サービスのトラフィックをホストする別のサイトは、New-AutodiscoverVirtualDirectory コマンドレットを使用して作成できます。SMTP アドレス ドメインが会社の Web サイトのアドレスと同じであり、その会社の Web サイトが頻繁にアクセスされる場合は、この省略可能な手順をお勧めします。たとえば、会社の Web サイトが www.contoso.com、電子メール SMTP ドメインが contoso.com であり、会社の Web サイト (www.contoso.com) に頻繁にアクセスされる場合は、別のサイトを作成し、autodiscover.contoso.com で自動検出サービスをホストすることをお勧めします。
  2. **(必須) 有効な SSL 証明書を構成します。**クライアント コンピュータが信頼する証明機関 (CA) の有効な SSL 証明書を構成します。別のサイトで自動検出サービスをホストするようにした場合は、「クライアント アクセス サーバーのホスト名を複数使用するように SSL 証明書を構成する方法」を参照してください。
  3. **(省略可能) SCP オブジェクトを更新します。**Active Directory ディレクトリ内のサービス接続ポイント (SCP) オブジェクトを更新して、クライアントの接続先のクライアント アクセス サーバーと自動検出仮想ディレクトリを指定する必要があります。

詳細については、「インターネット アクセスのために自動検出サービスを構成する方法」を参照してください。

図 1 は、自動検出サービスが、Exchange サーバーが存在する Active Directory サイトとは異なる Active Directory サイトに展開された環境を示しています。

図 1   自動検出サービスが含まれた複数のサイトの使用

自動検出サービスの複数サイト

図 1 では、Internet Security and Acceleration (ISA) Server 2006 ファイアウォールは、2 つの Web リスナを使用して 2 つのサイトを公開しています。第 1 のサイト autodiscover.contoso.com は、クライアント アクセス サーバー上で自動検出仮想ディレクトリへのアクセスを提供し、1 つの IP アドレスに割り当てられています。クライアント アクセス サーバーの内部トラフィック用に 1 つの Web リスナを構成し、このサイト上のすべての仮想ディレクトリを公開します。第 2 のサイト mail.contoso.com は、他の Exchange の機能へのアクセスを提供し、独自の第 2 の IP アドレスを持っています。このサイトでは、自動検出仮想ディレクトリを公開しません。

内部通信にサイトの類似性を使用するための自動検出サービスの構成

帯域幅の狭いネットワーク接続によって分離された Active Directory サイトが存在する大規模な分散組織を管理する場合は、イントラネット ベースのトラフィックについて、自動検出サービスでサイトの類似性を使用することをお勧めします。サイトの類似性を使用するには、クライアントが特定の自動検出サービス インスタンスに接続するときにどの Active Directory サイトを優先するかを指定します。優先する Active Directory サイトの指定は、サイト スコープの構成とも呼ばれます。

サイトの類似性は、Set-ClientAccessServer コマンドレットを使用して構成します。このコマンドレットを使用すると、特定のクライアント アクセス サーバー上の自動検出サービスに接続するときに優先する Active Directory サイトを指定できます。自動検出サービス用にサイトの類似性を構成すると、クライアントは指定された自動検出サービスに接続するようになります。Set-ClientAccessServer コマンドレットの詳細については、「Set-ClientAccessServer」を参照してください。

次の名前の 3 つのサイトが存在する 1 つのフォレストを含むトポロジを考えてみます。

  • US-contoso   北米に配置された contoso サイト
  • Europe-contoso   ヨーロッパに配置された contoso サイト
  • APAC-contoso   アジアに配置された contoso サイト

この例では、各サイトで自動検出サービスが有効であり、各サイトにユーザー メールボックスが含まれています。US-contoso サイトは、高速な接続を使用して Europe-contoso サイトに接続されています。US-contoso サイトは、低速な接続を使用して APAC-contoso サイトに接続されています。APAC-contoso サイトは、高速な接続を使用して Europe-contoso サイトに接続されています。

これらの接続に基づいて、US-contoso および Europe-contoso サイト内のユーザーは US-contoso または Europe-contoso サイトを使用できるようにし、Europe-contoso サイト内のユーザーは任意のサイトを使用して自動検出サービスにアクセスできるようにし、さらに APAC-contoso サイト内のユーザーは APAC-contoso または Europe-contoso サイトを使用できるようにするとします。最後に、クライアント アクセス サーバーには、すべてのサイトに共通した内部の名前空間を使用してアクセスできるようにします。

US-contoso サイト内のクライアント アクセス サーバーでサイト スコープを設定することができます。それには、次のコマンドを使用して、自動検出サービスにアクセスするときに US-contoso と Europe-contoso の Active Directory サイトを優先して使用するように設定します。

Set-ClientAccessServer -Identity "us-cas" -AutodiscoverServiceInternalURI "https://internal.contoso.com/autodiscover/autodiscover.xml" -AutodiscoverServiceSiteScope "us-contoso","europe-contoso"

Europe-contoso サイトは他のサイトと高速に接続されているため、このサイト内のクライアント アクセス サーバーでは、自動検出サービスにアクセスするためにユーザーが接続する先の Active Directory サイトを指定する必要はありません。次のコマンドを使用すると、Europe-contoso サイト内のすべてのユーザーが、任意のクライアント アクセス サーバーにアクセスして自動検出サービスを使用できます。

Set-ClientAccessServer -Identity "europe-cas" -AutodiscoverServiceInternalURI "https://internal.contoso.com/autodiscover/autodiscover.xml"

最後に、APAC-contoso サイト内のクライアント アクセス サーバーで自動検出サービスのサイト スコープを設定することができます。これらのサーバーは APAC-contoso および Europe-contoso サイトと高速に接続されているため、これらのサイトを優先して使用するように設定します。それには、次のコマンドを使用します。

Set-ClientAccessServer -Identity "apac-cas" -AutodiscoverServiceInternalURI "https://internal.contoso.com/autodiscover/autodiscover.xml" -AutodiscoverServiceSiteScope "apac-contoso","europe-contoso"

これにより、US-contoso サイト内のクライアントが Europe-contoso サイトにメールボックスを保有していて、自動検出サービスを見つけようとする場合は、site=US-contoso または site=Europe-contoso を含むサービス インスタンスを選択することができます。

自動検出サービスのサイト スコープを指定しない場合は、US-contoso サイトへの接続が低速なため、クライアントから APAC-contoso サイトに対する autodiscoverInternalUri パラメータが返される可能性があります。

note注 :
クライアントが使用する特定の Active Directory サイトのセットを構成しない場合、Outlook 2007 はクライアント アクセス サーバーをランダムに選択して、自動検出サービスへのアクセスに使用します。

サイトの類似性の詳細については、「サイトの類似性を使用して自動検出サービスを構成する方法」を参照してください。

複数のフォレストにおける自動検出サービスの構成

複数のフォレストを使用して Microsoft Exchange を展開できます。複数のフォレストを展開する場合のシナリオとして、リソース フォレストのトポロジと、複数の信頼されたフォレストのトポロジの 2 つがあります。以降のセクションでは、この 2 つの展開シナリオで自動検出サービスがどのように使用されるかについて説明します。

リソース フォレストのトポロジにおける自動検出サービスの構成

リソース フォレストのトポロジを使用する場合、ユーザー アカウントは 1 つのフォレスト (ユーザー アカウントのフォレストと呼びます) に存在し、Microsoft Exchange は別のフォレスト (リソース フォレストと呼びます) に展開されます。このシナリオでは、クライアントはユーザー アカウントのフォレスト内の Active Directory にアクセスして、自動検出サービスの URL を取得します。自動検出サービスはリソース フォレスト内でホストされているため、ユーザー アカウントのフォレスト内の Active Directory を更新して、クライアントがリソース フォレストにアクセスするために Active Directory に必要な情報を含める必要があります。それには、ユーザー アカウントのフォレスト内の Active Directory に自動検出 SCP ポインタ レコードを作成する必要があります。自動検出 SCP ポインタ レコードには、クライアントが自動検出サービスの場所を指定するために使用する、リソース フォレストの LDAP (ライトウェイト ディレクトリ アクセス プロトコル) URL が含まれます。

ユーザー アカウントのフォレストに自動検出 SCP ポインタ レコードを作成するには、自動検出サービスが置かれたリソース フォレストからユーザー アカウントのフォレストに対して Export-AutoDiscoveryConfig コマンドレットを実行します。詳細については、「複数のフォレストにおいて自動検出サービスを構成する方法」を参照してください。

複数の信頼されたフォレストのトポロジにおける自動検出サービスの構成

複数の信頼されたフォレストのシナリオでは、ユーザー アカウントと Microsoft Exchange が複数のフォレストに展開されます。可用性サービスやユニファイド メッセージングなどの Exchange 2007 の機能は、フォレスト間でこれらの機能にアクセスするために自動検出サービスを使用します。このシナリオでは、ユーザーが、複数の信頼されるフォレスト間で自動検出サービスを利用できる必要があります。このシナリオはリソース フォレストのシナリオと似ていますが、自動検出 SCP オブジェクトをすべてのフォレストに構成する必要があるという点で異なっています。複数のフォレストのトポロジで自動検出 SCP オブジェクトを構成するには、自動検出サービスが置かれた各フォレストから、Microsoft Exchange が展開されている各対象フォレストに対して Export-AutoDiscoveryConfig コマンドレットを実行します。詳細については、「複数のフォレストにおいて自動検出サービスを構成する方法」を参照してください。

ホストされた環境と自動検出サービス

ホストされた環境では、インターネット インフォメーション サービス (IIS) を使用して、ホストされているドメインごとに自動検出サービスをリダイレクトする必要があります。図 2 は、ホストされた環境での自動検出サービスを示しています。

図 2   ホストされた Exchange 環境での自動検出サービス

ホスト環境での自動検出

ホストされた電子メール ドメインごとに、サイトと、それに対応する DNS エントリを設定する必要があります。たとえば、contoso.no という名前のドメインを autodiscover.contoso.no、contoso.se という名前のドメインを autodiscover.contoso.se と呼びます。図 2 のサイトでは、仮想ディレクトリの必要性がないため、SSL 証明書を設定する必要はありません。

IIS マネージャで、各サイトのリダイレクトを https://mail.contoso.com/autodiscover/autodiscover.xml に構成します。

note注 :
これらのサイトは、HTTP (ポート 80) トラフィックに対してのみ構成してください。

これらのサイトでリダイレクトを構成する場合は、匿名アクセスを使用すると共に、認証されたアクセスを無効にする必要があります。また、[上で入力した URL][入力された URL の下のディレクトリ][このリソースへ永続的にリダイレクトする] などのその他のオプションは構成しないようにしてください。この方法でリダイレクトを構成すると、Outlook 2007 クライアントは HTTP 302 応答を受信できるようになります。

リダイレクトを構成した後、Outlook 2007 クライアントは HTTP POST 要求を使用して、https://contoso.no/autodiscover/ および https://autodiscover.contoso.no/autodiscover/ への接続を試みます。これらのサイトは使用できないため、Outlook は http://autodiscover.contoso.no/autodiscover への HTTP GET 要求を試みます。

note注 :
この要求では、ユーザーの電子メール アドレスやパスワードなどの情報は送信されません。

このサイトではリダイレクトが構成されているため、IIS は https://mail.contoso.com/ への 302 リダイレクト応答を返します。クライアントは応答を受信し、ユーザーにこの要求を受け付けるか、または拒否するかを確認するメッセージを表示します。ユーザーは、この要求を受け付ける必要があります。その後、クライアントは HTTPS POST 要求を使用してリダイレクトされます。この例では、セキュリティの警告は表示されません。最後に、クライアントは必要な自動検出サービス応答を受信します。

note注 :
前の例で説明したように、クライアントを新しいサイトにリダイレクトするようにリダイレクタを構成する場合は、追加の SSL 証明書は必要ありません。ただし、追加の IIS サイトを構成する必要があります。

自動検出のセキュリティ

自動検出サービスに個別のサイトを使用し、同時に ISA Server 2006 などの拡張ファイアウォール サーバーを使用する場合、ISA Server 2006 が 2 つの Web リスナを持つように構成する必要があります。ISA Server の Web リスナは、クライアントが使用する IP アドレスとポートを示すために使用されます。最初の Web リスナは自動検出サービスに使用され、2 番目の Web リスナは Microsoft Exchange ActiveSync や Outlook Anywhere などの他の Microsoft Exchange の機能に使用されます。証明書の "サブジェクト代替名" プロパティを使用すると、両方の Web リスナを使用する単一のサイト用の SSL 証明書を構成できます。詳細については、「クライアント アクセス サーバーのホスト名を複数使用するように SSL 証明書を構成する方法」を参照してください。

既定では、Exchange 2007 セットアップで、自己署名入りの SSL 証明書のインストールを選択できます。外部サイトに自己署名入りの証明書を使用することはお勧めできません。信頼された証明機関からの証明書を使用することをお勧めします。有効な SSL 証明書の作成方法および使用方法の詳細については、以下のトピックを参照してください。

詳細情報

自動検出サービスの詳細については、以下のトピックを参照してください。

参照している情報が最新であることを確認したり、他の Exchange Server 2007 ドキュメントを見つけたりするには、Exchange Server TechCenter を参照してください。