Share via

Active Directory へのアクセスの計画

  • [アーティクル]

 

適用先: Exchange Server 2010 SP2, Exchange Server 2010 SP3

トピックの最終更新日: 2016-11-28

Microsoft Exchange Server 2010 は、すべての構成情報および受信者情報を Active Directory ディレクトリ サービス データベースに格納します。Exchange 2010 を実行しているコンピューターで受信者に関する情報や Exchange 組織の構成に関する情報が必要な場合、Active Directory に対してクエリを実行して情報にアクセスする必要があります。Exchange 2010 が正常に機能するためには、Active Directory サーバーが利用可能である必要があります。

ここでは、Active Directory へのアクセスを計画できるように、Exchange 2010 で Active Directory に情報を格納する方法、およびこのデータベースから情報を取得する方法について説明します。ここではまた、削除した Exchange 2010 Active Directory オブジェクトを回復しようとする際に理解しておく必要がある問題について説明します。

Active Directory に格納される Exchange の情報

Active Directory データベースは、以下で説明する 3 種類の論理的なパーティションに情報を格納します。

  • スキーマ パーティション

  • 構成パーティション

  • ドメイン パーティション

スキーマ パーティション

スキーマ パーティションは 2 種類の情報を格納します。スキーマのクラスおよびスキーマの属性です。スキーマ クラスは、Active Directory で作成および格納されるすべての種類のオブジェクトを定義します。スキーマ属性は、Active Directory に格納されるオブジェクトを記述するために使用可能なすべてのプロパティを定義します。

フォレストに初めて Exchange 2010 サーバーの役割をインストールするとき、または Active Directory 準備処理を実行するときに、Active Directory 準備処理によって多数のクラスおよび属性が Active Directory スキーマに追加されます。スキーマに追加されたクラスは、エージェントやコネクタなどの Exchange 固有のオブジェクトを作成するために使用されます。スキーマに追加された属性は、Exchange 固有のオブジェクト、およびメールが有効なユーザーとグループを構成するために使用されます。これらの属性には、MicrosoftOffice Outlook Web Access の設定および MicrosoftExchange ユニファイド メッセージング (UM) の設定などのプロパティが含まれます。フォレスト内のすべてのドメイン コントローラーおよびグローバル カタログ サーバーには、スキーマ パーティションの完全なレプリカが格納されます。

Exchange 2010 でのスキーマの変更の詳細については、「Exchange 2010 Active Directory スキーマの変更点」を参照してください。

構成パーティション

構成パーティションには、フォレスト全体の構成に関する情報が格納されます。この構成情報には、Active Directory サイトの構成、Exchange のグローバル設定、トランスポート設定、メールボックス ポリシー、および UM ダイヤル プランが含まれます。それぞれの種類の構成情報が構成パーティションのコンテナーに格納されます。Exchange 構成情報は、構成パーティションの Services コンテナーの下のサブフォルダーに格納されます。このコンテナーには以下の情報が格納されます。

  • アドレス一覧

  • アドレス テンプレートおよび表示テンプレート

  • 管理グループ

  • クライアント アクセス設定

  • 接続

  • メッセージング レコード管理、モバイル、および UM メールボックスの各ポリシー

  • グローバル設定

  • 電子メール アドレス ポリシー

  • システム ポリシー

  • トランスポート設定

フォレスト内のすべてのドメイン コントローラーおよびグローバル カタログ サーバーには、構成パーティションの完全なレプリカが格納されます。

ドメイン パーティション

ドメイン パーティションでは、既定のコンテナー内、および Active Directory 管理者が作成した組織単位内に情報が格納されます。これらのコンテナーには、ドメイン固有のオブジェクトが格納されます。このデータには、Exchange システム オブジェクト、およびドメイン内のコンピューター、ユーザー、およびグループに関する情報が含まれます。Exchange 2010 をインストールすると、Exchange の機能をサポートするために、Exchange によってこのパーティション内のオブジェクトが更新されます。この機能は、受信者情報の格納方法およびアクセス方法に影響します。

各ドメイン コントローラーには、権限のあるドメインのドメイン パーティションの完全なレプリカが格納されます。フォレスト内のすべてのグローバル カタログ サーバーには、フォレスト内のすべてのドメイン パーティション内の情報のサブセットが格納されます。

Exchange 2010 で Active Directory の情報にアクセスする方法

Exchange 2010 では、Active Directory API を使用して、Active Directory に格納されている情報にアクセスします。Active Directory トポロジ サービスは、すべての Exchange 2010 サーバーの役割で実行されます。このサービスは、すべての Active Directory パーティションから情報を読み取ります。取得したデータはキャッシュされ、組織内のすべての Exchange サービスの Active Directory サイトの場所を検出するために Exchange 2010 サーバーによって使用されます。トポロジおよびサービスの検出の詳細については、「電子メールのルーティング用に Active Directory サイトを使用する計画」を参照してください。

Exchange 2010 は、Exchange サーバーと同じサイトにあるディレクトリ サーバーとの通信を優先することによってネットワーク トラフィックを最適化する、Active Directory サイト対応のアプリケーションです。各 Exchange 2010 組織サーバーの役割は、Active Directory と通信して、受信者に関する情報および他の Exchange 2010 サーバーの役割に関する情報を取得する必要があります。各サーバーの役割が取得するデータについては、以下で説明します。

既定では、Exchange 2010 サーバーが開始するたびに、自分のサイト内に存在する、ランダムに選択されたドメイン コントローラーおよびグローバル カタログ サーバーにバインドされます。選択されているディレクトリ サーバーは、Exchange 管理コンソールで Exchange 2010 サーバーのプロパティを参照するか、または Exchange 管理シェルで Get-ExchangeServer コマンドレットを使用することで確認できます。また、Set-ExchangeServer コマンドレットを使用して、Exchange 2010 サーバーがバインドされるドメイン コントローラーの静的な一覧や、除外されるドメイン コントローラーの一覧を構成することもできます。

重要

Windows Server 2008 のドメイン コントローラーは、読み取り専用のディレクトリ サーバーとして構成可能です。この構成は、リモート サイトに認証および承認の目的でドメイン コントローラーやグローバル カタログ サーバーを展開し、ただしそのサイトの管理者が Active Directory に変更を書き込めないようにする場合に便利です。ただし、読み取り専用のディレクトリ サーバーしか存在しないサイトには、Exchange 2010 サーバーを展開することはできません。

ハブ トランスポート サーバーの役割

ハブ トランスポート サーバーの役割は、メッセージ分類を実行する場合に Active Directory に問い合わせます。カテゴライザーは、受信者の参照およびルーティングの解決を実行するために、Active Directory に対してクエリを実行する必要があります。受信者の参照中にカテゴライザーが取得する情報には、受信者のメールボックスの場所および受信者に適用される制限またはアクセス許可が含まれます。また、カテゴライザーは、配布リストのメンバーシップを展開したり、動的配布リストへのメール送信時に必要な LDAP (ライトウェイト ディレクトリ アクセス プロトコル) クエリ処理を実行する場合も、Active Directory に対してクエリを実行する必要があります。

ルーティングの解決中に、カテゴライザーは Active Directory トポロジ サービスによってキャッシュされたトポロジ情報を使用して、メッセージのルーティング パスを検出します。ハブ トランスポート サーバーは、Active Directory サイトの構成情報を使用して、トポロジ内の他のサーバーおよびコネクタの場所を特定します。

ハブ トランスポート サーバーは受信者のメールボックスの場所を解決すると、Active Directory サイト情報を使用してメールボックス ストアを見つけます。メールボックス ストアがハブ トランスポート サーバーと同じ Active Directory サイトにある場合、ハブ トランスポート サーバーはメッセージをユーザーのメールボックスに直接配信します。メールボックス ストアがハブ トランスポート サーバーと異なる Active Directory サイトにある場合、ハブ トランスポート サーバーはメッセージをリモート Active Directory サイトのハブ トランスポート サーバーに配信します。

ハブ トランスポート サーバーは、すべての構成情報を Active Directory に格納し、Active Directory にアクセスしてこの情報を取得します。構成情報には、トランスポート ルール、ジャーナル ルール、およびコネクタの詳細が含まれます。

クライアント アクセス サーバーの役割

クライアント アクセス サーバーの役割は、Outlook Web App (POP3、IMAP4、または MicrosoftExchange ActiveSync) を使用してメールボックスにアクセスするユーザーのインターネットからの接続を受信します。ユーザー接続を受信すると、クライアント アクセス サーバーは Active Directory に問い合わせて、ユーザーの認証およびユーザーのメールボックス サーバーの場所の特定を行います。ユーザーのメールボックス サーバーがクライアント アクセス サーバーと同じ Active Directory サイトにある場合、ユーザーはメールボックスに直接接続されます。ユーザーのメールボックス サーバーが、最初の接続を受信したクライアント アクセス サーバーと異なる Active Directory サイトにある場合、接続はリモート Active Directory サイトのクライアント アクセス サーバーにリダイレクトされます。

ユニファイド メッセージング サーバーの役割

ユニファイド メッセージング サーバーの役割は、Active Directory にアクセスして、ダイヤル プラン、IP ゲートウェイ、およびハント グループなどのグローバル構成情報を取得します。ユニファイド メッセージング サーバーはメッセージを受信すると、Active Directory の受信者を検索して、電話番号を受信者アドレスと照合します。ユニファイド メッセージング サーバーは、この情報を解決すると、受信者のメールボックス ストアの場所を特定し、メールボックスにルーティングするためにハブ トランスポート サーバーにメッセージを送信できます。

メールボックス サーバーの役割

メールボックス サーバーの役割は、メールボックス ユーザーに関する構成情報を Active Directory に格納します。また、エージェント、アドレス一覧、およびポリシーの構成も Active Directory に格納されます。メールボックス サーバーは、この情報を取得して、メールボックス ポリシーおよびグローバル設定を適用します。

エッジ トランスポート サーバーの役割

エッジ トランスポート サーバーの役割は境界ネットワークに展開されます。このサーバーの役割はドメインのメンバーではありません。エッジ トランスポート サーバーには Active Directory へのアクセス権がないので、Active Directory Lightweight Directory サービス (AD LDS、以前は Active Directory Application Mode または ADAM と呼ばれていました) を使用してスキーマと構成情報を格納します。エッジ サブスクリプションを作成して、エッジ トランスポート サーバーに Active Directory サイトを購読させることができます。その Active Directory サイト内のハブ トランスポート サーバーは、Microsoft Exchange EdgeSync サービスを使用して Active Directory データを AD LDS に同期します。

エッジ トランスポート サーバーごとにエッジ サブスクリプションを作成することをお勧めします。このプロセスにより、エンド ツー エンドのメール フローに必要な送信コネクタが自動的に準備されます。受信者の参照またはスパム対策のセーフ リスト集約機能を使用する場合は、エッジ サブスクリプションを作成する必要があります。

削除された Exchange オブジェクトの回復

Active Directory ごみ箱を利用すると、誤って削除された Active Directory オブジェクトを保持および復元する機能が強化され、バックアップから Active Directory データを復元したり、Active Directory ドメイン サービス (AD DS) を再起動したり、ドメイン コントローラーを再起動したりする必要がなくなり、ディレクトリ サービスのダウンタイムを最小限に抑えることができます。

削除された Exchange 関連の Active Directory オブジェクトの回復方法について理解するうえで最も重要な点は、Exchange オブジェクトが単独では存在しないことです。たとえば、ユーザーの電子メールを有効にする場合、現在の Exchange 構成に基づいて、ユーザーに対するさまざまな異なるポリシーおよびリンクが計算されます。削除された Exchange 構成または受信者オブジェクトを復元する際に起こる可能性のある 2 つの問題は次のとおりです。

  • 競合   一部の Exchange 属性はフォレスト全体で一意である必要があります。たとえば、プロキシ (電子メール) アドレスは異なる 2 人のユーザーで同じであってはいけません。Active Directory はプロキシ アドレスの一意性を強制しませんが、Exchange 管理ツールは一意性を確認します。Exchange 電子メール アドレス ポリシーはまた、確定的なルールに基づいてプロキシ アドレス割り当てで発生する可能性のある競合を自動的に解決します。したがって、Exchange ユーザー オブジェクトを復元することは可能であり、その結果、プロキシ アドレスで競合を作成するか、または一意である必要があるその他の属性を作成します。

  • 構成の誤り   Exchange には、さまざまなポリシーや設定を割り当てる自動化されたルールがあります。受信者を削除してからルールまたはポリシーを変更する場合、Exchange ユーザー オブジェクトを復元すると、ユーザーが誤ったポリシー (または既に存在しないポリシー) に割り当てられる結果となります。

次のガイドラインに従うことで、削除された Exchange 関連のオブジェクトを復元する際の問題を最小限に抑えることができます。

  • Exchange 管理ツールを使用して Exchange 構成オブジェクトを削除した場合は、オブジェクトを復元しないでください。その代わり、Exchange 管理ツール (Exchange 管理コンソールまたは Exchange 管理シェル) を使用してオブジェクトを再作成します。

  • Exchange 管理を使用せずに Exchange 構成オブジェクトを削除した場合は、できるだけ速やかにそれらを復元してください。削除以降にシステムに対して管理および構成変更が行われていればいるほど、オブジェクトの復元によって誤った構成が発生する可能性が高くなります。

  • 削除された Exchange 受信者 (連絡先、ユーザー、または配布グループ) を復元する場合、回復したオブジェクトに関連する競合およびエラーを注意深く監視します。受信者に関連する Exchange ポリシーまたはその他の構成が削除以降に変更された可能性がある場合、受信者が正しく構成されるように、復元した受信者に現在のポリシーを再適用します。

Active Directory ごみ箱の使用についての詳細は、「Active Directory ごみ箱の手順ガイド」を参照してください。

 © 2010 Microsoft Corporation.All rights reserved.