プロキシとリダイレクトについて
適用先: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007
トピックの最終更新日: 2008-03-14
Microsoft Exchange Server 2007 組織内で、クライアント アクセス サーバーの役割がインストールされた Exchange 2007 を実行しているコンピュータは、組織内にある他のクライアント アクセス サーバーのプロキシとして機能できます。これは、組織内の異なる Active Directory サイトに複数のクライアント アクセス サーバーが存在し、すべての Active Directory サイトがインターネットに公開されているわけではない場合に役立ちます。
クライアント アクセス サーバーは、Microsoft Office Outlook Web Access URL のリダイレクトを実行することもできます。リダイレクトは、ユーザーがメールボックス サーバーと同じ Active Directory サイト内にない、インターネットに直接接続されているクライアント アクセス サーバーに接続する場合に役立ちます。
.gif "note") 注 : |
|---|
| 組織内に複数の Active Directory サイトがない場合は、プロキシまたはリダイレクト用に Exchange 2007 を構成する必要はありません。 |
| 注 : |
|---|
| インターネットに公開されていないクライアント アクセス サーバーには、個別の Secure Sockets Layer (SSL) 証明書は必要ありません。Exchange 2007 と共に既定でインストールされる自己署名入りの証明書を使用できます。詳細については、「Exchange 2007 での自己署名入りの証明書について」を参照してください。 |
クライアント アクセス サーバーをプロキシとリダイレクト用に構成するには、さまざまなクライアント アクセス プロトコルへのアクセスに使用される仮想ディレクトリで 2 つのプロパティを変更する必要があります。この 2 つのプロパティは次のとおりです。
- InternalURL このプロパティには、仮想ディレクトリのイントラネット URL が含まれます。セットアップ時に自動的に構成されます。ほとんどのインストールでは、InternalURL 値を変更する必要はありません。
- ExternalURL このプロパティには、仮想ディレクトリのインターネット URL が含まれます。この値は、DNS で公開されており、構成に応じて手動で構成する必要があります。
ここでは、プロキシとリダイレクトの概要、使用する状況、および各シナリオでのクライアント アクセス サーバーの構成方法について説明します。
プロキシの概要
Microsoft Exchange Server 2003 では、フロントエンド サーバーは HTTP 経由でバックエンド サーバーと通信します。Exchange 2007 で、クライアント アクセス サーバーは RPC 経由でメールボックス サーバーと通信します。メールボックス サーバーを含む各 Active Directory サイトには、Exchange 2007 クライアント アクセス サーバーが必要です。1 つのクライアント アクセス サーバーが別のクライアント アクセス サーバーにトラフィックを送信するときにプロキシが発生します。Exchange 2007 クライアント アクセス サーバーは、次の 2 つの状況で要求を転送できます。
- Exchange 2007 クライアント アクセス サーバー間 2 つの Exchange 2007 クライアント アクセス サーバー間で要求を転送することにより、複数の Active Directory サイトのある組織で、1 つ以上のクライアント アクセス サーバーをインターネットに直接接続されたサーバーとして指定し、そのサーバーがサイト内のインターネット プレゼンスを持たないクライアント アクセス サーバーに要求を転送するようにできます。インターネットに直接接続されたクライアント アクセス サーバーは、受信者のメールボックスと同じサイトのクライアント アクセス サーバーに受信要求を転送します。これは、CAS-CAS プロキシと呼ばれます。
- Exchange 2007 クライアント アクセス サーバーと Exchange 2003 サーバー間 \Exchange 仮想ディレクトリを使用して Outlook Web Access に接続する、または \Microsoft-Server-ActiveSync 仮想ディレクトリを使用して Microsoft Exchange ActiveSync に接続する外部クライアントの要求は、適切な Exchange 2003 バックエンド サーバーに転送されます。
プロキシは、Outlook Web Access、Exchange ActiveSync、および Exchange Web サービスを使用するクライアントでサポートされています。転送先のクライアント アクセス サーバーで転送元のクライアント アクセス サーバーと同じバージョンの Exchange Server または以前のバージョンが実行されている場合に、クライアント アクセス サーバーから別のクライアント アクセス サーバーへのプロキシがサポートされます。ただし、Exchange Web サービスは、Exchange Server 2007 SP1 を実行しているサーバーから、元のリリース (RTM) バージョンの Exchange 2007 を実行しているサーバーには転送できません。これは、RTM バージョンの Exchange 2007 が Exchange Web サービスのプロキシをサポートしていなかったためです。次の図は、複数のクライアント アクセス サーバーや複数のメールボックス サーバーがある組織でのプロキシのしくみを示しています。
| 注 : |
|---|
| 各 Exchange 組織では、少なくとも 1 つのクライアント アクセス サーバーをインターネットに直接接続する必要があります。インターネット プレゼンスを持たないクライアント アクセス サーバーは、独自のインターネット ホスト名を持つ必要はありません。このようなクライアント アクセス サーバーは、インターネットに直接接続されたクライアント アクセス サーバーを使用して、外部クライアントからのすべての関連要求を転送します。 |
| 注 : |
|---|
| プロキシは、POP3 (Post Office Protocol Version 3) または IMAP4 (インターネット メッセージ アクセス プロトコル Version 4rev1) クライアントに対しては機能しません。POP3 または IMAP4 を使用するクライアントは、メールボックス サーバーと同じ Active Directory サイト内のクライアント アクセス サーバーに接続する必要があります。 |
.gif "クライアント アクセス サーバーのリダイレクトとプロキシ")
前の図で、ユーザー 1 のメールボックスは、メールボックス サーバー 01 にあります。ユーザー 2 のメールボックスはメールボックス サーバー 02 にあり、ユーザー 3 のメールボックスはメールボックス サーバー 03 にあります。ユーザー 1 は、プロキシを使用することなく、クライアント アクセス サーバー 01 を介してメールボックスにアクセスできます。ユーザー 1 が Exchange ActiveSync を使用してクライアント アクセス サーバー 02 にアクセスしようとした場合、メールボックスに対する適切なクライアント アクセス サーバーはクライアント アクセス サーバー 01 であるため、エラーが返されます。Outlook Web Access を使用してクライアント アクセス サーバー 02 にアクセスしようとすると、クライアント アクセス サーバー 01 (メールボックスサーバーと同じサイトに置かれているクライアント アクセス サーバー) の URL を含むメッセージがブラウザに表示されます。このプロセスは、リダイレクトと呼ばれます。ユーザー 3 がクライアント アクセス サーバー 02 にアクセスしようとすると、このサーバーは要求をクライアント アクセス サーバー 03 に転送します。クライアント アクセス サーバー 03 はインターネットに直接接続されていませんが、ファイアウォールの内側にある他のサーバーから要求を受信できます。プロキシはユーザーには認識されません。
| 注 : |
|---|
| 異なるサイトにあるクライアント アクセス サーバー間の通信は、Secure HTTP (HTTPS) 経由で行われます。 |
Exchange ActiveSync のプロキシ
次のシナリオは、モバイル デバイスを使用して CAS-01 という Exchange 2007 クライアント アクセス サーバーに接続するユーザーの受信要求がどのように処理されるかを示しています。
クライアント アクセス サーバーは、Active Directory ディレクトリ サービスに対してクエリを実行して、ユーザーのメールボックスの場所およびメールボックス サーバー上にインストールされている Microsoft Exchange のバージョンを判断します。メールボックス サーバーの役割がインストールされた Exchange 2007 コンピュータ上にユーザーのメールボックスがある場合は、手順 3. に進みます。
ユーザーのメールボックスが Exchange 2003 サーバーにある場合、受信要求はユーザーのメールボックスと Exchange ActiveSync 仮想ディレクトリをホストする Exchange 2003 サーバーに転送されます。Exchange 2003 では、既定で Exchange ActiveSync 仮想ディレクトリがすべてのメールボックス サーバーにインストールされました。受信要求が転送先のバックエンド サーバーとは異なる Active Directory サイトにある Exchange 2007 クライアント アクセス サーバー宛ての場合、転送先の Active Directory サイト内に Exchange 2007 クライアント アクセス サーバーがあっても、要求は転送先のバックエンド サーバーに直接転送されます。受信要求が転送先のバックエンド サーバーと同じ Active Directory サイトにある Exchange 2007 クライアント アクセス サーバー宛ての場合、要求は転送先のバックエンド サーバーに直接転送されます。
注 :Exchange 2003 サーバーにメールボックスを持つユーザーが、Exchange 2007 クライアント アクセス サーバー経由で Exchange ActiveSync を使おうとすると、Exchange 2003 サーバーの Microsoft-Server-ActiveSync 仮想ディレクトリで統合 Windows 認証が有効になっていない限り、エラーが発生し、同期は行えません。これによって、Exchange 2007 クライアント アクセス サーバーと Exchange 2003 バックエンド サーバーは Kerberos 認証を使用して互いに通信することができます。 ユーザーのメールボックスが Exchange 2007 メールボックス サーバーにある場合、CAS-01 は、ユーザーのメールボックス サーバーと同じ Active Directory サイト内のクライアント アクセス サーバーを検索します。ユーザーのメールボックス サーバーにより近いクライアント アクセス サーバーがある場合、Exchange 2007 は、クライアント アクセス サーバーの InternalURL プロパティが正しく構成されているかどうか、および認証方法が統合 Windows 認証であるかどうかを確認します。これらのことが確認された場合、ユーザーは、InternalURL プロパティで指定されたクライアント アクセス サーバーに転送されます。それ以外の場合、要求は拒否されます。要求が拒否された場合は、モバイル デバイスにエラー コードが返されます。転送先のクライアント アクセス サーバーの Microsoft-Server-ActiveSync 仮想ディレクトリで ExternalURL プロパティが構成されている場合は、HTTP エラー コード 451 が返されます。
.gif "important")
重要 :基本認証を使用する仮想ディレクトリ間ではプロキシはサポートされません。異なるサーバー上にある仮想ディレクトリ間でクライアント通信を転送するには、仮想ディレクトリが Windows 認証を使用している必要があります。
Outlook Web Access のプロキシ
次のシナリオは、Outlook Web Access を使用して CAS-01 という Exchange 2007 クライアント アクセス サーバーに接続するユーザーの受信要求がどのように処理されるかを示しています。
- クライアント アクセス サーバーは、Active Directory に対してクエリを実行して、ユーザーのメールボックスの場所およびメールボックス サーバー上にインストールされている Microsoft Exchange のバージョンを判断します。ユーザーのメールボックスが Exchange 2007 メールボックス サーバーにある場合は、手順 3. に進みます。
- ユーザーのメールボックスが Exchange 2003 サーバーにあり、ユーザーが https://domain name/owa を使用して Outlook Web Access にアクセスしようとした場合は、エラーが返されます。ユーザーが https://domain name/exchange または https://domain name/public にアクセスしようとした場合、受信要求は、ユーザーのメールボックスと Outlook Web Access 仮想ディレクトリをホストする Exchange 2003 サーバーに転送されます。受信要求が転送先のバックエンド サーバーとは異なる Active Directory サイトにある Exchange 2007 クライアント アクセス サーバー宛ての場合は、転送先の Active Directory サイト内に Exchange 2007 クライアント アクセス サーバーがあっても、要求は転送先のバックエンド サーバーに直接転送されます。受信要求が転送先のバックエンド サーバーと同じ Active Directory サイトにある Exchange 2007 クライアント アクセス サーバー宛ての場合、要求は転送先のバックエンド サーバーに直接転送されます。この場合、手順 3. を省略します。
- ユーザーのメールボックスが Exchange 2007 メールボックス サーバーにある場合、CAS-01 は、ユーザーのメールボックス サーバーと同じ Active Directory サイト内にあるクライアント アクセス サーバーを検索します。クライアント アクセス サーバーが見つかった場合、Exchange 2007 は、クライアント アクセス サーバーで InternalURL プロパティが正しく構成されているかどうか、および仮想ディレクトリの認証方法が統合 Windows 認証に設定されているかどうかを確認します。次に、CAS-01 は外部 URL が指定されているかどうかを確認します。外部 URL が指定されている場合、ユーザーは、ExternalURL プロパティで指定されているサーバーにリダイレクトされます。外部 URL が指定されていない場合、CAS-01 は、InternalURL プロパティで指定されているクライアント アクセス サーバーにユーザーの要求を転送します。注 :
内部 URL は、Exchange 2007 セットアップ時に自動的に構成されます。ExternalURL プロパティの既定値は $nullです。インターネットに直接接続されているクライアント アクセス サーバーには、ExternalURL プロパティを Active Directory サイトの DNS で公開されている値に設定する必要があります。インターネット プレゼンスを持たないクライアント アクセス サーバーでは、ExternalURL プロパティを構成する必要はありません。
Web サービスのプロキシ
次のシナリオは、Exchange Web サービスを使用して CAS-01 という Exchange 2007 クライアント アクセス サーバーに接続するユーザーの受信要求がどのように処理されるかを示しています。
- クライアント アクセス サーバーは、Active Directory に対してクエリを実行して、ユーザーのメールボックスの場所およびメールボックス サーバー上にインストールされている Microsoft Exchange のバージョンを判断します。ユーザーのメールボックスが Microsoft Exchange Server 2003 を実行しているサーバーに置かれている場合、プロキシは実行できず、要求は失敗します。ユーザーのメールボックスが Exchange 2007 Service Pack 1 (SP1) を実行しているサーバー上にある場合、手順 2. に進みます。ユーザーのメールボックスが RTM バージョンの Exchange 2007 を実行しているサーバーに置かれている場合、要求は失敗します。
- Exchange Web サービス要求が CAS-01 に到達すると、Exchange Web サービスは要求を処理し、ユーザーのメールボックス サーバーを含むサイトに転送します。Exchange Web サービスは、複数のユーザーに対する単一の要求をサポートできます。受信要求に複数のユーザーが含まれている場合、これらのユーザーのメールボックスは同じ Active Directory サイトにある必要があります。異なる Active Directory サイトにいる複数ユーザーに対する単一の要求は、可用性サービス以外の Web サービスではサポートされません。ユーザーのメールボックスが Exchange 2007 SP1 クライアント アクセス サーバーを含むサイトの Exchange 2007 メールボックス サーバーに置かれている場合、CAS-01 は転送先の Active Directory サイトに要求を転送します。注 :
InternalURL プロパティおよび NLBByPassURL プロパティは、Exchange 2007 セットアップ中に自動的に構成されます。インターネット プレゼンスを持たないクライアント アクセス サーバーでは、ExternalURL プロパティを $nullに設定する必要があります。
プロキシの構成
クライアント アクセス サーバーがインターネットに直接接続されている場合は、Exchange 管理コンソールまたは Exchange 管理シェルを使用して Exchange ActiveSync および Outlook Web Access の仮想ディレクトリの ExternalURL プロパティを設定します。InternalURL プロパティは、Exchange 2007 の最初のセットアップ時に自動的に構成され、変更する必要はほとんどありません。ExternalURL プロパティには、DNS で Exchange 組織用に登録されている、https://www.contoso.com/owa などの Outlook Web Access 用の URL を含める必要があります。次の表は、www.contoso.com という名前の Exchange 組織用のインターネットに直接接続されたクライアント アクセス サーバーの適切な ExternalURL および InternalURL プロパティ値を示しています。2 番目の表は、www.contoso.com の 2 番目の Active Directory サイトにあるインターネットに直接接続されていないクライアント アクセス サーバーの適切な ExternalURL プロパティ値および InternalURL プロパティ値を示しています。これらの仮想ディレクトリではすべて、認証方法を統合 Windows 認証に構成する必要があります。他の基本認証を使用する仮想ディレクトリではプロキシはサポートされません。
| 注 : |
|---|
| 新しい Outlook Web Access 仮想ディレクトリが Exchange 管理シェルを使用して作成される場合は、これらの仮想ディレクトリで InternalURL プロパティを手動で構成する必要があります。 |
インターネットに直接接続されたクライアント アクセス サーバーのプロキシの InternalURL および ExternalURL 設定
| Exchange 2007 サービス | InternalURL 設定 | ExternalURL 設定 |
|---|---|---|
Outlook Web Access |
https://コンピュータ名/OWA |
https://www.contoso.com/OWA |
Exchange ActiveSync |
https://コンピュータ名/Microsoft-Server-ActiveSync |
https://www.contoso.com/Microsoft-Server-ActiveSync |
Exchange Web サービス |
https://コンピュータ名/EWS |
https://www.contoso.com/EWS/exchange.asmx |
インターネットに直接接続していないクライアント アクセス サーバーのプロキシ InternalURL および ExternalURL 設定
| Exchange 2007 サービス | InternalURL 設定 | ExternalURL 設定 |
|---|---|---|
Outlook Web Access |
https://コンピュータ名/OWA |
|
Exchange ActiveSync |
https://コンピュータ名/Microsoft-Server-ActiveSync |
|
Exchange Web サービス |
https://コンピュータ名/EWS |
|
仮想ディレクトリを構成する方法の詳細については、以下のトピックを参照してください。
リダイレクトの概要
Outlook Web Access ユーザーが自身のメールボックスが含まれているサイトとは異なる Active Directory サイト内にあるインターネットに直接接続されたクライアント アクセス サーバーにアクセスすると、自身のメールボックス サーバーと同じサイト内にあるクライアント アクセス サーバーがインターネットに直接接続されている場合はそのクライアント アクセス サーバーにリダイレクトされます。Outlook Web Access ユーザーが自身のメールボックス サーバーが含まれている Active Directory サイトの外側にあるクライアント アクセス サーバーに接続しようとすると、自身のメールボックスに対する正しいクライアント アクセス サーバーへのリンクが記載された Web ページが表示されます。
次の図は、複数の Active Directory サイト内に複数のクライアント アクセス サーバーがある組織内でのリダイレクトのしくみを示しています。
.gif "Outlook Web Access のリダイレクト")
前の図で、ユーザー 1 のメールボックスは、メールボックス サーバー 01 にあります。ユーザー 2 のメールボックスはメールボックス サーバー 02 にあり、ユーザー 3 のメールボックスはメールボックス サーバー 03 にあります。ユーザー 1 は、リダイレクトを使用することなく、クライアント アクセス サーバー 01 を介してメールボックスにアクセスできます。ユーザー 1 がクライアント アクセス サーバー 02 にアクセスしようとした場合は、クライアント アクセス サーバーの正しい URL を含むメッセージがブラウザに表示されます。ユーザーは、クライアント アクセス サーバーの Outlook Web Access URL をクリックするよう求められます。ユーザーは自動的にリダイレクトされません。ユーザー 3 がクライアント アクセス サーバー 02 にアクセスしようとすると、このサーバーは要求をクライアント アクセス サーバー 03 に転送します。クライアント アクセス サーバー 03 はインターネットに直接接続されていませんが、ファイアウォール内にある他のサーバーから要求を受信できます。プロキシはユーザーには認識されません。
| 注 : |
|---|
| リダイレクトは、Outlook Web Access を使用するクライアントでのみサポートされます。Exchange ActiveSync、POP3、および IMAP4 を使用するクライアントはリダイレクトを使用できません。Web サービスを使用するクライアントは、自動検出サービスを使用して、クライアント アクセス サーバーの正しい設定を判断します。 |
| 注 : |
|---|
| Exchange 2007 をインストールすると、Outlook Web Access 用の次の 4 つの仮想ディレクトリが作成されます。owa、Exchange、Public、および ExchWeb。owa 仮想ディレクトリは、Exchange 2007 メールボックスへのアクセスを提供します。Exchange および Public 仮想ディレクトリは、Exchange 2003 メールボックスへのアクセスを提供します。Exchange 2003 サーバーにメールボックスがあるユーザーが https://サーバー名/owa を使用してログオンすると、メールボックスが Exchange 2003 サーバーにあることを示すエラーが返されます。これらのユーザーは、Exchange 仮想ディレクトリを使用する必要があります。これらのユーザーが https://サーバー名/Exchange を使用してログオンする場合、Exchange 2007 クライアント アクセス サーバーは Exchange 2003 メールボックス サーバーに要求を転送します。メールボックスが Exchange 2007 にあるユーザーが https://サーバー名/owa を使用して Outlook Web Access にアクセスする場合は、自身のメールボックスに直接アクセスできます。これらのユーザーが https://サーバー名/Exchange を使用して Outlook Web Access にログオンすると、https://サーバー名/owa にリダイレクトされます。 |
リダイレクトの構成
クライアント アクセス サーバーがインターネットに直接接続されている場合は、Exchange 管理コンソールまたは Exchange 管理シェルを使用して Outlook Web Access の仮想ディレクトリの ExternalURL プロパティを設定します。InternalURL プロパティは、Exchange 2007 の最初のセットアップ時に自動的に構成され、変更する必要はほとんどありません。以下の 2 つの表は、Contoso の 2 つの Active Directory サイトにあるクライアント アクセス サーバーの ExternalURL および InternalURL 設定を示しています。2 つのサイトは、www.usa.contoso.com と www.europe.contoso.com です。
| 注 : |
|---|
| 新しい Outlook Web Access 仮想ディレクトリが Exchange 管理シェルを使用して作成される場合は、これらの仮想ディレクトリで InternalURL プロパティを手動で構成する必要があります。 |
Outlook Web Access 仮想ディレクトリを管理する方法の詳細については、「Exchange 2007 での Outlook Web Access 仮想ディレクトリの管理」を参照してください。
usa.contoso.com サイト内のインターネットに直接接続されたクライアント アクセス サーバーのリダイレクトの InternalURL および ExternalURL 設定
| Exchange 2007 サービス | InternalURL 設定 | ExternalURL 設定 |
|---|---|---|
Outlook Web Access |
https://コンピュータ名/OWA |
https://www.usa.contoso.com/OWA |
europe.contoso.com サイト内のインターネットに直接接続されたクライアント アクセス サーバーのリダイレクトの InternalURL および ExternalURL 設定
| Exchange 2007 サービス | InternalURL 設定 | ExternalURL 設定 |
|---|---|---|
Outlook Web Access |
https://コンピュータ名/OWA |
https://www.europe.contoso.com/OWA |
リダイレクトの無効化
組織にインターネットに直接接続された Active Directory サイトが複数あり、これらのいずれかのサイトへのインターネット接続が無効になっている場合は、リダイレクトを一時的に無効にし、代わりにプロキシを使用するように Outlook Web Access を構成することができます。問題のあったサイト内のインターネット接続が回復された後で、リダイレクトを元に戻すことができます。次の構文で Set-OWAVirtualDirectory コマンドレットを使用して、リダイレクトを無効にすることができます。
set-owavirtualdirectory "owa (default web site)" -RedirectToOptimalOWAServer $false
リダイレクトを復元するには、同じコマンドレットを使用して、RedirectToOptimalOWAServer パラメータを $true に変更します。
ネットワーク負荷分散によるプロキシ
複数の Active Directory サイトがあり、各サイト内に複数のクライアント アクセス サーバーがある組織では、ネットワーク負荷分散 (NLB) を使用して、各サイト内のクライアント アクセス サーバー間でトラフィックを分散し、フェールオーバーによる冗長性を実現できます。同じ負荷分散アレイ内の異なる Active Directory サイトのクライアント アクセス サーバーは組み込めません。インターネットに直接接続された Active Directory サイトおよびインターネットに直接接続されていない Active Directory サイトで NLB を展開できます。次の図は、NLB を実装する 2 つの Active Directory サイトを示しています。
.gif "ネットワーク負荷分散を使用するプロキシ")
次の表は、インターネットに直接接続された Active Directory サイト www.contoso.com 用のクライアント アクセス サーバー CAS-01 および CAS-02 上の仮想ディレクトリの設定を示しています。
NLB を使用する組織にあるインターネットに直接接続されたクライアント アクセス サーバーの仮想ディレクトリ設定
| 仮想ディレクトリ | InternalURL 設定 | ExternalURL 設定 | 認証方法 |
|---|---|---|---|
/OWA |
https://コンピュータ名/OWA |
https://www.contoso.com/OWA |
Internet Security and Acceleration (ISA) Server コンピュータでフォーム ベース認証が使用されている場合は、Outlook Web Access は統合 Windows 認証を使用する必要があります。ISA Server コンピュータで認証が処理されない場合、フォーム ベース認証を使用するように Outlook Web Access を構成する必要があります。 |
/OAB |
https://コンピュータ名/OAB |
https://www.contoso.com/OAB |
統合 Windows 認証 |
/UnifiedMessaging |
https://コンピュータ名/UnifiedMessaging |
https://www.contoso.com/UnifiedMessaging |
統合 Windows 認証 |
/Microsoft-Server-ActiveSync |
https://コンピュータ名/Microsoft-Server-ActiveSync |
https://www.contoso.com/Microsoft-Server-ActiveSync |
統合 Windows 認証 |
/EWS |
https://コンピュータ名/EWS |
https://www.contoso.com/EWS |
統合 Windows 認証 |
注 ファイアウォールを構成する場合は、プロキシが Exchange Web サービスおよび Outlook Web Access を引き継ぐように IP の類似性を構成する必要があります。IP の類似性により、あるコンピュータから発信される要求を常に同じ転送先コンピュータに転送することができます。
インターネットに直接接続されていない Active Directory サイトには、CAS-03、CAS-04、および CAS-05 の 3 つのサーバーがあります。次の表は、3 つのサーバーすべての仮想ディレクトリの設定を示しています。
NLB を使用する組織にあるインターネットに直接接続されていないクライアント アクセス サーバーの仮想ディレクトリ設定
| 仮想ディレクトリ | InternalURL 設定 | ExternalURL 設定 | NLBBypassURL 設定 | 認証方法 |
|---|---|---|---|---|
/OWA |
https://コンピュータ名/OWA |
|
$Null |
統合 Windows 認証 |
/OAB |
https://NLBname/OAB |
|
$Null |
統合 Windows 認証 |
/UnifiedMessaging |
https://NLBname/UnifiedMessaging |
|
$Null |
統合 Windows 認証 |
/Microsoft-Server-ActiveSync |
https://NLBname/Microsoft-Server-ActiveSync |
|
$Null |
統合 Windows 認証 |
/EWS |
https://NLBname/EWS |
|
https://コンピュータ名/EWS |
統合 Windows 認証 |
| 注 : |
|---|
| Outlook Web Access および Exchange Web サービスの場合、Kerberos 認証も有効にする必要があります。 |
すべての仮想ディレクトリの ExternalURL プロパティを $Null に設定する必要があります。ExternalURL プロパティが $Null 以外の値に設定されている場合、インターネットに直接接続されていないクライアント アクセス サーバーはインターネットに公開されているかのように動作し、クライアントはこれらのサーバーに正常に接続できなったり、これらのサーバーにリダイレクトされなくなります。
Outlook Web Access および Exchange Web サービスの負荷分散の処理は可用性サービスおよび Exchange ActiveSync とは異なります。Outlook Web Access および Exchange Web サービスは、複数のクライアント アクセス サーバーを持つサイトに転送する場合、独自の負荷分散を実装します。ユーザーが https://www.contoso.com/owa を通じて Outlook Web Access にアクセスしようとし、CAS-01、CAS-02、および CAS-03 を含む、インターネットに直接接続されていない Active Directory サイトに転送される場合、CAS-01 に初めて転送されるユーザーは、CAS-02 の同時接続数が少ない場合でも、常に CAS-01 に転送されます。CAS-01 が使用できない場合、ユーザーは CAS-02 に転送されます。
| 注 : |
|---|
| Outlook Web Access および Exchange Web サービスの両方に対して、ファイアウォールで IP の類似性または Cookie ベースの類似性を構成する必要があります。このプロセスにより、特定のクライアント アプリケーションが毎回同じ IP アドレスに接続するようになります。これは、要求ごとに SSL ネゴシエーションが繰り返し実行されないようにするために必要です。 |
Exchange ActiveSync の場合、プロセスは異なります。インターネットに直接接続されたクライアント アクセス サーバーがインターネットに直接接続されてないクライアント アクセス サーバーに要求を転送するとき、接続はローカルの管理者アカウントに格納されている情報を使用して保持されます。この接続を他のユーザー要求で使用できます。ネットワーク負荷分散を使用する状況では、インターネットに直接接続された NLB 内のクライアント アクセス サーバーは、インターネットに直接接続されてない NLB 内のクライアント アクセス サーバーへの接続を確立します。接続の数は、接続先の Active Directory サイト内のクライアント アクセス サーバー数に等しくなります。NLB アレイ内でラウンドロビン負荷分散を実装することをお勧めします。
| 注 : |
|---|
| Active Directory サイトがインターネットに直接接続されている場合でも直接接続されていない場合でも、ネットワーク負荷分散を実装することをお勧めします。インターネットに直接接続されていない Active Directory サイトでネットワーク負荷分散を使用しない場合、サイト内のいずれかのクライアント アクセス サーバーが使用できなくなると、それまでそのクライアント アクセス サーバーに転送されていた Exchange ActiveSync クライアントは、クライアント アクセス サーバーが再び使用できるようになるまで失敗します。Exchange ActiveSync の同期状態は、クライアントのメールボックスに格納されます。このため、クライアントが最初に接続したときに CAS-02 に転送された場合、クライアントは接続するたびに CAS-02 に転送されます。 |
ネットワーク負荷分散の詳細については、Windows Server 2003 のドキュメントを参照してください。
| 注 : |
|---|
| 多くの展開では、クライアント アクセス サーバーの役割とハブ トランスポート サーバーの役割が同じコンピュータにインストールされます。このトポロジでは、クライアント アクセス サーバーの役割のネットワーク負荷分散をハブ トランスポート サーバーの役割とは別に構成できます。ネットワーク負荷分散は、現在のところ、ハブ トランスポート サーバーの役割ではサポートされません。ただし、クライアント アクセス サーバーの役割ではサポートされます。クライアント アクセス サーバーの役割のネットワーク負荷分散を構成し、ハブ トランスポート サーバーの役割に対しては構成しないようにするには、クライアント アクセス用にポート 80 とポート 443 を構成します。ハブ トランスポート サーバーの役割では、ソフトウェア内に独自の高可用性が実装されています。 |
クライアント アクセス方法の概要
次の表は、Exchange 2007 にアクセスするために使用されるプロトコルと、これらのプロトコルがプロキシとリダイレクトでどのように使用されるのかを示しています。
リダイレクトとプロキシのクライアント アクセス プロトコル
| プロトコル | Active Directory サイト間でサポートされるクライアント アクセス サーバーとメールボックス サーバーの通信 | クライアント アクセス サーバー間でサポートされるリダイレクト | クライアント アクセス サーバー間でサポートされるプロキシ | コメント |
|---|---|---|---|---|
Outlook Web Access |
不可 |
可 |
可 |
Outlook Web Access を使用するには、メールボックス サーバーを含んだ各 Active Directory サイトと、インターネットに直接接続されている各 Active Directory サイトにクライアント アクセス サーバーが必要です。 |
Exchange ActiveSync |
不可 |
自動検出サービスを使用して、クライアント アクセス サーバーの正しいエンドポイントを判断します。 |
可 |
Outlook Web Access を使用するには、各 Active Directory サイトにクライアント アクセス サーバーが必要です。 |
Exchange Web サービス |
RTM では可、SP1 では不可 |
自動検出サービスを使用して、クライアント アクセス サーバーの正しいエンドポイントを判断します。 |
RTM では不可、SP1 では可 |
Exchange Web サービスを使用するには、各 Active Directory サイトにクライアント アクセス サーバーが必要です。 |
可用性サービス (Office Outlook 2007 により使用されます) |
不可 |
自動検出サービスを使用して、クライアント アクセス サーバーの正しいエンドポイントを判断します。 |
可 |
可用性サービスを使用するには、各 Active Directory サイトにクライアント アクセス サーバーが必要です。 |
Outlook Anywhere (RPC over HTTP) |
可 (RPC を使用) |
不可 |
該当なし |
該当なし |
WebDAV および Exchange 2000 Server または Exchange 2003 |
可 (HTTP 経由) |
不可 |
該当なし |
該当なし |
POP3 と IMAP4 |
不可 |
不可 |
不可 |
POP3 および IMAP4 クライアントは、メールボックスと同じ Active Directory サイト内にあるクライアント アクセス サーバーにアクセスする必要があります。 |
プロキシのパフォーマンスとスケーラビリティ
Exchange 2007 プロキシ環境では、クライアント アクセス サーバーが多数の同時要求を受信すると、多くの場合パフォーマンスが低下します。この問題は、多くの場合、ASP.NET からの Web サービス要求のためにスレッドや使用可能な接続がすべて使用されることが原因で発生します。これにより、要求の処理時に、クライアント アクセス サーバーによって要求が拒否されたり、待ち時間が長くなったりする可能性があります。
これらの問題を解決するために、クライアント アクセス サーバー コンピュータ上で Machine.config ファイルを編集して、複数の ASP.NET パラメータを構成することができます。これらのパラメータを構成する方法の詳細については、マイクロソフト サポート技術情報の記事 821268「ASP.NET アプリケーションから Web サービス要求を行うと、競合、パフォーマンスの低下、およびデッドロックが発生する」を参照してください。
上記のサポート技術情報の記事で説明されている 2 つのパラメータは、Exchange 2007 プロキシ環境では異なる方法で設定する必要があります。プロセッサごとに 36 個のスレッドを許可し、maxconnections 値を 2000 に設定することをお勧めします。
サーバー パフォーマンスの詳細については、以下のトピックを参照してください。
詳細情報
詳細については、以下のトピックを参照してください。
- クライアント アクセス サーバーの計画
- Outlook Web Access の管理
- Exchange ActiveSync の管理
- 可用性サービスの管理
- Exchange 2007 での Outlook Web Access 仮想ディレクトリの管理
- Exchange ActiveSync 仮想ディレクトリの管理
参照している情報が最新であることを確認したり、他の Exchange Server 2007 ドキュメントを見つけたりするには、Exchange Server TechCenter を参照してください。