• [アーティクル]

Exchange Queue & Aエッジ トランスポート サーバーの役割とハブ トランスポート サーバーの役割、仮想コンピュータなど

KC Lemson and Nino Bilic

2007 年 5 月号の Exchange Queue & A では、.pst ファイルをネットワーク共有に格納する場合の問題について説明しました。最近 Windows Server パフォーマンス チームによって公開が開始されたブログに、

この話題に関する技術的な説明が詳しく記載されていたため、このページへのリンクを掲載しておきます。では今月の質問に移りましょう。

Q Microsoft Exchange Server 2007 を展開する場合、エッジ トランスポート サーバーの役割を展開する必要はありますか。

A いいえ、Exchange Server 2007 を展開するためにエッジ トランスポート サーバーの役割を展開する必要はありません。1 台のコンピュータを用意し、そのコンピュータでドメインのインターネット電子メールを受け入れるための主要なサーバーの役割 (メールボックス、クライアント アクセス、ハブ トランスポートなど) を実行し、スパム対策プログラムとウイルス対策プログラムを実行すれば、Exchange Server 2007 は展開できます。

Q エッジ トランスポート サーバーの役割とハブ トランスポート サーバーの役割にはどのような違いがありますか。エッジ トランスポート サーバーを展開しなかった場合に使用できない機能について教えてください。

A ハブ トランスポート サーバーの役割は、組織内でメールをルーティングすることと、それらのメッセージにビジネス ポリシーを適用することを主な目的としています。ハブ トランスポート サーバーの役割では、トランスポート ルールはユーザーや配布リストなど、Active Directory® オブジェクトに基づきます。このため、ユーザーのグループに送信されるメッセージに免責事項を追加したり、ジャーナルを作成したりすることもできます。たとえば、DLOfUsersOnLitigationHold に送信されたすべてのメッセージのジャーナルを作成したり、DLOfMembersOfLegalTeam によって送信された電子メールに免責事項を追加したりすることができます。ハブ トランスポート サーバーではスパム対策エージェントを実行できますが、これらは既定では有効になっていないため、サーバーの \scripts ディレクトリにある install-antispamagents スクリプトを手動で実行して、スパム対策エージェントをインストールする必要があります。

エッジ トランスポート サーバーの役割は、組織の内外に電子メールをルーティングし、それらのメッセージに対してメッセージ検疫 (スパム対策、ウイルス対策、コンテンツと添付ファイルのフィルタ処理など) を実行することを主な目的としています。スパム対策機能は、エッジ トランスポート サーバーの役割をインストールすると既定で有効になります。エッジ トランスポート サーバーの役割には、Windows® ドメインに参加させる必要がないという独自の特性があり、Windows ドメインに参加していないスタンドアロンの Windows Server® で実行することができます。また、企業フォレスト内の Exchange 2007 組織の一部として管理することもできます。

この特性は、特に境界ネットワークのサーバーをワークグループに参加させる場合や、境界ネットワーク内のコンピュータ用の別のフォレストを明示的に作成した場合に役立ちます。便利なことに、このような状況でエッジ トランスポート サーバーを展開すると、企業ネットワークとインターネットとの間で送受信されるすべてのメッセージに対して、メッセージ検疫とルーティングを実行できます。それだけでなく、このエッジ トランスポート サーバーは、環境内の他の Exchange 2007 システムと共通した方法で管理できます。

エッジ トランスポート サーバーのトランスポート ルールは、Active Directory オブジェクトではなく SMTP アドレスに基づきます。もちろん、Active Directory 内の配布リストまたはユーザーの SMTP アドレスを使用することができます。エッジ トランスポート サーバーのトランスポート ルールの大部分は、ハブ トランスポート サーバーのトランスポート ルールのサブセットです。例外は、エッジ トランスポート サーバーでのみ使用できる検疫アクションです。

エッジ トランスポート サーバーでは、エージェントを介して、ハブ トランスポート サーバーでは提供されないいくつかの機能を使用することもできます。これらは、添付ファイルの削除機能とアドレス書き換え機能です。添付ファイルの削除は、拡張子が .exe や .com などの、危険性のあるファイルを選択して削除できる機能です。アドレス書き換えエージェントを使用すると、電子メールのヘッダーを書き換えることができます。たとえば、ユーザー アカウントのドメイン アドレスと既定の SMTP プロキシ アドレスが @contoso.com のネットワークからインターネットにメッセージを送信した場合に、受信者にはそのメッセージの送信者が @northwindtraders.com として表示されるようにすることができます。また、エッジ トランスポート サーバーは、ドメインまたはアドレス空間のみに基づいてルーティングを実行するため、Exchange と他の電子メール システムとの間で同一の SMTP アドレス空間を共有する場合、そのルーティングをハブ トランスポート サーバー上で実行するか、エッジ トランスポート サーバー上でアドレス書き換えエージェントを使用して実行することが必要になります。

もう 1 つの重要な考慮事項は、Exchange 2007 サーバーが直接インターネットに接続されているかどうか (ハブ トランスポート サーバーの役割またはエッジ トランスポート サーバーの役割を実行しているかどうか) ということです。つまり、ドメインの MX レコードに基づいたポート 25 への接続が、何らかの形で Exchange 2007 に接続されているかどうかということです。インターネット上には、ドメインの電子メールを受け入れ、その電子メールを企業ネットワーク内の Exchange に渡す、SMTP ゲートウェイ、ウイルス ウォール、またはその他のソリューションが既に構成されていると思います。直接インターネットに接続されるコンピュータに、エッジ トランスポート サーバーまたはハブ トランスポート サーバーを展開すると、Exchange 2007 の最も素晴らしい機能の 1 つを活用することができます。その機能とは、セーフリスト集約です。セーフリスト集約を使用すると、ユーザーによって送信者 (インターネット ニュースレターや小売企業からの電子メールなど) が追加された Microsoft Outlook® のセーフリストを、エッジ トランスポート サーバーまたはハブ トランスポート サーバーの役割が実行されたコンピュータに安全に伝播させることができるため、それらの送信者からのメッセージはコンテンツ フィルタから除外されます。もちろん、同一の電子メールでも、それをスパムと見なすか重要なニュースレターと見なすかはユーザーによって異なるため、セーフリスト集約はユーザーごとに構成できます。セーフリスト集約の詳細なしくみについては、Exchange 2007 のドキュメントを参照してください。

ハブ トランスポート サーバーの役割が実行されたサーバーで、ドメインのインターネット電子メールを受け入れる場合、いくつかのことに注意する必要があります。もちろん、まずは優れたファイアウォールやポート フィルタ ソリューションを使用して、必要なポート (ポート 25 など) への接続のみをサーバーが受け入れるようにする必要があります。また、スパム対策エージェントは既定でインストールおよび有効化されていないため、これらをインストールする必要があります。ハブ トランスポート サーバーは、企業ネットワーク内で最もよく展開されるため、既定では匿名接続を許可していません。このため、ポート 25 の受信コネクタの AnonymousUsers 許可グループを確認する必要があります。また、セーフリスト集約を有効にし、定期的に実行されるようにスケジュールを設定することをお勧めします。これにより、ユーザーが各自のメールボックスのセーフリストを更新すると、それらの安全な送信者からの電子メールがコンテンツ フィルタから除外されます。詳細については、私たちのブログを参照してください。

次のコードは、SafeList.bat というバッチ ファイルを使用して、すべてのサーバー上のすべてのメールボックスを毎日午後 11 時に更新する AT コマンドです。

at 23:00 /every:M,T,W,Th,F,S,Su cmd /c 
“D:\SafeList.bat”

次のコードは、SafeList.bat ファイルの内容を示しています。

“d:\Program Files\Microsoft Command Shell\v1.0\Powershell.exe” 
-psconsolefile “d:\Program Files\Microsoft\Exchange Server\bin\exshell.psc1” -command 
“get-mailbox | where {$_.RecipientType 
-eq [Microsoft.Exchange.Data.Directory.Recipient.RecipientType]::UserMailbox } | update-safelist”

使用している設定が適切に機能しているかどうかを確認するには、Exchange 2007 のドキュメントを参照してください。

Q Exchange がインストールされた Virtual PC イメージを起動した後、ディレクトリや LDAP サーバーへのアクセスに関する問題が発生し続けています。ポート 389 への telnet 接続は成功し、すべてのサービスが実行されています。なぜこのような問題が発生するのでしょうか。

A 私も昨年の Tech Ed で同じ問題を経験しました。私は職場のコンピュータからラップトップに Virtual PC をコピーし、翌月の Exchange 2007 Beta 2 のリリースと同時に記事を発表する報道陣向けに、デモンストレーションを計画していました。

この製品のデモは何回も経験しており、このビルドが安定していることを知っていたため、あまり入念には準備していませんでした。月曜の朝、最初のミーティングの数時間前に Virtual PC を起動し、準備したビルドがまったくドメイン コントローラにアクセスできないことを知ったときの、額に汗した私の姿を想像できるでしょう。その場に非常に頭の切れる人々がいてくれたおかげで、すぐに問題を解決することができました。

この Tech Ed での大失敗は、処理速度が非常に遅い私のラップトップで Virtual PC を実行したことが原因でした。問題の根本は、DNS と Active Directory の競合状態にありました。イメージ上の DNS サーバーは、Active Directory と統合されるように構成されていましたが、イメージ上でサービスが読み込まれる順序 (それと、繰り返しになりますが、私のラップトップの遅さ) が原因で、DNS サーバーが Active Directory にアクセスしようとするまでに、必要なディレクトリ サービスが開始されませんでした。

この状況は、DC と Exchange が同一のコンピュータ (仮想イメージに限りません) で実行されている場合に発生する可能性があります。特に、さらにパフォーマンスが低下する仮想化環境 (私のラップトップのように処理速度が遅いコンピュータではなおさらです) の方が、発生する可能性は高くなります。

また、Virtual PC イメージを別のコンピュータにコピーしたときにも問題が発生しました。この問題は、特にコピー先のコンピュータが別のネットワーク上にあるときに発生します。この問題が発生した場合は、イメージ内の OS の IP アドレスを確認してください。古いネットワークから割り当てられた古い IP アドレスを使用している可能性があります。IP アドレスを新しいネットワークから取得して更新し、問題が解決されるかどうかを確認してください。

今後このような問題を回避する方法の 1 つとして、ゲスト上の DNS サーバーを Active Directory に統合しないようにし、ホストとゲストの両方に DNS をインストールするという方法があります。この方法では、ゲストが不明なレコードの解決をホストに転送し、ホストが不明なレコードの解決を適切な DNS サーバーに転送するようにします。イメージが起動し、DNS レコードの更新を試行した場合、問題が発生する可能性は低くなります。

Q Exchange 2007 のセットアップは、以前のバージョンの Exchange とはまったく異なっていると思います。このセットアップの動作について教えてください。

A そうですね。Exchange 2007 のセットアップは、非常にさまざまな段階から構成されています。では、セットアップ プロセス全体の動作について大まかに説明しましょう。

まず setup.exe を起動すると、実際のサーバーの役割をインストールするために必要なほとんどの前提条件へのリンクを提供するプロセスが起動します。これらの前提条件をすべてインストールしたら、[Microsoft Exchange のインストール] リンクをクリックできるようになります (図 1 を参照)。

図 1 全般的な要件がすべて満たされたときにクリックできるようになるインストールのリンク

図 1** 全般的な要件がすべて満たされたときにクリックできるようになるインストールのリンク **

ネットワーク上の別のコンピュータにある setup.exe を実行し、[インストール] リンクをクリックした場合、主要なセットアップ ファイルがローカル コンピュータの %TEMP%\ExchangeServerSetup\ フォルダにコピーされます。その後、セットアップ ウィザードが起動します。

セットアップ ウィザードでは、使用許諾契約書、エラー報告、インストールの種類 (この段階で、インストールするサーバーの役割を選択できます) など、さまざまな選択を行ってセットアップを進めていきます。ウィザード ページの内容は、既に Exchange 組織が存在するかどうか、およびその Exchange 組織 (存在する場合) の状態によって異なります。

インストールの種類を選択したら、セットアップはインストールの前提条件の確認を行います。ここで実行されるプログラムは、Microsoft Exchange Server ベスト プラクティス アナライザ (BPA) に微調整を加えたものであり、既定では、インターネットに接続して必要な XML ファイルの最新バージョンをダウンロードします。このプログラムを実行することにより、前提条件を定期的に更新したり、製品のリリース後に Exchange チームによって確認された問題に対処したりすることができます。前提条件の確認が完了したら、結果を確認し、セットアップ プロセスを続行します。問題が検出された場合は、セットアップ プロセスを続行する前に、それらの問題を解決することが必要になる場合があります。サーバーで前提条件の確認が失敗しても、多くの場合、再度確認を実行できます。

前提条件の確認段階を通過したら、[インストール] ボタンをクリックし、前の段階で選択した役割のインストールを開始できます。選択した役割のファイルのみが、コピーおよびインストールされます。

セットアップの最後には、Exchange 管理コンソールが起動されます。また、利用可能な Exchange 2007 の更新プログラムが適用されます。

KC Lemsonは、Exchange Server のユーザー エクスペリエンス マネージャです。彼女のオンライン銀行口座は一時的に停止されています。

Nino Bilicは、Exchange Server のサポータビリティ プログラム マネージャです。彼は最近クレジット カードに 2 番目の電子メール アドレスを追加しました。

© 2008 Microsoft Corporation and CMP Media, LLC. All rights reserved; 許可なしに一部または全体を複製することは禁止されています.