Exchange Queue & A: 接続と統治
今月のコラムでは、接続の問題、大量のモバイル デバイスの管理、SAN リストの制限、および Exchange Server のグループ化に関する質問にお答えします。
Henrik Walther
接続先を固定する
Q. 当社では、複数の役割を持った 2 台の Exchange Server 2010 で構成された、サイトの復元性を向上する Exchange Server 2010 インフラストラクチャに移行しました。1 台はプライマリ データセンター (Active Directory サイト 1) にあり、もう 1 台はフェールオーバー データセンター (Active Directory サイト 2) にあります。IT 部門では、Exchange Server 2010 の管理ツールを、別の Active Directory サイト (Active Directory サイト 3) に配置しているワークステーションにインストールしました。
Exchange 管理シェル (EMS) を起動したとき、各ワークステーションは、Active Directory サイト 1 と Active Directory サイト 2 の Exchange Server 2010 にランダムに接続されることに気付きました。ワークステーションが、常に Active Directory サイト 1 にある Exchange Server 2010 のリモート Windows PowerShell 仮想ディレクトリに接続を確立するようにする必要があります。これは可能でしょうか。
A. お気付きになったロジックが組み込まれているのには、正当な理由があります。これは、1 台のサーバーにすべての負荷がかからないように、Exchange Server の冗長性を管理し、管理セッションを複数の Exchange Server 2010 に分散するための設計です。
ただし、ご質問いただいた処理は実現可能です。ワークステーションが特定の Exchange Server 2010 に接続するようにハードコーディングする方法はあります。ワークステーションにログオンし、EMS のショートカットを変更します。これは、EMS のショートカットのプロパティを開いて行います (図 1 参照)。
.jpg)
図 1 Exchange 管理シェル ショートカットのプロパティ ページを開く
リンク先を次から、
C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe -noexit -command ". 'C:\Program Files\Microsoft\Exchange Server\V14\bin\RemoteExchange.ps1'; Connect-ExchangeServer -auto"
次へ変更します。
C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe -noexit -command ". 'C:\Program Files\Microsoft\Exchange Server\V14\bin\RemoteExchange.ps1'; Connect-ExchangeServerEX01"
この例では、ワークステーションを接続する必要があるサーバーには、EX01 という名前が付けられています。[適用] をクリックし、[OK] をクリックして、EMS を起動します。この変更により、セッションでは、EX01 への接続が確立されるようになります (図 2 参照)。
.jpg)
図 2 ショートカットで指定した Exchange Server に接続している状態の Exchange 管理シェル
組織全体で DAG は 1 つだけ
Q. 組織全体で Exchange Server 2010 を実行しています。ヨーロッパと米国に 1 つずつデータセンターがあります。この 2 つのデータセンターをまたぐ、1 つのデータベース可用性グループ (DAG) があります。DAG メンバーは、ヨーロッパに 4 つ、米国に 4 つ配置しています。
各データセンターには専用の Active Directory サイトがあり、ヨーロッパの DAG メンバーと米国のデータセンターは異なるサブネットに存在しています。各 DAG メンバーには、2 枚の NIC (MAPI 用とレプリケーション ネットワーク用) が搭載されています。前回の Exchange Queue & A コラムの説明に従って、静的なルートを作成し、DAG ネットワークをまとめました。
期待どおりに動作していますが、重大な例外が 1 つあります。クラスター コア グループを、現在のプライマリ アクティブ マネージャーの所有者から他の DAG メンバーに移行すると、移行は正常に完了しますが、プライマリ アクティブ マネージャーの移行元の DAG メンバーでは、MAPI 用 NIC のデフォルト ゲートウェイの設定が失われます。つまり、その後、その DAG メンバーは、他のデータセンターのサーバーと通信できなくなります。この問題について聞いたことはありますか。また、回避策や修正方法をご存じですか。
A. はい。この問題は実際に見たことがあります。また、この問題はクラスターまたは DAG に関連していますが、驚くほど簡単に修正できます。このマイクロソフト サポート技術情報の記事 (英語) で取り上げられている修正プログラムを適用すると問題は解決します。
モバイル デバイスの騒動を管理する
Q. 最近、顧客が Exchange Server 2003 から Exchange Server 2010 に移行しました。ほとんどのユーザーが、スマートフォンに大きく依存しており、Exchange ActiveSync (EAS) を使用して Exchange Server とスマートフォンを同期しています。Exchange Server 2003 を利用していたころは、紛失または盗難に遭ったモバイル デバイスのリモート ワイプを実行するのに、Microsoft Exchange Server ActiveSync Web Administration Tool を使用していました。Exchange 管理コンソールかシェルを使用して、リモート ワイプの開始などを実行できることは知っていますが、顧客は、Microsoft Exchange Server ActiveSync Web Administration Tool のような Web ベースのツールを使用することを望んでいます。Exchange Server 2010 に対応した同様のツールをご存じですか。
A. Exchange Server 2010 で導入されたすばらしい機能の 1 つに、Exchange コントロール パネル (ECP) があります。以前の Outlook Web Access (OWA) のオプション ページに取って代わる Web モジュールです (図 3 参照)。OWA にログインし、[オプション] をクリックし、[すべてのオプションを表示] をクリックすると、メールボックスに関連したあらゆる種類の設定を管理できます。
.jpg)
図 3 Outlook Web App から Exchange コントロール パネルにアクセスする
ECP の新しいオプションの 1 つを表示するには、[電話] をクリックし、[携帯電話] タブをクリックします。すべてのデバイスの関係 (それぞれのメールボックスと同期したすべてのデバイス) が一覧表示されます。デバイスの関係の削除したり、携帯電話のリモート ワイプを開始することもできます (図 4 参照)。これは、かなり便利です。
.jpg)
図 4 Exchange コントロール パネルを使用したモバイル デバイスの管理
これだけではありません。ECP は、ユーザーのことだけを考えて開発された機能ではありません。Exchange Server の管理者も、ECP を使用して、Exchange 組織のさまざまな設定を構成したり、ユーザーのメールボックスを管理できます。管理者は、ユーザーの代わりに、デバイスの関係を削除したり、携帯電話のリモート ワイプを開始することができます (図 5 参照)。
.jpg)
図 5 ビジネス ユーザーの代わりに携帯電話を管理する
このように、Web ベースのモジュールを使用した携帯電話の管理に関して、ECP には多くのオプションが用意されています。
外的な制限
Q. SAN 証明書の SAN リストに、60 エントリ以上の完全修飾形式のドメイン名 (FQDN) を含めることを計画している顧客がいます。これがサポートされているかどうか、ご存じですか。顧客は、Exchange Server 2010 と Forefront Threat Management Gateway (TMG) 2010 を使用しています。多くの FQDN を必要としているのは、Exchange Server 2010 のオンプレミスのソリューションと Office 365 の優れた共存を構成しているためです。
A. Exchange Server 2010 と TMG 2010 のどちらにも、ハード リミットはありません。制限は、SAN 証明書を発行する機関によって設定され、当然ながら証明書自体のサイズの制限の影響も受けます。ハード リミットではありませんが、ほとんどの証明機関では、SAN リストのエントリを 40 以下にすることを推奨しています。SAN リストでは名前を追加するたびに、証明書のサイズが大きくなるため、SAN リストのエントリ数を 40 以下にとどめるのは良い考えです。そのため、実際には最大でも 40 エントリまでにとどめておいた方が良いでしょう。
プロキシ デバイスには、証明書の最初の 10 エントリまでの SAN しかサポートしないものもあります。ほとんどの場合、主な懸念事項は初期輻輳ウィンドウが大きくなりすぎないようにすることです。SSL ハンドシェイクの "Server Hello" というメッセージは、SSL ソケットからクライアントに最初に返されるものです。このメッセージが大きすぎる場合、(TCP の) 初期輻輳ウィンドウは、ソケット接続には高くなり、必ずしも最適ではないソケット I/O が発生する原因となります。
エントリの数を 40 以下にとどめるようにしてください。リストが大きいと、パフォーマンスの低下につながります。また、SAN リストが 40 エントリの証明書は、非常にコストが高くなり、悪夢のような管理が必要になります。
真の仮想
Q. Exchange Server 2010 を実行しています。Forefront TMG 2010 を使用して、OWA、EAS、および Outlook Anywhere (OA) をインターネットに公開しています。また、Forefront TMG 2010 では、インターネット経由で接続する Exchange クライアントの事前認証にも対応しています。OWA または ECP の外部ユーザーと内部ユーザーに、フォーム ベースの認証を提供する必要があるため、IIS に追加の Web サイトを作成しました。また、そのサイトに、/OWA 仮想ディレクトリと /ECP 仮想ディレクトリを新たに作成しました。サイトは、Microsoft Exchange チーム ブログのこの記事 (英語) の推奨事項に従って構成し、正常に動作しています。
2 つ目の Web サイトに、/RPC (OA) 仮想ディレクトリを追加する必要がありますが、その方法を記載したドキュメントが見つかりません。教えていただけませんか。
A. Windows Server 2008 では、RPC プロキシ コンポーネントに異なる Web サイトを指定することがサポートされていますが、1 つのサイトで実行されていることが条件で、複数の Web サイトで実行されているものはサポートされません。Exchange Server 2010 では、クライアント アクセス サーバーの既定の Web サイト以外の Web サイトでは OA をサポートしません。また、Windows Server と Exchange Server では、同じサーバーの複数の Web サイトで実行する RPC プロキシや OA はサポートしません。これは、RPC over HTTP が導入された、Windows Server 2003 と Exchange Server 2003 から当てはまります。
.jpg)
Henrik Walther は、マイクロソフト認定資格を持つ専門家です。IT ビジネスの分野で 15 年以上の経験がある、Exchange Server 2007 および Exchange Server MVP です。Timengo Consulting (デンマークを拠点とするマイクロソフト認定ゴールド パートナー) でテクノロジ アーキテクトを、Biblioso Corp. (ドキュメント管理とローカライズ サービスを専門とする米国の企業) でテクニカル ライターを務めています。