複数の Active Directory フォレストを伴うハイブリッド展開

  • [アーティクル]

 

適用先: Exchange Online, Exchange Server, Exchange Server 2013

Exchange 2010 および Exchange 2013 以降では、複数の社内 Active Directory フォレストと単一の Office 365 テナントを持つ組織に対してハイブリッド展開がサポートされます。ハイブリッド展開の機能や考慮事項において、複数フォレスト組織とは、複数の Active Directory フォレストに Exchange サーバーを展開している組織と定義されます。ハイブリッド展開のシナリオでは、ユーザー アカウント用にリソース フォレストを使用していても、単一のフォレストにすべての Exchange サーバーを保持している組織は、複数フォレストとして分類されません。ハイブリッド展開を計画して構成する際には、この種の組織は単一フォレスト組織と見なす必要があります。

オンプレミス環境から Office 365 へのパブリック フォルダーの移行は、単一の Active Directory フォレストからの場合のみサポートされます。同様に、ハイブリッド状態のパブリック フォルダーへのアクセスは、オンプレミスのパブリック フォルダーが単一の Active Directory フォレスト内に格納されている場合にのみサポートされます。

重要

ハイブリッド展開には、オンプレミスの組織にインストールした Exchange のバージョンで利用できる最新の累積更新プログラムが必要です。最新の累積更新プログラムをインストールできない場合でも、直前のリリースがサポートされます。それ以前の累積更新プログラムはサポートされません。詳しくは、「ハイブリッド展開の前提条件」をご覧ください。

ハイブリッド展開の詳細については、「Exchange Server のハイブリッド展開」を参照してください。

複数フォレストのハイブリッド展開の前提条件

複数フォレストのハイブリッド展開の前提条件は、単一フォレスト組織のハイブリッド展開の前提条件とほぼ同じですが、以下の例外があります。

  • 自動検出  各 Exchange フォレストに、1 つ以上の SMTP 名前空間と、対応する自動検出の名前空間に関する権限がなければなりません。複数の Exchange フォレスト間の共有ドメインがある場合、複数フォレストのハイブリッド展開を構成する前に、それらの Exchange フォレスト間でメール ルーティングと自動検出エンドポイントの両方が適切に構成され作動している必要があります。各 Exchange フォレストで、Office 365 サービスが自動検出サービスを照会できなければなりません。

  • 証明書  すべてのハイブリッド展開には、信頼される第三者証明機関 (CA) によって発行されたデジタル証明書が必要です。複数フォレストのハイブリッド展開では、複数の Active Directory フォレストで単一のデジタル証明書を使用することはできません。セキュリティで保護されたメール トランスポートがハイブリッド展開で正しく機能するには、各フォレストで専用の CA 発行証明書を使わなければなりません。ハイブリッド展開機能で使用される、複数フォレスト組織内のフォレストごとの証明書は、以下のプロパティの 1 つ以上が違っていなければなりません。

    1. 通称  デジタル証明書の共通名 (CN) は、証明書のサブジェクトの一部です。この名前は、認証されているホストと一致していなければならず、通常は Active Directory フォレスト内のクライアント アクセス サーバーの外部ホスト名になります。mail.contoso.com などがあります。複数フォレストのハイブリッド展開で使用されている各 Active Directory 証明書を区別するプロパティとして CN を使用することをお勧めします。

    2. 発行者  組織の情報を確認し、証明書を発行した第三者 CA。VeriSign や Go Daddy などがあります。たとえば、あるフォレストには VeriSign によって発行された証明書があり、別のフォレストには Go Daddy によって発行された証明書があるようにします。

    重要

    ハイブリッド展開でメール トランスポートに使用する各 Active Directory フォレスト内のメールボックス サーバーとクライアント アクセス サーバー (および展開している場合はエッジ トランスポート サーバー) にインストールする証明書は、すべて同じ CA によって発行され、同じ共通名にする必要があります。

  • Exchange サーバー   ハイブリッド展開用に構成される各 Active Directory フォレストに、クライアント アクセス サーバーの役割がある Exchange 2010 サーバーまたは Exchange 2013 サーバー、またはメールボックスの役割がある Exchange 2016 以降を 1 つ以上インストールする必要があります。

    Exchange 2010 および Exchange 2013 では、クライアント アクセス サーバーは、Office 365 テナント サービスに含まれる Exchange Online Protection (EOP) サービスのセキュリティ保護された受信メール トランスポートのエンドポイントで、Active Directory フォレストでハイブリッド構成ウィザードを実行できるようにします。さらに、ハイブリッド展開用に構成される各 Active Directory フォレストに、メールボックス サーバーの役割がある Exchange サーバーを 1 つ以上インストールする必要があります。Exchange 2010 および Exchange 2013 メールボックス サーバーは、EOP サービスおよび Exchange Online 組織に送信されるメッセージの、セキュリティ保護された送信メール トランスポートのエンドポイントです。

    Exchange 2016 以降の場合、オンプレミス組織と Exchange Online 間のセキュリティで保護されたトランスポートの受信および送信すべては、メールボックス サーバーの役割によって扱われます。

  • 名前空間の計画 Exchange をインストールする各フォレストには、独自の、外部検出可能な一意の名前空間が必要です。各フォレストで実行するときには、ハイブリッド構成ウィザードでフォレスト内の一意の名前空間を指定します。

  • Active Directory 同期   すべてのハイブリッド展開で、Office 365 との Active Directory 同期が必要です。複数フォレストのオンプレミス組織と Office 365 との Active Directory 同期が Forefront Identity Manager を使用して社内で既にセットアップされている場合は、Azure Active Directory 接続を使用できます。

  • シングル サインオン   単一の Active Directory フォレストを使用したハイブリッド展開の要件ではありませんが、管理者は各 Active Directory フォレスト内に SSO サーバーを構成するか、または、単一の SSO サーバーを構成する (オンプレミスのフォレスト間に双方向のフォレストの信頼が構成されている場合) かを選択できます。AD FS かパスワード同期を使用して、シームレスにユーザー認証を行えます。

    詳細については、「ハイブリッド展開でのシングル サインオン」を参照してください。

ハイブリッド展開の前提条件の完全な一覧については、「ハイブリッド展開の前提条件」を参照してください。

複数フォレストのハイブリッド展開のシナリオ

以下のシナリオをご覧ください。これは、典型的な Exchange 2013 展開の概要を示したトポロジの例です。Contoso, Ltd. は、複数フォレスト、複数ドメインの組織で、2 つの Active Directory フォレストがあります。フォレスト A には contoso.com ドメインが含まれ、フォレスト B には sale.contoso.com ドメインが含まれます。各フォレストにドメイン コントローラーが含まれており、一方の Exchange 2013 サーバーにはクライアント アクセスの役割がインストールされており、他方の Exchange 2013 サーバーにはメールボックス サーバーの役割がインストールされています。リモートの Contoso ユーザーは、Outlook Web App を使用してインターネット経由で Exchange 2013 に接続してメールボックスをチェックしたり、Outlook の予定表にアクセスしたりします。

複数フォレストによるハイブリッド展開前

自分が Contoso のネットワーク管理者で、ハイブリッド展開の構成に関心があるとします。フォレスト A で必要な Active Directory 同期サーバーを展開して構成し、さらに Contoso ユーザーと管理者がフォレスト A 内の Office 365 サービスにアクセスする際のアカウント資格情報の入力を求めるプロンプト数を最小限にするためのオプションとして Active Directory フェデレーション サービス (AD FS) サーバーを展開することを決定しました。ハイブリッド展開の前提条件を満たし、ハイブリッド構成ウィザードを使用してハイブリッド展開のオプションを選択した後の新しいトポロジは以下の構成となります。

  • ユーザーは、社内組織および Exchange Online 組織にログオンするために既存のネットワーク アカウント資格情報を使用します (「シングル サインオン」)。

  • 社内組織に配置されたユーザー メールボックスと Exchange Online 組織に配置されたユーザー メールボックスは、複数の電子メール アドレス ドメインを使用します。たとえば、フォレスト A の社内組織に配置されたメールボックスと Exchange Online 組織に配置された一部のメールボックスはユーザー電子メール アドレスに @contoso.com を使用し、フォレスト B のメールボックスと Exchange Online 組織に配置された一部のメールボックスは @sales.contoso.com を使用します。

  • すべてのメールは社内組織によってインターネットに配信されます。社内組織は、すべてのメッセージ トランスポートを制御し、Exchange Online 組織の中継として機能します (「メール トランスポートの集中管理」)。

  • 社内組織のユーザーと Exchange Online 組織のユーザーは、予定表の空き時間情報を互いに共有できます。両方の組織に構成された組織上の関係により、社内外にまたがるメッセージ追跡、メール ヒント、メッセージ検索も利用できます。

  • 社内ユーザーおよび Exchange Online ユーザーは、同じ URL を使用して、それぞれのメールボックスにインターネット経由で接続します。

複数フォレストによるハイブリッド展開後

Contoso の既存の組織構成とハイブリッド展開構成を比較すると、ハイブリッド展開の構成では、追加の通信をサポートするサーバーとサービス、および社内組織と Exchange Online 組織間で共有される機能が追加されていることがわかります。以下は、ハイブリッド展開によって初期の社内 Exchange 組織に加えられた変更の概要を示しています。

構成 ハイブリッド展開前 ハイブリッド展開後

メールボックスの場所

社内組織のメールボックスのみ。

社内および Exchange Online のメールボックス。

メッセージ トランスポート

社内クライアント アクセス サーバーがすべての受信および送信メッセージのルーティングを処理します。

社内クライアント アクセス サーバーは、社内と Exchange Online 組織間での内部メッセージのルーティングを処理します。

Outlook Web App

オンプレミスのクライアント アクセス サーバーが、すべての Outlook Web App 要求を受信し、メールボックス情報を表示します。

オンプレミスのクライアント アクセス サーバーが、Outlook Web App 要求をオンプレミスの Exchange 2013 メールボックス サーバーにリダイレクトするか、Exchange Online 組織にログオンするためのリンクを提供します。

両方の組織の統合 GAL

該当なし、単一組織のみ。

オンプレミスの Active Directory 同期サーバーが、メールが有効なオブジェクトの Active Directory 情報を Exchange Online 組織にレプリケートします。

両方の組織で使用されるシングル サインオン

該当なし、単一組織のみ。

社内 Active Directory フェデレーション サービス (AD FS) サーバーが、社内組織または Office 365 組織のどちらかに配置されたメールボックスのシングル サインオン資格情報の使用をサポートします。

Azure AD 認証システムとの確立された組織上の関係とフェデレーションの信頼

Azure AD 認証システムとの信頼関係、および他のフェデレーション Exchange 組織との組織上の関係を構成できます。

Azure AD 認証システムとの信頼関係は必須です。組織上の関係は、社内組織と Exchange Online 組織の間で確立されます。

空き時間情報の共有

社内ユーザーの間でのみ空き時間情報を共有。

社内および Exchange Online の両方のユーザーの間で空き時間情報を共有。

複数フォレスト組織のハイブリッド展開の構成

複数フォレスト組織用にハイブリッド展開を構成するには、以下の基本的な手順を完了する必要があります。

  1. ハイブリッド展開の前提条件を満たしていることを確認します。このトピックの前の方でリストした前提条件と「ハイブリッド展開の前提条件」を参照してください。一般に、Active Directory 同期サーバーをインストールしなければならないフォレストは 1 つだけです。フォレスト間に双方向のフォレストの信頼が構成されていない場合、シングル サインオンを有効にするには、Active Directory フェデレーション サービス (AD FS) による Azure Active Directory Connect (Azure AD Connect) を使用するサーバーをフォレストごとにインストールする必要があります。

  2. 前述の要件を満たしている Active Directory フォレストごとに第三者 CA 証明書を取得します。

  3. 各フォレスト内のすべての Exchange 2013 クライアント アクセス サーバーおよびメールボックス サーバー、または Exchange 2016 メールボックス サーバー上に証明書をインストールします。

  4. プライマリ フォレストに対して、「ハイブリッド構成ウィザードを使用してハイブリッド展開を作成する」トピックで概略されている手順を実行します。

    重要

    ハイブリッド構成ウィザードでプライマリ フォレスト用に指定された証明書を選択し、そのフォレスト用のプライマリ SMTP ドメインを選択してください。

  5. セカンダリ フォレストに対して、「ハイブリッド構成ウィザードを使用してハイブリッド展開を作成する」トピックで概略されている手順を実行します。

    重要

    ハイブリッド構成ウィザードでセカンダリ フォレスト用に指定した証明書を選択し、そのフォレスト用のプライマリ SMTP ドメインを選択してください。