対象者: Exchange/Office 365 for enterprises の管理者
作成者: Lou Mandich (上級プレミア フィールド エンジニア)、Brian Drepaul (上級サポート エスカレーション エンジニア)
はじめに
Exchange Server 2010 Service Pack 1 (SP1) と Service Pack 2 (SP2) のいずれの環境でも、ハイブリッド展開のエッジ トランスポート サーバーでメールをルーティングするように構成できます。 この Wiki では、Exchange Server 2010 SP1 の環境で、ハイブリッド展開の内部設置型と Exchange Online の環境間のメール ルーティングを行えるように、内部設置型のエッジ トランスポート サーバーを構成する手順の概要について説明します。 この Wiki は、メールのルーティングをセキュリティで保護し、メッセージを内部メッセージとして表示するための情報を掲載しています。
以下の手順は、手動による構成の手順と「Exchange Server Deployment Assistant」で説明されている構成の手順を組み合わせたものです。 現在のバージョンの Deployment Assistant は、Exchange Server 2010 SP1 の環境でのハイブリッド展開をサポートしています。また、Exchange Server 2010 SP2 およびハイブリッド構成ウィザードをサポートできるように対応中です。 現在のバージョンの Deployment Assistant はエッジ トランスポート サーバーをサポートしていませんが、更新される Deployment Assistant ではエッジ トランスポート サーバーもサポートされる予定です。
前提条件:
エッジ トランスポート サーバーは、Exchange 2010 SP1 以降である必要があります。
EdgeSync を使用しているハイブリッド展開でエッジ トランスポート サーバーを構成する
1. 内部設置型の環境に 1 つ以上のエッジ トランスポート サーバーをインストールします。
ハイブリッド サーバーを購入したときと同じ証明書を使用します。 以下のコマンドを実行して、セキュリティで保護された、ハイブリッド展開のメール証明書をインポートし、SMTP サービスを有効にします。 以下の例では、Exchange 証明書を certificate.pfx というファイルからインポートしています。
以下のコマンドは、各エッジ サーバーの Exchange 管理シェルで実行します。
Import-ExchangeCertificate -FileData ([Byte[]]$(Get-Content -Path "c:\certificate.pfx" -Encoding byte -ReadCount 0)) -Password:(Get-Credential).password -PrivateKeyExportable $true| Enable-ExchangeCertificate -Services SMTP
ユーザー名とパスワードの入力を要求するポップアップ ウィンドウが表示されます。ユーザー名は空欄になっているので、任意のユーザー名を入力します。 パスワードは、ハイブリッド サーバーからハイブリッド ルーティング証明書をエクスポートしたときに入力したパスワードと同じものを入力する必要があります。
シェルに「既定の SMTP 証明書ダイアログを上書きしてよろしいですか?」というメッセージが表示されたら、必ず [いいえ] を選択してください。 [はい] を選択すると、エッジ トランスポート サーバーと組織のハイブリッド ハブ トランスポート サーバーとの間のハイブリッド ルーティング証明書の共有が許可されていないというエラーが表示されます。
2. TechNet のガイダンスに従って、Exchange 2010 SP1 を使用したエッジ トランスポート サーバーの設定と構成を行います。
注: [このエッジ サブスクリプションの送信コネクタを自動的に作成する] チェック ボックスをオンにすると、内部設置型の環境からインターネットへメッセージをルーティングする送信コネクタが自動的に作成されます。 エッジ サブスクリプションは、送信コネクタの送信元サーバーとして構成されます。送信コネクタは、ドメイン ネーム システム (DNS) の MX リソース レコードを使用してすべてのドメインにメッセージをルーティングするように構成されます。 メールをインターネットに送信する既存のルーティング パスをエッジで変更する場合は、このチェック ボックスをオンにする必要があります。 ルーティング パスを変更しない場合は、エッジ サブスクリプション XML ファイルをインポートするときにこのチェック ボックスがオフになっていることを確認してください。
3. こちらにある Exchange Deployment Assistance のガイダンスに従って、ハイブリッド展開処理を開始します。 構成処理中にメール ルーティングを間違って変更しないように、インターネット メール ルーティング トポロジを計画して、適切なルーティング パスを選択する必要があります。 Exchange Deployment Assistant をガイドとして使用し、以下の変更部分を置き換えて実行してください。
[送信/受信コネクタの構成] チェックリストと [既定の受信コネクタの構成方法] セクションでは、ハブ トランスポート サーバーの代わりにエッジ トランスポート サーバーで手順を実行します。
内部設置型の環境のハイブリッド ハブ トランスポート サーバーで Exchange 管理コンソール (EMC) を開きます。 EMC ツリーの内部設置型環境のノードで、[組織の構成]、[ハブ トランスポート] ノードの順に選択し、[送信コネクタ] タブを選択します。 [送信コネクタ] タブで、使用しているサービス ドメイン (service.contoso.com) にルーティングする送信コネクタを選択し、[アクション] ウィンドウの [プロパティ] をクリックします。 [プロパティ] ダイアログ ページで [送信元サーバー] タブを選択します。次に、各サーバーを選択して赤い [X] ボタンをクリックし、すべてのハイブリッド ハブ トランスポート サーバーを削除します。
[追加] をクリックします。 [ハブ トランスポート サーバー/購読済みのエッジ トランスポート サーバーの選択] ダイアログで、使用している内部設置型の環境のエッジ トランスポート サーバーを選択し、[OK] をクリックします。
ハイブリッド トランスポート サーバーで Exchange 管理シェルを開き、"Start-EdgeSynchronization"を実行します。
[ハブ トランスポート] ノードで、使用している親ドメインとサービス ドメインを表すドメインが [権限あり] に設定されていることを確認します。 たとえば、親ドメインが contoso.com、サービス ドメインが service.contoso.com の場合、ドメインの種類を [権限あり] に設定する必要があります。注: このルールに対する唯一の例外は、Exchange 2003 を内部設置型の環境で使用している場合です。 Exchange 2003 を使用している場合、サービス ドメインの種類を [内部の中継] に設定する必要があります。 この操作を行うには、Exchange 管理コンソールの [組織の構成] セクションを展開します。 左側のウィンドウで [ハブ トランスポート] を選択します。 中央のウィンドウで [承認済みドメイン] タブを選択し、2 つのドメインとその種類を確認します。
各エッジ サーバーで受信コネクタを設定する必要があります。 Exchange 管理シェルで以下のコマンドを実行します。
"<既定の内部受信コネクタ名>" 部分は、既定のコネクタ名に置き換えてください (例: "Edge Default")。
$SendConnector = Get-SendConnector "Outbound to Office 365"; $ReceiveConnector = Get-ReceiveConnector "<既定の内部受信コネクタ名>"; Set-ReceiveConnector -Identity $ReceiveConnector.Identity -TlsDomainCapabilities outlook.com:AcceptOorgProtocol –Fqdn $SendConnector.Fqdn
追加情報
ハイブリッド ルーティング: クラウドをポイントするよう MX レコードを構成する - この記事を参照して、メール フローの検証と構成を行ってください。
EdgeSync を使用していないハイブリッド展開でエッジ トランスポート サーバーを構成する
ハイブリッド展開でエッジ トランスポート サーバーを構成する際は EdgeSync を使用することをお勧めしていますが、EdgeSync は必須ではありません。 EdgeSync を使用していなくても、エッジ トランスポート サーバーが内部設置型と Exchange Online の環境の間でメールをルーティングできるように、ハイブリッド展開で Exchange Server 2010 SP1 を構成できます。
エッジ トランスポート サーバーの構成は、ハブ トランスポート サーバーの構成とほとんど同じですが、Set-RemoteDomain コマンドレットの扱いが多少異なります。これは、ハブ トランスポート サーバーでは通常使用できる Set-RemoteDomain のスイッチの一部がサポートされていないためです。また、EdgeSync を使用していないため、リモート ドメイン、受信コネクタ、送信コネクタをエッジとハブで構成する必要もあります。 リモート ドメイン プロセスは、クラウドと送受信される電子メールすべてが信頼されるように、両方のサーバーで重複させる必要があります。 受信コネクタはハブとエッジの両方で作成し、[外部的にセキュリティで保護] で構成して、各サーバーの IP アドレスのみをリッスンするようにします。 送信コネクタも受信コネクタと同じように構成し、[外部的にセキュリティで保護] も使用します。この設定を使用しないと、電子メール ヘッダーが X-MS-Exchange-Organization-AuthAs: Internal でスタンプされないため、この設定は非常に重要です。
以下の手順に従って、エッジ トランスポート サーバーとハイブリッド ハブ トランスポート サーバーを構成してください。 シェルのコマンドレット例では、Deployment Assistant でのハイブリッド展開の例として contoso.com および service.contoso.com ドメインが使用されています。
エッジ サーバーを構成する
シェルを使用して、エッジ サーバーの構成を以下のように変更します。
1. 承認済みドメインを構成する
New-AcceptedDomain -Name service.contoso.com -DomainName service.contoso.com -DomainType ExternalRelay
New-AcceptedDomain -Name contoso.com -DomainName contoso.com -DomainType Authoritative
2. リモート ドメインを構成する
New-RemoteDomain "Inbound Remote Domain" -DomainName contoso.com
New-RemoteDomain "Outbound Remote Domain" -DomainName service.contoso.com
Set-RemoteDomain "Inbound Remote Domain" -TrustedMailInboundEnabled $True
Set-RemoteDomain "Outbound Remote Domain" -TrustedMailOutboundEnabled $True -TargetDeliveryDomain $True
3. 受信コネクタを構成する
New-ReceiveConnector -Name "From Hub" -AuthMechanism ExternalAuthoritative -Fqdn mail.contoso.com -PermissionGroups AnonymousUsers,ExchangeServers,Partners -TlsDomainCapabilities mail.contoso.com:AcceptOorgProtocol -RemoteIPRanges <ハイブリッド ハブ トランスポート サーバーの IP アドレス> -Bindings 0.0.0.0:25
New-ReceiveConnector -Name "From Cloud" -Usage Internet -RemoteIPRanges <FOPE の送信 IP アドレス> -Bindings 0.0.0.0:25 -FQDN mail.contoso.com -TlsDomainCapabilities mail.messaging.microsoft.com:AcceptOorgProtocol
2011 年 11 月 8 日時点での FOPE の IP アドレス
12.129.20.0/24,12.129.199.61,12.129.219.155,63.241.222.0/24,65.55.88.0/24,94.245.120.64/26,206.16.57.70,
207.46.51.64/26,207.46.163.0/24,213.199.154.0/24,213.199.180.128/26,216.32.180.0/24,216.32.181.0/24
* FOPE の最新のアドレスについては、「Exchange 2010 ハイブリッド展開でのメール フローの構成」を参照してください。
ガイドライン「社内組織でトランスポート設定を構成する方法」の手順 6 ~ 11 を実行します。
4. 送信コネクタを構成する
New-SendConnector "To Cloud" -RequireTLS $True -TlsAuthLevel DomainValidation -TlsDomain mail.messaging.microsoft.com -Fqdn mail.contoso.com -ErrorPolicies DowngradeAuthFailures -AddressSpaces SMTP:service.contoso.com
New-SendConnector -Name "To Hub" -AddressSpaces SMTP:contoso.com -Fqdn mail.contoso.com -SmartHosts <ハイブリッド ハブ トランスポート サーバーの IP アドレス> -UseExternalDNSServersEnabled $false -SmartHostAuthMechanism ExternalAuthoritative
ハイブリッド ハブ トランスポート サーバーを構成する
シェルを使用して、ハイブリッド ハブ トランスポート サーバーの構成を以下のように変更します。
1. リモート ドメインを構成する
New-RemoteDomain "Inbound Remote Domain" -DomainName contoso.com
New-RemoteDomain "Outbound Remote Domain" -DomainName service.contoso.com
Set-RemoteDomain "Inbound Remote Domain" -TrustedMailInboundEnabled $True
Set-RemoteDomain "Outbound Remote Domain" -TrustedMailOutboundEnabled $True -TargetDeliveryDomain $True -AllowedOOFType InternalLegacy -AutoReplyEnabled $True -AutoForwardEnabled $True -DeliveryReportEnabled $True -NDREnabled $True -DisplaySenderName $True -TNEFEnabled $True
2. 受信コネクタを構成する
New-ReceiveConnector -Name "From Edge" -AuthMechanism ExternalAuthoritative -Fqdn mail.contoso.com -PermissionGroups ExchangeServers -RemoteIPRanges <エッジ トランス ポート サーバーの外部 IP アドレス> -Bindings 0.0.0.0:25
3. 送信コネクタを構成する
New-SendConnector -Name "To Edge" -AddressSpaces SMTP:service.contoso.com -Fqdn mail.contoso.com -SmartHosts <エッジ トランスポート サーバーの IP アドレス> -UseExternalDNSServersEnabled $false -SmartHostAuthMechanism ExternalAuthoritative