既存環境から Exchange Server 2013 への移行上の注意点 “その1”
HTTP による Outlook Anywhere 使用について
既存環境から Exchange Server 2013 への移行が増加している状況ですが、Exchange Server 2013 追加時の Outlook Anywhere 使用上の注意点をお知らせします。
Exchange Server 2013 を既存の組織に追加すると、Outlook Anywhere に関する設定にクライアントからの接続時に SSL を使うべきかどうかを指定するためのパラメーターである InternalClientsRequireSsl および ExternalClientsRequireSsl が追加されます。
ネットワーク外部からの接続時に有効である ExternalClientsRequireSsl は既定で有効 (True) であるため、SSL で運用されている場合には特に影響はありませんが、環境によっては SSL を使用できず HTTP で接続しているような場合も少なくありません。
そのような環境では Exchange Server 2013 を追加した時点から、Outlook における自動構成 (Autodiscover) により、この設定が検出され SSL が有効であるプロファイルに書き換わる場合があります。
これにより Outlook Anywhere での接続時に証明書のエラーが表示され接続できないなどの現象が発生します。
動作概要
- Outlook 起動時に Autodiscover が機能し、任意のドメイン コントローラーに LDAP 接続します。
- 組織上の全てのクライアント アクセス サーバーに関する SCP (AutoDiscoverServiceInternalUri で指定された URL) を取得します。
- クライアントから SCP に含まれるURL に対して接続します。
- 接続先のクライアント アクセス サーバーは、Autodiscover 構成ファイルに必要な情報を Active Directory から取得し、構成ファイルが自動生成されます。
このとき、組織内の ExternalHostname が設定されているRPC 仮想ディレクトリを読み取りキャッシュ上に保持し、同一サイトの RPC仮想ディレクトリをランダムに返します。 - 接続したクライアント アクセス サーバーに構成されている Outlook Anywhere の構成を基に、Outlook プロファイルが形成されます。
- 形成された Outlook プロファイルの構成に基づいて、Outlook が起動します。
イメージ
以下の様に Outlook が Autodiscover により Outlook Anywhere に関する情報を取得する際、ExternalClientsRequireSsl が True となっているクライアント アクセス サーバーが組織内に混在している場合、HTTP (Non-SSL) と HTTPS (SSL) の両方の情報を取得する可能性があります。
Exchange 2013 の RPC 仮想ディレクトリが選択された場合のみ HTTPS での通信が試みられ、HTTPS が許可されていない環境ではログオンに失敗します。
もし、既存環境で HTTPS による接続が許可されていない場合、Exchange Server 2013 追加後には以下のコマンドを実行し、Exchange Server 2013 上における SSL 使用を無効にしておくことをお勧めいたします。
Set-OutlookAnywhere -Identity "<Rpc 仮想ディレクトリ名>" -ExternalClientsRequireSsl:$False -InternalClientsRequireSsl:$False
上記設定は Exchange Server 2013 上の Exchange 管理シェルから以下のコマンドを実行することで確認可能です。
Get-OutlookAnywhere | fl
- 既定値
Exchange Server 2007
ExternalClientsRequireSsl : True
InternalClientsRequireSsl : False
Exchange Server 2010
ExternalClientsRequireSsl : True
InternalClientsRequireSsl : False
Exchange Server 2013
ExternalClientsRequireSsl : True
InternalClientsRequireSsl : True
- 参考情報
TITLE: White Paper: Exchange 2007 Autodiscover Service
URL: https://technet.microsoft.com/en-us/library/bb332063(v=EXCHG.80).aspx
Title: Set-OutlookAnywhere
URL: https://technet.microsoft.com/ja-jp/library/bb123545(v=exchg.150).aspx