次の方法で共有


Exchange 2010 SP2 の OWA のクロスサイト サイレント リダイレクト

原文の記事の投稿日: 2011 年 12 月 13 日 (火曜日)

これまで、多くの皆さんが、アドレス帳のポリシー (英語)ホスティングの変更、およびハイブリッドな構成ウィザード について説明した記事をお読みになられたことと思いますが、さらに、Exchange 2010 SP2 への追加が決定した最も求められている機能についての説明を望んでいらっしゃることでしょう。

確かに、Tony は「SP2 の新しい機能で大騒ぎになる可能性は低い」と言いましたし、Windows IT Pro での SP2 の発表記事 (英語) では、SP2 の新機能はそれほど多くない (正確な言葉は「比較的少ない」だったと思いますが) とも言いました。

しかし、はっきり言えることとして、Exchange 2010 SP2 には、あまり語られていませんが、目玉となる機能が 1 つあるのです。そうです、そろそろ Outlook Web App のクロスサイト サイレント リダイレクトについて説明するときではないでしょうか。

定義

最初に、私たち全員が同じように理解するために、いくつかの定義を見直しましょう。

  • インターネットに接続する Active Directory サイト: 関連するサービス (OWA など) 用の ExternalURL が設定された CAS を含む Active Directory サイト。通常、これは Exchange 2010 が展開される主要なデータセンター/サイトです。
  • 地域インターネットに接続する Active Directory サイト: 関連するサービス (OWA など) 用の ExternalURL が設定された CAS を含む Active Directory サイト。
  • インターネットに接続しない Active Directory サイト: 関連するサービス用の ExternalURL が設定されていない CAS を含む Active Directory サイト。
  • 直接接続: CAS が、メールボックス データをホストするメールボックス サーバーで RPC セッションを確立するプロセス。
  • プロキシ: インターネットに接続する Active Directory サイト内の CAS が、インターネットに接続しない Active Directory サイト (アクセス対象のメールボックス サーバーと同じサイトに存在します) 内の CAS に、着信要求をプロキシするプロセス。
  • リダイレクト: 1 つの Active Directory サイト内に存在するインターネットに接続する CAS が、アクセス対象のメールボックス サーバーと同じサイト内に存在するインターネットに接続する別の CAS に、エンド ユーザーをリダイレクトするプロセス。
  • サイレント リダイレクト: CAS がサイレント リダイレクトをユーザーのブラウザーに戻し、指定された URL への接続を確立するようにブラウザーに指示するプロセス。
  • シングル サインオン (SSO) リダイレクト: CAS がサイレント リダイレクトをユーザーのブラウザーに戻し、ログイン操作がシームレスになるように、リクエストと認証資格情報をターゲット CAS に送信するようにブラウザーに指示するプロセス。

OWA 接続プロセス

さまざまなプロキシとリダイレクトのシナリオを理解するには、ユーザーが CAS から認証を受けて OWA にアクセスする際に実行される操作の裏のメカニズムを理解することが重要です。今回は Exchange 2010 pre-SP2 の場合を考えます。

  1. ユーザーは、Web ブラウザーを使用して OWA URL にアクセスします。
  2. ユーザーは資格情報を入力します。
  3. CAS はユーザーを認証し、サービス検索要求を介して以下の情報を取得します。
    1. ユーザーのメールボックスのバージョン
    2. わかっている場合は、ユーザーのメールボックスの場所 (Active Directory サイト)
  4. CAS は正しい操作を実行できるように、メールボックスの情報に基づいてその他の情報を収集します。
    1. メールボックスが Exchange 2010 でありローカルな場所に存在する場合は、CAS は直接接続を実行します。
    2. メールボックスが Exchange 2007 でありローカルな場所に存在する場合は、CAS は Exchange 2007 CAS の ExternalURL を取得し (ExternalURL が定義されていない場合は InternalURL が使用されます)、サイレントにリダイレクトします。
    3. メールボックスが Exchange 2003 の場合は、CAS は Exchange2003URL を取得し、サイレントにリダイレクトします。
    4. メールボックスがローカルな場所に存在しない場合は、CAS はターゲット ExternalURL を取得し (定義されている場合)、OWA ExternalURL がターゲット Active Directory サイトで定義されていなければ、リダイレクトまたはプロキシを実行します。

SP1 OWA リダイレクト タイプ

Exchange 2010 SP1 では、少し変更を加え、設置型製品での OWA のリダイレクト操作が 3 種類になりました。

  • 手動リダイレクト
  • 一時的な手動リダイレクト
  • レガシ サイレント リダイレクト

手動リダイレクト

手動リダイレクトを使用すると、ユーザーのメールボックスに近接する CAS が存在する場合は、ユーザーは中央の場所からすべてのトラフィックを送ったりプロキシ処理したりする必要がなくなります。

CAS が、異なる Active Directory サイトに配置されている Exchange 2007 または Exchange 2010 CAS インフラストラクチャに OWA リクエストをリダイレクトしなければならない場合に、手動リダイレクトが実行されます。前述したように、手動リダイレクトを実行するには、ターゲットの OWA 仮想ディレクトリに ExternalURL が設定されている必要があります。ユーザーには、以下の手動リダイレクトのメッセージと、別の Active Directory サイトに存在する CAS の ExternalURL が表示されます。

1 
図 1: メールボックスが別の Active Directory サイトに配置されている場合の手動リダイレクト

 

一時的な手動リダイレクト

SP1 では、一時的な手動リダイレクトと呼ばれるリダイレクト タイプを OWA 用に新たに追加しました。以下に、一時的な手動リダイレクトが機能する 2 つのシナリオを説明します。

  1. データセンター アクティベーションのスイッチバック イベントの間、ユーザーの Web ブラウザーは、正しくない DNS エントリがまだキャッシュされているため、メールボックスをホストしていない Active Directory サイトにある CAS インフラストラクチャをポイントしている可能性があります。その結果、CAS は正しい Ative Directory サイトに手動リダイレクトを発行しますが、リダイレクトはユーザーが現在使用しているものと同じ URL に対して実行されます。ユーザーが自分のメールにアクセスできないピンポン効果を回避するために、CAS は同じセッション Cookie が返されるているかどうかを検出し、同じセッション Cookie が返されている場合は、ターゲット CAS に OWA 仮想ディレクトリ用の FailbackURL 値があるかどうかを確認します。FailbackURL が指定されている場合は、CAS は FailbackURL リンクを示す一時的な手動リダイレクト ページを発行します。FailbackURL が指定されていない場合は、CAS はユーザーにすべてのブラウザー セッションを閉じて再試行するように指示するエラー ページを発行します。

    3
    図 2: データセンター アクティベーションのスイッチバック時の一時的な手動リダイレクト

  2. 2 番目のシナリオでは、CAS は、ローカルな CAS のサイトがメールボックス データベースの RpcClientAccessServer 値のものと一致していることを検出したときに一時的な手動リダイレクト ページを発行します。しかし、データベースは実際は別の Active Directory サイトにマウントされているため、CAS はマウントされているデータベースをホストしているサイト内の CAS の ExternalURL とともに一時的なリダイレクトを発行します。

    2
    図 3: メールボックスが別の Active Directory サイトにマウントされている場合の一時的な手動リダイレクト

レガシ サイレント リダイレクト

Outlook Web Access については、Exchange 2010 CAS は旧バージョンの Exchange のメールボックス データをレンダリングすることはサポートしていません。Exchange 2010 CAS は、ターゲット メールボックスのバージョンや場所に応じて以下の 4 つのシナリオのいずれかを実行します。

  • Exchange 2007 メールボックスが CAS2010 と同じ Active Directory サイトに存在する場合は、CAS2010 はセッションを Exchange 2007 CAS にサイレントにリダイレクトします。
  • Exchange 2007 メールボックスがインターネットに接続する別の Active Directory サイトに存在する場合は、CAS2010 はユーザーを Exchange 2007 CAS に手動でリダイレクトします。
  • Exchange 2007 メールボックスがインターネットに接続しない Active Directory サイトに存在する場合は、CAS2010 は接続を Exchange 2007 CAS にプロキシします。
  • メールボックスが Exchange 2003 サーバー上に存在する場合は、CAS2010 はセッションを事前に定義された URL にサイレントにリダイレクトします。

前述のとおり、レガシ サイレント リダイレクトは、Exchange 2010 CAS とレガシのインフラストラクチャ間で発生する同一サイトのリダイレクト イベントでのみ使用されます。レガシ サイレント リダイレクトの実行時、CAS2010 はサイレント リダイレクトをユーザーのブラウザーに返し、レガシの CAS2007/FE2003 インフラストラクチャに対する接続を確立するようにブラウザーに指示します。レガシのインフラストラクチャへのリダイレクトを正常に実行するには、以下を構成する必要があります。

  • Exchange 2003 メールボックスをリダイレクトするには、Exchange 2010 OWA 仮想ディレクトリに Exchange2003URL が設定されている必要があります。
  • Exchange 2007 CAS にリダイレクトするには、ターゲット Exchange 2007 OWA 仮想ディレクトリに ExternalURL が設定されている必要があります。

フォームベース認証 (FBA) がソースおよびターゲットの OWA 仮想ディレクトリで使用される場合、フィールドが指定されている非表示の FBA フォームを Web ブラウザーに送信することで、レガシ サイレント リダイレクトはシングル サインオン操作も実現できます。この非表示フォームには、ユーザーが最初に CAS2010 FBA ページに送信した情報 (ユーザー名、パスワード、パブリック/プライベート セレクター) と同じ情報と、ターゲット Exchange 固有のパスとクエリ文字列へのリダイレクトが含まれます。このフォームは、ロードされると直ちにターゲット URL に送信されるので、ユーザーは自動的に認証されメールボックス データにアクセスできます。

手動リダイレクトの短所

一目見て、「手動リダイレクトはすごい」と思うこともあるでしょう。ある程度は当たっています。手動リダイレクトは、ユーザーが自分のデータにアクセスする場所を制御する (ユーザーに正しいネットワーク リンクを利用させる) IT 組織にとってはすばらしい機能です。しかし実際、エンド ユーザーにとっては最適な操作ではありません。ユーザーが間違った OWA URL を使用するシナリオでは、ユーザーは以下の操作を実行します。

  1. ユーザーは Web ブラウザーに間違った URL を入力します。
  2. ユーザーは資格情報を入力し、CAS (間違ったサイト) から認証を受けます。
  3. CAS (間違ったサイト) は、サービス検索を実行し、ユーザーを正しい CAS にリダイレクトできると判断します。
  4. CAS (間違ったサイト) は、ユーザーに CAS (正しいサイト) に対するリンクが含まれるページを提供します。
  5. ユーザーはリンクをクリックして、正しいサイトから OWA にアクセスします。
  6. ユーザーは資格情報を入力し、CAS (正しいサイト) から認証を受けます。

これは、間違った URL を使用したことがユーザーに知らされ、さらにユーザーは資格情報を 2 回入力する必要がある、手動リダイレクトでは効率性が劣る操作です。

Exchange 2010 SP2 でのクロスサイト サイレント リダイレクト

この効率性の劣る操作 (Greg は、くだらない操作と言ってますが) を除外するために、Exchange 2010 SP2 に、クロスサイト サイレント リダイレクトという OWA 用の 4 番目のリダイレクト操作を用意しました。その名が示すとおり、クロスサイト サイレント リダイレクトは、OWA ExternalURL が設定されている (同一 Exchange 組織内の) 別の Active Directory サイトにある CAS 宛てのリクエストに対してのみサイレント リダイレクトを実行します。

クロスサイト サイレント リダイレクトをサポートするために、新しいパラメーター CrossSiteRedirectType が作成されました。このパラメーターは Set-OWAVirtualDirectory コマンドレットで利用でき、2 つの値 Manual と Silent をサポートします。クロスサイト サイレント リダイレクトは既定では無効になっています (既定値は Manual です)。つまり、現在異なる Active Directory サイトの CAS 間で手動リダイレクトを実行している場合は、SP2 の展開後も手動リダイレクトが続行されます。

クロスサイト サイレント リダイレクトを有効にするには、インターネットに接続する CAS OWA 仮想ディレクトリで CrossSiteRedirectType を Silent に設定します。

Set-OWAVirtualDirectory -Identity "Contoso\owa (Default Web site)" -CrossSiteRedirectType Silent

私たちは、クロスサイト サイレント リダイレクトをサポートするために、OWA 接続プロセスを更新しました。CAS はサービス検索中に以下の手順を実行します。

  1. メールボックスのバージョン (Exchange 2007 または Exchange 2010) を検証します。
  2. メールボックスの場所を確認します。
  3. ターゲット CAS の ExternalURL を取得します。
  4. ソース CAS のリダイレクト タイプを取得します。
    1. CrossSiteRedirectType=Manual の場合は、手動リダイレクトを発行します。
    2. CrossSiteRedirectType=Silent の場合は、サイレント リダイレクトを発行します。
      1. ソースおよびターゲット CAS の FBA が有効になっている場合は、ソース CAS は、ブラウザーに、ユーザーの資格情報と FBA 設定を含む非表示フォームをリダイレクト URL とともに発行します。
      2. ソースおよびターゲットで FBA が有効になっていない場合は、ソース CAS は単に 302 リダイレクトを発行します。

そうです、ソースおよびターゲット OWA 仮想ディレクトリでフォームベース認証を利用するときは、クロスサイト サイレント リダイレクトは SSO 操作になります。OWA 仮想ディレクトリの認証メカニズムが Windows 統合認証であり、OWA 名前空間が "ローカル イントラネット" セキュリティ ゾーンに追加されている場合は、OWA を内部的に展開するだけのユーザーは SSO 操作も実行できます。

SSO 操作を取得できないとき

以下は、Active Directory サイト間でリダイレクトするときに、SSO 操作を実行できない数少ないシナリオです。

  1. ソースおよびターゲット OWA 仮想ディレクトリで、基本認証を利用する。
  2. ソースおよびターゲット OWA 仮想ディレクトリで、異なる認証設定を利用する。
  3. ソースおよびターゲット OWA 仮想ディレクトリで、2 要素認証ソリューションを利用する。
  4. (Microsoft Threat Management Gateway 2010 のように) ソースおよびターゲット OWA 名前空間で異なる Web リスナーを使用する事前認証ソリューションを利用する。
  5. ローカル CAS が、別の Active Directory サイトにある別の CAS に一時的なリダイレクトを発行する。

これらのシナリオで SSO 操作を利用できない間は、302 リダイレクト (サイレント リダイレクトと呼びます) が引き続き実行されることを覚えておいてください。

クロスサイト サイレント リダイレクトにより、正しい OWA インフラストラクチャに移動するためにリンクをクリックしなければならないことに対するエンド ユーザーの不満が解消され、実際、資格情報を 2 回入力する必要がなくなります。今まで OWA 手動リダイレクトを使用してきたお客様には、Exchange 2010 SP2 を展開するときはクロスサイト サイレント リダイレクトを有効にしていただければと思います。

Ross Smith IV
主席プログラム マネージャー
Exchange カスタマー エクスペリエンス

これはローカライズされたブログ投稿です。原文の記事は、「OWA Cross-Site Silent Redirection in Exchange 2010 SP2」をご覧ください。