フォレスト間のトポロジの空き時間情報サービスを構成する方法
適用先: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007
トピックの最終更新日: 2012-09-24
ここでは、Exchange 管理シェルを使用して、フォレスト間のトポロジの空き時間情報サービスを構成する方法について説明します。 空き時間情報サービスは、セキュリティで保護された、一貫性のある、最新の空き時間情報を Microsoft Office Outlook 2007 を実行しているコンピューターに提供することによって、インフォメーション ワーカーの空き時間情報データを向上させます。 既定では、このサービスは Microsoft Exchange Server 2007 と共にインストールされます。 接続しているすべてのクライアント コンピューターが Outlook 2007 を実行しているフォレスト間のトポロジでは、空き時間情報を取得するには、空き時間情報サービスが唯一の方法です。
注 : |
---|
Exchange 管理コンソールを使用して、フォレスト間のトポロジの空き時間情報サービスを構成することはできません。 |
空き時間情報サービスは、信頼されているフォレストまたは信頼されていないフォレストを経由するフォレスト間のトポロジで使用できます。 空き時間情報の種類は、フォレスト間の空き時間情報がユーザー単位で構成されているか、組織全体のサービスとして構成されているかによって決まります。 ユーザーごとの空き時間情報は、信頼されたフォレスト間のトポロジでのみ可能です。 この空き時間情報を使用すると、空き時間情報サービスでは特定のユーザーの代理として、フォレスト間要求を行うことができます。 これで、リモート フォレスト内のユーザーが、詳細な空き時間情報をフォレスト間ユーザーに渡すことができます。
対照的に、組織全体の空き時間情報を使用すると、空き時間情報サービスでは特定の組織の代理としてのみ、フォレスト間要求を行うことができます。 この場合、ユーザーの既定の空き時間情報が返され、他のフォレスト内のユーザーに返される空き時間情報のレベルは制御できません。
注 : |
---|
ここでは、各フォレストを区別するため、ソース フォレストとターゲット フォレストという用語を使用します。 これらの用語の定義は次のとおりです。
|
フォレスト間のトポロジ用の Windows の構成
シナリオに応じて、次の要件も考慮する必要があります。
- フォレスト間でグローバル アドレス一覧 (GAL) を同期する必要があります。
- 自動検出サービスがフォレスト間で機能している必要があります。
- すべての Exchange 2007 クライアント アクセス サーバーが、ターゲット フォレストで証明書を検証する必要があります。
注 : | ||||
---|---|---|---|---|
Microsoft Exchange Server 2007 Service Pack 3 (SP3) の更新プログラムのロールアップ 6 では、Exchange Web サービスがターゲット フォレストに接続するのに、外部 URL を使用します。 ターゲット フォレストで Outlook Anywhere が有効になっていない場合、自動検出サービスで Exchange Web サービスの外部 URL を返すことができません。 この場合、フォレスト間の参照は失敗します。 この問題を解決するには、ターゲット フォレストの Outlook Anywhere を有効にしてから、Exchange Web サービスの外部 URL が正しく構成されていることを確認してください。
|
フォレスト間のトポロジ用に Microsoft Windows を構成するには、GAL 同期機能 (GALSync) をインストールおよび構成する必要があります。 Microsoft Identity Integration Server (MIIS) 2003 で、GALSync 機能をインストールおよび構成する方法の詳細については、以下のリソースを参照してください。
- Microsoft Identity Integration Server 2003 のシナリオについてのページ (英語の場合があります)
- Microsoft Identity Integration Server 2003
この機能は、他のフォレストに属する受信者を表す、メールボックスが有効な連絡先を作成します。 これにより、ユーザーは連絡先を GAL で参照し、会議出席者として追加できます。
Exchange 2007 のフォレスト間シナリオでは、フォレスト間で空き時間情報を共有する方法は空き時間情報サービスだけです。 以前のバージョンの Outlook をメールボックスのホームにしている従来の Exchange クライアントまたはユーザーは空き時間情報サービスを使用できないため、パブリック フォルダーに格納された情報がフォレスト間でレプリケートされていない限り、フォレスト外のユーザーの空き時間情報を取得できません。
したがって、Office Outlook 2003 以前のバージョンを実行している場合は、Microsoft Exchange Inter-Organization Replication ツールを使用して、複数のフォレスト間で空き時間情報データを同期する必要があります。Microsoft Exchange Inter-Organization Replication ツールの詳細については、「Microsoft Exchange Server Inter-Organization Replication」を参照してください (このサイトは英語の場合があります)。
Exchange 管理シェルから次のコマンドレットを実行して、パブリック フォルダーの空き時間情報の可用性を設定する必要もあります。
Add-AvailabilityAddressSpace -ForestName "target.forest.com" -AccessMethod PublicFolder
コマンドレットの実行に必要なアクセス許可
- Get-ClientAccessServer コマンドレットを実行するには、使用するアカウントに次の役割が委任されている必要があります。
Exchange 表示専用管理者の役割 - Add-ADPermission コマンドレットを実行するには、使用するアカウントに次の役割が委任されている必要があります。
Exchange 組織管理者の役割 - Add-AvailabilityAddressSpace コマンドレットを実行するには、使用するアカウントに次の役割が委任されている必要があります。
Exchange 組織管理者の役割 - Set-AvailabilityConfig コマンドレットを実行するには、使用するアカウントに次の役割が委任されている必要があります。
Exchange 組織管理者の役割
Exchange Server 2007 を管理するために必要なアクセス許可、役割の委任、および権限の詳細については、「アクセス許可に関する考慮事項」を参照してください。
フォレスト間の可用性と自動検出サービス
自動検出サービスは、フォレスト間の可用性について Outlook 2007 クライアントおよび Exchange 2007 クライアント アクセス サーバーの外部および内部 URL を確認して提供することで、空き時間情報サービスの情報を提供します。 つまり、クライアント アクセス サーバーは、空き時間情報サービスの URL を返すためにターゲット フォレスト上の自動検出サービスに接続できる必要があります。
フォレスト間の可用性シナリオでは、自動検出サービスの構成には基本的に 2 つの方法があります。
- フォレスト間に信頼関係がある場合、サービス接続ポイント (SCP) をターゲット フォレストからソース フォレストにエクスポートします。
- DNS を使用して、autodiscover.targetforest.com の Web サイト アドレスを解決します。
注 : |
---|
DNS サービスの場所 (SRV) レコードは、フォレスト間シナリオで、Exchange 2007 クライアント アクセス サーバーに対する自動検出サービスを特定する場合には役立ちません。 |
フォレスト間空き時間情報サービスは、このサービスで Active Directory ディレクトリ サービスのフォレスト間ユーザーの自動検出サービス要求を実行するときに時間制限があります。 既定では、このタイムアウト値は 10 秒です。 自動検出要求が 10 秒以内に完了しない場合、フォレスト間ユーザーの空き時間情報サービス要求はタイムアウトします。 詳細については、以下のトピックを参照してください。
フォレスト間の可用性と証明書
クライアント アクセス サーバーの役割と共に Exchange 2007 をインストールすると、自己署名入りの証明書が作成されます。 自己署名入りの証明書には 2 つのサブジェクトの別名 (SAN) エントリがあります。 1 つはクライアント アクセス サーバーの NetBIOS 名、もう 1 つはクライアント アクセス サーバーの完全修飾ドメイン名 (FQDN) です。 このため、クライアント アクセス サーバーにインストールされている既定の自己署名入り証明書を使用する場合、自動検出を両方のフォレスト間で動作させるには、1 つのオプションしかありません。 SCP をターゲット フォレストからソース フォレストにエクスポートする必要があります。 このシナリオでは、両方のフォレスト間の信頼関係が必要になります。 詳細については、以下のトピックを参照してください。
- Exchange 2007 自動検出サービスに関するホワイト ペーパー (英語の場合があります)
- 自動検出サービスの複数のフォレスト展開のための構成のヒントと一般的なトラブルシューティング ステップ (英語の場合があります)
フォレスト間に信頼関係がない場合で、自己署名入りの証明書を使用する場合は、新しい自己署名入りの証明書を再発行して、autodiscover.targetforest.com のサブジェクトの別名を含める必要があります。 新しい自己署名入りの証明書を再発行するには、New-ExchangeCertificate コマンドレットを使用します。 詳細については、「New-ExchangeCertificate (RTM)」を参照してください。
自己署名入りの証明書は、クライアント アクセス サーバーの役割と他の Exchange 2007 サーバーの役割との間の通信を暗号化する際に使用できますが、自己署名入りの証明書をクライアント アプリケーションおよびデバイスで使用することはお勧めしません。 自己署名入りの証明書には制限があるため、自己署名入りの証明書を信頼されたサード パーティ証明書または Windows PKI により署名された証明書のいずれかに置き換えることをお勧めします。 詳細については、以下の Exchange ヘルプ トピックを参照してください。
手順
Exchange 管理シェルを使用して、フォレスト間のトポロジの空き時間情報サービスを構成するには、次の操作を行います
Windows の信頼関係のシナリオで、次のコマンドレットをソース フォレストとターゲット フォレストで実行します。
ソース フォレスト :
Add-AvailabilityAddressSpace -ForestName "xyz.com" -AccessMethod PerUserFB -UseServiceAccount $true
ターゲット フォレスト :
Get-ClientAccessServer | Add-AdPermission -AccessRights ExtendedRight -ExtendedRights "ms-exch-epi-token-serialization" -User "Sourceforest\Exchange Servers"
信頼関係が存在しない場合、ソース フォレストとターゲット フォレストで次のコマンドレットを実行する必要があります。 このシナリオでは、アクセス許可のレベルの低いサービス アカウントがターゲット ドメインで必要になります。 たとえば、管理アクセス許可のない通常のアカウントを使用します。
ソース フォレスト :
$a = Get-Credential (Type the credential "TargetForest\User" for organization-wide user) Add-AvailabilityAddressSpace -ForestName "xyz.com" -AccessMethod OrgWide -Credential $a
ターゲット フォレスト :
Set-AvailabilityConfig -OrgWideAccount "TargetForest\User"
信頼関係のシナリオでは、自動検出サービスの構成には 2 つの方法があります。 SCP をターゲット フォレストからエクスポートするか、DNS を使用してホスト レコード "autodiscover.targetforest.com" に照会します。
信頼関係のシナリオでは、次のコマンドレットを使用して、ターゲット フォレストからソース フォレストに SCP をエクスポートします。
$a = Get-Credential (Type "SourceForest\Administrator") Export-AutodiscoverConfig -TargetForestDomainController "dc.sourceforest.com" -TargetForestCredential $a -MultipleExchangeDeployments $true
注 : リモート ドメインから SCP をインポートした後、自動検出サービスが正しく機能しない場合があり、Outlook 2007 クライアントが不在時および空き時間情報に照会できない場合があります。 この問題を解決する方法については、973404、「Outlook 2007 修正プログラム パッケージ (Outlook-x-none.msp) の説明: 2009 年 8 月 25 日」を参照してください。 信頼されているシナリオまたは信頼されていないシナリオでは、Exchange 2007 クライアント アクセス サーバーは、"autodiscover.targetforest.com" を解決するために DNS に照会するように構成されています。 この場合、"autodiscover.targetforest.com" のホスト レコードを作成します。
注 : 自動検出は、可用性 InternalURL を Exchange 2007 クライアント アクセス サーバーに返します。
信頼されたフォレストの場合でも、信頼されていないフォレストの場合でも、ソース フォレスト内の Exchange 2007 クライアント アクセス サーバーは、ターゲット フォレスト内の各 Exchange 2007 クライアント アクセス サーバーにインストールされた証明書を検証する必要があります。 有効な証明書を使用していることを確認するには、次の手順を実行します。
自己署名入りの証明書がターゲット フォレスト内の Exchange 2007 クライアント アクセス サーバーにインストールされている場合、この証明書をエクスポートする必要があります。 内部ルート CA があり、プライベート証明書がインストールされている場合も、同じ概念が適用されます。Exchange 2007 は、既定の自己署名入りの SSL (Secure Sockets Layer) 証明書と共にインストールされます。 Exchange ActiveSync、Office Outlook Web Access、および空き時間情報サービスで SSL を有効にした場合、この証明書を使用できます。 ただし、この証明書はほとんどのクライアント アプリケーションで無効と見なされるため、ユーザーはプロンプトを受け取ります。Exchange ActiveSync と Office Outlook Web Access は、あるクライアント アクセス サーバーから別のクライアント アクセス サーバーへのプロキシ処理をサポートします。 自己署名入りの証明書の使用時にプロキシ プロセスを正しく設定するには、次のレジストリ キーを示されているとおりに構成する必要があります。
HKLM\System\CurrentControlSet\Services\MSExchangeOWA\AllowInternalUntrustedCerts = 1 HKLM\System\CurrentControlSet\Services\MSExchangeOWA\AllowExternalUntrustedCerts = 1
自己署名入りの証明書またはルート CA 証明書をエクスポートした後、各 Exchange 2007 クライアント アクセス サーバーのコンピューター アカウント ストアにインポートします。
自動検出サービスと空き時間情報サービスを正しくテストするには、次のいずれかの方法を使用します。
エクスポートされた SCP : ソース フォレスト内の Exchange 2007 クライアント アクセス サーバーから自動検出 Web サイトにアクセスし、ターゲット フォレストで次のコマンドレットを実行します。
Get-ClientAccessServer | fl name, AutoDiscoverServiceInternaluri Get-WebServiceVirtualDirectory | fl name, InternalUrl
ターゲット フォレストの空き時間情報サービス Web サイトでこの手順を繰り返します。
DNS : ソース フォレスト内の Exchange 2007 クライアント アクセス サーバーから自動検出 Web サイトにアクセスし、ターゲット フォレストで次のコマンドレットを実行します。
Get-WebServicesVirtualDirectory | fl name, ExternalUrl
ターゲット フォレストの空き時間情報サービス Web サイトでこの手順を繰り返します。
詳細情報
構文およびパラメーターの詳細については、以下のコマンドレット関連トピックを参照してください。
参照している情報が最新であることを確認したり、他の Exchange Server 2007 ドキュメントを見つけたりするには、Exchange Server TechCenter を参照してください。