フォレスト間の管理を構成する方法

 

適用先: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007

トピックの最終更新日: 2010-09-20

ここでは、Setup.com を使用してフォレスト間の管理を有効にする方法について説明します。あるフォレストのユーザー アカウントから別のフォレストの Microsoft Exchange Server 2007 を管理する必要がある場合は、この手順を使用します。この手順は、次のようなシナリオで使用します。

• リソース フォレストは一般的なシナリオで、Exchange サーバーを含まないフォレスト (ユーザー アカウント フォレスト) と、Exchange 組織用に個別のフォレストを使用します。
• 複数の Exchange フォレストを持つ従来のフォレスト間シナリオでは、一方のフォレストにあるユーザーが、両方のフォレストの Exchange を管理します。または、一方のフォレストのユーザーが別のフォレストの Exchange を管理しますが、両方のフォレストは管理しません。

Exchange サーバー、プロパティ、および受信者を管理する場合、管理者は、次のいずれかの Exchange 管理者の役割についてメンバシップを委任されている必要があります。

• Exchange 組織管理者
• Exchange パブリック フォルダ管理者
• Exchange 受信者管理者
• Exchange 表示専用管理者

注 :
Exchange パブリック フォルダ管理者の役割は、Exchange 2007 の RTM (Release To Manufacturing) 版には存在しません。Exchange 2007 Service Pack 1 (SP1) で導入されました。

ただし、別のフォレストのユーザーを Exchange 管理者の役割に追加することはできません。フォレスト A のユーザー アカウントを使用してフォレスト B の Exchange 2007 サーバーを管理するには、以下の手順を実行する必要があります。

1. まだ作成していない場合は、並行してフォレスト A に Exchange 管理者の役割を作成します。
2. Setup.com を ForeignForestFQDN パラメータと共に使用して、フォレスト B のオブジェクトへのアクセス許可をフォレスト A の役割に与えます。
3. 並行してフォレスト A に新しく作成した Exchange 管理者の役割に、フォレスト A のユーザーを追加します。

重要 :
フォレスト間の管理を構成した後は、フォレスト内で別のフォレストのユーザー アカウントを使用して Exchange セットアップ操作を実行することはできません。たとえば、フォレスト内で別のフォレストのユーザー アカウントを使用してサーバーの役割の追加や削除を行ったり、サーバーを回復したりすることはできません。そのユーザー アカウントがフォレスト間の管理用に構成されている場合も同様です。

注 :
Exchange 管理者の役割を作成するには、Active Directory ユーザーとコンピュータを使用してグループを作成する必要があります。グループ スコープには [ユニバーサル]、グループの種類には [セキュリティ] を選択します。詳細については、「アクセス許可に関する考慮事項」を参照してください。

開始する前に

両方のフォレストのフォレスト機能レベルが Microsoft Windows Server 2003 であることを確認します。Active Directory の機能レベルの詳細については、機能レベルの背景情報についてのページを参照してください (このサイトは英語の場合があります)。

2 つのフォレスト間に双方向のフォレストの信頼関係を作成します。詳細な手順については、信頼の両方の側に対する双方向のフォレストの信頼の作成についてのページを参照してください (このサイトは英語の場合があります)。フォレスト間の管理を構成するには、この信頼が必要となります。リソース フォレスト シナリオを使用している場合は、この手順を完了してフォレスト間の管理を構成した後に、Exchange フォレストがユーザー アカウント フォレストを信頼するように信頼を一方向にダウングレードすることができます。フォルダの共有には双方向の信頼が必要となりますので注意してください。

注 :
信頼の種類が [外部] ではなく [フォレスト] であることを確認します。

次の手順において、フォレスト A には、別のフォレストにある Exchange 2007 サーバーを管理する必要があるユーザー アカウントが置かれています。フォレスト B には、フォレスト A のユーザーによって管理される Exchange 2007 サーバーが置かれています。

この手順をフォレスト A で実行するには、使用するアカウントに次の権限が委任されている必要があります。

• フォレスト A の Enterprise Admins グループのメンバシップ

この手順をフォレスト B で実行するには、使用するアカウントに次の権限が委任されている必要があります。

• フォレスト B の Enterprise Admins グループのメンバシップ

注 :

フォレスト A とフォレスト B の両方に Enterprise Admin レベルの権限が与えられたアカウントを持っている場合は、Setup /PrepareAD /ForeignForestFQDN:ForestA.contoso.com コマンドを実行することにより、手順 2. ～ 7. が自動的に実行されます。ただし、両方のフォレストに Enterprise Admin レベルの権限を持つユーザーを設定することは通常ありません。そのため、手順 2. ～ 7. を手動で実行し、最初に Exchange ユニバーサル セキュリティ グループを作成することをお勧めします。次に、フォレスト A のこれらのグループに対して、フォレスト A の Enterprise Admins グループのメンバであるアカウントを使用してアクセス許可を割り当てます。その後で、フォレスト B の Enterprise Admins グループのメンバであるアカウントを使用してフォレスト B で Setup /PrepareAD /ForeignForestFQDN:ForestA.contoso.com を実行します。

重要 :
管理者は、ユーザー プリンシパル名 (UPN) 認証を使用してリソース フォレストのサーバーにログオンする必要があります。管理者は、フォレストの信頼に異常な UPN サフィックスが登録されている場合は、ログオン時に Kerberos チケットがあることを確認する必要もあります。Exchange の管理ツールがリソース フォレストの構成名前付けコンテキストに接続するには、Kerberos チケットが必要です。NTLM 認証が使用されていると (DOMAIN\USERNAME)、アカウント フォレスト ドメインへのキャッシュされた接続が存在しない場合に管理ツールの LDAP バインドが失敗することがあります。

手順

Exchange 2007 SP1

Exchange 2007 SP1 でフォレスト間の管理を構成するには、次の操作を行います。

1. 従来のフォレスト間シナリオを使用し、フォレスト A とフォレスト B の両方に Exchange がインストールされている場合、フォレスト B の Exchange を管理するフォレスト A のユーザーが、フォレスト A の管理者にならないようにするには、フォレスト A の以下の組織単位とグループの名前を変更するか、移動する必要があります。

   • Microsoft Exchange セキュリティ グループ
   • Exchange Organization Administrators
   • Exchange Public Folder Administrators
   • Exchange Recipient Administrators
   • Exchange View-Only Administrators

   それには、次のいずれかの方法を使用します。

   • 組織単位またはグループの名前を変更する
   • 組織単位またはグループを別の組織単位に移動する
   • 組織単位またはグループを別のドメインに移動する

   これらのグループは、名前変更または移動した後も同じメンバシップとアクセス許可が保持されるため、これらのグループのメンバであるアカウントを使用してフォレスト A の Exchange を管理できます。

   従来のフォレスト間シナリオを使用し、フォレスト A とフォレスト B の両方に Exchange がインストールされている場合に、フォレスト A のユーザーがフォレスト A とフォレスト B の Exchange を管理するように構成するには、手順 9. に進みます。

   リソース フォレストのシナリオを使用している場合は、手順 2. に進みます。

2. フォレスト A のルート ドメインに、[Microsoft Exchange セキュリティ グループ] という名前の新しい組織単位を作成します。組織単位を作成する方法の詳細については、「新しい組織単位 (OU) を作成する」を参照してください。

3. フォレスト A の [Microsoft Exchange セキュリティ グループ] 組織単位に、次のユニバーサル セキュリティ グループを作成します。

   • Exchange Organization Administrators
   • Exchange Public Folder Administrators
   • Exchange Recipient Administrators
   • Exchange View-Only Administrators

   詳細については、新しいグループの作成についてのページを参照してください (このサイトは英語の場合があります)。

   注 :
   グループ スコープには [ユニバーサル]、グループの種類には [セキュリティ] を選択します。

4. フォレスト A で以下の手順を実行し、[Exchange Organization Administrators] グループを [Exchange Recipient Administrators] グループに追加します。

   1. [Exchange Recipient Administrators] グループを右クリックし、[プロパティ] をクリックします。
   2. [メンバ] タブで、[追加] をクリックします。
   3. [ユーザー、コンピュータ、またはグループの選択] に「Exchange Organization Administrators」と入力し、[OK] をクリックします。
   4. [Exchange Recipient Administrators のプロパティ] ページで [OK] をクリックします。

5. フォレスト A で以下の手順を実行し、[Exchange Organization Administrators] グループを [Exchange Public Folder Administrators] グループに追加します。

   1. [Exchange Public Folders Administrators] グループを右クリックし、[プロパティ] をクリックします。
   2. [メンバ] タブで、[追加] をクリックします。
   3. [ユーザー、コンピュータ、またはグループの選択] に「Exchange Organization Administrators」と入力し、[OK] をクリックします。
   4. [Exchange Public Folder Administrators のプロパティ] ページで [OK] をクリックします。

6. フォレスト A で以下の手順を実行し、[Exchange Recipient Administrators] グループを [Exchange View-Only Administrators] グループに追加します。

   1. [Exchange View-Only Administrators] グループを右クリックし、[プロパティ] をクリックします。
   2. [メンバ] タブで、[追加] をクリックします。
   3. [ユーザー、コンピュータ、またはグループの選択] に「Exchange Recipient Administrators」と入力し、[OK] をクリックします。
   4. [Exchange View-Only Administrators のプロパティ] ページで [OK] をクリックします。

7. フォレスト A で以下の手順を実行し、[Exchange Public Folder Administrators] グループを [Exchange View-Only Administrators] グループに追加します。

   1. [Exchange View-Only Administrators] グループを右クリックし、[プロパティ] をクリックします。
   2. [メンバ] タブで、[追加] をクリックします。
   3. [ユーザー、コンピュータ、またはグループの選択] に「Exchange Public Folder Administrators」と入力し、[OK] をクリックします。
   4. [Exchange View-Only Administrators のプロパティ] ページで [OK] をクリックします。

8. フォレスト A の Active Directory ユーザーとコンピュータの [表示] メニューで、[拡張機能] をクリックし、以下の手順を実行します。

   1. [Microsoft Exchange セキュリティ グループ] 組織単位を右クリックし、[プロパティ] をクリックします。
   2. [セキュリティ] タブの [詳細設定] をクリックします。
   3. [アクセス許可] タブの [アクセス許可エントリ] ボックスの一覧で、[Exchange Organization Administrators] を選択し、[編集] をクリックします。
   4. [オブジェクト] タブの [適用先] ボックスの一覧で、[このオブジェクトおよびすべての子オブジェクト] を選択します。
   5. [アクセス許可] ボックスの一覧で、[フル コントロール] を検索し、[許可] チェック ボックスをオンにします。
   6. [OK] をクリックします。
   7. [アクセス許可] タブで、[Exchange Recipient Administrators] を選択し、[編集] をクリックします。
   8. [オブジェクト] タブの [適用先] ボックスの一覧で、[このオブジェクトおよびすべての子オブジェクト] を選択します。
   9. [アクセス許可] ボックスの一覧で、[フル コントロール] を検索し、[許可] チェック ボックスをオンにします。
   10. [OK] をクリックします。
   11. [アクセス許可] タブで、[Exchange Public Folder Administrators] を選択し、[編集] をクリックします。
   12. [オブジェクト] タブの [適用先] ボックスの一覧で、[このオブジェクトおよびすべての子オブジェクト] を選択します。
   13. [アクセス許可] ボックスの一覧で、[フル コントロール] を検索し、[許可] チェック ボックスをオンにします。
   14. [OK] をクリックします。
   15. [アクセス許可] タブで、[Exchange View-Only Administrators] を選択し、[編集] をクリックします。
   16. [オブジェクト] タブの [適用先] ボックスの一覧で、[このオブジェクトおよびすべての子オブジェクト] を選択します。
   17. [アクセス許可] ボックスの一覧で、[フル コントロール] を検索し、[許可] チェック ボックスをオンにします。
   18. [OK] を 2 回クリックします。

9. フォレスト B の Enterprise Admins グループのメンバであるアカウントを使用してフォレスト B にログオンし、コマンド プロンプト ウィンドウで次のコマンドを実行します。

   Setup /prepareAD /ForeignForestFQDN:ForestA.contoso.com
   

   このコマンドにより、フォレスト A の Exchange ユニバーサル セキュリティ グループが作成され、アクセス許可が正しく割り当てられたかどうかを確認できます。フォレスト B では、このコマンドによって、フォレスト A に新たに作成された Exchange ユニバーサル セキュリティ グループがフォレスト B の Exchange 構成に対する権限を持つよう、Exchange 構成オブジェクトの Active Directory のアクセス制御エントリ (ACE) が構成されます。Setup /PrepareAD を ForeignForestFQDN パラメータを指定せずに実行した場合は、ローカル フォレストに Exchange ユニバーサル セキュリティ グループが作成され、これらのグループにアクセス許可が設定されます。ForeignForestFQDN パラメータを追加すると、外部フォレストの Exchange ユニバーサル セキュリティ グループに、コマンドを実行したフォレストの Exchange 構成に対するアクセス許可が与えられます。

10. セットアップが正常に完了したことを確認するには、以下の手順を実行します。

    1. フォレスト B で、[Exchange Servers] ユニバーサル セキュリティ グループを右クリックし、[プロパティ] をクリックします。
    2. [セキュリティ] タブで、[グループ名またはユーザー名] の下にある [Exchange Organization Administrators (<フォレスト A ドメイン\Exchange Organization Administrators>)] を選択します。
    3. [フル コントロール] アクセス許可に対して [許可] が選択されていることを確認します。

    注 :
    アクセス権が不十分なためにセットアップが失敗した場合は、フォレスト A にユニバーサル セキュリティ グループが正しく作成されていること、グループが正しく入れ子になっていること、および Exchange Organization Administrators グループに対して新しい組織単位と 3 つの新しいユニバーサル セキュリティ グループすべてに対するフル アクセスが与えられていることを確認してから、手順 9. を再度実行してください。

11. フォレスト A のアカウントを使用してフォレスト B の Exchange を管理するには、フォレスト A に作成した 1 つ以上の Exchange ユニバーサル セキュリティ グループに、フォレスト A のアカウントを追加します。

12. (省略可能) 双方向の信頼を一方向の信頼に変更します。このためには、フォレスト A との間にある双方向の入力方向の信頼を削除します。詳細な手順については、「Remove a manually created trust」を参照してください。

    注 :
    [ローカル ドメインと他方のドメインの両方から信頼を削除する] を選択してください。

    注 :
    出力方向の信頼は残す必要があります。

13. フォレスト B の Active Directory ユーザーとコンピュータで、[表示] メニューの [拡張機能] をクリックします。

14. (省略可能) フォレスト A の受信者管理者がフォレスト B のユーザーを管理できるようにするには、管理者にアクセス許可を手動で割り当てる必要があります。以下の手順を実行します。

    1. フォレスト B の Active Directory ユーザーとコンピュータで、[ユーザー] コンテナを右クリックし、[プロパティ] をクリックします。
    2. [セキュリティ] タブの [詳細設定] をクリックします。
    3. [アクセス許可エントリ] の下で、[種類] が [許可]、[名前] が [Exchange Recipient Administrators (<フォレスト A ドメイン\Exchange Recipient Administrators>)]、[アクセス許可] が [特別] であるエントリを選択します。次に、[編集] をクリックします。
    4. [アクセス許可] の下の [オブジェクト] タブの [ユーザーのアクセス許可エントリ] ページで、次のアクセス許可に対して [許可] をクリックします。[内容の一覧表示]、[すべてのプロパティの読み取り]、[すべてのプロパティの書き込み]、[アクセス許可の読み取り]、[ユーザー オブジェクトの作成]、[ユーザー オブジェクトの削除]。
    5. [OK] をクリックします。
    6. [ユーザーのセキュリティの詳細設定] ページで、[親からの継承可能なアクセス許可をこのオブジェクトとすべての子オブジェクトに伝達できるようにします] チェック ボックスをオンにします。次に、[OK] をクリックします。

    注 :
    この手順によって、フォレスト A の Exchange Recipient Administrators グループのメンバに、フォレスト B の [ユーザー] コンテナのオブジェクトを変更するために必要なアクセス許可が付与されます。フォレスト B (手順 9.) で Setup /ForeignForestFQDN を実行すると、フォレスト A の Exchange セキュリティ グループのユーザーに、フォレスト B の Windows ユーザー プロパティではなく Exchange プロパティへのアクセス許可が与えられます。 フォレスト B の [ユーザー] コンテナ内のオブジェクトを変更できるアクセス許可を、フォレスト A の他のグループに与えるには、[ユーザーのセキュリティの詳細設定] ページで別のグループを選択します。

15. (省略可能) フォレスト A の管理者に対して、フォレスト B の Exchange サーバーの Exchange 管理コンソールおよび Exchange 管理シェルを使用するためのアクセス許可を与えるには、Exchange サーバー ディレクトリの Bin、Public、および Scripts ディレクトリへのアクセス許可を手動で与える必要があります 以下の手順を実行します。

    1. Exchange がインストールされている Exchange Server ディレクトリに移動します (既定では、このディレクトリは %programfiles%\Microsoft\Exchange Server です)。
    2. Bin ディレクトリを右クリックし、[プロパティ] をクリックします。
    3. [セキュリティ] タブで、[追加] をクリックし、アクセス許可を与えるユーザーまたはグループを入力します。
    4. [<ユーザーまたはグループ> のアクセス許可] の下で、[読み取りと実行] に対して [許可] を選択し、[OK] をクリックします。
    5. Public ディレクトリを右クリックし、[プロパティ] をクリックします。
    6. [セキュリティ] タブで、[追加] をクリックし、アクセス許可を与えるユーザーまたはグループを入力します。
    7. [<ユーザーまたはグループ> のアクセス許可] の下で、[読み取りと実行] に対して [許可] を選択し、[OK] をクリックします。
    8. Scripts ディレクトリを右クリックし、[プロパティ] をクリックします。
    9. [セキュリティ] タブで、[追加] をクリックし、アクセス許可を与えるユーザーまたはグループを入力します。
    10. [<ユーザーまたはグループ> のアクセス許可] の下で、[読み取りと実行] に対して [許可] を選択し、[OK] をクリックします。

    注 :

    フォレスト B の Exchange を管理するには、フォレスト A のユーザーも Exchange または Exchange 管理ツールがインストールされているフォレスト B のサーバーにログオンできる必要があります。フォレスト A のユーザーを、フォレスト B のサーバー上の Domain Admins グループまたはローカルの Administrators グループに追加して、フォレスト B のサーバーにログオンできるようにする場合、フォレスト A のユーザーは Bin、Public、および Scripts ディレクトリに対する [読み取りと実行] アクセス許可を既に持っている可能性があります。または、Windows Server 2003 のターミナル サービス コンポーネントを使用して、リモートでサーバーにログオンするための特定のアクセス許可をフォレスト A のユーザーに与えることができます。

Exchange 2007 RTM

Exchange 2007 の RTM 版でフォレスト間の管理を構成するには、次の操作を行います。

1. 従来のフォレスト間シナリオを使用している場合、フォレスト A とフォレスト B の両方に Exchange がインストールされています。フォレスト B の Exchange を管理するフォレスト A のユーザーが、フォレスト A の管理者にならないようにする場合は、フォレスト A の次の組織単位とグループを、名前を変更するか、別の組織単位に移動するか、別のドメインに移動する必要があります。

   • Microsoft Exchange セキュリティ グループ
   • Exchange Organization Administrators
   • Exchange Recipient Administrators
   • Exchange View-Only Administrators

   これらのグループは、名前変更または移動した後も同じメンバシップとアクセス許可が保持されるため、これらのグループのメンバであるアカウントを使用してフォレスト A の Exchange を管理できます。

   従来のフォレスト間シナリオを使用しており、フォレスト A とフォレスト B の両方に Exchange がインストールされている場合に、フォレスト A のユーザーがフォレスト A とフォレスト B の Exchange を管理するように構成するには、手順 7. に進みます。

   リソース フォレストのシナリオを使用している場合は、手順 2. に進みます。

2. フォレスト A のルート ドメインに、[Microsoft Exchange セキュリティ グループ] という名前の新しい組織単位を作成します。組織単位の作成の詳細については、新しい組織単位の作成についてのページを参照してください (このサイトは英語の場合があります)。

3. フォレスト A の [Microsoft Exchange セキュリティ グループ] 組織単位に、次のユニバーサル セキュリティ グループを作成します。

   • Exchange Organization Administrators
   • Exchange Recipient Administrators
   • Exchange View-Only Administrators

   詳細については、新しいグループの作成についてのページを参照してください (このサイトは英語の場合があります)。

   注 :
   グループ スコープには [ユニバーサル]、グループの種類には [セキュリティ] を選択します。

4. フォレスト A で以下の手順を実行し、[Exchange Organization Administrators] グループを [Exchange Recipient Administrators] グループに追加します。

   1. [Exchange Recipient Administrators] グループを右クリックし、[プロパティ] をクリックします。
   2. [メンバ] タブで、[追加] をクリックします。
   3. [ユーザー、コンピュータ、またはグループの選択] に「Exchange Organization Administrators」と入力し、[OK] をクリックします。
   4. [Exchange Recipient Administrators のプロパティ] ページで [OK] をクリックします。

5. フォレスト A で以下の手順を実行し、[Exchange Recipient Administrators] グループを [Exchange View-Only Administrators] グループに追加します。

   1. [Exchange View-Only Administrators] グループを右クリックし、[プロパティ] をクリックします。
   2. [メンバ] タブで、[追加] をクリックします。
   3. [ユーザー、コンピュータ、またはグループの選択] に「Exchange Recipient Administrators」と入力し、[OK] をクリックします。
   4. [Exchange View-Only Administrators のプロパティ] ページで [OK] をクリックします。

6. フォレスト A の Active Directory ユーザーとコンピュータの [表示] メニューで、[拡張機能] をクリックし、以下の手順を実行します。

   1. [Microsoft Exchange セキュリティ グループ] 組織単位を右クリックし、[プロパティ] をクリックします。
   2. [セキュリティ] タブで、[グループ名またはユーザー名] の下にある [Exchange Organization Administrators] を選択します。
   3. [Exchange Organization Administrators のアクセス許可] の下にある [フル コントロール] を選択し、次に [OK] をクリックします。
   4. [Exchange Organization Administrators] グループを右クリックし、[プロパティ] をクリックします。
   5. [セキュリティ] タブで、[グループ名またはユーザー名] の下にある [Exchange Organization Administrators] を選択します。
   6. [Exchange Organization Administrators のアクセス許可] の下にある [フル コントロール] を選択し、次に [OK] をクリックします。
   7. [Exchange Recipient Administrators] グループを右クリックし、[プロパティ] をクリックします。
   8. [セキュリティ] タブで、[グループ名またはユーザー名] の下にある [Exchange Organization Administrators] を選択します。
   9. [Exchange Organization Administrators のアクセス許可] の下にある [フル コントロール] を選択し、次に [OK] をクリックします。
   10. [Exchange View-Only Administrators] グループを右クリックし、[プロパティ] をクリックします。
   11. [セキュリティ] タブで、[グループ名またはユーザー名] の下にある [Exchange Organization Administrators] を選択します。
   12. [Exchange Organization Administrators のアクセス許可] の下にある [フル コントロール] を選択し、次に [OK] をクリックします。

7. フォレスト B の Enterprise Admins グループのメンバであるアカウントを使用してフォレスト B にログオンし、コマンド プロンプト ウィンドウで次のコマンドを実行します。

   Setup /prepareAD /ForeignForestFQDN:ForestA.contoso.com
   

   このコマンドにより、フォレスト A の Exchange ユニバーサル セキュリティ グループが作成され、アクセス許可が正しく割り当てられたかどうかを確認できます。フォレスト B では、このコマンドによって、フォレスト A に新たに作成された Exchange ユニバーサル セキュリティ グループがフォレスト B の Exchange 構成に対する権限を持つよう、Exchange 構成オブジェクトの Active Directory のアクセス制御エントリ (ACE) が構成されます。Setup /PrepareAD を ForeignForestFQDN パラメータを指定せずに実行した場合は、ローカル フォレストに Exchange ユニバーサル セキュリティ グループが作成され、これらのグループにアクセス許可が設定されます。ForeignForestFQDN パラメータを追加すると、外部フォレストの Exchange ユニバーサル セキュリティ グループに、コマンドを実行したフォレストの Exchange 構成に対するアクセス許可が与えられます。

8. セットアップが正常に完了したことを確認するには、以下の手順を実行します。

   1. フォレスト B で、[Exchange Servers] ユニバーサル セキュリティ グループを右クリックし、[プロパティ] をクリックします。
   2. [セキュリティ] タブで、[グループ名またはユーザー名] の下にある [Exchange Organization Administrators (<フォレスト A ドメイン\Exchange Organization Administrators>)] を選択します。
   3. [フル コントロール] アクセス許可に対して [許可] が選択されていることを確認します。

   注 :
   アクセス権が不十分なためにセットアップが失敗した場合は、フォレスト A にユニバーサル セキュリティ グループが正しく作成されていること、グループが正しく入れ子になっていること、および Exchange Organization Administrators グループに対して新しい組織単位と 3 つの新しいユニバーサル セキュリティ グループすべてに対するフル アクセスが与えられていることを確認してから、手順 7. を再度実行してください。

9. フォレスト A のアカウントを使用してフォレスト B の Exchange を管理するには、フォレスト A に作成した 1 つ以上の Exchange ユニバーサル セキュリティ グループに、フォレスト A のアカウントを追加します。

10. (省略可能) 双方向の信頼を一方向の信頼に変更します。このためには、フォレスト A との間にある双方向の入力方向の信頼を削除します。詳細な手順については、「Remove a manually created trust」を参照してください。

    注 :
    [ローカル ドメインと他方のドメインの両方から信頼を削除する] を選択してください。

    注 :
    出力方向の信頼は残す必要があります。

11. フォレスト B の Active Directory ユーザーとコンピュータで、[表示] メニューの [拡張機能] をクリックします。

12. (省略可能) フォレスト A の受信者管理者がフォレスト B のユーザーを管理できるようにするには、管理者にアクセス許可を手動で割り当てる必要があります。以下の手順を実行します。

    1. フォレスト B の Active Directory ユーザーとコンピュータで、[ユーザー] コンテナを右クリックし、[プロパティ] をクリックします。
    2. [セキュリティ] タブの [詳細設定] をクリックします。
    3. [アクセス許可エントリ] の下で、[種類] が [許可]、[名前] が [Exchange Recipient Administrators (<フォレスト A ドメイン\Exchange Recipient Administrators>)]、[アクセス許可] が [特別] であるエントリを選択します。次に、[編集] をクリックします。
    4. [アクセス許可] の下の [オブジェクト] タブの [ユーザーのアクセス許可エントリ] ページで、次のアクセス許可に対して [許可] をクリックします。[内容の一覧表示]、[すべてのプロパティの読み取り]、[すべてのプロパティの書き込み]、[アクセス許可の読み取り]、[ユーザー オブジェクトの作成]、[ユーザー オブジェクトの削除]。
    5. [OK] をクリックします。
    6. [ユーザーのセキュリティの詳細設定] ページで、[親からの継承可能なアクセス許可をこのオブジェクトとすべての子オブジェクトに伝達できるようにします] チェック ボックスをオンにします。次に、[OK] をクリックします。

    注 :
    この手順によって、フォレスト A の Exchange Recipient Administrators グループのメンバに、フォレスト B の [ユーザー] コンテナのオブジェクトを変更するために必要なアクセス許可が付与されます。フォレスト B (手順 7.) で Setup /ForeignForestFQDN を実行すると、フォレスト A の Exchange セキュリティ グループのユーザーに、フォレスト B の Windows ユーザー プロパティではなく Exchange プロパティへのアクセス許可が与えられます。 フォレスト B の [ユーザー] コンテナ内のオブジェクトを変更できるアクセス許可を、フォレスト A の他のグループに与えるには、[ユーザーのセキュリティの詳細設定] ページで別のグループを選択します。

13. (省略可能) フォレスト A の管理者に対して、フォレスト B の Exchange サーバーの Exchange 管理コンソールおよび Exchange 管理シェルを使用するためのアクセス許可を与えるには、Exchange サーバー ディレクトリの Bin、Public、および Scripts ディレクトリへのアクセス許可を手動で与える必要があります 以下の手順を実行します。

    1. Exchange がインストールされている Exchange Server ディレクトリに移動します (既定では、このディレクトリは %programfiles%\Microsoft\Exchange Server です)。
    2. Bin ディレクトリを右クリックし、[プロパティ] をクリックします。
    3. [セキュリティ] タブで、[追加] をクリックし、アクセス許可を与えるユーザーまたはグループを入力します。
    4. [<ユーザーまたはグループ> のアクセス許可] の下で、[読み取りと実行] に対して [許可] を選択し、[OK] をクリックします。
    5. Public ディレクトリを右クリックし、[プロパティ] をクリックします。
    6. [セキュリティ] タブで、[追加] をクリックし、アクセス許可を与えるユーザーまたはグループを入力します。
    7. [<ユーザーまたはグループ> のアクセス許可] の下で、[読み取りと実行] に対して [許可] を選択し、[OK] をクリックします。
    8. Scripts ディレクトリを右クリックし、[プロパティ] をクリックします。
    9. [セキュリティ] タブで、[追加] をクリックし、アクセス許可を与えるユーザーまたはグループを入力します。
    10. [<ユーザーまたはグループ> のアクセス許可] の下で、[読み取りと実行] に対して [許可] を選択し、[OK] をクリックします。

    注 :

    フォレスト B の Exchange を管理するには、フォレスト A のユーザーも Exchange または Exchange 管理ツールがインストールされているフォレスト B のサーバーにログオンできる必要があります。フォレスト A のユーザーを、フォレスト B のサーバー上の Domain Admins グループまたはローカルの Administrators グループに追加して、フォレスト B のサーバーにログオンできるようにする場合、フォレスト A のユーザーは Bin、Public、および Scripts ディレクトリに対する [読み取りと実行] アクセス許可を既に持っている可能性があります。または、Windows Server 2003 のターミナル サービス コンポーネントを使用して、リモートでサーバーにログオンするための特定のアクセス許可をフォレスト A のユーザーに与えることができます。

詳細情報

コマンド プロンプト ウィンドウから Setup.com を使用して Exchange 2007 をインストールする方法の詳細については、「無人モードで Exchange 2007 をインストールする方法」を参照してください。

参照している情報が最新であることを確認したり、他の Exchange Server 2007 ドキュメントを見つけたりするには、Exchange Server TechCenter を参照してください。