エッジ サブスクリプション (Exchange Server

エッジ サブスクリプションは、エッジ トランスポート サーバー上の Active Directory Lightweight Directory Services (ldS AD) インスタンスに Active Directory データを設定するために使用されます。 エッジ サブスクリプションの作成はオプションですが、エッジ トランスポート サーバーを Exchange 組織にサブスクライブすることで、管理作業が簡素化され、スパム対策機能がさらに強化されます。 受信者参照機能またはセーフ リスト集約機能の使用を予定している場合、あるいは相互トランスポート層セキュリティ (MTLS) を使用したパートナー ドメインとの SMTP 通信のセキュリティ保護を計画している場合は、エッジ サブスクリプションを作成する必要があります。

注意

エッジ トランスポートがハイブリッド メール フローを処理する必要がある場合、エッジ サブスクリプションは必須です。 組織のヘッダーは、直接信頼認証 (別名相互 TLS) を介してエッジ トランスポート サーバーとメールボックス サーバーの間でのみ昇格され、この認証方法を実現するにはエッジ サブスクリプションが必要です。

エッジ サブスクリプション プロセス

エッジトランスポート サーバーは、Active Directory に直接アクセスできません。 エッジ トランスポート サーバーがメッセージを処理する際に使用する構成および受信者情報は、AD LDS にローカルに格納されます。 エッジ サブスクリプションを作成することによって、Active Directory から AD LDS への、セキュリティ保護された自動の情報レプリケーションが確立されます。 エッジ サブスクリプション プロセスは、内部メールボックス サーバーとサブスクライブされたエッジ トランスポート サーバーとの間でセキュリティで保護された LDAP 接続を確立するためにExchange資格情報を準備します。 メールボックス サーバー Exchange EdgeSync実行される Microsoft EdgeSync サービス (EdgeSync) は、定期的な一方通行同期を実行して、最新のデータを LDS にADします。 このように、メールボックス サーバーを構成した後は、その情報をエッジ トランスポート サーバーに同期できるため、境界ネットワークで実行する管理タスクが軽減されます。

エッジトランスポート サーバーのサブスクライブ先は、エッジトランスポート サーバーとの間でメッセージを転送するメールボックス サーバーが含まれる Active Directory サイトです。エッジ サブスクリプション プロセスは、エッジトランスポート サーバーに関する Active Directory サイトのメンバーシップの関係を作成します。このサイトとの関係により、Exchange 組織内のメールボックス サーバーは、明示的な送信コネクタを構成しなくても、インターネットに配信するメッセージをエッジ トランスポート サーバーに中継できます。

1 つ以上のエッジトランスポート サーバーで、1 つの Active Directory サイトを購読できます。ただし、1 つのエッジトランスポート サーバーで複数の Active Directory サイトを購読することはできません。複数のエッジトランスポート サーバーが展開されている場合、各サーバーが別の Active Directory サイトを購読できます。各エッジ トランスポート サーバーには個別のエッジ サブスクリプションが必要です。

エッジトランスポート サーバーを展開し、Active Directory サイトを購読するには、次の手順を実行します。

  1. エッジ トランスポート サーバーの役割をインストールします。

  2. エッジ サブスクリプションの準備:

    • エッジ トランスポート サーバーのライセンスを発行します。

    • メール フロー用にファイアウォールでポートを開き、EdgeSyncします。

    • メールボックス サーバーとエッジ トランスポート サーバーが、DNS 名前解決を使用して互いを検出できることを確認します。

    • メールボックス サーバー上で、エッジトランスポート サーバーにレプリケートするようにトランスポート設定を構成します。

  3. エッジトランスポート サーバーで、 New-EdgeSubscription コマンドレットを実行してエッジ サブスクリプション ファイルを作成してエクスポートします。

  4. エッジサブスクリプション ファイルを、メールボックス サーバーにコピーするか、メールボックス サーバーが含まれる Active Directory サイトからアクセス可能なファイル共有にコピーします。

  5. メールボックス サーバーで、 New-EdgeSubscription コマンドレットを実行して、エッジ サブスクリプション ファイルを Active Directory サイトにインポートします。

エッジ サブスクリプションの準備

エッジ トランスポート サーバーを Exchange 組織にサブスクライブする前に、インフラストラクチャとメールボックス サーバーが同期の準備ができているEdgeSyncがあります。 データの準備をEdgeSync、次の必要があります。

  • エッジ トランスポート サーバーのライセンス: エッジ トランスポート サーバーのライセンス情報は、エッジ サブスクリプションの作成時に取得されます。 サブスクライブされたエッジ トランスポート サーバーは、エッジ トランスポート サーバーにライセンス キーが適用されたExchange組織にサブスクライブする必要があります。 エッジ サブスクリプション プロセスの実行後にエッジ トランスポート サーバーにライセンス キーが適用されている場合、ライセンス情報は Exchange 組織では更新されません。また、エッジ トランスポート サーバーを再サブスクライブする必要があります。

  • 必要なポートがファイアウォール で開いているか確認します。次のポートは、サブスクライブされたエッジ トランスポート サーバーによって使用されます。

    • SMTP: ポート 25/TCP は、インターネットとエッジ トランスポート サーバー間の受信および送信メール フロー、およびエッジ トランスポート サーバーと内部 Exchange 組織の間で開いている必要があります。

    • Secure LDAP: 非標準ポート 50636/TCP は、メールボックス サーバーからエッジ トランスポート サーバー上の LDS ADディレクトリ同期に使用されます。 このポートは、同期を正常に実行EdgeSyncです。

    注意

    ポート 50389/TCP は、LDAP が AD LDS インスタンスにバインドするためにローカルに使用します。このポートはファイアウォールで開かれている必要はありません。このポートはエッジトランスポート サーバーでローカルに使用されます。

    環境で特定のポートが必要な場合は、LDS ConfigureAdam.ps1 で使用ADスクリプトを使用して変更Exchange。 ポートの変更は、エッジ サブスクリプションを作成する前に行ってください。 エッジ サブスクリプションの作成後にポートを変更する場合は、エッジ サブスクリプションを削除してから別に作成する必要があります。

  • エッジトランスポート サーバーとメールボックス サーバーの間で相互に DNS ホスト名解決が正常に行われることを確認します。

  • エッジトランスポート サーバーに伝搬する次のトランスポート設定を構成します。

    • 内部 SMTP サーバー: Set-TransportConfig コマンドレットの InternalSMTPServers パラメーターを使用して、エッジ トランスポート サーバーの送信者 ID および接続フィルター エージェントによって無視される内部 SMTP サーバーの IP アドレスまたは IP アドレス範囲の一覧を指定します。

    • 受け入れ ドメイン: すべての権限ドメイン、内部中継ドメイン、および外部中継ドメインを構成します。

    • リモート ドメイン: (すべてのリモート ドメインの受信者に使用される) 既定のリモート ドメイン オブジェクトの設定を構成し、特定のリモート ドメインの受信者に必要に応じてリモート ドメイン オブジェクトを構成します。

エッジトランスポート サーバーで、エッジ サブスクリプション ファイルを作成してエクスポートします。

エッジトランスポート サーバー上で New-EdgeSubscription コマンドレットを実行してエッジ サブスクリプション ファイルを作成する際、以下の処理が行われます。

  • EdgeSync ブートストラップ レプリケーション アカウント (ESBRA) と呼ばれる AD LDS アカウントが作成されます。 これらの ESBRA 資格情報は、エッジ トランスポート サーバー EdgeSyncの認証に使用されます。 このアカウントは、作成後 24 時間で失効するように構成されます。 したがって、前のセクションで説明した 5 つの手順からなるサブスクリプション プロセスは、24 時間以内に完了する必要があります。 エッジ サブスクリプション プロセスが完了する前に ESBRA が期限切れになった場合は、 New-EdgeSubscription コマンドレットを再実行して、新しいエッジ サブスクリプション ファイルを作成する必要があります。

  • ESBRA 資格情報は AD LDS から取得され、エッジ サブスクリプション ファイルに書き込まれます。エッジ トランスポート サーバーの自己署名証明書の公開キーも、エッジ サブスクリプション ファイルにエクスポートされます。エッジ サブスクリプション ファイルに書き込まれる資格情報は、そのファイルのエクスポート元のサーバーに固有の情報です。

  • Active Directory から AD LDS にレプリケートされるエッジ トランスポート サーバー上に以前に作成された構成オブジェクトは AD LDS から削除され、それらのオブジェクトの構成に使用される Exchange 管理シェル コマンドレットは無効になります。 ただし、Get -*_ コマンドレットを使用 してそれらのオブジェクトを表示することもできます。_ New-EdgeSubscription コマンドレットを実行すると、エッジ トランスポート サーバーで次のコマンドレットが無効になります。

    • Set-SendConnector

    • New-SendConnector

    • Remove-SendConnector

    • New-AcceptedDomain

    • Set-AcceptedDomain

    • Remove-AcceptedDomain

    • New-RemoteDomain

    • Set-RemoteDomain

    • Remove-RemoteDomain

次の使用例では、エッジトランスポート サーバーでエッジ サブスクリプション ファイルを作成してエクスポートします。

New-EdgeSubscription -FileName "C:\Data\EdgeSubscriptionInfo.xml"

注意

エッジトランスポート サーバーで New-EdgeSubscription コマンドレットを実行するとき、エッジトランスポート サーバー上で無効になるコマンドおよび上書きされる構成の確認メッセージが表示されます。 この確認をバイパスするには、Force パラメーターを使用 する必要 があります。 このパラメーターは、 New-EdgeSubscription コマンドレットをスクリプトで使用するときに便利です。 Force パラメーターを使用 して、エッジ トランスポート サーバーを再サブスクライブするときに既存のファイルを上書きすることもできます。

メールボックス サーバーにエッジ サブスクリプション ファイルをインポートする

メールボックス サーバーで New-EdgeSubscription コマンドレットを実行してエッジ サブスクリプション ファイルを Active Directory サイトにインポートすると、次の処理が行われます。

  • エッジ サブスクリプションが作成されて、エッジトランスポート サーバーは Exchange 組織に参加します。 EdgeSync構成データをこのエッジ トランスポート サーバーに伝達し、Active Directory にエッジ構成オブジェクトを作成します。

  • Active Directory サイトの各メールボックス サーバーは、新しいエッジトランスポート サーバーがサブスクライブされている旨の通知を Active Directory から受信します。メールボックス サーバーは、エッジ サブスクリプション ファイルから ESBRA を取得します。メールボックス サーバーは、エッジ トランスポート サーバーの自己署名証明書の公開キーを使用して、この ESBRA を暗号化します。暗号化された資格情報はエッジ構成オブジェクトに書き込まれます。

  • また、各メールボックス サーバーは、自身の公開キーを使用して ESBRA を暗号化し、この資格情報を自身の構成オブジェクトに格納します。

  • EdgeSyncレプリケーション アカウント (ESRAs) は、エッジ とサーバーのペアごとに Active Directory Transport-Mailboxされます。 各メールボックス サーバーは、自身の ESRA 資格情報をメールボックス サーバー構成オブジェクトの属性として格納します。

  • エッジ トランスポート サーバーからインターネットへの送信メッセージ、およびエッジ トランスポート サーバーから Exchange 組織への受信メッセージを中継する送信コネクタが自動的に作成されます。詳細については、このトピックの「エッジ サブスクリプションによって自動的に作成される送信コネクタ」セクションを参照してください。

  • メールボックス サーバー Exchange EdgeSync実行される Microsoft Exchange EdgeSync サービスは、ESBRA 資格情報を使用してメールボックス サーバーとエッジ トランスポート サーバー間の安全な LDAP 接続を確立し、データの初期レプリケーションを実行します。 次のデータが AD LDS にレプリケートされます。

    • トポロジ データ

    • 構成データ

    • 受信者データ

    • ESRA 資格情報

  • エッジ トランスポート サーバー上で実行される Microsoft Exchange Credential Service により、ESRA 資格情報がインストールされます。これらの資格情報は、その後の同期接続を認証し、セキュリティで保護するために使用されます。

  • 同期EdgeSyncが確立されます。

  • サブスクライブした Active Directory サイトExchange EdgeSync メールボックス サーバー上で実行されている Microsoft Exchange EdgeSync サービスは、定期的に Active Directory から AD LDS へのデータの一方的なレプリケーションを実行します。 Start-EdgeSynchronization コマンドレットを使用して、同期スケジュールを無効にしEdgeSyncすぐに同期を開始することもできます。

この例では、エッジ トランスポート サーバーを指定のサイトにサブスクライブして、エッジ トランスポート サーバーからメールボックス サーバーへのインターネット送信コネクタおよび送信コネクタを自動的に作成します。

New-EdgeSubscription -FileData ([System.IO.File]::ReadAllBytes('C:\Data\EdgeSubscriptionInfo.xml')) -Site "Default-First-Site-Name"

注意

CreateInternetSendConnector パラメーターと CreateInboundSendConnector $trueパラメーターの既定値は両方なので、このコマンドで使用する必要はありません。

エッジ サブスクリプションによって自動的に作成される送信コネクタ

既定では、エッジ サブスクリプション ファイルをメールボックス サーバーにインポートする際、インターネットと Exchange 組織間でエンド ツー エンドのメール フローを有効にするために必要な送信コネクタが自動的に作成され、エッジトランスポート サーバーにある既存の送信コネクタが削除されます。

エッジ サブスクリプションでは、次の送信コネクタが作成されます。

  • [送信コネクタ] EdgeSync - <Site Name> エッジ トランスポート サーバーから組織にメッセージを中継するように構成されている受信Exchangeします。

  • 組織から<Site Name>インターネットEdgeSync Exchangeメッセージを中継するように構成されている 、EdgeSyncという名前の送信コネクタ。

また、エッジトランスポート サーバーの Exchange 組織へのサブスクライブにより、サブスクライブされた Active Directory サイトにあるメールボックス サーバーは、非表示かつ暗黙の組織内送信コネクタを使用して、メッセージをエッジトランスポート サーバーに中継できるようになります。

インターネットからメッセージを受信する受信用送信コネクタ

メールボックス サーバーで New-EdgeSubscription コマンドレットを実行すると、 CreateInboundSendConnector パラメーターは値に設定されます $true。 これにより、エッジトランスポート サーバーから Exchange 組織にメッセージを送信するために必要な送信コネクタが作成されます。 次の表は、この送信コネクタの構成を示しています。

受信用の送信コネクタの自動構成

プロパティ
名前 EdgeSync - 受信< Site Name>
AddressSpaces SMTP:--;1
アドレス--空間内の値は、組織の権限と内部の中継が受け入れられるすべてのドメインExchangeします。 エッジ トランスポート サーバーが受信する、これらの許可されたドメイン宛てのメッセージは、この送信コネクタにルーティングされて、スマート ホストに中継されます。
SourceTransportServers < Edge Subscription name>
Enabled True
DNSRoutingEnabled False
SmartHosts --
スマート -- ホストの一覧の値は、サブスクライブしている Active Directory サイト内のすべてのメールボックス サーバーを表します。 エッジ サブスクリプションを確立した後にサブスクライブされた Active Directory サイトに追加したメールボックス サーバーは、EdgeSyncされません。 ただし、自動的に作成された受信用の送信コネクタのスマート ホストの一覧には追加されます。 サブスクライブ先の Active Directory サイトに複数のメールボックス サーバーがある場合、受信接続はスマート ホスト間で負荷分散されます。

作成時に、自動的に作成される受信用の送信コネクタのアドレス スペースまたはスマート ホストの一覧を変更することはできません。 ただし、エッジ サブスクリプションを作成 するときに、CreateInboundSendConnector $false パラメーターを値に設定できます。 この設定では、エッジ トランスポート サーバーから Exchange 組織への送信コネクタを手動で作成できます。

インターネットにメッセージを送信するための送信用送信コネクタ

メールボックス サーバーで New-EdgeSubscription コマンドレットを実行すると、 CreateInternetSendConnector パラメーターは値に設定されます $true。 これにより、Exchange 組織からインターネットにメッセージを送信するために必要な送信コネクタが作成されます。 次の表は、この送信コネクタの既定の構成を示しています。

インターネット送信コネクタの自動構成

プロパティ
名前 EdgeSync - < Site Name> インターネットへ
AddressSpaces SMTP:*;100
SourceTransportServers < Edge Subscription name>
エッジ サブスクリプションの名前は、購読済みのエッジ トランスポート サーバーの名前と同じです。
Enabled True
DNSRoutingEnabled True
DomainSecureEnabled True

同一の Active Directory サイトに複数のエッジトランスポート サーバーをサブスクライブしても、インターネットへの追加の送信コネクタは作成されません。代わりに、すべてのエッジ サブスクリプションが、送信元サーバーと同じ送信コネクタに追加されます。これにより、サブスクライブ済みエッジ トランスポート サーバー間で、インターネットへの送信接続の負荷が分散されます。

送信用の送信コネクタは、Exchange 組織からすべてのリモート SMTP ドメインに電子メール メッセージを送信する際に、DNS ルーティングを使用してドメイン名を MX リソース レコードに解決するように構成されます。

EdgeSync サービスの詳細

エッジ トランスポート サーバーを Active Directory サイトにサブスクライブすると、EdgeSync受信者データがエッジ トランスポート サーバーにレプリケートされます。 このサービスは、次のデータを Active Directory から AD LDS にレプリケートします。

  • 送信コネクタの構成

  • 承認済みドメイン

  • リモート ドメイン

  • 差出人セーフ リスト

  • 受信拒否リスト

  • 受信者

  • セキュリティで保護されたドメインがパートナーとの通信で使用する送受信ドメインの一覧

  • 組織のトランスポートの構成で内部として一覧される SMTP サーバーの一覧

  • サブスクライブされた Active Directory サイトにあるメールボックス サーバーの一覧

EdgeSync相互に認証され、承認されたセキュリティで保護された LDAP チャネルを使用して、メールボックス サーバーからエッジ トランスポート サーバーにデータを転送します。

データを AD LDS にレプリケートするため、メールボックス サーバーは、更新済みデータを取得するグローバル カタログ サーバーにバインドします。 EdgeSync非標準 TCP ポート 50636 を使用して、メールボックス サーバーとサブスクライブされたエッジ トランスポート サーバーとの間でセキュリティで保護された LDAP セッションを開始します。

エッジ トランスポート サーバーを初めて Active Directory サイトにサブスクライブすると、ディレクトリ サービス内のデータ量に応じて、AD LDS に Active Directory からのデータを設定する初期レプリケーションに 5 分以上かかる場合があります。 最初のレプリケーションの後EdgeSync、新しいオブジェクトと変更されたオブジェクトのみを同期し、削除されたオブジェクトを削除します。

同期スケジュール

異なる種類のデータは、異なるスケジュールで同期されます。 同期EdgeSyncスケジュールは、同期の最大間隔をEdgeSyncします。 EdgeSync同期は、次の間隔で行われます。

  • 構成データ: 3 分。

  • 受信者データ: 5 分。

  • トポロジ データ: 5 分

これらの間隔を変更するには、 Set-EdgeSyncServiceConfig コマンドレットを使用します。 メールボックス サーバー で Start-EdgeSynchronization コマンドレットを使用して、エッジ サブスクリプションの同期を強制すると、次にスケジュールされた EdgeSync 同期のタイマーが上書きされ、EdgeSyncがすぐに開始されます。

メールボックス サーバーの選択

サブスクライブされた各エッジトランスポート サーバーは、特定の Active Directory サイトと関連付けられます。サイトに複数のメールボックス サーバーが存在している場合は、そのうちのどのメールボックス サーバーでもサブスクライブ済みエッジエッジ トランスポート サーバーにデータをレプリケートする可能性があります。同期中にメールボックス サーバー間で競合が発生しないようにするために、以下のようにして、優先するメールボックス サーバーが選択されます。

  1. Active Directory サイトでトポロジ スキャンを実行して新しいエッジ サブスクリプションを検出した最初のメールボックス サーバーが、初期レプリケーションを実行します。この検出はトポロジ スキャンのタイミングに基づいているため、サイトのどのメールボックス サーバーも最初のレプリケーションを実行する可能性があります。

  2. 初期レプリケーションを実行するメールボックス サーバーは、EdgeSyncリース オプションを確立し、エッジ サブスクリプションのロックを設定します。 リース オプションにより、その特定のメールボックス サーバーが、そのエッジ トランスポート サーバーに同期サービスを提供する優先サーバーとして確定されます。 ロックにより、別EdgeSyncサーバーで実行されているユーザーがリース オプションを引き継ぐことができません。

  3. [EdgeSyncリース] オプションは 1 時間続きます。 その時間の間、1 時間EdgeSync前に手動同期を開始しない限り、他のサービスがオプションを引き継ぐ必要はありません。 手動同期の開始時に優先メールボックス サーバーが EdgeSync サービスを提供できない場合は、5 分間待機した後にロックが解放され、別の EdgeSync サービスがリース オプションを引き継ぎ、同期を実行できます。

  4. 手動同期を開始しない限り、同期は同期スケジュールに基づいてEdgeSyncされます。 スケジュールされた同期が発生した場合、優先サーバーを使用できない場合は、5 分の待機後にロックが解放され、別の EdgeSync サービスがリース オプションを引き継ぎ、同期を実行できます。

このロックとリースの方法では、複数のインスタンスEdgeSync同時に同じエッジ トランスポート サーバーにデータをプッシュできません。

:

  • 2016 Exchange 組織では、サブスクライブした Active Directory サイトに Exchange 2010 ハブ トランスポート サーバーも存在する場合、Exchange 2016 メールボックス サーバーが常に優先され、レプリケーションが実行されます。

  • エッジ トランスポート サーバーを Active Directory サイトにサブスクライブすると、その時点で Active Directory サイトにインストールされているメールボックス サーバーはすべて、同期プロセスEdgeSyncできます。 これらのサーバーの 1 つを削除すると、残EdgeSyncメールボックス サーバーで実行されているサーバー サービスは、データ同期プロセスを続行します。 ただし、後で Active Directory サイトに新しいメールボックス サーバーをインストールしても、そのサーバーは自動的に同期にEdgeSyncされません。 これらの新しいメールボックス サーバーが同期に参加EdgeSync場合は、エッジ トランスポート サーバーを再度サブスクライブする必要があります。

次の表に、ロックEdgeSyncリースに関連するプロパティの一覧を示します。 Set-EdgeSyncServiceConfig コマンドレットを使用して、これらのプロパティを構成できます。

EdgeSync リース プロパティ

パラメーター 既定値 説明
LockDuration 00:05:00 (5 分) この設定は、特定のサービスがロックEdgeSync取得する期間を決定します。 このロックEdgeSyncしているメールボックス サーバー上の EdgeSync サービスが応答しない場合、5 分後に別のメールボックス サーバー上の EdgeSync サービスがリースを引き継ぐ。 即時同期をEdgeSyncしても、この設定は上書きされません。
OptionDuration 01:00:00 (1 時間) この設定は、エッジ トランスポート EdgeSyncリース オプションを宣言できる期間を決定します。 リースをEdgeSyncしている EdgeSync サービスが使用できなく、このオプション期間中に再起動しない場合、EdgeSync 同期を強制しない限り、他の Exchange EdgeSync サービスがリース オプションを引き継ぐEdgeSyncはありません。
LockRenewalDuration 00:01:00 (1 分) この設定は、エッジ トランスポート サービスがエッジ トランスポート サーバーへのロックを取得EdgeSyncロック フィールドが更新される頻度を決定します。