Exchange Serverのエッジ サブスクリプション
エッジ サブスクリプションを使用して、エッジ トランスポート サーバー上の Active Directory Lightweight Directory Services (AD LDS) インスタンスに Active Directory データを取り込みます。 エッジ サブスクリプションの作成はオプションですが、エッジ トランスポート サーバーを Exchange 組織にサブスクライブすることで、管理作業が簡素化され、スパム対策機能がさらに強化されます。 受信者参照機能またはセーフ リスト集約機能の使用を予定している場合、あるいは相互トランスポート層セキュリティ (MTLS) を使用したパートナー ドメインとの SMTP 通信のセキュリティ保護を計画している場合は、エッジ サブスクリプションを作成する必要があります。
注:
エッジ トランスポートがハイブリッド メール フローを処理する必要がある場合、Edge サブスクリプションは必須です。 組織のヘッダーは、直接信頼認証 (別名相互 TLS) を介してエッジ トランスポート サーバーとメールボックス サーバーの間でのみ昇格され、この認証方法を実現するにはエッジ サブスクリプションが必要です。
エッジ サブスクリプション プロセス
エッジトランスポート サーバーは、Active Directory に直接アクセスできません。 エッジ トランスポート サーバーがメッセージを処理する際に使用する構成および受信者情報は、AD LDS にローカルに格納されます。 エッジ サブスクリプションを作成することによって、Active Directory から AD LDS への、セキュリティ保護された自動の情報レプリケーションが確立されます。 エッジ サブスクリプション プロセスは、内部 Exchange メールボックス サーバーとサブスクライブされたエッジ トランスポート サーバーの間にセキュリティで保護された LDAP 接続を確立するために使用される資格情報をプロビジョニングします。 メールボックス サーバーで実行される Microsoft Exchange EdgeSync サービス (EdgeSync) は、定期的な一方向同期を実行して、最新のデータを AD LDS に転送します。 このように、メールボックス サーバーを構成した後は、その情報をエッジ トランスポート サーバーに同期できるため、境界ネットワークで実行する管理タスクが軽減されます。
エッジトランスポート サーバーのサブスクライブ先は、エッジトランスポート サーバーとの間でメッセージを転送するメールボックス サーバーが含まれる Active Directory サイトです。 エッジ サブスクリプション プロセスは、エッジトランスポート サーバーに関する Active Directory サイトのメンバーシップの関係を作成します。 このサイトとの関係により、Exchange 組織内のメールボックス サーバーは、明示的な送信コネクタを構成しなくても、インターネットに配信するメッセージをエッジ トランスポート サーバーに中継できます。
1 つ以上のエッジトランスポート サーバーで、1 つの Active Directory サイトを購読できます。 ただし、1 つのエッジトランスポート サーバーで複数の Active Directory サイトを購読することはできません。 複数のエッジトランスポート サーバーが展開されている場合、各サーバーが別の Active Directory サイトを購読できます。 各エッジ トランスポート サーバーには個別のエッジ サブスクリプションが必要です。
エッジトランスポート サーバーを展開し、Active Directory サイトを購読するには、次の手順を実行します。
エッジ トランスポート サーバーの役割をインストールします。
エッジ サブスクリプションの準備:
エッジ トランスポート サーバーのライセンスを発行します。
メール フローと EdgeSync 同期のためにファイアウォールでポートを開きます。
メールボックス サーバーとエッジ トランスポート サーバーが、DNS 名前解決を使用して互いを検出できることを確認します。
メールボックス サーバー上で、エッジトランスポート サーバーにレプリケートするようにトランスポート設定を構成します。
エッジトランスポート サーバーで、 New-EdgeSubscription コマンドレットを実行してエッジ サブスクリプション ファイルを作成してエクスポートします。
エッジサブスクリプション ファイルを、メールボックス サーバーにコピーするか、メールボックス サーバーが含まれる Active Directory サイトからアクセス可能なファイル共有にコピーします。
メールボックス サーバーで、 New-EdgeSubscription コマンドレットを実行して、エッジ サブスクリプション ファイルを Active Directory サイトにインポートします。
エッジ サブスクリプションの準備
エッジ トランスポート サーバーを Exchange organizationにサブスクライブする前に、インフラストラクチャとメールボックス サーバーが EdgeSync 同期用に準備されていることを確認する必要があります。 EdgeSync の準備を行うには、次の手順を実行する必要があります。
エッジ トランスポート サーバーのライセンス: エッジ トランスポート サーバーのライセンス情報は、エッジ サブスクリプションの作成時にキャプチャされます。 エッジ トランスポート サーバーにライセンス キーが適用された後は、サブスクライブされたエッジ トランスポート サーバーを Exchange organizationにサブスクライブする必要があります。 エッジ サブスクリプション プロセスの実行後にエッジ トランスポート サーバーにライセンス キーが適用された場合、ライセンス情報は Exchange organizationで更新されず、エッジ トランスポート サーバーを再送信する必要があります。
必要なポートがファイアウォールで開かれていることを確認します。次のポートは、サブスクライブされたエッジ トランスポート サーバーによって使用されます。
SMTP: ポート 25/TCP は、インターネットとエッジ トランスポート サーバー間、およびエッジ トランスポート サーバーと内部 Exchange organization間の受信および送信メール フローに対して開いている必要があります。
セキュリティで保護された LDAP: 標準以外のポート 50636/TCP は、メールボックス サーバーからエッジ トランスポート サーバー上の AD LDS へのディレクトリ同期に使用されます。 このポートは、EdgeSync 同期を成功させるために必要です。
注:
ポート 50389/TCP は、AD LDS インスタンスにバインドするために LDAP によってローカルに使用されます。 このポートはファイアウォールで開く必要はありません。エッジ トランスポート サーバーでローカルに使用されます。
環境で特定のポートが必要な場合は、Exchange で提供されているスクリプトを使用して、AD LDS で使用されるポートを
ConfigureAdam.ps1
変更できます。 ポートの変更は、エッジ サブスクリプションを作成する前に行ってください。 エッジ サブスクリプションの作成後にポートを変更する場合は、エッジ サブスクリプションを削除してから別に作成する必要があります。エッジトランスポート サーバーとメールボックス サーバーの間で相互に DNS ホスト名解決が正常に行われることを確認します。
エッジトランスポート サーバーに伝搬する次のトランスポート設定を構成します。
内部 SMTP サーバー: Set-TransportConfig コマンドレットの InternalSMTPServers パラメーターを使用して、エッジ トランスポート サーバーの送信者 ID および接続フィルター エージェントによって無視される内部 SMTP サーバーの IP アドレスまたは IP アドレス範囲の一覧を指定します。
承認済みドメイン: すべての権限のあるドメイン、内部リレー ドメイン、および外部リレー ドメインを構成します。
リモート ドメイン: 既定のリモート ドメイン オブジェクト (すべてのリモート ドメインの受信者に使用) の設定を構成し、特定のリモート ドメインの受信者に必要に応じてリモート ドメイン オブジェクトを構成します。
エッジトランスポート サーバーで、エッジ サブスクリプション ファイルを作成してエクスポートします。
エッジトランスポート サーバー上で New-EdgeSubscription コマンドレットを実行してエッジ サブスクリプション ファイルを作成する際、以下の処理が行われます。
EdgeSync ブートストラップ レプリケーション アカウント (ESBRA) と呼ばれる AD LDS アカウントが作成されます。 これらの ESBRA 資格情報は、エッジ トランスポート サーバーへの最初の EdgeSync 接続を認証するために使用されます。 このアカウントは、作成後 24 時間で失効するように構成されます。 したがって、前のセクションで説明した 5 つの手順からなるサブスクリプション プロセスは、24 時間以内に完了する必要があります。 エッジ サブスクリプション プロセスが完了する前に ESBRA が期限切れになった場合は、 New-EdgeSubscription コマンドレットを再実行して、新しいエッジ サブスクリプション ファイルを作成する必要があります。
ESBRA 資格情報は AD LDS から取得され、エッジ サブスクリプション ファイルに書き込まれます。 エッジ トランスポート サーバーの自己署名証明書の公開キーも、エッジ サブスクリプション ファイルにエクスポートされます。 エッジ サブスクリプション ファイルに書き込まれる資格情報は、そのファイルのエクスポート元のサーバーに固有の情報です。
Active Directory から AD LDS にレプリケートされるエッジ トランスポート サーバー上で以前に作成した構成オブジェクトはすべて AD LDS から削除され、これらのオブジェクトの構成に使用される Exchange 管理シェル コマンドレットは無効になります。 ただし、 Get-* コマンドレットを使用してこれらのオブジェクトを表示することはできます。 New-EdgeSubscription コマンドレットを実行すると、エッジ トランスポート サーバーで次のコマンドレットが無効になります。
Set-SendConnector
New-SendConnector
Remove-SendConnector
New-AcceptedDomain
Set-AcceptedDomain
Remove-AcceptedDomain
New-RemoteDomain
Set-RemoteDomain
Remove-RemoteDomain
次の使用例では、エッジトランスポート サーバーでエッジ サブスクリプション ファイルを作成してエクスポートします。
New-EdgeSubscription -FileName "C:\Data\EdgeSubscriptionInfo.xml"
注:
エッジトランスポート サーバーで New-EdgeSubscription コマンドレットを実行するとき、エッジトランスポート サーバー上で無効になるコマンドおよび上書きされる構成の確認メッセージが表示されます。 この確認をバイパスするには、 Force パラメーターを使用する必要があります。 このパラメーターは、 New-EdgeSubscription コマンドレットをスクリプトで使用するときに便利です。 また、 Force パラメーターを 使用して、エッジ トランスポート サーバーを再サブスクライブするときに既存のファイルを上書きすることもできます。
メールボックス サーバーにエッジ サブスクリプション ファイルをインポートする
メールボックス サーバーで New-EdgeSubscription コマンドレットを実行してエッジ サブスクリプション ファイルを Active Directory サイトにインポートすると、次の処理が行われます。
エッジ サブスクリプションが作成されて、エッジトランスポート サーバーは Exchange 組織に参加します。 EdgeSync はこのエッジ トランスポート サーバーに構成データを伝達し、Active Directory に Edge 構成オブジェクトを作成します。
Active Directory サイトの各メールボックス サーバーは、新しいエッジトランスポート サーバーがサブスクライブされている旨の通知を Active Directory から受信します。 メールボックス サーバーは、エッジ サブスクリプション ファイルから ESBRA を取得します。 メールボックス サーバーは、エッジ トランスポート サーバーの自己署名証明書の公開キーを使用して、この ESBRA を暗号化します。 暗号化された資格情報はエッジ構成オブジェクトに書き込まれます。
また、各メールボックス サーバーは、自身の公開キーを使用して ESBRA を暗号化し、この資格情報を自身の構成オブジェクトに格納します。
EdgeSync レプリケーション アカウント (ESRA) は、Edge Transport-Mailbox サーバー ペアごとに Active Directory に作成されます。 各メールボックス サーバーは、自身の ESRA 資格情報をメールボックス サーバー構成オブジェクトの属性として格納します。
エッジ トランスポート サーバーからインターネットへの送信メッセージ、およびエッジ トランスポート サーバーから Exchange 組織への受信メッセージを中継する送信コネクタが自動的に作成されます。 詳細については、このトピックの「エッジ サブスクリプションによって自動的に作成される送信コネクタ」セクションを参照してください。
メールボックス サーバーで実行される Microsoft Exchange EdgeSync サービスは、ESBRA 資格情報を使用して、メールボックス サーバーとエッジ トランスポート サーバーの間にセキュリティで保護された LDAP 接続を確立し、データの初期レプリケーションを実行します。 次のデータが AD LDS にレプリケートされます。
トポロジ データ
構成データ
受信者データ
ESRA 資格情報
エッジ トランスポート サーバー上で実行される Microsoft Exchange Credential Service により、ESRA 資格情報がインストールされます。 これらの資格情報は、その後の同期接続を認証し、セキュリティで保護するために使用されます。
EdgeSync 同期スケジュールが確立されます。
サブスクライブした Active Directory サイトのメールボックス サーバーで実行されている Microsoft Exchange EdgeSync サービスは、Active Directory から AD LDS へのデータの一方向レプリケーションを定期的なスケジュールで実行します。 また、Start-EdgeSynchronization コマンドレットを使用して、EdgeSync 同期スケジュールをオーバーライドし、すぐに同期を開始することもできます。
この例では、エッジ トランスポート サーバーを指定のサイトにサブスクライブして、エッジ トランスポート サーバーからメールボックス サーバーへのインターネット送信コネクタおよび送信コネクタを自動的に作成します。
New-EdgeSubscription -FileData ([System.IO.File]::ReadAllBytes('C:\Data\EdgeSubscriptionInfo.xml')) -Site "Default-First-Site-Name"
注:
CreateInternetSendConnector パラメーターと CreateInboundSendConnector パラメーターの既定値はどちらも $true
です。そのため、このコマンドで使用する必要はありません。
エッジ サブスクリプションによって自動的に作成される送信コネクタ
既定では、エッジ サブスクリプション ファイルをメールボックス サーバーにインポートする際、インターネットと Exchange 組織間でエンド ツー エンドのメール フローを有効にするために必要な送信コネクタが自動的に作成され、エッジトランスポート サーバーにある既存の送信コネクタが削除されます。
エッジ サブスクリプションでは、次の送信コネクタが作成されます。
EdgeSync - Edge Transport サーバーから Exchange organizationに<メッセージを中継するように構成されている [受信からサイト名>] という名前の送信コネクタ。
EdgeSync - < Exchange organizationからインターネットにメッセージを中継するように構成されているインターネットへのサイト名>という名前の送信コネクタ。
また、エッジトランスポート サーバーの Exchange 組織へのサブスクライブにより、サブスクライブされた Active Directory サイトにあるメールボックス サーバーは、非表示かつ暗黙の組織内送信コネクタを使用して、メッセージをエッジトランスポート サーバーに中継できるようになります。
インターネットからメッセージを受信する受信用送信コネクタ
メールボックス サーバーで New-EdgeSubscription コマンドレットを実行すると、 CreateInboundSendConnector パラメーターが 値 $true
に設定されます。 これにより、エッジトランスポート サーバーから Exchange 組織にメッセージを送信するために必要な送信コネクタが作成されます。 次の表は、この送信コネクタの構成を示しています。
受信用の送信コネクタの自動構成
プロパティ | 値 |
---|---|
名前 | EdgeSync - サイト名への<受信> |
AddressSpaces | SMTP:--;1 アドレス空間の値は -- 、Exchange organizationに対して受け入れられたすべての権限のあるドメインと内部リレードメインを表します。 エッジ トランスポート サーバーが受信する、これらの許可されたドメイン宛てのメッセージは、この送信コネクタにルーティングされて、スマート ホストに中継されます。 |
SourceTransportServers | < Edge サブスクリプション名> |
Enabled | True |
DNSRoutingEnabled | False |
SmartHosts | -- スマート ホストの一覧の値は -- 、サブスクライブされている Active Directory サイト内のすべてのメールボックス サーバーを表します。 Edge サブスクリプションを確立した後にサブスクライブした Active Directory サイトに追加するすべてのメールボックス サーバーは、EdgeSync 同期プロセスに参加しません。 ただし、自動的に作成された受信用の送信コネクタのスマート ホストの一覧には追加されます。 サブスクライブ先の Active Directory サイトに複数のメールボックス サーバーがある場合、受信接続はスマート ホスト間で負荷分散されます。 |
作成時に、自動的に作成される受信用の送信コネクタのアドレス スペースまたはスマート ホストの一覧を変更することはできません。 ただし、Edge サブスクリプションを作成するときに、 CreateInboundSendConnector パラメーターを 値 $false
に設定できます。 この設定では、エッジ トランスポート サーバーから Exchange 組織への送信コネクタを手動で作成できます。
インターネットにメッセージを送信するための送信用送信コネクタ
メールボックス サーバーで New-EdgeSubscription コマンドレットを実行すると、 CreateInternetSendConnector パラメーターが 値 $true
に設定されます。 これにより、Exchange 組織からインターネットにメッセージを送信するために必要な送信コネクタが作成されます。 次の表は、この送信コネクタの既定の構成を示しています。
インターネット送信コネクタの自動構成
プロパティ | 値 |
---|---|
名前 | EdgeSync - < インターネットへのサイト名> |
AddressSpaces | SMTP:*;100 |
SourceTransportServers |
<
Edge サブスクリプション名> エッジ サブスクリプションの名前は、購読済みのエッジ トランスポート サーバーの名前と同じです。 |
Enabled | True |
DNSRoutingEnabled | True |
DomainSecureEnabled | True |
同一の Active Directory サイトに複数のエッジトランスポート サーバーをサブスクライブしても、インターネットへの追加の送信コネクタは作成されません。 代わりに、すべてのエッジ サブスクリプションが、送信元サーバーと同じ送信コネクタに追加されます。 これにより、サブスクライブ済みエッジ トランスポート サーバー間で、インターネットへの送信接続の負荷が分散されます。
送信用の送信コネクタは、Exchange 組織からすべてのリモート SMTP ドメインに電子メール メッセージを送信する際に、DNS ルーティングを使用してドメイン名を MX リソース レコードに解決するように構成されます。
EdgeSync サービスの詳細
Edge トランスポート サーバーを Active Directory サイトにサブスクライブすると、EdgeSync は構成と受信者のデータをエッジ トランスポート サーバーにレプリケートします。 このサービスは、次のデータを Active Directory から AD LDS にレプリケートします。
送信コネクタの構成
承認済みドメイン
リモート ドメイン
差出人セーフ リスト
受信拒否リスト
受信者
セキュリティで保護されたドメインがパートナーとの通信で使用する送受信ドメインの一覧
組織のトランスポートの構成で内部として一覧される SMTP サーバーの一覧
サブスクライブされた Active Directory サイトにあるメールボックス サーバーの一覧
EdgeSync は、相互に認証され、承認されたセキュリティで保護された LDAP チャネルを使用して、メールボックス サーバーからエッジ トランスポート サーバーにデータを転送します。
データを AD LDS にレプリケートするため、メールボックス サーバーは、更新済みデータを取得するグローバル カタログ サーバーにバインドします。 EdgeSync は、標準以外の TCP ポート 50636 を介して、メールボックス サーバーとサブスクライブされたエッジ トランスポート サーバーの間でセキュリティで保護された LDAP セッションを開始します。
Active Directory サイトにエッジ トランスポート サーバーを最初にサブスクライブする場合、Active Directory からのデータを AD LDS に設定する初期レプリケーションには、ディレクトリ サービス内のデータ量に応じて、5 分以上かかることがあります。 初期レプリケーション後、EdgeSync は新しいオブジェクトと変更されたオブジェクトのみを同期し、削除されたすべてのオブジェクトを削除します。
同期スケジュール
異なる種類のデータは、異なるスケジュールで同期されます。 EdgeSync 同期スケジュールでは、EdgeSync 同期間の最大間隔を指定します。 EdgeSync 同期は、次の間隔で行われます。
構成データ: 3 分。
受信者データ: 5 分。
トポロジ データ: 5 分
これらの間隔を変更するには、 Set-EdgeSyncServiceConfig コマンドレットを使用します。 メールボックス サーバー で Start-EdgeSynchronization コマンドレットを使用してエッジ サブスクリプションの同期を強制すると、次にスケジュールされた EdgeSync 同期のタイマーがオーバーライドされ、EdgeSync が直ちに開始されます。
メールボックス サーバーの選択
サブスクライブされた各エッジトランスポート サーバーは、特定の Active Directory サイトと関連付けられます。 サイトに複数のメールボックス サーバーが存在している場合は、そのうちのどのメールボックス サーバーでもサブスクライブ済みエッジエッジ トランスポート サーバーにデータをレプリケートする可能性があります。 同期中にメールボックス サーバー間で競合が発生しないようにするために、以下のようにして、優先するメールボックス サーバーが選択されます。
Active Directory サイトでトポロジ スキャンを実行して新しいエッジ サブスクリプションを検出した最初のメールボックス サーバーが、初期レプリケーションを実行します。 この検出はトポロジ スキャンのタイミングに基づいているため、サイトのどのメールボックス サーバーも最初のレプリケーションを実行する可能性があります。
初期レプリケーションを実行するメールボックス サーバーは、EdgeSync リース オプションを確立し、Edge サブスクリプションにロックを設定します。 リース オプションにより、その特定のメールボックス サーバーが、そのエッジ トランスポート サーバーに同期サービスを提供する優先サーバーとして確定されます。 ロックにより、別のメールボックス サーバーで EdgeSync が実行され、リース オプションが引き継がれなくなります。
EdgeSync リース オプションは 1 時間続きます。 その時間の間、時間の終わり前に手動同期が開始されない限り、他の EdgeSync サービスはオプションを引き継ぐできません。 手動同期が開始された時点で優先メールボックス サーバーが EdgeSync サービスを提供できない場合は、5 分待つとロックが解除され、別の EdgeSync サービスがリース オプションを引き継ぎ、同期を実行できます。
手動同期が開始されない限り、同期は EdgeSync 同期スケジュールに基づいて行われます。 スケジュールされた同期が発生したときに優先サーバーが使用できない場合は、5 分間待機した後にロックが解放され、別の EdgeSync サービスがリース オプションを引き継ぎ、同期を実行できます。
このロックとリースの方法により、EdgeSync の複数のインスタンスが同時に同じエッジ トランスポート サーバーにデータをプッシュできなくなります。
注:
Exchange 2016 組織では、サブスクライブした Active Directory サイトにも Exchange 2010 ハブ トランスポート サーバーがある場合、Exchange 2016 メールボックス サーバーが常に優先され、レプリケーションが実行されます。
エッジ トランスポート サーバーを Active Directory サイトにサブスクライブすると、その Active Directory サイトにインストールされているすべてのメールボックス サーバーが EdgeSync 同期プロセスに参加できます。 これらのサーバーのいずれかが削除された場合、残りのメールボックス サーバーで実行されている EdgeSync サービスは、データ同期プロセスを続行します。 ただし、後で Active Directory サイトに新しいメールボックス サーバーをインストールした場合、EdgeSync 同期には自動的に参加しません。 さらに、エッジ サーバーの内部配信グループに自動的に追加されることはありません。 これらの新しいメールボックス サーバーが EdgeSync 同期に参加し、Edge からメールボックスへの自動メール フローに参加できるようにするには、エッジ トランスポート サーバーをもう一度サブスクライブする必要があります。
次の表に、ロックとリースに関連する EdgeSync プロパティを示します。 Set-EdgeSyncServiceConfig コマンドレットを使用して、これらのプロパティを構成できます。
EdgeSync リース プロパティ
パラメーター | 既定値 | 説明 |
---|---|---|
LockDuration |
00:05:00 (5 分) |
この設定は、特定の EdgeSync サービスがロックを取得する期間を決定します。 このロックを保持しているメールボックス サーバー上の EdgeSync サービスが応答しない場合、5 分後に別のメールボックス サーバーの EdgeSync サービスがリースを引き継ぐようになります。 EdgeSync の即時同期を強制しても、この設定はオーバーライドされません。 |
OptionDuration |
01:00:00 (1 時間) |
この設定は、EdgeSync サービスがエッジ トランスポート サーバーでリース オプションを宣言できる期間を決定します。 リースを保持している EdgeSync サービスが使用できず、このオプション期間中に再起動しない場合、EdgeSync 同期を強制しない限り、他の Exchange EdgeSync サービスはリース オプションを引き継ぐ必要はありません。 |
LockRenewalDuration |
00:01:00 (1 分) |
この設定は、EdgeSync サービスがエッジ トランスポート サーバーへのロックを取得したときにロック フィールドを更新する頻度を決定します。 |