次の方法で共有


Active Directory とドメインを準備する方法

 

適用先: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007

トピックの最終更新日: 2008-02-19

ここでは、Microsoft Exchange Server 2007 をインストールするために Active Directory ディレクトリ サービスとドメインを準備する方法について説明します。組織の任意のサーバーに Exchange 2007 をインストールするには、この手順を完了する必要があります。

note注 :
Active Directory およびドメインを準備するために必要なアクセスが許可されているアカウントを使用して Exchange Server 2007 セットアップ ウィザードを実行すると、ウィザードによって Active Directory およびドメインが自動的に準備されます。

開始する前に

Exchange 2007 のために Active Directory およびドメインを準備する前に、以下のことを確認してください。

  • この手順を実行するコンピュータに、Microsoft .NET Framework 2.0 と Microsoft コマンド シェルがインストールされている。

  • ドメインとドメイン コントローラが、「Exchange 2007 のシステム要件」の「ネットワークおよびディレクトリ サーバー」に示すシステム要件を満たしている。

  • Exchange 2007 をインストールする (またはメールが有効なユーザーを含むことになる) 各ドメインのうち、少なくとも 1 つのドメイン コントローラが Windows Server 2003 Service Pack 1 (SP1) を実行している。

  • RTM (Release To Manufacturing) 版 Exchange 2007 の Setup.com を実行している場合は、Exchange Enterprise Servers グループおよび Exchange Domains Servers セキュリティ グループが存在しているために Setup /PrepareLegacyExchangePermissions を実行する必要のある (子ドメインを含む) 各ドメインのうち、少なくとも 1 つのドメイン コントローラが Windows Server 2003 SP1 以降のバージョンを実行している必要がある。

  • Windows 2000 Server を実行するドメイン コントローラがあり、Exchange 2007 RTM の Setup.com を使用している場合、後述の各手順で /DomainController パラメータを使用し、Windows Server 2003 SP1 を実行するドメイン コントローラを指定する必要がある。Exchange 2007 SP1 の Setup.com を使用している場合は、Windows Server 2003 SP1 を実行するドメイン コントローラを指定する必要はありません。

  • 新しい Exchange 組織を展開中であり、Active Directory スキーマおよびドメインを Windows Server 2008 を実行するコンピュータを使用して準備している場合、スキーマまたはドメインを準備する前に Active Directory 管理ツールを Windows Server 2008 コンピュータにインストールする必要がある。それには、次のコマンドを実行します。

    ServerManagerCmd -i RSAT-ADDS
    
  • Exchange 2007 をインストールするコンピュータが、「Exchange 2007 のシステム要件」の「ハードウェア」および「オペレーティング システム」に示すシステム要件を満たしている。

note注 :
この手順は、32 ビットまたは 64 ビットのプロセッサが搭載されたコンピュータで実行できます。プラットフォーム バージョンの詳細については、「Exchange Server 2007: プラットフォーム、エディション、バージョン」を参照してください。

手順

Active Directory とドメインを準備するには、次の操作を行います。

  1. 組織内に Exchange Server 2003 または Exchange 2000 Server を実行しているコンピュータがある場合は、コマンド プロンプト ウィンドウを開き、次のいずれかのコマンドを実行します。

    • Exchange Enterprise Servers グループおよび Exchange Domain Servers グループを含むフォレスト内のすべてのドメインで従来の Exchange アクセス許可を準備するには、次のコマンドを実行します。
      setup /PrepareLegacyExchangePermissions または setup /pl
    • 特定のドメイン内で従来の Exchange アクセス許可を準備するには、次のコマンドを実行します。
      setup /PrepareLegacyExchangePermissions: < 準備するドメインの FQDN > または setup /pl:<準備するドメインの FQDN>
    note注 :
    この手順を省略して、手順 2. または手順 3. の一部として従来の Exchange アクセス許可を準備することができます。各手順を個別に実行することの利点は、各手順ごとに最低限必要な権限のみを持つアカウントを使用できること、また完了、成否、レプリケーションを確認したうえで次の手順に進めることにあります。

    次の点に注意してください。

    • このコマンドを実行してフォレスト内の各ドメインを準備するには、Enterprise Admins グループのメンバである必要があります。このコマンドを実行して特定のドメインを準備するには、または、フォレストにドメインが 1 つだけである場合は、Exchange 管理者 (完全) の役割が委任されている必要があります。また準備するドメインの Domain Admins グループのメンバである必要があります。
    • ドメインを指定しない場合、このコマンドを実行するドメインは、フォレスト内のすべてのドメインにアクセスできる必要があります。サーバーは、従来の Exchange アクセス許可が準備されるはずのドメインにアクセスできない場合、アクセス可能なドメインを準備し、いくつかのドメインにアクセスできなかった旨のエラー メッセージを返します。
    • このコマンドは、フォレスト内の 32 ビット版または 64 ビット版 Windows Server 2003 SP1 サーバーであればどこからでも実行できます。
    • このコマンドを実行したら、Exchange 組織全体にアクセス許可がレプリケートされるのを待ってから、次の手順に進みます。アクセス許可がレプリケートされていないと、Exchange Server 2003 または Exchange 2000 Server コンピュータの受信者更新サービスにエラーが発生する場合があります。Active Directory サイトのトポロジに応じて、レプリケーションにかかる時間が異なります。
      note注 :
      Active Directory のレプリケーションの進行状況を追跡するには、Microsoft Windows Server 2003 のサポート ツールのセットアップ プログラムの一部としてインストールされている Active Directory レプリケーション モニタ ツール (replmon.exe) を使用できます。既定では、"%programfiles%\support tools\" にあります。ドメイン全体のレプリケーションの進行状況を追跡できるように、ドメイン コントローラを監視対象のサーバーとして追加してください。

    このコマンドによって設定されるアクセス許可の詳細については、「従来の Exchange アクセス許可の準備」を参照してください。

  2. コマンド プロンプト ウィンドウで、次のコマンドを実行します。

    setup /PrepareSchema または setup /ps

    note注 :
    この手順を省略して、手順 3. の一部としてスキーマを準備することができます。
    important重要 :
    setup /PrepareAD を実行する予定のないフォレストでこのコマンドを実行しないでください。このようなフォレストでこのコマンドを実行すると、フォレストが誤って構成され、ユーザー オブジェクトのいくつかの属性を読み取ることができなくなります。
    note注 :
    LDIFDE を使用する Exchange 2007 のスキーマ変更の手動インポートはサポートされていません。スキーマを更新するには Setup を使用する必要があります。

    このコマンドは、以下のタスクを実行します。

    • スキーマ マスタにアクセスし、LDIF (LDAP Data Interchange Format) ファイルをインポートすることで、Exchange 2007 固有の属性でスキーマが更新されます。LDIF ファイルは一時ディレクトリにコピーされ、スキーマにインポートされた後、削除されます。

      note注 :
      Exchange 2007 スキーマは、Exchange 2000 スキーマ拡張および Exchange 2003 スキーマ拡張も含んでいます。
    • 手順 1. を完了していない場合、setup /PrepareSchema によって自動的に PrepareLegacyExchangePermissions の手順が実行されます。

    次の点に注意してください。

    • 変更がドメイン内の他のサーバーにレプリケートされる前にスキーマの更新を確認したい場合は、コマンドを実行する前に、コマンドを実行するコンピュータのレプリケーション送信を無効にし、インポートが正常に完了したことを確認した後で、レプリケーション送信を有効にする必要があります。
    • このコマンドを実行するには、Schema Admins グループと Enterprise Admins グループのメンバである必要があります。
    • このコマンドは、スキーマ マスタと同じドメイン、同じ Active Directory サイトにある 32 ビットまたは 64 ビットコンピュータで実行する必要があります。
    • 手順 1. を完了していない場合は、setup /PrepareSchema によって自動的に PrepareLegacyExchangePermissions の手順が実行されます。PrepareLegacyExchangePermissions の手順を完了するには、このコマンドを実行するドメインが、フォレスト内のすべてのドメインと通信できる必要があります。各手順を個別に実行することの利点は、各手順ごとに最低限必要な権限のみを持つアカウントを使用できること、また完了、成否、レプリケーションを確認したうえで次の手順に進めることにあります。
    • このコマンドで /DomainController パラメータを使用する場合は、スキーマ マスタであるドメイン コントローラを指定する必要があります。
    • このコマンドを実行したら、Exchange 組織全体に変更がレプリケートされるのを待ってから、次の手順に進みます。Active Directory サイト トポロジに応じて、レプリケーションにかかる時間が異なります。
      note注 :
      Active Directory のレプリケーションの進行状況を追跡するには、Windows Server 2003 のサポート ツールのセットアップ プログラムの一部としてインストールされている Active Directory レプリケーション モニタ ツール (replmon.exe) を使用できます。既定では、"%programfiles%\support tools\" にあります。ドメイン全体のレプリケーションの進行状況を追跡できるように、ドメイン コントローラを監視対象のサーバーとして追加してください。

    このコマンドによるスキーマの変更の詳細については、「Active Directory のスキーマの変更点」を参照してください。

  3. コマンド プロンプト ウィンドウで、次のコマンドを実行します。

    setup /PrepareAD [/OrganizationName: <組織名> ] または setup /p [/on:<組織名>]

    このコマンドは、以下のタスクを実行します。

    • Microsoft Exchange コンテナが存在しない場合、このコマンドは CN=Services, CN=Configuration, DC=<ルート ドメイン> でコンテナを作成します。

    • CN=Microsoft Exchange, CN=Services, CN=Configuration, DC=<ルート ドメイン > の Exchange 組織コンテナが存在しない場合、/OrganizationName パラメータを使用して組織名を指定する必要があります。指定した名前で組織コンテナが作成されます。
      Exchange 組織の名前には、以下の文字のみを含めることができます。
      A ~ Z
      a ~ z
      0 ~ 9
      スペース (先頭または末尾を除く)
      ハイフンまたはダッシュ
      組織名の長さは、64 文字以下です。組織名を省略 (空白に) することはできません。組織名にスペースが含まれる場合は、二重引用符で囲む必要があります。

    • Active Directory の objectVersion 属性をチェックして、スキーマが更新されていることと、組織が最新の状態であることを確認します。objectVersion 属性は、CN=<組織>, CN=Microsoft Exchange, CN=Services, CN=Configuration, DC=<ドメイン> コンテナにあります。Exchange 2007 の RTM (Release To Manufacturing) 版で objectVersion 値は 10666 です。

    • CN=<組織名>,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=<ルート ドメイン> で以下のコンテナおよびオブジェクトが存在しない場合にはそれを作成します。これらのコンテナおよびオブジェクトは Exchange 2007 に必要なものです。
      CN=Address Lists Container,CN=<組織名>,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=<ルート ドメイン>
      CN=Addressing,CN=<組織名>,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=<ルート ドメイン>
      CN=Administrative Groups,CN=<組織名>,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=<ルート ドメイン>
      CN=Client Access,CN=<組織名>,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=<ルート ドメイン>
      CN=Connections,CN=<組織名>,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=<ルート ドメイン>
      CN=ELC Folders Container,CN=<組織名>,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=<ルート ドメイン>
      CN=ELC Mailbox Policies,CN=<組織名>,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=<ルート ドメイン>
      CN=Global Settings,CN=<組織名>,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=<ルート ドメイン>
      CN=Mobile Mailbox Policies,CN=<組織名>,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=<ルート ドメイン>
      CN=Recipient Policies,CN=<組織名>,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=<ルート ドメイン>
      CN=System Policies,CN=<組織名>,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=<ルート ドメイン>
      CN=Transport Settings,CN=<組織名>,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=<ルート ドメイン>
      CN=UM AutoAttendant,CN=<組織名>,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=<ルート ドメイン>
      CN=UM DialPlan,CN=<組織名>,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=<ルート ドメイン>
      CN=UM IPGateway Container,CN=<組織名>,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=<ルート ドメイン>
      CN=UM Mailbox Policies,CN=<組織名>,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=<ルート ドメイン>

    • このコマンドは既定の承認済みドメイン エントリが存在しない場合、フォレストのルートの名前空間に基づき、CN=Transport Settings,CN=<組織名>,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=<ルート ドメイン> で作成します。

    • 構成パーティション全体に特定のアクセス許可を割り当てます。与えられるアクセス許可の詳細については、「Exchange 2007 サーバー セットアップにおけるアクセス許可のリファレンス」を参照してください。

    • Rights.ldf ファイルをインポートします。これにより、Exchange を Active Directory にインストールするのに必要な拡張権利を追加します。

    • フォレストのルート ドメインに Microsoft Exchange Security Groups 組織単位 (OU) を作成し、この OU に特定のアクセス許可を割り当てます。与えられるアクセス許可の詳細については、「Exchange 2007 サーバー セットアップにおけるアクセス許可のリファレンス」を参照してください。

    • Microsoft Exchange Security Groups OU 内に、以下のユニバーサル セキュリティ グループ (USG) を作成します。
      Exchange Organization Administrators
      Exchange Recipient Administrators
      Exchange Servers
      Exchange View-Only Administrators
      Exchange Public Folder Administrators (Exchange Server 2007 Service Pack 1 の新機能)
      ExchangeLegacyInterop

    • Microsoft Exchange Security Groups OU 内の新規 USG を、CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=<ルート ドメイン> コンテナに格納されている otherWellKnownObjects 属性に追加します。

    • このコマンドにより、Exchange 管理グループ (FYDIBOHF23SPDLT) と呼ばれる Exchange 2007 管理グループが作成されます。また、Exchange ルーティング グループ (DWBGZMFD01QNBJR) と呼ばれる Exchange 2007 ルーティング グループも作成されます。

      Caution注意 :
      低レベルのディレクトリ エディタを使用して、Exchange 2007 サーバーを Exchange 管理グループ (FYDIBOHF23SPDLT) から移動したり、Exchange 管理グループ (FYDIBOHF23SPDLT) の名前を変更したりしないでください。Exchange 2007 では、構成データの格納にこの管理グループを使用する必要があります。Exchange 管理グループ (FYDIBOHF23SPDLT) からの Exchange 2007 サーバーの移動や、Exchange 管理グループ (FYDIBOHF23SPDLT) の名前の変更はサポートされていません。
      Caution注意 :
      低レベルのディレクトリ エディタを使用して、Exchange 2007 サーバーを Exchange ルーティング グループ (DWBGZMFD01QNBJR) から移動したり、Exchange ルーティング グループ (DWBGZMFD01QNBJR) の名前を変更したりしないでください。Exchange 2007 では、以前のバージョンの Exchange と通信するために、このルーティング グループを使用する必要があります。Exchange ルーティング グループ (DWBGZMFD01QNBJR) からの Exchange 2007 サーバーの移動や、Exchange ルーティング グループ (DWBGZMFD01QNBJR) の名前の変更はサポートされていません。
    • このコマンドは、ルート ドメインの Microsoft Exchange System Objects コンテナにユニファイド メッセージング音声発信者の連絡先を作成します。

    • このコマンドは、Exchange 2007 のローカル ドメインを準備します。ドメインを準備するために完了されるタスクについては手順 4. を参照してください。

    次の点に注意してください。

    • このコマンドを実行するには、Enterprise Admins グループのメンバである必要があります。

    • このコマンドを実行するコンピュータはポート 389 のフォレスト内のすべてのドメインにアクセスできる必要があります。

    • このコマンドは、スキーマ マスタのように同じドメインと同じ Active Directory サイトにあるコンピュータで実行する必要があります。Setup は、レプリケーションの遅延による競合を回避するためのスキーマ マスタの構成変更をすべて行います。

    • 手順 1. を完了していない場合は、setup /PrepareAD によって自動的に PrepareLegacyExchangePermissions の手順が実行されます。PrepareLegacyExchangePermissions の手順を完了するには、このコマンドを実行するドメインが、フォレスト内のすべてのドメインと通信できる必要があります。Schema Admins グループのメンバであり、手順 2. を完了していない場合は、setup /PrepareAD によって自動的に PrepareSchema の手順が実行されます。各手順を個別に実行することの利点は、各手順ごとに最低限必要な権限のみを持つアカウントを使用できること、また完了、成否、レプリケーションを確認したうえで次の手順に進めることにあります。

    • このコマンドを実行したら、Exchange 組織全体に変更がレプリケートされるのを待ってから、次の手順に進みます。Active Directory サイト トポロジに応じて、レプリケーションにかかる時間が異なります。 

      note注 :
      Active Directory のレプリケーションの進行状況を追跡するには、Windows Server 2003 のサポート ツールのセットアップ プログラムの一部としてインストールされている Active Directory レプリケーション モニタ ツール (replmon.exe) を使用できます。既定では、"%programfiles%\support tools\" にあります。ドメイン全体のレプリケーションの進行状況を追跡できるように、ドメイン コントローラを監視対象のサーバーとして追加してください。
    • この手順が正常に完了したことを確認するには、ルート ドメインに Microsoft Exchange Security Groups という新しい OU が作成されていることを確認してください。この OU には、次の新しい Exchange USG が含まれている必要があります。
      Exchange Organization Administrators
      Exchange Recipient Administrators
      Exchange View-Only Administrators
      Exchange Servers
      Exchange Public Folder Administrators (Exchange 2007 Service Pack 1 の新機能)
      ExchangeLegacyInterop

      note注 :
      Exchange 2007 をインストールすると、Exchange のインストール先コンピュータのローカルの Administrators グループのメンバとして、Exchange Organization Administrators USG が追加されます。ドメイン コントローラのローカルの Administrators グループには、メンバ サーバーのローカルの Administrators グループとは異なるアクセス許可が与えられることに注意してください。ドメイン コントローラに Exchange 2007 をインストールすると、Exchange 組織管理者であるユーザーには、ドメイン コントローラ以外のコンピュータに Exchange 2007 をインストールした場合には付与されない、追加の Windows アクセス許可が付与されます。
  4. コマンド プロンプト ウィンドウから、次のいずれかのコマンドを実行します。

    • setup /PrepareDomain または setup /pd を実行して、ローカル ドメインを準備します。これは、手順 3. を実行したドメインで実行する必要はありません。setup /PrepareAD を実行すると、ローカル ドメインが準備されます。
    • setup /PrepareDomain:<準備するドメインの FQDN> を実行して、特定のドメインを準備します。
    • setup /PrepareAllDomains または setup /pad を実行して、組織内のすべてのドメインを準備します。

    これらのコマンドは、以下のタスクを実行します。

    • Exchange Servers、Exchange Organization Administrators、Authenticated Users、および Exchange Mailbox Administrators のドメイン コンテナに対するアクセス許可を設定します。

    • 新しい組織である場合、このコマンドは Microsoft Exchange System Objects コンテナを Active Directory のルート ドメイン パーティションに作成し、このコンテナへのアクセス許可を、Exchange Servers、Exchange Organization Administrators および Authenticated Users に設定します。このコンテナは、パブリック フォルダ プロキシ オブジェクトと、メールボックス データベースのメールボックスのような Exchange 関連のシステムオブジェクトを格納するために使用されます。与えられるアクセス許可の詳細については、「Exchange 2007 サーバー セットアップにおけるアクセス許可のリファレンス」を参照してください。

    • このコマンドは、DC=<ルート ドメイン> の Microsoft Exchange System Objects コンテナで、objectVersion 属性を設定します。この objectVersion 属性は、ドメイン準備のバージョンを含んでいます。Exchange 2007 RTM のバージョンは 10628 です。

    • このコマンドは Exchange Install Domain Servers という新しいドメイン グローバル グループを作成します。このグループは Microsoft Exchange System Objects コンテナに置かれます。また、ルート ドメインの Exchange Servers USG に Exchange Install Domain Servers グループを追加します。

      note注 :
      Exchange Install Domain Servers グループは、Exchange 2007 をルート ドメイン以外の Active Directory サイトである子ドメインにインストールした場合に使用します。このグループを作成することで、グループ メンバシップが子ドメインにレプリケートされなかった場合にインストール エラーが回避されます。
    • Exchange Servers ユニバーサル セキュリティ グループ (USG) および Exchange Recipient Administrators USG のアクセス許可をドメイン レベルで割り当てます。与えられるアクセス許可の詳細については、「Exchange 2007 サーバー セットアップにおけるアクセス許可のリファレンス」を参照してください。

    次の点に注意してください。

    • ルート ドメイン以外の Active Directory サイトにあるドメインでは、次のメッセージが表示されて /PrepareDomain が失敗することがあります。
      "ドメイン <ユーザーのドメイン> に対する PrepareDomain が一部完了しました。Active Directory サイトの構成により、レプリケーションが行われるまで少なくとも 15 分待ってから、再度 <YourDomain> に対して PrepareDomain を実行してください。"
      "Active Directory の操作は <ユーザーのサーバー> で失敗しました。このエラーは再試行可能ではありません。追加情報 : 指定されたグループの種類が無効です。
      Active Directory の応答 : 00002141: SvcErr:DSID-031A0FC0, problem 5003 (WILL_NOT_PERFORM), data 0
      サーバーはディレクトリ要求を処理できません。"
      このメッセージが表示されたら、このドメインとルート ドメインの間で Active Directory レプリケーションが実行されるまで待つか、または強制的に実行してから、再度 /PrepareDomain を実行してください。
    • setup /PrepareAllDomains を実行するには、Enterprise Admins グループのメンバである必要があります。
    • setup /PrepareAD を実行する前に準備対象のドメインが存在する場合、setup /PrepareDomain を実行するには、ドメインの Domain Admins グループのメンバである必要があります。準備対象のドメインが setup /PrepareAD の実行後に作成された場合は、Exchange Organization Administrators グループのメンバ、およびドメインの Domain Admins グループのメンバである必要があります。
    • Exchange 2007 をインストールするすべてのドメインで、このコマンドを実行する必要があります。また、Exchange 2007 がインストールされなくても、メールが有効なユーザーを含むことになるすべてのドメインで、このコマンドを実行する必要があります。

    この手順が正常に完了したことを確認するには、次のことを確認してください。

    • Microsoft Exchange System Objects コンテナに、Exchange Install Domain Servers と呼ばれる新しいグローバル グループが存在する。

      note注 :
      Active Directory ユーザーとコンピュータで Microsoft Exchange System Objects コンテナを表示するには、[表示] メニューの [拡張機能] をクリックします。
    • Exchange Install Domain Servers グループは、ルート ドメインの Exchange Servers USG のメンバである。

    • Exchange 2007 をインストールするドメイン内にあるドメイン コントローラで、Exchange Servers USG は、Domain Controller Security Policy\Local Policies\User Rights Assignment\Manage Auditing and Security Log ポリシーに対するアクセス許可を持っている。

参照している情報が最新であることを確認したり、他の Exchange Server 2007 ドキュメントを見つけたりするには、Exchange Server TechCenter を参照してください。