Exchange Queue & A: メールボックスを移動する
Exchange Server のメールボックスを移動したり、メールボックスのセキュリティを確保するのは、厄介な作業です。特に、フォレスト間や、あるドメイン サーバーから別のドメイン サーバーに移動したりする際には注意が必要です。
Henrik Walther
仮想化された Exchange Server
Q: Exchange Server 2010 メッセージング ソリューションを、クラスター化された Hyper-V サーバーに展開する必要があり、データベース可用性グループ (DAG) を使用したメールボックス データベースを使用してセキュリティを確保する計画を立てていました。TechNet ドキュメントの Exchange Server 2010 の要件に関するセクションで次のような記述を見つけたので、この内容についての見解をうかがいたいと思っています。
"マイクロソフトは、Exchange 高可用性ソリューション (データベース可用性グループ (DAG)) とハイパーバイザーベースのクラスター化、高可用性、または移行ソリューションの組み合わせをサポートしていません。ハードウェア仮想化環境でサポートされる DAG は、仮想化環境でクラスター化されたルート サーバーを採用しない場合にサポートされます。"
A: 上記の引用文のとおり、Exchange Server 2010 の DAG と仮想化の高可用性 (HA) の組み合わせはサポートされていません。アプリケーション レベルの HA または仮想化の HA を使用する必要があります。Exchange Server 2010 を使用する場合は、アプリケーション レベルの HA を使用することをお勧めします。
クラスター化されたルート サーバーしかなくて、DAG を使用する必要がある場合、クラスター化された Hyper-V ルート サーバーに DAG メンバーを格納することは可能です。ただし、格納できるのは、DAG メンバーの各仮想サーバーで仮想化の HA をすべて無効にした場合に限ります。このコラムが公開されるまでには、TechNet ドキュメントを更新して、上記の新しいサポートの情報を反映します。
Exchange Server の負荷分散
Q: 現在、Exchange Server 2010 の新しいインフラストラクチャを設計しており、ハードウェア ロード バランサーを使用して、CAS アレイのクライアント アクセス サーバー間で高可用性と負荷分散を実現することにしました。CAS サーバーの SSL ワークロードを減らして、Cookie や SSL-ID のようなアフィニティ手法を利用するには、SSL をハードウェア ロード バランサーにオフロードする必要があります。
Outlook Web Access (OWA)、Outlook Anywhere (OA)、および Exchange Web サービス (EWS) で SSL のオフロードがサポートされていることは知っていますが、Exchange ActiveSync (EAS) ではどうでしょうか。 Exchange Server 2007 でサポートされていないことは、(Exchange Server 2007 の Outlook Web Access 用に SSL オフロードを構成する方法 のドキュメントを読んだので) 知っていますが、質問してみました。
A: 実は、Exchange Server 2007 と Exchange Server 2010 のどちらでも、EAS では SSL のオフロードがサポートされています。上記の Exchange Server 2007 のドキュメントは公開されてから一度も更新されていないので、このサポートの情報が反映されていません。
SSL のオフロードは (インターネットに接続しているサイトにある CAS サーバーの) 接続ポイントでのみサポートされ、CAS から CAS へのプロキシ シナリオではサポートされていないことに留意する必要があります。
フォレスト間の移行
Q: 現在、Exchange Server 2003 から Exchange Server 2010へのフォレスト間の移行を行う準備をしています。運用環境をシミュレーションするためのラボ環境を構築して、期待どおりに動作するかどうかを確認しています。
まず、Exchange Server 2010 の TechNet ドキュメント「シェルでスクリプトを使用してフォレスト間でメールボックスを移行する準備をする (英語)」の指示に従って、有効な Active Directory オブジェクトが含まれる移行先のフォレストを用意しました。スクリプトは正常に実行され、移行先のフォレストに AD オブジェクトが作成されるのは確認できましたが、下記のコマンドを使用して移行元のメールボックスを移動しようとすると、図 1 のようなエラーが表示されました。
New-MoveRequest -Identity 'cotestuser1@contoso.com -RemoteLegacy -TargetDatabaseMDB01 -RemoteGlobalCatalog 'DC1.contoso.com' -RemoteCredential $Cred -TargetDeliveryDomain 'fabrikam.com'
図 1 メールボックスのフォレストをまたぐ移動に関するエラー
このエラーの原因がわかれば教えてください。
A: すばらしいタイミングですね。私も数か月前、Exchange Server 2003 から Exchange Server 2010 へのフォレスト間の移行を行っていたときに、同じ経験をしました。Exchange 製品グループの Exchange Server メールボックス チームのプリンシパル開発リードを務めている Dmitri Gavrilov 氏に協力を依頼して、この問題の原因が、2 つの Active Directory フォレスト間で、NetBIOS 解決が行われないことにあることがわかりました。
New-MoveRequest コマンドレットを使用して、フォレスト間でメールボックスを移動する際には、移行先のフォレストにある Exchange Server 2010 サーバーでコマンドを実行し、NetBIOS 名を使用して、Exchange Server 2003 の組織にある移行元のメールボックス サーバーに接続できる必要があります。これは、New-MoveRequest コマンドレットでは、通常、NetBIOS 名しか含まないサーバーの LegacyDN を使用して、移行元のサーバーに接続しようとするからです。そのため、このエラー メッセージが表示されないようにするには、WINS を設定するか、ホスト ファイルを使用する必要があります。
頭数合わせの話
Q: いくつか読んだ資料には、ハードウェア ロード バランサーを使用して、内部ネットワークのすべてのクライアント アクセス サーバー間で、HA と Outlook クライアントの負荷分散を実現するには、Outlook の接続が適切に行われるように、TCP エンドポイント マッパー (TCP 143) と RPC の動的ポートの範囲 (TCP/UDP 1024 ~ 65535) のポートを開く必要があると記載されていました。これは正しい情報ですか。Exchange Server 2010 ではユーザー データグラム プロトコル (UDP) はサポートされていないと思っていたのですが。
A: ご指摘のとおりです。Exchange Server 2010 では、UDP はサポートされていません。ですから、UDP のポートを開く必要はなく、TCP のポートのみを開く必要があります。これは、Outlook 2003 にも当てはまりますが、Outlook では最初に UDP による通知を使用しようとします。Exchange Server が UDP に対応していないことがわかると、今度は TCP を使用して Exchange Server をポーリングします。問題は、オンライン モードの Outlook 2003 クライアントでは、60 秒ごとにしかポーリングされないことです。その結果、次のような状況が発生します。
- 送信メッセージが、最大 1 分間送信トレイにとどまる。
- 新しい電子メール メッセージが、最大 1 分間受信トレイに配信されない。
- フォルダーから項目を削除しても、最大 1 分間フォルダーから消えない。
- あるフォルダーから別のフォルダーに項目を移動しても、最大 1 分間移動元のフォルダーから消えない。
オンライン モードで Outlook 2003 クライアントを使用している場合は、サポート技術情報の記事「Exchange Server 2010 のメールボックスを使用すると、Outlook 2003 で電子メールの送受信に時間がかかる (英語)」の手順に従って、この問題を解決する必要があります。
メールボックスの保護
Q: 現在、Exchange Server 2010 インフラストラクチャを設計しています。HA をすべてのレベルに適用するという要件があるので、DAG を使用してメールボックス データベースを保護し、クライアント アクセス アレイと冗長なハードウェア ロード バランサーを使用してクライアント アクセス サーバーを保護します。
また、Forefront Threat Management Gateway (TMG) アレイを使用して、クライアント アクセス サーバーをインターネットに公開する予定です。CAS サーバーをインターネットに適切に公開する方法に、少し自信がありません。ISA Web 公開ルールを、社内ネットワークのハードウェア ロード バランサーで指定してから、ハードウェア ロード バランサーを使用して、CAS サーバー間にクライアント トラフィックを分散するべきでしょうか。
A: これは良い質問ですね。早速、説明しましょう。TMG (さらに言えば UAG) を使用して、Exchange Server 2010 の CAS サーバーを公開する場合は、TMG に含まれる Web サーバー ファームの負荷分散機能を使用します (詳細については、「ISA Server 2006 の Web サーバー ファームの負荷分散 (英語)」を参照してください)。無造作に、Web 公開ルールを社内ネットワークのハードウェア ロード バランサーで指定しないでください。
通常のシナリオでは、TMG でクライアントの要求を受け取ると、IP ヘッダーの送信元 IP アドレス フィールドを、内部インターフェイスで構成された IP アドレスに変更します。つまり、TMG からハードウェア ロード バランサーにプロキシされたクライアント要求は、すべて同じクライアント IP アドレスから要求されたように見えます。その結果、HLB では、すべてのクライアント要求を、Exchange Server 2010 CAS アレイの CAS サーバー間に分散するのではなく、同じ CAS サーバーに送信します。
プロキシ要求の動作を、[ISA Server コンピューターからの要求にする] から [元のクライアントからの要求にする] に変更すれば済む問題だという方もいるかもしれません (図 2 参照)。ただし、これはそんなに単純な問題ではありません。この設定を変更する場合は、各 CAS サーバーで、TMG を既定のゲートウェイとして設定する必要があります (または、図 2 のように静的ルートを使用する必要があります)。ただし、この設定により、他の問題が発生する可能性があります。いずれにしても、ほとんどの企業では NAT も採用しています。つまり、TMG を CAS サーバーの既定のゲートウェイに設定しても、送信元 IP アドレスは同じクライアントのもの (NAT デバイスの IP アドレス) であるように見えます。
図 2 TMG プロキシ要求の動作
TMG では追加のセキュリティ層を使用して、クライアントを CAS サーバーにプロキシする前に、事前認証することが可能ですが、TMG の Web サーバー ファームの負荷分散機能には、アフィニティに関して、Windows ネットワーク負荷分散と同様の制限があることに留意する必要があります。TMG では、Windows NLB コンポーネントを使用するので、送信元 IP アドレス ベースのアフィニティに制限され、Cookie や SSL-ID のようなアフィニティ手法を利用することはできません。
メールボックスの移動
Q: 1 つのルート ドメインと複数の子ドメインで構成されている Active Directory フォレストに、Exchange Server 2010 を展開しました。子ドメインにそれぞれ Exchange Server 2010 サーバーがあり、異なるドメインのメールボックス サーバー間で、メールボックスを移動しなければならないことがあります。可能な限り Exchange 管理シェル コマンドを使用しています。
また、New-MoveRequest コマンドレットを使用して、子ドメイン間でメールボックスを移動する必要がありますが、このコマンドレットを使用しても、移動先のドメインにあるメールボックスを確認できません。コマンドの処理が完了しても、メールボックスの一覧は表示されません。また、メールボックスを移動しようとしても、Exchange 管理シェルでメールボックスを確認できないので、エラーが発生します。何が起きているのかわかれば教えてください。
A: Exchange Server 2010 の管理シェルを使用する際、受信者の範囲は既定でドメイン レベルに設定されています。つまり、Get-Mailbox コマンドレットなどを実行しても、ローカルのメールボックスしか一覧表示されません。受信者の範囲をフォレスト全体に変更するには、Set-ADServerSettings -ViewEntireForest:$true というコマンドを実行する必要があります (図 3 参照)。
図 3 既定の受信者の範囲の変更
Henrik Walther は、マイクロソフト認定資格を持つ専門家です。IT ビジネスの分野で 15 年以上の経験がある、Exchange Server 2007 および Exchange Server MVP です。TimengoConsulting (デンマークを拠点とするマイクロソフト認定ゴールド パートナー) でテクノロジ アーキテクトを、Biblioso Corp. (ドキュメント管理とローカライズ サービスを専門とする米国の企業) でテクニカル ライターを務めています。連絡先は、v-henwal@microsoft.com (英語のみ) です。