最終更新日: 2003年7月7日
Microsoft ISA Server 2000 Feature Pack 1 バージョン 1
Microsoft Internet Security and Acceleration (ISA) Server を使用すると、内部ネットワークのセキュリティを損なうことなく、内部サーバーをインターネットに公開できます。ローカルネットワーク上のサーバーへ、どの要求を送信するかを指定した Web 公開ルールとサーバー公開ルールを構成することで、内部サーバーのセキュリティをさらに高めることができます。
トピック
はじめに
一般的な ISA Server のシナリオには、メールサーバーの Simple Mail Transfer Protocol (SMTP) 通信の保護が含まれます。たとえば、ISA Server は、Microsoft Exchange 2000 Server コンピュータを保護することができます。[メールサーバーのセキュリティウィザード] では、Exchange Server とインターネット間で通信を行うために必要なポリシーを構成します。このウィザードでは、特定のポートで受信したインターネットユーザーからの通信を、指定した内部 IP (Internet Protocol) アドレスへリダイレクトするサーバー公開ルールセットを追加します。また、ウィザードによって、発信方向の通信のためにポートを動的に開くプロトコルルールが作成されます。
ISA Server にはリモートプロシージャコール (RPC) アプリケーションフィルタも用意されているので、Exchange 2000 Server 公開モデルのセキュリティをさらに高めることができます。この RPC アプリケーションフィルタを使用することで、Microsoft Outlook クライアントと Exchange Server がインターネット経由で安全に通信できます。
セキュリティで保護された Outlook クライアントと Exchange 2000 Server 間の通信
Outlook クライアントは RPC を使用して Exchange 2000 Server へ接続します。ここで説明するように、ISA Server の RPC アプリケーションフィルタは RPC 通信を保護します。このように ISA Server は、POP3 および SMTP 通信だけでなく、RPC 通信も独自の方法で保護します。
ISA Server の RPC アプリケーションフィルタを使用することで、Outlook クライアントと Exchange Server がインターネット経由で安全に通信できます。RPC アプリケーションフィルタは、要求されている RPC インターフェイスを特定し、それらのインターフェイスに対する呼び出しのみを許可することによって、インターネット経由での RPC 通信を保護します。さらに、RPC アプリケーションフィルタはポートを動的に開きます。つまり、明確に要求された場合のみ通信が可能になります。
また、Exchange 2000 Server は、UDP ベースの軽量プロトコルを使用して Outlook クライアントと通信します。RPC アプリケーションフィルタは新着メールの通知も処理します。その方法は次のとおりです。Outlook クライアントは Exchange Server にログオンすると、RPC を使って受信ポート番号を渡し、新着メールの通知を受け取れるように登録します。新しいメールが到着すると、Exchange Server は 1 つの UDP パケットをそのポートに送信します。標準的なファイアウォールを使ってこの種の通知を可能にするには、通常は多数のポートを開いておかなければなりません。RPC アプリケーションフィルタが有効な場合は、ISA Server が新着メールの登録を受信し、必要なポートだけを動的に開きます。
したがって、ISA Server のファイアウォールを使用することで、Exchange 2000 Server をより安全に公開することができます。
通知およびネットワークアドレス変換 (NAT) の詳細については、「新着メールの通知」を参照してください。
RPC アプリケーションフィルタのしくみ
Exchange 2000 Server または Outlook クライアントのシナリオでは、RPC アプリケーションフィルタは次のように動作します。
Outlook クライアントは、Exchange RPC UUID のサービスポート番号を調べるため、ポート 135 (TCP) を使用して ISA Server 経由で Exchange Server へ要求を発行します。
Exchange Server は、ISA Server コンピュータ経由で Outlook クライアントに応答を返し、そのクライアントが通信できるポート番号を知らせます。その後、ポート 135 (TCP) への接続を閉じます。
ISA Server は、RPC アプリケーションフィルタを使用してこの情報を取得し、テーブルに保存しておきます。
ISA Server は ISA Server コンピュータに新しいポートを割り当て、そのポートに合わせて Outlook クライアントへ送信する応答を変更します。この情報もテーブルに保存されます。
Outlook クライアントは、Exchange Server 宛てに要求を発行します。ただし、実際には、ISA Server コンピュータの新しいポートにその要求が送信されます。その後 ISA Server コンピュータは、Exchange Server にパケットを送信します。このポートを経由する通信のみが許可されます。
認証方法の変更
Outlook クライアントが Exchange Server に接続すると、Exchange Server は Outlook クライアントに対して、認証のために Microsoft Active Directory ドメインコントローラと直接通信するよう指示します。Outlook クライアントがインターネットに接続されており、ドメインコントローラが企業のイントラネットに接続されている場合、このドキュメントで説明する公開シナリオでは、このような直接通信は正常に機能しません。ISA Server は Microsoft Active Directory ディレクトリサービスを実行しているサーバーを公開しないので、Outlook クライアントはドメインコントローラに接続して認証を行うことができません。
インターネットベースの Outlook クライアントとイントラネットベースの Exchange Server が通信できるようにするには、Exchange Server で以下のレジストリキーの値を設定します。
HKLM\System\CurrentControlSet\Services\MSExchangeSA\Parameters
以下のように設定します。
値の名前 : No RFR Service
値の種類 : DWORD
値のデータ : 0x1
このレジストリをこのように変更すると、Exchange Server は、Active Directory ディレクトリサービスと直接通信するよう Outlook クライアントに指示する代わりに、Outlook クライアントの代理として認証要求をドメインコントローラ (Active Directory サーバー) へ送信するようになります。したがって、Outlook クライアントは Exchange Server を使用し、ドメインコントローラに対して自分自身の認証手続きを行うことができます。この認証トラフィックは Exchange RPC プロトコルを使って送信されるので、新しい公開ルールは必要ありません。
新着メールの通知
新着メールの通知を有効にするため、Exchange 2000 Server は、Outlook クライアントと Exchange Server 間でルーティング可能なアドレス指定を使用します。Outlook クライアントと Exchange Server の間に ISA Server などのネットワークアドレス変換 (NAT) デバイスがある場合、新着メールの通知は正常に機能しません。
プライベートアドレスに送信された新着メール通知は破棄されます。これらの通知は要求されていない着信方向の UDP パケットであり、それに対応する発信方向のフローが存在しないためです。ISA Server Exchange RPC フィルタは、登録ペイロードにアクセスしてクライアントが登録したアドレスを変更することはできません。現在のところ、クライアントが登録したアドレスにアクセスして変更できる NAT エディタはありません。
Outlook クライアントは、Exchange Server と他の通信を行っている間にもメール通知を受け取ります。ただし、インターネット経由で RPC を送信したときなどに、いずれかの RPC パケットでエラーが発生した場合は、パケットの最後に新着メールフラグが渡されません。この制約に対処するには、次の方法を実行します。
Outlook 2000 では、F9 キーを定期的に押して新着メールをチェックします。
Outlook 2002 では、ポーリング間隔を設定します。
公開シナリオ
公開する Exchange Server は、ISA Server コンピュータ上またはローカルネットワーク上にインストールできます。この後のセクションでは、Exchange 2000 Server のいくつかの公開シナリオについて説明します。
ローカルネットワーク上に Exchange 2000 Server を配置 (推奨)
ISA Server コンピュータ上に Exchange 2000 Server を配置 (非推奨)
シナリオ 1 : ローカルネットワーク上に Exchange 2000 Server を配置
このシナリオでは、Exchange を実行しているサーバーは、ISA Server コンピュータによって保護されたローカルネットワーク上にあります。
ISA Server の [メールサーバーのセキュリティウィザード] では、外部クライアントが次のプロトコルを使用して Exchange Server と通信できるように ISA Server コンピュータを構成できます。
MAPI (Messaging Application Programming Interface)
POP3 (Post Office Protocol 3)
IMAP4 (Internet Messaging Access Protocol 4)
NNTP (Network News Transfer Protocol)
Outlook クライアントまたは Exchange クライアントによる直接アクセスのための RPC
手順 1. ISA Server でルールを作成する
ウィザードで、ISA Server で使用するルールを作成します。すべてのルール名の先頭には "メールウィザードルール" が付けられます。
ISA Server でルールを作成するには
ウィザードでは、ISA Server が保護する各メールサービスに対応したサーバー公開ルールが作成されます。ウィザードが作成するサーバー公開ルールには、以下のパラメータが含まれます。
メールサーバーの内部 IP アドレス
ISA Server コンピュータによって公開される外部アドレス
選択したメールサービスのプロトコル
[メールサーバーのセキュリティウィザード] では、発信方向のメールトラフィックを許可するプロトコルルールも作成できます。プロトコルルールには以下のパラメータがあります。
プロトコルは SMTP (クライアント) です。
クライアントアドレスセットを使用します。クライアントセットには、Exchange 2000 Server コンピュータの内部 IP アドレスが含まれます。
公開するサーバーのデフォルトゲートウェイは、ISA Server コンピュータへルーティングする必要があります。
手順 2. 公開するサーバーの名前解決を構成する
Exchange Server を公開する場合、名前の解決方法を構成する必要があります。一般的な方法は次の 2 つです。
インターネット上の DNS サーバーへ転送する内部 DNS サーバーを使用します。
インターネット上の DNS サーバーを使用します。
ISA Server コンピュータでは、名前解決の DNS クエリの発生を許可するルールを必ず作成してください。
手順 3. クライアントの名前解決を構成する
POP3、IMAP4、SMTP、NNTP、MAPI、および HTTP (Hypertext Transfer Protocol) プロトコルを使用するクライアントは、DNS 名または IP アドレスによって、これらのサービスを実行している公開サーバーにアクセスできます。クライアントは、IP アドレスによってサーバーの FQDN 名を解決する必要があります。この IP アドレスは、ISA Server コンピュータの外部 IP アドレスです。
これは、クライアントの構成時にアクティブにできます。サービスをホストしているサーバーの名前を入力するよう求められたら、ISA Server コンピュータの IP アドレスを入力します。
DNS を使用する場合は、そのサービスをホストしているサーバーのエントリが必要です。この場合、IP アドレスは、ISA Server コンピュータの外部 IP アドレスです。DNS サーバーは、公開されている名前を、ISA Server コンピュータの外部 IP アドレスに変換します。
場合によっては、内部ドメイン名が、公開されている外部ドメイン名と異なることがあります。この場合は、公開されている外部ドメイン名を使用します。
特に MAPI クライアントが Exchange Server と通信する場合、Outlook クライアントは Exchange Server の完全修飾ドメイン名 (FQDN) を指定します。Exchange Server は、クライアントに対して自分自身の内部名を返します。通常、この内部名は FQDN と異なります。クライアントが次に通信するときはこの内部名を使用しますが、インターネット上では認識されません。この問題を解決するため、Exchange 2000 Server コンピュータの内部名をその FQDN と同じ名前に設定します。
シナリオ 2 : ISA Server コンピュータ上に Exchange 2000 Server を配置
このシナリオでは、ISA Server と Exchange 2000 Server を同じコンピュータ上に配置します。IIS サーバーと ISA Server はポート 80 とポート 443 で競合するため、このシナリオは推奨しません。さらに、SMTP Filter を有効にした場合は、ポート 25 でもポート競合が発生します。
手順 1. Exchange 2000 Server を構成する
Exchange 2000 Server を構成するには、ソケットプーリングを無効にして SSL と HTTP アクセスを提供し、さらに SMTP アクセスを提供します。
ソケットプーリングを無効にする
ポートの競合を防ぎ、ネットワークのセキュリティを高めるため、ここで説明するように IIS Server を構成します。既定では、ソケットプーリングが有効になっています。つまり、Exchange Server または IIS サーバーがインターフェイスの特定のポートでリッスンしないように構成した場合でも、すべてのインターフェイスでリッスンが発生します。w3svc サービスと smtpsvc サービスの両方について、ソケットプーリングを無効にする必要があります。
例
Exchange Server が指定したインターフェイスでのみリッスンするようにするには、MDUTIL.exe または ADSI を使用して、メタデータの値プロパティ ID 1029 (DisableSocketPooling) を設定します。
例 :
mdutil set -path smtpsvc/1 -value 1 -dtype 1 -prop 1029 -attrib 1
W3svc では、コマンドラインに次のように入力します。
adsutil set w3svc/DisableSocketPooling “True”
IIS は、ポート 80 および 443 で ISA Server と競合します。メールが有効な場合は、ポート 25 でも SMTP Filter と競合します。このようなポート競合を防ぐには、IIS サーバーメタデータのサーバー拘束を変更し、内部 IP アドレスおよび 127.0.0.1 について、これら 2 つのポートで IIS サーバーがリッスンするようにします。
たとえば、コマンドラインに次のように入力します。
adsutil set w3svc/1/serverbindings <内部 IP アドレス>:80, 127.0.0.1:80
注意 このツールを間違って使用すると、システムが損傷を受ける可能性があります。このユーティリティを使用する前に、コンピュータの重要なデータをバックアップしてください。
SMTP アクセス
ここでは、内部インターフェイスでのみ SMTP トラフィックをリッスンするように Exchange 2000 Server を構成する方法について説明します。
内部インターフェイスで SMTP トラフィックをリッスンするように Exchange Server 2000 を構成するには
Exchange システムマネージャを開きます。[スタート]、[プログラム]、[Microsoft Exchange]、[システムマネージャ] の順にクリックします。
システムマネージャのコンソールツリーで、[サーバー] をクリックし、目的のサーバーをクリックします。次に、[プロトコル]、[SMTP] の順にクリックし、[既定の SMTP 仮想サーバー] を右クリックして [プロパティ] をクリックします。
[全般] タブで [詳細設定] をクリックします。
内部 IP アドレスのみがアドレスボックスに登録されていることを確認します。その他のアドレスを削除するには、削除するアドレスを選択して、[削除] ボタンをクリックします。
内部 IP アドレスを追加するには、[追加] をクリックします。次に、一覧から内部 IP アドレスを選択します。[TCP ポート] に「25」と入力します。
[メールサーバーのセキュリティウィザード] を使用して、ISA Server コンピュータ上に配置された Exchange Server を公開することができます。このシナリオでは、[メールサーバーのセキュリティウィザード] で IP パケットフィルタを作成します。IP パケットフィルタは、選択したそれぞれのメールサービスに作成されます。たとえば、[メールサーバーのセキュリティウィザード] を実行して、発信方向の SMTP メール要求と POP3 クライアント要求を指定するとします。
Outlook クライアントまたはExchange クライアントは、ローカルネットワーク以外から RPC 接続を使用して Exchange Server にアクセスすることはできません。POP3 と IMAP4 のみを使用できます。これらは Outlook でもサポートされています。
以下の IP パケットフィルタが作成されます。
任意のリモートポートからローカルポート 25 に着信する Transmission Control Protocol (TCP) 接続を許可する IP パケットフィルタ (着信方向の SMTP パケットを許可)
すべてのローカルポートからリモートポート 25 へ発信される TCP 接続を許可する IP パケットフィルタ (発信方向の SMTP パケットを許可)
任意のリモートポートからローカルポート 110 に着信する TCP 接続を許可する IP パケットフィルタ (着信方向の POP3 パケットを許可)
[メールサーバーのセキュリティウィザード] では、Exchange 2000 Server と ISA Server が同一コンピュータ上に配置されている場合は、SMTP Filter が構成されません。ISA Server コンピュータと Exchange Server を特別に構成する必要があります。この後のセクションでは、SMTP サーバーの構成方法について説明します。
手順 2. ISA Server コンピュータを構成する
同一コンピュータ上に配置された Exchange Server を完全に保護するには、次の操作を実行して、ISA Server を特別に構成する必要があります。
SMTP Filter を有効にする
Exchange Server をアクセス可能にするためのサーバー公開ルールを構成する
SMTP Filter を有効にする
SMTP Filter を有効にするには
ISA Server のコンソールツリーで、[Internet Security and Acceleration Server]、[サーバーとアレイ]、目的のアレイ、[拡張]、[アプリケーションフィルタ] の順にクリックします。
詳細ペインで、[SMTP Filter] を右クリックし、[プロパティ] をクリックします。
[全般] タブで [このフィルタを有効にする] が選択されていることを確認します。
サーバー公開ルールを作成する
注意 [メールサーバーのセキュリティウィザード] は使用しないでください。
ローカル Exchange Server を公開するためのサーバー公開ルールを作成するには
ISA Server のコンソールツリーで、[Internet Security and Acceleration Server]、[サーバーとアレイ]、目的のアレイ、[公開]、[サーバー公開ルール]、[新規作成]、[ルール] の順にクリックします。
ルールの名前を入力して、[次へ] をクリックします。
[アドレスマッピング] の [内部サーバーの IP アドレス] に、Exchange Server がリッスンする IP アドレスを入力します。この場合は、ISA Server コンピュータのいずれかの内部 IP アドレスを入力します。
[ISA Server の外部 IP アドレス] に、ISA Server コンピュータの外部 IP アドレスを入力します。次に、[次へ] をクリックします。
[プロトコル設定] ページで、[SMTP サーバー] を選択します。次に、[次へ] をクリックします。
[クライアントの種類] ページで、SMTP サーバーへのアクセスを許可するクライアントを選択します。[次へ] をクリックし、さらに [完了] をクリックしてウィザードを終了します。
メッセージ フィルタ
ISA Server には、ISA Server コンピュータ経由で着信した SMTP トラフィックを制御するためのメッセージフィルタ機能が備わっています。このアーキテクチャでは、ISA Server から SMTP サービスへメッセージが送信されます。そのメッセージはさらにメッセージ スクリーナに送られ、その後 SMTP サービスに返送されます。SMTP サービスは、必要に応じてそのメッセージを中継します。メッセージフィルタ機能は 2 つのコンポーネントに実装されています。
SMTP Filter は既定でインストールされますが、有効にはなりません。このフィルタは、着信方向の SMTP トラフィックで許可する SMTP コマンドを指定するときに使用します。メッセージ スクリーナをインストールするかどうかにかかわらず、SMTP Filter は常にインストールされます。ただし、メッセージ スクリーナがインストールされていない場合、フィルタで遮断できるのは SMTP コマンドだけで、メッセージの内容は遮断できません。
メッセージ スクリーナは、必要に応じてインストールできる Exchange 2000 SMTP Server の拡張機能です。ISA Server をセットアップする際、コンピュータに SMTP Server がインストールされている場合のみ、メッセージ スクリーナをインストールするよう選択できます。メッセージ スクリーナは、どのキーワードおよび添付ファイルを許可し、どのユーザーおよびドメインを拒否するかを指定して、メッセージをフィルタ処理するときに使用します。メッセージ スクリーナを構成するには、SMTP Filter のプロパティシートを使用します。
SMTP Filter とメッセージ スクリーナは ISA の管理で構成できますが、実際には 2 つの独立したエンティティであることに注意してください。
ISA Server と Exchange 2000 は、同じ (ローカル) コンピュータまたは別々のコンピュータに配置できます。ネットワーク構成によっては、SMTP サーバー、ISA Server、メッセージ スクリーナ、および SMTP Filter を別々にセットアップし、構成する必要があります。ここでは、いくつかの展開シナリオ、およびそれらの各シナリオでの ISA Server と Exchange 2000 Server の構成方法について説明します。
SMTP サーバーと ISA Server が同じコンピュータ上に配置されている場合、ISA Server の [メールサーバーのセキュリティウィザード] では SMTP Filter が構成されません。SMTP Filter 機能を使用する場合は、ISA Server コンピュータと SMTP サーバーを特別に構成する必要があります。
メッセージ スクリーナのすべてのシナリオについて、メッセージ スクリーナがインストールされているかどうかを調べるには、コンピュータに次のレジストリキーが存在することを確認します。 ``` このレジストリキーが存在しない場合は、メッセージ スクリーナがインストールされていません。
program files\isa ディレクトリに fltrnsk1.dll が存在することを確認してください。
シナリオ 1 : 同一コンピュータ上に配置された ISA Server と Exchange 2000 Server のメッセージフィルタを構成する
ここでは、Exchange 2000 Server と ISA Server が同一コンピュータに配置されている場合の構成方法について説明します。
このシナリオでは、メッセージ スクリーナと SMTP Filter の両方をコンピュータにインストールする必要があります。ISA Server のインストール時に [完全インストール] オプションを選択すると、メッセージ スクリーナがインストールされます。
SMTP Filter は常にインストールされますが、有効にはなりません。
シナリオ 2 : ローカルネットワークに配置された Exchange 2000 Server のメッセージフィルタを構成する
ここでは、Exchange 2000 Server と ISA Server が別々のコンピュータに配置されている場合のメッセージスクリーニングの構成方法について説明します。この場合は、2 種類の構成が可能です。
構成 1 では、インターネットインフォメーションサービス (IIS) を実行しているサーバーにメッセージ スクリーナをインストールします。つまり、実際には 2 つの保護層が存在することになります。
インターネットに直接接続されている ISA Server
ISA Server 経由で着信したすべてのメッセージをスクリーニングする IIS とメッセージ スクリーナ
内部ネットワークに配置された Exchange 2000 Server
この構成の利点は、Exchange Server をネットワークから隔離できることです。さらに、このシナリオでは、メッセージ スクリーナは着信メッセージのみをスクリーニングし、発信メッセージはスクリーニングしません。
構成 2 では、メッセージ スクリーナは Exchange 2000 Server コンピュータにインストールされ、着信と発信を含むすべてのメッセージをスクリーニングします。この場合、負荷が大きいとパフォーマンスが低下する可能性があります。
Exchange 2000 Server コンピュータに別のネットワークアダプタを追加すれば、着信メッセージだけをスクリーニングするように Exchange 2000 Server を構成することができます。
これらのシナリオを構成するには次の手順を実行します。これらの手順については、この後に詳しく説明します。
IIS SMTP 仮想サーバーを構成する (構成 1 のみ)
IIS サーバー (構成 1) または Exchange 2000 Server コンピュータ (構成 2) にメッセージ スクリーナをインストールする
手順 1. IIS SMTP 仮想サーバーを構成する
構成 1 の場合は、ここで説明するように IIS サーバーの仮想 SMTP サーバーを構成します。
IIS サーバーの仮想 SMTP サーバーを構成するには
SMTP を有効にして IIS をインストールした後、[IIS の管理] を開いて [SMTP] を拡張します。
[ドメイン] を右クリックして、[新しいドメイン] をクリックします。
[SMTP ドメインウィザード] で、[リモート] を選択します。
メールを受け付けるドメインの名前を入力します。通常は、ドメインの外部 (公開) ネットワーク名を入力します。
ドメインを作成したら、そのドメイン名を右クリックして、[プロパティ] をクリックします。
[これらのドメインへのメッセージの中継を許可する] を選択します。
[ルートドメイン] で、[すべてのメールをスマートホストに転送する] を選択します。
Exchange Server またはメールサーバーの IP アドレスを入力します。
手順 2. メッセージ スクリーナをインストールする
ここでは、メッセージ スクリーナのインストール方法について説明します。どちらのシナリオでも、以下の手順に従ってメッセージシナリオをインストールします。
注意 メッセージ スクリーナをインストールできるのは、Exchange 2000 Server または IIS サーバー SMTP サービスが ISA Server コンピュータにインストールされている場合だけです。
必ず、IIS サーバーで仮想 SMTP サーバーをセットアップした後で、メッセージ スクリーナをインストールしてください。
メッセージ スクリーナは、Exchange のシステムの管理または IIS に一覧表示される最初の仮想サーバーにのみインストールされます。
ISA Server のセットアップをメンテナンスモードで実行するには
コントロールパネルで、[アプリケーションの追加と削除] をダブルクリックし、[Microsoft Internet Security and Acceleration Server]、[変更] の順にクリックします。
ISA Server のセットアップで [続行] をクリックし、CD キーを押して、適切なインストールフォルダを選択します。次に、[カスタムインストール] を選択します。
[オプション] ボックスで、[ISA サービス] と [管理ツール] のオプションが選択されていないことを確認します。
[アドインサービス] を強調表示し、[オプションの変更] をクリックします。
[メッセージ スクリーナ] オプションのみを選択して、[OK] をクリックします。この後は、既定のオプションを選択して、セットアップ処理を完了します。
注意 これらのオプションは、ISA Server のインストールで [カスタムインストール] を指定したときにも使用できます。
シナリオ 3 : ISA Server を構成する
ISA Server コンピュータで次の手順を実行します。
SMTP Filter を有効にします。
Exchange Server を公開するための適切なサーバー公開ルールを作成します。IIS サーバーを公開する場合は、IIS サーバーの公開ルールを作成します。
適切に保護するための SMTP Filter を構成します。
SMTPCred ツールを使用する
これらのうちいずれかの構成で ISA Server Standard Edition を実行する場合、または ISA Server Enterprise Edition をスタンドアロンサーバーとして実行する場合は、SMTPCred.exe ツールを実行してください。
このツールを実行し、ISA Server コンピュータに対して管理者特権を持つ資格情報を入力します。SMTPCred.exe を実行するために必要なユーザーアカウントには特別な権利が付与されている必要はありませんが、同一ドメインに存在する必要があります。
SMTPCred.exe は、ISA Server CD の\isa\i386 フォルダにあります。
シナリオ 4 : 分散 COM と ISA Server
ISA Server SMTP Filter は、分散 COM (DCOM) を使用してデータを転送します。ISA Server と、SMTP メッセージ スクリーナがインストールされているサーバーとの間で、DCOM が正しく機能していることを確認してください。また、構成時には、DCOM を使用したセキュリティ実装を慎重に検討してください。
ISA Server で DCOM を構成するには
コマンドプロンプトに「dcomcnfg.exe」と入力して、分散 COM 構成ユーティリティを開きます。
[アプリケーション] タブで、[VendorData Class] を選択し、[プロパティ] をクリックします。
[セキュリティ] タブで、[独自のアクセス許可を使う]、[独自の起動アクセス許可を使う]、および [独自の構成アクセス許可を使う] を選択します。
これらの各アクセス許可設定について、以下の操作を行います。
[編集] をクリックします。
[レジストリ値のアクセス許可] で [追加] をクリックし、[Everyone] を選択して [OK] をクリックします。
[レジストリ値のアクセス許可] の [アクセスの種類] で、アクセス許可を設定する場合は [アクセスの許可] を選択します。
起動許可を設定する場合は [起動の許可] を選択します。
構成許可を設定する場合は[フルコントロール] を選択します。
これによって、ベンダクラスのプログラム ID を知っている内部ユーザーにのみアクセス許可が与えられ、ISA Server コンピュータに COM オブジェクトを追加することができます。
シナリオ 5 : 中継に関する考慮点
Exchange Server は、着信方向および発信方向の SMTP トラフィックの中継として使用できます。セキュリティを最大限に高めるため、Exchange 2000 Server を組織内のエンドポイントサーバーとして使用し、そのコンピュータにメッセージ スクリーナをインストールしてください。この場合、組織内のコンピュータとドメインのみを許可するように中継オプションを構成します。
Exchange 2000 Server の中継オプションを構成するには
インターネットサービスマネージャを開くには、[スタート]、[プログラム]、[Microsoft Exchange]、[システムマネージャ] の順にクリックします。
システムマネージャのコンソールツリーで、[システムマネージャ]、[サーバー] の順にクリックし、目的のサーバーをクリックして、[既定の SMTP 仮想サーバー] を右クリックします。
[プロパティ] をクリックします。
[アクセス] タブで、[中継] をクリックします。
[中継の制限] で、[以下のリストに含まれるコンピュータのみ] を選択します。組織内のコンピュータとドメインを追加します。
クライアントメールボックスで他のメールサーバーを使用する場合は、SMTP トラフィックをこれらのサーバーへルーティングするようにメッセージ スクリーナがあるサーバー (仮想 SMTP サーバー) を構成する必要があります。ルーティング構成の詳細については、Microsoft Windows ヘルプの「Microsoft SMTP サービス」を参照してください。
シナリオ 6 : SMTP Filter を管理する
ISA の管理を使用して、SMTP Filter とメッセージ スクリーナを構成できます。
SMTP Filter の構成
SMTP Filter とメッセージ スクリーナを構成するには
[ISA の管理] で、[Internet Security and Acceleration Server]、[サーバーとアレイ] の順にクリックし、目的のアレイをクリックして、[拡張]、[アプリケーションフィルタ] の順にクリックします。
詳細ペインで、[SMTP Filter] を右クリックし、[プロパティ] をクリックします。
メッセージ スクリーナを構成するには、[添付ファイル] タブまたは [キーワード] タブをクリックし、必要に応じてフィールドを設定します。詳細については、ISA Server のヘルプを参照してください。
SMTP Filter を構成するには、[ユーザー/ドメイン] タブまたは [SMTP コマンド] タブをクリックし、必要に応じてフィールドを設定します。詳細については、ISA Server のヘルプを参照してください。
注意 ISA Server Enterprise Edition で ISA Server がアレイメンバとしてインストールされている場合には、エンタープライズ構成を変更するためのアクセス許可、および SMTP Filter を修正して構成するためのアクセス許可が必要です。これは、SMTP Filter がエンタープライズ内のすべてのアレイに適用されるためです。
Feature Pack の拡張機能
ISA Server Feature Pack 1 には Exchange 2000 Server RPC 公開の拡張機能が含まれているので、管理者は、Exchange Server と Outlook クライアント間における RPC 通信の暗号化を強化できます。この機能をアクティブにすると、Outlook クライアントと Exchange Server 間の RPC トラフィックが暗号化されていない場合、これらのトラフィックがブロックされます。
ISA Server Feature Pack 1 の [新しい OWA の公開ウィザード] では、必要な Web 公開ルールとその宛先セットが自動的に生成されるので、Outlook Web Access を簡単に公開できます。
ISA Server Feature Pack 1 の詳細については、ISA Server Feature Pack 1 の Web サイト (https://www.microsoft.com/japan/isaserver/) を参照してください。
トラブル シューティング
ここでは、Exchange 2000 Server の公開および SMTP Filter のシナリオを構成するときに役立つトラブルシューティング情報とヒントについて説明します。
DCOM/RPC 通信
一部の通信トラブルは、DCOM の不適切な構成が原因です。ここでは、DCOM 構成に関する問題の解決方法について説明します。
DCOM の構成
DCOM を構成する前に、タスクマネージャを使用して、ISA Server サービスが実行されていないことを確認します。起動時には、すべての設定がプロセスに割り当てられます。設定の変更時にサーバーが実行されていた場合は、そのサーバーを次に起動するときに新しい設定が有効になります。
Dcomcnfg が正しく構成されていることを確認します。
[コンポーネントサービス]、[コンピュータ]、[マイコンピュータ]、[DCOM の構成] の順にクリックして、DCOMCONFIG を開きます。
VendorData クラスの場合は、右クリックして、[プロパティ] をクリックします。
[セキュリティ] タブで、[起動の許可]、[アクセス許可]、および [構成] で [カスタマイズ] が選択されており、アクセス許可で [Everyone] が追加されていることを確認します。
Dcomcnfg を再構成したら、ISA Server コンピュータおよびメッセージ スクリーナを実行しているコンピュータを再起動します。
メッセージ スクリーナがインストールされているコンピュータで smtpcred を使用し、そのクライアントで完全修飾ドメイン名 (FQDN) またはサーバー名が使用されているかどうかを確認します。どちらかが使用されている場合は、そのサーバーの IP アドレスに置き換えます。
これで問題が解決されない場合は、ネットワーク構成を確認してください。
監査を使用して DCOM 通信の問題を特定する
イベントビューアを使用して、DCOM 接続が失敗した原因に関するその他の監査情報を検索できます。ただし、通常は、これらの種類のイベントログは既定で有効になっていません。ログ機能をアクティブにするには、監査オプションを設定する必要があります。Windows 2000 で、以下のオプションをアクティブにします。
[スタート] メニューで、[プログラム]、[管理ツール]、[ローカルセキュリティポリシー] の順にクリックします。
[ローカルセキュリティ設定] で、[セキュリティの設定]、[ローカルポリシー]、[監査ポリシー] の順にクリックします。
詳細ペインで、以下の各項目を右クリックして [プロパティ] をクリックします。
ログオンイベントの監査
オブジェクトアクセスの監査
特権使用の監査
選択した各ポリシーについて、[プロパティ] ダイアログボックスで [成功] または [失敗] を選択します。
監査を構成した後で、DCOM 通信を使用してみます。まだエラーメッセージが表示される場合は、イベントビューアを使用して DCOM イベントがあるかどうかを確認します。イベントには、アクセスが拒否された理由が示されます。さらに、次の情報も含まれています。
クライアントコンピュータにログオンしているユーザー
ユーザーがドメインユーザーかローカルユーザーか
クライアントによって要求されたプロトコルがサーバーで使用可能かどうか
通常、COM ログはシステムログに追加されます。
公開ルール
サーバー公開ルールが作成されており、メールサーバーに適切な IP アドレスが割り当てられていることを確認します。
IIS サーバーにメッセージ スクリーナがインストールされている場合は、この IP アドレスが IIS サーバーを表している必要があります。
Exchange Server にメッセージ スクリーナがインストールされている場合は、この IP アドレスが Exchange Server を表している必要があります。
メッセージ スクリーナ コンピュータ
メッセージ スクリーナは、IIS サーバーまたは Exchange Server にインストールします。以下の項目を確認します。
Smtpcred に適切な資格情報が設定されていることを確認します。SMTPCred は、ISA Server コンピュータに対して管理者特権のあるアカウントです。
メッセージ スクリーナが動的に読み込まれることを確認します。メッセージ スクリーナが正しく読み込まれたかどうかを確認するには、次を操作を実行します。
データを含むメールメッセージを送信します。次に、コマンドプロンプトに「tlist -m fltrsnk1.dll」と入力します。メッセージ スクリーナを読み込んだタスク (ここでは inetinfo.exe) が示されます。
注意 フィルタを一定時間使用しないと、アンロードされます。
メッセージ スクリーナのレジストリキーが正しく構成されていることを確認します。
SMTP hotfix:
Windows Registry Editor Version 5.00
[HKEY_CLASSES_ROOT\CLSID\{4F2AC0A5-300F-4DE9-821F-4D5706DC5B32}\InprocServer32]
“ThreadingModel”=”Both”
ISA RTM:
Windows Registry Editor Version 5.00
[HKEY_CLASSES_ROOT\CLSID\{4F2AC0A5-300F-4DE9-821F-4D5706DC5B32}\InprocServer32]
“ThreadingModel”=”Free”
Exchange に関する情報
以下のガイドラインに従って、Exchange 2000 Server 構成のトラブルシューティングを行ってください。
名前解決が正しく機能しており、Exchange Server が名前を正しく解決できることを確認します。
DNS 構成を確認します。Exchange は、内部 DNS サーバーにルーティングされている必要があります。さらに、内部 DNS サーバーは、外部 DNS サーバーに要求を転送します。
Exchange MMC Admin で、[サーバー]、[プロトコル] ノードの順にクリックすると、POP3 および SMTP のプロパティとして認証キーが表示されます。認証キーの設定を確認してください。SMTP の場合は、匿名認証が設定されている必要があります。これによって、外部 SMTP サーバーは内部メールサーバーと通信することができます。
このシナリオでは、SMTP コネクタを構成する必要があります。正しく構成されていることを確認してください。
ネットワークまたは SMTP の基本的な機能
ここでは、SMTP およびネットワークが正しく機能しているかどうかを確認する方法を説明します。以下の操作を実行します。
ポート 25 に対して Telnet を使用し、外部クライアントに「hello」などのコマンドを発行します。
手順 1 を正常に実行できたら、外部と内部に対して sniff を実行します。パケットの受け渡しが正常に行われることを確認します。
ISA Server コンピュータとメッセージ スクリーナを実行しているコンピュータとの間で、netmon トレースを実行します。ISA Server コンピュータに対して発行された RPC コールがあることを確認します。プロトコル MSRPC を検索します。80070005 の ISA Server 応答は表示されません。これは、access_denied 応答です。以下は、sniff の出力例です。
00000030 05 00 00 83 10 00 00 00 E0 00 .......... 00000040 10 00 E5 03 00 00 9C 00 00 00 00 00 07 00 11 00 ................ 00000050 00 00 3C 04 00 00 D0 06 00 00 65 03 00 00 05 00 ..<.......e..... 00000060 06 00 00 00 00 00 00 00 00 00 6E C2 31 60 B9 24 ..........n.1`.$ 00000070 58 44 8D 74 80 0C C5 99 E2 2D 00 00 00 00 55 73 XD.t.....-....Us 00000080 65 72 26 00 00 00 4C 00 00 00 26 00 00 00 7B 00 er&...L...&...{. 00000090 30 00 39 00 63 00 34 00 66 00 37 00 36 00 65 00 0.9.c.4.f.7.6.e. 000000A0 2D 00 35 00 38 00 64 00 38 00 2D 00 34 00 37 00 -.5.8.d.8.-.4.7. 000000B0 34 00 34 00 2D 00 38 00 62 00 64 00 66 00 2D 00 4.4.-.8.b.d.f.-. 000000C0 33 00 65 00 62 00 33 00 30 00 32 00 66 00 36 00 3.e.b.3.0.2.f.6. 000000D0 61 00 37 00 62 00 30 00 7D 00 00 00 00 00 00 00 a.7.b.0.}....... 000000E0 00 00 00 00 00 00 67 00 72 00 6F 00 75 00 70 00 ......g.r.o.u.p. 000000F0 2E 00 63 00 6F 00 6D 00 03 00 28 00 6A 00 0A 02 ..c.o.m...(.j... 00000100 04 00 70 C9 11 00 01 00 00 00 00 00 00 00 00 00 ..p............. 00000110 00 00 00 00 00 00 ...... Response- MSRPC: c/o RPC Fault: call 0x3E6 context 0x0 status 0x80070005 cancels 0x0
Service Pack 1 の新機能
ISA Server 2000 Service Pack 1 (SP1) には、レジストリ値を設定して、着信要求のソースアドレスを ISA Server が置き換えられるようにするための機能が採り入れられています。このため、内部サーバーに送信されたパケットには、ISA Server コンピュータのソースアドレスが割り当てられます。これによって、大規模なネットワークでは、通常の IP ルーティング構成を使用して、これらのパケットを ISA Server コンピュータに返送できます。逆に、ISA Server が要求元の外部ホストに応答するときは、これらのパケットに対してアドレス変換を実行できます。
この新機能が導入される前は、ISA Server が外部からパケットを受け取ったとき、その要求を公開サーバーへ転送する時点で宛先アドレスが変更されていました。元の宛先アドレスは ISA Server コンピュータの外部 IP アドレスで、新しい宛先アドレスは内部公開サーバーの IP アドレスです。ただし、ISA Server コンピュータから公開サーバーに送信されたパケットには、依然として、パケットの送信元である外部クライアントのソースアドレスが設定されていました。公開サーバーがクライアントに応答を返すには、ISA Server 経由でインターネットに接続する既定のルートが必要でした。大規模な社内ネットワークなど、一部のネットワークトポロジには、インターネットに接続するための既定のルートがありません。このような環境では、公開サーバーはクライアントに応答できません。
SP1 の新しいクライアントアドレス変換機能では、クライアントアドレスを ISA Server コンピュータのアドレスに変換することで、この問題を解決しています。
クライアントソースアドレス変換を有効にするには
レジストリエディタで、次のレジストリキーを検索します。
HKEY_LOCAL_MACHINE\system\currentcotrolset\services\fwsrv\parameters[編集] メニューの [DWORD 値] をクリックし、次のレジストリ値を追加します。
値の名前 : UseISAAddressInPublishing データ型 : REG_DWORD 基数 : バイナリ 値のデータ : 1
Firewall サービスを再起動してください。
注意 この機能は、公開プロトコルがアプリケーションフィルタを必要としない場合、つまり公開プロトコルに 2 次接続が存在しない場合のみ使用できます。また、この機能がサポートしているのは FTP と RPC アプリケーションフィルタだけなので、この機能を使用できるのは FTP サーバーと RPC サーバーを公開する場合だけです。