Exchange Web サービスによる Microsoft Exchange 2007 の設定
はじめる前に
Exchange Server 2007 の設定手順は、Windows Server 2003 と Windows Server 2008 のどちらを使用するかによって異なります。
Exchange Server 2007 上のメールボックスへのアクセスを設定する場合、次の手順を実行します。詳細手順については、次の URL で Exchange Server 2007 のマニュアルを参照してください。http://technet.microsoft.com/en-us/library/bb124558(EXCHG.80).aspx
ヒント |
IM and Presence Service では、Exchange Server への接続時にそのアカウントにログインするために必要なのはアカウントに対する偽装権限のみです。このアカウントは、通常、メールを受信しないため、領域の割り当てについて考慮する必要はありません。 |
Windows セキュリティポリシーの設定
IM and Presence Service の Microsoft Exchange との統合では、Windows 統合認証(NTLM)などのさまざまな認証方式がサポートされます。
IM and Presence Service は、NTLMv1 と NTLMv2 の両方の Windows 統合認証をサポートし、NTLMv2 がデフォルトとして使用されます。
NTLMv2 応答のみを送信するように Lan Manager 認証レベルを設定します。Windows ドメインコントローラで LM と NTLM を拒否すると、ドメインに NTLMv2 認証が適用されます。
(注) |
IM and Presence Service は NTLMv2 セッションセキュリティをサポートしていません。メッセージの機密性と整合性は、安全な http(https)によって確保されます。 |
Windows セキュリティ設定の確認
手順
ステップ 1 |
Exchange を実行している Windows ドメインコントローラおよびサーバーで、 を選択します。 |
||
ステップ 2 |
に移動します。 |
||
ステップ 3 |
[ネットワークセキュリティ:NTLM SSPベースクライアント(セキュアな RPC を含む)のサーバー向け最小セッションセキュリティ(Network Security: Minimum session security for NTLM SSP based (including secure RPC) servers)] を選択します。 |
||
ステップ 4 |
[NTLMv2 セッションセキュリティが必要(Require NTLMv2 session security)] チェックボックスがオフになっていることを確認します。 |
||
ステップ 5 |
[NTLMv2 セッションセキュリティが必要(Require NTLMv2 session security)] チェックボックスがオンになっている場合は、次の手順を完了します。
|
||
ステップ 6 |
新しいセキュリティ設定を適用するには、Exchange を実行している Windows ドメインコントローラとサーバーを再起動します。
|
サービスアカウントにローカルでサインインするアクセス許可をユーザーに付与する
ユーザーがサービス アカウントにローカルにログインするように設定するは、次のいずれかの手順を実行します。
はじめる前に
- Exchange の偽装を正常に機能させるには、すべての Microsoft Exchange Server を Windows Authorization Access Group のメンバーにする必要があります。
- サービスアカウントは、Exchange 管理グループのメンバーであってはなりません。Exchange は、これらのグループのすべてのアカウントの偽装を明示的に拒否します。
Windows Server 2003 での Microsoft Exchange 2007 の設定
手順
ステップ 1 |
Exchange 表示専用管理者の役割を委任されたサービスアカウントを使用して Exchange Server 2007 ユーザーインターフェイスにログインします。 |
ステップ 2 |
左ペインの [セキュリティ設定(Security Settings)] から の順に選択します。 |
ステップ 3 |
コンソールの右ペインで [ローカルログオンを許可する(Allow Log On Locally)] をダブルクリックします。 |
ステップ 4 |
[ユーザーまたはグループの追加(Add User or Group)] を選択し、作成済みのサービスアカウントに移動して選択します。 |
ステップ 5 |
[名前の確認(Check Names)] を選択し、指定されたユーザーが正しいことを確認します。 |
ステップ 6 |
[OK] をクリックします。 |
次のタスク
Windows Server 2008 での Microsoft Exchange 2007 の設定
手順
ステップ 1 |
Exchange 表示専用管理者の役割を委任されたサービスアカウントを使用して Exchange Server 2007 にログインします。 |
ステップ 2 |
[スタート(Start)] を選択します。 |
ステップ 3 |
gpmc.msc と入力します。 |
ステップ 4 |
[Enter] を選択します。 |
ステップ 5 |
Exchange Server で [ドメインコントローラセキュリティ設定(Domain Controller Security Settings)] ウィンドウを開きます。 |
ステップ 6 |
左ペインの [セキュリティ設定(Security Settings)] から |
ステップ 7 |
コンソールの右ペインで [ローカルログオンを許可する(Allow Log On Locally)] をダブルクリックします。 |
ステップ 8 |
[これらのポリシーの設定を定義する(Define these policy settings)] チェックボックスが選択されていることを確認します。 |
ステップ 9 |
[ユーザーまたはグループの追加(Add User or Group)] を選択し、作成済みのサービスアカウントに移動して選択します。次に [OK] をクリックします。 |
ステップ 10 |
[名前の確認(Check Names)] を選択し、指定されたユーザーが正しいことを確認します。次に [OK] をクリックします。 |
ステップ 11 |
[ローカルログオンを許可する(Allow Log On Locally)] プロパティのダイアログボックスで [適用(Apply)] と [OK] をクリックします。 |
ステップ 12 |
ユーザー SMTP アドレスが alias@FQDN であることを確認します。そうでない場合は、ユーザープリンシパル名(UPN)を使用して偽装する必要があります。これは alias@FQDN と定義されます。 |
次のタスク
サーバーレベルでの偽装権限の設定
次の手順のコマンドを使用すると、サーバーレベルで偽装権限を付与することができます。また、データベース、ユーザー、連絡先レベルでもアクセス許可を付与することもできます。
はじめる前に
-
個々の Microsoft Exchange Server にアクセスするサービスアカウント権限のみを付与する場合は、
Get-OrganizationConfig
を次の文字列に置き換えます。
Get-ExchangeServer -Identity ServerName
ここで、ServerName は Exchange Server の名前です。
例
Add-ADPermission -Identity (Get-ExchangeServer -Identity exchangeserver1). DistinguishedName -User (Get-User -Identity user | select-object).identity -ExtendedRights Send-As
- ユーザーの SMTP アドレスが alias@FQDN として定義されていることを確認します。そうでない場合は、ユーザープリンシパル名(UPN)を使用してユーザーアカウントを偽装する必要があります。
手順
ステップ 1 |
コマンドライン入力を行うために Exchange 管理シェル(EMS)を開きます。 |
ステップ 2 |
この Add-ADPermission コマンドを実行し、サーバーに偽装権限を追加します。
|
次のタスク
サービスアカウントの Active Directory サービス拡張権限の設定
始める前に
これらのアクセス許可は、偽装を実行するサービス アカウントに対して設定する必要があります(クライアント アクセス サーバー(CAS)上)。
- CAS がロードバランサの背後に配置されている場合は、ロードバランサの背後にあるすべての CAS の Microsoft Exchange 2007 アカウントに対して ms-Exch-EPI-Impersonation 権限を付与します。
- お使いのメールボックス サーバーが CAS サーバーとは異なるマシン上にある場合は、すべてのメールボックスサーバーの Ex2007 アカウントに対して ms-Exch-EPI-Impersonation 権限を付与します。
- このアクセス許可は、[Active Directoryサイトとサービス(Active Directory Sites and Services)] または [Active Directory ユーザーとコンピュータ(Active Directory Users and Computers)] ユーザーインターフェイスを使用して設定することもできます。
手順
ステップ 1 |
Exchange 管理シェル(EMS)を開きます。 |
ステップ 2 |
EMS で次の Add-ADPermission コマンドを実行して、指定したサービスアカウント(Exchange 2007 など)のサーバーに対する偽装権限を追加します。
|
ステップ 3 |
EMS で次の Add-ADPermission コマンドを実行して、サービスアカウントに偽装する各メールボックスへの偽装権限を追加します。
|
次のタスク
サービスアカウントおよびユーザーメールボックスへの Send As 権限の付与
サービスアカウントおよびユーザーメールボックスに Send As 権限を付与するには、次の手順に従います。
(注) |
この手順を実行するために、Microsoft Exchange 管理コンソール(EMC)を使用することはできません。 |
手順
ステップ 1 |
Exchange 管理シェル(EMS)を開きます。 |
ステップ 2 |
EMS で次の Add-ADPermission コマンドを実行して、サービスアカウントおよび関連するすべてのユーザー メールボックス ストアに Send As 権限を付与します。
|
次のタスク
サービスアカウントおよびユーザーメールボックスへの偽装権限の付与
サービスアカウントおよびユーザーメールボックスに偽装権限を付与するには、次の手順に従います。
(注) |
この手順を実行するために、Microsoft Exchange 管理コンソール(EMC)を使用することはできません。 |
手順
ステップ 1 |
Exchange 管理シェル(EMS)を開きます。 |
||
ステップ 2 |
EMS で次の Add-ADPermission コマンドを実行して、サービスアカウントおよび関連するすべてのメールボックスストアに偽装権限を付与します。 構文
例
|
次のタスク
Microsoft Exchange 2007 アカウントでのアクセス許可の確認
Exchange 2007 アカウントにアクセス許可を割り当てた後で、そのアクセス許可がメールボックスのレベルまで伝播し、選択されたユーザーがメールボックスにアクセスしたり別のユーザーのアカウントを偽装したりできることを確認する必要があります。Exchange 2007 では、アクセス許可がメールボックスに伝播されるまでに多少時間がかかります。
手順
ステップ 1 |
Exchange Server 2007 の Exchange 管理コンソール(EMC)で、コンソールツリーの [Active Directory サイトとサービス(Active Directory Sites and Services)] を右クリックします。 |
||
ステップ 2 |
[表示(View)] をポイントし、[サービスノードの表示(Show Services Node)] を選択します。 |
||
ステップ 3 |
サービスノード(Services/MS Exchange/First Organization/Admin Group/Exchange Admin Group/Servers など)を展開します。 |
||
ステップ 4 |
クライアント アクセス サーバー(CAS)が、選択したサービスノードに表示されていることを確認します。 |
||
ステップ 5 |
各 CAS サーバーの [プロパティ(Properties)] を表示し、[セキュリティ(Security)] タブで次の点を確認します。""
|
||
ステップ 6 |
サービスアカウント(Ex2007 など)にストレージグループおよびメールボックス ストアに対する Allow impersonationpermission が付与され、個人情報の交換や別のユーザーアカウントでの送受信が可能であることを確認します。 |
||
ステップ 7 |
変更を有効にするために、Exchange Server の再起動が必要となる場合があります。これはテストによって確認されています。 |