Exchange 2013 での SSL オフロードの構成Configuring SSL offloading in Exchange 2013

製品: Exchange Server 2013Applies to: Exchange Server 2013

次の情報は、Service Pack 1 (SP1) をインストールした Exchange 2013 クライアント アクセス サーバーでプロトコルや関連サービスに対して SSL オフロードを構成する場合に役立ちます。複数のクライアント アクセス サーバーがある場合、社内組織の SP1 をインストールしたそれぞれのクライアント アクセス サーバーで、各プロトコルやサービスに必要な手順を実行する必要があります。組織内の各クライアント アクセス サーバーを同じ構成にする必要があることは言うまでもありません。新しい累積的な更新プログラム (CU) やサービス パックへのアップグレード中で、SSL オフロードを使い続ける場合、それらの更新プログラムを Exchange 2013 クライアント アクセス サーバーにアップグレードまたは適用した後に、もう一度次の手順を実行する必要があります。The following helps you in configuring SSL offloading for the protocols and related services on Exchange 2013 Client Access servers with Service Pack 1 (SP1) installed. If you have multiple Client Access servers, you must perform the required steps for each protocol or service on every Client Access server with SP1 installed in your on-premises organization. That is not to mention that each Client Access server in your organization must be configured identically. If you are upgrading to newer Cumulative Updates (CUs) or service packs and you want to continue to use SSL offloading, you must perform the following steps again after you have upgraded or applied those updates on your Exchange 2013 Client Access servers.

SSL オフロードの最も大きな利点の 1 つは、使用されている証明書をより簡単に管理できることです。SP1 をインストールした各クライアント アクセス サーバーに別々の SSL 証明書を持つ代わりに、1 つの SSL 証明書を使用してすべてのクライアント アクセス サーバーにインポートします。SSL 証明書は既存のものでも、新たに作成した証明書ものでも使用することができます。One of the biggest advantages to SSL offloading is having the ability to more easily manage certificates that are used. Instead of having separate SSL certificates for each Client Access server with SP1 installed, a single SSL certificate is used and imported to all Client Access servers. The certificate used can be an existing or newly created SSL certificate.

警告

SSL オフロードを構成するためにインターネット インフォメーション サービス (IIS) マネージャ、Exchange 管理シェル、またはコマンドライン インターフェイスを使用する場合、 既定の Web サイトExchange バックエンド サイトがあることに気を付けてください。SSL オフロードについては 既定の Web サイトのみを構成し、 Exchange バックエンド サイトは何も変更しないでください。When you use Internet Information Services (IIS) Manager, the Exchange Management Shell, or a command-line interface to configure SSL offloading, notice that there is a Default Web Site and an Exchange Back End site. For SSL offloading, only configure the Default Web Site and don't make any changes to the Exchange Back End site.

始める前に把握しておくべき情報What do you need to know before you begin?

  • 組織内で必要なすべてのクライアント アクセス サーバーおよびメールボックス サーバーをインストールします。Install all of the required Client Access and Mailbox servers in your organization.

  • 組織内の各クライアント アクセス サーバーおよびメールボックス サーバーに Service Pack 1 (SP1) をインストールします。Install Service Pack 1 (SP1) on each Client Access and Mailbox server in your organization. SP1 をダウンロードするには、「Updates for Exchange 2013」を参照してください。To download SP1, see Updates for Exchange 2013.

  • 機能のアクセス許可 を確認して、Exchange 2013 に必要なアクセス許可を決定します。Determine the required permissions for Exchange 2013 by seeing Feature permissions.

  • クライアント アクセス サーバーに必要なアクセス許可については、「クライアントおよびモバイル デバイスのアクセス許可」の「クライアント アクセス サーバーのアクセス許可」を参照してください。To see what permissions you need for Client Access servers, see "Client Access server permissions" in Clients and mobile devices permissions.

  • クライアント アクセス サーバーに必要なアクセス許可については、「クライアントおよびモバイル デバイスのアクセス許可」の「Outlook Web App のアクセス許可」を参照してください。To see what permissions you need for Client Access servers, see "Outlook Web App permissions" in Clients and mobile devices permissions.

  • シェルだけを使用していくつかの手順を実行できる場合があります。社内 Exchange 組織でシェルを開く方法については、「Open the Shell」を参照してください。You might be able to use only the Shell to perform some procedures. To learn how to open the Shell in your on-premises Exchange organization, see Open the Shell.

  • クライアント アクセス サーバーおよび SSL 接続を切断しているデバイス上で既存の証明書を使用するには、クライアント アクセス サーバーの証明書を秘密キーと共にエクスポートし、それをそのデバイスにインポートまたはインストールします。詳細については、「Export-ExchangeCertificate」を参照してください。To use an existing certificate on your Client Access servers and on the device you are terminating the SSL connections with, export the certificate with the private key on a Client Access server and import or install it on the device. For details, see Export-ExchangeCertificate.

  • 新しい証明書を使用するためには、EAC またはシェルを使用して新しい証明書を作成、インポートし、有効にする必要があります。詳細については、「Exchange 2013 証明書管理 UI」を参照してください。To use a new certificate, you must use EAC or the Shell to create, import, and enable the new certificate. For details, see Exchange 2013 certificate management UI.

  • このトピックの手順で使用可能なキーボード ショートカットについては、「Exchange 管理センターのキーボード ショートカット」を参照してください。For information about keyboard shortcuts that may apply to the procedures in this topic, see Keyboard shortcuts in the Exchange admin center.

ヒント

問題がある場合は、Having problems? Exchange のフォーラムで質問してください。Ask for help in the Exchange forums. Exchange Serverでフォーラムを参照してください。Visit the forums at Exchange Server.

Outlook Web App 用 SSL オフロードの構成Configure SSL offloading for Outlook Web App

Outlook Web App 用に SSL オフロードを有効にするには、既定の Web サイトowa 仮想ディレクトリの SSL 要件を削除する必要があります。To enable SSL offloading for Outlook Web App, you need to remove the SSL requirement on the owa virtual directory on the Default Web Site:

  • 手順 1: インターネットインフォメーションサービス (IIS) マネージャーまたはコマンドラインを使用して、 owa仮想ディレクトリの SSL を無効にすることができます。Step 1: You can use Internet Information Services (IIS) Manager or a command line to disable SSL on the owa virtual directory:

    • インターネット インフォメーション サービス (IIS) マネージャーを使用して、 [サイト] > [既定の Web サイト] を展開し、 owa 仮想ディレクトリを選択します。結果ウィンドウの [IIS] の下で [SSL 設定] をダブルクリックします。 [SSL 設定] の結果ウィンドウで、 [SSL が必要] チェック ボックスをオフにしてから [アクション] ウィンドウの [適用] をクリックします。Using Internet Information Services (IIS) Manager, expand Sites > Default Web Site, and then select the owa virtual directory. In the results pane under IIS, double-click SSL Settings. In the SSL Settings results pane, clear the Require SSL check box, and then click Apply in the Actions pane.

    • コマンドラインを使用して次の入力を行い、Enter キーを押します。Using the command line, type the following and then press Enter.

      appcmd set config "Default Web Site/owa" /section:access /sslFlags:None /commit:APPHOST
      
  • 手順 2: 次のいずれかの方法を使用して、適切なアプリケーションプールをリサイクルするか、またはインターネットインフォメーションサービスを再起動する必要があります。Step 2: You need to recycle the correct application pool or restart Internet Information Services by using one of the following methods:

    • コマンドラインを使用: [スタート] > [実行] を選択し、 「cmd」 と入力してから Enter キーを押します。コマンド プロンプト ウィンドウで次を入力し、Enter キーを押します。Using a command line: Go to Start > Run, type cmd, and then press Enter. In the Command Prompt window, type the following and then press Enter.

      appcmd Recycle AppPool MSExchangeOWAAppPool
      
    • Windows PowerShell コマンドレットを使用して次を入力し、Enter キーを押します。Using a Windows PowerShell cmdlet, type the following and then press Enter.

      IIS:\>Restart-WebAppPool MSExchangeOWAAppPool
      
    • コマンドラインを使用: [スタート] > [実行] を選択し、 「cmd」 と入力してから Enter キーを押します。コマンド プロンプト ウィンドウで次を入力し、Enter キーを押します。Using a command line: Go to Start > Run, type cmd, and then press Enter. In the Command Prompt window, type the following and then press Enter.

      iisreset /noforce
      
    • インターネット インフォメーション サービス (IIS) マネージャーを使用: インターネット インフォメーション サービス (IIS) マネージャーの [アクション] ウィンドウで、 [再起動] をクリックします。Using Internet Information Services (IIS) Manager: In Internet Information Services (IIS) Manager, in the Actions pane, click Restart.

Exchange 管理センター (EAC) 用に SSL オフロードを構成するConfigure SSL offloading for the Exchange admin center (EAC)

EAC 用に SSL オフロードを有効にするには、 既定の Web サイトecp 仮想ディレクトリの SSL 要件を削除する必要があります。To enable SSL offloading for EAC, you need to remove the SSL requirement on the ecp virtual directory on the Default Web Site:

  • 手順 1: インターネットインフォメーションサービス (IIS) マネージャーまたはコマンドラインを使用して、 ecp仮想ディレクトリの SSL を無効にすることができます。Step 1: You can use Internet Information Services (IIS) Manager or a command line to disable SSL on the ecp virtual directory:

    • インターネット インフォメーション サービス (IIS) マネージャーを使用して、 [サイト] > [既定の Web サイト] を展開し、 ecp 仮想ディレクトリを選択します。結果ウィンドウの [IIS] の下で [SSL 設定] をダブルクリックします。 [SSL 設定] の結果ウィンドウで、 [SSL が必要] チェック ボックスをオフにしてから [アクション] ウィンドウの [適用] をクリックします。Using Internet Information Services (IIS) Manager, expand Sites > Default Web Site, and then select the ecp virtual directory. In the results pane under IIS, double-click SSL Settings. In the SSL Settings results pane, clear the Require SSL check box, and then click Apply in the Actions pane.

    • コマンドラインを使用して次の入力を行い、Enter キーを押します。Using the command line, type the following and then press Enter.

      appcmd set config "Default Web Site/ecp" /section:access /sslFlags:None /commit:APPHOST
      
  • 手順 2: 次のいずれかの方法を使用して、適切なアプリケーションプールをリサイクルするか、またはインターネットインフォメーションサービスを再起動する必要があります。Step 2: You need to recycle the correct application pool or restart Internet Information Services by using one of the following methods:

    • コマンドラインを使用: [スタート] > [実行] を選択し、 「cmd」 と入力してから Enter キーを押します。コマンド プロンプト ウィンドウで次を入力し、Enter キーを押します。Using a command line: Go to Start > Run, type cmd, and then press Enter. In the Command Prompt window, type the following and then press Enter.

      appcmd Recycle AppPool MSExchangeECPAppPool
      
    • Windows PowerShell コマンドレットを使用して次を入力し、Enter キーを押します。Using a Windows PowerShell cmdlet, type the following and then press Enter.

      IIS:\>Restart-WebAppPool MSExchangeECPAppPool
      
    • コマンドラインを使用: [スタート] > [実行] を選択し、 「cmd」 と入力してから Enter キーを押します。コマンド プロンプト ウィンドウで次を入力し、Enter キーを押します。Using a command line: Go to Start > Run, type cmd, and then press Enter. In the Command Prompt window, type the following and then press Enter.

      iisreset /noforce
      
    • インターネット インフォメーション サービス (IIS) マネージャーを使用: インターネット インフォメーション サービス (IIS) マネージャーの [アクション] ウィンドウで、 [再起動] をクリックします。Using Internet Information Services (IIS) Manager: In Internet Information Services (IIS) Manager, in the Actions pane, click Restart.

Outlook Anywhere 用の SSL オフロードの構成Configuring SSL offloading for Outlook Anywhere

Outlook Anywhere 用の SSL オフロードは既定で有効です。Outlook Anywhere クライアントは、プライベート ネットワークまたはパブリック ネットワークから電子メールを受け取れます。既定では、内部 Outlook クライアントの接続を有効にするために内部のホスト名またはサーバーの FQDN が使用されます。しかし、Outlook Anywhere が内部的に使用されない場合は、内部ホスト名を削除する必要があります。Outlook クライアントの内部および外部アクセスをどちらも許可するためには、内部および外部ホスト名を構成し、それぞれの認証方式を設定し、内部クライアント外部クライアントとも SSL を必要とするように設定します。以下に示すように、外部クライアントの認証方式を構成するには EAC や Exchange 管理シェルを使用できますが、内部クライアントにはシェルを使用しなければなりません。SSL offloading for Outlook Anywhere is enabled by default. Outlook Anywhere clients can get email from a private or public network. By default, the internal host name or FQDN of the server is used to enable internal Outlook clients to connect. However, if Outlook Anywhere isn't used internally, then you should remove the internal host name. To allow both internal and external access for Outlook clients, you must configure the internal and external host names, set the authentication method for each, and set both the internal and external clients to require SSL. To configure the authentication method for the external clients, you can use EAC or the Exchange Management Shell, but for internal clients, you must use the Shell:

  • 手順 1: Outlook Anywhere の外部ホスト名を追加していない場合は、EAC またはシェルを使用できます。Step 1: You can use EAC or the Shell if you haven't added an external host name for Outlook Anywhere:

    • EAC を使用して [サーバー] に移動し、リストでクライアント アクセス サーバーの名前を選択してから [編集] をクリックします。 [Exchange Server] ウィンドウで [Outlook Anywhere] をクリックしてから [ユーザーが組織に接続する際に使用する外部ホスト名 (例: contoso.com) を指定します。] ボックスに外部ホスト名を入力します。 [SSL オフロードを許可する] オプションがオンになっていることを確認し、 [保存] をクリックします。Using EAC, go to Servers, select the name of the Client Access server in the list, and then click Edit. In the Exchange Server window, click Outlook Anywhere, and then in the Specify the external host name (for example, contoso.com) that users will use to connect to your organization box, enter the external host name. Verify that the Allow SSL offloading option is selected, and then click Save.

    • Exchange 管理シェルを使用して [開始] をクリックし、 [開始] メニューで [Exchange 管理シェル] をクリックします。このウィンドウで次を入力してから、Enter キーを押します。Using the Exchange Management Shell, click Start, and then on the Start menu, click Exchange Management Shell. In the window, type the following and then press Enter:

      Set-OutlookAnywhere -Identity ClientAccessServer1\Rpc* -Externalhostname ClientAccessServer1.contoso.com -ExternalClientsRequireSsl:$True -ExternalClientAuthenticationMethod Basic
      
  • 手順 2: 既定では、SSL オフロードが有効になっています。Step 2: By default, SSL offloading is enabled. しかし、SSL オフロードが無効にされており、これを有効にする場合は、EAC または Exchange 管理シェルを使用できます。However, you can use EAC or the Exchange Management Shell if SSL offloading has been disabled and you want to enable it:

    • EAC を使用して [サーバー] に移動し、リストでクライアント アクセス サーバーの名前を選択してから [編集] をクリックします。Using EAC, go to Servers, select the name of the Client Access server in the list, and then click Edit. [ Exchange サーバー ] ウィンドウで、 [Outlook Anywhere] をクリックし、[ SSL オフロードを許可する] オプションをクリックして、[保存] をクリックします。In the Exchange Server window, click Outlook Anywhere, click the Allow SSL offloading option, and then click Save.

    • シェルを使用して次を入力し、Enter キーを押します。Using the Shell, type the following and then press Enter.

      Set-OutlookAnywhere -Identity ClientAccessServer1\Rpc* -SSLOffloading $true
      
  • 手順 3: 既定では、 Rpc仮想ディレクトリで [ ssl が必要] は選択されていませんが、ssl が無効になっていることを確認する場合は、インターネットインフォメーションサービス (IIS) マネージャーを使用できます。Step 3: By default, Require SSL is not selected on the Rpc virtual directory, but if you want to verify that SSL is disabled, you can use Internet Information Services (IIS) Manager.

    • インターネット インフォメーション サービス (IIS) マネージャーを使用して、 [サイト] > [既定の Web サイト] を展開し、 Rpc 仮想ディレクトリを選択します。結果ウィンドウの [IIS] の下で [SSL 設定] をダブルクリックします。 [SSL 設定] の結果ウィンドウで、 [SSL が必要] チェック ボックスがオフであることを確認してから [アクション] ウィンドウの [適用] をクリックします。Using Internet Information Services (IIS) Manager, expand Sites > Default Web Site, and then select the Rpc virtual directory. In the results pane under IIS, double-click SSL Settings. In the SSL Settings results pane, verify that the Require SSL check box is cleared, and then click Apply in the Actions pane.
  • 手順 4: 次のいずれかの方法を使用して、適切なアプリケーションプールをリサイクルするか、またはインターネットインフォメーションサービスを再起動する必要があります。Step 4: You need to recycle the correct application pool or restart Internet Information Services by using one of the following methods:

    • コマンドラインを使用: [スタート] > [実行] を選択し、 「cmd」 と入力してから Enter キーを押します。コマンド プロンプト ウィンドウで次を入力し、Enter キーを押します。Using a command line: Go to Start > Run, type cmd, and then press Enter. In the Command Prompt window, type the following and then press Enter.

      appcmd Recycle AppPool MSExchangeRpcProxyFrontEndAppPool
      
    • Windows PowerShell コマンドレットを使用して次を入力し、Enter キーを押します。Using a Windows PowerShell cmdlet, type the following and then press Enter.

      IIS:\>Restart-WebAppPool MSExchangeRpcProxyFrontEndAppPool
      
    • コマンドラインを使用: [スタート] > [実行] を選択し、 「cmd」 と入力してから Enter キーを押します。コマンド プロンプト ウィンドウで次を入力し、Enter キーを押します。Using a command line: Go to Start > Run, type cmd, and then press Enter. In the Command Prompt window, type the following and then press Enter.

      iisreset /noforce
      
    • インターネット インフォメーション サービス (IIS) マネージャーを使用: インターネット インフォメーション サービス (IIS) マネージャーの [アクション] ウィンドウで、 [再起動] をクリックします。Using Internet Information Services (IIS) Manager: In Internet Information Services (IIS) Manager, in the Actions pane, click Restart.

重要

クライアント アクセス サーバーで IIS を再起動した場合でも、サービス ホスト プロセスが 15 分ごとに Active Directory からの変更をインターネット インフォメーション サービス (IIS) に適用するのを待つ必要があります。You must wait for the Service Host process to apply any changes from Active Directory to Internet Information Services (IIS) every 15 minutes even if you restart IIS on a Client Access server.

オフライン アドレス帳 (OAB) 用 SSL オフロードの構成Configuring SSL offloading for the Offline Address Book (OAB)

オフライン アドレス帳 (OAB) 用に SSL オフロードを有効にするには、既定の Web サイトOAB 仮想ディレクトリの SSL 要件を削除する必要があります。To enable SSL offloading for the Offline Address Book (OAB), you need to remove the SSL requirement on the OAB virtual directory on the Default Web Site:

  • 手順 1: インターネットインフォメーションサービス (IIS) マネージャーまたはコマンドラインを使用して、 OAB仮想ディレクトリの SSL を無効にすることができます。Step 1: You can use Internet Information Services (IIS) Manager or a command line to disable SSL on the OAB virtual directory:

    • インターネット インフォメーション サービス (IIS) マネージャーを使用して、 [サイト] > [既定の Web サイト] を展開し、 OAB 仮想ディレクトリを選択します。結果ウィンドウの [IIS] の下で [SSL 設定] をダブルクリックします。 [SSL 設定] の結果ウィンドウで、 [SSL が必要] チェック ボックスをオフにしてから [アクション] ウィンドウの [適用] をクリックします。Using Internet Information Services (IIS) Manager, expand Sites > Default Web Site, and then select the OAB virtual directory. In the results pane under IIS, double-click SSL Settings. In the SSL Settings results pane, clear the Require SSL check box, and then click Apply in the Actions pane.

    • コマンドラインを使用して次の入力を行い、Enter キーを押します。Using the command line, type the following and then press Enter.

      appcmd set config "Default Web Site/OAB" /section:access /sslFlags:None /commit:APPHOST
      
  • 手順 2: 次のいずれかの方法を使用して、適切なアプリケーションプールをリサイクルするか、またはインターネットインフォメーションサービスを再起動する必要があります。Step 2: You need to recycle the correct application pool or restart Internet Information Services by using one of the following methods:

    • コマンドラインを使用: [スタート] > [実行] を選択し、 「cmd」 と入力してから Enter キーを押します。コマンド プロンプト ウィンドウで次を入力し、Enter キーを押します。Using a command line: Go to Start > Run, type cmd, and then press Enter. In the Command Prompt window, type the following and then press Enter.

      appcmd Recycle AppPool MSExchangeOABAppPool
      
    • Windows PowerShell コマンドレットを使用して次を入力し、Enter キーを押します。Using a Windows PowerShell cmdlet, type the following and then press Enter.

      IIS:\>Restart-WebAppPool MSExchangeOABAppPool
      
    • コマンドラインを使用: [スタート] > [実行] を選択し、 「cmd」 と入力してから Enter キーを押します。コマンド プロンプト ウィンドウで次を入力し、Enter キーを押します。Using a command line: Go to Start > Run, type cmd, and then press Enter. In the Command Prompt window, type the following and then press Enter.

      iisreset /noforce
      
    • インターネット インフォメーション サービス (IIS) マネージャーを使用: インターネット インフォメーション サービス (IIS) マネージャーの [アクション] ウィンドウで、 [再起動] をクリックします。Using Internet Information Services (IIS) Manager: In Internet Information Services (IIS) Manager, in the Actions pane, click Restart.

Exchange ActiveSync (EAS) 用 SSL オフロードの構成Configuring SSL offloading for Exchange ActiveSync (EAS)

Exchange ActiveSync (EAS) 用に SSL オフロードを有効にするには、既定の Web サイトMicrosoft-Server-ActiveSync 仮想ディレクトリの SSL 要件を削除する必要があります。To enable SSL offloading for Exchange ActiveSync (EAS), you need to remove the SSL requirement on the Microsoft-Server-ActiveSync virtual directory on the Default Web Site:

  • 手順 1: インターネットインフォメーションサービス (IIS) マネージャーまたはコマンドラインを使用して、 Microsoft サーバー-ActiveSync仮想ディレクトリの SSL を無効にすることができます。Step 1: You can use Internet Information Services (IIS) Manager or a command line to disable SSL on the Microsoft-Server-ActiveSync virtual directory:

    • インターネット インフォメーション サービス (IIS) マネージャーを使用して、 [サイト] > [既定の Web サイト] を展開し、 Microsoft-Server-ActiveSync 仮想ディレクトリを選択します。結果ウィンドウの [IIS] の下で [SSL 設定] をダブルクリックします。 [SSL 設定] の結果ウィンドウで、 [SSL が必要] チェック ボックスをオフにしてから [アクション] ウィンドウの [適用] をクリックします。Using Internet Information Services (IIS) Manager, expand Sites > Default Web Site, and then select the Microsoft-Server-ActiveSync virtual directory. In the results pane under IIS, double-click SSL Settings. In the SSL Settings results pane, clear the Require SSL check box, and then click Apply in the Actions pane.

    • コマンドラインを使用して次の入力を行い、Enter キーを押します。Using the command line, type the following and then press Enter.

      appcmd set config "Default Web Site/MSExchangeSyncAppPool" /section:access /sslFlags:None /commit:APPHOST
      
  • 手順 2: 適切なアプリケーションプールをリサイクルするか、次のいずれかの方法を使用してインターネットインフォメーションサービスを再起動する必要があります。Step 2: You need to recycle the correct application pool or restart the Internet Information Services by using one of the following methods:

    • コマンドラインを使用: [スタート] > [実行] を選択し、 「cmd」 と入力してから Enter キーを押します。コマンド プロンプト ウィンドウで次を入力し、Enter キーを押します。Using a command line: Go to Start > Run, type cmd, and then press Enter. In the Command Prompt window, type the following and then press Enter.

      appcmd Recycle AppPool MSExchangeSyncAppPool
      
    • Windows PowerShell コマンドレットを使用して次を入力し、Enter キーを押します。Using a Windows PowerShell cmdlet, type the following and then press Enter.

      IIS:\>Restart-WebAppPool MSExchangeSyncAppPool
      
    • コマンドラインを使用: [スタート] > [実行] を選択し、 「cmd」 と入力してから Enter キーを押します。コマンド プロンプト ウィンドウで次を入力し、Enter キーを押します。Using a command line: Go to Start > Run, type cmd, and then press Enter. In the Command Prompt window, type the following and then press Enter.

      iisreset /noforce
      
    • インターネット インフォメーション サービス (IIS) マネージャーを使用: インターネット インフォメーション サービス (IIS) マネージャーの [アクション] ウィンドウで、 [再起動] をクリックします。Using Internet Information Services (IIS) Manager: In Internet Information Services (IIS) Manager, in the Actions pane, click Restart.

Exchange Web サービス (EWS) 用の SSL オフロードの構成Configuring SSL offloading for Exchange Web Services (EWS)

Exchange Web サービス (EWS) 用に SSL オフロードを有効にするには、既定の Web サイトEWS 仮想ディレクトリの SSL 要件を削除する必要があります。To enable SSL offloading for Exchange Web Services (EWS), you need to remove the SSL requirement on the EWS virtual directory on the Default Web Site:

  • 手順 1: インターネットインフォメーションサービス (IIS) マネージャーまたはコマンドラインを使用して、 EWS仮想ディレクトリの SSL を無効にすることができます。Step 1: You can use Internet Information Services (IIS) Manager or a command line to disable SSL on the EWS virtual directory:

    • インターネット インフォメーション サービス (IIS) マネージャーを使用して、 [サイト] > [既定の Web サイト] を展開し、 EWS 仮想ディレクトリを選択します。結果ウィンドウの [IIS] の下で [SSL 設定] をダブルクリックします。 [SSL 設定] の結果ウィンドウで、 [SSL が必要] チェック ボックスをオフにしてから [アクション] ウィンドウの [適用] をクリックします。Using Internet Information Services (IIS) Manager, expand Sites > Default Web Site, and then select the EWS virtual directory. In the results pane under IIS, double-click SSL Settings. In the SSL Settings results pane, clear the Require SSL check box, and then click Apply in the Actions pane.

    • コマンドラインを使用して次の入力を行い、Enter キーを押します。Using the command line, type the following and then press Enter.

    appcmd set config "Default Web Site/EWS" /section:access /sslFlags:None /commit:APPHOST
    
  • 手順 2: 次のいずれかの方法を使用して、適切なアプリケーションプールをリサイクルするか、またはインターネットインフォメーションサービスを再起動する必要があります。Step 2: You need to recycle the correct application pool or restart Internet Information Services by using one of the following methods:

    • コマンドラインを使用: [スタート] > [実行] を選択し、 「cmd」 と入力してから Enter キーを押します。コマンド プロンプト ウィンドウで次を入力し、Enter キーを押します。Using a command line: Go to Start > Run, type cmd, and then press Enter. In the Command Prompt window, type the following and then press Enter.

      appcmd Recycle AppPool MSExchangeServicesAppPool
      
    • Windows PowerShell コマンドレットを使用して次を入力し、Enter キーを押します。Using a Windows PowerShell cmdlet, type the following and then press Enter.

      IIS:\>Restart-WebAppPool MSExchangeServicesAppPool
      
    • コマンドラインを使用: [スタート] > [実行] を選択し、 「cmd」 と入力してから Enter キーを押します。コマンド プロンプト ウィンドウで次を入力し、Enter キーを押します。Using a command line: Go to Start > Run, type cmd, and then press Enter. In the Command Prompt window, type the following and then press Enter.

      iisreset /noforce
      
    • インターネット インフォメーション サービス (IIS) マネージャーを使用: インターネット インフォメーション サービス (IIS) マネージャーの [アクション] ウィンドウで、 [再起動] をクリックします。Using Internet Information Services (IIS) Manager: In Internet Information Services (IIS) Manager, in the Actions pane, click Restart.

自動検出サービス用の SSL オフロードの構成Configuring SSL offloading for the Autodiscover service

自動検出サービス用に SSL オフロードを有効にするには、既定の Web サイトAutodiscover 仮想ディレクトリの SSL 要件を削除する必要があります。To enable SSL offloading for the Autodiscover service, you need to remove the SSL requirement on the Autodiscover virtual directory on the Default Web Site:

  • 手順 1: インターネットインフォメーションサービス (IIS) マネージャーまたはコマンドラインを使用して、自動検出仮想ディレクトリの SSL を無効にすることができます。Step 1: You can use Internet Information Services (IIS) Manager or a command line to disable SSL on the Autodiscover virtual directory:

    • インターネット インフォメーション サービス (IIS) マネージャーを使用して、 [サイト] > [既定の Web サイト] を展開し、 Autodiscover 仮想ディレクトリを選択します。結果ウィンドウの [IIS] の下で [SSL 設定] をダブルクリックします。 [SSL 設定] の結果ウィンドウで、 [SSL が必要] チェック ボックスをオフにしてから [アクション] ウィンドウの [適用] をクリックします。Using Internet Information Services (IIS) Manager, expand Sites > Default Web Site, and then select the Autodiscover virtual directory. In the results pane under IIS, double-click SSL Settings. In the SSL Settings results pane, clear the Require SSL check box, and then click Apply in the Actions pane.

    • コマンドラインを使用して次の入力を行い、Enter キーを押します。Using the command line, type the following and then press Enter.

      appcmd set config "Default Web Site/autodiscover" /section:access /sslFlags:None /commit:APPHOST
      
  • 手順 2: 次のいずれかの方法を使用して、適切なアプリケーションプールをリサイクルするか、またはインターネットインフォメーションサービスを再起動する必要があります。Step 2: You need to recycle the correct application pool or restart Internet Information Services by using one of the following methods:

    • コマンドラインを使用: [スタート] > [実行] を選択し、 「cmd」 と入力してから Enter キーを押します。コマンド プロンプト ウィンドウで次を入力し、Enter キーを押します。Using a command line: Go to Start > Run, type cmd, and then press Enter. In the Command Prompt window, type the following and then press Enter.

      appcmd Recycle AppPool MSExchangeAutodiscoverAppPool
      
    • Windows PowerShell コマンドレットを使用して次を入力し、Enter キーを押します。Using a Windows PowerShell cmdlet, type the following and then press Enter.

      IIS:\>Restart-WebAppPool MSExchangeAutodiscoverAppPool
      
    • コマンドラインを使用: [スタート] > [実行] を選択し、 「cmd」 と入力してから Enter キーを押します。コマンド プロンプト ウィンドウで次を入力し、Enter キーを押します。Using a command line: Go to Start > Run, type cmd, and then press Enter. In the Command Prompt window, type the following and then press Enter.

      iisreset /noforce
      
    • インターネット インフォメーション サービス (IIS) マネージャーを使用: インターネット インフォメーション サービス (IIS) マネージャーの [アクション] ウィンドウで、 [再起動] をクリックします。Using Internet Information Services (IIS) Manager: In Internet Information Services (IIS) Manager, in the Actions pane, click Restart.

Mailbox Replication プロキシ (MRSProxy) サービス用の SSL オフロードの構成Configuring SSL Offloading for the Mailbox Replication Proxy Service (MRSProxy)

メールボックス レプリケーション プロキシ (MRSProxy) サービスは、すべての Exchange 2013 クライアント アクセス サーバーにインストールされます。MRSProxy は社内のフォレスト間移動要求を行ったり、社内メールボックスを Office 365 に移動したりするのに役立ちます。ただし、既定で MRSProxy は無効になっています。これを有効にする場合は、リモート Exchange フォレスト (社内フォレスト間メールボックス移動用) や社内 Exchange フォレスト (Office 365 へのメールボックス移動用) で MRSProxy を有効にする必要があります。MRSProxy サービスは Exchange Web サービス (EWS) 下で実行されますが、SSL オフロードの構成はサポートしていません。The Mailbox Replication Proxy (MRSProxy) service is installed on every Exchange 2013 Client Access server. MRSProxy helps you to make cross-forest move requests on-premises as well as moving on-premises mailboxes to Office 365. However, by default, MRSProxy is disabled. If you are enabling it, you should enable it in the remote Exchange forest for cross-forest, on-premises mailbox moves or in the on-premises Exchange forest for moving a mailbox to Office 365. Although the MRSProxy service runs under Exchange Web Services (EWS), it's not supported to configure SSL offloading.

この理由は、MRSProxy サービスはトラフィックが署名および暗号化されることを想定しているからです。すべてのハードウェア ロード バランサーまたはファイアウォールは、MRSProxy のトラフィックをクライアント アクセス サーバーに送信する前に、再度暗号化する必要があります。その場合、オフロードが機能するように SSL ブリッジを構成することをお勧めします。The reason for this is that the MRSProxy service expects traffic to be signed/encrypted. Any hardware load balancer or firewall must reencrypt the MRSProxy traffic before sending it to Client Access servers. If this is the case, it is recommended that you configure SSL bridging for offloading to work.

リバース ssl または Ssl ブリッジ: ハードウェアロードバランサーでリバース ssl または ssl ブリッジを有効にした場合、各 CAS サーバーで前の手順を実行する必要はありません。Reverse SSL or SSL Bridging: If you enable reverse SSL or SSL bridging on hardware load balancers, you won't need to perform the preceding steps on each CAS server. ただし、ハードウェア ロード バランサーでリバース SSL を有効にするということは、SSL 暗号化およ復号化がクライアント アクセス サーバーで行われることを意味します。However, enabling reverse SSL on your hardware load balancers means that SSL encryption and decryption will stay with the Client Access servers. この場合、SSL 暗号化および復号化はハードウェア ロード バランサーとクライアント アクセス サーバーの両方で発生します。In this case, the SSL encryption and decryption will occur on both the hardware load balancers and the Client Access servers. Exchange 2013 SSL オフロードの使用を選択するか、またはリバース SSL (SSL ブリッジ) を選択するかは、組織の目標と実装する必要があるセキュリティ事項により左右されます。Choosing to use Exchange 2013 SSL offloading or reverse SSL (SSL bridging) is dependent on the organizational goals and the security practices that must be implemented. 次の図は SSL ブリッジ (リバース SSL) が有効にされたクライアント接続を示しています。The following picture shows client connectivity with SSL bridging (reverse SSL) enabled.

SSL ブリッジSSL Bridging

Outlook クライアント (MAPI 仮想ディレクトリ) 用の SSL オフロードの構成Configuring SSL offloading for Outlook clients (MAPI virtual directory)

Outlook クライアント用に SSL オフロードを有効にするには、既定の Web サイトMAPI 仮想ディレクトリの SSL 要件を削除する必要があります。To enable SSL offloading for Outlook clients, you need to remove the SSL requirement on the MAPI virtual directory on the Default Web Site:

  • 手順 1: インターネットインフォメーションサービス (IIS) マネージャーまたはコマンドラインを使用して、 MAPI仮想ディレクトリの SSL を無効にすることができます。Step 1: You can use Internet Information Services (IIS) Manager or a command line to disable SSL on the MAPI virtual directory:

    • インターネット インフォメーション サービス (IIS) マネージャーを使用して、 [サイト] > [既定の Web サイト] を展開し、 MAPI 仮想ディレクトリを選択します。結果ウィンドウの [IIS] の下で [SSL 設定] をダブルクリックします。 [SSL 設定] の結果ウィンドウで、 [SSL が必要] チェック ボックスをオフにしてから [アクション] ウィンドウの [適用] をクリックします。Using Internet Information Services (IIS) Manager, expand Sites > Default Web Site, and then select the MAPI virtual directory. In the results pane under IIS, double-click SSL Settings. In the SSL Settings results pane, clear the Require SSL check box, and then click Apply in the Actions pane.

    • コマンドラインを使用して次の入力を行い、Enter キーを押します。Using the command line, type the following and then press Enter.

      appcmd set config "Default Web Site/MAPI" /section:access /sslFlags:None /commit:APPHOST
      
  • 手順 2: 適切なアプリケーションプールをリサイクルするか、次のいずれかの方法を使用してインターネットインフォメーションサービスを再起動する必要があります。Step 2: You need to recycle the correct application pool or restart the Internet Information Services by using one of the following methods:

    • コマンドラインを使用: [スタート] > [実行] を選択し、 「cmd」 と入力してから Enter キーを押します。コマンド プロンプト ウィンドウで次を入力し、Enter キーを押します。Using a command line: Go to Start > Run, type cmd, and then press Enter. In the Command Prompt window, type the following and then press Enter.

      appcmd Recycle AppPool MSExchangeMapiFrontEndAppPool
      
    • Windows PowerShell コマンドレットを使用して次を入力し、Enter キーを押します。Using a Windows PowerShell cmdlet, type the following and then press Enter.

      IIS:\>Restart-WebAppPool MSExchangeMapiFrontEndAppPool
      
    • コマンドラインを使用: [スタート] > [実行] を選択し、 「cmd」 と入力してから Enter キーを押します。コマンド プロンプト ウィンドウで次を入力し、Enter キーを押します。Using a command line: Go to Start > Run, type cmd, and then press Enter. In the Command Prompt window, type the following and then press Enter.

      iisreset /noforce
      
    • インターネット インフォメーション サービス (IIS) マネージャーを使用: インターネット インフォメーション サービス (IIS) マネージャーの [アクション] ウィンドウで、 [再起動] をクリックします。Using Internet Information Services (IIS) Manager: In Internet Information Services (IIS) Manager, in the Actions pane, click Restart.

スクリプトを使用してすべてのプロトコルとサービスの SSL オフロードを有効にするUsing a script to enable SSL offloading for all protocols and services

複数の Exchange 2013 クライアント アクセス サーバーがある大規模な組織で作業をしているなら、これまで見てきた手順をもっと迅速に実行することが必要な場合があります。次のいずれかのスクリプトのコマンドをメモ帳にコピー、貼り付けし、必要な変更を行い, .ps1 拡張子を付けてそのファイルを保存してから、それを Exchange 管理シェルから実行できます。単一または複数のクライアント アクセス サーバーのすべてのプロトコルおよびサービスに対して SSL オフロードを構成するためには、必要に応じて、これらのいずれのスクリプトも使用できます。If you're working with a large organization with multiple Exchange 2013 Client Access servers, you might want to speed up the preceding steps that you went through. You can copy and paste the commands in either of the following scripts into Notepad, make any changes, save the file with a .ps1 extension, and then run it from the Exchange Management Shell. Depending on your needs, both of these scripts can be used to configure SSL offloading for all protocols and services for a single Client Access server or for multiple ones.

注意

Set-OutlookAnywhere コマンドレット入力の場合は、"MyServer" をクライアント アクセス サーバーの名前に置き換えてください。For the Set-OutlookAnywhere cmdlet entries, replace "MyServer" with the name of your Client Access server(s).

Set-WebConfigurationProperty の使用Using Set-WebConfigurationProperty

Set-OutlookAnywhere -Identity MyServer\Rpc* -Externalhostname MyServer.mail.contoso.com -ExternalClientsRequireSsl $True -ExternalClientAuthenticationMethod Basic
Set-OutlookAnywhere -Identity MyServer\Rpc* -SSLOffloading $true
Set-WebConfigurationProperty -Filter //security/access -name sslflags -Value "None" -PSPath IIS: -Location "Default Web Site/OWA"
Set-WebConfigurationProperty -Filter //security/access -name sslflags -Value "None" -PSPath IIS: -Location "Default Web Site/ecp"
Set-WebConfigurationProperty -Filter //security/access -name sslflags -Value "None" -PSPath IIS: -Location "Default Web Site/EWS"
Set-WebConfigurationProperty -Filter //security/access -name sslflags -Value "None" -PSPath IIS: -Location "Default Web Site/Autodiscover"
Set-WebConfigurationProperty -Filter //security/access -name sslflags -Value "None" -PSPath IIS: -Location "Default Web Site/Microsoft-Server-ActiveSync"
Set-WebConfigurationProperty -Filter //security/access -name sslflags -Value "None" -PSPath IIS: -Location "Default Web Site/OAB"
Set-WebConfigurationProperty -Filter //security/access -name sslflags -Value "None" -PSPath IIS: -Location "Default Web Site/MAPI"
iisreset /noforce

Appcmd の使用Using appcmd

注意

Set-OutlookAnywhere コマンドレット入力の場合は、"MyServer" をクライアント アクセス サーバーの名前に置き換えてください。For the Set-OutlookAnywhere cmdlet entries, replace "MyServer" with the name of your Client Access server(s).

Set-OutlookAnywhere -Identity MyServer\Rpc* -Externalhostname MyServer.mail.contoso.com -ExternalClientsRequireSsl $True -ExternalClientAuthenticationMethod Basic
Set-OutlookAnywhere -Identity MyServer\Rpc* -SSLOffloading $true
&$env:systemroot\system32\inetsrv\appcmd set config "Default Web Site/owa" /section:access /sslFlags:None /commit:APPHOST
&$env:systemroot\system32\inetsrv\appcmd set config "Default Web Site/ecp" /section:access /sslFlags:None /commit:APPHOST
&$env:systemroot\system32\inetsrv\appcmd set config "Default Web Site/EWS" /section:access /sslFlags:None /commit:APPHOST
&$env:systemroot\system32\inetsrv\appcmd set config "Default Web Site/Autodiscover" /section:access /sslFlags:None /commit:APPHOST
&$env:systemroot\system32\inetsrv\appcmd set config "Default Web Site/Microsoft-Server-ActiveSync" /section:access /sslFlags:None /commit:APPHOST
&$env:systemroot\system32\inetsrv\appcmd set config "Default Web Site/OAB" /section:access /sslFlags:None /commit:APPHOST
&$env:systemroot\system32\inetsrv\appcmd set config "Default Web Site/MAPI" /section:access /sslFlags:None /commit:APPHOST
iisreset /noforce

Exchange 2007 および Exchange 2010 との共存の構成Configuring coexistence with Exchange 2007 and Exchange 2010

組織に Exchange 2003 サーバーと Exchange 2010 サーバーが混在している場合の共存シナリオで、Exchange 2010 クライアント アクセス サーバーのデプロイ後に実行しなければならない最初のステップは、Exchange 2003 ユーザーが Exchange 2010 クライアント アクセス サーバーのグループから自分のメールボックスにアクセスできるように、DNSを変更することです。このようなシナリオでは、クライアントのトラフィックをクライアント アクセス サーバー間に分配するために使用されるロード バランサーの SSL オフロードを有効にすることが完全にサポートされます。During a coexistence scenario where you have a mix of Exchange 2003 and Exchange 2010 servers in the organization, one of the first steps you need to perform after deploying the Exchange 2010 Client Access Servers is to change DNS so that Exchange 2003 users access their mailboxes from a group of Exchange 2010 Client Access servers. In such a scenario, it's fully supported to enable SSL offloading on the load balancer used to distribute client traffic across the Client Access servers.

Outlook Web App の他のバージョンとの共存Coexistence with other versions of Outlook Web App

Exchange 2013 のクライアント アクセス サーバーで構成されている SSL オフロードでは、Exchange 2007 と Exchange 2010 との共存が可能です。With SSL offloading configured on the Exchange 2013 Client Access servers, coexistence works with Exchange 2007 and Exchange 2010:

  • Exchange 2007 との共存には以前の名前空間が必要で、Outlook Web App と Exchange Web サービスの場合にのみその名前空間へのリダイレクトが発生します。自動検出、Outlook Anywhere および Exchange ActiveSync は、以前のバージョンにプロキシされます。To coexist with Exchange 2007, an earlier namespace is required, and redirection will happen to it only for Outlook Web App and Exchange Web Services. Autodiscover, Outlook Anywhere, and Exchange ActiveSync will be proxied over to the earlier versions.

  • 外部 URL を設定している場合、Exchange 2010 との共存にはリダイレクトが使用されます。それ以外の場合は、プロキシが使用されます。To coexist with Exchange 2010, if you have the external URL set, a redirect will be used. If not, a proxy will be used.