エッジ サブスクリプションEdge Subscriptions

製品: Exchange Server 2013Applies to: Exchange Server 2013

エッジトランスポートサーバーは、インターネットに直接接続されたすべてのメールフローを処理し、Exchange 組織の SMTP リレーおよびスマートホストサービスを提供することによって、攻撃面を最小限に抑えます。Edge Transport servers minimize attack surface by handling all Internet-facing mail flow and providing SMTP relay and smart host services for your Exchange organization. メッセージ保護とセキュリティの追加の層は、組織の境界ネットワーク内のエッジトランスポートサーバー上で実行される一連のエージェントによって提供されます。Additional layers of message protection and security are provided by a series of agents running on the Edge Transport server in your organization's perimeter network. これらのエージェントは、ウイルスやスパムからの保護を提供し、メッセージフローを制御するトランスポートルールを適用する機能をサポートします。These agents support features that provide protection against viruses and spam and apply transport rules to control message flow.

エッジサブスクリプションは、active Directory データを含むエッジトランスポートサーバー上の Active Directory ライトウェイトディレクトリサービス (AD LDS) インスタンスを設定するために使用されます。Edge Subscriptions are used to populate the Active Directory Lightweight Directory Services (AD LDS) instance on the Edge Transport server with Active Directory data. エッジ サブスクリプションの作成はオプションですが、エッジ トランスポート サーバーを Exchange 組織にサブスクライブすることで、管理作業が簡素化され、スパム対策機能がさらに強化されます。Although creating an Edge Subscription is optional, subscribing an Edge Transport server to the Exchange organization provides a simpler management experience and enhances antispam features. 受信者参照機能またはセーフ リスト集約機能の使用を予定している場合、あるいは相互トランスポート層セキュリティ (MTLS) を使用したパートナー ドメインとの SMTP 通信のセキュリティ保護を計画している場合は、エッジ サブスクリプションを作成する必要があります。You need to create an Edge Subscription if you plan to use recipient lookup or safelist aggregation, or if you plan to help secure SMTP communications with partner domains by using Mutual Transport Layer Security (MTLS).

エッジ サブスクリプション プロセスEdge Subscription process

エッジトランスポート サーバーは、Active Directory に直接アクセスできません。An Edge Transport server doesn't have direct access to Active Directory. エッジ トランスポート サーバーがメッセージを処理する際に使用する構成および受信者情報は、AD LDS にローカルに格納されます。The configuration and recipient information the Edge Transport server uses to process messages is stored locally in AD LDS. エッジ サブスクリプションを作成することによって、Active Directory から AD LDS への、セキュリティ保護された自動の情報レプリケーションが確立されます。Creating an Edge Subscription establishes secure, automatic replication of information from Active Directory to AD LDS. エッジサブスクリプションプロセスは、Exchange 2013 メールボックスサーバーとサブスクライブされたエッジトランスポートサーバーとの間のセキュリティ保護された LDAP 接続を確立するために使用される資格情報をプロビジョニングします。The Edge Subscription process provisions the credentials used to establish a secure LDAP connection between Exchange 2013 Mailbox servers and a subscribed Edge Transport server. メールボックスサーバー上で実行される Microsoft Exchange EdgeSync サービス (EdgeSync) は、最新のデータを AD LDS に転送するために定期的な一方向の同期を実行します。The Microsoft Exchange EdgeSync service (EdgeSync) that runs on Mailbox servers performs periodic one-way synchronization to transfer up-to-date data to AD LDS. このように、メールボックス サーバーを構成した後は、その情報をエッジ トランスポート サーバーに同期できるため、境界ネットワークで実行する管理タスクが軽減されます。This reduces the administration tasks you perform in the perimeter network by letting you configure the Mailbox server and then synchronize that information to the Edge Transport server.

エッジトランスポート サーバーのサブスクライブ先は、エッジトランスポート サーバーとの間でメッセージを転送するメールボックス サーバーが含まれる Active Directory サイトです。エッジ サブスクリプション プロセスは、エッジトランスポート サーバーに関する Active Directory サイトのメンバーシップの関係を作成します。このサイトとの関係により、Exchange 組織内のメールボックス サーバーは、明示的な送信コネクタを構成しなくても、インターネットに配信するメッセージをエッジ トランスポート サーバーに中継できます。You subscribe an Edge Transport server to the Active Directory site that contains the Mailbox servers responsible for transferring messages to and from your Edge Transport servers. The Edge Subscription process creates an Active Directory site membership affiliation for the Edge Transport server. The site affiliation enables Mailbox servers in the Exchange organization to relay messages to the Edge Transport server for delivery to the Internet without having to configure explicit Send connectors.

1 つ以上のエッジトランスポート サーバーで、1 つの Active Directory サイトを購読できます。ただし、1 つのエッジトランスポート サーバーで複数の Active Directory サイトを購読することはできません。複数のエッジトランスポート サーバーが展開されている場合、各サーバーが別の Active Directory サイトを購読できます。各エッジ トランスポート サーバーには個別のエッジ サブスクリプションが必要です。One or more Edge Transport servers can be subscribed to a single Active Directory site. However, an Edge Transport server can't be subscribed to more than one Active Directory site. If you have more than one Edge Transport server deployed, each server can be subscribed to a different Active Directory site. Each Edge Transport server requires an individual Edge Subscription.

エッジトランスポート サーバーを展開し、Active Directory サイトを購読するには、次の手順を実行します。To deploy an Edge Transport server and subscribe it to an Active Directory site, follow these steps:

  1. エッジ トランスポート サーバーの役割をインストールします。Install the Edge Transport server role.

  2. メールボックス サーバーとエッジ トランスポート サーバーが、DNS 名前解決を使用して互いを検出できることを確認します。Verify that the Mailbox servers and the Edge Transport server can locate one another using DNS name resolution.

  3. メールボックスサーバーで、エッジトランスポートサーバーにレプリケートするオブジェクトと設定を構成します。On the Mailbox Server, configure the objects and settings to be replicated to the Edge Transport server.

  4. エッジトランスポートサーバーで、エッジサブスクリプションファイルを作成してエクスポートします。On the Edge Transport server, create and export an Edge Subscription file.

  5. エッジサブスクリプション ファイルを、メールボックス サーバーにコピーするか、メールボックス サーバーが含まれる Active Directory サイトからアクセス可能なファイル共有にコピーします。Copy the Edge Subscription file to a Mailbox server or a file share that's accessible from the Active Directory site containing your Mailbox servers.

  6. エッジサブスクリプションファイルを Active Directory サイトにインポートします。Import the Edge Subscription file to the Active Directory site.

新しいエッジサブスクリプションを作成するときの処理What happens when you create a new Edge Subscription

エッジサブスクリプションファイルを作成すると (エッジトランスポートサーバーでnew-edgesubscriptionコマンドレットを実行することによって)、次のアクションが発生します。When you create an Edge Subscription file (by running the New-EdgeSubscription cmdlet on the Edge Transport server), the following actions occur:

  • EdgeSync ブートストラップ レプリケーション アカウント (ESBRA) と呼ばれる AD LDS アカウントが作成されます。An AD LDS account called the EdgeSync bootstrap replication account (ESBRA) is created. これらの ESBRA 資格情報は、エッジトランスポートサーバーへの最初の EdgeSync 接続を認証するために使用されます。These ESBRA credentials are used to authenticate the first EdgeSync connection to the Edge Transport server. このアカウントは、作成後 24 時間で失効するように構成されます。This account is configured to expire 24 hours after being created. そのため、24時間以内に前のセクションで説明した6段階のサブスクリプションプロセスを完了する必要があります。Therefore, you need to complete the six-step subscription process described in the previous section within 24 hours. エッジ サブスクリプション プロセスが完了する前に ESBRA が期限切れになった場合は、 New-EdgeSubscription コマンドレットを再実行して、新しいエッジ サブスクリプション ファイルを作成する必要があります。If the ESBRA expires before the Edge Subscription process is complete, you will need to run the New-EdgeSubscription cmdlet again to create a new Edge Subscription file.

  • ESBRA 資格情報は AD LDS から取得され、エッジ サブスクリプション ファイルに書き込まれます。エッジ トランスポート サーバーの自己署名証明書の公開キーも、エッジ サブスクリプション ファイルにエクスポートされます。エッジ サブスクリプション ファイルに書き込まれる資格情報は、そのファイルのエクスポート元のサーバーに固有の情報です。The ESBRA credentials are retrieved from AD LDS and written to the Edge Subscription file. The public key for the Edge Transport server's self-signed certificate is also exported to the Edge Subscription file. The credentials written to the Edge Subscription file are specific to the server that exported the file.

  • Active Directory から AD LDS にレプリケートされるようになったエッジトランスポートサーバー上の以前に作成した構成オブジェクトは、AD LDS から削除され、それらのオブジェクトを構成するために使用される Exchange 管理シェルコマンドレットは無効になります。Any previously created configuration objects on the Edge Transport server that will now be replicated to AD LDS from Active Directory are deleted from AD LDS, and the Exchange Management Shell cmdlets used to configure those objects are disabled. ただし、これらの*** **オブジェクトを表示するには、コマンドレットを使用することができます。However, you can still use the Get-* cmdlets to view those objects. New-edgesubscriptionコマンドレットを実行すると、エッジトランスポートサーバー上で次のコマンドレットが無効になります。Running the New-EdgeSubscription cmdlet disables the following cmdlets on the Edge Transport server:

    • Set-SendConnectorSet-SendConnector

    • 新しい-SendConnectorNew-SendConnector

    • 削除-SendConnectorRemove-SendConnector

    • 新しい-AcceptedDomainNew-AcceptedDomain

    • Set-AcceptedDomainSet-AcceptedDomain

    • 削除-AcceptedDomainRemove-AcceptedDomain

    • Get-messageclassificationNew-MessageClassification

    • Get-messageclassificationSet-MessageClassification

    • Get-messageclassificationRemove-MessageClassification

    • 新しい-RemoteDomainNew-RemoteDomain

    • 設定-RemoteDomainSet-RemoteDomain

    • 削除-RemoteDomainRemove-RemoteDomain

メールボックスサーバー上でnew-edgesubscriptionコマンドレットを実行して、メールボックスサーバー上のエッジサブスクリプションファイルをインポートする場合は、次のようにします。When you import the Edge Subscription file on the Mailbox server by running the New-EdgeSubscription cmdlet on the Mailbox server:

  • エッジサブスクリプションが作成され、エッジトランスポートサーバーが Exchange 組織に参加します。The Edge Subscription is created, joining an Edge Transport server to an Exchange organization. EdgeSync は、構成データをこのエッジトランスポートサーバーに伝達して、Active Directory にエッジ構成オブジェクトを作成します。EdgeSync will propagate configuration data to this Edge Transport Server, creating an Edge configuration object in Active Directory.

  • Active Directory サイトの各メールボックス サーバーは、新しいエッジトランスポート サーバーがサブスクライブされている旨の通知を Active Directory から受信します。メールボックス サーバーは、エッジ サブスクリプション ファイルから ESBRA を取得します。メールボックス サーバーは、エッジ トランスポート サーバーの自己署名証明書の公開キーを使用して、この ESBRA を暗号化します。暗号化された資格情報はエッジ構成オブジェクトに書き込まれます。Each Mailbox server in the Active Directory site receives notification from Active Directory that a new Edge Transport server has been subscribed. The Mailbox server retrieves the ESBRA from the Edge Subscription file. The Mailbox server then encrypts the ESBRA by using the public key of the Edge Transport server's self-signed certificate. The encrypted credentials are then written to the Edge configuration object.

  • また、各メールボックス サーバーは、自身の公開キーを使用して ESBRA を暗号化し、この資格情報を自身の構成オブジェクトに格納します。Each Mailbox server also encrypts the ESBRA using its own public key and then stores the credentials in its own configuration object.

  • 各エッジトランスポートメールボックスサーバーペアの EdgeSync レプリケーションアカウント (ESRAs) が Active Directory に作成されます。EdgeSync replication accounts (ESRAs) are created in Active Directory for each Edge Transport-Mailbox server pair. 各メールボックス サーバーは、自身の ESRA 資格情報をメールボックス サーバー構成オブジェクトの属性として格納します。Each Mailbox server stores its ESRA credentials as an attribute of the Mailbox server configuration object.

  • エッジ トランスポート サーバーからインターネットへの送信メッセージ、およびエッジ トランスポート サーバーから Exchange 組織への受信メッセージを中継する送信コネクタが自動的に作成されます。Send connectors are automatically created to relay messages outbound from the Edge Transport server to the Internet, and inbound from the Edge Transport server to the Exchange organization.

  • メールボックスサーバー上で実行される Microsoft Exchange EdgeSync サービスは、ESBRA 資格情報を使用して、メールボックスサーバーとエッジトランスポートサーバー間のセキュリティ保護された LDAP 接続を確立し、データの初期レプリケーションを実行します。The Microsoft Exchange EdgeSync service that runs on Mailbox servers uses the ESBRA credentials to establish a secure LDAP connection between a Mailbox server and the Edge Transport server, and performs the initial replication of data. 次のデータが AD LDS にレプリケートされます。The following data is replicated to AD LDS:

    • トポロジ データTopology data

    • 構成データConfiguration data

    • 受信者データRecipient data

    • ESRA 資格情報ESRA credentials

  • エッジ トランスポート サーバー上で実行される Microsoft Exchange Credential Service により、ESRA 資格情報がインストールされます。これらの資格情報は、その後の同期接続を認証し、セキュリティで保護するために使用されます。The Microsoft Exchange Credential Service that runs on the Edge Transport server installs the ESRA credentials. These credentials are used to authenticate and secure later synchronization connections.

  • EdgeSync 同期スケジュールが設定されている。The EdgeSync synchronization schedule is established.

サブスクライブ先の Active Directory サイトのメールボックスサーバー上で実行されている Microsoft Exchange EdgeSync サービスは、Active Directory から AD LDS へのデータの一対一のレプリケーションを定期的に実行します。The Microsoft Exchange EdgeSync service running on the Mailbox servers in the subscribed Active Directory site then performs one-way replication of data from Active Directory to AD LDS on a regular schedule. また、 start-edgesynchronizationコマンドレットを使用して、EdgeSync 同期スケジュールを上書きし、直ちに同期を開始することもできます。You can also use the Start-EdgeSynchronization cmdlet to override the EdgeSync synchronization schedule and immediately start synchronization.

ESRA アカウントの詳細と、EdgeSync 同期プロセスをセキュリティで保護するためにそれらを使用する方法については、「エッジサブスクリプションの資格情報」を参照してください。For more information about ESRA accounts and how they're used to help secure the EdgeSync synchronization process, see Edge Subscription credentials.

この例では、エッジ トランスポート サーバーを指定のサイトにサブスクライブして、エッジ トランスポート サーバーからメールボックス サーバーへのインターネット送信コネクタおよび送信コネクタを自動的に作成します。This example subscribes an Edge Transport server to the specified site and automatically creates the Internet Send connector and the Send connector from the Edge Transport server to the Mailbox servers.

New-EdgeSubscription -FileData ([byte[]]$(Get-Content -Path "C:\EdgeSubscriptionInfo.xml" -Encoding Byte -ReadCount 0)) -CreateInternetSendConnector $true -CreateInboundSendConnector $true -Site "Default-First-Site-Name"

注意

CreateinternetsendconnectorCreateInboundSendConnectorパラメーターの既定値は両方とも$true同じです。The default values of the CreateInternetSendConnector and CreateInboundSendConnector parameters are both $true. ここでは、デモンストレーションのみを示します。They are shown here for demonstration only.

この例では、エッジ サブスクリプション ファイルをエクスポートします。This example exports an Edge Subscription file.

New-EdgeSubscription -FileName "C:\EdgeSubscriptionInfo.xml"

注意

エッジトランスポートサーバー上でnew-edgesubscriptionコマンドレットを実行すると、無効になるコマンドを確認するプロンプトと、エッジトランスポートサーバー上で上書きされる構成が表示されます。When the New-EdgeSubscription cmdlet is run on the Edge Transport server, you receive a prompt to acknowledge the commands that will be disabled and the configuration that will be overwritten on the Edge Transport server. この確認を省略するには、 Forceパラメーターを使用する必要があります。To bypass this confirmation, you must use the Force parameter. このパラメーターは、 New-EdgeSubscription コマンドレットをスクリプトで使用するときに便利です。This parameter is useful when you script the New-EdgeSubscription cmdlet. Forceパラメーターを使用して、エッジトランスポートサーバーの再サブスクライブ時に作成しているファイルと同じ名前の既存のファイルを上書きすることもできます。The Force parameter is also used to overwrite an existing file with the same name as the file that you're creating when you resubscribe an Edge Transport server.

構文とパラメーターの詳細については、「New-EdgeSubscription」を参照してください。For detailed syntax and parameter information, see New-EdgeSubscription.

エッジサブスクリプションプロセス中に作成される送信コネクタSend connectors created during the Edge Subscription process

既定では、エッジサブスクリプションファイルをメールボックスサーバーにインポートすることによって、推奨されるエッジサブスクリプションプロセスを完了すると、インターネットと Exchange 組織の間のエンドツーエンドのメールフローを有効にするために必要な送信コネクタが作成されます。自動的に、エッジトランスポートサーバー上の既存の送信コネクタは削除されます。By default, when you complete the recommended Edge Subscription process by importing the Edge Subscription file to a Mailbox server, the Send connectors required to enable end-to-end mail flow between the Internet and the Exchange organization are created automatically, and any existing Send connectors on the Edge Transport server are deleted. シナリオによっては、送信コネクタの自動作成を抑制し、送信コネクタを手動で構成することを選択できます。In some scenarios, you may choose to suppress automatic creation of Send connectors and configure Send connectors manually. 送信コネクタを手動で構成する方法の詳細については、「手動でエッジトランスポートサーバーのメールフローを構成する」および「 EdgeSync を使用せずにエッジトランスポートサーバー経由のインターネットメールフローを構成する」を参照してください。For more information about manually configuring Send connectors, see Manually configure Edge Transport server mail flow and Configure Internet mail flow through an Edge Transport server without using EdgeSync.

エッジサブスクリプションプロセスでは、次の送信コネクタがプロビジョニングされます。The Edge Subscription process provisions the following Send connectors:

  • Exchange 組織からインターネットに電子メールメッセージを中継するように構成された送信コネクタ。A Send connector configured to relay email messages from the Exchange organization to the Internet.

  • エッジトランスポートサーバーから Exchange 組織に電子メールメッセージを中継するように構成された送信コネクタ。A Send connector configured to relay email messages from the Edge Transport server to the Exchange organization.

また、エッジトランスポートサーバーを Exchange 組織にサブスクライブすると、サブスクライブ先の Active Directory サイトのメールボックスサーバーが組織内の送信コネクタを使用して、そのエッジトランスポートサーバーにメッセージを中継できるようになります。Also, subscribing an Edge Transport server to the Exchange organization allows the Mailbox servers in the subscribed Active Directory site to use the intra-organization Send connector to relay messages to that Edge Transport server.

インターネットからのメッセージを受信するための受信送信コネクタを自動的に作成するAutomatically create an inbound Send connector to receive messages from the Internet

既定では、メールボックスサーバー上で New-edgesubscription コマンドレットを実行すると、受信の送信コネクタパラメーター CreateInboundSendConnectorが値$trueに設定されます。By default, when you run the New-EdgeSubscription cmdlet on the Mailbox server, the Inbound Send Connector parameter CreateInboundSendConnector is set to the value $true. これにより、Exchange 組織にメッセージを送信するために必要な送信コネクタが作成されます。This creates the Send connector needed to send messages to the Exchange organization. 次の表は、この送信コネクタの構成を示しています。The following table shows the configuration of this Send connector.

受信用の送信コネクタの自動構成Automatic inbound Send connector configuration

プロパティProperty Value

名前Name

EdgeSync- <サイト名への受信>EdgeSync - Inbound to <Site Name>

AddressSpacesAddressSpaces

SMTP:--;1

アドレス--スペースの値は、Exchange 組織に対して権限のある、内部の中継の承認済みドメインを表します。The -- value in the address space represents all authoritative and internal relay accepted domains for the Exchange organization. エッジ トランスポート サーバーが受信する、これらの許可されたドメイン宛てのメッセージは、この送信コネクタにルーティングされて、スマート ホストに中継されます。Any messages the Edge Transport server receives for these accepted domains are routed to this Send connector and relayed to the smart hosts.

SourceTransportServersSourceTransportServers

<エッジサブスクリプション名><Edge Subscription name>

EnabledEnabled

TrueTrue

DNSRoutingEnabledDNSRoutingEnabled

FalseFalse

SmartHostsSmartHosts

--

スマート--ホストの一覧に表示される値は、サブスクライブ先の Active Directory サイト内のすべてのメールボックスサーバーを表します。The -- value in the list of smart hosts represents all Mailbox servers in the subscribed Active Directory site. エッジサブスクリプションを確立した後にサブスクライブ先の Active Directory サイトに追加したメールボックスサーバーは、EdgeSync 同期プロセスに参加しません。Any Mailbox servers you add to the subscribed Active Directory site after you establish the Edge Subscription don't participate in the EdgeSync synchronization process. ただし、自動的に作成された受信用の送信コネクタのスマート ホストの一覧には追加されます。However, they are automatically added to the list of smart hosts for the automatically created inbound Send connector. サブスクライブ先の Active Directory サイトに複数のメールボックス サーバーがある場合、受信接続はスマート ホスト間で負荷分散されます。If more than one Mailbox server is located in the subscribed Active Directory site, inbound connections will be load balanced across the smart hosts.

作成時に、自動的に作成される受信用の送信コネクタのアドレス スペースまたはスマート ホストの一覧を変更することはできません。You can't modify the address space or list of smart hosts at creation time for the automatically created inbound Send connector. ただし、エッジサブスクリプションを作成** するときには、 $false CreateInboundSendConnector パラメーターを値に設定できます。However, you can set the CreateInboundSendConnector parameter to the value $false when you create an Edge Subscription. この設定では、エッジ トランスポート サーバーから Exchange 組織への送信コネクタを手動で作成できます。This allows you to manually configure a Send connector from the Edge Transport server to the Exchange organization.

インターネットにメッセージを送信するための送信送信コネクタを自動的に作成するAutomatically create an outbound Send connector to send messages to the Internet

既定では、メールボックスサーバー上でnew-edgesubscriptionコマンドレットを実行すると、送信コネクタパラメーター createinternetsendconnectorが値$trueに設定されます。By default, when you run the New-EdgeSubscription cmdlet on the Mailbox server, the Outbound Send Connector parameter CreateInternetSendConnector is set to the value $true. これにより、インターネットにメッセージを送信するために必要な送信コネクタが作成されます。This creates the Send connector needed to send messages to the Internet. 次の表は、この送信コネクタの既定の構成を示しています。The following table shows the default configuration of this Send connector.

インターネット送信コネクタの自動構成Automatic Internet Send connector configuration

プロパティProperty Value

名前Name

EdgeSync- <サイト名>からインターネットへEdgeSync - <Site Name> to Internet

AddressSpacesAddressSpaces

SMTP:*;100

SourceTransportServersSourceTransportServers

<エッジサブスクリプション名><Edge Subscription name>

注意

エッジ サブスクリプションの名前は、購読済みのエッジ トランスポート サーバーの名前と同じです。The name of the Edge Subscription is the same as the name of the subscribed Edge Transport server.

EnabledEnabled

正しいTrue

DNSRoutingEnabledDNSRoutingEnabled

正しいTrue

DomainSecureEnabledDomainSecureEnabled

TrueTrue

同一の Active Directory サイトに複数のエッジトランスポート サーバーをサブスクライブしても、インターネットへの追加の送信コネクタは作成されません。代わりに、すべてのエッジ サブスクリプションが、送信元サーバーと同じ送信コネクタに追加されます。これにより、サブスクライブ済みエッジ トランスポート サーバー間で、インターネットへの送信接続の負荷が分散されます。If more than one Edge Transport server is subscribed to the same Active Directory site, no additional Send connectors to the Internet are created. Instead, all Edge Subscriptions are added to the same Send connector as the source server. This load balances outbound connections to the Internet across the subscribed Edge Transport servers.

送信用の送信コネクタは、Exchange 組織からすべてのリモート SMTP ドメインに電子メール メッセージを送信する際に、DNS ルーティングを使用してドメイン名を MX リソース レコードに解決するように構成されます。The outbound Send connector is configured to send email messages from the Exchange organization to all remote SMTP domains, using DNS routing to resolve domain names to MX resource records. コネクタの構成を手動で構成する方法の詳細については、「エッジトランスポートサーバーのメールフローを手動で構成する」を参照してください。For details about manually configuring a connector's configuration, see Manually configure Edge Transport server mail flow.

Microsoft Exchange EdgeSync サービスMicrosoft Exchange EdgeSync service

エッジトランスポートサーバーを Active Directory サイトにサブスクライブすると、EdgeSync は、構成データと受信者データをエッジトランスポートサーバーにレプリケートします。After you subscribe an Edge Transport server to an Active Directory site, EdgeSync will replicate configuration and recipient data to the Edge Transport servers. このサービスは、次のデータを Active Directory から AD LDS にレプリケートします。The service replicates the following data from Active Directory to AD LDS:

  • 送信コネクタの構成Send connector configuration

  • 承認済みドメインAccepted domains

  • リモート ドメインRemote domains

  • メッセージ分類Message classifications

  • 差出人セーフ リストSafe Senders Lists

  • 受信拒否リストBlocked Senders Lists

  • 受信者Recipients

  • セキュリティで保護されたドメインがパートナーとの通信で使用する送受信ドメインの一覧List of send and receive domains used in domain secure communications with partners

  • 組織のトランスポートの構成で内部として一覧される SMTP サーバーの一覧List of SMTP servers listed as internal in your organization's transport configuration

  • サブスクライブされた Active Directory サイトにあるメールボックス サーバーの一覧List of Mailbox servers in the subscribed Active Directory site

AD LDS にレプリケートされるデータとその使用方法の詳細については、「 EdgeSync レプリケーションデータ」を参照してください。For details about the data replicated to AD LDS and how it's used, see EdgeSync replication data.

EdgeSync は、相互に認証および承認された、セキュリティで保護された LDAP チャネルを使用して、メールボックスサーバーからエッジトランスポートサーバーにデータを転送します。EdgeSync uses a mutually authenticated and authorized secure LDAP channel to transfer data from the Mailbox server to the Edge Transport server.

データを AD LDS にレプリケートするため、メールボックス サーバーは、更新済みデータを取得するグローバル カタログ サーバーにバインドします。To replicate data to AD LDS, the Mailbox server binds to a global catalog server to retrieve updated data. EdgeSync は、メールボックスサーバーとサブスクライブしているエッジトランスポートサーバーとの間で、非標準の TCP ポート50636を介して、セキュリティで保護された LDAP セッションを開始します。EdgeSync initiates a secure LDAP session between a Mailbox server and the subscribed Edge Transport server over the non-standard TCP port 50636.

最初にエッジトランスポートサーバーを Active directory サイトにサブスクライブする場合、Active Directory からデータを取得した AD LDS の初期レプリケーションには、ディレクトリサービス内のデータ量に応じて、5分以上かかる場合があります。When you first subscribe an Edge Transport server to an Active Directory site, the initial replication that populates AD LDS with data from Active Directory can take five minutes or more, depending on the quantity of data in the directory service. 初期レプリケーションの後、EdgeSync は新しいオブジェクトと変更されたオブジェクトを同期し、削除されたオブジェクトを削除します。After initial replication, EdgeSync only synchronizes new and changed objects, and removes any deleted objects.

同期スケジュールSynchronization schedule

異なる種類のデータは、異なるスケジュールで同期されます。Different types of data synchronize on different schedules. EdgeSync 同期スケジュールは、EdgeSync 同期間の最大間隔を指定します。The EdgeSync synchronization schedule specifies the maximum interval between EdgeSync synchronizations. EdgeSync 同期は、次の間隔で行われます。EdgeSync synchronization occurs at the following intervals:

  • 構成データ: 3 分。Configuration data: 3 minutes.

  • 受信者データ: 5 分。Recipient data: 5 minutes.

  • トポロジ データ: 5 分Topology data: 5 minutes

これらの間隔を変更するには、 Set-EdgeSyncServiceConfig コマンドレットを使用します。If you want to change these intervals, use the Set-EdgeSyncServiceConfig cmdlet. メールボックスサーバー上でstart-edgesynchronizationコマンドレットを使用してエッジサブスクリプションの同期を強制すると、次に予定されている edgesync 同期のタイマーが無効になり、直ちに edgesync が開始されます。Using the Start-EdgeSynchronization cmdlet on the Mailbox server to force Edge Subscription synchronization overrides the timer for the next scheduled EdgeSync synchronization, and starts EdgeSync immediately.

メールボックス サーバーの選択Selection of Mailbox servers

サブスクライブされた各エッジトランスポート サーバーは、特定の Active Directory サイトと関連付けられます。サイトに複数のメールボックス サーバーが存在している場合は、そのうちのどのメールボックス サーバーでもサブスクライブ済みエッジエッジ トランスポート サーバーにデータをレプリケートする可能性があります。同期中にメールボックス サーバー間で競合が発生しないようにするために、以下のようにして、優先するメールボックス サーバーが選択されます。Each subscribed Edge Transport server is associated with a particular Active Directory site. If more than one Mailbox server exists in the site, any of these Mailbox servers can replicate data to the subscribed Edge Transport servers. To avoid contention among Mailbox servers when synchronizing, the preferred Mailbox server is selected as follows:

  1. Active Directory サイトでトポロジ スキャンを実行して新しいエッジ サブスクリプションを検出した最初のメールボックス サーバーが、初期レプリケーションを実行します。この検出はトポロジ スキャンのタイミングに基づいているため、サイトのどのメールボックス サーバーも最初のレプリケーションを実行する可能性があります。The first Mailbox server in the Active Directory site to perform a topology scan and discover the new Edge Subscription performs the initial replication. Because this discovery is based on the timing of the topology scan, any Mailbox server in the site may perform the initial replication.

  2. 初期レプリケーションを実行するメールボックスサーバーは、EdgeSync リースオプションを確立し、エッジサブスクリプションにロックを設定します。The Mailbox server performing the initial replication establishes an EdgeSync lease option and sets a lock on the Edge Subscription. リース オプションにより、その特定のメールボックス サーバーが、そのエッジ トランスポート サーバーに同期サービスを提供する優先サーバーとして確定されます。The lease option establishes that particular Mailbox server as the preferred server providing synchronization services to that Edge Transport server. ロックによって、別のメールボックスサーバー上で実行されている EdgeSync がリースオプションを引き継がないようにします。The lock prevents EdgeSync running on another Mailbox server from taking over the lease option.

  3. EdgeSync リースオプションは、1時間の期間だけ続きます。The EdgeSync lease option lasts for one hour. この時間には、時間の終わりよりも前に手動同期を開始しない限り、他の EdgeSync サービスはオプションを引き継ぐことができません。During that hour, no other EdgeSync service can take over the option unless a manual synchronization is started before the end of the hour. 優先するメールボックスサーバーが、手動同期が開始された時点での EdgeSync サービスの提供に使用できない場合は、5分間待機した後、ロックが解除され、別の EdgeSync サービスがリースオプションを引き継ぎ、同期を実行することができます。If the preferred Mailbox server isn't available to provide EdgeSync service at the time manual synchronization is started, after a five-minute wait, the lock is released and another EdgeSync service can take over the lease option and perform synchronization.

  4. 手動同期が開始されていない限り、EdgeSync 同期スケジュールに基づいて同期が行われます。Unless manual synchronization is started, synchronization occurs based on the EdgeSync synchronization schedule. スケジュールされた同期が発生したときに優先サーバーが使用できない場合、5分間待機すると、ロックが解除され、別の EdgeSync サービスがリースオプションを引き継ぎ、同期を実行できるようになります。If the preferred server isn't available when a scheduled synchronization occurs, after a five-minute wait, the lock is released and another EdgeSync service can take over the lease option and perform synchronization.

ロックとリースのこの方法によって、EdgeSync の複数のインスタンスが同じエッジトランスポートサーバーに同時にデータをプッシュしないようにします。This method of locking and leasing prevents more than one instance of EdgeSync from pushing data to the same Edge Transport server at the same time.

注意

サブスクライブ先の Active Directory サイトに Exchange 2010 または Exchange 2007 のメールボックスサーバーもある場合、Exchange 2013 メールボックスサーバーは常に優先され、レプリケーションを実行します。If you also have Exchange 2010 or Exchange 2007 Mailbox servers in the subscribed Active Directory site, Exchange 2013 Mailbox servers will always take precedence and perform the replication.

注意

エッジトランスポートサーバーを Active Directory サイトにサブスクライブすると、その時点でその Active Directory サイトにインストールされているすべてのメールボックスサーバーは、EdgeSync 同期プロセスに参加できます。When you subscribe an Edge Transport server to an Active Directory site, all Mailbox servers installed in that Active Directory site at that time can participate in the EdgeSync synchronization process. これらのサーバーのいずれかが削除されると、残りのメールボックスサーバーで実行されている EdgeSync サービスはデータ同期プロセスを続行します。If one of those servers is removed, the EdgeSync service that's running on the remaining Mailbox servers will continue the data synchronization process. ただし、Active Directory サイトに新しいメールボックスサーバーをインストールしても、EdgeSync 同期に自動的に参加することはありません。However, if you ;ater install new Mailbox servers in the Active Directory site, they won't automatically participate in EdgeSync synchronization. これらの新しいメールボックスサーバーが EdgeSync 同期に参加できるようにするには、エッジトランスポートサーバーを再度サブスクライブする必要があります。If you want to enable those new Mailbox servers to participate in EdgeSync synchronization, you will need to subscribe the Edge Transport server again.

次の表に、ロックとリースに関連する EdgeSync プロパティを示します。The following table lists the EdgeSync properties related to locking and leasing. Set-EdgeSyncServiceConfig コマンドレットを使用して、これらのプロパティを構成できます。You can use the Set-EdgeSyncServiceConfig cmdlet to configure these properties.

EdgeSync リース プロパティEdgeSync lease properties

パラメーターParameter 既定値Default value 説明Description

LockDurationLockDuration

00:05:00 (5 分)00:05:00 (5 minutes)

この設定では、特定の EdgeSync サービスがロックを取得する時間を指定します。This setting determines how long a particular EdgeSync service will acquire a lock. このロックを保持しているメールボックスサーバー上の EdgeSync サービスが応答しない場合は、別のメールボックスサーバー上の EdgeSync サービスがリースを引き継ぐことになります。If the EdgeSync service on the Mailbox server that's holding this lock doesn't respond, after five minutes the EdgeSync service on another Mailbox server will take over the lease. 即時 EdgeSync 同期を強制的に実行しても、この設定は無効になりません。Forcing immediate EdgeSync synchronization doesn't override this setting.

OptionDurationOptionDuration

01:00:00 (1 時間)01:00:00 (1 hour)

この設定では、EdgeSync サービスがエッジトランスポートサーバーでリースオプションを宣言できる期間を指定します。This setting determines how long an EdgeSync service can declare a lease option on an Edge Transport server. このオプション期間中にリースを保持する EdgeSync サービスが使用できず、再起動されない場合は、EdgeSync 同期を強制しない限り、他の Exchange EdgeSync サービスはリースオプションを引き継ぎません。If the EdgeSync service holding the lease is unavailable and doesn't restart during this option period, no other Exchange EdgeSync service will take over the lease option unless you force EdgeSync synchronization.

LockRenewalDurationLockRenewalDuration

00:01:00 (1 分)00:01:00 (1 minute)

この設定は、EdgeSync サービスがエッジトランスポートサーバーへのロックを取得したときに、ロックフィールドを更新する頻度を指定します。This setting determines how frequently the lock field is updated when an EdgeSync service has acquired a lock to an Edge Transport server.

EdgeSync サービスを実行するための準備Preparing to run the EdgeSync service

エッジトランスポートサーバーを Exchange 組織にサブスクライブするには、その前に、インフラストラクチャとメールボックスサーバーが EdgeSync サービス用に準備されていることを確認する必要があります。Before you can subscribe your Edge Transport server to your Exchange organization, you need to make sure your infrastructure and your Mailbox servers are prepared for the EdgeSync service. EdgeSync 同期を準備するには、次のことを行う必要があります。To prepare for EdgeSync synchronization, you need to:

  • エッジトランスポートサーバーを Exchange 組織から分離している境界ネットワークファイアウォールが、適切なポートを介した通信を有効にするように構成されていることを確認します。Verify that the perimeter network firewall separating the Edge Transport server from the Exchange organization is configured to enable communications through the correct ports. エッジトランスポートサーバーは、標準以外の LDAP ポートを使用します。The Edge Transport server uses non-standard LDAP ports. 環境で特定のポートが必要な場合は、Exchange で提供される Configureadam.ps1 スクリプトを使用して、AD LDS で使用されるポートを変更できます。If your environment requires specific ports, you can modify the ports used by AD LDS using the ConfigureAdam.ps1 script provided with Exchange. 詳細については、「 MODIFY AD LDS configuration」を参照してください。For more information, see Modify AD LDS configuration. ポートの変更は、エッジ サブスクリプションを作成する前に行ってください。Modify the ports before you create the Edge Subscription. エッジサブスクリプションの作成後にポートを変更する場合は、エッジサブスクリプションを削除してから、新しいエッジサブスクリプションを作成する必要があります。If you modify the ports after you create the Edge Subscription, you will need to remove the Edge Subscription and then create a new Edge subscription. 既定では、AD LDS へのアクセスに使用される LDAP ポートは次のとおりです。By default, the following LDAP ports are used to access AD LDS:

    • LDAP: ポート 50389/TCP は、AD LDS インスタンスにバインドするためにローカルに使用されます。LDAP: Port 50389/TCP is used locally to bind to the AD LDS instance. このポートは、境界ネットワークのファイアウォール上で開かれている必要はありません。This port doesn't have to be open on the perimeter network firewall.

    • セキュリティで保護された LDAP: ポート 50636/TCP は、メールボックスサーバーから AD LDS へのディレクトリ同期に使用されます。Secure LDAP: Port 50636/TCP is used for directory synchronization from Mailbox servers to AD LDS. このポートは、EdgeSync 同期を正常に行うために、ファイアウォール上で開かれている必要があります。This port must be open on the firewall for successful EdgeSync synchronization.

  • エッジトランスポートサーバーからメールボックスサーバー、およびメールボックスサーバーからエッジトランスポートサーバーへの DNS ホスト名解決が正常に行われていることを確認します。Verify that DNS host name resolution is successful from the Edge Transport server to the Mailbox servers and from the Mailbox servers to the Edge Transport server.

  • エッジ トランスポート サーバーのライセンスを発行します。License the Edge Transport server. エッジトランスポートサーバーのライセンス情報は、エッジサブスクリプションの作成時にキャプチャされます。The licensing information for the Edge Transport server is captured when the Edge Subscription is created. エッジトランスポートサーバーにライセンスキーが適用された後に、サブスクライブしたエッジトランスポートサーバーを Exchange 組織にサブスクライブする必要があります。Subscribed Edge Transport servers need to be subscribed to the Exchange organization after the license key has been applied on the Edge Transport server. エッジサブスクリプションプロセスを実行した後にライセンスキーがエッジトランスポートサーバーに適用された場合、Exchange 組織内のライセンス情報は更新されず、エッジトランスポートサーバーを再度サブスクライブする必要があります。If the license key is applied on the Edge Transport server after you perform the Edge Subscription process, licensing information will not be updated in the Exchange organization, and you will need to resubscribe the Edge Transport server.

  • エッジトランスポートサーバーに伝達するために、次のトランスポート設定を構成します。Configure the following transport settings for propagation to the Edge Transport server:

    • 内部 smtp サーバー: Set-transportconfigコマンドレットでinternalsmtpserversパラメーターを使用して、エッジトランスポートサーバー上の Sender ID および接続フィルターエージェントによって無視される内部 smtp サーバーの ip アドレスまたは ip アドレスの範囲の一覧を指定します。Internal SMTP servers: Use the InternalSMTPServers parameter on the Set-TransportConfig cmdlet to specify a list of internal SMTP server IP addresses or IP address ranges to be ignored by the Sender ID and Connection Filtering agents on the Edge Transport server.

    • 承認済みドメイン: 権限のあるドメイン、内部の中継ドメイン、および外部の中継ドメインをすべて構成します。Accepted domains: Configure all authoritative domains, internal relay domains, and external relay domains.

    • リモートドメイン: リモートドメインの設定を構成します。Remote domains: Configure remote domain settings.

エッジ サブスクリプションの管理Managing Edge Subscriptions

エッジサブスクリプションの管理タスクの詳細な手順については、「エッジサブスクリプションの管理」を参照してください。For step-by-step instructions on Edge Subscription management tasks, see Manage Edge Subscriptions.