EdgeSync レプリケーション データ

  • [アーティクル]

製品: Exchange Server 2013

エッジ トランスポート サーバーを展開すると、Active Directory にアクセスできません。 受信者参照とセーフリスト集計タスクを実行し、相互トランスポート層セキュリティ (MTLS) 認証を使用してドメイン セキュリティを実装するには、エッジ トランスポート サーバーに Active Directory からのデータが必要です。 このデータは、EdgeSync を使用してエッジ トランスポート サーバーにレプリケートされます。エッジ トランスポート サーバーは、レプリケートされたすべての情報を Active Directory ライトウェイト ディレクトリ サービス (AD LDS) に格納します。

このトピックでは、Active Directory サイトにサブスクライブされたエッジ トランスポート サーバーの AD LDS に Active Directory からレプリケートされたデータに焦点を当てます。 EdgeSync およびエッジ サブスクリプションの詳細については、「エッジ サブスクリプション」を参照してください。

AD LDS には次の 4 種類のデータがレプリケートされ、エッジ トランスポート サーバーによって使用されます。

  • Edge Subscription information
  • Configuration information
  • Recipient information
  • Topology information

エッジ サブスクリプション情報

Exchange 2013 は、EdgeSync 同期を制御するために必要なデータを表す ms-Exch-ExchangeServer オブジェクトのさまざまな属性を提供するように、Active Directory および AD LDS スキーマを拡張します。 これらの属性により、以下の 3 つの機能が EdgeSync に提供されます。

  • メールボックス サーバーとサブスクライブ先のエッジ トランスポート サーバー間の LDAP 接続のセキュリティ向上のために使用される資格情報の自動的なプロビジョニングと保守。

  • 同期ロックとリース プロセスを調整し、一度に 1 つのサーバーのみが個々のエッジ トランスポート サーバーとの同期を試みるようにします。 ロックとリースのプロセスの詳細については、「 Edge サブスクリプション」を参照してください。

  • 現在の同期ステータスの記録を維持するための EdgeSync 同期の最適化。 同期の状態を簡単に表示できると、手動による同期化を行い過ぎないようになります。

次の表のスキーマ拡張機能は、Edge サブスクリプションに固有です。 これらの属性に割り当てられた値は、Edge サブスクリプションと EdgeSync によって管理されます。手動で編集するためのものではありません。

エッジ サブスクリプション スキーマ拡張

属性名 説明
ms-Exch-Server-EKPK-Public-Key サーバーで使用されている証明書の現在の公開キー。 この値は、エッジ トランスポート サーバーとメールボックス サーバーの両方に格納されます。 公開キーは、LDAP および SMTP 通信中のサーバー認証に使用される資格情報を暗号化するために使用されます。
ms-Exch-EdgeSync-Credential EdgeSync が AD LDS との認証された LDAP セッションを確立するために使用する資格情報のリスト。 メールボックス サーバーでは、この属性には、サブスクライブ先のエッジ トランスポート サーバーを認証するためにメールボックス サーバーで使用される資格情報のみが含まれます。 エッジ トランスポート サーバーでは、この属性には、EdgeSync 同期に参加するサブスクライブ先の Active Directory サイト内の各メールボックス サーバーの資格情報が含まれます。 この属性が存在するのは、EdgeSync 同期が実行されているメールボックス サーバーと、サブスクライブ先のエッジ トランスポート サーバーのみです。
ms-Exch-Edge-Sync-Lease 複数のメールボックス サーバーが同じエッジ トランスポート サーバーへのレプリケートを試みる場合に、メールボックス サーバー間の仲裁をするために使用されます。
ms-Exch-Edge-Sync-Status エッジ トランスポート サーバー オブジェクト上の AD LDS にのみ存在します。 この属性は AD LDS インスタンスへのレプリケーションのステータスを追跡し、レプリケーションに関する情報を含んでいます。

構成情報

エッジ トランスポート サーバーを組織にサブスクライブする場合、エッジ トランスポート サーバーと Exchange 組織に共通の構成オブジェクトを、組織内から管理することができます。 次に、それらの変更内容が、EdgeSync を使ってエッジ トランスポート サーバーにレプリケートされます。 この処理により、メッセージ プロセッシングにかかわるすべてのサーバーで一貫した構成を維持できます。

また、Exchange 組織の構成データのサブセットもエッジ トランスポート サーバーで維持する必要があります。 EdgeSync 同期中に、エッジ トランスポート サーバーで必要な構成データが AD LDS の構成パーティションに書き込まれます。 AD LDS に書き込まれる構成データには、次のものが含まれます。

  • メールボックス サーバー: サブスクライブされた Active Directory サイト内の各メールボックス サーバーの完全修飾ドメイン名 (FQDN) は、エッジ トランスポート サーバー上のローカル AD LDS ストアで使用できます。 この情報は、受信送信コネクタのスマート ホスト サーバーのリストを生成するために使用されます。

  • 承認済みドメイン: Exchange 組織用に構成されたすべての権限のある内部リレー ドメインと外部リレー ドメインが AD LDS に書き込まれます。 エッジ トランスポート サーバーで承認済みドメインを利用できるようにすると、Exchange 組織でドメインのフィルターを実行し、組織に対する無効な SMTP トラフィックを早期に拒否できます。 承認済みドメインの詳細については、「 承認済みドメイン」を参照してください。

  • メッセージ分類: エッジ トランスポート サーバーでメッセージ分類を使用できる場合、トランスポート エージェントとコンテンツ変換は境界ネットワーク内のメッセージ分類に作用できます。 たとえば、添付ファイル フィルター エージェントが添付ファイルを削除した場合は「添付ファイル削除済み」という分類が適用され、Microsoft Outlook のユーザーまたは Outlook Web App ユーザーに対して、受信者にその旨を通知する通知テキストが送信されます。 サード パーティのアプリケーションで使用するために開発されたエージェントでも、同様の方法でメッセージ分類を使用できます。

  • リモート ドメイン: Exchange 組織用に構成されたすべてのリモート ドメイン エントリが AD LDS に書き込まれます。 リモート ドメイン エントリによって、リモート ドメインの不在メッセージ設定やメッセージ形式設定が制御されます。 リモート ドメインの詳細については、「リモート ドメイン」を参照してください。

  • 送信コネクタ: 既定では、エッジ サブスクリプションを作成すると、エッジ トランスポート サーバーがサブスクライブされた時点で Exchange 組織とインターネットの間でエンド ツー エンドのメール フローを有効にするために必要な送信コネクタが自動的に作成されます。 エッジ トランスポート サーバーの既存の送信コネクタは削除されます。 追加の送信コネクタを構成する場合は、Exchange 組織の内部に送信コネクタを構成し、エッジ サブスクリプションをコネクタの送信元サーバーとして選択します。 詳細については、「 エッジ サブスクリプション」を参照してください。

  • 内部 SMTP サーバー: InternalSMTPServers 属性の値は、Exchange 組織とローカル エッジ トランスポート サーバーの両方の TransportConfig オブジェクトに格納されます。 EdgeSync 同期中、ローカル エッジ トランスポート サーバーのオブジェクトに格納された値は、Exchange 組織のこのオブジェクトに格納された値で上書きされます。 この属性には、Sender ID および接続フィルターによって無視される必要のある、内部 SMTP サーバーの IP アドレスまたは IP アドレスの範囲の一覧を指定します。

  • ドメイン セキュリティで保護されたリスト: TLSReceiveDomainSecureList 属性と TLSSendDomainSecureList 属性は、Exchange 組織とローカル エッジ トランスポート サーバーの両方の TransportConfig オブジェクトに格納されます。 EdgeSync 同期中、ローカル エッジ トランスポート サーバーのオブジェクトに格納された値は、Exchange 組織のこのオブジェクトに格納された値で上書きされます。 これらの属性は、相互 TLS 認証用に構成されているリモート ドメインのリストを指定します。

受信者情報

AD LDS にレプリケートされる受信者情報には、受信者属性のサブセットのみが含まれています。 エッジ トランスポートで一定のスパム対策タスクを実行するために必要なデータのみレプリケートされます。 AD LDS にレプリケートされる受信者情報には、以下のものが含まれます。

  • 受信者: Exchange 組織内の受信者の一覧が AD LDS にレプリケートされます。 各受信者は、割り当てられた Active Directory GUID によって識別されます。 受信者のアカウントを構成して組織外からのメール受信を拒否する場合、その受信者は AD LDS にはレプリケートされません。 受信者のメールボックスを無効にするか削除すると、それ以降、そのメールボックスは AD LDS にレプリケートされなくなります。

  • プロキシ アドレス: 各受信者に割り当てられているすべてのプロキシ アドレスは、ハッシュされたデータとして AD LDS にレプリケートされます。 これは、セキュア ハッシュ アルゴリズム (SHA) 256 を使用する一方向のハッシュです。 SHA-256 によって、元のデータの 256 ビット メッセージ ダイジェストが生成されます。 プロキシ アドレスをハッシュ データとして格納することで、エッジ トランスポート サーバーまたは AD LDS が危険にさらされた場合にも、情報を保護できます。 プロキシ アドレスが参照されるのは、エッジ トランスポート サーバーが受信者参照のスパム対策タスクを実行する場合です。

  • 差出人セーフ リスト、ブロックされた送信者リスト、および安全な受信者リスト: 各受信者の Outlook インスタンスで定義されている安全な送信者リスト、ブロックされた送信者リスト、および安全な受信者リストが集計され、AD LDS にレプリケートされます。 これらの設定は、受信者のメールボックスが存在するメールボックス データベースに格納されます。 Outlook ユーザーのセーフ リスト コレクションには、ユーザーの差出人セーフ リスト、宛先セーフ リスト、受信拒否リスト、外部連絡先のデータが集められます。 セーフ リスト コレクションのデータを AD LDS で利用できるようにすると、エッジ トランスポート サーバーは送信者のスクリーニングを適切に実行でき、メールのフィルタリングにかかわる運用面のオーバーヘッドを抑制できます。 この情報はハッシュ データとして送信されます。

    重要

    セーフ宛先データは Outlook に格納されてエッジ トランスポート サーバー上の AD LDS インスタンスのセーフリスト コレクションに集約できます。コンテンツ フィルター機能は、セーフ宛先データに対しては機能しません。

  • 受信者ごとのスパム対策設定: Set-Mailbox コマンドレットを使用して、組織全体のスパム対策設定とは異なる受信者ごとにスパム対策のしきい値設定を割り当てることができます。 受信者ごとのスパム対策設定を構成すると、それらの設定が組織全体の設定より優先されます。 これらの設定を AD LDS にレプリケートすることで、メッセージが Exchange 組織に中継される前に受信者ごとの設定を適用できます。 この情報はハッシュ データとして送信されます。

トポロジ情報

トポロジ情報には、新しく購読されたエッジ トランスポート サーバーの通知や削除されたエッジ サブスクリプションの通知があります。 このデータは 5 分ごとに更新されます。