EdgeSync レプリケーション データEdgeSync replication data

製品: Exchange Server 2013Applies to: Exchange Server 2013

エッジ トランスポート サーバーを展開しても、Active Directory にはアクセスしません。受信者の参照やセーフリスト集約タスクを実行したり、相互認証トランスポート層セキュリティ (MTLS) を使用してドメイン セキュリティを実装したりするには、エッジ トランスポート サーバーで Active Directory のデータが必要になります。このデータは、EdgeSync を使用してエッジ トランスポート サーバーにレプリケートされます。エッジ トランスポート サーバーは、レプリケートされた情報すべてを Active Directory Lightweight Directory Services (AD LDS) に格納します。When you deploy an Edge Transport server, it doesn't have access to Active Directory. To perform recipient lookup and safelist aggregation tasks, and to implement domain security by using Mutual Transport Layer Security (MTLS) authentication, the Edge Transport server needs data from Active Directory. This data is replicated to the Edge Transport server using EdgeSync; the Edge Transport server stores all replicated information in Active Directory Lightweight Directory Services (AD LDS).

このトピックでは、Active Directory サイトにサブスクライブされたエッジ トランスポート サーバーの AD LDS に Active Directory からレプリケートされたデータに焦点を当てます。This topic focuses on data replicated from Active Directory to AD LDS on an Edge Transport server subscribed to an Active Directory site. EdgeSync およびエッジ サブスクリプションの詳細については、「エッジ サブスクリプション」を参照してください。To learn more about EdgeSync and Edge Subscriptions, see Edge Subscriptions.

AD LDS には次の 4 種類のデータがレプリケートされ、エッジ トランスポート サーバーによって使用されます。Four types of data are replicated to AD LDS and used by the Edge Transport server:

Edge Subscription informationEdge Subscription information

Configuration informationConfiguration information

Recipient informationRecipient information

Topology informationTopology information

エッジ サブスクリプション情報Edge Subscription information

Exchange 2013 は、EdgeSync 同期を制御するために必要なデータを表す ms-Exch-ExchangeServer オブジェクトのさまざまな属性を提供するように、Active Directory および AD LDS スキーマを拡張します。Exchange 2013 extends both the Active Directory and AD LDS schemas to provide attributes on the ms-Exch-ExchangeServer object to represent the data needed to control EdgeSync synchronization. これらの属性により、以下の 3 つの機能が EdgeSync に提供されます。These attributes provide three functions to EdgeSync:

  • メールボックス サーバーとサブスクライブ先のエッジ トランスポート サーバー間の LDAP 接続のセキュリティ向上のために使用される資格情報の自動的なプロビジョニングと保守。Automatic provisioning and maintenance of the credentials used to help secure the LDAP connection between a Mailbox server and a subscribed Edge Transport server.

  • 同期のロックとリースのプロセスの仲裁。それにより、ある時点では常に 1 つのサーバーのみが個々のエッジ トランスポート サーバーと同期処理を実行するようになります。ロックとリースの処理の詳細については、「エッジ サブスクリプション」を参照してください。Arbitrating the synchronization lock and lease process, ensuring that only one server at a time will try to synchronize with an individual Edge Transport server. For more information about the lock and lease process, see Edge Subscriptions.

  • 現在の同期ステータスの記録を維持するための EdgeSync 同期の最適化。同期の状態を簡単に表示できると、手動による同期化を行い過ぎないようになります。Optimizing EdgeSync synchronization to maintain a record of current synchronization status. Easily viewing synchronization status helps avoid excessive manual synchronization.

次の表は、エッジ サブスクリプション固有のスキーマ拡張の一覧です。これらの属性に割り当てられた値は、エッジ サブスクリプションと EdgeSync によって維持されます。手動で編集することを意図したものではありません。The schema extensions in the following table are specific to Edge Subscriptions. The values assigned to these attributes are maintained by the Edge Subscription and EdgeSync; they are not intended to be manually edited.

エッジ サブスクリプション スキーマ拡張Edge Subscription schema extensions

属性名Attribute name 説明Description

ms-Exch-Server-EKPK-Public-Keyms-Exch-Server-EKPK-Public-Key

サーバーで使用されている証明書の現在の公開キー。この値は、エッジ トランスポート サーバーとメールボックス サーバーの両方に格納されます。公開キーは、LDAP および SMTP 通信中のサーバー認証に使用される資格情報を暗号化するために使用されます。The current public key for the certificate being used by the server. This value is stored by both Edge Transport servers and Mailbox servers. The public key is used to encrypt credentials used to authenticate the server during LDAP and SMTP communication.

Exch-EdgeSync-資格情報ms-Exch-EdgeSync-Credential

EdgeSync が AD LDS との認証された LDAP セッションを確立するために使用する資格情報のリスト。メールボックス サーバーでは、この属性には、サブスクライブ先のエッジ トランスポート サーバーを認証するためにメールボックス サーバーで使用される資格情報のみが含まれます。エッジ トランスポート サーバーでは、この属性には、EdgeSync 同期に参加するサブスクライブ先の Active Directory サイト内の各メールボックス サーバーの資格情報が含まれます。この属性が存在するのは、EdgeSync 同期が実行されているメールボックス サーバーと、サブスクライブ先のエッジ トランスポート サーバーのみです。The list of credentials EdgeSync uses to establish an authenticated LDAP session with AD LDS. On Mailbox servers, this attribute contains only credentials the Mailbox server uses to authenticate the subscribed Edge Transport servers. On Edge Transport servers, this attribute contains the credentials of each Mailbox server in the subscribed Active Directory site that participates in EdgeSync synchronization. This attribute is only present on Mailbox servers running EdgeSync synchronization and on subscribed Edge Transport servers.

ms-Exch-Edge-Sync-Leasems-Exch-Edge-Sync-Lease

複数のメールボックス サーバーが同じエッジ トランスポート サーバーへのレプリケートを試みる場合に、メールボックス サーバー間の仲裁をするために使用されます。Used to arbitrate between Mailbox servers when more than one Mailbox server tries to replicate to the same Edge Transport server.

ms-Exch-Edge-Sync-Statusms-Exch-Edge-Sync-Status

エッジ トランスポート サーバー オブジェクト上の AD LDS にのみ存在します。この属性は AD LDS インスタンスへのレプリケーションのステータスを追跡し、レプリケーションに関する情報を含んでいます。Only present in AD LDS on the Edge Transport server object. This attribute tracks the status of replication to an AD LDS instance and includes information about replication.

構成情報Configuration information

エッジ トランスポート サーバーを組織にサブスクライブする場合、エッジ トランスポート サーバーと Exchange 組織に共通の構成オブジェクトを、組織内から管理することができます。次に、それらの変更内容が、EdgeSync を使ってエッジ トランスポート サーバーにレプリケートされます。この処理により、メッセージ プロセッシングにかかわるすべてのサーバーで一貫した構成を維持できます。When you subscribe an Edge Transport server to an organization, you can manage the configuration objects common to the Edge Transport server and the Exchange organization from inside the organization. These changes are then replicated to the Edge Transport server using EdgeSync. This process helps maintain a consistent configuration across all servers involved in message processing.

また、Exchange 組織の構成データのサブセットもエッジ トランスポート サーバーで維持する必要があります。A subset of the configuration data for the Exchange organization must also be maintained on the Edge Transport server. EdgeSync 同期中に、エッジ トランスポート サーバーで必要な構成データが AD LDS の構成パーティションに書き込まれます。During EdgeSync synchronization, the configuration data the Edge Transport server needs is written to the configuration partition of AD LDS. AD LDS に書き込まれる構成データには、次のものが含まれます。The configuration data written to AD LDS includes:

  • メールボックスサーバー: サブスクライブ先の Active Directory サイト内の各メールボックスサーバーの完全修飾ドメイン名 (FQDN) は、エッジトランスポートサーバー上のローカルの AD LDS ストアで利用可能になります。Mailbox servers: The fully qualified domain name (FQDN) of each Mailbox server in the subscribed Active Directory site is made available to the local AD LDS store on the Edge Transport server. この情報は、受信送信コネクタのスマート ホスト サーバーのリストを生成するために使用されます。This information is used to derive a list of smart host servers for the inbound Send connector.

  • 承認済みドメイン: Exchange 組織に対して構成されている、すべての権限のある内部の中継ドメインと外部の中継ドメインが AD LDS に書き込まれます。Accepted domains: All authoritative, internal relay, and external relay domains configured for the Exchange organization are written to AD LDS. エッジ トランスポート サーバーで承認済みドメインを利用できるようにすると、Exchange 組織でドメインのフィルターを実行し、組織に対する無効な SMTP トラフィックを早期に拒否できます。Having the accepted domains available to the Edge Transport server enables the Exchange organization to perform domain filtering and reject invalid SMTP traffic into their organization as early as possible. 承認済みドメインの詳細については、「承認済みドメイン」を参照してください。For more information about accepted domains, see Accepted domains.

  • メッセージ分類: メッセージ分類がエッジトランスポートサーバーで利用可能な場合、トランスポートエージェントとコンテンツ変換は境界ネットワークのメッセージ分類に対して機能します。Message classifications: If message classifications are available on the Edge Transport server, transport agents and content conversion can act on message classifications in the perimeter network. たとえば、添付ファイル フィルター エージェントが添付ファイルを削除した場合は「添付ファイル削除済み」という分類が適用され、Microsoft Outlook のユーザーまたは Outlook Web App ユーザーに対して、受信者にその旨を通知する通知テキストが送信されます。For example, the Attachment Filter agent can apply the Attachment Removed classification when it removes an attachment, sending informational text to a Microsoft Outlook user or an Outlook Web App user to tell the recipient what happened. サード パーティのアプリケーションで使用するために開発されたエージェントでも、同様の方法でメッセージ分類を使用できます。Agents developed for use by third-party applications can use message classifications in a similar manner.

  • リモートドメイン: Exchange 組織用に構成されているすべてのリモートドメインエントリが AD LDS に書き込まれます。Remote domains: All remote domain entries configured for the Exchange organization are written to AD LDS. リモート ドメイン エントリによって、リモート ドメインの不在メッセージ設定やメッセージ形式設定が制御されます。Remote domain entries control out-of-office message settings and message format settings for a remote domain. リモート ドメインの詳細については、「リモート ドメイン」を参照してください。For more information about remote domains, see Remote domains.

  • 送信コネクタ: 既定では、エッジサブスクリプションを作成すると、エッジトランスポートサーバーのサブスクライブ時に、Exchange 組織とインターネット間のエンドツーエンドのメールフローを有効にするために必要な送信コネクタが自動的に作成されます。Send connectors: By default, creating an Edge Subscription automatically creates the Send connectors required to enable end-to-end mail flow between the Exchange organization and the Internet at the time the Edge Transport Server is subscribed. エッジ トランスポート サーバーの既存の送信コネクタは削除されます。Any existing Send connectors on the Edge Transport server are deleted. 追加の送信コネクタを構成する場合は、Exchange 組織の内部に送信コネクタを構成し、エッジ サブスクリプションをコネクタの送信元サーバーとして選択します。If you want to configure additional Send connectors, configure the Send connector inside the Exchange organization and then select the Edge Subscription as the source server for the connector. 詳細については、「 エッジ サブスクリプション」を参照してください。For more information, see Edge Subscriptions.

  • 内部 SMTP サーバー: internalsmtpservers属性の値は、Exchange 組織とローカルエッジトランスポートサーバーの両方のtransportconfigオブジェクトに格納されます。Internal SMTP servers: The value for the InternalSMTPServers attribute is stored on the TransportConfig object for both the Exchange organization and the local Edge Transport server. EdgeSync 同期中、ローカル エッジ トランスポート サーバーのオブジェクトに格納された値は、Exchange 組織のこのオブジェクトに格納された値で上書きされます。During EdgeSync synchronization, the value stored on the local Edge Transport server object is overwritten with the value stored on this object for the Exchange organization. この属性には、Sender ID および接続フィルターによって無視される必要のある、内部 SMTP サーバーの IP アドレスまたは IP アドレスの範囲の一覧を指定します。This attribute specifies a list of internal SMTP server IP addresses or IP address ranges that should be ignored by Sender ID and connection filtering.

  • ドメインセキュリティで保護されたリスト: TLSReceiveDomainSecureListTlssenddomainsecurelist属性は、Exchange 組織とローカルエッジトランスポートサーバーの両方の、 transportconfigオブジェクトに格納されます。Domain Secure lists: The TLSReceiveDomainSecureList and the TLSSendDomainSecureList attributes are stored on the TransportConfig object for both the Exchange organization and the local Edge Transport server. EdgeSync 同期中、ローカル エッジ トランスポート サーバーのオブジェクトに格納された値は、Exchange 組織のこのオブジェクトに格納された値で上書きされます。During EdgeSync synchronization, the value stored on the local Edge Transport server object is overwritten with the value stored on this object for the Exchange organization. これらの属性は、相互 TLS 認証用に構成されているリモート ドメインのリストを指定します。These attributes specify the list of remote domains configured for mutual TLS authentication.

受信者情報Recipient information

AD LDS にレプリケートされる受信者情報には、受信者属性のサブセットのみが含まれています。エッジ トランスポートで一定のスパム対策タスクを実行するために必要なデータのみレプリケートされます。AD LDS にレプリケートされる受信者情報には、以下のものが含まれます。Recipient information replicated to AD LDS includes only a subset of recipient attributes. Only data required by the Edge Transport to perform certain antispam tasks is replicated. Recipient information replicated to AD LDS includes:

  • 受信者: Exchange 組織内の受信者の一覧は、AD LDS にレプリケートされます。Recipients: The list of recipients in the Exchange organization is replicated to AD LDS. 各受信者は、割り当てられた Active Directory GUID によって識別されます。Each recipient is identified by assigned Active Directory GUID. 受信者のアカウントを構成して組織外からのメール受信を拒否する場合、その受信者は AD LDS にはレプリケートされません。If you configure a recipient's account to deny receipt of mail from outside the organization, that recipient isn't replicated to AD LDS. 受信者のメールボックスを無効にするか削除すると、それ以降、そのメールボックスは AD LDS にレプリケートされなくなります。If you disable or delete a recipient's mailbox, that mailbox is no longer replicated to AD LDS.

  • プロキシアドレス: 各受信者に割り当てられたすべてのプロキシアドレスは、ハッシュデータとして AD LDS にレプリケートされます。Proxy addresses: All proxy addresses assigned to each recipient are replicated to AD LDS as hashed data. これは、セキュア ハッシュ アルゴリズム (SHA) 256 を使用する一方向のハッシュです。This is a one-way hash using Secure Hash Algorithm (SHA)-256. SHA-256 によって、元のデータの 256 ビット メッセージ ダイジェストが生成されます。SHA-256 generates a 256-bit message digest of the original data. プロキシ アドレスをハッシュ データとして格納することで、エッジ トランスポート サーバーまたは AD LDS が危険にさらされた場合にも、情報を保護できます。Storing proxy addresses as hashed data helps secure this information in case the Edge Transport server or AD LDS is compromised. プロキシ アドレスが参照されるのは、エッジ トランスポート サーバーが受信者参照のスパム対策タスクを実行する場合です。Proxy addresses are referenced when the Edge Transport server performs the recipient lookup antispam task.

  • 差出人セーフリスト、受信拒否リスト、および宛先セーフリスト: 各受信者の Outlook インスタンスで定義されている差出人セーフリスト、受信拒否リスト、および宛先セーフリストを、AD LDS に集約してレプリケートします。Safe Senders List, Blocked Senders List, and Safe Recipients List: Safe Senders Lists, Blocked Senders Lists and Safe Recipients Lists defined in each recipient's Outlook instance are aggregated and replicated to AD LDS. これらの設定は、受信者のメールボックスが存在するメールボックス データベースに格納されます。These settings are stored in the mailbox database where the recipient's mailbox resides. Outlook ユーザーのセーフ リスト コレクションには、ユーザーの差出人セーフ リスト、宛先セーフ リスト、受信拒否リスト、外部連絡先のデータが集められます。An Outlook user's safelist collection is the combined data from the user's Safe Senders List, Safe Recipients List, Blocked Senders List, and external contacts. セーフ リスト コレクションのデータを AD LDS で利用できるようにすると、エッジ トランスポート サーバーは送信者のスクリーニングを適切に実行でき、メールのフィルタリングにかかわる運用面のオーバーヘッドを抑制できます。Having safelist collection data available in AD LDS enables the Edge Transport server to screen senders appropriately, reducing operational overhead for filtering mail. この情報はハッシュ データとして送信されます。This information is sent as hashed data.

    重要

    Safe recipient データは Outlook に格納され、エッジトランスポートサーバー上の AD LDS インスタンスのセーフリストコレクションに集約できますが、コンテンツフィルター機能は、安全な受信者データに対しては機能しません。Although the safe recipient data is stored in Outlook and can be aggregated into the safelist collection on the AD LDS instance on the Edge Transport server, the content filtering functionality doesn't act on safe recipient data.

  • 受信者ごとのスパム対策設定:メールボックスの設定コマンドレットを使用して、組織全体のスパム対策の設定とは異なる、受信者ごとのスパム対策しきい値の設定を割り当てることができます。Per recipient anti spam settings: You can use the Set-Mailbox cmdlet to assign anti spam threshold settings per recipient that differ from the organization-wide anti spam settings. 受信者ごとのスパム対策設定を構成すると、それらの設定が組織全体の設定より優先されます。If you configure per recipient anti spam settings, these settings override organization-wide settings. これらの設定を AD LDS にレプリケートすることで、メッセージが Exchange 組織に中継される前に受信者ごとの設定を適用できます。By replicating these settings to AD LDS, the per recipient settings can be considered before the message is relayed to the Exchange organization. この情報はハッシュ データとして送信されます。This information is sent as hashed data.

トポロジ情報Topology information

トポロジ情報には、新しく購読されたエッジ トランスポート サーバーの通知や削除されたエッジ サブスクリプションの通知があります。このデータは 5 分ごとに更新されます。The topology information includes notification of newly subscribed Edge Transport servers or removed Edge Subscriptions. This data is refreshed every five minutes.