複数のフォレスト環境での Exchange Server 5.5 からのアップグレード

公開日: 2005年8月1日

Craig Russell、Microsoft シニア テクノロジ スペシャリスト

トピック

はじめに
課題
Active Directory と Exchange Server 2003
Active Directory フォレストのオプション
詳細情報

はじめに

組織内で Microsoft® Exchange Server Version 5.5 および Microsoft Windows NT® Server Version 4.0 ドメインを使用する組織は、これらのシステムを Exchange Server 2003 および Active Directory® ディレクトリ サービスにアップグレードするにあたって課題に直面しています。特にこの課題に直面しているお客様の例としては、州政府と地方自治体の 2 つが挙げられます。これらの組織の多くは、組織内の各部署にそれぞれ独自の CIO、IT スタッフ、予算、および意思決定機関が存在する分散された環境で運用されています。これらの部署は、ユーザー認証、ファイルや印刷へのアクセス、および電子メール認証に独自の Windows NT 4.0 ドメインを保持している場合があります。Windows NT 4.0 と Exchange Server 5.5 の環境では、複数の部署が単一の Exchange 5.5 組織に属しますが、それでもそれぞれ自立した形で動作し、電子メールへのシングル サインオン、単一の組織全体のグローバル アドレス一覧 (GAL) など、単一の Exchange 組織を持つことによるメリットを享受することができます。

Active Directory は、Microsoft Windows Server™ 2003 ネットワークでネットワーク認証および承認のための基盤を提供し、集中管理または委任管理モデルでデスクトップ コンピュータとサーバー コンピュータを管理する手段も提供します。また、Active Directory は、Exchange Server 2003 などのディレクトリが有効なアプリケーションへのインターフェイスも提供します。この文書では、組織を構成するすべての部署のニーズを満たす Active Directory および Exchange Server 2003 アーキテクチャを設計する際に一部の組織が直面する課題について説明します。

ページのトップへ ページのトップへ

課題

これらの組織内の各部署が Active Directory と Exchange 2003 への移行を開始するとき、組織全体に対して 1 つの Exchange 電子メール システムを持つことによる利点を維持しながら、必要な部署別の自立性を維持するという課題が提起されます。単一の Active Directory フォレストと単一の Exchange Server 2003 組織へのアップグレードをすべての部署に対して説得する IT 管理部門が存在する組織もあれば、このような管理部門がなく、すべての部署が 1 つの共通する Active Directory フォレストへ移行することを命令できない組織もあります。

そこで、これらの部署が Windows NT 4.0 ドメインを独自の Active Directory フォレストに移行し、電子メール インフラストラクチャを Exchange Server 2003 にアップグレードするにはどうすればよいのか、という疑問が発生します。

Exchange Server 5.5 は、ユーザー メールボックスへの認証に対して Windows NT 4.0 を使用します。また、Exchange Server 5.5 は、メール ルーティングおよび Microsoft Outlook® ユーザーが使用する GAL に対して独自のディレクトリを保持します。一方、Exchange Server 2003 は、メールボックスへのユーザー認証、およびメール ルーティングと GAL に使用されるディレクトリへのユーザー認証に対して Active Directory を使用します。これらの違いは、Exchange Server 5.5 と Exchange Server 2003 のアーキテクチャ上の大きな相違点を示しています。

単一の Active Directory フォレストを展開する際に直面する課題には、次のようなものがあります。

  • 財政的支援のレベルが異なる、複数の自立した部署。

  • さまざまなセキュリティ要件。

  • 個別の物理的な場所。他の部署への接続がセキュリティで保護されている場合もあれば、保護されていない場合もあります。

  • すべての部署が標準のネットワーク オペレーティング システムを使用することを命令し、エンタープライズ全体でそのネットワーク オペレーティング システムを展開するための集中管理機関の不在。

多くの場合、これらの課題はアーキテクチャによって、またはさまざまなテクノロジを適用することによって克服できますが、場合によっては、組織のすべての部署のニーズに対応する単一の Active Directory フォレストを設計することが政策上不可能なことがあります。

ページのトップへ ページのトップへ

Active Directory と Exchange Server 2003

Active Directory は、ネットワーク上のオブジェクトに関する情報を格納します。Active Directory は、フォレスト (Active Directory の最上位コンテナ)、ドメイン、組織単位、コンテナ、およびオブジェクトから構成されます。ユーザー、連絡先、グループ、コンピュータ、プリンタなど、Active Directory ではさまざまなクラスのオブジェクトを表すことができます。Active Directory スキーマは、既存のオブジェクト クラスへ属性を追加したり、新しいオブジェクト クラスを作成するように拡張することができます。

Exchange Server 2003 は、Active Directory フォレストごとに 1 組織に制限されます。反対に、Active Directory フォレストには Exchange Server 2003 組織を 1 つだけ含めることができます。Exchange Server のコラボレーション機能は、単一の Exchange 組織内で最適に動作するように設計されています。この文書では、複数のフォレストを含む Active Directory 環境で動作するように Exchange Server 2003 を構成するための複数の方法について説明します。

Active Directory と Exchange Server は、単一の Active Directory フォレストと Exchange 組織でほとんどの組織のニーズに対応することができるという概念に基づいて設計されました。規模の点では、単一の Active Directory フォレストと Exchange 組織は数百万のユーザーをホストできます。ただし、実際には、一部の組織では、単一の Active Directory フォレストと Exchange 組織を展開して組織全体を構成するすべての部署のニーズに対応することができません。このため、Windows Server 2003 および Exchange Server 2003 がリリースされたとき、Windows Server 2003 には機能が追加され、組織全体に対して複数のフォレストを含む Exchange Server の実装を可能にするためのツールが提供されました。このようなツールの 1 つに、Microsoft Identity Integration Server 2003 (MIIS 2003) Feature Pack 1a があります。Identity Integration Feature Pack 1a の詳細については、Identity Integration Feature Pack 1a for Microsoft Windows Server Active Directory をダウンロードしてください。

ページのトップへ ページのトップへ

Active Directory フォレストのオプション

組織にとって最適に動作する Active Directory フォレスト アーキテクチャを決定する際は、以下の点を考慮してください。

組織全体に対する単一の Active Directory フォレスト

  • ソリューションのコストは最小となります。

  • このモデルですべての部署のセキュリティ要件を満たすことは困難な場合があります。

  • Microsoft Exchange Server 2003 にとって最適なオプションです。

  • 政策上不可能な場合があります。

複数の Active Directory フォレスト

  • 単一の Active Directory フォレストより高いレベルの自立性と柔軟性を提供します。

  • 電子メールなどの組織全体で使用するアプリケーションの保有コストが高くなります。

  • 組織全体に適用されるポリシー (メールボックス サイズ、ホーム ページ、セキュリティ設定など) の実装がより困難になります。

このような組織のすべての部署が独自の Active Directory フォレストを展開することを Microsoft は推奨していないことを指摘することが重要です。目標は、フォレストの数を削減し、固有のニーズにより独自のフォレストを持つことが必要な部署に対してのみ追加のフォレストを展開することです。

Microsoft は、このような組織では、独自の Active Directory を管理することを希望しないすべての部署、または独自の Active Directory フォレストの保持が必要になる固有の要件を持たないすべての部署に、単一の Active Directory フォレストを展開することを推奨しています。固有の要件を持ち、独自の Active Directory フォレストを保持するためのサポート スタッフを用意できる部署は、独自の Active Directory フォレストの保持を検討することができますが、組織全体に適用される Active Directory 標準に準拠する方法で実装する必要があります。これらの標準に準拠することで、個別の Active Directory フォレストは、特に Exchange に関連する場合に、連携して動作することができます。

多くの組織は単一の Active Directory フォレストを展開できるため、Exchange 2000 Server と Exchange Server 2003 はいずれも単一フォレスト Active Directory 環境へ実装されるように設計されました。ただし、場合によっては、エンタープライズ全体に対して単一の Active Directory フォレストを実装できないことがあります。しかしながら、複数のフォレスト環境においても、お客様は通常、すべての Outlook ユーザーが単一の組織全体の GAL を使用できることを希望します。また、ユーザーが Exchange を使用して部署の境界を越えてコラボレーションできることを希望します。

2 つの Active Directory/Exchange アーキテクチャによって、Active Directory の複数のフォレスト実装に対応することができます。

  • オプション 1 各 Active Directory フォレストに Exchange Server 2003 を実装する
    このオプションでは、各部署別の Active Directory フォレストには独自の Exchange 組織が含まれます。次に、メタディレクトリ アプリケーションを使用して、これらの Exchange Server 2003 およびActive Directory のインスタンス間で共通の GAL を実装することができます。Microsoft は、メタディレクトリ ソフトウェアを Identity Integration Feature Pack 1a for Microsoft Windows Server Active Directory の一部として提供します。この機能パックは、各 Exchange 組織に含まれている個別の GAL を “結合” して Outlook ですべてのユーザーが使用できる組織全体の GAL を作成するメタディレクトリ機能を提供します。

    フォレストの境界を越えて動作しない Exchange 機能 (メールボックスの委任など) もあれば、フォレストの境界を越えて機能するためには同期ツール (MIIS 2003 for GAL 同期、空き時間用の InterOrg コネクタ、パブリック フォルダ) を必要とする機能もあります。

    図 1 は、各 Active Directory フォレストでの Exchange Server 2003 の実装を示しています。各部署別の Active Directory フォレストには、部署別の Exchange 組織も含まれます。MIIS 2003 は、GAL 同期機能を使用して、すべての Exchange 組織で使用される共通の GAL を作成します。各ユーザーは、Outlook で GAL 内のすべての組織ユーザーを参照できます。この設計は、GAL 内のすべてのユーザーの参照が必要であることを想定しています。必要に応じて、ある部署のユーザーを別の部署のユーザーから隠すことも可能です。アドレス一覧へのアクセスを制限する方法の詳細については、マイクロソフト サポート技術情報の文書番号 319213「[How To] Exchange 2003 でアドレス一覧を使用して受信者を分類する方法」を参照してください。

    オプション 1、各 Active Directory での Exchange Server 2003 の実装

    オプション 1、各 Active Directory での Exchange Server 2003 の実装

  • オプション 2 Exchange リソース フォレスト モデルを実装する
    このオプションは、組織全体に対して専用の Exchange フォレストを使用します。フォレスト設計モデルの詳細については、「Forest Design Models」(英語) を参照してください。

    このシナリオでは、部署は独自の Active Directory フォレストを保持しますが、独自の Exchange 組織を管理しません。これらのフォレストは、特定の部署のユーザーとリソースをホストします。中央の IT 部署は、組織内に専用の Exchange (リソース) Active Directory フォレストを展開します。このフォレストは Exchange Server 2003 をホストする唯一の Active Directory フォレストであるため、このモデルでは組織のメール システム全体が 1つの Exchange 組織内に存在します。したがって、すべての Exchange オブジェクトが単一フォレスト内に含まれているため、Exchange 機能をフォレストの境界を越えて動作させるという課題がなくなります。このシナリオでは、部署は独自の Active Directory フォレストでユーザー アカウントを保持するため、Microsoft Identity Integration Server 2003 などの準備アプリケーションは、オプション 1 で提供するメタディレクトリ機能とは異なる機能を提供します。オプション 2 では、MIIS 2003 は、専用の Exchange フォレストで “シャドウ” アカウントの準備を処理します。Exchange Server はすべてのユーザーのメール ルーティング情報を必要とするため、部署別の Active Directory フォレストの各ユーザーは Exchange 専用フォレスト内に対応する “シャドウ” アカウントを持ちます。MIIS 2003 は、部門別の Active Directory フォレストを監視し、対応するユーザー アカウントを専用の Exchange フォレストに準備します。リソース フォレストは、組織全体の GAL をすべての Outlook または Outlook Web Access ユーザーに提供し、ディレクトリを電子メール ルーティング用に Exchange Server に提供します。

    図 2 は、Exchange リソース フォレスト モデルの実装を示しています。このケースでは、部署別の Active Directory フォレストには Exchange Server はインストールされません。代わりに、専用の Exchange フォレスト (リソース フォレスト) がすべての部署によって共有できるように展開されます。Exchange フォレストは、部署別のユーザー フォレストとの間で信頼関係を持ちます。このシナリオでは、GAL 同期を行う代わりに、MIIS 2003 は、ユーザー アカウントが部署別のフォレストで作成または削除されるときに Exchange Server でシャドウ アカウントの準備または準備解除を行います。すべての Exchange Server ユーザーが同じ Exchange 組織でホストされるため、Exchange のコラボレーション機能は適切に動作します。GAL は 1 つしかないため、GAL の同期は必要ありません。パブリック フォルダまたは空き時間情報を共有するための同期ツールは必要ありません。オプション 1 と同様、すべてのメール ユーザーは Outlook で組織全体の GAL を参照することができます (必要な場合)。ここでも、必要に応じて、ある部署のアドレスを別の部署から隠すことができます。

    図 2 オプション 2、Exchange リソース フォレスト モデルの実装

    図 2 オプション 2、Exchange リソース フォレスト モデルの実装

この文書では、複数のフォレスト環境で Active Directory と Exchange を展開する際に組織が直面する可能性がある課題のいくつかを紹介しました。また、組織が複数のフォレスト環境で Exchange Server 2003 を実装する際に使用できる 2 つの方法について説明しました。

ページのトップへ ページのトップへ

詳細情報

詳細については、以下のドキュメントを参照してください。

ページのトップへ ページのトップへ