ISA Server 2004 での Outlook Web Access サーバーの公開

Microsoft Internet Security and Acceleration Server 2004

公開日: 2004年9月13日

トピック

 概要
 シナリオ
 ソリューション
 参照情報

概要

Microsoft® Internet Security and Acceleration (ISA) Server 2004 と Microsoft Outlook® Web Access は、連携して動作し、電子メール メッセージのセキュリティを強化します。このドキュメントでは、メール サーバー公開ルールを使用して Outlook Web Access サーバーを安全に公開する方法について説明します。また、概念および Outlook Web Access に関するソリューションを構成する手順も説明します。

Outlook Web Access と ISA Server

Outlook Web Access を使用すると、Web ブラウザで電子メール、スケジュール (グループ スケジュールを含む)、連絡先、Microsoft Exchange Storage System のフォルダに保存された共通の情報にアクセスできます。Outlook Web Access は、リモート ユーザー、ホーム ユーザー、移動中のユーザーによって使用されます。

ISA Server を使用して Outlook Web Access サーバーを公開した場合、ユーザーはこの Outlook Web Access サーバーの名前や IP アドレスにアクセスできないため、Outlook Web Access サーバー自体は直接的な外部アクセスから保護されます。ユーザーが ISA Server コンピュータにアクセスすると、この ISA Server コンピュータにより、メール サーバー公開ルールの条件に従って、要求が Outlook Web Access サーバーに転送されます。

さらに、Outlook Web Access 経由でのアクセスから企業リソースを保護するために、ISA Server では、フォームベース認証を簡単に構成したり、電子メールの添付ファイルを許可するかどうかを制御することができます。

ISA Server の Outlook Web Access 公開機能では、Outlook Mobile Access と Exchange ActiveSync も公開できます。モバイル デバイスから Outlook にアクセスするには、Outlook Mobile Access を使用します。また、Exchange ActiveSync を使用すると、高いレベルのセキュリティを保ちながら、Pocket PC などの Microsoft Windows® Mobile ベースのデバイスから Exchange のメールボックスに、直接同期することが可能になります。

フォームベース認証

フォームベース認証は ASP.NET ベースの認証の一種です。この認証では、認証されていないユーザーに対して HTML フォームが表示されます。ユーザーが資格情報を入力すると、システムはチケットを含む Cookie を発行します。その後、要求が送信されると、システムはまず Cookie をチェックして、このユーザーが既に認証されているかどうかを確認します。したがって、ユーザーは資格情報を再び入力する必要はありません。

最も重要な点は、資格情報がクライアント コンピュータにキャッシュされないことです。これは、ユーザーがパブリック コンピュータから Outlook Web Access サーバーに接続しており、そのパブリック コンピュータにユーザー資格情報をキャッシュしたくない場合に特に重要です。ユーザーは、ブラウザを終了したり、セッションからログオフしたり、別の Web サイトに移動したりすると、再認証を求められます。また、ユーザーが長時間にわたって操作を行わなかった場合に再認証が要求されるよう、最大アイドル セッション タイムアウトを構成することもできます。

フォームベース認証を使用する場合は、サイトのすべての通信に HTTPS を使用し、ハッカーがユーザーの Cookie を盗用できないようにすることをお勧めします。一般的に、Outlook Web Access サーバーの公開には、HTTPS をお勧めします。

フォームベース認証の構成手順については、このドキュメントの「リスナを使用して Outlook Web Access をセキュリティで保護する」を参照してください。

注
ISA Server は、Exchange Server 2003、Exchange 2000 Server、および Exchange Server 5.5 のフォームベース認証をサポートしています。
Outlook Web Access には、ユーザーが各自のパスワードを変更できるオプション機能があります。Outlook Web Access セッション中にユーザーがパスワードを変更すると、ユーザーが最初にログオンした後で書き込まれた Cookie は有効でなくなります。ISA Server にフォームベース認証が構成されている場合は、Outlook Web Access セッション中にパスワードを変更したユーザーがその後要求を送信すると、ログオン ページが表示されます。

添付ファイルを許可するかどうかを制御する

Outlook Web Access はパブリック コンピュータから使用されることが多いため、添付ファイルの表示と保存に関するユーザー機能を制御して、企業の機密情報がパブリック コンピュータにキャッシュされたり保存されたりしないようにできます。ISA Server には、パブリック (共有) コンピュータのユーザーやプライベート コンピュータのユーザー、あるいは両方のユーザーに対して電子メールの添付ファイルをブロックする機構が用意されています。これにより、添付ファイルがあることがわかっていても、ユーザーは添付ファイルを開いたり保存したりできなくなります。電子メールの添付ファイルをブロックする手順については、このドキュメントの「リスナを使用して Outlook Web Access をセキュリティで保護する」を参照してください。

添付ファイルをブロックしない場合でも、Windows Media® ファイルや Excel スプレッドシートなどの一部の添付ファイルは、Outlook Web Access サーバーにリモートで接続しているクライアントから直接開くことはできません。このようなファイルを開こうとすると、ファイルに関連するアプリケーションでエラーが発生します。このようなファイルは、ローカルで保存してから、開く必要があります。ユーザーに強制的に添付ファイルを保存させるように Exchange Server 2003 または Exchange 2000 Server を構成すると、この問題を回避できます。この機能は、Exchange Server 5.5 では使用できません。添付ファイルの保存を強制するように Exchange を構成する手順については、このドキュメントの「Exchange で添付ファイルの保存を強制する」を参照してください。

注
Exchange 2003 では、添付ファイルのブロック機能が無効でも、一部の種類のファイルをブロックできます。

 ページのトップへ

シナリオ

Internet Security and Acceleration (ISA) Server 2004 を使用して、Outlook Web Access サーバーを公開し、ユーザーがホーム コンピュータやインターネット キオスクから自分の電子メール メッセージにアクセスできるようにします。Outlook Web Access サーバーへの接続はセキュリティで保護され、資格情報や機密情報がクライアント コンピュータに保存されないようにします。

 ページのトップへ

ソリューション

ここで説明するソリューションは、メール サーバー公開ルールを使用して Internet Security and Acceleration (ISA) Server 2004 経由で Outlook Web Access サーバーを公開する方法です。外部クライアントから ISA Server コンピュータへの通信と、ISA Server コンピュータから Outlook Web Access サーバーへの通信は、SSL (Secure Socket Layer) を使用して暗号化されます。Outlook Web Access 要求をリッスンする Web リスナでフォームベース認証が有効になり、添付ファイルを許可するかどうかを制御できるようになります。

ISA Server での Outlook Web Access サーバーの公開は、次の手順で行います。

1. Outlook Web Access サーバーをセットアップします。

2. Outlook Web Access の安全な公開に必要なデジタル証明書をインストールします。

3. Outlook Web Access サーバーの公開に使用するメール サーバー公開ルールを作成します。

4. キャッシュを構成します。

   注
   推奨される ISA Server のフォームベース認証を使用すると、Outlook Web Access サーバーからはオブジェクトがキャッシュされません。Outlook Web Access で処理されるイメージのキャッシュを可能にするキャッシュ ルールを作成すると、ISA Server のキャッシュ機能を利用することができます。他のオブジェクトのキャッシュは有効にしないでください。有効にすると、突然ユーザーがログオフされる可能性があります。
   ISA Server のフォームベース認証を使用しない場合、ISA Server のキャッシュ機能が有効になっていると、Outlook Web Access オブジェクトがすべてキャッシュされます。これにより、突然ユーザーがログオフされる可能性があります。この問題を回避するには、イメージ以外の Outlook Web Access オブジェクトのキャッシュを禁止するキャッシュ ルールを作成する必要があります。

5. フォームベース認証、パブリック (共有) コンピュータやプライベート コンピュータでの添付ファイルのブロックなど、Outlook Web Access のオプションを設定します。

   注
   HTTPS プロトコルに対してサーバー公開ルールを使用して、Outlook Web Access サーバーを公開することもできます。この方法では、Outlook Web Access に必要な特定の Exchange フォルダだけでなく、サーバー全体を公開する必要があるため、ISA Server の Outlook Web Access 公開のソリューションとしてはお勧めできません。また、サーバー公開ルールでは、メール サーバー公開ルールとは異なり、ユーザーの認証要件を制御できません。メール サーバー公開ルールを使用して Outlook Web Access サーバーを公開すると、HTTP フィルタで提供される強化されたセキュリティを利用することもできます。

   サーバー公開ルールまたは HTTP フィルタについては、ISA Server 2004 の製品ヘルプを参照してください。

ネットワーク トポロジ

このソリューションを展開するには、次の 3 台のコンピュータが必要です。

• 内部ネットワークで Outlook Web Access サーバーとして動作するコンピュータ。Outlook Web Access サーバーでは、Microsoft Windows Server™ 2003 または Windows® 2000 Server Service Pack 3 を実行する必要があります。

• ISA Server 2004 コンピュータ。

• 外部ネットワークのコンピュータ。このソリューションのテストに使用します。

「Outlook Web Access サーバーの公開」ウォークスルー

このウォークスルーでは、次の手順について説明します。

• 現在の構成をバックアップする

• Outlook Web Access サーバーを構成する

• ISA Server コンピュータを構成する

• リスナを使用して Outlook Web Access をセキュリティで保護する

• Exchange で添付ファイルを保存する

• 展開をテストする

• ISA Server のログに Outlook Web Access のセッション情報を表示する

「Outlook Web Access サーバーの公開」ウォークスルー手順 1 : 現在の構成をバックアップする

変更を行う前に、構成をバックアップすることをお勧めします。変更結果が期待したように動作しない場合は、以前のバックアップ構成に戻すことができます。次の手順に従い、ISA Server コンピュータの構成全体をバックアップします。

1. Microsoft ISA Server の管理を展開します。

2. ISA Server コンピュータの名前を右クリックし、[バックアップ] をクリックします。

3. [アレイのバックアップ] に、構成を保存するファイルの場所と名前を指定します。「ExportBackup2June2004」などのように、ファイル名にエクスポートの日付を入れると、識別しやすくなります。

4. [バックアップ] をクリックします。ユーザー パスワードなどの機密情報をエクスポートするので、エクスポート ファイルから構成を復元するのに必要なパスワードを指定するように求められます。

5. エクスポート操作が終了したら、[OK] をクリックします。

   注
   この .xml ファイルはバックアップとして使用されるため、ISA Server コンピュータの致命的な障害に備えて、そのコピーを別のコンピュータに保存するようにしてください。

「Outlook Web Access サーバーの公開」ウォークスルー手順 2 : Outlook Web Access サーバーを構成する

次の手順に従い、Outlook Web Access サーバーを構成します。

Outlook Web Access サーバーにデジタル証明書をインストールする

『ISA Server 2004 のデジタル証明書』 (https://go.microsoft.com/fwlink/?LinkId=20794) の説明に従って、Outlook Web Access サーバーでデジタル証明書を準備し、インストールします。

注
Outlook Web Access の公開では、外部クライアントから ISA Server コンピュータまで、および ISA Server コンピュータから Outlook Web Access サーバーまでの両方の通信に、SSL 暗号化通信 (HTTPS) を使用する構成が推奨されています。これは、認証プロセスで使用される資格情報は保護する必要があり、内部ネットワーク内であっても公開してはならないためです。このため、ISA Server コンピュータと Outlook Web Access サーバーの両方に、デジタル証明書をインストールする必要があります。
ISA Server は、外部クライアントから Outlook Web Access サーバーに HTTP 要求を HTTPS として転送する Outlook Web Access 公開ルールをサポートしていません。
外部クライアントから Outlook Web Access サーバーに HTTPS 要求を HTTP として転送する公開ルールを作成する場合、リンクの変換を有効にしないでください。

SSL で暗号化された基本認証をサポートするように IIS を構成する

1. インターネット サービス マネージャ、または [インターネット インフォメーション サービス (IIS)] スナップインを含むカスタムの Microsoft 管理コンソール (MMC) を開き、サーバー ノード、[既定の Web サイト] ノードの順に展開し、仮想パス /Exchange を選択して、[プロパティ] をクリックします。

2. [ディレクトリ セキュリティ] タブをクリックし、[認証とアクセス制御] で [編集] をクリックします。

3. [認証済みアクセス] で [基本認証] を選択し、ユーザーが認証されるドメインを指定します。[統合 Windows 認証] がオンになっている場合はオフにします。これは基本認証が優先認証スキームであるためです。

4. [OK] をクリックします。ダイアログ ボックスでは、基本認証方法がセキュリティで保護されていないことが示されます。SSL を使用してこの認証プロトコルを暗号化するため、[はい] をクリックして続行します。

5. [OK] をクリックします。既定のサイトにある子ノードに認証設定を適用する方法を指定するよう求めるダイアログ ボックスが表示されることがあります。この場合、[すべて選択]、[OK] の順にクリックします。

6. [セキュリティで保護された通信] で [編集] をクリックし、[セキュリティで保護されたチャネル (SSL) を要求する] チェック ボックスをオンにして、[OK] を 2 回クリックします。

7. 仮想パス /public に対し、手順 3 までの手順を繰り返します。

8. 仮想パス /exchweb に対し、手順 3 までの手順を繰り返します。ただし、[匿名アクセスを有効にする] を選択し、[認証済みアクセス] にあるその他のチェック ボックスをすべてオフにします。

   重要
   Exchange Server 2003 には、フォームベース認証を有効にするオプションがあります。このオプションは ISA Server のメール公開ルールでは機能しないため、このオプションを選択しないでください。フォームベース認証は、ISA Server コンピュータで構成する必要があります。

「Outlook Web Access サーバーの公開」ウォークスルー手順 3 : ISA Server コンピュータを構成する

次の手順に従い、ISA Server コンピュータを構成します。

デジタル証明書をインストールする

『ISA Server 2004 のデジタル証明書』 (https://www.microsoft.com/japan/) の説明に従って、ISA Server コンピュータでデジタル証明書を準備し、インストールします。

注
Outlook Web Access の公開では、外部クライアントから ISA Server コンピュータまで、および ISA Server コンピュータから Outlook Web Access サーバーまでの両方の通信に、SSL 暗号化通信 (HTTPS) を使用する構成が推奨されています。このため、ISA Server コンピュータと Outlook Web Access サーバーの両方に、デジタル証明書をインストールする必要があります。

メール公開ルールを作成する

[新しいメール サーバー公開ルール ウィザード] を使用して、新しいメール公開ルールを作成します。

1. Microsoft ISA Server の管理を展開し、[ファイアウォール ポリシー] をクリックします。

2. ファイアウォール ポリシーの作業ウィンドウの [タスク] タブで、[メール サーバーの公開] を選択して [新しいメール サーバー公開ルール ウィザード] を開始します。

3. ウィザードの開始ページで、ルールの名前を指定し、[次へ] をクリックします。

4. [アクセスの種類の選択] ページで、[Web クライアント アクセス: Outlook Web Access (OWA)、Outlook Mobile Access、Exchange Server ActiveSync] を選択し、[次へ] をクリックします。

5. [サービスの選択] ページで、[Outlook Web Access] を選択します。[Outlook Mobile Access] と [Exchange ActiveSync] も選択できます。これらのサービスについては、このドキュメントの「Outlook Web Access と ISA Server」を参照してください。

6. [ブリッジ モード] ページで、通信パスのどの部分がデジタル証明書によってセキュリティで保護されるかを選択します。選択した部分では HTTPS プロトコルが使用されます。クライアントから ISA Server コンピュータへの通信や、ISA Server コンピュータから Outlook Web Access サーバーへの通信、あるいはその両方の通信をセキュリティで保護することも、両方ともセキュリティで保護しないことも可能です。既定の [クライアントとメール サーバーの接続をセキュリティで保護する] を選択し、通信パスの両方の部分がデジタル証明書によってセキュリティで保護されるようにすることをお勧めします。この場合、『ISA Server 2004 のデジタル証明書』 (https://go.microsoft.com/fwlink/?LinkId=20794) の説明に従って、Outlook Web Access サーバーと ISA Server コンピュータにデジタル証明書をインストールする必要があります。

7. [Web メール サーバーの指定] ページで、Outlook Web Access サーバーの名前または IP アドレスを入力します。この名前は、Outlook Web Access サーバーのデジタル証明書の名前と一致する必要があります。

8. [パブリック名の詳細] ページで、ISA Server コンピュータにより受信され、Outlook Web Access サーバーに転送される要求に関する情報を入力します。ドメイン名に [任意のドメイン名] を選択した場合、ISA Server コンピュータの外部 Web リスナの IP アドレスに解決される要求はすべて、Outlook Web Access サーバーに転送されます。[次に入力したドメイン名] を選択し、「mail.fabrikam.com」などの特定のドメイン名を入力した場合、ISA Server コンピュータの外部 Web リスナの IP アドレスにドメインが解決されると、https://mail.fabrikam.com に対する要求のみが Outlook Web Access サーバーに転送されます。

9. [Web リスナの選択] ページで、Web サーバーにリダイレクトされる Web ページの要求をリッスンする Web リスナを指定し、[次へ] をクリックします。Web リスナを定義していない場合は、[新規作成] をクリックし、次の手順に従って新しいリスナを作成します。

   • [新しい Web リスナの定義ウィザード] の開始ページで、「内部 Web 公開用の外部ネットワーク上のリスナ」などの新しいリスナ名を入力し、[次へ] をクリックします。

   • [IP アドレス] ページで、Web 要求をリッスンするネットワークを選択します。ISA Server に外部ネットワーク (インターネット) からの要求を受信させる必要があるため、リスナは ISA Server の外部ネットワーク アダプタ上の 1 つまたは複数の IP アドレスであることが必要です。したがって、[外部] を選択して、[次へ] をクリックします。

   • [ポートの指定] ページで、[HTTP を有効にする] をオフにし、[SSL を有効にする] をオンにします。これは、推奨されているように、SSL 要求のみをリッスンするためです。[SSL を有効にする] をオンにして、[SSL ポート] が 443 (既定の設定) に設定されていることを確認し、[証明書] フィールドに証明書名を入力します。SSL の詳細については、『ISA Server 2004 のデジタル証明書』 (https://go.microsoft.com/fwlink/?LinkId=20794) を参照してください。[次へ] をクリックします。

     重要
     セキュリティで保護された Outlook Web Access の公開では、SSL 要求のみをリッスンすることをお勧めします。
     Outlook Web Access の公開には、既定の設定である標準のポート番号のみを使用してください。

   • [新しい Web リスナ ウィザードの完了] ページで設定を確認し、[完了] をクリックします。

10. [Web リスナの選択] ページで、[次へ] をクリックします。

    注
    セキュリティ保護のため、フォームベース認証を使用して、パブリック コンピュータからの添付ファイルへのアクセスを制限することを検討してください。これらの機能は、メール サーバー公開ルールで使用されるリスナの一部ですが、[新しい Web リスナ ウィザード] では構成されません。詳細については、このドキュメントの「リスナを使用して Outlook Web Access をセキュリティで保護する」を参照してください。

11. [ユーザー セット] ページでは、既定の [すべてのユーザー] が表示されています。これにより、外部ネットワークにいる認証されたユーザーは誰でも Outlook Web Access サーバーにアクセスできます。特定のユーザーだけがアクセスできるように制限するには、[削除] ボタンを使用して [すべてのユーザー] を削除し、[追加] ボタンをクリックして [ユーザーの追加] ダイアログ ボックスを開き、ルールの適用対象となるユーザー セットを追加します。[ユーザーの追加] ダイアログ ボックスでは、[新規作成] メニュー項目から [新しいユーザー セット ウィザード] にアクセスすることもできます。ユーザー セットの選択が終わったら、[次へ] をクリックします。

12. [新しいメール サーバー公開ルール ウィザードの完了] ページで、ルールの構成全体をスクロールしながらルールが正しく構成されていることを確認し、[完了] をクリックします。

13. ISA Server の詳細ウィンドウで、[適用] をクリックして変更を適用します。変更が適用されるには、ある程度の時間がかかります。

キャッシュ ルールを作成する

推奨される ISA Server のフォームベース認証を使用すると、Outlook Web Access サーバーからはオブジェクトがキャッシュされません。Outlook Web Access で処理されるイメージのキャッシュを可能にするキャッシュ ルールを作成すると、ISA Server のキャッシュ機能を利用することができます。他のオブジェクトのキャッシュは有効にしないでください。有効にすると、突然ユーザーがログオフされる可能性があります。キャッシュ ルールには、次のプロパティを設定する必要があります。

• [キャッシュ ルールの宛先] : http://<OWA サーバー名>/exchweb/img/* のみが含まれる URL セット。

• [コンテンツの取得] : [有効期限内のオブジェクトがキャッシュにある場合のみ]。

• [コンテンツのキャッシュ] : [ソースと要求ヘッダーに指示してある場合] と [取得時にユーザー認証が必要なコンテンツ]。

• 他のすべてのプロパティは既定の条件のままにします。

ISA Server のフォームベース認証を使用しない場合、ISA Server のキャッシュ機能が有効になっていると、Outlook Web Access オブジェクトがすべてキャッシュされます。これにより、突然ユーザーがログオフされる可能性があります。この問題を回避するには、イメージ以外の Outlook Web Access オブジェクトのキャッシュを禁止するキャッシュ ルールを作成する必要があります。キャッシュ ルールには、次のプロパティを設定する必要があります。

• [キャッシュ ルールの宛先] : http://<OWA サーバー名>/exchweb/* が含まれる URL セット。[新しいキャッシュ ルール ウィザード] でルールを作成したら、このルールのプロパティを開き、[宛先] タブの [例外] に「http://<OWA サーバー名>/exchweb/img/*」を追加します。これにより、img (イメージ) パスのキャッシュが許可されなくなります。

• [コンテンツの取得] : [有効期限内のオブジェクトがキャッシュにある場合のみ]。

• [コンテンツのキャッシュ] : [どのような場合でもキャッシュしない]。

キャッシュ ルールを作成するには

1. Microsoft ISA Server の管理、[構成] の順に展開し、[キャッシュ] をクリックします。

2. 作業ウィンドウの [タスク] タブで、[キャッシュ ルールの作成] を選択して [新しいキャッシュ ルール ウィザード] を開始します。

3. ウィザードの開始ページで、ルールの名前を指定し、[次へ] をクリックします。

4. [キャッシュ ルールの宛先] ページで、[追加] をクリックして [ネットワーク エンティティの追加] ダイアログ ボックスを開き、適切なネットワーク エンティティを選択して、[追加]、[閉じる] の順にクリックします。[アクセス ルールの宛先] ページで、[次へ] をクリックします。

5. [コンテンツの取得] ページで、既定の [有効期限内のオブジェクトがキャッシュにある場合のみ] のままにして、[次へ] をクリックします。

6. [コンテンツのキャッシュ] ページで、前述したオプションを選択します。

7. ウィザードの残りのページでは、既定の選択内容のままにします。キャッシュ ルールのプロパティについては、製品ヘルプを参照してください。ウィザードのサマリー ページの情報を確認し、[完了] をクリックします。

「Outlook Web Access サーバーの公開」ウォークスルー手順 4 : リスナを使用して Outlook Web Access をセキュリティで保護する

Outlook Web Access サーバーの要求をリッスンするリスナ (手順 3 で作成) には、Outlook Web Access サーバーをセキュリティで保護するための次の重要な機能が用意されています。

• フォームベース認証。このドキュメントの「フォームベース認証」を参照してください。

• 添付ファイルを許可するかどうかの制御。このドキュメントの「添付ファイルを許可するかどうかを制御する」を参照してください。

これらの機能は、[新しい Web リスナ ウィザード] では構成できません。[新しい Web リスナ ウィザード] で新しい Web リスナを作成したら、次の手順でリスナを構成して、フォームベース認証の使用を指定し、添付ファイルを許可するかどうかを制御します。

1. ISA Server の管理で、[ファイアウォール ポリシー] ノードを選択します。作業ウィンドウで、[ツールボックス] タブ、[ネットワーク オブジェクト] ヘッダーの順に選択します。

2. [ネットワーク オブジェクト] ヘッダーで、[Web リスナ] を展開します。Outlook Web Access の公開用に作成した Web リスナをダブルクリックして、プロパティを開きます。

3. [基本設定] タブの [許可された認証方法を構成してください] で、[認証] をクリックします。

4. 認証方法の一覧で、オンになっている認証方法があればそれをオフにし (既定は [統合])、[OWA Forms-Based] をオンにします。これにより、Outlook Web Access の Web リスナと、このリスナを使用するメール サーバー公開ルールにフォームベース認証が設定されます。次の手順に従い、アイドル セッション タイムアウトと添付ファイルの制御のオプションを構成します。

5. [OWA フォームベース認証の構成] で、[構成] をクリックして [OWA フォームベース認証] ダイアログ ボックスを開きます。

6. [アイドル セッション タイムアウト] に、クライアントが切断されずにアイドル状態を維持できる最長時間を指定します。通常、[パブリック コンピュータのクライアント] には [プライベート コンピュータのクライアント] よりも短いアイドル時間を構成して、ユーザーがパブリック コンピュータを離れるときにログオフを忘れても、他の誰かが電子メールにアクセスするリスクを軽減できるようにします。これは、すべての Web リスナに対するグローバル設定になります。

7. [電子メールの添付ファイル] では、パブリック コンピュータとプライベート コンピュータに対する電子メールの添付ファイルをブロックするように選択できます。

8. ユーザーが Internet Explorer ウィンドウを閉じたり、ウィンドウを最新の情報に更新したり、他の Web サイトに移動したりする際に自動的にログオフされるようにする場合は、[ユーザーが OWA サイトから移動するときに OWA からログオフする] を選択します。

9. [OK] をクリックして [Web リスナのプロパティ] を閉じます。ファイアウォール ポリシーの詳細ウィンドウで、[適用] をクリックして変更を適用します。

「Outlook Web Access サーバーの公開」ウォークスルー手順 5 : Exchange で添付ファイルの保存を強制する

ユーザーが添付ファイルを開いたり保存したりできないように、Outlook Web Access 経由で受信される添付ファイルを完全にブロックできます。電子メールの添付ファイルをブロックする手順については、このドキュメントの「リスナを使用して Outlook Web Access をセキュリティで保護する」を参照してください。

添付ファイルをブロックしない場合でも、Windows Media ファイルや Excel スプレッドシートなどの一部の添付ファイルは、Outlook Web Access サーバーにリモートで接続しているクライアントから直接開くことはできません。このようなファイルを開こうとすると、ファイルに関連するアプリケーションでエラーが発生します。このようなファイルは、ローカルで保存してから、開く必要があります。ユーザーに強制的に添付ファイルを保存させるように Exchange Server 2003 や Exchange 2000 Server を構成すると、この問題を回避できます。この機能は、Exchange Server 5.5 では使用できません。

ユーザーに強制的に添付ファイルを保存させるには、Exchange Server コンピュータで次のレジストリ キーを構成します。

HKLM¥SYSTEM¥CurrentControlSet¥Services¥MSExchangeWEB¥OWA¥Level2FileTypes

このレジストリ値には、添付ファイルとして危険性のある一連のファイル拡張子が指定されています。指定された拡張子を持つ添付ファイルは自動的に開かなくなります。その代わりに、ユーザーは各自のコンピュータにローカルで添付ファイルを保存するよう要求されます。

注
添付ファイルの保存が強制されるように、Exchange Server 5.5 を構成することはできません。

「Outlook Web Access サーバーの公開」ウォークスルー手順 6 : 展開をテストする

構成が完了したら、構成した機能をテストする必要があります。

Outlook Web Access をテストする

外部クライアントが完全修飾ドメイン名を ISA Server コンピュータの外部 IP アドレスに解決できる場合、この外部クライアントは Outlook Web Access サーバーにアクセスできます。これを実現するには、通常、Web サイト名を ISA Server の外部 IP アドレスにマップするパブリック DNS サーバーに、パブリック インターネット ドメイン名を登録します。ラボ環境で展開をテストするには、メモ帳を使用して、Windows インストール ディレクトリの ¥system32¥drivers¥etc¥hosts にあるクライアントの hosts ファイルに、Web サイトのホスト名解決情報を指定します。

外部クライアントから Outlook Web Access サイトに接続するには、「https://mail.fabrikam.com/exchange」などの Web アドレスを入力します。URL には、必ず、「https」を指定してください。

接続時には、資格情報とセッションの種類 (パブリックまたはプライベート) を指定するログオン ページが表示されます。メールボックスにアクセスするには、この情報を指定する必要があります。

タイムアウトや添付ファイルのブロックを設定した場合、これらの機能をテストするには、ブラウザを一定時間非アクティブ状態にした後、メールへのアクセスを試みたり、添付ファイルを開いたり保存したりしてみます。

Outlook Mobile Access をテストする

インターネットにアクセスできるコンピュータで、Internet Explorer を使用して Outlook Mobile Access の DNS アドレスに接続し、Outlook Mobile Access が適切に動作していることを確認します。

注
Internet Explorer は Outlook Mobile Access でサポートされるクライアントではありませんが、Exchange フロントエンド サーバーと通信できるかどうかをテストすることには意味があります。

Outlook Mobile Access を使用して Exchange サーバーに接続したら、サポートされるモバイル デバイスを使用して、インターネット接続で Exchange サーバーに接続できることを確認します。

Exchange ActiveSync をテストする

Exchange ActiveSync を使用して Exchange サーバーに接続するようにモバイル デバイスを構成し、ISA Server と Exchange ActiveSync が適切に動作することを確認します。

注
Internet Explorer を使用して Exchange ActiveSync をテストすることもできます。Internet Explorer を開いて、[アドレス] に URL「https://<公開されたサーバー名>/Microsoft-Server-Activesync」を入力します。<公開されたサーバー名> は、Outlook Web Access サーバーの公開された名前 (ユーザーが Outlook Web Access にアクセスする際に使用する名前) です。ユーザーが認証された後で、[エラー 501/505 - 未実装または未サポート] というメッセージが表示されても、ISA Server と Exchange ActiveSync は共に適切に動作しています。

「Outlook Web Access サーバーの公開」ウォークスルー手順 7 : ISA Server のログに Outlook Web Access のセッション情報を表示する

ルール プロパティの [動作] タブで [このルールに一致するログ要求] が選択されている場合 (既定の条件)、ISA Server はメール サーバー公開ルールに一致する要求をログに記録します。

ルールのログ プロパティを確認する

1. Microsoft ISA Server の管理のコンソール ツリーで、[ファイアウォール ポリシー] を選択します。

2. 詳細ウィンドウで、メール サーバー公開ルールをダブルクリックして、プロパティ ダイアログ ボックスを開きます。

3. [動作] タブをクリックし、[このルールに一致するログ要求] が選択されていることを確認します。

4. [OK] をクリックしてプロパティ ダイアログ ボックスを閉じます。

ログに情報を表示する

1. Microsoft ISA Server の管理のコンソール ツリーで、[監視] を選択します。

2. 監視の詳細ウィンドウで、[ログ] を選択します。

3. Outlook Web Access へのアクセス試行に関するログ情報のみを受け取るように、フィルタを作成します。作業ウィンドウの [タスク] タブで、[フィルタの編集] をクリックして [フィルタの編集] ダイアログ ボックスを開きます。フィルタには 3 つの既定の条件があります。これらの条件では、ログ時刻が [ライブ] に指定され、ファイアウォールと Web プロキシの両方からのログ情報が提供され、接続状態は提供されないようになっています。これらの条件を編集したり、別の条件を追加して、クエリで取得する情報を制限することができます。

4. [ログ時刻] を選択します。[条件] メニューの [最後の 24 時間] を選択し、[更新] をクリックします。

5. [ログ レコードの種類] を選択します。[値] メニューの [ファイアウォール] を選択し、[更新] をクリックします。

6. 作業ウィンドウの [タスク] タブで、[フィルタの編集] をクリックして [フィルタの編集] ダイアログ ボックスを開きます。[フィルタ方法] メニューの項目をクリックして別の式を追加し、[条件] と [値] を指定します。たとえば、公開された Web サーバーへのアクセスを表示するようにログを制限するには、[フィルタ方法] : [ログ レコードの種類]、[条件] : [等しい]、[値] : [Web プロキシ フィルタ] に加えて、[フィルタ方法] : [サービス]、[条件] : [等しい]、[値] : [リバース プロキシ] を追加できます。これにより、Outlook Web Access 公開ルールを含む、Web 公開ルールに一致する項目のみにログが制限されます。

7. 式を作成した後に、[一覧に追加] をクリックしてクエリ一覧に式を追加し、[クエリの開始] をクリックしてクエリを開始します。[クエリの開始] は、[タスク] タブの作業ウィンドウにもあります。

 ページのトップへ

参照情報

Exchange Server 2003 で Outlook Web Access を展開する方法については、『Exchange 2003 デプロイメント ガイド』 (https://www.microsoft.com/japan/) を参照してください。

Exchange 2000 Server で Outlook Web Access を展開する方法については、Exchange 2000 Server における Outlook Web Access に関するドキュメント (英語) (https://www.microsoft.com/) および Microsoft Outlook Web Access のカスタマイズに関するドキュメント (英語) (https://www.microsoft.com/) を参照してください。

 ページのトップへ