従来の Exchange 2003 アクセス許可の準備

  • [アーティクル]

 

適用先: Exchange Server 2010 SP2, Exchange Server 2010 SP3

トピックの最終更新日: 2011-04-28

Exchange Server 2003 から Exchange Server 2010 にアップグレードする場合は、まず Exchange 2003 の DomainPrep を実行した各ドメインで特定の Exchange アクセス許可を付与する必要があります。これを行うには、setup /PrepareLegacyExchangePermissions コマンドを実行します。これらのアクセス許可の付与は、Exchange Server 2010 のインストールに備えて Active Directory およびドメインを準備する作業の一環です。詳細な手順については、「Active Directory とドメインを準備する」を参照してください。

ここでは、setup /PrepareLegacyExchangePermissions コマンドを実行する理由とそのタイミング、およびこのコマンドによって Exchange Server 2010 組織で設定されるアクセス許可について説明します。

Setup /PrepareLegacyExchangePermissions を実行する理由

基本的に、Active Directory スキーマを Exchange Server 2010 用に更新した後、setup /PrepareLegacyExchangePermissions コマンドを実行し、Exchange 2003 の受信者更新サービスが正しく機能するようにする必要があります。ここでは、主な問題と、その問題がこのコマンドを実行することによってどのように解決されるのかを説明します。

問題

Exchange Server 2003 では、受信者更新サービスにより、メールが有効なユーザー オブジェクトで一部のメールボックス属性 (プロキシ アドレスなど) が更新されます。受信者更新サービスがこれらの属性を変更するアクセス許可を保持しているのは、受信者更新サービスが実行されるサーバーのコンピューター アカウント (<サーバー名>) が Exchange Enterprise Servers (EES) グループに含まれているためです。EES グループは、Exchange Server 2003 の DomainPrep を実行したときに作成されます。受信者更新サービスを変更する必要がある各メールボックス属性に EES グループ アクセス許可を付与する代わりに、メールボックス属性をプロパティ セット内でグループ化します。Exchange Server 2003 の DomainPrep を実行すると、Exchange により EES グループに、アクセス制御エントリ (ACE) を使用してプロパティ セットを変更するためのアクセス許可が付与されます。アクセス制御エントリ (ACE) は、Active Directory 内のドメイン コンテナーに Exchange により設定されます。

Exchange Server 2010 には、「受信者の管理」という名前の管理役割があります。この役割には、ユーザー全員の電子メール属性を管理するためのアクセス許可が含まれています。Exchange の "Recipient Management/受信者の管理" 役割のメンバーである Exchange 管理者は、ユーザーの電子メール プロパティのみを管理できます。

Exchange Server 2010では、この機能を有効にするためにユーザーの一部の電子メール属性を、"Exchange-Information" プロパティ セットと呼ばれるプロパティ セットに移動する必要があります。Exchange では、これを行うために新しい Exchange Server 2010 スキーマをインポートする際に Active Directory で属性スキーマを再定義します。ただし、従来の EES グループは Exchange-Information プロパティ セットに対するアクセス許可を持ちません。したがって、新しい Exchange Server 2010 スキーマをインポートするときに、受信者更新サービスにはユーザーの電子メール属性に対するアクセス許可がなくなり、正しく機能しなくなります (たとえば、新たに作成された Exchange Server 2003 ユーザーのプロキシ アドレスを設定できなくなります)。

解決方法

setup /PrepareLegacyExchangePermissions コマンドを実行すると、従来の受信者更新サービスが正しく機能するようになります。新しい Exchange Server 2010 スキーマをインポートする前に、Exchange Server 2010 では Exchange Server 2003 の DomainPrep を実行したドメインごとに新しいアクセス許可を付与する必要があります。setup /PrepareLegacyExchangePermissions コマンドにより、これらの新しいアクセス許可が付与されます。setup /PrepareSchema を実行する前に、setup /PrepareLegacyExchangePermissions を実行し、Exchange 組織全体でのアクセス許可のレプリケートを許可する必要があります。

setup /PrepareLegacyExchangePermissions を実行するサーバーは、ローカル グローバル カタログに照会して、EES グループと Exchange Domain Servers (EDS) グループを確認することによって、Exchange Server 2003 の DomainPrep を実行しているドメインを検索します。このサーバーは、Exchange Server 2003 の DomainPrep を実行したフォレスト内のすべてのドメインと通信できる必要があります。また、setup /PrepareLegacyExchangePermissions を実行するために使用するアカウントは、各ドメインおよび Exchange 組織で ACE を設定できるように、Enterprise Admins ユニバーサル セキュリティ グループ (USG) に割り当てられたアクセス許可を保持している必要があります。

Setup /PrepareLegacyExchangePermissions によって設定されるアクセス許可

setup /PrepareLegacyExchangePermissions を実行すると、EES グループと Exchange Domain Servers (EDS) グループを持つフォレスト内のすべてのドメインが検索されます。これらのグループを持つ各ドメインに対し、setup /PrepareLegacyExchangePermissions は次のことを実行します。

  • ドメイン ルートのアクセス制御リスト (ACL) に ACE を追加し、Exchange-Information プロパティ セットに対する WRITE_PROP アクセス許可を EES グループに付与します。

  • ドメイン ルートの ACL に ACE を追加し、Exchange-Information プロパティ セットに対する READ_PROP アクセス許可を認証されたユーザーに付与します。

  • ドメインの AdminSDHolder コンテナーに ACE を追加し、Exchange-Information プロパティ セットに対する WRITE_PROP アクセス許可と READ_PROP アクセス許可を EES グループに付与します。

  • Exchange 組織コンテナーの ACL に ACE を追加し、Exchange-Information プロパティ セットに対する WRITE_PROP アクセス許可を EDS グループに付与します。

Setup /PrepareLegacyExchangePermissions の再実行

次のような場合は、setup /PrepareLegacyExchangePermissions を再実行する必要があります。

  • Exchange Server 2003 サーバーを含むドメインが存在し、DomainPrep を実行していない場合

  • 既存のドメインで、DomainPrep を実行していないドメイン内の Exchange Server 2003 サーバー上のメールボックスにログオンするユーザーのメールボックスを有効にする場合

これらの場合は、Exchange Server 2003 の DomainPrep を実行した後に、再度 setup /PrepareLegacyExchangePermissions を実行する必要があります。これにより、このドメインで Exchange Server 2003 の受信者更新サービスが正しく機能するようになります。

Exchange 2010 展開のアクセス許可のリファレンス

Exchange 2010 が組織内で適切に展開し、機能するには、アクセス許可が必要です。これらのアクセス許可は、セットアップ中に Exchange 2010 によって使用されるオブジェクトのアクセス制御リスト (ACL) にスタンプされます。詳細については、「Exchange 2010 の展開のアクセス許可のリファレンス」(英語) を参照してください。

 © 2010 Microsoft Corporation.All rights reserved.