Exchange 2007 アドレス一覧セグメンテーションから Exchange 2010 アドレス帳ポリシーへの移行
適用先: Exchange Server 2010 SP2, Exchange Server 2010 SP3
トピックの最終更新日: 2016-11-28
このトピックの指示に従うことによって、Exchange 2007 ACL ベースのグローバル アドレス一覧 (GAL) セグメンテーション (別称 GAL セグメンテーション) から Exchange 2010 Service Pack 2 (SP2) アドレス帳ポリシー (ABP) に移行する際に必要な手順を段階的に実行できます。
重要
このトピックの手順によっては、ユーザーに影響が及ぶ場合があります。結果として、スケジュールされたダウンタイムが必要になることも多々あります。
前提条件
特に前提条件として挙げませんが、このトピックの手順を実行する前に「アドレス帳ポリシーについて」にある考慮事項およびベスト プラクティスを確認することを強くお勧めします。
このトピックの手順は、ホワイト ペーパー「Exchange 2007 でバーチャル組織やアドレス一覧のセグメンテーションを構成する方法」の手順に従って Exchange 2007 組織を構成したことを想定しています。
上記のホワイト ペーパーの手順に従って Exchange 2010 組織の GAL セグメンテーションを実装した場合、公式には未サポートの状態になります。 このトピックの手順を正常に実行するには、まず組織をサポートされている状態に戻す必要があります。
このドキュメントにあるコード例およびシェル例のほとんどには、Active Directory ドメイン名および Exchange 組織名として Contoso が使用され、サブ組織名として Fabrikam および Tailspin Toys が使用されています。 Exchange 組織、ドメイン、およびサブ組織の名前を、お使いの構成と一致するように変更してください。
Exchange 2007 の仮想組織のセグメント化に使用するスクリプトが必要になります。
シナリオの設定
このシナリオの Tailspin Toys および Fabrikam は、親会社 Contoso の子会社です。
ステップ 1: GAL セグメンテーション (ダウンタイムが必要) が構成されている既存の Exchange 2007 組織に Exchange 2010 SP2 をインストールするための準備
組織で Exchange 2007 GAL セグメンテーションを使用している場合は、Exchange 2010 のインストールが失敗します。これは、GAL セグメンテーションを使用するために、既定の GAL から既定の設定および権限をすべて削除しているためです。
Exchange 2007 組織のドメイン コントローラー上で、コマンド プロンプトで次のコマンドを実行して、既定の GAL へのアクセスを許可します。
DSACLS "CN=Default Global Address List,CN=All Global Address Lists,CN=Address Lists Container,CN=CONTOSO,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=contoso,DC=com" /N /G contoso\administrator:RPWindows PowerShell がインストールされているドメイン コントローラー上で、または Exchange 管理シェルを使用している Exchange サーバー上で、次のコマンドを実行して GAL 上の既定の設定を再構成します。
注意
Outlook 2007 ユーザーであればこの手順を完了すれば既定の GAL を参照できますが、Outlook Web App ユーザーの場合は既定の GAL を参照できません。これは、Outlook Web App では
QueryBaseDN属性を使用して GAL に対してクエリが実行されるためです。$container = "CN=Default Global Address List,CN=All Global Address Lists,CN=Address Lists Container,CN=CONTOSO,CN=Microsoft Exchange,CN=Services, CN=Configuration,DC=contoso,DC=com"Add-ADPermission $container -User "Authenticated Users" -AccessRights GenericRead, ListChildren -ExtendedRights Open-Address-Bookその際、次のような警告および出力が表示されます。
WARNING: Appropriate ACE is already present on object "CN=Default Global Address List,CN=All Global Address Lists,CN=Address Lists Container,CN=CONTOSO,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=CONTOSO,DC=COM" for account "NT AUTHORITY\Authenticated Users" Identity User Deny Inherited Rights -------- ---- ---- --------- ------ \Default Global A... NT AUTHORITY\Auth... False False Open-Address-Book \Default Global A... NT AUTHORITY\Auth... False False ReadProperty \Default Global A... NT AUTHORITY\Auth... False False ListObject, Generi... \Default Global A... NT AUTHORITY\Auth... False False ListChildren
手順 2: 最初の Exchange 2010 サーバーをインストールする
手順の詳細については、「Exchange 2007 クライアント アクセスからのアップグレード」を参照してください。
手順 3:既定の GAL をセキュリティ保護する
Exchange 2010 SP2 のインストール後は、インストール中に作成されたアドレス一覧を削除してから、既定の GAL を再びセキュリティ保護することができます。 この手順を完了したら、引き続き追加の Exchange 2010 SP2 サーバーを組織内にインストールできます。 詳細については、「Exchange 2007 から Exchange 2010 へのアップグレードについて」を参照してください。
(オプション) Exchange 2010 サーバー上でシェルを使用して、新規に作成されたアドレス一覧を削除します。
Remove-AddressList "All Contacts" Remove-AddressList "All Groups" Remove-AddressList "All Users" Remove-AddressList "Public Folders"詳細については、「アドレス一覧の削除」を参照してください。
Exchange 2010 サーバー上でシェルを使用して、ホワイト ペーパー「Exchange 2007 でバーチャル組織やアドレス一覧のセグメンテーションを構成する方法」の手順に従い、GAL をセキュリティ保護します。
Get-GlobalAddressList "Default Global Address List" | Add-ADPermission -User "Authenticated Users" -AccessRights GenericRead -ExtendedRights Open-Address-Book -Deny:$Trueコマンドの正常終了を確認するには、次のコマンドを実行します。
$galContainer = "CN=All Global Address Lists,CN=Address Lists Container,CN=CONTOSO,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=contoso,DC=com" Get-ADPermission $galContainer -user "authenticated users"このコマンドでは次のような出力が表示されます。
Identity User Deny Inherited Rights -------- ---- ---- --------- ------ All Global Addres... NT AUTHORITY\Auth... False False GenericRead All Global Addres... NT AUTHORITY\Auth... False False Open-Address-Book All Global Addres... NT AUTHORITY\Auth... False True ListChildren All Global Addres... NT AUTHORITY\Auth... True True ReadProperty
手順 4:Exchange 2010 サーバー (ダウンタイムが必要) に切り替える
メールボックスを Exchange 2010 SP2 サーバーに移動する前に、外部 URL 名を切り替える必要があります。 この切り替えを行うには、Exchange 2007 サーバーでなく Exchange 2010 サーバーを使用するように、Outlook Anywhere、Outlook Web App、Exchange Web サービス (EWS)、Exchange コントロール パネル (ECP)、AutoDiscover、およびオフライン アドレス帳 (OAB) を構成する必要があります。 この手順には多数の手順があるので、「Exchange 2007 - アップグレードと共存のロードマップ計画」の情報を参照して詳細を確認するようにしてください。
注意
次のステップは、手順全体における主要ステップだけをまとめたもので、各ステップで遂行される内容について説明しています。 必要に応じて、それらのコマンドのいくつかを組織内の各サーバー上で実行できます (一回のみに限られるコマンドもあります) が、ほとんどのコマンドは実行した結果として一定期間のダウンタイムが発生します。 したがって、切り替えプロセス全体のテストに十分な時間をかけることによって、クライアントへの影響を最小限に抑えるようにすることを強くお勧めします。
シェルを使用して、あらゆる OAB 生成を Exchange 2010 メールボックス サーバーに移動します。 OAB 生成を Exchange 2010 SP2 サーバーに移動すると、OAB が OAB コンテンツのソースとしてのアドレス一覧だけでなく GAL も使用できるようになります。
Get-OfflineAddressBook | Move-OfflineAddressBook -Server "MBX01_Ex2010SP2"詳細については、「オフライン アドレス帳生成プロセスを別のサーバーに移動」を参照してください。
Exchange 2010 仮想組織を含むように OAB の仮想ディレクトリを設定します。このように設定すると、Exchange 2010 サーバーに OAB のコピーが配布されるようになります。
以下は、Exchange 2007 サーバーおよび Exchange 2010 サーバーの両方に対してすべての OAB のコピーが提供されるようにするための例です。
Get-OfflineAddressBook | Set-OfflineAddressBook -virtualdirectories "CAS1_Ex2007\OAB (Default Web Site)","CAS1_Ex2010SP2\OAB (Default Web Site)"詳細については、「オフライン アドレス帳配布のプロパティの構成」を参照してください。
Exchange 2010 にメールボックスを移動する際は、事前にすべての受信 Outlook Anywhere トラフィックを Exchange 2010 経由でルーティングする必要があります。
この例では、Exchange 2010 サーバー上で Outlook Anywhere を有効にし、Exchange 2007 サーバー上で無効にします。
Enable-OutlookAnywhere -Server:CAS1_Ex2010SP2 -ExternalHostname:mail.contoso.com -ClientAuthenticationMethod:Basic Disable-OutlookAnywhere -Server:CAS1_Ex2007詳細については、以下のトピックを参照してください。
utoDiscover が Exchange 2010 サーバーから URL を正常に返せるようにするには、すべての Exchange 2010 サーバー上の Outlook Web App、Exchange ActiveSync、EWS および ECP を、仮想ディレクトリに対して有効な外部 URL プロパティを持つように構成する必要があります。
次の例では、Exchange 2010 サーバーへのアクセスに使用される外部名を mail.contoso.com とすることを想定します。
Set-ActiveSyncVirtualDirectory -Identity 'CAS1_Ex2010SP2\Microsoft-Server-ActiveSync*' -ExternalURL https://mail.contoso.com/Microsoft-Server-ActiveSync Set-WebServicesVirtualDirectory -Identity 'CAS1_Ex2010SP2\EWS*' -ExternalUrl https://mail.contoso.com/EWS/exchange.asmx Set-OWAVirtualDirectory -Identity 'CAS1_Ex2010SP2\OWA*' -ExternalURL https://mail.contoso.com/OWA Set-EcpVirtualDirectory -Identity 'CAS1_Ex2010SP2\ECP*' -ExternalURL https://mail.contoso.com/ECP上記設定の構成方法の詳細については、以下のトピックを参照してください。
Exchange 2007 サーバー上にメールボックスがあるユーザー向けに Exchange 2010 から Exchange 2007 に Outlook Web App 要求および EWS 要求をリダイレクトできるようにするには、2007 用の Outlook Web App および EWS の外部 URL を、legacy.contoso.com を使用するよう構成する必要があります。 この名前空間は、Exchange 2007 サーバーへのアクセスに使用される外部名です。
Set-WebServicesVirtualDirectory -Identity 'CAS1_Ex2007\EWS*' -ExternalUrl https://legacy.contoso.com/EWS/exchange.asmx Set-OWAVirtualDirectory -Identity 'CAS1_Ex2007\OWA*' -ExternalURL https://legacy.contoso.com/OWAExchange 2010 がすべての受信 Exchange ActiveSync 接続を Exchange 2007 にプロキシできるようにするには、Exchange ActiveSync 用の 2007 外部 URL をクリアします。
Set-ActiveSyncVirtualDirectory -Identity 'CAS1_Ex2007\Microsoft-Server-ActiveSync*' -ExternalURL:$nullこの処理の最後のステップでは、(この例に挙げられている) mail.contoso.com および autodiscover.contoso.com が Exchange 2010 に解決され、legacy.contoso.com DNS レコードが Exchange 2007 に解決されるように、パブリック DNS を変更します。 すべてのクライアント接続は Exchange 2010 を通過します。その後、Exchange 2010 はバージョン固有の URL を AutoDiscover 経由でクライアントにリダイレクトするか (Outlook Web App の場合)、プロキシするか (Exchange ActiveSync の場合)、または提供します (EWS の場合)。
手順 5:Exchange 2007 アドレス一覧セグメンテーション ACL をミラーリングする ABP を作成する
次の手順では、仮想組織が GAL セグメンテーションを使用してアクセスできるアドレス一覧、GAL、および OAB について理解したうえで、それらをミラーリングする各仮想組織用の ABP を作成します。
「Exchange 2007 でバーチャル組織やアドレス一覧のセグメンテーションを構成する方法」の手順で Exchange 2007 組織を設定した場合は、仮想組織をセグメント化するスクリプトが作成されたことになります。 Exchange 2007 における仮想組織の作成に使用したスクリプトを閲覧して、各仮想組織用の GAL、アドレス一覧および OAB を確認します。 仮想組織ごとに 1 つの GAL、少なくとも 1 つのアドレス一覧、および 1 つの OAB が存在することを確認しておく必要があります。
注意
ABP には会議室一覧が必要です。 組織内の会議室一覧を使用しない場合は、空の会議室アドレス一覧を作成しておき ABP の構成時にそのアドレス一覧を使用するか、あるいは GAL 用に指定したのと同じアドレス一覧を使用するよう ABP 内の "会議室一覧" プロパティを設定してください。
たとえば、子会社 Tailspin Toys のセグメント化に使用するスクリプトを閲覧する場合、確認すべき情報は次のとおりです。
Tailspin Toys ユーザーがすべて、Tailspin_SG と呼ばれるセキュリティ グループに含まれている。
セキュリティ グループ Tailspin_SG によって、以下の項目に対する読み取りアクセスまたは開くアクセスがユーザーに付与されている。
"Address Lists/アドレス一覧"
GAL
OAB
AL_TailspinUsers
AL_TailspinGroups
AL_TailspingContacts
GAL_Tailspin
OAB_Tailspin
Tailspin Toys 用の会議室アドレス一覧がない。
Tailspin Toys 組織向けの ABP を作成します。
たとえば、Exchange 管理コンソールを使用して ABP を作成した場合は、アドレス帳ポリシーの新規作成ウィザードで、次の情報を入力します。
シェルを使用して ABP を作成した場合は、次のコマンドを実行します。
New-AddressBookPolicy -Name 'ABP_Tailspin' -GlobalAddressList '\GAL_Tailspin' -OfflineAddressBook '\OAB_Tailspin' -AllRoomList '\RAL_BLANKROOMS' -AddressLists '\AL_TailspinContacts','\AL_TailspinGroups','\AL_TailspinUsers'詳細については、「アドレス帳ポリシーの作成」を参照してください。
各仮想組織 (たとえば、Fabrikam) に対して、上記の各手順を実行します。
手順 6:メールボックスを Exchange 2007 サーバーから Exchange 2010 サーバー (ダウンタイムが必要) に移動する
メールボックスを Exchange 2010 サーバーに移動する際は、ACL を使用する代わりに ABP を使用するように切り替えます。
注意
この手順を 1 つの手順で一括実行するスクリプトを作成することをお勧めします。
MoveRequest コマンドレット使用してメールボックスを移動します。 詳細については、「ローカルの移動要求の作成」を参照してください。
ABP を移動後のメールボックスに割り当てます。 詳細については、「メール ユーザーへのアドレス帳ポリシーの割り当て」を参照してください。
ユーザー オブジェクトから QueryBaseDN を消去します。 この消去操作は Adsiedit.msc コンソールから直接行うことも、あるいはシェルからマルチステップ プロセスを使用して行うこともできます。次の例は、シェルで QueryBaseDN を消去する方法を示したものです。
$user = ([ADSI]"LDAP://CN=Bob,CN=Users,DC=Contoso,DC=com").psbase $user.Properties["msExchQueryBaseDN"].Value=$null $user.CommitChanges()OAB の設定をメールボックスから削除します。
この例では、John のメールボックスから OAB を削除します。
Set-Mailbox -Identity John -OfflineAddressBook $null
メールボックスを移動し終え、その他のすべての設定を構成した後は、Outlook を使用しているユーザーに次のエラーが表示され、Outlook をいったん終了させてから再起動するように要求されます。 "Microsoft Exchange 管理者によって変更が行われました。Outlook を終了させてから再起動してください。"
手順 7: 次の手順
すべてのメールボックスを Exchange 2010 SP2 に移動し終え、ACL が解除された状態ですべてのメールボックスが ABP で運用されるようになったら、標準の Exchange ガイダンスに従って Exchange 2007 組織の削除を開始することができます。
問題が解決されない場合は、次の Microsoft サポート技術情報の記事を参照してください。
Exchange 2007 をコンピューターから削除する方法
© 2010 Microsoft Corporation.All rights reserved.