SE の雑記

TMG 2010 には Exchange 用のアクセスルールとして、Exchange 2010 に対応したものが含まれています。

作成されたルールでは、パスが以下のように設定されます。

TMG 2010 で作成した Exchange 2007 用のルールが下になります。

ISA 2006 で作成した Exchange 2007 のルールが下になります。

Exchange 2007 のルールは TMG も ISA も同じですね。
Exchange 2010 と Exchange 2007 の違いは、[ecp] と [Exchweb] になるようですね。

[Exchweb] は予定表やアドレス帳の制御機能を提供していたディレクトリになるようです。
Exchange 2010 でも [Exchweb] は IIS 上で存在しているのですが OWA のパスを
仮想ディレクトリとして設定しているものになっています。

Exchange 2007 では アプリケーションとして登録されていたかと。
# Exchange 2007 を撤去してしまったので、書籍で確認したレベルですがアプリケーションになっているようです。

Exchange 2010 では、[Exchweb] の機能は [OWA] ディレクトリに統一されているようですね。

ECP は確認していなかったのですが、Outlook Web App は Exchange 2007 のルールそのままでもそれなりに
動いていたと思います。
# 旧環境をいろいろと撤去してしまったので、きちんとした確認はできていませんが。

ISA 2006 で Exchange 2010 を公開する場合には Exchange 2007 のルールをベースに ecp のパスを
追加してあげれば対応できそうです。

ISA 2006 の設定が終了したので、開始ウィザードの内容を実行していきたいと思います。

1. [Forefront TMG の管理] を実行します。
   
2. 以前に自動的に起動するを無効にしていなかった場合は、管理コンソール起動時に開始ウィザードが起動します。
   ?
   手動で起動する場合には、サーバーを選択した状態のタスクから [開始ウィザードの起動] をクリックします。
   
3. [ネットワーク設定の構成] をクリックします。
4. [次へ] をクリックします。
   
5. ネットワークテンプレートの種類を選択して、[次へ] をクリックします。
   今回は NIC が一枚だけですので、[単一ネットワーク アダプター] しか選択ができない状態となっています。
   
6. ネットワークアダプターを選択して、[次へ] をクリックします。
   
7. [完了] をクリックします。
   
8. [システム設定の構成] をクリックします。
   
9. [次へ] をクリックします
   
10. ホスト ID の情報を設定して、[次へ] をクリックします。
    今回の環境はワークグループ環境で構築しています。
    
11. [完了] をクリックします。
    
12. [展開オプションの定義] をクリックします。
    
13. [次へ] をクリックします。
    
14. Microsoft Update の設定をして、[次へ] をクリックします。
    
15. 保護機能の設定をして、[次へ] をクリックします。
    
16. NIS の更新設定をして、[次へ] をクリックします。
    
17. CEIP の設定をして、[次へ] をクリックします。
    
18. 遠隔測定レポートサービスの設定をして、[次へ] をクリックします。
    
19. [完了] をクリックします。
    
20. [閉じる] をクリックします。
    
21. [次へ] をクリックします。
    
22. [次へ] をクリックします。
    
23. [次へ] をクリックします。
    
24. [次へ] をクリックします。
    
25. [次へ] をクリックします。
    
26. [次へ] をクリックします。
    
27. 証明書のエクスポート先を設定し、[次へ] をクリックします。
    
28. [次へ] をクリックします。
    # キャッシュサイズは 0MB より大きい数値を設定する必要があります。
    
29. [完了] をクリックします。
    
30. [適用] をクリックします。
    ?
31. [OK] をクリックします。
    
32. [適用] をクリックします。
    
33. [OK] をクリックします。
    ?

以上で、初期設定は完了です。

ISA 2006 と比較して初期設定で NIS の設定や、保護機能の設定が増えているようですね。
この辺はヘルプで機能を確認しないと。

TMG 2010 になるとエンタープライズ構成が ISA 2006 から変わっていそうなんですよね。
1 台構成だと Enterprise Edition でもアレイ構成にはならないようですし。
構成保管サーバーの複製に関しても変わっていそうなので、この辺は要調査です。

まずは、この環境を使って TMG 2010 のリバースプロキシの基本動作を理解したいと思います。

ISA 2006 の設定を TMG 2010 に移行できるかを検証してみました。

• ISA 2006 から設定をエクスポート

1. ISA 2006 で [ISA Server の管理] を起動します。
   
2. [エクスポート (バックアップ)] をクリックします。
   
3. [次へ] をクリックします。
   
4. [機密の情報をエクスポートする] と [ユーザーアクセス許可設定をエクスポートする] を有効にして、
   [次へ] をクリックします。
   
5. ファイルの出力場所を選択して、[次へ] をクリックします。
   
6. [完了] をクリックします。
   ?
7. [OK] をクリックします。
   

エクスポートしたファイルを TMG 2010 に移します。
この状態では両方共の ISA / TMG のファイアウォールが設定されている状態ですので、
どちらかに CIFS を許可するアクセスルールを作成して、ファイルを移動させます。

?

• TMG 2010 に設定をインポート

1. TMG 2010 で [Forefront TMG の管理] を起動します。
   
2. [開始ウィザード] が起動するので、[閉じる] で閉じます。
   
3. [はい] をクリックします。
   
4. [インポート (復元)] をクリックします。
   
5. [次へ] をクリックします。
   
6. インポートするファイルを選択して、[次へ] をクリックします。
   
7. [OK] をクリックします。
   
8. 今回はエクスポート時にパスワードを設定していますので、エクスポート時に設定したパスワードを入力して、
   [次へ] をクリックします。
   
9. [完了] をクリックします。
   
10. [OK] をクリックします。
    
11. [閉じる] をクリックします。
    ?
12. [適用] をクリックします。
    
13. [適用] をクリックします。
    
14. [OK] をクリックします。
    

この状態では、上のダイアログに表示されているように、サーバー証明書と、レポート構成設定はインポートされていないので、
これらに関しては手動でインポート、設定を行います。

以上で設定の移行は完了です。

ISA 2006 の IP に付け替えてみたところ、正常にルールも稼働しています。

TMG 2010 は x64 専用ですので、ISA 2006 から直接アップグレードをすることができません。
# ISA 2006 は x86 専用です。
インポート / エクスポートで設定が簡単に移行できると、移行工数を抑えることができていいですね。

開始ウィザードを使用した初期設定は次の投稿で。

Forefront Threat Management Gateway 2010 RTM が TechNet サブスクリプションでダウンロードできるようになったので、
さっそくインストールしてみました。

1. [準備ツールの実行] をクリックします。
   
2. [次へ] をクリックします。
   
3. [ライセンス条項に同意します] を有効にして、[次へ] をクリックします。
   
4. [Forefront TMG のサービスと管理] を選択し、[次へ] をクリックします。
   
5. [Forefront TMG インストール ウィザードの起動] を有効にして、[完了] をクリックします。
   
6. [次へ] をクリックします。
   
7. [使用許諾契約書に同意します] を選択し、[次へ] をクリックします。
   
8. [次へ] をクリックします。
   
9. [次へ] をクリックします。
   
10. 内部ネットワークの IP アドレスセグメントを追加して、[次へ] をクリックします。
    ??
11. [次へ] をクリックします。
    
12. [インストール] をクリックします。
    
    
13. [完了] をクリックします。
    私の環境ではインストールの終了まで 1 時間程かかりました。
    

インストールは以上で終了です。

[Forefront TMG のサービスと管理] で構成保管サーバーとしての AD LDS もインストールされているようです。
現在、検証環境で ISA 2006 Standard Edition を使用しているのですがこの設定内容が、TMG 2010 Enterprise Edition に
引き継げるが少し検証してみたいと思います。

自宅の検証環境は Exchange Server 2007 で最初構築していたので、現在は 2007 + 2010 の共存環境となっています。

そろそろ Exchange Server 2010 のみの環境にしようと思い、2007 の撤去を開始しました。
# Exchange 2007 を撤去しないと、TMG 2010 の検証環境の構築がリソース的に厳しいんですよね。

まずは、単純にアンインストールを試みてみました。

1. クライアント アクセスをアンインストール
   まずは簡単に役割がアンインストールできそうな CAS から撤去してみたいと思います。
   役割の削除は [コントロールパネル] の、[プログラムと機能] から[Exchange Server 2007] のアンインストールを行います。

   [Exchange 保守モード] が起動しますので、削除する役割のチェックボックスを [オフ] にします。
   
   前提条件のチェックはすんなり通過できました。
   それでは削除してみたいと思います。
   
   CAS は問題なく削除完了です。
   

2. ハブ トランスポートをアンインストール
   続いて HUB をアンインストールしてみたいと思います。

   
   送信コネクタの [送信元サーバー] として、Exchange 2007 の HUB が設定されているのでエラーとなっているようです。
   ?
   送信コネクタから 2007 の HUB を削除したところ、前提チェックも通過しました。
   
   ということでこちらも削除。
   
   前提条件を満たしているのであっさりと削除できました。
   

3. メールボックス をアンインストール
   最後にメールボックスをアンインストールします。
   最後の機能をアンストールする際には、管理ツールも削除できるようになります。
   
   いろいろとエラーになりました。
   
   それでは一つずつ解消していきたいと思います。
   1. オフラインアドレス帳生成サーバーの移動

      Exchange の管理コンソールからオフラインアドレス帳サーバーを移動させます。
      
      
      
      
      

   2. パブリックフォルダの削除

      パブリックフォルダのエラーについては検証用の環境なので、思い切ってパブリックフォルダを削除してしまいます。

      Get-PublicFolder -Server $ENV:COMPUTERNAME "" -Recurse -ResultSize:Unlimited | Remove-PublicFolder -Server $ENV:COMPUTERNAME -Recurse -ErrorAction:SilentlyContinue Get-PublicFolder -Server $ENV:COMPUTERNAME "Non_Ipm_Subtree" -Recurse -ResultSize:Unlimited | Remove-PublicFolder -Server $ENV:COMPUTERNAME -Recurse -ErrorAction:SilentlyContinue

      パブリックフォルダの削除は以下の URL が参考になります。

      パブリック フォルダ データベースの削除
      組織内の最後のパブリック フォルダ データベースを削除する方法

      このまま削除をしようとしたところ、以下のエラーが発生してしまいました。
      ?
      Exchange 2010 側でパブリックフォルダの作成をした記憶はないんですけどね…。
      ログを確認したところ、Remove-PublicFolderDatabase でエラーとなっているようでした。
      Exchange 2010 で Remove-PublicFolderDatabase を実行したのですがうまく削除できなかったので、
      ADSIエディタを使って構成パーティションからパブリックフォルダのエントリーを強制削除してしまいました。

      [CN=Configuration,DC=<ドメイン名>,CN=Services,CN=<組織名>,CN=Administrative Groups,CN=Exchange Administrative Group (FYDIBOHF23SPDLT),CN=Servers,CN=<Exchange 2007>,CN=InformationStore]
      からパブリックフォルダのストアを強制削除。

   3. メールボックスの移動

      Exchange Server 2007 に存在しているメールボックスを Exchange Server 2010 に移動します。
      Exhcange 2010 へのメールボックスへの移動は Exchange 2010 の管理コンソールから実行します。

      ローカル移動要求を新規作成して移動させます。
      

   これで準備完了です。
   前提条件のチェックも終了したので削除します。
   ?
   事前準備が終了していたので削除も問題なく完了しました。
   ?

これで Exchange 2007 の撤去は完了です。
パブリックフォルダーに関しては調査が必要だな～と感じました。
Exchange 2007 → 2010 へ移行にするに際し、パブリックフォルダーは廃止としてもらえればいいのですが、
実際はそうもいかないと思いますので。

これで Exchange 2007 をシャットダウンした状態にできるようになりました。
ようやく TMG 2010 の検証環境を構築できます。

今週の頭に Exchange 2010 のエッジトランスポートサーバーの検証環境を構築して、出社の電車の中で、
ルーターと受信コネクタの設定をしていました。
# 私は通勤時間が片道 2 時間近くなので通勤時間を利用したサーバー構築もなんのそのです。

電車の中で少し寝て、まだ会社の最寄駅まで時間があったので、構築を再開しようとしたところ、
やけにサーバーが重いことに気付きました。

何だろうとメールキューを確認してみたところ 12 万通を超える大量のスパムメールが溜まっていました…。

幸い、送信コネクタを設定する前だったので外部に配信はされませんでしたが、今後このようなことが
発生しないように最低限実施することをメモとして。

今回は電車の中で気づいたので、ひとまずルーターのポート 25 の転送を停止し、MX レコードを削除して
帰宅してからの対応としました。
企業向けのメールサーバーでこんな対応したら始末書ですね…。

• 準備が終わるまで送信コネクタは有効にしない
  Exchange では外部にメールを送信する際には、アドレススペースを [*] に設定しているコネクタ経由で
  メールを送信するのが一般的な設定だと思います。
  ?
  一通りの設定が終了するまではこのコネクタは無効にしておいた方がよいかと。
  今回はこれに救われました。

  エッジサブスクリプションを設定している場合は、エッジトランスポート側では送信コネクタを変更できませんので、
  ハブトランスポートで同一名の送信コネクタを無効にしてから、ハブトランスポートで

  Start-EdgeSynchronization ?Server $ENV:COMPUTERNAME

  を実行してエッジトランスポートに設定を伝搬させます。

  これで一通りの設定が終了するまではインターネットにはメールが送信されなくなります。Exchange 2007 SP 1 以降はハブトランスポートにはデフォルトだと [*] のコネクタは作成されないようになっていたかと。
  # エッジトランスポートにはデフォルトで作成されていた気がします

• 受信コネクタの設定確認
  インターネットからのメール受信をするための受信コネクタでは、[匿名ユーザー] を許可した状態にします。
  
  Exchange では匿名ユーザーで接続された場合は、[承認済みドメイン] に設定されているドメインにのみ
  メールが送信できるようになっています。
  承認済みドメインに設定されているドメインへのメール送信に関しては、
  

  250 2.1.5 Recipient OK

  となりメール送信が可能ですが、承認済みドメインに設定されていないドメインに対しては、

  550 5.7.1 Unable to relay

  となり中継ができないという動作になります。

ただし、受信コネクタで、[外部的にセキュリティで保護] を有効にしていると、承認済みドメインに
設定されていないドメインに対してもメールが中継できてしまいますので注意が必要です。

?

以下のような設定が一般的なのでしょうか。


• MTAにメール検疫ソフトの導入
  Microsoft 製品の場合は [Forefront Protection 2010 for Exchange Server] (FPE) が最新のメールに関しての
  検疫ソフトになります。
  ?

  FPE で使用される検索エンジンは以下のものになります。
  ?

  試しにインストールした環境を作ってみたのですが、最低でもメモリは 2G ぐらいないとテスト用途でもつらいですね。

  エッジトランスポートでも標準機能として以下のスパム対策が実行することができるのですが、
  ウイルス対策はできませんので。

  IP 禁止一覧

  IP 禁止一覧プロバイダー

  IP 許可一覧

  IP 許可一覧プロバイダー

  Sender ID

  コンテンツ フィルター

  受信者フィルター

  送信者フィルター

  送信者評価

• 匿名接続時の外部ドメインへの送信確認
  これができてしまうと、スパムメールの踏み台の温床となります。
  ?
  最初は telnet で接続して動作確認をした方がいいのかなと思います。

  Windows Server 2008 / R2 では標準の状態では Telnet クライアントがインストールされていないので、
  コマンドプロンプトで telnet を実行することができません。
  追加できる機能には含まれていますので、テスト用にインストールしておくと便利だと思います。
  Tera Term でもよいと思いますが、テスト用にしか使わないので私は telnet コマンドでテストしています。
  ?

  telnet でメール送信のテストをするには以下のコマンドを実行していきます。

  telnet <MTA の IP アドレス> 25 helo <ドメイン名> mail from: <FROM (送信者) アドレス> rcpt to: <TO (宛先) アドレス> DATA <メール本文> . QUIT 例) telnet 127.0.0.1 25 helo test.local mail from: user1@test.local rcpt to: user2@test.local DATA test mail . QUIT

  後は FROM と TO の組み合わせテストを実施します。
  上記のコマンド実行の場合、メール送信は匿名認証となります。
  承認済みドメインとして test.local が設定されている場合の結果は以下になるはずです。
  # test.local も test2.local も匿名認証なので結果は同じになります。

  FROM	TO	結果
  user1@test.local	user2@test.local	OK
  user1@test.local	user2@test2.local	NG
  user2@test2.local	user2@test.local	OK
  user2@test2.local	user2@test2.local	NG

• 第三者中継テストの実施
  メールサーバーの第三者中継テストをしてくれるサイトを利用して最終的な確認をするとよいかと。

  私はよく以下のサイトを利用させていただいています。
  第三者中継チェック – RBL.JP

  Exchange の送信コネクタ / 受信コネクタの設定だけで自ドメイン内の存在しないメールアドレスへのテスト以外は
  通過させることができるはずです。

  存在しないメールアドレスのテストについては、スパム対策の受信者フィルターで、[ディレクトリに存在しない
  受信者宛てのメッセージをブロックする] を有効にする必要があります。

  
  エッジトランスポートで実施する場合は、エッジサブスクリプションを有効にする必要があるようです。
  ハブトランスポートで実施する場合は、ハブトランスポートで以下のコマンドを実行してスパム対策を
  有効にしてから受信者フィルターを設定します。

  ./install-AntispamAgents.ps1 Restart-Service MSExchangeTransport

他にもいろいろとテストはあると思いますが、最低限実施しておいた方がよいものをメモとして。

Exchange Server 2010 RU1 の提供が開始されたようです。
この間 RTM したばかりだと思っていたのですが早いですね～。

Exchange 2010 RU 1 has been released
Update Rollup 1 for Exchange Server 2010 (KB976573)
Exchange Server 2010 の更新プログラム ロールアップ 1 の説明

現在、自宅の検証環境の Exchange を 2010 に移行中なのでこの機会に適用しておきたいと思います。

Windows Server 2008 SP2 で AD DS と Exchange Server 2007 の共存環境を構築しようとした場合、
環境によってはインストール中に以下のエラーが発生することがあります。
# SP2 でなくてもエラーにはなると思います。私が試した環境はたまたま、OS が SP2 でした。

[Microsoft Exchange Transport] サービスが起動できないためにエラーとなるようです。

最初は以下の現象が発生したのかと思ったのですが、Exchange Server 2007 SP2 の場合は、対象のアセンブリの
構成ファイルで [<generatePublisherEvidence enabled="false" />] は設定されているみたいなんですよね。
Exchange Server 2007 用更新プログラムのロールアップをインストールすると Exchange Server 2007 マネージ コード サービスが開始されない

いろいろ調べていたところ、TechNet Magazine? 2008 年 11 月の以下の記事に解決策が載っていました。
# 最後の QA が今回の現象に該当します。

Outlook Anywhere と IPv6、リモート接続アナライザなど

ドメインコントローラーと Exchange Server 2007 を共存させたときは、IPv6 を有効にしておく必要があるようですね。
今回は Exchange Server 2007 SP2 をインストールしようとしたのですが、本現象は発生しました。
OS の基本セットアップ終了後は IPv6 を無効にするようにしているのですがそれが裏目に出てしまったようです。
IPv6 を有効にするとインストールも正常に完了します。

最初はドメインコントローラーと Exchange Server 2007 の共存がサポートされていないのかと思っていたのですが、
この構成はセキュリティの面から推奨はされないがサポートされる構成のようです。

Exchange 2007 のシステム要件

記載されている内容が微妙なんですよね…。
以下のように記載されているので一見、NG なのかと思えば、

?

?

と記載されている個所も。
併用というのはおそらく、Windows Server 2008 のドメインコントローラーを認証基盤として使えるかということだと
思うのですが、表現がいまいちわかりにくいです。
# Exchange 2000 が併用不可となっているので有効なドメインコントローラーになりえるかということだとは思うのですが。

以下の KB もあるようですので、再起動時にサービスの手動起動が必要になる可能性もあるようですね。

グローバル カタログ サーバーに Exchange 2007 または Exchange Server 2010 をインストールすると、Exchange 2007 または Exchange Server 2010 のサービスが自動的に開始できない

できればドメインコントローラーと Exchange は別立てにしたいですがお客様の費用や規模によっては共存せざるを得ないことも
あるかと思います。
# EBS 2008 での提案というのもありかとは思うのですが。

そのようなときの注意事項のメモとして。

2010/4/21 追記

ドメインコントローラー以外でも IPv6 が無効になっていると現象が発生しますね…。
本現象は AD DS にかかわらず以下の KB が当てはまるようです。

Windows Server 2008 ベースのコンピューターで、Exchange Server 2007 のハブ トランスポートの役割または Microsoft Exchange Server 2010 のハブ トランスポートの役割のインストールが失敗する

AD DS でも上記 KB の対応をすれば、IPv6 が無効でもインストールできます。

ここまでの設定でデータベース可用性グループを設定して対象のサーバーを追加するところまでは作業が完了しました。

最後にメールボックスデータベースを DAG でレプリケーションされるように設定します。

1. 対象のメールボックスデータベースを右クリックして、[メールボックス データベース コピーを追加] をクリックします。
   今回は、EXCHANGE-01 に MB01 を EXCHANGE-02 に MB02 を配置しています。
   
2. [参照] をクリックします。
   
3. サーバーを選択して、[OK] をクリックします。
   
4. [追加] をクリックします。
   
5. [終了] をクリックします。
   

これで DAG の設定は完了です。
データベースコピーにサーバーが 2 台設定されているのが確認できます。

?

データベース コピーは両サーバーで同一のディレクトリに設定されるようです。
コピーを作成するサーバーで同一のディレクトリが作成できない場合は、エラーになるようです。

EXCHANGE-02 にしか存在していない E ドライブに設定しているメールボックスデータベースを EXCHANGE-01 にコピーとして
設定した場合の画像が以下になります。

DAG の設定は以上で終了です。

DAG ですが WSFC の技術を使っていますので、AD 上にコンピュータアカウントと、DNS の登録がされるようです。
?

クラスタサービスとしてはメールボックス等は登録されておらず、フェールオーバークラスタの管理から見れるのは、
クラスタコアリソースだけのようですね。
クラスタの管理は、フェールオーバー クラスタ マネージャからではなく Exchange 管理コンソール (EMC) から行う形になるかと。

DAG 内のメールボックスのレプリケーションに使用するネットワークの設定は (EMC)? からできるようです。
ネットワーク負荷を考慮するとサービス用 / レプリケーション用 / WSFC ハートビート用の NIC が必要になるかもしれないですね。
?

Exchange Server 2010 から、可用性をもつ MBX と CAS / HUB が共存できるようになったのですが、WSFC と NLB は
共存できないため、機能の共存環境で CAS を冗長化させるためにはハードウェアロードバランサが必要となりそうです。

Exchange 2007 と比較して簡単に可用性を持つメールボックスデータベースを構築できますが、ディスク容量やネットワークに関しては
2010 用に考える必要がありそうですね。

時間がある時に CAS アレイも勉強したいとは思いますが DAG の設定はここまでで。

今回の環境は自習書を参考にしながら構築してみました。
Exchange Server 2010 自習書シリーズ

作成したデータベース可用性グループにメンバーを追加したいと思います。

1. 作成した DAG を右クリックして、[データベース可用性グループのメンバーシップの管理] をクリックします。
   
2. [追加] をクリックします。
   
3. 追加するサーバーを選択して、[OK] をクリックします。
   
4. [管理] をクリックし、サーバーを登録します。
   
5. [終了] をクリックします。
   

これで DAG のメーンバーにサーバーを追加できました。

構成を何度か試していたのですが、たまにメンバーの追加で 2 台目のサーバーだけエラーになることがあるんですよね。

US の TechNet のフォーラムでもエラーになることはあることが投稿されていました。
?Problem adding a second server to DAG (Error: Cluster API ‘"AddClusterNode() (MaxPercentage=12) failed with 0x80070005. )

可用性グループの再作成、Exchange 管理コンソールを再起動したりと何度かやり直していたところ、正常に追加できるようになりました。
[Organization Management] グループのユーザーだと駄目なのかと思っていたのですが、権限は特に付与しなくても
追加できたので権限系でエラーになっているわけでもなさそうなのですが。

メンバーを追加するタイミングで監視サーバーにディレクトリが作成されます。

共有ディレクトリも設定されていますね。

監視サーバーは WSFC の [ノードおよびファイル共有マジョリティ] で使用される、[ファイル共有監視] として使用されます。
WSFC の設定状況は、DAG の設定が一通り完了したら改めてみてみたいと思います。

これでメンバーの設定は完了です。

最後にメールボックスデータベースのコピーを設定します。
こちらは次の投稿で。