Exchange 2010 トランスポートルールで特定のユーザーが特定の外部メールドメインにしか送信できないように構成する

Exchange 2010のトランスポートルールを使って特定のユーザーから外部への送信を制御することができます。

今回以下の条件を満たしたトランスポートポートルールを作成してみます。

・特定のユーザーから組織内部への送信はできる。

・特定のユーザー（Ex10user01@contoso.com）から特定の外部メールドメイン（@Gmail.com、@Hotmail.com）にしか送信できない。

・NDRが返ってくる

１）Exchange 管理コンソールを開き、「組織の構成」→「ハブトランスポート」→「トランスポートルール」をクリックします。「操作」ペインで「トランスポート　ルールの新規作成」をクリックします。

２）適当な名前を入れて、「次へ」をクリックします。

３）条件画面で「差出人がユーザーの場合」をチェックし、「ユーザー」を選択します。

４）条件画面で「メッセージを組織の内部または外部、あるいはパートナーのユーザーに送信する場合」をチェックし、「組織外」を選択します。

５）「次へ」をクリックします。

６）処理画面で「send rejection message to sender with enhanced status code」をチェックし、「rejection message」に"You are not allowed to send mail to outside"のような分かりやすいメッセージを入力します。

７）処理画面で「Enhanced status code」をチェックし、拡張状態コードを入力します。終わったら「次へ」をクリックします。

８）例外画面で「受信者のアドレスがテキストパターンと一致する場合を除く」をチェクし、「テキストパターン」を設定します。テキストパターンの自体は正規表現です。
@gmail.com$　→　"@gmail.com”で終わる文字列

９）「次へ」をクリックし、「新規作成」をクリックします。

１０）トランスポートルールの作成ができたら、Ex10user01でOWAにログオンし、メールを送信してみます。
宛先はGmail メールアドレス、Hotmailメールアドレス、許可されない外部メールアドレス、内部メールアドレス

１１）送信許可された内部、Gmail、Hotmailにメールは送信されました。送信制限された外部メールアドレスへの送信はできなく、NDRが返って来ました。設定したRejection MessageもNDRに表示されています。

 

特定の外部メールドメインへの送信を許可する手順を紹介して来ましたが、特定の外部のユーザーへの送信も同じようなやりかたで制御できます。

Exchange 2013 サイジング

Exchange 2013のサイジング資料が出たので、URLを貼っておきます。

・高可用性

・キャパシティ要件

・メールボックスサイズ

・コンテンツインデクシング

・ログスペース

・IOPS要件

・ストレージ帯域要件

・トランスポートストレージ要件

・プロセッサ要件

・メモリ要件

・ユニファイドメッセージング

・CASのサイジングとスケーリング

・ADキャパシティ

などが紹介されています。

 

Ask the Perf Guy: Sizing Exchange 2013 Deployments

Exchange 2010/2007 とExchange 2013共存 AdministratorでEAC（ECP）に接続

Exchange 2010 とExchange 2013の共存環境を構築しました。2010にあるAdministratorでEACに接続したら、Exchange2010のECPにリダイレクトされてしまいました。別のユーザーを作って、権限を割り当ててExchange 2013 EACにアクセスできるが、どうしてもAdministratorでログオンしたいときに、以下のように対処できます。

 

以下のURLでアクセス。

https://CAS01-NA/ecp?ExchClientVer=15

 

administratorとパスワードを入力してちゃんと接続出来るようになります。

ぜひ試してみてください。

Outlook Web Appにログオン時の「言語・タイムゾーン」の画面を再度表示させる

初めてOWAにアクセスしてログオンした時に、「言語・タイムゾーン」の設定画面が表示されます。保存したら、次からのログオンは表示されなくなります。例：Exchange 2013のOWAの画面

再び表示させたい場合は、Set-Mailboxで対象となるメールボックスのLanguages属性の値をNULLに設定する必要があります。以下の様な感じです。
 

ユーザー（メールボックス）毎にOutlook Anywhereを有効/無効にする

Outlook Anywhereを運用している環境では、一部のユーザーに対して、Outlook Anywhereを有効にし、他のユーザーに対して、無効にするという要望が多いかと思います。Set-CASMailboxコマンドで実現できます。

・個別のユーザーに対してOutlook Anywhereを無効にする

Get-Mailbox -Identity <name> | Set-CASMailbox -MAPIBlockOutlookRpcHttp:$true

・すべてのユーザーに対してOutlook Anywhereを無効にする

Get-Mailbox -ResultSize Unlimited | Set-CASMailbox -MAPIBlockOutlookRpcHttp:$true

・一部のユーザーに対して無効にする場合は、簡単なPowershellスクリプトでできます。

ユーザーの名前を以下のようにテキストファイルmailboxes.txtに保存

test1 test2 test3 …

Powershellスクリプト

$Mailboxes = Get-Content c:\temp\mailboxes.txt Foreach ($Mailbox in $Mailboxes){         Set-CASMailbox -Identity $Mailbox -MAPIBlockOutlookRpcHttp:$true -Verbose }

※注意

一度Outlook Anywhere接続ができたユーザーに対して無効にした場合は、設定がすぐに反映されないらしいため、変更直後Outlook Anywhere接続を試すと、成功という結果となります。原因としては、MAPI接続の認証情報は最大2時間程度Exchange側でキャッシュされるため、即時反映されないことがあるそうです。新規のユーザーで試すか、2時間を待つか、などの対応が必要です。

有効にする場合は、-MAPIBlockOutlookRpcHttpの値を$falseに設定します。

 

Exchange Server 2010 Powershellで DAGを構成する

Step 1：DAGを作成する

New-DatabaseAvailabilityGroup -Name 'RadoreDAG' -WitnessServer 'EXGW01' -WitnessDirectory 'C:\RadoreDAG'

Step2：1台目のメールボックスサーバーをDAGに追加する

Add-DatabaseAvailabilityGroupServer -Identity 'RadoreDAG' -MailboxServer 'EXCAS01'

Step3：DAG用のネットワーク（パブリック、レプリケーション）を作成する

パブリックネットワーク New-DatabaseAvailabilityGroupNetwork -DatabaseAvailabilityGroup RadoreDAG -Name Internet –Description "Internet Network" -Subnets 94.101.92.0/24 -ReplicationEnabled:$False レプリケーションネットワーク New-DatabaseAvailabilityGroupNetwork -DatabaseAvailabilityGroup RadoreDAG -Name Backup -Description "Backup Network" -Subnets 192.168.0.0/16 -ReplicationEnabled:$True

Step 4：DAGのIPアドレスを設定する

Set-DatabaseAvailabilityGroup -Identity RadoreDAG -DatabaseAvailabilityGroupIPAddresses 94.101.92.10

Step 5：二台目のメールボックスサーバーをDAGに追加する

Add-DatabaseAvailabilityGroupServer -Identity 'RadoreDAG' -MailboxServer 'EXCAS02'

Step 6：メールボックスデータベースを作成する

New-MailboxDatabase -Server 'EXCAS01' -Name 'Database01' -EdbFilePath 'C:\Program Files\Microsoft\Exchange Server\V14\Mailbox\Database01\Database01.edb' -LogFolderPath 'C:\Program Files\Microsoft\Exchange Server\V14\Mailbox\Database01'

Step 7：データベースの状態を確認して、マウントする

Get-MailboxDatabaseCopyStatus Mount-Database -Identity 'Database01'

Step 8：他のメールボックスサーバーにデータベースを複製する

Add-MailboxDatabaseCopy -Identity 'Database01' -MailboxServer 'EXCAS02' -ActivationPreference '2'

Step 9：データベース複製状態を確認し、複製を開始する

Get-MailboxDatabaseCopyStatus -Identity 'Database01' Update-MailboxDatabaseCopy -Identity 'Database01\EXCAS02'

参考

http://www.yusufozturk.info/exchange-server/hosted-exchange-2010-setup-guide-part-2.html

ひと目でわかるExchange Server 2010

posted with amazlet at 12.12.23

エディフィストラーニング株式会社 竹島友理 飯室美紀 田島静
日経BP社
売り上げランキング: 170,625

Amazon.co.jp で詳細を見る

Microsoft Exchange 2010 Powershell Cookbook: Manage and Maintain Your Microsoft Exchange 2010 Environment With Windows Powershell 2.0 and the Exchange Management Shell

posted with amazlet at 12.12.23

Mike Pfeiffer
Packt Publishing
売り上げランキング: 68,493

Amazon.co.jp で詳細を見る

PowershellでExchange 2010サーバー証明書を更新する

Exchange 2010サーバー証明書の更新にPowershellコマンドが使えます。手順を簡単に書いておきます。

・Get-ExchangeCertificateコマンドで更新対象となる証明書を特定する。

・証明書のthumbprintの値を記録し、下記のようにコマンドを実行する。

Get-ExchangeCertificate -Thumprint <thumbprint> | Renew-ExchangeCertificate -GenerateRequest:$True -PrivateKeyExportable:$True

・上記のコマンドを実行すると、図のような出力が表示されます。これはCSRで、Root CAにサブミットする必要があります。

・証明書を要求するWebサイト（http://CAServername/certsrv）にアクセスし、「証明書を要求する」をクリックする。

・「証明書の要求または更新要求の送信」画面でCSRを「保存された要求」のテキストフィールドにコピーする。証明書テンプレートをWebサーバーに設定する。送信ボタンをクリックする

・「証明書は発行されました」ページで、「証明書のダウンロード」をクリックし、Web サーバーの任意のフォルダに証明書を保存します。

・CAから発行された証明書（例：CAS.cer）を下記のコマンドを使ってインポートする

Import-ExchangeCertificate  -FileData ([Byte[]]$(Get-Content -Path C:\temp\CAS.cer -Encoding Byte -ReadCount 0))

・最後に証明書を有効にする（Exchangeサービスへの割り当て）

Enable-ExchangeCertificate -Thumprint <Thumbprint> -Services IIS,IMAP,POP,SMTP

Exchange Server 2013 CASのプロキシ＆リダイレクションの動き

 

 

Reference：A closer look at the changes in the Client Access Infrastructure in Exchange Server 2013

OutlookからExchange Serverへの接続について

Exchange Server 2013 Previewを触っていて、Outlook2007から接続してみようと思ったら、エラーが発生し接続できませんでした。

調査のついでにOutlookから各バージョンのExchange Serverへの接続をまとめてみました。

OutlookのバージョンはExchangeのバージョンに対応していることを前提にします。

 

▶Exchange 2003

Exchange 2003では、役割的にFront End,Back Endに分かれたが、社内ネットワークのOutlookクライアントからの接続はMAPI RPCを使用して行います。OutlookはBack Endサーバーに直接アクセスします。

Outlook初回起動時に（プロファイル作成）、設定画面でExchange サーバー、ユーザーアカウントを指定してあげて、メールボックスに接続できるようになります。

※MAPI（Messaging Application Programming Interface）とはメッセージを送受信するアプリケーション用にマイクロソフトが作成した規約です。

RPC（Remote Procedure Call）とはリモートコンピュータ上で稼働するサービスを呼び出すためのプロトコルです。

 

▶Exchange 2007

Exchange 2007では、MBX,CAS,HUB,UM,Edge5つの役割に分割されて、Outlook以外のアクセスはCASサーバーを経由するが、社内のOutlookアクセスはExchange 2003時のようにMAPI RPCでMBXサーバーに直接接続します。

Exchange 2007になって、自動検出（Autodiscover）機能が導入されています。初回アクセス時に、Outlookは自動検出でプロファイルを作成するために必要なExchange構成情報を取得します。こうすることによってExchange サーバーを入力することなく、自動的にプロファイルの作成ができるようになります。

※自動検出の仕組み

・CAS役割をインストールすると、ADにサービス接続ポイント（SCP、CASのURLが含まれる）が自動的に構成されます。

・Outlookの初回起動時にExchange ServerはADの情報を使用してOutlook構成テンプレートを作成します。テンプレートにはAD,Exchangeに関する情報が含まれています。

・OutlookはSCPを使ってCASサーバーで自動検出サービスを検索します。

・Outlookが、必要な構成情報を自動検出サービスからダウンロードしてプロファイルを作成します。

 

▶Exchange 2010

Exchange 2010では、役割的に2007と変わっていませんが、CASの役割にはRPCクライアントアクセスサービスが導入されました。この変更によって、Outlookは前のバージョンのようにMAPI RPCでMBXサーバーと通信するのではなく、CASサーバーを介してMAPI RPCを使用してMBXサーバーに接続するようになりました。

Outlook起動時に、自動の場合は、2007の時と変わりはありません。手動の場合は、Exchange ServerをCASに指定します。

 

▶Exchange 2013

Exchange 2013 Previewでは、アーキテクチャが大きく変更されたといえるでしょう。役割が2つ（CAS,MBX）になりました。役割の数が少なくなっていますが、前のバージョンの各種サービスがほとんど残っています。CASサービス、MBXサービス、HUBサービス、UMサービスがMBXサーバーに存在しているので、MBXサーバーの機能が強化され、担当するタスクが多くなっています。一方、CASの仕事は少なくなっています。認証、リダイレクション、プロキシなどの機能しか提供しません。

そのため、OutlookからExchangeサーバーへのアクセスも変わっています。2010では、接続ポイントがCAS ArrayのFQDNになっていますが、2013では、接続ポイントは（ユーザーメールボックスのGUID＋＠＋UPNサフィックス）のような形式になっています。OutlookとCASの間で、RPC over HTTPS（MAPIをHTTPSでカプセル化する）通信が行われます。OutlookはCASサーバーへアクセスして、CASサーバーでユーザー認証が行われたら、HTTPSトラフィックが該当のMBXサーバーにリダイレクトされます。

Outlook初回起動時に、前のバージョンのように、Autodiscoverを使用して、新しい接続ポイントを探します。

 

テスト環境でOutlook2007からExchange 2013に接続してみたが、図のように、ステップ2のところで止まっています。原因はまだ不明。

Exchange Server 2013 Previewのいろいろ

引き続き、Exchange Server 2013 Previewに関する投稿です。

 

▶アーキテクチャの変更

Exchange2007,2010ではCAS,MBX,HUB,Edge,UM５つの役割があったが、Exchange 2013になって、Exchange 2003のように2つの役割（CAS、MBX）に統合されています。

せっかく役割を分割したのに、なぜまた統合するの？と思う方もいるかもしれません。それは、開発時点で制約があるからです。Exchane 2007開発中の主要な制約はCPUのパフォーマンスでした。パフォーマンスを保つために、役割の分割によってサーバー台数を増やす（スケールアウト）ように設計しました。しかし、役割の分離にはメリットばかりではありません、デメリットも当然あります。例えば、サイトごとにすべての役割が必要、名前空間の複雑さ、高価なレイヤー7のHB負荷分散が必要などあります。

今CPU処理能力も高くなり、価格も安くなっているので制約ではなくなりました。そのため、Exchange 2013ではサーバーの役割の数をCASとMBXの 2 つに削減するようになりました。

Exchange 2013 Preview アーキテクチャには、以下のような利点があります

• バージョン アップグレードの柔軟性   厳密なアップグレード要件はなくなりました。クライアント アクセス サーバーは、メールボックス サーバーとは独立して任意の順序でアップグレードできます。
• 地理的柔軟性   クライアント アクセス サーバーとメールボックス サーバー間のすべての通信は HTTP を介して行われるため、すべての役割をすべてのサイトに設定しておく必要はありません。HTTP は、低帯域、高遅延ネットワークにとってはかなり良好なプロトコルです。必要ならば、すべてのプロトコル トラフィックに対して中央のクライアント アクセス サイトを用意することもできます。
• セッション中立   Exchange 2010 では、クライアント アクセス サーバーの役割に対するセッション類似性がいくつかのプロトコルで必須でした。Exchange 2013 プレビュー では、クライアント アクセス コンポーネントとメールボックス コンポーネントは、同じメールボックス サーバーに存在します。クライアント アクセス サーバーはデータ表示を行っていないため、クライアント アクセス サーバー間で問題なくトラフィックをラウンドロビンできます。DNS ラウンドロビンは、小規模な展開ではオプションになります。
• 展開の単純さ   Exchange 2010 のサイト回復設計では、最大 8 つの異なる名前空間が必要でした。Exchange 2013 プレビュー では、名前空間の最小数は 2 つまで削除されています。

 

☆CAS（CAFE：Client Access Frond End）

認証、リダイレクション、プロキシサービスしか提供しない。データの表示を行わない。キューまたは格納されるものは何もない。OWAレンダリングは行わない

HTTPのようなステートレスプロトコルしかサポートしない。レイヤー７の負荷分散が必要がなくなる。DNSラウンドロビンをサポートする。

Outlookからの接続がHTTPS（RPC over HTTPS）で行われる。従来のMAPI（RPC)がサポートされない。Outlookクライアントからサーバーの FQDN への接続は行わない。Outlook は、新しい接続ポイント (メールボックス GUID（ExchangeGUID） + @ + UPN サフィックスで構成される) を自動検出する。

 

☆MBX（Back End)

CAS、HUB、MBX、UMのサービスが含まれる

OWAレンダリング、メッセージルーティング、ルールやポリシー処理などすべてMBXで行われる

 

▶ストレージ

Exchane 2013では、従来のデータベースエンジン（ESE）が引続き採用され、Exchange 2010と比べてディスクI/Oを最大50%削減します。JBOD（RAIDなし）サポート、SATAドライブも強化されています。これらの機能によって、安価なストレージの構成が可能になり、コストを削減できます。

 

▶管理

Exchange 管理コンソール（EMC）がなくなりました。WEBベースのExchange Administration Center（EAC）が導入されています。EACは従来のECPの拡張みたいで、ECPでEMCの操作も実施できるようになったという感じ。Webベースなので、いろんなところからExchangeの管理ができるということは大きなメリットですね。

 

▶パブリックフォルダ

パブリックフォルダはExchange 2013ではなくなっていません、再設計されました。パブリックフォルダはパブリックフォルダメールボックスに保存されるようになりました。基本的にすべてのパブリックフォルダはパブリックフォルダメールボックスにマッピングする必要があります。パブリックフォルダメールボックスは普通のメールボックスのように管理できます。この変更のメリットとしては、パブリックフォルダデータの複製、可用性はDAGで実現できる。デメリットは、DAGには複数レプリカが存在するが、アクティブできるのは1つしかない。

 

▶SharePointとの統合

Exchange 2013ではサイトメールボックスと呼ばれるMBXがあります。サイトメールボックスはSharePointチームサイトにリンクされます。ドキュメントがサイトメールボックスに送信されたり、ドラッグされたりする時にドキュメントはSharePointのサイトに保存され、メッセージはExchangeに残ります。この機能の実現には、Outlook 2013が必要です。

 

▶エンドユーザーの生産性

サイトメールボックスのほか、OWAの機能も強化されています。タッチ、オフラインアクセスなどがサポートされています。エンドユーザーさんはいろんなデバイス（デスクトップ、タブレット、モバイル）からOWAへアクセスできます。

 

テスト環境でOutlook2007でMBXに接続しようと思いますが、なかなかうまくいきません。アーキテクチャが変わって、Outlookからの接続がどうなるのかは、もうちょっと調べてみたいと思います。

Exchange Server 2013 Previewを体験してみた

Exchange Server 2013 Previewをインストールできて、早速使ってみました。変更点や感想などを記載しておきます。

 

・Exchange 2007からのHUB役割がなくなり、Front End Transport Service、Hub Transport Service、Mailbox Transport Serviceが導入され、メール転送などの機能を実現しています。

Front End Transport ServiceはCASサーバー上に動作し、Hub Transport Service、Mailbox Transport ServiceはMBXサーバー上に動作するようになっている。

Front End Transport Service：Exchange 2013 プレビュー 組織のすべての送受信用の外部 SMTP トラフィックのステートレス プロキシとして機能します。

Hub Transport Service：以前のバージョンの Exchange のハブ トランスポート サーバーの役割と実質的に同じです。ハブ トランスポート サービスは、組織のすべての SMTP メールフローを処理し、メッセージを分類し、メッセージの内容を検査します。以前のバージョンの Exchange とは異なり、ハブ トランスポート サービスは、直接メールボックス データベースとの通信を行いません。この作業は、メールボックス トランスポート サービスによって処理されるようになりました。ハブ トランスポート サービスは、メールボックス トランスポート サービス、ハブ トランスポート サービス、フロントエンド トランスポート サービスの間でメッセージをルーティングします。

Mailbox Transport Service：このサービスはメールボックス トランスポート送信サービスとメールボックス トランスポート配信サービスの 2 つのサービスで構成されています。メールボックス トランスポート配信サービスは、ハブ トランスポート サービスから SMTP メッセージを受信し、Exchange リモート プロシージャ コール (RPC) を使用してメールボックス データベースに接続してメッセージを配信します。メールボックス トランスポート送信サービスは、RPC を使用してメールボックス データベースに接続してメッセージを取得し、そのメッセージを SMTP 経由でハブ トランスポート サービスに送信します。

 

 

・Exchange Server 2013 PreviewではWindows 2008 R2以降のOSがサポートされます

・Outlook 2003をサポートしません。

・前のバージョンのExchange 管理コンソール（EMC）がなくなり、代わりにWebベースのExchange Administration Center（EAC）が追加されています。

ECPのURLから、接続できます。特徴はWebベースのシングルなインターフェイス、管理タスクを簡単に実行できる、マルチプラットフォームサポートなどが挙げられます。

EMCでのPowershell学習機能（ウィザードで操作する時にPowershellコマンドの表示のような機能）がなくなりました。管理シェルを勉強するには非常に便利な機能なので、Preview以降のバージョンで復活するといいですね。

 

・メモリを6GB割り当てているのに、つねに95%が使われていて、かなりメモリを食っている感じ。

・OWAがこんな感じになりました。

 

 

問題も幾つかありました。

▶インストール直後、EACにアクセスすると、

型’Microsoft.Exchange.Management.Security.AdfsFederationAuthModule’　を読み込めませんでした。

「英語の場合：Could not load type ‘Microsoft.Exchange.Management.Security.AdfsFederationAuthModule’」　というエラーメッセージが表示されます。

解決策としては、Windows 機能「Windows Identity Foundation 3.5」をインストールする必要があります。インストールだけでいい、OS再起動する必要はありません。

完了したら、再度接続すると、以下の画面が出ます。

 

 

▶ユーザーとパスワードを入力し、サインインをクリックしたら、”予期しないエラー”メッセージが表示されます。同時にイベントログにもエラーが出力されました。

”ファイルまたはアセンブリ 'Microsoft.IdentityModel, Version=3.5.0.0, Culture=neutral, PublicKeyToken=31bf3856ad364e35'、またはその依存関係の 1 つが読み込めませんでした。指定されたファイルが見つかりません”　

 

解決方法

lodctr /rを実行して、パフォーマンスカウンターを再構築する。

iisresetでiisサービスを再起動する

Configuring an Inbound and Outbound SMTP Relay to Complement ISA 2004 Firewall Protection for Exchange Servers

Configuring an Inbound and Outbound SMTP Relay to Complement ISA 2004 Firewall Protection for Exchange Servers:

'via Blog this'

Sending messages as another user, as well as distribution groups or public folders.

This article takes a look at methods for sending messages as another user, as well as distribution groups or public folders.

Exchange 2003 からExchange 2010へのアップグレードのガイド

Rapid transition guide from Exchange 2003 to Exchange 2010

Exchange Server データベースとデータベース可用性グループを削除

GUIでメールボックスデータベースを削除しようとする時に、エラー画面がよく出てきます。エラーが出るのがすごく嫌いです。PowerShell コマンドで実施したほうがいいと思います。しかもこれもMSの推奨のやり方です。

１：メールボックスデータベースを削除するには、事前にデータベース中のメールボックスを無効、別のデータベースに移動、または削除する必要があります。

まずは、データベース内のメールボックスを削除する
　　Get-Mailbox -Database [database name] | Foreach{ Remove-Mailbox -Identity $_ }

次に、データベース自体を削除する
　　Remove-MailboxDatabase -Identity [database name]


２：DAGを削除するには、先にDAGに参加しているメンバーサーバーを削除する必要があります。
　　
メンバーサーバーを一つずつ削除する
　　Remove-DatabaseAvailabilityGroupServer -Identity [DAG name] -MailboxServer [mailbox server name]

DAGを削除
　　Remove-DatabaseAvailabilityGroup -Identity [DAG name]