exchange server 2010 ステップバイステップガイド … server は、米国 microsoft...

Exchange Server 2010 ステップバイステップガイド

インストール編［SP1］

当ガイドは、株式会社大塚商会の協力を得て作成されました。

著作権

このドキュメントに記載されている情報（URL 等のインターネット Web サイトに関する情報を含む）は、将来予告なしに変更すること

があります。別途記載されていない場合、このソフトウェアおよび関連するドキュメントで使用している会社、組織、製品、ドメイン名、電

子メールアドレス、ロゴ、人物、場所、出来事などの名称は架空のものです。実在する名称とは一切関係ありません。お客様ご自身の

責任において、適用されるすべての著作権関連法規に従ったご使用を願います。

マイクロソフトは、このドキュメントに記載されている内容に関し、特許、特許申請、商標、著作権、またはその他の無体財産権を有する

場合があります。別途マイクロソフトのライセンス契約上に明示の規定のない限り、このドキュメントはこれらの特許、商標、著作権、また

はその他の無体財産権に関する権利をお客様に許諾するものではありません。

2011 Microsoft Corporation.All rights reserved.

Microsoft、Active Directory、ActiveSync、Microsoft Press、MSDN、Outlook、Windows、Windows Mobile、Windows NT、および

Windows Server は、米国 Microsoft Corporation の米国およびその他の国における登録商標または商標です。

記載されている会社名、製品名には、各社の商標のものもあります。

このテキストの中で使用しているアイコンの意味は以下のとおりです。 (One Point) 補足情報

(実習）実習タイトル

はじめに

本ガイドは、Exchange Server 2010 を社内に導入するために必要な情報を以下の章に分けて説明していま

す。

第一部インストール前の検討事項

Exchange Server の役割モデルについて説明しています。また、インストール前に検討すべき項目に

ついて説明しています。

第二部最小構成の Exchange Server 2010 導入

一台の物理サーバーに Exchange Server 2010 をインストールする手順について詳細に説明してい

ます。

第三部役割別の Exchange Server 2010 導入

複数台の物理サーバーに Exchange Server 2010 を役割別にインストールする手順について詳細に

説明しています。

第四部導入後に行う作業

Exchange Server 2010 のインストール完了後に行う作業(メールボックスの作成、送受信の確認)について説明しています。

第五部 Exchange Server への証明書の発行

Exchange Server とクライアントの通信を安全に暗号化するため、Exchange Server に対し証明書

を発行し利用する方法を説明しています。

第六部 Rights Management Service と Exchange Server 2010 の連携

Rights Management Service（RMS）を利用し、メッセージにアクセス権を設定してメッセージの

Information Rights Management（IRM）保護を行う方法を説明しています。

目次

第一部インストール前の検討事項............................................................................................................................ 1 1.1 Exchange Server 2010 サーバーの役割 ...................................................................................................... 2 1.2 システム要件....................................................................................................................................................... 4

第二部最小構成の Exchange Server 2010 導入............................................................................................... 6 2.1 今回構築するシステム構成 .............................................................................................................................. 7 2.2 全体の構築手順................................................................................................................................................ 9 2.3 フォレスト機能レベルを上げる .......................................................................................................................... 10 2.4 Windows コンポーネントのインストール ......................................................................................................... 13

2.4.1 Windows Server 2008 SP2 へのインストール............................................................. 14 2.4.2 Windows Server 2008 R2 へのインストール（参考） ................................................ 16

2.5 インストーラーの実行 ........................................................................................................................................ 19

第三部役割別の Exchange Server 2010 導入 ................................................................................................. 32 3.1 今回構築するシステム構成 ............................................................................................................................ 33 3.2 全体の構築手順.............................................................................................................................................. 35 3.3 フォレスト機能レベルを上げる .......................................................................................................................... 36 3.4 Exchange サーバーの個別の役割のインストール ......................................................................................... 37

3.4.1 ハブトランスポートの役割のインストール................................................................ 37 3.4.2 クライアントアクセスの役割のインストール ............................................................ 51 3.4.3 メールボックスの役割のインストール ......................................................................... 61

第四部導入後に行う作業....................................................................................................................................... 71 4.1 メールボックスの作成 ........................................................................................................................................ 72 4.2 送受信の確認 .................................................................................................................................................. 78

4.2.1 Exchange Server 2010 におけるアクセス機能概要..................................................... 78 4.2.2 メールを送受信するための Outlook 2007 の設定 ........................................................ 78 4.2.3 Outlook Web App（OWA）を利用したメールの送受信 .............................................. 80

第五部 Exchange Server への証明書の発行...................................................................................................... 85 5.1 クライアントアクセスサーバーで使用する証明書について .......................................................................... 86 5.2 検証環境の構築.............................................................................................................................................. 87

5.2.1 システム構成図 ............................................................................................................. 87 5.2.2 CA の構築...................................................................................................................... 89 5.2.3 スタンドアロン CA を信頼されたルート CA として登録 ............................................ 98 5.2.4 サーバー証明書の要求................................................................................................. 101 5.2.5 サーバー証明書の発行..................................................................................................111 5.2.6 サーバー証明書の取得およびインポート ....................................................................112 5.2.7 証明書の登録手順.........................................................................................................114 5.2.8 Outlook Web App（OWA）での確認 ......................................................................... 121

第六部 Rights Management Service と Exchange Server 2010 の連携 .................................................123 6.1 AD RMS を利用した情報の保護と管理 .....................................................................................................124 6.2 検証環境の構築............................................................................................................................................125

6.2.1 前提条件 ...................................................................................................................... 125 6.2.2 システム構成図 ........................................................................................................... 125 6.2.3 Active Directory Rights Management Service（AD RMS）のインストール ....... 127 6.2.4 クライアントの構成 .................................................................................................... 152 6.2.5 Outlook を利用した IRM 保護機能の利用 ................................................................. 158 6.2.6 トランスポートルールを利用しての AD RMS の利用 ............................................... 164 6.2.7 OWA での RMS の有効化 ........................................................................................... 180

Exchange Server 2010 ホワイトペーパーインストール編 1

第一部インストール前の検討事項

この章では、Exchange Server 2010 のインストールに必要となる

情報について説明します。


1.1 Exchange Server 2010 サーバーの役割

Exchange Server 2010 には、Exchange Server 2007 同様、機能によって分類され

た５つの役割が存在します。これらを個別にインストールすることで、堅牢かつ柔

軟な Exchange 環境を簡単に構築でき、また容易な管理や将来における拡張性の向

上も実現することができます。ここでは Exchange Server 2010 の持つ５つの役割について概要を説明します。

Exchange Server 2010 の５つのサーバーの役割は以下のとおりです。

ハブトランスポート（HUB）

ハブトランスポートというサーバーの役割は、Active Directory ディレクト

リサービスと密接に連携し、組織内部のメール転送とルーティングを行います。

また、ハブトランスポートは、コンプライアンス要件を強制するためにメッセ

ージにポリシーを適用します。

クライアントアクセス（CAS）

クライアントアクセスというサーバーの役割は、Outlook Web App、POP3、IMAP4、Outlook Anywhere (以前は、RPC over HTTP と呼ばれていました)、および Exchange Server ActiveSync からメールボックスにアクセスできる

ようになります。

エッジトランスポート（Edge）

エッジトランスポートというサーバーの役割は、ネットワークの境界ネットワ

ークで Exchange 組織に対してウイルス対策およびスパム対策の保護機能を

提供します。

メールボックス（MBX）

メールボックスというサーバーの役割は、メールボックスデータベースをホス

トします。メールボックスデータベースには、ユーザーの電子メール、予定表、

連絡先、および仕事が含まれます。

ユニファイドメッセージング（UM）

ユニファイドメッセージングというサーバーの役割を使用すると、ユーザーは

ボイスメール、電子メール、および予定表の情報を Exchange の受信トレイ

で受け取れるようになります。また、電話から受信ボックスに声でアクセスし

たり、音声認識を使用してタッチトーンメニューまたは声で操作できる音声

に対応した自動応答機能を使用できます。


Exchange Server 2010 のインストールにあたっては、サーバーにどの役割をイン

ストールするかを考慮する必要があります。複数の役割を 1 台のサーバーにインス

トールすることも、各役割を別々のサーバーにインストールすることも可能です。

本ガイドでは、Exchange 環境の構築に最低限必要なハブトランスポート、クライ

アントアクセス、メールボックスの各役割のインストール方法を 2 種類説明しま

す。

１台のサーバーに Exchange Server 2010 を最小構成でインストールする方法

ハブトランスポート、クライアントアクセス、メールボックスの各役割を、

１台のサーバーにインストールする方法です。Exchange 環境の迅速な構築が

可能です。この方法の詳細な手順については、『第二部最小構成の Exchange Server 2010 導入』をご覧ください。

Exchange Server 2010 の各役割を別々のサーバーにインストールする方法

ハブトランスポート、クライアントアクセス、メールボックスの各役割を、

別々のサーバーにインストールする方法です。拡張性、可用性に優れた

Exchange 環境を構築することができます。この方法の詳細な手順については、

『第三部役割別の Exchange Server 2010 導入』をご覧ください。


1.2 システム要件

Exchange Server 2010 を稼動させるために最低限必要なネットワークおよびディ

レクトリサーバーの要件とシステム要件を説明します。

ネットワークおよびディレクトリサーバーの要件

フォレスト機能レベル Exchange Server 2010 をインストールする Active Directory フォレストの機

能レベルは、［Windows Server 2003］以上である必要があります。このため、フォレスト内のすべての Active Directory ドメインの機能レベルが

［Windows Server 2003］以上である必要があります。

ドメインコントローラ Exchange Server 2010 をインストールする各 Active Directory サイトには、

Windows Server 2003 （x86/x64）SP1 以降を実行しているドメインコント

ローラが存在する必要があります。ただし、最新のサービスパックが適用され

た Windows Server 2003 （x86/x64）あるいは Windows Server 2008 （x86/x64）を実行していることが推奨されます。

スキーママスタスキーママスタは、Windows Server 2003 （x86/x64）SP1 以降を実行して

いる必要があります。ただし、最新のサービスパックが適用された Windows Server 2003 （x86/x64）あるいは Windows Server 2008 （x86/x64）を実行

していることを推奨します。

既定では、スキーママスタはフォレスト内に最初にインストールされた Windows ドメインコントローラで実行されます。

グローバルカタログサーバー Exchange Server 2010 をインストールする各 Active Directory サイトには、

グローバルカタログサーバーが少なくとも 1 つ存在する必要があります。

なお、グローバルカタログサーバーは Windows Server 2003 （x86/x64）SP1以降を実行している必要があります。ただし、最新のサービスパックが適用さ

れた Windows Server 2003 （x86/x64）あるいは Windows Server 2008 （x86/x64）を実行していることが推奨されます。


Exchange Server 2010 を実行するサーバーの要件日本語版オペレーティングシステム Microsoft Windows Server 2008 SP2

Standard x64 Edition または Enterprise x64 Edition もしくは Microsoft Windows Server 2008 R2 Standard x64 Edition または Enterprise x64 Edition

CPU 以下のいずれかを搭載した x64 アーキテクチャベースのコンピューター・Intel 64 アーキテクチャ (以前の Intel EM64T) をサポートする Intel プロセッサを搭載する x64 アーキテクチャベースのコンピューター・AMD64 プラットフォームをサポートする AMD プロセッサ ※Intel Itanium IA64 プロセッサはサポートされていません

ファイルフォーマット以下のパーティションが NTFS である必要があります・システムパーティション・Exchange バイナリを格納するパーティション・トランザクションログファイルを含むパーティション・データベースファイルを含むパーティション・Exchange 関連のその他のファイルを含むパーティション

メモリ・すべてのロールを１つのサーバーにインストールする場合：最小：8 GB の RAM 推奨：8GB の RAM にメールボックスあたり 2~10 MB を加えた RAM ・エッジトランスポート最小：4GB の RAM 推奨：CPU コアごとに 1GB（合計 4~8GB）・ハブトランスポート最小：4GB の RAM 推奨：CPU コアごとに 1GB（合計 4~8GB）・クライアントアクセス最小：4GB の RAM 推奨：CPU コアごとに 2GB（合計 2~8GB）・ユニファイドメッセージング最小：4GB の RAM 推奨：CPU コアごとに 2GB（合計 4~8GB）・メールボックス最小：4GB の RAM 推奨：4GB の RAM にメールボックスあたり 2～10MB を加えた RAM

ハードディスク Exchange をインストールするドライブ上：最小 1.2 GB のディスクの空き領域システムドライブ：最小 200 MB のディスクの空き領域メッセージキューデータベースのあるエッジトランスポートサーバーまたはハブトランスポートサーバー：最小 500MB の空き領域さらに、インストールするユニファイドメッセージング (UM) の言語パック

ごとに、追加で 500 MB のディスクの空き領域が必要ディスク装置 DVD-ROM ドライブ

※管理ツールのみをインストールする場合、OS として Windows Vista SP2 以降、

Windows 7、Windows Server 2008 各エディションの 64 ビット版を利用可能です。サーバーのスペックや台数に関しては、サイジングテストを行うか、マイクロソフ

ト認定パートナーへご相談ください。


第二部最小構成の Exchange Server 2010 導入

この章では、メールボックス、クライアントアクセス、ハブトラ

ンスポートの各役割を１台の物理サーバーにインストールする手順

を説明します。この章を読むことで、Exchange Server 2010 の基

本的なインストール手順を理解することができます。


2.1 今回構築するシステム構成

今回は、１フォレスト／１ドメイン構成において Exchange Server 2010 を 1 台の

サーバーに導入する手順を実習します。Active Directory と Exchange Server 2010は同一マシンで構築することも可能ですが運用環境として推奨されないため、今回

は別の異なるサーバーとして構築します。

クライアント Active Directory

内部 DNS サーバー

192.168.1.21

Server 名:CONT-DC01

Exchange Server 2010

192.168.1.31

Server 名:EX-ALL

内部ネットワーク

192.168.1.x

Contoso.com


また、以下の作業が終了していることを前提としています。対象サーバー名作業内容

Windows Server 2008 SP2 のインストール Active Directory による contoso.com ドメイン構築

CONT-DC01

Windows Server 2008 のセキュリティパッチ適用

Windows Server 2008 SP2 (64bit) のインストール Windows Server 2008 SP2 (64bit) のセキュリティパッチ適用ドメイン名の DNS 名前解決

EX-ALL

Contoso.com ドメインへの参加

Windows Server 2008 のインストールに関しては http://technet.microsoft.com/ ja-jp/library/cc755116(WS.10).aspx などを、Active Directory 導入方法に関して

は http://technet.microsoft.com/ja-jp/library/cc755258(WS.10).aspx などを参考

にしてください。

サーバー名説明ドメイン Contoso.com IP アドレス 192.168.1.21 サーバー名 CONT-DC01

CONT-DC01

OS Windows Server 2008 SP2 組織名 First Organization（1 フォレストに 1 組織名を指定します） IP アドレス 192.168.1.31 サーバー名 EX-ALL

EX-ALL

OS Windows Server 2008 SP2 (64bit)

詳細なシステム要件については以下を確認してください（リンク先は英語の場合が

あります） http://technet.microsoft.com/ja-jp/library/aa996719(EXCHG.140).aspx


2.2 全体の構築手順

第二部で行う構築手順は以下のとおりです。

フォレスト機能レベルを上げる

インストーラーの実行

構築後の確認

.NET Framework 3.5 SP1 のインストール

WinRM 2.0 および Windows Power Shell 2.0

のインストール

Exchange Server 2010 のインストール

メールボックスの作成

送受信の確認

Windows コンポーネントのインストール

更新プログラムの適用

Microsoft フィルタパックのインストール

サーバーの役割と機能の追加



2.3 フォレスト機能レベルを上げる

Exchange Server 2010 をインストールするためには、 Exchange Server 2010 をイ

ンストールするフォレストの機能レベルが［Windows Server 2003］以上である必

要があります。このためフォレストの機能レベルが［Windows Server 2000］である場合、フォレス

トの機能レベルを上げる必要があります。

注意：フォレストの機能レベルを上げると、フォレスト内のすべてのドメインのレベルが自動

的に対応したドメイン機能レベルへと引き上げられます。フォレスト内のすべてのドメインが新しいドメイン機能レベルに対応できることを確認してか

らこの操作を行ってください。

注意：フォレスト機能レベルおよびドメイン機能レベルは一度上げると元に戻すことはできま

せん。

以下ではフォレストの機能レベルを［Windows Server 2003］に上げ、同時にフ

ォレスト内のすべてのドメインの機能レベルを上げる手順を説明します。

フォレストの機能レベルを上げる

注意：ドメインコントローラ（CONT-DC01）で、以下の手順を実行してください。なお、既に

フォレストの機能レベルが［Windows Server 2003］以上である場合はこの作業は必要

ありません。

1. ［スタートメニュー］の［管理ツール］より、［Active Directory ドメインと

信頼関係］を開きます。

2. 右ペインの［Active Directory ドメインと信頼関係］を右クリックし、［フォ

レストの機能レベルを上げる］をクリックします。


3. ［フォレストの機能レベルを上げる］ウィンドウが開かれます。フォレストの機能レベルを［Windows Server 2003］もしくは［Windows Server 2008］に設定します。今回は［Windows Server 2003］を選択し、［上げる］

をクリックします。

4. フォレスト内のすべてのドメインの機能レベルが上がることへの警告メッセ

ージが表示されます。問題がないことを確認し、［OK］をクリックします。

5. 結果が表示されます。確認し［OK］をクリックします。


6. 元の画面に戻り、［現在の機能レベル］が［Windows Server 2003］であるこ

とを確認し、画面を閉じます。


2.4 Windows コンポーネントのインストール

Exchange Server 2010 をインストールするためには、別途いくつかの Windows コンポーネントやモジュールをあらかじめインストールしておく必要があります。ここでは必要となる Windows コンポーネントのインストール方法や他の必要なコ

ンポーネントの入手方法について説明します。 Exchange Server 2010 をインストールする際に必要となる Windows コンポーネ

ントやモジュールは、インストールしようとする Exchange Server の役割によって

異なります。役割によらず Exchange Server 2010 をインストールする場合に必要になるコンポ

ーネントは、セットアップを実行する際にリンクとして示されます。

インターネットに接続されている環境であればこのリンクをクリックし、必要なコ

ンポーネントをダウンロードすることができます。セットアップの起動方法については『2.5 インストーラーの実行』を参照してくだ

さい。


2.4.1 Windows Server 2008 SP2 へのインストール

注意：以下は Windows Server 2008 SP2 へのインストールを前提として記載されていま

す。Windows Server 2008 R2 へインストールを行う場合は「2.4.2 Windows Server 2008 R2 へのインストール（参考）」を参照してください。

最小構成で Exchange Server 2010 のインストールを行う場合、以下のコンポーネ

ントをすべてインストールします。すべての役割および管理ツールに共通必要なコンポーネント入手先

.Net Framework 3.5 SP1 http://go.microsoft.com/fwlink/?LinkId=110461

（Windows Update により新の状態にすることでも入手可能）

.Net Framework 3.5 SP1 の

更新プログラム

KB959209（http://support.microsoft.com/?kbid=959209）

ダウンロードセンターよりダウンロードするにはこちら

Windows Remote Management

( WinRM ) 2.0 および Windows Power

Shell V2

http://go.microsoft.com/fwlink/?LinkId=157601

ハブトランスポートおよびメールボックスの役割に必要・Exchange Server 2010（SP 未適用）をインストールする場合必要なコンポーネント入手先

2007 Office System コンバータ：

Microsoft フィルタパック http://go.microsoft.com/fwlink/?LinkId=123380

・Exchange Server 2010 SP1 をインストールする場合必要なコンポーネント入手先

Microsoft Office 2010 フィルタパック http://go.microsoft.com/fwlink/?LinkId=179530

今回は単一のサーバーにすべての役割をインストールするため、上記すべてのコン

ポーネントをインストールする必要があります。インストールは、まず「すべての役割および管理ツールに共通」のコンポーネント

からインストールを行うようにします。次にサーバーの役割や機能をインストールします。これらはインストールするサーバーの役割ごとに異なります。Exchange Server 2010 ではそれらの機能をインストールするためのスクリプトが用意されています

ので、インストールしたい機能に応じて実行します。


ハブトランスポート、クライアントアクセス、メールボックスの役割をインスト

ールする最小構成の場合は、以下の手順に従って必要なサーバーの機能をインスト

ールします。

サーバーの役割のインストール

注意：Exchange Server 2010 をインストールするコンピュータ（EX-ALL）で操作を行いま

す。

1. サーバーに CONTOSO¥Administrator アカウントにてログオンします。

注意：以降、サーバー上で操作を行う際は、別途記載がある場合を除き、

CONTOSO¥Administrator アカウントで作業を行います。

2. Exchange Server 2010 インストール DVD を DVD ドライブに挿入します。

3. Exchange のインストールウィザードが起動した場合は、いったん終了させま

す。

4. ［スタートメニュー］から［コマンドプロンプト］を実行します。

5. コマンドプロンプトが起動します。

6. あらかじめ Exchange Server 2010 インストール DVD が挿入されているドラ

イブのドライブレターを確認し、以下のコマンドを実行します。ここでは Eドライブとします。

注意：ドライブレターは環境に応じて適宜書き換えて実行してください。

＞ ServerManagerCmd -ip E:\Scripts\Exchange-Typical.xml -Restart

7. 自動的に再起動が行われます。以上でサーバーの役割および機能のインストー

ルは完了です。

クライアントアクセスの役割をインストールするサーバーでは、あらかじめ

［Net.TCP Port Sharing サービス］のスタートアップの種類を［自動］に変更し

ておく必要があります。以下の手順を実施します。

Net.TCP Port Sharing サービスのスタートアップ変更


す。

1. ［スタート］－［管理ツール］より、［サービス］を起動します。

2. サービスの一覧から、［Net.TCP Port Sharing］サービスを右クリックし［プ


ロパティ］をクリックします。

3. ［スタートアップの種類］を［自動］に変更し［OK］をクリックします。

以上でサーバーの事前準備は完了です。

完了後、Exchange Server のインストール前に Windows Update によりサーバーを

最新の状態にしておくことをお勧めします。

以降、Exchange Server 2010 のインストーラーを実行し、サーバーに Exchangeをインストールします。『2.5 インストーラーの実行』を参照してください。

2.4.2 Windows Server 2008 R2 へのインストール（参考）

本自習書ではWindows Server 2008 SP2へのExchange Server 2010のインストー

ルを前提に手順を紹介しています。Windows Server 2008 R2 へ Exchange Server 2010 をインストールする場合は以下の手順に従ってコンポーネントのインストー

ルなど Exchange Server をインストールするための事前準備を行います。

Windows Server 2008 SP2の場合と同様にExchange Server 2010を最小構成でイ

ンストールしたい場合には下記コンポーネントをインストールします。ハブトランスポートおよびメールボックスの役割に必要・Exchange Server 2010（SP 未適用）をインストールする場合必要なコンポーネント入手先






注意：Windows Server 2008 SP2 で必要とされたコンポーネントの多くは Windows Server 2008 R2 に既に含まれているため必要ありません。

コンポーネントのインストールが完了したら、次にサーバーの役割や機能をインス

トールします。これらはインストールするサーバーの役割ごとに異なります。

ハブトランスポート、クライアントアクセス、メールボックスの役割をインスト

ールする最小構成の場合は、以下の手順に従って必要なサーバーの機能をインスト

ールします。



す。




2. ［スタートメニュー］－［すべてのプログラム］－［アクセサリ］－［Windows Power Shell］より［Windows Power Shell］を起動します。

3. 次のコマンドを実行します。

＞ Import-Module ServerManager

4. 次のコマンドを実行し、必要なサーバーの機能をインストールします。（実際

には１行で入力します。）インストール後は、自動的に再起動が行われます。

＞ Add-WindowsFeature NET-Framework,RSAT-ADDS,Web-Server,Web-Basic-Auth,


Web-Windows-Auth,Web-Metabase,Web-Net-Ext,Web-Lgcy-Mgmt-Console,

WAS-Process-Model,RSAT-Web-Server,Web-ISAPI-Ext,Web-Digest-Auth,

Web-Dyn-Compression,NET-HTTP-Activation,RPC-Over-HTTP-Proxy –Restart

5. 再起動後、［スタート］－［管理ツール］より、［サービス］を起動します。







以降、Exchange Server 2010 のインストールウィザードなどは Windows Server 2008 SP2 の場合と同一ですので、同様に操作してください。続いて『2.5 インス

トーラーの実行』を参照してください。


2.5 インストーラーの実行

インストールに必要なすべてのコンポーネントのインストール後、Exchange Server 2010 のインストーラーを起動し、インストール作業を行います。インストールの手順はインストーラー上にリンクとして表示されており、手順の内

容などはリンクをクリックすることで参照できます。またインターネットに接続さ

れていればそのリンクから必要なコンポーネントをダウンロードすることが可能で

す。



す。

1. Exchange Server 2010 セットアップ DVD を DVD ドライブに挿入します。

2. 自動的にセットアップが開始されます。開始されない場合は DVD に格納され

ている Setup.exe を実行します。

3. インストールウィザードが開始されます。 Exchange Server 2010 インストールの前提条件がクリアされている場合、ス

テップ１、２はグレーアウトしています。グレーアウトしていない場合は必要

なコンポーネントがインストールされていませんので、必要に応じて各手順の

リンクをクリックし、コンポーネントをインストールします。

4. 前提条件が満たされている場合は、［ステップ３：Exchange 言語オプション

の選択］をクリックします。


5. オプションが展開されます。言語を日本語に設定する場合は［言語バンドルか

らすべての言語をインストールする］を選択します。

6. 言語パックの場所を指定します。

インターネットに接続されている場合：［インターネットから最新の言語パックバンドルをダウンロードする］を選択します。インターネットに接続されていない場合：あらかじめ以下の URL から［言語パックバンドル］をダウンロードして用意します。

・Exchange Server 2010 (SP 未適用)をインストールする場合


・Exchange Server 2010 SP1 をインストールする場合



次に［ハードドライブまたはネットワーク共有上の言語ファイルのパスを指定

する］を選択し、［参照］をクリックして言語パックバンドルのファイルのパ

スを指定します。

7. ［次へ］をクリックすると、自動的に言語パックバンドルが展開されます。展開が完了したら［完了］をクリックし、ウィザードへ戻ります。


8. ［ステップ 4：Microsoft Exchange のインストール］をクリックします。

9. ウィザードが開始されます。

［次へ］をクリックします。


10. 使用許諾契約書が表示されます。使用許諾書に同意できる場合は［使用許諾契

約書に同意します］を選択し、［次へ］をクリックします。

11. エラー報告機能の有効化または無効化を選択します。この選択は任意です。選

択し、［次へ］をクリックします。

12. Exchange Server のインストールの種類を選択します。Exchange サーバーの

すべての機能を１台のサーバーで行う場合は［Exchange Server の標準イン

ストール］を選択します。こちらを選択した場合、サーバーにハブトランスポ


ート、クライアントアクセスおよびメールボックスの３つの役割および

Exchange 管理コンソールがインストールされます。

［Exchange Server のカスタムインストール］を選択した場合はこれらの役

割のうち、インストールする役割を個別に指定することができます。

今回は［Exchange Server の標準インストール］を選択します。なお、Exchange Server のインストールパスを変更したい場合はここで変更を

行います。今回は既定値をそのまま利用します。

設定を終え、［次へ］をクリックします。

SP1

Exchange Server 2010 SP1 のインストール時には、[Exchange Server で必要な

Windows Server の役割と機能を自動的にインストールする]チェックボックスが表示され

ます。このチェックを入れると、Exchange をインストールするために必要な役割・機能を自

動的に追加することができます。今回は既に Exchangeをインストールするために必要な役

割・機能を追加しているため、チェックを入れる必要はありません。


13. Exchange 組織の名前を指定します。今回は既定値のまま、［次へ］をクリッ

クします。

SP1

Exchange Server 2010 SP1 のインストール時には、[Exchange 組織に Active Directory の分散型アクセス許可セキュリティモデルを適用する]項目が表示されます。こ

のチェックを入れると、Exchange サーバーと管理者に Active Directory オブジェクトを管

理する権限が削除されます。Exchange を管理するユーザー・グループと Active Directory を管理するユーザー・グループを完全に分けたい場合にはチェックを入れてくだ

さい。

今回は同じユーザー・グループが Exchange と Active Directory の両方を管理することを

想定し、チェックを入れずに [次へ] をクリックします。


14. Exchange Server 2010 へ接続を行うクライアントの設定を行います。 Outlook 2003 以前のメールクライアントが存在する場合、または今後接続さ

れる可能性がある場合は［はい］を選択します。

ここでは、Exchange Server 2010 に接続されるクライアントに Outlook 2003が存在すると仮定して［はい］を選択し、［次へ］をクリックします。

注意：［いいえ］を選択した場合はパブリックフォルダがインストール時に自動的に生成され

ません。

15. インターネット上からクライアントアクセスサーバーを通して Exchange Server を利用する環境である場合（例：Exchange ActiveSync、Outlook Web App、Outlook Anyware など）は、インターネット上からアクセスするための

外部 URL をここで指定します。セットアップ後に指定することもできます。


ここでは空欄のまま［次へ］をクリックします。

16. ［カスタマーエクスペリエンス向上プログラム］への参加の可否を選択しま

す。この選択は任意です。どちらかの選択肢を選択し、［次へ］をクリックします。

17. Exchange Server 2010 のインストールにあたっての前提条件の確認が行われ

ます。確認は自動的に行われますので、完了するのを待ちます。


SP1

Exchange Server 2010 SP1 をインストールする場合、チェックする項目に [前提条件の構

成] が追加されます。 [Exchange Server で必要な Windows Server の役割と機能を自動的にインストールす

る]オプションを有効にしている場合、この段階で必要な事前構成が行われます。

18. 前提条件をすべてクリアしていることを確認します。いずれかの前提条件を満たしていない場合、インストールが行えません。エラ

ーメッセージが表示された場合は、記載された対処法に従って作業を行います。

前提条件がすべて満たされている場合は次のような画面が表示されますので、

［インストール］を選択します。なお、画面では警告が１つ出ていますが、今回は新規構築であり無視できる内

容ですので［インストール］をクリックし、ウィザードを続行します。


19. インストールが開始されます。


20. インストール完了後、インストールが正常に完了したことを確認し［終了］を

クリックします。

21. インストール完了後、Exchange Server 2010 の更新の有無を確認します。


注意：［ステップ４：Microsoft Exchange のインストール］の項目は、インストール完了後も

グレーアウトしませんが正常な動作です。インストール完了後に再度［ステップ４：Microsoft Exchange のインストール］をクリックした

場合は、Exchange Server の構成の変更などが行える［Exchange 保守モード］ウィザード

が起動します。

22. 以上でインストールは完了です。［閉じる］をクリックします。先の手順で新しい更新の有無を確認しなかった場合は警告が表示されます。確

認し、［はい］または［いいえ］を選択します。

注意：[スタート]-[管理ツール]より［サービス］を起動し、スタートアップの種類が「自動」のサ

ービスが全て［開始］になっていることを確認します。開始していないサービスが存在する場

合は、手動で開始してください。


第三部役割別の Exchange Server 2010 導入

この章では、メールボックス、クライアントアクセス、ハブトラ

ンスポートの各役割をそれぞれ別々の物理サーバーにインストール

する手順を説明します。この章を読むことで、拡張性、可用性に優

れた Exchange 環境を構築する手順を理解することができます。


3.1 今回構築するシステム構成

今回は、１フォレスト／１ドメイン構成において Exchange Server 2010 を３台の

サーバーに導入する手順を実習します。Active Directory と Exchange Server 2010は同一マシンで構築することも可能ですが、実運用環境では推奨されない構成のた

め、今回は別の異なるサーバーとして構築します。なお、第二部で Contoso.com ドメインに Exchange Server 2010 を構築済みですが、

第三部で説明する手順はContoso.comドメインにExchange組織が存在しないもの

として記載しています。

クライアント

Active Directory


192.168.1.21


メールボックス

192.168.1.33

Server 名:EX-MB01

192.168.1.x

Contoso.com

クライアントアクセス

192.168.1.32

Server 名:EX-CAS01

ハブトランスポート

192.168.1.31

Server 名:EX-HUB01




Windows Server 2008 SP2 のインストール Active Directory による Contoso.com ドメイン構築

CONT-DC01

Windows Server 2008 のセキュリティパッチ適用 Windows Server 2008 SP2 のインストール Windows Server 2008 のセキュリティパッチ適用ドメイン名の DNS 名前解決

EX-HUB01

Contoso.com ドメインへの参加 Windows Server 2008 のインストール Windows Server 2008 のセキュリティパッチ適用ドメイン名の DNS 名前解決

EX-CAS01

Contoso.com ドメインへの参加 Windows Server 2008 SP2 のインストール Windows Server 2008 のセキュリティパッチ適用ドメイン名の DNS 名前解決

EX-MB01






CONT-DC01

OS Windows Server 2008 SP2 組織名 First Organization（1 フォレストに 1 組織名を指定します） IP アドレス 192.168.1.31 サーバー名 EX-HUB01

EX-HUB01

OS Windows Server 2008 SP2（x64）組織名 First Organization（1 フォレストに 1 組織名を指定します） IP アドレス 192.168.1.32 サーバー名 EX-CAS01

EX-CAS01

OS Windows Server 2008 SP2（x64）組織名 First Organization（1 フォレストに 1 組織名を指定します） IP アドレス 192.168.1.33 サーバー名 EX-MB01

EX-MB01

OS Windows Server 2008 SP2（x64）


3.2 全体の構築手順

全体の構築手順を以下に示します。基本的には 2.2 で示した構築手順と同様ですが、

WindowsコンポーネントのインストールやExchange Server 2010のインストール

作業を各サーバー上で行う点が異なります。

フォレスト機能レベルを上げる

ハブトランスポート

構築後の確認

役割ごとの Exchange Server のインストール

クライアントアクセス

構築後の確認

メールボックス

構築後の確認


.NET Framework 3.5 のインストール

Windows Power Shell のインストール




・・・


・・・

Exchange インストーラーの実行


3.3 フォレスト機能レベルを上げる

Exchange Server 2010 をインストールするには、Active Directory のフォレスト機

能レベルが［Windows Server 2003］以上である必要があります。フォレストの機

能レベルが［Windows Server 2000］の場合、フォレストの機能レベルを上げる必

要があります。

フォレストの機能レベルを上げる

この項の手順は、『第二部 2.3 フォレスト機能レベルを上げる』と同じ手順となりま

す。前章を参照の上、設定をおこなってください。


3.4 Exchange サーバーの個別の役割のインストール

3.4.1 ハブトランスポートの役割のインストール

ハブトランスポートの役割をサーバーにインストールします。役割をインストールする前に、あらかじめ以下のコンポーネントをインストールす

る必要があります。


す。Windows Server 2008 R2 へインストールを行う場合は後述する「Windows Server 2008 R2 へインストールを行う場合」を参照してください。

■Windows Server 2008 SP2 へインストールを行う場合

以下のコンポーネントをすべてインストールします。すべての役割および管理ツールに共通必要なコンポーネント入手先









Shell V2








「すべての役割に共通」のコンポーネントは Exchange Server 2010 のインストー

ルウィザードを起動した際にステップ１およびステップ２としてインストールす

るためのリンクが表示されますので、そこからインストールすることも可能です。

次にハブトランスポートサーバーの役割に必要なサーバーの機能をインストール

します。


注意：ハブトランスポートの役割をインストールするコンピュータ（EX-HUB01）で操作を行

います。




す。






＞ ServerManagerCmd -ip E:\Scripts\Exchange-Hub.xml -Restart



続いて、必要なコンポーネントうち、インストールされていないものがあれば、そ

れらのインストールを行います。



上記手順が完了したら、次に手順［インストーラーの実行］を参照してください。


■Windows Server 2008 R2 へインストールを行う場合

以下のコンポーネントをインストールします。






次にハブトランスポートサーバーの役割に必要なサーバーの機能をインストール

します。


注意：ハブトランスポートの役割をインストールするコンピューター（EX-HUB01）で操作を

行います。











Web-Windows-Auth,Web-Metabase,Web-Net-Ext,Web-Lgcy-Mgmt-Console,WAS-Proc

ess-Model,RSAT-Web-Server -Restart








以降、Exchange Server 2010 のインストールウィザードなどは Windows Server 2008 SP2 と同一ですので、同様に操作してください。

必要なコンポーネントがすべてインストールされたら、Exchange Server 2010 の

セットアップウィザードを実行します。



注意：ハブトランスポートの役割をインストールするコンピュータ（EX-HUB01）で操作を行

います。











5. ［ステップ３：Exchange 言語オプションの選択］をクリックするとオプショ

ンが展開されます。言語を日本語に設定する場合は［言語バンドルからすべて

の言語をインストールする］を選択します。

6. 言語パックの場所を指定します。

インターネットに接続されている場合：［インターネットから最新の言語パックバンドルをダウンロードする］を選択します。インターネットに接続されていない場合：あらかじめ以下の URL から「言語パックバンドル」をダウンロードして用意します。

・Exchange Server 2010 (SP 未適用)をインストールする場合


・Exchange Server 2010 SP1 をインストールする場合



次に［ハードドライブまたはネットワーク共有上の言語ファイルのパスを指定する］を選択し、［参照］をクリックして言語パックバンドルのファイルのパスを指定します。

7. ［次へ］をクリックすると、自動的に言語パックバンドルが展開されます。展開が完了したら［完了］をクリックし、ウィザードへ戻ります。


8. ［ステップ 4：Microsoft Exchange のインストール］をクリックします。

9. ウィザードが開始されます。［次へ］をクリックします。


10. 使用許諾契約書が表示されます。使用許諾書に同意できる場合は［使用許諾契

約書に同意します］を選択し、［次へ］をクリックします。

11. エラー報告機能の有効化または無効化を選択します。この選択は任意です。選

択し、［次へ］をクリックします。


12. ［インストールの種類］画面が開かれます。ここで、Exchange の個別の役割をインストールするため［カスタムの

Exchange Server のインストール］を選択し、［次へ］をクリックします。

なお、Exchange Server のインストールパスを変更したい場合はここで変更を

行います。今回は既定値をそのまま利用します。

SP1







13. ［サーバーの役割の選択］画面にて、インストールする役割として［ハブトランスポートの役割］を選択します。選択すると自動的に［管理ツール］も選

択されます。［次へ］をクリックします。

14. Exchange 組織の名前を指定します。今回は既定値のまま、［次へ］をクリック

します。


SP1

Exchange Server 2010 SP1 のインストール時には、[Exchange 組織に Active Directory の分散型アクセス許可セキュリティモデルを適用する]項目が表示されます。こ

のチェックを入れると、Exchange サーバーと管理者に Active Directory オブジェクトを管

理する権限が削除されます。Exchange を管理するユーザー・グループと Active Directory を管理するユーザー・グループを完全に分けたい場合にはチェックを入れてくだ

さい。

今回は同じユーザー・グループが Exchange と Active Directory の両方を管理することを

想定し、チェックを入れずに [次へ] をクリックします。

15. カスタマーエクスペリエンス向上プログラム］への参加の可否を選択します。この選択は任意です。いずれかの選択肢を選択し、［次へ］をクリックします。


16. インストールの前提条件の確認が自動的に行われます。すべての前提条件が［完了］になったことを確認し、［インストール］をクリッ

クします。

図では警告が１つ表示されていますが、これは新規に Exchange Server をイン

ストールする際に表示されるため無視することができます。

SP1

Exchange Server 2010 SP1 をインストールする場合は [組織の前提条件] 項目の代わり

に [前提条件の構成] 項目が実行されます。

17. セットアップが開始されます。


18. セットアップの完了後、すべての項目が正常に［完了］と表示されていること

を確認します。確認後、［終了］をクリックします。

19. Windows Update に接続し、最新の修正プログラムを適用します。

以上でハブトランスポートの役割のインストールが完了になります。





3.4.2 クライアントアクセスの役割のインストール

続いてクライアントアクセスの役割をインストールします。

役割をインストールする前に、あらかじめ以下のコンポーネントをインストールす

る必要があります。




以下のコンポーネントをすべてインストールします。

すべての役割および管理ツールに共通必要なコンポーネント入手先









Shell V2



ルウィザードを起動した際にステップ 1 およびステップ 2 としてインストールす

るためのリンクが表示されますので、そこからインストールすることも可能です。

次にクライアントアクセスサーバーの役割に必要なサーバーの機能をインストー

ルします。

サーバー役割のインストール

注意：クライアントアクセスの役割をインストールするコンピュータ（EX-CAS01）で操作を

行います。





す。






＞ ServerManagerCmd -ip E:\Scripts\Exchange-CAS.xml -Restart



クライアントアクセスの役割をインストールするサーバーでは、あらかじめ

［Net.TCP Port Sharing サービス］のスタートアップの種類を［自動］に変更し

ておく必要があります。以下の手順を実施します。

Net.TCP Port Sharing サービスのスタートアップ変更

注意：この操作は、クライアントアクセスの役割をインストールするコンピューター

(EX-CAS01）で実行してください。

1. ［スタート］－［管理ツール］より、［サービス］を起動します。









クライアントアクセスサーバーの役割に必要なサーバーの機能をインストールし

ます。


注意：この操作は、クライアントアクセスの役割をインストールするコンピューター

(EX-CAS01）で実行してください。












ess-Model,RSAT-Web-Server,Web-ISAPI-Ext,Web-Digest-Auth,Web-Dyn-Compressio

n,NET-HTTP-Activation,RPC-Over-HTTP-Proxy -Restart








以降、Exchange Server 2010 のインストールウィザードなどは Windows Server


2008 SP2 と同一ですので、同様に操作してください。




注意：クライアントアクセスの役割をインストールするコンピュータ（EX-CAS01）で操作を

行います。











5. 以降、インストールするロールを決める［インストールの種類］の画面まで手

順はハブトランスポートサーバーの場合と同一です。『3.4.1 ハブトランス

ポートの役割のインストール』の『インストーラーの実行』を参照してくださ

い。

6. ［インストールの種類］画面が表示されます。［カスタムの Exchange Serverのインストール］を選択します。


SP1






7. インストールする役割として［クライアントアクセスの役割］を選択します。

選択すると自動的に［管理ツール］も選択されます。［次へ］をクリックします。


8. インターネット上からクライアントアクセスサーバーを通して Exchange Server を利用する環境である場合（例：Exchange ActiveSync、Outlook Web App、Outlook Anyware など）は、インターネット上からアクセスするための

外部 URL をここで指定します。セットアップ後に指定することもできます。ここでは空欄のまま［次へ］をクリックします。

9. インストールの前提条件の確認が自動的に行われます。すべての前提条件が［完了］になったことを確認し、［インストール］をクリッ

クします。


SP1


成] が追加されます。



を確認します。確認後、［終了］を選択します。



以上でクライアントアクセスの役割のインストールが完了になります。





3.4.3 メールボックスの役割のインストール

続いてメールボックスの役割をインストールします。メールボックスの役割のインストールにあたっては以下のコンポーネントのインス

トールが必要になります。




以下のコンポーネントをすべてインストールします。

すべての役割および管理ツールに共通必要なコンポーネント入手先









Shell V2








ルウィザードを起動した際にステップ１およびステップ２としてインストールする

ためのリンクが表示されますので、そこからインストールすることも可能です。


次にメールボックスサーバーの役割に必要なサーバーの機能をインストールしま

す。

サーバー役割のインストール

注意：メールボックスの役割をインストールするコンピュータ（EX-MB01）で操作を行いま

す。




す。






＞ ServerManagerCmd -ip E:\Scripts\Exchange-MBX.xml -Restart



続いて、必要なコンポーネントうち、インストールされていないものがあれば、そ

れらのインストールを行います。





以下のコンポーネントをインストールします。


ハブトランスポートおよびメールボックスの役割に必要

・Exchange Server 2010（SP 未適用）をインストールする場合必要なコンポーネント入手先





次にメールボックスサーバーの役割に必要なサーバーの機能をインストールしま

す。



す。












ess-Model,RSAT-Web-Server -Restart








以降、Exchange Server 2010 のインストールウィザードなどは Windows Server 2008 SP2 と同一ですので、同様に操作してください。





す。











5. 以降、インストールするロールを決める［インストールの種類］の画面まで手

順はハブトランスポートサーバーの場合と同一です。『3.4.1 ハブトランスポ

ートの役割のインストール』の『インストーラーの実行』を参照してください。

6. ［インストールの種類］画面が表示されます。［カスタムの Exchange Serverのインストール］を選択します。


SP1






7. インストールする役割として［メールボックスの役割］を選択します。選択す

ると自動的に［管理ツール］も選択されます。［次へ］をクリックします。


8. Exchange Server 2010 へ接続を行うクライアントの設定を行います。 Outlook 2003 以前のメールクライアントが存在する場合、または今後接続さ

れる可能性がある場合は［はい］を選択します。

ここでは、Exchange Server 2010 に接続されるクライアントは Outlook 2003が存在すると仮定して［はい］を選択し、［次へ］をクリックします。

注意：［いいえ］を選択した場合はパブリックフォルダがインストール時に自動的に生成され

ません。

9. インストールの前提条件の確認が自動的に行われます。すべての前提条件が［完了］になったことを確認し、［インストール］を選択し

ます。


SP1


成] が追加されます。



を確認します。確認後、［終了］を選択します。



以上でメールボックスの役割のインストールが完了になります。





第四部導入後に行う作業

この章では、Exchange Server 2010 のインストール完了後に行う

作業として、メールボックスを持つ受信者の作成、送受信の確認方

法を説明します。


4.1 メールボックスの作成

Exchange Server 2010 の機能を活用するには、メールボックスを作成し、ドメイ

ンユーザーに関連付ける必要があります。この項では、メールボックスを作成し、

エンドユーザーに Exchange Server 2010 の機能を提供する方法について説明し

ます。

ドメインユーザーは、メールボックスの作成時に新規作成することができます。ま

た、既に存在しているドメインユーザーにメールボックスを関連付けることも可能

です。

メールボックスを作成する(ドメインユーザーを同時に新規作成する)

ここでは、メールボックスとドメインユーザーを同時に新規作成する手順を説明し

ます。

注意:Exchange Server 2010 をインストールしたサーバー上(EX-HUB01、EX-CAS01、

EX-MB01 のいずれか)で以下の作業を行います。

1. ［スタート］ – ［すべてのプログラム］– ［Microsoft Exchange Server 2010］ – ［Exchange Management Console］をクリックし、Exchange 管理コンソ

ールを起動します。

2. 左ペインにて［Microsoft Exchange］－［Exchange On-Premise］－［受信者

の構成］とたどり、展開します。［メールボックス］を右クリックし［メールボ

ックスの新規作成］をクリックします。


3. ［メールボックスの新規作成］ウィザードが表示されます。まず、メールボッ

クスの種類を選択します。今回は、［ユーザーメールボックス］を選択し、［次

へ］をクリックします。

4. ユーザーの種類を選択します。今回は、ユーザーアカウントも新規作成しま

すので、［新しいユーザー］を選択し、［次へ］をクリックします。

ここで［既存のユーザー］を選択することで、すでに Active Directory ドメイ

ン上に存在するアカウントに対してメールボックスを作成することができます。


5. 新規作成するユーザーの情報を入力します。入力が完了したら、［次へ］をク

リックします。ここでは以下の情報を入力します。姓：テスト名：ユーザー名前：テストユーザーユーザーログオン名：User01 パスワード：（任意）


6. 作成するメールボックスのプロパティを入力します。［エイリアス］に「User01」と入力します。他の項目はメールボックス作成時に自動で入力されるため、今回は項目を指定

せずに［次へ］をクリックします。

7. Exchange 2010 で導入されたメールボックスのアーカイブ機能を利用する場

合はここでチェックを入れ、アーカイブを作成することもできます。今回はチェックを入れずに［次へ］をクリックします。


8. 入力した内容が表示されるので、確認を行います。確認が完了したら［新規作

成］をクリックします。

9. メールボックスが新規作成されます。［終了］をクリックして、作業を完了し

ます。


10. ウィザードが終了し、Exchange 管理コンソールに戻ります。［メールボックス］内に新しくメールボックスが作成されていることを確認し

ます。


4.2 送受信の確認

4.2.1 Exchange Server 2010 におけるアクセス機能概要

Exchange Server 2010 のメールボックスへアクセスするにはいくつかの方法が提

供されています。ここではその中でも代表的な２つの方法について概要を説明しま

す。

Outlook 2007 (AutoConnect & Autodiscover)

最も一般的かつ高機能なアクセス方法です。Outlook 2007 は、ユーザーの手を

煩わせることなく Exchange Server 2010 への接続を確立します。サーバー名

の入力などの煩雑な作業はもはや必要ありません。この Outlook 2007 の機能

を実現しているのがクライアントアクセスサーバー上の Autodiscover サー

ビスです。Autodiscover サービスは、Outlook 2007 に対しユーザー固有の接

続情報を XML 形式で提供します。

Outlook Web App（OWA）

Outlook Web App（OWA）を使用すると、ユーザーは Web ブラウザから自身

のメールボックスへアクセスできます。コンピューターに Outlook がインスト

ールされていない場合でも、Web ブラウザとインターネットへの接続さえあれ

ば、場所や環境を問わずに Exchange Server 2010 へアクセスすることが可能

です。

4.2.2 メールを送受信するための Outlook 2007 の設定

Outlook 2007 を用いて Exchange サーバー上に作成したメールボックスへアクセ

スし、メールの送受信を行うためには以下の手順を行います。

Outlook 2007 でのメール送受信のための設定

注意：以下の操作は Outlook 2007 のインストールされたクライアントマシンで行います。

1. あらかじめメールボックスを作成したドメインユーザーアカウント（ここで

は User01）でクライアントマシンにログオンします。

2. Outlook 2007 を起動します。

3. Outlook 2007 を最初に起動すると［新しい電子メールアカウントの追加］ウ

ィザードが自動的に開始されます。


ログインしているアカウントにメールボックスが作成されている場合は自動的

に［名前］と［電子メール］が入力されます。両者が正しいことを確認し、［次

へ］をクリックします。

注意：ログインしているユーザーアカウントに対してメールボックスが作成されていない場

合、設定は自動的に行われません。

4. ［サーバー設定のオンライン検索］が開始されます。ネットワークが正常に構成されていれば、電子メールの設定が自動的に行われ

ます。正常に完了したことを確認し［完了］をクリックします。

5. 以上でアカウントの構成は完了です。続いてメールの送受信テストを行い、ア

カウントが正常に構成されていることを確認します。

6. ログインしているアカウントで新規にメールを作成し、既にメールボックスが

存在するアカウントに対してメールを送信します。ここでは既定でメールボックスが作成される管理者アカウントに対してメール

を送信します。宛先に [email protected] を指定します。

7. 正常にメール送信できることを確認します。


4.2.3 Outlook Web App（OWA）を利用したメールの送受信

本章では Outlook Web App（OWA）を利用してメールを送受信する方法を説

明します。また、『4.2.2 メールを送受信するための Outlook 2007 の設定』にて送信した

メールを OWA から確認し、送受信が正常にできていることを確認します。

OWA へのアクセス

注意：この操作はOutlook 2007の設定を行ったクライアントマシンと同一のマシンで行いま

す。またログオンアカウントは先ほどと同じアカウント（ここでは User01）とします。

1. Internet Explorer などのウェブブラウザを開き、クライアントアクセスの役

割を持つ Exchange Server へアクセスします。『第二部最小構成の Exchange Server 2010 導入』に従い、単一のサーバー

にExchange Server 2010をインストールした場合はhttps://ex-all/owa/ へア

クセスします。『第三部役割別の Exchange Server 2010 導入』に従い、Exchange Server 2010 の役割を別々のサーバーにインストールした場合は

https://ex-cas01/owa/ へアクセスします。ここでは https://ex-all/owa/ にアクセスします。

2. Web サイトのセキュリティ証明書に問題があるとのメッセージが表示されま

す。これは現在はまだ証明書に関する構成を行っていないために表示されるもので、

本自習書の『第五部 Exchange Server への証明書の発行』の手順を実施する

ことでこのエラーは解消されます。ここでは［このサイトを閲覧する］を選択します。


問題のある証明書

このメッセージは、Exchange Server の提示する証明書が信頼してよいものかどうかクライアントマシンにて判断が

つかないため、その信頼の可否の判断をユーザーに確認するために表示されています。ここでは接続しようとする Exchange サーバーに問題がないことが明白であるため続行できます。このメッセージは、第五部にて Exchange Server の提示する証明書を信頼できると設定することにより、表示され

なくなります。

3. OWA のログオン画面が表示されます。［ドメイン¥ユーザー名］として「Contoso¥Administrator」を入力し、設定

したパスワードを入力します。入力後、［ログオン］をクリックします。


4. 初回ログオン時、使用する言語などを確認する画面が表示されます。既定値の

まま、［OK］をクリックします。

5. OWA の画面が表示されます。

6. 正常に送受信できている場合、User01 からのメールが届いているはずですの

でこれを確認します。


7. メールが受信できていることが確認できたら、メールの返信を行います。

8. メールの作成を行い、返信します。


9. 送信後、再び Outlook 2007 を開き、User01 にて正常にメールが受信できてい

ることを確認します。


第五部 Exchange Server への証明書の発行

この章では、クライアントアクセス機能の適切な暗号化に必要とな

る証明機関の構築と、SSL 証明書の発行手順について詳細に説明し

ます。


5.1 クライアントアクセスサーバーで使用する証明書について

クライアントが Outlook や Outlook Web App（OWA）および ActiveSync などの機

能をして Exchange Server 2010 と通信する際、これらの通信の内容は SSL 証明書

を使用した暗号化によって保護されます。また、この SSL 証明書は Exchange Server 2010 のインストール時に作成されるため、通信を暗号化するために何らか

の作業が必要となることはありません。

ただし、Exchange Server 2010 のインストール時に作成される SSL 証明書は自己

署名証明書であり、第三者機関や組織内の証明機関によって発行されたものではあ

りません。そのため、クライアントのアクセス方法やネットワーク環境によっては、

SSL 証明書を使用した Exchange Server 2010 への接続時に多少の制限が生じるこ

とがあります。例えば、Outlook Web App に Internet Explorer を使用して接続し

た場合、SSL 証明書に関する警告が表示され、SSL 証明書を信頼するかどうかをユ

ーザーが判断しなければなりません。

通信の安全性を暗号化で保持しつつ、上記のような問題を解決するには、サーバー

に接続するクライアント側で Exchange Server 2010の既定の SSL 証明書を信頼す

るか、クライアントアクセスサーバーをインストールしたサーバー用に新たにサ

ーバー証明書を取得する必要があります。

SSL 証明書を取得する方法として、2 つの方法があります。１つは独自に証明機関

を構築し SSL 証明書を発行する方法です。もう１つは公的証明機関（VeriSign な

ど）から SSL 証明書を購入する方法です。

それぞれの方法にはメリットとデメリットがあります。独自に証明書を発行する方

法は、証明書発行費用がかからないためコストを抑えることができます。しかし、

あくまでもその証明機関を有する組織のみが信頼している証明書となりますので、

他の組織からは一切信頼されません。

一方、公的証明機関に SSL 証明書の発行を依頼した場合は費用がかかります。しか

し世界的に信頼されている証明書のため、他の企業からも信頼されます。

今回は、Exchange Server 2010 の提供するクライアントアクセス機能を自習する

ためだけの検証環境ですので、独自に証明機関を構築して SSL 証明書を発行し、

Exchange Server 2010 へインストールする手順を説明します。

VeriSign からサーバー証明書を発行する方法については、VeriSign のホームページ

（http://www.verisign.co.jp）を参照してください。


5.2 検証環境の構築

ここでは、組織内に証明機関を構築し証明書を発行する手順を説明します。証明機関の構築後に Exchange サーバーへ SSL 証明書を発行および登録し、

Outlook Web App を利用する際に SSL 通信が警告なく利用できることを確認しま

す。

5.2.1 システム構成図

今回は、サーバーを 3 台およびクライアントを 1 台使用して、クライアントアク

セス機能の設定と動作確認を行います。サーバーは、Active Directory のドメイン

コントローラ、Exchange Server 2010(最小構成)、スタンドアロンのルート CA(証明機関)としてそれぞれ構築します。

最小構成の Exchange Server のインストールに関しては『第二部最小構成の

Exchange Server 2010 導入』を参考にしてください。



192.168.1.21



192.168.1.31

Server 名:EX-ALL

192.168.3.x

Contoso.com

証明機関(CA)

192.168.1.51

Server 名:CONT-CA




Windows Server 2008 SP2 のインストール Active Directory による contoso.com ドメイン構築

CONT-DC01

Windows Server 2008 のセキュリティパッチ適用

Windows Server 2008 SP2 (64bit) のインストール Windows Server 2008 SP2 (64bit) のセキュリティパッチ適用ドメイン名の DNS 名前解決 Contoso.com ドメインへの参加

EX-ALL

Exchange Server 2010 のインストール（最小構成） Windows Server 2008 SP2 のインストール Windows Server 2008 SP2 のセキュリティパッチ適用ドメイン名の DNS 名前解決

CONT-CA






CONT-DC01


EX-ALL

OS Windows Server 2008 SP2 (64bit) IP アドレス 192.168.1.51 サーバー名 CONT-CA

CONT-CA

OS Windows Server 2008 SP2


5.2.2 CA の構築

以下では、サーバーに Active Directory 証明書サービスをインストールし、証明機

関（CA）として構築する手順を説明します。

証明機関（CA）の構築

注意：証明機関（CA）をインストールするコンピュータ（CONT-CA）で操作を行います。

1. サーバーマネージャを起動します。

2. 左ペインの［役割］をクリックし表示される画面右端の［役割の追加］をクリ

ックします。

3. ［次へ］をクリックします。


4. ［Active Directory 証明書サービス］を選択し、［次へ］をクリックします。



6. ［役割サービスの選択］画面が表示されます。［証明機関 Web 登録］にチェッ

クを入れます。

7. 自動的に追加コンポーネントが追加されます。内容を確認し［必要な役割サー

ビスを追加］をクリックします。


8. ［証明機関］と［証明機関 Web 登録］にチェックが入っていることを確認し

ます。［次へ］をクリックします。

9. ［エンタープライズ CA］か［スタンドアロン CA］を選択します。ここでは［スタンドアロン CA］を選択します。［次へ］をクリックします。


10. CA の種類を選択します。組織内の最初の CA であるため［ルート CA］を選択

します。

11. ここでは既定値のまま［次へ］を選択します。


12. 同様に既定値のまま［次へ］をクリックします。

13. ［この CA の共通名］に CA の名前を入力します。ここでは［CONT-CA］と

入力します。


14. 既定値のまま［次へ］を選択します。

15. データベースの格納場所を必要に応じて変更します。ここでは既定値のまま

［次へ］をクリックします。



17. IIS にインストールされる内容を確認し、［次へ］をクリックします。


18. インストールされる項目を確認し、［インストール］をクリックします。



20. インストールが完了すると、インストール結果が表示されます。正常に完了し

ていることを確認して［閉じる］をクリックします。

5.2.3 スタンドアロン CA を信頼されたルート CA として登録

Exchange サーバーに有効な証明書を発行するためには、まず Exchange サーバー

が組織内のスタンドアロン CA をルート CA として信頼する必要があります。

今回のように Active Directory 上にスタンドアロン CA を展開し、ドメインへの書

き込み権限をもつアカウントで CA を構築した場合はドメイン内のサーバーおよび

クライアントに自動的にルート CA として信頼されます。

ここでは実際に組織内のスタンドアロン CA がルート証明機関として信頼されてい

ることを確認します。

ルート証明機関の確認

注意：この手順は Exchange サーバー（EX-ALL）にて行います。

1. ［スタート］ボタンをクリックし、［ファイル名を指定して実行］をクリッ

クします。次に、「mmc」と入力し、［OK］をクリックします。（Windows Vista にて確認を行う場合は検索ウィンドウに［mmc］と入力しま

す。）


2. ［ファイル］メニューで、［スナップインの追加と削除］をクリックします。

3. ［利用できるスナップイン］ボックスの一覧で、［証明書］をクリックし、

［追加］をクリックします。

4. ［コンピュータアカウント］をクリックし、［次へ］をクリックします。

5. ［ローカルコンピュータ (コンソールが実行されているコンピュータ)］オプ

ションをクリックし、［完了］をクリックします。


6. ［OK］をクリックします。

7. ［証明書］―［信頼されたルート証明機関］―［証明書］と展開します。［CONT-CA］の証明書が存在することを確認します。


もしも上記手順にて確認した結果、正常にスタンドアロン CA がルート証明機関と

して認識されていない場合、コマンドプロンプトまたは［ファイル名を指定して実

行］にて次のコマンドを実行します。

gpupdate /force

実行後、再度上記手順を実施し、正常に反映されたかを確認します。

5.2.4 サーバー証明書の要求

Exchange サーバーのサーバー証明書を発行するためには、ルート CA に対して証

明書の発行要求を行う必要があります。

ここでは Exchange Server を利用して証明書の発行要求を作成する手順を説明し

ます。

発行に必要な情報は以下とします。

フレンドリ名 EX-ALL 証明書

(証明書を識別するための名前です。任意の名前を指定できます)

ドメイン名

ex-all.contoso.com

ex-all

(サーバーにアクセスするための URL を指定します。ここで指定した以外の URL からアクセス

した場合、証明書は有効に機能しません。)

組織 Contoso

(発行元組織として表示されます。通常、企業名などを指定します)

組織単位 Sales

(発行元組織単位として表示されます。通常、部署名などを指定します)

国/地域 JP(日本)

(組織が存在する国/地域を選択します)

市区町村新宿区

(組織が存在する市区町村を指定します)

都道府県東京都

(組織が存在する都道府県を指定します)


証明書要求の作成

注意：Exchange サーバー（Ex-ALL）にて操作を行います。

1. スタートメニューから Exchange 管理コンソールを起動します。

2. 左ペインにて［Microsoft Exchange On-Premise］の下にある［サーバーの構


3. 上段に Exchange サーバーの一覧が表示され、下段に［Exchange 証明書］タ

ブが表示されます。上段のサーバー一覧から［EX-ALL］をクリックします。

4. 下段の空欄にて右クリックし、メニューから［Exchange 証明書の新規作成］

を選択します。

5. ［Exchange 証明書の新規作成］ウィザードが開始されます。


6. フレンドリ名を入力します。これは証明書を識別するための名前になります。ここでは「EX-ALL 証明書」と入力します。［次へ］をクリックします。

7. ドメインスコープを指定します。ここでは指定せずに［次へ］をクリックし

ます。

8. ［Exchange 構成］画面が表示されます。ここで証明書の用途により、さまざ

まなオプションを指定することができます。今回は OWA のための証明書を取得しますので、［クライアントアクセスサー

バー（Outlook Web App）］を選択し、展開します。


9. ［イントラネット上にある Outlook Web App］にチェックを入れます。［内部で Outlook Web App にアクセスするのに使用するドメイン名］には、

OWA を実行しているクライアントアクセスサーバーにアクセスするための

URL を指定します。ここで指定した URL でアクセスした場合にのみ、証明書

が有効であると表示されますので、アクセスする可能性のある URL をすべて

列挙します。ここではクライアントアクセスサーバーの FQDN とホスト名を指定します。

ex-all.contoso.com,ex-all

と入力し、［次へ］をクリックします。


注意：［インターネット上にある Outlook Web App］に誤ってチェックを入れた場合、自動的

に他の項目にもチェックが入ります。チェックを再度外しても他の項目のチェックは入ったままになりますので、いったん［リセット］

をクリックし、設定を初期化してから再度手順を実施してください。

10. 先ほどのウィザードで指定したドメインが列挙されますので確認します。このとき、サーバーの FQDN をクリックし［共通名として指定する］を選択

します。FQDN が太字で表示されたことを確認し［次へ］をクリックします。

11. 組織の情報を記入します。これは証明書の発行を外部の認証機関に依頼する場

合には重要ですが、組織内の認証機関（CA）を用いて運用する場合には重要で

はありません。ここでは以下のように入力します。

組織 Contoso


組織単位 Sales


国/地域日本







12. 証明書要求ファイルのパスを指定します。ここでは［C:\cert01.req］を指定

します。このファイルパスは後で必要になりますのでメモしておくようにしま

す。入力し終えたら［次へ］をクリックします。

13. 発行されるコマンドの確認が行われます。［新規作成］をクリックします。


14. 問題なく完了したことを確認し、［終了］をクリックします。

15. Exchange 管理コンソールに戻ると、［EX-ALL 証明書］という名前の証明書

が追加されていることが確認できます。


続いて作成した証明書要求を証明機関（CA）に登録し、発行の要求を送信します。

サーバー証明書の要求

注意：Exchange サーバー（Ex－ALL）にて操作を行います。

1. Internet Explorer を開き、［http://cont-ca/certsrv/］にアクセスします。

注意：セキュリティ強化の構成に関してメッセージが表示された場合は、［追加］をクリックし

て証明機関サーバーCONT-CA を［信頼済みサイトのゾーン］に追加してください。

2. ［証明書を要求する］を選択します。


3. ［証明書要求の詳細設定を送信する］を選択します。

4. ［証明書の要求の詳細設定］画面で［Base64エンコードCMCまたはPKCS#10ファイルを使用して証明書の要求を送信するか、または Base64 エンコード

PKCS#7 ファイルを使用して更新の要求を送信する］をクリックします。


5. ［保存された要求］のテキストボックス内に、先ほど証明書要求ファイルの内

容を貼り付け、［送信］をクリックします。ここでは［C:\cert01.req］をメモ

帳で開き、内容をコピーして貼り付けます。

6. サーバーに要求が行われたことを確認するメッセージが表示されます。以上で

証明書発行要求の送信は完了です。


5.2.5 サーバー証明書の発行

次にサーバー証明書の発行を行います。証明機関（CA）側で操作を行い、送信され

たサーバー証明書要求を確認し、証明書を発行します。

サーバー証明書の発行

注意：証明機関（CONT-CA）にて操作を行います。

1. ［管理ツール］から［証明機関］を実行します。

2. 証明機関の管理コンソールが起動します。

3. ［保留中の要求］を選択します。


4. 現在保留されている証明書の一覧が表示されます。発行したい証明書を選択し、右クリックメニューから［すべてのタスク］―［発

行］を選択します。この操作で証明書が発行されます。

5. ［発行した証明書］を選択し、発行した証明書がリストアップされていること

を確認します。

5.2.6 サーバー証明書の取得およびインポート

発行された証明書を Exchange サーバーで利用するためには、Exchange サーバー

上で証明書のインポートを行う必要があります。


まず、証明機関が発行した証明書を取得し、ファイルとして保存します。

サーバー証明書の取得

注意：Exchange サーバー（Ex-All）にて操作を行います。

1. Internet Explorer から［http://cont-ca/certsrv/］にアクセスします。［保留中の証明書の要求の状態］を選択します。

2. ［保存された要求証明書］を選択します。

3. ［証明書のダウンロード］を選択します。


4. ファイルのダウンロードダイアログが表示されるので、［保存］を選択します。

5. ［名前を付けて保存］ダイアログで証明書を［certnew.cer］という名前で Cドライブ直下に保存します。

5.2.7 証明書の登録手順

次に Exchange サーバーで証明書のインポートを行い、証明書として使用するよう

構成します。

サーバー証明書の登録


1. スタートメニューから Exchange 管理コンソールを起動します。

2. 左ペインにて［Microsoft Exchange On-Premise］の下にある［サーバーの構


3. 画面下部の［Exchange 証明書］タブから、［名前］が［EX-ALL］の証明書を

選択し、右クリックメニューから［保留中の要求の完了］をクリックします。


4. ウィザードが開始されます。

ここで、認証局（CA）からダウンロードした証明書のパスを指定します。ここ

では［C:\certnew.cer］を指定し［完了］をクリックします。


5. 実行結果が表示されます。エラーの無いことを確認し［終了］をクリックしま

す。

6. Exchange 管理コンソールに戻ります。

証明書が２つ表示されており、［EX-ALL 証明書］は［自己署名］欄が［いい

え］、つまり自己署名証明書ではなく証明機関（CA）から発行された証明書と

して認識されていることを確認します。


7. 証明書［Exchange Server 2010］をダブルクリックして開きます。正常に認識されていることを確認し、閉じます。

最後に、インポートした証明書を IIS での接続時に利用するよう構成します。

Exchange Server証明書は利用するサービスごとにどの証明書を使用するかが設定

されています。設定内容は Exchange 管理コンソールから確認することができます。

［Exchange 証明書］内の［サービス］欄を確認します。Exchange のインストー

ル時に作成される自己署名証明書［Microsoft Exchange］には［IMAP、POP、IIS、SMTP］と書かれており、IIS を含むこれらのサービスを利用する際にはこの証明

書が利用されることがわかります。


新規に作成した証明書を IIS で利用するには次の手順を実施します。

証明書を IIS で利用できるよう構成する


1. Exchange 管理コンソールの右ペインから［サーバーの構成］をクリックし、

［Exchange 証明書］タブを表示させます。

2. 新規作成した証明書［EX-ALL 証明書］を右クリックし、メニューから［サー

ビスの証明書への割り当て］をクリックします。

3. ［サービスの証明書への割り当て］ウィザードが開始されます。

4. サーバーの一覧が表示され、「Ex-ALL」が選択されていることを確認し［次へ］



5. 割り当てるサービスを選択します。ここでは［インターネットインフォメー

ションサービス］にチェックを入れます。［次へ］をクリックします。

6. 確認画面が表示されます。［割り当てる］をクリックします。


7. エラーなく完了したことを確認し、［終了］をクリックします。

8. Exchange 管理コンソールに戻り、証明書［EX-ALL］の［サービス］欄に IISが追加されていることを確認します。


5.2.8 Outlook Web App（OWA）での確認

Outlook Web App（OWA）から Exchange Server への接続を行い、有効な証明書

が使用されていることを確認します。

OWA を利用したサーバー証明書の確認

注意：任意のクライアントマシンで操作を行います。

1. OWA へアクセスするため、ブラウザを起動させアドレスバーに「https://ex-all/owa/」と打ち込み、Enter キーを押下します。

2. 証明書に関する警告が出ず、またアドレスバーが赤く表示されていないことを

確認します。アドレスバーに鍵のマークが表示されていることを確認します。


注意：証明書が正常に認識されていない場合、証明書の警告を示す画面が表示されます。

手順を実施したにも関わらずこういった画面が表示される場合、ルート CA が正常に認識さ

れていない場合や、更新がまだ反映されていない場合、証明書の要求作成時にアクセスす

る URL を適切に構成しなった場合などが考えられます。ルート CA は通常は自動的に承認されますが、正常に承認されていることを確認するには

『5.2.3 スタンドアロン CA を信頼されたルート CA として登録』の『ルート CA の証明書のイ

ンストール』を参照します。証明書の情報を新のものに反映するには、［ファイル名を指定して実行］等から以下のコ

マンドを実行します。 gpupdate /force


第六部 Rights Management Service と

Exchange Server 2010 の連携

Exchange Server 2010 は新たに Rights Management Service（RMS）と連携してメッセージの保護と管理を行えるようになりま

した。この章では、AD RMS の構築方法とトランスポート保護ルールによ

るメッセージの管理方法について説明します。


6.1 AD RMS を利用した情報の保護と管理

電子メールは、情報を共有するための能力を劇的に高めましたが、間違って配信し

たり、機密性のあるコミュニケーションや情報に不正にアクセスされるリスクも上

昇しています。顧客および社員の個人情報の保護を求める規制が強化されている中

で、この問題は特に重大です。電子メールで配信される情報の管理を向上するため、

Exchange 2010 は、既に包括的な情報保護と管理機能のリストを基に、より効果

的に電子メールを遮断、モデレート、暗号化、ブロックする機能を備えています。

これらの機能を組み合わせることで、管理者は、自動ポリシーで積極的に電子メー

ルを制御する場合や、警告やツールをユーザーに提供して各自の情報保護プラクテ

ィスの管理能力を高める場合など、幅広い管理オプションが利用できます。

トランスポート保護ルールはそれを実現する機能のひとつです。Active Directory Rights Management Services (AD RMS) とトランスポート保護ルールを併用する

と、管理者はメッセージ送信後に、Information Rights Management (IRM) 保護

を自動的に電子メール (Office と XPS の添付ファイルを含む) に適用できます。

これにより、ファイルの送信先がどこであっても一貫して保護することができ、AD RMS 展開で利用できる AD RMS ポリシーテンプレートに応じて、転送、コピー、

印刷ができないようにすることができます。ボイスメールも承認されていない相手

に転送されないようにすることができます。

またこれらの IRM 保護機能は Outlook Web App（OWA）であっても Outlook と同

じように利用できます。ユーザーは OWA を利用して IRM 保護されたメッセージ

を読み取り、作成することができます。


6.2 検証環境の構築

ここでは組織内に AD RMS サーバーを構築し、Exchange サーバーから AD RMSサーバーの機能を利用してメッセージへのアクセス制御を行う方法を説明します。

6.2.1 前提条件

組織内で AD RMS を利用したアクセス権制御を行うには、以下の前提条件を満た

す必要があります。

AD RMS サーバー

・OS は以下の２つがサポートされています。

・Windows Server 2008 R2

・Windows Server 2008 SP2 ＋修正プログラム KB 973247 の適用

・OWA にて利用する場合は追加の手順が必要（「6.2.7 OWA での RMS の有

効化」を参照）

Exchange サーバー・Exchange Server 2010

・修正プログラム KB 973136 の適用（推奨）

Outlook クライアント・Outlook 2003 以降

・Outlook Protection Rule は Outlook 2010 以降でのみ利用可能

6.2.2 システム構成図

Exchange Server 2010 と AD RMS の機能を利用するためには、Active Directory ドメインコントローラ、Exchange サーバーのほか、AD RMS サーバー、証明機関

（CA）が必要になります。

このためこの章のシステム構成は、『第五部 Exchange Server への証明書の発行』

にて構築された環境を利用し、証明機関が既に構築済みであるとします。


また、以下の作業が終了していることを前提としています。

対象サーバー名作業内容 Windows Server 2008 SP2 のインストール Active Directory による contoso.com ドメイン構築 Windows Server 2008 のセキュリティパッチ適用

CONT-DC01

ドメインユーザーアカウント RmsAdmin の作成 Windows Server 2008 SP2 (64bit) のインストール Windows Server 2008 SP2 (64bit) のセキュリティパッチ適用ドメイン名の DNS 名前解決 Contoso.com ドメインへの参加 Exchange Server 2010 のインストール（最小構成）メールボックス「Maurice」の作成

EX-ALL

メールボックス「Sophia」の作成修正プログラム KB 973136 の適用 Windows Server 2008 SP2 のインストール Windows Server 2008 SP2 のセキュリティパッチ適用ドメイン名の DNS 名前解決 Contoso.com ドメインへの参加

CONT-CA

ルート CA として構築（第五部にて構築済み） Windows Server 2008 SP2 のインストール Windows Server 2008 SP2 のセキュリティパッチ適用ドメイン名の DNS 名前解決

CONT-RMS01

Contoso.com ドメインへの参加修正プログラム KB 973247 の適用 Windows Vista SP1 以上のインストールドメイン名の DNS 名前解決 Contoso.com ドメインへの参加 Office 2007 のインストール

クライアント

最新のセキュリティパッチの適用




192.168.1.21



192.168.1.31

Server 名:EX-ALL

192.168.1.x

Contoso.com

証明機関(CA)

192.168.1.51

Server 名:CONT-CA


AD RMS サーバー

192.168.1.52

Server 名:CONT-RMS01





CONT-DC01


EX-ALL

OS Windows Server 2008 SP2 (64bit) IP アドレス 192.168.1.51 サーバー名 CONT-CA

CONT-CA

OS Windows Server 2008 SP2 IP アドレス 192.168.1.52 サーバー名 CONT-RMS01

CONT-RMS01

OS Windows Server 2008 SP2

また AD RMS のサービスアカウントとして、あらかじめ以下の条件でドメインユーザーアカウントを作成しておきます。

条件ユーザー名 RmsAdmin パスワード（任意）グループ Domain Users オプションユーザーは次回ログオン時にパスワードの変更が必要：無効

パスワードを無期限にする：有効

各サーバーおよびすべてのクライアントは組織内のスタンドアロン CA をルート証

明機関と承認しているものとします。確認方法は『5.2.3 スタンドアロン CA を信頼

されたルート CA として登録』を参照してください。

6.2.3 Active Directory Rights Management Service（AD RMS）

のインストール

Exchange Server 2010 と Active Directory Rights Management Service（AD RMS）の機能を連携させるためには、あらかじめドメイン内に AD RMS サーバー

を構築する必要があります。

ここでは AD RMS サーバーを構築する手順を説明します。


AD RMS サーバーの構築

注意：AD RMS サーバー（CONT-RMS01）で以下の操作を行います。また、Enterprise Admins グループの権限を持つアカウントでログインして操作してください。

1. サーバーマネージャを起動します。

2. 左ペインの［役割］をクリックし、表示される画面右端の［役割の追加］をク

リックします。

3. ［役割の追加ウィザード］が開始されます。［次へ］をクリックします。


4. ［Active Directory Rights Management サービス］を選択します。

5. 選択すると自動的に［Web サーバー（IIS）］が追加されます。追加される内容

を確認し、［必要な役割サービスを追加］をクリックします。


6. ［Active Directory Rights Management サービス］および［Web サーバー

（IIS）］にチェックがされていることを確認し、［次へ］をクリックします。

7. ［Active Directory Rights Management サービス］の概要について表示され

ます。［次へ］をクリックします。


8. Active Directory Rights Management サービスにインストールする役割を選

択します。［Active Directory Rights Management Service］にチェックが入っているこ

とを確認し、［次へ］をクリックします。

9. AD RMS を最初にインストールするため、［新しい AD RMS クラスタを作成

する］を選択します。


10. AD RMS の構成情報を格納するデータベースを選択します。運用の際には、AD RMS をインストールするサーバーとは別にデータベースサーバーを用意する必要があります。データベースは SQL Server 2005 などが

利用可能です。 AD RMS のシステム要件などについては

http://technet.microsoft.com/ja-jp/library/cc771789(WS.10).aspx を参照して

ください。ここでは、テスト環境であるため、［このサーバーの Windows Internal Database を使用する］を選択します。

注意：AD RMS サーバーは運用上、サーバーを複数台用意し、冗長性を持たせることが一

般的です。Windows Intarnal Database を利用する場合には冗長化構成をとることがで

きませんので、実際の運用環境ではデータベースサーバーを用意するようにしてください。


11. AD RMS を実行するサービスアカウントを指定します。ここではあらかじめ作成したドメインユーザーアカウント RmsAdmin を指

定します。

注意：Administrator など、AD RMS のインストールを実行しているアカウントと同一のア

カウントを設定することはできません。

12. 既定値のまま、［次へ］をクリックします。


13. AD RMS クラスタキーのパスワードを指定します。これは AD RMS クラスタ

に他のサーバーを追加するときに必要になります。任意のパスワードを指定し、［次へ］をクリックします。

14. AD RMS を構成する Web サイトを選択します。既定値である［既定の Web サイト］が選択されていることを確認し、［次へ］

を選択します。


15. AD RMS クラスタへアクセスするためのクラスタアドレスを完全修飾ドメイ

ン名（FQDN）にて指定します。ここでは［CONT-RMS01.contoso.com］と入力します。入力し終えたら［検証］


16. ［ネットワーク上のクライアントで使用されるクラスタアドレスのプレビュ

ー］欄に、実際にアクセスすることになるアドレスが表示されます。間違いがないことを確認し、［次へ］をクリックします。


17. SSL 暗号化に用いる証明書を選択します。すでに AD RMS をインストールするサーバーに証明機関（CA）から発行され

た証明書が格納されている場合は既存の証明書欄に証明書が表示されます。今回はまだ SSL 暗号化用の証明書を作成していないため、［SSL 暗号化の証明

書を後で選択する］を選択します。

18. 既定値のまま、［次へ］をクリックします。


19. AD RMS サービス接続ポイント（SCP）を作成します。これにより、他の AD RMS に対応したサービスは AD RMS サーバーを特定し、サービスを利用する

ことができます。［AD RMS サービス接続ポイントを今すぐ登録する］を選択し、［次へ］をク


注意：この手順を実行するには Enterprise Admins グループのメンバーでログインする必

要があります。適切な権限を持たないユーザーでログインしている場合は、いったんログオ

フして再度適切な権限を持つユーザーでログインし、手順を実施してください。

20. Web サーバー（IIS）のインストールが開始されます。［次へ］をクリックしま

す。


21. インストールされる役割が表示されます。既定値のまま［次へ］をクリックし

ます。

22. ［インストールオプションの確認］画面が表示されます。［インストール］を




24. インストール結果が表示されます。

25. インストール完了後、管理用アカウントに付与された権限を更新するため、い

ったんログオフし再度ログオンを行います。


続いて、AD RMS サーバーへサーバー証明書を発行する手順を説明します。

AD RMS サーバーへの証明書の発行

注意：以下の手順は AD RMS サーバー（CONT-RMS01）にて行います。

1. サーバーマネージャを起動します。起動後、［役割］―［Web サーバー（IIS）］を展開し、［インターネットインフ

ォメーションサービス（IIS）マネージャ］を開きます。

2. 左ペインからサーバー名［CONT-RMS01(CONTOSO)］をクリックします。［CONT-RMS01 ホーム］が表示されます。

3. 表示された機能の一覧から［サーバー証明書］を選択し、開きます。


4. ［サーバー証明書］画面が表示されます。右ペインの［証明書要求の作成］をクリックします。


5. ［証明書の要求］ウィザードが開始されます。次の情報を入力し、証明書の要求を作成します。

一般名

（DomainName）

cont-rms01.contoso.com

(クライアントからアクセスする際のサーバー名です。ここでは完全修飾ドメイン名（FQDN）を

指定します。)

組織 Contoso


組織単位（OU） Sales






国/地域 JP(日本)


入力し終えたら、［次へ］をクリックします。

6. 既定値のまま［次へ］をクリックします。


7. 証明書の要求ファイル名を指定します。ここでは［C:¥request.txt］と指定し、

［終了］をクリックします。

続いて、作成した証明書要求を証明機関（CA）に送信し、証明書を発行します。

サーバー証明書の要求

注意：AD RMS サーバー（CONT-RMS01）上で操作します。

以下の手順は『5.2.4 サーバー証明書の要求』の『サーバー証明書の要求』と同じ手

順になります。該当箇所を参照の上、操作を実施してください。

サーバー証明書の発行

注意：証明機関（CONT-CA）にて操作を行います。

以下の手順は『5.2.5 サーバー証明書の発行』と同じ手順になります。該当箇所を参

照の上、操作を実施してください。


サーバー証明書の取得


以下の手順は『5.2.6 サーバー証明書の取得およびインポート』と同じ手順になりま

す。該当箇所を参照の上、操作を実施してください。

ダウンロードした証明書はここでは「C:¥certnew.cer」として保存します。

次に、発行した証明書を AD RMS サーバー上で利用できるよう、証明書のインポ

ートを行います。


サーバー証明書のインポート




2. 左ペインからサーバー名［CONT-RMS01(CONTOSO)］をクリックします。［CONT-RMS01 ホーム］が表示されます。

3. 表示された機能の一覧から［サーバー証明書］を選択し、開きます。

4. 右ペインから［証明書の要求の完了］をクリックします。


5. ウィザードが開始されます。［証明機関の応答ファイルが含まれるファイルの名前］に［C:¥crtnew.cer］を

指定します。フレンドリ名に［CONT-RMS01］を入力し、［OK］をクリック

します。

6. ［インターネットインフォメーション（IIS）マネージャ］に戻り、証明書が

追加されていることを確認します。


次に IIS マネージャにて、インポートした証明書を AD RMS が利用できるように

構成します。

サーバー証明書の登録

注意：AD RMS サーバー（CONT-RMS01）にて操作を行います。



2. 左ペインからサーバー名［CONT-RMS01(CONTOSO)］から［サイト］を展

開し、［Default Web Site］をクリックします。

3. 右ペインから［バインド］を選択します。

4. ［サイトバインド］画面が表示されます。［https］を選択し、［編集］をクリ

ックします。


5. ［サイトバインドの編集］画面が表示されます。［SSL 証明書］にてリストから［CONT-RMS01］を選択します。選択し、［OK］をクリックします。

6. ［サイトバインド］画面に戻ります。［閉じる］をクリックし、［インターネ

ットインフォメーションサービス（IIS）マネージャ］に戻ります。

7. IIS のサービスを再起動させ、設定を反映させます。［スタート］ボタンをクリックし［ファイル名を指定して実行］を開き、［iisreset /noforce］と入力し、［OK］をクリックします。

最後に、AD RMS が正常に動作していることを確認します。

AD RMS の動作確認

注意：AD RMS サーバー（CONT-RMS01）にて操作を行います。

1. ［サーバーマネージャ］を開き、［役割］―［Active Directory Rights Management サービス］を展開し、クラスタ名［CONT-RMS01］を選択しま

す。 AD RMS サーバークラスタ管理画面が表示されます。

2. 中央ペインの［イントラネットクラスタの URL］の２つのリンクをクリック

し、Web ページが問題なく開けることを確認します。


3. このようなページがエラーなく開ければ問題ありません。

注意：アカウント名を入力するダイアログが表示された場合は、現在ログインしている管理

者アカウント（contoso¥Administrator）のアカウント情報を入力します。


注意：SSL 証明書の構築直後など、SSL 証明書が正常に認識されず、［セキュリティの警

告］画面が表示される場合があります。［証明書の表示］をクリックするなどして証明書が正

常にインストールされているならばこの警告は無視できますので、［はい］をクリックして続行

します。

6.2.4 クライアントの構成

AD RMS によりアクセスが制限されたドキュメントやメッセージを開くためには、

AD RMS に対応したアプリケーションに加え、クライアントにていくつかの設定が

必要です。

AD RMS に対応したアプリケーションとしてここでは Microsoft Office 2007 を利

用します。クライアントにインストールされていない場合はあらかじめインストー

ルしてください。

クライアントは AD RMS の利用にあたり、以下の３つの条件を満たしている必要

があります。

・ AD RMSサーバーの証明書がクライアントにて正常に認証されていること

・ AD RMSサーバーがローカルイントラネットゾーンとして認識されている

こと

・利用するユーザーアカウントが持つ Active Directory 上のプロパティ情

報において、電子メール属性に SMTP アドレスが入力されていること

これらの設定方法を以下で順を追って説明します。


AD RMS サーバーの［ローカルイントラネットゾーン］への追加

注意：この操作はクライアントにて行います。

1. ドメインに参加しているクライアントマシンに「contoso¥Administrator」ア

カウントでログオンします。

2. Internet Explorer を起動します。

3. ［Alt］キーを押下し、メニューを表示させます。［ツール］から［インターネ

ットオプション］を選択します。

4. ［セキュリティ］タブを表示させます。［ローカルイントラネット］を選択し、

［サイト］をクリックします。


5. ［詳細設定］をクリックします。

6. ［この Web サイトをゾーンに追加する］欄に、

［https://cont-rms01.contoso.com］と入力し［追加］をクリックします。

7. ［Web サイト］欄に正しく追加されたことを確認し、［閉じる］をクリックし

ます。


［インターネットオプション］画面も［OK］を押して閉じます。

8. アドレスバーに［https://cont-rms01.contoso.com］と入力し、アクセスします。

9. このとき、画面右下に［ローカルイントラネット］と表示されていることを

確認します。

次に AD RMS サーバーの証明書が正常に認識されていることを確認します。

サーバー証明書の有効性の確認


1. ［https://cont-rms01.contoso.com］にアクセスしている状態で、アドレスバー


横の鍵のマークをクリックします。

2. ［証明書の表示］をクリックします。

3. 証明書が表示されます。エラーメッセージや警告などが表示されていないこと

を確認し、［OK］をクリックして閉じます。


注意：エラーメッセージが表示される場合などは、『5.2.3スタンドアロンCAを信頼されたル

ート CA として登録』の手順を確認し、ルート証明機関を各クライアントに正しくインストール

する必要があります。

AD RMS を利用するアカウントは、Active Directory 上に電子メールの情報を格納

している必要があります。以下の手順に従って確認します。

ユーザーアカウントの電子メール情報の確認

注意：この手順はドメインコントローラ（CONT-DC01）にて操作を行います。

1. ［スタート］メニューの［管理ツール］より、［Active Directory ユーザーと

コンピュータ］を起動します。

2. ［Users］コンテナを展開し、AD RMSを利用したいアカウントを選択します。右クリックし、メニューより［プロパティ］を開きます。


3. ［全般］タブを開きます。［電子メール］欄に SMTP アドレスが入力されていることを確認します。

6.2.5 Outlook を利用した IRM 保護機能の利用

Outlook 2007 を用いて Information Right Management（IRM）保護されたメー

ルの送受信を行うには以下の操作を行います。

あらかじめ、以下のユーザーアカウントが contoso.com ドメインに作成されており、

かつメールボックスが作成されているとします。説明アカウント A アカウント B

フルネーム（名前）東京花子大阪太郎


ユーザーログオン名 tokyo osaka

電子メールアドレス [email protected] [email protected]

メールボックスの作成方法は、『4.1 メールボックスの作成』の『メールボックスを

作成する(ドメインユーザーを同時に新規作成する)』を参考にしてください。

IRM 保護されたメッセージを送信する


1. クライアントマシンに「東京花子」アカウント（contoso¥tokyo）でログオン

します。

2. 『6.2.4 クライアントの構成』を参照し、クライアントマシンおよび現在ログ

オンしているユーザーアカウントが AD RMS を利用するための条件を満たし

ていることを確認します。


注意：Outlook 2007 を初回に起動する場合、メールアカウントの設定を行う必要がありま

す。『4.2.2 メールを送受信するための Outlook 2007 の設定』を参照し、Outlook 2007 の

初期設定を完了してください。

4. ツールバーから「新規作成」をクリックし、メールの新規作成を行います。

5. 宛先に［[email protected]］を入力します。件名および本文を任意に入力し

ます。

6. 左上の［Office］ボタンをクリックし、［アクセス許可］から［転送不可］を選


択します。


7. アカウントの確認画面が表示された場合は、現在ログオンしているアカウント

のユーザー名およびパスワードを入力します。［OK］をクリックします。

8. 送信するメールの転送が制限されることを示すメッセージがメール上に表示

されます。確認し、［送信］をクリックします。

9. 正常に送信されたら、現在のアカウントからログオフします。

次に、メッセージの送信先である「大阪太郎」アカウント（contoso¥osaka）でロ

グインし、メッセージを受信します。

IRM 保護されたメッセージを受信する


1. クライアントマシンに「大阪太郎」アカウント（contoso¥osaka）でログオン

します。

2. 『6.2.4 クライアントの構成』を参照し、クライアントマシンおよび現在ログ


オンしているユーザーアカウントが AD RMS を利用するための条件を満たし

ていることを確認します。


注意：Outlook 2007 を初回に起動する場合、メールアカウントの設定を行う必要がありま

す。『4.2.2 メールを送受信するための Outlook 2007 の設定』を参照し、Outlook 2007 の

初期設定を完了してください。

4. 送受信が自動的に行われるのを待ちます。しばらくたっても送受信が行われな

い場合は、［ツール］―［送受信］―［すべて送受信］をクリックし、メールの

送受信を行います。

5. 受信処理中にアカウント情報の確認画面が表示された場合は、現在ログインし

ているアカウントのユーザー名およびパスワードを入力します。

6. メールの受信が完了します。

7. 初回にメッセージを開く際にはプレビューウィンドウ内にメールの内容が表

示されない場合があります。この場合は受信したメールをダブルクリックなどで開きます。

8. ライセンスを取得するメッセージが表示されます。［OK］をクリックします。


9. ライセンスサーバーである AD RMS から資格情報が取得され、メールを参照

する権限があれば、メールの内容が表示されます。

10. このとき、今回は「転送不可」のアクセス制限を行っていますので［転送］ボ

タンがグレーアウトし、メッセージの通り、転送不可に設定されていることが

確認できます。

許可された権限の詳細

橙色に表示されたメッセージ部分をクリックすると、［アクセス許可の表示］ボタンが表示されます。この［アクセス許可の表示］ボタンをクリックすると、より詳細なアクセス許可が表示されます。


6.2.6 トランスポートルールを利用しての AD RMS の利用

Exchange 2010 では、トランスポートルールとして RMS のテンプレートを利用す

ることができるようになりました。これにより、管理者は特定の条件を持つメール

に対し、包括的に情報の保護と管理を行うことができます。

ここでは「機密情報」という語句が件名に含まれるメールに対し転送不可に制限す

るトランスポートルールを作成する手順を説明します。

手順は以下の流れに沿って行います。

Exchange Server と AD RMS の連携のための初期構成

前提条件として、AD RMS サーバーに KB 973247 が必要です。ここまででこ

の修正プログラムの適用を行っていない場合はここで AD RMS サーバーに適

用します。

また Exchange サーバーには.Net Framework 2.0 SP2 の修正プログラムであ

る KB 973136の適用が推奨されます。合わせて適用するようにしてください。

Exchange Server と AD RMS を連携させるためには、AD RMS サーバーの情報に

Exchange サーバーがアクセス可能なようにアクセス権を構成する必要があります。

Exchange Server と AD RMS の連携のための初期構成

Exchange Server での Information Rights

Management を有効化

AD RMS 証明書パイプラインに

Exchange Server を追加

トランスポートルールの作成


具体的には ServerCertification.asmx ファイルに対し、Exchange サーバーのコン

ピュータアカウントと AD RMS Service Group に読み取りと実行権限を与える必

要があります。この手順を説明します。


Exchange Server を AD RMS 証明書パイプラインに追加する

注意：この操作は AD RMS サーバー（CONT-RMS01）にて行います。

1. エクスプローラを起動し、インターネットインフォメーションサービス

（IIS）の「既定の Web サイト」の物理パスに移動します。ここでは C:¥inetpub¥wwwroot¥_wmcs¥certification を開きます。

注意：インストール時の場所から設定変更を行っている場合は適宜読み替えて操作してくだ

さい。

2. ［ServerCertification.asmx］ファイルを右クリックし、［プロパティ］をク


3. ［セキュリティ］タブを開きます。アクセス権を付与するため［詳細設定］を



4. ［編集］をクリックします。

5. ［このオブジェクトの親からの検証可能なアクセス許可を含める］にチェック

を入れ［適用］をクリックします。

6. 親フォルダに設定されたアクセス権が継承されて追加されたことを確認しま

す。［AD RMS Service Group］に［読み取りと実行］のアクセス権が設定されて

いることを確認します。確認し［OK］を２回クリックし、アクセス権の詳細

設定画面を閉じます。


7. アクセス許可の設定画面に戻ります。［編集］をクリックします。

8. ［追加］をクリックします。


9. ［オブジェクトの種類］をクリックします。

10. ［コンピュータ］にチェックを入れ、［OK］をクリックします。

11. ［選択するオブジェクト名を入力してください］欄に［EX-ALL］と入力し、

［名前の確認］をクリックします。

12. 下線が引かれたことを確認し、［OK］をクリックします。


注意：Exchange サーバーが複数存在する場合はすべての Exchange サーバーに対しア

クセス権を付与する必要があります。個別にサーバーを追加するほか、［Exchange Servers］グループを利用することもできます。

13. ［EX-ALL］（または EX-ALL$）に［読み取り］および［読み取りと実行］の

権限が付与されていることを確認し、［OK］を２回クリックします。

14. IIS のサービスを再起動させ、設定を反映させます。［スタート］ボタンをクリックし［ファイル名を指定して実行］を開き、［iisreset /noforce］と入力し、［OK］をクリックします。

Exchange Server にて AD RMS を利用した Information Rights Management（IRM）を有効化するには、次の手順を実行します。

Exchange 組織内部での IRM の有効化

注意：この操作は Exchange サーバー（Ex-ALL）にて行います。


1. ［スタートメニュー］－［すべてのプログラム］－［Microsoft Exchange Server 2010 ］－［ Exchange Management Shell ］をクリックし、 Exchange Management Shell を起動します。


＞ Set-IRMConfiguration -InternalLicensingEnabled $TRUE

3. 適切に設定されていることを確認します。

＞ Get-IRMConfiguration

［InternalLicensingEnabled：True］と表示されており、組織内部でのライセ

ンシングサービスが有効であることを確認します。

次のコマンドを実行し、AD RMS から RMS テンプレートの情報を参照できること


＞ Get-RMSTemplate

注意：この RMS テンプレートはサンプルとして格納されているもので、何も構成しない状態

でも表示されます。コマンド実行後に何も表示されない場合は AD RMS サーバーとの連携

が正常になされていませんので、手順に誤りが無いかなど確認してください。


SP1

Exchange Server 2010 SP1 をインストールした場合は以下のように表示されます。

トランスポートルールの作成

注意：この操作は Exchange Server（EX-ALL）にて行います。

1. スタートメニューから Exchange 管理コンソールを開きます。

2. ［組織の構成］－［ハブトランスポート］をクリックします。

3. ［トランスポートルール］タブを開きます。

4. 中央ペインの何も無いところで右クリックし、メニューより［トランスポートルールの新規作成］をクリックします。

5. ［トランスポートルールの新規作成］ウィザードが開始されます。


6. ［名前］にトランスポートルールの名前を入力します。ここでは「自動暗号

化」と入力します。［次へ］をクリックします。

7. トランスポートルールが適用される条件を指定します。上段［ステップ１：

条件の選択］の［件名フィールドがテキストパターンと一致する場合］にチェ

ックを入れます。

8. 次に下段［ステップ２：下線付きの値をクリックしてルールの説明を編集］に

て青文字で表示されている［テキストパターン］をクリックします。


9. ［テキストパターンの指定］ダイアログが表示されます。ここに件名に含まれ

ている場合にトランスポートルールを適用したい語句を入力します。ここでは「機密情報」と入力します。

10. 入力し終えたら［追加］をクリックし、下段に入力した語句が表示されている

ことを確認します。確認できたら［OK］をクリックします。

11. ウィザードに戻ります。［ステップ２］にて［機密情報］が青文字で表示され

ていることを確認します。確認できたら［次へ］をクリックします。


12. 適用するトランスポートルールの処理を選択します。上段［ステップ１：処

理の選択］内から［RMS テンプレートを使用する権利保護メッセージ］のチ

ェックを入れます。

13. 下段［ステップ２：下線付きの値をクリックしてルールの説明を編集］におい

て青文字で表示されている［RMS テンプレート］をクリックします。

14. ［RMS テンプレートの選択］ダイアログが表示されます。既に存在するトラ

ンスポートルールが検索され、［転送不可］が表示されることを確認します。

注意：表示されない場合は RMS を利用するための構成が正常に行われていない可能性が

あります。第六部「Rights Management Service と Exchange Server 2010 の連携」の手

順を再度確認してください。

15. ［転送不可］が表示されている場合はこれを選択し、［OK］をクリックします。


16. ウィザードに戻ります。［ステップ２］にて青文字が［‘転送不可’］と表示さ

れていることを確認します。確認できたら［次へ］をクリックします。

17. トランスポートルールの例外を設定します。ここでは何も選択せず、［次へ］



18. ルールの作成を行う確認画面が表示されます。［新規作成］をクリックします。

19. 実行結果が表示されます。エラーが無いことを確認し［終了］をクリックしま

す。


20. Exchange 管理コンソールに戻り、［トランスポートルール］タブ内に［自動

暗号化］というルールが新規に追加されていることを確認します。

次にクライアントにて操作を行い、実際にトランスポートルールが適用される様子


クライアントでの確認

注意：以下の操作はクライアントで行います。

1. クライアントに「大阪太郎」アカウント（contoso¥osaka）にてログオンしま

す。


3. メールの新規作成を行います。宛先：[email protected] 件名：「機密情報：新製品のお知らせ」とします。本文は任意に入力してください。入力が完了したら［送信］をクリックします。


4. 正常に送信ができたらログオフします。

5. 同一のマシンにて「東京花子」アカウント（contoso¥tokyo）でログオンしま

す

6. Outlook 2007 を起動します。「大阪太郎」からメールが届いていることを確認

し、届いたメールを開きます。

7. ［転送］ボタンがグレーアウトしており、メールの転送が制限されていること

を示すメッセージが表示されます。


上記の動作は、件名に「機密情報」が含まれるメールに対し、自動的に転送不可と

するトランスポートルールが機能したためです。

このように、トランスポートを利用すると送信者側で操作を行うことなく、管理者

側で特定条件下のメールへのアクセス制限を行うことができます。

6.2.7 OWA での RMS の有効化

OWA から RMS によりアクセス制限されたメッセージを確認するには、追加の手順

が必要になります。この手順は次の機能を利用する場合にも必要です。

・AD RMS によるアクセス制御を OWA にて利用したい場合

・ジャーナルレポートを収集する際に AD RMS により暗号化されたメッセ

ージも対象としたい場合

・AD RMS により暗号化されたメッセージに対してトランスポートルールを

適用したい場合

これらの機能を利用する場合、Exchange サーバーが AD RMS により暗号化された

メッセージを復号できる必要があります。

手順は以下の流れに沿って行います。


RMS スーパーユーザー用の配布グループの作成

注意：この操作は Exchange サーバー（Ex-ALL）にて行います。

1. スタートメニューから Exchange 管理コンソールを開きます。

2. ［受信者の構成］－［配布グループ］とたどり、画面中央の何もないところで

右クリックし［配布グループの新規作成］をクリックします。

3. ［配布グループの新規作成］ウィザードが開始されます。

AD RMS のスーパーユーザーの設定

AD RMS サーバーのアクセス権設定

スーパーユーザー権限を与える

配布グループの作成

配布グループへの Exchange

システムアカウントの追加

AD RMS のスーパーユーザーの有効化


4. ［新しいグループ］が選択されていることを確認し、［次へ］をクリックしま

す。

5. ［名前］および［エイリアス」に「ADRMSSuperUsers」と入力し［次へ］を



6. 確認画面が表示されます。［新規作成］をクリックします。

7. エラーなく完了したことを確認し［完了］をクリックします。


8. Exchange 管理コンソールに戻り、配布グループが追加されていることを確認

します。

次に、作成した配布グループに「Federated Delivery Mailbox」を追加します。このアカウントはシステムアカウントのため、Exchange 管理シェルから行いま

す。

Federated Delivery Mailbox の配布グループへの追加

注意：この操作は Exchange サーバー（EX-ALL）にて行います。

1. スタートメニューから［Exchange Management Shell］を起動します。

2. 以下のコマンドを実行します。（実際には１行で入力します。）

＞ Add-DistributionGroupMember ADRMSSuperUsers

-Member FederatedEmail.4c1f4d8b-8179-4148-93bf-00a95fa1e042

配布グループの設定が完了したら、この配布グループを AD RMS のスーパーユー

ザーとして設定します。この操作により、Exchange Server が暗号化されたメッセ

ージを復号することが可能になり、OWA での暗号化されたメッセージの表示や、

暗号化されたメッセージに対するトランスポートルールの適用などが行えるよう

になります。

RMS スーパーユーザーの設定

注意：この操作は AD RMS サーバー（CONT-RMS01）にて行います。


1. ［スタートメニュー］－［管理ツール］から［Active Directory Rights Management サービス］を起動します。

2. 左ペインから［セキュリティポリシー］をクリックして開きます。

3. 画面中央の［スーパーユーザー設定の変更］をクリックします。

4. 右ペインの［スーパーユーザーを有効にする］をクリックします。


5. スーパーユーザーが有効になったことを確認し、画面中央の［スーパーユー

ザーグループの変更］をクリックします。

6. ［スーパーユーザー］ダイアログが表示されます。［参照］をクリックします。

7. ［選択するオブジェクト名を入力してください］欄に先ほど作成した配布グル

ープ名「ADRMSSuperUsers」を入力し、［名前の確認］をクリックします。下線が引かれたことを確認し、［OK］をクリックします。


8. スーパーユーザーグループ名に「[email protected]」と入

力されていることを確認し、［OK］をクリックします。

9. AD RMS 管理コンソールに戻ります。スーパーユーザーが有効であり、スー

パーユーザーグループが適切に構成されていることを確認します。


10. 設定が完了したら、［ファイル名を指定して実行］から次のコマンドを実行し

ます。

＞ iisreset /noforce

正しく構成されると、アクセス権の制御されたメッセージを OWA にて表示させる

ことができるようになります。


免責

この資料に記載されている情報は、この資料の発行日におけるマイクロソフトの見解を示すものです。マイクロソフトは市場の変化に対応

する必要があるため、この資料の内容に関する責任をマイクロソフトは問われないものとします。また、発行日以降に発表される情報の

正確性を保証できません。資料に記載された内容は情報の提供のみを目的としており、明示、黙示、または法律の規定にかかわらず、

これらの情報についてマイクロソフトはいかなる責任も負わないものとします。

マイクロソフトは、この資料に記載されている内容に関し、特許、特許申請、商標、著作権、またはその他の無体財産権を有する場合

があります。別途マイクロソフトのライセンス契約上に明示の規定のない限り、このドキュメントはこれらの特許、商標、著作権、またはその

他の無体財産権に関する権利をお客様に許諾するものではありません。

exchange server 2010 ステップバイステップガイド … server は、米国 microsoft...

Documents