ハイブリッド構成にサーバーを追加する際の注意点


こんにちは、Exchange サポート チームの小林です。

Exchange Online (ExO) とのハイブリッド構成を構築済みの環境に、最新バージョンの Exchange サーバーを追加し、ExO との通信のエンドポイントとする場合のお問い合わせを最近多く頂くようになりました。
基本的には追加いただいた後、再度ハイブリッド構成ウィザードを実行いただくことを推奨しておりますが、ハイブリッド構成ウィザード実行後に手動で構成をカスタマイズしている場合などにはサーバーを追加後に手動で構成を変更する場合があるかと思います。

オンプレミス側の構成などにも依存しますので、実施いただくべき手順をすべてご案内することはできないのですが、よくあるトラブルなどの事例をもとにサーバーを追加した後のハイブリッド構成において最低限ご確認いただきたい注意点をまとめました。
ハイブリッド構成ウィザードを再度実行いただいた後、または、手動で構成を追加後に、最終確認いただく際の参考情報となれば幸いです。
 
1. 証明書について
--------------------------------------------------------------------
既にハイブリッド構成を構築済みの場合には、ハイブリッド用にご利用いただく証明書は既にご用意されているかと思いますが、新規で追加いただくサーバーにおいても同様にハイブリッド用の証明書がインストールされている必要がございます。

特にフェデレーション証明書については、通常ハイブリット構成ウィザードを実行した際に、インターネット接続が可能なサーバーに自動的にインストールされ、他のサーバーに展開が行われます。そのため、新規でサーバーを追加いただき、ハイブリッド構成ウィザードを実行しない場合などには手動でインストールすることを忘れがちなのでご注意ください。
フェデレーション証明書が存在しない場合には、下記の KB3057905 の追加情報としてご案内しております通り、既存のハイブリッド サーバーにインストールされたフェデレーション証明書をエクスポートの上、今回追加予定のサーバーにインポートいただく必要がございます。

*証明書をインポート後、サービスは自動で割り当てられますので、明示的にサービスを割り当てる必要はございません。

Title: Exchange Online のユーザーがインターネットに接続していない Active Directory サイトのユーザーの空き時間情報にアクセスできない
URL: https://support.microsoft.com/ja-jp/kb/3057905

なお、Exchange 管理シェルにて以下のコマンドを実行いただき、新規で構築いただいたサーバーに下記のように Federation サービスが割り当てられたフェデレーション証明書が存在することをご確認いただくことが可能です。

コマンド
Get-ExchangeCertificate | FL Subject, Status, Services, NotAfter, NotBefore

実行結果例:
----ここから-----------------------------------------------------
Subject : CN=Federation
Status : Valid
Services : SMTP, Federation
NotAfter : 1/30/2022 11:15:21 AM
NotBefore : 1/30/2017 11:15:21 AM
----ここまで-----------------------------------------------------
 
2. EWS のエンドポイントの構成について
--------------------------------------------------------------------
追加したサーバーの EWS のエンドポイントとして、外部公開用の URL が正しく構成されているかをご確認ください。具体的には、Exchange 管理シェルにて以下のコマンドを実行いただき、ExternalUrl が設定されていること、および、WSSecurityAuthentication が有効化されていることをご確認いただく必要がございます。

コマンド:
Get-WebServicesVirtualDirectory | FL Name, Server, externalURL, WSSecurityAuthentication

実行結果例:
----ここから-----------------------------------------------------
Name : EWS (Default Web Site)
Server : EX2013CAS
ExternalUrl : https://mail.contoso.com/EWS/Exchange.asmx
WSSecurityAuthentication : True
----ここまで-----------------------------------------------------

なお、WSSecurityAuthentication が正しく有効化されていない場合には、クロスプレミス間の空き時間情報の参照など EWS の通信を使う動作が正しく機能しないことが想定されます。その場合には、WSSecurityAuthentication の設定を一度無効化した上で、再度有効化し、アプリケ―ション プールを再起動することで解消する場合がございます。

具体的な解消方法については以下の公開情報にてご案内しておりますので、併せてご確認頂ければと存じます。

Title: フェデレーション組織のユーザーはことはできません anotherExchange 組織の空き時間情報を参照してください。
URL: https://support.microsoft.com/ja-jp/kb/2752387

*補足:
ハイブリッド構成のために外部からの通信を許可いただく必要があるのは、Autodiscover および EWS の通信のみとなります。Outlook Anywhere, PowerShell, ECP, OWA などのエンドポイントにつきましては、外部用の URL を設定いただくことは必須ではございませんが、お客様のご要件に応じて追加で構成ください。
 
3. AutoDiscoverServiceInternalUri について
--------------------------------------------------------------------
ハイブリッド環境に特有の構成ではございませんが、追加した Exchange サーバーに対して、社内のユーザーから Autodiscover によるアクセス時に利用する URL が正しく構成されているかをご確認ください。当該設定を行わない場合、既定ではインストールした Exchange サーバーの FQDN が登録されており、当該 FQDN が証明書のサブジェクト名に含まれていないために Outlook にて接続した際に証明書の警告が出る可能性がございます。

例: Set-ClientAccessServer -Identity "SRV-01" -AutoDiscoverServiceInternalUri "https://<現状接続用にご利用いただいている FQDN (例exchange2013.contoso.com)>/autodiscover/autodiscover.xml"

Title: Set-ClientAccessServer
URL: https://technet.microsoft.com/ja-jp/library/bb125157(v=exchg.160).aspx

なおこのような影響は、AD サイトを複数に分割し、専用のサイトに新規サーバーを導入することでも最小限に抑えることが可能です。緩和策について以下でもご紹介しておりますので、興味のある方はぜひご参照ください。

Title: Active Directory サイトを活用した Exchange 導入
URL: https://blogs.technet.microsoft.com/exchangeteamjp/2016/03/30/active-directory-exchange/
 
4. メール フローの構成
--------------------------------------------------------------------
サーバー追加後のメール フローの構成に依存しますが、ExO への送信元のサーバーを追加したサーバーに変更する場合には、 オンプレミス側の送信コネクタにて SourceTransportServers を変更いただく必要がございます。
また、ExO から該当のサーバーにてメールを受信する場合には、別途受信コネクタを追加 (もしくは設定を更新) いただく必要がありますのでご留意ください。
 
5. その他
--------------------------------------------------------------------
今回追加いただく予定のサーバーに関しましてもハイブリッド展開の前提条件を満たしている必要がございます。*情報は随時更新しておりますので、その際の最新情報をもとにご確認ください。

Title: ハイブリッド展開の前提条件
URL: https://technet.microsoft.com/ja-jp/library/hh534377(v=exchg.150).aspx
なお、Exchange 2013 または 2016 の最新のビルド一覧については以下の情報をご参照いただければと存じます。

Title: Exchange Server 2013 and 2016 Build Numbers (with Cumulative Updates)
URL: http://social.technet.microsoft.com/wiki/contents/articles/15776.exchange-server-2013-and-2016-build-numbers-with-cumulative-updates.aspx

以上です。今後も当ブログおよびサポート チームをよろしくお願いいたします。

 
※本情報の内容(添付文書、リンク先などを含む)は、作成日時点でのものであり、予告なく変更される場合があります。


Skip to main content