複数フォレストによるハイブリッド展開

Exchange 2013 以降のハイブリッド展開は、複数のオンプレミス Exchange フォレストと 1 つの Microsoft 365 またはOffice 365 organizationを持つ組織でサポートされています。 ハイブリッド展開の機能と考慮事項については、複数フォレストの組織は、Exchange サーバーが複数のフォレストに展開されている組織として定義されます。 ハイブリッド展開のシナリオでは、ユーザー アカウント用にリソース フォレストを使用していても、単一のフォレストにすべての Exchange サーバーを保持している組織は、複数フォレストとして分類されません。 ハイブリッド展開の計画と設定を進める際、そのようなタイプの組織は単一フォレストの組織と見なしてください。

オンプレミス環境から Microsoft 365 または Office 365 へのパブリック フォルダーの移行は、1 つの Active Directory フォレストからのみサポートされます。 同様に、ハイブリッド状態のパブリック フォルダーへのアクセスは、オンプレミスのパブリック フォルダーが単一の Active Directory フォレスト内に格納されている場合にのみサポートされます。

ハイブリッドデプロイの詳細については、「ハイブリッドデプロイExchange Server」を参照してください。

重要

Exchange 2013 以降の場合、ハイブリッド展開では、オンプレミスのorganizationにインストールした Exchange のバージョンで利用可能な最新の累積的な更新プログラム (CU) が必要です。

最新の更新プログラムをインストールできない場合は、直前のリリースもサポートされます。 以前の CU と RU はサポートされていません。 詳細については、「ハイブリッド展開の前提条件」を参照してください。

複数フォレストのハイブリッド展開の前提条件

マルチフォレスト ハイブリッド展開の前提条件は、単一フォレスト organizationのハイブリッド展開の前提条件とほぼ同じですが、次の例外があります。

  • 自動検出: 各 Exchange フォレストは、少なくとも 1 つの SMTP 名前空間と対応する自動検出名前空間に対して権限を持っている必要があります。 複数の Exchange フォレスト間の共有ドメインがある場合、複数フォレストのハイブリッド展開を構成する前に、それらの Exchange フォレスト間でメール ルーティングと自動検出エンドポイントの両方が適切に構成され作動している必要があります。 各 Exchange フォレストで、Office 365 サービスが自動検出サービスを照会できなければなりません。

  • 証明書: すべてのハイブリッド展開には、信頼されたサード パーティ証明機関 (CA) によって発行されたデジタル証明書が必要です。 複数フォレストのハイブリッド展開では、複数の Active Directory フォレストで単一のデジタル証明書を使用することはできません。 セキュリティで保護されたメール トランスポートがハイブリッド展開で正しく機能するには、各フォレストで専用の CA 発行証明書を使わなければなりません。 ハイブリッド展開機能で使用される、複数フォレスト組織内のフォレストごとの証明書は、以下のプロパティの 1 つ以上が違っていなければなりません。

    • 共通名: デジタル証明書の共通名 (CN) は、証明書のサブジェクトの一部です。 この名前は、認証されているホストと一致していなければならず、通常は Active Directory フォレスト内のクライアント アクセス サーバーの外部ホスト名になります。 mail.contoso.com などがあります。 複数フォレストのハイブリッド展開で使用されている各 Active Directory 証明書を区別するプロパティとして CN を使用することをお勧めします。

    • 発行者: organization情報を検証し、証明書を発行したサードパーティ CA。 VeriSign や Go Daddy などがあります。 マルチフォレスト ハイブリッド展開の例として、1 つのフォレストには VeriSign によって発行された証明書があり、1 つのフォレストには Go Daddy によって発行された証明書が含まれます。

    重要

    ハイブリッド展開でメール トランスポートに使用される各 Active Directory フォレスト内のメールボックスとクライアント アクセス (および展開されている場合はエッジ トランスポート) サーバーにインストールされている証明書はすべて、同じ CA によって発行され、同じ共通名を持っている必要があります。

    エッジ トランスポート サーバーでは、証明書の共通名と発行者名が一致しない場合は、次のコマンドを使用して受信コネクタで手動で設定できます。

    $cert=Get-ExchangeCertificate -Thumbprint "Thumbprint of the certificate"
    $tlscertificatename = "<i>$($cert.Issuer)<s>$($cert.Subject)"
    Get-ReceiveConnector "Receiveconnectorname" | Set-ReceiveConnector -TlsCertificateName $tlscertificatename
    
  • Exchange サーバー: クライアント アクセス サーバーの役割を持つ少なくとも 1 つの Exchange 2013 サーバー、またはメールボックスロールを持つ 1 台の Exchange 2016 以降のサーバーを、ハイブリッド展開用に構成された各 Active Directory フォレストにインストールする必要があります。

    Exchange 2013 では、クライアント アクセス サーバーは、Microsoft 365 または Office 365 organization サービスに含まれるExchange Online Protection (EOP) サービスの受信セキュリティで保護されたメール トランスポート エンドポイントであり、Active Directory フォレストでハイブリッド構成ウィザードを実行できるようにします。 さらに、ハイブリッド展開用に構成される各 Active Directory フォレストに、メールボックス サーバーの役割がある Exchange サーバーを 1 つ以上インストールする必要があります。 Exchange 2013 メールボックス サーバーは、EOP サービスとExchange Online organizationに送信されるメッセージの送信セキュリティで保護されたメール トランスポート エンドポイントです。

    Exchange 2016 以降の場合、オンプレミス組織と Exchange Online 間のセキュリティで保護されたトランスポートの受信および送信すべては、メールボックス サーバーの役割によって扱われます。

  • 名前空間の計画: Exchange をインストールする各フォレストには、独自の外部検出可能な名前空間が必要です。 各フォレストでフォレストを実行するときに、ハイブリッド構成ウィザードでフォレストの一意の名前空間を指定します。

  • Active Directory 同期: すべてのハイブリッド展開では、Microsoft 365 または Office 365 との Active Directory 同期が必要です。 社内でオンプレミスのマルチフォレスト organizationと Microsoft 365 間の Active Directory 同期を既に設定している場合、または Forefront Identity Managerを使用してOffice 365している場合は、Microsoft Entra Connect を使用できます。

  • シングル サインオン: 1 つの Active Directory フォレストを使用したハイブリッド展開の要件ではありませんが、管理者は、各 Active Directory フォレストで SSO サーバーを構成するか、オンプレミス フォレスト間で双方向フォレスト信頼が構成されている場合は 1 つの SSO サーバーを構成することを選択できます。 AD FS かパスワード同期を使用して、シームレスにユーザー認証を行えます。

    詳細については、「ハイブリッド展開でのシングル サインオン」を参照してください。

ハイブリッド展開の前提条件の完全な一覧については、「ハイブリッド展開の前提条件」を参照してください。

複数フォレストのハイブリッド展開のシナリオ

以下のシナリオをご覧ください。 これは、一般的な Exchange 2013 展開の概要を示すトポロジの例です。 Contoso, Ltd. は、2 つの Active Directory フォレストを持つマルチフォレストのマルチドメイン organizationです。 フォレスト A には contoso.com ドメインが含まれ、フォレスト B には sale.contoso.com ドメインが含まれます。 各フォレストには、ドメイン コントローラー、クライアント アクセスロールがインストールされている 1 つの Exchange 2013 サーバー、メールボックス サーバーの役割がインストールされた 1 つの Exchange 2013 サーバーが含まれています。 リモート Contoso ユーザーは、Outlook Web Appを使用してインターネット経由で Exchange 2013 に接続し、メールボックスをチェックし、Outlook 予定表にアクセスします。

複数のフォレストを使用したハイブリッドデプロイの前。

たとえば、Contoso のネットワーク管理者であり、ハイブリッド展開の構成に関心があるとします。 フォレスト A に必要な Active Directory 同期サーバーを展開して構成し、Microsoft 365 または Office 365にアクセスする Contoso ユーザーと管理者のアカウント資格情報のプロンプトの数を最小限に抑えるオプションとして、Active Directory フェデレーション サービス (AD FS) (AD FS) サーバーを展開することもできますOffice 365フォレスト A のサービス。ハイブリッド展開の前提条件を完了し、ハイブリッド構成ウィザードを使用してハイブリッド展開のオプションを選択した後、新しいトポロジには次の構成があります。

  • ユーザーは、社内組織および Exchange Online 組織にログオンするために既存のネットワーク アカウント資格情報を使用します (「シングル サインオン」)。

  • 社内組織に配置されたユーザー メールボックスと Exchange Online 組織に配置されたユーザー メールボックスは、複数の電子メール アドレス ドメインを使用します。 たとえば、オンプレミスのフォレスト A にあるメールボックスと、Exchange Online organizationにある一部のメールボックスはフォレスト B のユーザーの電子メール アドレスとメールボックスで使用@contoso.comされ、Exchange Online organizationにある一部のメールボックスでは を使用@sales.contoso.comします。

  • すべてのメールは社内組織によってインターネットに配信されます。 社内組織は、すべてのメッセージ トランスポートを制御し、Exchange Online 組織の中継として機能します (「メール トランスポートの集中管理」)。

  • 社内組織のユーザーと Exchange Online 組織のユーザーは、予定表の空き時間情報を互いに共有できます。 両方の組織に構成された組織上の関係により、社内外にまたがるメッセージ追跡、メール ヒント、メッセージ検索も利用できます。

  • 社内ユーザーおよび Exchange Online ユーザーは、同じ URL を使用して、それぞれのメールボックスにインターネット経由で接続します。

複数のフォレストを使用したハイブリッドデプロイ後。

Contoso の既存の組織構成とハイブリッド展開構成を比較すると、ハイブリッド展開の構成では、追加の通信をサポートするサーバーとサービス、および社内組織と Exchange Online 組織間で共有される機能が追加されていることがわかります。 以下は、ハイブリッド展開によって初期の社内 Exchange 組織に加えられた変更の概要を示しています。

構成 ハイブリッド展開前 ハイブリッド展開後
メールボックスの場所 社内組織のメールボックスのみ。 社内および Exchange Online のメールボックス。
メッセージ トランスポート 社内クライアント アクセス サーバーがすべての受信および送信メッセージのルーティングを処理します。 社内クライアント アクセス サーバーは、社内と Exchange Online 組織間での内部メッセージのルーティングを処理します。
Outlook Web App オンプレミスのクライアント アクセス サーバーが、すべての Outlook Web App 要求を受信し、メールボックス情報を表示します。 オンプレミスのクライアント アクセス サーバーが、Outlook Web App 要求をオンプレミスの Exchange 2013 メールボックス サーバーにリダイレクトするか、Exchange Online 組織にログオンするためのリンクを提供します。
両方の組織の統合 GAL 該当なし、単一組織のみ。 オンプレミスの Active Directory 同期サーバーが、メールが有効なオブジェクトの Active Directory 情報を Exchange Online 組織にレプリケートします。
両方の組織で使用されるシングル サインオン 該当なし、単一組織のみ。 オンプレミス Active Directory フェデレーション サービス (AD FS) (AD FS) サーバーでは、オンプレミスまたは Microsoft 365 または Office 365 organizationにあるメールボックスに対するシングル サインオン資格情報の使用がサポートされています。
組織関係が確立され、Microsoft Entra認証システムとのフェデレーション信頼 Microsoft Entra認証システムとの信頼関係と、他のフェデレーション Exchange 組織とのorganization関係を構成できます。 Microsoft Entra認証システムとの信頼関係が必要です。 組織上の関係は、オンプレミス組織と Exchange Online 組織の間で確立されます。
空き時間情報の共有 社内ユーザーの間でのみ空き時間情報を共有。 社内および Exchange Online の両方のユーザーの間で空き時間情報を共有。

複数フォレスト組織のハイブリッド展開の構成

複数フォレスト組織用にハイブリッド展開を構成するには、以下の基本的な手順を完了する必要があります。

  1. ハイブリッド展開の前提条件を満たしていることを確認します。 このトピックの前の方でリストした前提条件と「ハイブリッド展開の前提条件」を参照してください。 一般に、Active Directory 同期サーバーをインストールしなければならないフォレストは 1 つだけです。 詳細については、「Microsoft Entra Connect のトポロジ」を参照してください。

  2. 前述の要件を満たしている Active Directory フォレストごとに第三者 CA 証明書を取得します。

  3. 各フォレスト内のすべての Exchange 2013 クライアント アクセス サーバーおよびメールボックス サーバー、または Exchange 2016 メールボックス サーバー上に証明書をインストールします。

  4. プライマリ フォレストに対して、「ハイブリッド構成ウィザードを使用してハイブリッド展開を作成する」トピックで概略されている手順を実行します。

    重要

    ハイブリッド構成ウィザードでプライマリ フォレスト用に指定された証明書を選択し、そのフォレスト用のプライマリ SMTP ドメインを選択してください。

  5. セカンダリ フォレストに対して、「ハイブリッド構成ウィザードを使用してハイブリッド展開を作成する」トピックで概略されている手順を実行します。

    重要

    ハイブリッド構成ウィザードでセカンダリ フォレスト用に指定した証明書を選択し、そのフォレスト用のプライマリ SMTP ドメインを選択してください。