EdgeSync を使用せずにエッジ トランスポート サーバー経由のインターネット メール フローを構成する

  • [アーティクル]

製品: Exchange Server 2013

Edge サブスクリプション プロセスを使用して、Exchange 組織とエッジ トランスポート サーバー間のメール フローを確立することをお勧めします。 ただし、特定の状況では、Edge サブスクリプション プロセスを使用してエッジ トランスポート サーバーを Exchange 組織にサブスクライブできないことがあります。 Exchange 組織とエッジ トランスポート サーバーの間でメール フローを手動で確立するには、エッジ トランスポート サーバーと Exchange 組織内のメールボックス サーバーで送信コネクタと受信コネクタを作成して構成する必要があります。

はじめに

  • このタスクの予想所要時間:30 分。

  • この手順を実行する際には、あらかじめアクセス許可が割り当てられている必要があります。 必要なアクセス許可を確認するには、「 メール フロー のアクセス許可」トピックの「送信コネクタ」 エントリ、"送信コネクタ - エッジ トランスポート" エントリ、および "受信コネクタ - エッジ トランスポート" エントリを参照してください。

  • この手順では、トランスポート層セキュリティ (TLS) 経由の基本認証を使用して、暗号化と認証を提供します。 TLS 経由で基本認証を使用する場合、受信サーバーには X.509 Secure Sockets Layer (SSL) サーバー証明書がインストールされている必要があります。 受信コネクタで構成されている完全修飾ドメイン名 (FQDN) 値は、SSL サーバー証明書の FQDN と一致する必要があります。 既定では、受信コネクタの FQDN の値は、受信コネクタを含むサーバーの FQDN です。

  • 外部セキュリティで保護された認証方法を使用することもできます。 ただし、その場合、エッジ トランスポート サーバーとメールボックス サーバー間の通信は、Exchange によって認証または暗号化されません。 外部セキュリティで保護された認証方法は、追加の暗号化方法も使用する場合にのみ使用することをお勧めします。 暗号化方法には、インターネット プロトコル セキュリティ (IPsec) の関連付けまたは仮想プライベート ネットワーク (VPN) を指定できます。

  • 通常、エッジ トランスポート サーバーは マルチホームです。 つまり、エッジ トランスポート サーバーには、複数のネットワーク セグメントに接続されたネットワーク アダプターがあります。 これらの各ネットワーク アダプターには、一意の IP 構成があります。 外部 (パブリック) ネットワーク セグメントに接続されているネットワーク アダプターは、名前解決にパブリック ドメイン ネーム システム (DNS) サーバーを使用するように構成する必要があります。 この構成を行うことで、サーバーは SMTP ドメイン名を MX リソース レコードに解決してインターネットにメールをルーティングすることが可能になります。 内部ネットワーク セグメントまたはプライベート ネットワーク セグメントに接続されているネットワーク アダプターは、境界ネットワークで DNS サーバーを使用するように構成するか、ホスト ファイルを使用できるようにする必要があります。

  • Active Directory でユーザー アカウントを作成し、そのアカウントをExchange Server コンピューターのユニバーサル セキュリティ グループに追加する必要があります。 このアカウントは、Exchange 組織内の宛先メールボックス サーバーに対する認証を行うために、エッジ トランスポート サーバーの送信コネクタによって使用されます。

    重要

    このアカウントには、Exchange Serverを実行しているコンピューターに関連付けられているアクセス許可が付与されます。 アカウントが悪用されないように、アカウントの資格情報を保護してください。 特定のコンピューターにのみログオンを許可するようにアカウントを構成することができます。

エッジ トランスポート サーバーの手順

エッジ トランスポート サーバーには、次のコネクタが必要です。

  • インターネットにメッセージを送信するように構成された送信コネクタ

  • Exchange 組織内のメールボックス サーバーにメッセージを送信するように構成された送信コネクタ

  • Exchange 組織内のメールボックス サーバーからのみメッセージを受信するように構成された受信コネクタ

  • インターネットからのみメッセージを受け入れるように構成された受信コネクタ

既定では、エッジ トランスポート サーバーロールのインストール中に 1 つの受信コネクタが作成されます。 このコネクタは、受信インターネット メッセージとメールボックス サーバーからの受信メッセージの両方に使用できます。 通常、Edge サブスクリプション プロセスでは、既定の受信コネクタに対して正しいアクセス許可と認証が自動的に構成されます。 Edge サブスクリプション プロセスを使用しない場合は、エッジ トランスポート サーバーの既定の受信コネクタを変更して、インターネットからのメッセージのみを受け入れるようにすることをお勧めします。 次に、内部メールボックス サーバーからのメッセージのみを受け入れるように構成されたエッジ トランスポート サーバーに受信コネクタを作成する必要があります。

次のセクションでは、エッジ トランスポート サーバーが Exchange 組織と通信するための準備に必要なすべての構成手順について説明します。

注:

シェルを使用してエッジ トランスポート サーバーでのみこれらの手順を実行できます。

手順 1: インターネットにメッセージを送信するように構成された送信コネクタを作成する

この送信コネクタには、次の構成が必要です。

  • 名前: インターネット (またはわかりやすい名前)

  • 使用の種類: インターネット

  • アドレス空間: "*" (すべてのドメイン)

  • ネットワーク設定: DNS MX レコードを使用してメールを自動的にルーティングします。 ネットワーク構成によっては、スマート ホスト経由でメールをルーティングすることもできます。 スマート ホストはメールをインターネットにルーティングします。

インターネットにメッセージを送信するように構成された送信コネクタを作成するには、次のコマンドを実行します。

New-SendConnector -Name "To Internet" -AddressSpaces * -Usage Internet -DNSRoutingEnabled $true

構文およびパラメーターの詳細については、「New-SendConnector」を参照してください。

手順 2: Exchange 組織にメッセージを送信するように構成された送信コネクタを作成する

New-SendConnector コマンドレットを使用して、送信コネクタを作成します。

注:

送信コネクタを作成する前に、まず Get-Credential コマンドを実行して、一時変数で使用するユーザー名とパスワードを保存する必要があります。 New-SendConnector コマンドレットはプレーン テキストでユーザー資格情報を受け入れないため、これを行う必要があります。

この送信コネクタには、次の構成が必要です。

  • 名前: 内部組織 (またはわかりやすい名前) に

  • 使用法の種類: 内部

  • アドレス空間: Exchange 組織のすべての承認済みドメイン。 たとえば、*.contoso.com。

  • DNS ルーティングが無効 (スマート ホストのルーティングが有効)

  • スマート ホスト: スマート ホストとしての 1 つ以上のメールボックス サーバーの FQDN。 たとえば、mbxserver01.contoso.com と mbxserver02.contoso.com。

  • スマート ホスト認証方法: TLS 経由の基本認証

  • スマート ホスト認証資格情報: 内部ドメイン内のユーザー アカウントの資格情報。 New-SendConnector コマンドレットはプレーン テキストでユーザー資格情報を受け入れないため、最初にユーザー名とパスワードを一時変数に保存する必要があります。

Exchange 組織にメッセージを送信するように構成された送信コネクタを作成するには、次のコマンドを実行します。

$MailboxCredentials = Get-Credential
New-SendConnector -Name "To Internal Org" -Usage Internal -AddressSpaces *.contoso.com -DNSRoutingEnabled $false -SmartHosts mbxserver01.contoso.com,mbxserver02.contoso.com -SmartHostAuthMechanism BasicAuthRequireTLS -AuthenticationCredential $MailboxCredentials

構文およびパラメーターの詳細については、「New-SendConnector」を参照してください。

手順 3:インターネットからのメッセージのみを受け付けるよう既定の受信コネクタを変更する

既定の受信コネクタには、次のような構成変更を加える必要があります。

  • コネクタがインターネットから電子メールを受信するためにのみ使用されることを反映するように名前を変更します。 既定の受信コネクタの名前は、"既定の内部受信コネクタ <エッジ トランスポート サーバー名" です>。

  • インターネットからアクセスできるネットワーク アダプターからのみメッセージを受け入れるようにネットワーク バインドを変更します。 たとえば、10.1.1.1、標準の SMTP TCP ポート値は 25 です。

インターネットからのメッセージのみを受け入れるように既定の受信コネクタを変更するには、次のコマンドを実行します。

Set-ReceiveConnector "Default internal Receive connector Edge01" -Name "From Internet" -Bindings 10.1.1.1:25

構文およびパラメーターの詳細については、「Set-ReceiveConnector」を参照してください。

手順 4: Exchange 組織からのメッセージのみ受け付けるよう構成された受信コネクタを作成する

この受信コネクタには、次の構成が必要です。

  • 名前: 内部組織 (またはわかりやすい名前) から

  • 使用法の種類: 内部

  • ローカル ネットワーク バインド: 内部ネットワーク接続ネットワーク アダプター。 たとえば、10.1.1.2、標準の SMTP TCP ポート値は 25 です。

  • リモート ネットワーク設定: Exchange 組織内の 1 つ以上のメールボックス サーバーの IP アドレス。 たとえば、192.168.5.10 と 192.168.5.20。

  • 認証方法: TLS、基本認証、TLS 経由の基本認証、Exchange Server認証。

Exchange 組織からのメッセージのみを受け入れるように構成された受信コネクタを作成するには、次のコマンドを実行します。

New-ReceiveConnector -Name "From Internal Org" -Usage Internal -AuthMechanism TLS,BasicAuth,BasicAuthRequireTLS,ExchangeServer -Bindings 10.1.1.2:25 -RemoteIPRanges 192.168.5.10,192.168.5.20

構文およびパラメーターの詳細については、「New-ReceiveConnector」を参照してください。

これらの手順はどのように機能しましたか?

必要な送信コネクタと受信コネクタが正常に構成されていることを確認するには、エッジ トランスポート サーバーで次のコマンドを実行し、表示される値が構成した値であることを確認します。

Get-SendConnector | Format-List Name,Usage,AddressSpaces,SourceTransportServers,DSNRoutingEnabled,SmartHosts,SmartHostAuthMechanism
Get-ReceiveConnector | Format-List Name,Usage,AuthMechanism,Bindings,RemoteIPRanges

メールボックス サーバーの手順

組織内のメールボックス サーバーでは、インターネットへのリレーのためにエッジ トランスポート サーバーにメッセージを送信するように構成された送信コネクタが必要です。

既定では、メールボックス サーバーの役割のインストール中に 2 つの受信コネクタが作成されます。 Client ServerName という名前のコネクタは、すべての POP3 および IMAP メッセージング クライアントからのメッセージを受け入れるように構成されています。 Default ServerName という名前のコネクタは、エッジ トランスポート サーバーからのメッセージを受け入れるように構成されています。 これらのコネクタを変更する必要はありません。

手順 5: エッジ トランスポート サーバーに送信メッセージを送信するように構成された送信コネクタを作成する

この送信コネクタには、次の構成が必要です。

  • 名前: Edge に (または任意のわかりやすい名前)

  • 使用法の種類: 内部

  • アドレス空間: "*" (すべてのドメイン)

  • DNS ルーティングが無効 (スマート ホストのルーティングが有効)

  • スマート ホスト: エッジ トランスポート サーバーの IP アドレスまたは FQDN。 たとえば、edge01.contoso.net。

  • ソース メールボックス サーバー: 1 つ以上のメールボックス サーバーの FQDN。 たとえば、mbxserver01.contoso.com と mbxserver02.contoso.com。

  • スマート ホスト認証方法: TLS 経由の基本認証。

  • スマート ホスト認証資格情報: エッジ トランスポート サーバー上のユーザー アカウントの資格情報。 New-SendConnector コマンドレットはプレーン テキストでユーザー資格情報を受け入れないため、最初にユーザー名とパスワードを一時変数に保存する必要があります。

送信メッセージをエッジ トランスポート サーバーに送信するように構成された送信コネクタを作成するには、次のコマンドを実行します。

$EdgeCredentials = Get-Credential
New-SendConnector -Name "To Edge" -Usage Internal -AddressSpaces * -DNSRoutingEnabled $false -SmartHosts edge01.contoso.com -SourceTransportServers mbxserver01.contoso.com,mbxserver02.contoso.com -SmartHostAuthMechanism BasicAuthRequireTLS -AuthenticationCredential $EdgeCredentials

構文およびパラメーターの詳細については、「New-SendConnector」を参照してください。

このステップの検証方法

エッジ トランスポート サーバーに送信メッセージを送信するように構成された送信コネクタが正常に作成されたことを確認するには、メールボックス サーバーで次のコマンドを実行し、表示される値が構成した値であることを確認します。

Get-SendConnector | Format-List Name,Usage,AddressSpaces,DSNRoutingEnabled,SmartHosts,SourceTransportServers,SmartHostAuthMechanism