Exchange 2010 ハイブリッド展開でのメール フローの構成

  • [アーティクル]

 

適用先: Exchange Server 2010 SP1

推定完了時間:20 分

インターネットとクラウドベースの組織内のメールボックスとの間で送信されるすべての電子メール メッセージが、社内の Exchange 2010 ハイブリッド サーバーを経由してルーティングされるように選択しました。社内ハイブリッド サーバーを介してメッセージをルーティングすることで、トランスポート ルール、ウイルス対策ポリシー、スパム対策ルールをメッセージに適用できます。

このチェックリストの手順に従って、組織内のメール フローを次のように構成します。

  • クラウドベースの組織内のメールボックスとインターネットとの間で送信されるメッセージは、社内ハイブリッド サーバーを経由して配信されます。

  • クラウドベースの組織内のメールボックス間で送信されたメッセージは、クラウドベースの組織内に留まります。社内ハイブリッド サーバーを介して送信されることはありません。

  • 社内の Exchange メールボックスとクラウドベースの組織内のメールボックスとの間で送信されるメッセージは、社内ハイブリッド サーバーを介して配信されます。

社内組織とクラウドベースの組織内で構成する必要のある設定以外に、Forefront Online Protection for Exchange (FOPE) の設定も構成する必要があります。FOPE はクラウドベースの組織とインターネットとの間に配置され、クラウドベースのメールボックスにウイルス対策とスパム対策の保護機能を提供します。また、FOPE はクラウドベースの組織から送信されるメッセージのルーティング先、およびクラウドベースの組織へのメール送信を許可する送信者を制御します。

詳細情報:Exchange 2010 ハイブリッド展開のトランスポート オプションについて

注意

これは、Microsoft Exchange Server 2010 と Office 365 のハイブリッド展開のチェックリストの一部として読むように作られています。このトピックの情報または手順は、チェックリストの以前のトピックで構成された前提条件に依存する場合があります。チェックリストを表示するには、「チェックリスト - Exchange 2010 と Office 365 のハイブリッド展開」を参照してください。

社内組織でトランスポート設定を構成する方法

この手順を実行する際には、あらかじめアクセス許可を割り当てる必要があります。必要なアクセス許可については、「トランスポートのアクセス許可」の「リモート ドメイン」、「送信コネクタ」、および「受信コネクタ」を参照してください。

この手順では、Exchange 管理シェルを使用して、次を構成します。

  • 社内およびクラウドベースの組織間で送信されるすべてのメッセージに対応するトランスポート層セキュリティ (TLS)

  • 社内とクラウドベースの組織との間で送信される受信および送信メッセージは信頼されています。スパム対策ルールは、これらのメッセージには適用されません。

  • クラウドベースの組織に送信されるメールはすべて、FOPE スマート ホストを通じてルーティングされます。

  1. 社内ハイブリッド サーバーで、クラウドベースの組織から受信するメッセージ用のリモート ドメインを作成します。

    New-RemoteDomain "Inbound Remote Domain" -DomainName contoso.com

  2. 社内ハイブリッド サーバーで、クラウドベースの組織に送信するメッセージ用のリモート ドメインを作成します。

    New-RemoteDomain "Outbound Remote Domain" -DomainName service.contoso.com

  3. 社内ハイブリッド サーバーで、クラウドベースの組織から送信されるメッセージを信頼するように受信リモート ドメインを構成します。

    Set-RemoteDomain "Inbound Remote Domain" -TrustedMailInboundEnabled $True

  4. 社内ハイブリッド サーバーで、クラウドベースの組織への信頼されたメッセージ配信を有効にするように送信リモート ドメインを構成します。

    Set-RemoteDomain "Outbound Remote Domain" -TrustedMailOutboundEnabled $True -TargetDeliveryDomain $True -AllowedOOFType InternalLegacy -AutoReplyEnabled $True -AutoForwardEnabled $True -DeliveryReportEnabled $True -NDREnabled $True -DisplaySenderName $True -TNEFEnabled $True

  5. 社内ハイブリッド サーバーで、TLS トランスポートを有効にし、クラウドベースの組織に送信されるすべてのメールを FOPE スマート ホストを経由してルーティングするための "To Cloud" 送信コネクタを変更します。

    Set-SendConnector "To cloud" -RequireTLS $True -TlsAuthLevel DomainValidation -TlsDomain mail.messaging.microsoft.com -Fqdn mail.contoso.com -ErrorPolicies DowngradeAuthFailures

  6. 参照先: FOPE 管理センター

  7. FOPE に初めてアクセスする場合は、次の操作を行います。

    1. [パスワードが必要です] をクリックします。

    2. [ユーザー名] フィールドにクラウドベースのサービスのアカウントの電子メール アドレスを入力します。これは、クラウドベースのサービスでアカウントを作成したときに指定した電子メール アドレスです。たとえば、admin@contoso.onmicrosoft.com です。

    3. https://www.outlook.com/contoso.com で、クラウドベースのサービスの管理者用電子メール アカウントにログオンします。FOPE によってそのアカウントに送信された電子メール メッセージを開き、提供されたパスワードを取得します。

    4. 再参照先: FOPE 管理センター

  8. [ユーザー名] フィールドにクラウドベースのサービスのアカウントの電子メール アドレスを入力します。

  9. [パスワード] フィールドに、FOPE パスワードを入力します。

  10. [情報] タブをクリックして、[構成] をクリックします。

  11. [ファイアウォールで構成する IP アドレス] の下の一覧にある IP アドレスをメモします。

  12. 社内ハイブリッド サーバーで、FOPE からのメッセージを受け入れる新しい受信コネクタを作成します。受信コネクタは、前の手順で取得した FOPE の IP アドレスからの接続のみを受け入れ、クラウドベースの組織により内部メッセージとして送信されたメッセージを処理するように構成されます。コネクタで構成される FQDN は、セキュリティで保護するメールで使用する SSL 証明書の共通名と一致する必要があります。

    New-ReceiveConnector -Name "From Cloud" -Usage Internet -RemoteIPRanges <FOPE Outbound IP Addresses> -Bindings 0.0.0.0:25 -FQDN mail2.contoso.com -TlsDomainCapabilities mail.messaging.microsoft.com:AcceptOorgProtocol

    注意

    FOPE では、クラスレス ドメイン間ルーティング (CIDR) IP 表記法と単一の IP アドレスの組み合わせを使用します。RemoteIPRanges パラメーターを構成する場合は、各 IP アドレスをコンマで区切ります。たとえば、RemoteIPRanges 172.0.0.0/24, 192.168.1.1, 10.23.21.64/26 のようにします。

クラウドベースの組織のトランスポート設定を構成する方法

この手順を実行する際には、あらかじめアクセス許可を割り当てる必要があります。必要なアクセス許可については、「トランスポートのアクセス許可」の「リモート ドメイン」、および「承認済みドメイン」を参照してください。

この手順では、シェルを使用して、次を構成します。

  • 共有 SMTP ドメインを内部中継ドメインとして構成し、そのドメインを送信専用として設定します。

  • 社内とクラウドベースの組織との間で送信される受信および送信メッセージは信頼されています。スパム対策ルールは、これらのメッセージには適用されません。

  1. クラウドベースの組織で、社内組織から受信したメッセージ用のリモート ドメインを作成します。ドメイン名には、ハイブリッド サーバーで発行された証明書の名前を含める必要があります。

    注意

    このドメインは、後から受信 FOPE コネクタを作成するときに TLS 証明書に一致するドメインとして指定する FQDN と一致している必要があります。

    New-RemoteDomain "Inbound Remote Domain" -DomainName mail.contoso.com

  2. クラウドベースの組織で、社内組織内の受信者に送信するメッセージ用のリモート ドメインを作成します。ドメインは、社内受信者の受信者アドレスのドメイン部分である必要があります。

    New-RemoteDomain "Outbound Remote Domain to On-Premises Recipients" -DomainName contoso.com

  3. クラウドベースの組織で、社内組織から送信されるメッセージを信頼するように受信リモート ドメインを構成します。

    Set-RemoteDomain "Inbound Remote Domain" -TrustedMailInboundEnabled $True

  4. クラウドベースの組織で、社内組織への信頼されたメッセージ配信を有効にし、豊富な電子メール クライアント機能が利用可能となるように、社内受信者に対する送信リモート ドメインを構成します。

    Set-RemoteDomain "Outbound Remote Domain to On-Premises Recipients" -TrustedMailOutboundEnabled $True -AllowedOOFType InternalLegacy -AutoReplyEnabled $True -AutoForwardEnabled $True -DeliveryReportEnabled $True -NDREnabled $True -DisplaySenderName $True -TNEFEnabled $True

  5. クラウドベースの組織で、社内組織への信頼されたメッセージ配信を有効にするように、インターネット受信者に対する送信リモート ドメインを構成します。

    Set-RemoteDomain Default -TrustedMailOutboundEnabled $True

  6. クラウドベースの組織で、次のコマンドを使用して、内部中継ドメインとなる共有 SMTP ドメイン用の承認済みドメインを設定し、そのドメインを送信専用として設定します。

    Set-AcceptedDomain "contoso.com" -DomainType InternalRelay -OutboundOnly $True

社内組織との間でメールをルーティングする FOPE を構成する方法

この手順を実行するために必要なアクセス許可は、FOPE に初めてログインするときにクラウドベースのサービス管理者アカウントに自動的に与えられます。

この手順で、次を構成します。

  • 社内ハイブリッド サーバーからクラウドベースの組織に送信されたメッセージだけを受け入れる FOPE 内の受信コネクタ。また、このコネクタは、TLS を使用して送信されたメッセージだけを受け入れるように構成されます。

  • 社内ハイブリッド サーバーを経由してクラウドベースの組織からインターネットに送信されたすべてのメッセージを送信する FOPE 内の送信コネクタ。また、このコネクタは、TLS を使用してメッセージを送信するように構成されます。

注意

FOPE 管理者センターにログインすると、[ドメイン] タブに DuplicateDomain-GUID で始まり、ユーザーの共有ドメインで終わるエントリが見つかることがあります。たとえば、DuplicateDomain-GUIDcontoso.com です。このエントリが表示される可能性があるのは、クラウドベースの組織の共有ドメインで承認済みドメインを送信専用ドメインとして構成した場合です。承認済みドメインを送信専用ドメインとして構成していないのに、FOPE 管理センターのドメイン一覧に DuplicateDomain エントリが表示される場合、FOPE サポートにお問い合わせください。

  1. 参照先: FOPE 管理センター

  2. FOPE に初めてアクセスする場合は、次の操作を行います。

    1. [パスワードが必要です] をクリックします。

    2. [ユーザー名] フィールドにクラウドベースのサービスのアカウントの電子メール アドレスを入力します。これは、クラウドベースのサービスでアカウントを作成したときに指定した電子メール アドレスです。たとえば、admin@contoso.onmicrosoft.com です。

    3. https://www.outlook.com/contoso.com で、クラウドベースのサービスの管理者用電子メール アカウントにログオンします。FOPE によってそのアカウントに送信された電子メール メッセージを開き、提供されたパスワードを取得します。

    4. 再参照先: FOPE 管理センター

  3. [ユーザー名] フィールドにクラウドベースのサービスのアカウントの電子メール アドレスを入力します。

  4. [パスワード] フィールドに、FOPE パスワードを入力します。

  5. [管理] タブをクリックし、[会社名] タブをクリックします。

  6. [コネクタ] の下の [受信コネクタ] の横にある [追加] をクリックします。

  7. [受信コネクタの追加] ダイアログで、次を構成します。

    • [名前] 受信コネクタの名前を入力します。

    • [説明] 受信コネクタの説明を入力します。

    • [コネクタのスコープ] の下の [送信者ドメイン] テキスト ボックスで「*.*」と指定します。

    • [コネクタのスコープ] の下の [送信者 IP アドレス] テキスト ボックスで、ファイアウォールがインターネット上のホストに対して提示する発信元 IP アドレスを指定します。これは、ファイアウォールの構成に応じて、ハイブリッド サーバーの外部 IP アドレスの場合もあれば、ファイアウォールの WAN IP アドレスの場合もあります。一定範囲の IP アドレスを指定する場合は、CIDR 表記法を使用します。各 IP アドレスをコンマで区切ることにより、複数の IP アドレスを指定することもできます。

    • [これらの IP アドレスをセーフリストに追加し、上で指定したドメインではこれらの IP アドレスからのメールのみを受け入れる] をオンにします。

    • [コネクタの設定] の下の [トランスポート層セキュリティ (TLS) の設定] で、[TLS を強制する] オプションを選択します。

    • [送信者証明書の一致] チェック ボックスをオンにし、関連付けられたテキスト フィールドで、社内ハイブリッド サーバーで構成した証明書のサブジェクト名を指定します。たとえば、「mail.contoso.com」と入力します。

      注意

      ここで指定する FQDN は、前の手順でクラウドベースの組織の "受信リモート ドメイン" を作成したときに指定したドメインと一致している必要があります。

    • [コネクタの設定][フィルター] で、すべてのチェック ボックスがオフになっていることを確認します。

    • [保存] をクリックします。

  8. 作成した受信コネクタの横にある [強制] をクリックします。[受信コネクタを強制する] ダイアログ ボックスで [OK] をクリックします。

  9. [コネクタ] 設定の下の [送信コネクタ] の横にある [追加] をクリックします。

  10. [送信コネクタの追加] ダイアログで、次を構成します。

    • [名前] 送信コネクタの名前を入力します。

    • [説明] 送信コネクタの説明を入力します。

    • [コネクタのスコープ] の下の [受信者ドメイン] テキスト ボックスで「*.*」と指定します。

    • [メッセージの配信設定] の下で、[次の宛先へすべてのメッセージを配信] チェック ボックスをオンにします。

    • [完全修飾ドメイン名] オプションを選択し、社内ハイブリッド サーバーの外部 FQDN を指定します。たとえば、「mail.contoso.com」と入力します。

    • [トランスポート層セキュリティ (TLS) の設定] の下で、[受信者証明書の一致] をオンにし、関連付けられたテキスト フィールドで、社内ハイブリッド サーバーで構成した証明書のサブジェクト名を指定します。たとえば、「mail.contoso.com」と入力します。

    • [保存] をクリックします。

  11. 作成した送信コネクタの横にある [強制] をクリックします。[送信コネクタを強制する] ダイアログ ボックスで [OK] をクリックします。

MX レコードを構成する方法

この手順を実行する際には、あらかじめアクセス許可を割り当てる必要があります。必要なアクセス許可の一覧については、「管理者の役割の割り当て」の「ドメインの管理」を参照してください。

service.contoso.com の SMTP アドレスを持つ、クラウドベースのサービス内の受信者に電子メール メッセージを送信できるようにするには、service.contoso.com ドメインのメール エクスチェンジャー (MX) レコードを追加する必要があります。MX レコードはクラウドベースの組織用に作成された FQDN を参照している必要があります。

MX レコードを作成するために使用する FQDN を見つけるには、次を実行します。

  1. ログオン先:クラウドベースのサービス管理ポータル

  2. [管理者] をクリックし、[ドメイン] をクリックします。

  3. クラウドベースの組織の SMTP 名前空間をクリックします。たとえば、「service.contoso.com」と入力します。

  4. [ドメインのプロパティ] ページで、Exchange Online サービスの一覧に [はい] が含まれていることを確認します。[いいえ] が一覧にある場合は、[ドメインの目的を編集] を選択して Exchange のサービスをサービス ルーティング ドメインに割り当てる必要があります。[ドメインの目的を編集] ダイアログ ボックスの [このドメインで使用するサービスを選択してください][Exchange Online] チェック ボックスをオンにし、[保存] をクリックします。

  5. [DNS 設定] をクリックします。

  6. Exchange Online DNS レコード テーブルで、[種類]MX の行を見つけます。[参照先] フィールドの値を使用します。たとえば、<value>.mail.eo.outlook.com を使用します。

MX レコードで使用する FQDN を見つけたら、DNS ゾーンで MX レコードを作成します。

たとえば、service.contoso.com の MX レコードは次のようになります。

配信ドメイン DNS レコードの種類 MX 優先度 クラウドベースの組織ドメイン

service.contoso.com

MX

0

<value>.mail.eo.outlook.com

MX レコードを DNS ゾーンに追加する方法の詳細については、DNS ホストのヘルプを参照してください。

設定が適用されたことを確認する方法

トランスポート設定が正しく構成されたことを確認するには、インターネットとクラウドベースの組織との間、および社内 Exchange メールボックスとクラウドベースの組織内のメールボックスとの間でテスト メッセージを送信します。その後、設定が正しいことを確認するため、次を実行します。

次のテストを実行するには、クラウドベースの組織内にテスト メールボックスが必要です。

  • 受信者が各テスト メッセージを受信することを確認します。

  • インターネットからクラウドベースのメールボックスに送信されたメッセージの SMTP ヘッダーで、社内ハイブリッド サーバーと FOPE スマート ホストとの間のホップに (TLS) が存在することを確認します。

  • クラウドベースのメールボックスからインターネット受信者へ送信されたメッセージの SMTP ヘッダーで、メッセージが社内ハイブリッド サーバーを経由して正しくルーティングされたことを確認します。また、社内ハイブリッド サーバーと FOPE サーバーとの間のホップに (TLS) が存在することを確認します。

  • 社内メールボックスとクラウドベースのメールボックスの間で送信されたメッセージの SMTP ヘッダーで、[X-MS-Exchange-Organization-AuthAs] ヘッダーが [Internal] に設定されていることを確認します。

トランスポートの構成に問題がある場合は、プロトコルのログ出力を有効にして、追加情報を得ることができます。プロトコルのログ出力によって、ハイブリッド サーバーと他のメール ホストとの間で実行されたやり取りを記録できます。この情報を使用して、正しいメール ホストに接続しているかどうか、また SSL 証明書が交換されているかどうかなどを判別できます。

詳細情報: プロトコルのログ出力について, プロトコル ログ出力を構成する

問題がある場合は、Office 365 のフォーラムで質問してください。フォーラムにアクセスするには、クラウドベースのサービスへの管理者アクセス権限を付与されたアカウントを使用してサインインする必要があります。次のフォーラムにアクセスしてください。Office 365 フォーラム

 © 2010 Microsoft Corporation.All rights reserved.