Exchange 2010 ハイブリッド展開でのフェデレーション委任の構成

  • [アーティクル]

 

適用先: Exchange Server 2010 SP1

推定完了時間:15 分

フェデレーション委任とは、社内組織と、Microsoft Federation Gateway とのフェデレーションの信頼を使用しているクラウドベースのサービスとの間で確立される関係です。フェデレーション委任は、集中メール配信機能と多数のメールボックス管理機能を構成するための要件の 1 つです。さらに、Exchange 組織間の組織上の関係も併せて構成すると、どちらの組織のユーザーも予定表の可用性 (空き時間) 情報を互いに共有できます。また、フェデレーション委任は、メール ヒント、メッセージ追跡、複数のメールボックスの検索などの他のさまざまなメッセージング機能の要件でもあります。

社内組織のフェデレーション委任を構成するには、いくつかの手順が必要です。

  1. 社内組織の Microsoft Federation Gateway とのフェデレーションの信頼を作成します(クラウドベースの組織のゲートウェイとのフェデレーションの信頼は、クラウドベースのサービス アカウントを作成すると自動的に作成されます)。

  2. アカウント名前空間として使用するドメイン、および Microsoft フェデレーション ゲートウェイ上のフェデレーション ドメインとして追加する他のドメインについて、ドメインの証明を作成します。フェデレーション アカウント名前空間のドメイン名前空間は、プライマリ SMTP ドメインとして使用しているドメインとは異なる名前空間を使用することをお勧めします。このサブドメインがフェデレーション委任機能で使用されることを識別するために、"exchangedelegation" という個別のサブドメインを作成することをお勧めします。フェデレーション委任サブドメインの例は、exchangedelegation.contoso.com です。

  3. フェデレーションする各承認済みドメインのドメイン ネーム システム (DNS) ゾーンにテキスト (TXT) レコードを作成します。TXT レコードには、前の手順で生成されたフェデレーション ドメインの証明暗号化文字列が含まれます。

  4. ドメインをフェデレーション用に構成します。

詳細情報:フェデレーション委任について

注意

これは、Microsoft Exchange Server 2010 と Office 365 のハイブリッド展開のチェックリストの一部として読むように作られています。このトピックの情報または手順は、チェックリストの以前のトピックで構成された前提条件に依存する場合があります。チェックリストを表示するには、「チェックリスト - Exchange 2010 と Office 365 のハイブリッド展開」を参照してください。

Microsoft フェデレーション ゲートウェイとのフェデレーションの信頼を作成する方法

この手順を実行する際には、あらかじめアクセス許可を割り当てる必要があります。必要なアクセス許可の一覧については、「Exchange およびシェル インフラストラクチャーのアクセス許可」の「フェデレーションの信頼」を参照してください。

ハイブリッド サーバーの Exchange 管理コンソール (EMC) でフェデレーションの信頼の新規作成ウィザードを使用して、社内組織の Microsoft Federation Gateway とのフェデレーションの信頼を作成できます。

  1. コンソール ツリーで社内 Exchange フォレストの [組織の構成] をクリックします。

  2. 操作ウィンドウで、[フェデレーションの信頼の新規作成] をクリックします。

  3. [フェデレーションの信頼の新規作成] ページで、[新規作成] をクリックします。

    注意

    これにより、ゲートウェイとのフェデレーションの信頼用の自己署名証明書が自動的に作成され、組織内の Exchange サーバーに自己署名証明書が展開されます。新しいフェデレーションの信頼の既定の名前は、Microsoft Federation Gateway です。

  4. [完了] ページで、[終了] をクリックし、ウィザードを閉じます。

フェデレーション ドメインのドメインの証明を作成する方法

この手順を実行する際には、あらかじめアクセス許可を割り当てる必要があります。必要なアクセス許可の一覧については、「Exchange およびシェル インフラストラクチャーのアクセス許可」の「フェデレーションの信頼」を参照してください。

フェデレーション ドメインとプライマリ SMTP ドメインのドメインの証明を作成するには、Exchange 管理シェルを使用する必要があります。これらの両方のドメインに対して Get-FederatedDomainProof コマンドレットを実行します。

この例では、フェデレーション委任ドメイン exchangedelegation.contoso.com とプライマリ SMTP ドメイン contoso.com 用の TXT レコードで使用されるドメインの証明文字列を生成します。

Get-FederatedDomainProof -DomainName exchangedelegation.contoso.com
Get-FederatedDomainProof -DomainName contoso.com

返された出力値は次のステップで必要となるため、Proof フィールドに保存します。出力値をメモ帳などのテキスト エディターに貼り付けます。それをテキスト エディターからコピーして、TXT レコード プロパティの [テキスト] フィールドに貼り付けます。

承認済みドメインの DNS に TXT レコードを作成する方法

ここで、exchangedelegation.contoso.com ドメインと contoso.com ドメインの両方の TXT レコードを追加する必要があります。各 TXT レコードには、前の手順で Get-FederatedDomainProof コマンドレットを実行したときに生成されたドメインの証明文字列が含まれている必要があります。たとえば、フェデレーション ドメインが exchangedelegation.contoso.com で、プライマリ SMTP ドメインが contoso.com の場合、TXT レコードは次のようになります。

[ドメイン] DNS レコードの種類 テキスト

exchangedelegation.contoso.com

TXT

7Zyr2i/fE/M/T3AwCpitDbF30Fk/TdzXME6f7d1lDaKGthPdoS+UF94t43D2nU5hLNnIAP+5A3jJR2ik9HDPgg==

contoso.com

TXT

Eh/po5qT098GMPklJU2DShrYO9mPseTn5i9wWKOKebmceLPuLCpaejYj83W53H/YcuzPy2VSo621BHO4DNS7jg==

TXT レコードをお使いの DNS ゾーンに追加する方法については、お使いの DNS ホストのヘルプを参照してください。

ドメインをフェデレーション用に構成する方法

この手順を実行する際には、あらかじめアクセス許可を割り当てる必要があります。必要なアクセス許可の一覧については、「Exchange およびシェル インフラストラクチャーのアクセス許可」の「フェデレーションの信頼」を参照してください。

ハイブリッド サーバーの EMC でフェデレーションの管理ウィザードを使用して、承認済みドメインのフェデレーションを構成できます。

  1. コンソール ツリーで社内 Exchange フォレストの [組織の構成] に移動し、Microsoft Federation Gateway フェデレーションの信頼を選択します。

  2. 操作ウィンドウで、[フェデレーションの管理] をクリックします。

  3. [フェデレーション証明書の管理] ページに、フェデレーションの信頼で使用する証明書の情報が表示されます。この中には、現在の証明書、次の証明書、および前の証明書に関する情報が含まれています。現在の証明書を選択し、[証明書とフェデレーション メタデータを取得するために Microsoft Federation Gateway に接続しています] チェック ボックスがオンになっていることを確認します。続行するには、[次へ] をクリックします。

    注意

    [フェデレーション証明書の管理] リストで、証明書の [配布ステータス] が "不明" と表示された場合は正常です。証明書状態を更新するには、[配布状態を表示] をクリックします。

  4. [フェデレーション ドメインの管理] ページで、[追加] をクリックし、最初にフェデレーション委任ドメインをフェデレーション ドメインとして追加します。最初にフェデレーション委任ドメインを選択すると、このドメインがフェデレーションの信頼のアカウント名前空間として自動的に指定されます。[承認済みドメインの選択] ダイアログ ボックスに、Exchange 2010 組織内の承認済みドメインがすべて表示されます。たとえば、exchangedelegation.contoso.com ドメインを選択して、このドメインをアカウント名前空間として設定します。

  5. [フェデレーション ドメインの管理] ページで、[追加] をクリックし、プライマリ SMTP ドメインをフェデレーション ドメインとして追加します。たとえば、contoso.com ドメインを選択します。

  6. フェデレーション委任ドメインが太字で表示されていることを確認します。この太字による表示は、このドメインがフェデレーションの信頼のアカウント名前空間として指定されていることを示します。このドメインがアカウント名前空間として指定されていない場合は、フェデレーション委任ドメインを選択し、[アカウントの名前空間として設定] をクリックしてこのドメインをアカウント名前空間として指定します。

    注意

    [フェデレーション証明書の管理] 一覧で、ドメインの [状態] が "不明" として表示されることは正常です。

  7. [会社の連絡先の電子メール アドレス] ボックスで、フェデレーション用の指定された組織の連絡先の電子メール アドレスを入力します。この電子メール アドレスは連絡先アドレスのみに使用されるもので、フェデレーション委任構成プロパティは備えていません。

  8. [フェデレーションを有効にする] チェック ボックスをオンにして、フェデレーションを有効にします。Exchange 組織のフェデレーションを無効にするには、必要に応じて、このチェック ボックスをオフにします。続行するには、[次へ] をクリックします。

  9. [フェデレーションの管理] ページで、[構成の要約] を確認し、[管理] をクリックして変更を反映します。

  10. [完了] ページで、[終了] をクリックし、ウィザードを閉じます。

設定が適用されたことを確認する方法

社内組織のフェデレーション委任プロセスが正常に完了するかどうかは、いくつかの個別の構成設定に左右されます。そのため、各コンポーネント領域が正しく構成されていることを確認してください。

  • フェデレーションの信頼   フェデレーションの信頼の新規作成ウィザードが正常に完了すれば、フェデレーションの信頼の作成プロセスは想定どおりに処理されたとみなすことができます。フェデレーションの信頼が正しく作成されたことを確認するには、EMC を開いて、[組織の構成] ノードを選択します。[フェデレーションの信頼] タブをクリックし、Microsoft フェデレーション ゲートウェイとのフェデレーションの信頼のプロパティを表示します。

    フェデレーションの信頼が正常に作成されたことをさらに確認するには、Exchange 管理シェルで Get-FederationTrust および Get-FederationInformation コマンドレットを実行します。これらのコマンドレットは、社内組織用に構成されたフェデレーションの信頼のプロパティを出力します。

    また、<ExchangeInstallPath>\Scripts にある New-TestCasConnectivity User.ps1 スクリプトを使用してテスト ユーザー アカウントを作成し、EMC で Test-FederationTrust コマンドレットを実行すると、Microsoft Federation Gateway から委任トークンを適切に受信できることを確認できます。

  • TXT レコード   DNS 管理ツールでレコード プロパティを表示するか、または Nslookup コマンドライン ツールを使用して、TXT レコードが正しく構成されていることを確認できます。

問題がある場合は、Office 365 のフォーラムで質問してください。フォーラムにアクセスするには、クラウドベースのサービスへの管理者アクセス権限を付与されたアカウントを使用してサインインする必要があります。次のフォーラムにアクセスしてください。Office 365 フォーラム

 © 2010 Microsoft Corporation.All rights reserved.