none
Exchange 2010 と Outlook2003 と GPO でなんとかしたい RRS feed

  • 質問

  • 現在 Exhcange 2010の評価を 検証環境内でいろいろと触っている最中です。
    検証シナリオとして Exhcange 2003+Outlook2003 環境から Exchange 2010へメールサーバ更新の検証を行っております。
    概ね問題なく進んでいるのですが、一か所なんとかならんかな、と思い悩んでおります。
    よいアイデアがありましたらご享受ください。

    前提:
    Exchange 2003 と Outlook 2003で 気持ち良くメール送受信が行えている環境です。

    現状:
    上記に Windows Server 2008 SP2 + Exchange 2010 (ついさっき Rollup 1も当ててみました)
    を準備し、現在共存環境です。

    Exchange 2010のメールボックスデータベースにメールボックスを持つユーザを新規作成し、
    Outlook 2003で接続を試みたところ、「Microsoft Office OutlookとMicrosoft Exchange Server間のデータを暗号化する」のチェックボックスをオンにしないと
    サーバとの通信にエラーが表示され、メール送受信出来ませんでした。
    逆に このチェックボックスをオンにすれば 問題なく利用できています。

    その後、Exchange 2003のデータベースにメールボックスがある別ユーザを Exchange 2010に移動しました。
    Exchange 2003にある時、上記チェックボックス オフの状態で正常にメール送受信出来ていたユーザです。
    移動後は、やはりチェックボックスをオンにしないとサーバと繋がらなくなりました。

    これの最悪の手段は 「皆、手順書を見てチェックボックスをオンにするんだ!」 という皆の工数を分けてください的な「元気玉作戦」なのですが、

    1.セキュリティレベルが下がるというのを承諾できる前提で、 Exchange 2010サーバ側で この暗号化通信必須をオフに出来ないものか・・・

    2.グループポリシーを用いて クライアントのOutlook2003の該当チェックボックスをオンにしてしまう事は出来ないものか・・・

    を模索しております。
    Exchange管理コンソールや 管理シェルで いろいろ様子をうかがったものの それらしき設定項目を発見できず、
    Default Domain Policyで「ネットログオン:NT4.0互換セキュリティを有効に・・・」を試してみましたが効果は無く、
    Office2003のGPOテンプレートをダウンロードし、Outlook2003のテンプレートを 穴があきそうなほど見まわしましたが 該当っぽいものも見当たらず、
    クライアントPCでレジストリエディタ起動して いろいろ見てみたものの 該当値を保持していそうな部分を見つけられませんでした。

    1か2か、出来れば両方 の実施方法をどなたかご存知でしたら教えてください。


    また、 なんだか「探索検索メールボックス:DiscoverySearchMailbox」なる物が勝手に出来ていているのですが、これなんなんですかね?
    英語版のヘルプしか見当たらなかったのでダウンロードしては見たものの、 DiscoverySearchMailbox のキーワードでは何も引っ掛かりません。
    どなたか ご存知でしたら 教えてください。

    よろしくお願いします。






    2009年12月15日 10:18

回答

  • 解決策 1を 英語フォーラムから発掘しました。
    (私でなく同僚が・・・ですが。ありがたい事です)

    Exchange管理シェルを用いて、以下のコマンドレットで設定変更します。

    > Set-RpcClientAccess  -Server  Ex2010 -EncryptionRequired:$false

    > Get-RpcClientAccess -Server Ex2010 | list
    で確認出来ました。

    この設定値が既定で true になっており、暗号化を強要される模様です。
    falseにすることで、 Outlook 2003 暗号化オフのままで接続可となりました。

    後は 逆のニーズにこたえる良い方法があれば完璧ですけども・・・ (GPO等でOutlook 2003の暗号化をオンにしてしまう方法)
    • 回答としてマーク SHIMSOFT 2009年12月17日 2:22
    2009年12月16日 8:38

  • 解決策2も 発掘成功
    (またしても 同僚の手柄です。有りがたい事です。)

    Set-RpcClientAccess の件も含めて サマリーになっています。
    http://support.microsoft.com/default.aspx/kb/2006508



    まだ Outlook2003用カスタムポリシーを試してみていませんが、時間が取れ次第テストし、結果を追記いたします。
    取り急ぎ 調査としてはひと段落な感じです。
    ご協力ありがとうございました。

    追記:
    上記リンクのカスタムポリシーを作成し、設定することで 上手く行きました。
    自動的にOutlook 2003の Exchangeとの通信時の暗号化がオンになります。
     Exchange 2003にまだメールボックスがあるユーザも この設定がオンになっていても問題ありませんでした。


    • 回答としてマーク SHIMSOFT 2009年12月17日 2:22
    2009年12月17日 2:00

すべての返信

  • Outlook 2003 のポリシーは見当たらなかったですねぇ。

    サーバー側では MAPIEncryptionRequired を $false にすればいけるんでは。

    Set-MailboxServer
    http://technet.microsoft.com/en-us/library/aa998651.aspx
    2009年12月16日 1:19
  • 探索検索メールボックスは、例えば企業監査担当者が ECP (Exchange Control Panel) でメールボックスの串刺し検索をする、といった目的のために使うものです。

    Create a Discovery Search
    http://technet.microsoft.com/en-us/library/dd353189.aspx

    2009年12月16日 3:24
  • 情報ありがとうございます。

    早速確認をしてみました。

    > Get-MailboxServer -Identity Ex2010 | list

    で確認しましたところ、MAPIEncryptionRequired は False になっておりました。

    念のため、

    > Set-MailboxServer -Identity Ex2010 -MAPIEncryptionRequired:$true
    > Get-MailboxServer -Identity Ex2010 | list

    で trueになっていることを確認し、 改めて

    > Set-MailboxServer -Identity Ex2010 -MAPIEncryptionRequired:$false
    > Get-MailboxServer -Identity Ex2010 | list

    で falseに再設定を確認、
    再び Outlook 2003で トライしましたが、 やはり 暗号化オフだと接続できません。
    なんとなく Windows Server 2008 SP2側の設定なのかな、、、とおも思い始めていますが、自分の分かる範囲で それらしきものが見当たりません。

    その他に試した事として、 受診コネクタの TLS必要 というチェックボックスをオフにしてみたりもしていますが、効果は得られておりません。
    どっかに暗黙的にTLS必須的な内容が潜んでいるのではないかと調査中です・・・



    2009年12月16日 3:42
  • SHIMSOFT様

    あまりExchange2010を触っていないので何とも言えないのですが、
    CASに接続しに行くのでCAS側になんか設定値あったりしないのかなぁと思ってみたりもします。

    私の方も少し触ってみて何か発見しましたら書き込みさせていただきますね。

    追記です。
    technetで、SMTPとMAPIプロトコルはExchange Transport Serviceで提供されていると記載されていましたが、
    受信コネクタは試されているんですよね。

    ちなみに、Outlook 2007ではですが、、「Microsoft Office OutlookとMicrosoft Exchange Server間のデータを暗号化する」をONではOFFでも
    メールの送受信はすることができました。。。

    私の環境がおかしいのでしょうか・・・(^^;
    • 編集済み Akira Sakuma 2009年12月16日 6:04 訂正&追記
    2009年12月16日 5:27
  • 情報ありがとうございます。

    何分 英語資料なのであんまり良く分かっていませんが もう少し読み込んでみようと思います。

    New-MailboxSearch や Set-MailboxSearch はあるけれども Get-MailboxSearchはないのかぁ、、、と
    現在設定を見れなくてしょんぼり中です・・・
    といいますか、今管理シェルで help New-MailbosSearch とやったら そんなコマンド無いと怒られてしまいました。
    何か追加機能をインストールしないと コマンドレット使えないのでしょうかかねぇ、、、



    2009年12月16日 6:26
  • Akira Sakuma さん

    そうなんですよね、、、CASも何かありそうなんですけどねぇ、、、、
    見当たらないのですよ。

    受診コネクタの TLSをオフにしてみましたが結果変わらず NGでした。
    なかなか難しいですね、、、
    英語フォーラムの方も覗いて見てみます。

    何かありましたらよろしくお願いします。
    2009年12月16日 6:58
  • 解決策 1を 英語フォーラムから発掘しました。
    (私でなく同僚が・・・ですが。ありがたい事です)

    Exchange管理シェルを用いて、以下のコマンドレットで設定変更します。

    > Set-RpcClientAccess  -Server  Ex2010 -EncryptionRequired:$false

    > Get-RpcClientAccess -Server Ex2010 | list
    で確認出来ました。

    この設定値が既定で true になっており、暗号化を強要される模様です。
    falseにすることで、 Outlook 2003 暗号化オフのままで接続可となりました。

    後は 逆のニーズにこたえる良い方法があれば完璧ですけども・・・ (GPO等でOutlook 2003の暗号化をオンにしてしまう方法)
    • 回答としてマーク SHIMSOFT 2009年12月17日 2:22
    2009年12月16日 8:38

  • 解決策2も 発掘成功
    (またしても 同僚の手柄です。有りがたい事です。)

    Set-RpcClientAccess の件も含めて サマリーになっています。
    http://support.microsoft.com/default.aspx/kb/2006508



    まだ Outlook2003用カスタムポリシーを試してみていませんが、時間が取れ次第テストし、結果を追記いたします。
    取り急ぎ 調査としてはひと段落な感じです。
    ご協力ありがとうございました。

    追記:
    上記リンクのカスタムポリシーを作成し、設定することで 上手く行きました。
    自動的にOutlook 2003の Exchangeとの通信時の暗号化がオンになります。
     Exchange 2003にまだメールボックスがあるユーザも この設定がオンになっていても問題ありませんでした。


    • 回答としてマーク SHIMSOFT 2009年12月17日 2:22
    2009年12月17日 2:00
  • SHIMSOFTさん

    >後は 逆のニーズにこたえる良い方法があれば完璧ですけども・・・ (GPO等でOutlook 2003の暗号化をオンにしてしまう方法)

    http://support.microsoft.com/default.aspx/kb/2006508

    上記のURLのMethod 3がADのGPOですよ。

    2009年12月25日 4:50
  • MKotohaさん

    すみません、解決策2発掘時に そのMethod 3も同時に試していて 成功した旨のコメントを
    させて頂いておりました。

    2009年12月25日 5:48