none
exchange 2007 から exchange 2010にメールボックスを移動後 RRS feed

  • 質問

  • いつも活用させていただいております。

    Exchange Server 2010を構築しました。
    元々Exchange Server 2007が稼働していて、Exchange Server 2010を同時稼働させている状態です。
    ここで、Exchange 2010に1つのメールアカウントのメールボックスを移動させることができました。

    しかし移動後、Outlook2007で自動的に参照するサーバが変わってくれたのはよかったのですが、Outlook起動時に
    『セキュリティの警告』というタイトルで、以下のメッセージが表示されました。
    ==================================
    このサイトとやり取りする情報を他のユーザーが見たり変更するこ
    とはできませんが、サイトのセキュリティ証明書に問題があります。

    ×  このセキュリティ証明書の発行元については、信頼するかどうかが
        選択されていません。証明書を表示して、この証明機関を信頼
        するかどうかを決定してください。
    レ  セキュリティ証明書の日付は有効です。
    レ  セキュリティ証明書の名前は有効です。

    続行しますか?
         {はい}ボタン      {いいえ}ボタン      {証明書の表示}ボタン
    ==================================

    という表示が出ます。
    ここで、{証明書の表示}ボタンをクリックして、使用しているクライアントに「証明書のインポート」を
    する操作を進めることで、次回Outlookを起動すると『セキュリティの警告』メッセージが表示されなくなり
    通常通り使用することが可能となります。

    この事象は、そのクライアントパソコンで各アカウントごとに発生しますので、実運用上、現実的ではないと思います。
    「証明書のインポート」という作業をするようなので、ExchangeServer2010側で事前に何かをすれば、この警告メッセージが出なくなる、
    あるいは、事前にクライアントで「証明書のインポート」をしておけば、各アカウントごとに警告メッセージが出なくなる
    という解決方法があればと思いまして、質問させていただきました。

    いずれの手段にしても、<Outlookの初回起動時に『セキュリティ警告メッセージ』が表示されず、通常通りに使用できること>を最大の目標としています。

    皆様のお知恵をお貸しください。

    よろしくお願いいたします。
    2010年1月15日 7:29

回答

  • SHIMSOFT ユーザーのメダルユーザーのメダルユーザーのメダルユーザーのメダルユーザーのメダル

    ご助言、ありがとうございます。
    なるほど、確かにExchange2007を初めて導入して、1年後くらいに証明書の再発行をしなければならない事象が発生していました。
    2007も2010もセキュリティ強化のためには、避けて通れないものなのですね。

    お金をかけない代わりに、各ユーザに手順を教えていくしかなさそうですね。
    グループポリシーなどで、自動実行できるような便利さも調べてみたのですが、難しそうです。

    どうもありがとうございました!!
    • 回答としてマーク 島根の星 2010年2月5日 6:27
    2010年1月15日 9:39

すべての返信

  • 島根の星さん、

    Exchange Server 2007といい Exchange Server 2010 といい 既定でさまざまな通信を暗号化通信を行うようになっています。
    その暗号化通信を行うために いわゆるサーバ証明書が利用されるのですが、 Exchange 2007/2010では、自分自身で「自己署名証明書」を発行して利用し始めます。

    この「自己署名証明書」は 「私が私であることを私が証明します」と言っている物ですので これを利用させられる通信相手(クライアント)では
    そのまま信用できないためセキュリティ警告が発生します。

    運用方法はいろいろと思いますが、 お金のかからない方法として
    ・「そもそも自己署名証明書なので1回は警告出ますが、信用して取り込んで貰えば出ないので、この表示が出たら許可してください」という
    通達をユーザに出し、ユーザ自身で1回やって貰うという方法が安価なので採用するケースがあります。
    ※ ただし、Exchange Serverが生成する「自己署名証明書」は有効期限が1年間なので、期限が切れる前に毎年 証明書の再発行をし、
    更新をする必要がありますが、その都度新しい証明書を信頼できないので警告が表示されます。
    でも 1回こっきりです。複数サーバがある場合は サーバー数分表示されることもありますが。
    この方法は いわゆる「運用で回避」というパターンで実質¥0のソリューションです。

    次によくあるケースとしては
    ・公的証明機関から有償のサーバ証明書を購入して設定する。
    Verisign社や Cyber Trust社のような 公的証明機関の発行する証明書を購入します。
    これらの公的証明基幹から購入した証明書には
    「皆が信頼がおけるとしている発行元がこのサーバの身元を保証している」
    という雰囲気の効果があります。
    この証明書を Exchange Server にインストールし、各通信で利用するように設定します。
    ※ 最初の証明書要求作成時に良く検討してやらないと思ったように使えない証明書になる可能性がありますので
    ご注意ください。詳細は、自習書シリーズなどご参考にして頂ければと思います。
    公的証明機関から購入した証明書は Windows などでは既定で信用出来る発行元として認識されていますので、
    セキュリティ警告が出ません。

    もうひとつのケースとしては、
    ・自社内に独自の証明機関CAを設定します。
    Standard Editionのサーバでも構わないと思いますが、後々を考えると Enterprise Editionの Windows Server 2003/2008 で設定するのが推奨されます。
    ADドメイン内のエンタープライズCAにすると、そのドメインのメンバコンピュータはこの独自CAの発行した証明書を信頼できる証明書として処理できるようになります。
    ・Exchange Serverで利用する証明書を、この独自CAから発行した証明書に置き換えます。

    詳細は自習書シリーズなどを参考にしてみてください。

    2010年1月15日 8:00
  • SHIMSOFT ユーザーのメダルユーザーのメダルユーザーのメダルユーザーのメダルユーザーのメダル

    ご助言、ありがとうございます。
    なるほど、確かにExchange2007を初めて導入して、1年後くらいに証明書の再発行をしなければならない事象が発生していました。
    2007も2010もセキュリティ強化のためには、避けて通れないものなのですね。

    お金をかけない代わりに、各ユーザに手順を教えていくしかなさそうですね。
    グループポリシーなどで、自動実行できるような便利さも調べてみたのですが、難しそうです。

    どうもありがとうございました!!
    • 回答としてマーク 島根の星 2010年2月5日 6:27
    2010年1月15日 9:39