Exchange Server 2007 ステップバイステップガイドdownload.microsoft.com/download/5/2/3/523c546f-f0a6-4b3a...はじめに本ガイドは、Intelligent Application Gateway

Exchange Server 2007 ステップバイステップガイド

Intelligent Application Gateway 2007 によるサイト公開

著作権

このドキュメントに記載されている情報（URL 等のインターネット Web サイトに関する情報を含む）は、将来予告なしに変更すること

があります。別途記載されていない場合、このソフトウェアおよび関連するドキュメントで使用している会社、組織、製品、ドメイン名、電

子メールアドレス、ロゴ、人物、場所、出来事などの名称は架空のものです。実在する名称とは一切関係ありません。お客様ご自身の

責任において、適用されるすべての著作権関連法規に従ったご使用を願います。

マイクロソフトは、このドキュメントに記載されている内容に関し、特許、特許申請、商標、著作権、またはその他の無体財産権を有する

場合があります。別途マイクロソフトのライセンス契約上に明示の規定のない限り、このドキュメントはこれらの特許、商標、著作権、また

はその他の無体財産権に関する権利をお客様に許諾するものではありません。

2008 Microsoft Corporation.All rights reserved.

Microsoft、Active Directory、ActiveSync、Microsoft Press、MSDN、Outlook、Windows、Windows Mobile、Windows NT、および

Windows Server は、米国 Microsoft Corporation の米国およびその他の国における登録商標または商標です。

記載されている会社名、製品名には、各社の商標のものもあります。

このテキストの中で使用しているアイコンの意味は以下のとおりです。

(OnePoint) 補足情報

(実習）実習タイトル

はじめに

本ガイドは、 Intelligent Application Gateway （以下、IAG） 2007 を使用して、Microsoft Exchange

Server 2007 のセキュアなリモートアクセス環境を外部ネットワークに対して公開するための手順書です。

第一部 IAG 2007 製品概要

Exchange Server の OWA を外部ネットワークに対し、セキュアに公開するために使用する Intelligent

Application Gateway 2007 の製品概要について説明します。

第二部環境構成

本ガイドが想定する環境の概要および環境の準備方法について説明します。

第三部ポータルサイトのセキュア公開

IAG 2007 を使用して、Exchange Server の OWA を外部ネットワークに対し、セキュアに公開するための

設定手順をステップバイステップ形式で説明します。

Microsoft Intelligent Application Gateway 2007 製品サイト：

http://www.microsoft.com/japan/forefront/edgesecurity/iag/overview.mspx

http://www.microsoft.com/japan/forefront/edgesecurity/iag/overview.mspx

目次

第一部 IAG 2007 製品概要 ............................................................................................................ 1

1.1 IAG 2007 とは ....................................................................................... 2

第二部環境構築 ............................................................................................................................. 3

2.1 環境の準備 ............................................................................................. 4

2.2 想定するモデル環境 .................................................................................. 5

システム構成 ........................................................................................................................ 5

アカウント構成 ...................................................................................................................... 5

第三部ポータルサイトのセキュア公開 ....................................................................................... 7

3.1 IAG Portal Web サイトの作成 ..................................................................... 8

3.2 Exchange Server の公開 ....................................................................... 17

Exchange Server 2007ホワイトペーパー

Intelligent Application Gateway 2007 によるサイト公開 1

第一部 IAG 2007 製品概要

この章では、Exchange Server の OWA を外部ネットワークに対し、

セキュアに公開するために使用する Intelligent Application

Gateway 2007 の製品概要について説明します。



1.1 IAG 2007 とは

IAG 2007 は、

Intelligent Application Gateway(IAG) 2007 は Internet Security and

Acceleration Server (ISA) 2006 のアプリケーション保護技術と連携し、SSL VPN

ベースのセキュアなリモートアクセス環境を提供します。IAG 2007 はサーバーア

プリケーションを公開するためのテンプレートが多数用意されており、標準で

Microsoft Office SharePoint Server(MOSS)、Exchange Server 、Notes、ファイ

ルサーバーなどの公開が簡単に行えます。

また、Outlook Web Access を安全に公開するために最適化されたテンプレートが

用意されており、このテンプレートにはリモート接続してきたコンピュータのセキ

ュリティ状態をチェックし、社内のポリシーを満たしていない場合メールへのファ

イル添付、添付ファイルのダウンロードを禁止するといったアクセス制御を実現し

ます。

IAG 2007 製品ホームページ URL

http://www.microsoft.com/japan/forefront/edgesecurity/iag/default.mspx

簡単な設定

IAG 2007 はアプライアンスサーバー製品として OEM ベンダーから提供されます。

アプライアンス本体全面にジョグダイヤルのノブと LCD パネルを装備しており、

ネットワークインターフェイスのネットワーク設定、シャットダウン、再起動など

の操作を簡単に行えます。LAN ケーブルを接続し、電源を投入したら、最初にジ

ョグダイヤルを使用して IP アドレスとサブネットマスクを設定。その後、リモ

ート管理端末を IP アドレスまたはサブネット単位で設定します。アプライアンス

の管理は、Web ブラウザが搭載されたリモート管理端末から実施できます。(以下

の写真は、IAG 搭載アプライアンスサーバー Celestix WSA シリーズ)

アプライアンス

http://www.dit.co.jp/products/wsa_series/index.html

http://www.microsoft.com/japan/forefront/edgesecurity/iag/default.mspx

http://www.dit.co.jp/products/wsa_series/index.html



第二部環境構築

この章では、本ガイドが想定する環境の概要および環境の準備方法

について説明します。



2.1 環境の準備

ここでは、IAG 2007 のご利用方法について説明します。

IAG 2007 はアプライアンスサーバー製品であるため、ソフトウェア単位での提供

は行っておりませんが、TechNet バーチャルラボサイトから、どなたでもご利用

いただくことができます。

TechNet バーチャルラボとは、マイクロソフト製品をご自身のシステムにインス

トールすることなく、製品の評価やトレーニング環境をリモート経由で提供するも

のです。バーチャルラボは無料であり、以下のサイトからいつでもご利用いただけ

ます。

バーチャルラボの動作環境および使用上の注意に関しましては、以下のサイト

にてご確認ください。

IAG 2007 セキュリティバーチャルラボサイト：

http://www.microsoft.com/japan/technet/traincert/virtuallab/security.mspx

TechNet バーチャルラボポータルサイト：

http://www.microsoft.com/japan/technet/traincert/virtuallab/default.mspx


http://www.microsoft.com/japan/technet/traincert/virtuallab/default.mspx



2.2 想定するモデル環境

ここでは、本ドキュメントが想定するモデル環境の概要について記載します。この

環境は、以下のバーチャルラボサイトの環境を元にしています。詳細については、

以下のバーチャルラボサイトをご確認ください。

IAG 2007 セキュリティバーチャルラボサイト


システム構成

本ドキュメントにて使用するシステムの構成は以下のとおりです。

コンピュータ名

説明

Forefront-IAG IAG 2007 で構成するゲートウェイサーバーです。

Forefront-FSE サーバーの Exchange Server 2007の OWA

をセキュアに外部公開します。

Forefront-FSE Contoso.local を展開するドメインコントローラです。この

ドメインコントローラは、Forefront-IAG サーバーの Portal

Web サイトの認証サービスとして利用します。

このサーバーは、1 台で Exchange Server 2007 のメールボッ

クス、ハブトランスポート、クライアントアクセスの役割を

担うスタンドアロン形式で構成します。

Clinet01 外部ネットワークに存在するクライアントです。

Forefront-IAG サーバーを経由して、Forefront-FSE サーバ

ーの Exchange Server 2007 にアクセスします。

アカウント構成

本ドキュメントにて使用するアカウントは以下のとおりです。

モデル環境の構築およびこのガイドの各種オペレーションには、以下のシステム管

理者アカウントを使用します。




アカウント名パスワード説明

Administrator password ドメインおよびスキーマ管理者アカウント



第三部ポータルサイトのセキュア公開

この章では、IAG 2007 を使用して、Exchange Server の OWA を

外部ネットワークに対し、セキュアに公開するための設定手順をス

テップバイステップ形式で説明します。



3.1 IAG Portal Web サイトの作成

IAG2007 を使用すると複数の社内サーバーアプリケーションやファイルサーバー

などを、Web ブラウザベースでセキュアに公開することができます。ここでは、

Exchange Server 2007 の公開手順について記載します。

このガイドは、どなたでもご利用可能な以下のバーチャルラボサイトを利用して作

成しています。IAG2007 の製品評価には、以下のバーチャルラボサイトをご利用く

ださい。

IAG 2007 セキュリティバーチャルラボサイト


IAG Portal Web サイトの作成

Forefront-IAG サーバー上に、SSL ベースの IAG Portal Web サイトを作成します。

IAG Portal Web サイトは、デフォルト英語表記ですが日本語化が可能です。

日本語化の方法については、以下の URL に公開されている IAG2007 Lab Manual

の「IAG Portal Web ページの日本語化」項目をご参照ください。

http://go.microsoft.com/?linkid=7404233

1. Forefront-IAG サーバーの [スタート] から、[すべてのプログラム] -[Whale

Communications IAG] と展開し、[Configuration] をクリックします。

2. ダイアログボックスのパスワード欄に “password” と入力し、[OK] をクリ

ックします。


http://go.microsoft.com/?linkid=7404233



3. [IAG Configuration Console] が起動します。左ペインのツリー部の [HTTPS

Connections] を右クリックし、[New Trunk] をクリックします。

4. [Create New Trunk Wizard] の [Step 1-Select Trunk Type] ページが起動し

ます。[Portal Trunk] を選択し、[次へ] をクリックします。

Portal Trunk は複数の Web ベースアプリケーションと非 Web アプリケー

ションへのアクセスを提供します。

5. [Step 2-Setting the Portal] ページで以下情報を入力し、[次へ] をクリックし

ます。

Trunk Name: Portal1

Public Hostname/IP Address: iag.contoso.com

External Website - IP Address: 39.1.1.5



6. [Step 3-Authentication] ページで、[Add] をクリックします。

7. [Authentication and User/Group Servers] ダイアログボックスが起動します。

[Add] をクリックします。

8. [Add Server] ダイアログボックスが起動します。[Type] ドロップダウンリス

トボックスから、”Active Directory”を選択します。

IAG2007 は、Active Directory に限らず、さまざまな認証サービスをご利用いた

だけます。



9. 続いて、以下の情報を入力して認証サーバーを指定します。

Name: AD

IP/Host: Forefront-FSE

Domain: contoso.local

10. 続いて、[Fetch] をクリックし、[Base] ドロップダウンリストボックスから

“CN=Users,DC=contoso,DC=local” を選択します。

11. 続けて以下情報を入力し、[OK] をクリックします。

User: Administrator

Password: password

Confirm Password: password

Domain: contoso

12. [Authentication and User/Group Servers] ダイアログボックスに戻ります。

[AD] を選択し、[Select] をクリックします。



13. [Step 3-Authentication] ページに戻ります。[次へ] をクリックします。

14. [Step 4-Certificate] ページの[server certificate] ドロップダウンリストで、

[iag.contoso.com] を選択し [次へ] をクリックします。

この手順は、HTTPS 接続を使用しているためにサーバー証明書を必要とします。

バーチャルラボ環境では、iag.contoso.com というサーバー証明書が既に

Forefront-IAG サーバーにインストールされています。

今回は、この証明書を使用します。



15. [Step 5-Endpoint Policies] ページで [完了] をクリックします。

[Endpoint policies] は IAG Portal Web サイトにアクセスする時のクライアント

コンピュータ(エンドポイント)で必要とされるセキュリティ設定を定義します。

[Endpoint policies] の設定については、この後の手順で行います。

設定の反映

作成した IAG Portal Web サイトの設定を反映します。

1. メニューバーを、[File] – [Activate] の順にクリックします。

もしくは、ツールバーのギア ( ) アイコンをクリックします。

2. [Passphrase] ダイアログボックスが起動します。“password” と入力し、[OK]

をクリックします。



3. [Activate Configuration] ページに遷移します。 [Activate] をクリックします。

注:IAG Configuration Console での設定は IAG サーバーで実行している

IIS6.0 と ISA Server2006 も同時に構成します。設定変更を行う時は、常に[IAG

Configuration console] を使用する必要があります。また、設定を反映するには

Activate する必要があります。

[Save Configuration] ダイアログボックスが表示された場合は、任意の名前を入

力し、保存をクリックします。

4. [Configuration Activation Completed] ページに遷移します。 [OK] をクリッ

クします。

設定の確認

クライアント端末から新規作成した IAG Portal Web サイトに接続します。

1. Client01 に、ユーザー名：Usera、パスワード：password でログオンします。

2. Client01 で [Internet Explorer] を起動し、URL 欄に

[https://iag.contoso.com] と入力し IAG Portal にアクセスします。

ポータルサイトの https://iag.contoso.com に接続します。

デスクトップの IAG Portal のショートカットからでも起動できます。



3. 初回のみ、ActiveX のインストールを行います。Internet Explorer の上部を

クリックし、[ActiveX コントロールのインストール]をクリックします。

4. IAG Portal トップページに以下の情報を入力し、[Submit] をクリックします。

User Name: Administrator

Password: password



5. IAG Portal Web サイトのツールバーの [System Information] アイコンをク

リックします。 ( ).

アプリケーションの公開を行っていないためアプリケーションは利用できませ

ん。この後の手順で、この IAG Portal Web サイトに Exchange Server の OWA

を公開します。

6. [System Information] ウインドウが起動します。内容を確認して閉じます。

System Information ページではクライアントコンピュータの状態を簡単に確

認することができます。

7. [LogOut] をクリックし、IAG Portal Web サイトを閉じます。



3.2 Exchange Server の公開

ここでは、事前に作成した IAG Portal Web サイトに Forefront-FSE サーバーの

Exchange Server の OWA を追加して、この OWA を外部ネットワークに対してセ

キュアに公開します。

OWA サイトの公開

IAG Portal Web サイトに Outlook Web Access (OWA) を追加します。

1. Forefront-IAG サーバーの [スタート] から、[すべてのプログラム] -[Whale

Communications IAG] と展開し、[Configuration] をクリックします。

2. ダイアログボックスのパスワード欄に “password” と入力し、[OK] をクリ

ックします。

3. [IAG Configuration Console] が起動します。左ペインのツリー部を [HTTPS

Connections] – [Portal1] の順にクリックします。



4. 右ペインの [Applications] セクションの [Add] ボタンをクリックします。

5. [Add Application Wizard] が起動します。[Step 1-Select Application] ページ

の [Web Applications] ドロップダウンリストから[Microsoft Outlook Web

Access 2007] を選択し、 [次へ] をクリックします。

IAG は Microsoft Outlook Web Access 2007 にかぎらず、さまざまなアプリケー

ションやサービスを公開することができます。

6. [Step 2-Application] の[Application Name] テキストボックスに”OWA2007”

と入力し、 [次へ] をクリックします。



7. [Step 3-Web Servers] の [Addresses] テキストボックスの一番上のカラムを

ダブルクリックし、”Forefront－FSE”と入力し、 [次へ] をクリックします。

8. [Step 4-Authentication] ページで [Add] をクリックします。

9. [Authentication and User/Group Servers] ページで事前に定義した [AD] を

選択し、[Select]をクリックします。



10. [Step 4-Authentication] ページに戻ります。[HTML Form] を選択して、 [次

へ] をクリックします。

11. [Step 5-Portal Link] ページの [完了] をクリックします。

12. [Note] が起動します。ウインドウを閉じます。

設定の反映

IAG Portal Web サイトに公開した OWA の設定を反映します。















クします。



設定の確認

クライアント端末から IAG Portal Web サイトに公開した OWA にアクセスしま

す。


[https://iag.contoso.com] と入力し IAG Portal Web サイトにアクセスします。

ポータルサイト https://iag.contoso.com に接続します。


2. IAG Portal Web サイトのトップページで、以下情報を入力し、[Submit] をク

リックします。


Password: password



3. IAG Portal Web サイトの OWA2007 アイコンをクリックします。

IAG でシングルサインオンが実現しているため、OWA 接続時に再び認証情報を

入力する必要はありません。

OWA が起動するまでしばらく時間がかかります。

OWA の Inbox に Administrator と表示されていることを確認できます。

4. OWA サイトが起動します。IAG ツールバーのホームアイコンを ( )をク


OWA サイトの URL はマスクされます。

5. IAG ツールバーの [LogOut] をクリックし、IAG Portal Web サイトを閉じま

す。



3.3 公開ポリシーの設定

IAG ではリモートアクセスを行う端末の状態を検査し不正な端末を社内ネットワ

ークに接続させないことが可能です。たとえば社内で決められたアンチウイルスソ

フトが稼働していない場合、メールにファイルを添付できないようにするといった

ポリシーの制御が可能です。

ポリシーの設定

ここでは Forefront Client Security が稼働していない場合、メールへのファイル

の添付を禁止するように設定します。

1. [Application] セクションの [OWA2007] 列を選択し、[Edit] をクリックしま

す。

2. [Application Properties] ダイアログボックスが起動します。[General]タブの

[Edit Policies] をクリックします。



3. [Policies] ダイアログボックスが起動します。 [Add] をクリックします。

4. [Policy Editor] ダイアログボックスが起動します。[General]にて以下情報を

入力します。

Policy Name: Anti Virus is enabled

Category: Policies

5. 左ペインの[Anti-Virus] を選択して、右ペインに以下情報を入力し、[OK] を

クリックします。

Anti Virus is enabled という新しいポリシーが作成されます。



Enable Group: enable

Microsoft Forefront Virus: enable

Last Update: ＜ブランク＞

6. [Policies] ダイアログボックスに戻ります。[Close] をクリックします。

7. [Application Properties] ダイアログボックスの[General] タブにて以下情報

を設定し、[OK] をクリックします。

OWA2007 アプリケーションポリシーの Upload ポリシーに作成した

"Anti-Virus is enabled" ポリシーを割り当てます。

Upload: Anti Virus is enabled

設定の反映

IAG Portal Web サイトに公開した OWA の設定を反映します。















クします。



設定の確認

ポリシーに違反したクライアント端末にて IAG Portal Web サイトの OWA2007

にアクセスし、メールにファイルを添付します。

1. ポリシーに違反するために、Client01 の Forefront Client Security サービス

を停止します。


[https://iag.contoso.com] と入力し IAG Portal Web サイトにアクセスします。

ポータルサイト https://iag.contoso.com に接続します。


3. IAG Portal Web サイトのトップページで、以下情報を入力し、[Submit] をク





Password: password

4. IAG Portal Web サイトの OWA2007 アイコンをクリックします。

IAG でシングルサインオンが実現しているため、OWA 接続時に再び認証情報を

入力する必要はありません。

OWA が起動するまでしばらく時間がかかります。

OWA の Inbox に Administrator と表示されていることを確認できます。

5. OWAサイトが起動します。[新規作成] – [メッセージ] の順にクリックします。

6. メールの作成画面が起動します。ファイルの添付ボタンをクリックします。

7. 以下のとおり、アップロードポリシーに違反している旨のメッセージが表示さ

れ、ファイルの添付がブロックされます。

これは、Client01 コンピュータの Anti-Virus ソフトが起動しておらず、アッ



プロードポリシーを違反しているためです。

以上

Documents

Exchange Server 2007 ステップバイステップガイドdownload.microsoft.com/download/5/2/3/523c546f-f0a6-4b3a...はじめに 本ガイドは、Intelligent Application Gateway

Exchange Server 2007 ステップバイステップガイドdownload.microsoft.com/download/5/2/3/523c546f-f0a6-4b3a...はじめに本ガイドは、Intelligent Application Gateway