補足 B: PureMessage for Microsoft Exchange と AD LDS との同期設定 (AdamSync を使用)

AdamSync は、AD LDS (Active Directory ライトウェイト ディレクトリ サービス) のインスタンスを Active Directory (AD) と同期させるためのツールです。主に AD から AD LDS のインスタンス (エッジトランスポートサーバーの役割がインストールされている Exchange サーバー上の) に受信者情報をコピーするために使用されます。通常このようなサーバーは、境界ネットワーク (DMZ ともいいます) にあり、AD への直接アクセスはファイアウォールでブロックされます。AdamSync はファイアウォール内部から実行され、AD にアクセスし、ファイアウォール内で開放されたポートを経由して AD LDS へデータを出力します。

AdamSync を手動で設定する詳細な手順は次のとおりです。

  1. AD LDS をインストールします。
  2. デスクトップから、「スタート > すべてのプログラム > 管理ツール > Active Directory ライトウェイト ディレクトリ サービス」をクリックし、AD LDS インスタンスを作成します。
    1. ようこそ」ダイアログボックスで、「次へ」をクリックします。
    2. セットアップオプション」ダイアログボックスで、「一意のインスタンス」を選択し、「次へ」をクリックします。
    3. インスタンス名」ダイアログボックスで、デフォルト名の「instance 1」を選択し、「次へ」をクリックします。
    4. ポート」ダイアログボックスで、LDAP (389) および SSL (636) に対するデフォルトポートを指定し、「次へ」をクリックします。
    5. アプリケーション ディレクトリ パーティション」ダイアログボックスで、「アプリケーション ディレクトリ パーティションを作成する」を選択し、パーティション名を入力します。わかりやすくするため、Active Directory のパーティション名と同じパーティション名にしてください。例: dc=jazz,dc=sophos,dc=com
    6. ファイルの場所」ダイアログボックスで、規定の場所を変えずに、「次へ」をクリックします。
    7. サービスアカウントの選択」ダイアログボックスで、「このアカウント」オプションを選択し、管理者アカウントのユーザー名およびパスワードを指定します。
    8. Active Directory ライトウェイト ディレクトリ サービス セットアップ ウィザード」ダイアログボックスで、「はい」を選択し、選択したアカウントにサービスアカウントとして実行する権限を追加します。
    9. AD LDS 管理者」ダイアログボックスで、現在ログインしているユーザー (デフォルト) を追加し、「次へ」をクリックします。
    10. LDIF ファイルのインポート」ダイアログボックスで、「MS-InetOrgPerson.LDF、MS-User.LDF および MS-UserProxy.LDF」をインポートするスキーマとして追加し、「次へ」をクリックします。
    11. 設定を確認し、「次へ」をクリックすると、AD LDS のインスタンスが作成されます。
    12. インスタンスが作成されたら、「完了」をクリックし、ウィザードを閉じます。
  3. 同期情報を保管するためには、AD LDS インスタンスのスキーマを拡張してください。コマンドプロンプトから C:\Windows\ADAM フォルダに移動し、次のコマンドを使用してください。

    ldifde -i -f ms-AdamSyncMetaData.ldf -s localhost:389 -c "cn=configuration, dc=x" #configurationNamingContext

    また、同期中 AD オブジェクト属性を受け入れるためにも、このスキーマを拡張する必要があります。MS-AdamSchemaW2K3.ldf ファイルを指定して、上記のコマンドを繰り返してください。

  4. Conf.xml という MS-AdamSyncConf.xml ファイルのコピーを作成し、Notepad.exe を使って開きます。
    1. <source-ad-name> エレメント値は、AD サーバー名に設定してください。
    2. <source-ad-partition> エレメント値は、AD パーティション名に設定してください。例: dc=jazz,d=sophos,dc=com
    3. <base-dn> エレメント値は、AD のユーザーコンテナを指定するよう変更してください。例: cn=users,dc=jazz,dc=sophos,dc=com
    4. <target-dn> エレメント値は、ステップ 2で作成されたパーティション名に設定してください。
    5. <object-filter> エレメント値を以下のストリングに変更してください。(|(objectclass=user) (objectclass=group) (objectclass=contact))
    6. デフォルトで、いくつかの属性は同期の際に <exclude> エレメントにより除外されています。次の属性をリストに追加します。
      <exclude>homeMTA</exclude>
      <exclude>homeMDB</exclude>
      <exclude>mDBUseDefaults</exclude>
      <exclude>mailNickname</exclude>
      <exclude>msExchHomeServerName</exclude>
      <exclude>msExchMailboxSecurityDescriptor</exclude>
      <exclude>msExchUserAccountControl</exclude>
      <exclude>msExchMailboxGuid</exclude>
      <exclude>msExchPoliciesIncluded</exclude>
      <exclude>msExchRecipientDisplayType</exclude>
      <exclude>msExchVersion</exclude>
      <exclude>msExchRecipientTypeDetails</exclude>
      <exclude>legacyExchangeDN</exclude>
      <exclude>showInAddressBook</exclude>
      <exclude>msNPAllowDialin</exclude>
      <exclude>msExchUserCulture</exclude>
  5. 次のコマンドを使用して、環境設定ファイルをインストールします。

    adamsync /i localhost:389 Conf.xml

  6. 次のコマンドを使用して同期を実行します。

    adamsync /sync localhost:389 "dc=jazz,dc=sophos,dc=com" /log log.txt

    重要: log.txt というファイルを参照して、エラーが発生しなかったかどうか確認してください。

    操作に成功した場合、ログファイルの終わりに次のようなテキストが表示されます。

    同期の実行を正常に完了しました。

    dirSync 経由で処理したエントリの数: 46

    ldap:経由で処理したエントリの数: 0

    処理に 0 秒かかりました (0,0)。

    削除されたオブジェクトのクリーンアップを開始しています。

    0回毎の削除されたオブジェクトのクリーンアップが要求されます。1回前に削除されたオブジェクトのクリーンアップが実行されました。

    dc=jazz,dc=sophos,dc=com 上に構成ファイルを保存しています。

    構成ファイルを保存しました

    「dap_add_sw: オブジェクトクラス違反です」といったエラーがあった場合は、conf.xml を編集し、ログファイルに列挙されている当該の属性を 1つずつ対象から除外します (ステップ 4.6 を参照)。対象から除外する属性を追加するたびに、毎回、次のコマンドを実行して環境設定を再インストールしてください。

    adamsync /d localhost:389 "dc=jazz,dc=sophos,dc=com"

    ステップ 5 と 6 を繰り返してください。

    設定した LDAP ポートから AD および AD LDS にアクセス可能であれば、ネットワーク上のどのコンピュータからも同期を実行することができます。同期は差分方式で実行され、前回実行された同期以降に発生した変更のみ含まれます。

  7. ADSIEdit を使って AD LDS に接続し、すべてのオブジェクトが正しくインポートされたことを確認してください。この同期は 1回限り有効な操作で、Active Directory に変更が加えられるたびに、変更内容が AD LDS と同期されるよう、ステップ 6 を繰り返す必要があることにご注意ください。
  8. PureMessage for Microsoft Exchange で AD LDS との同期を設定するには、PureMessage 管理コンソールを開き、「環境設定 > ユーザーとグループ > Active Directory」を選択します。
    1. AD LDS がインストールされているサーバーの名前を入力し、ポート番号を 389 に指定してください。
    2. ユーザー/グループのベース DN は、ステップ2 で作成した AD LDS のパーティション名に設定します。
    3. 「名前の属性」は name、「メールの属性」は mail、「メールエイリアスの属性」は proxyaddresses、「説明の属性」は description としてください。
    4. ログイン情報を指定し、「設定の確認」をクリックします。
    5. 今すぐ同期」をクリックして、AD LDS と PureMessage for Microsoft Exchange でデータを同期します。「OK」をクリックします。