29.Active Directory(AD)アカウント連携をしてみよう

E-Post Mail Server シリーズは、Active Directory(AD)アカウントを利用することも可能だ。ここでは、「ウイザード(簡易セットアップ)で再設定する方法」で行ってみる。

Active Directory(AD)アカウントを利用する場合の注意点1

Active Directory(AD)アカウントを利用し、複数のドメインで1台のメールサーバを運用する場合はバーチャル(仮想)ドメインとしての運用となる。完全なマルチドメインでの管理はできないので構築の際は注意しよう。

「バーチャル(仮想)ドメイン」とは
アカウント管理が、Active Directory(AD)に依存しているため、すなわち Windows Serverのユーザー管理に依存していることから、1台のメールサーバで複数ドメイン管理をしたとしても、“ダブった”アカウントは、1ドメインでしか使えなくなる問題が発生する。

「バーチャル(仮想)ドメイン」で複数ドメインで運用した場合に問題となる例
 ABC社の受付メールアドレス = info@abc.co.jp
 EFG社の受付メールアドレス = info@efg.co.jp
どちらかのアカウントを変更しない限り"info"という同じメールボックスに入ってしまう。また、メールボックス参照時には、パスワードを別々にすることはできない。ただし、意図的に同じメールボックスに着信させるのであれば話は別になる。
Active Directory(AD)アカウント連携をやめれば、完全な「マルチドメイン」設定ができ、上記のような「バーチャル(仮想)ドメイン」で問題となった例の場合でも、重複するアカウントが別々のドメイン名で利用可能になり、届いたメールも別々のメールボックスに分かれて保存され、異なるパスワードにてメールボックスを参照することが可能となる。Active Directory(AD)アカウント連携と完全なマルチドメイン管理とは、トレードオフの関係にあることを知ってほしい。

Active Directory(AD)アカウントを利用する場合の注意点2

Active Directory(AD)アカウントを利用する場合は、メールサーバをセットアップするマシンには、メンバーマシンとして参加しているか、Active Directoryサーバと信頼関係がないとアカウントを利用できない。

また、設定するマシンへのログインは、メンバーサーバとして、Administratorでログオンした後、メールサーバのインストールを行う必要がある。

なお、メンバーサーバ側でActive Directory(AD)のドメイン名を指定しても、グループリストが表示できない場合は、メンバーサーバ上でドメイン名が解決できていないか、不整合の可能性があるので、メンバーサーバが利用しているDNS設定や、lmhosts、hostsファイル等に不整合がないか確認すること。

Active Directory(AD)アカウントを利用する場合の注意点3

OSの自動更新機能(Windows Update)を自動で行われるように設定しておくと、自動更新が行われるタイミングで、OSが再起動することがあり、メールの送受信処理中に、これらが発生すると正常な動作を保障できなくなる。

また、Active Directory(AD)アカウントを利用している場合も、Active Directory(AD)サーバに自動更新による再起動が発生した場合、再起動期間中のローカルユーザに対する送受信の確認ができなくなる。

つまり、OSの自動更新は、通知のみの設定にしておき、保守日程を決めた上で、更新を行うようにしておいた方がよい。

ウイザード(簡単セットアップ)で再設定する方法

ウイザードの起動を手動で行うには、「スタート」→「すべてのプログラム」→「E-Post Mail Server」→「簡単セットアップ」を選択する。
簡単セットアップウイザードが起動されたら、最初の(ステップ1)の画面で「Windowsのアクティブディレクトリ(AD)のアカウントと連携させたい」を選択し、「次へ」ボタンをクリック。

(ステップ 1-2)では、メンバーサーバ上での場合、Active Directory のドメイン名を入力し、メールグループ名として▼ボタンから「IMSUsers」を選択する。Active Directory のドメイン名は、確認した「 ドメイン名( Windows 2000 以前)」を 入力。「IMSUsers」を選択した状態で、「次へ」をクリック。

(ステップ 2)では、E-Post Mail Serverシリーズが利用する DNSサーバを指定。ここで指定する DNS サーバには、Active Directory のドメインコントローラでよい。この DNS サーバは、同時にメールサーバが参照する DNS になり、合わせてユーザーアカウント情報を参照するActive Directory のサーバともなる。
なお、ここで指定する DNS サーバは、SMTP 配送部サービスプログラムがメールを送信するときに名前解決のために参照される。万が一、Active Directory のドメインコントローラ内に設定される DNS サーバが、外部の DNS に対してフォワードしていないときは、2番目か3番目の DNS サーバに、外部を参照できる DNS サーバか、DNS 中継機能のあるルータの IP アドレスをさらに指定。
使用するDNSサーバを1つ以上指定し、「次へ」ボタンをクリック。

メールサーバが運用するドメインおよび接続IPを指定し、「次へ」ボタンをクリック。前頁で決めたメールサーバとして使用する ドメイン名=test-sample.jp を設定。

本メールサーバの管理者とするアカウントを指定し、「次へ」ボタンをクリック。サーバ管理者アカウントはなくてもかまわないので、今回は「管理者アカウント=空白」で設定する。

クラスタリングで運用するための共有設定項目を指定し、「次へ」ボタンをクリック。シングルサーバで設定する場合は、UNC名による接続は行わないで、標準的な次の設定を行っておく。
 共有メール作業フォルダ= c:\mail
 共有するコンピュータ名= 空白

確認のため、次の設定内容が表示される。設定に間違いがなければ、「完了」ボタンをクリック。

これで、「Active Directory(AD)アカウント」を使ったメール送受信を行うための設定が完了する。

Active Directory 連携を確認する

自動的にMail Control が起動したら、「ドメイン管理」タブを選択して、連携状態を確認する。
「ドメイン管理」タブ画面では、ドメイン名が設定されていること、メールユーザーとなるローカルグループ名としてIMSUsers が設定されていることが、確認できればよい。
独自アカウント管理のときは「ドメイン管理」タブ画面で「アカウントフォルダ」と表示されていた項目が、Active Directory 連携をしているときは「所属ドメインのアカウントを使用する」項目名に変更されていることが確認できる。

次に、Account Manager に切り替え、「設定」−「アカウント管理」を選択。
表示される「アカウントの管理方法」ダイアログボックスでは、「Windows account」が選択され、「PDC」に はドメイン名、「ローカルグループ」に は「 IMSUsers」の MailGroupがそれぞれ設定されているのを確認する。

最後に「OK」ボタンをクリックして閉じる。
ちなみに、ドメインが正常に読めないときや、うまく見つからないときは、「PDC が見つかりません」というエラーメッセージが表示される。エラーメッセージが表示されたときは、改めて一から設定を見直して確認しよう。

サービスを開始しよう

設定が完了したら、E-POST Mail Control を開いて、「サービス制御」タブを選択、サービスを「停止」してから、「開始」ボタンをクリックし、メールサービスを再開させる。その後利用が可能になる。


アカウントを登録してみよう


ADアカウントに切り替えると、今までのアカウントは設定し直す必要がある。アカウントマネージャ(E-POST Account Manager)を起動し、あらためてメールアカウントを登録しなおすこと。

なお、Active Directoryにユーザー管理を連動させたとき、アカウントのパスワードは「ドキュメントセキュリティポリシー」の次の設定に応じて影響される。
「ドキュメントセキュリティポリシー」は、Active Directoryサーバ=ドメインコントローラのスタートメニューから、「管理ツール」→「ドメインセキュリティ−ポリシー」で起動する。パスワードに要求される内容は、「パスワードは複雑さの用件を満たす必要がある」が有効か無効か設定に従って影響を受けるようになる。

この設定が有効となっている場合、必要とされる条件ルールに則っていないパスワードでは、アカウント登録できないようになる。注意が必要だ。

パスワードが複雑さの要件を満たす条件

1.ユーザーのアカウント名の全部または一部を使用しない。
2.長さは 6 文字以上にする。
3.次の 4 つのカテゴリのうち 3 つから文字を使う。
   英大文字 (A 〜 Z)
   英小文字 (a 〜 z)
   10 進数の数字 (0 〜 9)
   アルファベット以外の文字 (!、$、#、% など)

登録したアカウントは、「Active Directory ユーザーとコンピュータ」を表示したとき、アカウントとして表示されているはずである。
なお、「Active Directory ユーザーとコンピュータ」のメールアドレス項目が連携するわけでなく、「ユーザーログオン名」の名前部分が連携項目として反映されていることをおさえておいてほしい。

Active Directory連携時の連動項目

アカウント関連の操作内容 連携の有無 Active Directoryユーザーとコンピュータ   連    動 E-Post Account Manager
アカウント
新規作成
あり ・Window2000以前の
ユーザーログオン名(※1)
・表示名


・アカウント

・フルネーム
アカウント
名前変更
あり ・Window2000以前の
ユーザーログオン名(※1)
・表示名


・アカウント

・フルネーム
POP3
パスワード変更
あり ・パスワード
(パスワードのリセット)
・パスワード
IMAP4
パスワード変更
あり ・パスワード
(パスワードのリセット)
・パスワード
SMTP認証
パスワード変更
なし   −−     SMTP認証パスワード
(※2)

フルネーム あり ・表示名
・フルネーム
ホームディレクトリ あり ・ホームフォルダ(ローカルパス)
・ホーム
ドメイン名 あり ・所属するグループ
・ドメイン
※1) 「Active Directoryユーザーとコンピュータ」にある2003以降の「ユーザーログオン名」は連動項目とはならない。
※2) 「SMTP-AUTH & APOPを利用する」チェックボックスをオンにし、表示されるダイアログボックスにSMTP認証パスワードを入力すると、暗号化された認証ファイル"apop.dat"がE-Post Mail Serverが参照可能なメールボックスフォルダに作成・保存される。このパスワードは「Active Directoryユーザーとコンピュータ」で管理するパスワードとは連動しない。

アカウントが登録できたら、メールを送受信が正しく行えるか、コマンドプロンプトを開き、telnetコマンドでサービスに接続して動作確認してみる。
確認の方法は、これまでの章で説明された内容に従って操作してみよう。



(※実際に、ActiveDirectory連携メールサーバの構築作業を行うには、上記の記事はポイントだけですので、説明や手順が不足している個所があります。よりくわしく知りたいときは、下記のドキュメントをご参照ください。)

《技術資料ドキュメント》
ホワイトペーパー『Active Directory連携メールサーバ構築ガイド Rev1.7』(PDF)


書籍『E-Post Mail Server完全ガイド』ご案内