AWS ディレクトリサービスと msExchRequireAuthToSendTo LDAP 属性

tag-icon tag-icon active-directory amazon-web-services exchange microsoft-office-365
AWS ディレクトリサービスと msExchRequireAuthToSendTo LDAP 属性

当社では、ユーザー ID を管理するために AWS ディレクトリ サービスを使用しています (オフィスと AWS 間のサイト間 VPN を使用して、すべてのコア インフラをクラウドに配置することを希望しています)。

当社では、o365 プランの一部として、ホストされた Exchange を備えた Office 365 も使用しています。ユーザー、グループなどは、Amazon AD から Azure AD for o365 に同期されています。

現在、独自の AD 内に配布グループを作成すると、外部の送信者がそのグループにメールを送信できるようにするかどうかを指定できません。Exchange がインストールされておらず、AD のスキーマを変更できません。これは、ホストされたサービスであり、「エンタープライズ管理者」または「スキーマ管理者」の権限がないためです。そのため、AD スキーマのみを変更するオプションを使用して Exchange setup.exe を実行することさえできません。

Office365 では、グループはリモート ドメインから同期されており、ローカルで変更することはできないため、Web 管理者でその設定を変更することはできません。

ただし、AWS は独自の Web GUI を使用して AD スキーマを拡張することをサポートしていますが、そのためには LDIF ファイルが必要です。これを使用して msExchRequireAuthToSendTo を手動で追加し、Azure AD と同期されるようにしたいと思います。

唯一の問題は、そのような ldif がどこにも見つからないことと、すべてが適切に動作するために必要なその属性のすべてのメタ属性 (OID など) が見つからないことです。

その属性を AWS Active Directory に取り込む最も簡単な方法は何ですか?

答え1

最善の選択肢は、Amazon の要件に従って LDIF ファイルを使用することです。特定の LDIF はどこにも見つからないかもしれませんが、属性の詳細 (attributeID を含む) は、ないOID)はここ

しかし、その情報を使用して独自の LDIF ファイルを作成するのではなく、Microsoft 独自の LDIF ファイルを使用してタスクを完了することをお勧めします。確かに、Microsoft の Web サイトで検索するだけでは十分ではありません。

考えてみれば、Exchange Serverのインストールメディアには、新しいフォレストにExchangeを最初からインストールするための適切な資料がすべて含まれている必要があるため、最新の四半期更新(Exchange Server 2016 CU8偶然にも、本日リリースされた Exchange Server 2003 には、この情報が含まれているはずです。少なくとも 2003 年以降の Exchange Server のすべてのバージョンのインストール メディアにも同様の情報が含まれています。

私はすでにメディアのコピーを持っていますので、参考のために添付できるか確認しますが、Exchange インストール メディアの古いコピーをお持ちの場合は、実際にその情報がすでにあることがわかります。そしてついでに、ホストされているフォレストによく知られている Exchange 属性をいくつか追加することも検討してください。

編集: スキーマの変更は、Exchange Server インストール メディアに含まれるいくつかの LDIF ファイルに含まれています。抽出後、次の 4 つのファイルで見つけることができます。すべてのファイルに同じ情報が含まれています。

.\setup\data\postexchange2000_schema0.ldf
.\setup\data\postwindows2003_schema27.ldf
.\setup\data\schema36.ldf
.\setup\data\schemaadam.ldf

dn: CN=ms-Exch-RequireAuthToSendTo,<SchemaContainerDN>
changetype: ntdsSchemaAdd
adminDescription: ms-Exch-RequireAuthToSendTo
adminDisplayName: ms-Exch-RequireAuthToSendTo
attributeID: 1.2.840.113556.1.4.5062
attributeSecurityGuid:: iYopH5jeuEe1zVcq1T0mfg==
attributeSyntax: 2.5.5.8
isMemberOfPartialAttributeSet: TRUE
isSingleValued: TRUE
lDAPDisplayName: msExchRequireAuthToSendTo
name: ms-Exch-RequireAuthToSendTo
oMSyntax: 1
objectCategory: CN=Attribute-Schema,<SchemaContainerDN>
objectClass: attributeSchema
schemaIdGuid:: O+sz9Vv3s0+y+wjNU3qE0Q==
searchFlags: 0

関連情報