Exchange 2010 RTM からSP1 または SP2 へアップグレードする際に変更される OAB 仮想フォルダの設定についてご案内いたします。
OAB 仮想ディレクトリへの匿名アクセスを許可したい場合、Exchange 2010 RTM 環境では通常通り IIS マネージャから匿名認証を有効とすることで許可することができました。しかし、Exchange 2010 SP1 以降では、仮に [匿名認証] を有効にしていた場合でも既定では匿名でのアクセスは拒否される動作に変更されています。これは、既定で匿名アクセスを無効にするためのものであり、意図した変更となります。
IIS 7.0 以降では、匿名でのアクセス時に使用される既定のアカウントして、”IUSR” が使用されます。この設定については IIS マネージャから [匿名認証] を右クリックして、[編集] をクリックすることで表示できます。
Exchange 2010 SP1 以降で匿名アクセスが拒否される理由は、仮想ディレクトリ配下の OAB を格納しているフォルダの NTFS アクセス許可において、この IUSR への読み取り権限が拒否されるためとなります。
例:
この拒否設定は、Update-FileDistributionService にてOAB フォルダの更新の度に実施されるため、上記の設定を変更しただけでは次回実行時に元に戻ります。
回避策について
ご利用の環境で匿名認証を許可することが必須の場合には、以下の方法で匿名アクセスを許可することが可能です。
IIS 7.0 におきましては既定で IUSR を匿名認証の際に使用しますが、これを任意のアカウントへ変更することも可能です。以下の手順にて IUSR の代わりに別途作成したローカル アカウントを匿名認証時に使用することで匿名アクセスを許可することが可能です。
1. 匿名認証に使用するローカル アカウントを作成します。
パスワードを無期限にするなど、ご要望にあわせて設定ください。
2. IIS マネージャから対象の OAB フォルダの仮想ディレクトリを選択します。
"OAB" 配下の OAB の GUID が名前として付与された仮想ディレクトリとなります。
3. 機能ビューから [認証] をダブル クリックします。
4. [匿名認証] を右クリックして、[編集] をクリックします。
5. [設定] をクリックして、手順 1 で作成したユーザー名とパスワードを入力して、[OK] をクリックします。
6. [OK] をクリックします。
※ 設定後、サービスの再起動等は必要ございません。
※ 再度 IUSR へ戻す際も手順は同様です。ただし、その際はパスワードを入力する必要はございません。また、階層上で直上の "OAB" 等については変更する必要はございません。