社畜の所業

社畜の所業

Microsoft365の機能について解説をしていきたいと思います。このブログの情報をご活用いただければ幸いです。たまに他の情報も取り入れていきたいと思います。

※このサイトはPR記事を含みます。
トップ > Microsoft365 > 【Microsoft365参考書】オンプレミス AD で Exchange 属性を直接変更してはいけない理由とは?

【Microsoft365参考書】オンプレミス AD で Exchange 属性を直接変更してはいけない理由とは?

Microsoft365

 

オンプレミス AD で Exchange 属性を直接変更してはいけない理由とは?

 

オンプレミス Active Directory(AD)上の proxyAddressesmsExch* 系属性を ADSI Edit や直接編集ツールで書き換えることは、Microsoft がサポートしていません。

今回は、その技術的背景、運用上のリスク、そして安全に変更するための推奨手順をわかりやすく解説します。

 

 

   

 

1. Exchange 属性は相互依存したデータ構造である

Exchange の動作は複数の属性が組み合わさることで成立します。

主な例は以下のとおりです。

  • proxyAddresses
  • legacyExchangeDN
  • mailNickname
  • msExchRecipientTypeDetails やその他 msExch* 系属性

オンプレミス AD は Active Directory の標準スキーマに基づいており、Exchange 専用の属性は含まれていません。

これらは、Exchange Server (オンプレミスExchange)の Exchange 管理ツール(EAC / Exchange Management Shell)を通じて一貫性を保ちながら更新されるよう設計されています。

AD 上で個別に変更すると、必要な属性の組み合わせや更新順序が崩れ、内部整合性が損なわれます。

 

 

 

2. ADSI Edit は "安全性チェックが存在しない" ツールである

ADSI Edit は強力ですが低レベルな編集ツールです。Exchange の管理ツールはフォーマットや参照整合性のチェックを行いますが、ADSI Edit はそのようなガードレールを持ちません。

そのため、次のような問題が起こり得ます。

  • メールアドレス形式の不正
  • proxyAddresses の重複
  • mailNickname の欠落
  • legacyExchangeDN の破損
  • 誤った RecipientType の設定

最悪の場合、メールボックスが認識されなくなったり、送受信・GAL(グローバルアドレス帳)への表示に支障をきたすことがあります。

 

 

 

3. Exchange の裏側で走る必要な後処理が実行されない

Exchange 管理ツール経由で変更を行うと、以下のような後処理やチェックが自動で実行されます。

  • アドレスポリシーの適用
  • OAB(オフラインアドレス帳)や GAL への反映
  • メールボックスプロビジョニング関連の設定
  • 関連する複数属性の同時更新

これらが実行されないと「一見問題なさそうだが実は壊れている」状態が発生し、時間差で障害化してトラブルシューティングが難しくなります。

 

 

 

4. ハイブリッド環境ではリスクがさらに高まる

オンプレ AD と Azure AD(Microsoft 365)を Azure AD Connect で同期している環境では、AD 側の不正な値がクラウド側へ同期され、広範囲に影響を及ぼします。

具体的な影響は以下の通りです。

  • Exchange Online 側で同期エラーや競合が発生
  • メールアドレスの重複による配信障害
  • ディレクトリ同期の停止や、不整合オブジェクトが生じる

 

 

5. Microsoft サポートの方針

Microsoft のサポートポリシーでは、スキーマに存在しない属性を手動で追加・編集する行為は非推奨です。
これは、AD の整合性や Exchange Online との同期に問題を引き起こす可能性があるためです。
Azure AD Connect は、オンプレミス AD とクラウドの属性を同期しますが、Exchange 関連属性は Exchange ハイブリッド構成を前提に設計されています。Exchange サーバーがない場合、同期や管理が保証されません。

そのため、Microsoft は、AD 属性を直接編集したことが原因の問題についてはサポート対象外としています。

誤編集による障害は自己対応を求められる場合があり、ケースによっては Exchange の再構築が必要になることさえあります。

 

 

6. 安全に変更するための推奨手順

推奨:常に Exchange 管理ツール(Exchange Management Shell / EAC を使って変更を行う。ハイブリッド環境ではオンプレの Exchange 管理用サーバーを残しておくことを検討してください。

オンプレ Exchange 環境での例(PowerShell

メールアドレスを追加する例:

# 例: user1 に alias@example.com を追加
Set-Mailbox -Identity "user1" -EmailAddresses @{add="smtp:alias@example.com"}

ハイブリッド環境での注意点

  • オンプレ側で Exchange 管理ツールを使い、同期ルールを崩さないこと。
  • proxyAddresses や primarySMTP(大文字/小文字含む表記)を安易に直接編集しない。
  • 変更前にスナップショットや AD のバックアップ(システム状態バックアップ)を取得する。

 

 

7. 障害が発生した場合の初動対応

  • 影響範囲の切り分け(オンプレのみかクラウドも含むか)
  • AD の変更履歴(イベントログや監査ログ)の確認
  • バックアップからの復旧検討
  • 対応が困難な場合は、社内で Exchange に強いエンジニアをアサインし、最悪再構築を視野に入れる

 

 

it-bibouroku.hateblo.jp

 

it-bibouroku.hateblo.jp