Exchange Server 2003 管理パックを展開する

[アーティクル]
10/25/2013

Exchange 管理パックには、ユーザーの構成タスクを支援するための構成ウィザードが含まれています。構成ウィザードは、Microsoft® Exchange Server 2003 を実行している個別のサーバーを構成するための便利な方法を提供し、Microsoft Operations Manager (MOM) 2005 を使用してこれらのサーバーを円滑に操作できるようにします。このウィザードでは構成ファイル (Configuration.xml) が生成され、これを各自の監視ソリューションに合わせて編集し、ExchangeMPConfig.exe コマンドラインツールを使用して適用できます。

新規インストールまたはアップグレードを開始する前に、既存の構成をドキュメント化しておくことをお勧めします。Exchange 2000 管理パックからのアップグレードの場合は特にそうです。新規インストールとアップグレードの両方に関する付加的な説明は、このセクションの後半にあります。

Exchange 管理パックを展開するには、次の内容を熟知している必要があります。

Exchange 管理パックのインストール方法 Exchange 管理パックは、新規の Exchange 2003 環境と、Exchange 2000 からのアップグレード環境のどちらにもインストールできます。また、Exchange 2000 管理パックを Exchange 管理パックにアップグレードすることもできます。これら両方の種類のインストールの詳細についてよく理解していると、管理パックを正しく展開するのに役立ちます。
Exchange 管理パックの構成方法 展開に使用する構成ファイルは、テキストエディタやコマンドラインインターフェイスを使用して手動で編集できます。コマンドラインツールは、複雑なシナリオやトラブルシューティングを行う場合に役立ちます。

Exchange 管理パックの展開を準備する

Exchange 管理パックを展開する前に、組織の監視要件および Exchange 組織のトポロジについて十分に評価する必要があります。この計画フェーズを通して、監視の目的を明確にし、パフォーマンス予想について理解し、エスカレーション手順を定義して、Exchange 管理パックの展開を最適化できます。

展開を準備するには、次の手順を実行する必要があります。

Exchange 管理パックによって生成されるアラートの受信者を特定する。
監視元および監視先のサーバーのインストールと構成に関する展開計画を作成する。

注 :
ほとんどの環境は、Exchange 管理パックの既定の監視設定が組織の要件に一致しているものとして構成されます。ただし、環境の監視について要件分析を実行する場合もあります。この分析には、パフォーマンスベースラインの作成や、MOM エージェントが Exchange サーバー上で実行するルールのカスタムしきい値の決定などが含まれます。パフォーマンスベースラインの作成方法の詳細については、Exchange Server 2003 パフォーマンスとスケーラビリティガイドについてのページ (https://go.microsoft.com/fwlink/?linkid=47576) を参照してください (このサイトは英語の場合があります)。

ほとんどの環境は、Exchange 管理パックの既定の監視設定が組織の要件に一致しているものとして構成されます。ただし、環境の監視について要件分析を実行する場合もあります。この分析には、パフォーマンスベースラインの作成や、MOM エージェントが Exchange サーバー上で実行するルールのカスタムしきい値の決定などが含まれます。パフォーマンスベースラインの作成方法の詳細については、Exchange Server 2003 パフォーマンスとスケーラビリティガイドについてのページ (https://go.microsoft.com/fwlink/?linkid=47576) を参照してください (このサイトは英語の場合があります)。

Exchange 管理パックによって生成されるアラートの受信者を特定する

監視対象とするメッセージング機能を特定し、ベースライン動作とパフォーマンスのしきい値を計算したら、アラート発生時に通知を受ける人と、通知の実行に使用する手段、アラートがトリガされる重要度のレベルについて特定する必要があります。

管理を簡略化するには、次の手順を実行する必要があります。

Exchange に問題が発生したときに通知を受ける管理者を特定する。
各管理者を MOM オペレータのセキュリティグループに追加する。
各管理者を正しい呼び出しおよびメッセージングスケジュールで構成する。
各管理者を Mail Administrators 通知先グループに追加する。

監視元および監視先のサーバーのインストールと構成に関する展開計画を作成する

計画の最終段階として、ユーザーの環境に Exchange 管理パックを展開する方法に関する計画を作成します。この計画では、次の項目について検討する必要があります。

どのサーバーを監視するか。
どのサーバーが監視するか。
だれがインストールを実行するか。
必要なアクセス許可は何か。
スケジュールをどうするか。
考えられるリスクと、その軽減方法は何か。

展開計画の作成方法については、Microsoft Solutions Framework のドキュメントについてのページ (https://go.microsoft.com/fwlink/?linkid=39530) を参照してください (このサイトは英語の場合があります)。

展開をセキュリティで保護する

Exchange 管理パックをインストールする前に、監視環境をセキュリティで保護する必要があります。Exchange 管理パックがこれらの問題についてのアラートを生成するので、これをインストールの前に実行する必要があります。Exchange 管理パックをインストールする前に環境がセキュリティで保護されていないと、これらのセキュリティ構成が確認されたときにアラートを受け取ることになります。

環境のセキュリティ保護には、次の手順が含まれます。

IIS Lockdown を実行する
SSL を構成する
メッセージ追跡ログの共有がロックされていることを確認する
SMTP ディレクトリが NTFS ファイルシステムパーティション上に存在することを確認する
SMTP が匿名での中継を行えないことを確認する

IIS Lockdown を実行する

IIS Lockdown ツールは、すべてのフロントエンドサーバーで実行する必要があります。このツールはセキュリティホールを探し出し、インターネットに接続するサーバーが悪意のある攻撃を受けないように構成するのに役立ちます。

IIS Lockdown ツールのインストールと実行の詳細については、マイクロソフトサポート技術情報の文書番号 325864「IIS Lockdown Wizard のインストール方法および使用方法」(https://go.microsoft.com/fwlink/?linkid=3052&kbid=325864) を参照してください。

Exchange 管理パックは、IIS Lockdown ツールが実行されたかどうかを検出し、セキュリティホールが見つかった場合にアラートを送信します。これは、通常はこのツールによってセキュリティで保護されます。

SSL を構成する

Exchange 2003 用フロントエンドサーバーの可用性監視機能を使用するには、フロントエンドサーバーで、すべての Microsoft Office Outlook® Web Access、Outlook Mobile Access、Exchange ActiveSync® の仮想ディレクトリに対して SSL が構成されている必要があります。SSL を構成するには、フロントエンドサーバー上で次のような高度な手順を実行します。

証明書を設定します。
信頼されているルートに Certificate Server を追加します。
Outlook Web Access、Outlook Mobile Access、Exchange ActiveSync の Web サイトで、[SSL を要求] を有効にします。
フォームベースの認証を有効にします。

SSL の構成の詳細については、Exchange Server 2003 および Exchange 2000 Server のフロントエンドおよびバックエンドトポロジのガイドについてのページ (https://go.microsoft.com/fwlink/?linkid=34216) を参照してください (このサイトは英語の場合があります)。

メッセージ追跡ログの共有がロックされていることを確認する

メッセージ追跡が有効になっている場合、SMTP によって処理されるメッセージはすべて、各 Exchange サーバーに存在するメッセージ追跡ログファイルに記録されます。既定では、メッセージ追跡ログファイルの保存先は c:\program files\exchsrvr\サーバー名.log となります。このフォルダは、管理者がどの Exchange システムマネージャコンソールからでも情報を参照できるように共有されています。Everyone グループにアクセス許可が明示的に付与されることのないように、この共有上でアクセス許可を構成する必要があります。Everyone グループにメッセージ追跡ログの共有に対するアクセス許可が付与されている場合は、このグループを削除する必要があります。Exchange 管理パックはこの構成を検出し、Everyone グループが共有上で識別された場合にアラートを送信します。

SMTP ディレクトリが NTFS パーティション上に存在することを確認する

SMTP メッセージは常にセキュリティで保護されているわけではないため、この内容を NTFS パーティションに保存することで、保護に役立てる必要があります。ディレクトリが NTFS パーティション上に存在することは、Windows エクスプローラで SMTP ディレクトリを検索して、そのプロパティにアクセスすることで確認できます。[全般] タブに、使用されているファイルシステムが表示されます。

SMTP ディレクトリが NTFS パーティション上に存在しない場合、SMTP ディレクトリを移動するか、NTFS を使用するようにパーティションを構成する必要があります。

SMTP ディレクトリを移動する場合は、マイクロソフトサポート技術情報の文書番号 318230「Exchange 2000 SMTP Mailroot ディレクトリの場所を変更する方法」(https://go.microsoft.com/fwlink/?linkid=3052&kbid=318230) を参照してください。

NTFS を使用するようにパーティションを構成する場合は、Windows Server™ 2003 のヘルプを参照してください。

Exchange 管理パックはこの構成を検出し、SMTP ディレクトが NTFS パーティション上に存在しない場合はアラートを送信します。

SMTP が匿名での中継を行えないことを確認する

SMTP 仮想サーバーは、既定では認証されたユーザーの発信したメッセージのみを中継するように構成されています。

これが変更されていないことを確認するには、次の操作を行います。

Exchange システムマネージャを起動して、メールの中継をやめるサーバーオブジェクトを検索します。
左のウィンドウのサーバーオブジェクトの下で、[プロトコル]、[SMTP] の順に展開します。
左のウィンドウで、メールの中継をやめる SMTP 仮想サーバーを右クリックし、[プロパティ] をクリックします。
[プロパティ] ダイアログボックスで [アクセス] タブをクリックし、[中継] をクリックします。
[中継の制限] ダイアログボックスで、次の項目が当てはまることを確認します。
- [以下のリストに含まれるコンピュータのみ] が選択されており、リストボックスが空である。
- [上のコンピュータの一覧に関係なく、正しく認証されたすべてのコンピュータが、この仮想サーバーを中継に使用する] チェックボックスがオンになっている。
何も変更しない場合は、[キャンセル] をクリックします。

Exchange 管理パックはこの構成を検出し、匿名の中継を許可するように SMTP サーバーが構成されている場合は、アラートを送信します。

Share via