Exchange Management Pack の構成に関する最も一般的な 3 つの問題

公開日: 2005年9月7日

Bill Grauer、Judy MacCallum、Jon Runyon

Exchange 2003 Management Pack を使用すると、Microsoft® Exchange 2003 のパフォーマンス、可用性、およびセキュリティを監視し、サーバーの可用性に直接影響するようなイベントについて警告を受けることができます。このとき、アクションの必要がないイベントはフィルタ処理によって除外できます。 Exchange Management Pack をインポートすると、環境内で Exchange を実行しているサーバーの監視が開始されます。 ただし、一部のスクリプトは構成を必要とします。 構成中には、トラブルシューティングの方法がわからないエラーが発生することがあります。 この文書では、マイクロソフトのお客様から解決についてのお問い合わせがある、構成に関する最も一般的な 3 つの問題について説明します。 それらの問題について説明する前に、Exchange を実行するサーバーの監視がどのように準備されているかを再確認します。

トピック

  サーバーでの監視の準備
  問題 1: MOM での 9986 イベントの不足
  問題 2: MAPI ログオン検証スクリプト エラー
  問題 3: Outlook Web Access の監視
  詳細情報

サーバーでの監視の準備

Exchange Management Pack の展開時には、構成の大部分が Microsoft Operations Manager (MOM) によって行われます。環境内で Exchange を実行しているサーバーが識別され、管理パックに含まれているルールがこれらのサーバーにプッシュされます。 これらのルールの一部は、サーバーの現在の構成に特定の属性が含まれているかどうかを確認し、さらに必要に応じて、サーバーを監視できるように準備するための変更を行う他のルールを呼び出します。 これらのルールの実行が開始されると、プロセスが進行中であることを示すイベントが MOM 管理者コンソールに表示されます。 最終的に、MOM が開始した構成作業を完了するために必要な手順を実行するよう指示する、その他のイベントが表示されます。

この時点で、Exchange Management Pack 構成ウィザードを実行すると、メールボックスの可用性、メール フロー、サービスなどの Exchange 機能を完全に監視するために MOM が必要とする、最終的な構成変更を行うことができます。 残念ながら、MOM が実行していた準備作業でエラーが発生したために、このウィザードを実行できない場合もあります。

問題 1: MOM での 9986 イベントの不足

Exchange Management Pack に関してたびたび問い合わせのある問題の 1 つは、Exchange を実行しているサーバーの、監視のための構成を完了することができないというものです。 この状況は、通常ならば管理パックが展開されるときにバックグラウンドで発行されるデータが不足しているために発生することがあります。 この状況がなぜ発生し得るのか、および発生した場合に何を調べればよいかについて説明します。

構成ウィザードで、以下のエラーが表示される場合があります。

Error: Cannot configure the mailbox access account on computer <servername>. This configuration can only be made after the Exchange MOM event 9986 is registered by MOM.

この 9986 イベントについて説明し、さらにこのイベントが起こり得るタイミングと、このイベントが確認されない場合がある理由について説明します。 バックエンド Exchange サーバー上で実行される最初のルールの 1 つは、メールボックスの可用性テストです。 このルールに関連付けられているスクリプトは、テストを可能にするレジストリ データがあるかどうかを調べます。 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ExMPLS キーに、ドメイン アカウント (Exchange を実行する各サーバー上のメールボックスの監視にアクセスするためのもの) の暗号化された資格情報が格納されています。 MOM はこれらの資格情報を使用してログオン中にアカウントの偽装を行うため、このメールボックス アクセス アカウント (MAA) はテスト メールボックスへログオンするためのアクセス許可を持っている必要があります。 レジストリ データが不足している場合、このルールによって、不足しているキー (資格情報を格納するために使用される) の発行を開始する別のルールをトリガするイベントが生成されます。

このキーを発行するには、Exchange サーバーに、発行ルールと連動するための "ヘルパー" 分散 COM (DCOM) オブジェクトがインストールされている必要があります。 MAA 資格情報を格納するレジストリ キーの発行を行う DCOM オブジェクトは、Exchange Server 2003 セットアップの最中にインストールされます。 ただし、以前のバージョンの Exchange では、MOM によって必要に応じてヘルパー オブジェクトがインストールされるか、または手動でこれらのオブジェクトをインストールします。 発行ルールは DCOM オブジェクトを呼び出して、サーバー上で必要なデータを発行します。

DCOM およびヘルパー オブジェクト関数が正しく動作した場合、ExMPLS レジストリ キーが作成されます。 データが発行されると 9986 イベントが生成され、サーバーに対して構成ウィザードを実行できるようになります。 次にウィザードは、暗号化された形式で MAA 資格情報をキーに書き込みます。 イベントの不足について心配する必要はありません。データが以前に正しく発行されていれば、9986 イベントを調べて生成するルールが毎日実行されます。

発行に失敗した場合、ルールはイベントを生成します。これらのイベントは、失敗について管理者に警告するために MOM 管理コンソールに表示されます。 失敗は、DCOM オブジェクトの不足や誤動作、または誤って構成された DDOM アクセス許可が原因で発生することがあります。 Exchange Management Pack の一部としてインストールされる DCOM オブジェクトの不足または誤動作は、トラブルシューティングと解決が困難な場合があります。 9986 イベントの生成でエラーが発生した場合は、Microsoft カスタマ サポートにお問い合わせください。 既定の DCOM アクセス許可設定の問題を調査して解決する方法の詳細については、マイクロソフト サポート技術情報の文書番号 274696 「Dcomcnfg.exe ツールによる既定のアクセス許可の変更が原因で、検索やドラッグ アンド ドロップなどの操作が機能しない」を参照してください。

問題 2: MAPI ログオン検証スクリプト エラー

9986 イベントを生成した後、構成ウィザードを実行して、Exchange を監視するように環境を構成できます。 構成ウィザードにより、メールボックス アクセス アカウント (MAA)、テスト (エージェント) アカウント、およびメールボックスが作成されます。 これらのアカウントは、Exchange サーバーを監視するため MAPI ログオン スクリプトおよび OWA ログオン スクリプトに対して使用されます。

メールボックス ストアがマウントされていて、Microsoft Office Outlook® ユーザーが正しくログオンできることを確認するために、Exchange Management Pack は MAPI ログオン検証スクリプトを実行します。 このスクリプトでは、テスト メールボックス (servernameMOM) のメールボックスに実際にログオンして開くために、MAA 資格情報が使用されます。 メール フロー検証スクリプトもまた、MAPI ログオンを使用してメッセージを送受信します。 Exchange システム マネージャで、[メールボックス ストア] フォルダの [ログオン] セクションを確認すると、Exchange を実行しているサーバーへのログオンを確認することができます。 テスト メールボックスが表示されます。このとき、ログオンに使用された Microsoft Windows® アカウントが MAA であることに注意してください。

MAPI ログオン スクリプト エラーは、最も頻繁に確認される問題のひとつです。 MAPI_E_NOT_FOUND、MAPI_E_LOGON_FAILED、および MAPI_E_NOT_INITIALIZED を含む、複数のさまざまなエラー メッセージが表示されることがあります。 これらのエラー メッセージの一般的な原因の詳細については、『MOM 2005 用 Exchange Server 管理パック ガイド』の「アクセス許可およびディレクトリ アクセスのエラー」を参照してください。

MAPI ログオン エラーが表示される場合は、このセクションに記載されているトラブルシューティング手順をすべて実行してください。これらの問題には複数の原因がある可能性があり、1 つを解決することで潜在的な問題が表に出てくることがあるためです。 MAPI エラーの詳細については、マイクロソフト サポート技術情報の文書番号 238119 「[INFO] 拡張 MAPI の数値結果コード一覧」 を参照してください。

また、MAA が、MAPI ログオン テストに使用されるメールボックスに対してフル メールボックス アクセス権を持っていることを確認する必要があります。 メールボックス アクセス アカウントとして Outlook を開くと、MAA がアクセス許可を持っているかどうかを確認できます。 次に、[ファイル] メニューの [開く] をポイントし、[ほかのユーザーのフォルダ] をクリックして、テスト メールボックスを選択します。 これにより、テスト アカウントの受信トレイを表示できます。 メールボックスを開くことができない場合は、Active Directory ユーザーとコンピュータを開き、テスト メールボックスのプロパティを確認します。 [Exchange の詳細設定] をクリックし、[メールボックスの権利] をクリックします。 MAA が一覧に表示されている必要があります。また、フル メールボックス アクセス権、メールボックス格納域の削除、および読み取りの各アクセス許可が与えられている必要があります。

それでもテスト メールボックスを開くことができない場合は、MOM が使用するメールボックス (MAA およびテスト メールボックス) がどちらも非表示になっていないことを確認します。 アカウントがグローバル アドレス一覧 (GAL) で非表示になっていると、MAPI ログオン スクリプトまたはメール フロー検証スクリプトはアカウントを使用できません。 アカウントが非表示になっていないのに Outlook にまだログオンできない場合は、アカウントがどのように作成されたかを確認すると役に立つことがあります。 構成ウィザードの使用、アカウントの手動作成、サード パーティの準備用製品を使用したアカウント作成といったアカウントの作成方法を確認すると、Outlook にログオンできない理由についてのヒントが見つかる場合があります。

別のテストとして、メールボックス アクセス アカウントのログオン資格情報を使用して、Exchange を実行しているサーバーの Windows にログオンします。 Exchange システム マネージャを開き、[管理グループ]、[サーバー] を展開し、左側で [メールボックス] を選択できるようになるまで展開を続けます。 右側にメールボックスの一覧が表示されたかどうかを確認してください。 表示されない場合は、メールボックス アクセス アカウントが [View information store status] を拒否されている可能性があります。 以下の ADSI Edit 手順を実行すると、サーバーのプロパティを表示することができます。 [セキュリティ] タブをクリックします (以下の手順 10. を参照)。 メールボックス アクセス アカウントを選択し、アクセス許可の一覧を下にスクロールします。 [View information store status] が [許可] を継承していることを確認します。 [拒否] を継承している場合は、CN=Servers、CN=yourAdministrativeGroup、および CN=Administrative Groups のプロパティを調べて [拒否] を探します。

以下は、明示的な [拒否] があるかどうかを調べるための ADSI Edit での手順です。

1. ADSI Edit を開きます。

2. 左側のペインで、[コンソール ルート] の [ADSI Edit] を右クリックします。

3. [Connect to] を選択します。

4. [Connection Settings] ウインドウの [Connection Point] で [Select a well known Naming Context] を選択し、ドロップダウン メニューで [Configuration] を選択します。次に [OK] をクリックします。

5. [コンソール ルート] ウィンドウで、[Configuration] の横にあるプラス記号を展開します。

6. [CN=Configuration, DC=] の横にあるプラス記号を展開します。

7. [CN=Services] を展開します。

8. [CN=Microsoft Exchange] を展開します。

9. [CN=<組織名>] を選択し、[プロパティ] をクリックします。

10. [セキュリティ] タブをクリックします。

11. [Mailbox Access account] を探し、[送信者] または [受信者] アクセス許可が [拒否] になっていないことを確認します。

ADSI Edit 内で、[送信者] および [受信者] が管理グループ レベルまたは Exchange サーバー上で拒否されていないことを確認します。

Active Directory® ディレクトリ サービスの問題が原因で、MAPI ログオン検証スクリプトが失敗することがあります。 MAPI ログオンは、ドメイン コントローラにアクセスできない場合、またはドメイン コントローラが迅速に応答しない場合は失敗します。 Exchange System Attendant サービスが開始していない場合は開始します。 エージェント メールボックスの構成を確認し、構成内のエラーをすべて修正します。 ドメイン内のドメイン コントローラにアクセスできること、およびユーザーが Outlook を使用してログオンできることを確認します。

Exchange を実行しているサーバーでログ出力を有効にして、問題のトラブルシューティングに役立てることもできます。 Exchange を実行しているサーバーで、以下のレジストリ キーを追加し (種類は DWORD)、値を 1 に設定します。

\\HKLM\Software\Microsoft\Exchange MOM\DebugLS

  注 :

ログ出力をオフにするときは、値を 0 に設定してください。

Exchange を実行しているサーバーで MOM サービスを停止し、その後再開します。 メールボックス アクセス アカウントに、%systemdrive% へのフル アクセス権を与えるようにします。そうしないと、ExMPLS_LOG.txt には有益な内容は一切ログ出力されません。アクセス権は後で必ず削除してください。

MAPI ログオン検証スクリプトが実行されるまで待ち (一晩待ちます)、%systemdrive% にある ExMPLS_LOG.txt ファイルを探します。 このログ ファイルは多くの場合、MAPI ログオンの問題のトラブルシューティングに役立ちます。

これらの手順を実行した後も MAPI ログオンの問題が解決されない場合は、以降のトラブルシューティングについて Microsoft Customer Service and Support (CSS) に問い合わせてください。

問題 3: Outlook Web Access の監視

お客様が時折遭遇するもう 1 つの問題は、Microsoft® Office Outlook® Web Access 2003 および Microsoft Outlook® Mobile Access のログオン検証スクリプトの問題です。 Exchange Management Pack では、可用性と状態の監視ルール グループに、総合ログオン テストを網羅する複数のルール グループが用意されています。 これらのルール グループは、Outlook Web Access、Outlook Mobile Access、Exchange ActiveSync などのモバイル テクノロジのいずれかを使用して、メールボックス ログオンをシミュレートします。 総合ログオン プロセスの複雑さにより、Internet Explorer を介して Outlook Web Access にログオンすることが実際に可能な場合があるにもかかわらず、ログオンの失敗を示すエラーが MOM で報告されることがあります。 このカテゴリに分類され、頻繁に確認されるエラーの 1 つに次のものがあります。

説明 :

OWA Logon Failed.

URL:undefined

Cannot measure OWA availability. Unexpected error.

No Exchange virtual servers and virtual directory (SSL enabled) can be found on this server to form a valid url. Try providing the url in the custom urls registry key (see Configuration guide for detail)

一見したところ、ログオンが Exchange 仮想サーバーを見つけることができなかったように見えます。 ログオンに失敗したのはこのためです。 しかし、Exchange 仮想サーバーがあることはわかっています。 また、Outlook Web Access を毎日使用して、外出中にメールをチェックしています。 では、このエラーは実際には何を示しているのでしょう。 上のエラーから読み取ることができるわずかなヒントは、返される URL が未定義であることです。 何が起こっているかを正しく理解するために、Outlook Web Access の総合ログオン プロセスのしくみについて説明します。

Outlook Web Access ログオン検証スクリプトがプロセスを開始します。 スクリプトには多くのタスクが含まれますが、主な役割は次のとおりです。

• objOwa に返される OWAAvailability オートメーション オブジェクトへの参照を有効にします。

• 次のレジストリ キーを読み取り、CustomURL および BEAccount 文字列の値を取得します。 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Exchange MOM\FEMonitoring\<FEServerName>

• メールボックス名および見つかった customURL 値を objOwa.OWALogon に渡します。

• MOM オペレータ コンソールで結果 (成功または失敗) をログ出力します。

OWALogon スクリプト関数は、ログオン先の BEMailbox、タイムアウト値、および URL の 3 つのパラメータを受け取ります。 この関数は、レジストリで見つかった customURL の数に応じて、複数回呼び出すことができます。 最初の呼び出しは常に NULL URL 値を使用して行われ、最終的に https://localhost がテストされます。以降の呼び出しはループ内で行われ、customURL がテストされます。 NULL URL を使用する最初の呼び出しに注目します。

OWALogon スクリプト関数は、受け取った引数を、単調な作業を自動的に行うオートメーション オブジェクト objOwa.OWALogon に渡します。 3 つの引数のうち一部が渡されなかったので (URL は NULL のままです)、objOwa.OWALogon が最初に実行する必要があるのは、テストを行うための URL の構築です。 このメソッド GetExchangeURL は、指定されたメールボックスの URL を返します。 ただし、GetExchangeURL が渡されたメールボックスの URL を判断できない場合は、NULL が返され、予期しないエラーがログ出力されます。

これでなぜエラーがログ出力されるかがわかりました。これが、URL:undefined 行がわずかなヒントになる理由です。 エラーが暗示するように、URL が何であるかを判断できなかったために失敗しました。 ここで、GetExchangeURL について解明する必要があります。

このコードを最初に確認したとき、開発者がこのメソッドに多くの作業を含めていることに非常に驚きました。 実際のところ、必要なのは https://localhost を返すことだけではないでしょうか。 確かに一概には言えません。 複数の Exchange 仮想ディレクトリまたはサーバーがあり、それぞれが独自の URL へ発行されるとしたらどうでしょうか (ホスティングを考えてください)。 正しい URL をテストしていることを確認するために、メールボックスが属する仮想サーバーを知る必要があります。 したがって、仮説を立てることはできません。テスト メールボックス用の正しい URL を構築できる必要があります。 ここで GetExchangeURL プロセス全体を詳細に説明する余裕はありませんので、主な手順について簡単に説明します。

• テスト メールボックスのプライマリ SMTP アドレスを取得する   これは、samAccountName を使用した、テスト メールボックスの簡単な LDAP (Lightweight Directory Access Protocol) 検索です。 次に、proxyaddress 属性が読み取られて解析され、SMTP で始まるアドレスを検索します (大文字に注意してください。プライマリ アドレス以外は小文字です)。 次に、この値がドメイン名をプルするために解析されます。 この手順をテストするには、以下の LDAP 検索を実行し、テスト メールボックスが返されることを確認します。

  (&(objectClass=user)(objectCategory=person)(samAccountName=testmailbox))

• 仮想ディレクトリを検索する   さらに LDAP 検索を行います。 極めて汎用的であり特に興味深いこともないため、詳しい説明は省きます。 結局は、フロントエンド サーバー上のすべての HTTP 仮想サーバーに対するクエリです。

  (&(objectCategory=msExchProtocolCfgHTTPVirtualDirectory)(folderPathname=MBX))

• 仮想ディレクトリ SMTP ドメインを調べる   仮想サーバーに msExchDefaultDomain 属性が存在するかどうかを調べ、設定されているかどうかを確認します (既定では設定されていません)。 設定されている場合は、メールボックスのプライマリまたは非プライマリ SMTP ドメインと一致するかどうかを確認します。 msExchDefaultDomain が設定されていない場合は、メールボックスのプライマリ SMTP アドレスが既定の受信者ポリシーのプライマリ SMTP ドメインと一致するかどうかを確認します。 たとえば、テスト メールボックスがカスタム ポリシーによって @it.contoso.com を使用してスタンプされているのに、既定の受信者ポリシーが @contoso.com をスタンプするように構成されている場合は、失敗します。

    重要 :

  この状況は、Microsoft CSS で確認された GetExchangeURL が NULL を返す場合の最も一般的な原因です。

• 仮想ディレクトリで SSL が有効になっていることを確認する   IIS://localhost/W3SVC/1/root/Exchange/AccessSSLFlags メタベース プロパティが存在するかどうかを調べます。 この値は、Metabase Explorer と呼ばれるインターネット インフォメーション サービス (IIS) Resource Kit Tool を使用して調べることができます。 IIS Resource Kit に含まれるこのツールおよびその他のツールの詳細については、マイクロソフト サポート技術情報の文書番号 840671 「IIS 6.0 Resource Kit Tools について」 を参照してください。 AccessSSLFlags プロパティの詳細については、『IIS 6.0 Operations Guide』の「IIS 6.0 Reference」にある 「AccessSSLFlags Metabase Property (IIS 6.0)」 (英語) を参照してください。

• secureBindings の値を調べる   IIS://localhost/W3SVC/1/secureBindings メタベース プロパティを取得して解析します。 secureBindings プロパティが :<ポート番号> (:443) で始まっている場合、仮想サーバーは "未使用の IP アドレスすべて" に設定されるため、URL は https://localhost に設定されます。 プロパティが “:” で始まっていない場合は、このポートに割り当てられている IP アドレスを解析します。 次に、この IP アドレスは、Win32_NetworkAdapterConfiguration への WMI 呼び出しを使用して検証され、返される IPAddress プロパティは secureBindings プロパティで見つかった IP アドレスと比較されます。 一致が見つかった場合は、URL を https://ipaddress に設定します。 一致が見つからなかった場合は、NULL が返されます。 ここでも、Metabase Explorer を使用してプロパティの設定内容を確認できます。 IP アドレスで始まっている場合は、WBEMTest を使用して Win32_NetworkAdapterConfiguration クラスに対してクエリを実行し、IPAddress プロパティを調べることができます。 secureBindings プロパティの詳細については、『IIS 6.0 Operations Guide』の「IIS 6.0 Reference」にある「SecureBindings Metabase Property (IIS 6.0)」(英語) を参照してください。 WBEMTest の使用方法の詳細については、『Scripting Eye for the GUI Guy』(英語) を参照してください。

上の内容を調べた後もまだ GetExchangeURL が NULL を返した理由を判断できない場合に備え、Microsoft CSS では、この問題のトラブルシューティングに非常に役立つ OWACheck というツールを用意しています。 このツールについて、およびここに記載されていないトラブルシューティング支援の情報については、CSS にお問い合わせください。

詳細情報

詳細については、以下のリソースを参照してください。

• Exchange Management Pack Guide for MOM 2005 (英語)

• Managing Exchange 2003 With MOM 2005 (Part 3) (英語)

• Internet Information Services (IIS) 6.0 Resource Kit Tools (英語)

Bill Grauer - テクニカル リード Microsoft Exchange Judy MacCallum - サポート エンジニア Microsoft Exchange Jon Runyon - テクニカル リード Microsoft Exchange