オプションの構成

  • [アーティクル]

トピックの最終更新日: 2016-11-28

Microsoft Exchange Server 2010 監視管理パックは、Microsoft の多様な環境で 2 年以上展開されてきました。この経験が、管理パックの大幅な改善につながっています。また、Exchange Server 2010 の監視機能も全体的に向上しています。

ほとんどの Exchange の設定において、監視管理パックは既定の設定で効率的に動作します。特定の環境で細かい調整が必要な場合もありますが、通常 Exchange 2010 監視管理パックの検出プロセスは、Exchange 組織内のさまざまなサーバー上に正しいモニターを読み込みます。たとえば、パフォーマンスのしきい値のルールは拡張性のある計算に基づいており、固定の数値のしきい値ではありません。

Exchange 2010 監視管理パックには、管理パックが小規模な展開から大規模なデータセンター環境までスケール変更できるよう設定されている、多くの割合およびパーセンタイルのカウンターがあります。

代理トランザクション テストのテスト メールボックスの作成

Exchange 2010 監視管理パックを実行して、Exchange 組織内の監視対象のオブジェクトのパフォーマンスを測定できます。Exchange 2010 監視管理パックは Test-OwaConnectivityTest-ActiveSyncConnectivity、および Test-WebServicesConnectivity コマンドレットを使用して、クライアント アクセス サーバーからメールボックス サーバーへの Microsoft Office Outlook Web App、Exchange ActiveSync、および Exchange Web サービスの接続をテストします。これらのコマンドレットを使用するには、テスト対象の各 Active Directory サイトでテスト用メールボックスを作成する必要があります。代理トランザクションの詳細については、System Center Operations Manager 2007 R2 ドキュメントの「代理トランザクションを使用した監視」を参照してください。

[!注意]
1 つまたは複数のメールボックス サーバーにテスト メールボックスを作成しないと、管理パックは次の警告を返します。「テスト メールボックスが初期化されていません。new-TestCasConnectivityUser.ps1 を実行してテスト メールボックスが作成されていることを確認してください」

次の手順を実行して、Outlook Web App、Exchange ActiveSync、および Exchange Web サービスの接続を監視するためのテスト メールボックスを作成します。

この手順で、PowerShell を使用して New-TestCasConnectivityUser.ps1 スクリプトを実行することで、Outlook Web App、Exchange ActiveSync、および Exchange Web サービスの接続を監視するためのテスト メールボックスを作成します。

  1. Exchange 管理シェルを開きます。

  2. シェルで次のコマンドを実行して、ディレクトリを C:\ Program Files\Microsoft\Exchange Server\V14\Scripts フォルダーに変更します。

    Set-Location C:\Program Files\Microsoft\Exchange Server\V14\Scripts

  3. 次のコマンドを使用して、test-user スクリプトを実行します。

    New-TestCasConnectivityUser.ps1

  4. シェルで画面に表示されるインストール手順に従い、テスト メールボックスを作成します。テスト ユーザーの作成用に、セキュリティで保護された一時的なパスワードの入力を求められます。テスト ユーザーを作成するメールボックス サーバーの指定を求められます。

  5. テスト対象の各 Active Directory サイトの Exchange 2010 メールボックス サーバーで、このプロセスを繰り返します。

代理トランザクション テスト用のテスト メールボックスの作成 (分割アクセス許可モデルでの運用時)

  1. ドメイン管理者資格情報を持つアカウントを使用して、Exchange Trusted Subsystem を Exchange Windows Permissions セキュリティ グループのメンバーとして追加します。

  2. ドメイン管理者資格情報を持つアカウントを使用して、代理トランザクション メールボックスを含む組織単位を作成します。

  3. ドメイン管理者資格情報を持つアカウントを使用して、組織単位に必要なアクセス許可を Exchange Windows Permissions セキュリティ グループに付与します。そのためには、以下の手順を実行します。

    1. ローカル PowerShell セッションを開きます。

    2. Exchange 2010 PSS スナップインを追加するには、次の PowerShell コマンドレットを入力し、Enter キーを押します。add-pssnapin Microsoft.exchange.management.powershell.E2010

    3. 次のスクリプトをテキストファイルにコピーし、そのファイルを perms.ps1 という名前で保存します。

      Param([string] $OUDN)
if ($OUDN -eq "") {"Usage: perms.ps1 <OU distinguished name>"; return}

Add-ADPermission $OUDN -user "Exchange Windows Permissions" -Properties "WWW-Home-Page","Managed-By","SAM-Account-Name","Member","User-Account-Control","Pwd-Last-Set","Country-Code" -AccessRights "WriteProperty" -InheritanceType All

Add-ADPermission $OUDN -user "Exchange Windows Permissions" -AccessRights "ExtendedRight" -ExtendedRights "User-Change-Password" -InheritedObjectType User

Add-ADPermission $OUDN -user "Exchange Windows Permissions" -AccessRights "ExtendedRight" -ExtendedRights "User-Force-Change-Password" -InheritanceType All -InheritedObjectType User

Add-ADPermission $OUDN -user "Exchange Windows Permissions" -AccessRights 'WriteDacl, DeleteTree' -InheritedObjectType User  -InheritanceType All

Add-ADPermission $OUDN -user "Exchange Windows Permissions" -AccessRights 'CreateChild', 'DeleteChild' -ChildObjectTypes User -InheritanceType All

    4. 次の PowerShell コマンドレットを入力し、Enter キーを押します。perms.ps1 “ou=<Organizational_Unit_Name>,dc=<Domain_Name>”。ここで、<Organizational_Unit_Name><Domain_Name> は、該当する値で置き換えます。

  4. Exchange 2010 サーバーを含む環境内の各ドメインについて、ステップ 2 から 3 を繰り返します。

  5. Exchange Organization Management 資格情報を持つアカウントを使用して、Exchange 2010 Remote Powershell を起動します。

    次のコマンドレットを入力し、Enter キーを押します。New-RoleGroup -Name "SCOM SynTran Mailbox Creators" -Roles "Mail Recipient Creation" -RecipientOrganizationalUnitScope "<FQDN_Of_Your_Domain>/<Organizational_Object_Name>"。ここで、<FQDN_Of_Your_Domain><Organizational_Object_Name> は、該当する値で置き換えます。

  6. 必要なメンバーを SCOM SynTran Mailbox Creators セキュリティ グループに追加します。

  7. Active Directory レプリケーションが完了するまで待ってください。

  8. 現在ステップ 6 でグループに追加したユーザーでログオンしている場合は、ログオフしてからログオンし直し、ユーザー オブジェクトのセキュリティ トークンをリセットします。

  9. PowerShell で、次のコマンドを入力し、Enter キーを押します。new-TestCasConnectivityUser –OU <Organizational_Unit>

相関エンジンの自動警告解決機能を無効にする

自動警告解決機能は、Exchange 2010 監視管理パックにより元の事項がすでに問題ではなくなったと判断されると、関係する警告を閉じます。この機能は相関エンジンにより提供され、既定では有効になっています。自動警告解決機能を使用すると、関連チケットがサポート チームによって解決される前に、問題の他のインスタンスに対して同じ警告が再度ログに記録されると、複数の警告がログに記録されることになります。

次に示す条件などが当てはまる場合には、この機能を無効にする必要がある場合があります。

  • チケットや別のサポート システムを使用しており、警告が自動的に解決されると適切に動作しない場合。

  • Operations Manager 2007 でコネクタを使用している場合。コネクタは Operations Manager が外部システムと通信できるカスタム サービスまたはプログラムです。たとえば、外部アプリケーションが Exchange 2010 監視管理パックの警告を追跡できるようにするコネクタを使用している場合は、この機能を無効にする必要があるかもしれません。

自動警告解決を無効にするには、次の手順を実行します。

  1. Microsoft Exchange 監視相関エンジン サービスをホストしているサーバーにログオンします。

  2. Microsoft.Exchange.Monitoring.CorrelationEngine.exe.config という名前の相関エンジン構成ファイルを探します。既定では、このファイルは C:\Program Files\Microsoft\Exchange Server\V14\Bin\ にあり、ここで C:\ は Exchange のインストール ディレクトリです。

  3. Microsoft.Exchange.Monitoring.CorrelationEngine.exe.config をメモ帳などのテキスト エディターで開きます。

  4. 構成ファイルで次の行を探します。

    <add key="AutoResolveAlerts" value="true" />

  5. <add key="AutoResolveAlerts" value="true" /><add key="AutoResolveAlerts" value="false" /> に変更します。

  6. Microsoft Exchange 監視相関エンジン サービスを再起動します。

代理トランザクション ルール用にイベント収集を有効にする

Exchange 2010 監視管理パックは、Test-MapiConnectivity、Test-OwaConnectivity、およびその他のコマンドの実行などの代理トランザクションを使用して、Exchange 組織の基本的な接続応答をスキャンしたり、メールボックスへのサインインなどの簡単な操作をテストしたりします。これらのテストが成功か失敗かによって、その出力結果を Exchange 環境の状態調査に役立てることができます。ただし、各タスクの出力がかなりの量となるため、イベント出力は既定では格納されません。各テストのイベント収集ルールを有効にすると、オペレーション コンソール内にこれらのテストが表示されます。代理トランザクションの詳細については、System Center Operations Manager 2007 R2 ドキュメントの「代理トランザクションを使用した監視」を参照してください。

[!注意]
これらの収集ルールを有効にする場合は、この追加データの格納に十分なディスク領域があることを確認してください。各タスクが実行されるたびに、4 ~ 12 個のイベント メッセージが作成されます。既定では、5 分ごとに実行されます。

代理トランザクション出力用のイベント収集ルールを有効にするには、次の手順を実行します。

  1. System Center Operations Manager 2007 で、[作成] をクリックします。

  2. [作成] ウィンドウで [管理パック オブジェクト] を展開し、[ルール] をクリックします。

  3. [ルール] ウィンドウで、[スコープの変更] をクリックします。

  4. [オブジェクトごとに管理パックのターゲットをスコープする] ダイアログ ボックスの [検索対象] ボックスに、「Exchange Server 2010」と入力します。

  5. [すべてのターゲットを表示] をクリックします。

  6. [すべて選択] が無効となっていない場合は、これをクリックします (すべての行が選択済みの場合にのみ無効となります)。

  7. [OK] をクリックして、ダイアログ ボックスを閉じます。

  8. ルールの読み込み後、コンソールの最上部近くにある [検索対象] ボックスに「スクリプト イベントの収集」と入力します。

  9. 有効にする各テスト タスクで、次の手順を実行します。

    1. ルールを右クリックし、[上書き] > [ルールの上書き] > [クラスのすべてのオブジェクト]<クラス名> の順に選択します。

    2. [優先] チェック ボックスをオンにします。

    3. 優先値を [True] に設定します。

    4. [OK] をクリックします。

    エージェントによって優先設定が取得され、イベントがビルトイン表示に表示されるまで、少し時間がかかります。

クライアント アクセス サーバー アレイで Kerberos 認証を使用する場合にオプション モニターを有効にする

組織がクライアント アクセス サーバー アレイで Kerberos 認証を使用している場合、代替サービス アカウント資格情報の共有パスワードを管理する必要があります。Exchange 2010 Service Pack 1 には、代替サービス アカウント資格情報 (ASA 資格情報) の配布および更新を自動化する管理スクリプトが含まれます。この管理スクリプトでは、スクリプトのスコープ内のすべてのクライアント アクセス サーバーが対象となります。このスクリプトの詳細については、「負荷分散されたクライアント アクセス サーバーの Kerberos 認証の構成」を参照してください。

RollAlternateServiceAccountPassword.ps1 スクリプトを使用して定期的なパスワードの保守を実行している場合、Exchange 2010 監視管理パックにはスクリプトが正しく実行されていることを確認するための 2 つのモニターが含まれます。次の 2 つのモニターは、スクリプトを使用して定期的なパスワードの保守を実行し、スクリプトをスケジュールされたタスクとして実行する場合にのみ使用できます。

  • CAS アレイの Kerberos 認証用の代替サービス アカウント パスワードをロールアウトする PowerShell スクリプトが失敗しました - RollAlternateServiceAccountPassword.ps1   このモニターは既定で有効です。スクリプトが失敗すると、このモニターの警告がログに記録されます。このモニターは、アプリケーション ログとサービス ログのエラー イベント ID を監視することで、スクリプトの失敗を検出します。

  • CAS アレイの Kerberos 認証 - Kerberos 認証の代替サービス アカウント資格情報の共有パスワードが 28 日間更新されておらず、古い可能性がある   このモニターは既定では有効ではありません。ほとんどの Exchange 展開では共有の ASA 資格情報を使用しないため、スケジュールされたタスクとして RollAlternateServiceAccountCredential.ps1 スクリプトを実行する必要がないからです。このモニターで過去 28 日間にスクリプトの正常な実行が検出されなかった場合、警告が出されます。警告が出て認証情報を確認することで、期限切れによる Kerberos 認証の停止を防ぐことができます。

    このモニターは、スケジュールされたタスクを実行しているコンピューター上のアプリケーション ログとサービス ログを監視することで、スクリプトが実行されていたかどうかを検出します。この警告はログに記録することができます。たとえば、スケジュールされたタスクの実行に使用されているユーザー名とパスワードを更新する必要がある場合などです。このモニターは、スケジュールされたタスクを実行している特定のクライアント アクセス サーバー コンピューターで有効にする必要があります。

    [!メモ] このモニターは内部機能であるため、ご利用の環境に合わせて変更することはできません。

    このモニターを有効にするには、次の操作を行います。

  1. System Center Operations Manager 2007 で、[作成] をクリックします。

  2. [作成] ウィンドウで [管理パック オブジェクト] を展開し、[モニター] をクリックします。

  3. ツール バーの [スコープ] をクリックします。

  4. [オブジェクトごとに管理パックのターゲットをスコープする] ダイアログ ボックスの [検索] ボックスに、「Outlook サービスの可用性」と入力します。

  5. [すべてのターゲットを表示] をクリックします。

  6. [すべて選択] が無効となっていない場合は、これをクリックします (すべての行が選択済みの場合にのみ無効となります)。

  7. [OK] をクリックして、ダイアログ ボックスを閉じます。

  8. ルールを読み込んだ後、[Outlook サービスの可用性] > [エンティティの正常性] > [可用性] の順にクリックします。

  9. [可用性][CAS アレイの Kerberos 認証 - Kerberos 認証の代替サービス アカウント資格情報の共有パスワードが 28 日間更新されておらず、古い可能性がある] のルールを右クリックし、[上書き] > [モニターの上書き] > [Outlook サービスの可用性の特定のオブジェクト] の順にクリックします。

  10. [オブジェクトの選択] ダイアログ ボックスで、RollAlternateServiceAccountPassword.ps1 スクリプトを実行しているサーバーが含まれるルールのインスタンスを選択し、[OK] をクリックします。

  11. [上書きのプロパティ] ダイアログ ボックスで、[優先] チェック ボックスをオンにします。

  12. [管理パック] で、目的の管理パックを選択します。

  13. 優先値を [True] に設定します。

  14. [OK] をクリックします。

エージェントによって優先設定が取得され、イベントがビルトイン表示に表示されるまで、少し時間がかかります。