Configurations facultatives

Dernière rubrique modifiée : 2016-11-28

Le pack d’administration d’analyse de MicrosoftExchange Server 2010 est déployé chez Microsoft depuis plus de deux ans dans de nombreux environnements. Ces déploiements nous ont permis d’apporter des améliorations notables au pack d’administration. Ils nous ont également permis d'améliorer les capacités d'analyse globale d'Exchange Server 2010.

Le pack d’administration d’analyse fonctionne efficacement dans la plupart des configurations Exchange avec les paramètres par défaut. Même si des ajustements peuvent être nécessaires dans certains environnements, le processus de détection du pack d’administration d’analyse d’Exchange 2010 charge généralement les analyses appropriées sur les divers serveurs d’une organisation Exchange. Par exemple, les règles de seuil de performance sont basées sur des calculs évolutifs et non sur des seuils fixes.

Le pack d’administration d’analyse d’Exchange 2010 est fourni avec divers compteurs de taux et de centiles spécialement conçus pour permettre au pack d’administration de passer de petits déploiements à des environnements de centres de données importants.

Créer des boîtes aux lettres de test pour des tests de transaction synthétique

Le pack d’administration d’analyse d’Exchange 2010 peut exécuter des transactions synthétiques, afin de vous aider à mesurer les performances des objets analysés dans votre organisation Exchange. Le pack d’administration d’analyse d’Exchange 2010 utilise les cmdlets Test-OwaConnectivity, Test-ActiveSyncConnectivity et Test-WebServicesConnectivity pour tester Microsoft Office Outlook Web App, Exchange ActiveSync ainsi que la connexion des services Web Exchange depuis les serveurs d’accès au client vers les serveurs de boîtes aux lettres. Ces cmdlets requièrent la création d’une boîte aux lettres de test sur chaque site Active Directory à tester. Pour plus d’informations sur les transactions synthétiques, voir Analyse à l’aide des transactions synthétiques dans la documentation de System Center Operations Manager 2007 R2.

Attention :
Si vous ne créez pas de boîte aux lettres de test sur un ou plusieurs serveurs de boîtes aux lettres, le pack d'administration renverra l'avertissement suivant : « La boîte aux lettres de test n’a pas été initialisée. Exécutez new-TestCasConnectivityUser.ps1 pour vérifier que la boîte aux lettres de test a été créée. »

Effectuez la procédure suivante afin de créer une boîte aux lettres de test pour Outlook Web App, Exchange ActiveSync et pour l’analyse de la connexion des services Web Exchange.

Dans cette procédure, vous créez des boîtes aux lettres de test pour Outlook Web App et Exchange ActiveSync, ainsi que des services Web Exchange afin de surveiller la connexion en utilisant PowerShell pour exécuter le script New-TestCasConnectivityUser.ps1.

1. Ouvrez l’environnement de ligne de commande Exchange Management Shell.

2. Dans l’environnement de ligne de commande, remplacez le répertoire par le dossier C:\ Program Files\Microsoft\Exchange Server\V14\Scripts en exécutant la commande suivante :

   Set-Location C:\Program Files\Microsoft\Exchange Server\V14\Scripts

3. Exécutez le script test-user à l’aide de la commande suivante :

   New-TestCasConnectivityUser.ps1

4. Suivez les instructions d’installation à l’écran dans l’environnement de ligne de commande afin de créer la boîte aux lettres de test. Vous serez invité à entrer un mot de passe temporaire sécurisé pour la création des utilisateurs de test. Vous serez aussi invité à spécifier le serveur de boîtes aux lettres sur lequel vous souhaitez créer l'utilisateur de test.

5. Répétez ce processus pour un serveur de boîtes aux lettres Exchange 2010 sur chaque site Active Directory à tester.

Créer des boîtes aux lettres de test des transactions synthétiques dans un modèle d’autorisations fractionnées

1. Utilisez un compte qui possède des informations d’identification d’administrateur de domaine pour ajouter Exchange Trusted Subsystem au groupe de sécurité Autorisations Windows Exchange.

2. Utilisez un compte qui possède des informations d’identification d’administrateur de domaine pour créer une unité d’organisation qui contiendra vos boîtes aux lettres de transactions synthétiques.

3. Utilisez un compte qui possède des informations d’identification d’administrateur de domaine pour accorder les autorisations nécessaires pour l’unité d’organisation au groupe de sécurité Autorisations Windows Exchange. Pour ce faire, procédez comme suit :

   1. Ouvrez une session PowerShell locale.

   2. Pour ajouter le composant logiciel enfichable Exchange 2010 PSS, entrez la cmdlet PowerShell suivante, puis appuyez sur Entrée : add-pssnapin Microsoft.exchange.management.powershell.E2010

   3. Copiez le script suivant dans un fichier texte et enregistrez le fichier sous le nom de perms.ps1.

      Param([string] $OUDN)
      if ($OUDN -eq "") {"Usage: perms.ps1 <OU distinguished name>"; return}
      
      Add-ADPermission $OUDN -user "Exchange Windows Permissions" -Properties "WWW-Home-Page","Managed-By","SAM-Account-Name","Member","User-Account-Control","Pwd-Last-Set","Country-Code" -AccessRights "WriteProperty" -InheritanceType All
      
      Add-ADPermission $OUDN -user "Exchange Windows Permissions" -AccessRights "ExtendedRight" -ExtendedRights "User-Change-Password" -InheritedObjectType User
      
      Add-ADPermission $OUDN -user "Exchange Windows Permissions" -AccessRights "ExtendedRight" -ExtendedRights "User-Force-Change-Password" -InheritanceType All -InheritedObjectType User
      
      Add-ADPermission $OUDN -user "Exchange Windows Permissions" -AccessRights 'WriteDacl, DeleteTree' -InheritedObjectType User  -InheritanceType All
      
      Add-ADPermission $OUDN -user "Exchange Windows Permissions" -AccessRights 'CreateChild', 'DeleteChild' -ChildObjectTypes User -InheritanceType All
      

   4. Entrez la cmdlet PowerShell suivante, puis appuyez sur Entrée : **perms.ps1 “ou=<Organizational_Unit_Name>,dc=<Domain_Name>”**où <nom_unité_d’organisation > et <nom_domaine > sont remplacés par les valeurs appropriées.

4. Répétez les étapes 2 à 3 pour chaque domaine de l’environnement qui contient des serveurs Exchange 2010.

5. Utilisez un compte qui possède des informations d’identification de la gestion d’organisation Exchange pour démarrer le PowerShell distant d’Exchange 2010.

   Entrez la cmdlet suivante, puis appuyez sur Entrée : **New-RoleGroup -Name "SCOM SynTran Mailbox Creators" -Roles "Mail Recipient Creation" -RecipientOrganizationalUnitScope "<FQDN_Of_Your_Domain>/<Organizational_Object_Name>"**où <FQDN_de_votre_domaine > et <nom_objet__de_l’organisation > sont remplacés par les valeurs appropriées.

6. Ajoutez les membres que vous souhaitez pour le groupe de sécurité Créateurs de boîte aux lettres SCOM SynTran.

7. Attendez la fin de la réplication Active Directory.

8. Déconnectez-vous, puis reconnectez-vous pour réinitialiser le jeton de sécurité de l’objet utilisateur si vous êtes actuellement connecté sur un utilisateur qui a été ajouté au groupe à l’étape 6.

9. Dans PowerShell, entrez la commande suivante, puis appuyez sur Entrée : new-TestCasConnectivityUser –OU <Organizational_Unit>

Désactiver la fonction de résolution d’alerte automatique dans le Moteur de corrélation

La fonctionnalité de résolution d’alerte automatique ferme les alertes associées lorsque le pack d’administration d’analyse d’Exchange 2010 détermine que le problème sous-jacent n’en est plus un. Cette fonction est fournie par le Moteur de corrélation et est activée par défaut. L'utilisation de la résolution d'alerte automatique peut entraîner la consignation d'alertes multiples si la même alerte est de nouveau consignée pour une autre instance du problème, avant que le ticket associé n'ait été résolu par les équipes de support. 

Vous pouvez aussi désactiver cette fonction dans les conditions suivantes, voire dans d’autres conditions :

• Si vous utilisez un système de tickets ou un autre système de support qui ne fonctionnerait pas correctement si les alertes étaient automatiquement résolues.

• Si vous utilisez un connecteur avec Operations Manager 2007. Un connecteur est un service ou un programme personnalisé qui permet à Operations Manager de communiquer avec des systèmes externes. Par exemple, vous pouvez désactiver cette fonctionnalité si vous utilisez un connecteur qui permet à une application externe d'effectuer un suivi des alertes du pack d'administration d'analyse d'Exchange 2010.

Pour désactiver la résolution d'alerte automatique, procédez comme suit :

1. Connectez-vous au serveur qui héberge le service Analyse du moteur de corrélation Microsoft Exchange.

2. Recherchez le fichier de configuration du Moteur de corrélation nommé Microsoft.Exchange.Monitoring.CorrelationEngine.exe.config. Par défaut, il se situe sous C:\Program Files\Microsoft\Exchange Server\V14\Bin\, où C:\ correspond au répertoire d’installation Exchange.

3. Ouvrez Microsoft.Exchange.Monitoring.CorrelationEngine.exe.config dans un éditeur de texte, tel que Notepad.

4. Recherchez la ligne suivante dans le fichier de configuration :

   <add key="AutoResolveAlerts" value="true" />
   

5. Remplacez <add key="AutoResolveAlerts" value="true" /> par <add key="AutoResolveAlerts" value="false" />

6. Redémarrez le service Analyse du moteur de corrélation Microsoft Exchange.

Activer la collecte des événements pour les règles de transactions synthétiques

Le pack d’administration d'analyse d’Exchange 2010 utilise les transactions synthétiques (comme l’exécution de Test-MapiConnectivity, Test-OwaConnectivity et d’autres commandes) afin d’analyser votre organisation Exchange pour obtenir des réponses de connexion de base et pour tester des opérations simples comme la connexion à une boîte aux lettres. Que ces tests réussissent ou échouent, leur résultat est utile pour analyser l’état de l’environnement Exchange. Toutefois, étant donné que chaque tâche génère une quantité importante de résultats, ces derniers ne sont pas stockés par défaut. Pour afficher ces tests dans la console Opérateur, vous devez activer les règles de collecte des événements pour chaque test respectif. Pour plus d’informations sur les transactions synthétiques, voir Analyse à l’aide des transactions synthétiques dans la documentation de System Center Operations Manager 2007 R2.

Attention :
Lorsque vous activez ces règles de collecte, assurez-vous que l’espace disque est suffisant pour contenir les données supplémentaires. Chaque tâche génère entre 4 et 12 messages d’événement lors de chaque exécution. Par défaut, chaque test s’exécute toutes les cinq minutes.

Pour activer les règles de collecte d'événements pour la sortie des transactions synthétiques :

1. Dans System Center Operations Manager 2007, cliquez sur Création.

2. Dans le volet Création, développez Objets du pack d’administration, puis cliquez sur Règles.

3. Dans le volet Règles, cliquez sur Modifier l’étendue.

4. Dans la boîte de dialogue Étendre les objets de pack d’administration par cible(s), dans la zone Rechercher, saisissez « Exchange Server 2010.»

5. Cliquez sur Afficher toutes les cibles.

6. Cliquez sur Sélectionner tout si cette option n’est pas désactivée (elle n’est désactivée que lorsque toutes les lignes sont déjà sélectionnées).

7. Cliquez sur OK pour fermer la boîte de dialogue.

8. Une fois que toutes les règles sont chargées, saisissez « Collecte de scripts d’événement » dans la zone Rechercher située en haut de la console.

9. Pour chaque tâche que vous souhaitez activer, effectuez les étapes suivantes :

   1. Cliquez avec le bouton droit sur la règle et sélectionnez Remplacements > Remplacer la règle > Pour tous les objets de la classe :<nom de la classe>.

   2. Activez la case à cocher Remplacer.

   3. Définissez la valeur de remplacement sur True.

   4. Cliquez sur OK.

   Attendez ensuite que les remplacements soient sélectionnés par les agents et que les événements apparaissent dans les vues intégrées. Cela prend un certain temps.

Activer un moniteur en option en cas d’utilisation de l’authentification Kerberos avec un groupe de serveurs d’accès au client

Si votre organisation utilise l’authentification Kerberos avec une baie de serveurs d’accès au client, vous devrez gérer le mot de passe de l’autre compte de service partagé. Exchange 2010 Service Pack 1 contient un script de gestion qui permet d’automatiser la distribution et la mise à jour des informations d’identification de l’autre compte de service (informations ASA) pour tous les serveurs d’accès au client couverts par le script. Pour plus d’informations sur ce script, voir Configuration de l’authentification Kerberos pour les serveurs d’accès au client avec équilibrage de charge.

Si vous utilisez le script RollAlternateServiceAccountPassword.ps1 pour mettre à jour régulièrement le mot de passe, le pack d’administration d’analyse d’Exchange 2010 comprend deux moniteurs vous permettant de vérifier que le script s’exécute correctement. Les deux moniteurs suivants ne sont utiles que si vous utilisez le script pour effectuer régulièrement la mise à jour du mot de passe et l’exécutez en tant que tâche planifiée.

• Échec du script powershell présentant le mot de passe de l’autre compte de service pour l’authentification Kerberos de la baie CAS - RollAlternateServiceAccountPassword.ps1   Ce moniteur est activé par défaut. L’alerte pour ce moniteur est consignée lorsque le script échoue. Ce moniteur détecte les échecs du script en recherchant les ID des événements d’échec dans les journaux des applications et des services.

• Authentification Kerberos de la baie CAS - le mot de passe de l’autre compte de service partagé pour l’authentification Kerberos n’a pas été changé depuis 28 jours ; il est peut-être périmé   Ce moniteur n’est pas activé par défaut, car la plupart des déploiements Exchange n’utilisent pas les informations d’un autre compte de service partagé et n’ont, par conséquent, pas besoin d’exécuter le script RollAlternateServiceAccountCredential.ps1 comme tâche planifiée. L’alerte de ce moniteur se déclenche si celui-ci ne détecte pas que le script a été exécuté avec succès au cours des 28 derniers jours. L’alerte vous rappelle de vérifier les informations d’identification pour vous assurer qu’elles ne risquent pas d’expirer ce qui entraînerait une interruption de l’authentification Kerberos.

  Ce moniteur détecte si le script est exécuté en surveillant les journaux des applications et des services sur l’ordinateur exécutant la tâche planifiée. Cette alerte peut être consignée, par exemple, lorsque le nom d’utilisateur et le mot de passe utilisés pour exécuter la tâche planifiée doivent être modifiés. Ce moniteur doit être activé pour le serveur d’accès au client qui exécute la tâche planifiée.

  Remarque :
  Ce moniteur est interne, et il ne peut être modifié pour les environnements client.

  Pour activer ce moniteur, procédez comme suit :

1. Dans System Center Operations Manager 2007, cliquez sur Création.

2. Dans le volet Création, développez Objets du pack d’administration, puis cliquez sur Moniteurs.

3. Dans la barre d’outils, cliquez sur Étendue.

4. Dans la boîte de dialogue Étendre les objets de pack d’administration par cible(s), dans la zone Rechercher, tapez « Disponibilité des services Outlook.»

5. Cliquez sur Afficher toutes les cibles.

6. Cliquez sur Sélectionner tout si cette option n’est pas désactivée (elle n’est désactivée que lorsque toutes les lignes sont déjà sélectionnées).

7. Cliquez sur OK pour fermer la boîte de dialogue.

8. Une fois que les règles sont chargées, cliquez sur Disponibilité des services Outlook > Intégrité de l’entité > Disponibilité.

9. Sous Disponibilité, cliquez avec le bouton droit sur la règle Authentification Kerberos de la baie CAS - le mot de passe de l’autre compte de service partagé pour l’authentification Kerberos n’a pas été changé depuis 28 jours ; il est peut-être périmé, puis cliquez sur Remplacements > Remplacer le moniteur > Pour un objet spécifique de type : Disponibilité des services Outlook.

10. Dans la boîte de dialogue Sélectionner l’objet, sélectionnez l’instance de la règle qui comprend le serveur sur lequel vous exécutez le script RollAlternateServiceAccountPassword.ps1, puis cliquez sur OK.

11. Dans la boîte de dialogue Propriétés du remplacement, activez la case à cocher Remplacer.

12. Sous Pack d’administration, sélectionnez le pack d’administration de destination.

13. Définissez la valeur de remplacement sur True.

14. Cliquez sur OK.

Attendez ensuite que les remplacements soient sélectionnés par les agents et que les événements apparaissent dans les vues intégrées. Cela prend un certain temps.