Exchange 管理包疑难解答

 

上一次修改主题: 2006-11-17

有几个常见问题和错误配置会导致 Exchange 管理包出现错误。本主题讨论您很有可能遇到的问题、这些问题的解决方案以及可以用于解决在具体环境中可能发生的其他问题的工具。

本指南不讨论灾难恢复。有关灾难恢复的信息,请参阅 Microsoft® Operations Manager (MOM) 2005 文档:http://go.microsoft.com/fwlink/?linkid=35627

这一节帮助您解决在运行 Exchange 管理包配置工具时可能发生的问题。

如果选择前端服务器作为邮箱访问帐户邮箱的主服务器,则会发生此警报。前端服务器不应用来存储邮箱。若要解决该问题,请将邮箱移动到后端服务器,或者禁用以下规则中的某一个,或两个都禁用:

  • Microsoft Exchange Server 2003\运行状况监视和性能阈值\服务器配置和安全监视\检查前端服务器上的邮箱
  • Microsoft Exchange Server 2003\运行状况监视和性能阈值\服务器配置和安全监视\驻留在前端服务器的邮箱

如果试图从网络映射驱动器运行配置工具,将发生以下错误:

错误:请求类型为 System.Security.Permissions.EnvironmentPermission, mscorlib, Version=1.0.5000.0, Culture=neutral, PublicKeyToken=b77a5c561934e089 的权限失败

此错误是 .NET Framework 中用于帮助保护计算机和网络的新安全限制引起的。Exchange 管理包配置工具必须安装在本地才能运行。

配置工具必须安装在属于拥有 FullTrust 权限的安全策略组的位置。虽然本地驱动器属于拥有 FullTrust 权限的“区域 – MyComputer”安全策略组,但网络共享和映射网络驱动器却属于拥有 LocalIntranet 权限的“区域 – Intranet”安全策略组,该组可能阻止配置应用程序运行。

通常,应当使用在 Exchange 服务器的资源域中定义的(而不是在用户域中定义的)邮箱访问帐户。默认情况下,配置向导将在您所监视的 Exchange 服务器所在的相同域中创建用于进行邮件流测试的邮箱和用户帐户。如果(例如)MOM 服务器和域用户帐户在父域中,而驻留测试邮箱的 Exchange 服务器在子域中,那么这会成为问题。

配置监视环境以支持此方案
  1. 使用 Active Directory 用户和计算机删除由配置向导创建的邮箱和用户帐户

  2. 在预定的域(例如,在此方案中的父域)中新建邮箱和用户帐户。每个想运行 MAPI 登录验证测试的数据库分别需要一个邮箱,并且邮箱的命名方法应当是 servernameMOM、servernameMOM01 等等,其中 servername 是所监视的 Exchange 服务器的名称。这些帐户的显示名和别名必须相同,否则自动名称解析功能将无法正确工作。

  3. 等待 Active Directory® 目录服务完成复制。这些帐户必须复制到配置向导所使用的全局编录服务器,以便让 MOM 能够识别它们。

  4. 运行配置向导,以验证向导可以正确识别为 MAPI 登录文本创建的帐户。

注意,配置向导以及执行 MAPI 登录验证测试的脚本都必须能够在查询全局编录服务器时找到新帐户,这很重要。域控制器之间会有复制延迟,需要在经过一些时间之后,系统才能将您创建的帐户复制到配置向导和脚本所使用的全局编录服务器。

配置向导正确配置邮箱访问帐户。如果修改了邮箱访问帐户配置,Exchange 管理包将无法执行几个测试。这一节描述由配置向导配置的设置。如果修改了这些设置,则依赖于 MAPI 登录的测试将无法正确运行。

若要使用依赖于需要 MAPI 登录到 Exchange 的规则,则必须在每个运行被监视的 Exchange 的服务器上创建至少一个邮箱(称为代理访问帐户)。若要访问这些邮箱,Exchange 管理包需要有一个可以访问所有服务器上的所有代理邮箱的域用户帐户(邮箱访问帐户)。邮箱访问帐户必须被授予 Exchange 管理员(仅查看)角色,以便收集前 100 个邮箱报告中有关 Exchange 服务器的邮箱统计信息。

在每个运行 Exchange 的服务器上,需要 MAPI 登录到 Exchange 的规则都需要有一个测试邮箱帐户。这些规则及其关联的报告如下所示:

规则组:服务器可用性\MAPI 登录检查和可用性报告

规则名称:检查存储可用性– MAPI 登录\报告:Exchange Server 可用性

规则组:服务器可用性\邮件流验证

规则名称:发送邮件流消息

规则名称:接收邮件流消息

规则组:报告收集规则\邮箱统计分析

规则名称:报告收集规则 – 邮箱统计分析报告:“Exchange 邮箱和文件夹大小”文件夹中的邮箱报告

规则组:报告收集规则\公用文件夹统计分析

规则名称:报告集合 – 公用文件夹统计报告:“Exchange 邮箱和文件夹大小”文件夹中的公用文件夹报告

note注意:
Exchange 管理包中的脚本使用邮箱访问帐户来访问测试邮箱。这些脚本不需要将 Microsoft Outlook® 安装在运行 Exchange 的服务器上。有关详细信息,请参阅 Microsoft 知识库文章 266418“Microsoft 不支持安装 ExchangeServer 组件和同一计算机上的 Outlook”(http://go.microsoft.com/fwlink/?LinkId=3052&kbid=266418)。

以下步骤描述如何创建邮箱访问帐户,以及如何授予它 Exchange 管理员(仅查看)角色。

创建邮箱访问帐户
  1. 在安装了 Exchange 管理工具的计算机上,打开“Active Directory 用户和计算机”。

  2. 在左窗格中,展开域。鼠标右键单击要包含已启用邮件用户的组织单位,再指向“新建”,然后单击“用户”。

  3. 在“新建对象 - 用户”对话框的“名”、“缩写”、“姓”和“用户登录名”中,键入用户信息,再单击“下一步”。

  4. 在“密码和确认密码”框中,键入新用户的密码。选择适用的密码选项,然后单击“下一步”。

  5. 清除“创建 Exchange 邮箱”复选框。单击“下一步”,验证新用户的信息正确无误,然后单击“完成”。

将 Exchange 管理员(仅查看)角色授予邮箱访问帐户
  1. 打开系统管理器。

  2. 在左窗格中,右键单击要为其委派管理权限的组织或管理组,再单击“委派控制”。

  3. 在“欢迎使用 Exchange 管理委派向导”页中,单击“下一步”。

  4. 在“用户或组”页中,单击“添加”将管理权限授予新的用户或组。

  5. 在“委派控制”中,单击“浏览”,然后选择刚才创建的域用户帐户。

    note注意:
    通过从“查找范围”下拉列表中选择浏览位置,可以显示整个 Active Directory 中的用户和组列表,或只显示特定域的列表。也可以在“名称”框中键入用户或组的名称。一次只能键入一个名称。
  6. 选择完域用户帐户之后,在“委派控制”对话框内的“角色”列表中,为该组或用户选择以下管理权限:

    Exchange 管理员(仅查看):此选项可以查看 Exchange 配置信息。

    note注意:
    若要更改现有用户或组的角色,请选择用户或组,再单击“编辑”,然后选择新角色。若要删除用户或组,请选择用户或组,然后单击“删除”。
  7. 若要分配权限,请单击“下一步”,再单击“完成”。

以下规则需要在每个运行 Exchange 的服务器上配置测试邮箱帐户:

规则组:报告收集规则\MAPI 登录检查和可用性报告以及可用性监视\MAPI 登录检查和可用性报告

规则名称:检查存储可用性– MAPI 登录\报告:使用的 Exchange Server AvailabilityAgent 邮箱:<服务器名>MOM<可选后缀>

规则组:可用性监视\验证邮件流

规则名称:发送邮件流消息

规则名称:使用的接收邮件流 messagesAgent 邮箱:仅 <服务器名>MOM

规则组:报告收集规则\邮箱统计分析

规则名称:报告收集规则–邮箱统计数据分析报告:“Exchange 邮箱和文件夹大小”folderAgent 邮箱中使用的邮箱报告:仅 <服务器名>MOM

规则组:报告收集规则\公用文件夹统计分析

规则名称:报告集合 – 公用文件夹统计报告:“Exchange 邮箱和文件夹大小”FolderAgent 邮箱中使用的公用文件夹报告:仅 <服务器名>MOM

note注意:
不要在前端 Exchange 服务器上创建代理邮箱。
创建和配置测试邮箱帐户
  1. 在安装了 Exchange 系统管理器的计算机上,打开“Active Directory 用户和计算机”。

  2. 按如下所示为每个 Exchange 服务器创建用户帐户:

  3. server_nameMOM 的用户名,其中 server_name 是 Exchange 服务器的名称。如果这是 Exchange 群集,则服务器名称是 Exchange 虚拟服务器的名称。例如,如果服务器名称是 ExServer1,则测试帐户是 ExServer1MOM。

  4. 该帐户的关联邮箱必须驻留在 Exchange 服务器上。每个 Exchange 服务器都必须在某个本地存储上配置代理邮箱。

    note注意:
    如果服务器上有多个存储,则可以用登录名称 <服务器名>MOM# 添加更多测试邮箱帐户,其中 # 可以是任意数字或单词。第一个测试邮箱帐户必须名为 <服务器名>MOM,因为它是邮件流验证以及邮箱和公用文件夹分析所使用的唯一邮箱。如果服务器上有多个存储,则可以用登录名称 <服务器名>MOM# 添加更多测试邮箱帐户,其中 # 可以是任意数字或单词。
    而且,测试邮箱帐户名称的总计长度不能超过 20 个字符。
  5. 用户不能更改密码。

  6. 密码永不过期。

  7. 帐户已禁用。

    note注意:
    不要清除“创建 Exchange 邮箱”复选框。
  8. 创建帐户之后,在“查看”菜单上,单击“高级功能”。

  9. 右键单击此新测试邮箱帐户,单击“属性”,然后单击“Exchange 高级”选项卡。如果此选项卡不存在,请确保在上一步骤中已选择“高级功能”。

  10. 单击“邮箱权利”,然后单击“添加”。

  11. 添加邮箱访问帐户,然后单击“确定”。

  12. 在“权限”框中,授予邮箱访问帐户“邮箱完全控制权限”。

  13. 在“邮箱权利”选项卡上,选择“自身”帐户。

  14. 在“权限”中,单击“关联的外部帐户”,然后单击“确定”。

  15. 单击“安全”选项卡,然后选择“邮箱访问帐户”。(如果帐户中没有列出邮箱访问帐户,可能必须添加它。请从所有帐户的列表中选择邮箱访问帐户。)

  16. 选择邮箱访问帐户后,在“权限”框中,在“允许”列下,选中“代理接收”和“代理发送”复选框,并单击“确定”。

    note注意:
    在全局通讯簿 (GAL) 中,不能将代理邮箱设置为隐藏,因为不可能在该状态下登录到帐户。

配置向导在 Active Directory 中创建并配置邮箱访问帐户。邮箱访问帐户被授予以下访问控制条目 (ACE):

  • ADS_RIGHTS_ENUM.ADS_RIGHT_READ_CONTROL
  • ADS_RIGHTS_ENUM.ADS_RIGHT_DS_READ_PROP
  • ADS_RIGHTS_ENUM.ADS_RIGHT_DS_LIST_OBJECT
  • ADS_RIGHTS_ENUM.ADS_RIGHT_ACTRL_DS_LIST

系统将在以下位置授予这些 ACE,在这些位置中,ViewStoreStatus 是特定于 Exchange 的属性,它允许邮箱访问帐户查看存储信息。下表列出了邮箱访问帐户权利。

 

LDAP 对象 在 LDAP 树中继承 ViewStoreStatus

配置容器

Exchange 组织

地址列表容器

寻址容器

管理组容器

所选的管理组容器

全局设置容器

收件人策略容器

系统策略容器

另外,邮箱访问帐户 SID 将添加到 Exchange 组织对象的 msExchAdmins 属性中。这将导致邮箱访问帐户出现在委派向导中。

尽管某些部署和配置可能产生问题,但通过执行最佳实践,很多问题都可以避免。不过,发生问题时,重要的是解决它。这一节讨论出现问题的常见区域,并提供一些解决技术。

错误配置会导致 Exchange 管理包无法检测到环境中的问题。本主题介绍几个常见的错误配置。这些错误属于以下类别:

  • 配置向导错误
  • 权限和目录访问错误
  • 与升级相关的错误

以下报告要求运行配置向导,并且启用 MAPI 登录和/或邮件流测试。

  • Exchange 数据库大小
  • Exchange 邮箱
  • Exchange Server 配置
  • 传递的邮件 - 按计数前 100 个收件人邮箱
  • 传递的邮件 - 按大小前 100 个收件人邮箱
  • 最高增长速度邮箱
  • 前 100 个邮箱(按大小)

如果 BEAccount 中存在值,配置向导不会覆盖该值。如果要更改在后端服务器上定义的、由前端监视脚本用于进行登录测试的邮箱,请执行下面这些步骤:

更改在后端服务器上定义的邮箱
  1. 运行配置向导并禁用前端监视。这将删除为 BEAccount 定义的值

  2. 运行配置向导,并选择要监视的后端和前端服务器。

若要在前端服务器上成功运行配置向导,必须有至少一个后端服务器上有至少一个用于 Outlook Web Access 登录的测试邮箱,以及一个用于 Outlook Mobile Access 和 Exchange ActiveSync® 登录的邮箱访问帐户。如果与前端服务器通信的所有后端服务器都没有可用的测试邮箱或邮箱访问帐户,则配置向导将返回错误消息,说明它无法找到用于前端监视的测试邮箱。

若要让前端服务器、Outlook Web Access、Outlook Mobile Access 和 Exchange ActiveSync 可用性脚本正常工作,必须在 Exchange 2003 前端服务器上设置 SSL。若要验证是否为每个虚拟目录配置了 SSL,请执行在本指南前面的“配置 SSL”节中描述的步骤。

如果收到生成事件 ID 9981 和 9016 的 MAPI 登录验证脚本问题,则应当验证邮箱访问帐户在用于 MAPI 登录测试的邮箱上拥有完整的邮箱权利。通过使用邮箱访问帐户登录到测试邮箱,可以验证此信息。

如果收到 MAPI_E_NOT_FOUND 错误,应当验证以下事项:

  • 邮箱访问帐户必须有权读取和写入 %systemroot%\temp\exmppd 目录。此目录是将创建临时 MAPI 登录配置文件的目录。若要验证您的帐户是否有合适权限,请以邮箱访问帐户登录到该服务器,然后在此目录中创建一个测试文件。
  • 邮箱访问帐户必须在每个 Exchange 服务器上拥有本地登录权利。对于 MAPI 登录和邮件流测试,这些权利是必需的。配置向导会自动授予所需的权限。
  • 必须将注册表值 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Messaging Subsystem\ProfileDirectory 设置为值 %systemroot%\temp\exmppd。例如,c:\winnt\temp\exmppd。

显式更改默认访问权限将导致无法为系统帐户授予默认访问权限。如果已向默认访问权限手动添加帐户,则在 Exchange 服务器上安装代理之后,不会在 MOM 服务器上收到事件 ID 9986。通过搜索与特定 Exchange 服务器关联的事件,可以在 MOM 服务器上的事件查看器中找到事件 9986。然后,您将收到后续错误,指示有权限问题。有关详细信息,请参阅 Microsoft 知识库文章 274696“搜索和拖放之类的操作因为已在 Dcomcnfg.exe 工具中更改默认访问权限而不起作用”(http://go.microsoft.com/fwlink/?linkid=3052&kbid=274696)。

解决此问题
  1. 按照知识库文章 274696,向默认访问权限列表添加系统帐户和交互帐户。

  2. 完全卸载 MOM。

  3. 删除 MOM 安装目录和注册表项,然后重新启动服务器

  4. 在 Exchange 服务器上,使用代理管理器重新安装 MOM 代理。

  5. 在此点上,Exchange 服务器应当开始收到事件 9986。运行配置向导,并完成 Exchange 管理包的配置。

继承的“拒绝”权限导致 MAPI 登录验证测试失败。 如果贵组织在组织级别将“代理发送”和“代理接收”权限配置为“拒绝”,则邮箱访问帐户将无法登录到 Exchange 服务器。

解决此问题
  1. 从组织对象中删除拒绝“代理发送”和“代理接收”权限的访问控制条目。

  2. 新建邮箱访问帐户

  3. 验证新邮箱访问帐户可以解析全局地址列表中的名称

  4. 运行配置向导。

Active Directory 问题导致 MAPI 登录验证脚本间歇失败。如果无法访问域控制器,或域控制器未及时响应,则 MAPI 登录将失败。

解决此问题
  1. 启动 Exchange System Attendant 服务(如果未启动)。

  2. 验证代理邮箱的配置,并纠正配置中的任何错误。

  3. 验证域中的域控制器是可访问的,并且用户可以使用 Outlook 登录。

邮件流脚本运行失败,并收到 MAPI_E_AMBIGUOUS_RECIP 错误。如果邮箱访问帐户显示名与 samAccountName 不相同(这将导致不明确名称解析失败),则会导致此错误。

解决此问题
  1. 删除邮箱访问帐户。

  2. 新建具有完整名称 MOM#(其中 # 是每个帐户的唯一编号)的邮箱访问帐户。

在 Exchange Server 2003 中,“邮箱统计”规则(可以按大小生成前 100 个邮箱的列表)可能不包含从 Exchange Server 5.5 迁移的邮箱。因此,服务器上可能有超过报告中显示大小的邮箱。这些邮箱也将无法显示在“邮箱大小”和“邮箱邮件计数”性能视图中。

解决此问题
  1. 验证正在运行的用于收集邮箱统计信息的二进制版本是正确的。当前版本是 EMPMB.EXE,中断的版本是 ExchMBStat.exe。

  2. 安装 Exchange Server 2003 Service Pack 1。

MOM 部署 Exchange 服务器更改时,可能收到 Microsoft Operations Manager 事件,说明 MOM 性能提供程序无法访问性能计数器

解决此问题
  1. 验证系统上是否正确安装了所引用的性能计数器。

  2. 验证与规则关联的计算机组是否正确。通过将正确的计算机组与规则关联,可允许前端服务器规则只对前端服务器运行,并允许后端服务器规则只对后端服务器运行。

  3. 删除那些引用不再使用的旧版计数器的规则。

如果生成的警报不必要,并且没有报告真实问题,就会发生警报干扰问题。或者,如果对于特定问题未能生成警报,也存在问题。确定原因的第一步是检查生成警报的规则。如果阈值、响应和其他设置都是可接受的,则第二步是检查日志中是否有错误和事件。

警报优化还可以通过覆盖进行处理。Exchange 管理包中包含禁用规则和更改规则设置的相关选项。例如,如果警报是从性能数据生成的,则可以更改阈值。

阈值处理规则“磁盘写入延迟 > 50 毫秒”对有几个物理磁盘的服务器生成不需要的警报。此规则通过 Microsoft Windows NT® 性能计数器对象 PhysicalDisk 的计数器“Avg.Disk sec/Write”收集数据,在该计数器中,提供程序被设置为 <全部> 实例。由于 _Total 实例是聚合值,因此即使在没有警报原因时也将超过阈值。在这种情况下,应当重新配置规则,使其只在单个磁盘超过阈值时才生成警报。

配置此规则
  1. 在 MOM 2005 管理员控制台中,找到“Microsoft Operations Monitor\管理包\规则组\Microsoft Exchange Server\Microsoft Exchange Server 2003”。

  2. 在左窗格中,右键单击“Microsoft Exchange Server”,然后单击“创建规则组”。

  3. 在“规则组属性 - 常规”对话框中,键入规则组的“名称”,然后单击“下一步”。

  4. 在“规则组属性 - 知识库”对话框中,输入想让操作员和管理员在管理此规则组时能够访问的任何信息,然后单击“完成”。

  5. 在“Microsoft Operations Manager”对话框中,单击“确定”,以部署此规则组中的规则。

  6. 在“规则组属性”对话框中,在“计算机组”选项卡上,单击“添加”将计算机组添加到此规则组中,然后单击“确定”。

  7. 在 MOM 2005 管理员控制台中,找到“Microsoft Operations Monitor\管理包\规则组\Microsoft Exchange Server\Microsoft Exchange Server 2003\运行状况监视和性能阈值\服务器性能阈值\性能规则”。

  8. 在左窗格中,单击“性能规则”,然后在右窗格中,右键单击“磁盘写入延迟 > 50 毫秒”,然后单击“属性”。

  9. 在“阈值规则属性”对话框中,在“常规”选项卡上,清除“此规则已启用”复选框,然后单击“确定”。

  10. 在右窗格中,右键单击“磁盘写入延迟 > 50 毫秒”,然后单击“复制”。

  11. 在左窗格中,展开在此过程前面创建的规则组,单击“性能规则”,然后在右窗格中,右键单击空白处,并单击“粘贴”。

  12. 在右窗格中,右键单击复制的规则,然后单击“属性”。

  13. 在“阈值规则属性”对话框中,单击“标准”选项卡。

  14. 在“标准”选项卡上,单击“高级”。

  15. 在“高级标准”对话框中,将“字段”框设置为“实例”,然后将“条件”框设置为“不等于”,在“值”框中键入“总数”,然后单击“添加到列表”。

  16. 单击“关闭”。

  17. 在“阈值规则属性”对话框中,单击“常规”选项卡。

  18. 在“常规”选项卡上,验证已选中“此规则已启用”复选框,然后单击“确定”。

通过分页通知,当超过警报阈值时,MOM 可以向页面设备发送页。分页只是几个选项之一。若要解决分页通知的问题,可以执行以下操作:

  • 配置警报,以便使用不同类型的通知,例如,脚本或电子邮件。如果警报触发通知,则不会是警报本身有问题,也不会是 MOM 中的通知处理有问题。
  • 验证页面设备正在正确接收页。如果页面设备正在正确接收页,则该设备不会有问题。

如果这两个步骤都已正确完成,则可能是页面设备在警报本身方面有配置问题。

通常,规则无法正确运行的问题是一般由以下原因导致的:

  • 脚本未运行于 Exchange 服务器上。有关详细信息,请参阅 Exchange 管理包脚本相关性
  • 未正确配置 MOM 测试邮箱。有关详细信息,请参阅在此主题前面介绍的“权限和目录访问错误”。

如果脚本无法运行,则规则、报告和视图将无法正确工作。若要解决脚本中的问题,请执行以下操作:

  • 验证脚本在独立于 MOM 的环境下可以正确运行。如果脚本可以正确工作,则脚本编码不会有问题。
  • 运行 MOM 资源工具包实用程序 RunMOMScript。MOM RunMOMScript 实用程序是一个命令行程序,用于在将 MOM 脚本语法和逻辑部署到生产之前测试和解决它们中的错误。此工具包括在 Microsoft Operations Manager 2000 资源工具包中,其位置是 http://go.microsoft.com/fwlink/?linkid=36078
  • 验证所有依赖项都能正确工作。脚本依赖项标识在 Exchange 管理包脚本相关性以及 Microsoft 知识库文章 814631“MOM SP 1 中相关性的 Exchange 2000 管理包脚本”(http://go.microsoft.com/fwlink/?linkid=3052&kbid=814631)中。

如果这三个验证全部完成而没有发现问题,则应当与 Microsoft 用户支持服务联系。

 
显示: