可选配置

  • 项目

上一次修改主题: 2016-11-28

Microsoft 部署 MicrosoftExchange Server 2010 监视管理包已超过两年,该管理包已用于很多环境。这些部署帮助我们对管理包进行了重大改进。还帮助我们提高了 Exchange Server 2010 的总体监视能力。

监视管理包在多数使用默认配置的 Exchange 配置中高效地工作。但在某些环境中,可能需要进行一些微调,Exchange 2010 监视管理包发现进程通常会在 Exchange 组织中的各个服务器上加载合适的监视器。例如,性能阈值规则将基于可扩展的计算,而不是固定的数字阈值。

在 Exchange 2010 监视管理包中,您会发现大量的速率和百分比计数器,这些计数器设计为允许管理包从小型部署扩展到大型数据中心环境。

为综合事务测试创建测试邮箱

Exchange 2010 监视管理包可运行综合事务,以帮助测量您的 Exchange 组织中被监视对象的性能。Exchange 2010 监视管理包使用 Test-OwaConnectivityTest-ActiveSyncConnectivityTest-WebServicesConnectivity cmdlet 测试从客户端访问服务器到邮箱服务器的 MicrosoftOfficeOutlook Web App、Exchange ActiveSync 和 Exchange Web 服务连接性。这些 cmdlet 需要在每个要测试的 Active Directory 站点中创建一个测试邮箱。有关综合事务的详细信息,请参阅 System Center Operations Manager 2007 R2 文档中的使用综合事务监视

小心警告:
如果您在一个或多个邮箱服务器上没有创建测试邮箱,管理包将返回以下警告:“测试邮箱未初始化。请运行 new-TestCasConnectivityUser.ps1 以确保测试邮箱已创建。”

执行下列步骤,创建测试邮箱以便进行 Outlook Web App、Exchange ActiveSync 和 Exchange Web 服务连接监视。

在此过程中,您将通过使用 PowerShell 运行 New-TestCasConnectivityUser.ps1 脚本来创建测试邮箱,以便监视 Outlook Web App、Exchange ActiveSync 和 Exchange Web 服务的连接性。

  1. 打开 Exchange 命令行管理程序。

  2. 在命令行管理程序中,通过运行以下命令将目录更改为 C:\Program Files\Microsoft\Exchange Server\V14\Scripts 文件夹:

    Set-Location C:\Program Files\Microsoft\Exchange Server\V14\Scripts

  3. 使用以下命令运行 test-user 脚本:

    New-TestCasConnectivityUser.ps1

  4. 按照命令行管理程序屏幕上的安装说明创建测试邮箱。系统将提示您为创建测试用户输入临时的安全密码。系统还会提示您指定要创建测试用户的邮箱服务器。

  5. 对要测试的每个 Active Directory 站点中 Exchange 2010 邮箱服务器重复此过程。

在拆分权限模型中操作时为综合事务测试创建测试邮箱

  1. 使用拥有域管理员凭据的帐户添加 Exchange 受信任子系统作为 Exchange Windows 权限安全组的成员。

  2. 使用拥有域管理员凭据的帐户创建包含综合事务邮箱的组织单位。

  3. 使用拥有域管理员凭据的帐户向 Exchange Windows 权限安全组授予组织单位所需的权限。为此,请执行下列步骤:

    1. 打开本地 PowerShell 会话。

    2. 若要添加 Exchange 2010 PSS 管理单元,请键入以下 PowerShell cmdlet,然后按 Enter:add-pssnapin Microsoft.exchange.management.powershell.E2010

    3. 将以下脚本复制到文本文件,然后使用名称 perms.ps1 保存文件。

      Param([string] $OUDN)
if ($OUDN -eq "") {"Usage: perms.ps1 <OU distinguished name>"; return}

Add-ADPermission $OUDN -user "Exchange Windows Permissions" -Properties "WWW-Home-Page","Managed-By","SAM-Account-Name","Member","User-Account-Control","Pwd-Last-Set","Country-Code" -AccessRights "WriteProperty" -InheritanceType All

Add-ADPermission $OUDN -user "Exchange Windows Permissions" -AccessRights "ExtendedRight" -ExtendedRights "User-Change-Password" -InheritedObjectType User

Add-ADPermission $OUDN -user "Exchange Windows Permissions" -AccessRights "ExtendedRight" -ExtendedRights "User-Force-Change-Password" -InheritanceType All -InheritedObjectType User

Add-ADPermission $OUDN -user "Exchange Windows Permissions" -AccessRights 'WriteDacl, DeleteTree' -InheritedObjectType User  -InheritanceType All

Add-ADPermission $OUDN -user "Exchange Windows Permissions" -AccessRights 'CreateChild', 'DeleteChild' -ChildObjectTypes User -InheritanceType All

    4. 键入以下 PowerShell cmdlet,然后按 Enter:perms.ps1 “ou=<Organizational_Unit_Name>,dc=<Domain_Name>”,其中 <Organizational_Unit_Name><Domain_Name> 会替换为合适值。

  4. 对于环境中包含 Exchange 2010 服务器的每个域重复步骤 2 到 3。

  5. 使用拥有 Exchange 组织管理凭据的帐户启动 Exchange 2010 远程 Powershell。

    键入以下 cmdlet,然后按 Enter:New-RoleGroup -Name "SCOM SynTran Mailbox Creators" -Roles "Mail Recipient Creation" -RecipientOrganizationalUnitScope "<FQDN_Of_Your_Domain>/<Organizational_Object_Name>",其中 <FQDN_Of_Your_Domain><Organizational_Object_Name> 会替换为合适值。

  6. 向 SCOM SynTran 邮箱创建者安全组添加所需成员。

  7. 等待 Active Directory 复制完成。

  8. 如果您是在步骤 6 中添加到组的当前登录用户,请注销然后重新登录,以重置用户对象的安全令牌。

  9. 在 PowerShell 中,键入以下命令,然后按 Enter:new-TestCasConnectivityUser –OU <Organizational_Unit>

在关联引擎中禁用自动警报解决功能

当 Exchange 2010 监视管理包确定基本问题不再是一个问题时,自动警报解决功能会自动关闭相关警报。此功能由关联引擎提供,默认情况下处于启用状态。在支持团队解决相关票证问题前,如果针对此问题的另一实例记录了同样的警报,则使用自动警报解决功能可能会导致记录多个警报。

在下列情况或其他情况下,您也可能需要禁用此功能:

  • 您使用的是票证系统或其他在自动解决警报时无法正常工作的支持系统。

  • 您在 Operations Manager 2007 中使用连接器。连接器是允许 Operations Manager 与外部系统进行通信的自定义服务或程序。例如,如果您使用的连接器允许外部应用程序跟踪 Exchange 2010 监视管理包警报,则可能需要禁用此功能。

若要禁用自动警报解决功能,请执行下列步骤:

  1. 登录到驻留 MicrosoftExchange 监视关联引擎服务的服务器。

  2. 查找名为 Microsoft.Exchange.Monitoring.CorrelationEngine.exe.config 的关联引擎配置文件。默认情况下,该文件位于 C:\Program Files\Microsoft\Exchange Server\V14\Bin\,其中 C:\ 是 Exchange 安装目录。

  3. 在文本编辑器(例如记事本)中打开 Microsoft.Exchange.Monitoring.CorrelationEngine.exe.config。

  4. 在配置文件中查找以下行:

    <add key="AutoResolveAlerts" value="true" />

  5. <add key="AutoResolveAlerts" value="true" /> 更改为 <add key="AutoResolveAlerts" value="false" />

  6. 重新启动 MicrosoftExchange 监视关联引擎服务。

为综合事务启用事件收集规则

Exchange 2010 监视管理包使用综合事务(例如,运行 Test-MapiConnectivity、Test-OwaConnectivity 和其他命令)来扫描 Exchange 组织以查找基本连接响应,并测试简单的操作(如登录邮箱)。无论测试成功与否,这些测试的输出都有助于调查 Exchange 环境的状态。但是,由于每个任务的输出量太大,因此默认情况下将不存储事件输出。如果您为每个测试启用各自的事件收集规则,则会在操作控制台中填充这些测试的视图。有关综合事务的详细信息,请参阅 System Center Operations Manager 2007 R2 文档中的使用综合事务监视

小心警告:
启用这些收集规则后,请确保有足够的磁盘空间来容纳额外的数据。每次运行时,每个任务都会创建 4 至 12 个事件消息。默认情况下,每个测试每隔五分钟运行一次。

若要为综合事务输出启用事件收集规则,请执行下列操作:

  1. 在 System Center Operations Manager 2007 中,单击“创作”。

  2. 在“创作”窗格中,展开“管理包对象”,然后单击“规则”。

  3. 在“规则”窗格中,单击“更改作用域”。

  4. 在“按目标划分管理包对象的范围”对话框的“查找”框中,键入“Exchange Server 2010”。

  5. 单击“查看所有目标”。

  6. 单击“全选”(如果未被禁用 — 只有在已选择所有行的情况下才会被禁用)。

  7. 单击“确定”关闭对话框。

  8. 加载规则后,在控制台顶部附近的“查找”框中键入“脚本事件收集”。

  9. 对要启用的每个测试任务执行下列步骤:

    1. 右键单击规则并选择“覆盖”>“覆盖规则”>“该类的所有对象:<类名>”。

    2. 选中“覆盖”复选框。

    3. 将覆盖值设置为 True

    4. 单击“确定”。

    一段时间后,代理可取得覆盖值,并且会在内置视图中显示事件。

在对客户端访问服务器阵列使用 Kerberos 身份验证时启用可选监视器

如果组织对客户端访问服务器阵列使用 Kerberos 身份验证,则需要管理共享备用服务帐户凭据密码。Exchange 2010 Service Pack 1 包含管理脚本,可帮助将备用服务帐户凭据(ASA 凭据)自动分发并更新到脚本作用域内的所有客户端访问服务器。有关此脚本的详细信息,请参阅配置负载平衡客户端访问服务器的 Kerberos 身份验证

如果使用 RollAlternateServiceAccountPassword.ps1 脚本执行常规密码维护,Exchange 2010 监视管理包包含的两个监视器可帮助确保脚本运行正常。以下两个监视器仅当您依赖脚本执行常规密码维护且使脚本作为计划任务运行时才有帮助。

  • 启用用于 CAS 阵列 Kerberos 身份验证的备用服务帐户密码的 Powershell 脚本已失败 - RollAlternateServiceAccountPassword.ps1 默认情况下启用该监视器。脚本失败时会记录该监视器的警报。该监视器通过监视应用程序和服务日志中的失败事件 ID 检测脚本失败。

  • CAS 阵列的 Kerberos 身份验证 - 用于 Kerberos 身份验证的共享备用服务帐户凭据密码在 28 天内未更新,可能已过期 默认情况下不启用该监视器,因为大多数 Exchange 部署不使用共享 ASA 凭据,因此不需要将 RollAlternateServiceAccountCredential.ps1 脚本作为计划任务运行。如果在过去 28 天内监视器未检测到脚本成功运行,则触发该监视器的警报。该警报会提醒您检查凭据以确保其不会过期并导致 Kerberos 身份验证中断。

    该监视器检测脚本是否已通过监视运行计划任务的计算机上的应用程序和服务日志运行。例如,当用于运行计划任务的用户名和密码需要更新时,可以记录该警报。必须为运行计划任务的特定客户端访问服务器计算机启用该监视器。

    注释注意:
    此监视器是内部监视器,不能针对客户环境进行修改。

    若要启用此监视器,请执行以下步骤:

  1. 在 System Center Operations Manager 2007 中,单击“创作”。

  2. 在“创作”窗格中,展开“管理包对象”,然后单击“监视器”。

  3. 在工具栏上单击“范围”。

  4. 在“按目标划分管理包对象的范围”对话框的“查找”框中,键入“Outlook Service Availability”。

  5. 单击“查看所有目标”。

  6. 单击“全选”(如果未被禁用 — 只有在已选择所有行的情况下才会被禁用)。

  7. 单击“确定”关闭对话框。

  8. 加载规则后,单击“Outlook 服务可用性”>“实体运行状况”>“可用性”。

  9. 在“可用性”下,右键单击规则“CAS 阵列的 Kerberos 身份验证 - 用于 Kerberos 身份验证的共享备用服务帐户凭据密码在 28 天内未更新,可能已过期”,然后单击“覆盖”>“覆盖监视器”>“对于特定的对象类型: Outlook 服务可用性”。

  10. 在“选择对象”对话框中,选择包含在其上运行 RollAlternateServiceAccountPassword.ps1 脚本的服务器的规则实例,然后单击“确定”。

  11. 在“覆盖属性”对话框中,选中“覆盖”复选框。

  12. 在“管理包”下,选择目标管理包。

  13. 将覆盖值设置为 True

  14. 单击“确定”。

一段时间后,代理可取得覆盖值,并且会在内置视图中显示事件。