メールボックス監査ログの活用

こんにちは。Exchange サポートの山木です。 オンプレミス Exchange、Exchange Online をご利用のお客様よりメールが勝手に削除されたとか知らない内に意図しない変更がアイテム対して行われたというお問合せをよく頂きます。原因が特定できないままになるケースが多いですが、一般的には該当ユーザーが意図せず削除してしまった、第三者ユーザーが削除していたり、あるアプリケーションがメールボックスにアクセスして変更を行っていたりということが考えられますが、このような事象の調査に有益な情報としてメールボックス監査ログというものがあります。今回は実際にこのメールボックス監査ログの採取手順から出力方法、ログの確認方法を皆さまにご案内したいと思います。 なお、メールが意図せず削除される事象の調査方針やメールボックス監査ログの使用については下記ブログでも案内しておりますので併せてご参照下さい。 Title : 突然アイテムが消えた!場合の対策URL : http://blogs.technet.com/b/exchangeteamjp/archive/2015/04/15/3648071.aspx メールボックス監査ログは既定で出力が無効になっておりますが、設定変更によってメールボックス単位で出力することが可能です。メールボックス監査ログを有効化することによって文字通り、そのメールボックスに行われた操作 (移動、変更、削除など) を監査することが可能です。メールボックス監査ログのメリットとしてメールボックスの所有者が行った操作だけではなく、該当メールボックスにアクセス権限のある第 3 者ユーザー (代理ユーザーと言います。) の操作についてもログ上で確認することができる点が挙げられます。所有者の操作であればエンド ユーザー様にヒアリングすることで原因が分かることもありますが、代理ユーザーが大勢いた場合はだれがメールボックスに対して操作を行ったかをヒアリングだけで調査することはとても大変な作業となります。 ログの採取手順では早速ログの採取手順を見ていきましょう。下記例はアイテムが勝手に削除されたシチュエーションを想定し、代理ユーザーおよび所有者の削除関連の操作 (HardDelete, SoftDelete, MoveToDeletedItems) をログに記録するように設定しています。ログの保存期間は既定 (90 日) のままでもかまいませんが、下記例では 3 日 (03.00:00:00) を指定しています。ログを長く保管しておく必要がなければサーバー リソースの観点からも保存期間を短めに変更頂くことをお勧めいたします。 <設定例>Set-Mailbox -Identity test01 -AuditEnabled $true -AuditLogAgeLimit 03.00:00:00 -AuditOwner HardDelete, SoftDelete, MoveToDeletedItems -AuditDelegate HardDelete, SoftDelete, MoveToDeletedItems パラメーターの意味はそれぞれ以下の通りです。 AuditEnabled : メールボックス監査ログの有効 / 無効 (既定は無効)AuditLogAgeLimit…


Exchange 2016 でコマンドレット リファレンス トピックの配信および更新方法を刷新

(この記事は 2015 年 8 月 24 日に Exchange Team Blog に投稿された記事 A brave new world for Exchange 2016 cmdlet reference topic delivery and updates の翻訳です。最新情報については、翻訳元の記事をご参照ください。)   Update-ExchangeHelp は Exchange コマンドレットの 1 つであり、これを使用することで、Exchange サーバー上に Exchange コマンドレット リファレンスの最新版のヘルプ トピックをインストールして、Exchange 管理シェル (Get-Help <コマンドレット>) で利用できるようになります。Windows PowerShell コマンドレットにも一見、同様の処理を行うもの (Update-Help (英語) および Save-Help (英語)) がありますが、これらは Exchange 管理シェルでは使用することができません。 Update-ExchangeHelp は Exchange 2013 で提供されていたものの、フル活用されるまでには至らず、その真価が発揮されていませんでした。しかし、Exchange 2016…


EWSEditor の利用方法について

今回は EWSEditor の簡単な利用方法についてご紹介いたします。 EWSEditor は EWS Managed API を利用して Exchange Server 2007 以降 (Exchange Online も含む) のメールボックスに接続して各種操作を実施する GUI ベースのツールとなります。オープン ソースの CodePlex で提供されているツールとなりますが、アプリケーションの開発者だけでなく Exchange Server の管理者やメールボックスを利用する一般ユーザーでも手軽に利用することができるものとなります。 EWSEditor が提供する機能は非常に多岐に渡りますが、ここでは EWSEditor を使用して Exchange Server に接続する際の操作手順と一部の機能 (フォルダ内のアイテム表示、予定アイテムの表示、新規メールの送信) のみ記載いたします。例えば、EWS を利用する 3rd Party 製品から Exchange Server に接続出来ない問題が発生した際に EWSEditor でも同様に接続に失敗するかをテストする場合などにご活用いただければ幸いです。 事前準備以下のサイトから EWSEditor をダウンロードして実行端末にコピーしてください。    Title: EWSEditor   URL: https://ewseditor.codeplex.com/ なお、2015 年 10 月時点でリリースされている最新バージョンの…


Microsoft Office 365 ハイブリッド構成ウィザードを発表

(この記事は 2015 年 9 月 4 日に Exchange Team Blog に投稿された記事 Introducing the Microsoft Office 365 Hybrid Configuration Wizard の翻訳です。最新情報については、翻訳元の記事をご参照ください。)   Exchange 2013 CU8 以降をご利用のお客様は、ぜひ、新しいウィザードをダウンロードしてご活用ください。 この数年間、Exchange Hybrid チームでは、皆様に第 3 バージョンのハイブリッド構成ウィザード (HCW) をお届けするべく、全力で取り組んでまいりました。そしてこのたび発表の運びとなったのが、最新バージョンである Microsoft Office 365 ハイブリッド構成ウィザードです。今回のブログ記事では、このウィザードの新機能と使用方法、解消された問題点についてご紹介すると共に、ウィザードの実行時に収集されるテレメトリ情報についても触れていきたいと思います。この新しいウィザードは旧バージョンとの共通性も高いので、すぐに使いこなすことができます。また、数多くの機能強化が加えられているため、きわめてスムーズなハイブリッド展開が可能となっています。 スタンドアロン アプリケーションとして提供される Microsoft Office 365 ハイブリッド構成ウィザード 今回のバージョンの HCW は、スタンドアロン アプリケーションとして、サービスからダウンロードする形で提供されます。これは重要な変更点です。旧バージョンの HCW はオンプレミス製品に組み込まれていたために大きな制約がありましたが、その問題が次のように解消されました。 最新のハイブリッド エクスペリエンス: HCW を実行した際に、オンプレミスで使用している Exchange Server のバージョンに準じたエクスペリエンスが提供されていました。たとえば、Exchange 2013 CU7…


PST ファイルを廃止する

(この記事は 2015 年 7 月 8 日に Exchange Team Blog に投稿された記事 Deep Sixing PST Files の翻訳です。最新情報については、翻訳元の記事をご参照ください。)   2 年ほど前、組織での PST ファイルの廃止について説明し、その作業をサポートするツールを紹介しました。そのときの記事が「.PST を撤退させよう」です。以来、マイクロソフトではこのツールを更新し、新機能を追加してきました。今回の記事では、次の点についてご説明します。 PST ファイルを廃止する多くの理由 PST ファイル内のデータに対する処置 PST データを新しい場所に移行する方法 PST ファイルを廃止する多くの理由 まずは簡単に、企業のお客様が PST ファイルを廃止したいと考える理由を挙げていきたいと思います。 企業のセキュリティとコンプライアンス ユーザーによって作成される PST ファイルは、管理対象外のデータです。大半の企業が、PST ファイルがどこに作成されるのか、ユーザーがそのファイルをどのように保持しているのか、ファイルがどこに保存されているのか、そしてファイル内には正確にどのくらいの量のデータが格納されているのかについて、ほとんど把握できていません。 PST ファイルは、企業が明確に定めているデータ保持ポリシーを侵害します。PST ファイル内のデータには Exchange のアイテム保持ポリシーが適用されず、PST ファイルに保持タグを設定することはできません。 PST の最大ファイル サイズは現在 50 GB ですが、これ以外にサイズを制限するものがありません。 いずれかのマシンまたはいずれかのユーザーの PST ファイルを、別のユーザーがネットワークを経由せずに簡単に開くことができます。また、PST ファイルは、紛失や盗難のおそれのあるポータブル メディア (サム ドライブ、USB…


修復済みの Exchange データベースのサポート ポリシーの変更

(この記事は 2015 年 5 月 1 日に Office Blogs に投稿された記事 New Support Policy for Repaired Exchange Databases の翻訳です。最新情報については、翻訳元の記事をご参照ください。)   データベースの修復プロセスは、多くの場合、他の回復手段を利用できない場合に Exchange データベースを回復するための最終手段として使用されます。このプロセスは、マイクロソフト サポートから勧告を受け、かつその他の回復手段をすべて試したと判断した場合にのみ実施します。これまで何年にもわたり、Exchange の多くのバージョンでほぼ同じ修復プロセスが採用されていましたが、マイクロソフトが広範なサポート案件の分析から得た情報に基づき、今回このプロセスが変更されます。 簡単に言うと、修復処理が行われたデータベースのサポート ポリシーを変更します。従来、ESEUTIL および ISINTEG (修復コマンドレット) を使用して修復されたデータベースはサポート対象となっていました。一方、新しいサポート ポリシーでは、修復カウントが 1 以上であるデータベースの退避が必要になります。つまり、そのデータベースに格納されているすべてのメールボックスを新しいデータベースに移行する必要があります。 現在の修復プロセス 修復プロセスは次の 3 つの手順から構成されます。 ページ レベルでのデータベースの修復 データベースの最適化によるデータベースの再構築と再作成 データベース内の論理構造の修復 手順 1 には、ESEUTIL /p を使用します。これは通常、データベースがページ レベルで破損している場合に行います。たとえば、-1018 JET エラーが発生している場合や、データベースをクリーン シャットダウン状態にするために必要なログ ファイルが存在せずデータベースがダーティ シャットダウン状態のままになっている場合です。ESEUTIL /p を実行すると、データが損失するおそれがあるという警告メッセージが表示されます。続行するには、[OK] を選択します。…


Exchange 2013 の CPU 使用率の上昇のトラブルシューティング

(この記事は 2015 年 4 月 30 日に Office Blogs に投稿された記事 Troubleshooting High CPU utilization issues in Exchange 2013 の翻訳です。最新情報については、翻訳元の記事をご参照ください。)   はじめに Exchange のサポートを行っていると、私たちはさまざまな問題にぶつかります。中でもとりわけ難しい問題はパフォーマンスの問題です。その背景には、「パフォーマンスの問題」という表現のあいまいさがあります。パフォーマンスの問題には、ランダムなクライアント接続の切断から、データベースのフェールオーバー、モバイル デバイスの同期速度の低下まで、あらゆる問題が含まれています。最も一般的なパフォーマンスの問題は、CPU 使用率の上昇です。「CPU 使用率の上昇」という表現も、ややあいまいです。CPU 使用率が上昇した状態とは、具体的にはどの程度の使用率を指すのでしょうか? その状態はいつ発生し、どのくらい続くのでしょうか? これらの点を明確にしてからでないと、問題の原因を本当に突き止めることはできません。たとえば、日中に CPU 使用率が 75% に達した場合に「CPU 使用率が高い」と判断するとしましょう。このとき、何か問題が発生しているでしょうか? データベースの負荷分散が不適切なのでしょうか? それとも、単にサーバーの容量が小さすぎるのでしょうか? では、CPU 使用率が 100% に達した場合はどうでしょう。その状態が続くのは 10 秒間、それとも 10 分間でしょうか? その状態は、クライアントが朝一番にログオンしたときに、はたまたフェールオーバーの後で発生するのでしょうか? この記事では、Exchange 2013 の CPU 使用率が高い場合の一般的な原因と、そのトラブルシューティングの方法について説明します。 最初に、この記事は Exchange 2013 のみを対象としており、それ以前のバージョンには当てはまらないことを述べておきます。バージョンが異なっていても、CPU 使用率が高い原因は共通していることもあります。しかし、この記事で紹介するデータの大部分は、Exchange 2013…


PelNet がリリースされました

(この記事は 2014 年 4 月 30 日に The Exchange Team Blog に投稿された記事 Released: PelNet の翻訳です。最新情報については、翻訳元の記事をご参照ください。)     ダウンロードはこちら   私が現在担当している大規模な環境では、お客様のトランスポートの変更の確認、特に、新たに追加された送信コネクタやスマートホストの確認に苦労しました。メール フローのトラブルシューティングも同様に、Telnet で SMTP ステータスを手作業でチェックして、その結果に応じて対応していく必要があるので手間がかかります。もしセキュリティ上の理由で Telnet の使用が禁止されたらどうすればよいでしょうか? また、複数のコネクタの 20 ~ 30 のスマートホストについて、40 台ものトランスポート サーバーを確認しなければならないとしたらどうでしょうか? さらに、大量の送信コネクタに大量のアドレス スペースがあるとしたら、トラブルシューティングに備えて、あるいは送信コネクタの変更時にトランスポートの変更を確認しやすいように、どうかにかしてチェックを自動化することが必要になります。 ここでは、そんなときに役立つとてもシンプルで効率的な「PelNet」というツールをご紹介します (「PowerShell Telnetting」を縮めてこのように名付けました)。 では、このツールで何ができるかを見ていきましょう。 まず使い方の前に、スクリプトで使用可能なパラメーターをご紹介します。   AddressSpace: 送信コネクタのアドレス スペースを指定します。   sendConnector: 単一の送信コネクタを対象にする場合に指定します。   SourceTransportServers: テストするトランスポート サーバーの一覧 (CSV 形式) を指定します。   smartHost: テストするスマート…


Exchange Server 展開アシスタントの更新を発表

(この記事は 2014 年 4 月 17 日に The Exchange Team Blog に投稿された記事 Updated: Exchange Server Deployment Assistant の翻訳です。最新情報については、翻訳元の記事をご参照ください。)   マイクロソフトは、Exchange Server 展開アシスタントの更新を発表します。この記事では、今回の更新で導入される新しい展開オプションについて説明すると共に、展開をより柔軟かつ簡単に構成できるようにする新機能の概要をお伝えします。   新しい展開アシスタントには、次の機能が含まれています。   すべてのオンプレミスおよびハイブリッドの展開シナリオにおける Exchange 2013 のエッジ トランスポート サーバー ロールのサポート Exchange 2013 または Exchange 2010 の Hybrid Edition のプロダクト キーを要求するプロセスを自動化する新機能のサポート   Exchange 2013 SP1 で新たに導入されたエッジ トランスポート サーバーは、インターネットに接続されたメール フローをすべて処理することにより、攻撃範囲を最小化するものです。これにより、Exchange 組織で SMTP 中継およびスマート ホスト サービスの機能が提供され、接続や添付ファイルのフィルタリング、アドレス書き換えが可能となります。詳細については、エッジ…


Exchange 2003 移行ツールキット

(この記事は 2014 年 3 月 10 日に The Exchange Team Blog に投稿された記事 Exchange 2003 migration toolkit の翻訳です。最新情報については、翻訳元の記事をご参照ください。) Microsoft Exchange Server 2003 は、2003 年 9 月 28 日に市場に登場して以来、メッセージングや共同作業の分野で過去のリリースから優れたエクスペリエンスを継承し、提供し続けてきました。ここでは、Microsoft Exchange Server 2003 のお客様にどのような対応方法が用意されているかをご説明したいと思います。 今日のビジネスの懸案事項としてさまざまなお客様が上位に挙げるのが、データ セキュリティ、コンプライアンス、電子情報開示、モバイル デバイス/個人所有デバイスの活用 (BYOD)、IT 管理といった項目です。Exchange 2003 はメッセージングの分野において先駆的な役割を果たしてきましたが、10 年前の古い機能で今日のビジネス ニーズを満たすことは難しくなってきています。一方、Exchange Online や Microsoft Exchange Server 2013 は、こうした上位の懸案事項に向けて強化された最新のソリューションを提供するとともに、ビジネス ニーズを満たすための付加機能も備えています。Exchange Server のバージョンの比較をご覧いただければ、最新版のプラットフォームに移行するメリットがご理解いただけると思います。 Exchange 2003 からオンプレミスの Exchange 2013 に移行するには、2 段階の手順を踏む必要があります。Exchange…