Exchange Queue & A: 有効な回避策
Microsoft Exchange Server には、SSL 2.0 を無効にしたり、同期の問題を解決しなければならないときの回避策があります。
Henrik Walther
ゲスト寄稿者: Georg Hinterhofer
SSL を無効にする
Q. 最近 IT インフラストラクチャのセキュリティ監査を実施したところ、推奨事項の 1 つとして Web Access、Outlook Anywhere、Exchange Web サービスなどの Exchange サービスを含む Web サービスで SSL 2.0 を無効にすることが挙げられました。これを行うための最善の方法を教えてください。
A. まず、セキュリティ コンサルタントが、このような変更を勧める理由を確認しましょう。SSL 2.0 は 1990 年代半ばに考案されました (ちなみに SSL 3.0 も1990 年代半ばに考案されました)。SSL 2.0 は Web で初めて一般的に使用された暗号化と認証のプロトコルの 1 つです。ただし、SSL 2.0 には、man-in-the-middle (なりすまし) やその他の種類の攻撃をもたらす、いくつかの脆弱性があり、SSL 3.0 では多くの機能が強化されています。
これは Exchange Server にどのような影響を与えているのでしょうか。Exchange Server には独自の暗号化プロトコルはなく、基盤となる OS で提供されている暗号化サービスを使用しています。そのため、Exchange Server では、OS の暗号化サービスで有効になっているプロトコルまたは暗号化機能を使用することになります。
基本的な手順はサポート技術情報の記事「インターネット インフォメーション サービスで PCT 1.0、SSL 2.0、SSL 3.0、または TLS 1.0 を無効にする方法 (英語)」で説明されており、現在使用されている Windows のすべてのバージョンに適用されます。SSL 2.0 を無効にするには、次の手順を実行します。
- regedit.exe を起動します。
- HKLM\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0\Server に移動します。
- DWORD 値を新しく作成し、「Enabled」という名前を付けて、バイナリ エディターで 00000000 という値を入力します (図 1 参照)。
- コンピューターを再起動します。
図 1 SSL 2.0 を無効にするために、この値の種類を設定する必要がある
Private Communications Transport (PCT) 1.0 など、その他のプロトコルを無効にする必要がある場合でも、同じ手順で無効にできます。また、Exchange Server を公開するために 1 台以上の Microsoft Forefront Threat Management Gateway サーバーを使用している場合、これらのサーバーでも同じ手順でプロトコルを無効にできます。
DES 56/56 などの脆弱な暗号化アルゴリズムを無効にすることも勧められたかもしれませんが、このようなアルゴリズムも同じ方法で無効にすることができます。単純に Enabled という名前の DWORD 値を対応するレジストリ ハイブに追加し、00000000 という値を設定します。サーバーのプロトコルや暗号化の機能を無効にすることによって、クライアントの機能に支障をきたさないように、すべての必要なクライアントで、必ず適切な回数のテストを行ってください。
組織フォームの同期に関する問題
Q. Exchange Server 2010 に移行してから、キャッシュ モードの Outlook クライアントで同期の問題が多発するようになりました。表示されるエラー メッセージは、組織フォーム ライブラリと同期するときに問題が発生したことを示しています。このメッセージによりヘルプ デスクへの問い合わせが行われますが、その結果、ユーザーの不満が募ります。Exchange Server に接続できない場合、クライアントでは、フォームを使用することができません。この問題について何か対策はありますか。
A. 表示されるエラー メッセージは、このようなメッセージではないでしょうか。
19:23:23 Synchronizing Forms 19:23:23 Downloading from server FQDN 19:23:23 Error synchronizing folder 19:23:23 [80004005-501-4B9-560] 19:23:23 The client operation failed
同期の失敗フォルダーは、このメッセージで埋め尽くされているかもしれません。Exchange Server 2010 のパブリック フォルダー ストアで組織フォーム フォルダーをホストした場合にのみ、このような現象が起こります。この問題の原因は、Exchange Server 2010 のコーディングのバグです。
今までは、2 つの回避策しかありませんでした。1 つ目は、組織フォーム フォルダーを階層から取り除くことです (この方法は、この場所でフォームをホストする必要がない場合にのみ可能でした)。2 つ目は、可能であれば、フォームを Exchange Server 2007 のパブリック フォルダー ストアでホストして、クライアントが Exchange Server 2010 のパブリック フォルダー ストア以外にアクセスすることです。
幸運なことに、何度かバグの修正を試みた結果、Exchange Sustained Engineering チームは、根底にあった問題を修正することができました。この修正はサポート技術文書の記事「Outlook の同期の失敗フォルダーに記録される 80004005-501-4B9-560 同期エラー ログ (英語)」で説明されています。また、この修正プログラムは Exchange Server 2010 Service Pack 2 用の更新プログラムのロールアップ 3 に含まれています。この修正プログラムをインストールすると、このようなエラーがクライアントで表示されなくなり、フォームを再度オフラインで使用できるようになります。ただし、オフライン アドレス帳など、その他の同期の問題は、この方法では解決できないことに注意してください。
ActiveSync
Q. 最近、クライアント アクセス サーバーの過剰なリソースの消費により、何度かサーバー停止の問題が発生しました。w3wp.exe のインスタンスが利用可能なリソースの大部分を消費していることがわかりました。なぜこのような現象が起きるのか説明していただけませんか。
A. おそらく、潜伏状態の ActiveSync デバイスが 1 台以上あるのではないでしょうか。最近、このような問題が発生する事例をよく見かけるようになりました。しかし幸運にも、Log Parser を使用すると、このようなデバイスは、比較的簡単に識別できます。
基本的に、デバイスを識別するために解析が必要なすべての情報は IIS ログに格納されており、既定の状態で使用できます。既定では、C ドライブがシステム ディスクの場合、IIS のログは C:\inetpub\logs\LogFiles\W3SVC1 に格納されています。このディレクトリにあるログ ファイルのいずれかを開くと、Outlook Web Access、ActiveSync、Exchange Web サービスなどのすべてのヒット データを確認できます。
Log Parser 2.2 のコピーをダウンロードして、Exchange Server がインストールされているサーバーまたは管理サーバーにインストールします。管理サーバーを使用している場合は、Windows PowerShell 2.0 もインストールしてください。また、ActiveSyncReport スクリプトのコピーをダウンロードして、サーバーに配置します。
ヒット数の多いデバイスの上位 10 台を検索することにします。必要な作業は、次のスクリプトを実行することだけです。
\ActiveSyncReport.ps1 -iislog "C:\inetpub\logs\logfiles\w3svc1\" -logparserexec "C:\Program Files (x86)\Log Parser 2.2\logparser.exe" -activesyncoutputfolder c:\EAS -htmlreport -tophits 10
図 2 で確認できるように、最もヒット数が多いデバイスは 100 万ヒット以上あります。このヒット数は明らかに多すぎるため、詳しい調査が必要なことは間違いありません。
図 2 最もヒット数が多いデバイスを特定できる
特定の日付以降のヒット数が最も多いデバイスの上位 10 台はどのように調べたらよいかというと、これも簡単に特定できます。次のスクリプトを実行するだけです。
\ActiveSyncReport.ps1 -iislog "C:\inetpub\logs\logfiles\w3svc1\" -logparserexec "C:\Program Files (x86)\Log Parser 2.2\logparser.exe" -activesyncoutputfolder c:\EAS -htmlreport -tophits 10 –date 7-20-2012
ActiveSyncOutputFolder でクエリしたレコードが HTML 形式で出力されます。このスクリプトの他の使用シナリオは Exchange チーム ブログの記事「A script to troubleshoot issues with Exchange ActiveSync (Exchange ActiveSync の問題をトラブルシューティングするスクリプト、英語)」で紹介されています。
Henrik Walther は、マイクロソフト認定資格を持つ専門家です。IT ビジネスの分野で 16 年以上の経験がある、Exchange Server 2007 および Exchange Server MVP です。TimengoConsulting (デンマークを拠点とするマイクロソフト ゴールド パートナー) でテクノロジ アーキテクトを、Biblioso Corp. (ドキュメント管理とローカライズ サービスを専門とする米国の企業) でテクニカル ライターを務めています。Walther は、マイクロソフトの Exchange チーム、Lync チームなど、さまざまな製品チームで作業に従事している契約ベンダーでもあります。
Georg Hinterhofer は、マイクロソフト認定資格を持つ専門家です。Microsoft Exchange Server 2010 を専門とするシニア プレミア フィールド エンジニアを務めていて、オーストリアのウィーン郊外を拠点に活動しています。