Интеграция с Microsoft Exchange Server 2010

1) Перейти в учётные записи локальных администраторов на обоих устройствах

2) На сервере-коллекторе (Windows Server 2016) выполнить команду:

Дальше необходимо ответить согласием на оба последующих вопроса (включение службы WinRM и прослушивание порта TCP:5985 для входящих соединений от источников). Следует учесть, что выполнение команды winrm qc одновременно включает Windows Remote Shell (WinRS) и разрешает принимать входящие соединения для удаленного управления через функционал WinRS.

3) На сервере-коллекторе (Windows Server 2016) выполнить команду:

Далее нужно согласиться на включение службы «Сборщик событий Windows» (Windows Event Collector). При этом в Windows Firewall создается разрешающее правило для входящих соединений на коллектор по TCP:5985.

4) На источнике (Windows Server 2008) событий следует включить службу WinRM командой:

Установите «Тип запуска» в значение «Автостарт» и запустить «Службу удаленного управления Windows» (Windows Remote Management (WS-Management)).

5) Проверить состояние службы WinRM на сервере-коллекторе (Windows Server 2016) можно командой:

в результате выполнения которой отобразятся настройки порта и список локальных IP-адресов, на которых прослушиваются соединения по TCP:5985. Команда winrm get winrm/config покажет подробные настройки службы WinRM

6) На источнике (Windows Server 2008) событий требуется предоставить доступ к журналам аудита службе WinRM путем включения встроенной учетной записи NT AUTHORITY\NETWORK SERVICE (SID S-1-5-20) в локальную группу BUILTIN\Event Log Readers («Читатели журнала событий»). После этого необходимо перезапустить «Службу удаленного управления Windows» (WinRM) и службу «Журнал событий Windows» (EventLog)

7) Затем следует создать и применить конфигурацию локальной групповой политики для источника (Windows Server 2008), в которой будет указана конфигурация и адрес сервера-коллектора. Требуется включить политику «Конфигурация компьютера/Административные шаблоны/Компоненты Windows/Пересылка событий/Настроить адрес сервера…​» (Computer Configuration/Administrative Templates/Windows Components/Event Forwarding/Configure the server address…​)

и указать адрес сервера-коллектора в следующем формате:

где 60 – частота обращения (в секундах) клиентов к серверу за новыми инструкциями по пересылке журналов, а servername.domain.local — это доменное имя коллектора (Windows Server 2016).

После применения данной настройки на устройствах-источниках следует сделать перезапуск службы WinRM.

8) Перед тем, как приступить к конфигурации подписки на получения журналов событий, требуется сформировать журнал MSExchange Managment. Для этого требуется на сервер-коллектор (Windows Server 2016) начать установку Microsoft Exchange Server 2010.

Далее в любую папку извлечь загруженный файл и запустить процесс установки Microsoft Exchange Server 2010 (запустить setup.exe). Нужно дойти до пункта «Шаг 4: Установите Microsoft Exchange».

После чего запустить этот шаг и дойти до этапа установки «Проверка готовности».

В этот момент формируется нужный нам журнал MSExchange Management. Чтобы это проверить можно зайти в “Просмотр событий” → “Журналы приложений и служб”, там появится журнал MSExchange Management. Дальше продолжать установку Microsoft Exchange Server 2010 не требуется.

9) Далее создаем и применяем конфигурацию подписки на сервере-коллекторе (Windows Server 2016):

Открываем оснастку управления журналами аудита (eventvwr.msc) и находим внизу раздел «Подписки» (Subscriptions). Нажимаем правой кнопкой мыши и выбираем «Создать подписку», задаем имя подписки. Важно выбрать «Конечный журнал» «Перенаправленные события». Далее выбираем опцию «Инициировано исходным компьютером» (Source Computer Initiated). Нажимаем на кнопку «Выбрать группы компьютеров» (Select Computer Groups), выбираем из Active Directory АРМ с Windows Server 2008. Далее нажимаем «Выбрать события» (Select Events), «По источнику». Из списка источников выбирать следующие: MSExchange ADAccess, MSExchange CmdletLogs, MSExchange RBAC, MSExchange Management, MSExchange Management Application, MSExchange Configuration Cmdlet - Management Console.