Exchange Server

KB メモ: Exchange Server 2000/2003 でマスタアカウント ID のないユーザアカウントへの対応

YamaKen — Sun, 20 Jan 2008 01:01:00 GMT

id:9548 が発生する要因を謳った、複数の記事の整理。
# ホントは KB 相互で関連が述べられていれば一番いいのだけど。2003 までの Exchange の、仕様上の問題だしね。

ユーザーアカウントを無効にすると、 id:9548 のエラーが出っぱなしになる。これは、このログエントリが生じる要因となったアカウント(ログに記録されています)のアクセス制御エントリの状態が問題。
これは、そのユーザアカウントの持つ msExchMasterAccountSid という属性に何も値が入っておらず、メールボックスにアクセスできる(含プロキシ)ユーザーアカウントが無効になっているので、システム側(Exchange であるとか、あとは例えばバックアップソフトなど。)で操作できないよというわけです。
この問題の解消には、基本的には SELF アカウントに「フルメールボックスアクセス」及び「関連付けられた外部アカウント」の権限を与えます。こうすることで、 msExchMasterAccountSid に空白が設定されることはなくなり、システムアカウントなどがアクセスした際にエラーを吐かない状態になります。(対処の、一番の基本形)
ここから派生、分岐する形で対処がいくつか分かれます。PSS に連絡して、ツールを入手する、スクリプトで一気に片をつける、 LDIFDE で格闘する、といった風に、オブジェクトの持つ属性情報(含アクセス制御エントリ)を変える方向と、 Exchange Server 2003 でエラーを報告しないようにする hotfix を、やはり PSS に連絡して入手するという方向の二つがあります。

この一連の問題を扱う KB (いくつかあります)を整理、分類すると、次のようになりますね。

291151: 問題の概要、原因、対処基本形の紹介
278966: LDIFDE による対処の紹介
555410: NoMAS ツール(PSS に連絡し、入手する。)の存在紹介。詳しい使い方はリンク先の記事を参照のこと。
903158/916783: 前者が Exchange Server 2003 Gold、後者が同 SP2 環境向けの hotfix。
これをあてると、 msExchMasterAccountSid がないといってエラーを吐かないようになる。

この辺含めて、日本語で整理された情報ってまだまだ少ないのが Exchange の現状だと思う。
… 2007 のサポート状態(含オンラインで公開の文書)ってもしかして、そこからずっと改善されている?

KB:257265 Exchange 2000 Server および Exchange Server 2003 でのトランスポートに関する問題の一般的なトラブルシューティング

YamaKen — Thu, 25 Oct 2007 00:53:00 GMT

メッセージが送信先ドメインによっては蹴られるとか、どこまで到達していたのか不明である、などといった場合にメッセージの送信経路を調べるとき、ログを残しているかどうかが明暗を分けることがある。通常、特定のメッセージがどこの途中経路でどのような扱いをされているかをチェックするには、ログを追っかける作業を含むはずなので。
この記事はそこら辺の追いかけ方の情報を扱っている。

257265 Exchange 2000 Server および Exchange Server 2003 でのトランスポートに関する問題の一般的なトラブルシューティング
http://support.microsoft.com/kb/257265/ja

なお、「メッセージ追跡センター」を使う設定を行い、且つ削除期限(規定で何日か忘れた。)を定めている場合、指定日数を超える、「メッセージ追跡センター」のログは削除される。このとき、イベントログには Warning として記録されるが、別に何かシステム動作自体にクリティカルにかかわるものでもないので、状況や Exchange Server が置かれている環境を見たうえで、本当に問題がないなら無視を行えばよい。

KB:924701 (管理グループのリネームと新規作成を行うと、システムフォルダの複製に失敗することがある)(機械翻訳)

YamaKen — Thu, 25 Oct 2007 00:41:00 GMT

タイトルは本当は違うんだけど。最近の KB に増えてきた、長々したもの。一応、オリジナルを提示しておきます。機械翻訳の読み取りやすさはちょっと向上しているかな。依存関係そのほか、Hotfix にかかわる部分はわりと読めるし。なお、この記事に関連した更新プログラムはサポートに連絡の上入手する必要あり。適用にはExchange Server 2003 SP2 が必要。

The Free/Busy system folder cannot replicate between Exchange servers after you create a new administrative group on a server that is running Exchange Server 2003
http://support.microsoft.com/kb/924701/en-us/

■ この記事で触れている現象のキーポイント

障害発生の直接の原因となった操作
管理グループを何らかの理由でリネームし、更に、リネームした管理グループの旧名と同じ名前の管理グループを新たに作った。
障害に関連する仕掛け: legacyExchangeDN 属性
障害発生の理由(Exchange の動作にかかわるもの)
管理グループの持つ legacyExchangeDN 属性は、表示名の変更では変わらない。
と、いうより、表示名変更では、 Active Directory に刻み込んでいる、 Exchange を示す識別名は変更されない。
Exchange 側で何が起こっているのか
重複した識別名のオブジェクトが作られていて、後にできたものは複製を行えない。
この障害への対策
1．で触れたような操作を行わない。
類似した現象
Active Directory 上の、Exchange Server 関連のオブジェクトのうち LDAP 識別名を持つものにマルチバイトな文字列で名前を付けると、そのオブジェクトの識別名には別の文字列(Exchangeうんたら～というかんじの文字列になる。)が使われる

■ hotfix 適用による OS 再起動必須?
必要なし。

... と、大まかにはこれくらいが分かればいいのかな。機械翻訳がもっと読めるようになっていればいいのだけど。

KB: 253838 [XADM] 受信者更新サービスでシステムポリシーが適用されるしくみ

YamaKen — Sat, 29 Sep 2007 00:41:00 GMT

KB 253838 は Exchange Server 2003 の受信者更新サービスによる「システムポリシー」の適用の対象と順序に触れており、先日の実験結果を裏付ける資料にもなっている。

253838 [XADM] 受信者更新サービスでシステムポリシーが適用されるしくみ
http://support.microsoft.com/kb/253838/

この記事を見て初めて気づいたのだが、受信者一覧へのメールアドレスの表示を行わない設定(アカウント個別にプロパティを開いて属性値を変更する)も「システムポリシー」扱いであり、このサービスが担っている。
そう言われれば確かに、過去に触れた環境では、受信者更新サービスが動いて初めて、グローバルアドレス一覧も更新されていた。

受信者更新サービスの動きとしては単にポリシーを適用するだけではなく、その前段階として対象アカウントの属性のチェックを入れている。つまり大雑把に括ると、こういう↓ことになるかな。

定期巡回時、個別の管理対象アカウントで属性の確認及び補填(なければアカウントに属性を新規追加。アドレス一覧の更新もここで。showInAddressBook 属性を追加する。)
ユーザが構成したポリシ条件に従ってポリシの適用、属性値の更新
その他タスク(例えばKB253770に記載のあたり。)

なお、受信者更新サービスはこれらポリシーを設定するなど、グローバルカタログサーバへの読み書きを頻繁に行う。そしてこのために「グローバルカタログを持つドメインコントローラ」を一つ占有する。(←できるだけ同一ネットワークセグメントに配置すること。)
進行状況の確認方法は纏まっていないので、KB246127を参考にすること。

メモ: Exchange Server の legacyExchangeDN (2000&2003)

YamaKen — Sat, 22 Sep 2007 05:08:00 GMT

最近、 legacyExchangeDN という属性をやけに目にするので、少しまとめてみたい。
まず、この属性は Exchange Server 上でメールアドレスを付与するオブジェクト(ユーザーアカウントなど)にくっつく。色々なシーンにおいて、裏でこの仕掛けが活用されている。
この属性は、管理グループを /o=組織名/ou=管理グループ名.... のスタイルで表している。
Exchange 2000/2003 が内部処理を行うのに必要な属性であり、メールボックス作成の際に設定される。ユーザーなどアカウントごとに一つ、一意に近い値になる。
マルチプロセサを持つサーバマシンでは、一意性は確保されない。(KB925397)
一定の条件を満たすと、受信者更新サービスが動いて、受信者ポリシーを適用するとき、Exchange 上でメールアドレスを付与するが、対象アカウントにこの属性がなければ、追加される。(KB253838)
管理グループをその後移動してもこの属性は変わらない。
私の知る限りはこんなところに関係してきている。システムフォルダにしまうモノ全般と、ストレージ上のメールボックス管理ってトコか。

空き時間およびリソースメールボックスの動作(予定表の共有)
システムフォルダ。擬人化したシステムアカウントのメールボックスに、予定表のアイテムから成るメッセージを投げることで、ユーザーは予定表の更新を行える。メッセージを受けたシステムアカウントがパブリックフォルダの一種である、予定表を格納するシステムフォルダにそのメッセージを転送することで、予定表がユーザ間で閲覧できるようになり、共有できる。システムフォルダでいうとSchedule+というか Free/Busy フォルダがその転送(投稿)先。システムフォルダ内部では、予定表は管理グループごとに分かれた形で格納されている。その格納先として指定されるのが、この legacyExchangeDN 属性。(詳細は Exchange Server 2003 のストレージガイドおよびKB841659参照)
オフラインアドレス帳
Outlook がキャッシュする、アドレス一覧。管理グループごとにまとまったものを使う。利用者のユーザーアカウントが持つ legacyExchangeDN 属性の値が変更されると、古いものを棄てて新しいコピーをゼロからダウンロードする。(KBの841273,839826が参考になる)
履歴および、(メールの)仕訳ルール(詳細はKB841659)
回復用ストレージグループやオフラインの回復用環境で、データの復旧
バックアップデータにある状態と同じ管理グループにメールボックス所有者が存在しないと、何かエラーを発生させた記憶あり。
たぶん回復用ストレージグループの動作要件などにこのことは書いてある。)

と、ここまで書いていて思ったのだが、 legacyExchangeDN の利用シーンを個別に紐解くより、ストア上のメールボックスの内部的な管理方法をチェックしたほうがいいかもしれない。
legacyExchangeDN は、現状でわかるだけでも割と広めで脈絡がない複数の機能で使われている属性。そして、実際に目にするときはたいがい、何かのトラブルシュートで動くときなのよね。

メモ: Exchange(2003) での MailNickName 属性

YamaKen — Tue, 18 Sep 2007 07:27:00 GMT

ちょっとした実験結果。 Exchange Server 2003 環境で mailbox-enabled な状態のユーザーオブジェクトの持つ MailNickName 属性から値を消去すると、次のことが起こる。

自分自身からすらメール送信を受け付けない。
「電子メール」タブが消失する(Active Directory ユーザーとコンピュータ)

ここから、少なくとも「電子メール」タブの表示にはそのユーザーオブジェクトの MailNickName に、何某かの値が何か入っていないといけないとわかる。この属性はグローバルアドレス一覧や各種ポリシのフィルタで使われることも実際に多いので、うっかりこの属性自体を消去したり、値を消した時の影響はほかにもあるかもしれないが。なお、この属性は"Active Directory ユーザーとコンピュータ" を使って、メールボックスが有効なアカウントのプロパティを開くと、Exchange全般、のタブの中で「Exchangeエイリアス」といった名前の項目として表示される。

メモ: Exchange Server 2007の設計ポイント (日経 ITPro)

YamaKen — Sat, 02 Jun 2007 02:58:00 GMT

Exchange は最近、とんと触れてない。 2007 はまだじっくりいじれてないのだが、昨年の TechED Yokohama 2006 のセッションでも紹介があったように、大きく変わる。 SOX 法対応、コンプラ強化に関する機能もいいのだけど、ほかにもいろいろな機能があって、使いこなすと楽しいだろうなと思う。(それでも、設計など「下準備」にあたる部分の「乗り越えた、成功した」場数が極端に低い私としては、使いこなせるかどうか不安ですが。)

Exchange Server 2007 設計のポイント
http://itpro.nikkeibp.co.jp/article/COLUMN/20070320/265783/

メモ: ADSI を用いて Active Directory から情報を取得したり、アカウントを操作する方法を扱う KB など

YamaKen — Sat, 26 May 2007 20:29:00 GMT

これも過去に調べただけで内容精査はまだ…後日取り組む。なお、この辺はスクリプトでの実装にあたってはスクリプトセンタも参照のこと。ADSI 向けの scriptomatic もあることだし。

248717 How to Modify Attributes That Replicate to the Global Catalog
http://support.microsoft.com/kb/248717
Global Catalog(GC) への複製を行う対象の属性(Attributes) を編集する方法。VBScript サンプルあり。
257819 [HOWTO] Visual Basic または VBA から ADO を Excel データで使用する
http://support.microsoft.com/kb/257819/ja/
ADO を用いた Excel 上のデータ操作を扱う。
252459 Retrieve Properties of User Objects with ADSI and ADO
http://support.microsoft.com/kb/252459
VB のサンプルコードあり。
252490 How To Use ADSI to Query the Global Catalog for a UPN
http://support.microsoft.com/kb/252490
VB と C++ のサンプルコードあり。
216393Windows 2000 と Windows XP のコンピュータアカウントのリセット
http://support.microsoft.com/kb/216393
コンピュータアカウントのリセット方法の一つとして、VBScript のサンプルコードあり。
321360 How to use native ADSI components to find the primary group
http://support.microsoft.com/kb/321360
プライマリグループの取得、変更について触れている。サンプルコードあり。
817875 "Illegal Modify Operation" Error Message When You Use ADSI Edit to Raise the Forest Functional Level to the Windows Server 2003 Interim Level
http://support.microsoft.com/kb/817875
規模的に大きいところが関連するのかな。たぶん自分自身はこれで扱う状況に触れることはほぼないが、備忘録として。機能レベルを上げるのは管理ツールから行うのが妥当。
842637 You cannot use the distinguishedName attribute to sort an LDAP query in Windows 2000 or in Windows Server 2003
http://support.microsoft.com/kb/842637
サーバ側(LDAP での返し。)でデータをソートさせるのではなく、 ADO を使ってアクセスし、取得した結果をクライアント側でソートする方法に触れる。サンプルコードあり。
187529 How To Use ADO to Access Objects Through an ADSI LDAP Provider
http://support.microsoft.com/kb/187529/
ADO を用いて Active Directory に問い合わせる Visual Basic のサンプルコード。
305144 UserAccountControl フラグを使用してユーザーアカウントプロパティを操作する方法
http://support.microsoft.com/kb/305144/ja
この記事でふれられているのは、プロパティに設定されている値一覧。スクリプトでもこの表に載っている内容が使えればいいかな。
ADSI を使っての Active Directory への簡単なアクセス(MSDN)
http://msdn.microsoft.com/library/ja/jpdnadsi/htm/ADSI.asp
単体処理向けのサンプルは割と多く紹介されているかな。エラー処理とか、繰り返し処理は厚くないので、自前で実装を考える必要あり。DN がキメウチなので、ホントに「名前を指定して接続する」必要がない限りは RootDSE で既定のドメインに接続するようにしたほうがいい。RootNamingContext(Forest root につなぐ)や DefaultNamingContext(最寄りのドメインコントローラが所属するドメイン) で振り先を変えるだけでも、割と使えると思う。こういうので対処できなくて、どうしても「ドメイン名指定」をしなきゃいけない時に初めて、指定する仕掛けを作っておけばいいと思う。
ADSI Scripting for Administering Windows 2000/2003 Networks(Richard Mueller)
http://www.rlmueller.net/ADOSearchTips.htm
Scripting か何かの MVP である Richard Mueller 氏のまとめた記事。LDAP 文はちょっと質面倒なんだよな…自分はついつい SQL 文に逃げてるのだけど、そうも言ってられまい。ココ見ながら少しずつでも、なれていかないと。
Searching with ActiveX Data Objects (ADO)
http://msdn2.microsoft.com/en-us/library/aa746471.aspx
VBScript および VB のサンプルあり。SQL 文を使って操作する例。接続の切断とか、エラー処理についての記述がないかな。
241474 How To Render the Global Address List with ADSI
http://support.microsoft.com/kb/241474
ADO 接続部分はこう書くよりは With ステートメントでまとめたほうが分かりやすいと思う。参考部分の、 CDO を用いてのリストの作成も参照のこと。
295821 XGEN: Windows Management Instrumentation Error Return Codes
http://support.microsoft.com/kb/295821
ターゲットが Exchange 2000 なのであんまり真新しさとかはないのだけど、 Exchange を WMI を通じて操作する際の参考としてメモ。
Scripting Exchange Using VBScript and ADSI (Part 1)
http://www.msexchange.org/articles/Scripting-Exchange-VBScript-ADSI-Part1.html
これも同様。今なら PowerShell でできることが大量にあるとは認識しているけれども。さらに、 2007 だと CDOEXM 等を通じた管理は下準備が要るはず。
251334 有効期限の切れた複数のユーザーアカウントを Windows NT から削除する方法
http://support.microsoft.com/kb/251334
NT ドメインで有効期限の切れたアカウントを一括して自動削除するための方法に触れる。サンプルコード主体。
327079 How to programmatically create a mailbox for an existing user in the Active Directory by using CDOEXM
http://support.microsoft.com/kb/327079
CDOEXM を用いてメールボックスを作成するためのサンプル
ADSI を用いて Active Directory にユーザを一括登録(朱の鳥; Linux フリーソフトライブラリ)
http://www.akenotori.jp/createuser.html
CSV ファイルを用いて、 Active Directory へのアカウント一括登録を行うコードを公開。 Exchange 2000/2003 のメールボックス作成にも対応。名前付けもわかりやすくて、綺麗なコードだと思う。(利用するならば、エラー処理は追加実装必須。)
Umachander 氏のサイト(元 SQL Server MVP)
http://www.umachandar.com/
Exchange 管理などのスクリプトあり。
Rob van der Woude's Scripting Pages: Batch Files, PowerShell, Rexx, KiXtart, Perl, VBScript, HTA
http://www.robvanderwoude.com/index.html
バッチファイル、各種スクリプト、 PowerShell のサンプルあり。なお、実行ファイルを用いず、バッチのみでシャットダウンを行うスクリプトは過去にここで最初に見つけた。
Win32 Scripting.... Everything you need to get up and running
http://cwashington.netreach.net/main/default.asp?topic=news
これもよく参照しているソースの一つ。ASP 部分が落ちてトップページを表示できないこともあるので、気に入ったジャンル、コードはお気に入りに追加するなどしておくとよい。
180751 INFO: Error Messages Shared Between VBCE and VBScript
http://support.microsoft.com/kb/180751/en-us
ADSI 無関連だが、VBScript のリファレンスよりも、メッセージの数が載っているので参考まで。
247557 IIS: How to Restart IIS Services by Using WSH with ADSI
http://support.microsoft.com/kb/247557
IIS 管理用スクリプトを ADSI で作成するサンプル。

メモ: WMI で接続する名前空間

YamaKen — Sun, 20 May 2007 00:53:00 GMT

WMI を使って情報を取得、乃至セットするとき、root\CIMv2 と root\Default のどちらかを使う。(手許では圧倒的に前者を用いている。)

CIMv2 ... 多くの場合、既定の接続先。通常、こちらをもっともよく使う。 CIM (Common Information Model) とは DMTF の定めたシステム管理機能の共通規格。 (*1)

default ... CIMv2 とは別の、独立した名前空間。さまざまな WMI クラスを抱える。

ほか、 Exchange Server なら root\MicrosoftExchangeV2 という名前空間に関連クラスを集めるなどしている。どのサーバ製品でどの機能を管理したいのかを絞ったうえで名前空間を確認するとよいのかと思う。

(*1) このほか、 SMBIOS などもこの組織の成果物。

出典の中心: 次のドキュメント。

Microsoft Support WebCast: System Administration Scripting in the Microsoft Windows Environment - August 13, 2002
http://support.microsoft.com/servicedesks/webcasts/wc081302/WCT081302.asp
↑ 英文。 Webcast 本体は全体の 1/3 であり、残りは Q&A というアツい、わりと濃い目のセッション。 Answers の中には SNMP のプロバイダに関する文書へのリンク、及び Wscript.Exec であったり、 TCP/UDP 接続状況を表示するサンプルコードなどもある。
KB325946: Support WebCast: Microsoft Windows: System Administration Scripting in the Windows Environment
http://support.microsoft.com/kb/325946
↑ そもそもそのトランスクリプトのモトになっている Webcast の PPT とストリーミングの所在。
WMI による Windows の管理
http://msdn.microsoft.com/library/ja/jpdnwmi/htm/wmi.asp

KB: 837853 Windows Small Business Server 2003 インストール後イベント ID 2000 が発生する

YamaKen — Thu, 18 Jan 2007 10:54:00 GMT

SBS 2003 とちょっと格闘中なのですが、イベントログ上の MTA のエラーがどうしても取り除けないところでこの KB を発見。日本発の KB のようですね。

837853 Windows Small Business Server 2003 インストール後イベント ID 2000 が発生する
http://support.microsoft.com/kb/837853/ja

無視していいって書いてあるけどホントなのかしら…。この KB 以外でそんなことを言っているソースは見つけていないのだけど(汗