Microsoft Korea Messaging Team Blog

Troubleshooting MailTips

MailTip은 Exchange서버의 많은 부분들로부터 정보를 가져옵니다.
물론 내부적으로는 이러한 정보를 가져오는 건 매우 복잡할 수 있으나 사용자의 입장에서는 심플하게 정보를 나타내 준다는 것에 의미가 있습니다.

다시 말하면 여러분이 MailTip관련하여 Troubleshooting 을 하고자 한다면 점검해야 할 부분이 여러 파트가 있다는 것을 의미하여 이 장에서는 이러한 MailTip의 트러블슈팅을 위해서 필요한 기초적인 개요를 설명하고자 합니다.

 

Mailtip에서의 캐시(Cache) 정보

MailTips은 빠르고 즉각적으로 사용자들에게 제공하기 위해서 여러 단계에서(서버 및 클라이언트) 데이터를 캐시하고 있습니다.
물론 이로 인해서 때로는 업데이트된 부분이 Cache에 아직 적용되지 않아 잘못된 정보를 가져오기도 합니다.

이러한 문제를 해결하기 위해서 Outlook 또는 OWA와 같은 클라이언트를 재 시작하거나 때로는 IIS와 같은 서비스들의 재 시작이 도움이 되기도 합니다.
또한 Group Metric(그룹내의 사용자 수 또는 중복된 그룹 등의 정보) 정보는 매일 밤마다 업데이트가 되기 때문에 Mailtips을 통해서 Group Matric정보를 확인할 때는 이 점을 명심하셔야 합니다.
다시 말하면 변경된 Group Metric 정보가 24시간 내에 업데이트 안될 수 있다는 것을 의미합니다.

 

Outlook클라이언트에서만 문제가 발생되고 있다면?

OWA(Outlook Web Apps)에서는 정상적으로 MailTip이 동작하나 Outlook 2010에서만 MailTip이 보이지 않는다면 이러한 문제는 Autodiscover 서비스와 관련된 문제일 가능성이 높습니다.

Outlook 클라이언트는 Exchange Web Service의 URL을 찾기 위해서 Autodiscover 를 사용되며 EWS는 MailTip정보를 가져오기 위한 서비스 형태로 사용됩니다.
Autodiscover가 제대로 동작하지 않거나 또는 Autodiscover에 의해서 리턴되는 EWS의 URL이 잘못되어 있다면 Outlook 클라이언트는 MAilTips Web Service 를 제대로 연결할 수 없겠죠.

 

몇몇 MailTips만 문제가 발생하고 있다면?

외부 사용자와 관련된 MailTip은 기본적으로 사용안함(Disabled)으로 설정됩니다. 사용하기 위해서는 아래와 같은 명령어를 실행하시면 됩니다.

Set-OrganizationConfig –MailTipsExternalRecipientTipsEnabled $true

MailTips는 받는 사람의 대상이 조직 내부인지 또는 외부인지를 결정하기 위해서 허용 도메인(Accepted Domain) 리스트를 통해서 ExternalEmailAddress 속성(AD상의 targetAddress Attribute)을 비교합니다.
몇몇의 경우 내부사용자의 메일주소가 허용 도메인 리스트에 존재하는지 아닌지 확인하고자 할 때 External Recipient Tip이 필요할 수 있습니다.

그 밖에 OrganizationConfig 명령셋 통해서 사용할 수 있는 옵션에는 Group Metric 및 Mailbox 관련 MailTips을 사용안함으로 설정할 수도 있습니다.

마지막으로 자동 응답(부재중 알림 OOF) Mailtip은 Exchange 2010 Mailbox 서버에 존재하는 메일사서함에 대해서만 사용 가능합니다.

 

Group Metric 관련된 MailTip에만 문제가 발생된다면?

Group Metric은 주기적으로 Mailbox 서버들에 있는 모든 그룹의 멤버들을 계산하고 이를 CAS서버로 Group metric정보를 내보내기 위해서 Exchange 파일배포를 사용합니다.

이를 확인하고자 한다면 Group Metric정보가 생성되는 \\MailboxServer\GroupMetrics 와 같은 파일 공유를 찾아보시면 됩니다.

만약 Mailbox서버들에서 이와 같은 공유위치를 볼 수 없다면 Group metric정보가 생성되지 않고 있다는 것을 의미입니다.
기본적으로 Group Metric 정보는 오프라인 주소록(OAB)를 생성하는 모든 Mailbo x 서버들에서 생성됩니다.

만약, OAB를 사용하지 않는다면  아래 명령어를 통해서 원하는 위치에 Group metric 이 생성되도록 명시적으로 지정하셔야 합니다.

Set-MailboxServer <Server> –GroupMetricGenerationEnabled $true

(위의 명령어는 단지 OAB를 사용하지 않는 조직에서만 유용합니다. 만약 Mailbox 서버가 OAB를 생성한다면 위의 설정과 관계없이 Group metric정보가 생성됩니다.)

이 공유폴더에 대하여 점검할 때 24시간내에  파일이 변경되었는지 꼭 확인 하시길 바랍니다.
아니면 Exchange Service Host 서비스를 재 시작하면 새로운 파일이 생성될 것이고 프로세스는 조직내의 Group의 수에 따라 몇 분에서 몇 시간까지도 걸릴 수 있습니다.

또한 Exchange 파일배포 서비스가 CAS서버와 Mailbox서버에서 모두 시작되어 있는지 확인하고 CAS서버에서 \\mailboxserver\GroupMetrics 폴더를 접근할 수 있는지 확인해 보셔야 합니다.

 

원문

E.J. Dyksen
http://msexchangeteam.com/archive/2010/01/06/453696.aspx

 

posted by dyjung.

Safe HTML

Safe HTML 이란 기능은 정확히 어느 버전에서 추가 되었는지 기억되진 않지만, Exchange 2000 SP2 부터 추가 되었던 것으로 기억됩니다. 해당 기능은 위험이 있는 tag 들을 포함한 html 형태의 첨부파일에서 tag 정보들을 자동으로 제외하고 보여주는 기능으로 Outlook 에서는 문제가 되지 않지만, OWA 에서는 청구서들을 제대로 볼 수 없게 되었습니다. 첨부파일을 저장하더라도 이미 filter 된 첨부파일은 열어도 의미가 없게 되었습니다. 해당 기능을 보안상의 이유로 Exchange 2003 에서는 disable 하는 방법이 제공되지 않았지만,최근 Exchange 2007 RU8 이상에서 수동으로 사용하지 않도록 설정할 수 있도록 변경되었습니다. 참고로 Exchange 2010 에서는 SP1 에서 다른 디자인으로 제외할 수 있는 방법을 제공할 수 있을 것으로 예측됩니다.

[제목]

   OWA에서 청구서가 열리지 않음

[요약]

Outlook 에서는 정상적으로 열리는 htm 첨부형태의 청구서가 OWA 에서는 정상적으로 열리지 않음.

[원인]

Exchange 2007 OWA의 HTML 첨부파일 상에 위험성이 있는 Tag 들을 자동으로 strip 하는 Safe HTML 기능으로 인한 것으로

Exchange 2007 Rollup 8 이상에서는 해당 기능을 수동으로 disable 할 수 있습니다.

[해결 방법]

1. Exchange 2007 SP1 RU8 이상을 설치합니다.

아래의 내용을 RU8 을 비롯한 최신 update 를 받을 수 있는 링크입니다.

http://technet.microsoft.com/en-us/library/ee221163(EXCHG.80).aspx

Description of Update Rollup 8 for Exchange Server 2007 Service Pack 1

http://www.microsoft.com/downloads/details.aspx?displaylang=ko&FamilyID=e1f5c8b2-c4f2-4eba-849b-e464d4f2869c

Exchange Server 2007 서비스 팩 1용 업데이트 롤업 8(KB968012)

2. Web.config 파일을 추가 백업 후 notepad 로 엽니다.

3. Web.config 의 <appSettings> 부분을 찾아 아래의 붉은 부분을 추가합니다.

<add key=”BypassOwaHTMLAttachmentFiltering” value=”true” />

4. EMC의 ‘클라이언트 액세스’ 서버의 OWA 속성에서 ‘개인 컴퓨터 파일 액세스’와 ‘공용 컴퓨터 파일 액세스’ 탭에서

‘직접 파일 액세스’ 설정의 ‘사용자 지정’을 선택합니다.

5. ‘강제 저장’ 부분에서 .html 과 .html 확장자를 추가합니다.

6. 서비스 재시작 없이 OWA 상에서 보안메일이 정상적으로 열림을 확인할 수 있습니다.

[추가 정보]

관련 기술 내용 및 Safe HTML 기능을 disable 하는 방법은 아래의 링크에서 확인하실 수 있습니다.

http://support.microsoft.com/kb/958881/en-us

All HTML content in attachment files of messages is run through an HTML filter when you open or save the attachment by using Outlook Web Access (OWA)

written by kyunghl

Windows 2008/OCS R2환경에서의 CWA 연결 이슈(Error code:0-1-492)

Windows 2008서버와 OCS R2환경에서 CWA 를 통한 로그온 시에 위와 같은 에러메시지와 함께 로그인 할 수 없는 문제가 발생되는 문제가 있을 수 있습니다.

Cannot sign in because your computer clock is not set correctly or your account is invalid(error code:0-1-492)

 

예를 들면 OCS Pool은 pool1.message.com으로 구성되어있는 환경에서 IP를 1개 추가하고 이를 CWA 웹사이트로 구성하여 cwa.message.com이라는 이름을 통하여 접근하도록 설정할 경우에 해당 문제가 발생될 수 있습니다.

 

현재 Windows 2008/OCS R2에 Kerberos/SPN Missing 문제로 Bug로 등록되어 있으며  다음과 같은 Workaround방법을 통해서 해결할 수 있습니다.

1. ADSIEDIT Tool을 통해서 “기본 명명 컨텍스트”를 연결합니다.

2. 아래처럼 CWA구성 시에 생성한 CWA 서비스 계정을 찾습니다. 기본적으로는 CWAService라는 이름의 계정으로 생성됩니다.

3. 해당 계정을 오른쪽 클릭하여 속성을 클릭하신 뒤에 servicePrincipalName 특성 값을 찾아서 편집버튼을 누릅니다.

그런 다음 CWA연결에 사용할 이름을 http/와 함께 입력합니다.
이는 SPN의 고유 포맷이며 절대 http://와 같은 형태로 넣으셔서는 안됩니다.

위처럼 설정하신 뒤에 클라이언트에서 CWA를 다시 로그인 해 보시면 아래처럼 정상적으로 잘 로그인 되는 것을 확인하실 수 있습니다.

참고문서)
http://support.microsoft.com/kb/968978/EN-US

 

posted by dyjung.

[Exchange 2010]전송규칙(Transport Rule)을 통한 Moderation

특정 조건을 가지는 메일을 발송할 때 2명의 조직내의 사람에게 승인이 필요한 상황이 있다고 가정해 봅니다.

Exchange 2010 환경에서 Outlook 2010을 사용하고 있다면 Transport Rule을 통해서 Medration(중재기능)을 통해서 자동으로 이루어지도록 할 수 있습니다.

이번 예제에서 우리는 “Project Kiwi”라는 제목을 가진 메시지를 보낼 때 2명의 관리자 또는 상사 (ej@contoso.com, administrator@contoso.com)의 승인이 필요한 전송 규칙(Transport Rule)을 만들어 볼 겁니다.

이미 많은 분들이 아시겠지만, 만약 이러한 기능을 수행하기 위해서 1개의 Transport Rule을 생성하고 Moderator 로 위의 두 사람을 지정하게 되면 해당 메일은 위에서 언급한 EJ와 Administrator 두 사람의 승인이 필요한 것이 아니라 둘 중 한 명만 해당 메시지를 승인하면 메시지가 허용으로 처리됩니다.

그러나 우리는 이 시나리오에서 두 명 모두로부터 승인을 받고 싶습니다.

이렇게 하기 위해서는 2개의 Transport Rule을 생성해야만 합니다. 각 Transport Rule 우선순위는 해당 메시지를 먼저 승인해야 하는 사람 순으로 만드시면 됩니다.

Transport Rule 생성시에는 여러 조건을 사용할 수 있습니다만  가급적 쉽게 설명하기 위해서 이 예제는 제목에 특정 문자열이 포함되는 내용에 대한 Transport Rule을 생성해보도록 하겠습니다.

생성된 2개의 Transport Rule

첫번째 Transport Rule : Project Kiwi #1
아래를 보시면 제목 필드에 Project Kiwi가 포함된 메일을 Moderation을 위해 ej@contoso.com으로 전달하는 내용입니다.

두 번째 Transport Rule : Proejct Kiwi #2
마찬가지로 Project Kiwi라는 제목이 포함된 메일의 Moderation을 위해서 administrator@contoso.com으로 전달하라는 내용입니다.

메시지 제목에 “Project Kiwi”라는 문자열이 포함된 메시지는  우선적으로 EJ@constoso.com 에게 보내집니다. 그리고 승인되었을 경우 다음 Administrator@contoso.com에게 보내지게 됩니다.
두 사용자가 모두 승인하면 해당 메시지는 정상적으로 배달됩니다.

Tranpsort Rule을 통한 Moderation 구성에서 위처럼 동작하는 것을 이해하는 것은 매우 중요합니다.
메시지가 일단 승인되면 그 다음 우선순위의 Rule에 의해 해당 메시지가 포함되는지 확인하는 과정으로 동작합니다.

감사합니다.

dyjung.

 

원본 : http://msexchangeteam.com/
http://msexchangeteam.com/archive/2009/12/16/453607.aspx

 

 

Exchange 2010 인증서 작업

Exchange 2007 시절에는 인증서 관련 작업을 모두 파워셀 커맨드를 통해서 행해졌습니다. 매번 긴 커맨드를 외워서 입력하다가 mis-typing 도 발생하는 등 여러모로 번거로웠습니다. Exchange 2010에서는 이 작업을 모두 UI에서 할 수 있도록 개선되었습니다. 직관적으로 인증서 관련 작업을 할 수 있어서 편해진 셈이죠. 간단하게 구성 하는 방법을 소개 해 드리도록 하겠습니다.

본 작업은 Window 2008 환경에서 진행한 것입니다.

Exchange 2010 인증서 작업

n DC 서버에서 Role 추가 시 Active Directory Certificate Service를 선택합니다.

n 향후에 AD서버에 http://servername/certsrv 로 접속하기 위해서 아래 Web Enrollment를 인스톨 합니다.

n 이번 메뉴얼에서는 Enterprise를 선택해서 진행합니다.

n IIS 관리자를 오픈하면 다음과 같습니다.

가상디렉토리의 물리적 경로를 주의깊게 살펴 보시기 바랍니다. En-us 디렉토리 하단까지 지정되어 있습니다.

n 아래 EMC 콘솔 화면에서 Default 로 Self-Certificate 만 존재하는 것을 보실 수 있습니다.

Self-Signed 필드에 True로 되어 있습니다.

n 아래 화면 처럼 New Exchange Certificate 메뉴를 선택합니다. Exchange 2010에서는 UI에서 설정할 수 있게 되었습니다.

아래 화면에서 wild card 를 uncheck하고 각 서비스 별 URL을 지정할 수 있습니다.

n Req 파일을 이용해서 AD 서버의 아래 사이트에서 인증서 요청을 합니다.

위에서 Request a certificate를 클릭합니다.

n Req 파일을 노트패드에서 오픈 한 뒤 내용 전체 카피 후에 붙여 넣기를 아래 사이트에 합니다.

n .CER 파일을 이용해서 아래와 같이 Pending request 를 마무리 짓습니다.

n DC에서 Root CA를 Export 합니다.

n Export한 파일을 로컬에 저장 한 후에 다시 이를 CAS서버에 copy 한 후에, 이것을 아래의 그림처럼 CAS 서버에 Import합니다.

n 그런 후에 다시 시도하면, 아래와 같이 정상 등록이 됩니다.

n 아래와 같이 Name에 아이콘이 변경된 것을 보실 수 있습니다.

n Assign Service 를 선택합니다.

n Overwrite the existing default SMTP certificate 화면에서 Yes를 클릭합니다.

위에서 보이는 것 처럼 아이콘이 정상적으로 등록 된 것을 보실 수 있습니다

[매우중요] OCS/LCS 서비스가 보안 업데이트 후에 시작되지 않는다

1. 이슈 내용(Problem):

OCS 와 LCS에 의해 사용되어 지는 서비스가 MS09-056 을 적용 한 이후에 시작되지 않는다.(Services required by Office Communications Server and Live Communications Server products fail to start after installing MS09-056 (CryptoAPI))

MS09-056은 CryptoAPI 취약점에 대한 보안 업데이트 입니다. 자세한 내용은 아래 기사를 참고하시기 바랍니다.

KB974571 MS09-056: Vulnerabilities in CryptoAPI could allow spoofing
http://support.microsoft.com/kb/974571

2. 증상 설명(symptom and error message):

위 MS09-056 업데이트 후에, OCS/ LCS 서버를 재시작 합니다. 그 후부터는 OCS 서비스가 시작되지 않습니다. 그 때 보여주는 에러는 아래 메시지와 유사합니다.

"The evaluation period for Microsoft Office Live Communication Server 2005 has expired. Obtain the released version of this product and upgrade to the non-evaluation version by running setup.exe."

3. 원인(root cause) :

아직 정확한 원인은 밝혀지지 않았습니다. 현재 원인을 찾고 있는 중입니다.(We are trying to find a solution.)

4. 해결책(workaround) :

우선 MS09-056 을 제거하신 후에 서비스를 시작 하시면 됩니다. (If you encountered this OCS problem, you need to uninstall MS09-056 until MS anounced offical hotfix for this)

이 문제는 OCS/LCS 서버 이외에, 평가판을 사용하고 있는 OC 클라이언트 시스템에서도 영향을 미칠 수 있습니다.

Exchange 2003에서 Right Management Service를 사용하여 메시지 보안구현하기

이 문서에서는 Exchange 2003에서 어떻게 RMS 서비스를 사용하고 이를 통해 보안을 향상시킬 수 있는 지 알아보겠습니다.

Right Management Service(RMS)는 많은 RMS 를 사용하는 Application들에서 애드온으로 사용됩니다.

먼저 혼동하기 쉬운 두가지 보안 기능인 RMS 와 S/MIME을 통한 암호화는 많은 차이가 있습니다.

S/MIME의 경우 최종 수신자가 암호화를 해독한 메시지에 대해서 어떤 작업이라도 가능합니다.
RMS의 경우, 최종 수신자 역시 초기 RMS로 권한이 설정된 메시지에 대해 발송자가 사용한 Template 상에 정의한 권한밖에 사용할 수 없습니다.

다음 그림처럼 모니터를 복사한다면 가능할지도 모르겠습니다. ^^

Windows 2003에서 RMS 기술은 다음 문서를 참고하시면 됩니다.

http://www.microsoft.com/windowsserver2003/technologies/rightsmgmt/default.mspx

개요

RMS 기술은 민감한 정보와 내부 자료를 보호하기 위해서 사용됩니다.
문서 작성자는 RMS 기술을 사용하여 파일 에 대한 접근을 제한하고 Global Address List 상의 일부 사용자에 한하여 이메일을 열람할 수 있게 허용합니다. 이러한 권한은 문서 또는 이메일에 embeded 됩니다. 누군가 RMS로 보호된 문서를 열려고 시도하면 RMS 클라이언트는 RMS 서버에 확인 및 적절한 사용자 licence를 요청하게 됩니다. 내장된 접근 권한 (embedded access permission)에 이름이 등록된 사용자만이 파일을 열 수 있습니다. 인증에 실패한 사용자는 접근 거부 메시지를 받게 되며 이 정보는 모두 SQL Database에 로깅됩니다.

RMS 구성 요소

RMS 기술은 크게 RMS 서버와 RMS 클라이언트로 구성됩니다. RMS 서버는 Rights Management Service를 운영하는 머신이 됩니다. Rights Management Service는 Windows 2003 STD, Ent , Web, Datacenter Edition에 모두 설치할 수 있습니다. RMS 서버의 주기능은 인증서를 제공하고 클라이언트를 검증(Validation) 하는 것입니다. RMS 서버는 SQL 또는 MSDE Database를 필요로 합니다.

RMS 기술은 Active Directory에 깊이 의존합니다. 조직내에 RMS 기술을 사용하기 위해서는 최소 Windows 2000 SP3 이상의 Active Directory가 필요합니다.
작성자가 사용자를 접근 권한 목록에 추가하려 할때 Global Address List를 사용하여 적절한 사용자를 찾게 됩니다. 이러한 정보는 모두 Active Directory 에 저장됩니다. 또한 RMS 기술을 사용한 문서에 권한을 할당하기 위해서 Active Directory 상의 메일 사용 가능 사용자가 필요합니다.

RMS 서버 소프트웨어는 다음 위치에서 다운로드 할 수 있습니다.
(서비스 팩 2이 설치된 Microsoft Windows RMS(Rights Management Services)

http://www.microsoft.com/downloads/details.aspx?displaylang=ko&FamilyID=5794538f-e572-4542-a5bd-901b2720f068

RMS 클라이언트는 데스크톱 소프트웨어로 보호된 문서나 이메일을 생성하고 볼 수 있게 합니다. 다음 위치에서 다운로드 받을 수 있습니다.
(서비스 팩 2이 설치된 Microsoft Windows RMS(Rights Management Services) 클라이언트

http://www.microsoft.com/downloads/details.aspx?displaylang=ko&FamilyID=02da5107-2919-414b-a5a3-3102c7447838

RMS 클라이언트는 그룹정책을 통해서 배포될 수 있습니다. RMS는 RMS aware 소프트웨어를 통해서만 사용됩니다. 다음은 IE 6.0SP1 및 IE 5.5 SP2에서 사용가능한 RMS add-on 입니다.
http://www.microsoft.com/downloads/details.aspx?displaylang=ko&FamilyID=b48f920b-5af0-46b4-994f-2f62582cc86f

RMS SDK는 다음 위치에서 다운로드 가능합니다.
http://www.microsoft.com/downloads/details.aspx?familyid=48529F43-3BD8-46B4-9091-A0161E022856&displaylang=en

In the following sections, I will explain the details of installing and provisioning an RMS server, Service Connection Point (SCP) registration in Active Directory and installing RMS client. 

RMS 설치

랩 구성은 다음과 같습니다.

Windows 2000 SP4 Active Directory Domain

Exchange 2003 Server + SP2
SQL 2005 Server + SP3
Windows 2003 Member Server

Windows XP SP3 + Office 2007 SP2 Client

1. RMS 서버에 MSMQ를 설치합니다.

2. RMS 서버를 다운로드 받습니다.

3. WindowsRightsManagementServicesSP2-KB917275-Server-KOR.exe 를 설치합니다.

4. 설치 과정에서 RMS Service Group이라는 보안 그룹이 로컬 컴퓨터에 추가됩니다.
RMS 를 서버에 Provision 할 때 , RMS Service Account는 RMS Service Group에 추가됩니다.

RMS Server Provisioning

시작 -> 모든 프로그램 -> Windows RMS 메뉴의 Windows RMS Installation을 클릭합니다.

기본 관리 포트는 5720 입니다. (Provisioing을 구성으로 번역함.)

1. “이 웹사이트에 RMS를 구성합니다.” 를 클릭합니다.

2. 구성 데이터 베이스 구성

3. RMS 서비스 계정 설정

4. 클러스터 URL 설정

5. 개인 키 보호 및 등록

6. 서버의 인터넷 연결

7. 구성 진행 화면

8. 설치가 완료됨.

9. 다음과 같이 3개의 Database 가 생성됩니다.

10. 오프라인으로 설정한 경우 다음 작업을 추가로 진행합니다.

a. Offiline을 선택한 경우 다음의 작업을 추가로 진행해야 합니다. “이 웹사이트에서 RMS 관리”를 클릭합니다.

b. 다음 화면에서 등록을 클릭합니다.

c. 내보내기를 클릭합니다.

d. Export 된 XML 파일을 다음 위치에 전송합니다.
https://activation.drm.microsoft.com/OfflineEnroll/Enrollment.aspx

e. ServerCert.xml 파일을 저장합니다.

f. 찾아보기 후 다운로드 한 ServerCert.xml 파일을 가져오기 함.

g. 서버 사용 허가자 인증서를 가져오기 합니다.

h. 서버 사용 허가지 인증서 등록이 완료되었습니다.

RMS Service Connection Point를 등록합니다.

1. 클러스터 관리 à RMS 서비스 연결 지점을 클릭합니다.

2. URL등록을 클릭합니다.

3. 다음과 같이 SCP를 확인할 수 있습니다.

4. ADSIEDIT 상에 다음위치에서 SCP관련 Attributes 들을 확인할 수 있습니다.

RMS 템플릿 만들기

Windows RMS 실행 -> 권한 정책 템플릿 실행

다음과 같이 템플릿이 생성됩니다.

RMS 클라이언트 소프트 웨어 설치

1. WindowsRightsManagementServicesSP2-KB917275-Client-KOR.exe를 클릭해서 설치합니다.

2. 설치가 완료되었습니다.

3. 다음과 같이 파일들이 설치된 것을 확인할 수 있습니다.

4. 다음의 레지스트리 설정을 통해서 RMS Template 의 위치를 지정할 있습니다.

http://technet.microsoft.com/ko-kr/library/dd772637(WS.10).aspx

Microsoft Office 2007:HKEY_CURRENT_USER\Software\Microsoft\Office\12.0\Common\DRM

Outlook 에서 새 메시지를 만들고 다음과 같이 템플릿을 지정할 수 있게 됩니다.

5. 수신자 쪽에서 다음과 같이 권한이 제한된 메시지가 수신된 것을 확인할 수 있습니다.

메시지를 열면 다음과 같이 SCP에 접속함을 알려줍니다.

다음과 같이 전달 메뉴가 Gray로 설정되어 있습니다.

클라이언트 인증서는 다음 위치에서 확인할 수 있습니다.

1. CLC-
Client Licensor Certificate (CLC): Certifies clients to encrypt with RMS Server Public Key

2. CERT-

Machine Certificate: Unique per user on a machine; used to protect the RAC

3. GIC-

Rights Account Certificate (RAC): User’s RSA key pair issued and signed by server

4. EUL-

End User License or Use License: Signed proof of a Principal’s Rights plus the enabling bits for content usage by Grantee

사용자는 하나의 Right Account Certificate(RAC) 와 Certificate Licensor Certificate(CLC)를 가지지만 Access 하는 Contents에 따라 여러개의 End UserLicense(EUL) 을 가집니다.

By shsong

Configuring Disclaimers

 

기존에는 text based disclaimer를 추가할 수 있었습니다. 이제는 HTML based message 형태로 도 설정할 수 있습니다. 그 사용 예를 랩으로 보여드리도록 하겠습니다. (레벨 100)

1. ORG-Hub Transport를 선택합니다. 그리고 New Transport Rule 을 클릭합니다.

아래와 같이 “Sent to users that are inside or outside the organization or partners”를 선택하고 next 버튼을 클릭합니다.

아래와 같이 disclaimer text 링크를 클릭한 후 HTML 양식을 입력합니다.

Exception 부분에 “Except when the subject field or message body matches text patterns”을 선택하고, Step2 의 “text patterns” 링크를 클릭한 후 “This E-mail and attachments are intented for YOU”를 입력합니다.

아래와 같이 완성된 룰을 확인 합니다.

2. 테스트를 합니다. OWA로 로그인을 합니다.

자기 자신에게 메시지를 발송합니다. 그리고 수신된 메시지를 확인 해 봅니다.

하단에 HTML 로 입력한 disclaimer 가 추가된 것을 보실 수 있습니다.

위 disclaimer 로 입력한 내용을 메시지 body로 해서 보내면, 정의한 disclaimer 내용이 추가 안 되는 것을 확인 하실 수 있습니다.

Configuring Transport Rules for Email supervision and Approval

 

이번 에는 랩을 통해서 Moderator 관련 동작하는 메카니즘을 알아보도록 하겠습니다. 수준은 좀 낮습니다. 시나리오는 다음과 같습니다.

특정 그룹에 메시지가 배달 되기 전에 승인이 요구하는 Transport rule을 생성하고 테스트 하는 예를 보여 드리도록 하겠습니다.

1. 첫번 째로 새로운 distribution group과 그 그룹에 멤버를 추가합니다.

a. 아래와 같은 파워셀을 실행합니다.

b. 그룹 멤버를 추가합니다.

c. 확인을 합니다.

2. 새로운 Transport Rule을 생성합니다.

a. 아래와 같이 Org config-Hub Transport 에서 New Transport Rule을 선택합니다.

위에서 Supervisors Distribution Group Moderation이라고 입력을 합니다. 그리고 Enable Rule을 체크합니다. Next 를 클릭합니다.

위의 그림 처럼 “Sent to a member of distribution list”를 체크합니다. 그리고 하단의 “distribution List” 링크를 클릭합니다. 그리고 아래와 같이 supervisors 를 선택합니다. Next 버튼을 클릭합니다.

아래의 화면의 Action 단계에서, “forward the message to addresses for moderation” 을 선택합니다.

그리고 addresses 링크를 클릭한 후에, Holy 와 Mike을 선택한 후 OK 버튼을 누릅니다.

완성된 룰을 보면 다음과 같습니다.

다음을 누른 후에, Exceptoins 단계에서 “except when the message is from member of distribution list”를 선택합니다. 그리고 Step2에서 “distribution List” 링크를 클릭합니다.

아래와 같이 Supervisors 를 선택합니다.

완성된 룰은 아래의 그림과 같습니다.

다음 버튼을 클릭한 후 생성 버튼을 클릭합니다.

3. OWA 를 사용하여 테스트를 진행합니다.

a. OWA로 접속하여서 jungseo 계정으로 로그인 합니다. Supervisors 그룹에 포함이 안 된 계정입니다.

b. To field에 supervisors를 넣고 메시지를 발송합니다.

c. 룰에서 위 그룹으로 메일을 보낼 경우 Mike와 Holly 로 포워딩 되도록 설정했었습니다. 따라서 Mike 계정으로 OWA 로그온을 시도합니다. 과연 어떤 메일이 도착했나 체크를 해 봅니다.

우측 상단 Action 오른쪽에 있는 사선 방향의 화살표를 클릭합니다. 그러면 다음과 같이 승인자가 취할 수 있는 Action 이 나옵니다.

Mike 의 위 메시지에서 Approve 버튼을 누르기 전에, 같은 승인자 레벨이었던, Holly의 메일박스를 접근해 봅니다.

아래와 같이 동일한 메시지가 도착해 있는 것을 확인 하실 수 있습니다.

Mike 메일함에서 Approve 버튼을 클릭합니다.

위 작업이 끝난 후에, Holly 메일함에 가면, 위 Request 메일이 Deleted Items으로 Move한 것을 보실 수 있습니다.

그리고 Inbox 에는 아래와 같은 메일이 오게 됩니다.

이번 랩에서는 distribution Group을 생성하고, membership 승인을 받도록 설정하는 방법을 진행하도록 하겠습니다.

1. 우선 파워셀을 통해서 “Partners” 라는 그룹을 생성합니다.

2. 다음 계정을 추가합니다.

3. Distribution Group의 소유자를 설정하고, 등록정보를 체크합니다.

a. 아래와 같이 Partners 그룹의 등록정보에서 “Group Information”탭을 선택한 후, managed by에서 Spencer 를 선택합니다.

b. 아래와 같이 디폴트 “membership approval” 탭을 체크하고 OK 버튼을 클릭합니다. 기본적으로는 가입시 자동 가입이 안 되고, 승인을 받아야 하며, Join을 위한 모든 요청은 자동으로 reject 됩니다.

하지만, 그룹을 탈퇴하는 경우는 언제든지 소유자 승인없이 나갈 수 있습니다.

4. Partners 그룹에 Join 하는 시도를 해 보도록 하겠습니다.

a. Mike로 OWA 로그인 시도를 합니다.

Options 을 선택하고 로그인정보를 입력합니다.

b. Navigation pane에서 Group을 선택합니다.

c. Public Groups I belong To 하단에서 Join 을 클릭합니다.

Partners 그룹을 선택하고 Join을 클릭합니다.

에러 메시지를 확인하고 종료 합니다.

다시 Partners 등록정보를 오픈하고, “membership approval” 탭에서 Owner approval, Approval by group owners is required 를 선택합니다.

Mike 계정으로 로그온 한 뒤, Partners 그룹에 Join 시도를 합니다.

경고 메시지를 확인하고 종료 합니다.

다음은, 위 Mike가 요청한 메일이 Approver 에 해당하는 Spencer 에 도달했는 지 체크합니다.

그리고 Approve 를 합니다.

마지막 로그온 한지 30일이 지난 사용자 메일박스 disable 하는 파워셀

$date=Get-Date

$date=$date.AddDays(-30)

Get-MailboxStatistics | Where {$_.LastLogonTime -lt $date} | where{$_.DisplayName –notlike “system*”} | where{$_.DisplayName –notlike “CAS_*”}|disable-Mailbox –confirm:$false

위 내용이 파워셀에서 라인 by 라인으로 실행 해서 잘 동작하면,

http://bbs.freechal.com/ComService/Activity/BBS/CsBBSContent.asp?GrpId=231318&ObjSeq=20&PageNo=2&DocId=133236629 를 참고해서, 위 내용을

PS1 저장한 뒤

http://bbs.freechal.com/ComService/Activity/BBS/CsBBSContent.asp?GrpId=231318&ObjSeq=20&PageNo=2&DocId=133266729

위 내용을 보고, 스케줄러로 등록해서 하시면 됩니다.

 

단, 위 내용은 로컬에서 충분히 테스트 해 보시고 검토하시기 바랍니다.

이 파워셀로 인한 어떤 피해도 책임지지 않습니다. :)

written by jungseo

Soft Deletion and Hard Deletion ?

“소프트 삭제” and “하드 삭제” ?

고객분께서 궁금해 하셨던 부분인데.. 한번쯤 정리하는 것이 좋을 것 같아서 blog site에 올립니다.

클라이언트 관점

Outlook 과 같은 클라이언트로 Exchange Mailbox에 직접 연결하였고 Folder 상의 아이템을 삭제하는 경우, 일반적인 상황에서 이 메시지는 지운 편지함(Deleted Item) 폴더로 이동됩니다.

그리고 이 지운 편지함 폴더 비우기를 실행하면 이 요청은 Exchange information Store로 전달됩니다. 필요에 따라서 메시지를 선택하고 SHIFT+DELETE를 누른 상태에서 삭제하면 강제로 삭제할 수 있습니다.

만약 클라이언트 프로파일이 Exchange Server Mailbox가 아닌 개인폴더 (.pst) 로 배달되도록 설정되었다면 Message는 지운 편지함으로 옮겨지는 대신 실제로는 사용자의 개인폴더로 복사되고 이후 받은 편지함에서 삭제됩니다.

영구적으로 지운 편지함 폴더로 먼저 이동하지 않고 항목을 제거할 수 있습니다. 이 절차는 "하드 삭제" 라고 하드 삭제 중 세 가지 예입니다.

· Microsoft Outlook 사용자가 메시지를 제거하려면 Shift + Delete를 누릅니다.

· 있는 인터넷 메시지 액세스 프로토콜 4 (IMAP4), 우체국 프로토콜 3 (POP3) 또는 다른 유형의 지운 편지함 폴더로 않습니다 먼저 메시지를 이동하는 않는 메시징 클라이언트 사용합니다.

· 오프라인 폴더 파일 (.ost) 과 오프라인 일하는 Outlook 사용자가 메시지를 받은 편지함 또는 다른 폴더를 제거하고 오프라인 폴더 파일 서버와 동기화되지 전에 지운 편지함 폴더를 비웁니다. 서버에 있는 폴더에서 항목의 하드 삭제를 생성합니다.

클라이언트 수준의 하드 삭제 후 복구할 수 있는 방법은 “지운 편지함 복구” 입니다.

Information Store 관점

Information Store는 Message ID를 통해서 참조하는 특정 폴더의 메시지에 삭제 요청을 받았을때, Information Store는 이 메시지가 Soft Deleted(Logical Deletion) 또는 Hard Deleted(Physical Deletion) 되었는지 결정합니다. Message의 “하드 삭제”은 다음 항목들에 해당됩니다.

· 클라이언트가 “하드 삭제”을 요청

· 삭제 아이템 보존 기간이 0인 경우

· 사서함 저장소나 공용 폴더 저장소 상의 레지스트리가 “Force Hard Deletes” 로 설정된 경우

· Message를 PST 로 이동한 경우

· IMAP4 클라이언트 같이 Deleted item folder를 사용하지 않는 경우

· 삭제를 요청한 계정이 Gateway인 경우

· 삭제를 요청한 계정이 System 인 경우

기본적으로 Mailbox database 또는 Public Folder 수준에서 설정이 가능합니다.

사용자별로 설정하게 되면 Mailbox Store 수준을 Override 합니다.

Software Deletion

“소프트 삭제”은 위의 언급한 “하드 삭제”의 조건에 해당하지 않는 경우 수행됩니다.

메시지가 클라이언트에서 삭제되면 ptagMsgDeleted라는 flag가 설정됩니다. 이 값은 메시지가 삭제되었음을 표시합니다. 이와 함께 사서함과 폴더 상의 메시지 숫자는 업데이트 됩니다.

폴더에서 “소프트 삭제” 되었음을 알리는 MsgFolder Table 상의 항목에 Flag를 설정합니다.

이 시점에서 메시지는삭제된 아이템 복구에서 복구할 수 있습니다. 기본적으로 클라이언트는 이 값이 설정된 메시지를 표시하지 않습니다.

이 값이 표시된 메시지를 보기 위해서는 클라이언트의 Dumpster 기능을 활성화해야 합니다.

Dumpster 기능이 활성화되어 있지 않다면 메시지들은 다음 유지보수 프로세스가 진행될때 폴더에서 삭제됩니다. Outlook 2007 클라이언트는 기본적으로 Dumpster 기능이 활성화 되어 있고 Outlook 2003의 경우 지운 편지함에 대해서만 Dumpster 기능이 활성화 되어 있습니다.

Dumpster 기능이 활성화되어있다면 삭제된 항목 보존기간이 지난 메시지들만이 유지보수 프로세스에 의해 삭제됩니다. (1시간 간격으로 동작하는 Back Ground Cleanup)

이러한 메시지들은 스케쥴링 된 information store 유지보수 과정에서 각 폴더의 “소프트 삭제” 된 아이템에 대해서 “삭제된 항목 보존기간” 을 지난 메시지를 확인합니다. 이러한 메시지가 확인되면 이 메시지들에 대해서 “하드 삭제”을 진행합니다.

“하드 삭제”

메시지가 “하드 삭제” 되면 Message reference 는 즉시 MsgFolder Table에서 삭제됩니다.

(MsgFolder Table은 Folder Table과 Message Table의 목록을 mapping 하는 table 입니다.)

이 시점에서 “지운 편지함 복구”를 사용한다 할지라도 메시지들은 더 이상 사용할 수 없게 됩니다. Message에 대한 Reference count가 체크되고 이 값이 0으로 떨어지면 이는 어떠한 사서함에서도 이 메시지의 복사본을 사용하지 않는다는 의미가 됩니다. message table에서 제거될 수 있음을 표시하는 DeletedMessages Table에 목록이 생성됩니다.

다음번 Background cleanup process 동안에 , deletedMessages 테이블의 목록들은 점검되고 상응하는 messages table 항목은 삭제됩니다.

기본적으로 이 작업은 1시간 간격으로 진행되며 다음 레지스트리를 수정하여 조정할 수 있습니다. (기본 값은 60000 으로 설정되어 있습니다.)

· HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MSExchangeIS \ParametersPublic\Background Cleanup (value in milliseconds)

· HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MSExchangeIS\ ParametersPrivate\Background Cleanup (value in milliseconds)

Exchange 2000

Exchange 2010 에서도 동일합니다.

결론

지운 모든 아이템들은 기본적으로 지운 편지함으로 이동됩니다. 아웃룩과 같은 클라이언트에서 SHIFT + DELETE 한 경우 클라이언트 입장의 “하드 삭제”이 진행됩니다. 지운 편지함의 아이템을 지우면 역시 또 “하드 삭제” 됩니다.

지운 편지함 폴더에서 삭제한 item의 경우, “삭제된 아이템 복구”을 통해서 복구가 가능하고 지운 편지함 이외의 폴더들도 “삭제된 아이템 복구” 을 통해서 복구가 가능합니다.

그럼 “하드 삭제”을 했는데 왜 “삭제된 아이템 복구” 에 나타나는 걸까요 ? 이는 Outlook과 Exchange Information Store 수준의 “하드 삭제”에 차이가 있기 때문입니다.

Exchange Database 관점에서의 “하드 삭제”과 아웃룩과 같은 클라이언트 관점에서 SHIFT+DELETE는 동일하지 않습니다. SHIFT+DELETE 로 삭제한 경우에도 MsgFolderTable상에 여전히 메시지가 남아있게되고 “삭제된 아이템 복구” 를 통해서 복구할 수 있습니다.

Outlook의 Auto-Archiving이나 “지운 편지함 삭제” 역시 여전히 Soft Delete 입니다.

Outlook의 ““지운 편지함 복구””에서 복구할 수 있는 한 Soft Delete라 할 수 있습니다.

보존기간이 끝났거나 Soft Deleted Item이 “삭제된 아이템 복구” 에서 다시한번 삭제될 경우(Purged)

이 아이템에 대해서는 Hard-Deletion이 일어나게 되고 영구히 삭제됩니다. 이 경우 복구할 수 있는 방법은 Backup으로 부터 Restore 밖에 없습니다.

(Exchange information Store 입장에서 보면 “삭제된 아이템 복구”에서 다시 한번 삭제될 경우 Hard-Deletion이 됩니다.)

다시 한번 정리해보면,

Outlook에서 delete 명령으로 E-mail 아이템을 삭제할 수 있습니다. 이것은 일반적인 삭제에 해당합니다.

Delete 명령은 아이템을 “지운 편지함(Deleted Item)으로 보냅니다.

지운 편지함 비우기를 하면 더 이상 이들 아이템은 보이지 않고 Exchange informatin store 수준에서 soft-delete가 발생하게 됩니다.

아웃룩에서 Shift+Delete 명령을 사용하면 이 또한Exchange informatin store 수준에서soft-delete가 됩니다.

Shift+Delete 명령은 아이템을 “지운 편지함” 으로 보내지 않습니다. 아이템들은 눈에 보이지 않는 상태가 되지만 여전히 삭제된 폴더상에 남게 됩니다.

위에서 언급한 Shift+Delete 로 삭제한 아이템들과 “지운 편지함” 비우기를 통해 삭제된 아이템들은 설정된 보존 기간이 끝나기 전까지 Exchange Database 에서 사용가능합니다.

By shsong

POP3 & SMTP in E2k7

E2k7 에서 POP3와 SMTP 설정

1. EMC 에서 HUB 롤을 인스톨하면, 기본적으로 두 개의 Receive connector가 생긴다. 그 중 하나가 587 포트를 사용하는 Default Client 로 명명되어진 커넥터 이다. 이는, POP3또는 IMAP4를 사용하는 클라이언트 APP로부터 메일을 받는 HUB 서버인 경우이다.

Hub Transport server receiving e-mail submissions from a client application that uses Post Office Protocol version 3 (POP3) or IMAP4

Client

This Receive connector is automatically created on every Hub Transport server when the role is installed. By default, this Receive connector is configured to receive e-mail through TCP Port 587.

OUTLOOK Express를 통해서 이 커넥터를 이용해 메일을 보내기 위해서는 다음과 같이 두 군데 설정을 해야 한다.

먼저 클라이언트에서의 설정은 포트를 587로 변경한다.

서버단에서는 아래와 같이 Anonymous에 대해서 check를 해야 한다.

위 설정을 무시하고, 그냥 Default Receive Connector의 25포트를 통해서도 보낼 수 있다.

덧붙여, 내부 사용자가 아닌 외부로 메일을 보내는 경우는 공히 두 경우 아래와 같이 SMTP Relay 에러가 발생 한다.

따라서 다음과 같이 RELAY 허용관련 설정을 추가한다.

다음은 POP3에 대한 설정이다.

아무런 설정을 하지 않으면 보통 다음과 같은 에러가 발생한다.

인증서 없이 POP3를 이용하고자 할 때는 서버에서 Server configuration의 Client Access에서 POP3 and IMAP4탭을 선택한 뒤, POP3의 인증 탭에서 아래와 같이 첫번째 인증방식을 선택한다.

위에서 두 번째 인증방식을 사용코자 할 때는 클라이언트 Outlook express에서 다음을 체크해 준다.

TIP>

When a user tries to log on to Exchange Server with Outlook Express and Secure Password Authentication, the client will pass the credentials of the user logged on to the workstation. If the logon works using the Clear Text option: <NT Domain/NT Account/Alias>, the user will have to change his or her mailbox alias to the Windows NT account name in order to use Secure Password Authentication. This is because Secure Password Authentication will not pass the mailbox alias information. It defaults to <NT DOMAIN\NTACCOUNT> and Exchange Server assumes the alias to be the Windows NT account.

자 이번엔 SMTP와 POP3의 SSL을 위한 설정을 해 보자.

1. 우선 인증서 SAN을 발급한다.

2. CAS서버에서 인증서 관련 요청 작업을 수행한다.

아래와 같이 Saved Request 항목에 1번 과정에서 생성한 Certreq.txt의 내용을 복사하고, Certificate Template는 Web Server를 선택한다.

아래와 같이 인증서를 로컬 서버에 저장합니다.

3. 인증서 등록 작업을 아래와 같이 파워셀에서 수행을 한다.

방금 생성한 인증서를 IIS 서버에서 확인 할 수 있다.

POP3관련해서도 다음과 같이 X.509 Certificate name에서 확인을 할 수 있다.

만약 방금 생성한 인증서가 아니면, Secure communications의 Server Certificate를 선택하고, 방금 생성한 것으로 바꾸는 작업을 한다.

4. 추가로 테스트를 하는 클라이언트에서 인증서 체인을 선택한다.

5. 현재 인증서와 서비스의 맵핑 정보를 보고자 할 때는 다음과 같다.

위와 같이 특정 Certificate(Thumbprint)에 대해서 특정 Service가 enable된다.

TIP>

The Enable-ExchangeCertificate cmdlet enables certificates when it updates the metadata that is stored with the certificate. To enable an existing certificate to work with different services, run the Enable-ExchangeCertificate command and specify the services that you want to enable. You can rerun this cmdlet if you want to add new services that use the certificate.

Remember that different services have different metadata requirements on a given certificate. In addition, the Enable-ExchangeCertificate cmdlet is only additive. That means that you can't disable or remove specific services from the certificate by using the Enable-ExchangeCertificate command.

To disable a certificate without removing or deleting the certificate, set the Services parameter to None. Setting the Services parameter to None does not remove any service metadata from the certificate.

[클라이언트 테스트]

[CASE1]

1. workgroup클라이언트 Outlook express에서 인증서체인을 설치하지 않음.

2. POP3서버 정보에 Pop3.kbiz.net을 입력함.

3. 보내기 받기를 하는 순간 “사용자가 연결한 서버에서 사용하는 보안 인증서를 확인할 수 없습니다. 인증서는 체인은 처리되었지만, 신뢰공급자에 의해 신뢰되지 않은 루트 인증서에서 중지되었습니다.” 경고 창이 뜸.

4. 인증서 체인을 클라이언트에 인스톨 한 뒤, 더 이상 위 경고창 뜨지 않음.

[CASE2]

5. POP3서버 정보에 인증서에 등록한 FQDN이 아닌, Receive Connector 를 가진 허브서버의 IP를 넣음.

6. 다음과 같은 경고가 뜸. “사용자가 연결한 서버에서 사용하는 보안 인증서를 확인할 수 없습니다. 인증서의 CN이름이 전달된 값과 일치하지 않습니다. 이 서버를 계속 사용하시겠습니까?”

7. 인증서 등록시 사용했던 FQDN을 넣으면 정상적으로 됨.

[CASE3]

8. 이번엔 SMTP 서버 등록정보에 IP를 넣고, 메시지 한 개를 작성 한 후 보내기 시도함. 0x800CCC1A 에러가 발생함. KB832566 참조. SECURE Connection관련 에러임.

9. IP를 지우고 인증서 SAN 에 등록한 SMTP.kbiz.net을 입력함. 그 후 정상화 됨.

===================================================================

[CASE4]

10. 클라이언트에서 SSL를 모두 OFF시키고, 메시지를 새로이 작성 한 후 메시지 전송 시도함. SMTP 관련하여 다음 에러가 발생함.

“보낸 사람의 전자 메일 주소를 서버에서 거부하였으므로 이 메시지를 보낼 수 없습니다. 보낸 사람의 전자메일 주소는 *** 입니다. 제목 ** 계정** 서버 ****, 프로토콜 **** 서버응답: ‘451 5.7.3 Must issue a STARTTLS command first’, 포트: 25. 보안(SSL):아니오, 서버오류: 451, 오류번호: 0x800CCC78

POP3는 SSL을 OFF해도 정상적임.

[CASE5]

11. 클라이언트에서 SMTP SSL을 enable하고, 서버단 설정은 다음과 같이 SAN 리스트에 없는 FQDN으로 입력함. 클라이언트는 SMTP.kbiz.net으로 접근.

새로운 메시지를 클라이언트에서 생성하고 보내기 버튼 클릭하면, 다음과 같은 경고창이 발생함.

“사용자가 연결한 서버에서 사용하는 보안 인증서를 확인할 수 없습니다. 인증서는 체인은 처리되었지만, 신뢰공급자에 의해 신뢰되지 않은 루트 인증서에서 중지되었습니다.”

위 에러가 난 이유는 인증서에 Infoguy.Kbiz.net 이 없어서 이다. 만약에 SAN에 이를 추가했으면, 클라이언트에서 SMTP.kbiz.net이란 불일치 되는 이름으로 접근해도 에러가 발생한다. 위 FQDN 설정에서 Infoguy 만 넣어도 동작한다. 이는 SAN에 있기 때문이다.

결국, 클라이언트가 접근하는 URL과 인증서 체인상에 있는 SAN 에 등록된 URL이 일치하고, 이 내용이 RC에 등록되어 있으면 동작하는 것이다.

기본적으로는 Exchange Server authentication과 Offer Basic authentication only after starting TLS 까지 체크되어 있다.

클라이언트에서 SMTP SSL을 사용하고 싶지 않을 때는 서버 단에서 TLS 설정을 OFF한다.

아웃룩 클라이언트와 같은 SMTP Client가 HUB 서버들과 TLS를 요구할 때, STARTTLS가 사용된다. 아래는 그 과정이다.

**STARTTLS**

TIP>

When an SMTP session is established, the receiving server initiates a certificate selection process to determine which certificate to use in the TLS negotiation. The sending server also performs a certificate selection process. For more information about that process, see Selection of Outbound Anonymous TLS Certificates.

This topic describes the certificate selection process for inbound STARTTLS. All the steps described in this topic are performed on the receiving server. The following figure shows the steps of this process.

Selection of an inbound STARTTLS certificate

1. When the SMTP session is established, Microsoft Exchange calls a process to load the certificates.

1. In the load certificate function, the Receive connector to which the session is connected is checked to see whether the AuthMechanism property is set to a value of TLS. You can set the AuthMechanism property on the Receive connector by using the Set-ReceiveConnector cmdlet. You can also set the AuthMechanism property to TLS by selecting Transport Security Layer (TLS) on the Authentication tab of a given Receive connector.
   If TLS is not enabled as an authentication mechanism, the server does not advertise X-STARTTLS as an option to the sending server and no certificate is loaded. If TLS is enabled as an authentication mechanism, the certificate selection process continues to the next step.
2. The certificate selection process retrieves the fully qualified domain name (FQDN) value from the Receive connector configuration. If the FQDN value on the Receive connector is null, the server's physical FQDN is retrieved.
3. The certificate selection process searches the local computer certificate store for certificates that match the FQDN. If a certificate is not found, the server does not advertise X-STARTTLS, no certificate is loaded, and Event ID 12014 is logged in the Application log.
4. The certificate selection process searches for all certificates in the certificate store that have a matching FQDN. From this list, the certificate selection process identifies a list of eligible certificates. Eligible certificates must meet the following criteria:
   • The certificate is an X.509 version 3 or a later version certificate.
   • The certificate has an associated private key.
   • The Subject or Subject Alternate Name fields contain the FQDN that was retrieved in step 3.
   • The certificate is enabled for Secure Sockets Layer (SSL)/TLS use. Specifically, the SMTP service has been enabled for this certificate by using the Enable-ExchangeCertificate cmdlet.
5. If no eligible certificates are found after these checks, the server does not advertise X-STARTTLS, no certificate is loaded, and Event ID 12014 is logged in the Application log.
6. From the eligible certificates, the best certificate is selected based on the following sequence:
   • Sort eligible certificates by most recent Valid from date. Valid from is a Version 1 field on the certificate.
   • The first valid public key infrastructure (PKI) certificate that is found in this list is used.
   • If no valid PKI certificates are found, the first self-signed certificate is used.
7. The certificate is checked to see whether it has expired. The Valid to field in the certificate properties is compared to the current date and time. If the certificate has not expired, STARTTLS is advertised. If the certificate has expired, Event ID 12016 is logged in the Application log, but STARTTLS is still advertised.

**Anonymous TLS**

1. HUB와 EDGE간의 SMTP session 에 사용됨.

2. HUB끼리의 SMTP Session에 사용됨.

인증서 로딩 프로세스à수신 커넥터에서 인증 메커니즘을 체크àAD에 쿼리하여 해당 서버에 존재하는 인증서의 Thumbprint를 확인à Thumbprint에 근거하여 Certificate Store를 체크àExpire date 체크àPKI인지 Self-signed인지 체크àPKI선호àbest certificate 가 msExchServerInterTLSCert와 일치하는 지 체크à일치하면 Anonymous TLS통신 시작.

다음과 같은 구조가 있다고 가정하자.

HUB 서버에서 SAN을 발급할 때, mail.kbiz.net/Hub1.Kbiz.net/Hub2.Kbiz.net/Hub3.Kbiz.net/Autodiscover.Kbiz.net/Hub1/Hub2/Hub3로 생성한다. Private Key exportable로 해서 이를 다른 허브로 Export한 뒤 Import한다. EDGE도 동일한 방법으로 한다.

HUB간의 Server TO Server의 X-anonymous 통신을 위해서는 Exchange Server authentication이 체크되어야 하고, Receive connector의 FQDN이 반드시 Netbios 명 또는 Phsycal PQDN 또는 Null이 되어야 한다.

위 세 이름은 모두 SAN에 등록되어 있다.

만약, SMTP 전용서버도 TLS로 다수 서버를 L4 하에 구축하고자 할 때는, SAN에 mail.kbiz.net을 추가하고, FQDN항목에 servername.kbiz.net 또는 servername을 입력하고, 클라이언트에서는 mail.kbiz.net으로 SMTP 서버를 지정한 후 SSL 통해서 보내면 아무런 에러 없이 발송할 수 있다.

따라서, SMTP SSL을 위해서는 Receive connector에 등록한 이름이 SAN에 있고, 클라이언트도 SAN에 등록된 이름으로 SMTP 서버 입력을 해야 한다는 것이다.

DAG 구성 방법

DAG 구성 방법

본 구성은 MBX 두대와 HUB가 한대 있다고 가정했을 때의 구성방법입니다.

MBX서버는 순수하게 mailbox role 만 인스톨 되어 있습니다.

1. EMC 2010을 띄웁니다.

2. Organization ConfigurationàMailboxàDatabase Availability Group tab을 갑니다.

3. 오른쪽 pane의 아무곳이나 누르고 오른쪽 마우스를 클릭합니다. 그리고 “New Database Availability Group” 을 선택합니다.

위에서 오른쪽 Action pane에서 선택하셔도 됩니다.

4. DAG 명을 지정합니다. 그리고 File share witness에 대한 경로를 적어 줍니다.

5. First node를 추가하기 위해서 DAG1을 오른쪽 마우스로 클릭한 뒤, Manage DAG Membership 을 선택합니다.

6. 다음과 같이 MBX1/MBX2을 선택합니다.

아래는 최종 구성된 화면 입니다. Member servers에 MBX1과 MBX2가 포함된 것을 볼 수 있으며, Witness Server 와 Directory 도 확인 할 수 있습니다.

HUB 서버에 가면 FSW 디렉토리가 생성되었음을 확인할 수 있습니다.

Database Copy 를 생성하는 단계입니다.

MBX1에 있는 database를 위한 COPY본을 MBX2에 생성시키는 작업입니다.

브라우저 버튼을 클릭한 후에 MBX2 서버를 지정합니다.

생성이 되고, 아래와 같이 MBX2서버에서 Sync 작업이 이루어집니다.

아래와 같이 양쪽 서버의 같은 디렉토리 Path 에 DB와 Log 가 있음을 알 수 있습니다.

다음과 같이 최종적으로 Sync 작업이 완료됩니다.

GAL 분리하기

아래와 같이 2 회사의 사용자들이 각기 다른 스토어에 사서함을 지니고 있습니다.

(1) OAB를 위해 Address List 생성하기

LDAP filter 대신 OPATH filter를 사용하기 위해서 각 계정 속성에 회사 정보를 아래와 같이 명명하였습니다.

CompanyA와 CompanyB를 위한 각각의 주소록을 생성합니다.

GAL 생성은 GUI로 제공되지 않습니다. 아래의 Powershell 명령을 통해 직접 입력해야 합니다. 아래 명령을 살짝 기억해 주세요.

아래와 같이 2개의 Address List 생성을 완료합니다.

Outlook에서 살펴 보면 각 주소록이 보이고 정상적으로 Filter 되는 것을 확인할 수 있습니다.

여기서 또 문제가 발생합니다. CompanyA 의 사용자들은 B회사의 Addresslist를 볼 수 없어야 하지요. 따라서 주소록을 볼 수 없도록 권한 수정이 필요합니다.

(일단 GUI로 설정하고 GAL 설정 시에 Powershell 명령을 살펴 보도록 합니다.)

다소 당황스럽지만 ADSI를 통해서 보면 ORG 내의 Address lists Container 아래에 주소록들이 모두 포함되어 있는 걸 확인할 수 있습니다. 생성한 A회사의 AL 에 B회사 사용자들이 주소록을 볼 수 없도록 ‘주소 목록 열기’ 권한을 ‘거부’합니다. 반대로 B회사의 AL에도 동일하게 A회사 사용자들에게 해당 권한을 거부합니다.

위와 같이 설정하면 A 회사 사용자가 B회사 Address List를 열면 아래와 같이 에러가 발생하겠지요.

자, 위와 같은 방법으로 이제 GAL을 생성해 봅니다.

(2) Global Address List 생성하기

New-GlobalAddressList –Name ‘ACompanyGAL’ –IncludedRecipients ‘AllRecipients’

-ConditionalCompany ‘A’

‘기본 전체 주소 목록’ 이외에 추가된 2개의 GAL을 확인할 수 있습니다.

이제 ‘기본 전체 주소 목록’을 사용자들이 볼 수 없도록 해야 추가적으로 생성한

GAL을 사용할 수 있습니다. ADSIEdit 대신에 Powershell을 통해서 Permission 조절해

보겠습니다.

Add-Adpermission –id “기본 전체 주소 목록” –User agroup@e2k7.com

– ExtendedRights Open-Address-Book -Deny

위와 같은 방법으로 B회사 사용자들에게도 Open-Address-Book에 대해서 Deny 권한을

주어야 합니다.

PowerShell 명령의 결과입니다. ADSIEdit로 보면, 아래와 같이 보입니다.

아마 위와 같이 설정하고 Profile을 설정하면 책갈피 오류와 함께 사서함 설정이 되지 않

을 수 있습니다. 생성한 GAL 들이 update 가 완료되지 않아서 발생할 수 있습니다.

아래와 같이 GAL을 수동으로 update 합니다.

Profile 생성이 완료되면 GAL 정보가 변경되어진 것을 확인할 수 있습니다.

그런데 OWA는 현재 문제가 있네요. 두 회사 사용자가 최근에 만들어지 B회사의 GAL을

기본적으로 불러 오네요

기본적으로 사용자 속성에 msExchQueryBaseDN 이라는 값이 있습니다. 기본 <not Set>으로 이 값이 없으면 OWA 에서 기본 GAL 을 사용하게 됩니다. 하지만 저희 시나리오에서는 Permission이 없기 때문에 최근에 생성된 GAL을 보게 되는 것으로 보입니다. 해당 값에 사용자가 보게 될 GAL의 DistinguishedName을 입력하면 OWA에서 해당 주소록을 사용하게 됩니다.

위와 같이 설정하면 아래와 같이 사용자가 OWA에서 참조하는 주소록이 변경됩니다.

(3) Offline Address Book 구성하기

이제 1에서 구성한 Address List를 통해서 Offline Address Book을 구성해야 Outlook 사용자가 오프라인 주소록을 다운로드 받을 수 있게 됩니다.

실제 추가적으로 구성한 OAB 가 정상적으로 배포되면 아래의 위치에 새로운 OAB를 위한 배포지점이 정상적으로 확인됩니다.

GUID 가 제대로 보이지 않을 경우 OAB를 update 합니다.

Update는 GUI와 Powershell 을 통해 가능합니다.

OAB 업데이트 후 ‘Microsoft Exchange 파일 배포’ 서비스를 재시작합니다.

사용자가 어떤 OAB를 사용할 것인지에 대한 설정은 기본적으로는 ‘참’으로 설정되어 있는 Default Offline Address Book을 사용합니다. 설정을 변경하려면 각 Store 별로 사용할 OAB를 수동으로 설정해 주어야 합니다.

Outlook 2007을 사용해서 B 사용자로 로그온하고 주소록을 다운로드함면 아래와 같이 스토어 속성에서 지정한 OAB 만 다운로드 가능한 것을 확인할 수 있습니다.

기존과 달리 주소록을 선택하면 기본적으로 OAB 로 설정된 주소록이 GAL 이라는 이름으로 보이네요.

(4) OAB – 공용폴더 배포

일단 Outlook 2007 사용자가 아닌 사용자들은 OAB를 공용폴더에서 다운로드 가능합니다.

따라서 공용폴더 스토어를 추가한 후 OAB 속성에서 ‘공용 폴더 배포 사용’을 enable 합니다.

Outlook 2003 클라이언트도 OAB를 정상적으로 다운로드한 것을 확인할 수 있습니다.

~~~ 끝!!!

tip: A사 혹은 B사 사용자 모두를 포함하는 GAL 생성하기

-ConditionalCompany ‘A’.,’B’

GUI 상에서는 handling 불가능함.

written by kyunghl

클러스터 리소스 삭제 복구하기

다음 방법은 어떤 사고로 인해서 Database Resource가 삭제 돠었을 때 복구하는 방법을 소개합니다.

아래는 SCC 클러스터로 구성된 환경을 클러스터 관리자로 오픈한 화면입니다.

반전된 Second/****** 는 Second 라는 스토리지그룹에 있는 AAAA이라는 DB 입니다.

상황을 재현하기 위해서 강제로 Cluster 관리자에서 아래와 같이 해당 DB 를 삭제합니다.

오프라인 후에 아래와 같이 삭제가 됩니다.

그런 후에 EMC를 보면 해당 DB가 Dismount 되어 있음을 보실 수 있습니다.

EMC에서 문제의 데이터베이스를 마운트 시도 합니다. 다음과 같은 에러가 발생합니다.

복구하는 방법

1. 아래와 같이 문제의 DB가 속한 Storage Group에 대한 GUID 값을 알아 냅니다.

2. 문제의 DB에 대한 GUID 값을 알아냅니다.

GET-MailboxDatabase -id "DB명|ft GUID

3. 클러스터 관리자에서 Database resource를 수동으로 생성합니다.

만드는 과정에서 종속성에 Information Store를 넣어줍니다.

4. Powershell 에서 다른 Database에 대한 정보를 열람합니다.

DatabaseGUID와 StorageGroupGuid, 그리고 NetworkName이 맵핑 되어 있는 것을 보실 수 있습니다.

5. 위 내용을 참고로, 동일하게 방금 생성한 database resource 에 대해서 세 가지 attribute에 대해서 아래와 같이 맵핑 작업을 해 줍니다.

세 가지는 SgorageGroupGUID/DatabaseGuid/NetworkName 입니다.

6. 레지스트리에 보면 아래와 같은 위치에 데이터가 입력 된 것을 확인 할 수 있습니다.

7. 정상적으로 문제의 DB가 탑재된 것을 보실 수 있습니다.