XADM: Методы обхода уязвимости для решения проблем с Mbconn.exe

Переводы статьи Переводы статьи
Код статьи: 301585 - Vizualiza?i produsele pentru care se aplic? acest articol.
Развернуть все | Свернуть все

В этой статье

Проблема

В статье описываются методы обхода уязвимости следующих известных проблем в Mbconn 6.0.4417 версии:
  • Mbconn задает разделители legacyExchangeDN верхнего регистра, чего клиенты Outlook смогут опубликовать свои данные о занятости.
  • Mbconn неожиданно завершает работу после использования диалоговых окон просмотра файлов.
  • Импорт LDIFDE не работает из-за неправильно отформатированные записи в файл экспорта Mbconn.
  • "Нет такого объекта" или базы «не частных данных на этом сервере» появляется сообщение об ошибке.
  • Все повторные почтового ящика выводятся как ошибки, несмотря на то, что повторные действительно работал.

    Примечание.: Может потребоваться 10 минут или более для почтовых ящиков, становятся доступными после операции восстановления.

Решение

Для решения проблемы загрузите последний пакет обновления для Microsoft Exchange 2000 Server. Дополнительные сведения см. в следующей статье базы знаний Майкрософт::
301378XGEN: Как получить последний пакет обновления для сервера Exchange 2000

Временное решение

Для временного решения проблемы Mbconn, перечисленных в разделе «Проблема» данной статьи, с помощью методов обхода проблемы в следующих разделах (как это возможно):

Mbconn задает разделители LegacyExchangeDN прописные

Клиент Outlook не будет обрабатывать информацию свободно/занято правильно Если legacyExchangeDN атрибут объекта пользователя-владельца имеет разделители в верхнем регистре. Например типичное legacyExchangeDN выглядит следующим образом:
/ o = Организация/ou = узел/cn = Получатели/cn = пользователь
Созданный MBCONN legacyExchangeDN будет выглядеть следующим образом:
/ O = организация/OU = узел/CN = получатели/CN = пользователь
Чтобы автоматически устранить эту проблему можно использовать средство Fbfix.exe.Дополнительные сведения см. в следующей статье базы знаний Майкрософт::
286783XADM: Ошибка сообщений, бесплатные обновления и сведения данных в Exchange 2000
Также можно экспортировать и импортировать затрагиваемые объекты с помощью LDIFDE.exe, установленный по умолчанию в Windows 2000 server.

  1. Создание файла экспорта формата LDIF, содержащий все пользовательские объекты, которые должны быть изменены. Это можно сделать для каждого домена. Если имя домена Active Directory является headquarters.mycompany.com и контроллером домена в домене, называется DC01, следующие команды Ldifde будет экспортировать все объекты в домене, для которых значение legacyExchangeDN:
    -F LDIFDE E:\LEGACY.LDF -D "DC ШТАБ-КВАРТИРЫ, DC = MYCOMPANY, DC = = COM" -R "(LEGACYEXCHANGEDN=*)"
    В предыдущей команде параметр -L ограничивает только legacyExchangeDN значение, тем самым упрощая re-import в файл выходных данных для каждого объекта.

    Эта команда должна создавать файл экспорта, содержащий несколько записей, подобное приведенному ниже:
    DN: CN = Doe\», «Джон», «Подразделение = компании, контроллер Домена штаб-квартира, DC = = Mycompany, DC = com
    ChangeType: Добавление
    legacyExchangeDN: / O = организация/OU = Корпоративная/CN = получатели/CN = JohnD
    DN: CN = Doe\, Мария, Подразделение = компании, контроллера Домена штаб-квартира, DC = = Mycompany, DC = com
    ChangeType: Добавление
    legacyExchangeDN: / O = организация/OU = Корпоративная/CN = получатели/CN = JaneD
  2. Отредактируйте файл re-import.

    Гораздо проще вносить изменения в файл экспорта в файл правильного импорта при наличии в текстовом редакторе, который поддерживает поиска и замены разрывов. Программа «Блокнот» не поддерживает эту возможность, но не Microsoft Word. The instructions given here for editing the file are for Word, but may work in other editors.

    The LDIF file syntax for making modifications to existing objects is quite different from the syntax for adding objects. The export is in the "add" format, and must be transformed to the "modify" format.

    Each record must be changed from this format:
    dn: CN=Doe\, John,OU=Corporate,DC=Headquarters,DC=Mycompany,DC=com
    ChangeType: Добавление
    legacyExchangeDN: /O=Organization/OU=Corporate/CN=Recipients/CN=JohnD
    to this format:
    dn: CN=Doe\, John,OU=Corporate,DC=Headquarters,DC=Mycompany,DC=com
    changetype: modify
    replace: legacyExchangeDN
    legacyExchangeDN: /o=Organization/ou=Corporate/cn=Recipients/cn=JohnD
    Specifically, you must make the following changes:

    • You must change the changetype value from add to modify.
    • You must add a line beneath the changetype line that readsreplace: legacyExchangeDN.
    • You must change the /O=, /OU=, and /CN= characters in the legacyExchangeDN to lowercase.
    • You must add a hyphen on a line by itself after each entry, and there must be an additional blank line separating entries.
    Примечание.: The LDIF import format must be strictly adhered to; even minor deviations cause errors when you try to import the file. There must be one space and only one space after each colon in each entry. If you need to break long lines, you must indent the continuation of each line exactly one space. At the end of the file, the last entry must also contain a hyphen, and a blank line under the hyphen, or the file does not import correctly.

    Many text editors, including Word, use the characters ^p to represent line breaks. ("^p" does not stand for "CONTROL+P", but for the caret (^) character followed by a lower case p.) The following table uses the ^p convention to represent a line break, and defines each search and replace change needed in Word to transform the file:
    Search for . . .              Replace with. . . 
    
    /O=                           /o=
    
    /OU=                          /ou=
    
    /CN=                          /cn=
    
    ^p^p                          ^p-^p^p
    
    changetype: add^p             changetype: modify^preplace: legacyExchangeDN^p
    					
    Существенный:: If you use Word or another word processing program to edit the file, be sure to save the file as plain text. Inspect the file in Notepad after you save the file to be sure that the file is readable and is formatted correctly as plain text.
  3. Import EXPORT.LDF back into Active Directory by using the following command:
LDIFDE -I -F LEGACY.LDF
All objects should import successfully. If there are any problems, Ldifde reports the line on which a problem was encountered. Investigate such problems by carefully examining the affected record in the import file. For most errors, Ldifde stops the import procedure at the first error, even if records after the error are good. If the cause of an error is not immediately obvious, it may be more efficient to remove the problem record, finish the import, and then manually modify the object that did not import by using ADSIEdit or Ldp.

You can verify that all objects were modified by running the ldifde command that you used previously to export the objects. You should no longer be able to find uppercase /O, /OU or /CN values in the file.

After you modify the legacyExchangeDN values, you need to stop and restart all Exchange 2000 services, including the system attendant.

Mbconn Quits Suddenly After You Type a Log File Name in the Browse Dialog Box

Mbconn automatically generates a log file of Mbconn operations in the folder that Mbconn.exe resides in. If this location is not writeable (for example, if Mbconn.exe is on a read-only share), Mbconn prompts you to select a different log file location. A standard file selection dialog box is displayed. Regardless of the location or file name that you select, Mbconn quits unexpectedly.

To work around this problem, either copy Mbconn to a writeable location, or clickОтмена:in the file browse dialog box to use Mbconn without logging.

Mbconn Quits Suddenly After You Browse for an Export File Location

When you create an export file, if you click the fileОбзорbutton, Mbconn quits suddenly.

To work around this problem, type the file name, and then clickGenerateto create an export file.

Mbconn Does Not Enumerate Exchange Databases

After you define the domain controller and Exchange computer to which you want Mbconn to connect, you may receive either of the following error messages:
No private databases found on this Exchange Server
-ИЛИ-
Mailbox Reconnect

Connection to server failed.
ExServer : Exchange1
DC : DC1

HRESULT : ERROR_DS_NO_SUCH_OBJECT
AD Error : 0000208D: NameErr: DSID-031001C9, problem 2001 (NO_OBJECT), data 0, best match of:
'DC=domain,DC=domain,DC=com'

На сервере нет такого объекта.
This problem can occur if the administrator is not logged on with a Microsoft Windows account that belongs to the parent domain of the Active Directory Configuration container. The Configuration container is created as a sub-container of the first domain that is installed in an Active Directory forest. If the forest contains multiple trees, it may not be obvious which tree holds the Configuration container. To discover which domain is the parent of the Configuration container:
  1. Start the Active Directory Sites and Services administrative console.
  2. Перейдите на вкладкуУзлыobject, and then open its properties.
  3. Перейдите на вкладкуОбъектTAB:. Если родительский домен, домен.com, он отображается на вкладке в следующем формате:
    , домен.com/Configuration/Sites
Чтобы обойти эту проблему и использовать Mbconn, необходимо войти в систему в систему с учетной записью из этого домена, независимо от местоположения контроллера домена или сервер Exchange 2000 server, с которым вы работаете.

Отчеты Mbconn, Reconnection не работает, даже если следует Reconnection

Если Mbconn успешно подключается почтового ящика для пользователя, но Mbconn по-прежнему может сообщить, все повторные не работает. Если администратор запускает диспетчер Exchange System Manager и выполняет агента очистки, чтобы проверить состояние подключения всех почтовых ящиков, агента очистки не работает, и появляется следующее сообщение об ошибке:
Произошла внутренняя ошибка.. Попробуйте перезапустить диспетчер Exchange System Manager или службу Microsoft Exchange Information Store, или обе службы..

ID нет: c1041724
Следующее сообщение об ошибке в журнале событий приложений регистрируется одновременно.
Тип события: ошибка
Источник события: MSExchangeIS
Категория события: Общие
КОД события: 9562
Дата: 6/14/2001
Время: 6:30:42 по
Пользователь: н/Д
Компьютер: EXCHANGE1
Описание: Не удалось прочесть атрибут msExchUserAccountControl из Active Directory для/o = MICROSOFT/OU = EXCHANGE/CN = ПОЛУЧАТЕЛИ/CN = COMMONNAME.
При попытке повторного подключения сбой одного пользователя в окне почтовых ящиков в диспетчере Exchange System Manager, появляется следующее сообщение об ошибке:
Невозможно выполнить операцию, так как этот почтовый ящик уже были подключены для существующего пользователя.
Если перезапуск службы или диспетчере сообщение об ошибке не очищает. В большинстве случаев около 10 минут пройти, прежде чем почтовых ящиков, становятся доступными. (Когда запускать агента очистки успешно повторно, процесс восстановления завершен.)

You can use Ldifde to examine thehomeMDB;иmailNicknameattributes of a user. If these attributes exist, the Mbconn portion of the reconnection process actually succeeded. To use Ldifde to examine thehomeMDB;иmailNicknameattributes of a user, you must know the distinguished name of the user account. In its preview mode, Mbconn displays the distinguished name of the user account that Mbconn intends to link with a mailbox. For example, if you run the following command
LDIFDE -F CON -D "CN=Common Name,OU=Container,DC=Domain,DC=COM" -L homeMDB,mailNickname
the following is a sample of the output that is generated:
E:\>LDIFDE -F CON -D "cn=Common Name,ou=Container,dc=domain,dc=com" -L homeMDB,mailNickname
Connecting to "dc1.domain.com"
Logging in as current user using SSPI
Exporting directory to file con
Searching for entries...
Writing out entries.dn: CN=Common Name,OU=Container,DC=domain,DC=com
ChangeType: Добавление
homeMDB:
CN=Private Information Store (DC1),CN=First Storage Group,CN=InformationStore,CN=DC1,CN=Servers,
CN=Exchange,CN=Administrative Groups,CN=Microsoft,CN=Microsoft Exchange,CN=Services,CN=Configuration,
DC=domain,DC=com
mailNickname: CommonName
1 entries exported

The command has completed successfully
Примечание.: Regardless of whether you find thehomeMDB;иmailNicknameattributes for the user, Ldifde should report "1 entries exported." If Ldifde reports "No entries found," Ldifde was unable to read the user object from the directory. You may have typed the distinguished name incorrectly, you may not have sufficient permissions to view the object, or you may not have escaped characters that require escape. (For additional information about characters that require escape, see the "Export File Reports Errors During Active Directory Import" section of this article.)

ЕслиhomeMDB;иmailNicknameattributes are present, and you can run the Cleanup Agent successfully, it is possible that the Recipient Update Service cannot complete the reconnection process by stamping additional attributes on the user object. If user objects do not have aproxyAddressesattribute, the Recipient Update Service has not yet processed the object.

To work around this problem and avoid most apparent reconnection problems, add the following line to each record in the Mbconn export file:
msExchUserAccountControl: 0
Для получения дополнительных сведений оmsExchUserAccountControlvalue, see the "Export File Reports Errors During Active Directory Import" section.

Export File Reports Errors During Active Directory Import

The following is the general format of each LDIF record in the export file:
dn: CN=Common Name,OU=Container,DC=Domain,DC=com
ChangeType: Добавление
UserAccountControl: 66048
displayName: Common Name
cn: Common Name
objectclass: user
samAccountName: CommonName
givenName: Common
sn: Name
The following is the typical command syntax for importing the file:
LDIFDE.EXE -I -K -F MBCONN.TXT
If syntax or formatting errors occur during import, Ldifde stops the import and reports the line in the file at which the problem record begins. (For example, an error in the first record is reported as an error at line 1.) If an entry already exists in Active Directory, the second attempt to import the file results in an error unless you use the-KПараметр. You cannot modify previously created entries by adding attributes to a record and re-importing the record. The LDIF standard does provide for modifications of existing directory objects, but the format and syntax are very different from the format for creating records.

In general, to troubleshoot an LDIF import, you need to locate the line that contains the record that is in error, and then examine the record for a specific problem.

The following are common problems that are encountered in Mbconn export files:
  • Characters in the distinguished name may not be escaped properly. The following characters must be escaped when used in a distinguished name:

    • comma (,)
    • equal sign (=)
    • plus (+)
    • backslash (\)
    • semicolon (;)
    • quotation marks (")
    • angle brackets (<>)
    This problem most commonly occurs because of commas in CN values (such as "CN=Last, First" instead of "CN=First Last"). The LDIF format uses a comma as a delimiter between the segments of a fully distinguished name. To use a comma within a segment, you must escape the comma with a backslash (for example, "Last\, First").
  • надписьюsn(surname) field may be blank. The mailbox table in a database does not containgivenNameиsnfields; therefore, Mbconn determines as best it can what the values should be, assuming that a space in the CN indicates a division. If there is no space in the CN, Mbconn treats the entire CN as thegivenName, and leaves thesnпустым. Because any attribute that is designated in an LDIF import file must have a value, the import does not work. To work around this problem, perform a search and replace to give all blanksnattributes a generic surname.
  • There may be illegal characters in the samAccountName. A samAccountName must contain no more than 20 characters and cannot include a space or any of the following characters:

    • asterisk (*)
    • equal sign (=)
    • plus (+)
    • brackets ([ ])
    • backslash (\)
    • vertical bar (|)
    • semicolon (;)
    • colon (:)
    • quotation marks (")
    • comma (,)
    • angle brackets (<>)
    • period (.)
    • slash mark (/)
    • question mark (?)
    Mbconn constructs the samAccountName from the CN; therefore, most CNs that contain characters that require escape also contain illegal samAccountNames.
The following batch file can correct these three problems for most MBconn export files. The batch file is double spaced, with a blank line between each single line in the file. This formatting allows you to easily identify lines that may have wrapped improperly on your display.

This batch file does four things:
  • Adds the escape character to the DN value, as necessary.
  • Strips illegal characters from the samAccountName.
  • Adds themsExchUserAccountControlvalue to each record.
  • Removes the givenName, sn, and cn lines from each record. (If you want to keep these lines, you can edit the batch file to preserve them.)
This batch file runs on Microsoft Windows 2000 or Microsoft Windows NT 4.0, as long as the default command line extensions are enabled.

There are two mandatory parameters: the name of the Mbconn export file, and a new file name for the changes, for example:
E:\>MBCONNFIX.BAT MBCONN.TXT MBCONNFIX.TXT
Картинок и вставить пакетный файл в текстовом редакторе и сохраните этот файл как Mbconnfix.bat.
:MBCONNFIX.BAT

@echo off

setlocal

set infile=%1

set outfile=%2

if exist %outfile% del %outfile%

echo Please Wait...

for /f "delims=" %%A in (%infile%) do call :DO_EACH_LINE "%%A"

start notepad %outfile%

goto :EOF

:DO_EACH_LINE

REM     Strip quotes from around the line

set line=%1

set line=%line:"=%

REM     Escape or remove illegal and odd characters

if "%line:~0,4%"=="dn: " GOTO :FIXDN

if "%line:~0,16%"=="samAccountName: " GOTO :FIXSAM

if "%line:~0,4%"=="sn: " GOTO :FIXSN

REM    The next two lines remove cn and givenName lines from the ldif file

if "%line:~0,4%"=="cn: " GOTO :EOF

if "%line:~0,11%"=="givenName: " GOTO :EOF

echo %line%>>%outfile%

goto :EOF

:FIXDN

set line=%line:+=\+%

set line=%line:\=\\%

set line=%line:;=\;%

set line=%line:"=\"%

set line=%line:<=\<%

set line=%line:>=\>%

set line=%line:,=\,%

set line=%line:\,OU=,OU%

set line=%line:\,DC=,DC%

set line=%line:\,CN=,CN%

echo %line%>>%outfile%

goto :EOF

:FIXSAM

set line=%line:samAccountName: =%

set line=%line:+=%

set line=%line:[=%

set line=%line:]=%

set line=%line:\=%

set line=%line:|=%

set line=%line:;=%

set line=%line::=%

set line=%line:"=%

set line=%line:,=%

set line=%line:<=%

set line=%line:.=%

set line=%line:>=%

set line=%line:/=%

set line=%line:?=%

set line=%line: =%

set line=samAccountName: %line%

echo %line%>>%outfile%

goto :EOF

:FIXSN

rem      To keep the sn line in the ldif file, un-rem the next two lines

rem if "%line%"=="sn: " set line=sn: Surname

rem echo %line%>>%outfile%

echo msExchUserAccountControl: ^0>>%outfile%

echo.>>%outfile%

goto :EOF

				

Статус

Данное поведение является подтвержденной ошибкой Microsoft Exchange 2000 Server..Впервые эта проблема была исправлена в Exchange 2000 Server с пакетом обновления 2.

Дополнительная информация

Программа Mbconn.exe помещен на компакт-диск Exchange 2000 Server. Он часто используется в сочетании с Exmerge.exe во время восстановление базы данных на другой сервер. При восстановлении альтернативного сервера базы данных Microsoft Exchange 2000 из одного леса Active Directory запускается на сервере восстановления в другом лесу, обычно данные из базы данных. В этом случае Mbconn можно использовать для создания учетных записей службы каталогов Active Directory для каждого почтового ящика, который требуется восстановить. Затем можно использовать средство Exmerge для слияния данные из базы данных для восстановления в рабочей базе данных.

Mbconn can generate an LDIF format file, which you can import into Active Directory with Ldifde.exe. The Mbconn export file performs a function that is similar to that of the DS/IS consistency adjuster in earlier versions of Exchange Server; the Mbconn export file creates directory accounts that match "orphaned" mailboxes in an Exchange database, which allows you to gain access to those mailboxes again. You can edit the export file to remove accounts or add attributes before you import the export file.

Примечание.: Because the mailbox table in a database contains only a small set of attributes that link the mailbox to a particular user account, it is not possible to automatically repopulate the directory with optional attributes, such as telephone numbers.

For additional information about general procedures to set up alternate server recoveries, see the "Exchange 2000 Server Database Recovery" white paper at the following Microsoft Web site:
http://www.microsoft.com/technet/prodtechnol/exchange/2000/support/dbrecovr.mspx

Свойства

Код статьи: 301585 - Последний отзыв: 22 ноября 2010 г. - Revision: 2.0
Информация в данной статье относится к следующим продуктам.
  • Microsoft Exchange 2000 Server Standard Edition
Ключевые слова: 
kbbug kberrmsg kbexchange2000sp2fix kbfix kbmt KB301585 KbMtru
Переведено с помощью машинного перевода
ВНИМАНИЕ! Перевод данной статьи был выполнен не человеком, а с помощью программы машинного перевода, разработанной корпорацией Майкрософт. Корпорация Майкрософт предлагает вам статьи, переведенные как людьми, так и средствами машинного перевода, чтобы у вас была возможность ознакомиться со статьями базы знаний KB на родном языке. Однако машинный перевод не всегда идеален. Он может содержать смысловые, синтаксические и грамматические ошибки, подобно тому как иностранец делает ошибки, пытаясь говорить на вашем языке. Корпорация Майкрософт не несет ответственности за неточности, ошибки и возможный ущерб, причиненный в результате неправильного перевода или его использования. Корпорация Майкрософт также часто обновляет средства машинного перевода.
Эта статья на английском языке:301585

Отправить отзыв

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com