[XADM] Exchange 2000 のセットアップエラーとセキュリティの脆弱性

この記事は、以前は次の ID で公開されていました: JP278523
この資料は、アーカイブされました。これは "現状のまま" で提供され、更新されることはありません。
現象
Microsoft Exchange 2000 Server または Exchange 2000 Enterprise Server (これ以降 Exchange 2000 と総称します) をセットアップする際、イベント同期スクリプトを簡単に処理するために以前使用されていた特別なアカウントが作成されます。そのアカウントのアカウント名は EUSER_EXSTOREEVENT で、パスワードには単純なハードコード パスワードが使用されます。複雑なパスワード要件が設定された環境に Exchange 2000 を導入しようとしている場合、セットアップ中にエラーが発生して、次のエラー メッセージが表示されることがあります。
[14:22:18] bad member index -1 CAtomBaseMDB::ScCreateStoreEventAccount (K:\admin\src\udog\exsetdata\components\server\a_basemdb.cxx:290)Error code 0XC00703E5 (997): Overlapped I/O operation is in progress.
原因


このセットアップ エラーは、ハードコードされたパスワードが、特定の環境における複雑なパスワード要件を満たしていないために発生します。複雑なパスワード ポリシーを有効に設定したドメイン サーバーまたはメンバ サーバーに、この脆弱性の対象となる Exchange 2000 のバージョン (詳細については「状況」を参照してください) をインストールしようとすると、このエラーが発生します。
解決方法

セットアップの実行前

このアカウントによるセキュリティ リスクを最小限に抑えるには、セットアップを実行する前に、同じ名前である EUSER_EXSTOREEVENT を使用するアカウントを手動で作成し、使用しているコンピュータの複雑なパスワード要件を満たすパスワードをそのアカウントに設定します。インストール中に、セットアップがこのアカウントが既に存在していることを検出するため、そのアカウントが作成されたり、パスワードが変更されたりすることはありません。

メンバ サーバーに Exchange 2000 をインストールする場合

無効に設定したローカル ユーザー アカウントを作成します。次の手順は、ローカル アカウント データベースにアカウントを作成する方法を示しています。
  1. Exchange 2000 がインストールされたメンバ サーバーで、[スタート] ボタンをクリックし、[プログラム] をポイントします。次に、[管理ツール] をポイントし、[コンピュータの管理] をクリックして、コンピュータの管理 MMC スナップインを起動します。
  2. [ローカル ユーザーとグループ] コンテナを展開して、[ユーザー] コンテナをクリックします。
  3. [操作] メニューの [新しいユーザー] をクリックします。
  4. [新しいユーザー] ダイアログ ボックスで、次の情報を入力します。
    ユーザー名 : EUSER_EXSTOREEVENT
    パスワード : ユーザーの会社で採用されている複雑性のポリシーを満たすキーワード
  5. [アカウントを無効にする] チェック ボックスをオンにして [作成] をクリックします。

ドメイン コントローラに Exchange 2000 をインストールする場合

Active Directory に EUSER_EXSTOREEVENT アカウントを作成してから、そのアカウントを無効にします。次の手順は、Active Directory にアカウントを作成する方法を示しています。
  1. Exchange 2000 がインストールされたドメインのドメイン コントローラで、[スタート] ボタンをクリックし、[プログラム] をポイントします。次に、[管理ツール] をポイントし、[Active Directory ユーザーとコンピュータ] をクリックして、Active Directory ユーザーとコンピュータ MMC スナップインを起動します。
  2. [Users] コンテナをクリックします。
  3. [操作] メニューの [新規作成] をクリックし、[ユーザー] をクリックします。
  4. [新しいオブジェクト - ユーザー] ダイアログ ボックスで、次の情報を入力します。
    フル ネーム : EUSER_EXSTOREEVENT
    ユーザー ログオン名 : EUSER_EXSTOREEVENT
  5. [次へ] をクリックします。
  6. ユーザーの会社で採用されている複雑なパスワード ポリシーを満たすパスワードを設定し、確認入力します。
  7. [アカウントは無効] チェック ボックスをオンにします。
  8. [次へ] をクリックし、[完了] をクリックして、指定したアカウントを作成します。

セットアップの完了後

手動による操作

既知のアカウントによるセキュリティ リスクを最小限に抑えるために、Exchange 2000 のセットアップの完了後はこのアカウントを削除することをお勧めします。ほかの理由により、このアカウントを使用する場合、少なくともアカウントのパスワードをリセットして、このアカウントのセキュリティを確保するようにしてください。

ツールによる自動修正

上で説明した手動による操作を実行しない場合、次のリンクからツールを取得して、このセキュリティの脆弱性を自動修正することができます。下記のファイルは、Microsoft Download Center からダウンロードできます。次のファイル名をクリックして、ファイルをダウンロードしてください。
Microsoft Download Center からファイルをダウンロードする方法の詳細については、下記のアドレスにアクセスし、 [How to use the Microsoft Download Center] をクリックしてください。
  • このツールを使用するには、現在ログオンしているユーザーが、メンバ サーバーの場合はローカル コンピュータの管理者権限を、ドメイン コントローラの場合はドメイン管理者権限を取得している必要があります。このツールは、C:\Temp フォルダに抽出されます。抽出された後、抽出の完了後に表示される指示に従います。
  • メンバ サーバーの場合 : このツールはローカル アカウント データベースを検索して、問題となっているアカウントを削除します。Microsoft では、Exchange 2000 がインストールされている各メンバ サーバーに対し、このユーティリティを実行することを推奨します。
  • Exchange 2000 がインストールされたドメイン コントローラの場合 : ドメイン コントローラでこのユーティリティを実行します。このユーティリティは、Active Directory からアカウントを削除します。複数のドメイン コントローラが設定された環境では、Active Directory のレプリケーションが完了するまで、このアカウントがほかのドメイン コントローラ上に存在し続ける可能性があります。
重要 : このツールが削除するのは、問題になっているアカウントだけです。このツールを実行しても、元のセットアップ エラーが発生しないようにすることはできません。セットアップ エラーを避けるには、セットアップを実行する前に手動による操作を実行して、問題のアカウントをいったん作成してからセットアップを実行し、完了後に再び無効にする必要があります。セットアップの完了後、このアカウントを手動で削除することも、ダウンロードしたツールを使って削除することもできます。
状況
弊社では、これが Exchange 2000 にかかわる問題であることを確認済みです。

この脆弱性による影響を受けるのは、次の Exchange 2000 インストール CD-ROM を使用した場合です。
  • Part No. の下の行に "Rev A" が印字されていない Exchange 2000 Server CD-ROM (CD-ROM の右上の部分を参照)
  • Part No. の下に "Rev A" が印字されていない Exchange 2000 Enterprise Server CD-ROM (CD-ROM の右上の部分を参照)
  • October 2000 Select CD-ROM に収録された Exchange 2000 Server および Exchange 2000 Enterprise Server
Exchange 2000 評価版をご使用の場合は、Exchange 2000 に同梱される Filever.exe ツールを使って Exsetdata.dll のバージョンを確認することで、この脆弱性の問題を検証することもできます。バージョン番号が 6.0.4417.5 の場合、この脆弱性による攻撃を受けます。

Filever.exe の使用例
CD-ROM ドライブ\Support\Utils\I386> filever \setup\i386\exsetdata.dll
上記の結果、次のバージョン番号 (下の太字部分) が表示された場合、この脆弱性による攻撃を受けます。
-r--- W321 DLL ENU 6.0.4417.5 shp 2,507,024 08-16-2000 exsetdata.dll
さらに、Exchange 2000 Service Pack 1 には、このアカウントを確認するための追加ツールが含まれており、アカウントが検出されると、ツールによりアカウントが削除されます。

詳細
Exchange 2000 を導入した場合、このアカウントにより脆弱性の問題が発生します。これは、そのアカウント名が既知のためです。Exchange 2000 製品版では、イベント スクリプトの処理にこのアカウントを必要とすることはありません。したがって、セットアップの完了後は、このアカウントを削除する必要があります。

この脆弱性に関してよく寄せられる質問 (FAQ) と修正プログラムについては、次の Microsoft Web サイトをご覧ください。
詳細
この資料は米国 Microsoft Corporation から提供されている Knowledge Base の Article ID 278523(最終更新日 2000-11-16) をもとに作成したものです。

exch2kp2w
プロパティ

文書番号:278523 - 最終更新日: 02/07/2014 14:23:53 - リビジョン: 1.2

  • Microsoft Exchange 2000 Server Standard Edition
  • kbnosurvey kbarchive kbbug kbnofix KB278523
フィードバック