QE2000103: FFAXGATE - 'Access Denied' nach MS Patch KB912442
Referenz QE2000103
FFAXGATE, FSMSGATE, MSX2KVOICE:
Fehler: ProcessInbound - A Mapi Submission failed.
Problem:
Nach Updaten des Exchange Servers erscheint in der Ereignisanzeige folgende Fehlermeldung:
Ursache:
Die Meldungen entstehen erst, wenn sich Nachrichten aus den Fax- oder SMS-Systemen in den Dateiwarteschlangen (\\<Server>\FFACCESS\IN-Verzeichnis) sammeln, und dann von den Gatewaydiensten weiterverarbeitet werden sollen.
Dieses Problem trat bisher immer dann auf, wenn ein Exchange Server 2003 (Service Pack 1) mit dem Sicherheitsupdate KB916803 für Exchange Server 2003 SP1 aktualisiert wurde. Das Problem konnte bisher durch das Installieren des Exchange Server 2003 Service Pack 2 behoben werden.
Am 12.06.2006 veröffentlichte Microsoft das Sicherheits-Bulletin MS06-029 mit dem darin enthaltenen Patch KB912442. Nach dem Einspielen dieses Patches lässt sich scheinbar kein Dienstkonto mehr für die Connectoren bereitstellen.
Information:
Das Sicherheitsupdate KB912442 von Microsoft soll die Skriptausführung über Outlook Web Access einschränken. Ein Benutzer, der über Outlook Web Access eine Mail versendet, kann im Sicherheitskontext Skripte ausführen, die möglicherweise schädlich sein können. Für diesen Fall wurde ebenfalls wieder das Verhalten des Postfachspeichers verändert.
Es wurde erneut die "Senden als" - Rechtekonstellation in der Store.exe (SP1 Version 6.5.7233.51 und höher, SP2 Version 6.5.7650.28 und höher) verändert. Ein Account, der vollständigen Postfachspeicherzugriff hat, hat kein Recht automatisch auch die "Senden als"-Funktion zu nutzen. Der Exchange-Connector hat jedoch ein Postfach, das an keinen Benutzeraccount gekoppelt ist. Dies ist eine Ausnahme. Die Benutzung des Connectorpostfachs ist nur durch einen Account mit entsprechenden Postfachspeicherrechten möglich.
Lösung:
Zur Lösung dieses Probems gibt es mehrere Lösungen:
1. Deinstallation des Microsoft Patches KB912442
Nach der Deinstallation des Hotfixes können die Connectoren ohne Probleme ihren Dienst wieder aufnehmen. Diese Problemlösung scheidet angesichts der bevorstehenden Veröffentlichung des Exchange Server 2003 Service Pack 3 und der Sicherheitsprobleme aus.
2. Eintragen des Dienstkontos in die Gruppe der Exchange Domain Servers
Wenn das Dienstkonto oder das (zuvor angepasste) lokale Systemkonto in die Gruppe der Exchange Domain Servers hinzugefügt wird, wird das Problem entsprechend beseitigt. Diese Problemlösung scheidet angesichts der entstehenden Sicherheitsbedenken aus.
3. Anpassen des derzeitigen Dienstkontos durch den 'Ferrari electronic Hotfix 6-0'
Die Ferrari electronic AG bietet für diesen Problemfall den Hotfix 6-0 für die Exchange Connectoren an, die an Exchange 2003 Server gekoppelt sind, die ein Service Pack 1 oder höher mit den installierten Sicherheitsupdate KB912442 und KB916803 vorweisen.
Der Hotfix kann auf jedem Computer in der Domäne ab Windows 2000 Service Pack 3 ausgeführt werden. Da das Patch-Tool die Active Directory Gateway-Einträge und die entsprechenden Konfigurationsknoten verändert, wird dringend empfohlen, folgende Dienste bzw. Komponenten (falls vorhanden) vor dem Patch anzuhalten bzw. zu stoppen:
Bild 1: Installationsassistent mit Hinweis auf zu stoppende Dienste
Nach dem der Installationsassistent gestartet wurde, wird man nocheinmal auf die zu stoppenden Komponenten hingewiesen. Mit "Weiter" gelangt man zum nächsten Installationsschritt.
Bild 2: Installationsassistent - Hauptmodifikation
Die Connectorliste enthält alle OfficeMaster-Connectoren der gesamten Organisation, auf die das aktuell angemeldete Konto Zugriff hat. Man kann die Connectoren auswählen, die mit einem bestimmten Dienstkonto betrieben werden sollen. Bei der Angabe des Dienstkontos, kann man zwischen zwei Optionen wählen:
Bild 3: Installationsassistent - Installation
Sollte das Logfenster während der Installation Fehler anzeigen, sollte der Text über die Zwischenablage per Mail an die Ferrari electronic gesandt werden. Hauptursache kann nur ein Rechteproblem des aktuell angemeldeten Kontos sein.
Bild 4: Installationsassistent - Fertigstellen der Installation
Nach der Installation muss der Exchange Server den Permission Cache aktualisieren. Dies erfolgt etwa alle 15min. Um diese Zeit zu überbrücken, kann auf dem Exchange Server, dessen Postfachspeicher während der Connectorinstallation angegeben wurde, der Postfachspeicher und der MS Exchange MTA neugestartet werden. Dies kann der Einfachheit durch einen Neustart der Systemaufsicht bewerkstelligt werden.
Bild 5: Dienstemanager - Neustart der Systemaufsicht
Der Patch sollte nur einmal pro angegebenes Benutzerkonto ausgeführt werden. Eine Deinstallation und anschließende Neuinstallation eines Connectors macht die Änderungen für diesen Connector unwirksam. In diesem Fall müsste der Patch nocheinmal für diesen Connector ausgeführt werden.
Diese Modifikation wird Bestandteil des Installationspaketes für die OfficeMaster Connectoren für MS Exchange Server 2000/2003 Version 6.1.0.4 sein. Ebenso wird der Installationsassistent der Exchange Connectoren in der Messaging Server Konfiguration ab Connector Version 7.0.0.0 ebenfalls die Dienstkonto-Modifikation beinhalten.
Hinweis:
Es ist angekündigt, dass das Update KB912442 in das Exchange Server 2003 SP3 integriert wird. Dieses war zur Zeit des Entstehens dieses Artikels noch nicht verfügbar. Somit kann zu Problemen mit dem Exchange Server 2003 Service Pack 3 noch keine Aussage getroffen werden.
Download des Patches:
- Ferrari Hotfix für Connector 6.0 für MS Exchange Server 2000/2003
Diese Referenz betrifft folgende Produkte:
- OfficeMaster™ Connectoren für Exchange 2000/2003 Version 4.0.0.0 - 5.1.0.0
- OfficeMaster™ Connectoren für Exchange 2000/2003 ab Version 6.0.0.0-6.1.0.4 / OfficeMaster 2
- OfficeMaster™ Connectoren für Exchange 2000/2003 ab Version 7.0.0.0-7.0.0.3 / OfficeMaster 3
FFAXGATE, FSMSGATE, MSX2KVOICE:
Fehler: ProcessInbound - A Mapi Submission failed.
Problem:
Nach Updaten des Exchange Servers erscheint in der Ereignisanzeige folgende Fehlermeldung:
Code:
Ereignistyp: Fehler Ereignisquelle: FFAXGate Ereigniskategorie: Keine Ereigniskennung:0 Datum: 12.06.2006 Zeit: 14:51:42 Benutzer: Nicht zutreffend Computer: SERVER10 Beschreibung: Specification: ProcessInboundMessage A MAPI message submission failed. (Code: 0x80070005 (CDO) Access denied.)
Ursache:
Die Meldungen entstehen erst, wenn sich Nachrichten aus den Fax- oder SMS-Systemen in den Dateiwarteschlangen (\\<Server>\FFACCESS\IN-Verzeichnis) sammeln, und dann von den Gatewaydiensten weiterverarbeitet werden sollen.
Dieses Problem trat bisher immer dann auf, wenn ein Exchange Server 2003 (Service Pack 1) mit dem Sicherheitsupdate KB916803 für Exchange Server 2003 SP1 aktualisiert wurde. Das Problem konnte bisher durch das Installieren des Exchange Server 2003 Service Pack 2 behoben werden.
Am 12.06.2006 veröffentlichte Microsoft das Sicherheits-Bulletin MS06-029 mit dem darin enthaltenen Patch KB912442. Nach dem Einspielen dieses Patches lässt sich scheinbar kein Dienstkonto mehr für die Connectoren bereitstellen.
Information:
Das Sicherheitsupdate KB912442 von Microsoft soll die Skriptausführung über Outlook Web Access einschränken. Ein Benutzer, der über Outlook Web Access eine Mail versendet, kann im Sicherheitskontext Skripte ausführen, die möglicherweise schädlich sein können. Für diesen Fall wurde ebenfalls wieder das Verhalten des Postfachspeichers verändert.
Es wurde erneut die "Senden als" - Rechtekonstellation in der Store.exe (SP1 Version 6.5.7233.51 und höher, SP2 Version 6.5.7650.28 und höher) verändert. Ein Account, der vollständigen Postfachspeicherzugriff hat, hat kein Recht automatisch auch die "Senden als"-Funktion zu nutzen. Der Exchange-Connector hat jedoch ein Postfach, das an keinen Benutzeraccount gekoppelt ist. Dies ist eine Ausnahme. Die Benutzung des Connectorpostfachs ist nur durch einen Account mit entsprechenden Postfachspeicherrechten möglich.
Lösung:
Zur Lösung dieses Probems gibt es mehrere Lösungen:
1. Deinstallation des Microsoft Patches KB912442
Nach der Deinstallation des Hotfixes können die Connectoren ohne Probleme ihren Dienst wieder aufnehmen. Diese Problemlösung scheidet angesichts der bevorstehenden Veröffentlichung des Exchange Server 2003 Service Pack 3 und der Sicherheitsprobleme aus.
2. Eintragen des Dienstkontos in die Gruppe der Exchange Domain Servers
Wenn das Dienstkonto oder das (zuvor angepasste) lokale Systemkonto in die Gruppe der Exchange Domain Servers hinzugefügt wird, wird das Problem entsprechend beseitigt. Diese Problemlösung scheidet angesichts der entstehenden Sicherheitsbedenken aus.
3. Anpassen des derzeitigen Dienstkontos durch den 'Ferrari electronic Hotfix 6-0'
Die Ferrari electronic AG bietet für diesen Problemfall den Hotfix 6-0 für die Exchange Connectoren an, die an Exchange 2003 Server gekoppelt sind, die ein Service Pack 1 oder höher mit den installierten Sicherheitsupdate KB912442 und KB916803 vorweisen.
Der Hotfix kann auf jedem Computer in der Domäne ab Windows 2000 Service Pack 3 ausgeführt werden. Da das Patch-Tool die Active Directory Gateway-Einträge und die entsprechenden Konfigurationsknoten verändert, wird dringend empfohlen, folgende Dienste bzw. Komponenten (falls vorhanden) vor dem Patch anzuhalten bzw. zu stoppen:
- Dienst: FFAXGATE
- Dienst: FSMSGATE
- Dienst: FVOXGATE
- Messaging Server Komponente: FMSX2KVOICE
Bild 1: Installationsassistent mit Hinweis auf zu stoppende Dienste
Nach dem der Installationsassistent gestartet wurde, wird man nocheinmal auf die zu stoppenden Komponenten hingewiesen. Mit "Weiter" gelangt man zum nächsten Installationsschritt.
Bild 2: Installationsassistent - Hauptmodifikation
Die Connectorliste enthält alle OfficeMaster-Connectoren der gesamten Organisation, auf die das aktuell angemeldete Konto Zugriff hat. Man kann die Connectoren auswählen, die mit einem bestimmten Dienstkonto betrieben werden sollen. Bei der Angabe des Dienstkontos, kann man zwischen zwei Optionen wählen:
- Angabe eines Benutzerkontos der Domäne
(Es wird dringend empfohlen, dass dieses Konto vorher nach Handbuch bzw. Referenz QE2000073 angelegt wurde!) - Angabe eines lokalen Systemkontos
(Das lokale Systemkonto muss zuvor nach Referenz Q2000099 modifiziert werden!)
Bild 3: Installationsassistent - Installation
Sollte das Logfenster während der Installation Fehler anzeigen, sollte der Text über die Zwischenablage per Mail an die Ferrari electronic gesandt werden. Hauptursache kann nur ein Rechteproblem des aktuell angemeldeten Kontos sein.
Bild 4: Installationsassistent - Fertigstellen der Installation
Nach der Installation muss der Exchange Server den Permission Cache aktualisieren. Dies erfolgt etwa alle 15min. Um diese Zeit zu überbrücken, kann auf dem Exchange Server, dessen Postfachspeicher während der Connectorinstallation angegeben wurde, der Postfachspeicher und der MS Exchange MTA neugestartet werden. Dies kann der Einfachheit durch einen Neustart der Systemaufsicht bewerkstelligt werden.
Bild 5: Dienstemanager - Neustart der Systemaufsicht
Der Patch sollte nur einmal pro angegebenes Benutzerkonto ausgeführt werden. Eine Deinstallation und anschließende Neuinstallation eines Connectors macht die Änderungen für diesen Connector unwirksam. In diesem Fall müsste der Patch nocheinmal für diesen Connector ausgeführt werden.
Diese Modifikation wird Bestandteil des Installationspaketes für die OfficeMaster Connectoren für MS Exchange Server 2000/2003 Version 6.1.0.4 sein. Ebenso wird der Installationsassistent der Exchange Connectoren in der Messaging Server Konfiguration ab Connector Version 7.0.0.0 ebenfalls die Dienstkonto-Modifikation beinhalten.
Hinweis:
Es ist angekündigt, dass das Update KB912442 in das Exchange Server 2003 SP3 integriert wird. Dieses war zur Zeit des Entstehens dieses Artikels noch nicht verfügbar. Somit kann zu Problemen mit dem Exchange Server 2003 Service Pack 3 noch keine Aussage getroffen werden.
Download des Patches:
- Ferrari Hotfix für Connector 6.0 für MS Exchange Server 2000/2003
Diese Referenz betrifft folgende Produkte:
- OfficeMaster™ Connectoren für Exchange 2000/2003 Version 4.0.0.0 - 5.1.0.0
- OfficeMaster™ Connectoren für Exchange 2000/2003 ab Version 6.0.0.0-6.1.0.4 / OfficeMaster 2
- OfficeMaster™ Connectoren für Exchange 2000/2003 ab Version 7.0.0.0-7.0.0.3 / OfficeMaster 3