안녕하세요.
Exchange2007 에 대한 아키텍쳐 정보가 한눈에 나와있는 Poster입니다.
PDF파일로 굉장히 잘 나와있어서 한눈에 보기 좋네요..
참고하세요
Exchange Server 2007 - Architecture PDF
2009. 11. 17. 11:30
invalid-fileExchange Server 2003 - SMTP Tarpit Setting
2009. 11. 17. 11:26
안녕하세요 향기입니다~*
Tarpit 기능 및 적용방법입니다.
SMTP 타르핏 기능이란?
타르핏 기능은 스팸이나 기타 원하지 않는 트래픽과 관련된 특정 SMTP 통신을 고의적으로 지연하는 방법입니다. 이러한 종류의 통신을 적용하려면 일반적으로 많은 양의 트래픽을 사용하게 됩니다. SMTP 통신 속도를 저하시켜 자동 스팸을 보내거나 사전 공격(dictionary attack)을 수행할 수 있는 속도를 크게 줄일 수 있습니다. 타르핏 기능을 사용하면 합법적인 트래픽 또한 느려질 수 있습니다.
수고하세요~*
Microsoft Windows Server 2003의 SMTP 타르핏 기능
|
기술 자료 ID |
: |
842851 |
|
마지막 검토 |
: |
2006년 4월 17일 월요일 |
|
수정 |
: |
9.0 |
중요 이 문서에서는 레지스트리 수정 방법을 설명합니다. 레지스트리를 수정하기 전에 레지스트리를 백업하는 것이 좋습니다. 문제가 발생하는 경우 레지스트리를 복원하는 방법을 이해하고 있어야 합니다. 레지스트리 백업, 복원 및 수정 방법은 Microsoft 기술 자료의 다음 문서를 참조하십시오.
256986 (http://support.microsoft.com/kb/256986/) Microsoft Windows 레지스트리 설명
이 페이지에서
기술 업데이트: 2005년 5월 10일
소개
추가 정보
SMTP 타르핏 기능이란?
타르핏 기능을 사용해야 하는 경우
받는 사람 필터링 기능이란?
타르핏 기능을 설정하는 방법
참조기술 업데이트: 2005년 5월 10일
Microsoft는 IT 전문가를 위해 이 문제에 대한 Microsoft 보안 권고를 릴리스했습니다. 보안 권고에는 이 문제에 대한 추가 보안 관련 정보가 들어 있습니다. 보안 권고를 보려면 다음 Microsoft 웹 사이트를 방문하십시오.
http://www.microsoft.com/korea/technet/security/advisory/842851.mspx (http://www.microsoft.com/korea/technet/security/advisory/842851.mspx)
위로 가기소개
이 문서에서는 SMTP(Simple Mail Transfer Protocol) "타르핏(tar pit)"에 대해 설명합니다. 타르핏 기능은 Microsoft Windows Server 2003 서비스 팩 1(SP1)을 실행하는 컴퓨터에서 사용할 수 있는 SMTP 기능입니다. 기본적으로 타르핏 기능은 해제되어 있습니다. 타르핏 기능을 사용하려면 관리자가 TarpitTime 레지스트리 항목을 구성하여 기능을 설정해야 합니다.
위로 가기추가 정보
SMTP 타르핏 기능이란?
타르핏 기능은 스팸이나 기타 원하지 않는 트래픽과 관련된 특정 SMTP 통신을 고의적으로 지연하는 방법입니다. 이러한 종류의 통신을 적용하려면 일반적으로 많은 양의 트래픽을 사용하게 됩니다. SMTP 통신 속도를 저하시켜 자동 스팸을 보내거나 사전 공격(dictionary attack)을 수행할 수 있는 속도를 크게 줄일 수 있습니다. 타르핏 기능을 사용하면 합법적인 트래픽 또한 느려질 수 있습니다.
타르핏 기능은 Microsoft Windows Server 2003 및 여러 타사 SMTP 서버에서 사용할 수 있습니다. Windows Server 2003의 타르핏 기능은 SMTP 프로토콜 5.x.x 오류 코드를 포함하는 모든 응답 속도를 저하시킵니다. 관리자는 타르핏 기능으로 발생하는 지연을 구성할 수 있습니다. 타르핏 기능으로 발생하는 지연을 구성하는 방법에 대한 자세한 내용은 "타르핏 기능을 설정하는 방법" 절을 참조하십시오.
위로 가기타르핏 기능을 사용해야 하는 경우
Microsoft Exchange Server 2003 받는 사람 필터링을 설정한 경우 타르핏 기능을 사용해야 합니다. 받는 사람 필터링을 설정하지 않은 경우에는 타르핏 기능이 Exchange Server에 큰 이점이 되지 않습니다.
타르핏 기능을 설정하는 경우 SMTP 서버의 성능을 신중하게 모니터링해야 합니다. 또한 서버의 트래픽 패턴을 분석하여 타르핏으로 인해 일반 트래픽이 방해되거나 지연되지 않도록 해야 합니다.
타르핏 기능은 익명 SMTP 연결에만 영향을 줍니다. 인증된 세션에는 영향을 주지 않습니다. 따라서 다른 조직과 정기적으로 많은 양의 SMTP 메일을 교환하고 타르핏 기능이 이러한 트래픽에 영향을 주는 경우 SMTP 통신을 인증함으로써 해당 조직에 대해서는 타르핏 기능을 적용하지 않을 수 있습니다.
위로 가기받는 사람 필터링 기능이란?
받는 사람 필터링 기능은 Exchange 2003의 새로운 기능입니다. 이 기능을 사용하면 특별히 정의된 받는 사람과 조직의 Active Directory 디렉터리 서비스에 나열되어 있지 않은 받는 사람이 보내는 메일을 필터링하거나 거부할 수 있습니다.
받는 사람 필터링을 설정하고 구성하는 방법에 대한 자세한 내용은 Microsoft Exchange Server 2003 온라인 도움말을 참조하십시오.
받는 사람 필터링 기능을 설정하면 보낸 사람은 잘못된 받는 사람이나 필터링된 받는 사람을 향하는 메일은 보낼 수 없습니다. 이러한 메일은 메일 본문이 전송되기 전에 SMTP 통신에서 사전에 거부됩니다.
이 동작은 일반적으로 Exchange Server에서 잘못된 메일을 처리해야 할 필요를 줄여 줍니다. 메일을 받거나 저장할 필요도 없으며 메일을 받지 않았으므로 잘못된 메일에 대해 NDR(배달 못함 보고서)을 보내지 않아도 됩니다.
받는 사람 필터링 기능을 사용하지 않을 경우에는 Exchange 조직의 잘못된 전자 메일 주소로 보내진 메일을 Exchange Server에서 받아 처리하게 됩니다. 이러한 메일을 처리한 후 Exchange Server에서는 모든 잘못된 메일에 대해 NDR을 생성하고 보내야 합니다.
참고 Microsoft Exchange 2000 Server 및 Exchange 2003에서는 NDR을 표시하지 않을 수 있습니다. 그러나 RFC 2821은 전자 메일 메시지를 받은 경우 잘못된 받는 사람에 대해 NDR을 반환해야 한다고 명시하고 있습니다. NDR을 표시하지 않도록 구성하는 방법에 대한 자세한 내용은 Exchange Server 2003 온라인 도움말을 참조하십시오.
위로 가기타르핏 기능과 받는 사람 필터링 기능을 함께 사용하는 방법
받는 사람 필터링 기능의 단점은 전자 메일 주소 수집 공격의 효율성을 증가시킨다는 점입니다. 일반적인 수집 공격에서 사용자 도메인에 보내기 위해 다량의 전자 메일 메시지를 자동으로 생성하는 데 "사전" 또는 가능한 전자 메일 이름 목록이 사용됩니다. 목표는 각 전자 메일 주소의 유효성을 확인하는 것입니다. 그런 다음 공격자는 검색된 전자 메일 주소 목록을 사용하여 스팸이나 다른 비합법적인 용도의 메일을 보냅니다.
받는 사람 필터링 기능을 설정하면 서버는 SMTP 통신 동안 전자 메일 이름이 유효한지 여부를 표시합니다. 받는 사람 필터링 기능을 해제하면 공격자는 추측한 각 이름에 대해 NDR이 반환될 때까지 기다립니다.
받는 사람 필터링 기능과 타르핏 기능을 모두 설정하면 잘못된 전자 메일 이름에 대한 응답을 크게 지연할 수 있습니다. 이러한 동작은 공격을 방해합니다.
참고 대다수의 공격자가 스푸핑된(spoofed) 도메인으로 로그온하기 때문에 스팸 메일을 보내는 사람이나 기타 공격자가 사용자 서버에서 생성된 NDR을 실제로 받을 가능성은 희박합니다. NDR이 공격자를 찾을 수 있다면 여러분도 공격자를 찾을 수 있습니다. 따라서 NDR을 통한 사전 공격 위험은 SMTP 통신 동안 정보가 누출될 위험만큼 크지 않습니다.
위로 가기공격자에게 도움이 될 수 있는 응답을 Exchange에서 보내지 않도록 막지 않는 이유
응답을 보내지 않도록 Exchange를 구성할 수도 있습니다. 이렇게 하려면 받는 사람 필터링 기능을 해제하고 NDR을 표시하지 않도록 해야 합니다.
앞에서 설명한 것처럼 NDR을 표시하지 않는 것은 RFC를 준수하는 방법이 아닙니다. 따라서 NDR을 표시하지 않는 것은 일반적으로 좋지 않습니다. 또한 NDR을 표시하지 않으면 전자 메일 메시지를 보낼 때 받는 사람 주소를 잘못 입력하는 일반 사용자에게 불편을 주기도 합니다. 전자 메일을 보내는 사람은 일반적으로 NDR이 반환되지 않으면 전자 메일 메시지가 목적지에 도달한 것으로 생각합니다.
받는 사람 필터링 기능을 설정하면 수집 공격을 받을 위험이 커질 수 있습니다. 그러나 NDR 대량 공격을 위한 벡터로 사용될 가능성도 줄어듭니다. NDR 대량 공격은 보낸 사람이 유효한 도메인의 반환 주소를 의도적으로 스푸핑한 다음 잘못된 전자 메일 메시지를 해당 도메인에서 보낸 것처럼 사용자에게 보내는 것입니다. 그러면 사용자의 서버는 이 도메인에 의무적으로 다량의 NDR 보고서를 보냅니다.
전자 메일 수집 공격, NDR 대량 공격 및 스팸 자체의 문제는 합법적인 전자 메일 전송에 유용하거나 필요한 SMTP 프로토콜 기능을 사용합니다. 합법적인 트래픽을 계속 허용하면서 이러한 위협으로부터 방어할 때 고려해야 하는 장단점이 있습니다.
타르핏 기능은 합법적인 사용자가 받는 영향을 최소화하면서 SMTP의 오용을 방지하는 하나의 또 다른 옵션입니다.
위로 가기타르핏 기능을 설정하는 방법
경고 레지스트리 편집기나 다른 방법을 사용하여 레지스트리를 잘못 수정하는 경우 심각한 문제가 발생할 수 있습니다. 이 문제를 해결하려면 운영 체제를 다시 설치해야 할 수도 있습니다. Microsoft는 문제에 대해 해결을 보증하지 않습니다. 레지스트리의 수정에 따른 모든 책임은 사용자에게 있습니다.
타르핏 기능은 레지스트리 키를 통해 설정하고 구성할 수 있습니다. 다음과 같이 하십시오.
참고 TarpitTime 레지스트리 항목이 없으면 Exchange는 이 레지스트리 항목의 값이 0으로 설정된 것처럼 동작합니다. 레지스트리 항목의 값이 0이면 SMTP 주소 확인 응답을 보낼 때 지연되지 않습니다.
|
1. |
시작, 실행을 차례로 누르고 열기 상자에 regedit를 입력한 다음 확인을 누릅니다. |
|
2. |
다음 레지스트리 하위 키를 찾아서 누릅니다. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SMTPSVC\Parameters |
|
3. |
편집 메뉴에서 새로 만들기를 가리킨 다음 DWORD 값을 누릅니다. |
|
4. |
레지스트리 항목 이름으로 TarpitTime을 입력한 다음 Enter 키를 누릅니다. |
|
5. |
편집 메뉴에서 수정을 누릅니다. |
|
6. |
10진수를 누릅니다. |
|
7. |
값 데이터 상자에 존재하지 않는 각 주소에 대해 SMTP 주소 확인 응답을 지연할 시간(초)을 입력합니다. 그런 다음 확인을 누릅니다. 예를 들어 5를 입력한 다음 확인을 누릅니다. 이렇게 하면 5초 동안 SMTP 주소 확인 응답이 지연됩니다. |
|
8. |
레지스트리 편집기를 종료합니다. |
|
9. |
SMTP(Simple Mail Transport Protocol) 서비스를 다시 시작합니다. |
위로 가기Exchange 2003을 사용하지 않는 경우 Windows Server 2003에서 타르핏 기능을 사용할 수 있습니까?
예. 사용할 수 있습니다. 타르핏 기능은 일반적인 Windows Server 2003 SMTP 서비스 기능입니다. 이 SMTP 서비스는 Exchange에서 사용하며 다른 응용 프로그램에서도 사용할 수 있습니다.
타르핏 기능은 5.x.x 오류 응답에 지연을 삽입합니다. 응용 프로그램이 이러한 지연을 제대로 사용할 수 있는 경우 타르핏 기능을 설정할 수 있습니다.
위로 가기참조
이 문서의 이전 버전은 다음에서 볼 수 있습니다.
899492 (http://support.microsoft.com/kb/899492/) Exchange Server 2003 전자 메일 주소가 열거되지 않도록 하는 소프트웨어 업데이트를 사용할 수 있다
문서의 최신 버전은 추가 설명 자료와 새 다운로드 정보로 업데이트되었습니다. 받는 사람 필터링 기능에 대한 자세한 내용은 Microsoft 기술 자료의 다음 문서를 참조하십시오.
823866 (http://support.microsoft.com/kb/823866/) Exchange 2003에서 RBL을 사용하도록 연결 필터링을 구성하고 받는 사람 필터링을 구성하는 방법
Exchange 5.5에서 배달 못함 보고서를 표시하지 않는 방법에 대한 자세한 내용은 Microsoft 기술 자료의 다음 문서를 참조하십시오.
837794 (http://support.microsoft.com/kb/837794/) Exchange Server 5.5에서 인터넷 메일 서비스가 NDR을 표시하지 않거나 배달할지 여부를 제어하는 데 사용할 수 있는 업데이트
SMTP 릴레이, 공격자가 자주 이용하는 또 다른 기능에 대한 자세한 내용은 Microsoft 기술 자료의 다음 문서를 참조하십시오.
304897 (http://support.microsoft.com/kb/304897/) XIMS: Microsoft SMTP 서버가 타사 테스트에서 전자 메일 메시지를 받고 릴레이할 수 있다
Microsoft 소프트웨어 업데이트에 대한 자세한 내용은 Microsoft 기술 자료의 다음 문서를 참조하십시오.
824684 (http://support.microsoft.com/kb/824684/) Microsoft 소프트웨어 업데이트를 설명하는 데 사용되는 표준 용어에 대한 설명
10진수사용
IMF 패턴 업데이트 적용 REGEDIT 수정값
2009. 11. 17. 11:25
IMF 패턴 업데이트 적용 REGEDIT 수정값
안녕하세요 향기입니다~*
Exchange Server 2003에서 IMF 패턴 업데이트 적용 Regedit 수정값 입니다.
KB문서 http://support.microsoft.com/KB/907747
The "Microsoft Exchange Server Intelligent Message Filter v2 Operations Guide" is now available
View products that this article applies to.
|
Article ID |
: |
907747 |
|
Last Review |
: |
October 27, 2006 |
|
Revision |
: |
5.1 |
INTRODUCTION
The Microsoft Exchange Server Intelligent Message Filter v2 Operations Guide is now available.
By default, the Intelligent Message Filter feature is installed with Microsoft Exchange Server 2003 Service Pack 2 (SP2). You must manually enable Intelligent Message Filter to obtain the benefits of this new message filtering technology. The Microsoft Exchange Server Intelligent Message Filter v2 Operations Guide describes the update process that keeps Intelligent Message Filter up-to-date. This guide includes information about the following topics:
|
• |
How Intelligent Message Filter works | ||||||||||||||
|
• |
How to plan your Exchange Server Intelligent Message Filter
| ||||||||||||||
|
• |
How to configure and to enable Exchange Server Intelligent Message Filter | ||||||||||||||
|
• |
How to update the Exchange Server Intelligent Message Filter
| ||||||||||||||
|
• |
How to monitor and to troubleshoot Exchange Server Intelligent Message Filter
| ||||||||||||||
|
• |
How to customize Exchange Server Intelligent Message Filter
|
Back to the topMORE INFORMATION
To obtain the Microsoft Exchange Server Intelligent Message Filter v2 Operations Guide, visit the following Microsoft Web site:
http://www.microsoft.com/downloads/details.aspx?familyid=B1218D8C-E8B3-48FB-9208-6F75707870C2&displaylang=en (http://www.microsoft.com/downloads/details.aspx?familyid=B1218D8C-E8B3-48FB-9208-6F75707870C2&displaylang=en)
Back to the topREFERENCES
For more information about Intelligent Message Filter, click the following article number to view the article in the Microsoft Knowledge Base:
842763 (http://support.microsoft.com/kb/842763/) The "Exchange Server Intelligent Message Filter Overview" white paper for Microsoft Exchange Server 2003 is available
For more information about how to troubleshoot Intelligent Message Filter v2, visit the following Microsoft Exchange Team Blog Web site:
http://msexchangeteam.com/archive/2006/04/12/425060.aspx (http://msexchangeteam.com/archive/2006/04/12/425060.aspx)
Note The content and the URL of each blog are subject to change without notice.
Back to the top
MS Exchange Team Blog
Demystifying Exchange Server 2003 SP2 IMF Updates
Hi All,
I thought I would introduce myself to the BLOG-O-Sphere, my name is Scott Roberts and I'm a Software Developer in Test for the Exchange Sustained Engineering team. One of my responsibilities on the Exchange team includes being part of a team that pushes out the update for Intelligent Message Filtering (IMF) via Microsoft Update (MU). This BLOG will cover a few of the areas that we seem to find customers having problems with when trying to get the latest IMF update via MU.
By now, I hope all of you know that new Intelligent Message Filter (IMF) is out in the wild with the release Exchange Server 2003 Service Pack 2 and have moved off of the older version. What you might not be aware of is that Exchange pushes an update twice a month to the Microsoft Update infrastructure to deliver the latest IMF files to your server and this is explained in
http://support.microsoft.com/?kbid=907747. The below will give additional information and troubleshooting steps to make using the IMF update functionality easier and troubleshooting issues less costly. Additionally, you should check our previous post on this subject too.
Microsoft Update/Windows Update
An IMF Update is the same as any other Exchange Update and therefore will use the 'Microsoft Update' pipe instead of the 'Windows Update' pipe to deliver the update to the customer. Every computer by default uses 'Windows Update' when first installed and can be reached by START > PROGRAM FILES and selecting the 'Windows Update' shortcut.
For additional information, I would recommend reading the FAQ on Microsoft Update.
|
What Is Microsoft Update? |
|
Does it work with Automatic Updates? |
|
If I use Microsoft Update, do I still need to visit the Windows Update website? |
In order to use Microsoft Update (MU), the computer must 'opt-in' via a website and from that point on the machine will use MU for detecting if it needs updates instead of Windows Update (WU). KB901037 explains 'How to enable and to disable Microsoft Update'. It isn't that difficult to do and only takes a minute.
Detection Logic
First off, I think it will be important to explain how detection does happen. There are several checks that happen before the update will be downloaded to the machine and installed. The Automatic Update (AU) Service (Description of the Automatic Updates feature in Windows) is responsible for the scan on the local machine and based on its configuration (How to schedule automatic updates in...) will decide how to handle the update. Remember that there is an ActiveX control that needs to be installed and that there is also a possibility that the machine needs an update for 'Windows Update'.
The detection that happens during the AU scan that does happen is as follows:
- Is one of the Exchange Product installed on the machine?
- Is Exchange Server 2003 installed on the machine?
- Is Exchange Server 2003 Service Pack 2 installed on the machine?
- Is the IMF 'ContentFilterState' registry a DWORD and a value of 1?
- Is this particular IMF Update already installed onto the machine?
At this point, the 'AU' then does what is configured to do on the local machine:
- The update is automatically installed (AU Scheduled) and uses the 'localsystem' account for the installation of the update
- The update is downloaded and the local user is prompted to install. The update is installed using the credentials of the local user.
- The update is not download but the local user is prompted to download and install. The update is installed using the credentials of the local user.
- If the scan is initiated by going to http://update.microsoft.com/microsoftupdate/v6/ then it is up for the user to decide. The update is installed using the credentials of the local user.
Enabling IMF Filter Updates
To enable Intelligent Message Filter updates, you must create the ContentFilterState registry entry. http://support.microsoft.com/?kbid=907747 explains this some detail. To do this, follow these steps:
|
1. |
Ensure that Exchange Server 2003 Service Pack 2 is installed on the machine |
|
2. |
Click Start, click Run, type regedit, and then click OK. |
|
3. |
Expand the following registry subkey: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Exchange |
|
4. |
In the left pane, click Exchange. Then, right-click in the right pane, point to New, and then click DWORD Value. |
|
5. |
Type ContentFilterState, and then press ENTER to name the new registry entry. |
|
6. |
Right-click ContentFilterState, and then click Modify. |
|
7. |
In the Data value box, type 1, and then click OK. |
|
8. |
Quit Registry Editor. |
|
9. |
In the Services snap-in, restart the Simple Mail Transfer Protocol (SMTP) service. |
Customer Headaches
A few requests from customers have been in the area of creating a tool that does the scan at a schedule time and not install every other update that is also being offered. If the local machine is configured to auto-install updates at a specific time then all updates being offered that are of 'high-priority' will also be installed based on the 'AU settings' regardless if the IMF is offered or not. I created a small vbscript tool to show how someone can use the 'WU API' to write a custom tool so that the customer has some flexibility on how to install the IMF Update. The script will detect or download just the IMF Update based on the parameter passed in at run time. If there is no IMF update detected as needing to be installed then the script exits until the next time it is run.
The script follows; please save it into a file called blogIMFV1.vbs, for example. Also please note that seeing that the blog post contains some Unicode characters, in order to view them properly, please set your browser Encoding to "Unicode (UTF-8)" (in IE, go to View > Encoding and then refresh the page after chaning the encoding to Unicode):
Option Explicit
'//---------------------------------------------------------------------
'//This is a sample script, not officially supported by Microsoft.
'//---------------------------------------------------------------------
'Simple VBScript to show usage
'Forgetting to use cscript.exe could lead to annoying pop-ups when wscript.echo is called.
'Will run on any machine but only will do *stuff* on an Exchange server configured according to http://support.microsoft.com/?kbid=907747
On Error Resume Next
Dim error, i
Dim objUpdateSession, objUpdateSearcher, objSearchResult
Dim objupdateInfo, BundleUpdate
Dim objUpdatesToDownload, objUpdatesToInstall
Dim UpdateAction, bInstall, bDetect
Dim IUpdate
Dim downloader, installer
Dim installationResult
bInstall = false
if WScript.Arguments.Count = 1 Then
UpdateAction = lcase(WScript.Arguments.Item(0))
Select Case (UpdateAction)
Case ("install")
bInstall = vbTrue
Case ("detect")
bInstall = vbFalse
Case Else
Usage
End Select
else
Usage
end if
Set objUpdateSession = CreateObject("Microsoft.Update.Session")
if (err.number <> 0) then
msgEcho ("Microsoft.Update.Session is not present - have you connected to MicrosoftUpdates before?")
msgEcho ("Microsoft.Update.Session is not present - have you connected to http://update.microsoft.com/MicrosoftUpdate before?")
end if
Set objUpdatesToDownload = CreateObject("Microsoft.Update.UpdateColl")
Set objUpdatesToInstall = CreateObject("Microsoft.Update.UpdateColl")
msgEcho ( "Setting UpdateSession to Microsoft Update")
Set objUpdateSearcher = objUpdateSession.CreateupdateSearcher()
objUpdateSession.CreateupdateSearcher()
'By default, the scan will use what AU is configured to use. It could be WSUS or MU/WU.
'If you want to force the scan to use Microsoft Update and not what AU is configured to use simply uncomment the below lines
'objUpdateSearcher.ServiceID ="7971f918-a847-4430-9279-4a52d1efe18d"
'objUpdateSearcher.ServerSelection = 3
'objUpdateSearcher.Online = true
msgEcho ("Setting SearchResult and performing search")
Set objSearchResult = objUpdateSearcher.Search("CategoryIDs contains '3cf32f7c-d8ee-43f8-a0da-8b88a6f8af1a'") 'Exchange 2003 GUID
if (err.number <> 0) then
msgEcho ("Have you set the ContentFilterState DWORD registry value?")
msgEcho ("you connected to http://update.microsoft.com/MicrosoftUpdate?")
end if
msgEcho ("Search completed")
msgEcho ("Total Updates Returned:" & objSearchResult.Updates.Count)
'//
'// List current updates and status
'//
msgEcho ( "All Exchange Updates Status:")
msgEcho ("")
msgEcho ( VBTAB & "Is Installed: ")
For i = 0 to objSearchResult.Updates.Count-1
if (objSearchResult.Updates.Item(i).isInstalled = true) then
msgEcho ( VBTAB & VBTAB & objSearchResult.Updates.Item(i).title)
end if
Next
msgEcho ( VBTAB & "Not Installed: ")
For i = 0 to objSearchResult.Updates.Count-1
if (objSearchResult.Updates.Item(i).isInstalled = false) then
msgEcho ( VBTAB & VBTAB & objSearchResult.Updates.Item(i).title)
end if
Next
'//
'// List only the IMF updates
'//
msgEcho ("")
msgEcho ("IMF Update Status:")
msgEcho ("")
msgEcho ( VBTAB & "Is Installed: ")
For i = 0 to objSearchResult.Updates.Count-1
if ( IsTitleOfUpdateIMFUpdate(objSearchResult.Updates.Item(i).title) ) then
if (objSearchResult.Updates.Item(i).isInstalled = true) then
msgEcho ( VBTAB & VBTAB & objSearchResult.Updates.Item(i).title)
end if
end if
Next
msgEcho ( VBTAB & "Not Installed: ")
For i = 0 to objSearchResult.Updates.Count-1
'This will only work for English
if ( IsTitleOfUpdateIMFUpdate(objSearchResult.Updates.Item(i).title) ) then
if (objSearchResult.Updates.Item(i).isInstalled = false) then
msgEcho ( VBTAB & VBTAB & objSearchResult.Updates.Item(i).title)
if (bInstall) then
msgEcho ( VBTAB & VBTAB & VBTAB & "Adding to the Download Queue")
objUpdatesToDownload.Add(objSearchResult.Updates.Item(i))
end if
end if
end if
Next
if Not (bInstall) then
msgEcho ("Exiting - detection only")
wscript.quit (0)
end if
if (objUpdatesToDownload.Count = 0) then
msgEcho ("No 'Updates for Intelligent Message Filter' to download")
wscript.quit (0)
end if
msgEcho ("Downloading updates...")
Set downloader = objUpdateSession.CreateUpdateDownloader()
downloader.Updates = objUpdatesToDownload
downloader.Download()
msgEcho ("Adding downloaded updates to the install list")
For i = 0 to objUpdatesToDownload.Count-1
if (objUpdatesToDownload.Item(i).IsDownloaded = true) then
objUpdatesToInstall.Add(objUpdatesToDownload.Item(i))
end if
Next
if objUpdatesToInstall.Count = 0 then
msgEcho ("No 'Updates for Intelligent Message Filter' to install - an error at this point")
wscript.quit (-1)
end if
Set installer = objUpdateSession.CreateUpdateInstaller()
msgEcho ("Installing Updates...")
installer.Updates = objUpdatesToInstall
Set installationResult = installer.Install()
if (installationResult.ResultCode <> 2) then
msgEcho ("Installation Result: Bad Error (" & installationResult.ResultCode & ")")
else
msgEcho ("Installation Result: Succeeded")
end if
msgEcho ("Reboot Required: " & installationResult.RebootRequired)
msgEcho ("Exiting with Error 0x" & Hex(Err.Number) & " (" & Err.Description & ")")
WScript.Quit(Err.Number)
Function IsTitleOfUpdateIMFUpdate(StrTitle)
IsTitleOfUpdateIMFUpdate = vbFalse
if ( StrComp (objSearchResult.Updates.Item(i).title, "Update for Intelligent Message Filter for Exchange Server 2003:") > 0 ) OR _
( StrComp (objSearchResult.Updates.Item(i).title, "Exchange Server 2003 Intelligent Message Filter 용 핫픽스:") > 0 ) OR _
( StrComp (objSearchResult.Updates.Item(i).title, "Mise à jour pour Intelligent Message Filter pour Exchange Server 2003:") > 0 ) OR _
( StrComp (objSearchResult.Updates.Item(i).title, "Update für Intelligent Message Filter für Exchange Server 2003:") > 0 ) OR _
( StrComp (objSearchResult.Updates.Item(i).title, "Exchange Server 2003 Intelligent Message Filter 用 更新プログラム(KB907747):") > 0 ) OR _
( StrComp (objSearchResult.Updates.Item(i).title, "Actualización para Intelligent Message Filter para Exchange Server 2003:") > 0 ) OR _
( StrComp (objSearchResult.Updates.Item(i).title, "Aggiornamento per Intelligent Message Filter per Exchange Server 2003:") > 0 ) OR _
( StrComp (objSearchResult.Updates.Item(i).title, "更新 for Exchange Server 2003 Intelligent Message Filter:") > 0 ) OR _
( StrComp (objSearchResult.Updates.Item(i).title, "Exchange Server 2003 Intelligent Message Filter 的 更新:") > 0 ) then IsTitleOfUpdateIMFUpdate = vbTrue
End Function
Sub msgEcho (strEcho)
WScript.Echo(NOW() & vbTab & strEcho)
End Sub
Sub Usage()
Wscript.Echo "Invalid Arguements"
Wscript.Echo vbTab & "Usage: imfUpdateScript.vbs ActionType"
Wscript.Echo vbTab & "ActionType - 'Detect' or 'Install'"
Wscript.Quit(-1)
End Sub
Published Wednesday, April 12, 2006 9:35 AM by Exchange
Filed Under: Troubleshooting, Tools, Transport & Routing, All Posts
해당 Regedit 값에 DWORD 추가하시고 값을 1로 주시면 됩니다.
restart the Simple Mail Transfer Protocol (SMTP) service
Active Directory Tool - Bulk AD Users
2009. 11. 16. 18:58
안녕하세요 향기입니다.
오늘은 AD 관리자를 위한 아주 유용한 Tool을 소개 합니다.
사용자 대량 변경 작업이 있을 경우에 편리하게 작업을 할 수 있습니다.
물론 Beta Ver.이지만 매우 유용합니다^^’
그리고 무료입니다.!! Free!! 대량 작업할 때 CSV나 엑셀 파일만 정리되어 있으면 큰 작업을 쉽게 할 수 있습니다.
꼭 써보시기 바랍니다^^;
Bulk AD Users
http://wisesoft.co.uk/software/bulkadusers/default.aspx
Bulk AD Users - A tool that allows bulk updates to Active Directory User Attributes
Introduction
WiseSoft Bulk AD Users is a tool that makes it easy to perform bulk updates to Active Directory User account attributes. Previously you might have wrote scripts to perform these types of updates or gone through a very tedious process of performing these updates one at a time via the ADU&C interface. Bulk AD Users makes this process much simpler and also provides an XML log file that allows you to undo any unwanted updates. The application has powerful query capabilities that allow you to target updates to only the required user accounts and number of methods are available for updating user account data depending on your specific requirements.
The Bulk Modify dialog will seem familiar to anyone that has used Active Directory Users & Computers. The interface is modeled on the user dialog, but the updates can apply to many user accounts. The XML Placeholders feature extends the flexibility of the Bulk Modify dialog by allowing you to base updates on existing attributes. You could update the display name format to "surname, firstname" or change the username format to "firstname.surname" for example. The Bulk Modify dialog is great for situations where the update can be based on existing attributes or a single value is required for all users.
The CSV update feature allows you to update user account attributes from a CSV file, making it suitable for updates where a different value is required for each user account. A CSV file could be produced from your HR database and then used to update employee information stored in Active Directory. It's also possible to export existing account data from Active Directory to CSV file, use a 3rd party application to manipulate the data and then re-import using the CSV Update tool.
Bulk AD Users allows you to edit user account data in Microsoft Excel with the Edit In Excel feature. Microsoft Excel is a very powerful tool for data manipulation allowing you to update user attributes using a combination of manual updates and formulas. It's very easy to write a formula in Excel to update the user principal name format to 'firstname.surname@domainname.com' for example. In this case, you could also choose the Bulk Modify feature to perform the update, but in other situations the formulas will be to complicated to convert into XML Placeholders.
For quick updates to a small number of accounts, the edit in grid feature can be used. The application also supports moving user accounts to a new container, reseting passwords and has quick options for enabling/disabling user accounts. Additional account options (logon hours, password never expires, force password change at next logon etc) can be manipulated through the Bulk Modify dialog.
Advantages of Bulk AD Users
It's possible to manipulate data in Active Directory by writing your own scripts, using command line tools and other 3rd party applications. I don't want to discourage people from using command line tools and writing scripts - quite the opposite; I actually encourage the use of scripts and provide information to help people write their own scripts on this website. There are some advantages to using Bulk AD Users over writing your own scripts to consider -
- Bulk AD Users is easier to use and doesn't require knowledge of any scripting language.
- Writing scripts can be time consuming and some attributes require special handling making them difficult to update via script.
- Updates performed by Bulk AD Users are logged automatically in an XML file. This file enables the application to rollback updates if required - An additional layer of safety not usually provided by command line tools and scripts.
- Bulk AD Users is freeware.
In most cases Bulk AD Users is the easiest method of performing bulk updates to user account attributes. You might still choose scripts and command line tools for specific update scenarios where you need additional automation or a great deal of control over the update process.
Is it really FREE? What's the catch?
Yes! You are free to use the application in any company/organization regardless of size, number of users etc. The application does not expire after a period of time and it's features are not limited in any way.
The application asks for a registration code - this is simply to keep track of the number of people that are using the application. You can get your registration code after signing up for your FREE WiseSoft.co.uk user account. The user account allows you to post on the forum and submit content to the website. Your details are not shared with any third parties and you won't be inundated with spam emails from this website. Emails are sent occasionally to inform users about updates to the website and applications (Only 3 updates were sent in 2008).
If you find the software useful and would like to make a donation, your support is very much appreciated.
Features
Searching
- Select users from group (with or without nested members)
- Select users from OU (Allows multi-select)
- Select users from query. A range of pre-defined filters are available and you can write your own custom LDAP filters.
- Ability to extend the list of pre-defined queries to include your own favorite searches.
- Select users from list. Enter user account names manually or from a file.
Updating
- Simple "Bulk Modify" interface for updates. A dialog similar to the user dialog in ADU&C, but it can work on a large number of user accounts.
- XML Placeholders feature. Can be used with Bulk Modify dialog to base updates on existing user account attributes. e.g. set displayname to "Surname, Firstname"
- Support for multi-valued attributes.
- "Other Tab" provides support for custom AD Attributes and attributes not normally shown in the user interface.
- Photo updates
- Member Of updates.
- Logon hours support
- UserName updates (with optional conflict resolution)
- Enable/Disable/Unlock. (support for other account options also available)
- CSV Update tool.
- Edit In Excel tool.
- Move Users
- Bulk password reset
- Edit In Grid.
- XML Log file produced for each update batch.
- Result dialog to show the success of the update.
- Rollback feature.
Note: This is not a full list of supported attributes. A large number of attributes are supported by the application and the application can even be used to update attributes that have been added by extensions to the schema.
Miscellaneous
- Connection dialog to connect to other domains.
- Connect to domain from a workgroup computer.
- Export data to Excel, CSV to tab-separated.
- Properties to Load dialog allows you to control which attributes are shown in the grid.
- Password Generation Options - Control the format of generated passwords.
- Extend Bulk AD Users by writing your own scripts.
- Additional customization available in application config file.
Essential Reading
- Planning for Bulk Updates - things to consider before you update your Active Directory database.
- Connecting to Active Directory - how to connect to your Active Directory Database.
- Selecting user accounts - how to select the user accounts you want to modify
Note: Additional documentation will follow. Most of the documentation for "Bulk Password Control" will also apply to Bulk AD Users - click here to view the documentation for the old version.
Active Directory - Password Policy
2009. 11. 16. 18:37
안녕하세요 향기입니다.
AD에서 PW 정책 배포시에 복잡성을 만족해야 할 시에 요구 사항입니다.
많은 분들이 헷갈려 하시는 것 같아서 만들어 보았습니다.
저는 패스워드 정책을 사용자가 힘들에 가져가고 있군요..
라이브러리 가보시면 더 자세한 내용이 있습니다.
http://technet.microsoft.com/ko-kr/library/cc783512(WS.10).aspx
암호는 복잡성을 만족해야 함
암호는 복잡성을 만족해야 함
설명
이 보안 설정은 암호의 복잡성 요구 조건이 충족되는지 여부를 결정합니다.
이 정책을 사용하면 암호는 다음과 같은 최소 요구 사항을 충족시켜야 합니다.
- 사용자 계정 이름의 전부 또는 일부를 포함하지 않아야 합니다.
- 최소 여섯 문자여야 합니다.
- 다음 네 범주 중 세 범주의 문자를 포함해야 합니다.
- 영어 대문자(A-Z)
- 영어 소문자(a-z)
- 기본 10진수(0-9)
- 알파벳이 아닌 문자(예: !, $, #, %)
복잡성 요구 사항은 암호를 변경하거나 작성할 때 적용합니다.
http://technet.microsoft.com/ko-kr/library/cc786468(WS.10).aspx
최근 암호 기억
설명
이 보안 설정은 현재 암호를 다시 사용하기 전에 사용자 계정과 연결되어야 하는 고유한 새 암호의 개수를 결정합니다. 이 값은 0에서 24 사이여야 합니다.
이 정책을 사용하면 현재 암호가 더 이상 사용되지 않으므로 관리자는 보안을 향상시킬 수 있습니다.
기본값:
- 도메인 컨트롤러의 경우 24입니다.
- 독립 실행형 서버의 경우 0입니다.
해독 가능한 암호화를 사용하여 암호 저장
해독 가능한 암호화를 사용하여 암호 저장
설명
이 보안 설정은 운영 체제가 해독 가능한 암호화를 사용하여 암호을 저장할 것인지 여부를 결정합니다.
이 정책은 인증용 사용자 암호에 대한 정보를 요구하는 프로토콜을 사용하는 응용 프로그램을 지원합니다. 해독 가능한 암호화를 사용하여 암호를 저장하는 것은 일반 텍스트 버전의 암호를 저장하는 것과 같습니다. 이러한 이유로 응용 프로그램 요구 사항이 암호 정보를 보호하는 것보다 중요하지 않는 한 이 정책은 사용하지 말아야 합니다.
이 정책은 원격 액세스 또는 IAS(인터넷 인증 서비스)를 통해 CHAP(Challenge-Handshake 인증 프로토콜) 인증을 사용하는 경우에 필요합니다. 또한 IIS(인터넷 정보 서비스)의 다이제스트 인증을 사용하는 경우에도 필요합니다.
최소 암호 사용 기간
최소 암호 사용 기간
설명
이 보안 설정은 사용자가 암호를 변경하기 전에 사용해야 하는 기간(일 수)을 결정합니다. 이 값은 1에서 998일 사이로 설정하거나 즉시 변경할 수 있도록 0으로 설정할 수도 있습니다.
최소 암호 사용 기간은 최대 암호 사용 기간이 암호가 만료되지 않음을 나타내는 0으로 설정되지 않은 한 반드시 최대 암호 사용 기간보다 짧아야 합니다. 최대 암호 사용 기간이 0으로 설정되어 있으면 최소 암호 사용 기간이 0에서 998일 사이의 한 값으로 설정될 수 있습니다.
최근 암호 기억을 유효하게 하려면 최소 암호 사용 기간을 0보다 큰 수로 구성해야 합니다. 최소 암호 사용 기간이 없으면 사용자는 현재 암호에 도달할 때까지 모든 암호를 차례대로 사용할 수 있습니다. 기본 설정은 이 권장 구성과 동일하지 않으므로 관리자는 사용자에게 암호를 지정한 다음 사용자가 로그인할 때 지정된 암호를 변경하도록 요구할 수 있습니다. 현재 암호 기억이 0으로 설정되어 있으면 사용자는 새 암호를 선택할 필요가 없습니다. 이러한 이유로 최근 암호 기억의 기본 설정값은 1입니다.
기본값:
- 도메인 컨트롤러의 경우 1입니다.
- 독립 실행형 서버의 경우 0입니다.
< English >
Technet Site
http://technet.microsoft.com/en-gb/library/cc783512(WS.10).aspx
Passwords must meet complexity requirements
Updated: April 30, 2009
Applies To: Windows Server 2003, Windows Server 2003 R2, Windows Server 2003 with SP1, Windows Server 2003 with SP2
Password must meet complexity requirements
Description
This security setting determines whether passwords must meet complexity requirements.
If this policy is enabled, passwords must meet the following minimum requirements when they are changed or created:
- Not contain the user's entire Account Name or entire Full Name. The Account Name and Full Name are parsed for delimiters: commas, periods, dashes or hyphens, underscores, spaces, pound signs, and tabs. If any of these delimiters are found, the Account Name or Full Name are split and all sections are verified not to be included in the password. There is no check for any character or any three characters in succession.
- Contain characters from three of the following five categories:
- English uppercase characters (A through Z)
- English lowercase characters (a through z)
- Base 10 digits (0 through 9)
- Non-alphabetic characters (for example, !, $, #, %)
- A catch-all category of any Unicode character that does not fall under the previous four categories. This fifth category can be regionally specific.
Minimum password length
Updated: January 21, 2005
Applies To: Windows Server 2003, Windows Server 2003 R2, Windows Server 2003 with SP1, Windows Server 2003 with SP2
Minimum password length
Description
This security setting determines the least number of characters that a password for a user account may contain. You can set a value of between 1 and 14 characters, or you can establish that no password is required by setting the number of characters to 0.
Default:
- 7 on domain controllers.
- 0 on stand-alone servers.
Enforce password history
Updated: January 21, 2005
Applies To: Windows Server 2003, Windows Server 2003 R2, Windows Server 2003 with SP1, Windows Server 2003 with SP2
Enforce password history
Description
This security setting determines the number of unique new passwords that have to be associated with a user account before an old password can be reused. The value must be between 0 and 24 passwords.
This policy enables administrators to enhance security by ensuring that old passwords are not reused continually.
Default:
- 24 on domain controllers.
- 0 on stand-alone servers.
Store passwords using reversible encryption
Updated: January 21, 2005
Applies To: Windows Server 2003, Windows Server 2003 R2, Windows Server 2003 with SP1, Windows Server 2003 with SP2
Store passwords using reversible encryption
Description
This security setting determines whether the operating system stores passwords using reversible encryption.
This policy provides support for applications that use protocols that require knowledge of the user's password for authentication purposes. Storing passwords using reversible encryption is essentially the same as storing plaintext versions of the passwords. For this reason, this policy should never be enabled unless application requirements outweigh the need to protect password information.
This policy is required when using Challenge-Handshake Authentication Protocol (CHAP) authentication through remote access or Internet Authentication Services (IAS). It is also required when using Digest Authentication in Internet Information Services (IIS).
Default: Disabled.
Minimum password age
Updated: January 21, 2005
Applies To: Windows Server 2003, Windows Server 2003 R2, Windows Server 2003 with SP1, Windows Server 2003 with SP2
Minimum password age
Description
This security setting determines the period of time (in days) that a password must be used before the user can change it. You can set a value between 1 and 998 days, or you can allow changes immediately by setting the number of days to 0.
The minimum password age must be less than the Maximum password age, unless the maximum password age is set to 0, indicating that passwords will never expire. If the maximum password age is set to 0, the minimum password age can be set to any value between 0 and 998.
Configure the minimum password age to be more than 0 if you want Enforce password history to be effective. Without a minimum password age, users can cycle through passwords repeatedly until they get to an old favorite. The default setting does not follow this recommendation, so that an administrator can specify a password for a user and then require the user to change the administrator-defined password when the user logs on. If the password history is set to 0, the user does not have to choose a new password. For this reason, Enforce password history is set to 1 by default.
Default:
- 1 on domain controllers.
- 0 on stand-alone servers.
Maximum password age
Updated: January 21, 2005
Applies To: Windows Server 2003, Windows Server 2003 R2, Windows Server 2003 with SP1, Windows Server 2003 with SP2
Maximum password age
Description
This security setting determines the period of time (in days) that a password can be used before the system requires the user to change it. You can set passwords to expire after a number of days between 1 and 999, or you can specify that passwords never expire by setting the number of days to 0. If the maximum password age is between 1 and 999 days, the Minimum password age must be less than the maximum password age. If the maximum password age is set to 0, the minimum password age can be any value between 0 and 998 days.
Note
- It is a security best practice to have passwords expire every 30 to 90 days, depending on your environment. This way, an attacker has a limited amount of time in which to crack a user's password and have access to your network resources.
Default: 42.
OCS With IP-PBX Vendor (Nortel/Avaya/Cisco)
2009. 11. 13. 16:02
Direct SIP Connection With Nortel Communication Server 5.0
Direct_SIP_Connection_with_Nortel_Communication_Server_5.0.doc
Cisco Call Manager 5.1 PBX Configration Note
Cisco Unified Communication Manager 6.0 PBX Configuration Note
Cisco Unified Communication Manager 7.0 PBX Configuration Note
Application Notes For Microsoft OC Clients With Avaya Communication Manager Phones