» Home » Admin und Betrieb » Nachrichtentracking » Tracking 200x

Exchange 2000/2003 Nachrichtentracking

Für andere Exchange Versionen siehe Nachrichtentracking mit Exchange 5.x und Nachrichtentracking mit Exchange 2007

Nachrichtentracking aktivieren

Das Nachrichtentracking ist per Default nicht aktiv und muss je Server aktiviert werden. Option kann auch die Protokollierung des Betreffs mit aktiviert werden. Problem hierbei ist die Vergrößerung der Protokolldateien und das Thema Datenschutz. Leider kann Exchange die Protokolle nicht direkt in eine ODBC-Quelle schreiben.

Wichtig ist hier auch die Einstellung der Haltezeit, d.h. wie lange die Systemaufsicht die Protokolldateien vorhält.

Diese Einstellung sind für jeden Server zu aktivieren. Allerdings können Sie sich die Arbeit zumindest über eine Exchange Systemrichtlinie erleichtern und zentralisieren.

Nachtracken

Die Nachverfolgung der Nachrichten erfolgt ebenfalls aus dem Exchange Systemmanager.

(Bitte Klicken)

Das Tracking startet immer bei einem Server. Wenn Sie den Absender kennen, dann ist dies der Ansatzpunkt für die Suche und das Tracking Center sucht den Homeserver dieses Benutzers als Startpunkt aus. Wenn Sie eher auf einem Connector Server eine durchlaufende Mail suchen, dann kann die Zieladresse in Verbindung mit dem passenden Startserver besser passen.

Das Tracking ist so ausgelegt, dass Sie zuerst eine Liste der Nachrichten sehen. Erst die Anwahl einer Nachricht sucht dann die passenden Details dazu heraus. Hierbei erkennt das Tracking Center aber auch, wenn die Nachricht zu einem anderen Server übertragen wurde und führt dort dann die Analyse weiter

Fehler beim Tracking.
Wenn Sie auch den Betreff mit aufzeichnen und dieser ein nicht-US-ASCII Zeichen enthält, so kodieren einige Mailserver diese als ISO8859 . (erkennbar an "=?ISO-8859-1?Q??=")
Das MessageTracking kann danach ankommende Meldungen nicht mehr anzeigen, obwohl die Daten im Log vorhanden sind. Auswertungen mit anderen Programmen sind daher möglich.
Ein Hotfix für Exchange 2003 ist angeblich verfügbar.

Datenbankformat

Die Protokolldateien liegen je Server in der Freigabe "%SERVERNAME%.log", die in der Regel auf C:\EXCHSRVR\%SERVERNAME.LOG verweist. Bei Exchange 5.5. haben hier leider JEDER:Lesen, so dass ohne entsprechende Anpassungen jeder Anwender hier eine Nachverfolgung starten könne. Erst mit Exchange 2003 ist dies geändert.

Die Trackinglogs von Exchange 2000 haben folgendes Format. Der Feldtrenner ist ein Tabulator. Bei Exchange 2000 SP3 und neuer kommt jedoch ein "Exchange Management Service" mit, der den Zugriff auf diese Informationen auch per WMI erlaubt.

Feld	Name	Format	Beschreibung
1	Date	MM-DD-YYYY	Datum des Eintrags
2	Time	HH:MM:SS GMT	Uhrzeit in Greenwich Time
3	Client-IP	XXX.XXX.XXX.XXX	IP-Adresse des Clients
4	Client Host Name	String	Rechnername des Clients
5	Partner Name	String	Name des Nachrichtendienstes. Dies kann sein: SMTP, X400, MAPI, IMAP, POP3, STORE
6	Server Host Name	String	Server, der den Eintrag gemacht hat.
7	Server IP	XXX.XXX.XXX.XXX	IP-Adresse des Servers, der den Eintrag gemacht hat.
8	Recipient Address	String	Empfänger der Nachricht (SMTP oder X.400 Adresse).
9	Event ID	Integer	Vorgang, z.B. 0 = Nachricht MTA Eingehend 1 = Probe MTA Eingehend 10 = MTA sendet Quittung 26 = Verteilerliste auflösen 1000 = Lokale Zustellung 1003 = Versand über Gateway 1004 = Empfang von Gateway 1023 = SMTP local delivery A message was successfully delivered by a store drive (logged by Advanced Queue). 1031 = End Outbound SMTP Transfer Eine vollständige Liste ist in den Exchange Dokumentationen und der TechNet " 821905 Message Tracking Event IDs in Exchange Server 2003 246959 XADM: Message Tracking Event IDs and Description 2000
10	MSGID	String	Message ID
11	Priority	Integer	Priorität -1= Low 0 = Normal 1 = Hoch
12	Recipient Report Status	Integer	Status für Quittungen 0 = Zugestellt 1 = Nicht zugestellt
13	Total Bytes	NNNNNNN	Größe der Nachricht in Bytes
14	Number Recipients	Integer	Anzahl der Empfänger
15	Origination Time	Integer	Zeit, wann die Nachricht das erste Mal in die Organisation gekommen ist. In Verbindung mit Feld 2 (Time) kann die Laufzeit ermittelt werden.
16	Encryption	Integer	Verschlüsselung 0 = keine Verschlüsselung 1 = Nachricht ist signiert 2 = Nachricht ist verschlüsselt Der Eintrag ist pro Nachricht, nicht pro Empfänger.
17	Service Version	String	Version des Dienstes, der den Eintrag erzeugt hat.
18	Linked MSGID	String	Alternative Message ID, wenn die Nachricht aus einem Fremdsystem gekommen ist. So können auch diese Nachrichten verfolgt werden.
19	Message Subject	String, base64 encoded if Loc.	Betreff der Nachricht auf 64 Zeichen gekürzt. Funktioniert nur, wenn auch die Protokollierung des Betreffs auf dem Server aktiviert wurde ! (nicht default)
20	Sender Address	String	Primäre Adresse der Absendermailbox. Dies kann die SMTP, X.400, oder DN der Mailbox sein.
21	-	-	Warum, auch immer finde ich bei einigen Tracking Logs noch eine weitere Spalte mit einem "-", deren Funktion mir nicht bekannte ist. Es gibt keinen Header dazu.

Der Weg durch die Firma

Entsprechend findet man dann beim Routing durch eine Firma mehrere Events, die sich nacheinander im Logfile des Server finden. Wenn Sie ein paar Testmails senden, dann sehen Sie folgende Events.

Internet ->MB	MB-> Internet	MB->MB Local	Site2Site Sender	Site2Site Receiver	Beschreibung (Siehe KB 821905)
1019 1025 1024 --- 1033 1036 1023 1028	1027 1019 1025 1024 --- 1033 1034 1020 1031	1027 1019 1025 1024 --- 1033 1036 1023 1028	1027 1019 1025 1024 --- 1033 1034 1020 1031	1019 1025 1024 --- 1033 1036 1023 1028	SMTP submit message to store driver (SD) SMTP submit message to Advanced Queuing (AQ) SMTP A new message was submitted to AQ SMTP submit message to the categorizer --- Split bei mehreren Empfängern SMTP message categorized and queued for routing SMTP message queued for local delivery SMTP message routed and queued for remote delivery SMTP begin outbound transfer SMTP end outbound transfer SMTP local delivery Store: local delivery

Ich habe mal Sonderfälle ausgelassen, aber im Grund sehen Sie sehr viele übereinstimmende Events.

• 1027 und 1028
  Diese beiden Events kennzeichnen eine neue Mail aus einer Mailbox (ausgehend) und eine lokale Zustellung einer Mail
• 1031/1019
  Diese beiden Events zeigen an, wenn eine Mail die aktuelle Umgebung per SMTP verlässt oder empfängt, wobei der 1019 auch anderweitig vorkommt. Es wird nicht zwischen "Internet" und SiteLinks" unterschieden.
• 1019 ist immer dabei
  Dabei eignet sich jeder diese Events gut für Auswertungen nach Summen.

Wer also zuverlässig Mails nach Intern, SameOrg und Internet unterscheiden möchte, kann dies über das Messagetracking nur sehr schwer tun, sondern muss letztlich die Sender und Empfänger ermitteln und sich z.B. an den Event 1019 halten.

• 821905 Message Tracking Event IDs in Exchange Server 2003

Weitere Links

• MTRACK Auswertung von Trackinglogs
• Exchange 5.5 Nachrichtentracking
• Nachrichtentracking mit Exchange 2007
• Exchange 2003:  Exchange_MessageTrackingEntry Class
  http://msdn.microsoft.com/en-us/library/aa143739(v=exchg.65).aspx
• 246856 XADM: How to Enable Message Tracking in Exchange 2000 Server
• 246959 XADM: Message Tracking Event IDs and Description 2000
• 246965 XADM: Message Tracking Logs Field Descriptions in Exchange 2000 Server
• 262162 XADM: Using the Message Tracking Center to Track a Message
• 317700 XADM: How to Change the Location of the Message Tracking Logs
• 841089 How to change the location of the message tracking logs in Exchange Server 2003
• 818017 XADM: Incorrect Origination Times Are Displayed in the Message Tracking Logs
• 823864 Improved Message Tracking Features in Exchange Server 2003
• 821905 Message Tracking Event IDs in Exchange Server 2003
• 821910 HOW TO: Troubleshoot for Exchange Server 2003 Transport Issues
• 875605 How to troubleshoot WMI-related issues in Windows XP SP2
• 895263 The expected e-mail messages are not found when you use Message Tracking Center in Exchange Server 2003
• http://msdn.Microsoft.com/library/en-us/wss/wss/_wmiref_msgtracking_xmlschema.asp
• http://www.Microsoft.com/technet/treeview/default.asp?url=/technet/
  prodtechnol/exchange/exchange2000/maintain/monitor/15x2kada.asp (Feldbeschreibung für Time-Taken ist falsch)
• Beschreibung der Felder
  http://msdn.Microsoft.com/library/default.asp?url=/library/en-us/dnmes2k/html/e2k_cmpts.asp
• Power-Shelling the Message Tracking logs on Exchange 2000/2003 http://gsexdev.blogspot.com/2006/05/power-shelling-message-tracking-logs.html

Keywords:

Nachrichtentracking

Impressum und Datenschutzerklärung. Anmerkungen, Anregungen oder Fragen siehe "Kontakt". Alle Angaben ohne Gewähr! Namen und Produktbezeichnungen können Eigentum der jeweiligen Hersteller sein. (c) 2000-heute Frank Carius, Jede weitere Veröffentlichung nur mit meinem vorherigen Einverständnis.

• NOTFALL
• Grundlagen
• Konzepte
• Signieren und Verschlüsseln
• Verfügbarkeit
• Admin und Betrieb
  • Active Directory
  • 100 Admin Fehler
  • Ex5.5 auf Win2000
  • Service Pack
  • Backup und Restore
  • Benutzermanagement
  • LDAP-Felder
  • DS/IS Konsistenzanpassung
  • Datenbank Recover
  • Recovery Storage Group
  • ESM Installieren
  • Benutzermanagement
  • Nachrichtentracking
    • Tracking 5.5
    • Tracking 200x
    • Tracking 2007/2010
  • Monitoring
  • Systemaufsicht
  • Badmail
  • Diagnoseprotokoll
  • Verschieben, Umbenennen, Umbauen
  • Move Server Wizard
  • Native AG in Mixed Org
  • Limit 2000/2003
  • Limit 2007/2010
  • Adressbücher und GAL
  • GAL
  • Berechtigungen
  • Mailboxrechte
  • Senden als
  • Delegate Admin
  • ManagedBy
  • Datenbankgrundlagen
  • Defrag
  • Neuer Benutzer
  • Benutzer löschen
  • Offline Adressbuch Generierung
  • SystemAufsicht (SA)
  • Dumpster
  • Journal
  • Abfragebasierte Verteiler
  • Dokumentation
  • Leistungstest
  • Mailbox Manager
  • Event 9646
  • Disabled Account
  • Duplicate MessageID
  • Ungelesen gelöscht
  • Forensik
  • PowerShell4Admin
  • Authenticode
  • UserPrincipalName
  • WinRM
  • ADPhoto
  • Exchangegruppen
  • Wunschzettel
• Ex 2000/2003
• Ex 2007/2010
• Ex 2013
• Unified Communication
• Lync/UC
• Mobile Clients
• Clients
• Connectoren
• Internet
• Spam und UCE
• Migration/Koexistenz
• Office 365
• Tools
• How-To
• Programmieren
• Produkte
• Events
• Buch
• Verschiedenes
• Ideen
• Sonstiges
• Net at Work
• Newsletter
• Archiv
• English pages