» Home » Admin und Betrieb » LDAP-Felder » LegacyExchangeDN

LegacyExchangeDN und X.500

Was verbirgt sich hinter dem Feld "LegacyExchangeDN", welches sowohl in Exchange 5.5 als auch in Exchange 2000/2003 vorhanden ist. Zuerst sollten Sie dieses Feld nicht mit "msExchADCGlobalNames" verwechseln. Weitere Felder zu Benutzern im AD sind auf RDNCHANGE.VBS erläutert.

Diese Beschreibung geht sehr detailliert auf Systemeinstellungen ein, die im Normalfall nicht von einem Administrator oder Anwender verändert werden sollen. Sie sind hier zum besseren Verständnis der Hintergründe und Interna's von Exchange wiedergegeben. Es kann keine Garantie über die Vollständigkeit und Fehlerfreiheit gegeben werden. Manuelle Eingriffe sind meist nicht durch Microsoft unterstützt und können zu Datenverlusten und Funktionsstörungen führen, die schlimmstenfalls einen Neuaufbau ihrer gesamten Umgebung bedeuten können

LegacyExchangeDN unter Exchange 5.5

Unter Exchange 5.5 hat jedes Objekt einen eindeutigen "Objekt Distinguished Name" (Obj-Dist-Name), der eindeutig ist. Sie können dieses Feld mit der SID in einer Domäne vergleichen. Alle Berechtigungen auf öffentliche Ordner, Postfächer etc. wurden anhand dieses Feldes vergeben vergeben. Ein Feld "LegacyExchangeDN" gibt es in Exchange 5.5 allerdings nicht, sondern ist nur im Active Directory mit Exchange 2000/2003 zu finden.

Der Obj-Dist-Name unter Exchange 5.5 hatte immer die Form:

/O=orgname/ou=Standortname/cn=Recipients/cn=objektname

Dies bildet die logische Struktur im Exchange 5.5 Verzeichnis ab. Es ist gut zu sehen, dass auch der Empfängercontainer innerhalb der Site enthalten ist. Wenn Sie selbst den Feld für ein Objekt anzeigen wollen, dann nutzen Sie einfach den Exchange 5.5 Administrator im "RAW-Mode"  (Aufruf von "ADMIN.EXE /RAW"). Sie können dann zu jedem Objekte neben den normalen Eigenschaften auch die Basiseigenschaften anzeigen lassen.

Soweit ist das noch nichts besonders.

LegacyExchangeDN und Exchange 2000/2003

Lange Zeit hieß es, dass das Feld LegacyExchangeDN in Exchange 2000/2003 nicht mehr erforderlich sei, aber das was sicher vorschnell, so dass es auch mit Exchange 2000/2003 wichtig ist, die Bedeutung und Funktion dieser Variablen zu kennen. Denn sehr viele ältere  Programme, die bislang mit Exchange 5.x genutzt wurden, erwarten auch weiterhin bestimmte Informationen für die Funktion.

Das was bei Exchange 5.5 der "Obj-Dist-Name" war ist bei Exchange 2000/2003 der LegacyExchangeDN. Jedes Objekt, welches für Exchange aktiviert ist, bekommt durch den RUS einen passenden LegacyExchangeDN vergeben. Der RUS nutzt dazu die Informationen über die Organisation und die Administrative Gruppe, der z.B.: das Postfach zugeordnet ist.

d.h. immer wenn Sie einen Benutzer mit MMC für Active Directory Benutzer & Computer anlegen und diese für Exchange aktivieren, dann erstellt der RUS hierfür nicht nur die Mailadressen, sondern auch den LegacyExchangeDN. Der RUS nutzt dazu den "Given Name" des Objekts und die dazugehörige Organisation und administrative Gruppe. Wann immer Sie ein solches Objekt verändern, verschieben etc, wird der RUS erneut den ExchangeLegacyDN setzen. Das  Format ist identisch zum Obj-Dist-Name bei Exchange 5.5:

/O=orgname/ou=Standortname/cn=Recipients/cn=objektname

Wir können also festhalten, dass der Exchange 5.5 Obj-Dist-Name  im Active Directory dem LegacyExchangeDN entspricht.

Exchange Mixed Mode und ADC

Das  ist umso wichtiger zu wissen,  da auch der ADC diese Feld bei einem Anwender im Active Directory füllen kann. Wenn der ADC die Informationen über ein Exchange Objekt von Exchange 5.5 in das Active Directory übernimmt, dann wir der Inhalt von "Obj-Dist-Name" zum LegacyExchangeDN im Active Directory. Den Inhalt diese Felds kann am einfachsten mit ADSIEDIT eingesehen werden:

Diese Übernahme der Informationen ist später noch wichtig.

LegacyExchangeDN und ADCDisabledMailByADC

Manchmal  werden Sie aber Objekte finden, die nicht im Exchange Adressbuch sichtbar sind und das Feld "LegacyExchangeDN" enthält den sehr befremdlichen Wert "ADCDisabledMailByADC" oder "ADCDisabledMail". Wenn ein Objekt diesen Inhalt hat, dann wird es durch den RUS nicht  mehr weiter verarbeitet und bleibt unverändert. Damit stellt sich die Frage, woher dieser Eintrag kommt.

Bei der Replikation von Benutzern mit dem ADC zwischen Exchange 5.5 und dem Active Directory ist auch der Fall möglich, dass ein Postfach in Exchange 5.5 gelöscht wird. Nun liegt es an der Einstellung der Verbindungsvereinbarung, was der ADC daraus macht. Das Zielobjekt im Active Directory kann ein aktivierter (wurde aktiv genutzt) oder deaktivierter Benutzer (war ein Platzhalterkonto eventuell mit externem Benutzerkonto) sein und der ADC kann Löschbefehle durchführen oder nicht durchführen

	Disabled Account	Enabled Account
Delete aktiv	Objekt wird im Active Directory gelöscht.	Objekt wird "Exchange Disabled" Es bleibt vorhanden, aber hat keine Exchange Eigenschaften mehr. Der ADC schreibt "ADCDisabledMailByADC" in den LegacyExchangeDN und lösche das Feld "MSExchADCGlobalnames"
Delete nicht aktiv	Objekt bleibt erhalten! Löschanweisung wird in LDF-Datei geschrieben. Administrator muss selbst die Löschung durchführen. Objekt wird aber "Exchange Disabled" Der ADC schreibt "ADCDisabledMailByADC" in den LegacyExchangeDN und lösche das Feld "MSExchADCGlobalnames"	Objekt wird "Exchange Disabled" Es bleibt vorhanden, aber hat keine Exchange Eigenschaften mehr. Der ADC schreibt "ADCDisabledMailByADC" in den LegacyExchangeDN und lösche das Feld "MSExchADCGlobalnames"

Sie werden diesen Wert also nur finden, wenn die entsprechende Verbindungsvereinbarung auf die Betriebsart "Löschen" eingestellt ist.

Der RUS wird darauf hin dieses Konto nicht mehr berücksichtigen. Wenn Sie den Benutzer allerdings wieder mittels der MMC aktivieren, dann wird durch die MMC das Feld wieder gefüllt.

LegacyExchangeDN und Exchange 2000/2003 Empfängerrichtlinien

Beim gemischten Betrieb von Exchange 5.5 und Exchange 2000/2003 in einer Organisation finden Sie deutlich sichtbar die Exchange 5.5 Standortadressierung als Empfängerrichtlinie in ihrem Exchange 2000/2003 Administrator wieder. In den Eigenschaften sehen Sie den Erstes Auftreten in den Empfängerrichtlinien.

Diese Richtlinie kann weder gelöscht noch verändert werden und stellt sicher, dass sowohl Exchange 5.5 als auch Exchange 2000/2003 bei der Ermittlung der Mailadressen auf das gleiche Ergebnis kommen. Siehe auch Exchange 2000 - RUS und Empfängerrichtlinien). Damit ist aber auch klar, dass bei einem falschen LegacyExchangeDN nicht mehr die richtige Richtlinie greift.

LegacyExchangeDN in Outlook

Der LegacyExchangeDN zeigt sich z.B. auch in Outlook. Wenn Sie mehrere Empfänger mit dem gleichen Namen haben (z.B.: mehrer öffentliche Ordner gleichen Namens) dann muss der LegacyExchangeDN natürlich eindeutig sein. Exchange hängt dann einfach zufällige Nummern an. Mit dem Softerra LDAP kann das dann z.B. so aussehen.

Das ist im ersten Moment erst mal nicht kritisch, aber wenn Sie in Outlook z.B. eine Mail an diesen Empfänger adressieren und Outlook mögliche Empfänger vorschlägt, dann finden Sie hier den letzten Teil des LegacyExchangeDN wieder:

Da auch das von einigen Anwendern natürlich als "verwirrend" angesehen wird, stellt sich auch hier die Frage, wie dies "korrigiert" werden kann.

Wer nutzt den LegacyExchangeDN und kann ich das Feld manuell ändern ?

Es kann ja nun sein, dass Sie ihre Exchange Organisation immer mal wieder umstrukturieren, Benutzer von einem Standort in den anderen Standort wechseln. Dann stellt sich schnell die Frage, ob Sie den LegacyExchangeDN nicht einfach mit LDIFDE oder anderen Tools ändern können.

Als Administrator mit ausreichend Berechtigungen können Sie natürlich dieses Feld einfach ändern, allerdings werden die Effekte nicht immer von Vorteil sein, weil eben der LegacyExchangeDN anderweitig genutzt wird. So kann es passieren dass:

• MAPI-Zugriffe fehlschlagen.
  z.B.: für Mailbox Backups
• Das MAPI-Profil des Anwenders muss neu erstellt oder angepasst werden.
• Stellvertreter
  Oft binden sich andere Personen ein Postfach als Stellvertreter ein und legen den "Link" in ihre Favoriten. Auch solche Links können dadurch ungültig werden und müssen neu erstellt werden.
• Free/Busy-Zeiten
  Auch der Zugriff auf öffentliche Ordner und besonders die Frei Belegt Zeiten wird gestört werden, da auch hier der LegacyExchangeDN genutzt wird, d.h. wenn Sie jemanden einladen und dessen Belegung anzeigen wollen, dann nimmt Outlook den LegacyExchangeDN des Partners und sucht nach einem so bekannten Element in "Free/Busy".
  Siehe auch "894252 A user may be able to view the free-and-busy information of another user even though the other user belongs to separate company in Exchange 2000 or in Exchange 2003"
• Adressbuchprobleme
  Da MAPI den LegacyExchangeDN statt  der SMTP-Adresse nutzt kann bei einer Änderung dieser Adresse eine inkonsistent für einige Zeit bestehen. So können andere Anwender die Adresse in privaten Verteilern oder Kontakte übernommen haben. Diese werden nicht aktualisiert und führen daher zu unzustellbaren Mails. Antworten anderer Benutzer auf frühere Nachrichten des umgestellten Anwenders funktionieren nicht mehr, da Outlook zur Adressierung intern den alten Wert verwendet und nicht die SMTP Adresse. Dies kann man umgehen, indem Sie ein X.500 Adresse beim dem Benutzer hinzu fügen, welche dann die genauer Schreibweise des früheren LegacyExchangeDN (Kleingeschrieben ohne Punkte etc.) enthält. Auch MailMig nutzt diesen Weg um migrierte Anwender weiterhin erreichbar zu machen
• Verbindung zum Store
  Das Feld LegacyExchangeDN wird aber auch innerhalb von Exchange genutzt, um den Postfachspeicher mit dem Benutzer zu verbinden. Starten Sie einfach den Exchange System Manager und gehen Sie bis zu den Postfächern auf dem Server. Wenn Sie dann das Feld "Vollständiger Postfachname" hinzufügen, sehen Sie hier auch den LegacyExchangeDN.
  
  Wenn Sie den LegacyExchangeDN Ändern, dann wird aber auch diese Anzeige aktualisiert. Die Verbindung zwischen einem Exchange Postfach und dem dazu gehörigen Objekt im AD wird über das Feld "msExchMailboxGuid" hergestellt.

Trotzdem ist es daher meist besser, den LegacyExchangeDN nicht zu ändern und die anderen Probleme zu lösen, z.B. in dem Sie einen migrierten Anwender manuell wieder in die Gruppen hinzu fügen, eventuell Berechtigungen auf Ordner ersetzen oder gleich auf "Verteiler" umstellen.

Auch Microsoft hat ein passendes Tool, um den LegacyExchangeDN zu ändern:

Microsoft Exchange Server LegacyDN Utility
http://www.microsoft.com/downloads/details.aspx?familyid=5ef7786b-a699-4aad-b104-bf9de3f473e5&displaylang=en

Beachten Sie dazu aber die Beschreibung

The Legacydn.exe tool enables you to change Exchange 2000 and 2003 organization names, change Exchange 2000 and 2003 administrative group names, change legacyExchangeDN values on critical system objects, and view legacyExchangeDN values. LegacyExchangeDN is an attribute of many Microsoft® Active Directory® directory service objects (such as mail-enabled users, mailbox-enabled users, public folders, and Exchange system configuration objects), that provides backward compatibility with Exchange 5.5.

One of common use of LegacyDN.exe is to use it to help you rename attributes as part of the process of recovering an Exchange database to a test server when Exchange data is not recoverable using other methods.

Important This tool is to be used in a test environment only. Do not use it to make changes in a production system because doing so will render all Exchange databases as unstartable.

Wenn Sie den LegacyExchangeDN wirklich ändern, dann sollten Sie den alten Wert als X500-Adresse mit in die ProxyAddresses aufnehmen.

• Offline Address Book - Things to Consider
  http://technet.microsoft.com/en-us/library/aa996152.aspx

LegacyExchangeDN und X.500

Vielleicht haben Sie sich schon mal gefragt, warum Benutzer in den Proxy Adressen auch X.500 Adressen haben. Das passiert immer dann, wenn man einen Benutzer von einer Exchange Site in eine andere Site verschiebt und im MixedMode ist oder wenn man man Benutzer korrekt in eine andere Exchange Organisation überträgt.

Der alte LegacyExchangeDN wird dann zusätzlich als X.500 Adresse addiert, damit Rückläufer etc. weiter zugestellt werden. Stellen Sie sich einfach vor, dass dies so ähnlich funktioniert wie die SID-History bei der Migration von Benutzern in eine andere Domäne.

• 929875 The GAL Synchronization management agent adds X.500 proxy addresses to source objects when you use Identity Integration Server 2003 or Identity Integration Feature Pack for Active Directory to synchronize Exchange 2003 organizations

LegacyExchangeDN und Exchange 2007

Wenn Sie nun glauben, dass der LegacyExchangeDN mit Exchange 2007 und Outlook2007 überflüssig geworden ist, dann irren Sie. Auch in dieser Umgebung ist dieses Feld weiterhin erforderlich. Ein Beispiel hierzu:

Wenn Sie in einem öffentlichen Ordner vom Typ "Kontakte" einen Verteiler anlegen, dann können Sie in diesen Verteiler verschiedene andere Empfänger aufnehmen. Dazu zählen natürlich auch Personen aus der GAL. Outlook speichert in der Verteilerliste nun aber nicht die SID, die SMTP-Adresse oder den distinguishedName des Active Directory Objekts, sondern den LegacyExchangeDN.

Dies ist erst mal "nur" ein Outlook Problem aber soll reichen, warum sie auch heute noch ein Augenmerk auf dieses Feld haben sollten.

Wer legt das Feld an ?

Zur schnelleren Übersicht hier noch mal die verschiedenen Prozesse, die das Feld anlegen:

• MMC für Benutzer und Computer
  Wenn Sie mit der MMC einen Benutzer für Exchange "aktivieren", dann trägt die MMC neben dem Homeserver und der Postfachdatenbank auch den LegacyExchangeDN mit ein. Damit muss der RUS dann nur noch die Mailadressen und einige Rechte vergeben.
• RUS
  Der Empfängeraktualisierungsdienst kann ebenfalls bei einem neuen Empfänger einen fehlenden Eintrag ergänzen. Dies ist besonders dann von Vorteil, wenn Benutzer per Script angelegt werden und Sie in ihrem Skript dieses Feld einfach vergessen oder nicht genau wissen, was Sie dort eintragen sollen.
• ADC
  Bei der Replikation eines Kontos von Exchange 5.5 nach Exchange 2000/2003 wird der "Obj-Dist-Name" aus Exchange 5.5 zum LegacyExchangeDN im Active Directory.

LegacyExchangeDN, Admingroups und Objekte verschieben.

Seit Exchange 5.5 SP4 und natürlich seit Exchange 2000 und neuer ist es möglich, Postfächer auch von einer Site in eine andere Site zu verschieben. Wird ein Postfach frisch angelegt, dann wird der LegacyExchangeDN der dazu gehörenden administrativen Gruppe als Basis für den LegacyExchangeDN des Exchange-Objekts genutzt.

• Exchange im "Mixed Mode"
  Bei der Verschiebung eines Postfachs in eine andre administrative Gruppe wird der LegacyExchangeDN geändert. Der alte Wert wird als X500-Adresse in den Proxy Addresses mit addiert
• Exchange im "Native Mode"
  Der LegacyExchangeDN wird hier nicht geändert. Bei Exchange 2007 ist ja jede Migration immer ein "Cross Admin Group" Migration.

Weitere Links

• Exchange 2003: LegacyDN Utility
  http://www.Microsoft.com/downloads/details.aspx?familyid=5ef7786b-a699-4aad-b104-bf9de3f473e5&displaylang=en
• 262442 XADM: ExMerge Error Message: Error Accessing Directory Object for 'DN'
• 273863 How to Change the LegacyExchangeDN Attribute in Native Mode with ADSI Edit
• 282217 XADM: ADC Creates Mail-Disabled Object
• 286783 Error message updating free and busy data in Exchange 2000 Server
• 297471 XADM: Mail to Offline Address Book Users Is Returned with a Non-Delivery Report
• 307846 XADM: An Incorrect Recipient Policy Is Applied to Users
• 316047 XADM: Addressing Problems That Are Created When You Enable ADC-Generated Accounts
• 318237 You Cannot Generate an Offline Address List and an Event ID 9126 Error Message Is Logged
• 328292 XADM: The Recipient Update Service Creates Duplicate LegacyExchangeDNs
• 324606 How to use Legacydn.exe to correct Exchange organization names or Administrative Group names in Exchange Server 2003 or in Exchange 2000 Server
• 842096 Cannot move Exchange Server 5.5 mailbox to Exchange Server 2003 by using Active Directory Users and Computers
• 945602 Users who use Outlook 2003 cannot publish their free/busy data in Exchange Server 2007"
• 954898 The LegacyExchangeDN attributes for mail-enabled objects are incorrectly set in an environment that contains Exchange 2003 and Exchange 2007
• All About MSExchangeLegacyDN
  ms-help://MS.TechNet.2002DEC.1033/exchange/tnoffline/prodtechnol/exchange/exchange2000/support/dbrecovr.htm
• Offline Address Book - Things to Consider
  http://technet.microsoft.com/en-us/library/aa996152.aspx
• http://www.MSExchange.org/tutorials/Understanding-LegacyExchangeDN.html
• msExchRecipientTypeDetails
  Unterscheidung von Empfängern mit Exchange 2007
• LegacyDN Property
  http://msdn.microsoft.com/library/default.asp?url=/library/en-us/e2k3/e2k3/_wmiref_pr_Exchange_MailboxLegacyDN.asp

Keywords:

LegacyExchangeDN ADCDisabledMailByADC

Impressum und Datenschutzerklärung. Anmerkungen, Anregungen oder Fragen siehe "Kontakt". Alle Angaben ohne Gewähr! Namen und Produktbezeichnungen können Eigentum der jeweiligen Hersteller sein. (c) 2000-heute Frank Carius, Jede weitere Veröffentlichung nur mit meinem vorherigen Einverständnis.

• NOTFALL
• Grundlagen
• Konzepte
• Signieren und Verschlüsseln
• Verfügbarkeit
• Admin und Betrieb
  • Active Directory
  • 100 Admin Fehler
  • Ex5.5 auf Win2000
  • Service Pack
  • Backup und Restore
  • Benutzermanagement
  • LDAP-Felder
    • AD Felder
    • LegacyExchangeDN
    • MailboxGUID
    • Locale-ID
    • msExchRecipient TypeDetails
    • TargetAddress
    • EX55 Felder
  • DS/IS Konsistenzanpassung
  • Datenbank Recover
  • Recovery Storage Group
  • ESM Installieren
  • Benutzermanagement
  • Nachrichtentracking
  • Überwachung
  • Systemaufsicht
  • Badmail
  • Diagnoseprotokoll
  • Verschieben, Umbenennen, Umbauen
  • Move Server Wizard
  • Native AG in Mixed Org
  • Limit 2003
  • Limit 2007
  • Adressbücher und GAL
  • Berechtigungen
  • Mailboxrechte
  • Senden als
  • Delegate Admin
  • Datenbankgrundlagen
  • Defrag
  • Neuer Benutzer
  • Benutzer löschen
  • Offline Adressbuch Generierung
  • Dumpster
  • Journal
  • Abfragebasierte Verteiler
  • Dokumentation
  • Leistungstest
  • Mailbox Manager
  • Event 9646
  • Disabled Account
  • Duplicate MessageID
  • Forensik
  • PowerShell4Admin
  • Authenticode
  • UserPrincipalName
  • WinRM
  • Wunschzettel
• Ex 2000/2003
• Ex 2007/2010
• Unified Communication
• Mobile Clients
• Clients
• Connectoren
• Internet
• Spam und UCE
• Migration/Koexistenz
• Tools
• How-To
• Programmieren
• Produkte
• Events
• Buch
• Verschiedenes
• Ideen
• Sonstiges
• Net at Work
• Newsletter
• Archiv
• English pages