SE の雑記

Exchange 2007 / 2010 の共存環境で、既定のオフラインアドレス帳の Web ベースの配布のための仮想ディレクトリの
設定を表示すると以下のエラーが表示されてしまいました。

KB を検索してみたところ、Exchange 2007 の情報として以下のものがありました。

クライアント アクセス サーバー (CAS) 役割がインストールを持つユーザー管理者参照のみ可) でユーザーが権限を持つユーザーが実行コマンド、Exchange サーバー上と、エラー メッセージ: アクセスが拒否されました"

海外のブログでは以下の記事が
2147024891 ? Access is denied: error in EMC

今の設定では既定のオフラインアドレス帳の配布サーバーは Exchange 2007 となっています。
EMC (Exchange Management Console) を実行しているユーザーは Domain Admins のユーザーで、
Exchange 2007 / 2010 のローカルのアドミニストレータ権限を保持しているユーザーです。

コンポーネントサービスの [既定の偽装レベル] も [偽装する] になっているのですが、エラーが消せませんでした。

Exchange 2007 のローカル Administrators グループに Exchange 2010 のコンピュータアカウントを追加したところ
表示できるようになりました。

権限関連でエラーが出ていると思うのですが具体的な設定値まではつかめませんでした…。

今のうちに検証しておきたいなとおもって試してみました。
Exchange 2010 の開発は既に終了しており 11 月には RTM が入手できる用ですね。

複数の投稿に分けて書けばよかったのですが、ひとつの投稿でつらつらと書いていたら
長くて読みにくいものになってしまいました･･･。

 

Exchange 2010 は Windows Server 2008 R2 で動作する Exchange Server になります。

# Exchange 2007 は Windows Server 2008 R2 にインストールすることができません。
    Exchange 2010 は Windows Server 2008 でも動作します。

今回は Windows Server 2008 R2 にインストールして検証したいと思います。
Exchange 2010 ベータのステップバイステップガイドを参考に検証しています。
Exchange Server 2010 公開ベータ版向け ステップバイステップガイド　インストール 編

[Exchange 2007 からのアップグレード]

Exchange 2007 をアップグレードしようとすると以下のメッセージが表示されインストールはできないようです。

Exchange 2000 / 2003 から Exchange 2007 へ移行する時と同様に、Exchange 2010 への移行も、
共存環境を構築してアップグレードする形になりそうです。

構築の検証をしながら必要となる設定をまとめていきたいと思います。

[Active Directory の前提条件]

1. [フォレストの機能レベル]

   Exchange 2010 ではフォレストの機能レベルが [Windows Server 2003] 以上である必要があります。

   Exchange 2007 ではフォレストの機能レベルは [Windows 2000] (Windows 2000 AD デフォルト設定) でよかったのですが、
   Exchange 2010 ではフォレストの機能レベルをアップグレードする必要があります。

2. [ドメインの機能レベル]

   フォレストの機能レベルと同様でドメインの機能レベルが [Windows Server 2003] 以上である必要があります。

   Exchange 2007 ではドメインの機能レベルは [Windows 2000 ネイティブ] に上げる必要がったのですが、
   Exchange 2010 でも一段階機能レベルを上げる必要があります。

   Windows Server 2003 の情報になりますが、フォレストの機能レベルとドメインの機能レベルは以下の KB がわかりやすいです。
   Windows Server 2003 でドメインの機能レベルおよびフォレストの機能レベルを上げる方法

3. [スキーママスタのドメインコントローラー]

   Windows Server 2003 + 最新のサービスパックまたは、Windows Server 2008 + 最新のサービスパックで
   スキーママスタを実行する必要があります。

   Exchange 2007 でも同様の条件だったはずです。

4. [グローバルカタログ]
   Windows Server 2003 + 最新のサービスパックまたは、Windows Server 2008 + 最新のサービスパックで
   スキーママスタを実行する必要があります。

   こちらも、Exchange 2007 でも同様の条件だったはずです。

フォレストとドメインの機能レベルに変更が必要になるため、Exchange 2010 を導入する組織では
[NT ドメインコントローラー] [Windows Server 2000 AD] が存在できなくなるようです。

Exchange 2000 / 2003 の共存環境を作成して、Exchange 2010 へアップグレードができるのかはまだ試せていないのですが、
Exchange 2000 /2003 では　Windows Server 2000 / 2003 の AD が必要となります。
# 2008 の AD では Exchange の Information Store のサービスが起動しなかったはずです。
Exchange 2010 の導入と併せて Windows Server 2008 の AD へ移行をされる場合は、各 Exchange が必要とする
AD のバージョンに注意する必要があるかと思います。

Exchange のバージョンと Active Directory のバージョンは Exchante Team のブログが参考になります。
Exchange Server and Windows Server 2008

対応している AD の OS と Exchange の関係をざっくりとまとめると以下の表のようになりそうです。
# () 内は Exchange の Service Pack です。

	2000 AD	2003 AD	2008 AD
Exchange 2000	○	○	×
Exchange 2003	○	○	○ (SP2)
Exchange 2007	×	○	○ (SP1)
Exchange 2010	×	○	○

 

機能レベルは以下の表になるかと。
# 最低機能要件になります。上位の機能レベルをどこまでサポートしているかは要調査です。

	フォレストの機能レベル	ドメインの機能レベル
Exchange 2000	Windows 2000	Windows 2000 混在
Exchange 2003	Windows 2000	Windows 2000 混在
Exchange 2007	Windows 2000	Windows 2000 ネイティブ
Exchange 2010	Windows Server 2003	Windows Server 2003

 

[Active Directory の準備]

前提条件と重複する内容もありますが、Exchange 2010 をインストールするにあたっての Active Directory の準備です。
私の検証環境はフォレストの機能レベルとドメインの機能レベルが 2008 になってしまっているので、一部は設定個所だけの
記載となります。

1. [フォレストの機能レベルの設定]
   
   1. [Active Directory ドメインと信頼関係] を実行します。
      
   2. [Active Directory ドメインと信頼関係] を右クリック → [フォレストの機能レベルを上げる] をクリックします。
      
   3. フォレストの機能レベルを設定します。
      私の使用している AD は既に 2008 まで上げてしまっているので変更ができませんが、2008 より低い場合は
      変更することが可能です。
      
2. [ドメインの機能レベルの設定]
   
   1. [Active Directory ドメインと信頼関係] を実行します。
   2. ドメイン名を右クリック → [ドメインの機能レベルを上げる] をクリックします。
      
   3. ドメインの機能レベルを設定します。
      フォレストの機能レベルと同様、2008 まで上げてしまっているので私の環境では変更ができませんが
      2008 より低い場合は変更可能です。
      
3. [Exchange 2010 用の組織の準備]

   組織の準備を行うためには PowerShell 2.0 が必要となります。
   PowerShell 2.0 は以下の URL からダウンロードできます。
   Windows Management Framework

   PowerShell 2.0 がインストールされていない環境で組織の準備をすると以下のエラーとなります。

   Exchange Server 2010 には Windows PowerShell が必要です。 "http://go.microsoft.com/fwlink/?LinkID=157601" にアクセスし、 ダウンロードしてインストールしてください。

   1. Exchange 2010 のインストールメディアを AD DC に挿入します。
      Exchange 2010 に AD のリモート管理コンソールをインストールすることで、Exchange 2010 上で
      実行することも可能です。
      私は、Exchange には AD 関連のコンソールはインストールしないようにしているので、
      AD DC 上で実行しています。
   2. コマンドプロンプトを [管理者として実行] で起動します。
   3. 以下のコマンドを順番に実行して、Exchange 2010 用に AD を準備します。
      

      D:>setup.com /ps Microsoft Exchange Server 2010 無人セットアップへようこそ インストール プロセスを続行することで、 Microsoft Exchange Server 2010 のライセンス条項に同意します。これらのライセンス 条項に同意しない場合は、インストールをキャンセルしてください。これらのライセンス 条項を確認するには、以下を参照してください。 http://go.microsoft.com/fwlink/?LinkId=150127&clcid=0x411/ …………… キーの押下が検出されませんでした。セットアップを継続します。 Exchange セットアップの準備     セットアップ ファイルをコピーしています              ……………………. 完了しました No server roles will be installed Performing Microsoft Exchange Server Prerequisite Check     Organization Checks              ……………………. COMPLETED Configuring Microsoft Exchange Server     Extending Active Directory schema     Progress                         ……………………. COMPLETED The Microsoft Exchange Server setup operation completed successfully. D:>setup.com /pl Microsoft Exchange Server 2010 無人セットアップへようこそ インストール プロセスを続行することで、 Microsoft Exchange Server 2010 のライセンス条項に同意します。これらのライセンス 条項に同意しない場合は、インストールをキャンセルしてください。これらのライセンス 条項を確認するには、以下を参照してください。 http://go.microsoft.com/fwlink/?LinkId=150127&clcid=0x411/ …………… キーの押下が検出されませんでした。セットアップを継続します。 Exchange セットアップの準備     セットアップ ファイルをコピーしています              ……………………. 完了しました No server roles will be installed Performing Microsoft Exchange Server Prerequisite Check     Organization Checks              ……………………. COMPLETED Configuring Microsoft Exchange Server     Updating legacy permissions      ……………………. COMPLETED The Microsoft Exchange Server setup operation completed successfully. D:>setup.com /p Microsoft Exchange Server 2010 無人セットアップへようこそ インストール プロセスを続行することで、 Microsoft Exchange Server 2010 のライセンス条項に同意します。これらのライセンス 条項に同意しない場合は、インストールをキャンセルしてください。これらのライセンス 条項を確認するには、以下を参照してください。 http://go.microsoft.com/fwlink/?LinkId=150127&clcid=0x411/ …………… キーの押下が検出されませんでした。セットアップを継続します。 Exchange セットアップの準備     セットアップ ファイルをコピーしています              ……………………. 完了しました No server roles will be installed Performing Microsoft Exchange Server Prerequisite Check     Organization Checks              ……………………. COMPLETED Configuring Microsoft Exchange Server     Organization Preparation         ……………………. COMPLETED The Microsoft Exchange Server setup operation completed successfully. D:>setup.com /pd Microsoft Exchange Server 2010 無人セットアップへようこそ インストール プロセスを続行することで、 Microsoft Exchange Server 2010 のライセンス条項に同意します。これらのライセンス 条項に同意しない場合は、インストールをキャンセルしてください。これらのライセンス 条項を確認するには、以下を参照してください。 http://go.microsoft.com/fwlink/?LinkId=150127&clcid=0x411/ …………… キーの押下が検出されませんでした。セットアップを継続します。 Exchange セットアップの準備     セットアップ ファイルをコピーしています              ……………………. 完了しました No server roles will be installed Performing Microsoft Exchange Server Prerequisite Check     Organization Checks              ……………………. COMPLETED Configuring Microsoft Exchange Server     Prepare Domain Progress          ……………………. COMPLETED The Microsoft Exchange Server setup operation completed successfully.

4. [Exchange 2010 に必要な役割 / 機能のインストール]
   
   
   1. コマンドプロンプトを [管理者として実行] で起動します。
   2. 以下のコマンドを実行して、Exchange 2010 に必要となる役割 / 機能をインストールします。
      
      

      dism /Online /Enable-Feature /FeatureName:IIS-WebServerRole dism /Online /Enable-Feature /FeatureName:IIS-ISAPIExtensions dism /Online /Enable-Feature /FeatureName:IIS-IIS6ManagementCompatibility dism /Online /Enable-Feature /FeatureName:IIS-Metabase dism /Online /Enable-Feature /FeatureName:IIS-NetFxExtensibility dism /Online /Enable-Feature /FeatureName:IIS-LegacySnapIn dism /Online /Enable-Feature /FeatureName:IIS-BasicAuthentication dism /Online /Enable-Feature /FeatureName:IIS-DigestAuthentication dism /Online /Enable-Feature /FeatureName:IIS-WindowsAuthentication dism /Online /Enable-Feature /FeatureName:IIS-HttpCompressionDynamic dism /Online /Enable-Feature /FeatureName:WAS-WindowsActivationService dism /Online /Enable-Feature /FeatureName:NetFx3 dism /Online /Enable-Feature /FeatureName:WAS-NetFxEnvironment dism /Online /Enable-Feature /FeatureName:WAS-ConfigurationAPI dism /Online /Enable-Feature /FeatureName:WCF-HTTP-Activation dism /Online /Enable-Feature /FeatureName:IIS-HttpRedirect dism /Online /Enable-Feature /FeatureName:IIS-LoggingLibraries dism /Online /Enable-Feature /FeatureName:IIS-HttpTracing dism /Online /Enable-Feature /FeatureName:IIS-WindowsAuthentication dism /Online /Enable-Feature /FeatureName:IIS-ClientCertificateMappingAuthentication dism /Online /Enable-Feature /FeatureName:RPC-HTTP_Proxy

5. [Exchange 2010 のインストール]
   1. [NetTCPPortShareing] サービスのスタートアップの種類を [無効] → [自動] に設定します。
      
   2. Exchange 2010 のインストールメディアを実行します。
   3. [Exchange 言語オプションの選択] → [言語バンドルからすべての言語をインストールする] をクリックします。
      
   4. [インターネットから最新の言語パック バンドルをダウンロードする] を選択し、[次へ] をクリックします。
      
   5. [完了] をクリックします。
      
   6. [Microsoft Exchange のインストール] をクリックします。
      
   7. [次へ] をクリックします。
      
   8. [使用許諾契約書に同意します] を選択し、[次へ] をクリックします。
      
   9. [エラー報告] の設定をし、[次へ] をクリックします。
      
   10. [Exchange Server のカスタム インストール] を選択し、[次へ] をクリックします。
       
   11. インストールする役割を選択し、[次へ] をクリックします。
        
   12. [次へ] をクリックします。
       
   13. CEIP の設定をし、[次へ] をクリックします。
       
   14. [インストール] をクリックします。
       
   15. インストールが開始されます。
       
   16. [終了] をクリックしてインストールを終了します。

管理コンソールから Exchange 2007 / 2010 の両方が見れるというわけではないみたいですね。
組織の構成に関しては Exchange 組織内の設定ですので、Exchange 2007 / 2010 で共通の設定となります。

メールボックスの Exchange 間の移動は [ローカル移動要求の新規作成] から行えるようです。
移動先のメールボックスを選択することで別のサーバーを選択することが可能です。
# 2008-EX-01 が Windows 2008 + Exchange 2007 の環境になります。

Exchange 2007 から 2010 への移行は、今までと同じでメールボックスの移動で対応できそうです。
Exchange 2007 と 2010 の共存環境が作れたのでいろいろと触ってみたいと思います。

検証環境の Exchange はメールのリレーサーバとしてエッジトランスポートを DMZ に配置しています。

Exchange 2010 も少し触っておこうと思い、まずは既存の環境への影響が少ない、エッジトランスポートを
2010 で構築してみました。
エッジトランスポートはワークグループ環境かつ既存の Exchange 組織内の役割とも競合しないので
手軽に入れ替えることができます。

今回はせっかくなので Windows Server 2008 R2 にインストールをしてみました。

1. 必要な役割 / 機能の追加
   まずはエッジトランスポートに必要な役割 / 機能の追加です。

   以下のコマンドを実行して、[.NET Framework 3.5.1] と [Active Directory Lightweight Directory Service] を
   インストールします。
   Windows Server 2008 R2 なので Dism コマンドを使用して追加してみました。

   dism /Online /Enable-Feature /FeatureName:NetFx3 dism /Online /Enable-Feature /FeatureName:DirectoryServices-ADAM

2. インストール言語の選択
   インストールメディアを挿入し、セットアップを起動後にインストールする言語オプションを選択します。
   言語の選択は [言語バンドルからすべての言語をインストールする] と [DVD に含まれる言語のみをインストールする] の
   2 種類から選べます。
   今回は [言語バンドル～] を選択してみました。
   この方法ではインターネットから言語バンドルがダウンロードされます。
   ?
3. エッジトランスポートの役割のインストール
   [Microsoft Exchange のインストール] でカスタムインストールを選択し、エッジトランスポートをインストールします。
   
   

エッジトランスポートのインストールは Exchange 2007 のときと変わりませんね。
管理コンソールの基本的な構成も Exchange 2007 と同じですね。

軽く、インターネット経由のメール送受信ができるか試したところ正常に動作しました。
製品版が出たらスムーズに置き換えができそうです。

どうやるんだろうと思って昨日、帰宅してから調べていました。

SP2 のリリースノートを確認していたら以下の記述が。

Microsoft Exchange Server 2007 Service Pack 2 (SP2) リリース ノート

Exchange 2007 RTM または Exchange 2007 SP1 のインストールと同じ手順を使用して Exchange 2007 SP2 のクリーン インストールを実行できます。 これは、Exchange 2007 SP2 の更新プログラムが Exchange 2007 のオリジナル リリース版のファイル セットに直接組み込まれているためです。 全体的な展開手順も個別のインストール手順も同じです。 どのような手順を実行する必要があるかは、作成する Exchange 展開の複雑さによって異なります。

Exchange 2007 の SP2 は /extract オプションを使用して展開したモジュールが　1.6 GB 近くあり、
サイズが大きいなと思っていたのですが SP だけではなく RTM のファイルが含まれているんですね。

新規インストールの場合は SP2 のメディアを使用してインストールすると With SP2 としてインストールできます。

下の画像は Exchange の役割がインストールされていないサーバーでセットアップを起動した際の画面です。
Step 5 を実行すると Exchange 2007 With SP2 としてインストールが実行されます。

?

ダウンロードした SP2 を使用すれば良いとなると、UPDATES フォルダにモジュールを置く必要もなく
簡単に With SP2 のメディアが作成できますね。

Exchange の基礎と Exchange を外部メールサーバーとして使用する場合の設定する場合の初期設定の覚書です。

[Exchange の基礎]

基礎を学習するときには @IT の以下の記事がわかりやすい
# Exchange 2007 は マイクロソフト 公式解説書が便利だった。
? Exchange 2007 であればひと目でわかるシリーズもある

Exchange 2003
Windows Server Insider 基礎解説 － ＠IT
# 基礎から学ぶExchange Server 2003運用管理

Exchange 2007
Windows Server Insider 運用 － ＠IT
# Exchange Server 2007システム管理入門

[Exchange の組織]

• 1 フォレスト 1 組織 (フォレスト内に複数の組織を設定できない)
• フォレストをまたがった組織は作成できない (フォレスト内で完結する)

[DNS 設定]

外部の DNS が A (ホスト) レコードと MX (メールエクスチェンジャ) を解決できるようにしておく。

[ドメイン名の設定]

Active Directory ドメイン名とメールアドレスのドメイン名は別のものを設定しておくと管理上良い。
AD ドメイン名は内部管理用として使用するため、外部公開のドメイン名と一致させる必要はない。

• AD ドメイン名 : test.local / メールアドレス ドメイン名 : test.com

といった設定が可能。

ユーザーアカウントにドメイン名と異なるメールアドレスを設定する場合は、[受信者の構成] → [メールボックス] で
対象のユーザーのプロパティを開き [電子メールアドレス] タブで設定可能
?
[電子メール アドレス ポリシー] の設定によっては、追加したメールアドレスを [プライマリに設定] することができないため、
ポリシーが設定できていない場合は [電子メールアドレス ポリシーに基づいて電子メールアドレスを自動更新する] を無効にし
プライマリのアドレスとして設定する。

[電子メール アドレス ポリシー] は [組織の構成] → [ハブトランスポート] → [電子メール アドレス ポリシー] で設定

[Exchange → 外部メール送信設定]

送信先によっては MX レコードと送信元の情報が一致していないと受信が拒否される？？

デフォルトでは送信コネクタが作成されていないのでインターネット向けの送信コネクタを作成する。

1. [組織の構成] → [ハブ トランスポート] → [送信コネクタ] タブから送信コネクタを新規作成
2. 送信コネクタの使用目的は [インターネット]
3. 種類 [SMTP] / アドレス [*] / すべてのサブドメインを含む [有効] でアドレススペースを作成
   インストール時に発生するコネクタの警告メッセージはこのことを示している
   
4. [ネットワーク] タブの [トランスポート サーバーで外部 DNS 参照の設定を使用する] は必要に応じて
5. OP25B (Outbound Port 25 Blocking) の制限が影響する環境では [メールを次のスマート ホストを経由してルーティングする]で
   スマートホストとしてプロバイダの OP25B の回避方法として説明されているサーバーを指定する。
   OCN だと smtp.vcxxxx.ocn.ne.jp
   so-net だと mail.xxx.so-net.ne.jpFQDN でうまくいかない場合は IP アドレスで指定すると大丈夫なことも

外部の DNS に送信元ドメインのメールアドレスの MX レコードが正常に登録されていないと以下の NDR (Non-Delivery Report) が
送信されることがある。
# メールの送信先によっては NDR が返されないことも。

次の受信者または配布リストへの配信に失敗しました。: <送信先メールアドレス> 有効な送信者として認識されなかったため、この受信者にメッセージを配信できませんでした。お使いの電子メールクライアントに構成されている送信アドレスが正しいことを確認してからメッセージを再送信するか、システム管理者に次の診断用のテキストを提示してください。 メッセージは次の組織に拒否されました。<送信先メールアドレスの GW>。 _____ Microsoft Exchange Server 2007 により送信されました 管理者向けの診断情報: 生成サーバー: <Exchange サーバー名> <送信先メールアドレス> <送信先メールアドレスの GW> #554 5.1.8 <送信元メールアドレス>: Sender address rejected: Domain not found ## 元のメッセージ ヘッダー: Received: from <Exchange サーバー名> ([::1]) by <Exchange サーバー名> ([::1]) with mapi; Sun, 26 Apr 2009 10:49:13 +0900 From: =?iso-2022-jp?xxxxxxxxxxxxx=?= <送信元メールアドレス> To: "<送信先メールアドレス>" <送信先メールアドレス> Date: Sun, 26 Apr 2009 10:48:52 +0900 Subject: test Thread-Topic: test Thread-Index: xxxxxxxxxxxxxxxxxx== Message-ID: <メッセージアドレス> Accept-Language: ja-JP Content-Language: ja-JP X-MS-Has-Attach: X-MS-TNEF-Correlator: acceptlanguage: ja-JP Content-Type: multipart/alternative; boundary="<boundary>” MIME-Version: 1.0

?

これで Exchange → 外部にメール送信が可能

[外部メール → Exchang 受信設定]

DNS の A レコードが登録されていない状態では 外部メール → Exchange にメールを送信すると以下の NDR が送信されることがある。

<送信先メールアドレス>: Host or domain name not found. Name service error for name=<送信先メールアドレス ドメイン名> type=A: Host found but no data record of requested type

NDR に表示されているとおり DNS でドメイン名の A レコードが解決できていないことが原因。

?

A レコード登録後は以下の NDR が送信されることがある。

<送信先メールアドレス>: host <送信先メールアドレス ドメイン名>[<A レコード IP アドレス>] said: 530 5.7.1 Client was not authenticated

これは受信コネクタの設定が影響している。

[サーバーの構成] → [ハブ トランスポート] から受信コネクタの設定が確認可能。
デフォルトで作成されている [Default <サーバー名>] の受信コネクタが ポート 25 の受信コネクタとなっているため
このコネクタのプロパティを開く。
[Client <サーバー名>] となっている受信コネクタはポート 587 (サブミッションポート用)
# 受信にもポート 25 (SMTP) を使用するためルーター側の設定は考慮する必要がある。

初期設定では [許可グループ] は以下の設定がされている。

[匿名ユーザー] が許可されていないため、外部メールサーバーからのメールで認証エラーとなっている。
[匿名ユーザー] を許可することで 530 5.7.1 の NDR は回避可能。

[匿名ユーザー] を設定しても以下の NDR が送信されることがある。

<送信先メールアドレス>: host <送信先メールアドレス ドメイン名>[<A レコード IP アドレス>] said: 550 5.7.1 Unable to relay

これは受信コネクタの [認証] が影響しているようである。

[外部的にセキュリティで保護] を有効にすると回避が可能。

この認証を設定すると以下のダイアログが表示される。

メッセージ表示内容通り、[外部的セキュリティで保護] は [基本認証] [Exchange Server 認証] [統合 Windows 認証] と合わせて
設定することはできないため最終的な設定は以下の画像の内容となる。
# 以下の設定だとオープンリレーサーバーになってしまう可能性があるので TLS と 相互認証 TLS だけ有効にしておくに留めたほうがよいかも。
　 外部的にセキュリティ保護が有効だと、承認済ドメインによる第三者中継のブロックができない？？

以下の URL の情報が参考になる。
Allowing application servers to relay off Exchange Server 2007

これでインターネット向けのメールサーバーとして Exchange でメールが受信可能になる。

外部からの踏み台やスパム用として悪用されないようにこの状態をベースにセキュリティ設定を考えていく。

Exchange 2007 に更新プログラムを適用した後にサービスが起動しない現象についての覚書です。

Exchange 2007 に更新プログラム (RU) を適用しようとした際に環境によっては 2時間以上かかり、
更新プログラム適用後にいくつかのサービスが起動しないという現象が発生。

詳細までは追えていないが Exchange 2007 がインターネットにつながらない場合に発生するようである。
更新プログラムを適用すると一部の .NET アセンブリが更新され http://crl.microsoft.com に証明書を確認しに
行くために現象が発生している？？

.NET Framework 2.0 SP1 はを導入していれば以下の方法で回避可能。

1. [C:WINDOWSmicrosoft.netFramework64v2.0.50727CONFIGmachine.config] をテキストエディタで開く
2. <generatePublisherEvidence enabled="true"/>
   と記載されている個所を
   <generatePublisherEvidence enabled="false"/>
   に変更

この設定をすることにより、発行者ポリシーを無効にすることができる。

.NET Framework 2.0 Non SP の場合は以下の KB からパッチを入手 / 適用すると上記対応が可能となる。

[FIX]: A .NET Framework 2.0 管理を持つ、Authenticode 署名の開始するには、通常より時間がかかるアプリケーション
<http://support.microsoft.com/kb/936707/>

参考↓
<generatePublisherEvidence> 要素

Exchange 2007 用更新プログラムのロールアップをインストールすると Exchange2007 マネージ コード サービスが開始されない
<http://support.microsoft.com/kb/944752/>
の英語 KB の情報を参考に EXE 個別に構成ファイルを作成することで署名確認を無効にすることも可能かもしれない。

Exchange Server 2007 managed code services do not start after you install an update rollup for Exchange Server 2007
<http://support.microsoft.com/kb/944752/en-us>
# 日本語の KB では対象の EXE が公開されていないため。英語版を参照。

SP1 UR6 の KB にもこの現象は記載されている↓
Microsoft Exchange Server 2007 Service Pack 1 の更新プログラムのロールアップ 6 について

SQL Server 2005 SP1 で SSIS をインストールしている場合は同様の現象が発生
<http://support.microsoft.com/default.aspx/kb/918644>

<http://exchangepedia.com/blog/2009/02/applying-exchange-2007-sp1-update.html>
の内容によると .NET Framework 2.0 SP 2 で解消されている？？

Exchange Server 2010 Beta が公開されていました。
Microsoft Exchange Server 2010 Beta

TechCenter にもカテゴリが追加されていますね。
Microsoft Exchange Server 2010 (Beta)

英語の情報しかないですが…。