Мастер класс Exchange от Пуаро


Известный Марк Руссинович любит в своем блоге рассказать, как, используя его утилиты, можно решить замысловатые проблемы в работе Windows, где бы они не возникали и какую бы причину не имели. А что общего у реального Руссиновича и вымышленного Пуаро? Один метод: использовать собственные серые клеточки!

Читая русские форумы Technet, я вдруг поймал себя на мысле, что немало специалистов даже с опытом, которые используют иной метод: ковбойский – сначала стреляют, потом думают. Smile

Ситуация. При запуске EMC получил сообщение об ошибке такого содержания:

Initilization failed. The attempt to connect to server\PowerShell using Kerberos authentication failed. the ws-management service cannot process the request. The system load quota of 1000 request per 2 seconds has been exceeded. Send future request at slower rate or raise system quota.

Соответственно консоль управления не запустилась. Командная строка выдала то же самое. Получается, что мой Exchange сервер неуправляемый!

Начинаем с самого сложного – начинаем думать.

И так, во-первых, на сервере не выполнялось никаких изменений в настройках, не устанавливались никакие обновления. Значит все это не может быть причиной проблемы.

Во-вторых, на втором Exchange сервере оснастка EMC запускается нормально. Значит система в целом не сломана, а проблема скорее всего только локально на одном сервере.

В-третьих, удаленное подключение с помощью EMC к первому серверу тоже не работает. Значит можно однозначно заключить, что проблема только на одном сервере Exchange.

Известно, что Exchange 2010 управляется через Powershell и WSManagement: первый обеспечивает операции, а второй подключение.

Раз подключение не работает, надо искать проблему с WSManagement. Если обратиться к блогу разработчиков (прочитайте прямо сейчас – не поленитесь!):

Resolving WinRM errors and Exchange 2010 Management tools startup failures

(Перевод: Устранение ошибок WinRM и ошибок запуска средств управления Exchange 2010)

то становится понятным, что не существует гарантированного способа лечения проблем  WSManagement в случае Exchange 2010. Какой ужас! Неужели придется переставлять систему?

Давайте для начала сделаем самое простое – посмотрим системные журналы событий и журналы собыйтий Exchange. Все чисто. Сообщений хоть как-то связанных с оснасткой управления нет. Да вообще нет сообщений об ошибках. Хм… но ведь не работает же!

Может быть вернуться к самому сложному и подумать? А давайте спросим Интернет – он знает все… надо только уметь его правильно спросить. Пишем: «Exchange Kerberos authentication failed of 1000 request per 2 seconds» –  У-у-у сколько людей оказывается пострадало – это внушает оптимизм в то, что проблема решена. И смотрите есть ссылки на форумы Technet, и вопрос помечен как решенный, и таких тем несколько. Смотрим… ужас что там предлагают!!! – исправление непонятных ключей в реестре, копание в настройках IIS и прочая, и прочая. Ну что тут сказать: пришел к врачу в прыщиком на щеке – вырезали желудок!

Нет, не хочу я ковырять в потрохах системы ни скальпелем, ни топором! Лучше еще поищу и подумаю.О! смотрите какая интересная ссылка попалась:

Troubleshooting Exchange 2010 Management Tools startup issues

Люблю первоисточники! А это прямо клад: какая там схемка интересная. Ой, а что там на ней такое нарисовано: аутентификация относится на уровень IIS.  Вот это ближе к истине: значит можно предположить, что WSManagement исправен, а проблема скорее всего в IIS. Причем сама по себе аутентификация работает: к серверу можно подключиться удаленно, да и все сервисы Exchange работают. Значит надо смотреть IIS. Но его никто не трогал, что с ним могло случиться?

Почтовые сервисы Exchange 2010 теперь не используют IIS – сама почта работает независимо от него. Значит можно сделать простую вещь – рестарт IIS без прерывания работы большинства пользователей и сервисов. Нет, все же часть сервисов работает через IIS: это Autodicovery, OAB, OWA. Что еще?… Ну OWA клиентов на сервере нет, остальное не должно оставить клиентов без сервера, но все же можно потерпеть до обеда, когда нагрузка сильно спадет, и вот тогда рестартуем IIS. Обед! Обед великая вещь – все добрые J

После рестарта IIS (заняло секунд 15 от силы) запускаем EMC – работает! Ура!!!

Когда вы уже все знаете, то это кажется очевидным и простым. Кто-то может сказать: «Я бы первым делом это сделал». Но суть не в том: главное метод   когда проблема выглядит очень сложной и непонятной, главное не впадать в панику путем дергания первых попавшихся настроек, а проводить поиск неисправностей по вполне стандартной процедуре. Используйте метод Руссиновича-Пуаро Smile Могу с уверенностью утверждать, что в 99% случаев вы получите положительный результат. Если же пойти на поводу «народных» рецептов, советов «знатоков» и т.п. – тут результат будет как при игре в рулетку – может вам иной раз и повезет, но в общем итоге  «казино» в Стране Дураков всегда будет в выиграше.

Реклама

RTM RSAT and SP1 Win7 (shot, over)


Вот полезное разъяснение по поводу установки RSAT на Windows 7 в связи с выходом Service Pack1.

1. Если вы установили RSAT на Windows 7, то установка SP1 обновит компоненты RSAT как нужно.
2. Если вы установили SP1 на Windows 7 или установили систему Windows 7 с интегрированным SP1, то попытка установки RSAT завершиться ошибкой. Решения нет до выхода новой версии RSAT SP1.
3. Выход версии RSAT SP1 запланирован на апрель 2011 года

Памятка по активации Office 2010


Office 2010 KMS и Windows KMS могут работать на одной машине

Office 2010 KMS и Windows KMS могут работать на виртуальной машине

Язык KMS не обязан совпадать с языком активируемых клиентов (существуют отдельные условия для Windows Server 2003)

Один ключ Office 2010 KMS активирует все версии продукта Office 2010 suites, Office 2010 applications, Project 2010 и Visio 2010

Для доступа к Office 2010 KMS на фаэволе надо открыть не только порт 1688, но и Windows Management Instrumentation (WMI). Для активации Windows нужен только порт 1688.

В Safe Mode активация не работает

Ключ KMS может активировать хост максимум 6-ть раз (либо можно переактивировать один KMS шесть раз, либо, например, шесть разных разных KMS по разу; последующие активации с этим ключом можно делать по телефону) и неограниченное число раз клиентов.

Порог запросов в KMS для начала активации клиентов к Office 2010 равен 5-ти (пять запросов в течении 30 дней)

Срок действия активации 180 дней. Период реактивации равен 7 дней после чего срок активации исчисляется с нуля (т.е. после успешной активации клиент делает обращение к KMS через 7 дней)

Если клиент не активирован, то он должен быть активирован в течении 30 дней. За несколько дней до окончания активации начинают появляться периодические напоминания. Если клиент не активирован, то после 30 дней он выдает периодические сообщения об этом, но его функциональность не нарушается.

Статус активации клиента можно посмотреть в приложении выбрав Microsoft Office Backstage (File -> Help -> верхний правый угол) (Файл -> Помощь -> верхний правый угол)

Ключи KMS client keys http://technet.microsoft.com/en-us/library/ee624355.aspx В копрпоративных дистрибутивах они уже встроены, но могут пригодиться при переходе с активации MAK ключом

Проверить регистрацию KMS nslookup -type=SRV _vlmcs._tcp

Активация Office 2010 KMS cscript slmgr.vbs /ato bfe7a195-4f8f-4f0b-a622-cf13c7d16864

Статус Office 2010 KMS cscript slmgr.vbs /dlv bfe7a195-4f8f-4f0b-a622-cf13c7d16864

Ключи команды cscript ospp.vbs описаны тут http://technet.microsoft.com/en-us/library/ee624350.aspx

Команда ospp.vbs позволяет локально и удаленно активировать продукты Office 2010, просматривать статус активации и т.д.

Команда ospp.vbs расположена:

%installdir%\Program Files\Microsoft Office\Office14

%installdir%\Program Files (x86)\Microsoft Office\Office14

Активация клиента cscript ospp.vbs /act

Статус клиента cscript ospp.vbs /dstatusall

История активаций cscript ospp.vbs /act

Расшифровка сообщений об ошибках cscript ospp.vbs /ddescr:0xC004F042

Назначение конкретного KMS cscript ospp.vbs /sethst:kmstest.contoso.com

Возврат к автопоиску KMS через DNS сервер cscript ospp.vbs /remhst

Ссылки:

FAQ: Volume activation of Office 2010

Центр ресурсов Office Volume Activation

Troubleshoot volume activation for Office 2010

Volume Activation Tips and Tricks

Plan for volume activation of Office 2010

Некоторые ошибки активации:

When attempting to activate Office 2010 receiving error «An unspecified error has occurred. Your request cannot be processed at this time. Please try again later. (0x80070001)»

Office 2010 Activation errors — 0xC004F074 «…No Key Management Service (KMS) could be contacted» and 0xc004f050 «The Software Licensing service reported that the product key is invalid»

When activating Office 2010 you receive the ERROR CODE: 0x80070005

Настройка дополнительного внешнего маршрута в конфигурации Edge-FPE-TMG


 

О чем тут речь? О том как создать из консоли TMG 2010 второй внешний коннектор (в терминах TMG) для Exchange Edge.

 

Конфигурация:

1.       Windows Server 2008 R2 SP1

2.       Exchange 2010 SP1 Edge

3.       Forefront Protection for Exchange 2010 RU2

4.       TMG 2010 SP1 SU1

Сетевая схема настраеваемых коннекторов:

clip_image001[4]

 

Первоначальная настройка:

1.       Устанавливаем систему.

Накатываем Service Pack 1

Устанавливаем последние обновления

На внутреннем сетевом  интерфейсе сервера прописываем внутренний адрес

На внещнем сетевом интерфейсе прописываем основной и дополнительный адреса (для двух коннекторов)

2.       Устанавливаем Edge

3.       Устанавливаем FPE

4.       Устанавливаем TMG 2010

5.       Настраиваем EMail policy с интерграцией с FPE с помощью визарда. Для внешнего подключения выбираем сеть External и первый IP адрес.

Руководства:

Ø  Обобщенное руководство по установке: http://technet.microsoft.com/en-us/library/ee207141.aspx

Ø  Обобщенное руководство по настройке EMail policy: http://technet.microsoft.com/en-us/library/dd441084.aspx

Ø  Первоначальная настройка EMail policy: http://technet.microsoft.com/en-us/library/dd441082.aspx

Дополнительные руководства:

Ø  Exchange Server 2010 Edge Server and Microsoft Threat Management Gateway

Ø  Installing and Configuring the Email Hygiene Solution on the TMG 2010 Firewall

Ø  Using Mail Protection with Exchange EdgeSync on Forefront TMG

Ø  Unable to Add an Additional IP on Receive Connector on Exchange Edge when using E-Mail Protection feature on Forefront TMG 2010

Полезные ссылки для решения проблем:

Ø  http://www.agence-europimmobilier.com/?p=12

Ø  http://social.technet.microsoft.com/Forums/en-US/Forefrontedgesetup/thread/33f6a377-1994-4fa8-af97-23608ffc61a4

Ø  http://social.technet.microsoft.com/Forums/en-US/Forefrontedgesetup/thread/c53e6da7-3b09-4fd5-9b67-35f2bfb87e65/

 

В результате в консоле TMG видим такую стандартную картину:

clip_image002[4]

6.       В панели задач выбираем Create SMTP route и создаем второй коннектор. При этом в качестве сети выбираем External и второй IP адрес. И получаем такую картину:

clip_image003[4]

— не смотря на привязку к сети External визард создал внутренний коннектор!

 

После убийственных манипуляций с отключением интеграции, пересозданием подписки Edge и прочих плясок с бубном было найдено простейшее решение.

 

Решение

 

1.       Экспортируем определение коннектора:

clip_image004[4]

2.       Открываем полученный XML файл, находим раздел маршрутов:

<fpc4:SmtpRoutes StorageName=»SmtpRoutes» StorageType=»0″>

3.       и удаляем в определении нашего коннектора строку:

<fpc4:RouteDirection dt:dt=»int«>0</fpc4:RouteDirection>

4.       Сохраняем файл.

5.       Импортируем файл:

clip_image005[4]

6.       После импорта исправленного определения коннектора получаем:

clip_image006[4]

7.       Теперь сохраняем конфигурацию TMG, ждем пока она применится и тестируем коннекторы: как минимум вы сможете подключиться командой telnet на порт 25 по обоим внешним адресам.

Заключение

TMG 2010 несмотря на SP1 сыроват, и даже в рекомендованных сценариях мы можем напороться на проблемы.

Что касается выше описанной конфигурации коннектров, а то альтернативный путь, который я рассматривал – отказ от режима интеграции TMG и FPE. Но во-первых, как уже было сказано, режим интеграции рекомендованный, а во-вторых, он удобен тем, что в массиве TMG можно из консоли TMG автоматически настраивать почтовую политику FPE сразу на всех членах домена, а не ручками на каждом сервере отдельно.

PS:

Может возникнуть вопрос: а зачем два внешних адреса и коннектора, если можно принимать почту многих почтовых доменов  на один адрес? Да, конечно, можно и на один. Но возможны ситуации, когда почтовые домены достаточно сильно независимы. Например, это могут быть почтовые домены нескольких крупных филиалов компании или дочерних компаний. В такой ситуации почтовые домены могут требовать специфических политик, особых настроек коннекторов, аутентификации и маршрутизации. Наконец просто удобно фильтровать логи по именам коннекторов, например, для анализа почты отдельного филиала.

PSS:

Если появилась проблема с запуском сервиса:

The Microsoft Forefront TMG Managed Control service terminated with the following error:

%%-2146233079

Решение: чистим список блокировки по ip адресам

Get-IPBlockListEntry | Remove-IpBlockListEntry