Managed Availability на Exchange Server 2013 иногда опасна


Несколько дней совместно с Microsoft PSS пришлось решать неприятную проблему. Суть проблемы: в Exchange Server 2013 работает такой компонент как Managed Availability, из-за ложного срабатывания некоторых мониторов происходило переключение активных копий баз на другие серверы и инициирование перезагрузки сервера. Причем все было бы вообще плохо, но срабатывала защита, которая есть в Exchange Server 2013, а именно throttling, что не давало базам постоянно переключаться, а серверам бесконечно перезагружаться.

 

Собственно проблема была с HealthSet Outlook.Protocol (а именно с мониторами OutlookMapiHttpSelfTestMonitor и OutlookMapiHttpDeepTestMonitor). Т.к. он находился в состоянии Unhealthy на всех серверах MailBox, то система MA считала, что есть серьезные проблемы с доступом к почтовым ящикам и предпринимала установленные для этих мониторов операции по восстановлению: переключение активной копии базы на другой сервер, а после ряда неудачных попыток восстановления инициирование перезагрузки сервера.

При этом со стороны реальных клиентов Outlook все работало прекрасно.

Первое что запросил инженер PSS после анализа логов это вывод команды netsh winhttp show proxy с серверов MailBox. Подобных настроек на системе не было. Но я хорошо понял идею и хорошо знал, что в домене настроена автоматическая конфигурация Internet Explorer у всех пользователей через протокол WPAD и сделано это через DNS серверы Active Directory, т.е. настройка была глобальной и распространялась на серверы Exchange.

Самое простое, что можно было сделать для проверки гипотезы это включить мониторинг на прокси серверах TMG. Мониторинг сразу показал, что серверы MailBox пытаются подключиться друг к другу по внутреннему имени FQDN по протоколу HTTP на порт 444, запрос уходит на прокси сервер от имени анонимного пользователя и умирает на нем, т.к. нет требуемой на прокси сервере аутентификации со стороны клиента.

Тут выяснились некоторые интересные вещи. В настройках WPAD в исключениях не оказалось локального имени домена, в который были включены серверы Exchange. Произошло это по одной простой причине: клиенты Outlook подключались по «внешнему имени», т.к. был использован Split DNS для настройки Exchange, это внешнее имя было включено в исключения прокси сервера, поэтому клиенты Outlook прекрасно работали, и в этом домене не было ни одного другого сервиса, который бы работал по HTTP! А раз нет ни одного web сервера в домене, то это доменное имя никто не включил в исключения. Единственный сервис в домене был Exchange Server, и как оказалось, некоторые его компоненты использовали клиентские настройки прокси сервера. (Подобная зависимость Exchange Server от настроек прокси свойственна не только версии 2013, но и версии 2010 (командлеты Test-*)).

Лечение проблемы было достаточно простым. На прокси серверах TMG в настройках сети Internal добавили FQDN локального домена в список внутренних имен подлежащих исключению. На серверах MailBox перезапустили службу «WinHTTP Web Proxy Auto-Discovery Service». Буквально через несколько минут HealthSet Outlook.Protocol перешел в состояние Healthy.

Заключение

Managed Availability на Exchange Server 2013 может быть опасна, если система не настроена должным образом. Не игнорируйте ошибки в логах Exchange Server, которые относятся к MA (Managed Availability) и HA (High Availability) – ищите их причину, даже если у пользователей нет видимых проблем.

Реклама

комментария 3

  1. […] Managed Availability на Exchange Server 2013 иногда опасна […]

  2. […] 2013 очень важен. О его критической важности я уже писал Managed Availability на Exchange Server 2013 иногда опасна. Суть в том, что MA содержит не только код диагностики, […]

  3. […] Как я уже писал, встроенный в Exchange Server 2013 механизм контроля здоровья обладает широкими возможностями по восстановлению работоспособности системы вплоть до рестарта сервисов и системы. Если этот механизм неисправен, то это может вызвать серьёзные проблемы в работе Exchange Server. Поэтому нужно следить за исправностью этого механизма. Вот пример такой ситуации. […]

Добавить комментарий

Заполните поля или щелкните по значку, чтобы оставить свой комментарий:

Логотип WordPress.com

Для комментария используется ваша учётная запись WordPress.com. Выход / Изменить )

Фотография Twitter

Для комментария используется ваша учётная запись Twitter. Выход / Изменить )

Фотография Facebook

Для комментария используется ваша учётная запись Facebook. Выход / Изменить )

Google+ photo

Для комментария используется ваша учётная запись Google+. Выход / Изменить )

Connecting to %s

%d такие блоггеры, как: