Трудности и опасности


Которые подстерегают одинокий Exchange сервер, могут быть банальны, и сто раз пройдены всеми.

 

 

 

 

 

Смотрим внимательно на картинку, нет гарантий что выиграем обязательно. Предыстория проста- одинокий и всеми забытый гибридный сервер на земле перестал отправлять почту для корпоративной системы. Саппорт системы находился в солнечном Бангалоре и отвечал, как водится неторопливо, на наш запрос “а что за айпишник-то у системы, парни?”, парни ответили через неделю. Еще неделю они соображали что ответить, когда зоркий глаз с нашей стороны им указал через 5 минут что айпишник, который они выдали был контроллера домена, и касательства к делу не имел. Получив через три недели необходимую информацию, мы начали изучать проблему, а она была просто замечательной, доложу я вам!

Во- первых, тестовое письмо отправленное с найденного корпоративного сервера уходило в пустоту. SMTP лог с коннектора был выше. письмо принималось, но исчезало среди просторного живота крокодила Транспорта. Причем исчезало с нехорошей ошибкой аутентификации. IP адрес системы был в принимающем коннекторе среди десятка других систем, изменения были внесены два года назад. Почесав голову, открыли OWA и попробовали отправить письмо из земного ящика самому себе. Письмо ушло в черновики, показав красную надпись при дальнейших попытках его замучить, нет у вас прав никаких римских  на отправку.

Дело принимало новый оборот, особенно учитывая что OWA  и ECP работали, а вот шелловская оболочка к серверу не подключалась никак. Хотелось плакать, поскольку без нее как без рук – как очереди посмотреть?   Уровень журналов поднять, вот это все? Тулзы которых практически нет, тоже не подключаются к серверу. Мрак.

Помог как обычно журнал событий, в который заглянули и увидели всё туже ошибку аутентификации на коннекторе. Причем коннектор этот- 2525, т.е. уже внутри транспортного конвейера веселье начиналось, после приемки письма.

Ошибка гласила,

Event 1035, MSExchangeTransport – Inbound authentication failed with error UnexpectedExchangeAuthBlob for Receive connector

Посмотрели на нее, почесали голову. Почистили билеты, покрутили взад-назад транспорт. Выполнили магию klist -li 0x3e7 purge.

Все осталось также. Уже можно было бы звать маму, но

тут зоркий глаз зацепился вот за это.

 

 

 

 

 

 

 

Было принято решение выяснить с точностью, куда потерянное время делось. Выяснилось, что на 6 минут уехало.

w32tm /stripchart /computer:time.windows.com /samples:5 /dataonly

Tracking time.windows.com [52.179.17.38:123].

Collecting 5 samples.

The current time is 4/9/2019 12:17:56 PM.

12:17:56, +380.7908771s

12:17:58, +380.7800451s

12:18:00, +380.7775753s

12:18:02, +380.7810833s

12:18:04, +380.7821329s

Все встало на свои места, причина оказалась банальна. Время на хосте уехало и скорректироваться автоматом при помощи Kerberos не могло!

Всему виной старая добрая галка синхронизации. Быстро проверили также и другие машины, и нашли парочку созданных разработчиками. Поправили заодно и там.

$VMs= Get-VM
foreach ($VM in $VMs.name) {
Disable-VMIntegrationService -Name ‘Time Synchronization’ -VMName $VM
Write-host VMIntegrationService Time disabled on “$VM”
}

Дело закрыто.

 

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google photo

You are commenting using your Google account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.