● ● ❍ ❍ ❍ ❍ ❍ ❍ ❍ ❍ ❍
Guia de Troubleshooting de Cisco WAAS para a
liberação 4.1.3 e mais atrasado
Capítulo: Pesquisando defeitos o MAPI AO
Este artigo descreve como pesquisar defeitos o MAPI AO.
Índice
1 acelerador MAPI
Aceleração cifrada 2 MAPI
Sumário do 2.1
2.2 Informação da característica
2.3 Metodologia de Troubleshooting
2.3.1 etapa 1 - Verifique a configuração da identidade do serviço de criptografia e o
sucesso chave da recuperação
2.3.2 etapa 2 - Em 5.0.3 um comando diagnostic novo foi introduzido verificar alguns
dos ajustes exigidos.
2.3.3 etapa 3 verifica manualmente os ajustes WAE que não são verificados pelo
comando diagnostic acima.
2.4 Análise de dados
2.5 Problemas comuns
2.5.1 Problema 1: A identidade do serviço de criptografia configurada no núcleo WAE
Índices do guia
Artigo principal
Compreendendo a arquitetura e o fluxo de tráfego
WAAS
Troubleshooting preliminar WAAS
Pesquisando defeitos a otimização
Pesquisando defeitos a aceleração do aplicativo
Pesquisando defeitos o CIFS AO
Pesquisando defeitos o HTTP AO
Pesquisando defeitos o EPM AO
Pesquisando defeitos o MAPI AO
Pesquisando defeitos o NFS AO
Pesquisando defeitos o SSL AO
Pesquisando defeitos o vídeo AO
Pesquisando defeitos o AO genérico
Pesquisando defeitos condições de sobrecarga
Pesquisando defeitos o WCCP
Pesquisando defeitos AppNav
Pesquisando defeitos o disco e os problemas de
hardware
Pesquisando defeitos conjuntos Inline de série
Pesquisando defeitos o vWAAS
Pesquisando defeitos WAAS expresso
Pesquisando defeitos a integração NAM
❍ ❍ ❍ ❍ ❍ ❍ ❍ ❍ ❍ ●
não tem as permissões correta no AD.
2.5.2 Definição 1: Consulte o manual de configuração e verifique-o que o objeto no
AD tem as permissões correta. “Replicating o diretório muda” e “Replicating o
diretório muda tudo” deve ambos ser ajustado para reservar.
2.5.3 Problema 2: Há um enviesamento do tempo entre o núcleo WAE e o KDC que
tenta recuperar a chave de
2.5.4 Definição 2: Use o ntpdate em todo o WAEs (especialmente o núcleo) à
sincronização o pulso de disparo com o KDC. Aponte então ao servidor de NTP da
empresa (prefereably o mesmo que o KDC).
2.5.5 Problema 3: O domínio que você definiu para seu serviço de criptografia não
combina o domínio seu server de câmbio está dentro.
2.5.6 Definição 3: Se seu núcleo WAE presta serviços de manutenção a exchanges
server múltiplo em domínios diferentes você deve configurar uma identidade do
serviço de criptografia para cada domínio que os serveres de câmbio residem dentro.
2.5.7 Problema 4: Se WANSecure falha suas conexões podem deixar cair ao TG
2.5.8 Definição 4: Remova o par que o CERT verifica a configuração de WAEs e
reinicie o serviço do encrytpion no núcleo WAE.
2.5.9 Problema 5: Se o NTLM é usado pelo cliente do Outlook a conexão estará
abaixada ao AO genérico.
2.5.10 Definição 5: O cliente deve permitir/exige a autenticação de Kerberos em seu
ambiente de intercâmbio. O NTLM não é apoiado (até à data de 5.1)
Registro de 3 MAPI AO
Acelerador MAPI
O acelerador MAPI aperfeiçoa o tráfego do email da troca do Microsoft outlook. A troca usa o
protocolo EMSMDB, que é mergulhado em MS-RPC, que usa por sua vez TCP ou HTTP
(unsupported) como o transporte de baixo nível.
O MAPI AO apoia o Microsoft outlook 2000 até 2007 clientes para o tráfego posto em esconderijo
e noncached do modo. As conexões seguras que usam a autenticação de mensagem
(assinatura) ou a criptografia não são aceleradas pelo MAPI AO. Tais conexões e as conexões de
uns clientes mais idosos são entregadas fora ao AO genérico para otimizações TFO.
Adicionalmente, as conexões do acesso à Web da probabilidade (OWA) e da Troca-troca não são
apoiadas.
Nota: O Microsoft outlook 2007 tem a criptografia permitida à revelia. Você deve desabilitar a
criptografia para tirar proveito do acelerador do aplicativo MAPI. Na probabilidade, escolha
ferramentas > contas de correio eletrónico, escolha a vista ou mude contas de correio eletrónico
existentes, e clique-as então em seguida. Escolha a conta de intercâmbio, e clique então a
mudança. Clique mais ajustes, e clique então a ABA de segurança. Uncheck os dados da
criptografia entre caixa de verificação da probabilidade e do Microsoft Exchange Server do
microsoft office, segundo as indicações de figura 1.
Alternativamente, você pode desabilitar a criptografia para todos os usuários de um server de
câmbio usando uma
política do grupo
.
● ● ●
●
●
Nos seguintes casos, o MAPI AO não segura uma conexão:
Conexão criptografada (entregue fora ao AO genérico)
Cliente Unsupported (entregue fora ao AO genérico)
Erro de análise gramatical Unrecoverable. Todas as conexões de TCP entre o serviço do
cliente e servidor são desligadas. Quando o cliente reconecta, todas as conexões estão
entregadas fora ao AO genérico.
O cliente tenta estabelecer um grupo novo da associação na conexão quando o WAE é
sobrecarregado.
O cliente estabelece uma conexão quando o WAE é sobrecarregado e recursos de conexão
reservados o MAPI não está disponível.
O cliente do Outlook e o server interativos em uma sessão sobre um grupo de conexões de TCP
chamaram um grupo da associação. Dentro de um grupo da associação, os acessos do objeto
podem medir através de toda a conexão e as conexões dinamicamente são criadas e liberadas
como necessárias. Um cliente pode ter mais de um grupo da associação aberto ao mesmo tempo
aos server diferentes ou ao mesmo server. (As pastas públicas são distribuídas em server
diferentes da loja do correio.)
Éessencial que todas as conexões MAPI dentro de um grupo da associação atravessam os
mesmos pares de WAEs no ramo e no centro de dados. Se algumas conexões dentro de um
grupo da associação não atravessam o MAPI AO nestes WAEs, o MAPI AO não veria que as
transações executadas naquelas conexões e nas conexões estão ditas “escapar” o grupo da
associação. Por este motivo, o MAPI AO não deve ser distribuído em WAEs inline em série
aglomerado que forma uma Alta disponibilidade do grupo.
Os sintomas das conexões MAPI que escapam seu grupo da associação WAE são sintomas de
erro da probabilidade tais como mensagens ou a probabilidade duplicada param de responder.
Durante uma condição de sobrecarga TFO, as novas conexões para um grupo existente da
associação seriam passadas completamente e para escapar o MAPI AO, assim que o MAPI AO
reserva um número de recursos de conexão adiantado para minimizar o impacto de uma
sobrecarga do dispositivo, veja a seção
“conexões reservadas acelerador do aplicativo MAPI
impactar na sobrecarga” no
artigo das condições de sobrecarga do Troubleshooting.
Verifique a configuração geral e o estado AO com o acelerador da mostra e mostre comandos
license, como descrito no artigo da
aceleração do aplicativo do Troubleshooting
. A licença da
empresa é exigida para a operação do acelerador MAPI e o acelerador do aplicativo EPM deve
ser permitido.
Em seguida, verifique o específico do estado ao MAPI AO usando o comando do mapi do
acelerador da mostra, segundo as indicações de figura 2. Você quer ver que o MAPI AO está
permitido, sendo executado, e registrado, e que o limite da conexão está indicado. Se o estado da
configuração é permitido mas o estado operacional é parada programada, indica um problema
licenciar.
Figura 2. que verifica o estado do acelerador MAPI
Use o comando do epm do acelerador das estatísticas da mostra verificar que o EPM AO é
funcional. Certifique-se das conexões seguradas totais, os pedidos do total analisados
gramaticalmente com sucesso, e as respostas totais analisem gramaticalmente com sucesso
contadores aumentem quando um cliente for começado.
Use o comando show running-config verificar que as políticas de tráfego MAPI e EPM estão
configuradas corretamente. Você quer ver que para acelerar o mapi para a ação e você do
aplicativo da Email-e-Mensagem queira ver o classificador e a política de tráfego da
Senhora-EndPortMapper definidos, como segue:
WAE674# sh run | include mapi map adaptor EPM mapi
name Email-and-Messaging All action optimize full accelerate mapi
WAE674# sh run | begin MS-EndPointMapper ...skipping
classifier MS-EndPointMapper match dst port eq 135
●
● ●
exit
WAE674# sh run | include MS-EndPointMapper classifier MS-EndPortMapper
name Other classifier MS-EndPortMapper action optimize DRE no compression none accelerate MS-port-mapper
Use o comando dynamic do aplicativo do política-motor da mostra verificar como segue que as
regras dinâmicas do fósforo existem:
Procure uma regra com usuário - identificação: EPM e nome de mapa:
uuida4f1db00-ca47-1067-b31f-00dd010662da.
O campo de fluxos indica o número total de conexões ativa ao serviço de intercâmbio.
Para cada cliente MAPI você deve ver uma entrada separada com o usuário - identificação:
MAPI.
Use o comando aperfeiçoado conexão do mapi das estatísticas da mostra certificar-se do
dispositivo WAAS esteja estabelecendo conexões aperfeiçoadas MAPI. Verifique que “M” aparece
na coluna de Accel para conexões MAPI, que indica que o MAPI AO esteve usado, como segue:
WAE674# show stat conn opt mapi
Current Active Optimized Flows: 2 Current Active Optimized TCP Plus Flows: 1 Current Active Optimized TCP Only Flows: 1 Current Active Optimized TCP Preposition Flows: 0 Current Active Auto-Discovery Flows: 0
Current Reserved Flows: 12 <--- Added in 4.1.5 Current Active Pass-Through Flows: 0
Historical Flows: 161
D:DRE,L:LZ,T:TCP Optimization RR:Total Reduction Ratio
A:AOIM,C:CIFS,E:EPM,G:GENERIC,H:HTTP,M:MAPI,N:NFS,S:SSL,V:VIDEO
ConnID Source IP:Port Dest IP:Port PeerID Accel RR
342 10.56.94.101:4506 10.10.100.100:1456 0:1a:64:d3:2f:b8 TMDL 61.0% <---Look for
"M"
Nota: Na versão 4.1.5, os fluxos reservados atuais contrários foram adicionados na saída. Este
contador refere o número de recursos de conexão reservados MAPI nos WAE que são Currently
Unused mas reserva para as conexões futuras MAPI. Para mais detalhes sobre conexões
reservados MAPI e seu impacto na sobrecarga do dispositivo, veja a seção
“conexões reservadas
acelerador do aplicativo MAPI impactar na sobrecarga” no
artigo das condições de sobrecarga do
Troubleshooting.
Se você observa conexões com o “TGDL” na coluna de Accel, estas conexões estiveram
abaixadas ao AO genérico e aperfeiçoadas com as otimizações do transporte somente. Se estas
são as conexões que você esperou ser segurado pelo MAPI AO, pode ser porque são conexões
cifradas MAPI. Para verificar no número de conexões cifradas MAPI que foram pedidas, use o
comando do mapi do acelerador das estatísticas da mostra como segue:
wae# sh stat accel mapi
Global Statistics
---Time Accelerator was started: Thu Nov 5 19:45:19 2009 Time Statistics were Last Reset/Cleared: Thu Nov 5 19:45:19 2009
Total Handled Connections: 8615
Total Optimized Connections: 8614
Total Connections Handed-off with Compression Policies Unchanged: 0 Total Dropped Connections: 1
Current Active Connections: 20
Current Pending Connections: 0
Maximum Active Connections: 512
Number of Synch Get Buffer Requests: 1052
Minimum Synch Get Buffer Size (bytes): 31680
Maximum Synch Get Buffer Size (bytes): 31680
Average Synch Get Buffer Size (bytes): 31680
Number of Read Stream Requests: 3844
Minimum Read Stream Buffer Size (bytes): 19
Maximum Read Stream Buffer Size (bytes): 31744
Average Read Stream Buffer Size (bytes): 14556
Minimum Accumulated Read Ahead Data Size (bytes): 0
Maximum Accumulated Read Ahead Data Size (bytes): 1172480
Average Accumulated Read Ahead Data Size (bytes): 594385
Local Response Count: 20827
Average Local Response Time (usec): 250895
Remote Response Count: 70486
Average Remote Response Time (usec): 277036
Current 2000 Accelerated Sessions: 0
Current 2003 Accelerated Sessions: 1
Current 2007 Accelerated Sessions: 0
Secured Connections: 1 <---Encrypted connections Lower than 2000 Sessions: 0
Higher than 2007 Sessions: 0
Você pode encontrar os IP address dos clientes que pedem conexões cifradas MAPI no Syslog
procurando por mensagens como o seguinte:
wae# sh stat accel mapi MAPI: Global Statistics ---Time Accelerator was started: Thu Nov 5 19:45:19 2009 Time Statistics were Last Reset/Cleared: Thu Nov 5 19:45:19 2009 Total Handled Connections: 8615Total Optimized Connections: 8614
Total Connections Handed-off with Compression Policies Unchanged: 0 Total Dropped Connections: 1
Current Active Connections: 20
Current Pending Connections: 0
Maximum Active Connections: 512
Number of Synch Get Buffer Requests: 1052
Minimum Synch Get Buffer Size (bytes): 31680
Maximum Synch Get Buffer Size (bytes): 31680
Average Synch Get Buffer Size (bytes): 31680
Number of Read Stream Requests: 3844
Minimum Read Stream Buffer Size (bytes): 19
Maximum Read Stream Buffer Size (bytes): 31744
Average Read Stream Buffer Size (bytes): 14556
Minimum Accumulated Read Ahead Data Size (bytes): 0
Average Accumulated Read Ahead Data Size (bytes): 594385
Local Response Count: 20827
Average Local Response Time (usec): 250895
Remote Response Count: 70486
Average Remote Response Time (usec): 277036
Current 2000 Accelerated Sessions: 0
Current 2003 Accelerated Sessions: 1
Current 2007 Accelerated Sessions: 0
Secured Connections: 1 <---Encrypted connections Lower than 2000 Sessions: 0
Higher than 2007 Sessions: 0
Você pode ver a estatística de conexão MAPI usando o comando detail aperfeiçoado conexão do
mapi das estatísticas da mostra como segue:
WAE674# show stat conn opt mapi detail Connection Id: 1830Peer Id: 00:14:5e:84:24:5f Connection Type: EXTERNAL CLIENT Start Time: Thu Jun 25 06:32:27 2009 Source IP Address: 10.10.10.10 Source Port Number: 3774
Destination IP Address: 10.10.100.101 Destination Port Number: 1146 Application Name: Email-and-Messaging <---Should see Email-and-Messaging Classifier Name: **Map Default** Map Name: uuida4f1db00-ca47-1067-b31f-00dd010662da <---Should see this UUID Directed Mode: FALSE Preposition Flow: FALSE Policy Details: Configured: TCP_OPTIMIZE + DRE + LZ Derived: TCP_OPTIMIZE + DRE + LZ Peer: TCP_OPTIMIZE + DRE + LZ Negotiated: TCP_OPTIMIZE + DRE + LZ Applied: TCP_OPTIMIZE + DRE + LZ Accelerator Details: Configured: MAPI <---Should see MAPI configured Derived: MAPI Applied: MAPI <---Should see MAPI applied Hist: None Original Optimized Bytes Read: 4612 1973 Bytes Written: 4086 2096 . . .
A resposta local e remota conta e o tempo médio de resposta é mostrado nesta saída:
. . . MAPI : 1830
Time Statistics were Last Reset/Cleared: Thu Jun 25 06:32:27 2009
Total Bytes Read: 46123985
Total Bytes Written: 40864046
Number of Synch Get Buffer Requests: 0
Minimum Synch Get Buffer Size (bytes): 0
Maximum Synch Get Buffer Size (bytes): 0
Average Synch Get Buffer Size (bytes): 0
Number of Read Stream Requests: 0
Minimum Read Stream Buffer Size (bytes): 0
Maximum Read Stream Buffer Size (bytes): 0
Average Read Stream Buffer Size (bytes): 0
Minimum Accumulated Read Ahead Data Size (bytes): 0
Maximum Accumulated Read Ahead Data Size (bytes): 0
Average Accumulated Read Ahead Data Size (bytes): 0
Local Response Count: 0
<
-Average Local Response Time (usec): 0
<
-Remote Response Count: 19
<
-Average Remote Response Time (usec): 89005
<
-. -. -.
Aceleração cifrada MAPI
Resumo
Até à data de WAAS 5.0.1 o acelerador MAPI pode agora acelerar o tráfego cifrado MAPI. Esta
característica será permitida à revelia na liberação 5.0.3. Contudo, em ordem acelere com
sucesso o tráfego cifrado MAPI lá são número de exigências no WAAS e no ambiente de
Microsoft AD. Este guia ajudá-lo-á a verificar e pesquisar defeitos a funcionalidade do eMAPI.
Informação da característica
o eMAPI será permitido à revelia em 5.0.3 e exigirá o seguinte acelerar com sucesso o tráfego
criptografado.
1) A loja segura CMS deve ser inicializada e aberto em todo o núcleo WAEs
2) O WAEs deve poder resolver o FQDN dos server da troca e do Kerberos KDC (o controlador
do diretório ativo)
3) Os pulsos de disparo Do WAE devem ser em sincronia com o KDC
4) O acclerator SSL, MACILENTO fixa-se, e o eMAPI deve ser permitido em todo o WAEs no
trajeto da probabilidade de trocar
5) O WAEs no trajeto deve ter a configuração de mapa de política correta
6) O núcleo WAE deve ter uns ou vários domínio cifrado Identies dos serviços configurado (a
conta do usuário ou de máquina)
7) Se uma conta de máquina é usada este WAE deve ser juntado ao domínio AD.
precisa de ser dado permissões específicas. “Replicating o diretório muda” e “Replicating o
diretório muda tudo” deve ambos ser ajustado para reservar.
A maneira recomendada de fazer isto é através de um grupo de segurança universal (por
exemplo atribua as permissões ao grupo e adicionar então os dispositivos e/ou os nomes de
usuário WAAS especificados no serviço de criptografia a este grupo). Veja o guia anexado para
screenshots da configuração AD e do WAAS CM GUI.
Metodologia de Troubleshooting
Etapa 1 - Verifique a configuração da identidade do serviço de criptografia e o sucesso chave da
recuperação
Quando o comando de diagnósticos (etapa 2 abaixo) verificar a existência de um serviço de
criptografia não verifica se a recuperação da chave será bem sucedida. Daqui nós não sabemos
apenas executando esse comando diagnostic se as permissões apropriadas foram dadas ao
objeto no diretório ativo (máquina ou conta de usuário).
Sumário de que necessidades de ser feito para configurar e verificar o serviço de criptografia
sucederão a recuperação chave
Conta de usuário:
1. crie o usuário AD
2. crie o grupo AD e o grupo “que Replicating o diretório muda” e “Replicating o diretório muda
tudo” PARA RESERVAR
3. adicionar o usuário ao grupo criado
4. defina a identidade do domínio da conta de usuário nos serviços de criptografia
5. seja executado obtêm o diagnóstico chave CLI
server FQDN> < Domain Name > do <exchange da GET-chave do serviço de criptografia dos
diagnósticos do indicador-domínio
Note que você deve usar nome do servidor de intercâmbio real/real configurado no server e não
em um tipo FQDN NLB/VIP que possa resoluções às exchanges server múltiplo.
6. se chave a recuperação trabalhou - feito
Exemplo do sucesso:
GET-chave pdidc-exchange1.pdidc.cisco.com pdidc.cisco.com do serviço de criptografia dos
diagnósticos pdi-7541-dc#windows-domain
SPN pdidc-exchange1.pdidc.cisco.com, Domain Name: pdidc.cisco.com
A recuperação chave é em andamento.
GET-chave pdidc-exchange1.pdidc.cisco.com pdidc.cisco.com do serviço de criptografia dos
diagnósticos pdi-7541-dc#windows-domain
A chave para pdidc-exchange1.pdidc.cisco.com reside no esconderijo da chave da memória
Conta de máquina
1. junte-se a dispositivos do núcleo WAE ao domínio AD
o grupo e o grupo 2.create AD “que Replicating o diretório mudam” e “Replicating o diretório muda
tudo” PARA RESERVAR
3. adicionar contas de máquina para agrupar criado
4. configurar serviços de criptografia para usar a conta de máquina
5. Dê algum dia para conseguir a política do grupo ser aplicado à máquina juntada ou para forçar
o aplicativo da política do grupo do AD. gpupdate /force.
6. seja executado obtêm o diagnóstico chave CLI
server FQDN> < Domain Name > do <exchange da GET-chave do serviço de criptografia dos
diagnósticos do indicador-domínio
Note que você deve usar nome do servidor de intercâmbio real/real configurado no server e não
em um tipo FQDN NLB/VIP que possa resoluções às exchanges server múltiplo.
7. se chave a recuperação trabalhou - feito
Para mais detalhes e screen shots no serviço de Encrytpion e na configuração AD veja o guia
anexado.
Etapa 2 - Em 5.0.3 um comando diagnostic novo foi introduzido verificar alguns dos ajustes
exigidos.
o mapi do ̶accelerator verifica configurações de criptografia
1.CLI faz várias verificações de validade. Output é sumário da capacidade para acelerar o tráfego
cifrado MAPI como a borda ou o núcleo.
2.Checks o estado/configuração dos vários componentes atribui para que o serviço de criptografia
trabalhe corretamente.
3.When um problema de configuração é encontrado que output o que falta e o CLI ou as ações
para o fixar.
4.It dão o sumário para fora como o dispositivo de ponta e o dispositivo central. O dispositivo que
pode ser borda e núcleo deve ter EMAPI operacional para a borda e o núcleo.
Está abaixo uma saída de amostra de um WAE incorretamente configurado:
. . . MAPI : 1830
06:32:27 2009
Total Bytes Read: 46123985
Total Bytes Written: 40864046
Number of Synch Get Buffer Requests: 0
Minimum Synch Get Buffer Size (bytes): 0
Maximum Synch Get Buffer Size (bytes): 0
Average Synch Get Buffer Size (bytes): 0
Number of Read Stream Requests: 0
Minimum Read Stream Buffer Size (bytes): 0
Maximum Read Stream Buffer Size (bytes): 0
Average Read Stream Buffer Size (bytes): 0
Minimum Accumulated Read Ahead Data Size (bytes): 0
Maximum Accumulated Read Ahead Data Size (bytes): 0
Average Accumulated Read Ahead Data Size (bytes): 0
Local Response Count: 0 < -Average Local Response Time (usec): 0 < -Remote Response Count: 19 < -Average Remote Response Time (usec): 89005 < -. -. -.
Está abaixo a saída de um núcleo WAE que seja configurado corretamente:
. . . MAPI : 1830 Time Statistics were Last Reset/Cleared: Thu Jun 25 06:32:27 2009 Total Bytes Read: 46123985Total Bytes Written: 40864046
Number of Synch Get Buffer Requests: 0
Minimum Synch Get Buffer Size (bytes): 0
Maximum Synch Get Buffer Size (bytes): 0
Average Synch Get Buffer Size (bytes): 0
Number of Read Stream Requests: 0
Minimum Read Stream Buffer Size (bytes): 0
Maximum Read Stream Buffer Size (bytes): 0
Average Read Stream Buffer Size (bytes): 0
Minimum Accumulated Read Ahead Data Size (bytes): 0
Maximum Accumulated Read Ahead Data Size (bytes): 0
Average Accumulated Read Ahead Data Size (bytes): 0
Local Response Count: 0
<
-Average Local Response Time (usec): 0
<
-Remote Response Count: 19
<
-Average Remote Response Time (usec): 89005
<
-. -. -.
Etapa 3 - Verifique manualmente os ajustes WAE que não são verificados pelo comando
diagnostic acima.
1) O comando acima quando chekcs para a existência do NTP configurada, ele não verificar
realmente os tempos está na sincronização entre o WAE e o KDC. É muito importante os tempos
está na sincronização entre o núcleo e o KDC para que a recuperação chave seja bem sucedido.
Se a verificação manual revela são fora da sincronização uma maneira simples forçar o pulso de
disparo do WAE para estar na sincronização seriam o comando do ntpdate (ip> do ntpdate <KDC
). Aponte então o WAEs ao servidor de NTP da empresa.
2) Verifique que o dnslookup sucede em todo o WAEs para o FQDN dos serveres de câmbio e o
FQDN dos KDC
3) Verifique que o mapa de classe e o mapa de política estão configurados corretamente em todo
o WAEs no trajeto.
tipo waas MAPI do mapa de classe pdi-7541-dc#sh
Tipo waas MAPI compatível com qualquer do mapa de classe
Mapi do epm do destino tcp do fósforo (fluxo-fósforos 0)
tipo tipo waas do mapa de política pdi-7541-dc#show do mapa de política dos waas
WAAS-GLOBAL (6084690 totais)
Classe MAPI (fluxo-fósforos 0)
aperfeiçoe aceleram completamente a Email-e-Mensagem do aplicativo do mapi
4) Verifique que a loja segura CMS é aberta e inicializada em todo o WAEs da “loja segura cms
mostra”
Análise de dados
Além de analisar a saída do comando diagnostic e dos comandos show manuais você pode
precisar de rever o sysreport.
Especificamente você quererá rever o mapiao-errorlog, Sênior-errorlog (núcleo WAE somente), e
o wsao-errorlog arquiva.
Haverá umas sugestões em cada log segundo a encenação que o conduzirá à gota das conexões
da razão ao AO genérico.
Esta saída é do Sênior-errorlog e mostra a validação da identidade do serviço de criptografia da
conta de máquina
Nota: Isto confirma somente o núcleo WAE juntou-se ao domínio e a conta de máquina existe.
. . . MAPI : 1830
Time Statistics were Last Reset/Cleared: Thu Jun 25 06:32:27 2009
Total Bytes Read: 46123985
Total Bytes Written: 40864046
Number of Synch Get Buffer Requests: 0
Minimum Synch Get Buffer Size (bytes): 0
Maximum Synch Get Buffer Size (bytes): 0
Average Synch Get Buffer Size (bytes): 0
Number of Read Stream Requests: 0
Minimum Read Stream Buffer Size (bytes): 0
Maximum Read Stream Buffer Size (bytes): 0
Average Read Stream Buffer Size (bytes): 0
Minimum Accumulated Read Ahead Data Size (bytes): 0
Maximum Accumulated Read Ahead Data Size (bytes): 0
Average Accumulated Read Ahead Data Size (bytes): 0
Local Response Count: 0 < -Average Local Response Time (usec): 0 < -Remote Response Count: 19 < -Average Remote Response Time (usec): 89005 < -. -. -.
Esta saída é do Sênior-errorlog do núcleo outra vez e mostra a recuperação chave bem sucedida
do KDC.
. . . MAPI : 1830 Time Statistics were Last Reset/Cleared: Thu Jun 25 06:32:27 2009 Total Bytes Read: 46123985Total Bytes Written: 40864046
Number of Synch Get Buffer Requests: 0
Minimum Synch Get Buffer Size (bytes): 0
Maximum Synch Get Buffer Size (bytes): 0
Average Synch Get Buffer Size (bytes): 0
Number of Read Stream Requests: 0
Minimum Read Stream Buffer Size (bytes): 0
Maximum Read Stream Buffer Size (bytes): 0
Average Read Stream Buffer Size (bytes): 0
Maximum Accumulated Read Ahead Data Size (bytes): 0
Average Accumulated Read Ahead Data Size (bytes): 0
Local Response Count: 0 <--- Average Local Response Time (usec): 0 <--- Remote Response Count: 19 <--- Average Remote Response Time (usec): 89005 <--- . . .
Esta saída é do arquivo do mapiao-errorlog na borda WAE para uma conexão bem sucedida do
eMAPI
. . . MAPI : 1830 Time Statistics were Last Reset/Cleared: Thu Jun 25 06:32:27 2009 Total Bytes Read: 46123985Total Bytes Written: 40864046
Number of Synch Get Buffer Requests: 0
Minimum Synch Get Buffer Size (bytes): 0
Maximum Synch Get Buffer Size (bytes): 0
Average Synch Get Buffer Size (bytes): 0
Number of Read Stream Requests: 0
Minimum Read Stream Buffer Size (bytes): 0
Maximum Read Stream Buffer Size (bytes): 0
Average Read Stream Buffer Size (bytes): 0
Minimum Accumulated Read Ahead Data Size (bytes): 0
Maximum Accumulated Read Ahead Data Size (bytes): 0
Average Accumulated Read Ahead Data Size (bytes): 0
Local Response Count: 0
<
-Average Local Response Time (usec): 0
<
-Remote Response Count: 19
<
-Average Remote Response Time (usec): 89005
<
-. -. -.
É aqui o núcleo corresponder WAE output do mapiao-errorlog para o mesmo conneciton TCP
MAPI : 1830
Time Statistics were Last Reset/Cleared: Thu Jun 25 06:32:27 2009
Total Bytes Read: 46123985
Total Bytes Written: 40864046
Number of Synch Get Buffer Requests: 0
Minimum Synch Get Buffer Size (bytes): 0
Maximum Synch Get Buffer Size (bytes): 0
Average Synch Get Buffer Size (bytes): 0
Number of Read Stream Requests: 0
Minimum Read Stream Buffer Size (bytes): 0
Maximum Read Stream Buffer Size (bytes): 0
Average Read Stream Buffer Size (bytes): 0
Minimum Accumulated Read Ahead Data Size (bytes): 0
Maximum Accumulated Read Ahead Data Size (bytes): 0
Average Accumulated Read Ahead Data Size (bytes): 0
Local Response Count: 0 < -Average Local Response Time (usec): 0 < -Remote Response Count: 19 < -Average Remote Response Time (usec): 89005 < -. -. -.
Problemas comuns
Estão abaixo alguns motivos comuns que conduz à mão-fora da conexão do eMAPI a AO
genérico (TG).
Problema 1: A identidade do serviço de criptografia configurada no núcleo WAE não tem as
permissões correta no AD.
Saída do Sênior-errolog no núcleo WAE
. . . MAPI : 1830 Time Statistics were Last Reset/Cleared: Thu Jun 25 06:32:27 2009 Total Bytes Read: 46123985Total Bytes Written: 40864046
Number of Synch Get Buffer Requests: 0
Maximum Synch Get Buffer Size (bytes): 0
Average Synch Get Buffer Size (bytes): 0
Number of Read Stream Requests: 0
Minimum Read Stream Buffer Size (bytes): 0
Maximum Read Stream Buffer Size (bytes): 0
Average Read Stream Buffer Size (bytes): 0
Minimum Accumulated Read Ahead Data Size (bytes): 0
Maximum Accumulated Read Ahead Data Size (bytes): 0
Average Accumulated Read Ahead Data Size (bytes): 0
Local Response Count: 0 < -Average Local Response Time (usec): 0 < -Remote Response Count: 19 < -Average Remote Response Time (usec): 89005 < -. -. -.
Definição 1: Consulte o manual de configuração e verifique-o que o objeto no AD tem as
permissões correta. “Replicating o diretório muda” e “Replicating o diretório muda tudo” deve
ambos ser ajustado para reservar.
http://www.cisco.com/en/US/docs/app_ntwk_services/waas/waas/v511/configuration/guide/policy.h
tml#wp1256547
Problema 2: Há um enviesamento do tempo entre o núcleo WAE e o KDC que tenta recuperar a
chave de
Saída do Sênior-errolog no núcleo WAE
. . . MAPI : 1830 Time Statistics were Last Reset/Cleared: Thu Jun 25 06:32:27 2009 Total Bytes Read: 46123985Total Bytes Written: 40864046
Number of Synch Get Buffer Requests: 0
Minimum Synch Get Buffer Size (bytes): 0
Maximum Synch Get Buffer Size (bytes): 0
Average Synch Get Buffer Size (bytes): 0
Number of Read Stream Requests: 0
Minimum Read Stream Buffer Size (bytes): 0
Maximum Read Stream Buffer Size (bytes): 0
Average Read Stream Buffer Size (bytes): 0
Minimum Accumulated Read Ahead Data Size (bytes): 0
Maximum Accumulated Read Ahead Data Size (bytes): 0
Average Accumulated Read Ahead Data Size (bytes): 0
Local Response Count: 0
-Average Local Response Time (usec): 0
<
-Remote Response Count: 19
<
-Average Remote Response Time (usec): 89005
<
-. -. -.
Definição 2: Use o ntpdate em todo o WAEs (especialmente o núcleo) à sincronização o pulso de
disparo com o KDC. Aponte então ao servidor de NTP da empresa (prefereably o mesmo que o
KDC).
Problema 3: O domínio que você definiu para seu serviço de criptografia não combina o domínio
seu server de câmbio está dentro.
Saída do Sênior-errolog no núcleo WAE
. . . MAPI : 1830
Time Statistics were Last Reset/Cleared: Thu Jun 25 06:32:27 2009
Total Bytes Read: 46123985
Total Bytes Written: 40864046
Number of Synch Get Buffer Requests: 0
Minimum Synch Get Buffer Size (bytes): 0
Maximum Synch Get Buffer Size (bytes): 0
Average Synch Get Buffer Size (bytes): 0
Number of Read Stream Requests: 0
Minimum Read Stream Buffer Size (bytes): 0
Maximum Read Stream Buffer Size (bytes): 0
Average Read Stream Buffer Size (bytes): 0
Minimum Accumulated Read Ahead Data Size (bytes): 0
Maximum Accumulated Read Ahead Data Size (bytes): 0
Average Accumulated Read Ahead Data Size (bytes): 0
Local Response Count: 0
<
-Average Local Response Time (usec): 0
<
-Remote Response Count: 19
<
-Average Remote Response Time (usec): 89005
<
-. -. -.
Definição 3: Se seu núcleo WAE presta serviços de manutenção a exchanges server múltiplo em
domínios diferentes você deve configurar uma identidade do serviço de criptografia para cada
domínio que os serveres de câmbio residem dentro.
Não note, lá seja NENHUM apoio para o secundário-domínio incluem neste tempo. Assim se você
tem myexchange.sub-domain.domain.com, a identidade do serviço de criptografia deve estar em
sub-domain.domain.com; NÃO PODE estar no domínio do pai.
Problema 4: Se WANSecure falha suas conexões podem deixar cair ao TG
as conexões do eMAPI podem ser cedidas ao AO genérico porque o prumo seguro MACILENTO
falhou. O prumo seguro MACILENTO falhou porque o CERT verifica falhado. O CERT do par
verifica falhado porque o CERT auto-assinado padrão do par está sendo usado ou o CERT falhou
legitimamente a verificação OCSP.
Ajustes do núcleo WAE
. . . MAPI : 1830
Time Statistics were Last Reset/Cleared: Thu Jun 25 06:32:27 2009
Total Bytes Read: 46123985
Total Bytes Written: 40864046
Number of Synch Get Buffer Requests: 0
Minimum Synch Get Buffer Size (bytes): 0
Maximum Synch Get Buffer Size (bytes): 0
Average Synch Get Buffer Size (bytes): 0
Number of Read Stream Requests: 0
Minimum Read Stream Buffer Size (bytes): 0
Maximum Read Stream Buffer Size (bytes): 0
Average Read Stream Buffer Size (bytes): 0
Minimum Accumulated Read Ahead Data Size (bytes): 0
Maximum Accumulated Read Ahead Data Size (bytes): 0
Average Accumulated Read Ahead Data Size (bytes): 0
Local Response Count: 0
<
-Average Local Response Time (usec): 0
<
-Remote Response Count: 19
<
-Average Remote Response Time (usec): 89005
<
-. -. -.
Isto conduzirá às seguintes entradas do mapiao-errorlog e do wsao-errorlog:
A sugestão aqui é a primeira linha destacada “desligou mais de quatro vezes consecutivas”
Mapiao-errorlog no lado WAE do cliente:
. . . MAPI : 1830
06:32:27 2009
Total Bytes Read: 46123985
Total Bytes Written: 40864046
Number of Synch Get Buffer Requests: 0
Minimum Synch Get Buffer Size (bytes): 0
Maximum Synch Get Buffer Size (bytes): 0
Average Synch Get Buffer Size (bytes): 0
Number of Read Stream Requests: 0
Minimum Read Stream Buffer Size (bytes): 0
Maximum Read Stream Buffer Size (bytes): 0
Average Read Stream Buffer Size (bytes): 0
Minimum Accumulated Read Ahead Data Size (bytes): 0
Maximum Accumulated Read Ahead Data Size (bytes): 0
Average Accumulated Read Ahead Data Size (bytes): 0
Local Response Count: 0 < -Average Local Response Time (usec): 0 < -Remote Response Count: 19 < -Average Remote Response Time (usec): 89005 < -. -. -.
Wsao-errorlog no lado WAE do cliente:
. . . MAPI : 1830 Time Statistics were Last Reset/Cleared: Thu Jun 25 06:32:27 2009 Total Bytes Read: 46123985Total Bytes Written: 40864046
Number of Synch Get Buffer Requests: 0
Minimum Synch Get Buffer Size (bytes): 0
Maximum Synch Get Buffer Size (bytes): 0
Average Synch Get Buffer Size (bytes): 0
Number of Read Stream Requests: 0
Minimum Read Stream Buffer Size (bytes): 0
Maximum Read Stream Buffer Size (bytes): 0
Average Read Stream Buffer Size (bytes): 0
Minimum Accumulated Read Ahead Data Size (bytes): 0
Maximum Accumulated Read Ahead Data Size (bytes): 0
Average Accumulated Read Ahead Data Size (bytes): 0
Local Response Count: 0
<
-Average Local Response Time (usec): 0
<
-Remote Response Count: 19
<
-Average Remote Response Time (usec): 89005
<
-. -. -.
encrytpion no núcleo WAE.
. . . MAPI : 1830
Time Statistics were Last Reset/Cleared: Thu Jun 25 06:32:27 2009
Total Bytes Read: 46123985
Total Bytes Written: 40864046
Number of Synch Get Buffer Requests: 0
Minimum Synch Get Buffer Size (bytes): 0
Maximum Synch Get Buffer Size (bytes): 0
Average Synch Get Buffer Size (bytes): 0
Number of Read Stream Requests: 0
Minimum Read Stream Buffer Size (bytes): 0
Maximum Read Stream Buffer Size (bytes): 0
Average Read Stream Buffer Size (bytes): 0
Minimum Accumulated Read Ahead Data Size (bytes): 0
Maximum Accumulated Read Ahead Data Size (bytes): 0
Average Accumulated Read Ahead Data Size (bytes): 0
Local Response Count: 0 < -Average Local Response Time (usec): 0 < -Remote Response Count: 19 < -Average Remote Response Time (usec): 89005 < -. -. -.
Problema 5: Se o NTLM é usado pelo cliente do Outlook a conexão estará abaixada ao AO
genérico.
Você verá o seguinte no mapiao-errorlog no lado WAE do cliente:
. . . MAPI : 1830 Time Statistics were Last Reset/Cleared: Thu Jun 25 06:32:27 2009 Total Bytes Read: 46123985Total Bytes Written: 40864046
Number of Synch Get Buffer Requests: 0
Minimum Synch Get Buffer Size (bytes): 0
Maximum Synch Get Buffer Size (bytes): 0
Average Synch Get Buffer Size (bytes): 0
Number of Read Stream Requests: 0
Minimum Read Stream Buffer Size (bytes): 0
Maximum Read Stream Buffer Size (bytes): 0
Average Read Stream Buffer Size (bytes): 0
Minimum Accumulated Read Ahead Data Size (bytes): 0
●
●
Average Accumulated Read Ahead Data Size (bytes): 0
Local Response Count: 0
<
-Average Local Response Time (usec): 0
<
-Remote Response Count: 19
<
-Average Remote Response Time (usec): 89005
<
-. -. -.
Definição 5: O cliente deve permitir/exige a autenticação de Kerberos em seu ambiente de
intercâmbio. O NTLM não é apoiado (até à data de 5.1)
Esteja ciente que há um resumo da tecnologia de Microsoft que chame uma queda de volta ao
NTLM quando CAS é usado.
A encenação onde o Kerberos não funciona é específica trocar 2010, e está na seguinte
encenação:
Server múltiplos do acesso do cliente da troca (CAS) em uma organização/domínio.
Estes server de CAS são aglomerados junto usando todo o método - usar a função incorporado
da Cliente-disposição de Microsoft, ou um equilibrador da carga da 3ª parte.
Na encenação acima, o Kerberos não trabalha - e os clientes querem a reserva ao NTLM pelo
defult. Eu acredito que este é devido ao fato que os clientes têm que AUTH ao server de CAS
contra o server da caixa postal, como fizeram em liberações precedentes da troca.
Na troca 2010 RTM, não há nenhum reparo para este! O Kerberos na encenação acima nunca
funcionará a PRE-troca 2010-SP1.
No SP1, o Kerberos pode ser permitido nestes ambientes, mas é um processo manual. Veja o
artigo aqui:
http://technet.microsoft.com/en-us/library/ff808313.aspx
Registro MAPI AO
Os seguintes arquivos de registro estão disponíveis para pesquisar defeitos edições MAPI
AO:
Arquivos de Log de transação: /local1/logs/tfo/working.log (e /local1/logs/tfo/tfo_log_*.txt)
Debugar arquivos de registro: /local1/errorlog/mapiao-errorlog.current (e mapiao-errorlog.*)
Para uma eliminação de erros mais fácil, você deve primeiramente estabelecer um ACL para
restringir pacotes a um host.
. . . MAPI : 1830
Time Statistics were Last Reset/Cleared: Thu Jun 25 06:32:27 2009
Total Bytes Written: 40864046
Number of Synch Get Buffer Requests: 0
Minimum Synch Get Buffer Size (bytes): 0
Maximum Synch Get Buffer Size (bytes): 0
Average Synch Get Buffer Size (bytes): 0
Number of Read Stream Requests: 0
Minimum Read Stream Buffer Size (bytes): 0
Maximum Read Stream Buffer Size (bytes): 0
Average Read Stream Buffer Size (bytes): 0
Minimum Accumulated Read Ahead Data Size (bytes): 0
Maximum Accumulated Read Ahead Data Size (bytes): 0
Average Accumulated Read Ahead Data Size (bytes): 0
Local Response Count: 0 < -Average Local Response Time (usec): 0 < -Remote Response Count: 19 < -Average Remote Response Time (usec): 89005 < -. -. -.
Para permitir o log de transação, use o comando configuration do log de transações como segue:
. . . MAPI : 1830 Time Statistics were Last Reset/Cleared: Thu Jun 25 06:32:27 2009 Total Bytes Read: 46123985Total Bytes Written: 40864046
Number of Synch Get Buffer Requests: 0
Minimum Synch Get Buffer Size (bytes): 0
Maximum Synch Get Buffer Size (bytes): 0
Average Synch Get Buffer Size (bytes): 0
Number of Read Stream Requests: 0
Minimum Read Stream Buffer Size (bytes): 0
Maximum Read Stream Buffer Size (bytes): 0
Average Read Stream Buffer Size (bytes): 0
Minimum Accumulated Read Ahead Data Size (bytes): 0
Maximum Accumulated Read Ahead Data Size (bytes): 0
Average Accumulated Read Ahead Data Size (bytes): 0
Local Response Count: 0
<
-Average Local Response Time (usec): 0
<
-Remote Response Count: 19
<
-Average Remote Response Time (usec): 89005
<
-. -. -.
como segue:
. . . MAPI : 1830
Time Statistics were Last Reset/Cleared: Thu Jun 25 06:32:27 2009
Total Bytes Read: 46123985
Total Bytes Written: 40864046
Number of Synch Get Buffer Requests: 0
Minimum Synch Get Buffer Size (bytes): 0
Maximum Synch Get Buffer Size (bytes): 0
Average Synch Get Buffer Size (bytes): 0
Number of Read Stream Requests: 0
Minimum Read Stream Buffer Size (bytes): 0
Maximum Read Stream Buffer Size (bytes): 0
Average Read Stream Buffer Size (bytes): 0
Minimum Accumulated Read Ahead Data Size (bytes): 0
Maximum Accumulated Read Ahead Data Size (bytes): 0
Average Accumulated Read Ahead Data Size (bytes): 0
Local Response Count: 0 < -Average Local Response Time (usec): 0 < -Remote Response Count: 19 < -Average Remote Response Time (usec): 89005 < -. -. -.
Para estabelecer e permitir o debug logging do MAPI AO, use os comandos seguintes.
NOTA: O debug logging é utilização de CPU e pode gerar uma grande quantidade de saída.
Use-o judiciUse-osamente e frugalmente em um ambiente de prUse-oduçãUse-o.
Você pode permitir registro detalhado ao disco como segue:
. . . MAPI : 1830 Time Statistics were Last Reset/Cleared: Thu Jun 25 06:32:27 2009 Total Bytes Read: 46123985Total Bytes Written: 40864046
Number of Synch Get Buffer Requests: 0
Minimum Synch Get Buffer Size (bytes): 0
Maximum Synch Get Buffer Size (bytes): 0
Average Synch Get Buffer Size (bytes): 0
Number of Read Stream Requests: 0
Minimum Read Stream Buffer Size (bytes): 0
Maximum Read Stream Buffer Size (bytes): 0
Average Read Stream Buffer Size (bytes): 0
Minimum Accumulated Read Ahead Data Size (bytes): 0
Maximum Accumulated Read Ahead Data Size (bytes): 0
Local Response Count: 0
<
-Average Local Response Time (usec): 0
<
-Remote Response Count: 19
<
-Average Remote Response Time (usec): 89005
<
-. -. -.
Você pode permitir o debug logging para conexões no ACL como segue:
. . . MAPI : 1830
Time Statistics were Last Reset/Cleared: Thu Jun 25 06:32:27 2009
Total Bytes Read: 46123985
Total Bytes Written: 40864046
Number of Synch Get Buffer Requests: 0
Minimum Synch Get Buffer Size (bytes): 0
Maximum Synch Get Buffer Size (bytes): 0
Average Synch Get Buffer Size (bytes): 0
Number of Read Stream Requests: 0
Minimum Read Stream Buffer Size (bytes): 0
Maximum Read Stream Buffer Size (bytes): 0
Average Read Stream Buffer Size (bytes): 0
Minimum Accumulated Read Ahead Data Size (bytes): 0
Maximum Accumulated Read Ahead Data Size (bytes): 0
Average Accumulated Read Ahead Data Size (bytes): 0
Local Response Count: 0 < -Average Local Response Time (usec): 0 < -Remote Response Count: 19 < -Average Remote Response Time (usec): 89005 < -. -. -.
As opções para a eliminação de erros MAPI AO são como segue:
. . . MAPI : 1830 Time Statistics were Last Reset/Cleared: Thu Jun 25 06:32:27 2009 Total Bytes Read: 46123985Total Bytes Written: 40864046
Number of Synch Get Buffer Requests: 0
Minimum Synch Get Buffer Size (bytes): 0
Maximum Synch Get Buffer Size (bytes): 0
Average Synch Get Buffer Size (bytes): 0
Minimum Read Stream Buffer Size (bytes): 0
Maximum Read Stream Buffer Size (bytes): 0
Average Read Stream Buffer Size (bytes): 0
Minimum Accumulated Read Ahead Data Size (bytes): 0
Maximum Accumulated Read Ahead Data Size (bytes): 0
Average Accumulated Read Ahead Data Size (bytes): 0
Local Response Count: 0 < -Average Local Response Time (usec): 0 < -Remote Response Count: 19 < -Average Remote Response Time (usec): 89005 < -. -. -.
Você pode permitir o debug logging para conexões MAPI e então indicar a extremidade do log de
erros debugar como segue:
. . . MAPI : 1830 Time Statistics were Last Reset/Cleared: Thu Jun 25 06:32:27 2009 Total Bytes Read: 46123985Total Bytes Written: 40864046
Number of Synch Get Buffer Requests: 0
Minimum Synch Get Buffer Size (bytes): 0
Maximum Synch Get Buffer Size (bytes): 0
Average Synch Get Buffer Size (bytes): 0
Number of Read Stream Requests: 0
Minimum Read Stream Buffer Size (bytes): 0
Maximum Read Stream Buffer Size (bytes): 0
Average Read Stream Buffer Size (bytes): 0
Minimum Accumulated Read Ahead Data Size (bytes): 0
Maximum Accumulated Read Ahead Data Size (bytes): 0
Average Accumulated Read Ahead Data Size (bytes): 0
Local Response Count: 0
<
-Average Local Response Time (usec): 0
<
-Remote Response Count: 19
<
-Average Remote Response Time (usec): 89005
<