Guia de Troubleshooting de Cisco WAAS para a liberação e mais atrasado

(1)

● ● ❍ ❍ ❍ ❍ ❍ ❍ ❍ ❍ ❍

Guia de Troubleshooting de Cisco WAAS para a

liberação 4.1.3 e mais atrasado

Capítulo: Pesquisando defeitos o MAPI AO

Este artigo descreve como pesquisar defeitos o MAPI AO.

Índice

1 acelerador MAPI

Aceleração cifrada 2 MAPI

Sumário do 2.1

2.2 Informação da característica

2.3 Metodologia de Troubleshooting

2.3.1 etapa 1 - Verifique a configuração da identidade do serviço de criptografia e o

sucesso chave da recuperação

2.3.2 etapa 2 - Em 5.0.3 um comando diagnostic novo foi introduzido verificar alguns

dos ajustes exigidos.

2.3.3 etapa 3 verifica manualmente os ajustes WAE que não são verificados pelo

comando diagnostic acima.

2.4 Análise de dados

2.5 Problemas comuns

2.5.1 Problema 1: A identidade do serviço de criptografia configurada no núcleo WAE

Índices do guia

Artigo principal

Compreendendo a arquitetura e o fluxo de tráfego

WAAS

Troubleshooting preliminar WAAS

Pesquisando defeitos a otimização

Pesquisando defeitos a aceleração do aplicativo

Pesquisando defeitos o CIFS AO

Pesquisando defeitos o HTTP AO

Pesquisando defeitos o EPM AO

Pesquisando defeitos o MAPI AO

Pesquisando defeitos o NFS AO

Pesquisando defeitos o SSL AO

Pesquisando defeitos o vídeo AO

Pesquisando defeitos o AO genérico

Pesquisando defeitos condições de sobrecarga

Pesquisando defeitos o WCCP

Pesquisando defeitos AppNav

Pesquisando defeitos o disco e os problemas de

hardware

Pesquisando defeitos conjuntos Inline de série

Pesquisando defeitos o vWAAS

Pesquisando defeitos WAAS expresso

Pesquisando defeitos a integração NAM

(2)

❍ ❍ ❍ ❍ ❍ ❍ ❍ ❍ ❍ ●

não tem as permissões correta no AD.

2.5.2 Definição 1: Consulte o manual de configuração e verifique-o que o objeto no

AD tem as permissões correta. “Replicating o diretório muda” e “Replicating o

diretório muda tudo” deve ambos ser ajustado para reservar.

2.5.3 Problema 2: Há um enviesamento do tempo entre o núcleo WAE e o KDC que

tenta recuperar a chave de

2.5.4 Definição 2: Use o ntpdate em todo o WAEs (especialmente o núcleo) à

sincronização o pulso de disparo com o KDC. Aponte então ao servidor de NTP da

empresa (prefereably o mesmo que o KDC).

2.5.5 Problema 3: O domínio que você definiu para seu serviço de criptografia não

combina o domínio seu server de câmbio está dentro.

2.5.6 Definição 3: Se seu núcleo WAE presta serviços de manutenção a exchanges

server múltiplo em domínios diferentes você deve configurar uma identidade do

serviço de criptografia para cada domínio que os serveres de câmbio residem dentro.

2.5.7 Problema 4: Se WANSecure falha suas conexões podem deixar cair ao TG

2.5.8 Definição 4: Remova o par que o CERT verifica a configuração de WAEs e

reinicie o serviço do encrytpion no núcleo WAE.

2.5.9 Problema 5: Se o NTLM é usado pelo cliente do Outlook a conexão estará

abaixada ao AO genérico.

2.5.10 Definição 5: O cliente deve permitir/exige a autenticação de Kerberos em seu

ambiente de intercâmbio. O NTLM não é apoiado (até à data de 5.1)

Registro de 3 MAPI AO

Acelerador MAPI

O acelerador MAPI aperfeiçoa o tráfego do email da troca do Microsoft outlook. A troca usa o

protocolo EMSMDB, que é mergulhado em MS-RPC, que usa por sua vez TCP ou HTTP

(unsupported) como o transporte de baixo nível.

O MAPI AO apoia o Microsoft outlook 2000 até 2007 clientes para o tráfego posto em esconderijo

e noncached do modo. As conexões seguras que usam a autenticação de mensagem

(assinatura) ou a criptografia não são aceleradas pelo MAPI AO. Tais conexões e as conexões de

uns clientes mais idosos são entregadas fora ao AO genérico para otimizações TFO.

Adicionalmente, as conexões do acesso à Web da probabilidade (OWA) e da Troca-troca não são

apoiadas.

Nota: O Microsoft outlook 2007 tem a criptografia permitida à revelia. Você deve desabilitar a

criptografia para tirar proveito do acelerador do aplicativo MAPI. Na probabilidade, escolha

ferramentas > contas de correio eletrónico, escolha a vista ou mude contas de correio eletrónico

existentes, e clique-as então em seguida. Escolha a conta de intercâmbio, e clique então a

mudança. Clique mais ajustes, e clique então a ABA de segurança. Uncheck os dados da

criptografia entre caixa de verificação da probabilidade e do Microsoft Exchange Server do

microsoft office, segundo as indicações de figura 1.

Alternativamente, você pode desabilitar a criptografia para todos os usuários de um server de

câmbio usando uma

política do grupo

.

(3)

● ● ●

●

Nos seguintes casos, o MAPI AO não segura uma conexão:

Conexão criptografada (entregue fora ao AO genérico)

Cliente Unsupported (entregue fora ao AO genérico)

Erro de análise gramatical Unrecoverable. Todas as conexões de TCP entre o serviço do

cliente e servidor são desligadas. Quando o cliente reconecta, todas as conexões estão

entregadas fora ao AO genérico.

O cliente tenta estabelecer um grupo novo da associação na conexão quando o WAE é

sobrecarregado.

O cliente estabelece uma conexão quando o WAE é sobrecarregado e recursos de conexão

reservados o MAPI não está disponível.

O cliente do Outlook e o server interativos em uma sessão sobre um grupo de conexões de TCP

chamaram um grupo da associação. Dentro de um grupo da associação, os acessos do objeto

podem medir através de toda a conexão e as conexões dinamicamente são criadas e liberadas

como necessárias. Um cliente pode ter mais de um grupo da associação aberto ao mesmo tempo

aos server diferentes ou ao mesmo server. (As pastas públicas são distribuídas em server

diferentes da loja do correio.)

Éessencial que todas as conexões MAPI dentro de um grupo da associação atravessam os

mesmos pares de WAEs no ramo e no centro de dados. Se algumas conexões dentro de um

grupo da associação não atravessam o MAPI AO nestes WAEs, o MAPI AO não veria que as

transações executadas naquelas conexões e nas conexões estão ditas “escapar” o grupo da

associação. Por este motivo, o MAPI AO não deve ser distribuído em WAEs inline em série

aglomerado que forma uma Alta disponibilidade do grupo.

Os sintomas das conexões MAPI que escapam seu grupo da associação WAE são sintomas de

erro da probabilidade tais como mensagens ou a probabilidade duplicada param de responder.

Durante uma condição de sobrecarga TFO, as novas conexões para um grupo existente da

associação seriam passadas completamente e para escapar o MAPI AO, assim que o MAPI AO

reserva um número de recursos de conexão adiantado para minimizar o impacto de uma

(4)

sobrecarga do dispositivo, veja a seção

“conexões reservadas acelerador do aplicativo MAPI

impactar na sobrecarga” no

artigo das condições de sobrecarga do Troubleshooting.

Verifique a configuração geral e o estado AO com o acelerador da mostra e mostre comandos

license, como descrito no artigo da

aceleração do aplicativo do Troubleshooting

. A licença da

empresa é exigida para a operação do acelerador MAPI e o acelerador do aplicativo EPM deve

ser permitido.

Em seguida, verifique o específico do estado ao MAPI AO usando o comando do mapi do

acelerador da mostra, segundo as indicações de figura 2. Você quer ver que o MAPI AO está

permitido, sendo executado, e registrado, e que o limite da conexão está indicado. Se o estado da

configuração é permitido mas o estado operacional é parada programada, indica um problema

licenciar.

Figura 2. que verifica o estado do acelerador MAPI

Use o comando do epm do acelerador das estatísticas da mostra verificar que o EPM AO é

funcional. Certifique-se das conexões seguradas totais, os pedidos do total analisados

gramaticalmente com sucesso, e as respostas totais analisem gramaticalmente com sucesso

contadores aumentem quando um cliente for começado.

Use o comando show running-config verificar que as políticas de tráfego MAPI e EPM estão

configuradas corretamente. Você quer ver que para acelerar o mapi para a ação e você do

aplicativo da Email-e-Mensagem queira ver o classificador e a política de tráfego da

Senhora-EndPortMapper definidos, como segue:

WAE674# sh run | include mapi map adaptor EPM mapi

name Email-and-Messaging All action optimize full accelerate mapi

WAE674# sh run | begin MS-EndPointMapper ...skipping

classifier MS-EndPointMapper match dst port eq 135

(5)

●

● ●

exit

WAE674# sh run | include MS-EndPointMapper classifier MS-EndPortMapper

name Other classifier MS-EndPortMapper action optimize DRE no compression none accelerate MS-port-mapper

Use o comando dynamic do aplicativo do política-motor da mostra verificar como segue que as

regras dinâmicas do fósforo existem:

Procure uma regra com usuário - identificação: EPM e nome de mapa:

uuida4f1db00-ca47-1067-b31f-00dd010662da.

O campo de fluxos indica o número total de conexões ativa ao serviço de intercâmbio.

Para cada cliente MAPI você deve ver uma entrada separada com o usuário - identificação:

MAPI.

Use o comando aperfeiçoado conexão do mapi das estatísticas da mostra certificar-se do

dispositivo WAAS esteja estabelecendo conexões aperfeiçoadas MAPI. Verifique que “M” aparece

na coluna de Accel para conexões MAPI, que indica que o MAPI AO esteve usado, como segue:

WAE674# show stat conn opt mapi

Current Active Optimized Flows: 2 Current Active Optimized TCP Plus Flows: 1 Current Active Optimized TCP Only Flows: 1 Current Active Optimized TCP Preposition Flows: 0 Current Active Auto-Discovery Flows: 0

Current Reserved Flows: 12 <--- Added in 4.1.5 Current Active Pass-Through Flows: 0

Historical Flows: 161

D:DRE,L:LZ,T:TCP Optimization RR:Total Reduction Ratio

A:AOIM,C:CIFS,E:EPM,G:GENERIC,H:HTTP,M:MAPI,N:NFS,S:SSL,V:VIDEO

ConnID Source IP:Port Dest IP:Port PeerID Accel RR

342 10.56.94.101:4506 10.10.100.100:1456 0:1a:64:d3:2f:b8 TMDL 61.0% <---Look for

"M"

Nota: Na versão 4.1.5, os fluxos reservados atuais contrários foram adicionados na saída. Este

contador refere o número de recursos de conexão reservados MAPI nos WAE que são Currently

Unused mas reserva para as conexões futuras MAPI. Para mais detalhes sobre conexões

reservados MAPI e seu impacto na sobrecarga do dispositivo, veja a seção

“conexões reservadas

acelerador do aplicativo MAPI impactar na sobrecarga” no

artigo das condições de sobrecarga do

Troubleshooting.

Se você observa conexões com o “TGDL” na coluna de Accel, estas conexões estiveram

abaixadas ao AO genérico e aperfeiçoadas com as otimizações do transporte somente. Se estas

são as conexões que você esperou ser segurado pelo MAPI AO, pode ser porque são conexões

cifradas MAPI. Para verificar no número de conexões cifradas MAPI que foram pedidas, use o

comando do mapi do acelerador das estatísticas da mostra como segue:

wae# sh stat accel mapi

(6)

Global Statistics

---Time Accelerator was started: Thu Nov 5 19:45:19 2009 Time Statistics were Last Reset/Cleared: Thu Nov 5 19:45:19 2009

Total Handled Connections: 8615

Total Optimized Connections: 8614

Total Connections Handed-off with Compression Policies Unchanged: 0 Total Dropped Connections: 1

Current Active Connections: 20

Current Pending Connections: 0

Maximum Active Connections: 512

Number of Synch Get Buffer Requests: 1052

Minimum Synch Get Buffer Size (bytes): 31680

Maximum Synch Get Buffer Size (bytes): 31680

Average Synch Get Buffer Size (bytes): 31680

Number of Read Stream Requests: 3844

Minimum Read Stream Buffer Size (bytes): 19

Maximum Read Stream Buffer Size (bytes): 31744

Average Read Stream Buffer Size (bytes): 14556

Minimum Accumulated Read Ahead Data Size (bytes): 0

Maximum Accumulated Read Ahead Data Size (bytes): 1172480

Average Accumulated Read Ahead Data Size (bytes): 594385

Local Response Count: 20827

Average Local Response Time (usec): 250895

Remote Response Count: 70486

Average Remote Response Time (usec): 277036

Current 2000 Accelerated Sessions: 0

Secured Connections: 1 <---Encrypted connections Lower than 2000 Sessions: 0

Higher than 2007 Sessions: 0

Você pode encontrar os IP address dos clientes que pedem conexões cifradas MAPI no Syslog

procurando por mensagens como o seguinte:

wae# sh stat accel mapi MAPI: Global Statistics ---Time Accelerator was started: Thu Nov 5 19:45:19 2009 Time Statistics were Last Reset/Cleared: Thu Nov 5 19:45:19 2009 Total Handled Connections: 8615

Total Optimized Connections: 8614

Total Connections Handed-off with Compression Policies Unchanged: 0 Total Dropped Connections: 1

Current Active Connections: 20

Current Pending Connections: 0

Maximum Active Connections: 512

(7)

Local Response Count: 20827

Average Local Response Time (usec): 250895

Remote Response Count: 70486

Average Remote Response Time (usec): 277036

Secured Connections: 1 <---Encrypted connections Lower than 2000 Sessions: 0

Higher than 2007 Sessions: 0

Você pode ver a estatística de conexão MAPI usando o comando detail aperfeiçoado conexão do

mapi das estatísticas da mostra como segue:

WAE674# show stat conn opt mapi detail Connection Id: 1830

Peer Id: 00:14:5e:84:24:5f Connection Type: EXTERNAL CLIENT Start Time: Thu Jun 25 06:32:27 2009 Source IP Address: 10.10.10.10 Source Port Number: 3774

Destination IP Address: 10.10.100.101 Destination Port Number: 1146 Application Name: Email-and-Messaging <---Should see Email-and-Messaging Classifier Name: **Map Default** Map Name: uuida4f1db00-ca47-1067-b31f-00dd010662da <---Should see this UUID Directed Mode: FALSE Preposition Flow: FALSE Policy Details: Configured: TCP_OPTIMIZE + DRE + LZ Derived: TCP_OPTIMIZE + DRE + LZ Peer: TCP_OPTIMIZE + DRE + LZ Negotiated: TCP_OPTIMIZE + DRE + LZ Applied: TCP_OPTIMIZE + DRE + LZ Accelerator Details: Configured: MAPI <---Should see MAPI configured Derived: MAPI Applied: MAPI <---Should see MAPI applied Hist: None Original Optimized Bytes Read: 4612 1973 Bytes Written: 4086 2096 . . .

A resposta local e remota conta e o tempo médio de resposta é mostrado nesta saída:

. . . MAPI : 1830

Time Statistics were Last Reset/Cleared: Thu Jun 25 06:32:27 2009

(8)

Total Bytes Read: 46123985

Total Bytes Written: 40864046

Local Response Count: 0

<

-Average Local Response Time (usec): 0

<

-Remote Response Count: 19

<

-Average Remote Response Time (usec): 89005

<

-. -. -.

Aceleração cifrada MAPI

Resumo

Até à data de WAAS 5.0.1 o acelerador MAPI pode agora acelerar o tráfego cifrado MAPI. Esta

característica será permitida à revelia na liberação 5.0.3. Contudo, em ordem acelere com

sucesso o tráfego cifrado MAPI lá são número de exigências no WAAS e no ambiente de

Microsoft AD. Este guia ajudá-lo-á a verificar e pesquisar defeitos a funcionalidade do eMAPI.

Informação da característica

o eMAPI será permitido à revelia em 5.0.3 e exigirá o seguinte acelerar com sucesso o tráfego

criptografado.

1) A loja segura CMS deve ser inicializada e aberto em todo o núcleo WAEs

2) O WAEs deve poder resolver o FQDN dos server da troca e do Kerberos KDC (o controlador

do diretório ativo)

3) Os pulsos de disparo Do WAE devem ser em sincronia com o KDC

4) O acclerator SSL, MACILENTO fixa-se, e o eMAPI deve ser permitido em todo o WAEs no

trajeto da probabilidade de trocar

5) O WAEs no trajeto deve ter a configuração de mapa de política correta

6) O núcleo WAE deve ter uns ou vários domínio cifrado Identies dos serviços configurado (a

conta do usuário ou de máquina)

7) Se uma conta de máquina é usada este WAE deve ser juntado ao domínio AD.

(9)

precisa de ser dado permissões específicas. “Replicating o diretório muda” e “Replicating o

diretório muda tudo” deve ambos ser ajustado para reservar.

A maneira recomendada de fazer isto é através de um grupo de segurança universal (por

exemplo atribua as permissões ao grupo e adicionar então os dispositivos e/ou os nomes de

usuário WAAS especificados no serviço de criptografia a este grupo). Veja o guia anexado para

screenshots da configuração AD e do WAAS CM GUI.

Metodologia de Troubleshooting

Etapa 1 - Verifique a configuração da identidade do serviço de criptografia e o sucesso chave da

recuperação

Quando o comando de diagnósticos (etapa 2 abaixo) verificar a existência de um serviço de

criptografia não verifica se a recuperação da chave será bem sucedida. Daqui nós não sabemos

apenas executando esse comando diagnostic se as permissões apropriadas foram dadas ao

objeto no diretório ativo (máquina ou conta de usuário).

Sumário de que necessidades de ser feito para configurar e verificar o serviço de criptografia

sucederão a recuperação chave

Conta de usuário:

1. crie o usuário AD

2. crie o grupo AD e o grupo “que Replicating o diretório muda” e “Replicating o diretório muda

tudo” PARA RESERVAR

3. adicionar o usuário ao grupo criado

4. defina a identidade do domínio da conta de usuário nos serviços de criptografia

5. seja executado obtêm o diagnóstico chave CLI

server FQDN> < Domain Name > do <exchange da GET-chave do serviço de criptografia dos

diagnósticos do indicador-domínio

Note que você deve usar nome do servidor de intercâmbio real/real configurado no server e não

em um tipo FQDN NLB/VIP que possa resoluções às exchanges server múltiplo.

6. se chave a recuperação trabalhou - feito

Exemplo do sucesso:

GET-chave pdidc-exchange1.pdidc.cisco.com pdidc.cisco.com do serviço de criptografia dos

diagnósticos pdi-7541-dc#windows-domain

SPN pdidc-exchange1.pdidc.cisco.com, Domain Name: pdidc.cisco.com

A recuperação chave é em andamento.

GET-chave pdidc-exchange1.pdidc.cisco.com pdidc.cisco.com do serviço de criptografia dos

diagnósticos pdi-7541-dc#windows-domain

(10)

A chave para pdidc-exchange1.pdidc.cisco.com reside no esconderijo da chave da memória

Conta de máquina

1. junte-se a dispositivos do núcleo WAE ao domínio AD

o grupo e o grupo 2.create AD “que Replicating o diretório mudam” e “Replicating o diretório muda

tudo” PARA RESERVAR

3. adicionar contas de máquina para agrupar criado

4. configurar serviços de criptografia para usar a conta de máquina

5. Dê algum dia para conseguir a política do grupo ser aplicado à máquina juntada ou para forçar

o aplicativo da política do grupo do AD. gpupdate /force.

6. seja executado obtêm o diagnóstico chave CLI

server FQDN> < Domain Name > do <exchange da GET-chave do serviço de criptografia dos

diagnósticos do indicador-domínio

Note que você deve usar nome do servidor de intercâmbio real/real configurado no server e não

em um tipo FQDN NLB/VIP que possa resoluções às exchanges server múltiplo.

7. se chave a recuperação trabalhou - feito

Para mais detalhes e screen shots no serviço de Encrytpion e na configuração AD veja o guia

anexado.

Etapa 2 - Em 5.0.3 um comando diagnostic novo foi introduzido verificar alguns dos ajustes

exigidos.

o mapi do ̶accelerator verifica configurações de criptografia

1.CLI faz várias verificações de validade. Output é sumário da capacidade para acelerar o tráfego

cifrado MAPI como a borda ou o núcleo.

2.Checks o estado/configuração dos vários componentes atribui para que o serviço de criptografia

trabalhe corretamente.

3.When um problema de configuração é encontrado que output o que falta e o CLI ou as ações

para o fixar.

4.It dão o sumário para fora como o dispositivo de ponta e o dispositivo central. O dispositivo que

pode ser borda e núcleo deve ter EMAPI operacional para a borda e o núcleo.

Está abaixo uma saída de amostra de um WAE incorretamente configurado:

. . . MAPI : 1830

(11)

06:32:27 2009

Local Response Count: 0 < -Average Local Response Time (usec): 0 < -Remote Response Count: 19 < -Average Remote Response Time (usec): 89005 < -. -. -.

Está abaixo a saída de um núcleo WAE que seja configurado corretamente:

. . . MAPI : 1830 Time Statistics were Last Reset/Cleared: Thu Jun 25 06:32:27 2009 Total Bytes Read: 46123985

<

-. -. -.

(12)

Etapa 3 - Verifique manualmente os ajustes WAE que não são verificados pelo comando

diagnostic acima.

1) O comando acima quando chekcs para a existência do NTP configurada, ele não verificar

realmente os tempos está na sincronização entre o WAE e o KDC. É muito importante os tempos

está na sincronização entre o núcleo e o KDC para que a recuperação chave seja bem sucedido.

Se a verificação manual revela são fora da sincronização uma maneira simples forçar o pulso de

disparo do WAE para estar na sincronização seriam o comando do ntpdate (ip> do ntpdate <KDC

). Aponte então o WAEs ao servidor de NTP da empresa.

2) Verifique que o dnslookup sucede em todo o WAEs para o FQDN dos serveres de câmbio e o

FQDN dos KDC

3) Verifique que o mapa de classe e o mapa de política estão configurados corretamente em todo

o WAEs no trajeto.

tipo waas MAPI do mapa de classe pdi-7541-dc#sh

Tipo waas MAPI compatível com qualquer do mapa de classe

Mapi do epm do destino tcp do fósforo (fluxo-fósforos 0)

tipo tipo waas do mapa de política pdi-7541-dc#show do mapa de política dos waas

WAAS-GLOBAL (6084690 totais)

Classe MAPI (fluxo-fósforos 0)

aperfeiçoe aceleram completamente a Email-e-Mensagem do aplicativo do mapi

4) Verifique que a loja segura CMS é aberta e inicializada em todo o WAEs da “loja segura cms

mostra”

Análise de dados

Além de analisar a saída do comando diagnostic e dos comandos show manuais você pode

precisar de rever o sysreport.

Especificamente você quererá rever o mapiao-errorlog, Sênior-errorlog (núcleo WAE somente), e

o wsao-errorlog arquiva.

Haverá umas sugestões em cada log segundo a encenação que o conduzirá à gota das conexões

da razão ao AO genérico.

(13)

Esta saída é do Sênior-errorlog e mostra a validação da identidade do serviço de criptografia da

conta de máquina

Nota: Isto confirma somente o núcleo WAE juntou-se ao domínio e a conta de máquina existe.

. . . MAPI : 1830

Esta saída é do Sênior-errorlog do núcleo outra vez e mostra a recuperação chave bem sucedida

do KDC.

. . . MAPI : 1830 Time Statistics were Last Reset/Cleared: Thu Jun 25 06:32:27 2009 Total Bytes Read: 46123985

Total Bytes Written: 40864046

Number of Synch Get Buffer Requests: 0

Minimum Synch Get Buffer Size (bytes): 0

Maximum Synch Get Buffer Size (bytes): 0

Average Synch Get Buffer Size (bytes): 0

Number of Read Stream Requests: 0

Minimum Read Stream Buffer Size (bytes): 0

Maximum Read Stream Buffer Size (bytes): 0

Average Read Stream Buffer Size (bytes): 0

(14)

Maximum Accumulated Read Ahead Data Size (bytes): 0

Average Accumulated Read Ahead Data Size (bytes): 0

Local Response Count: 0 <--- Average Local Response Time (usec): 0 <--- Remote Response Count: 19 <--- Average Remote Response Time (usec): 89005 <--- . . .

Esta saída é do arquivo do mapiao-errorlog na borda WAE para uma conexão bem sucedida do

eMAPI

<

-. -. -.

É aqui o núcleo corresponder WAE output do mapiao-errorlog para o mesmo conneciton TCP

(15)

MAPI : 1830

Problemas comuns

Estão abaixo alguns motivos comuns que conduz à mão-fora da conexão do eMAPI a AO

genérico (TG).

Problema 1: A identidade do serviço de criptografia configurada no núcleo WAE não tem as

permissões correta no AD.

Saída do Sênior-errolog no núcleo WAE

(16)

Definição 1: Consulte o manual de configuração e verifique-o que o objeto no AD tem as

permissões correta. “Replicating o diretório muda” e “Replicating o diretório muda tudo” deve

ambos ser ajustado para reservar.

http://www.cisco.com/en/US/docs/app_ntwk_services/waas/waas/v511/configuration/guide/policy.h

tml#wp1256547

Problema 2: Há um enviesamento do tempo entre o núcleo WAE e o KDC que tenta recuperar a

chave de

Saída do Sênior-errolog no núcleo WAE

(17)

<

-. -. -.

Definição 2: Use o ntpdate em todo o WAEs (especialmente o núcleo) à sincronização o pulso de

disparo com o KDC. Aponte então ao servidor de NTP da empresa (prefereably o mesmo que o

KDC).

Problema 3: O domínio que você definiu para seu serviço de criptografia não combina o domínio

seu server de câmbio está dentro.

Saída do Sênior-errolog no núcleo WAE

. . . MAPI : 1830

<

-. -. -.

Definição 3: Se seu núcleo WAE presta serviços de manutenção a exchanges server múltiplo em

domínios diferentes você deve configurar uma identidade do serviço de criptografia para cada

domínio que os serveres de câmbio residem dentro.

Não note, lá seja NENHUM apoio para o secundário-domínio incluem neste tempo. Assim se você

tem myexchange.sub-domain.domain.com, a identidade do serviço de criptografia deve estar em

sub-domain.domain.com; NÃO PODE estar no domínio do pai.

(18)

Problema 4: Se WANSecure falha suas conexões podem deixar cair ao TG

as conexões do eMAPI podem ser cedidas ao AO genérico porque o prumo seguro MACILENTO

falhou. O prumo seguro MACILENTO falhou porque o CERT verifica falhado. O CERT do par

verifica falhado porque o CERT auto-assinado padrão do par está sendo usado ou o CERT falhou

legitimamente a verificação OCSP.

Ajustes do núcleo WAE

. . . MAPI : 1830

<

-. -. -.

Isto conduzirá às seguintes entradas do mapiao-errorlog e do wsao-errorlog:

A sugestão aqui é a primeira linha destacada “desligou mais de quatro vezes consecutivas”

Mapiao-errorlog no lado WAE do cliente:

. . . MAPI : 1830

(19)

06:32:27 2009

Wsao-errorlog no lado WAE do cliente:

<

-. -. -.

(20)

encrytpion no núcleo WAE.

. . . MAPI : 1830

Problema 5: Se o NTLM é usado pelo cliente do Outlook a conexão estará abaixada ao AO

genérico.

Você verá o seguinte no mapiao-errorlog no lado WAE do cliente:

(21)

●

<

-. -. -.

Definição 5: O cliente deve permitir/exige a autenticação de Kerberos em seu ambiente de

intercâmbio. O NTLM não é apoiado (até à data de 5.1)

Esteja ciente que há um resumo da tecnologia de Microsoft que chame uma queda de volta ao

NTLM quando CAS é usado.

A encenação onde o Kerberos não funciona é específica trocar 2010, e está na seguinte

encenação:

Server múltiplos do acesso do cliente da troca (CAS) em uma organização/domínio.

Estes server de CAS são aglomerados junto usando todo o método - usar a função incorporado

da Cliente-disposição de Microsoft, ou um equilibrador da carga da 3ª parte.

Na encenação acima, o Kerberos não trabalha - e os clientes querem a reserva ao NTLM pelo

defult. Eu acredito que este é devido ao fato que os clientes têm que AUTH ao server de CAS

contra o server da caixa postal, como fizeram em liberações precedentes da troca.

Na troca 2010 RTM, não há nenhum reparo para este! O Kerberos na encenação acima nunca

funcionará a PRE-troca 2010-SP1.

No SP1, o Kerberos pode ser permitido nestes ambientes, mas é um processo manual. Veja o

artigo aqui:

http://technet.microsoft.com/en-us/library/ff808313.aspx

Registro MAPI AO

Os seguintes arquivos de registro estão disponíveis para pesquisar defeitos edições MAPI

AO:

Arquivos de Log de transação: /local1/logs/tfo/working.log (e /local1/logs/tfo/tfo_log_*.txt)

Debugar arquivos de registro: /local1/errorlog/mapiao-errorlog.current (e mapiao-errorlog.*)

Para uma eliminação de erros mais fácil, você deve primeiramente estabelecer um ACL para

restringir pacotes a um host.

. . . MAPI : 1830

(22)

Para permitir o log de transação, use o comando configuration do log de transações como segue:

<

-. -. -.

(23)

como segue:

. . . MAPI : 1830

Para estabelecer e permitir o debug logging do MAPI AO, use os comandos seguintes.

NOTA: O debug logging é utilização de CPU e pode gerar uma grande quantidade de saída.

Use-o judiciUse-osamente e frugalmente em um ambiente de prUse-oduçãUse-o.

Você pode permitir registro detalhado ao disco como segue:

(24)

<

-. -. -.

Você pode permitir o debug logging para conexões no ACL como segue:

. . . MAPI : 1830

As opções para a eliminação de erros MAPI AO são como segue:

(25)

Você pode permitir o debug logging para conexões MAPI e então indicar a extremidade do log de

erros debugar como segue:

<