WAAS - أستكشاف أخطاء MAPI AO وإصلاحها

الفصل: أستكشاف أخطاء MAPI AO وإصلاحها

يوضح هذا المقال كيفية أستكشاف أخطاء MAPI AO وإصلاحها.

المحتويات

• 1 مسرع MAPI
• 2 تسريع MAPI المشفر
  • 2.1 ملخص
  • 2.2 معلومات الميزة
  • 2.3 منهجية أستكشاف الأخطاء وإصلاحها
    • 2.3.1 الخطوة 1 - التحقق من تكوين معرف خدمة التشفير ونجاح إسترداد المفتاح
    • 2.3.2 الخطوة 2 - في 5.0.3 تم إدخال أمر تشخيص جديد للتحقق من بعض الإعدادات المطلوبة.
    • 2.3.3 الخطوة 3- تحقق يدويا من إعدادات WAE التي لم يتم فحصها بواسطة الأمر التشخيصي أعلاه.
  • 2.4 تحليل البيانات
  • 2.5 مشاكل مشتركة
    • 2.5.1 المشكلة 1: لا تحتوي هوية خدمة التشفير التي تم تكوينها على WAE الأساسي على الأذونات الصحيحة في AD.
    • 2.5.2 القرار 1: راجع دليل التكوين وتحقق من أن الكائن في AD لديه الأذونات الصحيحة. يجب تعيين كل من "تكرار تغييرات الدليل" و"نسخ تغييرات الدليل الكل" للسماح.
    • 2.5.3 المشكلة 2: هناك انحراف زمني بين Core WAE و KDC الذي يحاول إسترداد المفتاح منه
    • 2.5.4 القرار 2: أستخدم Ntpdate في جميع WAE (خاصة Core) لمزامنة الساعة مع KDC. ثم أشر إلى خادم NTP الخاص بالمؤسسة (الذي هو نفسه مسبقا KDC).
    • 2.5.5 المشكلة 3: المجال الذي قمت بتعريفه لخدمة التشفير لا يتطابق مع المجال الموجود فيه خادم Exchange.
    • 2.5.6 القرار 3: إذا كان Core WAE الخاص بك يقدم خدمات متعددة ل Exchange خوادم في مجالات مختلفة، يجب تكوين معرف خدمة تشفير لكل مجال توجد فيه خوادم Exchange.
    • 2.5.7 المشكلة 4: إذا فشل WANSecure، يمكن خفض إتصالاتك إلى TG 
    • 2.5.8 القرار 4: قم بإزالة شهادة النظير للتحقق من التكوين من كل من WAE وأعد تشغيل خدمة التشفير على WAE (أرقام) الأساسية.
    • 2.5.9 المشكلة 5: إذا تم إستخدام NTLM من قبل عميل Outlook، سيتم دفع الاتصال إلى AO العام.
    • 2.5.10 القرار 5: يجب على العميل تمكين / طلب مصادقة Kerberos في بيئة Exchange الخاصة به. NTLM غير مدعوم (اعتبارا من 5.1)
• 3 تسجيل دخول MAPI AO

مسرع MAPI

يقوم مسرع MAPI بتحسين حركة مرور البريد الإلكتروني ل Microsoft Outlook Exchange. يستخدم Exchange بروتوكول EMSMDB، الذي تم تجميعه على MS-RPC، والذي يستخدم بدوره إما TCP أو HTTP (غير مدعوم) كنقل منخفض المستوى.

يدعم MAPI AO عملاء Microsoft Outlook 2000 حتى 2007 لكل من حركة مرور الوضع المخزنة مؤقتا وغير المخزن مؤقتا. لا يتم تسريع الاتصالات الآمنة التي تستخدم مصادقة الرسائل (التوقيع) أو التشفير بواسطة MAPI AO. يتم تسليم هذه الاتصالات والاتصالات من العملاء الأقدم إلى AO العام لتحسين TFO. بالإضافة إلى ذلك، لا يتم دعم إتصالات Outlook Web Access (OWA) و Exchange.

ملاحظة: تم تمكين التشفير في Microsoft Outlook 2007 بشكل افتراضي. يجب تعطيل التشفير للاستفادة من مسرع تطبيق MAPI. في Outlook، أختر أدوات > حسابات البريد الإلكتروني، واختر عرض حسابات البريد الإلكتروني الموجودة أو تغييرها، ثم انقر فوق التالي. أختر حساب Exchange، ثم انقر فوق تغيير. انقر المزيد من الإعدادات، ثم انقر على علامة التبويب تأمين. قم بإلغاء تحديد خانة الاختيار تشفير البيانات بين Microsoft Office Outlook و Microsoft Exchange Server، كما هو موضح في الشكل 1.

بدلا من ذلك، يمكنك تعطيل التشفير لكافة مستخدمي Exchange Server باستخدام نهج المجموعة.

شكل 1. تعطيل التشفير في Outlook 2007

في الحالات التالية، لا يقوم MAPI AO بمعالجة اتصال:

• الاتصال المشفر (يتم تسليمه إلى وحدة التحكم في الوصول (AO) العامة)
• عميل غير معتمد (تم تسليمه إلى AO العام)
• خطأ تحليل لا يمكن إصلاحه. تم قطع اتصال كافة إتصالات TCP بين العميل وخدمة الخادم. عند إعادة اتصال العميل، يتم تسليم جميع الاتصالات إلى وحدة التحكم في الوصول (AO) العامة.
• يحاول العميل إنشاء مجموعة اقتران جديدة على الاتصال عند تحميل WAE بشكل زائد.
• يقوم العميل بإنشاء اتصال عندما يتم تحميل WAE بشكل زائد ولا تتوفر موارد اتصال MAPI المحجوزة.

يتفاعل عميل Outlook والخادم في جلسة عمل عبر مجموعة إتصالات TCP تسمى مجموعة اقتران. ضمن مجموعة اقتران، يمكن أن تمتد عمليات الوصول إلى الكائن عبر أي اتصال ويتم إنشاء الاتصالات بشكل ديناميكي وإطلاقها حسب الحاجة. يمكن أن يكون لدى العميل أكثر من مجموعة اقتران واحدة مفتوحة في نفس الوقت للخوادم المختلفة أو نفس الخادم. (يتم نشر المجلدات العامة على خوادم مختلفة من مخزن البريد.)

من الضروري أن تمر جميع إتصالات MAPI داخل مجموعة اقتران بنفس زوج WAE في الفرع ومركز البيانات. إذا لم تمر بعض الاتصالات ضمن مجموعة الاقتران عبر MAPI AO على WAEs هذه، فلن ترى MAPI AO المعاملات التي تم إجراؤها على هذه الاتصالات، وقيل إن الاتصالات "تهرب" من مجموعة الاقتران. ولهذا السبب، يجب عدم نشر MAPI AO في WAE المضمنة التي تم تجميعها بشكل تسلسلي والتي تشكل مجموعة توفر عالية.

أعراض إتصالات MAPI التي تفلت من مجموعة اقتران WAE الخاصة بها هي أعراض خطأ Outlook مثل الرسائل المكررة أو توقف Outlook عن الاستجابة.

أثناء حالة الحمل الزائد لقاعدة بيانات المحول (TFO)، سيتم تمرير إتصالات جديدة لمجموعة اقتران موجودة وتهرب من MAPI AO، وبالتالي يحتفظ MAPI AO بعدد من موارد الاتصال مسبقا لتقليل تأثير حالة الحمل الزائد. لمزيد من التفاصيل حول إتصالات MAPI المحجوزة وتأثيرها على التحميل الزائد للجهاز، راجع قسم "مسرع تطبيق MAPI يحجز الاتصالات تأثير على التحميل الزائد" في مقالة شروط التحميل الزائد لاستكشاف الأخطاء وإصلاحها.

تحقق من تكوين وحدة التحكم في الوصول (AO) العام وحالتها باستخدام أوامر show accelerator وshow license، كما هو موضح في المقال أستكشاف أخطاء التطبيقات وإصلاحها وتسريع التطبيقات. ترخيص المؤسسة مطلوب لتشغيل مسرع MAPI ويجب تمكين مسرع تطبيق EPM.

بعد ذلك، تحقق من الحالة الخاصة ب MAPI AO باستخدام الأمر show accelerator mapi، كما هو موضح في الشكل 2. تريد أن ترى تمكين MAPI AO وتشغيله وتسجيله، وعرض حد الاتصال. إذا تم تمكين حالة التكوين ولكن تم إيقاف تشغيل حالة التشغيل، فإنها تشير إلى مشكلة في الترخيص.

شكل 2. التحقق من حالة مسرع MAPI

أستخدم الأمر show statistics accelerator EPM للتحقق من أن EPM AO يعمل. تحقق من أن إجمالي الاتصالات التي تمت معالجتها وإجمالي الطلبات التي تم تحليلها بنجاح وإجمالي الاستجابات التي تم تحليلها بنجاح تزيد عند بدء تشغيل عميل.

أستخدم الأمر show running-config للتحقق من تكوين سياسات حركة مرور MAPI و EPM بشكل صحيح. تريد أن ترى تسريع MAPI لإجراء تطبيق البريد الإلكتروني والمراسلة وتريد أن ترى مصنف MS-EndPortMapper ونهج حركة مرور البيانات المعرفة، كما يلي:

WAE674# sh run | include mapi
map adaptor EPM mapi
 name Email-and-Messaging All action optimize full accelerate mapi

WAE674# sh run | begin MS-EndPointMapper
...skipping
classifier MS-EndPointMapper
  match dst port eq 135
exit

WAE674# sh run | include MS-EndPointMapper
  classifier MS-EndPortMapper
    name Other classifier MS-EndPortMapper action optimize DRE no compression none accelerate MS-port-mapper

أستخدم الأمر show policy-engine application dynamic للتحقق من وجود قواعد التطابق الديناميكي، كما يلي:

• ابحث عن قاعدة بمعرف المستخدم: EPM واسم الخريطة: uuida4f1db00-ca47-1067-b31f-00dd010662da.
• يشير الحقل "التدفقات" إلى إجمالي عدد الاتصالات النشطة بخدمة Exchange.
• لكل عميل MAPI يجب أن ترى إدخالا منفصلا بمعرف المستخدم: MAPI.

أستخدم الأمر show statistics connection optimized mapi للتحقق من أن جهاز WAAS يقوم بإنشاء إتصالات MAPI المحسنة. تحقق من ظهور "M" في عمود Acel لاتصالات MAPI، والذي يشير إلى إستخدام MAPI AO، كما يلي:

WAE674# show stat conn opt mapi

Current Active Optimized Flows:                      2
 Current Active Optimized TCP Plus Flows:          1
 Current Active Optimized TCP Only Flows:          1
 Current Active Optimized TCP Preposition Flows:   0
Current Active Auto-Discovery Flows:                 0
Current Reserved Flows:                              12               <---------- Added in 4.1.5
Current Active Pass-Through Flows:                   0
Historical Flows:                                    161


D:DRE,L:LZ,T:TCP Optimization RR:Total Reduction Ratio
A:AOIM,C:CIFS,E:EPM,G:GENERIC,H:HTTP,M:MAPI,N:NFS,S:SSL,V:VIDEO

ConnID  Source IP:Port         Dest IP:Port        PeerID           Accel RR
342     10.56.94.101:4506    10.10.100.100:1456  0:1a:64:d3:2f:b8   TMDL  61.0%   <-----Look for "M"

ملاحظة: في الإصدار 4.1.5، تمت إضافة عداد التدفقات المحجوزة الحالي في الإخراج. يشير هذا العداد إلى عدد موارد اتصال MAPI المحجوزة على WAE غير المستخدمة حاليا ولكن تم تعيينها لاتصالات MAPI المستقبلية. لمزيد من التفاصيل حول إتصالات MAPI المحجوزة وتأثيرها على التحميل الزائد للجهاز، راجع قسم "مسرع تطبيق MAPI يحجز الاتصالات تأثير على التحميل الزائد" في مقالة شروط التحميل الزائد لاستكشاف الأخطاء وإصلاحها.

إذا لاحظت الاتصالات مع "TGDL" في عمود Acel، فقد تم دفع هذه الاتصالات لأسفل إلى AO العام وتحسينها باستخدام تحسينات النقل فقط. إذا كانت هذه هي الاتصالات التي كنت تتوقع أن تتم معالجتها بواسطة MAPI AO، فقد يكون ذلك لأنها إتصالات MAPI مشفرة. للتحقق من عدد إتصالات MAPI المشفرة التي تم طلبها، أستخدم الأمر show statistics accelerator mapi كما يلي:

wae# sh stat accel mapi

MAPI:
Global Statistics
-----------------
Time Accelerator was started:                                      Thu Nov  5 19:45:19 2009
Time Statistics were Last Reset/Cleared:                           Thu Nov  5 19:45:19 2009
Total Handled Connections:                                         8615     
Total Optimized Connections:                                       8614     
Total Connections Handed-off with Compression Policies Unchanged:  0        
Total Dropped Connections:                                         1        
Current Active Connections:                                        20       
Current Pending Connections:                                       0        
Maximum Active Connections:                                        512      
Number of Synch Get Buffer Requests:                               1052     
Minimum Synch Get Buffer Size (bytes):                             31680    
Maximum Synch Get Buffer Size (bytes):                             31680    
Average Synch Get Buffer Size (bytes):                             31680    
Number of Read Stream Requests:                                    3844     
Minimum Read Stream Buffer Size (bytes):                           19       
Maximum Read Stream Buffer Size (bytes):                           31744    
Average Read Stream Buffer Size (bytes):                           14556    
Minimum Accumulated Read Ahead Data Size (bytes):                  0        
Maximum Accumulated Read Ahead Data Size (bytes):                  1172480  
Average Accumulated Read Ahead Data Size (bytes):                  594385   
Local Response Count:                                              20827    
Average Local Response Time (usec):                                250895   
Remote Response Count:                                             70486    
Average Remote Response Time (usec):                               277036     
Current 2000 Accelerated Sessions:                                 0        
Current 2003 Accelerated Sessions:                                 1        
Current 2007 Accelerated Sessions:                                 0        
Secured Connections:                                               1               <-----Encrypted connections        
Lower than 2000 Sessions:                                          0        
Higher than 2007 Sessions:                                         0        

يمكنك العثور على عناوين IP للعملاء الذين يطلبون إتصالات MAPI المشفرة في syslog بالبحث عن رسائل مثل:

2009 Jan 5 13:11:54 WAE512 mapi_ao: %WAAS-MAPIAO-3-132104: (929480) Encrypted connection. Client ip: 10.36.14.82

يمكنك عرض إحصائيات اتصال MAPI باستخدام الأمر show statistics connection optimized mapi detail كما يلي:

WAE674# show stat conn opt mapi detail
Connection Id:            1830
 Peer Id:                  00:14:5e:84:24:5f
 Connection Type:          EXTERNAL CLIENT
 Start Time:               Thu Jun 25 06:32:27 2009
 Source IP Address:        10.10.10.10
 Source Port Number:       3774
 Destination IP Address:   10.10.100.101
 Destination Port Number:  1146
 Application Name:         Email-and-Messaging                            <-----Should see Email-and-Messaging
 Classifier Name:          **Map Default**
 Map Name:                 uuida4f1db00-ca47-1067-b31f-00dd010662da       <-----Should see this UUID
 Directed Mode:            FALSE
 Preposition Flow:         FALSE
 Policy Details:
        Configured:        TCP_OPTIMIZE + DRE + LZ
           Derived:        TCP_OPTIMIZE + DRE + LZ
              Peer:        TCP_OPTIMIZE + DRE + LZ
        Negotiated:        TCP_OPTIMIZE + DRE + LZ
           Applied:        TCP_OPTIMIZE + DRE + LZ
 Accelerator Details:
             Configured:   MAPI                                           <-----Should see MAPI configured
                Derived:   MAPI 
                Applied:   MAPI                                           <-----Should see MAPI applied
                   Hist:   None
                                             Original            Optimized
                                 -------------------- --------------------
 Bytes Read:                                     4612                 1973
 Bytes Written:                                  4086                 2096
. . .

يتم عرض أعداد الاستجابة المحلية وعن بعد ومتوسط أوقات الاستجابة في هذا الإخراج:

 . . . 
MAPI : 1830

 Time Statistics were Last Reset/Cleared:                           Thu Jun 25
06:32:27 2009
 Total Bytes Read:                                                46123985
 Total Bytes Written:                                             40864046
Number of Synch Get Buffer Requests:                               0
Minimum Synch Get Buffer Size (bytes):                             0
Maximum Synch Get Buffer Size (bytes):                             0
Average Synch Get Buffer Size (bytes):                             0
Number of Read Stream Requests:                                    0
Minimum Read Stream Buffer Size (bytes):                           0
Maximum Read Stream Buffer Size (bytes):                           0
Average Read Stream Buffer Size (bytes):                           0
Minimum Accumulated Read Ahead Data Size (bytes):                  0
Maximum Accumulated Read Ahead Data Size (bytes):                  0
Average Accumulated Read Ahead Data Size (bytes):                  0
Local Response Count:                                              0                  <----------
Average Local Response Time (usec):                                0                  <----------
Remote Response Count:                                             19                 <----------
Average Remote Response Time (usec):                               89005              <----------
. . . 

تسريع MAPI المشفر

ملخص

اعتبارا من WAAS 5.0.1 يمكن أن يسرع مسرع MAPI حركة مرور MAPI المشفرة. سيتم تمكين هذه الميزة بشكل افتراضي في الإصدار 5.0.3. ومع ذلك، من أجل تسريع حركة مرور MAPI المشفرة بنجاح، هناك عدد من المتطلبات في كل من WAAS و Microsoft AD بيئة. سيساعدك هذا الدليل على التحقق من وظيفة eMAPI واستكشاف أخطائها وإصلاحها.

معلومات الميزة

سيتم تمكين eMAPI بشكل افتراضي في 5.0.3 وسيتطلب ما يلي لتسريع حركة المرور المشفرة بنجاح.

1) يجب تهيئة مخزن CMS الآمن وفتحه على جميع الأجهزة الأساسية التي تعمل عبر شبكة WAE

2) يجب أن تكون WAEs قادرة على حل FQDN الخاص بخادم (خوادم) Exchange و Kerberos KDC (وحدة التحكم في Active Directory)

3) يجب أن تكون ساعات WAE متزامنة مع KDC

4) يجب تمكين أداة التحكم في SSL و WAN Secure و eMAPI على جميع WAE في المسار من Outlook إلى Exchange

5) يجب أن يكون ل WAEs في المسار تكوين خريطة السياسة الصحيح

6) يجب أن يحتوي WAE الأساسي (أرقام) على معرف مجال خدمات مشفرة واحد أو أكثر تم تكوينه (حساب المستخدم أو الجهاز)

7) إذا تم إستخدام حساب جهاز، فيجب ضم WAE هذا إلى مجال AD.

8) بعد ذلك وفي حالة إستخدام "الجهاز" أو حساب "المستخدم"، يجب منح هذه الكائنات الموجودة في Active Directory أذونات محددة. يجب تعيين كل من "تكرار تغييرات الدليل" و"نسخ تغييرات الدليل الكل" للسماح.

الطريقة الموصى بها للقيام بذلك هي من خلال مجموعة "أمان عالمي" (على سبيل المثال، تعيين الأذونات إلى المجموعة ثم إضافة أجهزة WAAS و/أو أسماء المستخدمين المحددة في خدمة التشفير إلى هذه المجموعة). راجع الدليل المرفق للحصول على لقطات للشاشات الخاصة بتهيئة AD وواجهة المستخدم الرسومية WAAS CM.

منهجية أستكشاف الأخطاء وإصلاحها

الخطوة 1 - التحقق من تكوين معرف خدمة التشفير ونجاح إسترداد المفتاح

بينما يتحقق أمر التشخيصات (الخطوة 2 أدناه) من وجود خدمة تشفير، فإنه لا يتحقق مما إذا كان إسترداد المفتاح ناجحا أم لا. وبالتالي لا ندري من خلال تشغيل أمر التشخيص هذا فقط إذا تم منح الأذونات المناسبة للكائن في Active Directory (إما Machine أو User Account).

سينجح ملخص ما يلزم القيام به لتكوين خدمة التشفير والتحقق منها في إسترداد المفتاح

حساب المستخدم :

1. إنشاء مستخدم AD

2. إنشاء مجموعة AD وتعيين "تكرار تغييرات الدليل" و"نسخ تغييرات الدليل الكل" للسماح

3. إضافة المستخدم إلى المجموعة التي تم إنشاؤها

4. تحديد هوية مجال حساب المستخدم في خدمات التشفير

5. تشغيل الحصول على واجهة سطر الأوامر (CLI) التشخيصية للمفتاح

Windows-domain Diagnostics Encryption-service get-key <Exchange Server FQDN> <domain name>

لاحظ أنه يجب عليك إستخدام اسم خادم Exchange الفعلي/الحقيقي الذي تم تكوينه على الخادم وليس FQDN من نوع NLB/VIP الذي قد يحل إلى خوادم Exchange متعددة.

6. إذا كان إسترجاع المفتاح قد نجح - تم

مثال على النجاح:

pdi-7541-dc#windows-domain Diagnostics Encryption-service get-key pdidc-exchange1.pdidc.cisco.com pdidc.cisco.com

SPN pdidc-exchange1.pdidc.cisco.com، اسم المجال: pdidc.cisco.com

إسترداد المفتاح قيد التقدم.

pdi-7541-dc#windows-domain Diagnostics Encryption-service get-key pdidc-exchange1.pdidc.cisco.com pdidc.cisco.com

SPN pdidc-exchange1.pdidc.cisco.com، اسم المجال: pdidc.cisco.com

يوجد مفتاح pdidc-exchange1.pdidc.cisco.com في ذاكرة التخزين المؤقت لمفتاح الذاكرة

حساب الجهاز

1. وصل جهاز (أجهزة) WAE الأساسية إلى مجال AD

2.إنشاء مجموعة AD وتعيين "تكرار تغييرات الدليل" و"نسخ تغييرات الدليل الكل" للسماح

3. إضافة حساب (حسابات) جهاز إلى المجموعة التي تم إنشاؤها

4. تكوين خدمات التشفير لاستخدام حساب الجهاز

5. امنح بعض الوقت لتطبيق سياسة المجموعة على الجهاز المنضم أو فرض تطبيق سياسة المجموعة من AD. gpupdate /force.

6. تشغيل الحصول على واجهة سطر الأوامر التشخيصية الأساسية

Windows-domain Diagnostics Encryption-service get-key <Exchange Server FQDN> <domain name>

لاحظ أنه يجب عليك إستخدام اسم خادم Exchange الفعلي/الحقيقي الذي تم تكوينه على الخادم وليس FQDN من نوع NLB/VIP الذي قد يحل إلى خوادم Exchange متعددة.

7. إذا كان إسترجاع المفتاح قد نجح - تم

للحصول على مزيد من التفاصيل ولقطات الشاشة حول خدمة التشفير وتكوين AD، راجع الدليل المرفق.

الخطوة 2 - في 5.0.3 تم إدخال أمر تشخيص جديد للتحقق من بعض الإعدادات المطلوبة.

̶MAPI التحقق من إعدادات التشفير

1.CLI تقوم بعدة عمليات فحص للصلاحية. إن مخرجات IT هي ملخص للقدرة على تسريع حركة مرور MAPI المشفرة كحافة أو لب.

2.تحقق من سمات الحالة/التكوين الخاصة بالمكونات المختلفة لخدمة التشفير للعمل بشكل صحيح.

3.عند العثور على مشكلة تكوين، سيتم إخراج ما هو مفقود و CLI (واجهة سطر الأوامر) أو الإجراءات اللازمة لإصلاحها.

4. يقدم الملخص كجهاز Edge وجهاز Core. يجب أن يحتوي الجهاز الذي يمكن أن يكون الحافة والجوانب على EMAPI قيد التشغيل لكل من الحافة والجوهر.

أدناه نموذج للمخرجات من WAE تم تكوينه بشكل غير صحيح:

Core#accelerator mapi verify encryption-settings
[EDGE:]
 Verifying Mapi Accelerator State
 --------------------------------
        Status: FAILED
        Accelerator     Config State    Operational State
        -----------     ------------    -----------------
        mapi            Disabled        Shutdown
        >>Mapi Accelerator should be Enabled
        >>Mapi Accelerator should be in Running state
 
 Verifying SSL Accelerator State
 -------------------------------
        Status: FAILED
        >>Accelerator   Config State    Operational State
        -----------     ------------    -----------------
        ssl             Disabled        Shutdown
        >>SSL Accelerator should be Enabled
        >>SSL Accelerator should be in Running state
 
 Verifying Wan-secure State
 --------------------------
        Status: FAILED
        >>Accelerator   Config State    Operational State
        -----------     ------------    -----------------
        wan-secure      Disabled        Shutdown
        >>Wan-secure should be Enabled
        >>Wan-secure should be in Running state
 
Verifying Mapi Wan-secure mode Setting
 ---------------------------------
        Status: FAILED
        Accelerator Config Item                 Mode            Value
        -----------------------                 ----            ------
        WanSecure Mode                          User            Not Applicable
        >>Mapi wan-secure setting should be auto/always
 Verifying NTP State
 --------------------
       Status: FAILED
       >>NTP status should be enabled and configured

Summary [EDGE]:
 ===============
      Device has to be properly configured for one or more components
 
[CORE:]
Verifying encryption-service State
 ----------------------------------
        Status: FAILED
        Service                 Config State    Operational State
        -----------             ------------    -----------------
        Encryption-service      Disabled        Shutdown
        >>Encryption Service should be Enabled
       >>Encryption Service status should be in 'Running' state
 
Verifying Encryption-service Identity Settings
 ----------------------------------------------
        Status: FAILED
        >>No active Encryption-service Identity is configured.
        >>Please configure an active Windows Domain Encryption Service Identity.

 Summary [CORE]: Applicable only on CORE WAEs
 ============================================
        Device has to be properly configured for one or more components

فيما يلي مخرج من WAE أساسي تم تكوينه بشكل صحيح:

Core#acc mapi verify encryption-settings [EDGE:]

Verifying Mapi Accelerator State
--------------------------------
       Status: OK
Verifying SSL Accelerator State
-------------------------------
       Status: OK
Verifying Wan-secure State
--------------------------
       Status: OK
Verifying Mapi encryption Settings
----------------------------------
       Status: OK
Verifying Mapi Wan-secure mode Setting
---------------------------------
       Status: OK
Verifying NTP State
--------------------
       Status: OK
Summary [EDGE]:
===============
       Device has proper configuration to accelerate encrypted traffic

[CORE:]

Verifying encryption-service State
----------------------------------
       Status: OK
Verifying Encryption-service Identity Settings
----------------------------------------------
       Status: OK
Summary [CORE]: Applicable only on CORE WAEs
============================================
       Device has proper configuration to accelerate encrypted traffic

الخطوة 3 - تحقق يدويا من إعدادات WAE التي لم يتم فحصها بواسطة الأمر التشخيصي أعلاه.

1) الأمر المذكور أعلاه، بينما يؤثر على وجود بروتوكول وقت الشبكة (NTP) الذي تم تكوينه، فإنه لا يقوم في الواقع بالتحقق من تزامن الوقت بين WAE و KDC. ومن المهم جدا أن تتزامن الأوقات بين Core و KDC حتى ينجح إسترداد المفتاح.

إذا كشف الفحص اليدوي عن عدم التزامن فستكون هناك طريقة بسيطة لإجبار ساعة WAE على المزامنة هي الأمر ntpdate (ntpdate <KDC IP>). ثم قم بتوجيه وحدات WAE إلى خادم NTP للمؤسسة.

2) التحقق من نجاح DNSLOOKUP على جميع وحدات WAE الخاصة ب FQDN الخاصة بخوادم Exchange و FQDN الخاصة ب KDC

3) تحقق من تكوين خريطة الفئة وخريطة السياسة بشكل صحيح على جميع WAE في المسار.

pdi-7541-dc#sh class-map type waas MAPI

نوع خريطة الفئة WAAS match-any MAPI

مطابقة TCP الوجهة EPM MAPI (0 تطابقات تدفق)

pdi-7541-dc#show نوع خريطة السياسة WAAS نوع خريطة السياسة

WAAS-Global (إجمالي 6084690)

MAPI للفئة ( 0 تطابقات تدفق)
تحسين سرعة البريد الإلكتروني والمراسلة الخاصة بتطبيق MAPI

4) التحقق من فتح مخزن CMS الآمن وتهيئته على جميع WAE "show cms secure store"

تحليل البيانات

بالإضافة إلى تحليل إخراج الأمر التشخيصي وأوامر العرض اليدوي التي قد تحتاج إليها لمراجعة تقرير النظام.

على وجه الخصوص ستحتاج إلى مراجعة سجل الأخطاء و sr-errorlog (Core WAE فقط)، وملفات wsao-errorlog.

ستكون هناك تلميحات في كل سجل وفقا للسيناريو الذي سيقودك إلى السبب وراء انخفاض الاتصالات إلى AO العام.

كمرجع هنا هو نموذج للمخرجات يظهر مكونات عمل متنوعة

هذا الإخراج من sr-errlog ويبدي التحقق من صحة هوية خدمة تشفير حساب الجهاز

ملاحظة: هذا يؤكد فقط أن Core WAE انضم إلى المجال وحساب الجهاز موجود.

07/03/2012 19:12:07.278(Local)(6249 1.5) NTCE (278902) Adding Identity MacchineAcctWAAS to map active list in SRMain [SRMain.cpp:215]
07/03/2012 19:12:07.279(Local)(6249 1.5) NTCE (279018) Adding identity(MacchineAcctWAAS) to Map [SRDiIdMgr.cpp:562]
07/03/2012 19:12:07.279(Local)(6249 1.5) NTCE (279282) Activate Id: MacchineAcctWAAS [SRMain.cpp:260]
07/03/2012 19:12:07.279(Local)(6249 1.5) NTCE (279306) Identity MacchineAcctWAAS found in the Map [SRDiIdMgr.cpp:702]
07/03/2012 19:12:07.279(Local)(6249 1.5) NTCE (279321) Authentication for ID: MacchineAcctWAAS [SRDiIdMgr.cpp:398]
07/03/2012 19:12:07.330(Local)(6249 1.5) NTCE (330581) Authentication success, tkt validity starttime 1341342727 endtime 1341378727 [SRDiIdMgr.cpp:456]
07/03/2012 19:12:07.330(Local)(6249 1.5) NTCE (330599)
ID_TAG :MacchineAcctWAAS
Name : pdi-7541-dc
Domain : PDIDC.CISCO.COM
Realm : PDIDC.CISCO.COM
CLI_GUID :
SITE_GUID :
CONF_GUID :
Status:ENABLED
Black_Listed:NO
AUTH_STATUS: SUCCESS
ACCT_TYPE:Machine [SRIdentityObject.cpp:85]
07/03/2012 19:12:07.331(Local)(6249 1.5) NTCE (331685) DN Info found for domain PDIDC.CISCO.COM [SRIdentityObject.cpp:168]
07/03/2012 19:12:07.347(Local)(6249 1.5) NTCE (347680) Import cred successfull for pn: pdi-7541-dc@PDIDC.CISCO.COM [AdsGssCli.cpp:111]

هذا إنتاج من ال core sr-errlog ثانية ويبدي مفتاح إستعادة ناجح من KDC.

10/23/2012 15:46:55.673(Local)(3780 1.2) NTCE (673766) Key Not Found in cache, initiating retrieval for spn:exchangeMDB/pdidc-exchange1.pdidc.cisco.com [SRServer.cpp:297]
10/23/2012 15:46:55.673(Local)(3780 1.2) NTCE (673811) Queued InitiateKeyRetrieval task [SRServer.cpp:264]10/23/2012 15:46:55.673(Local)(3780 1.2) NTCE (673819) 
Key retrieval is in Progress [SRServer.cpp:322]
10/23/2012 15:46:55.673(Local)(3780 0.0) NTCE (673818) Initiating key retrieval [SRServer.cpp:271]
10/23/2012 15:46:55.673(Local)(3780 1.2) NTCE (673827) initiating key retrieval in progress [SRDataServer.cpp:441]
10/23/2012 15:46:55.673(Local)(3780 1.2) NTCE (673834) Sending ack for result 2, item name /cfg/gl/sr/sr_get_key/pdidc-exchange1.pdidc.cisco.com@pdidc.cisco.com 
[SRDataServer.cpp:444]
10/23/2012 15:46:55.673(Local)(3780 0.0) NTCE (673922) Match found for DN: pdidc.cisco.com is ID:MacchineAcctWAAS [SRDiIdMgr.cpp:163]
10/23/2012 15:46:55.673(Local)(3780 0.0) NTCE (673937) Identity MacchineAcctWAAS found in the Map [SRDiIdMgr.cpp:702]
10/23/2012 15:46:55.673(Local)(3780 0.0) NTCE (673950) DN Info found for domain pdidc.cisco.com [SRIdentityObject.cpp:168]
10/23/2012 15:46:55.674(Local)(3780 0.0) NTCE (674011) DRS_SPN: E3514235-4B06-11D1-AB04-00C04FC2DCD2/e4c83c51-0b59-4647-b45d-780dd2dc3344/PDIDC.CISCO.COM for 
PDI-7541-DC@PDIDC.CISCO.COM [GssCli.cpp:51]
10/23/2012 15:46:55.674(Local)(3780 0.0) NTCE (674020) CREATED srkr obj(0x50aa00) for spn (exchangeMDB/pdidc-exchange1.pdidc.cisco.com) [SRKeyMgr.cpp:134]
10/23/2012 15:46:55.674(Local)(3780 1.3) NTCE (674421) Import cred successfull for pn: PDI-7541-DC@PDIDC.CISCO.COM [GssCli.cpp:135]
10/23/2012 15:46:55.676(Local)(3780 1.3) NTCE (676280) session(0x50aa00) Complete TGT stage of GSS Successful, Initiating AppApi [SRKeyRetriever.cpp:408]
10/23/2012 15:46:55.676(Local)(3780 0.1) NTCE (676415) SRKR: Success in posting connect to service <ip:0e:6e:03:a3><port:135> [IoOperation.cpp:222]
10/23/2012 15:46:55.676(Local)(3780 0.0) NTCE (676607) Connected to server. [IoOperation.cpp:389]
10/23/2012 15:46:55.677(Local)(3780 0.0) NTCE (677736) SRKR: Success in posting connect to service <ip:0e:6e:03:a3><port:1025> [IoOperation.cpp:222]
10/23/2012 15:46:55.678(Local)(3780 0.1) NTCE (678001) Connected to server. [IoOperation.cpp:389]
10/23/2012 15:46:55.679(Local)(3780 0.1) NTCE (679500) Cleaning up credential cache for PDI-7541-DC@PDIDC.CISCO.COM [GssCli.cpp:212]
10/23/2012 15:46:55.680(Local)(3780 0.1) NTCE (680011) Parsing DRSBIND Response [AppApiDrsBind.cpp:222]
10/23/2012 15:46:55.680(Local)(3780 0.1) NTCE (680030) DRSBind Success, Status:00000000 [AppApiDrsBind.cpp:359]
10/23/2012 15:46:55.685(Local)(3780 0.1) NTCE (685502) session(0x50aa00) Successful in Key Retrieval from AD for SPN:exchangeMDB/pdidc-exchange1.pdidc.cisco.com 
[SRKeyRetriever.cpp:269]
10/23/2012 15:46:55.685(Local)(3780 0.1) NTCE (685583) Send Key response to the Client for spn: exchangeMDB/pdidc-exchange1.pdidc.cisco.com, # of req's : 1
[SRKeyMgr.cpp:296]
10/23/2012 15:46:55.685(Local)(3780 0.1) NTCE (685594) Deleting spn: exchangeMDB/pdidc-exchange1.pdidc.cisco.com entry from Pending key request map [SRKeyMgr.cpp:303]

هذا المخرج من ملف MAPIAO-errorlog على Edge WAE لاتصال eMAPI ناجح

'''10/23/2012 17:56:23.080(Local)(8311 0.1) NTCE (80175) (fl=2433) Edge TCP connection initiated (-1409268656), Conn: [14.110.3.117:58352 <=> 14.110.3.99:27744], 
Flavor: 0 [EdgeTcpConnectionDceRpcLayer.cpp:43]
10/23/2012 17:56:23.080(Local)(8311 0.1) NTCE (80199) Edge TCP connection initiated (-1409268656), Conn: [14.110.3.117:58352 <=> 14.110.3.99:27744], Flavor: 0 
[EdgeTcpConnectionDceRpcLayer.cpp:48]
10/23/2012 17:56:23.108(Local)(8311 0.0) NTCE (108825) (fl=2433) Bind Request from client with AGID 0x0, callId 2, to dest-ip 14.110.3.99, AuthLevel: PRIVACY 
AuthType: SPNEGO AuthCtxId: 0 WsPlumb:1 
[EdgeTcpConnectionDceRpcLayer.cpp:1277]'''
10/23/2012 17:56:23.109(Local)(8311 0.0) NTCE (109935) CheckAndDoAoshReplumbing perform replumbing wsPlumbState 1 [Session.cpp:315]
10/23/2012 17:56:23.109(Local)(8311 0.0) NTCE (109949) (fl=2433) AOSH Replumbing was performed returned Status 0 [Session.cpp:337]
10/23/2012 17:56:23.109(Local)(8311 0.0) NTCE (109956) CheckAndPlumb WanSecure(14) ret:= [1,0] WsPlumb:4 fd[client,server]:=[25,26] [AsyncOperationsQueue.cpp:180]
10/23/2012 17:56:23.312(Local)(8311 0.1) NTCE (312687) (fl=2433) Connection multiplexing enabled by server on the connection. [EdgeTcpConnectionDceRpcLayer.cpp:499]
10/23/2012 17:56:23.312(Local)(8311 0.1) NTCE (312700) (fl=2433) Header signing enabled by server on the connection. [EdgeTcpConnectionDceRpcLayer.cpp:510]
10/23/2012 17:56:23.312(Local)(8311 0.1) NTCE (312719) (fl=2433) OnNewConnection - Client IP 14.110.3.117 (0xe6e0375), Serv IP 14.110.3.99 (0xe6e0363), nDstPort=27744, 
nAssociationGroup=0x11de4,conn_fd=26, 
bWasConnectionFromReservedPool=0, bIsNewMapiSession=1 [ConnectionReservationManager.cpp:255]
'''10/23/2012 17:56:23.366(Local)(8311 0.1) NTCE (366789) (fl=2433) Received security context from core with auth context id: 0 [EdgeTcpConnectionDceRpcLayer.cpp:2912]
10/23/2012 17:56:23.367(Local)(8311 0.1) NTCE (367157) (fl=2433) Security Layer moved to ESTB state [FlowSecurityLayer.cpp:311]'''
10/23/2012 17:56:23.368(Local)(8311 0.1) NTCE (368029) (fl=2433) Informational:: Send APC set to WS: asking for Cipher 2 [EdgeTcpConnectionDceRpcLayer.cpp:809]
10/23/2012 17:56:23.368(Local)(8311 0.1) NTCE (368041) (fl=2433) Sec-Params [CtxId, AL, AT, ACT, DCT, [Hs, ConnMplx, SecMplx]]:=[0, 6, 9, 18, 18 [1,1,0]] 
[FlowIOBuffers.cpp:477]
10/23/2012 17:56:23.369(Local)(8311 0.0) NTCE (369128) (fl=2433) CEdgeTcpConnectionEmsMdbLayer::ConnectRequestCommon (CallId 2): client version is ProductMajor:14, 
Product Minor:0, Build Major:6117, 
Build Minor:5001 Client ip 14.110.3.117 Client port 58352 Dest ip 14.110.3.99 Dest port 27744 [EdgeTcpConnectionEmsMdbLayer.cpp:1522]
10/23/2012 17:56:23.868(Local)(8311 0.1) ERRO (868390) (fl=2433) ContextHandle.IsNull() [EdgeTcpConnectionEmsMdbLayer.cpp:1612]
10/23/2012 17:56:23.890(Local)(8311 0.0) NTCE (890891) (fl=2433) CEdgeTcpConnectionEmsMdbLayer::ConnectRequestCommon (CallId 3): client version is ProductMajor:14, 
Product Minor:0, Build Major:6117, 
Build Minor:5001 Client ip 14.110.3.117 Client port 58352 Dest ip 14.110.3.99 Dest port 27744 [EdgeTcpConnectionEmsMdbLayer.cpp:1522]

فيما يلي إخراج WAE الأساسي المتوافق من mapiao-errorlog لنفس اتصال TCP

'''10/23/2012 17:56:54.092(Local)(6408 0.0) NTCE (92814) (fl=21) Core TCP connection initiated (11892640), Conn: [14.110.3.117:58352 <=> 14.110.3.99:27744], F
lavor: 0 [CoreTcpConnectionDceRpcLayer.cpp:99]
10/23/2012 17:56:54.092(Local)(6408 0.0) NTCE (92832) Core TCP connection initiated (11892640), Conn: [14.110.3.117:58352 <=> 14.110.3.99:27744], Flavor: 0
[CoreTcpConnectionDceRpcLayer.cpp:104]'''
10/23/2012 17:56:54.175(Local)(6408 0.0) NTCE (175035) SrlibCache Cache eviction starting: static void srlib::CSrlibCache:: OnAoShellDispatchCacheCleanup(vo
id*, aosh_work*) [SrlibCache.cpp:453]
10/23/2012 17:56:54.175(Local)(6408 0.0) NTCE (175068) last_cleanup_time (1344411860), evict_in_progress(1) handled_req_cnt (1) cache_size (0) [SrlibCache.
cpp:464]
10/23/2012 17:56:54.175(Local)(6408 0.0) NTCE (175121) SendNextCmd isDuringSend 0, WriteQueue sz 1, isDuringclose 0 [SrlibClientTransport.cpp:163]
10/23/2012 17:56:54.175(Local)(6408 0.0) NTCE (175132) SendNextCmd: Sending request: exchangeMDB/PDIDC-EXCHANGE1.pdidc.cisco.com:23[v:=11], WriteQueue sz 0
[bClose 0] [SrlibClientTransport.cpp:168]
10/23/2012 17:56:54.185(Local)(6408 0.1) NTCE (185576) OnReadComplete len 4 status 0 isDuringRead 1, isDuringHeaderRead 1, isDuringclose 0 [SrlibTransport.
cpp:127]
10/23/2012 17:56:54.185(Local)(6408 0.1) NTCE (185587) Parse header, msg body len 152 [SrlibTransport.cpp:111]
10/23/2012 17:56:54.185(Local)(6408 0.1) NTCE (185592) ReadNextMsg isDuringRead 0, isDuringHeaderRead 1, isDuringclose 0 [SrlibTransport.cpp:88]
10/23/2012 17:56:54.185(Local)(6408 0.1) NTCE (185623) OnReadComplete len 148 status 0 isDuringRead 1, isDuringHeaderRead 0, isDuringclose 0 [SrlibTranspor
t.cpp:127]
'''10/23/2012 17:56:54.185(Local)(6408 0.1) NTCE (185688) Insert new KrbKey: exchangeMDB/PDIDC-EXCHANGE1.pdidc.cisco.com::23[v:=11]:[{e,f,l}:={0, 0x1, 16} [S
rlibCache.cpp:735]
'''10/23/2012 17:56:54.185(Local)(6408 0.1) NTCE (185747) ReadNextMsg isDuringRead 0, isDuringHeaderRead 0, isDuringclose 0 [SrlibTransport.cpp:88]
'''10/23/2012 17:56:54.261(Local)(6408 0.1) NTCE (261575) (fl=21) Successfully created memory keytab with name: MEMORY:exchangeMDB@PDIDC-EXCHANGE1.pdidc.cisco
.com0nxrPblND [GssServer.cpp:468]
10/23/2012 17:56:54.261(Local)(6408 0.1) NTCE (261613) (fl=21) Successfully added entry in memory keytab. [GssServer.cpp:92]
10/23/2012 17:56:54.261(Local)(6408 0.1) NTCE (261858) (fl=21) Successfully acquired credentials. [GssServer.cpp:135]'''

مشاكل مشتركة

فيما يلي بعض الأسباب الشائعة التي ينتج عنها تسليم اتصال eMAPI إلى AO العام (TG).  

المشكلة 1: لا تحتوي هوية خدمة التشفير التي تم تكوينها على WAE الأساسي على الأذونات الصحيحة في AD.

إخراج من sr-errolog على Core WAE

09/25/2012 18:47:54.147(Local)(9063 0.1) ERRO (147570) session(0x517fa0) Failed to Retrieve Key from AD for SPN:exchangeMDB/outlook.sicredi.net.br error:16 [SRKeyRetriever.cpp:267]
'''09/25/2012 18:47:54.147(Local)(9063 0.1) ERRO (147592) Key retrieval failed with Status 16 [SRKeyMgr.cpp:157]
''''''09/25/2012 18:47:54.147(Local)(9063 0.1) ERRO (147623) Identity "WAASMacAct" has been blacklisted [SRDiIdMgr.cpp:258]
''''''09/25/2012 18:47:54.147(Local)(9063 0.1) ERRO (147631) Key retrieval failed due to permission issue [SRKeyMgr.cpp:167]
'''09/25/2012 18:47:54.147(Local)(9063 0.1) ERRO (147636) Identity: WAASMacAct will be black listed. [SRKeyMgr.cpp:168]
09/25/2012 18:47:54.147(Local)(9063 0.1) NTCE (147657) Calling KrbKeyResponse  key handler in srlib [SRServer.cpp:189]
09/25/2012 18:47:54.147(Local)(9063 0.1) NTCE (147722) Queued send reponse buffer to client task [SrlibServerTransport.cpp:136]
09/25/2012 18:47:54.147(Local)(9063 0.1) NTCE (147730) KrbKeyResponse, sent to client session object [SrlibServer.cpp:203]
09/25/2012 18:47:54.147(Local)(9063 0.0) NTCE (147733) SendNextCmd isDuringSend 0, WriteQueue size 1 isDuringClose 0 [SrlibServerTransport.cpp:308]
09/25/2012 18:47:54.147(Local)(9063 0.1) NTCE (147740) Send Key response to the Client

القرار 1: راجع دليل التكوين وتحقق من أن الكائن في AD لديه الأذونات الصحيحة. يجب تعيين كل من "تكرار تغييرات الدليل" و"نسخ تغييرات الدليل الكل" للسماح.

http://www.cisco.com/en/US/docs/app_ntwk_services/waas/waas/v511/configuration/guide/policy.html#wp1256547

المشكلة 2: هناك انحراف زمني بين Core WAE و KDC الذي يحاول إسترداد المفتاح منه

إخراج من sr-errolog على Core WAE

10/23/2012 01:31:33.507(Local)(1832 0.1) NTCE (507836) Initiating key retrieval [SRServer.cpp:271]
10/23/2012 01:31:33.507(Local)(1832 0.1) NTCE (507878) Match found for DN: pdidc.cisco.com is ID:MacchineAcctWAAS [SRDiIdMgr.cpp:163]
10/23/2012 01:31:33.507(Local)(1832 0.1) NTCE (507888) Identity MacchineAcctWAAS found in the Map [SRDiIdMgr.cpp:702]
10/23/2012 01:31:33.507(Local)(1832 0.1) NTCE (507901) DN Info found for domain pdidc.cisco.com [SRIdentityObject.cpp:168]
10/23/2012 01:31:33.507(Local)(1832 0.1) NTCE (507923) DRS_SPN: E3514235-4B06-11D1-AB04-00C04FC2DCD2/e4c83c51-0b59-4647-b45d-780dd2dc3344/PDIDC.CISCO.COM for 
PDI-7541-DC@PDIDC.CISCO.COM [GssCli.cpp:51]
10/23/2012 01:31:33.507(Local)(1832 0.1) NTCE (507933) CREATED srkr obj(0x2aaaac0008c0) for spn (exchangeMDB/pdidc-exchange1.pdidc.cisco.com) [SRKeyMgr.cpp:134]
10/23/2012 01:31:33.508(Local)(1832 1.6) NTCE (508252) Import cred successfull for pn: PDI-7541-DC@PDIDC.CISCO.COM [GssCli.cpp:135]
10/23/2012 01:31:33.511(Local)(1832 1.6) ERRO (511151) CreateSecurityContext: gss_init_sec_context failed [majorStatus = 851968 (0xd0000)] [GssCli.cpp:176]
'''10/23/2012 01:31:33.511(Local)(1832 1.6) ERRO (511170) GSS_MAJOR ERROR:851968 msg_cnt:0, Miscellaneous failure (see text)CD2 [GssCli.cpp:25]
10/23/2012 01:31:33.511(Local)(1832 1.6) ERRO (511177) GSS_MINOR ERROR:2529624064 msg_cnt:0, Clock skew too great [GssCli.cpp:29]
10/23/2012 01:31:33.511(Local)(1832 1.6) ERRO (511182) gsskrb5_get_subkey failed: 851968,22, [GssCli.cpp:198]
10/23/2012 01:31:33.511(Local)(1832 1.6) ERRO (511188) session(0x2aaaac0008c0) Error: Invalid security ctx state, IsContinue is false with out token exchange 
[SRKeyRetriever.cpp:386]
10/23/2012 01:31:33.511(Local)(1832 1.6) ERRO (511193) session(0x2aaaac0008c0) Failed to Retrieve Key from AD for SPN:exchangeMDB/pdidc-exchange1.pdidc.cisco.com error:1 
[SRKeyRetriever.cpp:267]'''
10/23/2012 01:31:33.511(Local)(1832 0.0) ERRO (511213) Key retrieval failed with Status 1 [SRKeyMgr.cpp:157]

القرار 2: أستخدم Ntpdate في جميع WAE (خاصة Core) لمزامنة الساعة مع KDC. ثم أشر إلى خادم NTP الخاص بالمؤسسة (الذي هو نفسه مسبقا KDC).

المشكلة 3: المجال الذي قمت بتعريفه لخدمة التشفير لا يتطابق مع المجال الموجود فيه خادم Exchange.

إخراج من sr-errolog على Core WAE

10/23/2012 18:41:21.918(Local)(3780 1.5) NTCE (918788) Key retrieval is in Progress [SRServer.cpp:322]
10/23/2012 18:41:21.918(Local)(3780 1.5) NTCE (918793) initiating key retrieval in progress [SRDataServer.cpp:441]
10/23/2012 18:41:21.918(Local)(3780 0.0) NTCE (918790) Initiating key retrieval [SRServer.cpp:271]
10/23/2012 18:41:21.918(Local)(3780 1.5) NTCE (918798) Sending ack for result 2, item name /cfg/gl/sr/sr_get_key/pdidc-exchange.cisco.com@cisco.com [SRDataServer.cpp:444]
10/23/2012 18:41:21.918(Local)(3780 0.0) ERRO (918813) Failed to find Identity match for domain cisco.com [SRDiIdMgr.cpp:157]
10/23/2012 18:41:21.918(Local)(3780 0.0) NTCE (918821) Failed to find identity match for domain [SRKeyMgr.cpp:120]
10/23/2012 18:41:21.918(Local)(3780 0.0) NTCE (918832) Send Key response to the Client for spn: exchangeMDB/pdidc-exchange.cisco.com, # of req's: 1 [SRKeyMgr.cpp:296]

القرار 3: إذا كان Core WAE الخاص بك يقدم خدمات متعددة ل Exchange خوادم في مجالات مختلفة، يجب تكوين معرف خدمة تشفير لكل مجال توجد فيه خوادم Exchange.

ملاحظة، لا يوجد دعم لتضمين المجال الفرعي في هذا الوقت. إذا كان لديك myexchange.sub-domain.domain.com ، يجب أن تكون هوية خدمة التشفير في sub-domain.domain.com، لا يمكن أن تكون في المجال الأصل.

المشكلة 4: إذا فشل WANSecure، يمكن خفض إتصالاتك إلى TG

يمكن تسليم إتصالات eMAPI إلى AO العام بسبب فشل WAN الآمن. فشل WAN Secure Plumb بسبب فشل التحقق من الصحة. فشل التحقق من شهادة النظير نظرا لاستخدام شهادة النظير الافتراضية الموقعة ذاتيا أو فشل التحقق من OCSP بشكل قانوني.

إعدادات Core WAE

crypto pki global-settings

  ocsp url http://pdidc.cisco.com/ocsp
revocation-check ocsp-cert-url
exit

!

crypto ssl services host-service peering

  peer-cert-verify
exit

!

WAN Secure:

  Accelerator Config Item              Mode           Value
-----------------------              ----           ------
SSL AO                               User           enabled
Secure store                         User           enabled
Peer SSL version                     User           default
Peer cipher list                     User           default
Peer cert                            User           default
Peer cert verify                     User           enabled

سيؤدي ذلك إلى الإدخالات التالية لسجل أخطاء المخطط و wsao-errlog:

التلميح هنا هو أول خط ظاهر "مقطوع أكثر من أربع مرات متتالية"

Mapiao-errorlog على WAE من جانب العميل:

'''10/08/2012 20:02:15.025(Local)(24333 0.0) NTCE (25621) (fl=267542) Client 10.16.1.201 disconnected more than four consecutive times - push down to generic ao. 
[EdgeTcpConnectionDceRpcLayer.cpp:1443] 
'''10/08/2012 20:02:15.025(Local)(24333 0.0) NTCE (25634) (fl=267542) CEdgeIOBuffers:: StartHandOverProcessSingleConnection: SECURED_STATE_NOT_ESTABLISHED 
[EdgeIOBuffers.cpp:826] 
10/08/2012 20:02:15.025(Local)(24333 0.0) NTCE (25644) (fl=267542) CEdgeIOBuffers::CheckSendHandOverRequestToCoreAndBlockLan - Blocking LAN for read operations after last 
fragment of call id 0, current call id is 2 [EdgeIOBuffers.cpp:324] 
10/08/2012 20:02:15.048(Local)(24333 0.1) NTCE (48753) (fl=267542) Connection multiplexing enabled by server on the connection. [EdgeTcpConnectionDceRpcLayer.cpp:499] 
10/08/2012 20:02:15.048(Local)(24333 0.1) NTCE (48771) (fl=267542) Header signing enabled by server on the connection. [EdgeTcpConnectionDceRpcLayer.cpp:510] 
10/08/2012 20:02:15.048(Local)(24333 0.1) NTCE (48779) (fl=267542) CEdgeIOBuffers:: StartHandOverProcessSingleConnection: GENERAL_UNCLASSIFIED [EdgeIOBuffers.cpp:826]

WSAO-Errorlog على عميل WAE:

'''10/08/2012 20:04:34.430(Local)(5939 4.0) ERRO (430001) certificate verification failed 'self signed certificate' [open_ssl.cpp:1213] 
'''10/08/2012 20:04:34.430(Local)(5939 4.0) ERRO (430047) ssl_read failed: 'SSL_ERROR_SSL' [open_ssl.cpp:1217] 
10/08/2012 20:04:34.430(Local)(5939 4.0) ERRO (430055) openssl errors: error:14090086: SSL routines: SSL3_GET_SERVER_CERTIFICATE:certificate verify failed:s3_clnt.c:1244: 
[open_ssl.cpp:1220]

القرار 4: قم بإزالة شهادة النظير للتحقق من التكوين من كل من WAE وأعد تشغيل خدمة التشفير على WAE (أرقام) الأساسية.

pdi-7541-dc(config)#crypto ssl services host-service peering

pdi-7541-dc(config-ssl-peering)#no peer-cert-verify

pdi-7541-dc(config)#no windows-domain encryption-service enable

pdi-7541-dc(config)#windows-domain encryption-service enable

المشكلة 5: إذا تم إستخدام NTLM من قبل عميل Outlook، سيتم دفع الاتصال إلى AO العام.

سترى ما يلي في سجل الأخطاء في MAPIAO على WAE من جانب العميل:

'''waas-edge#find-patter match ntlm mapiao-errorlog.current 
'''
09/21/2012 20:30:32.154(Local)(8930 0.1) NTCE (154827) (fl=83271) Bind Request from client with AGID 0x0, callId 1, to dest-ip 172.21. 12.96, AuthLevel: 
PRIVACY '''AuthType:NTLM '''AuthCtxId: 153817840 WsPlumb: 2 [EdgeTcpConnectionDceRpcLayer.cpp:1277] 
09/21/2012 20:30:32.154(Local)(8930 0.1) NTCE (154861) (fl=83271) '''Unsupported''' '''Auth Type :NTLM''' [EdgeTcpConnectionDceRpcLayer.cpp:1401] 09/21/2012 20:30:40.157(Local)
(8930 0.0) NTCE (157628) (fl=83283) Bind Request from client with AGID 0x0, callId 2, to dest-ip 172.21. 12.96, AuthLevel: PRIVACY AuthType:NTLM AuthCtxId: 153817840 
WsPlumb: 2 [EdgeTcpConnectionDceRpcLayer.cpp:1277]

القرار 5: يجب على العميل تمكين / طلب مصادقة Kerberos في بيئة Exchange الخاصة به. NTLM غير مدعوم (اعتبارا من 5.1)

اعلم أن هناك Microsoft Tech brief الذي يدعو إلى الرجوع إلى NTLM عند إستخدام CAS.

السيناريو الذي لا يعمل فيه Kerberos خاص بتطبيق Exchange 2010، وهو السيناريو التالي:

خوادم Exchange Client Access المتعددة (CAS) في مؤسسة/مجال.
يتم تجميع خوادم CAS هذه معا باستخدام أي طريقة - باستخدام وظيفة Client-Array المدمجة من Microsoft أو موازن حمل تابع لجهة خارجية.

في السيناريو أعلاه، لا يعمل Kerberos - وسيعود العملاء إلى NTLM حسب التفصيل. أعتقد أن هذا يرجع إلى حقيقة أن العملاء يجب عليهم المصادقة إلى خادم CAS مقابل خادم Mailbox، كما فعلوا في إصدارات Exchange السابقة.

في Exchange 2010 RTM، لا يوجد إصلاح لهذا! لن يعمل Kerberos في السيناريو المذكور أعلاه أبدا قبل Exchange 2010-SP1.

في SP1، يمكن تمكين Kerberos في هذه البيئات، ولكنها عملية يدوية. انظر المقالة هنا: http://technet.microsoft.com/en-us/library/ff808313.aspx

تسجيل دخول MAPI AO

• تتوفر ملفات السجل التالية لاستكشاف أخطاء MAPI AO وإصلاحها:
• ملفات سجل المعاملات: /local1/logs/tfo/working.log (و /local1/log/tfo/tfo_log_*.txt)

ملفات سجل التصحيح: /local1/errorlog/mapiao-errorlog.current (و mapiao-errorlog.*)

لتصحيح الأخطاء بشكل أسهل، يجب عليك أولا إعداد قائمة تحكم في الوصول لتقييد الحزم بمضيف واحد.

WAE674(config)# ip access-list extended 150 permit tcp host 10.10.10.10 any
WAE674(config)# ip access-list extended 150 permit tcp any host 10.10.10.10

لتمكين تسجيل المعاملات، أستخدم أمر تكوين سجل المعاملات كما يلي:

wae(config)# transaction-logs flow enable
wae(config)# transaction-logs flow access-list 150

يمكنك عرض ملف نهاية سجل المعاملات باستخدام الأمر type-tail كما يلي:

wae# type-tail tfo_log_10.10.11.230_20090715_130000.txt
Wed Jul 15 19:12:35 2009 :2289 :10.10.10.10 :3740 :10.10.100.101 :1146 :OT :END :EXTERNAL CLIENT :(MAPI) :822 :634 :556 :706
Wed Jul 15 19:12:35 2009 :2289 :10.10.10.10 :3740 :10.10.100.101 :1146 :SODRE :END :730 :605 :556 :706 :0
Wed Jul 15 19:12:35 2009 :2290 :10.10.10.10 :3738 :10.10.100.101 :1146 :OT :END :EXTERNAL CLIENT :(MAPI) :4758 :15914 :6436 :2006
Wed Jul 15 19:12:35 2009 :2290 :10.10.10.10 :3738 :10.10.100.101 :1146 :SODRE :END :4550 :15854 :6436 :2006 :0
Wed Jul 15 19:12:35 2009 :2284 :10.10.10.10 :3739 :10.10.100.101 :1146 :OT :END :EXTERNAL CLIENT :(MAPI) :1334 :12826 :8981 :1031

لإعداد تسجيل تصحيح الأخطاء الخاص ب MAPI AO وتمكينه، أستخدم الأوامر التالية.
ملاحظة: تسجيل تصحيح الأخطاء هو تسجيل وحدة المعالجة المركزية (CPU) المكثف ويمكن أن يقوم بإنشاء كمية كبيرة من الإخراج. إستعملوها بحكمة وقليل في بيئة إنتاج.
يمكنك تمكين التسجيل التفصيلي إلى القرص كما يلي:

WAE674(config)# logging disk enable
WAE674(config)# logging disk priority detail

يمكنك تمكين تسجيل تصحيح الأخطاء للاتصالات في قائمة التحكم في الوصول كما يلي:

WAE674# debug connection access-list 150

الخيارات المتاحة لتصحيح أخطاء MAPI AO هي كما يلي:

WAE674# debug accelerator mapi ?
all enable all MAPI accelerator debugs
Common-flow enable MAPI Common flow debugs
DCERPC-layer enable MAPI DCERPC-layer flow debugs
EMSMDB-layer enable MAPI EMSMDB-layer flow debugs
IO enable MAPI IO debugs
ROP-layer enable MAPI ROP-layer debugs
ROP-parser enable MAPI ROP-parser debugs
RPC-parser enable MAPI RPC-parser debugs
shell enable MAPI shell debugs
Transport enable MAPI transport debugs
Utilities enable MAPI utilities debugs

يمكنك تمكين تسجيل تصحيح الأخطاء لاتصالات MAPI ثم عرض نهاية سجل أخطاء تصحيح الأخطاء كما يلي:

WAE674# debug accelerator mapi Common-flow
WAE674# type-tail errorlog/mapiao-errorlog.current follow