WAAS - MAPI AO 문제 해결
장:MAPI AO 문제 해결
이 문서에서는 MAPI AO 문제 해결 방법에 대해 설명합니다.
주요 기사
WAAS 아키텍처 및 트래픽 흐름 이해
예비 WAAS 문제 해결
문제 해결 최적화
애플리케이션 가속화 문제 해결
CIFS AO 문제 해결
HTTP AO 문제 해결
EPM AO 문제 해결
MAPI AO 문제 해결
NFS AO 문제 해결
SSL AO 문제 해결
비디오 AO 문제 해결
일반 AO 문제 해결
오버로드 조건 트러블슈팅
WCCP 문제 해결
AppNav 문제 해결
디스크 및 하드웨어 문제 해결
직렬 인라인 클러스터 문제 해결
vWAAS 문제 해결
WAAS Express 문제 해결
NAM 통합 문제 해결
목차
- 1 MAPI 가속기
- 2 암호화된 MAPI 가속화
- 2.1 요약
- 2.2 기능 정보
- 2.3 문제 해결 방법론
- 2.4 데이터 분석
- 2.5 일반적인 문제
- 2.5.1 문제 1:코어 WAE에 구성된 암호화 서비스 ID에 AD에 올바른 권한이 없습니다.
- 2.5.2 해결 방법 1:컨피그레이션 가이드를 참조하고 AD의 객체에 올바른 권한이 있는지 확인합니다."Replicating Directory Changes(디렉토리 변경 사항 복제)" 및 "Replicating Directory Changes All(디렉토리 변경 사항 모두 복제)"을 모두 허용으로 설정해야 합니다.
- 2.5.3 문제 2:Core WAE와 KDC 간에 시간 차이가 있어 Core WAE에서 키를 검색하려고 합니다.
- 2.5.4 해결 방법 2:모든 WAE(특히 코어)에서 ntpdate를 사용하여 시계를 KDC와 동기화합니다.그런 다음 엔터프라이즈 NTP 서버(KDC와 마찬가지로 같음)를 가리킵니다.
- 2.5.5 문제 3:암호화 서비스에 대해 정의한 도메인이 Exchange 서버가 있는 도메인과 일치하지 않습니다.
- 2.5.6 해결 방법 3:코어 WAE가 여러 Exchange 서버를 서로 다른 도메인에 있는 경우 Exchange 서버가 상주하는 각 도메인에 대해 암호화 서비스 ID를 구성해야 합니다.
- 2.5.7 문제 4:WANSecure에 장애가 발생하면 연결을 TG로 삭제할 수 있습니다.
- 2.5.8 해결 방법 4:두 WAE에서 피어 인증서 확인 컨피그레이션을 제거하고 코어 WAE에서 암호화 서비스를 다시 시작합니다.
- 2.5.9 문제 5:Outlook 클라이언트에서 NTLM을 사용하는 경우 연결이 일반 AO로 푸시됩니다.
- 2.5.10 해결 방법 5:고객은 Exchange 환경에서 Kerberos 인증을 활성화/요구해야 합니다.NTLM은 지원되지 않습니다(5.1 기준).
- 3 MAPI AO 로깅
MAPI 가속기
MAPI 가속기는 Microsoft Outlook Exchange 전자 메일 트래픽을 최적화합니다.Exchange는 MS-RPC에 계층화된 EMSMDB 프로토콜을 사용하며, 이 프로토콜은 TCP 또는 HTTP(지원되지 않음)를 하위 레벨 전송으로 사용합니다.
MAPI AO는 캐시된 모드 트래픽과 캐시된 모드 트래픽이 모두 Microsoft Outlook 2000~2007 클라이언트를 지원합니다.메시지 인증(서명) 또는 암호화를 사용하는 보안 연결은 MAPI AO에서 가속하지 않습니다.TFO 최적화를 위해 이전 클라이언트의 이러한 연결 및 연결은 일반 AO로 전달됩니다.또한 OWA(Outlook Web Access) 및 Exchange-Exchange 연결은 지원되지 않습니다.
참고:Microsoft Outlook 2007은 기본적으로 암호화를 사용하도록 설정되어 있습니다.MAPI 응용 프로그램 가속기를 사용하려면 암호화를 비활성화해야 합니다.Outlook에서 도구 > 전자 메일 계정을 선택하고 기존 전자 메일 계정 보기 또는 변경을 선택한 다음 다음을 클릭합니다.Exchange 계정을 선택한 다음 변경을 클릭합니다.추가 설정을 클릭한 다음 보안 탭을 클릭합니다.그림 1과 같이 Microsoft Office Outlook과 Microsoft Exchange Server 간 데이터 암호화 확인란의 선택을 취소합니다.
또는 그룹 정책을 사용하여 Exchange Server의 모든 사용자에 대해 암호화를 비활성화할 수 있습니다.
- 그림 1. Outlook 2007에서 암호화 비활성화
다음과 같은 경우 MAPI AO는 연결을 처리하지 않습니다.
- 암호화된 연결(일반 AO로 전달)
- 지원되지 않는 클라이언트(일반 AO에 전달됨)
- 복구할 수 없는 구문 분석 오류입니다.클라이언트와 서버 서비스 간의 모든 TCP 연결이 끊어집니다.클라이언트가 다시 연결되면 모든 연결이 일반 AO로 전달됩니다.
- 클라이언트는 WAE가 오버로드될 때 연결에 새 연결 그룹을 설정하려고 시도합니다.
- WAE가 오버로드되고 MAPI 예약 연결 리소스를 사용할 수 없을 때 클라이언트가 연결을 설정합니다.
Outlook 클라이언트와 서버는 연결 그룹이라고 하는 TCP 연결 그룹을 통해 세션에서 상호 작용합니다.연결 그룹 내에서 객체 액세스는 모든 연결에서 확장될 수 있으며 필요에 따라 동적으로 생성 및 해제됩니다.클라이언트는 서로 다른 서버나 동일한 서버에 동시에 둘 이상의 연결 그룹을 열 수 있습니다.공용 폴더는 메일 저장소의 다른 서버에 배포됩니다.
연결 그룹 내의 모든 MAPI 연결은 지사와 데이터 센터의 동일한 WAE 쌍을 거치는 것이 중요합니다.연결 그룹 내의 일부 연결이 이러한 WAE의 MAPI AO를 거치지 않는 경우 MAPI AO는 해당 연결에 대해 수행된 트랜잭션을 볼 수 없으며 연결이 연결 그룹을 "이스케이프"한다고 합니다.따라서 고가용성 그룹을 형성하는 직렬 클러스터형 인라인 WAE에 MAPI AO를 구축해서는 안 됩니다.
WAE 연결 그룹을 이스케이프하는 MAPI 연결의 증상은 중복 메시지 또는 Outlook이 응답을 중지하는 것과 같은 Outlook 오류 증상입니다.
TFO 오버로드 조건에서는 기존 연결 그룹에 대한 새 연결이 전달되어 MAPI AO를 이스케이프하므로 MAPI AO는 오버로드 조건의 영향을 최소화하기 위해 미리 많은 연결 리소스를 예약합니다.예약된 MAPI 연결 및 장치 오버로드에 미치는 영향에 대한 자세한 내용은 Troubleshooting Overload Conditions(오버로드 조건 트러블슈팅) 문서에서 "MAPI Application Accelerator Reserved Connections Impact on Overload(오버로드에 대한 MAPI 응용 프로그램 가속기 예약 연결 영향)" 절을 참조하십시오.
Troubleshooting Application Acceleration 기사에 설명된 대로 show accelerator 및 show license 명령을 사용하여 일반적인 AO 컨피그레이션 및 상태를 확인합니다.MAPI 가속기 작업에는 Enterprise 라이센스가 필요하며 EPM 응용 프로그램 가속기를 활성화해야 합니다.
그림 2와 같이 show accelerator mapi 명령을 사용하여 MAPI AO와 관련된 상태를 확인합니다. MAPI AO가 사용, 실행 및 등록되었으며 연결 제한이 표시되는지 확인합니다.Config State(컨피그레이션 상태)가 Enabled(활성화됨)이지만 Operational State(운영 상태)가 Shutdown(종료)이면 라이센싱 문제를 나타냅니다.
- 그림 2. MAPI Accelerator 상태 확인
show statistics accelerator epm 명령을 사용하여 EPM AO가 작동하는지 확인합니다.클라이언트가 시작될 때 Total Handled Connections, Total Requests Successfully Parsing 및 Total Responses Successfully Parsed 카운터가 증가하는지 확인합니다.
show running-config 명령을 사용하여 MAPI 및 EPM 트래픽 정책이 올바르게 구성되었는지 확인합니다.Email-and-Messaging 애플리케이션 작업에 대한 Accelerate mapi를 확인하고 다음과 같이 정의된 MS-EndPortMapper 분류자와 트래픽 정책을 확인하고자 합니다.
WAE674# sh run | include mapi
map adaptor EPM mapi
name Email-and-Messaging All action optimize full accelerate mapi
WAE674# sh run | begin MS-EndPointMapper
...skipping
classifier MS-EndPointMapper
match dst port eq 135
exit
WAE674# sh run | include MS-EndPointMapper
classifier MS-EndPortMapper
name Other classifier MS-EndPortMapper action optimize DRE no compression none accelerate MS-port-mapper
다음과 같이 show policy-engine application dynamic 명령을 사용하여 동적 일치 규칙이 있는지 확인합니다.
- 사용자 ID가 있는 규칙을 찾습니다.EPM 및 맵 이름:uida4f1db00-ca47-1067-b31f-00dd010662da
- Flows 필드는 Exchange 서비스에 대한 총 활성 연결 수를 나타냅니다.
- 각 MAPI 클라이언트에 대해 사용자 ID가 있는 별도의 항목이 표시되어야 합니다.MAPI.
show statistics connection optimized mapi 명령을 사용하여 WAAS 장치가 최적화된 MAPI 연결을 설정하는지 확인합니다.다음과 같이 MAPI AO가 사용되었음을 나타내는 MAPI 연결의 계정 열에 "M"이 표시되는지 확인합니다.
WAE674# show stat conn opt mapi Current Active Optimized Flows: 2 Current Active Optimized TCP Plus Flows: 1 Current Active Optimized TCP Only Flows: 1 Current Active Optimized TCP Preposition Flows: 0 Current Active Auto-Discovery Flows: 0 Current Reserved Flows: 12 <---------- Added in 4.1.5 Current Active Pass-Through Flows: 0 Historical Flows: 161 D:DRE,L:LZ,T:TCP Optimization RR:Total Reduction Ratio A:AOIM,C:CIFS,E:EPM,G:GENERIC,H:HTTP,M:MAPI,N:NFS,S:SSL,V:VIDEO ConnID Source IP:Port Dest IP:Port PeerID Accel RR 342 10.56.94.101:4506 10.10.100.100:1456 0:1a:64:d3:2f:b8 TMDL 61.0% <-----Look for "M"
참고:버전 4.1.5에서 Current Reserved Flows 카운터가 출력에 추가되었습니다.이 카운터는 WAE에서 현재 사용되지 않지만 향후 MAPI 연결을 위해 별도로 설정된 예약된 MAPI 연결 리소스의 수를 나타냅니다.예약된 MAPI 연결 및 장치 오버로드에 미치는 영향에 대한 자세한 내용은 Troubleshooting Overload Conditions(오버로드 조건 트러블슈팅) 문서에서 "MAPI Application Accelerator Reserved Connections Impact on Overload(오버로드에 대한 MAPI 응용 프로그램 가속기 예약 연결 영향)" 절을 참조하십시오.
Accel 열에서 "TGDL"과의 연결을 관찰하면 이러한 연결은 일반 AO로 푸시되고 전송 최적화로만 최적화됩니다.이러한 연결이 MAPI AO에서 처리되어야 하는 연결일 경우 암호화된 MAPI 연결이기 때문일 수 있습니다.요청된 암호화된 MAPI 연결 수를 확인하려면 다음과 같이 show statistics accelerator mapi 명령을 사용합니다.
wae# sh stat accel mapi MAPI: Global Statistics ----------------- Time Accelerator was started: Thu Nov 5 19:45:19 2009 Time Statistics were Last Reset/Cleared: Thu Nov 5 19:45:19 2009 Total Handled Connections: 8615 Total Optimized Connections: 8614 Total Connections Handed-off with Compression Policies Unchanged: 0 Total Dropped Connections: 1 Current Active Connections: 20 Current Pending Connections: 0 Maximum Active Connections: 512 Number of Synch Get Buffer Requests: 1052 Minimum Synch Get Buffer Size (bytes): 31680 Maximum Synch Get Buffer Size (bytes): 31680 Average Synch Get Buffer Size (bytes): 31680 Number of Read Stream Requests: 3844 Minimum Read Stream Buffer Size (bytes): 19 Maximum Read Stream Buffer Size (bytes): 31744 Average Read Stream Buffer Size (bytes): 14556 Minimum Accumulated Read Ahead Data Size (bytes): 0 Maximum Accumulated Read Ahead Data Size (bytes): 1172480 Average Accumulated Read Ahead Data Size (bytes): 594385 Local Response Count: 20827 Average Local Response Time (usec): 250895 Remote Response Count: 70486 Average Remote Response Time (usec): 277036 Current 2000 Accelerated Sessions: 0 Current 2003 Accelerated Sessions: 1 Current 2007 Accelerated Sessions: 0 Secured Connections: 1 <-----Encrypted connections Lower than 2000 Sessions: 0 Higher than 2007 Sessions: 0
다음과 같은 메시지를 검색하여 암호화된 MAPI 연결을 요청하는 클라이언트의 IP 주소를 syslog에서 찾을 수 있습니다.
2009 Jan 5 13:11:54 WAE512 mapi_ao: %WAAS-MAPIAO-3-132104: (929480) Encrypted connection. Client ip: 10.36.14.82
다음과 같이 show statistics connection optimized mapi detail 명령을 사용하여 MAPI 연결 통계를 볼 수 있습니다.
WAE674# show stat conn opt mapi detail
Connection Id: 1830
Peer Id: 00:14:5e:84:24:5f
Connection Type: EXTERNAL CLIENT
Start Time: Thu Jun 25 06:32:27 2009
Source IP Address: 10.10.10.10
Source Port Number: 3774
Destination IP Address: 10.10.100.101
Destination Port Number: 1146
Application Name: Email-and-Messaging <-----Should see Email-and-Messaging
Classifier Name: **Map Default**
Map Name: uuida4f1db00-ca47-1067-b31f-00dd010662da <-----Should see this UUID
Directed Mode: FALSE
Preposition Flow: FALSE
Policy Details:
Configured: TCP_OPTIMIZE + DRE + LZ
Derived: TCP_OPTIMIZE + DRE + LZ
Peer: TCP_OPTIMIZE + DRE + LZ
Negotiated: TCP_OPTIMIZE + DRE + LZ
Applied: TCP_OPTIMIZE + DRE + LZ
Accelerator Details:
Configured: MAPI <-----Should see MAPI configured
Derived: MAPI
Applied: MAPI <-----Should see MAPI applied
Hist: None
Original Optimized
-------------------- --------------------
Bytes Read: 4612 1973
Bytes Written: 4086 2096
. . .
로컬 및 원격 응답 수 및 평균 응답 시간이 다음 출력에 표시됩니다.
. . . MAPI : 1830 Time Statistics were Last Reset/Cleared: Thu Jun 25 06:32:27 2009 Total Bytes Read: 46123985 Total Bytes Written: 40864046 Number of Synch Get Buffer Requests: 0 Minimum Synch Get Buffer Size (bytes): 0 Maximum Synch Get Buffer Size (bytes): 0 Average Synch Get Buffer Size (bytes): 0 Number of Read Stream Requests: 0 Minimum Read Stream Buffer Size (bytes): 0 Maximum Read Stream Buffer Size (bytes): 0 Average Read Stream Buffer Size (bytes): 0 Minimum Accumulated Read Ahead Data Size (bytes): 0 Maximum Accumulated Read Ahead Data Size (bytes): 0 Average Accumulated Read Ahead Data Size (bytes): 0 Local Response Count: 0 <---------- Average Local Response Time (usec): 0 <---------- Remote Response Count: 19 <---------- Average Remote Response Time (usec): 89005 <---------- . . .
암호화된 MAPI 가속화
요약
WAAS 5.0.1부터 MAPI 가속기는 암호화된 MAPI 트래픽을 가속화할 수 있습니다.이 기능은 5.0.3 릴리스에서 기본적으로 활성화됩니다.그러나 암호화된 MAPI 트래픽을 성공적으로 가속화하기 위해 WAAS와 Microsoft AD 환경 모두에서 많은 요구 사항이 있습니다.이 설명서는 eMAPI 기능을 확인하고 문제를 해결하는 데 도움이 됩니다.
기능 정보
eMAPI는 기본적으로 5.0.3에서 활성화되며, 암호화된 트래픽을 성공적으로 가속화하기 위해 다음이 필요합니다.
1) 모든 코어 WAE에서 CMS 보안 저장소를 초기화하고 열어야 합니다.
2) WAE는 Exchange 서버 및 Kerberos KDC(Active Directory 컨트롤러)의 FQDN을 확인할 수 있어야 합니다.
3) WAE의 시계는 KDC와 동기화되어야 한다
4) Outlook에서 Exchange로의 경로에 있는 모든 WAE에서 SSL 가속기, WAN 보안 및 eMAPI를 활성화해야 합니다.
5) 경로의 WAE는 올바른 정책 맵 컨피그레이션을 가져야 합니다.
6) 코어 WAE에는 하나 이상의 암호화된 서비스 도메인 ID가 구성되어야 함(사용자 또는 머신 계정)
7) 머신 어카운트가 사용되는 경우 이 WAE를 AD 도메인에 가입시켜야 합니다.
8) 그런 다음 시스템 또는 사용자 계정 사용 사례를 사용하여 Active Directory의 해당 개체에 특정 권한을 부여해야 합니다."Replicating Directory Changes(디렉토리 변경 사항 복제)" 및 "Replicating Directory Changes All(디렉토리 변경 사항 모두 복제)"을 모두 허용으로 설정해야 합니다.
이를 위해 권장되는 방법은 유니버설 보안 그룹을 통해(예: 그룹에 권한을 할당한 다음 암호화 서비스에 지정된 WAAS 장치 및/또는 사용자 이름을 이 그룹에 추가)입니다. AD 컨피그레이션 및 WAAS CM GUI의 스크린샷은 첨부된 가이드를 참조하십시오.
문제 해결 방법론
1단계 - 암호화 서비스 ID 구성 및 키 검색 성공 확인
diagnostics 명령(아래 2단계)은 암호화 서비스가 있는지 확인하지만 키 검색이 성공할지 여부는 확인하지 않습니다.따라서 진단 명령을 실행하여 Active Directory(컴퓨터 또는 사용자 계정)의 개체에 적절한 권한이 부여되었는지 알 수 없습니다.
암호화 서비스를 구성하고 검증하기 위해 수행해야 하는 작업에 대한 요약 정보를 통해 키 검색 성공
사용자 계정:
1.AD 사용자 생성
2 .AD 그룹을 생성하고 "Replicating Directory Changes(디렉토리 변경 사항 복제)" 및 "Replicating Directory Changes All(디렉토리 변경 사항 모두 복제)"을 ALLOW로 설정합니다.
3 .생성된 그룹에 사용자 추가
4.암호화 서비스에서 사용자 계정 도메인 ID 정의
5.get key diagnostic cli 실행
windows 도메인 진단 암호화 서비스 get-key <exchange server FQDN> <도메인 이름>
여러 Exchange 서버로 확인될 수 있는 NLB/VIP 유형 FQDN이 아니라 서버에 구성된 실제/실제 Exchange 서버 이름을 사용해야 합니다.
6.키 검색이 작동함 - 완료
성공 예:
pdi-7541-dc#windows-domain diagnostics encryption-service get-key pdidc-exchange1.pdidc.cisco.com pdidc.cisco.com
SPN pdidc-exchange1.pdidc.cisco.com, 도메인 이름:pdidc.cisco.com
키 검색이 진행 중입니다.
pdi-7541-dc#windows-domain diagnostics encryption-service get-key pdidc-exchange1.pdidc.cisco.com pdidc.cisco.com
SPN pdidc-exchange1.pdidc.cisco.com, 도메인 이름:pdidc.cisco.com
pdidc-exchange1.pdidc.cisco.com의 키는 메모리 키 캐시에 있습니다.
컴퓨터 계정
1.코어 WAE 장치를 AD 도메인에 연결
2.AD 그룹을 만들고 "Replicating Directory Changes(디렉토리 변경 사항 복제)" 및 "Replicating Directory Changes All(디렉토리 변경 사항 모두 복제)"을 ALLOW로 설정
3 .생성된 그룹에 컴퓨터 계정 추가
4.컴퓨터 계정을 사용하도록 암호화 서비스 구성
5. 그룹 정책을 조인된 컴퓨터에 적용하거나 AD에서 그룹 정책을 강제로 적용하도록 하려면 시간을 내십시오. gpupdate /force.
6.get key diagnostic cli 실행
windows 도메인 진단 암호화 서비스 get-key <exchange server FQDN> <도메인 이름>
여러 Exchange 서버로 확인될 수 있는 NLB/VIP 유형 FQDN이 아니라 서버에 구성된 실제/실제 Exchange 서버 이름을 사용해야 합니다.
7 .키 검색이 작동함 - 완료
암호화 서비스 및 AD 구성에 대한 자세한 내용 및 스크린샷은 첨부된 가이드를 참조하십시오.
2단계 - 5.0.3에서 필요한 일부 설정을 확인하기 위해 새 진단 명령이 도입되었습니다.
가속기 mapi 암호화 설정 확인
1.CLI는 다양한 유효성 검사를 수행합니다.이 출력은 암호화된 MAPI 트래픽을 에지 또는 코어로 가속화하는 기능을 요약한 것입니다.
2. 암호화 서비스가 제대로 작동하려면 다양한 구성 요소의 상태/구성 특성을 확인합니다.
3. 구성 문제가 발견되면 누락된 항목과 이를 수정하는 CLI 또는 작업이 출력됩니다.
4.요약은 에지 디바이스와 코어 디바이스로 제공됩니다.에지와 코어가 모두 될 수 있는 디바이스는 에지와 코에서 모두 EMAPI를 작동해야 합니다.
다음은 잘못 구성된 WAE의 샘플 출력입니다.
Core#accelerator mapi verify encryption-settings
[EDGE:]
Verifying Mapi Accelerator State
--------------------------------
Status: FAILED
Accelerator Config State Operational State
----------- ------------ -----------------
mapi Disabled Shutdown
>>Mapi Accelerator should be Enabled
>>Mapi Accelerator should be in Running state
Verifying SSL Accelerator State
-------------------------------
Status: FAILED
>>Accelerator Config State Operational State
----------- ------------ -----------------
ssl Disabled Shutdown
>>SSL Accelerator should be Enabled
>>SSL Accelerator should be in Running state
Verifying Wan-secure State
--------------------------
Status: FAILED
>>Accelerator Config State Operational State
----------- ------------ -----------------
wan-secure Disabled Shutdown
>>Wan-secure should be Enabled
>>Wan-secure should be in Running state
Verifying Mapi Wan-secure mode Setting
---------------------------------
Status: FAILED
Accelerator Config Item Mode Value
----------------------- ---- ------
WanSecure Mode User Not Applicable
>>Mapi wan-secure setting should be auto/always
Verifying NTP State
--------------------
Status: FAILED
>>NTP status should be enabled and configured
Summary [EDGE]:
===============
Device has to be properly configured for one or more components
[CORE:]
Verifying encryption-service State
----------------------------------
Status: FAILED
Service Config State Operational State
----------- ------------ -----------------
Encryption-service Disabled Shutdown
>>Encryption Service should be Enabled
>>Encryption Service status should be in 'Running' state
Verifying Encryption-service Identity Settings
----------------------------------------------
Status: FAILED
>>No active Encryption-service Identity is configured.
>>Please configure an active Windows Domain Encryption Service Identity.
Summary [CORE]: Applicable only on CORE WAEs
============================================
Device has to be properly configured for one or more components
다음은 올바르게 구성된 코어 WAE의 출력입니다.
Core#acc mapi verify encryption-settings [EDGE:]
Verifying Mapi Accelerator State
--------------------------------
Status: OK
Verifying SSL Accelerator State
-------------------------------
Status: OK
Verifying Wan-secure State
--------------------------
Status: OK
Verifying Mapi encryption Settings
----------------------------------
Status: OK
Verifying Mapi Wan-secure mode Setting
---------------------------------
Status: OK
Verifying NTP State
--------------------
Status: OK
Summary [EDGE]:
===============
Device has proper configuration to accelerate encrypted traffic
[CORE:]
Verifying encryption-service State
----------------------------------
Status: OK
Verifying Encryption-service Identity Settings
----------------------------------------------
Status: OK
Summary [CORE]: Applicable only on CORE WAEs
============================================
Device has proper configuration to accelerate encrypted traffic
3단계 - 위의 진단 명령으로 확인하지 않은 WAE 설정을 수동으로 확인합니다.
1) 위 명령은 NTP가 구성되었는지 확인하는 동안 WAE와 KDC 간에 시간이 동기화되었는지 실제로 확인하지 않습니다.키 검색에 성공하려면 코어 및 KDC 간의 동기화 시간이 매우 중요합니다.
수동 검사 결과 WAE의 클럭이 동기화되지 않은 것으로 확인되면 ntpdate 명령(ntpdate <KDC ip>)이 됩니다. 그런 다음 WAE를 엔터프라이즈 NTP 서버에 가리킵니다.
2) Exchange 서버의 FQDN 및 KDC의 FQDN에 대한 모든 WAE에서 nslookup이 성공하는지 확인
3) 경로의 모든 WAE에서 class-map 및 policy-map이 올바르게 구성되었는지 확인합니다.
pdi-7541-dc#sh class-map type waas MAPI
클래스 맵 유형은 match-any MAPI입니다.
tcp 대상 epm mapi 일치(0개의 플로우 일치)
pdi-7541-dc#show policy-map type waas policy-map type waas
WAAS-GLOBAL(총 6084690)
클래스 MAPI(흐름 일치 0개)
mapi 애플리케이션 이메일 및 메시징 최적화
4) CMS 보안 저장소가 모든 WAE에서 열려 있고 초기화되었는지 확인 "show cms secure store"
데이터 분석
diagnostic 명령의 출력 및 manual show 명령을 분석하는 것 외에도 sysreport를 검토해야 할 수 있습니다.
특히 mapiao-errorlog, sr-errorlog(코어 WAE에만 해당) 및 wsao-errorlog 파일을 검토합니다.
각 로그에는 일반 AO에 연결이 끊어진 이유를 설명하는 시나리오에 따라 힌트가 있습니다.
참조: 다양한 작업 구성 요소를 보여 주는 샘플 출력
이 출력은 sr-errorlog에서 생성되며 머신 계정 암호화 서비스 ID의 유효성 검사를 표시합니다.
참고:이는 Core WAE가 도메인에 가입하고 머신 어카운트가 존재함을 확인하는 것입니다.
07/03/2012 19:12:07.278(Local)(6249 1.5) NTCE (278902) Adding Identity MacchineAcctWAAS to map active list in SRMain [SRMain.cpp:215] 07/03/2012 19:12:07.279(Local)(6249 1.5) NTCE (279018) Adding identity(MacchineAcctWAAS) to Map [SRDiIdMgr.cpp:562] 07/03/2012 19:12:07.279(Local)(6249 1.5) NTCE (279282) Activate Id: MacchineAcctWAAS [SRMain.cpp:260] 07/03/2012 19:12:07.279(Local)(6249 1.5) NTCE (279306) Identity MacchineAcctWAAS found in the Map [SRDiIdMgr.cpp:702] 07/03/2012 19:12:07.279(Local)(6249 1.5) NTCE (279321) Authentication for ID: MacchineAcctWAAS [SRDiIdMgr.cpp:398] 07/03/2012 19:12:07.330(Local)(6249 1.5) NTCE (330581) Authentication success, tkt validity starttime 1341342727 endtime 1341378727 [SRDiIdMgr.cpp:456] 07/03/2012 19:12:07.330(Local)(6249 1.5) NTCE (330599) ID_TAG :MacchineAcctWAAS Name : pdi-7541-dc Domain : PDIDC.CISCO.COM Realm : PDIDC.CISCO.COM CLI_GUID : SITE_GUID : CONF_GUID : Status:ENABLED Black_Listed:NO AUTH_STATUS: SUCCESS ACCT_TYPE:Machine [SRIdentityObject.cpp:85] 07/03/2012 19:12:07.331(Local)(6249 1.5) NTCE (331685) DN Info found for domain PDIDC.CISCO.COM [SRIdentityObject.cpp:168] 07/03/2012 19:12:07.347(Local)(6249 1.5) NTCE (347680) Import cred successfull for pn: pdi-7541-dc@PDIDC.CISCO.COM [AdsGssCli.cpp:111]
이 출력은 코어 sr-errorlog에서 다시 생성되며 KDC에서 성공적으로 키를 검색한 것을 보여줍니다.
10/23/2012 15:46:55.673(Local)(3780 1.2) NTCE (673766) Key Not Found in cache, initiating retrieval for spn:exchangeMDB/pdidc-exchange1.pdidc.cisco.com [SRServer.cpp:297] 10/23/2012 15:46:55.673(Local)(3780 1.2) NTCE (673811) Queued InitiateKeyRetrieval task [SRServer.cpp:264]10/23/2012 15:46:55.673(Local)(3780 1.2) NTCE (673819) Key retrieval is in Progress [SRServer.cpp:322] 10/23/2012 15:46:55.673(Local)(3780 0.0) NTCE (673818) Initiating key retrieval [SRServer.cpp:271] 10/23/2012 15:46:55.673(Local)(3780 1.2) NTCE (673827) initiating key retrieval in progress [SRDataServer.cpp:441] 10/23/2012 15:46:55.673(Local)(3780 1.2) NTCE (673834) Sending ack for result 2, item name /cfg/gl/sr/sr_get_key/pdidc-exchange1.pdidc.cisco.com@pdidc.cisco.com [SRDataServer.cpp:444] 10/23/2012 15:46:55.673(Local)(3780 0.0) NTCE (673922) Match found for DN: pdidc.cisco.com is ID:MacchineAcctWAAS [SRDiIdMgr.cpp:163] 10/23/2012 15:46:55.673(Local)(3780 0.0) NTCE (673937) Identity MacchineAcctWAAS found in the Map [SRDiIdMgr.cpp:702] 10/23/2012 15:46:55.673(Local)(3780 0.0) NTCE (673950) DN Info found for domain pdidc.cisco.com [SRIdentityObject.cpp:168] 10/23/2012 15:46:55.674(Local)(3780 0.0) NTCE (674011) DRS_SPN: E3514235-4B06-11D1-AB04-00C04FC2DCD2/e4c83c51-0b59-4647-b45d-780dd2dc3344/PDIDC.CISCO.COM for PDI-7541-DC@PDIDC.CISCO.COM [GssCli.cpp:51] 10/23/2012 15:46:55.674(Local)(3780 0.0) NTCE (674020) CREATED srkr obj(0x50aa00) for spn (exchangeMDB/pdidc-exchange1.pdidc.cisco.com) [SRKeyMgr.cpp:134] 10/23/2012 15:46:55.674(Local)(3780 1.3) NTCE (674421) Import cred successfull for pn: PDI-7541-DC@PDIDC.CISCO.COM [GssCli.cpp:135] 10/23/2012 15:46:55.676(Local)(3780 1.3) NTCE (676280) session(0x50aa00) Complete TGT stage of GSS Successful, Initiating AppApi [SRKeyRetriever.cpp:408] 10/23/2012 15:46:55.676(Local)(3780 0.1) NTCE (676415) SRKR: Success in posting connect to service <ip:0e:6e:03:a3><port:135> [IoOperation.cpp:222] 10/23/2012 15:46:55.676(Local)(3780 0.0) NTCE (676607) Connected to server. [IoOperation.cpp:389] 10/23/2012 15:46:55.677(Local)(3780 0.0) NTCE (677736) SRKR: Success in posting connect to service <ip:0e:6e:03:a3><port:1025> [IoOperation.cpp:222] 10/23/2012 15:46:55.678(Local)(3780 0.1) NTCE (678001) Connected to server. [IoOperation.cpp:389] 10/23/2012 15:46:55.679(Local)(3780 0.1) NTCE (679500) Cleaning up credential cache for PDI-7541-DC@PDIDC.CISCO.COM [GssCli.cpp:212] 10/23/2012 15:46:55.680(Local)(3780 0.1) NTCE (680011) Parsing DRSBIND Response [AppApiDrsBind.cpp:222] 10/23/2012 15:46:55.680(Local)(3780 0.1) NTCE (680030) DRSBind Success, Status:00000000 [AppApiDrsBind.cpp:359] 10/23/2012 15:46:55.685(Local)(3780 0.1) NTCE (685502) session(0x50aa00) Successful in Key Retrieval from AD for SPN:exchangeMDB/pdidc-exchange1.pdidc.cisco.com [SRKeyRetriever.cpp:269] 10/23/2012 15:46:55.685(Local)(3780 0.1) NTCE (685583) Send Key response to the Client for spn: exchangeMDB/pdidc-exchange1.pdidc.cisco.com, # of req's : 1 [SRKeyMgr.cpp:296] 10/23/2012 15:46:55.685(Local)(3780 0.1) NTCE (685594) Deleting spn: exchangeMDB/pdidc-exchange1.pdidc.cisco.com entry from Pending key request map [SRKeyMgr.cpp:303]
이 출력은 eMAPI 연결에 성공하기 위해 Edge WAE의 mapiao-errorlog 파일에서 출력됩니다
'''10/23/2012 17:56:23.080(Local)(8311 0.1) NTCE (80175) (fl=2433) Edge TCP connection initiated (-1409268656), Conn: [14.110.3.117:58352 <=> 14.110.3.99:27744], Flavor: 0 [EdgeTcpConnectionDceRpcLayer.cpp:43] 10/23/2012 17:56:23.080(Local)(8311 0.1) NTCE (80199) Edge TCP connection initiated (-1409268656), Conn: [14.110.3.117:58352 <=> 14.110.3.99:27744], Flavor: 0 [EdgeTcpConnectionDceRpcLayer.cpp:48] 10/23/2012 17:56:23.108(Local)(8311 0.0) NTCE (108825) (fl=2433) Bind Request from client with AGID 0x0, callId 2, to dest-ip 14.110.3.99, AuthLevel: PRIVACY AuthType: SPNEGO AuthCtxId: 0 WsPlumb:1 [EdgeTcpConnectionDceRpcLayer.cpp:1277]''' 10/23/2012 17:56:23.109(Local)(8311 0.0) NTCE (109935) CheckAndDoAoshReplumbing perform replumbing wsPlumbState 1 [Session.cpp:315] 10/23/2012 17:56:23.109(Local)(8311 0.0) NTCE (109949) (fl=2433) AOSH Replumbing was performed returned Status 0 [Session.cpp:337] 10/23/2012 17:56:23.109(Local)(8311 0.0) NTCE (109956) CheckAndPlumb WanSecure(14) ret:= [1,0] WsPlumb:4 fd[client,server]:=[25,26] [AsyncOperationsQueue.cpp:180] 10/23/2012 17:56:23.312(Local)(8311 0.1) NTCE (312687) (fl=2433) Connection multiplexing enabled by server on the connection. [EdgeTcpConnectionDceRpcLayer.cpp:499] 10/23/2012 17:56:23.312(Local)(8311 0.1) NTCE (312700) (fl=2433) Header signing enabled by server on the connection. [EdgeTcpConnectionDceRpcLayer.cpp:510] 10/23/2012 17:56:23.312(Local)(8311 0.1) NTCE (312719) (fl=2433) OnNewConnection - Client IP 14.110.3.117 (0xe6e0375), Serv IP 14.110.3.99 (0xe6e0363), nDstPort=27744, nAssociationGroup=0x11de4,conn_fd=26, bWasConnectionFromReservedPool=0, bIsNewMapiSession=1 [ConnectionReservationManager.cpp:255] '''10/23/2012 17:56:23.366(Local)(8311 0.1) NTCE (366789) (fl=2433) Received security context from core with auth context id: 0 [EdgeTcpConnectionDceRpcLayer.cpp:2912] 10/23/2012 17:56:23.367(Local)(8311 0.1) NTCE (367157) (fl=2433) Security Layer moved to ESTB state [FlowSecurityLayer.cpp:311]''' 10/23/2012 17:56:23.368(Local)(8311 0.1) NTCE (368029) (fl=2433) Informational:: Send APC set to WS: asking for Cipher 2 [EdgeTcpConnectionDceRpcLayer.cpp:809] 10/23/2012 17:56:23.368(Local)(8311 0.1) NTCE (368041) (fl=2433) Sec-Params [CtxId, AL, AT, ACT, DCT, [Hs, ConnMplx, SecMplx]]:=[0, 6, 9, 18, 18 [1,1,0]] [FlowIOBuffers.cpp:477] 10/23/2012 17:56:23.369(Local)(8311 0.0) NTCE (369128) (fl=2433) CEdgeTcpConnectionEmsMdbLayer::ConnectRequestCommon (CallId 2): client version is ProductMajor:14, Product Minor:0, Build Major:6117, Build Minor:5001 Client ip 14.110.3.117 Client port 58352 Dest ip 14.110.3.99 Dest port 27744 [EdgeTcpConnectionEmsMdbLayer.cpp:1522] 10/23/2012 17:56:23.868(Local)(8311 0.1) ERRO (868390) (fl=2433) ContextHandle.IsNull() [EdgeTcpConnectionEmsMdbLayer.cpp:1612] 10/23/2012 17:56:23.890(Local)(8311 0.0) NTCE (890891) (fl=2433) CEdgeTcpConnectionEmsMdbLayer::ConnectRequestCommon (CallId 3): client version is ProductMajor:14, Product Minor:0, Build Major:6117, Build Minor:5001 Client ip 14.110.3.117 Client port 58352 Dest ip 14.110.3.99 Dest port 27744 [EdgeTcpConnectionEmsMdbLayer.cpp:1522]
동일한 TCP 연결에 대한 mapiao-errorlog의 해당 코어 WAE 출력입니다.
'''10/23/2012 17:56:54.092(Local)(6408 0.0) NTCE (92814) (fl=21) Core TCP connection initiated (11892640), Conn: [14.110.3.117:58352 <=> 14.110.3.99:27744], F
lavor: 0 [CoreTcpConnectionDceRpcLayer.cpp:99]
10/23/2012 17:56:54.092(Local)(6408 0.0) NTCE (92832) Core TCP connection initiated (11892640), Conn: [14.110.3.117:58352 <=> 14.110.3.99:27744], Flavor: 0
[CoreTcpConnectionDceRpcLayer.cpp:104]'''
10/23/2012 17:56:54.175(Local)(6408 0.0) NTCE (175035) SrlibCache Cache eviction starting: static void srlib::CSrlibCache:: OnAoShellDispatchCacheCleanup(vo
id*, aosh_work*) [SrlibCache.cpp:453]
10/23/2012 17:56:54.175(Local)(6408 0.0) NTCE (175068) last_cleanup_time (1344411860), evict_in_progress(1) handled_req_cnt (1) cache_size (0) [SrlibCache.
cpp:464]
10/23/2012 17:56:54.175(Local)(6408 0.0) NTCE (175121) SendNextCmd isDuringSend 0, WriteQueue sz 1, isDuringclose 0 [SrlibClientTransport.cpp:163]
10/23/2012 17:56:54.175(Local)(6408 0.0) NTCE (175132) SendNextCmd: Sending request: exchangeMDB/PDIDC-EXCHANGE1.pdidc.cisco.com:23[v:=11], WriteQueue sz 0
[bClose 0] [SrlibClientTransport.cpp:168]
10/23/2012 17:56:54.185(Local)(6408 0.1) NTCE (185576) OnReadComplete len 4 status 0 isDuringRead 1, isDuringHeaderRead 1, isDuringclose 0 [SrlibTransport.
cpp:127]
10/23/2012 17:56:54.185(Local)(6408 0.1) NTCE (185587) Parse header, msg body len 152 [SrlibTransport.cpp:111]
10/23/2012 17:56:54.185(Local)(6408 0.1) NTCE (185592) ReadNextMsg isDuringRead 0, isDuringHeaderRead 1, isDuringclose 0 [SrlibTransport.cpp:88]
10/23/2012 17:56:54.185(Local)(6408 0.1) NTCE (185623) OnReadComplete len 148 status 0 isDuringRead 1, isDuringHeaderRead 0, isDuringclose 0 [SrlibTranspor
t.cpp:127]
'''10/23/2012 17:56:54.185(Local)(6408 0.1) NTCE (185688) Insert new KrbKey: exchangeMDB/PDIDC-EXCHANGE1.pdidc.cisco.com::23[v:=11]:[{e,f,l}:={0, 0x1, 16} [S
rlibCache.cpp:735]
'''10/23/2012 17:56:54.185(Local)(6408 0.1) NTCE (185747) ReadNextMsg isDuringRead 0, isDuringHeaderRead 0, isDuringclose 0 [SrlibTransport.cpp:88]
'''10/23/2012 17:56:54.261(Local)(6408 0.1) NTCE (261575) (fl=21) Successfully created memory keytab with name: MEMORY:exchangeMDB@PDIDC-EXCHANGE1.pdidc.cisco
.com0nxrPblND [GssServer.cpp:468]
10/23/2012 17:56:54.261(Local)(6408 0.1) NTCE (261613) (fl=21) Successfully added entry in memory keytab. [GssServer.cpp:92]
10/23/2012 17:56:54.261(Local)(6408 0.1) NTCE (261858) (fl=21) Successfully acquired credentials. [GssServer.cpp:135]'''
일반적인 문제
다음은 eMAPI를 TG(Generic AO)에 연결하여 핸드오프하는 일반적인 이유입니다.
문제 1:코어 WAE에 구성된 암호화 서비스 ID에 AD에 올바른 권한이 없습니다.
코어 WAE의 sr-errolog 출력
09/25/2012 18:47:54.147(Local)(9063 0.1) ERRO (147570) session(0x517fa0) Failed to Retrieve Key from AD for SPN:exchangeMDB/outlook.sicredi.net.br error:16 [SRKeyRetriever.cpp:267] '''09/25/2012 18:47:54.147(Local)(9063 0.1) ERRO (147592) Key retrieval failed with Status 16 [SRKeyMgr.cpp:157] ''''''09/25/2012 18:47:54.147(Local)(9063 0.1) ERRO (147623) Identity "WAASMacAct" has been blacklisted [SRDiIdMgr.cpp:258] ''''''09/25/2012 18:47:54.147(Local)(9063 0.1) ERRO (147631) Key retrieval failed due to permission issue [SRKeyMgr.cpp:167] '''09/25/2012 18:47:54.147(Local)(9063 0.1) ERRO (147636) Identity: WAASMacAct will be black listed. [SRKeyMgr.cpp:168] 09/25/2012 18:47:54.147(Local)(9063 0.1) NTCE (147657) Calling KrbKeyResponse key handler in srlib [SRServer.cpp:189] 09/25/2012 18:47:54.147(Local)(9063 0.1) NTCE (147722) Queued send reponse buffer to client task [SrlibServerTransport.cpp:136] 09/25/2012 18:47:54.147(Local)(9063 0.1) NTCE (147730) KrbKeyResponse, sent to client session object [SrlibServer.cpp:203] 09/25/2012 18:47:54.147(Local)(9063 0.0) NTCE (147733) SendNextCmd isDuringSend 0, WriteQueue size 1 isDuringClose 0 [SrlibServerTransport.cpp:308] 09/25/2012 18:47:54.147(Local)(9063 0.1) NTCE (147740) Send Key response to the Client
해결 방법 1:컨피그레이션 가이드를 참조하고 AD의 객체에 올바른 권한이 있는지 확인합니다."Replicating Directory Changes(디렉토리 변경 사항 복제)" 및 "Replicating Directory Changes All(디렉토리 변경 사항 모두 복제)"을 모두 허용으로 설정해야 합니다.
문제 2:Core WAE와 KDC 간에 시간 차이가 있어 Core WAE에서 키를 검색하려고 합니다.
코어 WAE의 sr-errolog 출력
10/23/2012 01:31:33.507(Local)(1832 0.1) NTCE (507836) Initiating key retrieval [SRServer.cpp:271] 10/23/2012 01:31:33.507(Local)(1832 0.1) NTCE (507878) Match found for DN: pdidc.cisco.com is ID:MacchineAcctWAAS [SRDiIdMgr.cpp:163] 10/23/2012 01:31:33.507(Local)(1832 0.1) NTCE (507888) Identity MacchineAcctWAAS found in the Map [SRDiIdMgr.cpp:702] 10/23/2012 01:31:33.507(Local)(1832 0.1) NTCE (507901) DN Info found for domain pdidc.cisco.com [SRIdentityObject.cpp:168] 10/23/2012 01:31:33.507(Local)(1832 0.1) NTCE (507923) DRS_SPN: E3514235-4B06-11D1-AB04-00C04FC2DCD2/e4c83c51-0b59-4647-b45d-780dd2dc3344/PDIDC.CISCO.COM for PDI-7541-DC@PDIDC.CISCO.COM [GssCli.cpp:51] 10/23/2012 01:31:33.507(Local)(1832 0.1) NTCE (507933) CREATED srkr obj(0x2aaaac0008c0) for spn (exchangeMDB/pdidc-exchange1.pdidc.cisco.com) [SRKeyMgr.cpp:134] 10/23/2012 01:31:33.508(Local)(1832 1.6) NTCE (508252) Import cred successfull for pn: PDI-7541-DC@PDIDC.CISCO.COM [GssCli.cpp:135] 10/23/2012 01:31:33.511(Local)(1832 1.6) ERRO (511151) CreateSecurityContext: gss_init_sec_context failed [majorStatus = 851968 (0xd0000)] [GssCli.cpp:176] '''10/23/2012 01:31:33.511(Local)(1832 1.6) ERRO (511170) GSS_MAJOR ERROR:851968 msg_cnt:0, Miscellaneous failure (see text)CD2 [GssCli.cpp:25] 10/23/2012 01:31:33.511(Local)(1832 1.6) ERRO (511177) GSS_MINOR ERROR:2529624064 msg_cnt:0, Clock skew too great [GssCli.cpp:29] 10/23/2012 01:31:33.511(Local)(1832 1.6) ERRO (511182) gsskrb5_get_subkey failed: 851968,22, [GssCli.cpp:198] 10/23/2012 01:31:33.511(Local)(1832 1.6) ERRO (511188) session(0x2aaaac0008c0) Error: Invalid security ctx state, IsContinue is false with out token exchange [SRKeyRetriever.cpp:386] 10/23/2012 01:31:33.511(Local)(1832 1.6) ERRO (511193) session(0x2aaaac0008c0) Failed to Retrieve Key from AD for SPN:exchangeMDB/pdidc-exchange1.pdidc.cisco.com error:1 [SRKeyRetriever.cpp:267]''' 10/23/2012 01:31:33.511(Local)(1832 0.0) ERRO (511213) Key retrieval failed with Status 1 [SRKeyMgr.cpp:157]
해결 방법 2:모든 WAE(특히 코어)에서 ntpdate를 사용하여 시계를 KDC와 동기화합니다.그런 다음 엔터프라이즈 NTP 서버(KDC와 마찬가지로 같음)를 가리킵니다.
문제 3:암호화 서비스에 대해 정의한 도메인이 Exchange 서버가 있는 도메인과 일치하지 않습니다.
코어 WAE의 sr-errolog 출력
10/23/2012 18:41:21.918(Local)(3780 1.5) NTCE (918788) Key retrieval is in Progress [SRServer.cpp:322] 10/23/2012 18:41:21.918(Local)(3780 1.5) NTCE (918793) initiating key retrieval in progress [SRDataServer.cpp:441] 10/23/2012 18:41:21.918(Local)(3780 0.0) NTCE (918790) Initiating key retrieval [SRServer.cpp:271] 10/23/2012 18:41:21.918(Local)(3780 1.5) NTCE (918798) Sending ack for result 2, item name /cfg/gl/sr/sr_get_key/pdidc-exchange.cisco.com@cisco.com [SRDataServer.cpp:444] 10/23/2012 18:41:21.918(Local)(3780 0.0) ERRO (918813) Failed to find Identity match for domain cisco.com [SRDiIdMgr.cpp:157] 10/23/2012 18:41:21.918(Local)(3780 0.0) NTCE (918821) Failed to find identity match for domain [SRKeyMgr.cpp:120] 10/23/2012 18:41:21.918(Local)(3780 0.0) NTCE (918832) Send Key response to the Client for spn: exchangeMDB/pdidc-exchange.cisco.com, # of req's: 1 [SRKeyMgr.cpp:296]
해결 방법 3:코어 WAE가 여러 Exchange 서버를 서로 다른 도메인에 있는 경우 Exchange 서버가 상주하는 각 도메인에 대해 암호화 서비스 ID를 구성해야 합니다.
현재 하위 도메인은 지원되지 않습니다.myexchange.sub-domain.domain.com이 있는 경우 암호화 서비스 ID는 sub-domain.domain.com에 있어야 합니다.상위 도메인에 있을 수 없습니다.
문제 4:WANSecure에 장애가 발생하면 연결을 TG로 삭제할 수 있습니다.
WAN 보안 배관이 실패하여 eMAPI 연결을 일반 AO로 전달할 수 있습니다.인증서 확인에 실패하여 WAN Secure Plumb에 실패했습니다.기본 자체 서명 피어 인증서를 사용 중이거나 인증서가 합법적으로 OCSP 확인에 실패했기 때문에 피어 인증서 확인에 실패합니다.
코어 WAE 설정
crypto pki global-settings ocsp url http://pdidc.cisco.com/ocsp revocation-check ocsp-cert-url exit ! crypto ssl services host-service peering peer-cert-verify exit ! WAN Secure: Accelerator Config Item Mode Value ----------------------- ---- ------ SSL AO User enabled Secure store User enabled Peer SSL version User default Peer cipher list User default Peer cert User default Peer cert verify User enabled
이렇게 하면 다음과 같은 mapiao-errorlog 및 wsao-errorlog 항목이 생성됩니다.
이 힌트는 첫 번째 강조 표시된 "연속된 4회 이상 연결 끊김"입니다.
클라이언트 측 WAE의 Mapiao-errorlog:
'''10/08/2012 20:02:15.025(Local)(24333 0.0) NTCE (25621) (fl=267542) Client 10.16.1.201 disconnected more than four consecutive times - push down to generic ao. [EdgeTcpConnectionDceRpcLayer.cpp:1443] '''10/08/2012 20:02:15.025(Local)(24333 0.0) NTCE (25634) (fl=267542) CEdgeIOBuffers:: StartHandOverProcessSingleConnection: SECURED_STATE_NOT_ESTABLISHED [EdgeIOBuffers.cpp:826] 10/08/2012 20:02:15.025(Local)(24333 0.0) NTCE (25644) (fl=267542) CEdgeIOBuffers::CheckSendHandOverRequestToCoreAndBlockLan - Blocking LAN for read operations after last fragment of call id 0, current call id is 2 [EdgeIOBuffers.cpp:324] 10/08/2012 20:02:15.048(Local)(24333 0.1) NTCE (48753) (fl=267542) Connection multiplexing enabled by server on the connection. [EdgeTcpConnectionDceRpcLayer.cpp:499] 10/08/2012 20:02:15.048(Local)(24333 0.1) NTCE (48771) (fl=267542) Header signing enabled by server on the connection. [EdgeTcpConnectionDceRpcLayer.cpp:510] 10/08/2012 20:02:15.048(Local)(24333 0.1) NTCE (48779) (fl=267542) CEdgeIOBuffers:: StartHandOverProcessSingleConnection: GENERAL_UNCLASSIFIED [EdgeIOBuffers.cpp:826]
클라이언트 측 WAE의 Wsao-errorlog:
'''10/08/2012 20:04:34.430(Local)(5939 4.0) ERRO (430001) certificate verification failed 'self signed certificate' [open_ssl.cpp:1213] '''10/08/2012 20:04:34.430(Local)(5939 4.0) ERRO (430047) ssl_read failed: 'SSL_ERROR_SSL' [open_ssl.cpp:1217] 10/08/2012 20:04:34.430(Local)(5939 4.0) ERRO (430055) openssl errors: error:14090086: SSL routines: SSL3_GET_SERVER_CERTIFICATE:certificate verify failed:s3_clnt.c:1244: [open_ssl.cpp:1220]
해결 방법 4:두 WAE에서 피어 인증서 확인 컨피그레이션을 제거하고 코어 WAE에서 암호화 서비스를 다시 시작합니다.
pdi-7541-dc(config)#crypto ssl services host-service peering pdi-7541-dc(config-ssl-peering)#no peer-cert-verify pdi-7541-dc(config)#no windows-domain encryption-service enable pdi-7541-dc(config)#windows-domain encryption-service enable
문제 5:Outlook 클라이언트에서 NTLM을 사용하는 경우 연결이 일반 AO로 푸시됩니다.
클라이언트 측 WAE의 mapiao-errorlog에 다음이 표시됩니다.
'''waas-edge#find-patter match ntlm mapiao-errorlog.current ''' 09/21/2012 20:30:32.154(Local)(8930 0.1) NTCE (154827) (fl=83271) Bind Request from client with AGID 0x0, callId 1, to dest-ip 172.21. 12.96, AuthLevel: PRIVACY '''AuthType:NTLM '''AuthCtxId: 153817840 WsPlumb: 2 [EdgeTcpConnectionDceRpcLayer.cpp:1277] 09/21/2012 20:30:32.154(Local)(8930 0.1) NTCE (154861) (fl=83271) '''Unsupported''' '''Auth Type :NTLM''' [EdgeTcpConnectionDceRpcLayer.cpp:1401] 09/21/2012 20:30:40.157(Local) (8930 0.0) NTCE (157628) (fl=83283) Bind Request from client with AGID 0x0, callId 2, to dest-ip 172.21. 12.96, AuthLevel: PRIVACY AuthType:NTLM AuthCtxId: 153817840 WsPlumb: 2 [EdgeTcpConnectionDceRpcLayer.cpp:1277]
해결 방법 5:고객은 Exchange 환경에서 Kerberos 인증을 활성화/요구해야 합니다.NTLM은 지원되지 않습니다(5.1 기준).
CAS를 사용할 때 NTLM으로 전환해야 한다는 Microsoft 기술 브리프가 있습니다.
Kerberos가 작동하지 않는 시나리오는 Exchange 2010과 관련이 있으며 다음과 같은 시나리오가 있습니다.
조직/도메인에 여러 CAS(Exchange Client Access Server)가 있습니다.
이러한 CAS 서버는 Microsoft의 기본 제공 클라이언트 어레이 기능 또는 타사 로드 밸런서를 사용하는 모든 방법을 사용하여 함께 클러스터링됩니다.
위의 시나리오에서 Kerberos는 작동하지 않으며 클라이언트는 기본적으로 NTLM으로 폴백됩니다.이전 Exchange 릴리스에서와 같이 클라이언트가 CAS 서버와 사서함 서버에 대해 AUTH를 수행해야 하기 때문이라고 생각합니다.
Exchange 2010 RTM에서는 이 문제를 해결할 수 없습니다!위 시나리오의 Kerberos는 Exchange 2010-SP1 이전 버전에서 작동하지 않습니다.
SP1에서는 이러한 환경에서 Kerberos를 활성화할 수 있지만 수동 프로세스입니다.다음 문서를 참조하십시오.http://technet.microsoft.com/en-us/library/ff808313.aspx
MAPI AO 로깅
- MAPI AO 문제를 해결하는 데 사용할 수 있는 로그 파일은 다음과 같습니다.
- 트랜잭션 로그 파일:/local1/logs/tfo/working.log(및 /local1/logs/tfo/tfo_log_*.txt)
디버그 로그 파일:/local1/errorlog/mapiao-errorlog.current(및 mapiao-errorlog*)
디버깅을 보다 쉽게 하려면 먼저 패킷을 하나의 호스트로 제한하기 위해 ACL을 설정해야 합니다.
WAE674(config)# ip access-list extended 150 permit tcp host 10.10.10.10 any WAE674(config)# ip access-list extended 150 permit tcp any host 10.10.10.10
트랜잭션 로깅을 활성화하려면 다음과 같이 transaction-logs configuration 명령을 사용합니다.
wae(config)# transaction-logs flow enable wae(config)# transaction-logs flow access-list 150
다음과 같이 type-tail 명령을 사용하여 트랜잭션 로그 파일의 끝을 볼 수 있습니다.
wae# type-tail tfo_log_10.10.11.230_20090715_130000.txt Wed Jul 15 19:12:35 2009 :2289 :10.10.10.10 :3740 :10.10.100.101 :1146 :OT :END :EXTERNAL CLIENT :(MAPI) :822 :634 :556 :706 Wed Jul 15 19:12:35 2009 :2289 :10.10.10.10 :3740 :10.10.100.101 :1146 :SODRE :END :730 :605 :556 :706 :0 Wed Jul 15 19:12:35 2009 :2290 :10.10.10.10 :3738 :10.10.100.101 :1146 :OT :END :EXTERNAL CLIENT :(MAPI) :4758 :15914 :6436 :2006 Wed Jul 15 19:12:35 2009 :2290 :10.10.10.10 :3738 :10.10.100.101 :1146 :SODRE :END :4550 :15854 :6436 :2006 :0 Wed Jul 15 19:12:35 2009 :2284 :10.10.10.10 :3739 :10.10.100.101 :1146 :OT :END :EXTERNAL CLIENT :(MAPI) :1334 :12826 :8981 :1031
MAPI AO의 디버그 로깅을 설정하고 활성화하려면 다음 명령을 사용합니다.
참고:디버그 로깅은 CPU를 많이 사용하며 대량의 출력을 생성할 수 있습니다.생산 환경에서 현명하게 그리고 드물게 사용하십시오.
다음과 같이 디스크에 대한 자세한 로깅을 활성화할 수 있습니다.
WAE674(config)# logging disk enable WAE674(config)# logging disk priority detail
다음과 같이 ACL에서 연결에 대한 디버그 로깅을 활성화할 수 있습니다.
WAE674# debug connection access-list 150
MAPI AO 디버깅 옵션은 다음과 같습니다.
WAE674# debug accelerator mapi ? all enable all MAPI accelerator debugs Common-flow enable MAPI Common flow debugs DCERPC-layer enable MAPI DCERPC-layer flow debugs EMSMDB-layer enable MAPI EMSMDB-layer flow debugs IO enable MAPI IO debugs ROP-layer enable MAPI ROP-layer debugs ROP-parser enable MAPI ROP-parser debugs RPC-parser enable MAPI RPC-parser debugs shell enable MAPI shell debugs Transport enable MAPI transport debugs Utilities enable MAPI utilities debugs
MAPI 연결에 대한 디버그 로깅을 활성화한 다음 디버그 오류 로그의 끝을 다음과 같이 표시할 수 있습니다.
WAE674# debug accelerator mapi Common-flow WAE674# type-tail errorlog/mapiao-errorlog.current follow
피드백