WAAS - probleemoplossing voor MAPI AO

Hoofdstuk: Probleemoplossing voor MAPI-AO

In dit artikel wordt beschreven hoe u de MAPI AO problemen kunt oplossen.

Inhoud

• 1 MAPI-versneller
• 2 Versleutelde MAPI-versnelling
  • 2.1 Samenvatting
  • 2.2 Functieinformatie
  • 2.3 Methode voor probleemoplossing
    • 2.3.1 Stap 1 - Controleer de configuratie van de versleuteling en het succes van het sleutelophalen
    • 2.3.2 Stap 2 - In 5.0.3 is een nieuwe diagnostische opdracht geïntroduceerd om een aantal van de gewenste instellingen te controleren.
    • 2.3.3 Stap 3 - Controleer handmatig de WAE-instellingen die niet zijn ingeschakeld door de bovenstaande diagnostische opdracht.
  • 2.4 Gegevensanalyse
  • 2.5 Vaak voorkomende problemen
    • 2.5.1 Probleem 1: De identiteit van de Encryption Service die op de Core WAE is ingesteld, heeft niet de juiste rechten in AD.
    • 2.5.2 Resolutie 1: Raadpleeg de configuratiehandleiding en controleer of het object in AD de juiste rechten heeft. Omwentelingen van map reproduceren" en "Omwentelingen van map alle" moeten beide worden ingesteld om toe te staan.
    • 2.5.3 Probleem 2: Er is een tijdscheefheid tussen de Core WAE en de KDC die probeert de key te herstellen
    • 2.5.4 Resolutie 2: Gebruik een update op alle WAE's (met name de Core) om de kloktijd te synchroniseren met de KDC. Richt vervolgens op de NTP-server van de onderneming (bij voorkeur hetzelfde als de KDC).
    • 2.5.5 Probleem 3: Het domein dat u hebt gedefinieerd voor uw encryptie-service komt niet overeen met het domein waarin uw Exchange-server zich bevindt.
    • 2.5.6 Resolutie 3: Als uw Core WAE services meerdere Exchange servers in verschillende domeinen, moet u een Encryption Service Identity configureren voor elk domein waarin de Exchange servers wonen.
    • 2.5.7 Probleem 4: Als WANSecure mislukt, kunnen uw verbindingen naar TG vallen 
    • 2.5.8 Resolutie 4: Verwijder de peer cert verify-configuratie van beide WAE’s en start de encryptie-service op de Core WAE(s) opnieuw.
    • 2.5.9 Probleem 5: Als NTLM door de Outlook-client wordt gebruikt, wordt de verbinding naar Generic AO afgedrukt.
    • 2.5.10 Resolutie 5: De klant moet Kerberos-authenticatie in hun uitwisselingsomgeving toestaan of eisen. NTLM wordt NIET ondersteund (vanaf 5.1)
• 3 MAPI AO-vastlegging

MAPI-versneller

De MAPI-accelerator optimaliseert Microsoft Outlook-e-mailverkeer voor uitwisseling. De uitwisseling gebruikt het EMSMDB protocol, dat op MS-RPC wordt gelaagd, dat op zijn beurt TCP of HTTP (niet ondersteund) als laag transport gebruikt.

De MAPI AO ondersteunt Microsoft Outlook 2000-2007-klanten voor zowel gecached als niet-gecached mode verkeer. Beveiligde verbindingen die gebruik maken van berichtverificatie (ondertekening) of encryptie worden niet versneld door de MAPI AO. Dergelijke verbindingen en verbindingen van oudere klanten worden aan de algemene AO voor TFO-optimalisatie overgemaakt. Daarnaast worden Outlook Web Access (OWA) en Exchange-verbindingen niet ondersteund.

Opmerking: Microsoft Outlook 2007 heeft standaard codering ingeschakeld. U moet de codering uitschakelen om te profiteren van de MAPI-applicatie. In Outlook kiest u Gereedschappen > E-mailrekeningen, kiest u Bestaande e-mailaccounts weergeven of wijzigen en vervolgens klikt u op Volgende. Kies de Exchange account en klik vervolgens op Wijzigen. Klik op Meer instellingen en vervolgens op het tabblad Beveiliging. Schakel het vakje Encrypt data tussen Microsoft Office Outlook en Microsoft Exchange Server uit, zoals in afbeelding 1.

In plaats hiervan kunt u ook codering voor alle gebruikers van een Exchange Server uitschakelen door een Groepsbeleid te gebruiken.

Afbeelding 1. Encryptie uitschakelen in Outlook 2007

In de volgende gevallen gaat de MAPI AO niet met een verbinding om:

• Versleutelde verbinding (afgegeven aan de algemene AO)
• Niet-ondersteunde client (afgegeven aan de generieke AO)
• Onherstelbare paringsfout. Alle TCP verbindingen tussen de client en de server service worden losgekoppeld. Wanneer de client opnieuw wordt aangesloten, worden alle verbindingen afgegeven aan de generieke AO.
• Clientpogingen om een nieuwe associatiegroep op te richten voor de verbinding wanneer de WAE wordt overbelast.
• De client voert een verbinding in wanneer de WAE is overbelast en er geen MAPI-gereserveerde verbindingsbronnen beschikbaar zijn.

De client en de server van Outlook interageren in een sessie over een groep van TCP verbindingen die een associatie groep wordt genoemd. Binnen een associatiegroep kunnen objecten toegangen over om het even welke verbinding overspannen en de verbindingen worden dynamisch gecreëerd en vrijgegeven zoals nodig. Een client kan meer dan één associatiegroep tegelijkertijd open hebben voor verschillende servers of dezelfde server. (Openbare mappen worden op verschillende servers vanaf de postwinkel ingezet.)

Het is van essentieel belang dat alle MAPI-verbindingen binnen een associatiegroep door dezelfde WAE-paar in het tak- en datacentrum gaan. Indien sommige verbindingen binnen een associatiegroep niet door de MAPI AO op deze WAE's gaan, zou de MAPI AO de op die verbindingen uitgevoerde transacties niet zien en zouden de verbindingen de associatiegroep "ontsnappen". Om deze reden dient de MAPI AO niet te worden ingezet op seriële geclusterde inline WAE’s die een hoge beschikbaarheid groep vormen.

De symptomen van MAPI-verbindingen die aan hun WAE-associatiegroep ontsnappen, zijn Outlook-foutsymptomen zoals dubbele berichten of Outlook-antwoorden.

Bij een TFO-overlastvoorwaarde zouden nieuwe verbindingen voor een bestaande associatiegroep worden doorgevoerd en ontsnappen aan de MAPI AO, zodat de MAPI AO vooraf een aantal verbindingsbronnen behoudt om de impact van een overbelastingsomstandigheid tot een minimum te beperken. Zie het gedeelte "MAPI Application Accelerator Reserved Connections on Overload" in het artikel onder Overbelasting van probleemoplossing voor meer informatie over gereserveerde MAPI-verbindingen en de invloed daarvan op de overbelasting van het apparaat.

Controleer de algemene AO-configuratie en -status met de show-versneller en toon opdrachten voor licenties, zoals beschreven in het artikel Problemen oplossen bij toepassing-versnelling. De Enterprise-licentie is vereist voor MAPI-accelerator en de EPM-applicatie moet zijn ingeschakeld.

Controleer vervolgens de status die specifiek is voor de MAPI AO met behulp van de opdracht Show accelerator mapping, zoals in afbeelding 2. U wilt zien dat de MAPI AO is ingeschakeld, actief en geregistreerd, en dat de verbindingslimiet wordt weergegeven. Als de Config-staat is ingeschakeld maar de operationele staat is uitgeschakeld, duidt dit op een licentieprobleem.

Afbeelding 2. Controleer de MAPI Accelerator-status

Gebruik de opdracht Show statistics accelerator epm om te controleren of de EPM AO functioneel is. Controleer of de Total Handled connecties, Total Verzoeken succesvol geparseerd, en Total Responses met succes Parsed tellers toenemen wanneer een client gestart is.

Gebruik het tonen in werking stellen-in-stellen bevel om te verifiëren dat het MAPI en EPM verkeersbeleid correct zijn geconfigureerd. U wilt de mapping-kaart zien voor de E-mail-and-Messaging Application Action en u wilt de MS-EndPortMapper-classificatie en het verkeersbeleid als volgt definiëren:

WAE674# sh run | include mapi
map adaptor EPM mapi
 name Email-and-Messaging All action optimize full accelerate mapi

WAE674# sh run | begin MS-EndPointMapper
...skipping
classifier MS-EndPointMapper
  match dst port eq 135
exit

WAE674# sh run | include MS-EndPointMapper
  classifier MS-EndPortMapper
    name Other classifier MS-EndPortMapper action optimize DRE no compression none accelerate MS-port-mapper

Gebruik de volgende dynamische opdracht van de toonbeleidslijn-motor toepassing om na te gaan of er dynamische matchregels bestaan:

• Zoek een regel met gebruiker-ID: Naam EPM en map: Uida4f1db00-ca47-1067-b31f-00dd010662da.
• Het veld Stromen geeft het totale aantal actieve verbindingen aan met de Exchange-service.
• Voor elke MAPI-client moet u een afzonderlijk item zien met de gebruikershandleiding: MAPI.

Gebruik de verbinding van de showstatistiek geoptimaliseerde kaartenopdracht om te controleren dat het WAAS apparaat geoptimaliseerde MAPI verbindingen opstelt. Controleer dat "M" in de kolom Accel voor MAPI-verbindingen voorkomt, hetgeen aangeeft dat de MAPI AO als volgt is gebruikt:

WAE674# show stat conn opt mapi

Current Active Optimized Flows:                      2
 Current Active Optimized TCP Plus Flows:          1
 Current Active Optimized TCP Only Flows:          1
 Current Active Optimized TCP Preposition Flows:   0
Current Active Auto-Discovery Flows:                 0
Current Reserved Flows:                              12               <---------- Added in 4.1.5
Current Active Pass-Through Flows:                   0
Historical Flows:                                    161


D:DRE,L:LZ,T:TCP Optimization RR:Total Reduction Ratio
A:AOIM,C:CIFS,E:EPM,G:GENERIC,H:HTTP,M:MAPI,N:NFS,S:SSL,V:VIDEO

ConnID  Source IP:Port         Dest IP:Port        PeerID           Accel RR
342     10.56.94.101:4506    10.10.100.100:1456  0:1a:64:d3:2f:b8   TMDL  61.0%   <-----Look for "M"

Opmerking: In versie 4.1.5 werd de huidige reserveplichtige Stroomteller toegevoegd in de output. Deze teller verwijst naar het aantal gereserveerde MAPI-verbindingsbronnen op de WAE die momenteel niet gebruikt worden maar gereserveerd zijn voor toekomstige MAPI-verbindingen. Zie het gedeelte "MAPI Application Accelerator Reserved Connections on Overload" in het artikel onder Overbelasting van probleemoplossing voor meer informatie over gereserveerde MAPI-verbindingen en de invloed daarvan op de overbelasting van het apparaat.

Als u aansluitingen met "TGDL" observeert in de kolom Accel, zijn deze verbindingen naar beneden geduwd tot de generieke AO en alleen geoptimaliseerd voor transportoptimalisatie. Als dit verbindingen zijn die u verwacht te worden verwerkt door de MAPI AO, kan dit zijn omdat ze versleutelde MAPI-verbindingen zijn. Om het aantal versleutelde MAPI-verbindingen te controleren die zijn aangevraagd, gebruikt u de opdracht Show statistics accelerator mapping:

wae# sh stat accel mapi

MAPI:
Global Statistics
-----------------
Time Accelerator was started:                                      Thu Nov  5 19:45:19 2009
Time Statistics were Last Reset/Cleared:                           Thu Nov  5 19:45:19 2009
Total Handled Connections:                                         8615     
Total Optimized Connections:                                       8614     
Total Connections Handed-off with Compression Policies Unchanged:  0        
Total Dropped Connections:                                         1        
Current Active Connections:                                        20       
Current Pending Connections:                                       0        
Maximum Active Connections:                                        512      
Number of Synch Get Buffer Requests:                               1052     
Minimum Synch Get Buffer Size (bytes):                             31680    
Maximum Synch Get Buffer Size (bytes):                             31680    
Average Synch Get Buffer Size (bytes):                             31680    
Number of Read Stream Requests:                                    3844     
Minimum Read Stream Buffer Size (bytes):                           19       
Maximum Read Stream Buffer Size (bytes):                           31744    
Average Read Stream Buffer Size (bytes):                           14556    
Minimum Accumulated Read Ahead Data Size (bytes):                  0        
Maximum Accumulated Read Ahead Data Size (bytes):                  1172480  
Average Accumulated Read Ahead Data Size (bytes):                  594385   
Local Response Count:                                              20827    
Average Local Response Time (usec):                                250895   
Remote Response Count:                                             70486    
Average Remote Response Time (usec):                               277036     
Current 2000 Accelerated Sessions:                                 0        
Current 2003 Accelerated Sessions:                                 1        
Current 2007 Accelerated Sessions:                                 0        
Secured Connections:                                               1               <-----Encrypted connections        
Lower than 2000 Sessions:                                          0        
Higher than 2007 Sessions:                                         0        

U kunt de IP-adressen van klanten vinden die om versleutelde MAPI-verbindingen in de computer vragen door naar berichten als de volgende te zoeken:

2009 Jan 5 13:11:54 WAE512 mapi_ao: %WAAS-MAPIAO-3-132104: (929480) Encrypted connection. Client ip: 10.36.14.82

U kunt de MAPI-verbindingsstatistieken bekijken met behulp van de opdracht voor geoptimaliseerde mapdetails van de showstatistieken:

WAE674# show stat conn opt mapi detail
Connection Id:            1830
 Peer Id:                  00:14:5e:84:24:5f
 Connection Type:          EXTERNAL CLIENT
 Start Time:               Thu Jun 25 06:32:27 2009
 Source IP Address:        10.10.10.10
 Source Port Number:       3774
 Destination IP Address:   10.10.100.101
 Destination Port Number:  1146
 Application Name:         Email-and-Messaging                            <-----Should see Email-and-Messaging
 Classifier Name:          **Map Default**
 Map Name:                 uuida4f1db00-ca47-1067-b31f-00dd010662da       <-----Should see this UUID
 Directed Mode:            FALSE
 Preposition Flow:         FALSE
 Policy Details:
        Configured:        TCP_OPTIMIZE + DRE + LZ
           Derived:        TCP_OPTIMIZE + DRE + LZ
              Peer:        TCP_OPTIMIZE + DRE + LZ
        Negotiated:        TCP_OPTIMIZE + DRE + LZ
           Applied:        TCP_OPTIMIZE + DRE + LZ
 Accelerator Details:
             Configured:   MAPI                                           <-----Should see MAPI configured
                Derived:   MAPI 
                Applied:   MAPI                                           <-----Should see MAPI applied
                   Hist:   None
                                             Original            Optimized
                                 -------------------- --------------------
 Bytes Read:                                     4612                 1973
 Bytes Written:                                  4086                 2096
. . .

In deze output worden lokale en afstandsrespontellingen en gemiddelde responsietijden weergegeven:

 . . . 
MAPI : 1830

 Time Statistics were Last Reset/Cleared:                           Thu Jun 25
06:32:27 2009
 Total Bytes Read:                                                46123985
 Total Bytes Written:                                             40864046
Number of Synch Get Buffer Requests:                               0
Minimum Synch Get Buffer Size (bytes):                             0
Maximum Synch Get Buffer Size (bytes):                             0
Average Synch Get Buffer Size (bytes):                             0
Number of Read Stream Requests:                                    0
Minimum Read Stream Buffer Size (bytes):                           0
Maximum Read Stream Buffer Size (bytes):                           0
Average Read Stream Buffer Size (bytes):                           0
Minimum Accumulated Read Ahead Data Size (bytes):                  0
Maximum Accumulated Read Ahead Data Size (bytes):                  0
Average Accumulated Read Ahead Data Size (bytes):                  0
Local Response Count:                                              0                  <----------
Average Local Response Time (usec):                                0                  <----------
Remote Response Count:                                             19                 <----------
Average Remote Response Time (usec):                               89005              <----------
. . . 

Versleutelde MAPI-versnelling

Samenvatting

Vanaf WAAS 5.0.1 kan de MAPI-versneller het gecodeerde MAPI-verkeer nu versnellen. Deze optie wordt standaard ingeschakeld in de release 5.0.3. Er zijn echter verschillende vereisten in zowel de WAAS- als de Microsoft AD-omgeving om het versleutelde MAPI-verkeer te kunnen versnellen. Deze handleiding helpt u de eMAPI-functies te controleren en problemen op te lossen.

Functieinformatie

eMAPI wordt standaard in 5.0.3 ingeschakeld en vereist het volgende om het versleutelde verkeer te versnellen.

1) CMS-veilige opslag moet worden geïnitialiseerd en open zijn voor alle Core WAE's

2) De WAE's moeten de FQDN van de Exchange server(s) en Kerberos KDC (Active Directory Controller) kunnen oplossen

3) De WAE's klokken moeten overeenkomen met de KDC

4) SSL (Verkenner, WAN Secure en eMAPI) moet op alle WAEs in het pad van Outlook naar Exchange zijn ingeschakeld

5) De WAE's in het pad moeten de juiste beleidskaart hebben

6) De Core WAE(s) moet(en) beschikken over een of meer versleutelde services domeinnamen (gebruiker- of machineaccount)

7) Als een computeraccount wordt gebruikt, moet deze WAE worden aangesloten op het AD-domein.

8) Vervolgens moet de machine of de gebruikersaccount gebruikt worden en moeten die objecten in de actieve map specifieke rechten krijgen. Omwentelingen van map reproduceren" en "Omwentelingen van map alle" moeten beide worden ingesteld om toe te staan.

De aanbevolen manier om dit te doen is via een Universal Security group (bijvoorbeeld de rechten aan de groep toewijzen en vervolgens de WAAS-apparaten en/of gebruikersnamen toevoegen die in de Encryption Service zijn gespecificeerd). Zie de bijgevoegde handleiding voor screenshots van de AD-configuratie en WAAS CM GUI.

Methode voor probleemoplossing

Stap 1 - Controleer de configuratie van de versleuteling en het succes van het sleutelophalen

Terwijl de diagnostische opdracht (stap 2) het bestaan van een encryptiedienst verifieert, verifieert deze niet of het ophalen van de sleutel succesvol zal zijn. Vandaar dat we dat niet weten door die diagnostische opdracht gewoon uit te voeren als de juiste permissies aan het object in Active Directory (een machine of een gebruikersaccount) werden gegeven.

Samenvatting van wat er moet worden gedaan om de encryptie-service te configureren en te controleren, zal het belangrijkste ophalen opleveren

Gebruikersaccount:

1. AD-gebruiker maken

2. AD-groep maken en "Map-wijzigingen kopiëren" en "Map-herkenning omzetten in alle" instellen op TOEGESTAAN

3. de gebruiker aan de gemaakte groep toevoegen

4. de identiteit van gebruikersaccountdomein in encryptiediensten definiëren

5. loper diagnostische cli

Windows-domein diagnostiek voor encryptie-service Get-key <exchange server FQDN> <domeinnaam>

Let erop dat u de naam van de echte/echte server gebruikt die op de server is ingesteld en niet een FQDN-type van het NLB/VIP-type dat op meerdere uitwisselingsservers kan worden opgeslagen.

6. indien het ophalen van een sleutel werkt

Voorbeeld van succes:

di-7541-dc#windows-domain diagnostiek-service get-key pdidc-exchange1.pdidc.cisco.com pdidc.cisco.com

SPN pdidc-exchange1.pdidc.cisco.com, Domeinnaam: pdidc.cisco.com

Belangrijk herstel is in gang gezet.

di-7541-dc#windows-domain diagnostiek-service get-key pdidc-exchange1.pdidc.cisco.com pdidc.cisco.com

SPN pdidc-exchange1.pdidc.cisco.com, Domeinnaam: pdidc.cisco.com

Key for pdidc-exchange1.pdidc.cisco.com bevindt zich in geheugen key cache

Machine-account

1. sluit zich aan bij kern WAE-apparaat(s) op AD-domein

2.creëer AD-groep en stel "Map-wijzigingen kopiëren" en "Map-herkenningen herhalen" in op TOEGESTAAN

3. computeraccount(s) aan groep toevoegen

4. configureer encryptiediensten voor het gebruik van een computeraccount

5. Geef enige tijd om het groepsbeleid op de aangesloten machine toe te passen of forceer de toepassing van groepsbeleid van de AD. gpupdate/force.

6. loper diagnostische cli

Windows-domein diagnostiek voor encryptie-service Get-key <exchange server FQDN> <domeinnaam>

Let erop dat u de naam van de echte/echte server gebruikt die op de server is ingesteld en niet een FQDN-type van het NLB/VIP-type dat op meerdere uitwisselingsservers kan worden opgeslagen.

7. indien het ophalen van een sleutel werkt

Voor meer details en schermschoten op Encryopservice en AD-configuratie zie de bijgevoegde gids.

Stap 2 - In 5.0.3 is een nieuwe diagnostische opdracht geïntroduceerd om een aantal van de gewenste instellingen te controleren.

̶-versnellerkaart verifieert coderingsinstellingen

1.CLI voert verschillende geldigheidstests uit. De output is een samenvatting van het vermogen om gecodeerde MAPI-verkeer als rand of kern te versnellen.

2.Controleer de status-/configuratieeigenschappen van de verschillende componenten om de encryptiedienst goed te laten werken.

3. Wanneer een configuratieprobleem wordt gevonden, wordt het uitgevoerd wat er ontbreekt en de CLI of de handelingen om het te repareren.

4.Het geeft de samenvatting weer als Edge device en Core-apparaat. Een apparaat dat zowel de rand als de kern kan zijn, moet EMAPI operationeel hebben voor zowel de rand als de kern.

Hieronder staat een voorbeelduitvoer van een niet juist geconfigureerd WAE:

Core#accelerator mapi verify encryption-settings
[EDGE:]
 Verifying Mapi Accelerator State
 --------------------------------
        Status: FAILED
        Accelerator     Config State    Operational State
        -----------     ------------    -----------------
        mapi            Disabled        Shutdown
        >>Mapi Accelerator should be Enabled
        >>Mapi Accelerator should be in Running state
 
 Verifying SSL Accelerator State
 -------------------------------
        Status: FAILED
        >>Accelerator   Config State    Operational State
        -----------     ------------    -----------------
        ssl             Disabled        Shutdown
        >>SSL Accelerator should be Enabled
        >>SSL Accelerator should be in Running state
 
 Verifying Wan-secure State
 --------------------------
        Status: FAILED
        >>Accelerator   Config State    Operational State
        -----------     ------------    -----------------
        wan-secure      Disabled        Shutdown
        >>Wan-secure should be Enabled
        >>Wan-secure should be in Running state
 
Verifying Mapi Wan-secure mode Setting
 ---------------------------------
        Status: FAILED
        Accelerator Config Item                 Mode            Value
        -----------------------                 ----            ------
        WanSecure Mode                          User            Not Applicable
        >>Mapi wan-secure setting should be auto/always
 Verifying NTP State
 --------------------
       Status: FAILED
       >>NTP status should be enabled and configured

Summary [EDGE]:
 ===============
      Device has to be properly configured for one or more components
 
[CORE:]
Verifying encryption-service State
 ----------------------------------
        Status: FAILED
        Service                 Config State    Operational State
        -----------             ------------    -----------------
        Encryption-service      Disabled        Shutdown
        >>Encryption Service should be Enabled
       >>Encryption Service status should be in 'Running' state
 
Verifying Encryption-service Identity Settings
 ----------------------------------------------
        Status: FAILED
        >>No active Encryption-service Identity is configured.
        >>Please configure an active Windows Domain Encryption Service Identity.

 Summary [CORE]: Applicable only on CORE WAEs
 ============================================
        Device has to be properly configured for one or more components

Hieronder staat de output van een Core WAE die correct is geconfigureerd:

Core#acc mapi verify encryption-settings [EDGE:]

Verifying Mapi Accelerator State
--------------------------------
       Status: OK
Verifying SSL Accelerator State
-------------------------------
       Status: OK
Verifying Wan-secure State
--------------------------
       Status: OK
Verifying Mapi encryption Settings
----------------------------------
       Status: OK
Verifying Mapi Wan-secure mode Setting
---------------------------------
       Status: OK
Verifying NTP State
--------------------
       Status: OK
Summary [EDGE]:
===============
       Device has proper configuration to accelerate encrypted traffic

[CORE:]

Verifying encryption-service State
----------------------------------
       Status: OK
Verifying Encryption-service Identity Settings
----------------------------------------------
       Status: OK
Summary [CORE]: Applicable only on CORE WAEs
============================================
       Device has proper configuration to accelerate encrypted traffic

Stap 3 - Controleer handmatig de WAE-instellingen die niet onder de bovenstaande diagnostische opdracht zijn ingeschakeld.

1) De bovengenoemde opdracht, terwijl deze controleert of er NTP is ingesteld, verifieert in werkelijkheid niet de tijden die in sync zijn tussen de WAE en de KDC. Het is erg belangrijk dat de tijden in overeenstemming zijn tussen de Core en de KDC om te bereiken dat belangrijke herwinning succesvol is.

Als de handmatige controle duidelijk maakt dat ze niet sync zijn, is een eenvoudige manier om de kloktijd van de WAE te forceren om in sync te zijn, de tijdelijke opdracht (date <KDC>). Richt vervolgens de WAE's op de NTP-server van de onderneming.

2) Controleer of het proces van uitbreiding succes heeft op alle WAE's voor de FQDN van de Exchange servers en FQDN van de KDC's

3) Controleer of de class-map en de beleidskaart correct zijn geconfigureerd op alle WAE's in het pad.

pdi-7541-dc#sh class-map type was MAPI

Klasse-kaarttype was overeenkomend met elke MAPI

Overeenkomend TCP/IP-bestemming epm-mapping (0 flow-overeenkomsten)

pdi-7541-dc#show beleidskaart-type was beleidskaart-type

WAAS-GLOBAL (6084690 in totaal)

Klasse MAPI (0 flow-overeenkomsten)
optimaliseren van volledige acceleratie-applicatie e-mail en -Messaging

4) Controleer of de CMS-veilige winkel open is en op alle WAE's wordt geformatteerd "laat de cms-veilige winkel zien"

Gegevensanalyse

Naast het analyseren van de output van het diagnostische bevel en de handmatige show opdrachten kunt u het systeemrapport nodig hebben om te bekijken.

In het bijzonder wilt u de mapiao-errorlog, sr-errorlog (alleen core WAE) en wsao-errorlog bestanden bekijken.

Afhankelijk van het scenario zullen er aanwijzingen zijn in elk logbestand die ertoe zullen leiden dat de connecties naar de generieke AO vallen.

Hier wordt een steekproefuitvoer weergegeven die verschillende werkcomponenten toont

Deze uitvoer is afkomstig van sr-errorlog en laat de validatie van Machine Account Encryption Service Identity zien

Opmerking: Dit bevestigt alleen dat de Core WAE zich heeft aangesloten bij het domein en dat de machine account bestaat.

07/03/2012 19:12:07.278(Local)(6249 1.5) NTCE (278902) Adding Identity MacchineAcctWAAS to map active list in SRMain [SRMain.cpp:215]
07/03/2012 19:12:07.279(Local)(6249 1.5) NTCE (279018) Adding identity(MacchineAcctWAAS) to Map [SRDiIdMgr.cpp:562]
07/03/2012 19:12:07.279(Local)(6249 1.5) NTCE (279282) Activate Id: MacchineAcctWAAS [SRMain.cpp:260]
07/03/2012 19:12:07.279(Local)(6249 1.5) NTCE (279306) Identity MacchineAcctWAAS found in the Map [SRDiIdMgr.cpp:702]
07/03/2012 19:12:07.279(Local)(6249 1.5) NTCE (279321) Authentication for ID: MacchineAcctWAAS [SRDiIdMgr.cpp:398]
07/03/2012 19:12:07.330(Local)(6249 1.5) NTCE (330581) Authentication success, tkt validity starttime 1341342727 endtime 1341378727 [SRDiIdMgr.cpp:456]
07/03/2012 19:12:07.330(Local)(6249 1.5) NTCE (330599)
ID_TAG :MacchineAcctWAAS
Name : pdi-7541-dc
Domain : PDIDC.CISCO.COM
Realm : PDIDC.CISCO.COM
CLI_GUID :
SITE_GUID :
CONF_GUID :
Status:ENABLED
Black_Listed:NO
AUTH_STATUS: SUCCESS
ACCT_TYPE:Machine [SRIdentityObject.cpp:85]
07/03/2012 19:12:07.331(Local)(6249 1.5) NTCE (331685) DN Info found for domain PDIDC.CISCO.COM [SRIdentityObject.cpp:168]
07/03/2012 19:12:07.347(Local)(6249 1.5) NTCE (347680) Import cred successfull for pn: pdi-7541-dc@PDIDC.CISCO.COM [AdsGssCli.cpp:111]

Deze output komt opnieuw van de Core sr-errorlog en toont succesvolle sleutelherwinning van KDC.

10/23/2012 15:46:55.673(Local)(3780 1.2) NTCE (673766) Key Not Found in cache, initiating retrieval for spn:exchangeMDB/pdidc-exchange1.pdidc.cisco.com [SRServer.cpp:297]
10/23/2012 15:46:55.673(Local)(3780 1.2) NTCE (673811) Queued InitiateKeyRetrieval task [SRServer.cpp:264]10/23/2012 15:46:55.673(Local)(3780 1.2) NTCE (673819) 
Key retrieval is in Progress [SRServer.cpp:322]
10/23/2012 15:46:55.673(Local)(3780 0.0) NTCE (673818) Initiating key retrieval [SRServer.cpp:271]
10/23/2012 15:46:55.673(Local)(3780 1.2) NTCE (673827) initiating key retrieval in progress [SRDataServer.cpp:441]
10/23/2012 15:46:55.673(Local)(3780 1.2) NTCE (673834) Sending ack for result 2, item name /cfg/gl/sr/sr_get_key/pdidc-exchange1.pdidc.cisco.com@pdidc.cisco.com 
[SRDataServer.cpp:444]
10/23/2012 15:46:55.673(Local)(3780 0.0) NTCE (673922) Match found for DN: pdidc.cisco.com is ID:MacchineAcctWAAS [SRDiIdMgr.cpp:163]
10/23/2012 15:46:55.673(Local)(3780 0.0) NTCE (673937) Identity MacchineAcctWAAS found in the Map [SRDiIdMgr.cpp:702]
10/23/2012 15:46:55.673(Local)(3780 0.0) NTCE (673950) DN Info found for domain pdidc.cisco.com [SRIdentityObject.cpp:168]
10/23/2012 15:46:55.674(Local)(3780 0.0) NTCE (674011) DRS_SPN: E3514235-4B06-11D1-AB04-00C04FC2DCD2/e4c83c51-0b59-4647-b45d-780dd2dc3344/PDIDC.CISCO.COM for 
PDI-7541-DC@PDIDC.CISCO.COM [GssCli.cpp:51]
10/23/2012 15:46:55.674(Local)(3780 0.0) NTCE (674020) CREATED srkr obj(0x50aa00) for spn (exchangeMDB/pdidc-exchange1.pdidc.cisco.com) [SRKeyMgr.cpp:134]
10/23/2012 15:46:55.674(Local)(3780 1.3) NTCE (674421) Import cred successfull for pn: PDI-7541-DC@PDIDC.CISCO.COM [GssCli.cpp:135]
10/23/2012 15:46:55.676(Local)(3780 1.3) NTCE (676280) session(0x50aa00) Complete TGT stage of GSS Successful, Initiating AppApi [SRKeyRetriever.cpp:408]
10/23/2012 15:46:55.676(Local)(3780 0.1) NTCE (676415) SRKR: Success in posting connect to service <ip:0e:6e:03:a3><port:135> [IoOperation.cpp:222]
10/23/2012 15:46:55.676(Local)(3780 0.0) NTCE (676607) Connected to server. [IoOperation.cpp:389]
10/23/2012 15:46:55.677(Local)(3780 0.0) NTCE (677736) SRKR: Success in posting connect to service <ip:0e:6e:03:a3><port:1025> [IoOperation.cpp:222]
10/23/2012 15:46:55.678(Local)(3780 0.1) NTCE (678001) Connected to server. [IoOperation.cpp:389]
10/23/2012 15:46:55.679(Local)(3780 0.1) NTCE (679500) Cleaning up credential cache for PDI-7541-DC@PDIDC.CISCO.COM [GssCli.cpp:212]
10/23/2012 15:46:55.680(Local)(3780 0.1) NTCE (680011) Parsing DRSBIND Response [AppApiDrsBind.cpp:222]
10/23/2012 15:46:55.680(Local)(3780 0.1) NTCE (680030) DRSBind Success, Status:00000000 [AppApiDrsBind.cpp:359]
10/23/2012 15:46:55.685(Local)(3780 0.1) NTCE (685502) session(0x50aa00) Successful in Key Retrieval from AD for SPN:exchangeMDB/pdidc-exchange1.pdidc.cisco.com 
[SRKeyRetriever.cpp:269]
10/23/2012 15:46:55.685(Local)(3780 0.1) NTCE (685583) Send Key response to the Client for spn: exchangeMDB/pdidc-exchange1.pdidc.cisco.com, # of req's : 1
[SRKeyMgr.cpp:296]
10/23/2012 15:46:55.685(Local)(3780 0.1) NTCE (685594) Deleting spn: exchangeMDB/pdidc-exchange1.pdidc.cisco.com entry from Pending key request map [SRKeyMgr.cpp:303]

Deze uitvoer komt uit het mapiao-orlog-bestand in de Edge WAE voor een succesvolle eMAPI-verbinding

'''10/23/2012 17:56:23.080(Local)(8311 0.1) NTCE (80175) (fl=2433) Edge TCP connection initiated (-1409268656), Conn: [14.110.3.117:58352 <=> 14.110.3.99:27744], 
Flavor: 0 [EdgeTcpConnectionDceRpcLayer.cpp:43]
10/23/2012 17:56:23.080(Local)(8311 0.1) NTCE (80199) Edge TCP connection initiated (-1409268656), Conn: [14.110.3.117:58352 <=> 14.110.3.99:27744], Flavor: 0 
[EdgeTcpConnectionDceRpcLayer.cpp:48]
10/23/2012 17:56:23.108(Local)(8311 0.0) NTCE (108825) (fl=2433) Bind Request from client with AGID 0x0, callId 2, to dest-ip 14.110.3.99, AuthLevel: PRIVACY 
AuthType: SPNEGO AuthCtxId: 0 WsPlumb:1 
[EdgeTcpConnectionDceRpcLayer.cpp:1277]'''
10/23/2012 17:56:23.109(Local)(8311 0.0) NTCE (109935) CheckAndDoAoshReplumbing perform replumbing wsPlumbState 1 [Session.cpp:315]
10/23/2012 17:56:23.109(Local)(8311 0.0) NTCE (109949) (fl=2433) AOSH Replumbing was performed returned Status 0 [Session.cpp:337]
10/23/2012 17:56:23.109(Local)(8311 0.0) NTCE (109956) CheckAndPlumb WanSecure(14) ret:= [1,0] WsPlumb:4 fd[client,server]:=[25,26] [AsyncOperationsQueue.cpp:180]
10/23/2012 17:56:23.312(Local)(8311 0.1) NTCE (312687) (fl=2433) Connection multiplexing enabled by server on the connection. [EdgeTcpConnectionDceRpcLayer.cpp:499]
10/23/2012 17:56:23.312(Local)(8311 0.1) NTCE (312700) (fl=2433) Header signing enabled by server on the connection. [EdgeTcpConnectionDceRpcLayer.cpp:510]
10/23/2012 17:56:23.312(Local)(8311 0.1) NTCE (312719) (fl=2433) OnNewConnection - Client IP 14.110.3.117 (0xe6e0375), Serv IP 14.110.3.99 (0xe6e0363), nDstPort=27744, 
nAssociationGroup=0x11de4,conn_fd=26, 
bWasConnectionFromReservedPool=0, bIsNewMapiSession=1 [ConnectionReservationManager.cpp:255]
'''10/23/2012 17:56:23.366(Local)(8311 0.1) NTCE (366789) (fl=2433) Received security context from core with auth context id: 0 [EdgeTcpConnectionDceRpcLayer.cpp:2912]
10/23/2012 17:56:23.367(Local)(8311 0.1) NTCE (367157) (fl=2433) Security Layer moved to ESTB state [FlowSecurityLayer.cpp:311]'''
10/23/2012 17:56:23.368(Local)(8311 0.1) NTCE (368029) (fl=2433) Informational:: Send APC set to WS: asking for Cipher 2 [EdgeTcpConnectionDceRpcLayer.cpp:809]
10/23/2012 17:56:23.368(Local)(8311 0.1) NTCE (368041) (fl=2433) Sec-Params [CtxId, AL, AT, ACT, DCT, [Hs, ConnMplx, SecMplx]]:=[0, 6, 9, 18, 18 [1,1,0]] 
[FlowIOBuffers.cpp:477]
10/23/2012 17:56:23.369(Local)(8311 0.0) NTCE (369128) (fl=2433) CEdgeTcpConnectionEmsMdbLayer::ConnectRequestCommon (CallId 2): client version is ProductMajor:14, 
Product Minor:0, Build Major:6117, 
Build Minor:5001 Client ip 14.110.3.117 Client port 58352 Dest ip 14.110.3.99 Dest port 27744 [EdgeTcpConnectionEmsMdbLayer.cpp:1522]
10/23/2012 17:56:23.868(Local)(8311 0.1) ERRO (868390) (fl=2433) ContextHandle.IsNull() [EdgeTcpConnectionEmsMdbLayer.cpp:1612]
10/23/2012 17:56:23.890(Local)(8311 0.0) NTCE (890891) (fl=2433) CEdgeTcpConnectionEmsMdbLayer::ConnectRequestCommon (CallId 3): client version is ProductMajor:14, 
Product Minor:0, Build Major:6117, 
Build Minor:5001 Client ip 14.110.3.117 Client port 58352 Dest ip 14.110.3.99 Dest port 27744 [EdgeTcpConnectionEmsMdbLayer.cpp:1522]

Hier is de corresponderende Core WAE-uitvoer van mapiao-errorlog voor dezelfde TCP-verbinding

'''10/23/2012 17:56:54.092(Local)(6408 0.0) NTCE (92814) (fl=21) Core TCP connection initiated (11892640), Conn: [14.110.3.117:58352 <=> 14.110.3.99:27744], F
lavor: 0 [CoreTcpConnectionDceRpcLayer.cpp:99]
10/23/2012 17:56:54.092(Local)(6408 0.0) NTCE (92832) Core TCP connection initiated (11892640), Conn: [14.110.3.117:58352 <=> 14.110.3.99:27744], Flavor: 0
[CoreTcpConnectionDceRpcLayer.cpp:104]'''
10/23/2012 17:56:54.175(Local)(6408 0.0) NTCE (175035) SrlibCache Cache eviction starting: static void srlib::CSrlibCache:: OnAoShellDispatchCacheCleanup(vo
id*, aosh_work*) [SrlibCache.cpp:453]
10/23/2012 17:56:54.175(Local)(6408 0.0) NTCE (175068) last_cleanup_time (1344411860), evict_in_progress(1) handled_req_cnt (1) cache_size (0) [SrlibCache.
cpp:464]
10/23/2012 17:56:54.175(Local)(6408 0.0) NTCE (175121) SendNextCmd isDuringSend 0, WriteQueue sz 1, isDuringclose 0 [SrlibClientTransport.cpp:163]
10/23/2012 17:56:54.175(Local)(6408 0.0) NTCE (175132) SendNextCmd: Sending request: exchangeMDB/PDIDC-EXCHANGE1.pdidc.cisco.com:23[v:=11], WriteQueue sz 0
[bClose 0] [SrlibClientTransport.cpp:168]
10/23/2012 17:56:54.185(Local)(6408 0.1) NTCE (185576) OnReadComplete len 4 status 0 isDuringRead 1, isDuringHeaderRead 1, isDuringclose 0 [SrlibTransport.
cpp:127]
10/23/2012 17:56:54.185(Local)(6408 0.1) NTCE (185587) Parse header, msg body len 152 [SrlibTransport.cpp:111]
10/23/2012 17:56:54.185(Local)(6408 0.1) NTCE (185592) ReadNextMsg isDuringRead 0, isDuringHeaderRead 1, isDuringclose 0 [SrlibTransport.cpp:88]
10/23/2012 17:56:54.185(Local)(6408 0.1) NTCE (185623) OnReadComplete len 148 status 0 isDuringRead 1, isDuringHeaderRead 0, isDuringclose 0 [SrlibTranspor
t.cpp:127]
'''10/23/2012 17:56:54.185(Local)(6408 0.1) NTCE (185688) Insert new KrbKey: exchangeMDB/PDIDC-EXCHANGE1.pdidc.cisco.com::23[v:=11]:[{e,f,l}:={0, 0x1, 16} [S
rlibCache.cpp:735]
'''10/23/2012 17:56:54.185(Local)(6408 0.1) NTCE (185747) ReadNextMsg isDuringRead 0, isDuringHeaderRead 0, isDuringclose 0 [SrlibTransport.cpp:88]
'''10/23/2012 17:56:54.261(Local)(6408 0.1) NTCE (261575) (fl=21) Successfully created memory keytab with name: MEMORY:exchangeMDB@PDIDC-EXCHANGE1.pdidc.cisco
.com0nxrPblND [GssServer.cpp:468]
10/23/2012 17:56:54.261(Local)(6408 0.1) NTCE (261613) (fl=21) Successfully added entry in memory keytab. [GssServer.cpp:92]
10/23/2012 17:56:54.261(Local)(6408 0.1) NTCE (261858) (fl=21) Successfully acquired credentials. [GssServer.cpp:135]'''

Vaak voorkomende problemen

Hieronder volgen een aantal gemeenschappelijke redenen die resulteren in eMAPI-verbinding met de afvoer naar Generic AO (TG).  

Probleem 1: De identiteit van de Encryption Service die op de Core WAE is ingesteld, heeft niet de juiste rechten in AD.

Uitvoer van sr-journaal op Core WAE

09/25/2012 18:47:54.147(Local)(9063 0.1) ERRO (147570) session(0x517fa0) Failed to Retrieve Key from AD for SPN:exchangeMDB/outlook.sicredi.net.br error:16 [SRKeyRetriever.cpp:267]
'''09/25/2012 18:47:54.147(Local)(9063 0.1) ERRO (147592) Key retrieval failed with Status 16 [SRKeyMgr.cpp:157]
''''''09/25/2012 18:47:54.147(Local)(9063 0.1) ERRO (147623) Identity "WAASMacAct" has been blacklisted [SRDiIdMgr.cpp:258]
''''''09/25/2012 18:47:54.147(Local)(9063 0.1) ERRO (147631) Key retrieval failed due to permission issue [SRKeyMgr.cpp:167]
'''09/25/2012 18:47:54.147(Local)(9063 0.1) ERRO (147636) Identity: WAASMacAct will be black listed. [SRKeyMgr.cpp:168]
09/25/2012 18:47:54.147(Local)(9063 0.1) NTCE (147657) Calling KrbKeyResponse  key handler in srlib [SRServer.cpp:189]
09/25/2012 18:47:54.147(Local)(9063 0.1) NTCE (147722) Queued send reponse buffer to client task [SrlibServerTransport.cpp:136]
09/25/2012 18:47:54.147(Local)(9063 0.1) NTCE (147730) KrbKeyResponse, sent to client session object [SrlibServer.cpp:203]
09/25/2012 18:47:54.147(Local)(9063 0.0) NTCE (147733) SendNextCmd isDuringSend 0, WriteQueue size 1 isDuringClose 0 [SrlibServerTransport.cpp:308]
09/25/2012 18:47:54.147(Local)(9063 0.1) NTCE (147740) Send Key response to the Client

Resolutie 1: Raadpleeg de configuratiehandleiding en controleer of het object in AD de juiste rechten heeft. Omwentelingen van map reproduceren" en "Omwentelingen van map alle" moeten beide worden ingesteld om toe te staan.

http://www.cisco.com/en/US/docs/app_ntwk_services/waas/waas/v511/configuration/guide/policy.html#wp1256547

Probleem 2: Er is een tijdscheefheid tussen de Core WAE en de KDC die probeert de key te herstellen

Uitvoer van sr-journaal op Core WAE

10/23/2012 01:31:33.507(Local)(1832 0.1) NTCE (507836) Initiating key retrieval [SRServer.cpp:271]
10/23/2012 01:31:33.507(Local)(1832 0.1) NTCE (507878) Match found for DN: pdidc.cisco.com is ID:MacchineAcctWAAS [SRDiIdMgr.cpp:163]
10/23/2012 01:31:33.507(Local)(1832 0.1) NTCE (507888) Identity MacchineAcctWAAS found in the Map [SRDiIdMgr.cpp:702]
10/23/2012 01:31:33.507(Local)(1832 0.1) NTCE (507901) DN Info found for domain pdidc.cisco.com [SRIdentityObject.cpp:168]
10/23/2012 01:31:33.507(Local)(1832 0.1) NTCE (507923) DRS_SPN: E3514235-4B06-11D1-AB04-00C04FC2DCD2/e4c83c51-0b59-4647-b45d-780dd2dc3344/PDIDC.CISCO.COM for 
PDI-7541-DC@PDIDC.CISCO.COM [GssCli.cpp:51]
10/23/2012 01:31:33.507(Local)(1832 0.1) NTCE (507933) CREATED srkr obj(0x2aaaac0008c0) for spn (exchangeMDB/pdidc-exchange1.pdidc.cisco.com) [SRKeyMgr.cpp:134]
10/23/2012 01:31:33.508(Local)(1832 1.6) NTCE (508252) Import cred successfull for pn: PDI-7541-DC@PDIDC.CISCO.COM [GssCli.cpp:135]
10/23/2012 01:31:33.511(Local)(1832 1.6) ERRO (511151) CreateSecurityContext: gss_init_sec_context failed [majorStatus = 851968 (0xd0000)] [GssCli.cpp:176]
'''10/23/2012 01:31:33.511(Local)(1832 1.6) ERRO (511170) GSS_MAJOR ERROR:851968 msg_cnt:0, Miscellaneous failure (see text)CD2 [GssCli.cpp:25]
10/23/2012 01:31:33.511(Local)(1832 1.6) ERRO (511177) GSS_MINOR ERROR:2529624064 msg_cnt:0, Clock skew too great [GssCli.cpp:29]
10/23/2012 01:31:33.511(Local)(1832 1.6) ERRO (511182) gsskrb5_get_subkey failed: 851968,22, [GssCli.cpp:198]
10/23/2012 01:31:33.511(Local)(1832 1.6) ERRO (511188) session(0x2aaaac0008c0) Error: Invalid security ctx state, IsContinue is false with out token exchange 
[SRKeyRetriever.cpp:386]
10/23/2012 01:31:33.511(Local)(1832 1.6) ERRO (511193) session(0x2aaaac0008c0) Failed to Retrieve Key from AD for SPN:exchangeMDB/pdidc-exchange1.pdidc.cisco.com error:1 
[SRKeyRetriever.cpp:267]'''
10/23/2012 01:31:33.511(Local)(1832 0.0) ERRO (511213) Key retrieval failed with Status 1 [SRKeyMgr.cpp:157]

Resolutie 2: Gebruik een update op alle WAE's (met name de Core) om de kloktijd te synchroniseren met de KDC. Richt vervolgens op de NTP-server van de onderneming (bij voorkeur hetzelfde als de KDC).

Probleem 3: Het domein dat u hebt gedefinieerd voor uw encryptie-service komt niet overeen met het domein waarin uw Exchange-server zich bevindt.

Uitvoer van sr-journaal op Core WAE

10/23/2012 18:41:21.918(Local)(3780 1.5) NTCE (918788) Key retrieval is in Progress [SRServer.cpp:322]
10/23/2012 18:41:21.918(Local)(3780 1.5) NTCE (918793) initiating key retrieval in progress [SRDataServer.cpp:441]
10/23/2012 18:41:21.918(Local)(3780 0.0) NTCE (918790) Initiating key retrieval [SRServer.cpp:271]
10/23/2012 18:41:21.918(Local)(3780 1.5) NTCE (918798) Sending ack for result 2, item name /cfg/gl/sr/sr_get_key/pdidc-exchange.cisco.com@cisco.com [SRDataServer.cpp:444]
10/23/2012 18:41:21.918(Local)(3780 0.0) ERRO (918813) Failed to find Identity match for domain cisco.com [SRDiIdMgr.cpp:157]
10/23/2012 18:41:21.918(Local)(3780 0.0) NTCE (918821) Failed to find identity match for domain [SRKeyMgr.cpp:120]
10/23/2012 18:41:21.918(Local)(3780 0.0) NTCE (918832) Send Key response to the Client for spn: exchangeMDB/pdidc-exchange.cisco.com, # of req's: 1 [SRKeyMgr.cpp:296]

Resolutie 3: Als uw Core WAE services meerdere Exchange servers in verschillende domeinen, moet u een Encryption Service Identity configureren voor elk domein waarin de Exchange servers wonen.

Er is momenteel geen ondersteuning voor subdomein. Dus als u myexchange.sub-domain.com hebt, moet de Encryption Service Identity in sub-domein.domein.com zijn; HET KAN NIET in het parent-domein zijn.

Probleem 4: Als WANSecure mislukt, kunnen uw verbindingen naar TG vallen

De eMAPI-verbindingen kunnen worden overgedragen naar Generic AO omdat de beveiligde plumb van WAN is mislukt. WAN Secure-pomp mislukt omdat bepaalde verificatie is mislukt. Peer cert verify zal mislukt zijn omdat de standaard zelfgetekende peer cert gebruikt wordt of omdat de cert legaal de OCSP-controle gefaald heeft.

Core WAE-instellingen

crypto pki global-settings

  ocsp url http://pdidc.cisco.com/ocsp
revocation-check ocsp-cert-url
exit

!

crypto ssl services host-service peering

  peer-cert-verify
exit

!

WAN Secure:

  Accelerator Config Item              Mode           Value
-----------------------              ----           ------
SSL AO                               User           enabled
Secure store                         User           enabled
Peer SSL version                     User           default
Peer cipher list                     User           default
Peer cert                            User           default
Peer cert verify                     User           enabled

Dit levert de volgende mapiao-errorlog- en wao-foutmeldingen op:

De hint is de eerste gemarkeerde regel "meer dan vier opeenvolgende keer losgekoppeld"

Mapiao-errorlog op client side WAE:

'''10/08/2012 20:02:15.025(Local)(24333 0.0) NTCE (25621) (fl=267542) Client 10.16.1.201 disconnected more than four consecutive times - push down to generic ao. 
[EdgeTcpConnectionDceRpcLayer.cpp:1443] 
'''10/08/2012 20:02:15.025(Local)(24333 0.0) NTCE (25634) (fl=267542) CEdgeIOBuffers:: StartHandOverProcessSingleConnection: SECURED_STATE_NOT_ESTABLISHED 
[EdgeIOBuffers.cpp:826] 
10/08/2012 20:02:15.025(Local)(24333 0.0) NTCE (25644) (fl=267542) CEdgeIOBuffers::CheckSendHandOverRequestToCoreAndBlockLan - Blocking LAN for read operations after last 
fragment of call id 0, current call id is 2 [EdgeIOBuffers.cpp:324] 
10/08/2012 20:02:15.048(Local)(24333 0.1) NTCE (48753) (fl=267542) Connection multiplexing enabled by server on the connection. [EdgeTcpConnectionDceRpcLayer.cpp:499] 
10/08/2012 20:02:15.048(Local)(24333 0.1) NTCE (48771) (fl=267542) Header signing enabled by server on the connection. [EdgeTcpConnectionDceRpcLayer.cpp:510] 
10/08/2012 20:02:15.048(Local)(24333 0.1) NTCE (48779) (fl=267542) CEdgeIOBuffers:: StartHandOverProcessSingleConnection: GENERAL_UNCLASSIFIED [EdgeIOBuffers.cpp:826]

Weken aan client-side WAE:

'''10/08/2012 20:04:34.430(Local)(5939 4.0) ERRO (430001) certificate verification failed 'self signed certificate' [open_ssl.cpp:1213] 
'''10/08/2012 20:04:34.430(Local)(5939 4.0) ERRO (430047) ssl_read failed: 'SSL_ERROR_SSL' [open_ssl.cpp:1217] 
10/08/2012 20:04:34.430(Local)(5939 4.0) ERRO (430055) openssl errors: error:14090086: SSL routines: SSL3_GET_SERVER_CERTIFICATE:certificate verify failed:s3_clnt.c:1244: 
[open_ssl.cpp:1220]

Resolutie 4: Verwijder de peer cert verify-configuratie van beide WAE’s en start de encryptie-service op de Core WAE(s) opnieuw.

pdi-7541-dc(config)#crypto ssl services host-service peering

pdi-7541-dc(config-ssl-peering)#no peer-cert-verify

pdi-7541-dc(config)#no windows-domain encryption-service enable

pdi-7541-dc(config)#windows-domain encryption-service enable

Probleem 5: Als NTLM door de Outlook-client wordt gebruikt, wordt de verbinding naar Generic AO afgedrukt.

U ziet het volgende in het mapiao-orlog op de clientzijde WAE:

'''waas-edge#find-patter match ntlm mapiao-errorlog.current 
'''
09/21/2012 20:30:32.154(Local)(8930 0.1) NTCE (154827) (fl=83271) Bind Request from client with AGID 0x0, callId 1, to dest-ip 172.21. 12.96, AuthLevel: 
PRIVACY '''AuthType:NTLM '''AuthCtxId: 153817840 WsPlumb: 2 [EdgeTcpConnectionDceRpcLayer.cpp:1277] 
09/21/2012 20:30:32.154(Local)(8930 0.1) NTCE (154861) (fl=83271) '''Unsupported''' '''Auth Type :NTLM''' [EdgeTcpConnectionDceRpcLayer.cpp:1401] 09/21/2012 20:30:40.157(Local)
(8930 0.0) NTCE (157628) (fl=83283) Bind Request from client with AGID 0x0, callId 2, to dest-ip 172.21. 12.96, AuthLevel: PRIVACY AuthType:NTLM AuthCtxId: 153817840 
WsPlumb: 2 [EdgeTcpConnectionDceRpcLayer.cpp:1277]

Resolutie 5: De klant moet Kerberos-authenticatie in hun uitwisselingsomgeving toestaan of eisen. NTLM wordt NIET ondersteund (vanaf 5.1)

Let erop dat er een Microsoft tech-samenvatting is die een val naar NTLM oproept wanneer een CAS wordt gebruikt.

Het scenario waarin Kerberos niet functioneert is specifiek voor Exchange 2010 en bevindt zich in het volgende scenario:

Multiple Exchange Client Access Server (CAS) in een organisatie/domein.
Deze CAS-servers worden geclusterd met behulp van elke methode - met behulp van de ingebouwde client-array functie van Microsoft, of met behulp van een taakverdeling van derden.

In het bovenstaande scenario werkt Kerberos niet - en klanten zullen uiteindelijk terugvallen op NTLM. Ik denk dat dit te wijten is aan het feit dat klanten AUTH moeten hebben naar de CAS server vs. de Postbox server, zoals ze dat deden in eerdere Exchange releases.

In ruil voor 2010 is er geen oplossing voor dit probleem! Kerberos in het bovenstaande scenario zal nooit functioneren vóór de beurs van 2010-SP1.

In SP1 kan Kerberos in deze omgevingen worden ingeschakeld, maar het is een handmatig proces. Zie het artikel hier: http://technet.microsoft.com/en-us/library/ff808313.aspx

MAPI AO-vastlegging

• De volgende logbestanden zijn beschikbaar voor problemen met betrekking tot MAPI's die u hebt opgelost:
• Bestanden van transactielogboek: /local1/logs/tfo/working.log (en/local1/logs/tfo/tfo_log_*.txt)

Debug logbestanden: /local1/errorlog/mapiao-errorlog.current (en mapiao-errorlog.*)

Voor makkelijkere debugging moet u eerst een ACL instellen om pakketten te beperken tot één host.

WAE674(config)# ip access-list extended 150 permit tcp host 10.10.10.10 any
WAE674(config)# ip access-list extended 150 permit tcp any host 10.10.10.10

Gebruik de configuratieopdracht voor transactielogingen als volgt om de transactielogingen mogelijk te maken:

wae(config)# transaction-logs flow enable
wae(config)# transaction-logs flow access-list 150

U kunt het einde van een transactielogbestand als volgt weergeven door de opdracht Sluiten te gebruiken:

wae# type-tail tfo_log_10.10.11.230_20090715_130000.txt
Wed Jul 15 19:12:35 2009 :2289 :10.10.10.10 :3740 :10.10.100.101 :1146 :OT :END :EXTERNAL CLIENT :(MAPI) :822 :634 :556 :706
Wed Jul 15 19:12:35 2009 :2289 :10.10.10.10 :3740 :10.10.100.101 :1146 :SODRE :END :730 :605 :556 :706 :0
Wed Jul 15 19:12:35 2009 :2290 :10.10.10.10 :3738 :10.10.100.101 :1146 :OT :END :EXTERNAL CLIENT :(MAPI) :4758 :15914 :6436 :2006
Wed Jul 15 19:12:35 2009 :2290 :10.10.10.10 :3738 :10.10.100.101 :1146 :SODRE :END :4550 :15854 :6436 :2006 :0
Wed Jul 15 19:12:35 2009 :2284 :10.10.10.10 :3739 :10.10.100.101 :1146 :OT :END :EXTERNAL CLIENT :(MAPI) :1334 :12826 :8981 :1031

Gebruik de volgende opdrachten om de vastlegging van de MAPI-indeling in te stellen en te activeren.
OPMERKING: Debug logging is CPU-intensief en kan een grote hoeveelheid output genereren. Gebruik het voorzichtig en spaarzaam in een productieomgeving.
U kunt als volgt gedetailleerd loggen op de schijf inschakelen:

WAE674(config)# logging disk enable
WAE674(config)# logging disk priority detail

U kunt debug logging voor verbindingen in ACL als volgt inschakelen:

WAE674# debug connection access-list 150

De opties voor het fouilleren van MAPI zijn als volgt:

WAE674# debug accelerator mapi ?
all enable all MAPI accelerator debugs
Common-flow enable MAPI Common flow debugs
DCERPC-layer enable MAPI DCERPC-layer flow debugs
EMSMDB-layer enable MAPI EMSMDB-layer flow debugs
IO enable MAPI IO debugs
ROP-layer enable MAPI ROP-layer debugs
ROP-parser enable MAPI ROP-parser debugs
RPC-parser enable MAPI RPC-parser debugs
shell enable MAPI shell debugs
Transport enable MAPI transport debugs
Utilities enable MAPI utilities debugs

U kunt debug-loggen voor MAPI-verbindingen inschakelen en vervolgens het einde van het logbestand voor foutieve instellingen als volgt weergeven:

WAE674# debug accelerator mapi Common-flow
WAE674# type-tail errorlog/mapiao-errorlog.current follow