由於硬碟故障而重建 Exchange 2003 伺服器後,Exchange 在未知的時間後變得不可用。絕大多數使用者現在使用的是 Outlook 2007(少數使用者仍在使用 2003)。
我們調高了日誌記錄級別,現在我們已經注意到這些警告;我一直在追蹤它們,看起來它們每 15 分鐘左右就會發生一次(不確定時間範圍是否與此有關)
這些警告有時會導致錯誤,昨天我們重新啟動了伺服器兩次;上午 8:30 和下午 2:30 左右(約 6 小時 - 同樣,不確定時間是否與此有關)
進程 INETINFO.EXE (PID=1300)。由於錯誤 0x80040951,DSAccess 需要關閉與網域控制站 AD-server.domain.com 的連線。
進程 STORE.EXE (PID=2936)。由於錯誤 0x80040952,DSAccess 需要關閉與網域控制站 AD-server.domain.com 的連線。
處理 MAD.EXE (PID=2160)。由於錯誤 0x80040952,DSAccess 需要關閉與網域控制站 AD-server.domain.com 的連線。
3 個警告中的每一個每隔 15 分鐘左右就會出現一次。
我們重新啟動交換之前的錯誤看起來像
目錄 AD-server.domain.com 上的可分辨名稱「」的 LDAP 綁定失敗。目錄回傳錯誤:[0x51] 伺服器關閉。 DC=域名,DC=com
我們不確定這些警告是否與錯誤有關(最終與隨後的重新啟動有關)。按照上面的時間安排,我們認為這種情況會在晚上 8:30 和凌晨 2:30 左右再次發生,但沒有發生。昨天下午 2:30 左右重新啟動後沒有出現任何錯誤。
我應該注意到 Exchange 處於其中DMZ 1
並且 AD 處於其中,DMZ 3
但防火牆 (Sonicwall) 在 2 個 DMZ 之間完全開放。
Exchange 曾經位於自己的伺服器上,但根據一些技術人員的建議,我們已將其轉移到虛擬機器上。 2008伺服器是主機,VMWare伺服器2為VM,Windows 2003運行2003 Exchange。
我們真的對發生的事情感到茫然。我們重新啟動了防火牆,關閉了 AV/內容過濾,重新啟動了 AD 和 Exchange。
我們正在考慮將 Exchange 移至與 AD 相同的 DMZ。與我們交談的每個人都建議這樣做,但我們目前還不能這樣做。最好的部分是,在我們必須重建 Exchange 之前,我們運作得非常好,相同的防火牆、相同的 DMZ 設定、相同的作業系統版本(虛擬機器除外)3 年多了。只有在我們失去 Exchange 並必須重建它之後,我們才會遇到這些問題。
有任何想法嗎?
--- 註釋於美國東部時間 11-23 上午 11:11 新增 --- @ Even Anderson
我不完全確定如何完成您要求我做的事情;我們通常不會在這裡嗅探流量...
然後我想起我們的 Sonicwall NSA 內建了資料包擷取功能。
因此,我輸入了 Exchange 伺服器和 AD 伺服器,讓它將捕獲的資料傳送到我 PC 上的 FTP 伺服器,現在我可以查看 Exchange 和 AD 之間的流量。它向我發送我正在使用 Wireshark 查看的 .cap 檔案。
這個「問題」發生在今天早上 1 點到 3 點之間,然後在今天早上 9 點左右再次出現。為了安全起見,我在早上 6 點左右進來時重新啟動了系統,並在上午 9:30 左右交換沒有響應時再次重新啟動。
過濾 LDAP 協定時,我看到以下條目:
SASL GSS-API 不完整性 - 這些看起來像實際的查找,每個 searchRequest 都有一個 searchResEntry
bindRequest 和bindResponse - 這些看起來是一比一的 - 所以看起來不錯。
我看到一些從 Exchange 到 AD 的 unbindRequest 似乎沒有響應 - 但我不確定它是否應該有回應。
我沒有看到任何有實際同步的東西。
仍在尋找 - 運行捕獲不會影響任何地方的性能,因此我希望繼續運行它,直到發生錯誤並且交換停止響應。
答案1
錯誤 0x80040951 是「LDAP_SERVER_DOWN」錯誤,0x80040952 是「LDAP_LOCAL_ERROR」錯誤。這兩種情況都讓我認為 Exchange Server 電腦無法透過 LDAP 與 DC 進行通訊。
我首先嗅探 Exchange 和 DC 之間的流量。如果可以,請使用 SPAN 連接埠或其他方法在 DC 和 Exchange 之間的專用嗅探器電腦中“連接”,以便您的長期嗅探可以運行,而不會在任一伺服器上造成效能問題。您可以使用擷取篩選器來隔離 Exchange Server 和 DC 之間的對話流量。如果可以的話,請使用兩台電腦來嗅探並在每台伺服器和隔離它們的防火牆設備之間「設定」一台電腦。
如果不了解實際網路流量的情況,我很難提出任何進一步的建議。如果您最終捕獲了一些「實際」失敗的訊息,您可以將它們發佈在這裡,我們會看一下。根據我目前所看到的情況,我預計您會發現 Exchange Server 電腦反覆對 DC 上的 LDAP 連接埠進行 SYN 同步,但沒有得到回應。如果您夠幸運能夠從防火牆設備的兩側進行捕獲,我敢打賭您會看到未穿過防火牆的流量。你的問題一定有這樣的感覺......