Guía de Troubleshooting de Cisco WAAS para la versión 4.1.3 y más adelante

Capítulo: Resolver problemas el MAPI AO

Este artículo describe cómo resolver problemas el MAPI AO.

Contenido

• 1 acelerador MAPI
• Aceleración cifrada 2 MAPI
  • Resumen del 2.1
  • 2.2 Información de la característica
  • 2.3 Resolver problemas la metodología
    • 2.3.1 paso 1 - Verifique la configuración de la identidad del servicio de encripción y el éxito dominante de la extracción
    • 2.3.2 paso 2 - En 5.0.3 presentaron a un nuevo comando diagnostic de controlar algunas de las configuraciones requeridas.
    • 2.3.3 el paso 3 verifica manualmente las configuraciones WAE que no son controladas por el comando diagnostic arriba.
  • 2.4 Análisis de datos
  • 2.5 Problemas comunes
    • 2.5.1 Problema 1: La identidad del servicio de encripción configurada en la base WAE no tiene los permisos correctos en el ANUNCIO.
    • 2.5.2 Resolución 1: Consulte la guía de configuración y verifiqúela que el objeto en el ANUNCIO tiene los permisos correctos. “Replicar el directorio cambia” y “replicar el directorio cambia todos” se debe ambos fijar para permitir.
    • 2.5.3 Problema 2: Hay una posición oblicua del tiempo entre la base WAE y el KDC que intenta extraer la clave de
    • 2.5.4 Resolución 2: Utilice el ntpdate en todo el WAEs (especialmente la base) a la sincronización el reloj con el KDC. Entonces señale al servidor NTP de la empresa (prefereably lo mismo que el KDC).
    • 2.5.5 Problema 3: El dominio que usted definió para su servicio de encripción no hace juego el dominio su servidor del intercambio está adentro.
    • 2.5.6 Resolución 3: Si su base WAE mantiene a los Servidores de intercambio múltiple en diversos dominios usted debe configurar una identidad del servicio de encripción para cada dominio que residen los servidores del intercambio adentro.
    • 2.5.7 Problema 4: Si WANSecure falla sus conexiones pueden caer al TG 
    • 2.5.8 Resolución 4: Quite al par que el CERT verifica la configuración de WAEs y recomience el servicio del encrytpion en la base WAE.
    • 2.5.9 Problema 5: Si el NTLM es utilizado por el cliente de Outlook la conexión será empujada hacia abajo al AO genérico.
    • 2.5.10 Resolución 5: El cliente debe activar/requiere la autenticación de Kerberos en su entorno Exchange. El NTLM no se utiliza (a partir de 5.1)
• Registro de 3 MAPI AO

Acelerador MAPI

El acelerador MAPI optimiza el tráfico del email del intercambio del Microsoft Outlook. El intercambio utiliza el protocolo EMSMDB, que se acoda en MS-RPC, que a su vez utiliza el TCP o el HTTP (sin apoyo) como el transporte bajo.

El MAPI AO apoya a los clientes del Microsoft Outlook 2000 hasta el 2007 para el tráfico ocultado y sin memoria inmediata del modo. Las conexiones seguras que utilizan la autenticación del mensaje (firma) o el cifrado no son aceleradas por el MAPI AO. Tales conexiones y las conexiones de más viejos clientes se dan apagado al AO genérico para las optimizaciones TFO. Además, las conexiones del Acceso Web de la perspectiva (OWA) y del Intercambio-intercambio no se utilizan.

Nota: El Microsoft Outlook 2007 tiene cifrado activado por abandono. Usted debe inhabilitar el cifrado para beneficiarse del acelerador de la aplicación MAPI. En la perspectiva, elija las herramientas > las cuentas de correo electrónico, elija la visión o cambie las cuentas de correo electrónico existentes, y después haga clic después. Elija la Cuenta de intercambio, y después haga clic el cambio. Haga clic más configuraciones, y después haga clic la Seguridad cuadro Uncheck los datos del cifrar entre la casilla de verificación de Microsoft Office Outlook y de Microsoft Exchange Server, tal y como se muestra en del cuadro 1.

Alternativamente, usted puede inhabilitar el cifrado para todos los usuarios de un Exchange Server usando una directiva del grupo.

Cuadro 1. cifrado que inhabilita en el Outlook 2007

En los casos siguientes, el MAPI AO no maneja una conexión:

• Conexión encriptada (dada apagado al AO genérico)
• Cliente sin apoyo (dado apagado al AO genérico)
• Error de análisis irrecuperable. Todas las conexiones TCP entre el servicio del cliente y servidor son disconnected. Cuando el cliente vuelve a conectar, todas las conexiones se dan apagado al AO genérico.
• El cliente intenta establecer a un nuevo grupo de la asociación en la conexión cuando se sobrecarga el WAE.
• El cliente establece una conexión cuando se sobrecarga el WAE y los recursos de conexión reservados el MAPI no está disponible.

El cliente de Outlook y el servidor interactivos en una sesión sobre un grupo de conexiones TCP llamaron a un grupo de la asociación. Dentro de un grupo de la asociación, los accesos a objetos pueden atravesar a través de cualquier conexión y las conexiones se crean y release/versión dinámicamente según las necesidades. Un cliente puede tener más de un grupo de la asociación abierto al mismo tiempo a diversos servidores o al mismo servidor. (Las carpetas públicas se despliegan en diversos servidores del almacén del correo.)

Es esencial que todas las conexiones MAPI dentro de un grupo de la asociación pasan con los mismos pares de WAEs en la bifurcación y el centro de datos. Si algunas conexiones dentro de un grupo de la asociación no pasan con el MAPI AO en estos WAEs, el MAPI AO no vería que las transacciones realizadas en esas conexiones y las conexiones están dichas “para escapar” al grupo de la asociación. Por este motivo, el MAPI AO no se debe desplegar en WAEs en línea en serie agrupado que forma a un grupo de gran disponibilidad.

Los síntomas de las conexiones MAPI que escapan a su grupo de la asociación WAE son síntomas de error de la perspectiva tales como mensajes o perspectiva duplicados paran el responder.

Durante una condición de sobrecarga TFO, las nuevas conexiones para un grupo existente de la asociación serían pasadas a través y escapar el MAPI AO, así que el MAPI AO reserva a varios recursos de conexión por adelantado para minimizar el impacto de una condición de sobrecarga. Para más detalles sobre las conexiones reservadas MAPI y su impacto en la sobrecarga del dispositivo, vea la sección “conexiones reservadas acelerador de la aplicación MAPI afectar la sobrecarga” en el artículo de las condiciones de sobrecarga del troubleshooting.

Verifique la configuración general y el estatus AO con el acelerador de la demostración y muestre los comandos license, según lo descrito en el artículo de la aceleración de la aplicación del troubleshooting. La licencia de la empresa se requiere para la operación del acelerador MAPI y el acelerador de la aplicación EPM debe ser activado.

Después, verifique el específico del estatus al MAPI AO usando el comando del mapi del acelerador de la demostración, tal y como se muestra en del cuadro 2. Usted quiere ver que el MAPI AO está activado, ejecutándose, y registrado, y que el límite de la conexión está visualizado. Si se activa el estado de los Config pero el estado operacional es parada normal, indica un problema de la autorización.

Cuadro 2. que verifica el estatus del acelerador MAPI

Utilice el comando del epm del acelerador de las estadísticas de la demostración de verificar que el EPM AO es funcional. Controle que las conexiones manejadas totales, las peticiones del total analizadas con éxito, y las respuestas totales analizaron con éxito los contadores aumentan cuando comienzan a un cliente.

Utilice el comando show running-config de verificar que las políticas de tráfico MAPI y EPM están configuradas correctamente. Usted quiere ver que acelerar el mapi para la acción y usted de la aplicación de la Correo electrónico-y-Mensajería quiera ver el clasificador y la política de tráfico del ms-EndPortMapper definidos, como sigue:

WAE674# sh run | include mapi
map adaptor EPM mapi
 name Email-and-Messaging All action optimize full accelerate mapi

WAE674# sh run | begin MS-EndPointMapper
...skipping
classifier MS-EndPointMapper
  match dst port eq 135
exit

WAE674# sh run | include MS-EndPointMapper
  classifier MS-EndPortMapper
    name Other classifier MS-EndPortMapper action optimize DRE no compression none accelerate MS-port-mapper

Utilice el comando dynamic de la aplicación del motor de directivas de la demostración de verificar que existen las reglas dinámicas de la coincidencia, como sigue:

• Busque una regla con la identificación del usuario: EPM y nombre de asignación: uuida4f1db00-ca47-1067-b31f-00dd010662da.
• El campo de flujos indica el número total de conexiones activas a los servicios Exchange.
• Para cada cliente de MAPI usted debe ver una entrada separada con la identificación del usuario: MAPI.

Utilice el comando optimizado conexión del mapi de las estadísticas de la demostración de controlar que el dispositivo WAAS está estableciendo las conexiones optimizadas MAPI. Verifique que “M” aparezca en la columna de Accel para las conexiones MAPI, que indica que el MAPI AO fue utilizado, como sigue:

WAE674# show stat conn opt mapi

Current Active Optimized Flows:                      2
 Current Active Optimized TCP Plus Flows:          1
 Current Active Optimized TCP Only Flows:          1
 Current Active Optimized TCP Preposition Flows:   0
Current Active Auto-Discovery Flows:                 0
Current Reserved Flows:                              12               <---------- Added in 4.1.5
Current Active Pass-Through Flows:                   0
Historical Flows:                                    161


D:DRE,L:LZ,T:TCP Optimization RR:Total Reduction Ratio
A:AOIM,C:CIFS,E:EPM,G:GENERIC,H:HTTP,M:MAPI,N:NFS,S:SSL,V:VIDEO

ConnID  Source IP:Port         Dest IP:Port        PeerID           Accel RR
342     10.56.94.101:4506    10.10.100.100:1456  0:1a:64:d3:2f:b8   TMDL  61.0%   <-----Look for "M"

Nota: En la versión 4.1.5, los flujos reservados actuales contrarios fueron agregados en la salida. Este contador refiere al número de recursos de conexión reservados MAPI en los WAE que son actualmente inusitados pero lo puso a un lado para las conexiones futuras MAPI. Para más detalles sobre las conexiones reservadas MAPI y su impacto en la sobrecarga del dispositivo, vea la sección “conexiones reservadas acelerador de la aplicación MAPI afectar la sobrecarga” en el artículo de las condiciones de sobrecarga del troubleshooting.

Si usted observa las conexiones con “TGDL” en la columna de Accel, estas conexiones fueron empujadas hacia abajo al AO genérico y optimizadas con las optimizaciones del transporte solamente. Si éstas son las conexiones que usted esperaba ser manejado por el MAPI AO, puede ser porque son conexiones cifradas MAPI. Para comprobar el número de conexiones cifradas MAPI se han pedido que, utilice el comando del mapi del acelerador de las estadísticas de la demostración como sigue:

wae# sh stat accel mapi

MAPI:
Global Statistics
-----------------
Time Accelerator was started:                                      Thu Nov  5 19:45:19 2009
Time Statistics were Last Reset/Cleared:                           Thu Nov  5 19:45:19 2009
Total Handled Connections:                                         8615     
Total Optimized Connections:                                       8614     
Total Connections Handed-off with Compression Policies Unchanged:  0        
Total Dropped Connections:                                         1        
Current Active Connections:                                        20       
Current Pending Connections:                                       0        
Maximum Active Connections:                                        512      
Number of Synch Get Buffer Requests:                               1052     
Minimum Synch Get Buffer Size (bytes):                             31680    
Maximum Synch Get Buffer Size (bytes):                             31680    
Average Synch Get Buffer Size (bytes):                             31680    
Number of Read Stream Requests:                                    3844     
Minimum Read Stream Buffer Size (bytes):                           19       
Maximum Read Stream Buffer Size (bytes):                           31744    
Average Read Stream Buffer Size (bytes):                           14556    
Minimum Accumulated Read Ahead Data Size (bytes):                  0        
Maximum Accumulated Read Ahead Data Size (bytes):                  1172480  
Average Accumulated Read Ahead Data Size (bytes):                  594385   
Local Response Count:                                              20827    
Average Local Response Time (usec):                                250895   
Remote Response Count:                                             70486    
Average Remote Response Time (usec):                               277036     
Current 2000 Accelerated Sessions:                                 0        
Current 2003 Accelerated Sessions:                                 1        
Current 2007 Accelerated Sessions:                                 0        
Secured Connections:                                               1               <-----Encrypted connections        
Lower than 2000 Sessions:                                          0        
Higher than 2007 Sessions:                                         0        

Usted puede encontrar los IP Addresses de los clientes que piden las conexiones cifradas MAPI en el Syslog buscando para los mensajes como el siguiente:

2009 Jan 5 13:11:54 WAE512 mapi_ao: %WAAS-MAPIAO-3-132104: (929480) Encrypted connection. Client ip: 10.36.14.82

Usted puede ver las estadísticas de conexión MAPI usando el comando detail optimizado conexión del mapi de las estadísticas de la demostración como sigue:

WAE674# show stat conn opt mapi detail
Connection Id:            1830
 Peer Id:                  00:14:5e:84:24:5f
 Connection Type:          EXTERNAL CLIENT
 Start Time:               Thu Jun 25 06:32:27 2009
 Source IP Address:        10.10.10.10
 Source Port Number:       3774
 Destination IP Address:   10.10.100.101
 Destination Port Number:  1146
 Application Name:         Email-and-Messaging                            <-----Should see Email-and-Messaging
 Classifier Name:          **Map Default**
 Map Name:                 uuida4f1db00-ca47-1067-b31f-00dd010662da       <-----Should see this UUID
 Directed Mode:            FALSE
 Preposition Flow:         FALSE
 Policy Details:
        Configured:        TCP_OPTIMIZE + DRE + LZ
           Derived:        TCP_OPTIMIZE + DRE + LZ
              Peer:        TCP_OPTIMIZE + DRE + LZ
        Negotiated:        TCP_OPTIMIZE + DRE + LZ
           Applied:        TCP_OPTIMIZE + DRE + LZ
 Accelerator Details:
             Configured:   MAPI                                           <-----Should see MAPI configured
                Derived:   MAPI 
                Applied:   MAPI                                           <-----Should see MAPI applied
                   Hist:   None
                                             Original            Optimized
                                 -------------------- --------------------
 Bytes Read:                                     4612                 1973
 Bytes Written:                                  4086                 2096
. . .

La respuesta local y remota cuenta y los tiempos de la respuesta promedio se muestran en esta salida:

 . . . 
MAPI : 1830

 Time Statistics were Last Reset/Cleared:                           Thu Jun 25
06:32:27 2009
 Total Bytes Read:                                                46123985
 Total Bytes Written:                                             40864046
Number of Synch Get Buffer Requests:                               0
Minimum Synch Get Buffer Size (bytes):                             0
Maximum Synch Get Buffer Size (bytes):                             0
Average Synch Get Buffer Size (bytes):                             0
Number of Read Stream Requests:                                    0
Minimum Read Stream Buffer Size (bytes):                           0
Maximum Read Stream Buffer Size (bytes):                           0
Average Read Stream Buffer Size (bytes):                           0
Minimum Accumulated Read Ahead Data Size (bytes):                  0
Maximum Accumulated Read Ahead Data Size (bytes):                  0
Average Accumulated Read Ahead Data Size (bytes):                  0
Local Response Count:                                              0                  <----------
Average Local Response Time (usec):                                0                  <----------
Remote Response Count:                                             19                 <----------
Average Remote Response Time (usec):                               89005              <----------
. . . 

Aceleración cifrada MAPI

Resumen

A partir de WAAS 5.0.1 el acelerador MAPI puede ahora acelerar el tráfico cifrado MAPI. Esta característica será activada por abandono en la versión 5.0.3. Sin embargo, en la orden acelere con éxito el tráfico cifrado MAPI allí son número de requisitos en el entorno WAAS y del ANUNCIO de Microsoft. Esta guía le ayudará a verificar y a resolver problemas las funciones del eMAPI.

Información sobre la Función

el eMAPI será activado por abandono en 5.0.3 y requerirá el siguiente acelerar con éxito el tráfico encriptado.

1) El almacén seguro de CMS debe ser inicializado y abrirse en toda la base WAEs

2) El WAEs debe poder resolver el FQDN de los servidores y del Kerberos KDC (el regulador del intercambio del Active Directory)

3) Los relojes WAE deben estar en sincronización con el KDC

4) El acclerator SSL, PÁLIDO asegura, y el eMAPI se debe activar en todo el WAEs en la trayectoria de la perspectiva intercambiar

5) El WAEs en la trayectoria debe tener la configuración de correspondencia de políticas correcta

6) La base WAE debe tener uno o más dominio cifrado Identies de los servicios configurado (usuario o la cuenta de equipo)

7) Si se utiliza una cuenta de equipo este WAE se debe unir a al dominio del ANUNCIO.

8) Entonces con el caso del uso de la máquina o de la cuenta de usuario, esos objetos en el Active Directory necesita ser dado los permisos específicos. “Replicar el directorio cambia” y “replicar el directorio cambia todos” se debe ambos fijar para permitir.

La manera recomendada de hacer esto está vía un grupo de seguridad universal (e.g asigne los permisos al grupo y después agregue los dispositivos y/o los nombres del usuario WAAS especificados en el servicio de encripción a este grupo). Vea la guía asociada para las capturas de pantalla de la configuración del ANUNCIO y del GUI WAAS cm.

Resolver problemas la metodología

Paso 1 - Verifique la configuración de la identidad del servicio de encripción y el éxito dominante de la extracción

Mientras que el comando de diagnósticos (paso 2 abajo) verifica la existencia de un servicio de encripción no verifica si la extracción de la clave sea acertada. Por lo tanto no sabemos apenas funcionando con ese comando diagnostic si los permisos correctos fueron dados al objeto en el Active Directory (máquina o cuenta de usuario).

Resumen de qué necesidades de ser hecho tendrán éxito para configurar y para verificar el servicio de encripción la extracción dominante

Cuenta de usuario:

1. cree al usuario del ANUNCIO

2. cree el grupo del ANUNCIO y el conjunto el “que replica directorio cambia” y “replicar el directorio cambia todos” PARA PERMITIR

3. agregue al usuario al grupo creado

4. defina la identidad del dominio de la cuenta de usuario en los servicios de encripción

5. ejecútese consiguen el diagnóstico dominante cli

servidor FQDN> < Domain Name > del <exchange de la conseguir-clave del servicio de encripción de los diagnósticos del Dominio de Windows

Observe que usted debe utilizar el nombre del servidor Exchange real/real configurado en el servidor y no un tipo FQDN NLB/VIP que pudo las resoluciones a los Servidores de intercambio múltiple.

6. si es dominante la extracción trabajó - hecho

Ejemplo del éxito:

conseguir-clave pdidc-exchange1.pdidc.cisco.com pdidc.cisco.com del servicio de encripción de los diagnósticos pdi-7541-dc#windows-domain

SPN pdidc-exchange1.pdidc.cisco.com, Domain Name: pdidc.cisco.com

La extracción dominante está en curso.

conseguir-clave pdidc-exchange1.pdidc.cisco.com pdidc.cisco.com del servicio de encripción de los diagnósticos pdi-7541-dc#windows-domain

SPN pdidc-exchange1.pdidc.cisco.com, Domain Name: pdidc.cisco.com

La clave para pdidc-exchange1.pdidc.cisco.com reside en el caché de la clave de la memoria

Cuenta de equipo

1. únase a los dispositivos de la base WAE al dominio del ANUNCIO

el grupo y el conjunto del ANUNCIO 2.create el “que replican directorio cambia” y “replicar el directorio cambia todos” PARA PERMITIR

3. agregue la cuenta de equipo para agrupar creado

4. configure los servicios de encripción para utilizar la cuenta de equipo

5. Dé alguna vez para conseguir la directiva del grupo para ser aplicado a la máquina unida o para forzar la aplicación de la directiva del grupo del ANUNCIO. gpupdate /force.

6. ejecútese consiguen el diagnóstico dominante cli

servidor FQDN> < Domain Name > del <exchange de la conseguir-clave del servicio de encripción de los diagnósticos del Dominio de Windows

Observe que usted debe utilizar el nombre del servidor Exchange real/real configurado en el servidor y no un tipo FQDN NLB/VIP que pudo las resoluciones a los Servidores de intercambio múltiple.

7. si es dominante la extracción trabajó - hecho

Para más detalles y capturas de pantalla en el servicio de Encrytpion y los config del ANUNCIO vea la guía asociada.

Paso 2 - En 5.0.3 presentaron a un nuevo comando diagnostic de controlar algunas de las configuraciones requeridas.

el mapi del ̶accelerator verifica las configuraciones de encripción

1.CLI hace las diversas comprobaciones de validez. Hizo salir es resumen de la capacidad de acelerar el tráfico cifrado MAPI como el borde o base.

2.Checks el estatus/los config de los diversos componentes atribuye para que el servicio de encripción trabaje correctamente.

se encuentra 3.When un problema de la configuración que hará salir cuál falta y el CLI o las acciones para fijarlo.

4.It dan el resumen hacia fuera como dispositivo del dispositivo de borde y de la base. El dispositivo que puede ser borde y base debe tener EMAPI operativo para el borde y la base.

Abajo está una salida de muestra de un WAE incorrectamente configurado:

Core#accelerator mapi verify encryption-settings
[EDGE:]
 Verifying Mapi Accelerator State
 --------------------------------
        Status: FAILED
        Accelerator     Config State    Operational State
        -----------     ------------    -----------------
        mapi            Disabled        Shutdown
        >>Mapi Accelerator should be Enabled
        >>Mapi Accelerator should be in Running state
 
 Verifying SSL Accelerator State
 -------------------------------
        Status: FAILED
        >>Accelerator   Config State    Operational State
        -----------     ------------    -----------------
        ssl             Disabled        Shutdown
        >>SSL Accelerator should be Enabled
        >>SSL Accelerator should be in Running state
 
 Verifying Wan-secure State
 --------------------------
        Status: FAILED
        >>Accelerator   Config State    Operational State
        -----------     ------------    -----------------
        wan-secure      Disabled        Shutdown
        >>Wan-secure should be Enabled
        >>Wan-secure should be in Running state
 
Verifying Mapi Wan-secure mode Setting
 ---------------------------------
        Status: FAILED
        Accelerator Config Item                 Mode            Value
        -----------------------                 ----            ------
        WanSecure Mode                          User            Not Applicable
        >>Mapi wan-secure setting should be auto/always
 Verifying NTP State
 --------------------
       Status: FAILED
       >>NTP status should be enabled and configured

Summary [EDGE]:
 ===============
      Device has to be properly configured for one or more components
 
[CORE:]
Verifying encryption-service State
 ----------------------------------
        Status: FAILED
        Service                 Config State    Operational State
        -----------             ------------    -----------------
        Encryption-service      Disabled        Shutdown
        >>Encryption Service should be Enabled
       >>Encryption Service status should be in 'Running' state
 
Verifying Encryption-service Identity Settings
 ----------------------------------------------
        Status: FAILED
        >>No active Encryption-service Identity is configured.
        >>Please configure an active Windows Domain Encryption Service Identity.

 Summary [CORE]: Applicable only on CORE WAEs
 ============================================
        Device has to be properly configured for one or more components

Abajo está la salida de una base WAE que se configure correctamente:

Core#acc mapi verify encryption-settings [EDGE:]

Verifying Mapi Accelerator State
--------------------------------
       Status: OK
Verifying SSL Accelerator State
-------------------------------
       Status: OK
Verifying Wan-secure State
--------------------------
       Status: OK
Verifying Mapi encryption Settings
----------------------------------
       Status: OK
Verifying Mapi Wan-secure mode Setting
---------------------------------
       Status: OK
Verifying NTP State
--------------------
       Status: OK
Summary [EDGE]:
===============
       Device has proper configuration to accelerate encrypted traffic

[CORE:]

Verifying encryption-service State
----------------------------------
       Status: OK
Verifying Encryption-service Identity Settings
----------------------------------------------
       Status: OK
Summary [CORE]: Applicable only on CORE WAEs
============================================
       Device has proper configuration to accelerate encrypted traffic

Paso 3 - Verifique manualmente las configuraciones WAE que no son controladas por el comando diagnostic arriba.

1) El comando antedicho mientras que los chekcs para la existencia del NTP configurada, él no verifica realmente los tiempos está en la sincronización entre el WAE y el KDC. Es muy importante los tiempos está en la sincronización entre la base y el KDC para que la extracción dominante sea acertado.

Si el control manual revela son fuera de sincronización un método simple de forzar el reloj del WAE para estar en la sincronización serían el comando del ntpdate (ip> del ntpdate <KDC). Entonces señale el WAEs al servidor NTP de la empresa.

2) Verifique que el dnslookup tenga éxito en todo el WAEs para el FQDN de los servidores del intercambio y el FQDN KDC

3) Verifique que la clase-correspondencia y la directiva-correspondencia esté configurada correctamente en todo el WAEs en la trayectoria.

tipo waas MAPI de la clase-correspondencia pdi-7541-dc#sh

tipo waas de la Clase-correspondencia coincidencia-cualquier MAPI

Mapi del epm del destino tcp de la coincidencia (flujo-coincidencias 0)

tipo tipo waas de la directiva-correspondencia pdi-7541-dc#show de la Directiva-correspondencia de los waas

WAAS-GLOBAL (6084690 totales)

Clase MAPI (flujo-coincidencias 0)
optimice aceleran por completo la Correo electrónico-y-Mensajería de la aplicación del mapi

4) Verifique que el almacén seguro de CMS sea abierto e inicializado en todo el WAEs “almacén seguro CMS de la demostración”

Análisis de datos

Además de analizar la salida del comando diagnostic y de los comandos show manuales usted puede necesitar revisar el sysreport.

Usted querrá específicamente revisar el mapiao-errorlog, senior-errorlog (base WAE solamente), y el wsao-errorlog clasifía.

Habrá indirectas en cada registro dependiendo del decorado que le llevará al descenso de las conexiones de la razón al AO genérico.

Pues una referencia aquí es salida de muestra que muestra los diversos componentes de trabajo

Esta salida es de senior-errorlog y muestra la validación de la identidad del servicio de encripción de la cuenta de equipo

Nota: Esto confirma solamente la base WAE se unió al dominio y la cuenta de equipo existe.

07/03/2012 19:12:07.278(Local)(6249 1.5) NTCE (278902) Adding Identity MacchineAcctWAAS to map active list in SRMain [SRMain.cpp:215]
07/03/2012 19:12:07.279(Local)(6249 1.5) NTCE (279018) Adding identity(MacchineAcctWAAS) to Map [SRDiIdMgr.cpp:562]
07/03/2012 19:12:07.279(Local)(6249 1.5) NTCE (279282) Activate Id: MacchineAcctWAAS [SRMain.cpp:260]
07/03/2012 19:12:07.279(Local)(6249 1.5) NTCE (279306) Identity MacchineAcctWAAS found in the Map [SRDiIdMgr.cpp:702]
07/03/2012 19:12:07.279(Local)(6249 1.5) NTCE (279321) Authentication for ID: MacchineAcctWAAS [SRDiIdMgr.cpp:398]
07/03/2012 19:12:07.330(Local)(6249 1.5) NTCE (330581) Authentication success, tkt validity starttime 1341342727 endtime 1341378727 [SRDiIdMgr.cpp:456]
07/03/2012 19:12:07.330(Local)(6249 1.5) NTCE (330599)
ID_TAG :MacchineAcctWAAS
Name : pdi-7541-dc
Domain : PDIDC.CISCO.COM
Realm : PDIDC.CISCO.COM
CLI_GUID :
SITE_GUID :
CONF_GUID :
Status:ENABLED
Black_Listed:NO
AUTH_STATUS: SUCCESS
ACCT_TYPE:Machine [SRIdentityObject.cpp:85]
07/03/2012 19:12:07.331(Local)(6249 1.5) NTCE (331685) DN Info found for domain PDIDC.CISCO.COM [SRIdentityObject.cpp:168]
07/03/2012 19:12:07.347(Local)(6249 1.5) NTCE (347680) Import cred successfull for pn: pdi-7541-dc@PDIDC.CISCO.COM [AdsGssCli.cpp:111]

Esta salida es del senior-errorlog de la base otra vez y muestra la extracción dominante acertada del KDC.

10/23/2012 15:46:55.673(Local)(3780 1.2) NTCE (673766) Key Not Found in cache, initiating retrieval for spn:exchangeMDB/pdidc-exchange1.pdidc.cisco.com [SRServer.cpp:297]
10/23/2012 15:46:55.673(Local)(3780 1.2) NTCE (673811) Queued InitiateKeyRetrieval task [SRServer.cpp:264]10/23/2012 15:46:55.673(Local)(3780 1.2) NTCE (673819) 
Key retrieval is in Progress [SRServer.cpp:322]
10/23/2012 15:46:55.673(Local)(3780 0.0) NTCE (673818) Initiating key retrieval [SRServer.cpp:271]
10/23/2012 15:46:55.673(Local)(3780 1.2) NTCE (673827) initiating key retrieval in progress [SRDataServer.cpp:441]
10/23/2012 15:46:55.673(Local)(3780 1.2) NTCE (673834) Sending ack for result 2, item name /cfg/gl/sr/sr_get_key/pdidc-exchange1.pdidc.cisco.com@pdidc.cisco.com 
[SRDataServer.cpp:444]
10/23/2012 15:46:55.673(Local)(3780 0.0) NTCE (673922) Match found for DN: pdidc.cisco.com is ID:MacchineAcctWAAS [SRDiIdMgr.cpp:163]
10/23/2012 15:46:55.673(Local)(3780 0.0) NTCE (673937) Identity MacchineAcctWAAS found in the Map [SRDiIdMgr.cpp:702]
10/23/2012 15:46:55.673(Local)(3780 0.0) NTCE (673950) DN Info found for domain pdidc.cisco.com [SRIdentityObject.cpp:168]
10/23/2012 15:46:55.674(Local)(3780 0.0) NTCE (674011) DRS_SPN: E3514235-4B06-11D1-AB04-00C04FC2DCD2/e4c83c51-0b59-4647-b45d-780dd2dc3344/PDIDC.CISCO.COM for 
PDI-7541-DC@PDIDC.CISCO.COM [GssCli.cpp:51]
10/23/2012 15:46:55.674(Local)(3780 0.0) NTCE (674020) CREATED srkr obj(0x50aa00) for spn (exchangeMDB/pdidc-exchange1.pdidc.cisco.com) [SRKeyMgr.cpp:134]
10/23/2012 15:46:55.674(Local)(3780 1.3) NTCE (674421) Import cred successfull for pn: PDI-7541-DC@PDIDC.CISCO.COM [GssCli.cpp:135]
10/23/2012 15:46:55.676(Local)(3780 1.3) NTCE (676280) session(0x50aa00) Complete TGT stage of GSS Successful, Initiating AppApi [SRKeyRetriever.cpp:408]
10/23/2012 15:46:55.676(Local)(3780 0.1) NTCE (676415) SRKR: Success in posting connect to service <ip:0e:6e:03:a3><port:135> [IoOperation.cpp:222]
10/23/2012 15:46:55.676(Local)(3780 0.0) NTCE (676607) Connected to server. [IoOperation.cpp:389]
10/23/2012 15:46:55.677(Local)(3780 0.0) NTCE (677736) SRKR: Success in posting connect to service <ip:0e:6e:03:a3><port:1025> [IoOperation.cpp:222]
10/23/2012 15:46:55.678(Local)(3780 0.1) NTCE (678001) Connected to server. [IoOperation.cpp:389]
10/23/2012 15:46:55.679(Local)(3780 0.1) NTCE (679500) Cleaning up credential cache for PDI-7541-DC@PDIDC.CISCO.COM [GssCli.cpp:212]
10/23/2012 15:46:55.680(Local)(3780 0.1) NTCE (680011) Parsing DRSBIND Response [AppApiDrsBind.cpp:222]
10/23/2012 15:46:55.680(Local)(3780 0.1) NTCE (680030) DRSBind Success, Status:00000000 [AppApiDrsBind.cpp:359]
10/23/2012 15:46:55.685(Local)(3780 0.1) NTCE (685502) session(0x50aa00) Successful in Key Retrieval from AD for SPN:exchangeMDB/pdidc-exchange1.pdidc.cisco.com 
[SRKeyRetriever.cpp:269]
10/23/2012 15:46:55.685(Local)(3780 0.1) NTCE (685583) Send Key response to the Client for spn: exchangeMDB/pdidc-exchange1.pdidc.cisco.com, # of req's : 1
[SRKeyMgr.cpp:296]
10/23/2012 15:46:55.685(Local)(3780 0.1) NTCE (685594) Deleting spn: exchangeMDB/pdidc-exchange1.pdidc.cisco.com entry from Pending key request map [SRKeyMgr.cpp:303]

Esta salida es del fichero del mapiao-errorlog en el borde WAE para una conexión acertada del eMAPI

'''10/23/2012 17:56:23.080(Local)(8311 0.1) NTCE (80175) (fl=2433) Edge TCP connection initiated (-1409268656), Conn: [14.110.3.117:58352 <=> 14.110.3.99:27744], 
Flavor: 0 [EdgeTcpConnectionDceRpcLayer.cpp:43]
10/23/2012 17:56:23.080(Local)(8311 0.1) NTCE (80199) Edge TCP connection initiated (-1409268656), Conn: [14.110.3.117:58352 <=> 14.110.3.99:27744], Flavor: 0 
[EdgeTcpConnectionDceRpcLayer.cpp:48]
10/23/2012 17:56:23.108(Local)(8311 0.0) NTCE (108825) (fl=2433) Bind Request from client with AGID 0x0, callId 2, to dest-ip 14.110.3.99, AuthLevel: PRIVACY 
AuthType: SPNEGO AuthCtxId: 0 WsPlumb:1 
[EdgeTcpConnectionDceRpcLayer.cpp:1277]'''
10/23/2012 17:56:23.109(Local)(8311 0.0) NTCE (109935) CheckAndDoAoshReplumbing perform replumbing wsPlumbState 1 [Session.cpp:315]
10/23/2012 17:56:23.109(Local)(8311 0.0) NTCE (109949) (fl=2433) AOSH Replumbing was performed returned Status 0 [Session.cpp:337]
10/23/2012 17:56:23.109(Local)(8311 0.0) NTCE (109956) CheckAndPlumb WanSecure(14) ret:= [1,0] WsPlumb:4 fd[client,server]:=[25,26] [AsyncOperationsQueue.cpp:180]
10/23/2012 17:56:23.312(Local)(8311 0.1) NTCE (312687) (fl=2433) Connection multiplexing enabled by server on the connection. [EdgeTcpConnectionDceRpcLayer.cpp:499]
10/23/2012 17:56:23.312(Local)(8311 0.1) NTCE (312700) (fl=2433) Header signing enabled by server on the connection. [EdgeTcpConnectionDceRpcLayer.cpp:510]
10/23/2012 17:56:23.312(Local)(8311 0.1) NTCE (312719) (fl=2433) OnNewConnection - Client IP 14.110.3.117 (0xe6e0375), Serv IP 14.110.3.99 (0xe6e0363), nDstPort=27744, 
nAssociationGroup=0x11de4,conn_fd=26, 
bWasConnectionFromReservedPool=0, bIsNewMapiSession=1 [ConnectionReservationManager.cpp:255]
'''10/23/2012 17:56:23.366(Local)(8311 0.1) NTCE (366789) (fl=2433) Received security context from core with auth context id: 0 [EdgeTcpConnectionDceRpcLayer.cpp:2912]
10/23/2012 17:56:23.367(Local)(8311 0.1) NTCE (367157) (fl=2433) Security Layer moved to ESTB state [FlowSecurityLayer.cpp:311]'''
10/23/2012 17:56:23.368(Local)(8311 0.1) NTCE (368029) (fl=2433) Informational:: Send APC set to WS: asking for Cipher 2 [EdgeTcpConnectionDceRpcLayer.cpp:809]
10/23/2012 17:56:23.368(Local)(8311 0.1) NTCE (368041) (fl=2433) Sec-Params [CtxId, AL, AT, ACT, DCT, [Hs, ConnMplx, SecMplx]]:=[0, 6, 9, 18, 18 [1,1,0]] 
[FlowIOBuffers.cpp:477]
10/23/2012 17:56:23.369(Local)(8311 0.0) NTCE (369128) (fl=2433) CEdgeTcpConnectionEmsMdbLayer::ConnectRequestCommon (CallId 2): client version is ProductMajor:14, 
Product Minor:0, Build Major:6117, 
Build Minor:5001 Client ip 14.110.3.117 Client port 58352 Dest ip 14.110.3.99 Dest port 27744 [EdgeTcpConnectionEmsMdbLayer.cpp:1522]
10/23/2012 17:56:23.868(Local)(8311 0.1) ERRO (868390) (fl=2433) ContextHandle.IsNull() [EdgeTcpConnectionEmsMdbLayer.cpp:1612]
10/23/2012 17:56:23.890(Local)(8311 0.0) NTCE (890891) (fl=2433) CEdgeTcpConnectionEmsMdbLayer::ConnectRequestCommon (CallId 3): client version is ProductMajor:14, 
Product Minor:0, Build Major:6117, 
Build Minor:5001 Client ip 14.110.3.117 Client port 58352 Dest ip 14.110.3.99 Dest port 27744 [EdgeTcpConnectionEmsMdbLayer.cpp:1522]

Aquí es la base la correspondencia WAE hecha salir del mapiao-errorlog para el mismo conneciton TCP

'''10/23/2012 17:56:54.092(Local)(6408 0.0) NTCE (92814) (fl=21) Core TCP connection initiated (11892640), Conn: [14.110.3.117:58352 <=> 14.110.3.99:27744], F
lavor: 0 [CoreTcpConnectionDceRpcLayer.cpp:99]
10/23/2012 17:56:54.092(Local)(6408 0.0) NTCE (92832) Core TCP connection initiated (11892640), Conn: [14.110.3.117:58352 <=> 14.110.3.99:27744], Flavor: 0
[CoreTcpConnectionDceRpcLayer.cpp:104]'''
10/23/2012 17:56:54.175(Local)(6408 0.0) NTCE (175035) SrlibCache Cache eviction starting: static void srlib::CSrlibCache:: OnAoShellDispatchCacheCleanup(vo
id*, aosh_work*) [SrlibCache.cpp:453]
10/23/2012 17:56:54.175(Local)(6408 0.0) NTCE (175068) last_cleanup_time (1344411860), evict_in_progress(1) handled_req_cnt (1) cache_size (0) [SrlibCache.
cpp:464]
10/23/2012 17:56:54.175(Local)(6408 0.0) NTCE (175121) SendNextCmd isDuringSend 0, WriteQueue sz 1, isDuringclose 0 [SrlibClientTransport.cpp:163]
10/23/2012 17:56:54.175(Local)(6408 0.0) NTCE (175132) SendNextCmd: Sending request: exchangeMDB/PDIDC-EXCHANGE1.pdidc.cisco.com:23[v:=11], WriteQueue sz 0
[bClose 0] [SrlibClientTransport.cpp:168]
10/23/2012 17:56:54.185(Local)(6408 0.1) NTCE (185576) OnReadComplete len 4 status 0 isDuringRead 1, isDuringHeaderRead 1, isDuringclose 0 [SrlibTransport.
cpp:127]
10/23/2012 17:56:54.185(Local)(6408 0.1) NTCE (185587) Parse header, msg body len 152 [SrlibTransport.cpp:111]
10/23/2012 17:56:54.185(Local)(6408 0.1) NTCE (185592) ReadNextMsg isDuringRead 0, isDuringHeaderRead 1, isDuringclose 0 [SrlibTransport.cpp:88]
10/23/2012 17:56:54.185(Local)(6408 0.1) NTCE (185623) OnReadComplete len 148 status 0 isDuringRead 1, isDuringHeaderRead 0, isDuringclose 0 [SrlibTranspor
t.cpp:127]
'''10/23/2012 17:56:54.185(Local)(6408 0.1) NTCE (185688) Insert new KrbKey: exchangeMDB/PDIDC-EXCHANGE1.pdidc.cisco.com::23[v:=11]:[{e,f,l}:={0, 0x1, 16} [S
rlibCache.cpp:735]
'''10/23/2012 17:56:54.185(Local)(6408 0.1) NTCE (185747) ReadNextMsg isDuringRead 0, isDuringHeaderRead 0, isDuringclose 0 [SrlibTransport.cpp:88]
'''10/23/2012 17:56:54.261(Local)(6408 0.1) NTCE (261575) (fl=21) Successfully created memory keytab with name: MEMORY:exchangeMDB@PDIDC-EXCHANGE1.pdidc.cisco
.com0nxrPblND [GssServer.cpp:468]
10/23/2012 17:56:54.261(Local)(6408 0.1) NTCE (261613) (fl=21) Successfully added entry in memory keytab. [GssServer.cpp:92]
10/23/2012 17:56:54.261(Local)(6408 0.1) NTCE (261858) (fl=21) Successfully acquired credentials. [GssServer.cpp:135]'''

Problemas Comunes

Abajo están algunas razones comunes que da lugar a la mano-apagado de la conexión del eMAPI a AO genérico (TG).  

Problema 1: La identidad del servicio de encripción configurada en la base WAE no tiene los permisos correctos en el ANUNCIO.

Salida del senior-errolog en la base WAE

09/25/2012 18:47:54.147(Local)(9063 0.1) ERRO (147570) session(0x517fa0) Failed to Retrieve Key from AD for SPN:exchangeMDB/outlook.sicredi.net.br error:16 [SRKeyRetriever.cpp:267]
'''09/25/2012 18:47:54.147(Local)(9063 0.1) ERRO (147592) Key retrieval failed with Status 16 [SRKeyMgr.cpp:157]
''''''09/25/2012 18:47:54.147(Local)(9063 0.1) ERRO (147623) Identity "WAASMacAct" has been blacklisted [SRDiIdMgr.cpp:258]
''''''09/25/2012 18:47:54.147(Local)(9063 0.1) ERRO (147631) Key retrieval failed due to permission issue [SRKeyMgr.cpp:167]
'''09/25/2012 18:47:54.147(Local)(9063 0.1) ERRO (147636) Identity: WAASMacAct will be black listed. [SRKeyMgr.cpp:168]
09/25/2012 18:47:54.147(Local)(9063 0.1) NTCE (147657) Calling KrbKeyResponse  key handler in srlib [SRServer.cpp:189]
09/25/2012 18:47:54.147(Local)(9063 0.1) NTCE (147722) Queued send reponse buffer to client task [SrlibServerTransport.cpp:136]
09/25/2012 18:47:54.147(Local)(9063 0.1) NTCE (147730) KrbKeyResponse, sent to client session object [SrlibServer.cpp:203]
09/25/2012 18:47:54.147(Local)(9063 0.0) NTCE (147733) SendNextCmd isDuringSend 0, WriteQueue size 1 isDuringClose 0 [SrlibServerTransport.cpp:308]
09/25/2012 18:47:54.147(Local)(9063 0.1) NTCE (147740) Send Key response to the Client

Resolución 1: Consulte la guía de configuración y verifiqúela que el objeto en el ANUNCIO tiene los permisos correctos. “Replicar el directorio cambia” y “replicar el directorio cambia todos” se debe ambos fijar para permitir.

http://www.cisco.com/en/US/docs/app_ntwk_services/waas/waas/v511/configuration/guide/policy.html#wp1256547

Problema 2: Hay una posición oblicua del tiempo entre la base WAE y el KDC que intenta extraer la clave de

Salida del senior-errolog en la base WAE

10/23/2012 01:31:33.507(Local)(1832 0.1) NTCE (507836) Initiating key retrieval [SRServer.cpp:271]
10/23/2012 01:31:33.507(Local)(1832 0.1) NTCE (507878) Match found for DN: pdidc.cisco.com is ID:MacchineAcctWAAS [SRDiIdMgr.cpp:163]
10/23/2012 01:31:33.507(Local)(1832 0.1) NTCE (507888) Identity MacchineAcctWAAS found in the Map [SRDiIdMgr.cpp:702]
10/23/2012 01:31:33.507(Local)(1832 0.1) NTCE (507901) DN Info found for domain pdidc.cisco.com [SRIdentityObject.cpp:168]
10/23/2012 01:31:33.507(Local)(1832 0.1) NTCE (507923) DRS_SPN: E3514235-4B06-11D1-AB04-00C04FC2DCD2/e4c83c51-0b59-4647-b45d-780dd2dc3344/PDIDC.CISCO.COM for 
PDI-7541-DC@PDIDC.CISCO.COM [GssCli.cpp:51]
10/23/2012 01:31:33.507(Local)(1832 0.1) NTCE (507933) CREATED srkr obj(0x2aaaac0008c0) for spn (exchangeMDB/pdidc-exchange1.pdidc.cisco.com) [SRKeyMgr.cpp:134]
10/23/2012 01:31:33.508(Local)(1832 1.6) NTCE (508252) Import cred successfull for pn: PDI-7541-DC@PDIDC.CISCO.COM [GssCli.cpp:135]
10/23/2012 01:31:33.511(Local)(1832 1.6) ERRO (511151) CreateSecurityContext: gss_init_sec_context failed [majorStatus = 851968 (0xd0000)] [GssCli.cpp:176]
'''10/23/2012 01:31:33.511(Local)(1832 1.6) ERRO (511170) GSS_MAJOR ERROR:851968 msg_cnt:0, Miscellaneous failure (see text)CD2 [GssCli.cpp:25]
10/23/2012 01:31:33.511(Local)(1832 1.6) ERRO (511177) GSS_MINOR ERROR:2529624064 msg_cnt:0, Clock skew too great [GssCli.cpp:29]
10/23/2012 01:31:33.511(Local)(1832 1.6) ERRO (511182) gsskrb5_get_subkey failed: 851968,22, [GssCli.cpp:198]
10/23/2012 01:31:33.511(Local)(1832 1.6) ERRO (511188) session(0x2aaaac0008c0) Error: Invalid security ctx state, IsContinue is false with out token exchange 
[SRKeyRetriever.cpp:386]
10/23/2012 01:31:33.511(Local)(1832 1.6) ERRO (511193) session(0x2aaaac0008c0) Failed to Retrieve Key from AD for SPN:exchangeMDB/pdidc-exchange1.pdidc.cisco.com error:1 
[SRKeyRetriever.cpp:267]'''
10/23/2012 01:31:33.511(Local)(1832 0.0) ERRO (511213) Key retrieval failed with Status 1 [SRKeyMgr.cpp:157]

Resolución 2: Utilice el ntpdate en todo el WAEs (especialmente la base) a la sincronización el reloj con el KDC. Entonces señale al servidor NTP de la empresa (prefereably lo mismo que el KDC).

Problema 3: El dominio que usted definió para su servicio de encripción no hace juego el dominio su servidor del intercambio está adentro.

Salida del senior-errolog en la base WAE

10/23/2012 18:41:21.918(Local)(3780 1.5) NTCE (918788) Key retrieval is in Progress [SRServer.cpp:322]
10/23/2012 18:41:21.918(Local)(3780 1.5) NTCE (918793) initiating key retrieval in progress [SRDataServer.cpp:441]
10/23/2012 18:41:21.918(Local)(3780 0.0) NTCE (918790) Initiating key retrieval [SRServer.cpp:271]
10/23/2012 18:41:21.918(Local)(3780 1.5) NTCE (918798) Sending ack for result 2, item name /cfg/gl/sr/sr_get_key/pdidc-exchange.cisco.com@cisco.com [SRDataServer.cpp:444]
10/23/2012 18:41:21.918(Local)(3780 0.0) ERRO (918813) Failed to find Identity match for domain cisco.com [SRDiIdMgr.cpp:157]
10/23/2012 18:41:21.918(Local)(3780 0.0) NTCE (918821) Failed to find identity match for domain [SRKeyMgr.cpp:120]
10/23/2012 18:41:21.918(Local)(3780 0.0) NTCE (918832) Send Key response to the Client for spn: exchangeMDB/pdidc-exchange.cisco.com, # of req's: 1 [SRKeyMgr.cpp:296]

Resolución 3: Si su base WAE mantiene a los Servidores de intercambio múltiple en diversos dominios usted debe configurar una identidad del servicio de encripción para cada dominio que residen los servidores del intercambio adentro.

Observe, allí no es NINGUNA ayuda para el sub-dominio incluyen en este tiempo. Tan si usted tiene myexchange.sub-domain.domain.com, la identidad del servicio de encripción debe estar en sub-domain.domain.com; NO PUEDE estar en el dominio del padre.

Problema 4: Si WANSecure falla sus conexiones pueden caer al TG

las conexiones del eMAPI se pueden entregar al AO genérico porque el plomo seguro PÁLIDO falló. El plomo seguro PÁLIDO falló porque el CERT verifica fallado. El CERT del par verifica fallado porque se está utilizando el CERT uno mismo-firmado valor por defecto del par o el CERT ha fallado legítimo el control OCSP.

Configuraciones de la base WAE

crypto pki global-settings

  ocsp url http://pdidc.cisco.com/ocsp
revocation-check ocsp-cert-url
exit

!

crypto ssl services host-service peering

  peer-cert-verify
exit

!

WAN Secure:

  Accelerator Config Item              Mode           Value
-----------------------              ----           ------
SSL AO                               User           enabled
Secure store                         User           enabled
Peer SSL version                     User           default
Peer cipher list                     User           default
Peer cert                            User           default
Peer cert verify                     User           enabled

Esto dará lugar a las entradas siguientes del mapiao-errorlog y del wsao-errorlog:

La indirecta aquí es la primera línea destacada “desconectó más de cuatro veces consecutivas”

Mapiao-errorlog en el lado WAE del cliente:

'''10/08/2012 20:02:15.025(Local)(24333 0.0) NTCE (25621) (fl=267542) Client 10.16.1.201 disconnected more than four consecutive times - push down to generic ao. 
[EdgeTcpConnectionDceRpcLayer.cpp:1443] 
'''10/08/2012 20:02:15.025(Local)(24333 0.0) NTCE (25634) (fl=267542) CEdgeIOBuffers:: StartHandOverProcessSingleConnection: SECURED_STATE_NOT_ESTABLISHED 
[EdgeIOBuffers.cpp:826] 
10/08/2012 20:02:15.025(Local)(24333 0.0) NTCE (25644) (fl=267542) CEdgeIOBuffers::CheckSendHandOverRequestToCoreAndBlockLan - Blocking LAN for read operations after last 
fragment of call id 0, current call id is 2 [EdgeIOBuffers.cpp:324] 
10/08/2012 20:02:15.048(Local)(24333 0.1) NTCE (48753) (fl=267542) Connection multiplexing enabled by server on the connection. [EdgeTcpConnectionDceRpcLayer.cpp:499] 
10/08/2012 20:02:15.048(Local)(24333 0.1) NTCE (48771) (fl=267542) Header signing enabled by server on the connection. [EdgeTcpConnectionDceRpcLayer.cpp:510] 
10/08/2012 20:02:15.048(Local)(24333 0.1) NTCE (48779) (fl=267542) CEdgeIOBuffers:: StartHandOverProcessSingleConnection: GENERAL_UNCLASSIFIED [EdgeIOBuffers.cpp:826]

Wsao-errorlog en el lado WAE del cliente:

'''10/08/2012 20:04:34.430(Local)(5939 4.0) ERRO (430001) certificate verification failed 'self signed certificate' [open_ssl.cpp:1213] 
'''10/08/2012 20:04:34.430(Local)(5939 4.0) ERRO (430047) ssl_read failed: 'SSL_ERROR_SSL' [open_ssl.cpp:1217] 
10/08/2012 20:04:34.430(Local)(5939 4.0) ERRO (430055) openssl errors: error:14090086: SSL routines: SSL3_GET_SERVER_CERTIFICATE:certificate verify failed:s3_clnt.c:1244: 
[open_ssl.cpp:1220]

Resolución 4: Quite al par que el CERT verifica la configuración de WAEs y recomience el servicio del encrytpion en la base WAE.

pdi-7541-dc(config)#crypto ssl services host-service peering

pdi-7541-dc(config-ssl-peering)#no peer-cert-verify

pdi-7541-dc(config)#no windows-domain encryption-service enable

pdi-7541-dc(config)#windows-domain encryption-service enable

Problema 5: Si el NTLM es utilizado por el cliente de Outlook la conexión será empujada hacia abajo al AO genérico.

Usted verá el siguiente en el mapiao-errorlog en el lado WAE del cliente:

'''waas-edge#find-patter match ntlm mapiao-errorlog.current 
'''
09/21/2012 20:30:32.154(Local)(8930 0.1) NTCE (154827) (fl=83271) Bind Request from client with AGID 0x0, callId 1, to dest-ip 172.21. 12.96, AuthLevel: 
PRIVACY '''AuthType:NTLM '''AuthCtxId: 153817840 WsPlumb: 2 [EdgeTcpConnectionDceRpcLayer.cpp:1277] 
09/21/2012 20:30:32.154(Local)(8930 0.1) NTCE (154861) (fl=83271) '''Unsupported''' '''Auth Type :NTLM''' [EdgeTcpConnectionDceRpcLayer.cpp:1401] 09/21/2012 20:30:40.157(Local)
(8930 0.0) NTCE (157628) (fl=83283) Bind Request from client with AGID 0x0, callId 2, to dest-ip 172.21. 12.96, AuthLevel: PRIVACY AuthType:NTLM AuthCtxId: 153817840 
WsPlumb: 2 [EdgeTcpConnectionDceRpcLayer.cpp:1277]

Resolución 5: El cliente debe activar/requiere la autenticación de Kerberos en su entorno Exchange. El NTLM no se utiliza (a partir de 5.1)

Sea consciente que hay una descripción de la tecnología de Microsoft que dice en voz alta una caída de nuevo al NTLM cuando se utiliza CAS.

El decorado donde no funciona el Kerberos es específico intercambiar 2010, y está en el decorado siguiente:

Servidores múltiples del acceso al cliente del intercambio (CAS) en una organización/un dominio.
Estos servidores de CAS se agrupan juntos usando cualquier método - usando la función del Cliente-vector incorporada de Microsoft, o un balanceador de la carga de las de otras compañías.

En el decorado arriba, el Kerberos no trabaja - y los clientes quieren el retraso al NTLM al lado del defult. Creo que esto es debido al hecho que tienen que los clientes AUTÉNTICO al servidor de CAS contra el servidor del buzón, como hicieron en las versiones anteriores del intercambio.

¡En el intercambio 2010 RTM, no hay arreglo para esto! El Kerberos en el decorado antedicho nunca funcionará el pre-intercambio 2010-SP1.

En el SP1, el Kerberos se puede activar en estos entornos, pero es un Proceso manual. Vea el artículo aquí: http://technet.microsoft.com/en-us/library/ff808313.aspx

Registro MAPI AO

• Los archivos del registro siguientes están disponibles para resolver problemas los problemas MAPI AO:
• Archivos de registro de transacción: /local1/logs/tfo/working.log (y /local1/logs/tfo/tfo_log_*.txt)

Archivos del registro de la depuración: /local1/errorlog/mapiao-errorlog.current (y mapiao-errorlog.*)

Para un depuración más fácil, usted debe primero poner un ACL para restringir los paquetes a un host.

WAE674(config)# ip access-list extended 150 permit tcp host 10.10.10.10 any
WAE674(config)# ip access-list extended 150 permit tcp any host 10.10.10.10

Para activar el registro de transacciones, utilice el comando configuration de los registros de transacciones como sigue:

wae(config)# transaction-logs flow enable
wae(config)# transaction-logs flow access-list 150

Usted puede ver el extremo de un archivo de registro de transacción usando el comando del tipo-Tail como sigue:

wae# type-tail tfo_log_10.10.11.230_20090715_130000.txt
Wed Jul 15 19:12:35 2009 :2289 :10.10.10.10 :3740 :10.10.100.101 :1146 :OT :END :EXTERNAL CLIENT :(MAPI) :822 :634 :556 :706
Wed Jul 15 19:12:35 2009 :2289 :10.10.10.10 :3740 :10.10.100.101 :1146 :SODRE :END :730 :605 :556 :706 :0
Wed Jul 15 19:12:35 2009 :2290 :10.10.10.10 :3738 :10.10.100.101 :1146 :OT :END :EXTERNAL CLIENT :(MAPI) :4758 :15914 :6436 :2006
Wed Jul 15 19:12:35 2009 :2290 :10.10.10.10 :3738 :10.10.100.101 :1146 :SODRE :END :4550 :15854 :6436 :2006 :0
Wed Jul 15 19:12:35 2009 :2284 :10.10.10.10 :3739 :10.10.100.101 :1146 :OT :END :EXTERNAL CLIENT :(MAPI) :1334 :12826 :8981 :1031

Para poner y para activar el registro de debug del MAPI AO, utilice los comandos siguientes.
NOTE: El registro de debug es uso intensivo de la CPU y puede generar una gran cantidad de salida. Utilícelo juicioso y escasamente en un entorno de producción.
Usted puede activar el registro detallado al disco como sigue:

WAE674(config)# logging disk enable
WAE674(config)# logging disk priority detail

Usted puede activar el registro de debug para las conexiones en el ACL como sigue:

WAE674# debug connection access-list 150

Las opciones para el depuración MAPI AO son como sigue:

WAE674# debug accelerator mapi ?
all enable all MAPI accelerator debugs
Common-flow enable MAPI Common flow debugs
DCERPC-layer enable MAPI DCERPC-layer flow debugs
EMSMDB-layer enable MAPI EMSMDB-layer flow debugs
IO enable MAPI IO debugs
ROP-layer enable MAPI ROP-layer debugs
ROP-parser enable MAPI ROP-parser debugs
RPC-parser enable MAPI RPC-parser debugs
shell enable MAPI shell debugs
Transport enable MAPI transport debugs
Utilities enable MAPI utilities debugs

Usted puede activar el registro de debug para las conexiones MAPI y después visualizar el extremo del registro de error de la depuración como sigue:

WAE674# debug accelerator mapi Common-flow
WAE674# type-tail errorlog/mapiao-errorlog.current follow