Guide de dépannage de Cisco WAAS pour la version 4.1.3 et ultérieures

Chapitre : Dépannage du MAPI ao

Cet article décrit comment dépanner le MAPI ao.

Contenu

• 1 accélérateur MAPI
• Accélération chiffrée 2 MAPI
  • 2.1 Résumé
  • 2.2 Les informations de caractéristique
  • 2.3 Dépannage de la méthodologie
    • 2.3.1 étape 1 - Vérifiez la configuration d'identité de service de cryptage et le succès principal de récupération
    • 2.3.2 étape 2 - Dans 5.0.3 une nouvelle commande de diagnostic a été introduite de vérifier certaines des configurations exigées.
    • 2.3.3 Étape 3 Vérifiez manuellement les configurations WAE qui ne sont pas vérifiées par la commande de diagnostic ci-dessus.
  • 2.4 Analyse de données
  • 2.5 Problèmes courants
    • 2.5.1 Problème 1 : L'identité de service de cryptage configurée sur le noyau WAE n'a pas les autorisations correctes dans l'AD.
    • 2.5.2 Résolution 1 : Consultez le guide de configuration et vérifiez l'objet dans l'AD a les autorisations correctes. « Répliquer le répertoire change » et « répliquer le répertoire change tous » doit chacun des deux être placé pour laisser.
    • 2.5.3 Problème 2 : Il y a une distorsion de temps entre le noyau WAE et le KDC qu'il tente de récupérer la clé de
    • 2.5.4 Résolution 2 : Utilisez le ntpdate sur tout le WAEs (particulièrement le noyau) au sync l'horloge avec le KDC. Indiquez alors le serveur de NTP d'entreprise (prefereably même que le KDC).
    • 2.5.5 Problème 3 : Le domaine que vous avez défini pour votre service de cryptage n'apparie pas le domaine votre serveur exchange est dedans.
    • 2.5.6 Résolution 3 : Si votre noyau WAE entretient de plusieurs serveurs exchanges dans différents domaines vous devez configurer une identité de service de cryptage pour chaque domaine que les serveurs exchanges résident dedans.
    • 2.5.7 Problème 4 : Si WANSecure échoue vos connexions peuvent chuter au TG 
    • 2.5.8 Résolution 4 : Retirez le pair que le CERT vérifient la configuration de WAEs et redémarrez le service d'encrytpion sur le noyau WAE.
    • 2.5.9 Problème 5 : Si NTLM est utilisé par le client d'Outlook la connexion sera abaissée à l'ao générique.
    • 2.5.10 Résolution 5 : Le client doit activer/a besoin de l'authentification Kerberos dans leur environnement d'échange. NTLM n'est pas pris en charge (en date de 5.1)
• Se connecter 3 MAPI ao

Accélérateur MAPI

L'accélérateur MAPI optimise le trafic de courrier électronique d'échange de Microsoft Outlook. L'échange utilise le protocole EMSMDB, qui est posé sur MS-RPC, qui utilise consécutivement le TCP ou le HTTP (non vérifié) comme transport inférieur.

Les supports Microsoft Outlook MAPI ao 2000 jusqu'en 2007 clients pour le trafic caché et non caché de mode. Des connexions sécurisées qui utilisent l'authentification de message (signature) ou le cryptage ne sont pas accélérées par le MAPI ao. De telles connexions et connexions des clients plus âgés sont remises hors fonction à l'ao générique pour des optimisations TFO. Supplémentaire, des connexions de l'Outlook Web Access (OWA) et du l'Échange-échange ne sont pas prises en charge.

Remarque: Microsoft Outlook 2007 a le cryptage activé par défaut. Vous devez désactiver le cryptage pour tirer bénéfice de l'accélérateur d'application MAPI. Dans Outlook, choisissez les outils > les comptes e-mails, choisissez la vue ou changez les comptes e-mails existants, et puis cliquez sur Next. Choisissez le compte d'échange, et puis cliquez sur la modification. Cliquez sur plus de configurations, et puis cliquez sur la Sécurité tableau décochent les données de chiffrer entre la case de perspectives et de Microsoft Exchange Server de Microsoft Office, suivant les indications de la figure 1.

Alternativement, vous pouvez désactiver le cryptage pour tous les utilisateurs d'un serveur exchange à l'aide d'une stratégie de groupe.

Cryptage désactivant du schéma 1. dans Outlook 2007

Dans les cas suivants, le MAPI ao ne manipule pas une connexion :

• Connexion cryptée (remise hors fonction à l'ao générique)
• Client sans support (remis hors fonction à l'ao générique)
• Erreur analysante irrémédiable. Toutes les connexions TCP entre le service de client et serveur sont déconnectées. Quand le client rebranche, toutes les connexions sont remises hors fonction à l'ao générique.
• Tentatives de client d'établir un nouveau groupe d'association sur la connexion quand le WAE est surchargé.
• Le client établit une connexion quand le WAE est surchargé et les ressources en connexion réservées par MAPI ne sont pas disponibles.

Le client et serveur d'Outlook interactif en session au-dessus d'un groupe de connexions TCP a appelé un groupe d'association. Dans un groupe d'association, les accès d'objet peuvent les répartir à travers n'importe quelle connexion et des connexions sont dynamiquement créées et libérées comme nécessaires. Un client peut avoir plus d'un groupe d'association ouvert en même temps de différents serveurs ou de même serveur. (Des répertoires publics sont déployés sur les serveurs différents de la mémoire de messagerie.)

Il est essentiel que toutes les connexions MAPI dans un groupe d'association passent par les mêmes paires de WAEs au branchement et au centre de traitement des données. Si quelques connexions dans un groupe d'association ne passent pas par le MAPI ao sur des ces WAEs, le MAPI ao ne verrait pas qu'on dit que les transactions exécutées sur ces connexions et les connexions « échappent » au groupe d'association. Pour cette raison, le MAPI ao ne devrait pas être déployé sur WAEs intégré séquentiel groupé qui constituent un groupe facilement disponible.

Les symptômes des connexions MAPI qui échappent à leur groupe d'association WAE sont des symptômes d'erreur d'Outlook tels que les messages en double ou l'Outlook cesse de répondre.

Pendant une surcharge TFO, de nouvelles connexions pour un groupe existant d'association seraient traversées et échapper au MAPI ao, ainsi le MAPI ao réserve un certain nombre de ressources en connexion à l'avance pour réduire l'incidence d'une surcharge. Pour plus de détails au sujet des connexions réservées MAPI et de leur incidence sur la surcharge de périphérique, voyez la section « connexions réservées par accélérateur d'application MAPI l'affecter sur la surcharge » dans l'article de surcharges de dépannage.

Vérifiez la configuration et l'état du général ao avec les commandes d'accélérateur et de show license d'exposition, comme décrit dans l'article d'accélération des applications de dépannage. Le permis d'entreprise est exigé pour l'exécution d'accélérateur MAPI et l'accélérateur d'application EPM doit être activé.

Ensuite, vérifiez la particularité d'état au MAPI ao à l'aide de la commande de mapi d'accélérateur d'exposition, suivant les indications de la figure 2. Vous voulez voir que le MAPI ao est activé, s'exécutant, et enregistré, et que la limite de connexion est affichée. Si l'état de config est activé mais l'état opérationnel est arrêt, il indique un problème d'autorisation.

Le schéma 2. vérifiant l'état d'accélérateur MAPI

Utilisez la commande d'epm d'accélérateur de statistiques d'exposition de vérifier que l'EPM ao est fonctionnel. Vérifiez que toutes les connexions manipulées, demandes de total avec succès analysées, et tous les compteurs avec succès analysés de réponses augmentent quand un client est commencé.

Utilisez la commande show running-config de vérifier que les stratégies de trafic MAPI et EPM sont correctement configurées. Vous voulez voir qu'accélérer le mapi pour l'action et vous d'application d'Email-et-Messagerie voulez voir le classificateur et la stratégie de trafic de ms-EndPortMapper définis, comme suit :

WAE674# sh run | include mapi
map adaptor EPM mapi
 name Email-and-Messaging All action optimize full accelerate mapi

WAE674# sh run | begin MS-EndPointMapper
...skipping
classifier MS-EndPointMapper
  match dst port eq 135
exit

WAE674# sh run | include MS-EndPointMapper
  classifier MS-EndPortMapper
    name Other classifier MS-EndPortMapper action optimize DRE no compression none accelerate MS-port-mapper

Utilisez la commande dynamique d'application de stratégie-engine d'exposition de vérifier que les règles dynamiques de correspondance existent, comme suit :

• Recherchez une règle avec l'user-id : EPM et map name : uuida4f1db00-ca47-1067-b31f-00dd010662da.
• Le champ d'écoulement indique le nombre total de connexions actives au service d'échange.
• Pour chaque client MAPI vous devriez voir une entrée distincte avec l'user-id : MAPI.

Utilisez la commande de mapi optimisée par connexion de statistiques d'exposition de vérifier que le périphérique WAAS établit les connexions optimisées MAPI. Vérifiez que « M » apparaît dans la colonne d'Accel pour des connexions MAPI, qui indique que le MAPI ao a été utilisé, comme suit :

WAE674# show stat conn opt mapi

Current Active Optimized Flows:                      2
 Current Active Optimized TCP Plus Flows:          1
 Current Active Optimized TCP Only Flows:          1
 Current Active Optimized TCP Preposition Flows:   0
Current Active Auto-Discovery Flows:                 0
Current Reserved Flows:                              12               <---------- Added in 4.1.5
Current Active Pass-Through Flows:                   0
Historical Flows:                                    161


D:DRE,L:LZ,T:TCP Optimization RR:Total Reduction Ratio
A:AOIM,C:CIFS,E:EPM,G:GENERIC,H:HTTP,M:MAPI,N:NFS,S:SSL,V:VIDEO

ConnID  Source IP:Port         Dest IP:Port        PeerID           Accel RR
342     10.56.94.101:4506    10.10.100.100:1456  0:1a:64:d3:2f:b8   TMDL  61.0%   <-----Look for "M"

Remarque: Dans la version 4.1.5, le courant des écoulements réservés contre- a été ajouté dans la sortie. Ce compteur se rapporte au nombre de ressources réservées en connexion MAPI sur les WAE qui sont actuellement inutilisés mais l'a mis de côté pour de futures connexions MAPI. Pour plus de détails au sujet des connexions réservées MAPI et de leur incidence sur la surcharge de périphérique, voyez la section « connexions réservées par accélérateur d'application MAPI l'affecter sur la surcharge » dans l'article de surcharges de dépannage.

Si vous observez des connexions avec « TGDL » dans la colonne d'Accel, ces connexions ont été abaissées à l'ao générique et optimisées avec des optimisations de transport seulement. Si ce sont des connexions que vous avez compté être manipulé par le MAPI ao, il peut être parce qu'elles sont les connexions chiffrées MAPI. Pour vérifier le nombre de connexions chiffrées MAPI qui ont été demandées, utilisez la commande de mapi d'accélérateur de statistiques d'exposition comme suit :

wae# sh stat accel mapi

MAPI:
Global Statistics
-----------------
Time Accelerator was started:                                      Thu Nov  5 19:45:19 2009
Time Statistics were Last Reset/Cleared:                           Thu Nov  5 19:45:19 2009
Total Handled Connections:                                         8615     
Total Optimized Connections:                                       8614     
Total Connections Handed-off with Compression Policies Unchanged:  0        
Total Dropped Connections:                                         1        
Current Active Connections:                                        20       
Current Pending Connections:                                       0        
Maximum Active Connections:                                        512      
Number of Synch Get Buffer Requests:                               1052     
Minimum Synch Get Buffer Size (bytes):                             31680    
Maximum Synch Get Buffer Size (bytes):                             31680    
Average Synch Get Buffer Size (bytes):                             31680    
Number of Read Stream Requests:                                    3844     
Minimum Read Stream Buffer Size (bytes):                           19       
Maximum Read Stream Buffer Size (bytes):                           31744    
Average Read Stream Buffer Size (bytes):                           14556    
Minimum Accumulated Read Ahead Data Size (bytes):                  0        
Maximum Accumulated Read Ahead Data Size (bytes):                  1172480  
Average Accumulated Read Ahead Data Size (bytes):                  594385   
Local Response Count:                                              20827    
Average Local Response Time (usec):                                250895   
Remote Response Count:                                             70486    
Average Remote Response Time (usec):                               277036     
Current 2000 Accelerated Sessions:                                 0        
Current 2003 Accelerated Sessions:                                 1        
Current 2007 Accelerated Sessions:                                 0        
Secured Connections:                                               1               <-----Encrypted connections        
Lower than 2000 Sessions:                                          0        
Higher than 2007 Sessions:                                         0        

Vous pouvez trouver les adresses IP des clients demandant les connexions chiffrées MAPI dans le Syslog en recherchant des messages comme ce qui suit :

2009 Jan 5 13:11:54 WAE512 mapi_ao: %WAAS-MAPIAO-3-132104: (929480) Encrypted connection. Client ip: 10.36.14.82

Vous pouvez visualiser les statistiques de connexion MAPI à l'aide de la commande de détail de mapi optimisée par connexion de statistiques d'exposition comme suit :

WAE674# show stat conn opt mapi detail
Connection Id:            1830
 Peer Id:                  00:14:5e:84:24:5f
 Connection Type:          EXTERNAL CLIENT
 Start Time:               Thu Jun 25 06:32:27 2009
 Source IP Address:        10.10.10.10
 Source Port Number:       3774
 Destination IP Address:   10.10.100.101
 Destination Port Number:  1146
 Application Name:         Email-and-Messaging                            <-----Should see Email-and-Messaging
 Classifier Name:          **Map Default**
 Map Name:                 uuida4f1db00-ca47-1067-b31f-00dd010662da       <-----Should see this UUID
 Directed Mode:            FALSE
 Preposition Flow:         FALSE
 Policy Details:
        Configured:        TCP_OPTIMIZE + DRE + LZ
           Derived:        TCP_OPTIMIZE + DRE + LZ
              Peer:        TCP_OPTIMIZE + DRE + LZ
        Negotiated:        TCP_OPTIMIZE + DRE + LZ
           Applied:        TCP_OPTIMIZE + DRE + LZ
 Accelerator Details:
             Configured:   MAPI                                           <-----Should see MAPI configured
                Derived:   MAPI 
                Applied:   MAPI                                           <-----Should see MAPI applied
                   Hist:   None
                                             Original            Optimized
                                 -------------------- --------------------
 Bytes Read:                                     4612                 1973
 Bytes Written:                                  4086                 2096
. . .

La réponse locale et distante compte et des délais de réponse moyens sont affichés dans cette sortie :

 . . . 
MAPI : 1830

 Time Statistics were Last Reset/Cleared:                           Thu Jun 25
06:32:27 2009
 Total Bytes Read:                                                46123985
 Total Bytes Written:                                             40864046
Number of Synch Get Buffer Requests:                               0
Minimum Synch Get Buffer Size (bytes):                             0
Maximum Synch Get Buffer Size (bytes):                             0
Average Synch Get Buffer Size (bytes):                             0
Number of Read Stream Requests:                                    0
Minimum Read Stream Buffer Size (bytes):                           0
Maximum Read Stream Buffer Size (bytes):                           0
Average Read Stream Buffer Size (bytes):                           0
Minimum Accumulated Read Ahead Data Size (bytes):                  0
Maximum Accumulated Read Ahead Data Size (bytes):                  0
Average Accumulated Read Ahead Data Size (bytes):                  0
Local Response Count:                                              0                  <----------
Average Local Response Time (usec):                                0                  <----------
Remote Response Count:                                             19                 <----------
Average Remote Response Time (usec):                               89005              <----------
. . . 

Accélération chiffrée MAPI

Résumé

En date de WAAS 5.0.1 l'accélérateur MAPI peut maintenant accélérer le trafic chiffré MAPI. Cette caractéristique sera activée par défaut dans la release 5.0.3. Cependant, dans la commande accélérez avec succès le trafic chiffré MAPI là sont nombre de conditions requises dans l'environnement WAAS et d'AD de Microsoft. Ce guide vous aidera à vérifier et dépanner la fonctionnalité d'eMAPI.

Les informations de caractéristique

l'eMAPI sera activé par défaut dans 5.0.3 et exigera du suivant d'accélérer avec succès le trafic chiffré.

1) La mémoire sécurisée CMS doit être initialisée et s'ouverte sur tout le principal WAEs

2) Le WAEs doit pouvoir résoudre le FQDN des serveurs et du Kerberos KDC (le contrôleur d'échange de Répertoire actif)

3) Les horloges Du WAE doivent être en phase avec le KDC

4) L'acclerator, le WAN sécurisé, et l'eMAPI SSL doivent être activés sur tout le WAEs dans le chemin d'Outlook permuter

5) Le WAEs dans le chemin doit avoir la configuration de la carte de stratégie correcte

6) Le noyau WAE doit avoir un ou plusieurs domaine chiffré Identies de services configuré (le compte d'utilisateur ou d'ordinateur)

7) Si un compte d'ordinateur est utilisé ce WAE doit être joint au domaine d'AD.

8) Alors avec le cas d'utilisation d'ordinateur ou de compte utilisateur, ces objets dans le répertoire actif doivent être donnés des autorisations spécifiques. « Répliquer le répertoire change » et « répliquer le répertoire change tous » doit chacun des deux être placé pour laisser.

La manière recommandée de faire ceci est par l'intermédiaire d'un groupe de sécurité universel (par exemple assignez les autorisations au groupe et ajoutez alors les périphériques et/ou les noms d'utilisateur WAAS spécifiés dans le service de cryptage à ce groupe). Voyez le guide relié pour des captures d'écran de configuration d'AD et de GUI WAAS cm.

Dépannage de la méthodologie

Étape 1 - Vérifiez la configuration d'identité de service de cryptage et le succès principal de récupération

Tandis que la commande de diagnostics (étape 2 ci-dessous) vérifie l'existence d'un service de cryptage elle ne vérifie pas si la récupération de clé sera réussie. Par conséquent nous ne savons pas en exécutant juste cette commande de diagnostic si les autorisations appropriées étaient données à l'objet dans le Répertoire actif (ordinateur ou compte utilisateur).

Résumé de quels besoins d'être fait pour configurer et vérifier le service de cryptage réussiront la récupération principale

Compte utilisateur :

1. créez l'utilisateur d'AD

2. créez le groupe d'AD et le positionnement « répliquant le répertoire change » et « répliquer le répertoire change tous » POUR LAISSER

3. ajoutez l'utilisateur au groupe créé

4. définissez l'identité de domaine de compte utilisateur dans des services de cryptage

5. exécutez-vous obtiennent le diagnostic principal cli

serveur FQDN> < nom de domaine > de <exchange d'obtenir-clé de cryptage-service de diagnostics de domaine windows

Notez que vous devriez utiliser nom de serveur exchange réel/vrai configuré sur le serveur et pas un FQDN de type NLB/VIP qui pourrait des résolutions à de plusieurs serveurs exchanges.

6. si principal la récupération a fonctionné - fait

Exemple de succès :

obtenir-clé pdidc-exchange1.pdidc.cisco.com pdidc.cisco.com de cryptage-service de diagnostics pdi-7541-dc#windows-domain

SPN pdidc-exchange1.pdidc.cisco.com, nom de domaine : pdidc.cisco.com

La récupération principale est en cours.

obtenir-clé pdidc-exchange1.pdidc.cisco.com pdidc.cisco.com de cryptage-service de diagnostics pdi-7541-dc#windows-domain

SPN pdidc-exchange1.pdidc.cisco.com, nom de domaine : pdidc.cisco.com

La clé pour pdidc-exchange1.pdidc.cisco.com réside dans le cache de clé de mémoire

Compte d'ordinateur

1. joignez les principaux dispositifs WAE au domaine d'AD

le groupe et le positionnement de l'AD 2.create « répliquant le répertoire change » et « répliquer le répertoire change tous » POUR LAISSER

3. ajoutez les comptes d'ordinateur pour grouper créé

4. configurez les services de cryptage pour utiliser le compte d'ordinateur

5. Donnez un jour ou l'autre pour obtenir la stratégie de groupe à appliquer à l'ordinateur joint ou pour forcer l'application de la stratégie de groupe à partir de l'AD. gpupdate /force.

6. exécutez-vous obtiennent le diagnostic principal cli

serveur FQDN> < nom de domaine > de <exchange d'obtenir-clé de cryptage-service de diagnostics de domaine windows

Notez que vous devriez utiliser nom de serveur exchange réel/vrai configuré sur le serveur et pas un FQDN de type NLB/VIP qui pourrait des résolutions à de plusieurs serveurs exchanges.

7. si principal la récupération a fonctionné - fait

Pour plus de détails et de copies d'écran au service d'Encrytpion et au config d'AD voyez le guide relié.

Étape 2 - Dans 5.0.3 une nouvelle commande de diagnostic a été introduite de vérifier certaines des configurations exigées.

le mapi de ̶accelerator vérifient des configurations de cryptage

1.CLI fait de divers contrôles de validité. Il a sorti est résumé de capacité d'accélérer le trafic chiffré MAPI comme périphérie ou noyau.

2.Checks des divers l'état/config composants attribue pour que le service de cryptage fonctionne correctement.

3.When qu'une question de configuration lui est trouvée sortira ce qui manque et le CLI ou les actions de le réparer.

4.It donnent le résumé comme périphérique et périphérique principal de périphérie. Le périphérique qui peut être périphérie et noyau devrait avoir EMAPI opérationnel pour la périphérie et le noyau.

Est ci-dessous un résultat témoin d'un WAE inexactement configuré :

Core#accelerator mapi verify encryption-settings
[EDGE:]
 Verifying Mapi Accelerator State
 --------------------------------
        Status: FAILED
        Accelerator     Config State    Operational State
        -----------     ------------    -----------------
        mapi            Disabled        Shutdown
        >>Mapi Accelerator should be Enabled
        >>Mapi Accelerator should be in Running state
 
 Verifying SSL Accelerator State
 -------------------------------
        Status: FAILED
        >>Accelerator   Config State    Operational State
        -----------     ------------    -----------------
        ssl             Disabled        Shutdown
        >>SSL Accelerator should be Enabled
        >>SSL Accelerator should be in Running state
 
 Verifying Wan-secure State
 --------------------------
        Status: FAILED
        >>Accelerator   Config State    Operational State
        -----------     ------------    -----------------
        wan-secure      Disabled        Shutdown
        >>Wan-secure should be Enabled
        >>Wan-secure should be in Running state
 
Verifying Mapi Wan-secure mode Setting
 ---------------------------------
        Status: FAILED
        Accelerator Config Item                 Mode            Value
        -----------------------                 ----            ------
        WanSecure Mode                          User            Not Applicable
        >>Mapi wan-secure setting should be auto/always
 Verifying NTP State
 --------------------
       Status: FAILED
       >>NTP status should be enabled and configured

Summary [EDGE]:
 ===============
      Device has to be properly configured for one or more components
 
[CORE:]
Verifying encryption-service State
 ----------------------------------
        Status: FAILED
        Service                 Config State    Operational State
        -----------             ------------    -----------------
        Encryption-service      Disabled        Shutdown
        >>Encryption Service should be Enabled
       >>Encryption Service status should be in 'Running' state
 
Verifying Encryption-service Identity Settings
 ----------------------------------------------
        Status: FAILED
        >>No active Encryption-service Identity is configured.
        >>Please configure an active Windows Domain Encryption Service Identity.

 Summary [CORE]: Applicable only on CORE WAEs
 ============================================
        Device has to be properly configured for one or more components

Est ci-dessous la sortie d'un noyau WAE qui est configuré correctement :

Core#acc mapi verify encryption-settings [EDGE:]

Verifying Mapi Accelerator State
--------------------------------
       Status: OK
Verifying SSL Accelerator State
-------------------------------
       Status: OK
Verifying Wan-secure State
--------------------------
       Status: OK
Verifying Mapi encryption Settings
----------------------------------
       Status: OK
Verifying Mapi Wan-secure mode Setting
---------------------------------
       Status: OK
Verifying NTP State
--------------------
       Status: OK
Summary [EDGE]:
===============
       Device has proper configuration to accelerate encrypted traffic

[CORE:]

Verifying encryption-service State
----------------------------------
       Status: OK
Verifying Encryption-service Identity Settings
----------------------------------------------
       Status: OK
Summary [CORE]: Applicable only on CORE WAEs
============================================
       Device has proper configuration to accelerate encrypted traffic

Étape 3 - Vérifiez manuellement les configurations WAE qui ne sont pas vérifiées par la commande de diagnostic ci-dessus.

1) La commande ci-dessus alors qu'elle des chekcs pour l'existence du NTP configurée, il ne vérifie pas réellement les temps sont dans le sync entre le WAE et le KDC. Il est très important les temps sont dans le sync entre le noyau et le KDC pour que la récupération principale soit réussi.

Si le contrôle manuel indique ils sont hors de sync un moyen simple de forcer l'horloge du WAE pour être dans le sync seraient la commande de ntpdate (ip> de ntpdate <KDC). Indiquez alors le WAEs le serveur de NTP d'entreprise.

2) Vérifiez le dnslookup réussit sur tout le WAEs pour le FQDN des serveurs exchanges et le FQDN du KDCs

3) Vérifiez le class-map et le policy-map est configuré correctement sur tout le WAEs dans le chemin.

waas MAPI de type de class-map pdi-7541-dc#sh

Match any MAPI de waas de type de class-map

Mapi d'epm de destination de TCP de correspondance (écoulement-correspondances 0)

waas de type de policy-map de waas de type de policy-map pdi-7541-dc#show

WAAS-GLOBAL (6084690 totaux)

Classe MAPI (écoulement-correspondances 0)
l'optimisez accélèrent complètement l'Email-et-Messagerie d'application de mapi

4) Vérifiez la mémoire sécurisée CMS est ouvert et initialisé sur tout le WAEs « mémoire sécurisée CMS d'exposition »

Analyse de données

Sans compter qu'analyser la sortie de la commande de diagnostic et des commandes show manuelles vous pouvez devoir passer en revue le sysreport.

Spécifiquement vous voudrez passer en revue le mapiao-errorlog, le Sr-errorlog (principal WAE seulement), et le wsao-errorlog classe.

Il y aura des signes dans chaque log selon le scénario qui vous mènera à la baisse de connexions de raison à l'ao générique.

Car une référence ici est sortie témoin affichant de divers composants fonctionnants

Cette sortie est de Sr-errorlog et affiche la validation de l'identité de service de cryptage de compte d'ordinateur

Remarque: Ceci confirme seulement le noyau WAE a joint le domaine et le compte d'ordinateur existe.

07/03/2012 19:12:07.278(Local)(6249 1.5) NTCE (278902) Adding Identity MacchineAcctWAAS to map active list in SRMain [SRMain.cpp:215]
07/03/2012 19:12:07.279(Local)(6249 1.5) NTCE (279018) Adding identity(MacchineAcctWAAS) to Map [SRDiIdMgr.cpp:562]
07/03/2012 19:12:07.279(Local)(6249 1.5) NTCE (279282) Activate Id: MacchineAcctWAAS [SRMain.cpp:260]
07/03/2012 19:12:07.279(Local)(6249 1.5) NTCE (279306) Identity MacchineAcctWAAS found in the Map [SRDiIdMgr.cpp:702]
07/03/2012 19:12:07.279(Local)(6249 1.5) NTCE (279321) Authentication for ID: MacchineAcctWAAS [SRDiIdMgr.cpp:398]
07/03/2012 19:12:07.330(Local)(6249 1.5) NTCE (330581) Authentication success, tkt validity starttime 1341342727 endtime 1341378727 [SRDiIdMgr.cpp:456]
07/03/2012 19:12:07.330(Local)(6249 1.5) NTCE (330599)
ID_TAG :MacchineAcctWAAS
Name : pdi-7541-dc
Domain : PDIDC.CISCO.COM
Realm : PDIDC.CISCO.COM
CLI_GUID :
SITE_GUID :
CONF_GUID :
Status:ENABLED
Black_Listed:NO
AUTH_STATUS: SUCCESS
ACCT_TYPE:Machine [SRIdentityObject.cpp:85]
07/03/2012 19:12:07.331(Local)(6249 1.5) NTCE (331685) DN Info found for domain PDIDC.CISCO.COM [SRIdentityObject.cpp:168]
07/03/2012 19:12:07.347(Local)(6249 1.5) NTCE (347680) Import cred successfull for pn: pdi-7541-dc@PDIDC.CISCO.COM [AdsGssCli.cpp:111]

Cette sortie est du principal Sr-errorlog de nouveau et affiche la récupération principale réussie de KDC.

10/23/2012 15:46:55.673(Local)(3780 1.2) NTCE (673766) Key Not Found in cache, initiating retrieval for spn:exchangeMDB/pdidc-exchange1.pdidc.cisco.com [SRServer.cpp:297]
10/23/2012 15:46:55.673(Local)(3780 1.2) NTCE (673811) Queued InitiateKeyRetrieval task [SRServer.cpp:264]10/23/2012 15:46:55.673(Local)(3780 1.2) NTCE (673819) 
Key retrieval is in Progress [SRServer.cpp:322]
10/23/2012 15:46:55.673(Local)(3780 0.0) NTCE (673818) Initiating key retrieval [SRServer.cpp:271]
10/23/2012 15:46:55.673(Local)(3780 1.2) NTCE (673827) initiating key retrieval in progress [SRDataServer.cpp:441]
10/23/2012 15:46:55.673(Local)(3780 1.2) NTCE (673834) Sending ack for result 2, item name /cfg/gl/sr/sr_get_key/pdidc-exchange1.pdidc.cisco.com@pdidc.cisco.com 
[SRDataServer.cpp:444]
10/23/2012 15:46:55.673(Local)(3780 0.0) NTCE (673922) Match found for DN: pdidc.cisco.com is ID:MacchineAcctWAAS [SRDiIdMgr.cpp:163]
10/23/2012 15:46:55.673(Local)(3780 0.0) NTCE (673937) Identity MacchineAcctWAAS found in the Map [SRDiIdMgr.cpp:702]
10/23/2012 15:46:55.673(Local)(3780 0.0) NTCE (673950) DN Info found for domain pdidc.cisco.com [SRIdentityObject.cpp:168]
10/23/2012 15:46:55.674(Local)(3780 0.0) NTCE (674011) DRS_SPN: E3514235-4B06-11D1-AB04-00C04FC2DCD2/e4c83c51-0b59-4647-b45d-780dd2dc3344/PDIDC.CISCO.COM for 
PDI-7541-DC@PDIDC.CISCO.COM [GssCli.cpp:51]
10/23/2012 15:46:55.674(Local)(3780 0.0) NTCE (674020) CREATED srkr obj(0x50aa00) for spn (exchangeMDB/pdidc-exchange1.pdidc.cisco.com) [SRKeyMgr.cpp:134]
10/23/2012 15:46:55.674(Local)(3780 1.3) NTCE (674421) Import cred successfull for pn: PDI-7541-DC@PDIDC.CISCO.COM [GssCli.cpp:135]
10/23/2012 15:46:55.676(Local)(3780 1.3) NTCE (676280) session(0x50aa00) Complete TGT stage of GSS Successful, Initiating AppApi [SRKeyRetriever.cpp:408]
10/23/2012 15:46:55.676(Local)(3780 0.1) NTCE (676415) SRKR: Success in posting connect to service <ip:0e:6e:03:a3><port:135> [IoOperation.cpp:222]
10/23/2012 15:46:55.676(Local)(3780 0.0) NTCE (676607) Connected to server. [IoOperation.cpp:389]
10/23/2012 15:46:55.677(Local)(3780 0.0) NTCE (677736) SRKR: Success in posting connect to service <ip:0e:6e:03:a3><port:1025> [IoOperation.cpp:222]
10/23/2012 15:46:55.678(Local)(3780 0.1) NTCE (678001) Connected to server. [IoOperation.cpp:389]
10/23/2012 15:46:55.679(Local)(3780 0.1) NTCE (679500) Cleaning up credential cache for PDI-7541-DC@PDIDC.CISCO.COM [GssCli.cpp:212]
10/23/2012 15:46:55.680(Local)(3780 0.1) NTCE (680011) Parsing DRSBIND Response [AppApiDrsBind.cpp:222]
10/23/2012 15:46:55.680(Local)(3780 0.1) NTCE (680030) DRSBind Success, Status:00000000 [AppApiDrsBind.cpp:359]
10/23/2012 15:46:55.685(Local)(3780 0.1) NTCE (685502) session(0x50aa00) Successful in Key Retrieval from AD for SPN:exchangeMDB/pdidc-exchange1.pdidc.cisco.com 
[SRKeyRetriever.cpp:269]
10/23/2012 15:46:55.685(Local)(3780 0.1) NTCE (685583) Send Key response to the Client for spn: exchangeMDB/pdidc-exchange1.pdidc.cisco.com, # of req's : 1
[SRKeyMgr.cpp:296]
10/23/2012 15:46:55.685(Local)(3780 0.1) NTCE (685594) Deleting spn: exchangeMDB/pdidc-exchange1.pdidc.cisco.com entry from Pending key request map [SRKeyMgr.cpp:303]

Cette sortie est à partir du fichier de mapiao-errorlog sur la périphérie WAE pour une connexion réussie d'eMAPI

'''10/23/2012 17:56:23.080(Local)(8311 0.1) NTCE (80175) (fl=2433) Edge TCP connection initiated (-1409268656), Conn: [14.110.3.117:58352 <=> 14.110.3.99:27744], 
Flavor: 0 [EdgeTcpConnectionDceRpcLayer.cpp:43]
10/23/2012 17:56:23.080(Local)(8311 0.1) NTCE (80199) Edge TCP connection initiated (-1409268656), Conn: [14.110.3.117:58352 <=> 14.110.3.99:27744], Flavor: 0 
[EdgeTcpConnectionDceRpcLayer.cpp:48]
10/23/2012 17:56:23.108(Local)(8311 0.0) NTCE (108825) (fl=2433) Bind Request from client with AGID 0x0, callId 2, to dest-ip 14.110.3.99, AuthLevel: PRIVACY 
AuthType: SPNEGO AuthCtxId: 0 WsPlumb:1 
[EdgeTcpConnectionDceRpcLayer.cpp:1277]'''
10/23/2012 17:56:23.109(Local)(8311 0.0) NTCE (109935) CheckAndDoAoshReplumbing perform replumbing wsPlumbState 1 [Session.cpp:315]
10/23/2012 17:56:23.109(Local)(8311 0.0) NTCE (109949) (fl=2433) AOSH Replumbing was performed returned Status 0 [Session.cpp:337]
10/23/2012 17:56:23.109(Local)(8311 0.0) NTCE (109956) CheckAndPlumb WanSecure(14) ret:= [1,0] WsPlumb:4 fd[client,server]:=[25,26] [AsyncOperationsQueue.cpp:180]
10/23/2012 17:56:23.312(Local)(8311 0.1) NTCE (312687) (fl=2433) Connection multiplexing enabled by server on the connection. [EdgeTcpConnectionDceRpcLayer.cpp:499]
10/23/2012 17:56:23.312(Local)(8311 0.1) NTCE (312700) (fl=2433) Header signing enabled by server on the connection. [EdgeTcpConnectionDceRpcLayer.cpp:510]
10/23/2012 17:56:23.312(Local)(8311 0.1) NTCE (312719) (fl=2433) OnNewConnection - Client IP 14.110.3.117 (0xe6e0375), Serv IP 14.110.3.99 (0xe6e0363), nDstPort=27744, 
nAssociationGroup=0x11de4,conn_fd=26, 
bWasConnectionFromReservedPool=0, bIsNewMapiSession=1 [ConnectionReservationManager.cpp:255]
'''10/23/2012 17:56:23.366(Local)(8311 0.1) NTCE (366789) (fl=2433) Received security context from core with auth context id: 0 [EdgeTcpConnectionDceRpcLayer.cpp:2912]
10/23/2012 17:56:23.367(Local)(8311 0.1) NTCE (367157) (fl=2433) Security Layer moved to ESTB state [FlowSecurityLayer.cpp:311]'''
10/23/2012 17:56:23.368(Local)(8311 0.1) NTCE (368029) (fl=2433) Informational:: Send APC set to WS: asking for Cipher 2 [EdgeTcpConnectionDceRpcLayer.cpp:809]
10/23/2012 17:56:23.368(Local)(8311 0.1) NTCE (368041) (fl=2433) Sec-Params [CtxId, AL, AT, ACT, DCT, [Hs, ConnMplx, SecMplx]]:=[0, 6, 9, 18, 18 [1,1,0]] 
[FlowIOBuffers.cpp:477]
10/23/2012 17:56:23.369(Local)(8311 0.0) NTCE (369128) (fl=2433) CEdgeTcpConnectionEmsMdbLayer::ConnectRequestCommon (CallId 2): client version is ProductMajor:14, 
Product Minor:0, Build Major:6117, 
Build Minor:5001 Client ip 14.110.3.117 Client port 58352 Dest ip 14.110.3.99 Dest port 27744 [EdgeTcpConnectionEmsMdbLayer.cpp:1522]
10/23/2012 17:56:23.868(Local)(8311 0.1) ERRO (868390) (fl=2433) ContextHandle.IsNull() [EdgeTcpConnectionEmsMdbLayer.cpp:1612]
10/23/2012 17:56:23.890(Local)(8311 0.0) NTCE (890891) (fl=2433) CEdgeTcpConnectionEmsMdbLayer::ConnectRequestCommon (CallId 3): client version is ProductMajor:14, 
Product Minor:0, Build Major:6117, 
Build Minor:5001 Client ip 14.110.3.117 Client port 58352 Dest ip 14.110.3.99 Dest port 27744 [EdgeTcpConnectionEmsMdbLayer.cpp:1522]

Voici le principal WAE la correspondance sorti du mapiao-errorlog pour le même conneciton de TCP

'''10/23/2012 17:56:54.092(Local)(6408 0.0) NTCE (92814) (fl=21) Core TCP connection initiated (11892640), Conn: [14.110.3.117:58352 <=> 14.110.3.99:27744], F
lavor: 0 [CoreTcpConnectionDceRpcLayer.cpp:99]
10/23/2012 17:56:54.092(Local)(6408 0.0) NTCE (92832) Core TCP connection initiated (11892640), Conn: [14.110.3.117:58352 <=> 14.110.3.99:27744], Flavor: 0
[CoreTcpConnectionDceRpcLayer.cpp:104]'''
10/23/2012 17:56:54.175(Local)(6408 0.0) NTCE (175035) SrlibCache Cache eviction starting: static void srlib::CSrlibCache:: OnAoShellDispatchCacheCleanup(vo
id*, aosh_work*) [SrlibCache.cpp:453]
10/23/2012 17:56:54.175(Local)(6408 0.0) NTCE (175068) last_cleanup_time (1344411860), evict_in_progress(1) handled_req_cnt (1) cache_size (0) [SrlibCache.
cpp:464]
10/23/2012 17:56:54.175(Local)(6408 0.0) NTCE (175121) SendNextCmd isDuringSend 0, WriteQueue sz 1, isDuringclose 0 [SrlibClientTransport.cpp:163]
10/23/2012 17:56:54.175(Local)(6408 0.0) NTCE (175132) SendNextCmd: Sending request: exchangeMDB/PDIDC-EXCHANGE1.pdidc.cisco.com:23[v:=11], WriteQueue sz 0
[bClose 0] [SrlibClientTransport.cpp:168]
10/23/2012 17:56:54.185(Local)(6408 0.1) NTCE (185576) OnReadComplete len 4 status 0 isDuringRead 1, isDuringHeaderRead 1, isDuringclose 0 [SrlibTransport.
cpp:127]
10/23/2012 17:56:54.185(Local)(6408 0.1) NTCE (185587) Parse header, msg body len 152 [SrlibTransport.cpp:111]
10/23/2012 17:56:54.185(Local)(6408 0.1) NTCE (185592) ReadNextMsg isDuringRead 0, isDuringHeaderRead 1, isDuringclose 0 [SrlibTransport.cpp:88]
10/23/2012 17:56:54.185(Local)(6408 0.1) NTCE (185623) OnReadComplete len 148 status 0 isDuringRead 1, isDuringHeaderRead 0, isDuringclose 0 [SrlibTranspor
t.cpp:127]
'''10/23/2012 17:56:54.185(Local)(6408 0.1) NTCE (185688) Insert new KrbKey: exchangeMDB/PDIDC-EXCHANGE1.pdidc.cisco.com::23[v:=11]:[{e,f,l}:={0, 0x1, 16} [S
rlibCache.cpp:735]
'''10/23/2012 17:56:54.185(Local)(6408 0.1) NTCE (185747) ReadNextMsg isDuringRead 0, isDuringHeaderRead 0, isDuringclose 0 [SrlibTransport.cpp:88]
'''10/23/2012 17:56:54.261(Local)(6408 0.1) NTCE (261575) (fl=21) Successfully created memory keytab with name: MEMORY:exchangeMDB@PDIDC-EXCHANGE1.pdidc.cisco
.com0nxrPblND [GssServer.cpp:468]
10/23/2012 17:56:54.261(Local)(6408 0.1) NTCE (261613) (fl=21) Successfully added entry in memory keytab. [GssServer.cpp:92]
10/23/2012 17:56:54.261(Local)(6408 0.1) NTCE (261858) (fl=21) Successfully acquired credentials. [GssServer.cpp:135]'''

Problèmes courants

Sont ci-dessous quelques raisons communes qui a comme conséquence le hand-off de connexion d'eMAPI à ao générique (TG).  

Problème 1 : L'identité de service de cryptage configurée sur le noyau WAE n'a pas les autorisations correctes dans l'AD.

Sortie de Sr-errolog sur le noyau WAE

09/25/2012 18:47:54.147(Local)(9063 0.1) ERRO (147570) session(0x517fa0) Failed to Retrieve Key from AD for SPN:exchangeMDB/outlook.sicredi.net.br error:16 [SRKeyRetriever.cpp:267]
'''09/25/2012 18:47:54.147(Local)(9063 0.1) ERRO (147592) Key retrieval failed with Status 16 [SRKeyMgr.cpp:157]
''''''09/25/2012 18:47:54.147(Local)(9063 0.1) ERRO (147623) Identity "WAASMacAct" has been blacklisted [SRDiIdMgr.cpp:258]
''''''09/25/2012 18:47:54.147(Local)(9063 0.1) ERRO (147631) Key retrieval failed due to permission issue [SRKeyMgr.cpp:167]
'''09/25/2012 18:47:54.147(Local)(9063 0.1) ERRO (147636) Identity: WAASMacAct will be black listed. [SRKeyMgr.cpp:168]
09/25/2012 18:47:54.147(Local)(9063 0.1) NTCE (147657) Calling KrbKeyResponse  key handler in srlib [SRServer.cpp:189]
09/25/2012 18:47:54.147(Local)(9063 0.1) NTCE (147722) Queued send reponse buffer to client task [SrlibServerTransport.cpp:136]
09/25/2012 18:47:54.147(Local)(9063 0.1) NTCE (147730) KrbKeyResponse, sent to client session object [SrlibServer.cpp:203]
09/25/2012 18:47:54.147(Local)(9063 0.0) NTCE (147733) SendNextCmd isDuringSend 0, WriteQueue size 1 isDuringClose 0 [SrlibServerTransport.cpp:308]
09/25/2012 18:47:54.147(Local)(9063 0.1) NTCE (147740) Send Key response to the Client

Résolution 1 : Consultez le guide de configuration et vérifiez l'objet dans l'AD a les autorisations correctes. « Répliquer le répertoire change » et « répliquer le répertoire change tous » doit chacun des deux être placé pour laisser.

http://www.cisco.com/en/US/docs/app_ntwk_services/waas/waas/v511/configuration/guide/policy.html#wp1256547

Problème 2 : Il y a une distorsion de temps entre le noyau WAE et le KDC qu'il tente de récupérer la clé de

Sortie de Sr-errolog sur le noyau WAE

10/23/2012 01:31:33.507(Local)(1832 0.1) NTCE (507836) Initiating key retrieval [SRServer.cpp:271]
10/23/2012 01:31:33.507(Local)(1832 0.1) NTCE (507878) Match found for DN: pdidc.cisco.com is ID:MacchineAcctWAAS [SRDiIdMgr.cpp:163]
10/23/2012 01:31:33.507(Local)(1832 0.1) NTCE (507888) Identity MacchineAcctWAAS found in the Map [SRDiIdMgr.cpp:702]
10/23/2012 01:31:33.507(Local)(1832 0.1) NTCE (507901) DN Info found for domain pdidc.cisco.com [SRIdentityObject.cpp:168]
10/23/2012 01:31:33.507(Local)(1832 0.1) NTCE (507923) DRS_SPN: E3514235-4B06-11D1-AB04-00C04FC2DCD2/e4c83c51-0b59-4647-b45d-780dd2dc3344/PDIDC.CISCO.COM for 
PDI-7541-DC@PDIDC.CISCO.COM [GssCli.cpp:51]
10/23/2012 01:31:33.507(Local)(1832 0.1) NTCE (507933) CREATED srkr obj(0x2aaaac0008c0) for spn (exchangeMDB/pdidc-exchange1.pdidc.cisco.com) [SRKeyMgr.cpp:134]
10/23/2012 01:31:33.508(Local)(1832 1.6) NTCE (508252) Import cred successfull for pn: PDI-7541-DC@PDIDC.CISCO.COM [GssCli.cpp:135]
10/23/2012 01:31:33.511(Local)(1832 1.6) ERRO (511151) CreateSecurityContext: gss_init_sec_context failed [majorStatus = 851968 (0xd0000)] [GssCli.cpp:176]
'''10/23/2012 01:31:33.511(Local)(1832 1.6) ERRO (511170) GSS_MAJOR ERROR:851968 msg_cnt:0, Miscellaneous failure (see text)CD2 [GssCli.cpp:25]
10/23/2012 01:31:33.511(Local)(1832 1.6) ERRO (511177) GSS_MINOR ERROR:2529624064 msg_cnt:0, Clock skew too great [GssCli.cpp:29]
10/23/2012 01:31:33.511(Local)(1832 1.6) ERRO (511182) gsskrb5_get_subkey failed: 851968,22, [GssCli.cpp:198]
10/23/2012 01:31:33.511(Local)(1832 1.6) ERRO (511188) session(0x2aaaac0008c0) Error: Invalid security ctx state, IsContinue is false with out token exchange 
[SRKeyRetriever.cpp:386]
10/23/2012 01:31:33.511(Local)(1832 1.6) ERRO (511193) session(0x2aaaac0008c0) Failed to Retrieve Key from AD for SPN:exchangeMDB/pdidc-exchange1.pdidc.cisco.com error:1 
[SRKeyRetriever.cpp:267]'''
10/23/2012 01:31:33.511(Local)(1832 0.0) ERRO (511213) Key retrieval failed with Status 1 [SRKeyMgr.cpp:157]

Résolution 2 : Utilisez le ntpdate sur tout le WAEs (particulièrement le noyau) au sync l'horloge avec le KDC. Indiquez alors le serveur de NTP d'entreprise (prefereably même que le KDC).

Problème 3 : Le domaine que vous avez défini pour votre service de cryptage n'apparie pas le domaine votre serveur exchange est dedans.

Sortie de Sr-errolog sur le noyau WAE

10/23/2012 18:41:21.918(Local)(3780 1.5) NTCE (918788) Key retrieval is in Progress [SRServer.cpp:322]
10/23/2012 18:41:21.918(Local)(3780 1.5) NTCE (918793) initiating key retrieval in progress [SRDataServer.cpp:441]
10/23/2012 18:41:21.918(Local)(3780 0.0) NTCE (918790) Initiating key retrieval [SRServer.cpp:271]
10/23/2012 18:41:21.918(Local)(3780 1.5) NTCE (918798) Sending ack for result 2, item name /cfg/gl/sr/sr_get_key/pdidc-exchange.cisco.com@cisco.com [SRDataServer.cpp:444]
10/23/2012 18:41:21.918(Local)(3780 0.0) ERRO (918813) Failed to find Identity match for domain cisco.com [SRDiIdMgr.cpp:157]
10/23/2012 18:41:21.918(Local)(3780 0.0) NTCE (918821) Failed to find identity match for domain [SRKeyMgr.cpp:120]
10/23/2012 18:41:21.918(Local)(3780 0.0) NTCE (918832) Send Key response to the Client for spn: exchangeMDB/pdidc-exchange.cisco.com, # of req's: 1 [SRKeyMgr.cpp:296]

Résolution 3 : Si votre noyau WAE entretient de plusieurs serveurs exchanges dans différents domaines vous devez configurer une identité de service de cryptage pour chaque domaine que les serveurs exchanges résident dedans.

La note, là n'est AUCUN soutien de sous-titre-domaine incluent à ce moment. Ainsi si vous avez myexchange.sub-domain.domain.com, l'identité de service de cryptage doit être dans sub-domain.domain.com ; il NE PEUT PAS être dans le domaine de parent.

Problème 4 : Si WANSecure échoue vos connexions peuvent chuter au TG

des connexions d'eMAPI peuvent être remises à l'ao générique parce que le plomb sécurisé de WAN a manqué. Le plomb sécurisé de WAN a manqué parce que le CERT vérifient manqué. Le CERT de pair vérifient manqué parce que le CERT de pair auto-signé par par défaut est utilisé ou le CERT a le contrôle légitimement défectueux OCSP.

Principales configurations WAE

crypto pki global-settings

  ocsp url http://pdidc.cisco.com/ocsp
revocation-check ocsp-cert-url
exit

!

crypto ssl services host-service peering

  peer-cert-verify
exit

!

WAN Secure:

  Accelerator Config Item              Mode           Value
-----------------------              ----           ------
SSL AO                               User           enabled
Secure store                         User           enabled
Peer SSL version                     User           default
Peer cipher list                     User           default
Peer cert                            User           default
Peer cert verify                     User           enabled

Ceci aura comme conséquence les entrées suivantes de mapiao-errorlog et de wsao-errorlog :

Le signe ici est la première ligne mise en surbrillance « a déconnecté plus de quatre fois consécutives »

Mapiao-errorlog sur le côté client WAE :

'''10/08/2012 20:02:15.025(Local)(24333 0.0) NTCE (25621) (fl=267542) Client 10.16.1.201 disconnected more than four consecutive times - push down to generic ao. 
[EdgeTcpConnectionDceRpcLayer.cpp:1443] 
'''10/08/2012 20:02:15.025(Local)(24333 0.0) NTCE (25634) (fl=267542) CEdgeIOBuffers:: StartHandOverProcessSingleConnection: SECURED_STATE_NOT_ESTABLISHED 
[EdgeIOBuffers.cpp:826] 
10/08/2012 20:02:15.025(Local)(24333 0.0) NTCE (25644) (fl=267542) CEdgeIOBuffers::CheckSendHandOverRequestToCoreAndBlockLan - Blocking LAN for read operations after last 
fragment of call id 0, current call id is 2 [EdgeIOBuffers.cpp:324] 
10/08/2012 20:02:15.048(Local)(24333 0.1) NTCE (48753) (fl=267542) Connection multiplexing enabled by server on the connection. [EdgeTcpConnectionDceRpcLayer.cpp:499] 
10/08/2012 20:02:15.048(Local)(24333 0.1) NTCE (48771) (fl=267542) Header signing enabled by server on the connection. [EdgeTcpConnectionDceRpcLayer.cpp:510] 
10/08/2012 20:02:15.048(Local)(24333 0.1) NTCE (48779) (fl=267542) CEdgeIOBuffers:: StartHandOverProcessSingleConnection: GENERAL_UNCLASSIFIED [EdgeIOBuffers.cpp:826]

Wsao-errorlog sur le côté client WAE :

'''10/08/2012 20:04:34.430(Local)(5939 4.0) ERRO (430001) certificate verification failed 'self signed certificate' [open_ssl.cpp:1213] 
'''10/08/2012 20:04:34.430(Local)(5939 4.0) ERRO (430047) ssl_read failed: 'SSL_ERROR_SSL' [open_ssl.cpp:1217] 
10/08/2012 20:04:34.430(Local)(5939 4.0) ERRO (430055) openssl errors: error:14090086: SSL routines: SSL3_GET_SERVER_CERTIFICATE:certificate verify failed:s3_clnt.c:1244: 
[open_ssl.cpp:1220]

Résolution 4 : Retirez le pair que le CERT vérifient la configuration de WAEs et redémarrez le service d'encrytpion sur le noyau WAE.

pdi-7541-dc(config)#crypto ssl services host-service peering

pdi-7541-dc(config-ssl-peering)#no peer-cert-verify

pdi-7541-dc(config)#no windows-domain encryption-service enable

pdi-7541-dc(config)#windows-domain encryption-service enable

Problème 5 : Si NTLM est utilisé par le client d'Outlook la connexion sera abaissée à l'ao générique.

Vous verrez le suivant dans le mapiao-errorlog sur le côté client WAE :

'''waas-edge#find-patter match ntlm mapiao-errorlog.current 
'''
09/21/2012 20:30:32.154(Local)(8930 0.1) NTCE (154827) (fl=83271) Bind Request from client with AGID 0x0, callId 1, to dest-ip 172.21. 12.96, AuthLevel: 
PRIVACY '''AuthType:NTLM '''AuthCtxId: 153817840 WsPlumb: 2 [EdgeTcpConnectionDceRpcLayer.cpp:1277] 
09/21/2012 20:30:32.154(Local)(8930 0.1) NTCE (154861) (fl=83271) '''Unsupported''' '''Auth Type :NTLM''' [EdgeTcpConnectionDceRpcLayer.cpp:1401] 09/21/2012 20:30:40.157(Local)
(8930 0.0) NTCE (157628) (fl=83283) Bind Request from client with AGID 0x0, callId 2, to dest-ip 172.21. 12.96, AuthLevel: PRIVACY AuthType:NTLM AuthCtxId: 153817840 
WsPlumb: 2 [EdgeTcpConnectionDceRpcLayer.cpp:1277]

Résolution 5 : Le client doit activer/a besoin de l'authentification Kerberos dans leur environnement d'échange. NTLM n'est pas pris en charge (en date de 5.1)

Rendez-vous compte qu'il y a un brief de tech de Microsoft qui exige une chute de nouveau à NTLM quand CAS est utilisé.

Le scénario où le Kerberos ne fonctionne pas est spécifique pour permuter 2010, et est dans le scénario suivant :

Plusieurs serveurs d'accès client d'échange (CAS) dans une organisation/domaine.
Ces serveurs de CAS sont groupés ensemble utilisant n'importe quelle méthode - utilisant la fonction intégrée de la Client-baie de Microsoft, ou un équilibreur de charge de tiers.

Dans le scénario ci-dessus, le Kerberos ne fonctionne pas - et les clients veulent la chute à NTLM par le defult. Je crois que c'est dû au fait que les clients doivent AUTHENTIQUE au serveur de CAS contre le serveur de boîte aux lettres, comme ils ont fait dans des releases précédentes d'échange.

Dans l'échange 2010 RTM, il n'y a aucune difficulté pour ceci ! Le Kerberos dans le scénario ci-dessus ne fonctionnera pré- jamais 2010-SP1.

Dans le SP1, le Kerberos peut être activé dans ces environnements, mais c'est un processus manuel. Voyez l'article ici : http://technet.microsoft.com/en-us/library/ff808313.aspx

Se connecter MAPI ao

• Les fichiers journal suivants sont disponibles pour dépanner des questions MAPI ao :
• Fichiers journal de transaction : /local1/logs/tfo/working.log (et /local1/logs/tfo/tfo_log_*.txt)

Fichiers journal de debug : /local1/errorlog/mapiao-errorlog.current (et mapiao-errorlog.*)

Pour une élimination des imperfections plus facile, vous devriez d'abord installer un ACL pour limiter des paquets à un hôte.

WAE674(config)# ip access-list extended 150 permit tcp host 10.10.10.10 any
WAE674(config)# ip access-list extended 150 permit tcp any host 10.10.10.10

Pour activer la transaction se connectant, utilisez la commande de configuration de transaction-logs comme suit :

wae(config)# transaction-logs flow enable
wae(config)# transaction-logs flow access-list 150

Vous pouvez visualiser l'extrémité d'un fichier journal de transaction à l'aide de la commande de type-queue comme suit :

wae# type-tail tfo_log_10.10.11.230_20090715_130000.txt
Wed Jul 15 19:12:35 2009 :2289 :10.10.10.10 :3740 :10.10.100.101 :1146 :OT :END :EXTERNAL CLIENT :(MAPI) :822 :634 :556 :706
Wed Jul 15 19:12:35 2009 :2289 :10.10.10.10 :3740 :10.10.100.101 :1146 :SODRE :END :730 :605 :556 :706 :0
Wed Jul 15 19:12:35 2009 :2290 :10.10.10.10 :3738 :10.10.100.101 :1146 :OT :END :EXTERNAL CLIENT :(MAPI) :4758 :15914 :6436 :2006
Wed Jul 15 19:12:35 2009 :2290 :10.10.10.10 :3738 :10.10.100.101 :1146 :SODRE :END :4550 :15854 :6436 :2006 :0
Wed Jul 15 19:12:35 2009 :2284 :10.10.10.10 :3739 :10.10.100.101 :1146 :OT :END :EXTERNAL CLIENT :(MAPI) :1334 :12826 :8981 :1031

Pour installer et activer le debug logging du MAPI ao, employez les commandes suivantes.
NOTE: Le debug logging est CPU intensive et peut générer un grand nombre de sortie. Utilisez-le judicieusement et économiquement dans un environnement de production.
Vous pouvez activer se connecter détaillé au disque comme suit :

WAE674(config)# logging disk enable
WAE674(config)# logging disk priority detail

Vous pouvez activer le debug logging pour des connexions dans l'ACL comme suit :

WAE674# debug connection access-list 150

Les options pour l'élimination des imperfections MAPI ao sont comme suit :

WAE674# debug accelerator mapi ?
all enable all MAPI accelerator debugs
Common-flow enable MAPI Common flow debugs
DCERPC-layer enable MAPI DCERPC-layer flow debugs
EMSMDB-layer enable MAPI EMSMDB-layer flow debugs
IO enable MAPI IO debugs
ROP-layer enable MAPI ROP-layer debugs
ROP-parser enable MAPI ROP-parser debugs
RPC-parser enable MAPI RPC-parser debugs
shell enable MAPI shell debugs
Transport enable MAPI transport debugs
Utilities enable MAPI utilities debugs

Vous pouvez activer le debug logging pour des connexions MAPI et puis afficher l'extrémité du journal des erreurs de débogage comme suit :

WAE674# debug accelerator mapi Common-flow
WAE674# type-tail errorlog/mapiao-errorlog.current follow