リリース 4.1.3 およびそれ以降のための Cisco WAAS トラブルシューティング ガイド
章: MAPI AO のトラブルシューティング
この技術情報は MAPI AO を解決する方法を記述します。
主要な技術情報
WAAS アーキテクチャおよびトラフィックフローの概要
予備 WAAS トラブルシューティング
トラブルシューティング 最適化
アプリケーションのトラブルシューティング アクセラレータ
CIFS AO のトラブルシューティング
HTTP AO のトラブルシューティング
EPM AO のトラブルシューティング
MAPI AO のトラブルシューティング
NFS AO のトラブルシューティング
SSL AO のトラブルシューティング
ビデオ AO のトラブルシューティング
ジェネリック AO のトラブルシューティング
トラブルシューティング 過負荷 状態
WCCP のトラブルシューティング
AppNav のトラブルシューティング
トラブルシューティング ディスクおよびハードウェア上の問題
トラブルシューティング シリアル インライン クラスタ
トラブルシューティング vWAAS
WAAS Express のトラブルシューティング
NAM 統合のトラブルシューティング
目次
- 1 つの MAPI アクセラレータ
- 2 暗号化された MAPI アクセラレータ
- 2.1 要約
- 2.2 機能 情報
- 2.3 トラブルシューティング手順
- 2.4 データ 解析
- 2.5 よくある問題
- 2.5.1 問題 1: コア WAE で設定される暗号化 サービス識別に AD の正しい 許可がありません。
- 2.5.2 解決 1: コンフィギュレーション ガイドを参照し、AD のオブジェクトに正しい 許可があることを確認して下さい。 「ディレクトリを複製することは」変更し、「ディレクトリを複製することは割り当てるために完全に」必要があります両方設定 する変更します。
- 2.5.3 問題 2: コア WAE 間に時間傾斜があり、キーをから取得するように試みる KDC
- 2.5.4 解決 2: KDC とクロックを同期するのにすべての WAEs (特にコア)の ntpdate を使用して下さい。 それから KDC とエンタープライズ NTP サーバ(prefereably 同じ)を指して下さい。
- 2.5.5 問題 3: 暗号化 サービスのために定義したドメインは Exchange サーバによってがあるドメインを一致する。
- 2.5.6 解決 3: コア WAE が異なるドメインの複数のExchangeサーバを保守すれば各ドメインのための暗号化 サービス識別を Exchange サーバ 常駐する設定して下さい。
- 2.5.7 問題 4: WANSecure が失敗した接続は TG に失敗できます
- 2.5.8 解決 4: ピア証明書を確認し、WAEs からの設定を再開しますコア WAE の encrytpion サービスを取除いて下さい。
- 2.5.9 問題 5: NTLM が Outlook クライアントによって使用されればジェネリック AO への接続は押下げられます。
- 2.5.10 解決 5: 顧客は有効に なる必要がありましたり/Exchange環境の Kerberos認証を必要とします。 NTLM はサポートされません(5.1)現在で
- 3 MAPI AO ロギング
MAPI アクセラレータ
MAPI アクセラレータは Microsoft Outlook Exchange E メール トラフィックを最適化します。 低レベル転送するとしてそれから TCP か HTTP を(サポートされていない)使用する、MS-RPC で層になる Exchange は EMSMDB プロトコルを使用します。
MAPI AO はキャッシュされ、noncached モード トラフィックのための 2007 人のクライアントを通して Microsoft Outlook 2000 をサポートします。 通報 認証(署名)または暗号化を使用する信頼できる接続は MAPI AO によって加速されない。 TFO 最適化のためのジェネリック AO へのより古いクライアントからのそのような接続および接続は渡されます。 さらに、Outlook Web アクセス(OWA)および交換交換接続はサポートされません。
注: Microsoft Outlook 2007 にデフォルトで有効に なる 暗号化があります。 MAPI アプリケーション アクセラレータから寄与するために暗号化を無効に して下さい。 Outlook で、> 電子メール アカウント 『Tools』 を選択 しか、『View』 を選択 しか、または既存の電子メール アカウントを変更し、それから『Next』 をクリック して下さい。 エクスチェンジ アカウントを選択し、次に『Change』 をクリック して下さい。 設定を『More』 をクリック し、次に Security タブをクリックして下さい。 図 1.に示すように Microsoft Office Outlook および Microsoft Exchange サーバ チェックボックス間の暗号化 データの、チェックを外して下さい。
また、グループ ポリシーの使用によって Exchange サーバのすべてのユーザ向けの暗号化を無効に することができます。
- 図 1. Outlook 2007 年の暗号化を無効に すること
以下の場合、MAPI AO は接続を処理しません:
- 暗号化された接続(ジェネリック AO に渡される)
- サポートされていないクライアント(ジェネリック AO に渡される)
- 回復不可能な解析エラー。 クライアント および サーバ サービス間のすべての TCP 接続は切断されています。 クライアントが再接続するとき、ジェネリック AO へのすべての接続は渡されます。
- クライアントは WAE が過剰になるとき接続の新しいアソシエーション グループを確立するように試みます。
- クライアントは WAE が過剰になり、MAPI が保留接続リソース利用できないとき接続を確立します。
Outlook クライアント および サーバはアソシエーション グループと呼ばれる TCP 接続のグループ上のセッションで相互に作用しています。 アソシエーション グループの中では、オブジェクト アクセスはあらゆる接続を渡って及ぶことができ、接続は必要に応じて動的に作成され、リリースされます。 クライアントは開いた複数のアソシエーション グループが異なるサーバーか同じサーバに同時にある場合があります。 (パブリック フォルダはメール ストアからの異なるサーバーで展開されます。)
アソシエーション グループ内のすべての MAPI 接続がブランチおよびデータセンタの WAEs の同じペアを通過することは必要です。 アソシエーション グループ内のいくつかの接続がこれらのの MAPI AO を WAEs 通過しない場合、それらの接続および接続で実行された」アソシエーション グループをエスケープするとトランザクションが「言われることを MAPI AO は見ません。 従って、高可用性のグループを形成する MAPI AO は連続的にクラスタ化されたインライン WAEs で展開するべきではありません。
WAE アソシエーション グループをエスケープする MAPI 接続の現象は重複したメッセージまたは Outlook のような Outlook エラー現象応答することを止めますです。
既存のアソシエーション グループのための TFO 過負荷 状態の間に、新しい接続は MAPI AO をエスケープするために渡され、従って MAPI AO は過負荷 状態の影響を最小限に抑えるためにいくつかの接続リソースを先立って予約します。 詳細についてはデバイス 過負荷の予約済みの MAPI 接続および影響について、セクション「MAPI アプリケーション アクセラレータ保留接続トラブルシューティング 過負荷 状態技術情報の過負荷に」が影響を与えるのを参照して下さい。
提示アクセラレータとの一般の AO 設定およびステータスを確認し、トラブルシューティング アプリケーション加速記事に記述されているように license コマンドを、示して下さい。 MAPI アクセラレータ オペレーションにエンタープライズ ライセンスが必要となり、EPM アプリケーション アクセラレータは有効に する必要があります。
次に、図 2.に示すように提示アクセラレータ mapi コマンドの使用によって MAPI AO にステータス仕様を、確認して下さい。 動作する MAPI AO が有効に なり登録されていること、そして接続制限が表示することがわかりたいと思います。 構成状態が有効に なればが、オペレーショナル ステートがシャットダウンされれば、ライセンス問題を示唆します。
- 図 2. MAPI アクセラレータ ステータスの検証
EPM AO が機能であることを確認するのに show statistics アクセラレータ epm コマンドを使用して下さい。 クライアントが開始する時正常に解析された総処理された接続、総要求および総応答がカウンターを増加する正常に解析したことを確認して下さい。
MAPI および EPM トラフィックポリシーが正しく設定されることを確認する show running-config コマンドを使用して下さい。 次の通りメールおよびメッセージング アプリケーション操作およびあなたについては加速する mapi が定義される MSEndPortMapper 分類子およびトラフィックポリシーを見たいと思うのを見たいと思います:
WAE674# sh run | include mapi
map adaptor EPM mapi
name Email-and-Messaging All action optimize full accelerate mapi
WAE674# sh run | begin MS-EndPointMapper
...skipping
classifier MS-EndPointMapper
match dst port eq 135
exit
WAE674# sh run | include MS-EndPointMapper
classifier MS-EndPortMapper
name Other classifier MS-EndPortMapper action optimize DRE no compression none accelerate MS-port-mapper
、ダイナミック マッチ ルールがあることを次の通り確認する提示ポリシー エンジン アプリケーション dynamic コマンドを使用して下さい:
- ユーザ ID のルールを探して下さい: EPM およびマップネーム: uuida4f1db00-ca47-1067-b31f-00dd010662da.
- フロー フィールドは交換 サービスにアクティブな接続の総数を示します。
- 各 MAPI クライアントに関してはユーザ ID の別途のエントリを見るはずです: MAPI.
WAAS デバイスが最適化された MAPI 接続を確立していることを確認するのに show statistics 接続によって最適化される mapi コマンドを使用して下さい。 「M」が MAPI AO は使用されたことを示す MAPI 接続のための Accel カラムに現われることを、次の通り確認して下さい:
WAE674# show stat conn opt mapi Current Active Optimized Flows: 2 Current Active Optimized TCP Plus Flows: 1 Current Active Optimized TCP Only Flows: 1 Current Active Optimized TCP Preposition Flows: 0 Current Active Auto-Discovery Flows: 0 Current Reserved Flows: 12 <---------- Added in 4.1.5 Current Active Pass-Through Flows: 0 Historical Flows: 161 D:DRE,L:LZ,T:TCP Optimization RR:Total Reduction Ratio A:AOIM,C:CIFS,E:EPM,G:GENERIC,H:HTTP,M:MAPI,N:NFS,S:SSL,V:VIDEO ConnID Source IP:Port Dest IP:Port PeerID Accel RR 342 10.56.94.101:4506 10.10.100.100:1456 0:1a:64:d3:2f:b8 TMDL 61.0% <-----Look for "M"
注: バージョン 4.1.5 では、現在の保留フロー カウンターは出力に追加されました。 このカウンターは現在未使用であるが、示しましたり未来の MAPI 接続のために確保しました WAE の予約済みの MAPI 接続リソースの数を。 詳細についてはデバイス 過負荷の予約済みの MAPI 接続および影響について、セクション「MAPI アプリケーション アクセラレータ保留接続トラブルシューティング 過負荷 状態技術情報の過負荷に」が影響を与えるのを参照して下さい。
Accel カラムの「TGDL」の接続を確認する場合、転送する 最適化だけのジェネリック AO へのこれらの接続は押下げられ、最適化されました。 これらが MAPI AO によって処理されると期待した接続なら暗号化された MAPI 接続であるそうかもしれません。 次の通り要求された暗号化された MAPI 接続の数でチェックするために、show statistics アクセラレータ mapi コマンドを使用して下さい:
wae# sh stat accel mapi MAPI: Global Statistics ----------------- Time Accelerator was started: Thu Nov 5 19:45:19 2009 Time Statistics were Last Reset/Cleared: Thu Nov 5 19:45:19 2009 Total Handled Connections: 8615 Total Optimized Connections: 8614 Total Connections Handed-off with Compression Policies Unchanged: 0 Total Dropped Connections: 1 Current Active Connections: 20 Current Pending Connections: 0 Maximum Active Connections: 512 Number of Synch Get Buffer Requests: 1052 Minimum Synch Get Buffer Size (bytes): 31680 Maximum Synch Get Buffer Size (bytes): 31680 Average Synch Get Buffer Size (bytes): 31680 Number of Read Stream Requests: 3844 Minimum Read Stream Buffer Size (bytes): 19 Maximum Read Stream Buffer Size (bytes): 31744 Average Read Stream Buffer Size (bytes): 14556 Minimum Accumulated Read Ahead Data Size (bytes): 0 Maximum Accumulated Read Ahead Data Size (bytes): 1172480 Average Accumulated Read Ahead Data Size (bytes): 594385 Local Response Count: 20827 Average Local Response Time (usec): 250895 Remote Response Count: 70486 Average Remote Response Time (usec): 277036 Current 2000 Accelerated Sessions: 0 Current 2003 Accelerated Sessions: 1 Current 2007 Accelerated Sessions: 0 Secured Connections: 1 <-----Encrypted connections Lower than 2000 Sessions: 0 Higher than 2007 Sessions: 0
次のようなメッセージを捜すことによって Syslog の暗号化された MAPI 接続を要求しているクライアントの IP アドレスを見つけることができます:
2009 Jan 5 13:11:54 WAE512 mapi_ao: %WAAS-MAPIAO-3-132104: (929480) Encrypted connection. Client ip: 10.36.14.82
show statistics 接続によって最適化される mapi detail コマンドの使用によって MAPI 接続統計を表示できます次の通り:
WAE674# show stat conn opt mapi detail
Connection Id: 1830
Peer Id: 00:14:5e:84:24:5f
Connection Type: EXTERNAL CLIENT
Start Time: Thu Jun 25 06:32:27 2009
Source IP Address: 10.10.10.10
Source Port Number: 3774
Destination IP Address: 10.10.100.101
Destination Port Number: 1146
Application Name: Email-and-Messaging <-----Should see Email-and-Messaging
Classifier Name: **Map Default**
Map Name: uuida4f1db00-ca47-1067-b31f-00dd010662da <-----Should see this UUID
Directed Mode: FALSE
Preposition Flow: FALSE
Policy Details:
Configured: TCP_OPTIMIZE + DRE + LZ
Derived: TCP_OPTIMIZE + DRE + LZ
Peer: TCP_OPTIMIZE + DRE + LZ
Negotiated: TCP_OPTIMIZE + DRE + LZ
Applied: TCP_OPTIMIZE + DRE + LZ
Accelerator Details:
Configured: MAPI <-----Should see MAPI configured
Derived: MAPI
Applied: MAPI <-----Should see MAPI applied
Hist: None
Original Optimized
-------------------- --------------------
Bytes Read: 4612 1973
Bytes Written: 4086 2096
. . .
ローカルおよびリモート応答数および平均応答時間はこの出力で示されています:
. . . MAPI : 1830 Time Statistics were Last Reset/Cleared: Thu Jun 25 06:32:27 2009 Total Bytes Read: 46123985 Total Bytes Written: 40864046 Number of Synch Get Buffer Requests: 0 Minimum Synch Get Buffer Size (bytes): 0 Maximum Synch Get Buffer Size (bytes): 0 Average Synch Get Buffer Size (bytes): 0 Number of Read Stream Requests: 0 Minimum Read Stream Buffer Size (bytes): 0 Maximum Read Stream Buffer Size (bytes): 0 Average Read Stream Buffer Size (bytes): 0 Minimum Accumulated Read Ahead Data Size (bytes): 0 Maximum Accumulated Read Ahead Data Size (bytes): 0 Average Accumulated Read Ahead Data Size (bytes): 0 Local Response Count: 0 <---------- Average Local Response Time (usec): 0 <---------- Remote Response Count: 19 <---------- Average Remote Response Time (usec): 89005 <---------- . . .
暗号化された MAPI アクセラレータ
要約
WAAS 5.0.1 現在で MAPI アクセラレータは今暗号化された MAPI トラフィックを加速できます。 この機能は 5.0.3 リリースでデフォルトで有効に なります。 ただし、順序で正常にそこの暗号化された MAPI トラフィックをです WAAS および Microsoft AD 環境両方の必要条件の数加速して下さい。 このガイドは eMAPI 機能性を確認し、解決するのを助けます。
機能情報
eMAPI は 5.0.3 でデフォルトで有効に なり、ために次が正常に暗号化 トラフィックを加速するように要求して下さい。
1) CMS セキュア ストアは初期化され、すべてのコア WAEs で開く必要があります
2) WAEs は Exchange サーバおよび Kerberos KDC (Active Directory コントローラ)の FQDN を解決できる必要があります
3) WAE のクロックは KDC と同期する必要があります
4) SSL セキュア acclerator、WAN および eMAPI は Outlook からの Exchange へのパスのすべての WAEs で有効に する必要があります
5) パスの WAEs は正しいポリシーマップコンフィギュレーションがなければなりません
6) ザ・コア WAE は設定される暗号化されたサービス ドメイン Identies 1つ以上がなければなりません(ユーザかコンピューター アカウント)
7) コンピューター アカウントが使用されればこの WAE は AD ドメインに加入する必要があります。
8) それからマシンまたはユーザアカウント 使用例と、アクティブ ディレクトリのそれらのオブジェクトは特定の権限を与えられる必要があります。 「ディレクトリを複製することは」変更し、「ディレクトリを複製することは割り当てるために完全に」必要があります両方設定 する変更します。
これをする推奨方法はユニバーサル セキュリティグループによってあります(例えば権限をグループに割り当て、次にこのグループに暗号化 サービスで規定 される WAAS デバイスやユーザ名を追加して下さい)。 AD 設定および WAAS CM GUI のスクリーン ショットについては接続されたガイドを参照して下さい。
トラブルシューティング方法
ステップ 1 -暗号化 サービス識別設定を確認し、検索成功をキー入力して下さい
診断コマンド(下記のステップ 2)が暗号化 サービスのプロシージャを確認する間、キー検索が正常であるかどうか確かめません。 それ故にちょうどその診断コマンドを実行することによって知りません適切なアクセス権が Active Directory のオブジェクトに与えられた場合(マシンかユーザアカウント)。
されるどんな必要キー検索が暗号化 サービスを設定しによって、確認するために成功するかの要約
ユーザアカウント:
1. AD ユーザを作成して下さい
2. AD グループを作成すれば「ディレクトリを複製する」セットは変更し、「ディレクトリを複製することは割り当てるためにすべてを」変更します
3. 作成されるグループにユーザを追加して下さい
4. 暗号化 サービスのユーザアカウント ドメイン識別を定義して下さい
5. 得ますキー診断 cli を実行して下さい
Windows ドメイン 診断 暗号化 サービス得キー <exchange サーバ FQDN> < ドメイン名 >
サーバおよび複数のExchangeサーバに解決かもしれたない NLB/VIP 型 FQDN で設定される実際/実質 Exchangeサーバ名を使用する必要があることに注目して下さい。
6. はたらく IF 鍵検索-される
成功の例:
pdi-7541-dc#windows-domain 診断 暗号化 サービス得キー pdidc-exchange1.pdidc.cisco.com pdidc.cisco.com
SPN pdidc-exchange1.pdidc.cisco.com、ドメイン名: pdidc.cisco.com
キー検索は進行中です。
pdi-7541-dc#windows-domain 診断 暗号化 サービス得キー pdidc-exchange1.pdidc.cisco.com pdidc.cisco.com
SPN pdidc-exchange1.pdidc.cisco.com、ドメイン名: pdidc.cisco.com
pdidc-exchange1.pdidc.cisco.com のためのキーはメモリ キー キャッシュに常駐します
コンピューター アカウント
1. AD ドメインへの加入 コア WAE デバイス
「ディレクトリを複製する」2.create AD グループおよびセットは変更し、「ディレクトリを複製することは割り当てるためにすべてを」変更します
3. グループ化するためにコンピューター アカウントを作成される追加して下さい
4. 暗号化 サービスをコンピューター アカウントを使用するために設定して下さい
5. グループ ポリシーを加入されたマシンに適用されるために得るか、または AD からグループ ポリシーのアプリケーションを強制するためにいつか与えて下さい。 gpupdate /force。
6. 得ますキー診断 cli を実行して下さい
Windows ドメイン 診断 暗号化 サービス得キー <exchange サーバ FQDN> < ドメイン名 >
サーバおよび複数のExchangeサーバに解決かもしれたない NLB/VIP 型 FQDN で設定される実際/実質 Exchangeサーバ名を使用する必要があることに注目して下さい。
7. はたらく IF 鍵検索-される
Encrytpion サービスおよび AD 構成の詳細についてはおよびスクリーン ショット接続されたガイドを参照して下さい。
ステップ 2 -いくつかの必須設定をチェックする 5.0.3 で新しい診断コマンドはもたらされました。
̶accelerator mapi は暗号化設定を確認します
1.CLI はさまざまな妥当性検査をします。 それはですエッジかコアとして暗号化された MAPI トラフィックを加速する能力の要約出力しました。
2.Checks はさまざまなコンポーネントのステータス/構成暗号化 サービスがきちんとはたらくことができるように帰因します。
設定 に関する 問題がそれある 3.When は抜けて、それを固定する CLI か操作ものを出力します。
4.It はエッジ デバイスおよびコア デバイスとして要約を表示します。 エッジおよびコア両方のどれである場合もあるデバイスはエッジおよびコア両方のために操作上 EMAPI があるはずです。
間違って設定された WAE からの出力例は下記にあります:
Core#accelerator mapi verify encryption-settings
[EDGE:]
Verifying Mapi Accelerator State
--------------------------------
Status: FAILED
Accelerator Config State Operational State
----------- ------------ -----------------
mapi Disabled Shutdown
>>Mapi Accelerator should be Enabled
>>Mapi Accelerator should be in Running state
Verifying SSL Accelerator State
-------------------------------
Status: FAILED
>>Accelerator Config State Operational State
----------- ------------ -----------------
ssl Disabled Shutdown
>>SSL Accelerator should be Enabled
>>SSL Accelerator should be in Running state
Verifying Wan-secure State
--------------------------
Status: FAILED
>>Accelerator Config State Operational State
----------- ------------ -----------------
wan-secure Disabled Shutdown
>>Wan-secure should be Enabled
>>Wan-secure should be in Running state
Verifying Mapi Wan-secure mode Setting
---------------------------------
Status: FAILED
Accelerator Config Item Mode Value
----------------------- ---- ------
WanSecure Mode User Not Applicable
>>Mapi wan-secure setting should be auto/always
Verifying NTP State
--------------------
Status: FAILED
>>NTP status should be enabled and configured
Summary [EDGE]:
===============
Device has to be properly configured for one or more components
[CORE:]
Verifying encryption-service State
----------------------------------
Status: FAILED
Service Config State Operational State
----------- ------------ -----------------
Encryption-service Disabled Shutdown
>>Encryption Service should be Enabled
>>Encryption Service status should be in 'Running' state
Verifying Encryption-service Identity Settings
----------------------------------------------
Status: FAILED
>>No active Encryption-service Identity is configured.
>>Please configure an active Windows Domain Encryption Service Identity.
Summary [CORE]: Applicable only on CORE WAEs
============================================
Device has to be properly configured for one or more components
正しく設定されるコア WAE からの出力は下記にあります:
Core#acc mapi verify encryption-settings [EDGE:]
Verifying Mapi Accelerator State
--------------------------------
Status: OK
Verifying SSL Accelerator State
-------------------------------
Status: OK
Verifying Wan-secure State
--------------------------
Status: OK
Verifying Mapi encryption Settings
----------------------------------
Status: OK
Verifying Mapi Wan-secure mode Setting
---------------------------------
Status: OK
Verifying NTP State
--------------------
Status: OK
Summary [EDGE]:
===============
Device has proper configuration to accelerate encrypted traffic
[CORE:]
Verifying encryption-service State
----------------------------------
Status: OK
Verifying Encryption-service Identity Settings
----------------------------------------------
Status: OK
Summary [CORE]: Applicable only on CORE WAEs
============================================
Device has proper configuration to accelerate encrypted traffic
ステップ 3 -手動で上記の診断コマンドによってチェックされない WAE 設定を確認して下さい。
1) 設定される NTP のプロシージャのための chekcs それ実際に確認しないが上のコマンドは時 WAE と KDC 間で同期しています。 それは正常であるために非常に重要時キー検索のためのコアと KDC 間で同期していますです。
手動 点検が明らかにすればそれらは同期化から同期するために WAE のクロックを強制する単純な方法です ntpdate コマンド(ntpdate <KDC ip>)です。 それからエンタープライズ NTP サーバを WAEs を指して下さい。
2) dnslookup が Exchange サーバの FQDN および KDCs の FQDN のためのすべての WAEs で成功することを確認して下さい
3) class-map および policy-map がパスのすべての WAEs で正しく設定されることを確認して下さい。
pdi-7541-dc#sh class-map 型 waas MAPI
Class-map 型 waas match-any MAPI
一致 TCP 宛先 epm mapi (0 フロー一致)
pdi-7541-dc#show policy-map 型 waas Policy-map 型 waas
WAAS-GLOBAL (6084690 合計)
クラス MAPI (0 フロー一致)
最適化するは十分に mapi アプリケーション メールおよびメッセージングを加速します
4) CMS セキュア ストアが開いて、「すべての WAEs で初期化されて cms にセキュア ストア」を示しなさいことを確認して下さい
データ分析
診断コマンドおよび手動 show コマンドの出力の解析のほかに sysreport を検討する必要がある場合もあります。
具体的には mapiao-errorlog、Srerrorlog (コア WAE だけ)、および wsao-errorlog ファイルを検討したいと思います。
ジェネリック AO に原因接続ドロップするに導くシナリオによって各ログにヒントがあります。
ここの参照が出力例表示さまざまなはたらくコンポーネントであるので
この出力は Srerrorlog からあり、コンピューター アカウント暗号化 サービス識別の検証を示します
注: これはコア WAE だけを加入しましたドメインおよびコンピューター アカウント存在に確認します。
07/03/2012 19:12:07.278(Local)(6249 1.5) NTCE (278902) Adding Identity MacchineAcctWAAS to map active list in SRMain [SRMain.cpp:215] 07/03/2012 19:12:07.279(Local)(6249 1.5) NTCE (279018) Adding identity(MacchineAcctWAAS) to Map [SRDiIdMgr.cpp:562] 07/03/2012 19:12:07.279(Local)(6249 1.5) NTCE (279282) Activate Id: MacchineAcctWAAS [SRMain.cpp:260] 07/03/2012 19:12:07.279(Local)(6249 1.5) NTCE (279306) Identity MacchineAcctWAAS found in the Map [SRDiIdMgr.cpp:702] 07/03/2012 19:12:07.279(Local)(6249 1.5) NTCE (279321) Authentication for ID: MacchineAcctWAAS [SRDiIdMgr.cpp:398] 07/03/2012 19:12:07.330(Local)(6249 1.5) NTCE (330581) Authentication success, tkt validity starttime 1341342727 endtime 1341378727 [SRDiIdMgr.cpp:456] 07/03/2012 19:12:07.330(Local)(6249 1.5) NTCE (330599) ID_TAG :MacchineAcctWAAS Name : pdi-7541-dc Domain : PDIDC.CISCO.COM Realm : PDIDC.CISCO.COM CLI_GUID : SITE_GUID : CONF_GUID : Status:ENABLED Black_Listed:NO AUTH_STATUS: SUCCESS ACCT_TYPE:Machine [SRIdentityObject.cpp:85] 07/03/2012 19:12:07.331(Local)(6249 1.5) NTCE (331685) DN Info found for domain PDIDC.CISCO.COM [SRIdentityObject.cpp:168] 07/03/2012 19:12:07.347(Local)(6249 1.5) NTCE (347680) Import cred successfull for pn: pdi-7541-dc@PDIDC.CISCO.COM [AdsGssCli.cpp:111]
この出力はコア Srerrorlog から再度あり、KDC からの正常なキー検索を示します。
10/23/2012 15:46:55.673(Local)(3780 1.2) NTCE (673766) Key Not Found in cache, initiating retrieval for spn:exchangeMDB/pdidc-exchange1.pdidc.cisco.com [SRServer.cpp:297] 10/23/2012 15:46:55.673(Local)(3780 1.2) NTCE (673811) Queued InitiateKeyRetrieval task [SRServer.cpp:264]10/23/2012 15:46:55.673(Local)(3780 1.2) NTCE (673819) Key retrieval is in Progress [SRServer.cpp:322] 10/23/2012 15:46:55.673(Local)(3780 0.0) NTCE (673818) Initiating key retrieval [SRServer.cpp:271] 10/23/2012 15:46:55.673(Local)(3780 1.2) NTCE (673827) initiating key retrieval in progress [SRDataServer.cpp:441] 10/23/2012 15:46:55.673(Local)(3780 1.2) NTCE (673834) Sending ack for result 2, item name /cfg/gl/sr/sr_get_key/pdidc-exchange1.pdidc.cisco.com@pdidc.cisco.com [SRDataServer.cpp:444] 10/23/2012 15:46:55.673(Local)(3780 0.0) NTCE (673922) Match found for DN: pdidc.cisco.com is ID:MacchineAcctWAAS [SRDiIdMgr.cpp:163] 10/23/2012 15:46:55.673(Local)(3780 0.0) NTCE (673937) Identity MacchineAcctWAAS found in the Map [SRDiIdMgr.cpp:702] 10/23/2012 15:46:55.673(Local)(3780 0.0) NTCE (673950) DN Info found for domain pdidc.cisco.com [SRIdentityObject.cpp:168] 10/23/2012 15:46:55.674(Local)(3780 0.0) NTCE (674011) DRS_SPN: E3514235-4B06-11D1-AB04-00C04FC2DCD2/e4c83c51-0b59-4647-b45d-780dd2dc3344/PDIDC.CISCO.COM for PDI-7541-DC@PDIDC.CISCO.COM [GssCli.cpp:51] 10/23/2012 15:46:55.674(Local)(3780 0.0) NTCE (674020) CREATED srkr obj(0x50aa00) for spn (exchangeMDB/pdidc-exchange1.pdidc.cisco.com) [SRKeyMgr.cpp:134] 10/23/2012 15:46:55.674(Local)(3780 1.3) NTCE (674421) Import cred successfull for pn: PDI-7541-DC@PDIDC.CISCO.COM [GssCli.cpp:135] 10/23/2012 15:46:55.676(Local)(3780 1.3) NTCE (676280) session(0x50aa00) Complete TGT stage of GSS Successful, Initiating AppApi [SRKeyRetriever.cpp:408] 10/23/2012 15:46:55.676(Local)(3780 0.1) NTCE (676415) SRKR: Success in posting connect to service <ip:0e:6e:03:a3><port:135> [IoOperation.cpp:222] 10/23/2012 15:46:55.676(Local)(3780 0.0) NTCE (676607) Connected to server. [IoOperation.cpp:389] 10/23/2012 15:46:55.677(Local)(3780 0.0) NTCE (677736) SRKR: Success in posting connect to service <ip:0e:6e:03:a3><port:1025> [IoOperation.cpp:222] 10/23/2012 15:46:55.678(Local)(3780 0.1) NTCE (678001) Connected to server. [IoOperation.cpp:389] 10/23/2012 15:46:55.679(Local)(3780 0.1) NTCE (679500) Cleaning up credential cache for PDI-7541-DC@PDIDC.CISCO.COM [GssCli.cpp:212] 10/23/2012 15:46:55.680(Local)(3780 0.1) NTCE (680011) Parsing DRSBIND Response [AppApiDrsBind.cpp:222] 10/23/2012 15:46:55.680(Local)(3780 0.1) NTCE (680030) DRSBind Success, Status:00000000 [AppApiDrsBind.cpp:359] 10/23/2012 15:46:55.685(Local)(3780 0.1) NTCE (685502) session(0x50aa00) Successful in Key Retrieval from AD for SPN:exchangeMDB/pdidc-exchange1.pdidc.cisco.com [SRKeyRetriever.cpp:269] 10/23/2012 15:46:55.685(Local)(3780 0.1) NTCE (685583) Send Key response to the Client for spn: exchangeMDB/pdidc-exchange1.pdidc.cisco.com, # of req's : 1 [SRKeyMgr.cpp:296] 10/23/2012 15:46:55.685(Local)(3780 0.1) NTCE (685594) Deleting spn: exchangeMDB/pdidc-exchange1.pdidc.cisco.com entry from Pending key request map [SRKeyMgr.cpp:303]
この出力は正常な eMAPI 接続のためのエッジ WAE の mapiao-errorlog ファイルからあります
'''10/23/2012 17:56:23.080(Local)(8311 0.1) NTCE (80175) (fl=2433) Edge TCP connection initiated (-1409268656), Conn: [14.110.3.117:58352 <=> 14.110.3.99:27744], Flavor: 0 [EdgeTcpConnectionDceRpcLayer.cpp:43] 10/23/2012 17:56:23.080(Local)(8311 0.1) NTCE (80199) Edge TCP connection initiated (-1409268656), Conn: [14.110.3.117:58352 <=> 14.110.3.99:27744], Flavor: 0 [EdgeTcpConnectionDceRpcLayer.cpp:48] 10/23/2012 17:56:23.108(Local)(8311 0.0) NTCE (108825) (fl=2433) Bind Request from client with AGID 0x0, callId 2, to dest-ip 14.110.3.99, AuthLevel: PRIVACY AuthType: SPNEGO AuthCtxId: 0 WsPlumb:1 [EdgeTcpConnectionDceRpcLayer.cpp:1277]''' 10/23/2012 17:56:23.109(Local)(8311 0.0) NTCE (109935) CheckAndDoAoshReplumbing perform replumbing wsPlumbState 1 [Session.cpp:315] 10/23/2012 17:56:23.109(Local)(8311 0.0) NTCE (109949) (fl=2433) AOSH Replumbing was performed returned Status 0 [Session.cpp:337] 10/23/2012 17:56:23.109(Local)(8311 0.0) NTCE (109956) CheckAndPlumb WanSecure(14) ret:= [1,0] WsPlumb:4 fd[client,server]:=[25,26] [AsyncOperationsQueue.cpp:180] 10/23/2012 17:56:23.312(Local)(8311 0.1) NTCE (312687) (fl=2433) Connection multiplexing enabled by server on the connection. [EdgeTcpConnectionDceRpcLayer.cpp:499] 10/23/2012 17:56:23.312(Local)(8311 0.1) NTCE (312700) (fl=2433) Header signing enabled by server on the connection. [EdgeTcpConnectionDceRpcLayer.cpp:510] 10/23/2012 17:56:23.312(Local)(8311 0.1) NTCE (312719) (fl=2433) OnNewConnection - Client IP 14.110.3.117 (0xe6e0375), Serv IP 14.110.3.99 (0xe6e0363), nDstPort=27744, nAssociationGroup=0x11de4,conn_fd=26, bWasConnectionFromReservedPool=0, bIsNewMapiSession=1 [ConnectionReservationManager.cpp:255] '''10/23/2012 17:56:23.366(Local)(8311 0.1) NTCE (366789) (fl=2433) Received security context from core with auth context id: 0 [EdgeTcpConnectionDceRpcLayer.cpp:2912] 10/23/2012 17:56:23.367(Local)(8311 0.1) NTCE (367157) (fl=2433) Security Layer moved to ESTB state [FlowSecurityLayer.cpp:311]''' 10/23/2012 17:56:23.368(Local)(8311 0.1) NTCE (368029) (fl=2433) Informational:: Send APC set to WS: asking for Cipher 2 [EdgeTcpConnectionDceRpcLayer.cpp:809] 10/23/2012 17:56:23.368(Local)(8311 0.1) NTCE (368041) (fl=2433) Sec-Params [CtxId, AL, AT, ACT, DCT, [Hs, ConnMplx, SecMplx]]:=[0, 6, 9, 18, 18 [1,1,0]] [FlowIOBuffers.cpp:477] 10/23/2012 17:56:23.369(Local)(8311 0.0) NTCE (369128) (fl=2433) CEdgeTcpConnectionEmsMdbLayer::ConnectRequestCommon (CallId 2): client version is ProductMajor:14, Product Minor:0, Build Major:6117, Build Minor:5001 Client ip 14.110.3.117 Client port 58352 Dest ip 14.110.3.99 Dest port 27744 [EdgeTcpConnectionEmsMdbLayer.cpp:1522] 10/23/2012 17:56:23.868(Local)(8311 0.1) ERRO (868390) (fl=2433) ContextHandle.IsNull() [EdgeTcpConnectionEmsMdbLayer.cpp:1612] 10/23/2012 17:56:23.890(Local)(8311 0.0) NTCE (890891) (fl=2433) CEdgeTcpConnectionEmsMdbLayer::ConnectRequestCommon (CallId 3): client version is ProductMajor:14, Product Minor:0, Build Major:6117, Build Minor:5001 Client ip 14.110.3.117 Client port 58352 Dest ip 14.110.3.99 Dest port 27744 [EdgeTcpConnectionEmsMdbLayer.cpp:1522]
同じ TCP conneciton のための mapiao-errorlog から出力される対応した コア WAE はここにあります
'''10/23/2012 17:56:54.092(Local)(6408 0.0) NTCE (92814) (fl=21) Core TCP connection initiated (11892640), Conn: [14.110.3.117:58352 <=> 14.110.3.99:27744], F
lavor: 0 [CoreTcpConnectionDceRpcLayer.cpp:99]
10/23/2012 17:56:54.092(Local)(6408 0.0) NTCE (92832) Core TCP connection initiated (11892640), Conn: [14.110.3.117:58352 <=> 14.110.3.99:27744], Flavor: 0
[CoreTcpConnectionDceRpcLayer.cpp:104]'''
10/23/2012 17:56:54.175(Local)(6408 0.0) NTCE (175035) SrlibCache Cache eviction starting: static void srlib::CSrlibCache:: OnAoShellDispatchCacheCleanup(vo
id*, aosh_work*) [SrlibCache.cpp:453]
10/23/2012 17:56:54.175(Local)(6408 0.0) NTCE (175068) last_cleanup_time (1344411860), evict_in_progress(1) handled_req_cnt (1) cache_size (0) [SrlibCache.
cpp:464]
10/23/2012 17:56:54.175(Local)(6408 0.0) NTCE (175121) SendNextCmd isDuringSend 0, WriteQueue sz 1, isDuringclose 0 [SrlibClientTransport.cpp:163]
10/23/2012 17:56:54.175(Local)(6408 0.0) NTCE (175132) SendNextCmd: Sending request: exchangeMDB/PDIDC-EXCHANGE1.pdidc.cisco.com:23[v:=11], WriteQueue sz 0
[bClose 0] [SrlibClientTransport.cpp:168]
10/23/2012 17:56:54.185(Local)(6408 0.1) NTCE (185576) OnReadComplete len 4 status 0 isDuringRead 1, isDuringHeaderRead 1, isDuringclose 0 [SrlibTransport.
cpp:127]
10/23/2012 17:56:54.185(Local)(6408 0.1) NTCE (185587) Parse header, msg body len 152 [SrlibTransport.cpp:111]
10/23/2012 17:56:54.185(Local)(6408 0.1) NTCE (185592) ReadNextMsg isDuringRead 0, isDuringHeaderRead 1, isDuringclose 0 [SrlibTransport.cpp:88]
10/23/2012 17:56:54.185(Local)(6408 0.1) NTCE (185623) OnReadComplete len 148 status 0 isDuringRead 1, isDuringHeaderRead 0, isDuringclose 0 [SrlibTranspor
t.cpp:127]
'''10/23/2012 17:56:54.185(Local)(6408 0.1) NTCE (185688) Insert new KrbKey: exchangeMDB/PDIDC-EXCHANGE1.pdidc.cisco.com::23[v:=11]:[{e,f,l}:={0, 0x1, 16} [S
rlibCache.cpp:735]
'''10/23/2012 17:56:54.185(Local)(6408 0.1) NTCE (185747) ReadNextMsg isDuringRead 0, isDuringHeaderRead 0, isDuringclose 0 [SrlibTransport.cpp:88]
'''10/23/2012 17:56:54.261(Local)(6408 0.1) NTCE (261575) (fl=21) Successfully created memory keytab with name: MEMORY:exchangeMDB@PDIDC-EXCHANGE1.pdidc.cisco
.com0nxrPblND [GssServer.cpp:468]
10/23/2012 17:56:54.261(Local)(6408 0.1) NTCE (261613) (fl=21) Successfully added entry in memory keytab. [GssServer.cpp:92]
10/23/2012 17:56:54.261(Local)(6408 0.1) NTCE (261858) (fl=21) Successfully acquired credentials. [GssServer.cpp:135]'''
一般的な問題
いくつかの一般的な原因は下記にありますジェネリック AO (TG)に eMAPI 接続ハンドオフという結果に終る。
問題 1: コア WAE で設定される暗号化 サービス識別に AD の正しい 許可がありません。
コア WAE の Srerrolog からの出力
09/25/2012 18:47:54.147(Local)(9063 0.1) ERRO (147570) session(0x517fa0) Failed to Retrieve Key from AD for SPN:exchangeMDB/outlook.sicredi.net.br error:16 [SRKeyRetriever.cpp:267] '''09/25/2012 18:47:54.147(Local)(9063 0.1) ERRO (147592) Key retrieval failed with Status 16 [SRKeyMgr.cpp:157] ''''''09/25/2012 18:47:54.147(Local)(9063 0.1) ERRO (147623) Identity "WAASMacAct" has been blacklisted [SRDiIdMgr.cpp:258] ''''''09/25/2012 18:47:54.147(Local)(9063 0.1) ERRO (147631) Key retrieval failed due to permission issue [SRKeyMgr.cpp:167] '''09/25/2012 18:47:54.147(Local)(9063 0.1) ERRO (147636) Identity: WAASMacAct will be black listed. [SRKeyMgr.cpp:168] 09/25/2012 18:47:54.147(Local)(9063 0.1) NTCE (147657) Calling KrbKeyResponse key handler in srlib [SRServer.cpp:189] 09/25/2012 18:47:54.147(Local)(9063 0.1) NTCE (147722) Queued send reponse buffer to client task [SrlibServerTransport.cpp:136] 09/25/2012 18:47:54.147(Local)(9063 0.1) NTCE (147730) KrbKeyResponse, sent to client session object [SrlibServer.cpp:203] 09/25/2012 18:47:54.147(Local)(9063 0.0) NTCE (147733) SendNextCmd isDuringSend 0, WriteQueue size 1 isDuringClose 0 [SrlibServerTransport.cpp:308] 09/25/2012 18:47:54.147(Local)(9063 0.1) NTCE (147740) Send Key response to the Client
解決 1: コンフィギュレーション ガイドを参照し、AD のオブジェクトに正しい 許可があることを確認して下さい。 「ディレクトリを複製することは」変更し、「ディレクトリを複製することは割り当てるために完全に」必要があります両方設定 する変更します。
問題 2: コア WAE 間に時間傾斜があり、キーをから取得するように試みる KDC
コア WAE の Srerrolog からの出力
10/23/2012 01:31:33.507(Local)(1832 0.1) NTCE (507836) Initiating key retrieval [SRServer.cpp:271] 10/23/2012 01:31:33.507(Local)(1832 0.1) NTCE (507878) Match found for DN: pdidc.cisco.com is ID:MacchineAcctWAAS [SRDiIdMgr.cpp:163] 10/23/2012 01:31:33.507(Local)(1832 0.1) NTCE (507888) Identity MacchineAcctWAAS found in the Map [SRDiIdMgr.cpp:702] 10/23/2012 01:31:33.507(Local)(1832 0.1) NTCE (507901) DN Info found for domain pdidc.cisco.com [SRIdentityObject.cpp:168] 10/23/2012 01:31:33.507(Local)(1832 0.1) NTCE (507923) DRS_SPN: E3514235-4B06-11D1-AB04-00C04FC2DCD2/e4c83c51-0b59-4647-b45d-780dd2dc3344/PDIDC.CISCO.COM for PDI-7541-DC@PDIDC.CISCO.COM [GssCli.cpp:51] 10/23/2012 01:31:33.507(Local)(1832 0.1) NTCE (507933) CREATED srkr obj(0x2aaaac0008c0) for spn (exchangeMDB/pdidc-exchange1.pdidc.cisco.com) [SRKeyMgr.cpp:134] 10/23/2012 01:31:33.508(Local)(1832 1.6) NTCE (508252) Import cred successfull for pn: PDI-7541-DC@PDIDC.CISCO.COM [GssCli.cpp:135] 10/23/2012 01:31:33.511(Local)(1832 1.6) ERRO (511151) CreateSecurityContext: gss_init_sec_context failed [majorStatus = 851968 (0xd0000)] [GssCli.cpp:176] '''10/23/2012 01:31:33.511(Local)(1832 1.6) ERRO (511170) GSS_MAJOR ERROR:851968 msg_cnt:0, Miscellaneous failure (see text)CD2 [GssCli.cpp:25] 10/23/2012 01:31:33.511(Local)(1832 1.6) ERRO (511177) GSS_MINOR ERROR:2529624064 msg_cnt:0, Clock skew too great [GssCli.cpp:29] 10/23/2012 01:31:33.511(Local)(1832 1.6) ERRO (511182) gsskrb5_get_subkey failed: 851968,22, [GssCli.cpp:198] 10/23/2012 01:31:33.511(Local)(1832 1.6) ERRO (511188) session(0x2aaaac0008c0) Error: Invalid security ctx state, IsContinue is false with out token exchange [SRKeyRetriever.cpp:386] 10/23/2012 01:31:33.511(Local)(1832 1.6) ERRO (511193) session(0x2aaaac0008c0) Failed to Retrieve Key from AD for SPN:exchangeMDB/pdidc-exchange1.pdidc.cisco.com error:1 [SRKeyRetriever.cpp:267]''' 10/23/2012 01:31:33.511(Local)(1832 0.0) ERRO (511213) Key retrieval failed with Status 1 [SRKeyMgr.cpp:157]
解決 2: KDC とクロックを同期するのにすべての WAEs (特にコア)の ntpdate を使用して下さい。 それから KDC とエンタープライズ NTP サーバ(prefereably 同じ)を指して下さい。
問題 3: 暗号化 サービスのために定義したドメインは Exchange サーバによってがあるドメインを一致する。
コア WAE の Srerrolog からの出力
10/23/2012 18:41:21.918(Local)(3780 1.5) NTCE (918788) Key retrieval is in Progress [SRServer.cpp:322] 10/23/2012 18:41:21.918(Local)(3780 1.5) NTCE (918793) initiating key retrieval in progress [SRDataServer.cpp:441] 10/23/2012 18:41:21.918(Local)(3780 0.0) NTCE (918790) Initiating key retrieval [SRServer.cpp:271] 10/23/2012 18:41:21.918(Local)(3780 1.5) NTCE (918798) Sending ack for result 2, item name /cfg/gl/sr/sr_get_key/pdidc-exchange.cisco.com@cisco.com [SRDataServer.cpp:444] 10/23/2012 18:41:21.918(Local)(3780 0.0) ERRO (918813) Failed to find Identity match for domain cisco.com [SRDiIdMgr.cpp:157] 10/23/2012 18:41:21.918(Local)(3780 0.0) NTCE (918821) Failed to find identity match for domain [SRKeyMgr.cpp:120] 10/23/2012 18:41:21.918(Local)(3780 0.0) NTCE (918832) Send Key response to the Client for spn: exchangeMDB/pdidc-exchange.cisco.com, # of req's: 1 [SRKeyMgr.cpp:296]
解決 3: コア WAE が異なるドメインの複数のExchangeサーバを保守すれば各ドメインのための暗号化 サービス識別を Exchange サーバ 常駐する設定して下さい。
注は現時点で、そこにサブドメインのためのサポート含んでいますではないです。 従って myexchange.sub-domain.domain.com があれば、暗号化 サービス識別は sub-domain.domain.com にある必要があります; それは親 ドメインにあることができません。
問題 4: WANSecure が失敗した接続は TG に失敗できます
eMAPI 接続はジェネリック AO に WAN セキュア錘が失敗したので引き渡すことができます。 WAN セキュア錘は証明書が失敗する確認するので失敗しました。 ピア証明書はデフォルト自己署名 ピア証明書が使用されるか、または証明書に正規に壊れた OCSP チェックがあるので失敗する確認します。
コア WAE 設定
crypto pki global-settings ocsp url http://pdidc.cisco.com/ocsp revocation-check ocsp-cert-url exit ! crypto ssl services host-service peering peer-cert-verify exit ! WAN Secure: Accelerator Config Item Mode Value ----------------------- ---- ------ SSL AO User enabled Secure store User enabled Peer SSL version User default Peer cipher list User default Peer cert User default Peer cert verify User enabled
これは次の mapiao-errorlog および wsao-errorlog エントリという結果に終ります:
ここのヒントはです最初の強調表示された行「切りました 4 つ連続した回以上」
クライアント側 WAE の Mapiao-errorlog:
'''10/08/2012 20:02:15.025(Local)(24333 0.0) NTCE (25621) (fl=267542) Client 10.16.1.201 disconnected more than four consecutive times - push down to generic ao. [EdgeTcpConnectionDceRpcLayer.cpp:1443] '''10/08/2012 20:02:15.025(Local)(24333 0.0) NTCE (25634) (fl=267542) CEdgeIOBuffers:: StartHandOverProcessSingleConnection: SECURED_STATE_NOT_ESTABLISHED [EdgeIOBuffers.cpp:826] 10/08/2012 20:02:15.025(Local)(24333 0.0) NTCE (25644) (fl=267542) CEdgeIOBuffers::CheckSendHandOverRequestToCoreAndBlockLan - Blocking LAN for read operations after last fragment of call id 0, current call id is 2 [EdgeIOBuffers.cpp:324] 10/08/2012 20:02:15.048(Local)(24333 0.1) NTCE (48753) (fl=267542) Connection multiplexing enabled by server on the connection. [EdgeTcpConnectionDceRpcLayer.cpp:499] 10/08/2012 20:02:15.048(Local)(24333 0.1) NTCE (48771) (fl=267542) Header signing enabled by server on the connection. [EdgeTcpConnectionDceRpcLayer.cpp:510] 10/08/2012 20:02:15.048(Local)(24333 0.1) NTCE (48779) (fl=267542) CEdgeIOBuffers:: StartHandOverProcessSingleConnection: GENERAL_UNCLASSIFIED [EdgeIOBuffers.cpp:826]
クライアント側 WAE の Wsao-errorlog:
'''10/08/2012 20:04:34.430(Local)(5939 4.0) ERRO (430001) certificate verification failed 'self signed certificate' [open_ssl.cpp:1213] '''10/08/2012 20:04:34.430(Local)(5939 4.0) ERRO (430047) ssl_read failed: 'SSL_ERROR_SSL' [open_ssl.cpp:1217] 10/08/2012 20:04:34.430(Local)(5939 4.0) ERRO (430055) openssl errors: error:14090086: SSL routines: SSL3_GET_SERVER_CERTIFICATE:certificate verify failed:s3_clnt.c:1244: [open_ssl.cpp:1220]
解決 4: ピア証明書を確認し、WAEs からの設定を再開しますコア WAE の encrytpion サービスを取除いて下さい。
pdi-7541-dc(config)#crypto ssl services host-service peering pdi-7541-dc(config-ssl-peering)#no peer-cert-verify pdi-7541-dc(config)#no windows-domain encryption-service enable pdi-7541-dc(config)#windows-domain encryption-service enable
問題 5: NTLM が Outlook クライアントによって使用されればジェネリック AO への接続は押下げられます。
クライアント側 WAE の mapiao-errorlog の次が表示されます:
'''waas-edge#find-patter match ntlm mapiao-errorlog.current ''' 09/21/2012 20:30:32.154(Local)(8930 0.1) NTCE (154827) (fl=83271) Bind Request from client with AGID 0x0, callId 1, to dest-ip 172.21. 12.96, AuthLevel: PRIVACY '''AuthType:NTLM '''AuthCtxId: 153817840 WsPlumb: 2 [EdgeTcpConnectionDceRpcLayer.cpp:1277] 09/21/2012 20:30:32.154(Local)(8930 0.1) NTCE (154861) (fl=83271) '''Unsupported''' '''Auth Type :NTLM''' [EdgeTcpConnectionDceRpcLayer.cpp:1401] 09/21/2012 20:30:40.157(Local) (8930 0.0) NTCE (157628) (fl=83283) Bind Request from client with AGID 0x0, callId 2, to dest-ip 172.21. 12.96, AuthLevel: PRIVACY AuthType:NTLM AuthCtxId: 153817840 WsPlumb: 2 [EdgeTcpConnectionDceRpcLayer.cpp:1277]
解決 5: 顧客は有効に なる必要がありましたり/Exchange環境の Kerberos認証を必要とします。 NTLM はサポートされません(5.1)現在で
CAS が使用されるとき NTLM に戻る落下を呼出す Microsoft 技術要約があることをわかっていてであって下さい。
Kerberos が機能しないシナリオは Exchange 2010 に特定で、次のシナリオにあります:
組織/ドメインの複数の Exchange クライアントアクセス サーバ(CAS)。
これらの CAS サーバは- Microsoft の組み込みクライアント アレイ機能を使用して…あらゆる方式、かサード パーティ ロードつりあい機を使用して一緒にクラスタ化されます。
上記のシナリオでは Kerberos ははたらかないし、-クライアントは defult によって NTLM にフォールバック。 これが Exchange 前のリリースでしたように、クライアントが CAS サーバに AUTH 対メールボックス サーバなるというファクトが原因であることを信じます。
Exchange 2010 RTM では、これのための修正がありません! 上のシナリオの Kerberos は決して前交換 2010-SP1 機能しません。
SP1 では、Kerberos はこれらの環境で有効に することができますがそれは手動プロセスです。 技術情報をここに参照して下さい: http://technet.microsoft.com/en-us/library/ff808313.aspx
MAPI AO ロギング
- 次のログファイルは MAPI AO 問題を解決するために利用できます:
- トランザクションログファイル: /local1/logs/tfo/working.log (および /local1/logs/tfo/tfo_log_*.txt)
デバッグ ログファイル: /local1/errorlog/mapiao-errorlog.current (および mapiao-errorlog.*)
より容易なデバッグに関しては、最初に 1 ホストにパケットを制限するために ACL を設定する必要があります。
WAE674(config)# ip access-list extended 150 permit tcp host 10.10.10.10 any WAE674(config)# ip access-list extended 150 permit tcp any host 10.10.10.10
次の通りトランザクション ロギングを有効に するために、トランザクションログ 設定コマンドを使用して下さい:
wae(config)# transaction-logs flow enable wae(config)# transaction-logs flow access-list 150
型末尾コマンドの使用によってトランザクションログファイルの端を表示できます次の通り:
wae# type-tail tfo_log_10.10.11.230_20090715_130000.txt Wed Jul 15 19:12:35 2009 :2289 :10.10.10.10 :3740 :10.10.100.101 :1146 :OT :END :EXTERNAL CLIENT :(MAPI) :822 :634 :556 :706 Wed Jul 15 19:12:35 2009 :2289 :10.10.10.10 :3740 :10.10.100.101 :1146 :SODRE :END :730 :605 :556 :706 :0 Wed Jul 15 19:12:35 2009 :2290 :10.10.10.10 :3738 :10.10.100.101 :1146 :OT :END :EXTERNAL CLIENT :(MAPI) :4758 :15914 :6436 :2006 Wed Jul 15 19:12:35 2009 :2290 :10.10.10.10 :3738 :10.10.100.101 :1146 :SODRE :END :4550 :15854 :6436 :2006 :0 Wed Jul 15 19:12:35 2009 :2284 :10.10.10.10 :3739 :10.10.100.101 :1146 :OT :END :EXTERNAL CLIENT :(MAPI) :1334 :12826 :8981 :1031
MAPI AO のデバッグロギングを設定し、有効に するために、次のコマンドを使用して下さい。
注: デバッグロギングは CPU 中心で、多量の出力を生成できます。 実稼働環境でそれを賢明におよび控え目に使用して下さい。
次の通りディスクに詳しいロギングを有効に することができます:
WAE674(config)# logging disk enable WAE674(config)# logging disk priority detail
次の通り ACL の接続のためのデバッグロギングを有効に することができます:
WAE674# debug connection access-list 150
MAPI AO デバッグのためのオプションは次の通りです:
WAE674# debug accelerator mapi ? all enable all MAPI accelerator debugs Common-flow enable MAPI Common flow debugs DCERPC-layer enable MAPI DCERPC-layer flow debugs EMSMDB-layer enable MAPI EMSMDB-layer flow debugs IO enable MAPI IO debugs ROP-layer enable MAPI ROP-layer debugs ROP-parser enable MAPI ROP-parser debugs RPC-parser enable MAPI RPC-parser debugs shell enable MAPI shell debugs Transport enable MAPI transport debugs Utilities enable MAPI utilities debugs
次の通り MAPI 接続のためのデバッグロギングを有効に し、次にデバッグ エラーログの端を表示することができます:
WAE674# debug accelerator mapi Common-flow WAE674# type-tail errorlog/mapiao-errorlog.current follow
フィードバック