בעיות נפוצות בעת הטמעת Exchange 2010

עורך: יובל סיני

נתקלתי לאחרונה במספר תקלות מוזרות בעת הטמעת Exchange 2010 בסביבות מבוזרות שונות. המאמר בנושא כולל הצגה של חלק מבעיות אלו, תוך הצעת פיתרונות אפשריים. לשם נוחות, המאמר מחולק לשלושה חלקים:

א.       בעיות כלליות (שאינן תלויות בגרסת סביבת ה Exchange הקיימת).

ב.       בעיות נפוצות במעבר מ Exchange 2007 ל Exchange 2010.

ג.        בעיות נפוצות במעבר מ Exchange 2003 ל Exchange 2010.

לפני שנמשיך, מספר הערות:

  • החלוקה לשלושה חלקים במאמר נעשת מטעמי נוחות, ולא מהווה תלות בין הפיתרון המוצע, לגרסת ה Exchange הקיימת.
  • ביצוע שינויים במערכת ללא הבנה מעמיקה להשלכות השינויים, עלול לגרום להשבתה של כל מערכת הדואר ו\או ה Active Directory.
  • מעבר מ Exchange 2000 ל Exchange 2010 ישירות אינו נתמך, ולפיכך אינו נכלל במאמר.

ליתר לציין כי עדכון מערכות ההפעלה, עדכון גרסאות ה Exchange, אי התקנת שרת ה Exchange החדש על Domain Controller וכן אי קיום שרת Exchange (מקור) על Domain Controller – יכולים למנוע חלק גדול מן הבעיות המוזכרות במאמר זה.

חלק א – בעיות כלליות

א.      בעת ניסיון גיבוי ע"י תוכנת גיבוי ו\או הרצת פקודות ליצור תיבות ל PST, ישנה הודעת כישלון עקב חוזר הרשאות. הדבר הינו Pre Design, ועל מנת להתגבר על המגבלה יש להשתמש בפקודת ה Power Shell הנ"ל בשרת ה Exchange 2010:

"Get-MailboxDatabase| Add-ADPermission -user "domainname\backupaccountserviceaccountname" -AccessRights GenericAll"

ב.      אי יכולת ביצוע Relay לשרת ה Exchange 2010:

Allow Anonymous Relay on a Receive Connector

http://technet.microsoft.com/en-us/library/bb232021.aspx

  • ישנה אופציה להגדרת אימות מתאים, בעת ביצוע Relay.

ג.       בעיות נפוצות בעת העברת תיבות משתמשים לשרת ה Exchange 2010:

Troubleshooting Mailbox Moves

http://technet.microsoft.com/en-us/library/dd638094.aspx

ד.       משתמשי Outlook עלולים לדווח על בעיית איטיות בעת עבודה:

Outlook 2003: E-mail messages take a long time to send and receive when you use an Exchange 2010 mailbox

ה.      לאחר התקנת Exchange 2010 על גבי Global Catalog, שירותי ה Exchange 2010 לא פועלים לאחר איתחול: 

Services for Exchange Server 2007 or Exchange Server 2010 cannot start automatically after you install Exchange Server 2007 and Exchange Server 2010 on a global catalog server

ו.        בעת ניסיון סינכרון עם מכשיר IPhone, ההודעה הבאה עלולה להתקבל:

"Exchange ActiveSync doesn’t have sufficient permissions to create the “CN=Yuval Sinay,OU=Users,OU=Lab Demo,OU=Pilot Exchange 2010,DC=shadowall,DC=local” container under Active Directory user “Active Directory operation failed on mail.shadowall.local. This error is not retriable. Additional information: Access is denied.

Active directory response: 00000005: SecErr: DSID-03151E04, problem 4003 (INSUFF_ACCESS_RIGHTS), data 0“.

  • הסוגיה שכיחה אם חשבון המשתמש חבר ב “Protect Group”, וקשורה לבעיית הורשת הרשאות ברמת המשתמש – דבר המחייב הגדרת "Include inheritable permissions from this object’s parent".

ז.        משתמשי מכשירי סלולאר מסוימים מתלוננים כי הם אינם מצליחים לסנכרן את מכשירי הסלולר, ומקבלים הודעה על Certificate Error. הבעיה בד"כ נובעת מיצרני מכשירים סלולארים העובדים עם מערכות הפעלה שאינן מבית Microsoft. ראוי לציין כי הבעיה אינה קשורה כלל ל Exchange 2010. הפיתרון הינו מחיקת כלל התעודות הדיגיטילות במכשיר הסלולאר, והתקנה מחודשת של ה Root CA, וה Certificate של שרת ה Exchange 2010 ו\או של ה ISA/TMG. במקרה שהסוגיה לא נפתרת, מומלץ לפנות לתמיכת היצרן של מכשיר הסלולאר.

The "Send As" right is removed from a user object after you configure the "Send As" right in the Active Directory Users and Computers snap-in in Exchange Server

ח.      לקוחות עם Outlook 2003 אינם מצליחים להתחבר לשרת ה Exchange 2010, למרות שה System Public Folders תקינים בשרת ה Exchange 2010. הסיבה לכך נובעת מהעובדה ש Exchange 2010  מחייב הצפנת תעבורה בינו לבין ה Outlook. הפיתרון לכך הינו ברמת התחנה (או ה GPO), וכולל הגדרת האופציה: "Encrypt data between Microsoft Office Outlook and Microsoft Exchange Server". פיתרון חלופי, שאינו מומלץ הינו ביטול ההצפנה ברמת השרת ע"י פקודת ה Power Shell: " Set-RpcClientAccess -Server savdalex10 -EncryptionRequired $false"

ט.      בעת שימוש בכלי Best Practices Analyzer הכלול ב Exchange 2010, ההודעה הבאה מופיעה בדו"ח:

"Unrecognized Exchange signature

Active Directory domain 'domainname' has an unrecognized Exchange signature. Current DomainPrep version: 12639."

                למיטב ידיעתי אין מענה רשמי לסוגיה, אך כפי הנראה מדובר בבאג שיתוקן ב Exchange 2010

                Service Pack 1.

  • ראוי לציין הכלי Best Practices Analyzer הכלול ב Exchange 2010, אינו תומך ב Exchange 2007.

י.        בעת נסיון שיחזור הודעות דואר אלקטרוני ע"י תוכנת Backupexec 2010, מתקבלת  הודעה כי השיחזור הצליח, אך בפועל הודעות הדואר אלקטרוני לא שוחזרו. חברת Symantec שיחררה דיווח כי מדובר בבאג במוצר, וכי אמור לצאת עדכון לתוכנה – שאמור לפתור את סוגיה זו.

Restore of individual emails/mailbox from a Granular Recovery Technology (GRT) backup set of Exchange database, completes successfully but no messages are restored

 

יא.    בעת שלב הכנת ארגון ה Exchange, ההודעה הנ"ל עלולה להופיע:

"The execution of: "$error.Clear(); if ($RolePrepareAllDomains) { initialize-DomainPermissions -AllDomains:$true -CreateTenantRoot:$RoleIsDatacenter; } elseif ($RoleDomain -ne $null) { initialize-DomainPermissions -Domain $RoleDomain -CreateTenantRoot:$RoleIsDatacenter; } else { initialize-DomainPermissions -CreateTenantRoot:$RoleIsDatacenter; }", generated the following error: "Length of the access control list exceed the allowed maximum."."

פיתרון:

On a Windows Server 2008-based computer, Exchange Server 2010 installation cannot be successful at the organization preparation process

יב.    בזמן התקנת Exchange 2010, ההודעה error code 3221685941 – עלולה להופיע.

You receive an error message that contains error code 3221685941 when you install Exchange Server 2010

יג.     בעת שימוש ב OWA של Exchange 2010, פתיחת קבצים מסוג .doc, .pdf, and .xls אינה אפשרית.

פיתרון: יש להתקין את העדכון הנ"ל על שרת ה Exchange 2010:

Description of Update Rollup 2 for Exchange Server 2010: February 18, 2010

  • במידה שישנו עדכון חדש יותר, מומלץ להטמיע את גרסת העדכון העדכנית ביותר.

יד.  משתמשים בעלי Outlook 2007 מדווחים על הודעת שגירה של Certificate בעת עבודה מול שרת ה Exchange החדש.

            פיתרון:

Outlook displays the Security Alert dialog box when Exchange is using a self-signed certificate

טו. משתמשים אינם מצליחים להתחבר לשירות Outlook Anywhere.

פיתרון:

You cannot connect to an Exchange Server 2010 server by using Outlook Anywhere

טז. משתמשים בעלי Outlook 2003 אינה מצליחים מידע מסוג Free/Busy.

            פיתרון:

           א.       שדרג את ה Outlook לגרסה עדכנית

             או

           ב.        

Users who use Outlook 2003 cannot publish their free/busy data in Exchange Server 2010 or in Exchange Server 2007

חלק ב – בעיות נפוצות במעבר מ Exchange 2007 ל Exchange 2010:

א.      בעת מעבר מ Exchange 2007 ל Exchange 2010 (בשרת חדש), שימוש בכלי הניהול ש Exchange 2010 ישנן הודעות שגיאה בעת גישה להגדרות: OWA, Outlook Anywhere, Offline Address Book ועוד.

בעיון בבלוג של ה Exchange Geek פורסם מאמר שהציע לכאורה פיתרון מעניין בסוגיה. בבדיקה הסתבר כי שרת ה Exchange 2007 שודרג כבר לגרסת העדכון האחרונה, אך למרות זאת הבעיה לא נפתרה. בבדיקה הסתבר כי שילוב Domain Controller ושרת Exchange על אותו שרת פיסי, גורמים לבעיית הרשאות המחייבת תיקון ידני. 

הפיתרון לבעיה היה להוסיף את חשבון שרת ה Exchange 2010 לקבוצת ה Administrators של ה Domain. לא ממש פיתרון אידיאלי מבחינת אבטחה, אך נכון לזמן זה, הפיתרון עובד. ישנו פיתרון חלופי מבית חברת Microsoft, שיעילותו לא אחידה תמיד, ותלויה בסביבת לקוח:

Event ID 9519 "Error 0×80004005" is logged in the Application log when you try to mount a database in Exchange Server 2010 or in Exchange Server 2007

  • ישנם מקרים חריגים שהוספת הרשאת "”Manage auditing and security log לקבוצת “Exchange Servers" כפי שמומלץ לבצע לפי ה KB אינה מספקת, וישנו צורך לבצע הגדרה דומה לקבוצת “Exchange Enterprise Servers”.

ב.      בעת יצירת Mailbox Store חדשים, ה Mailbox Store נוצר, אך פעולת ביצוע ה Mount נכשלת, והודעת שגיאה מוזרה מופיעה:

Error:

Active Directory operation failed on <<DOMAIN CONTROLLER NAME>>. This error is not retriable. Additional information: The name reference is invalid.

This may be caused by replication latency between Active Directory domain controllers.

Active directory response: 000020B5: AtrErr: DSID-03152392, #1:

 0: 000020B5: DSID-03152392, problem 1005 (CONSTRAINT_ATT_TYPE), data 0, Att 200f4 (homeMDB)

 

בבדיקה הסתבר כי זהו באג מוכר, אך המאמר של Microsoft בנושא (You cannot create a new Exchange Server 2010 Mailbox database in a multiple domain environment) לא סייע בפיתרון הבעיה – מה שגם ללקוח היה רק Domain יחיד.

מכיוון ש Service Pack 1 ל Exchange 2010 עדיין לא זמין, נאלצתי לחפש פתרון עקיף. לאחר מספר בדיקות הסתבר כי ישנו צורך לבצע מספר פעולות לשם תיקון הבעיה:

א.                   ליצור Mailbox Store חדש (ללא ביצוע Mount).

ב.                   להריץ את הפקודה ב Power Shell Console בשרת ה Exchange 2010:

"Set-ADServerSettings –PreferredServer  mydomaincontrollername.domainname.local"

ג.                    לאתחל את השרת (לא חובה, אבל מומלץ לדעתי).

ד.                   להריץ את הפקודה, לכל Mailbox Store שיצרנו. את הפקודה יש להריץ ב Power Shell Console של שרת ה Exchange 2010:

"Mount-Database -Identity "Second Mailbox Store" -DomainController mydomaincontrollername.domainname.local"

 

  • לאחר התקנת Exchange 2010 Service Pack 1, מומלץ לבחון את נחיצות אילוץ ה Exchange לעבודה מול שרת Domain Controller מועדף (דבר שביצענו בסעיף ב).

חלק ג – בעיות נפוצות במעבר מ Exchange 2003 ל Exchange 2010:

א.      בעת ניסיון להעברת תיבות לשרת ה Exchange 2010, ההודעה הבאה מתקבלת:

"Active Directory operation failed on DC. This error is not retriable. Additional information: Insufficient access rights to perform the operation.

Active directory response: 00002098: SecErr: DSID-03150A45, problem 4003 (INSUFF_ACCESS_RIGHTS), data 0"

הבעיה נובעת מהעדר הרשאות מספקות, לגישה לתיבות ב Exchange 2003. על מנת לפתור את הבעיה, יש לוודא שלחשבון עימו אנו עובדים אין הרשאת Deny בגישה לתיבות, וכן שההרשאות מחלחלות – מרמת ארגון ה Exchange, לרמת תיבת המשתמש. לאחר מכן, ישנו צורך לבטל את ניסיון ההעברה של התיבות (Remove-MoveRequest), ולבצע את תהליך העברת התיבות מחדש.

ב.      בעת ניסיון לגשת לתיבות משתמשים ו\או בעת העברת תיבות לשרת ה Exchange 2010, ההודעה הבאה מתקבלת:

"Property Expression “User name” isn’t valid. Valid values are : Strings that includes ‘@’, where ‘@’ cannot be the last character."

הסיבה להודעה הינה קיום שמות משתמשים ו\או Exchange Alias Names – עם רווח בשם. הפיתרון מחייב לעיתים שימוש בכלי ADSIEdit לשינוי השם הלא נכון (הדבר מחויב כאשר שינוי השם אינו אפשרי ע"י שימוש בכלי הניהול הסטנדרטי של ה Exchange).

Error message occurs when you move a mailbox from an Exchange Server 2003 server to an Exchange Server 2007 or Exchange Server 2010 server

ג.       בעת שילוב סביבת Exchange 2003 ו Exchange 2010, ההודעה הבאה עלולה להתקבל:

Event ID 1036 is logged on an Exchange 2007 server that is running the CAS role when mobile devices connect to the Exchange 2007 server to access mailboxes on an Exchange 2003 back-end server

הפיתרון לסוגיה הינו התקנת עדכון לשרת ה Exchange 2003 ו\או הסרת ה Exchange 2003 מהרשת.

חלק ד – טיפים כללים

א.      לפני הליך השדרוג, יש לוודא את תאימות מוצרי ה Third Party לסביבה החדשה. לא פעם חברות נתקלות לאחר ההטמעה בשאלות שונות כגון: איך לגבות את שרת ה Exchange 2010, איזה אנטי וירוס יכול להגן על מערך Exchange 2010 ועוד.

ב.      על סמך מספר התקנות שביצעתי, נראה ששימוש ב Windows 2008 R2 מאפשר לקבל ביצועים טובים יותר (ביחס לשימוש ב Windows 2008).

ג.       ניצול כלל היכולות Exchange 2010 מחייב פעמים רבות מעבר לגרסתOutlook  עדכנית.

לדוגמא:

Outlook 2007 Features for Exchange Unified Messaging

Outlook 2010 Features in Unified Messaging

ד.       מכיוון ששרת Exchange 2010 משתמש בזיכרון RAM על מנת לבצע פעולות שבעבר בוצעו ברמת הדיסק, מומלץ לוודא כי כמות הזיכרון הנרכשת לשרת הינה מספקת, וכוללת התיחסות לגדילה עתידית.

אני מקווה שהמאמר בנושא יסיע למטמיעים Exchange 2010.

 

תאריך עריכה אחרון: ‏22 מרץ 2010

4 במרץ 2010, 20:06 ‏
כתיבת תגובה

קביעת טראקבק

  1. לא ניתן להשאיר תגובות



«
»