עורך: יובל סיני
נתקלתי לאחרונה במספר תקלות מוזרות בעת הטמעת Exchange 2010 בסביבות מבוזרות שונות. המאמר בנושא כולל הצגה של חלק מבעיות אלו, תוך הצעת פיתרונות אפשריים. לשם נוחות, המאמר מחולק לשלושה חלקים:
א. בעיות כלליות (שאינן תלויות בגרסת סביבת ה Exchange הקיימת).
ב. בעיות נפוצות במעבר מ Exchange 2007 ל Exchange 2010.
ג. בעיות נפוצות במעבר מ Exchange 2003 ל Exchange 2010.
לפני שנמשיך, מספר הערות:
- החלוקה לשלושה חלקים במאמר נעשת מטעמי נוחות, ולא מהווה תלות בין הפיתרון המוצע, לגרסת ה Exchange הקיימת.
- ביצוע שינויים במערכת ללא הבנה מעמיקה להשלכות השינויים, עלול לגרום להשבתה של כל מערכת הדואר ו\או ה Active Directory.
- מעבר מ Exchange 2000 ל Exchange 2010 ישירות אינו נתמך, ולפיכך אינו נכלל במאמר.
ליתר לציין כי עדכון מערכות ההפעלה, עדכון גרסאות ה Exchange, אי התקנת שרת ה Exchange החדש על Domain Controller וכן אי קיום שרת Exchange (מקור) על Domain Controller – יכולים למנוע חלק גדול מן הבעיות המוזכרות במאמר זה.
חלק א – בעיות כלליות
א. בעת ניסיון גיבוי ע"י תוכנת גיבוי ו\או הרצת פקודות ליצור תיבות ל PST, ישנה הודעת כישלון עקב חוזר הרשאות. הדבר הינו Pre Design, ועל מנת להתגבר על המגבלה יש להשתמש בפקודת ה Power Shell הנ"ל בשרת ה Exchange 2010:
"Get-MailboxDatabase| Add-ADPermission -user "domainname\backupaccountserviceaccountname" -AccessRights GenericAll"
ב. אי יכולת ביצוע Relay לשרת ה Exchange 2010:
Allow Anonymous Relay on a Receive Connector
http://technet.microsoft.com/en-us/library/bb232021.aspx
- ישנה אופציה להגדרת אימות מתאים, בעת ביצוע Relay.
ג. בעיות נפוצות בעת העברת תיבות משתמשים לשרת ה Exchange 2010:
Troubleshooting Mailbox Moves
http://technet.microsoft.com/en-us/library/dd638094.aspx
ד. משתמשי Outlook עלולים לדווח על בעיית איטיות בעת עבודה:
Outlook 2003: E-mail messages take a long time to send and receive when you use an Exchange 2010 mailbox
ה. לאחר התקנת Exchange 2010 על גבי Global Catalog, שירותי ה Exchange 2010 לא פועלים לאחר איתחול:
Services for Exchange Server 2007 or Exchange Server 2010 cannot start automatically after you install Exchange Server 2007 and Exchange Server 2010 on a global catalog server
ו. בעת ניסיון סינכרון עם מכשיר IPhone, ההודעה הבאה עלולה להתקבל:
"Exchange ActiveSync doesn’t have sufficient permissions to create the “CN=Yuval Sinay,OU=Users,OU=Lab Demo,OU=Pilot Exchange 2010,DC=shadowall,DC=local” container under Active Directory user “Active Directory operation failed on mail.shadowall.local. This error is not retriable. Additional information: Access is denied.
Active directory response: 00000005: SecErr: DSID-03151E04, problem 4003 (INSUFF_ACCESS_RIGHTS), data 0“.
- הסוגיה שכיחה אם חשבון המשתמש חבר ב “Protect Group”, וקשורה לבעיית הורשת הרשאות ברמת המשתמש – דבר המחייב הגדרת "Include inheritable permissions from this object’s parent".
ז. משתמשי מכשירי סלולאר מסוימים מתלוננים כי הם אינם מצליחים לסנכרן את מכשירי הסלולר, ומקבלים הודעה על Certificate Error. הבעיה בד"כ נובעת מיצרני מכשירים סלולארים העובדים עם מערכות הפעלה שאינן מבית Microsoft. ראוי לציין כי הבעיה אינה קשורה כלל ל Exchange 2010. הפיתרון הינו מחיקת כלל התעודות הדיגיטילות במכשיר הסלולאר, והתקנה מחודשת של ה Root CA, וה Certificate של שרת ה Exchange 2010 ו\או של ה ISA/TMG. במקרה שהסוגיה לא נפתרת, מומלץ לפנות לתמיכת היצרן של מכשיר הסלולאר.
The "Send As" right is removed from a user object after you configure the "Send As" right in the Active Directory Users and Computers snap-in in Exchange Server
ח. לקוחות עם Outlook 2003 אינם מצליחים להתחבר לשרת ה Exchange 2010, למרות שה System Public Folders תקינים בשרת ה Exchange 2010. הסיבה לכך נובעת מהעובדה ש Exchange 2010 מחייב הצפנת תעבורה בינו לבין ה Outlook. הפיתרון לכך הינו ברמת התחנה (או ה GPO), וכולל הגדרת האופציה: "Encrypt data between Microsoft Office Outlook and Microsoft Exchange Server". פיתרון חלופי, שאינו מומלץ הינו ביטול ההצפנה ברמת השרת ע"י פקודת ה Power Shell: " Set-RpcClientAccess -Server savdalex10 -EncryptionRequired $false"
ט. בעת שימוש בכלי Best Practices Analyzer הכלול ב Exchange 2010, ההודעה הבאה מופיעה בדו"ח:
"Unrecognized Exchange signature
Active Directory domain 'domainname' has an unrecognized Exchange signature. Current DomainPrep version: 12639."
למיטב ידיעתי אין מענה רשמי לסוגיה, אך כפי הנראה מדובר בבאג שיתוקן ב Exchange 2010
Service Pack 1.
- ראוי לציין הכלי Best Practices Analyzer הכלול ב Exchange 2010, אינו תומך ב Exchange 2007.
חלק ב – בעיות נפוצות במעבר מ Exchange 2007 ל Exchange 2010:
א. בעת מעבר מ Exchange 2007 ל Exchange 2010 (בשרת חדש), שימוש בכלי הניהול ש Exchange 2010 ישנן הודעות שגיאה בעת גישה להגדרות: OWA, Outlook Anywhere, Offline Address Book ועוד.
בעיון בבלוג של ה Exchange Geek פורסם מאמר שהציע לכאורה פיתרון מעניין בסוגיה. בבדיקה הסתבר כי שרת ה Exchange 2007 שודרג כבר לגרסת העדכון האחרונה, אך למרות זאת הבעיה לא נפתרה. בבדיקה הסתבר כי שילוב Domain Controller ושרת Exchange על אותו שרת פיסי, גורמים לבעיית הרשאות המחייבת תיקון ידני.
הפיתרון לבעיה היה להוסיף את חשבון שרת ה Exchange 2010 לקבוצת ה Administrators של ה Domain. לא ממש פיתרון אידיאלי מבחינת אבטחה, אך נכון לזמן זה, הפיתרון עובד. ישנו פיתרון חלופי מבית חברת Microsoft, שיעילותו לא אחידה תמיד, ותלויה בסביבת לקוח:
Event ID 9519 "Error 0×80004005" is logged in the Application log when you try to mount a database in Exchange Server 2010 or in Exchange Server 2007
- ישנם מקרים חריגים שהוספת הרשאת "”Manage auditing and security log לקבוצת “Exchange Servers" כפי שמומלץ לבצע לפי ה KB אינה מספקת, וישנו צורך לבצע הגדרה דומה לקבוצת “Exchange Enterprise Servers”.
ב. בעת יצירת Mailbox Store חדשים, ה Mailbox Store נוצר, אך פעולת ביצוע ה Mount נכשלת, והודעת שגיאה מוזרה מופיעה:
Error:
Active Directory operation failed on <<DOMAIN CONTROLLER NAME>>. This error is not retriable. Additional information: The name reference is invalid.
This may be caused by replication latency between Active Directory domain controllers.
Active directory response: 000020B5: AtrErr: DSID-03152392, #1:
0: 000020B5: DSID-03152392, problem 1005 (CONSTRAINT_ATT_TYPE), data 0, Att 200f4 (homeMDB)
בבדיקה הסתבר כי זהו באג מוכר, אך המאמר של Microsoft בנושא (You cannot create a new Exchange Server 2010 Mailbox database in a multiple domain environment) לא סייע בפיתרון הבעיה – מה שגם ללקוח היה רק Domain יחיד.
מכיוון ש Service Pack 1 ל Exchange 2010 עדיין לא זמין, נאלצתי לחפש פתרון עקיף. לאחר מספר בדיקות הסתבר כי ישנו צורך לבצע מספר פעולות לשם תיקון הבעיה:
א. ליצור Mailbox Store חדש (ללא ביצוע Mount).
ב. להריץ את הפקודה ב Power Shell Console בשרת ה Exchange 2010:
"Set-ADServerSettings –PreferredServer mydomaincontrollername.domainname.local"
ג. לאתחל את השרת (לא חובה, אבל מומלץ לדעתי).
ד. להריץ את הפקודה, לכל Mailbox Store שיצרנו. את הפקודה יש להריץ ב Power Shell Console של שרת ה Exchange 2010:
"Mount-Database -Identity "Second Mailbox Store" -DomainController mydomaincontrollername.domainname.local"
- לאחר התקנת Exchange 2010 Service Pack 1, מומלץ לבחון את נחיצות אילוץ ה Exchange לעבודה מול שרת Domain Controller מועדף (דבר שביצענו בסעיף ב).
חלק ג – בעיות נפוצות במעבר מ Exchange 2003 ל Exchange 2010:
א. בעת ניסיון להעברת תיבות לשרת ה Exchange 2010, ההודעה הבאה מתקבלת:
"Active Directory operation failed on DC. This error is not retriable. Additional information: Insufficient access rights to perform the operation.
Active directory response: 00002098: SecErr: DSID-03150A45, problem 4003 (INSUFF_ACCESS_RIGHTS), data 0"
הבעיה נובעת מהעדר הרשאות מספקות, לגישה לתיבות ב Exchange 2003. על מנת לפתור את הבעיה, יש לוודא שלחשבון עימו אנו עובדים אין הרשאת Deny בגישה לתיבות, וכן שההרשאות מחלחלות – מרמת ארגון ה Exchange, לרמת תיבת המשתמש. לאחר מכן, ישנו צורך לבטל את ניסיון ההעברה של התיבות (Remove-MoveRequest), ולבצע את תהליך העברת התיבות מחדש.
ב. בעת ניסיון לגשת לתיבות משתמשים ו\או בעת העברת תיבות לשרת ה Exchange 2010, ההודעה הבאה מתקבלת:
"Property Expression “User name” isn’t valid. Valid values are : Strings that includes ‘@’, where ‘@’ cannot be the last character."
הסיבה להודעה הינה קיום שמות משתמשים ו\או Exchange Alias Names – עם רווח בשם. הפיתרון מחייב לעיתים שימוש בכלי ADSIEdit לשינוי השם הלא נכון (הדבר מחויב כאשר שינוי השם אינו אפשרי ע"י שימוש בכלי הניהול הסטנדרטי של ה Exchange).
Error message occurs when you move a mailbox from an Exchange Server 2003 server to an Exchange Server 2007 or Exchange Server 2010 server
ג. בעת שילוב סביבת Exchange 2003 ו Exchange 2010, ההודעה הבאה עלולה להתקבל:
Event ID 1036 is logged on an Exchange 2007 server that is running the CAS role when mobile devices connect to the Exchange 2007 server to access mailboxes on an Exchange 2003 back-end server
הפיתרון לסוגיה הינו התקנת עדכון לשרת ה Exchange 2003 ו\או הסרת ה Exchange 2003 מהרשת.
חלק ד – טיפים כללים
א. לפני הליך השדרוג, יש לוודא את תאימות מוצרי ה Third Party לסביבה החדשה. לא פעם חברות נתקלות לאחר ההטמעה בשאלות שונות כגון: איך לגבות את שרת ה Exchange 2010, איזה אנטי וירוס יכול להגן על מערך Exchange 2010 ועוד.
ב. על סמך מספר התקנות שביצעתי, נראה ששימוש ב Windows 2008 R2 מאפשר לקבל ביצועים טובים יותר (ביחס לשימוש ב Windows 2008).
ג. ניצול כלל היכולות Exchange 2010 מחייב פעמים רבות מעבר לגרסתOutlook עדכנית.
לדוגמא:
Outlook 2007 Features for Exchange Unified Messaging
Outlook 2010 Features in Unified Messaging
ד. מכיוון ששרת Exchange 2010 משתמש בזיכרון RAM על מנת לבצע פעולות שבעבר בוצעו ברמת הדיסק, מומלץ לוודא כי כמות הזיכרון הנרכשת לשרת הינה מספקת, וכוללת התיחסות לגדילה עתידית.
אני מקווה שהמאמר בנושא יסיע למטמיעים Exchange 2010.
