某企業(yè)使用Exchange Server 2010作為郵件系統(tǒng),根據(jù)集團(tuán)下發(fā)文件,在服務(wù)器上安裝了某廠商的“防勒索病毒補(bǔ)丁”后,導(dǎo)致Exchange出現(xiàn)問(wèn)題,所有用戶不能登錄郵箱。后來(lái)卸載了補(bǔ)丁,將Exchange退出域、又重新加入到域,Exchange恢復(fù)正常。
一 周 后,大多數(shù)員工的Outlook不能登錄Exchange,但 OWA(在瀏覽器中通過(guò)Web頁(yè)面登錄Exchange)與手機(jī)客戶端正常,只有極少數(shù)員工的Outlook能登錄Exchange。對(duì)于不能登錄Exchange的無(wú)論是重新安裝操作系統(tǒng)還是重新配置Outlook,都會(huì)出現(xiàn)圖1錯(cuò)誤。
經(jīng)過(guò)檢查,故障現(xiàn)象總結(jié)如下:
圖1 不能登錄Exchange
圖2 網(wǎng)絡(luò)拓?fù)鋱D
1.Exchange Server 2010對(duì)外收發(fā)郵件正常。
2.員工使用手機(jī)客戶端、使用OWA(Web頁(yè)面)登錄Exchange郵件系統(tǒng)正常。
3.只有Outlook登錄Exchange時(shí)出錯(cuò),錯(cuò)誤如圖1所示。如果修改Outlook使用 POP3、SMTP方式,也可以登錄Exchange。
該單位有1臺(tái)Exchange Server 2010,2 臺(tái) Active Directory的服務(wù)器。其中 AD1、AD2、Exchange Server都 是Windows Server 2008 R2操作系統(tǒng)。網(wǎng)絡(luò)拓?fù)淙鐖D2所示。
經(jīng)過(guò)進(jìn)一步檢查,發(fā)現(xiàn)AD2(192.168.0.249)與Exchange(192.168.0.221)的 TCP的135端口不能登錄(測(cè)試方法telet 192.168.0.221 135時(shí)出錯(cuò))。但在Exchange上檢查,服務(wù)器的135端口已經(jīng)開(kāi)放。
因 為 AD1(192.168.0.249)的 AD 與 Exchange(192.168.0.221)都出現(xiàn)TCP 135不能登錄的故障,并且故障原因也是在“勒索病毒”打補(bǔ)丁之后出現(xiàn)(192.168.0.223沒(méi)有安裝補(bǔ)丁,故一切正常)。所以解決故障的方法也就在修復(fù)TCP的135端口上。
在正式修復(fù)之前,我們做了如下的準(zhǔn)備與測(cè)試工作:
1.將 DC(192.168.0.223)的設(shè)置為主域,轉(zhuǎn)移角色到223。此時(shí)249將成為額外域控制器。
2.因?yàn)?92.168.0.249上有證書(shū)服務(wù)器,所以備份該服務(wù)器的根證書(shū)私鑰及數(shù)據(jù)庫(kù)。
3.通過(guò)升級(jí)安裝的方式(登錄進(jìn)入Windows,使用同操作系統(tǒng)、同版本的安裝鏡像,執(zhí)行Setup,執(zhí)行升級(jí)安裝),升級(jí) 192.168.0.249。
4.升級(jí)安裝192.168.0.249,升級(jí)之后,TCP的135端口能用。
因?yàn)橥ㄟ^(guò)升級(jí)192.168.0.249之 后,TCP的 135端口能用,故準(zhǔn)備通過(guò)升級(jí)Exchange修復(fù)135端口。
為驗(yàn)證方法是否正確,我們進(jìn)行了如下的前期測(cè)試:
圖3 Exchange初始化失敗
1.使用“愛(ài)數(shù)”備份設(shè)備,備份Exchange的操作系統(tǒng)及數(shù)據(jù)庫(kù)。
2.使用一臺(tái)空閑的服務(wù)器搭建出虛擬化環(huán)境,新建AD1與MBX兩臺(tái)虛擬機(jī),從愛(ài)數(shù)備份設(shè)備,將AD1與MBX備份恢復(fù)到虛擬機(jī),故障再現(xiàn)。
3.在MBX的虛擬機(jī)中升級(jí) Exchange,郵 箱、Outlook正常,但Exchange控制臺(tái)不能打開(kāi),錯(cuò)誤提示為“嘗試連接到指定的Exchange服務(wù)器***時(shí)出現(xiàn)以下錯(cuò)誤:嘗試使用"Kerberos"身份驗(yàn)證連接到 http://***/PowerShell失?。哼B接到遠(yuǎn)程服務(wù)器失敗,錯(cuò)誤消息如下:WinRM 無(wú)法處理該請(qǐng)求。使用 Kerberos 身份驗(yàn)證時(shí)發(fā)生以下錯(cuò)誤:找不到網(wǎng)絡(luò)路徑?!保ㄈ鐖D 3)。
4.經(jīng)過(guò)分析,打開(kāi)服務(wù)器管理器,添加“WINRAM IIS擴(kuò)展”組件,安裝該組件后正常。之后可以打開(kāi)Exchange管理控制臺(tái)。
在實(shí)驗(yàn)成功之后,我們準(zhǔn)備修復(fù)生產(chǎn)環(huán)境中的Exchange,并提前在集團(tuán)OA發(fā)布了此項(xiàng)維護(hù)通知。
本著數(shù)據(jù)第一、安全第一的原則,在修復(fù)前使用對(duì)Exchange進(jìn)行備份,備份完成后再對(duì)系統(tǒng)進(jìn)行修復(fù),這樣一旦出現(xiàn)問(wèn)題,可以通過(guò)備份恢復(fù)。因?yàn)閿?shù)據(jù)量較大,整個(gè)備份大約花了28個(gè)小時(shí)。
在周六正式對(duì)Exchange進(jìn)行升級(jí)安裝,升級(jí)花費(fèi)了大約2個(gè)小時(shí),但升級(jí)之后,故障依舊。
因?yàn)楫?dāng)前操作系統(tǒng)是Windows Server 2008 R2,而做實(shí)驗(yàn)的虛擬環(huán)境的操作系統(tǒng)是Windows Server 2008 R2 SP1的版本,我們將當(dāng)前的操作系統(tǒng)升級(jí)到Windows Server 2008 R2 SP1,打補(bǔ)丁之后,故障依舊。
經(jīng)過(guò)進(jìn)一步對(duì)物理服務(wù)器中的操作系統(tǒng)進(jìn)行檢查,發(fā)現(xiàn)telnet 127.0.0.1 135可用,但telnet 192.168.0.221 135不可用。我們分析認(rèn)為Exchange各項(xiàng)服務(wù)、操作系統(tǒng)相關(guān)服務(wù)都正常,但是由于某項(xiàng)策略導(dǎo)致192.168.0.221的135不可用。
在檢查到“本地安全策略”時(shí),在“IP安全策略,在本地計(jì)算機(jī)”中有一個(gè)“Block”的策略。
1.查看該策略,在“篩選器操作→編輯”中,打開(kāi)屬性,查看“安全方法”為“阻止”。
2.在“身份驗(yàn)證方法”選項(xiàng)卡中,看到驗(yàn)證方法包括了Kerberos。之后再telnet 192.168.0.221 135,發(fā)現(xiàn)已經(jīng)正常。
此時(shí)我們使用Outlook登錄Exchange,發(fā)現(xiàn)登錄正常,并收到了外網(wǎng)發(fā)來(lái)的郵件。
在我們認(rèn)為故障解決的時(shí)候,經(jīng)過(guò)測(cè)試發(fā)現(xiàn),Exchange能收郵件、不能發(fā)郵件(無(wú)論是向外發(fā)郵件還是內(nèi)部發(fā)郵件,都不行),郵件都保存在“草稿箱”內(nèi)。
經(jīng)過(guò)分析,我們認(rèn)為原因如下:
Exchange某項(xiàng)服務(wù)沒(méi)有啟動(dòng)導(dǎo)致此事情發(fā)生。但經(jīng)過(guò)檢查,發(fā)現(xiàn)Exchange的所有服務(wù)都啟動(dòng)正常。
繼續(xù)分析認(rèn)為可能是安裝了Windows Server 2008 R2 SP1引發(fā)的,之后卸載Windows Server 2008 R2 SP1補(bǔ)丁。在卸載補(bǔ)丁后,故障依舊。
之后繼續(xù)卸載“WinRM IIS擴(kuò)展”,卸載之后,系統(tǒng)并未提示需要重新啟動(dòng)。為了可靠,我們重新啟動(dòng)Exchange。在Exchange重新啟動(dòng)的過(guò)程中,停留在“發(fā)件箱”中的郵件發(fā)送成功。但再次進(jìn)入系統(tǒng)后,故障依舊。
此時(shí)我們?cè)俅沃鹨粰z查Exchange相關(guān)服務(wù),雖然檢查到每項(xiàng)服務(wù)的狀態(tài)為“己?jiǎn)?dòng)”,但在重新啟動(dòng)“Microsoft Exchange郵 件提交”服務(wù)之后,Exchange發(fā)信恢復(fù)正常。
此時(shí)已經(jīng)是下午16:50多。在經(jīng)過(guò)多次測(cè)試之后,確認(rèn)Exchange恢復(fù)正常。
之后安裝了“WinRM IIS擴(kuò)展”,Exchange管理正常。
繼續(xù)測(cè)試,Exchange的OWA、Outlook正常,收發(fā)正常,至此故障解決。
為了防止以后Exchange登錄后,不能發(fā)送郵件,我們配置Exchange,讓Exchange在重新啟動(dòng)后自動(dòng)以Administrator賬戶登錄進(jìn)入系統(tǒng),并且執(zhí)行腳本重新啟 動(dòng)“Microsoft Exchange郵件提交”服務(wù)。
運(yùn) 行regedit, 打 開(kāi)“HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon”鍵值,新建“字符串值”,前面為鍵值,后面為內(nèi)容。具體項(xiàng)如下。
"AutoAdminLogon"="1"
"DefaultUserName"="Ad ministrator"
"DefaultDomainName"="單位域名"
"DefaultPassword"="管理員密碼"
用“記事本”創(chuàng)建startexchange.cmd,內(nèi)容如下:
net stop MSExchangeFBA
net start MSExchangeFBA
net stop MSExchange MailSubmission
net start MSExchange MailSubmission
將其添加到“啟動(dòng)”菜單,或者編輯計(jì)劃內(nèi)容,選擇“登錄后只執(zhí)行一次”。
經(jīng)過(guò)這些配置,Exchange修復(fù)完成。