none
Вопрос по exchange RRS feed

  • Вопрос

  • Здравствуйте! Помогите прояснить такую ситуацию.

    22.04.2013 произошел инцидент, связанный с загрузкой всех серверов (3 сервера, Win 2008 R2) контроллеров домена (загрузка процессоров до 100%). 

    Выяснилось, что загрузку процессоров осуществляет процесс диспетчера учетных записей  (Lsass.exe).В результате дальнейшего анализа выяснилось наличие трафика от серверов корпоративной почтовой системы. Выявлены проблемы в работе программы Microsoft Outlook с общими папками корпоративной почтовой системы - общие папки не отображались в Microsoft Outlook, хотя в OWA общие папки были доступны.

    В результате проведенных мероприятий  (перезагрузка серверов с ролями «сервера почтовых ящиков») возможность работы Microsoft Outlook с общими папками была восстановлена. При этом произошло снижение загрузки процессоров серверов контроллеров домена,  и возврат ее в нормальный режим.

    В логах на CAS серверах было обнаружено

    2013-04-22T21:00:49.692Z,8540,455,/O=SNOS/OU=MAIL/cn=Recipients/cn=user1,,OUTLOOK.EXE,11.0.8161.0,Classic,,,ncacn_ip_tcp,,,1144 (rop::WrongServer),00:00:00,"Redirected: not a user's home public server, suggested new server: /o=SNOS/ou=Exchange Administrative Group (FYDIBOHF23SPDLT)/cn=Configuration/cn=Servers/cn=MBX2",RopHandler: Logon: 
    2013-04-22T21:00:56.057Z,7200,2131,/O=SNOS/OU=MAIL/cn=Recipients/cn=user2,,UcMapi.exe,14.0.6109.5000,Classic,,,ncacn_ip_tcp,,,1144 (rop::WrongServer),00:00:00.0467997,"Redirected: not a user's home public server, suggested new server: /o=SNOS/ou=Exchange Administrative Group (FYDIBOHF23SPDLT)/cn=Configuration/cn=Servers/cn=MBX1",RopHandler: Logon: 
    2013-04-22T21:01:14.824Z,8188,219,/O=SNOS/OU=MAIL/cn=Recipients/cn=user3,,OUTLOOK.EXE,14.0.6131.5002,Cached,,,ncacn_ip_tcp,,,1144 (rop::WrongServer),00:00:00,"Redirected: alternate server requested, suggested new server: /o=SNOS/ou=Exchange Administrative Group (FYDIBOHF23SPDLT)/cn=Configuration/cn=Servers/cn=MBX1",RopHandler: Logon: 

    Версия MS Exchange 14.03.0123.003

    Хронология событий:

    1. Произведена диагностика и проверка целостности базы данных AD, проведение проверки работ дменных служб. Проблем не обнаружено
    2. Произведено сравнение с соответствующим трафиком для другого домена. Особых различий не выявлено
    3. Произведен анализ сетевого трафика процесса диспетчера учетных записей домена. Анализ показал наличие трафика от серверов корпоративной почтовой системы, но каких либо особенностей не выявил
    4. Общее снижение нагрузки было связано с наступлением нерабочего времени и резкого уменьшения количества пользователей, работающих в сети
    5. В логах RPC соединений выявлены частичные отказы.
    6. Выявлены проблемы в работе Outlook с общими папками корпоративной почтовой системы
    7. принято решение о перезагрузке почтовых серверов баз данных. Работоспособность общих папок восстановилась после перезагрузки обоих серверов. В логах RPC соединений почтовых серверов количество записей с ошибками уменьшилось. Общая производительность серверов контроллеров домена находилась в пределах нормы



    • Изменено Serge Gorskov 30 апреля 2013 г. 11:36
    • Перемещено Dmitry Nikitin 30 апреля 2013 г. 12:44 решение автора
    30 апреля 2013 г. 11:22

Ответы

Все ответы

  • Здравствуйте!

    Помогите проанализировать ситуацию.

    В начале рабочего дня (с 8:30) стали поступать обращения по поводу работы с электронной почты (MS Outlook), заключающиеся в медленной работе приложения. После проверки работоспособности основных служб корпоративной почтовой системы, проблем не обнаружено. В этот момент выявили загрузку балансировщика SLB (до 99% - балансировщик на базе Cisco IOS SLB), работающего для почтовой системы.

    Через 1 час загрузка на балансировщике упала до 30%, работоспособность сервиса нормализовалась. 

    Что со стороны оутлука могло сгенерировать такой большой трафик? На почтовых серверах очередей не было, объем и количество писем не отличалось от остальных дней. Разница была лишь в количестве пакетов, в отличии от остальных дней число пакетов увеличилось в разы



    • Объединено Dmitry Nikitin 30 апреля 2013 г. 12:34 одна проблема
    • Изменено Serge Gorskov 30 апреля 2013 г. 12:34
    30 апреля 2013 г. 12:22
  • Рекомендую задать вопрос в соответствующем разделе.

    Это повтор?

    30 апреля 2013 г. 12:24
  • Если не было дампа траффика то гадать можно до бесконечности.

    Ждите повторения ситуации (возможно проблемы провайдера), и делайте захват.

    30 апреля 2013 г. 12:26
  • Ответил в соседней теме.
    30 апреля 2013 г. 12:27
  • Спасибо!

    Перенес в другу ветвь!http://social.technet.microsoft.com/Forums/ru-RU/exchange2010ru/thread/75cd2fbd-5d25-47b4-a773-094316f034a2


    30 апреля 2013 г. 12:42