none
Огромная очередь сообщений RRS feed

  • Вопрос

  • Два exchange 2016 CU19 (два домена третьего уровня) с граничным edge и перед edge стоит ironport. На серверах касперский 9 (проверку почты отключил). Перезагружал)

    Очередь сообщений не расходится - velocity -0.11. При запуске test-mailflow жалуется на сбой и виснут сообщения systemmailbox{}@bla-bla.ru

    Естественно, огромная очередь теневого копирования.Еще есть очередь Poison (Подозрительные сообщения) и она огромная - 1000 сообщений.

    Удалять очередь не хочу, хотя и 49ГБ файл.

    Обратил внимание, что почта виснет в очередях при хождении между внутренними доменами! То есть между двумя виртуальными машинами чуть в разных сетях. dcdiag пролетает на обоих exch на ура. Никаких проблем при подключении к контроллерам домена в своем домене.

    В какую сторону хотя бы копать, подскажите, пож!





    • Изменено deziato76 17 марта 2021 г. 19:34
    17 марта 2021 г. 18:53

Все ответы

  • Здравия.

    1.Что с касперским делали?

    2.Отравляется с Pickup folder на Edge?

    %ExchangeInstallPath%TransportRoles\PickUp 
    or 
    Get-TransportService |fl identity,PickupDirectoryPath 

    Blocklist проверяли, интренет провайдер что говорит?

    Проверить все сервисы. Test-ExchangeServerHealth.ps1 – PowerShell Script to Generate a Health Check Report for Exchange Server 2016/2013/2010


    MCITP, MCSE, M365. Regards, Oleg

    17 марта 2021 г. 19:48
    Модератор
  • 1. С касперским ничего не делал - работает и работает. Сейчас - отключил проверку на транспорте и спам-фильтр.

    2. Pickup folder - пустая на всех серверах. Что значит отправляется? Поместить туда test.msg? И папка pickup на edge - отсутствует

    3. В очереди куча сообщений с различных адресов. Blacklist - пустой. Я сам интернет-провайдер - запись dns sfp - на месте, проверил на одной из сайтов - с ней все норм.

    Ваш тест делаю - там по mailflow, конечно, ошибки. Отчет вышлю следующим сообщением.

    17 марта 2021 г. 20:54
  • DNS Check: Pass
    Ping Check: Pass
    Uptime (hrs): 1
    Server version: Exchange 2016
    Roles: Mailbox
    Роль сервера почтовых ящиков Services: Pass
    Роль сервера клиентского доступа Services: Pass
    Роль сервера единой системы обмена сообщениями Services: Pass
    Роль транспортного сервера-концентратора Services: Pass
    Total Queue: 1685
    Mailbox databases mounted: Fail - я тут для теста создал базу и потом просто ее задисмаунтил. Потому ошибка
    Offline databases:
            SMD5-1
    MAPI connectivity: ПРЕДУПРЕЖДЕНИЕ: Произошла непредвиденная ошибка, создается дамп памяти программы "Доктор Ватсон": Перемежающаяся ошибка службы обнаружения серверов.
    Перемежающаяся ошибка службы обнаружения серверов.
        + CategoryInfo          : NotSpecified: (:) [Test-MAPIConnectivity], BackEndLocatorException
        + FullyQualifiedErrorId : Microsoft.Exchange.Data.ApplicationLogic.Cafe.BackEndLocatorException,Microsoft.Exchange.Monitoring.TestMapiConnectivity
        + PSComputerName        : bla-bla.ru


    MAPI failed to:
            SMD5-1
    Mail flow test: *СБОЙ*
    ------ Finishing
    17 марта 2021 г. 20:58
  • Дополнение - между двумя доменами в пределах организации почта еле ходит с бешенной очередью, а вот с любой внешней почты и обратно - все норм - летает.

    нашел еще ошибку на test-replicationhealth -

    EXCH2016 DatabaseRedundancy *СБОЙ* Ошибки:
    При проверке избыточности базы данных "SMD5" обнаружены ошибки, способные снизить избыточность и привести к потере д
    анных. Счетчик избыточности: 1. Ожидаемое значение счетчика избыточности: 2. Подробные сведения об ошибке или ошибках
    : exch2016:
    У базы данных "SMD5" настроено недостаточно копий для соответствия условиям проверки.

    И вот вопрос - и что с этим делать?

    Добавление -
    при просмотреочереди обнаружил, что в очередь растет только для одного NextHopDomain - SMD5 - см выше. А вот что с этим делать - вот вообще теряюсь. Кто подскажет?


    • Изменено deziato76 18 марта 2021 г. 6:57
    17 марта 2021 г. 21:12
  • Никто с таким не сталкивался?

    18 марта 2021 г. 13:52
  • Сколько копий у SMD5? Если больше одной - разберитесь, что случилось с другой копией.


    Слава России!

    18 марта 2021 г. 17:21
  • Копий у smd5 - одна, а должно быть две. Как это исправить?
    18 марта 2021 г. 17:24
  • Ну и вот появилось,что учетная запись в АД не найдена, хотя она там есть. С службой Ad-Exch - все ок. С доменами - все ок и реплкации проходят на ура. Что делать вообще?!

    18 марта 2021 г. 17:39
  • Проверить репликацию между КД: на каждом из них из командной строки с привлегиями администратора выполнить команду repadmin /showrepl

    Слава России!

    18 марта 2021 г. 18:01
  • Копий у smd5 - одна, а должно быть две. Как это исправить?
    Как это? Покажите результат выдачи в EMS команды Get-MailboxDatabaseCopyStatus -Identity SMD5 

    Слава России!

    18 марта 2021 г. 18:05
  • На все события repladmin /showrepl ответ вот такой - Последняя попытка @ 2021-03-18 20:04:26 успешна.

    Есть еще предположения, что могло случиться с exchange 2016  и проблемами рассовывания писем по ящикам? почему письма не кладутся в ящики пользователей и растет очередь? Причем именно в одну базу. Может перенести вс ящики в новую базу? И как это сделать?


    • Изменено deziato76 18 марта 2021 г. 18:13
    18 марта 2021 г. 18:09
  • Копий у smd5 - одна, а должно быть две. Как это исправить?

    Как это? Покажите результат выдачи в EMS команды Get-MailboxDatabaseCopyStatus -Identity SMD5 

    Слава России!

    Да, действительно. Я уже просто запутался... Результат команды

    Name                                          Status          CopyQueue ReplayQueue LastInspectedLogTime   ContentIndex
                                                                  Length    Length                             State
    ----                                          ------          --------- ----------- --------------------   ------------
    SMD5\                                      Mounted         0         0                                  Healthy

    И что это значит?

    А вот вывод get-queue -server

    [PS] C:\WINDOWS\system32>Get-Queue -server exch2016

    Identity            DeliveryType          Status MessageCount Velocity RiskLevel OutboundIPPool NextHopDomain
    --------            ------------          ------ ------------ -------- --------- -------------- -------------
    exch2016\3          SmtpDeliveryToMailbox Ready  0            0        Normal    0              db04
    exch2016\6          SmtpDeliveryToMailbox Retry  2340         -0,25    Normal    0              smd5

    Почему nexthopdomain - это именно эта база и почему он не может разложить в эту базу по ящикам? Вчера прибивал очередь - не помогало - все так и продолжало в очередь скидывать. НУ и пересобрал receive connectors - не помогло....

    • Изменено deziato76 18 марта 2021 г. 19:02
    18 марта 2021 г. 18:58
  • Проблема - у службы доставки сообщений (Microsoft Exchange Mailbox Delivery Service) - эту очередь обслуживает она. Смотреть надо на том сервере, на котором смонтирована проблемная база SMD5 (доставка всегда выполняется локально). Проверьте состояние службы. Проверьте загрузку процессора и дисков - с базой и где лежит БД транспорта. Проверьте журнал событий Application на предмет сообщений, связанных с этой службой. Попробуйте перезапустить службу.

    Посмотрите в MessageTrackingLog события доставки (от источника STOREDRIVER), примерный формат команды:

    Get-MessageTrackingLog    -server exch2016 -Start <DateTime> -End <DateTime>  -Source STOREDRIVER

    Посмотрите отдельно скорости заполнения и опорожнения очереди (а не только Velocity)

    Get-Queue -server exch2016 | ft Identity,DeliveryType,Status,MessageCount,OutgoingRate,IncomingRate

    Посмотрите визуально журналы этой службы (в подпапки папки TransportRoles\Logs\Mailbox\ в папке Exchange) - может, там что-то интересное увидите.

    PS Насчет копий: если база создается на сервере в DAG, то служба мониторинга здоровья хочет, чтобы у нее было не меньше указанного числа работоспособных копий (2 по умолчанию), даже если копии не настроены. Сейчас лучше настройкой копий не заниматься, но потом, когда устраните проблему, надо бы создать вторую копию.


    Слава России!


    • Изменено M.V.V. _ 18 марта 2021 г. 21:21
    18 марта 2021 г. 21:20
  • [PS] C:\WINDOWS\system32>Get-Queue | ft Identity,DeliveryType,Status,MessageCount,OutgoingRate,IncomingRate

    Identity                       DeliveryType Status MessageCount OutgoingRate IncomingRate
    --------                       ------------ ------ ------------ ------------ ------------
    exch2016-2\13         SmtpDeliveryToMailbox  Retry           82            0            0
    exch2016-2\42         SmtpDeliveryToMailbox  Ready            0         0,03         0,03
    exch2016-2\57         SmtpDeliveryToMailbox  Ready            0            0            0
    exch2016-2\Poison                 Undefined  Ready           44            0            0
    exch2016-2\Submission             Undefined  Ready            0            2            2
    exch2016-2\Shadow\5        ShadowRedundancy  Ready          402            0            0

    Меня сильно волнует очередь Poison - почему в ней есть сообщения при состоянии настройки нежелательных сообщений в false

    По выводу команды видно, что все ок - только очередь еле расходится - было 111 сообщений стало 88 за 5 часов

    [PS] C:\WINDOWS\system32>Get-MessageTrackingLog    -server exch2016-2 -Start "03/17/2021 09:00:00" -End "03/18/2021 09:10:00" -Source STOREDRIVER

    Timestamp              EventId          Source        Sender                                  Recipients                             MessageSubject
    ---------              -------          ------        ------                                  ----------                             --------------
    17.03.2021 11:39:58    DELIVERFAIL      STOREDRIVER   noreply@email.teams.microsoft.com       {vTaran@.ru}              Вас добавили в класс в Microsoft Teams
    17.03.2021 13:04:16    DELIVERFAIL      STOREDRIVER   info@national-science.ru                {nikolesnikov@.ru}        [!!Mass Mail]прием статей в рецензи...
    17.03.2021 9:44:42     NOTIFYMAPI       STOREDRIVER   ICHerkashin@.ru            {}
    17.03.2021 9:44:42     RECEIVE          STOREDRIVER   ICHerkashin@.ru            {SRomanov@kantiana.ru}                 Вопрос по поводу физической культуры
    17.03.2021 9:44:42     SUBMIT           STOREDRIVER   ICHerkashin@.ru            {SRomanov@kantiana.ru}                 Вопрос по поводу физической культуры
    17.03.2021 10:17:46    NOTIFYMAPI       STOREDRIVER   ESStepanova@.ru            {}

    То есть вообще не информативно. В логах - ничего подозрительного нет. И да письма дсотавляются, но оооочень медленно, а свободного места на дисках более 25%

    Служба Delivery посмотрел - работает, сообщения в Application не сыплет. В логах - все стандартно - записал в очередь и ок - см выше.

    Откуда в очереди подозрительные сообщения - появляются сообщения при устанвоке проверки в false? Или я не туда копаю? Куда еще покопать?


    19 марта 2021 г. 3:51
  • 1. Если вы провайдер у вас должена быть поддержка MS Support. Открывайте кейс.

    2. Проверьте логи за последние 72 часа для анализа что вы делали.

    3. Проанализируте ошибки за последние 3-5 дней.

    То чтовы сдесь опубликовали не отображает всей картины из-за отсутствия понимания вашей архитетуры и всех логов. 


    MCITP, MCSE, M365. Regards, Oleg

    19 марта 2021 г. 11:59
    Модератор
  • 1. Если вы провайдер у вас должена быть поддержка MS Support. Открывайте кейс.

    2. Проверьте логи за последние 72 часа для анализа что вы делали.

    3. Проанализируте ошибки за последние 3-5 дней.

    То чтовы сдесь опубликовали не отображает всей картины из-за отсутствия понимания вашей архитетуры и всех логов. 


    MCITP, MCSE, M365. Regards, Oleg

    1. SA не купили, поддержки нет. Мы автономная система - не совсем ISP.

    2. Находят в крайне подавленном состоянии от того, что в базу очень медленно раскладываются письма и отсуствием ошибок или невозможностью их идентифицировать, готов выложить любые логи с ситемы.

    3. ТО же самое - готов выложить любые логи - просто сейчас критических ошибок нет.

    Про архитетктуру - на входе ironport пересылающий сообщения на edge.bla.ru. За edge есть два домена int.bla.ru и stud.bla.ru имеющие транзититвные отношения и каждом находятся по exch 2016  с именами exch2016.int.bla.ru и exch2016-2.stud.bla.ru соотвественно. Каждый exch - это и транспорт и маилбокс. На каждом есть набор баз. Но к exch2016-2.stud.bla.ru подключена база SMD5 с набором ящиков пользователей домена stud.bla.ru. Так вот только в эту базу почта очень медленно раскладывается по ящикам. Причем SMD5 - healthy и все норм. Но при test-mailflow -server exch2016-2.stud.bla.ru - СБОЙ, а при test-mailflow -server exch2016.int.bla.ru - OK. То есть почта между двумя доменами не ходит - а вот с внешних mx почта ходит прекрасно - не задерживаясь. Вообще, проблема наступила неожиданно и ничего не делалось. Единственно - до 10 марта накатывались CU17, CU18, CU19 с апдейтами, предохранящими от китайцев и их атаки. НО после этого 4 дня с очередями было все прекрасно.

    Что сделал - пересобрал recieve connectors, просмотрел логи, выполнил рекомендации товарища (спасибо ему большое) выше, проверены spf и mx записи, перезагружалось все немеренное количество раз, проверены все сетвые настройки (проблем не найдено), проверил на вирусы с помощью defender и msert - ничего не найдено.

    Появилась ошибка в очереди доставке 421 4.4.2 connection dropped due to Socket error - но как это исправить - хз.

    И вот еще что - 4 месяца назад внедрили гибридную инфраструктуру - нооо, месяц назад в облако был перекинут только 1 ящик - администратора домена. Остальные - только в premises exchange. Это может как-то влиять?

    Что еще проверить и что выложить сюда для анализа? Очень прошу помощи!




    • Изменено deziato76 20 марта 2021 г. 11:14
    20 марта 2021 г. 10:54
  • Сейчас обратил внимание, что exchange говорит - ваше письмо помечено как спам и будет обработано при отсылке на stud.bla.ru с yandex.ru . Касперского остановил. Все настройки связанные с спам-фильтром exchange находятся в состоянии false. Почему Exchange так делает при отключенных настройках спам-фильтра нежелательной почты. Плюсом - растет очередь "Подозрительных сообщений" (poison). Может в этом проблема? Поправил spf запись в DNS до следующего формата v=spf1 +a +m a:bla.ru
    Кто что скажет?
    21 марта 2021 г. 18:28
  • Я правильно понял, что база - на exch2016-2, а очередь копится на exch2016, но доставка как-то идет?

    Ищите узкое место - сеть, процессор, диски...

    Ту дополнительную информацию по архитектуре, которую вы привели, я интерпретировать не могу:о каких доменах идет речь - почтовых или AD, что за "транзитивные отношения", чем база SMD5 отличается от других (вы пишете про нее "но...", но различия не видно),  и вообще, у вас серверы в DAG или они - сами по себе? Поскольку наблюдается задержка передачи между серверами, то хотелось бы знать - эти серверы находятся в одной подсети или в разных, и между ними что-то есть (канал между подсетями или маршрутизатор может оказаться этим узким местом). Если подсети разные - в разных ли они сайтах AD?

    Я предлагал вам посмотреть на нагрузку на процессор и дисковую подсистему проблемного сервера - в ничего по этому поводу не написали. В это делали?

    PS А чтобы понять, откуда у вас сообщения в Poison queue - посмотрите что это за сообщения и сделайте с помощью Get-MessageTrackingLog трассировку их маршрута, чтобы посмотреть  как они туда попали.


    Слава России!

    21 марта 2021 г. 18:50
  • Нагрузка на ждиски - 0% по обоим серверам, процессор - 10-15% по обоим серверам, паямть 60-80% по обоим серверам. Вообще нет нагрузки.

    Базы - сами по себе, dag отсутствует.

    Сервера виртуализаированы на VMWare, в одной подсети, влане и физически на одном сервере и одной сетевой карте. Переносил на разные сервера - но, очевидно, это бред - виртуальная сетевка одна.

    [PS] C:\WINDOWS\system32>Get-MessageTrackingLog    -server exch2016-2 -Start "03/17/2021 09:00:00" -End "03/18/2021 09:10:00" -Source STOREDRIVER

    Timestamp              EventId          Source        Sender                                  Recipients                             MessageSubject
    ---------              -------          ------        ------                                  ----------                             --------------
    17.03.2021 11:39:58    DELIVERFAIL      STOREDRIVER   noreply@email.teams.microsoft.com       {vTaran@bla.ru}              Вас добавили в класс в Microsoft Teams
    17.03.2021 13:04:16    DELIVERFAIL      STOREDRIVER   info@national-science.ru                {nikolesnikov@bla.ru}        [!!Mass Mail]прием статей в рецензи...
    17.03.2021 9:44:42     NOTIFYMAPI       STOREDRIVER   ICHerkashin@.ru            {}
    17.03.2021 9:44:42     RECEIVE          STOREDRIVER   ICHerkashin@.ru            {SRomanov@bla.ru}                 Вопрос по поводу физической культуры
    17.03.2021 9:44:42     SUBMIT           STOREDRIVER   ICHerkashin@.ru            {SRomanov@bla.ru}                 Вопрос по поводу физической культуры
    17.03.2021 10:17:46    NOTIFYMAPI       STOREDRIVER   ESStepanova@.ru            {}

    То есть - все в порядке. Очереди есть, они медленно, но расходятся. Ошибок нет. Я думаю нужно окпать в сторону встроенного спам-фильтра exchenge - но если он в false? поясни, почему он все равно реагирует? Почему сервер отвечает, что "ваше сообщение - спам"?


    • Изменено deziato76 21 марта 2021 г. 18:58
    21 марта 2021 г. 18:58
  • DELIVERFAIL - для вас все в порядке?! А вы посмотрите, не лежат ли теперь эти сообщения в Poison? Или вы посмотрели причину, и она нормальная (к примеру, превышение квоты)? Ну, и ни одной удачной доставки я тут не вижу, что тоже о нормальности не говорит.

    15% процессора - это хорошо, если у VM не 8 виртуальных процессоров - а то все может упираться в 1 нераспараллеливаемый процесс, устойчиво занимающий 1/8 процессорного времени (так может вести себя что-нибудь типа антивируса). Ну, и раз это виртуалки - нет ли перегруженности хоста?

    Нагрузка на диск 0% - это по какому параметру? Наиболее информативна длина очереди диска - если она превосходит число вирутальных процессоров, то диск таки является узким местом. Другой полезный параметр - среднее время отклика (кстати, о больших временах отклика могут быть записи в журнале системы).


    Слава России!

    21 марта 2021 г. 20:38
  • DELIVERFAIL - для вас все в порядке?! А вы посмотрите, не лежат ли теперь эти сообщения в Poison? Или вы посмотрели причину, и она нормальная (к примеру, превышение квоты)? Ну, и ни одной удачной доставки я тут не вижу, что тоже о нормальности не говорит.


    Слава России!

    Лежат сообщения в Poison! Лежат! Я пишу - что почему то сообещния помечаются как спам - см мое сообщение с yandex.ru

    Доставка следующим получателям или группам отложена:

    svchesnokov@bla.ru(svchesnokov@bla.ru)

    Тема: Проверка 7

    Сообщение еще не доставлено. Система продожит попытки доставить его.

    Сервер продолжит попытки доставить это сообщение в течение следующих 1 дн., 19 ч. и 41 мин. Вы будете уведомлены если за это время сообщение доставить не удастся.



    Диагностические сведения для администраторов:

    Формирующий сервер: edge.bla.ru

    svchesnokov@bla.ru Server returned '400 4.4.7 Message delayed'

    Исходные заголовки сообщения:

    Received: from exch2016.int.bla.ru (190.106.191.36) by edge.bla.ru

     (190.106.191.41) with Microsoft SMTP Server (version=TLS1_2,

     cipher=TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384) id 15.1.2176.2; Sun, 21 Mar

     2021 21:03:42 +0200

    Received: from exch2016.int.bla.ru (190.106.191.36) by

     exch2016.int.bla.ru (190.106.191.36) with Microsoft SMTP Server

     (version=TLS1_2, cipher=TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384) id

     15.1.2176.2; Sun, 21 Mar 2021 21:03:42 +0200

    Received: from edge.bla.ru (190.106.191.41) by exch2016.int.bla.ru

     (190.106.191.36) with Microsoft SMTP Server (version=TLS1_2,

     cipher=TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384) id 15.1.2176.2 via Frontend

     Transport; Sun, 21 Mar 2021 21:03:42 +0200

    Received: from mx.bla.ru (190.106.190.62) by edge.bla.ru

     (190.106.191.41) with Microsoft SMTP Server (version=TLS1_2,

     cipher=TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384) id 15.1.2176.2; Sun, 21 Mar

     2021 21:03:41 +0200

    IronPort-SDR: NEGPzFCUGVZTcLl493c2pwWNIchAOLHebIptIgAwsEAe5PISRDPfV3TyFGnjPV2X6IwfPFMi3W

     ees7K4KPpP5NPgfqsHZUCpyYaV6xhaSkkTkXJzYBeouWCoxeUkHqecGmo3ldPpsRCjgf+GT4yG

     iNBD7F8b1HSxsbB+xo4HVOx7aGIjbCH52yVqBAtRXmU+h73oNtINahxiIq92qungAhENvNoqoN

     Ot1cmeDBbQUi1EMolssnFC2nhqwi55WJ/f3pOve8WnnpbCFgicf+3GGfV4nRxbvMzPzbQTrgF6

     kvLVi9bZwMs1ZYViWCQMBEEL

    X-IPAS-Result: =?us-ascii?q?A0HTKQBQl1dggPjGLQVaHgEBCxIMghKBMh9RgVU4EgEoh?=

     =?us-ascii?q?DhxkSSJboYuA4tvCwEBAQEBAQEBAQk0BAEBhHCBXgIlOBMCAwEBAQMCAwEBA?=

     =?us-ascii?q?QEBBAEBAQIBAQUDAQICEAEBgQAGfkY1AYERNQGBESULAzIMQwEQAYYiDwFfB?=

     =?us-ascii?q?QECFAImAk4RhVgBMgEDkF+cAYEyh1ABgXaBCYEPKgGGfAGBX1cchBmCJ4FHD?=

     =?us-ascii?q?YptgmAEA6RnnB4HgjlQg3eYXyKDMgGRcI8XhQ2PcZ50hCUDAYFnIYFcf4MrT?=

     =?us-ascii?q?AECAQINAQIBAQMBAgEBCAEBAQGObI17P3IKDolkhXABAQ?=

    IronPort-PHdr: A9a23:3yNBWxQ5qCGNlnANDkz1vTju9tpso5LLVj590bIulq5Of6K//p/rI

     E3Y47B3gUTUWZnAg9pBmvaM9vq+BWVbu8zc7i9TK9pVUxgYhYAd2R0pBsKIGQv9IeK5JyA5H

     cEXTFZ+5BmG

    IronPort-HdrOrdr: A9a23:3N4Ov62RahVuZSPq/8Ry8AqjBDgkLtp033Aq2lEZdDV8btGYm8

     eynP4SyB/zj3IrVGs9nM2bUZPsfVr385lp7Y4NeYq4VA79t2eyaK1k543uwzrvcheOkdJ1/6

     FmbqR4FZnMHUF35PyKhjWQPt48zLC8gcWVrMvY0HtpSxhnL4566QMRMGimO2JsQg0uP/UEPb

     69wuYCmDa6Y3QQaa2Adxo4dszOvcfCmp6jQRNuPW9C1CC0gTml6KH3HnGjt390OV9y6I0/+m

     vImRGR3MWemsy8oyW860bjq7BfmN7s0bJ4da6xtvQ=

    X-IronPort-Anti-Spam-Filtered: true

    X-IronPort-AV: E=Sophos;i="5.81,266,1610402400";

       d="scan'208,217";a="7605091"

    X-Amp-Result: SKIPPED(no attachment in message)

    X-Amp-File-Uploaded: False

    Received: from forward105j.mail.yandex.net ([5.45.198.248])

      by mx.bla.ru with ESMTP/TLS/ECDHE-RSA-AES256-GCM-SHA384; 21 Mar 2021 21:03:41 +0200

    Received: from myt2-264a32256793.qloud-c.yandex.net (myt2-264a32256793.qloud-c.yandex.net [IPv6:2a02:6b8:c12:1a07:0:640:264a:3225])

            by forward105j.mail.yandex.net (Yandex) with ESMTP id D0E70B21560

            for <svchesnokov@bla.ru>; Sun, 21 Mar 2021 22:02:43 +0300 (MSK)

    Received: from mail.yandex.ru (mail.yandex.ru [128.71.48.228])

            by myt2-264a32256793.qloud-c.yandex.net (mxback/Yandex) with HTTP id U2lbiP0T94Y1-2hTmmfr6;

            Sun, 21 Mar 2021 22:02:43 +0300

    Authentication-Results: myt2-264a32256793.qloud-c.yandex.net; dkim=pass

    Received: by myt4-dfb15064daa7.qloud-c.yandex.net with HTTP;

            Sun, 21 Mar 2021 22:02:43 +0300

    From: =?utf-8?B?0KHQtdGA0LPQtdC5INCn0LXRgdC90L7QutC+0LI=?=

            <s.chesnokov@yandex.ru>

    Envelope-From: s-chesnokov@yandex.ru

    To: "svchesnokov@bla.ru" <svchesnokov@bla.ru>

    Subject: =?utf-8?B?0J/RgNC+0LLQtdGA0LrQsCA3?=

    MIME-Version: 1.0

    X-Mailer: Yamail [ http://yandex.ru ] 5.0

    Date: Sun, 21 Mar 2021 22:02:43 +0300

    Message-ID: <804711616353347@mail.yandex.ru>

    Content-Transfer-Encoding: 8bit

    Content-Type: text/html; charset="utf-8"

    Return-Path: s.chesnokov@yandex.ru

    X-KSE-ServerInfo: edge.bla.ru, 9

    X-KSE-AntiSpam-Interceptor-Info: protection disabled

    X-KSE-Antivirus-Interceptor-Info: protection disabled

    X-KSE-AttachmentFiltering-Interceptor-Info: protection disabled

    X-KSE-BulkMessagesFiltering-Scan-Result: protection disabled

    X-OrganizationHeadersPreserved: exch2016.int.bla.ru

    X-KSE-AntiSpam-Interceptor-Info: protection disabled

    X-KSE-Antivirus-Interceptor-Info: protection disabled

    X-KSE-AttachmentFiltering-Interceptor-Info: protection disabled

    X-KSE-BulkMessagesFiltering-Scan-Result: protection disabled

    X-CrossPremisesHeadersFilteredByDsnGenerator: edge.bla.ru

    Статус доставки:

    Reporting-MTA: dns;edge.bla.ru Received-From-MTA: dns;exch2016.int.bla.ru Arrival-Date: Sun, 21 Mar 2021 19:03:42 +0000 Original-Recipient: rfc822;svchesnokov@bla.ru Final-Recipient: rfc822;svchesnokov@bla.ru Action: delayed Status: 4.4.7 Diagnostic-Code: smtp;400 4.4.7 Message delayed Will-Retry-Until: Tue, 23 Mar 2021 21:03:42 +0200 X-Display-Name: svchesnokov@bla.ru


    22 марта 2021 г. 7:22
  • Я чего-то не понимаю: почему ваше сообщение было отправлено на edge?

    И вы так и не рассказали про свою инфраструктуру.


    Слава России!

    22 марта 2021 г. 18:54
  • Я чего-то не понимаю: почему ваше сообщение было отправлено на edge?

    И вы так и не рассказали про свою инфраструктуру.


    Слава России!

    на границе находится ironport, за ним стоит edge.bla.ru, за edge стоят два два exchange - exch2016.int.bla.ru и exch2016-2.stud.bla.ru. Соттветственно домен AD bla.ru, за ним два поддомена int.bla.ru и stud.bla.ru

    Письмо попадает на ironport (и проверяется там), далее на edge(не знаю зачем он вообще нужен) и далее улетает на транспортные и почтовые сервера exch2016.int.bla.ru и excha2016-2.stud.bla.ru, где и раскладывается по ящикам. База smd5  - в ней находятся ящики как раз с stud.bla.ru. Вот такая инфраструктура.

    На данный момент развернут гибрид (месяца три назад развернули) с office365 - но в облако перенесен только 1 почтовый ящик - администратора. Вот прямо сейчас возвращаю его обранотно в exchange локальный.

    почему при включенном байпасе спам-фильтра сообщения все еще летят через него?

    v=spf1 +a +m a:bla.ru - это правильная spf запись? что в ней не хватает?


    • Изменено deziato76 23 марта 2021 г. 5:27
    23 марта 2021 г. 5:03
  • Опять не все понятно, но некоторое направление поиска наметилось.

    Уточните, int.bla.ru и stud.bla.ru - это поддомены одного и того же леса AD с корневым доменом bla.ru? Если так, то источником задержки может быть обращение к контроллеру другого домена. В связи с этим, посмотрите по информационным событиям от MSExchangeADTopology с Event ID 2080 в журнале событий Application (они пишутся периодически), какие контроллеры домена, которому принадлежат п/я, находит Exchange. Заодно - обратите внимание, не было ли событий с ошибками от этого источника. Проверьте доступ к этим КД по LDAP: проще всего - с помощью AD Users & Computers, подключитесь к нужному домену и по очереди подключитесь ко всем обнаруженным Exchange контроллерам. 

    Далее, контроллеры всех упомянутых доменов - они находятся в одном серменте сети или в разных? Если в разных - посмотрите загрузку канала между сегментами и поинтересуйтесь насчет настрое устройств, связывающих эти подсети: не могут ли они блокировать трафик.

    По поводу байпаса спам-фильтра - пожалуйста, поподробнее: что является спам-фильтром, где и как включен байпас.

    PS Запись SPF тут вряд ли в тему.


    Слава России!

    24 марта 2021 г. 1:09
  • Да, int.bla.ru и stud.bla.ru - это поддомены одного и того же леса AD с корневым доменом bla.ru.

    КД находятся в одном сегменте, в одном влане с exch - сетевая нагрузка отсутствует, ошибок нет. Блокировки трафика нет.

    Из спам-фильтров использовался Kaspersky - выключен. А так же встроенный в exch - но я его выключил - get-malwarefiltering server >> bypassforwarding=true и это не мешает кидать кучу сообщений в папку подозрительные (poison) - я почему то решил, что затык именно в спам-фильтре.

    Ошибок по MSExchangeADTopology нет - как и событий тоже не нашел - ни в журнале App, ни в System.
    Зато по транспорту есть такие ошибки сегодня в 6.48:
    MSExchangeTransportDelivery id=25012
    An unhandled exception was thrown while processing data from client IP address 190.106.191.36. SMTP state transitions: WaitingForGreeting -> GreetingReceived (EhloProcessed)
    GreetingReceived -> WaitingForGreeting (XAnonymousTlsProcessed)
    WaitingForGreeting -> GreetingReceived (EhloProcessed)
    GreetingReceived -> GreetingReceived (XExpsProcessed)
    GreetingReceived -> GreetingReceived (XSessionParamsProcessed)
    GreetingReceived -> MailTransactionStarted (MailProcessed)
    MailTransactionStarted -> WaitingForMoreRecipientsOrData (RcptProcessed)
    WaitingForMoreRecipientsOrData -> ReceivingBdatChunks (BdatProcessed)
    ReceivingBdatChunks -> ReceivingBdatChunks (BdatProcessed). Exception System.UnauthorizedAccessException: Отказано в доступе к разделу реестра "HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\AssistantsQuarantine\3f47421e-ee3a-451a-aa68-e43a63f48f21\MSExchangeDelivery\PoisonControl\PoisonControlComposite".
       в Microsoft.Win32.RegistryKey.Win32Error(Int32 errorCode, String str)
       в Microsoft.Win32.RegistryKey.CreateSubKeyInternal(String subkey, RegistryKeyPermissionCheck permissionCheck, Object registrySecurityObj, RegistryOptions registryOptions)
       в Microsoft.Win32.RegistryKey.CreateSubKey(String subkey)
       в Microsoft.Exchange.Net.RegistryWriter.CreateSubKey(RegistryKey baseKey, String subkeyName)
       в Microsoft.Exchange.Assistants.QuarantineControl`1.get_RegistryKeyPath()
       в Microsoft.Exchange.Assistants.QuarantineControl`1.ForceRefreshData()
       в Microsoft.Exchange.Assistants.QuarantineControl`1.UpdateCache()
       в Microsoft.Exchange.Assistants.PoisonControlComposite..ctor(Guid databaseGuid, IAggregationStrategy`1 poisonAggregationStrategy, PerformanceCountersPerDatabaseInstance performanceCounters, IQuarantineInfrastructureSettings quarantineSettings)
       в Microsoft.Exchange.Assistants.ItemAssistantRuntimeFactory.<>c.<GetQuarantineControl>b__4_0(Guid guid)
       в System.Collections.Concurrent.ConcurrentDictionary`2.GetOrAdd(TKey key, Func`2 valueFactory)
       в Microsoft.Exchange.Assistants.ItemAssistantRuntimeFactory.GetQuarantineControl(Guid mdbGuid)
       в Microsoft.Exchange.Assistants.ItemAssistantRuntimeFactory.CreateInstance(IStoreSession session)
       в Microsoft.Exchange.Data.Storage.Adapters.ObjectEventHandlers.ItemAssistantEventsHandler.<>c__DisplayClass2_0.<.ctor>b__0()
       в System.Lazy`1.CreateValue()
       в System.Lazy`1.LazyInitValue()
       в Microsoft.Exchange.Data.Storage.Adapters.ObjectEventHandlers.ItemAssistantEventsHandler.Handle(BeforeItemFlushEvent onBeforeItemFlushArgs)
       в Microsoft.Exchange.Data.StoreObjects.Extensibility.InlineEvent.EventDispatcher.<>c__DisplayClass4_0`1.<Dispatch>b__0()
       в Microsoft.Exchange.Data.StoreObjects.Extensibility.InlineEvent.EventDispatcher.Dispatch[TEvent](TEvent eventData)
       в Microsoft.Exchange.Data.Storage.CoreItem.InternalFlush(SaveMode saveMode, CoreItemOperation operation, OperationContext operationContext)
       в Microsoft.Exchange.Data.Storage.CoreItem.Flush(SaveMode saveMode, OperationContext operationContext, CoreItemOperation operation, Boolean resetBodyFormat)
       в Microsoft.Exchange.Data.Storage.Item.SaveInternal(SaveMode saveMode, Boolean commit, OperationContext operationContext, CoreItemOperation operation)
       в Microsoft.Exchange.Data.Storage.StoreSession.Deliver(Item item, ProxyAddress recipientProxyAddress, RecipientItemType recipientType)
       в Microsoft.Exchange.MailboxTransport.StoreDriverDelivery.DeliveryItem.Deliver(ProxyAddress recipientProxyAddress)
       в Microsoft.Exchange.MailboxTransport.StoreDriverDelivery.MailItemDeliver.DeliverItem()
       в Microsoft.Exchange.MailboxTransport.StoreDriverDelivery.DeliveryProcessorBase.DeliverMessage()
       в Microsoft.Exchange.MailboxTransport.StoreDriverDelivery.MailItemDeliver.DeliverMessageForRecipient()
       в Microsoft.Exchange.MailboxTransport.StoreDriverDelivery.MailItemDeliver.<>c__DisplayClass161_0.<DeliverToRecipient>b__0()
       в Microsoft.Exchange.MailboxTransport.StoreDriverCommon.StorageExceptionHandler.RunUnderTableBasedExceptionHandler(IMessageConverter converter, StoreDriverDelegate workerFunction)
       в Microsoft.Exchange.MailboxTransport.StoreDriverDelivery.MailItemDeliver.DeliverToRecipient()
       в Microsoft.Exchange.MailboxTransport.StoreDriverDelivery.MailItemDeliver.DeliverToRecipients(Dictionary`2 shouldThrottleRecipientMap)
       в Microsoft.Exchange.Data.Transport.Internal.MExRuntime.AgentGrayExceptionHandler.RunUnderGrayExceptionHandler(String functionName, Action action, Func`1 getContextFunc, Action`1 onSwallowedException, Action`1 onNotSwallowedException)
       в Microsoft.Exchange.MailboxTransport.StoreDriverDelivery.StoreDriverDelivery.DeliverMailItemAsync(MbxTransportMailItem mailItem, UInt64 sessionId)
       в Microsoft.Exchange.MailboxTransport.StoreDriverDelivery.StoreDriverDelivery.<DoLocalDeliveryAsync>d__50.MoveNext()
    --- Конец трассировка стека из предыдущего расположения, где возникло исключение ---
       в System.Runtime.ExceptionServices.ExceptionDispatchInfo.Throw()
       в System.Runtime.CompilerServices.TaskAwaiter.HandleNonSuccessAndDebuggerNotification(Task task)
       в Microsoft.Exchange.MailboxTransport.StoreDriverDelivery.InMemoryDeliveryQueueBufferBlock.<TrackDequeueAndRunAsync>d__27.MoveNext()
    --- Конец трассировка стека из предыдущего расположения, где возникло исключение ---
       в System.Runtime.ExceptionServices.ExceptionDispatchInfo.Throw()
       в System.Runtime.CompilerServices.TaskAwaiter.HandleNonSuccessAndDebuggerNotification(Task task)
       в Microsoft.Exchange.Protocols.Smtp.Receive.DataBdatCommandBase.<CommitMessageAsync>d__63.MoveNext()
    --- Конец трассировка стека из предыдущего расположения, где возникло исключение ---
       в System.Runtime.ExceptionServices.ExceptionDispatchInfo.Throw()
       в System.Runtime.CompilerServices.TaskAwaiter.HandleNonSuccessAndDebuggerNotification(Task task)
       в Microsoft.Exchange.Protocols.Smtp.Receive.DataBdatCommandBase.<HandleEodAsync>d__40.MoveNext()
    --- Конец трассировка стека из предыдущего расположения, где возникло исключение ---
       в System.Runtime.ExceptionServices.ExceptionDispatchInfo.Throw()
       в System.Runtime.CompilerServices.TaskAwaiter.HandleNonSuccessAndDebuggerNotification(Task task)
       в Microsoft.Exchange.Protocols.Smtp.Receive.DataBdatCommandBase.<ProcessAsync>d__36.MoveNext()
    --- Конец трассировка стека из предыдущего расположения, где возникло исключение ---
       в System.Runtime.ExceptionServices.ExceptionDispatchInfo.Throw()
       в System.Runtime.CompilerServices.TaskAwaiter.HandleNonSuccessAndDebuggerNotification(Task task)
       в Microsoft.Exchange.Protocols.Smtp.Receive.SmtpInCommandBase.<ParseAndProcessAsync>d__5.MoveNext()
    --- Конец трассировка стека из предыдущего расположения, где возникло исключение ---
       в System.Runtime.ExceptionServices.ExceptionDispatchInfo.Throw()
       в System.Runtime.CompilerServices.TaskAwaiter.HandleNonSuccessAndDebuggerNotification(Task task)
       в Microsoft.Exchange.Protocols.Smtp.Receive.SmtpInStateMachine`2.<ParseAndProcessCommandAsync>d__34.MoveNext()
    --- Конец трассировка стека из предыдущего расположения, где возникло исключение ---
       в System.Runtime.ExceptionServices.ExceptionDispatchInfo.Throw()
       в System.Runtime.CompilerServices.TaskAwaiter.HandleNonSuccessAndDebuggerNotification(Task task)
       в Microsoft.Exchange.Protocols.Smtp.Receive.SmtpInStateMachine`2.<ProcessCommandLineAsync>d__32.MoveNext()
    --- Конец трассировка стека из предыдущего расположения, где возникло исключение ---
       в System.Runtime.ExceptionServices.ExceptionDispatchInfo.Throw()
       в System.Runtime.CompilerServices.TaskAwaiter.HandleNonSuccessAndDebuggerNotification(Task task)
       в Microsoft.Exchange.Protocols.S-mtp.Receive.SmtpInStateMachine`2.<ExecuteAsync>d__

    По этой ошибке есть решение - For Exchange Server 2016, install the CU 18 or later CU - и CU18 у меня стоит!

    Но потом эта ошибка ушла - в 6.58
    MSExchangeTransportDelivery id=5044
    We are doing a full mailbox database reload as part of routing tables loading due to: First read.

    А еще есть такая по транпорту:

    Service contorl manager id=7031

    Служба Транспортная доставка почтовых ящиков Microsoft Exchange была неожиданно завершена. Это произошло 1 раз(а). Следующее корректирующее действие будет предпринято через 5000 мсек: Перезапуск службы.

    Как исправить сие - неизвестно...

    24 марта 2021 г. 5:15
  • С КД по вашему описанию все нормально - только вот журнал событий вы смотрели?

    Падения службы "Транспортная доставка почтовых ящиков Microsoft Exchange" вполне может  служить причиной: во первых, посмотрите, насколько часто оно случается.

    PS Совет обратиться в службу поддержки MS (в вашем случае, скорее всего это будет платно) или, как вариант, к толковому аутсорсеру (если таковой  существует), тоже за деньги - это для вас правильный совет: я, например, не обучен собирать информацию о том, что происходит "где-то там" если сам админ "там"  не может эту информацию предоставить, поэтому вижу ситуацию какими-то слабосвязанными кусками. Служба поддержки MS знает, как запросить всю информацию целиком, а аутсорсер может ее  посмотреть сам.


    Слава России!



    • Изменено M.V.V. _ 24 марта 2021 г. 16:51
    24 марта 2021 г. 16:49
  • Ещё может оказаться поврежденной база, имеет смысл ее проверить командой eseutil /g имя_файла_бд (эта команда лежит в папке с бинарниками Exchange).

    Для проверки базу можно размонтировать и куда-нибудь скопировать, либо можно попробовать проверить теневую компию: командой eseutil /g имя_файла_бд [/tимя_временного_файла] [/vssrec <basename> <logpath> (см. https://exchangemaster.wordpress.com/2013/04/30/how-to-use-eseutil-exe-to-perform-actions-while-database-are-online/)


    Слава России!

    24 марта 2021 г. 17:04
  • С КД по вашему описанию все нормально - только вот журнал событий вы смотрели?

    Падения службы "Транспортная доставка почтовых ящиков Microsoft Exchange" вполне может  служить причиной: во первых, посмотрите, насколько часто оно случается.

    PS Совет обратиться в службу поддержки MS (в вашем случае, скорее всего это будет платно) или, как вариант, к толковому аутсорсеру (если таковой  существует), тоже за деньги - это для вас правильный совет: я, например, не обучен собирать информацию о том, что происходит "где-то там" если сам админ "там"  не может эту информацию предоставить, поэтому вижу ситуацию какими-то слабосвязанными кусками. Служба поддержки MS знает, как запросить всю информацию целиком, а аутсорсер может ее  посмотреть сам.


    Слава России!



    Да, смотрел события в журнале - там нет событий. Писал выше.

    Да, согласен, но толкового решния по этой ошибке нет и эти события уже более года идут. А проблема возникла неделю назад. Связи нет никакой.

    ТО есть предложений по решению нет вообще?

    Заведу отдельный тред про ошибкам транспорта. Других варинатов нет.

    24 марта 2021 г. 19:04
  • Ещё может оказаться поврежденной база, имеет смысл ее проверить командой eseutil /g имя_файла_бд (эта команда лежит в папке с бинарниками Exchange).

    Для проверки базу можно размонтировать и куда-нибудь скопировать, либо можно попробовать проверить теневую компию: командой eseutil /g имя_файла_бд [/tимя_временного_файла] [/vssrec <basename> <logpath> (см. 


    Слава России!

    А хорошо всё с базой. И интегрите саксэфул и all is healthy.

    Меня сильно волнует вопрос попадания сообщений в очередь Подозрительные - почему туда попадают сообщения? Как сделать так, чтобы они туда не попадали? пОчему часть сообщений находятся в обычной очереди с ошибкой message delayed по причине проверки на спам? Как избавиться от спам-фильтра в Exchange, для проверки - в нем проблема или нет?

    24 марта 2021 г. 19:31