none
Ошибки при синхронизации EDGE и HUB servers Exchange 2007 RRS feed

  • Вопрос

  • Добрый день, господа! На данные момент использую вполне рабочий HUB сервер, решил инсталировать ещё и EDGE. Поставил его в DMZ,  открыл необходимые порты, настроил сам сервер. Создал подписку для HUB, установил её. Чтобы не производить эксперементы при работающей почте, создал я ещё один тестовый домен 3-го уровня test.mydomen.ru и  mx-запись mx.test.mydomen.ru. Основной домен, с которого уходит почта другой - kontora.ru, При попытке сихронизировать hub и  edge сервера, пишет: 
    Start-EdgeSynchronization


    Result         : CouldNotConnect
    Type           : General
    Name           : CN=EDGE,CN=Servers,CN=Exchange Administrative Group (FYDIBOHF23SPDLT),CN=Administrative Groups,CN=kontora.ru,
                     CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=kontoralocal,DC=ru
    FailureDetails : The LDAP server is unavailable.
    StartUTC       : 01.03.2009 14:12:19
    EndUTC         : 01.03.2009 14:12:19
    Added          : 0
    Deleted        : 0
    Updated        : 0
    Scanned        : 0
    TargetScanned  : 0

    В логах на HUB сервере появляются следующие ошибки:


    Тип события: Ошибка
    Источник события: MSExchange EdgeSync
    Категория события: Топология 
    Код события: 1024
    Дата: 01.03.2009
    Время: 17:13:31
    Пользователь: Н/Д
    Компьютер: MAIL2007
    Описание:
    Не удается подключиться к экземпляру ADAM  пограничного транспортного сервера. Исключение: "The LDAP server is unavailable.". Возможные причины: ошибка при разрешении имени пограничного сервера edge.kontoralocal.ru в DNS, сбой подключения к порту 50636 на edge.energobalance.ru, сбой подключения к сети, недопустимый сертификат, подписка с истекшим сроком. Проверьте конфигурацию сети и сервера.

    Тип события: Ошибка
    Источник события: MSExchange EdgeSync
    Категория события: Синхронизация 
    Код события: 10105
    Дата: 01.03.2009
    Время: 17:13:31
    Пользователь: Н/Д
    Компьютер: MAIL2007
    Описание:
    Microsoft Exchange не удалось сопоставить субъект сертификата kontora.ru, O=kontoraName, C=ru при подключении к edge.kontoralocal.ru. Подключение остановлено.

    По необходмым портам из HUB в EDGE доступ есть. Везде пишут, что такая проблема возникает, если используются одинаковые сертификаты, 3 дня уже бьюсь с ними, все уже перепробывал, серфтикаты пересоздавал, все равно ничего не помогает. ( Заранее спасибо за помощь.



    • Перемещено Hengzhe Li 12 марта 2012 г. 11:07 forum merge (От:Exchange Server 2007)
    1 марта 2009 г. 15:09

Все ответы

  • Сбой EdgeSync с кодом события 10104

    Ошибка 10105

    Первое правило Windows - делай резервную копию. Коды ошибок смотрите по адресу http://eventid.net/
    2 марта 2009 г. 6:07
  • cognize_ написал:

    Сбой EdgeSync с кодом события 10104

    Ошибка 10105


    Первое правило Windows - делай резервную копию. Коды ошибок смотрите по адресу http://eventid.net/


    Пробывал я это делать, 25 раз. Сейчас ещё раз попробывал. В листинге команды Get-TransportServer <Server Name> нет у меня параметра InternalTransportCertificateThumbprint, поэтому Thumbprint я смотрю командой: Get-ExchangeCertificate | fl thumbprint
    В описании ошибок говорится о том, что используются одинаковые сертификаты, сравниваем Thumbprint сертификатов на Hub  и Edge серверах:
    Hub:
    Get-ExchangeCertificate | fl thumbprint
    Thumbprint : 7591906FE2E8E69D9C2EF8BС9EEC039D264C7956
    Thumbprint : 03441EFF5AFEA173ADC5DE58CEDAF2727A58A470
    Thumbprint : EF5637B94F6B7B33D0AF89FC48A2BD4BC3F40268
    Thumbprint : 4E6BCCCDC813E25C6FFFE8FBDAF9F18F2B8СFD75
    Thumbprint : 402683F225EC99BE32156F1EС6A04882DB171054
    Thumbprint : 2ADE53BС1C5DF142C10822B2C2A27A586D2C6EA5
    Thumbprint : 2BF3381D3CEC30B4С49EFD07CFC99A537ADC8F50
    Thumbprint : BE0FB9259A72C61865B1D6CEC6D1D733EB9B4569
    Thumbprint : 536B482C04190E3C5C19C048FСBE7AFA1F78506C
    Thumbprint : AE650FBAEC42D89565A8C25760175076EA327F0B
    Thumbprint : 8555ABEB5E96353E3С4FBE79D9CA3FDA684B3E0C

    Edge:
    Get-ExchangeCertificate |fl thumbprint
    Thumbprint : E33984E3A3A759D7CBE5D07269FС54499115F945
    Thumbprint : A19322AB12676CAСBA254961A1D11E78EE27B828
    Thumbprint : 004607D68572DC41B179A17FС2E3376AD3082B0E

    Как мы можем заметить, thumbprint не совпадают. Уже и не знаю что делать, везде одно и тоже написано, а результата не дает. Может я что не так делаю?
    2 марта 2009 г. 9:25
  • Сервисы Exchange перезапускали ?
    Первое правило Windows - делай резервную копию. Коды ошибок смотрите по адресу http://eventid.net/
    2 марта 2009 г. 9:38
  • cognize_ написал:

    Сервисы Exchange перезапускали ?


    Первое правило Windows - делай резервную копию. Коды ошибок смотрите по адресу http://eventid.net/

    Да, и сервисы и сами сервера. Не помогает ничего.
    2 марта 2009 г. 13:18
  • Имена серверов не меняли ?
    Первое правило Windows - делай резервную копию. Коды ошибок смотрите по адресу http://eventid.net/
    2 марта 2009 г. 14:49
  • cognize_ написал:

    Имена серверов не меняли ?


    Первое правило Windows - делай резервную копию. Коды ошибок смотрите по адресу http://eventid.net/


    Нет! Имена не менял, по имени друг друга видят. Из лан в дмз доступны порты: 50389, 50636, 25. Из дмз в лан: 25.  Возможно я как то сертификаты не правильно создал? На основном сервере используется сертификат, который делал сам (ругался на то, что по разному называются внутренний и внешний домены). На EDGE сначала использовался тот, который Exchange сам себе создал при установке, после того как у меня не получалось синхронизировать, на EDGE тоже пытался сделать сертификат самостоятельно. Результат тот же. 
    2 марта 2009 г. 15:02
  • Pavel Dm написал:

    cognize_ написал:

    Имена серверов не меняли ?


    Первое правило Windows - делай резервную копию. Коды ошибок смотрите по адресу http://eventid.net/


    Нет! Имена не менял, по имени друг друга видят. Из лан в дмз доступны порты: 50389, 50636, 25. Из дмз в лан: 25.  Возможно я как то сертификаты не правильно создал? На основном сервере используется сертификат, который делал сам (ругался на то, что по разному называются внутренний и внешний домены). На EDGE сначала использовался тот, который Exchange сам себе создал при установке, после того как у меня не получалось синхронизировать, на EDGE тоже пытался сделать сертификат самостоятельно. Результат тот же. 


    Опишите процесс установки сертификатов на серверах.

    Что используете для DMZ ? Что в логах firewall ?

    Первое правило Windows - делай резервную копию. Коды ошибок смотрите по адресу http://eventid.net/
    2 марта 2009 г. 15:05

  • Опишите процесс установки сертификатов на серверах.

    Что используете для DMZ ? Что в логах firewall ?

    Первое правило Windows - делай резервную копию. Коды ошибок смотрите по адресу http://eventid.net/


    Основной сервер Exchange ставил ещё осенью. Т.к. внутренний и внешний домены называются у меня по разному, поэтому сгенерил я вот такой сертификат:
    New-ExchangeCertificate -GenerateRequest -DomainName mail2007.kontoralocal.ru, autodiscover.kontoralocal.ru, mail.kontora.ru, autodiscover.kontora.ru, mx.kontora.ru -PrivateKeyExportable:$True -FriendlyName "
    mail.kontora.ru" -Path c:\cert.req -SubjectName "c=ru, o=Ltd. KontoraName, CN=kontora.ru"

    Полученный запрос я вставил в локальный центр сертификации, получил сертификат, импортировал его в Exchange: 
    Import-ExchangeCertificate -Path C:\cert.cer | Enable-ExchangeCertificate -Services IIS,SMTP

    Для IIS мне было необходимо, так как я пустил ещё OWA через ISA сервер. Все работало (и работает) хорошо, без сбоев, ошибок в логах нет. Недавно решил ещё поставить EDGE. Сначала после установки все было хорошо, мне удалось синхронизировать Hub и EDGE, но почта от EDGE не уходила на HUB, в логах появилась ошибка 12014.
    Тип события: Ошибка
    Источник события: MSExchangeTransport
    Категория события: TransportService 
    Код события: 12014
    Дата: 27.02.2009
    Время: 17:09:31
    Пользователь: Н/Д
    Компьютер: EDGE
    Описание:
    Microsoft Exchange не удается найти сертификат, содержащий имя домена mx.test.mydomen.ru, в хранилище личных сертификатов на локальном компьютере, поэтому он не поддерживает команду STARTTLS SMTP для любых соединителей с параметром полного доменного имени mx.test.mydomen.ru. Проверьте конфигурацию соединителя и установленных сертификатов, чтобы убедиться в том, что для каждого полного доменного имени соединителя есть сертификат с именем домена.

    Почитав информацию по ошибке, решил я создать сертификат, содержащий имя моего тестового домена, сертификат создавал и на Hub сервере и на Edge. Все делал по описанной выше схеме. Ошибка не пропалала. После этого, решил сделать заново подписку. Начали появлятся те ошибки, о которых я написал в самом начале. Сертификаты, сгенеренные мной после ошибки 12014 я удалил, пытался вернуться на первоначальный этап - не помогло, также не помогают все рекомендации, описанные к ошибкам 1024 и 10105.

    DMZ у меня эмулирован на Cisco ASA 5510.  Логи показать, не могу, но могу с полной уверенностью сказать что доступ по портам есть, все необходимые правила срабатывают.

    3 марта 2009 г. 7:11
  • Порты 53 tcp, udp на внутренний dns открыты ?

    Какой DNS использует Edge ?

    SMTP protocol filter  выключен на ASA ?

    Первое правило Windows - делай резервную копию. Коды ошибок смотрите по адресу http://eventid.net/
    3 марта 2009 г. 7:24
  • cognize_ написал:

    Порты 53 tcp, udp на внутренний dns открыты ?

    Какой DNS использует Edge ?

    SMTP protocol filter  выключен на ASA ?


    Первое правило Windows - делай резервную копию. Коды ошибок смотрите по адресу http://eventid.net/


    Порты DNS открыты, для обращений в локальную сеть, EDGE использует внутренний DNS, который на контроллере домена поднят. Все днс запросы обрабатываются нормально, EDGE  пингует по имени любой комп без проблем. На всякий случай ещё прописал в hosts на обоих серверах, сопостовление имя адресу. SMTP фильтр выключен командой no fixup protocol SMTP 25 .
    3 марта 2009 г. 7:49
  • Покажите правила ASA для DMZ
    Первое правило Windows - делай резервную копию. Коды ошибок смотрите по адресу http://eventid.net/
    3 марта 2009 г. 8:10
  • access-list lan_access_in line 4 extended permit icmp object-group lan_network object-group dmz_network object-group allow_ping
    access-list lan_access_in line 4 extended permit icmp 10.77.1.0 255.255.255.0 10.250.77.0 255.255.255.248 echo (hitcnt=23)
    access-list lan_access_in line 4 extended permit icmp 10.77.1.0 255.255.255.0 10.250.77.0 255.255.255.248 echo-reply (hitcnt=13)
    access-list lan_access_in line 5 extended permit tcp object-group lan_network object-group dmz_network object-group lan_to_dmz
    access-list lan_access_in line 5 extended permit tcp 10.77.1.0 255.255.255.0 10.250.77.0 255.255.255.248 eq 3389 (hitcnt=46)
    access-list lan_access_in line 5 extended permit tcp 10.77.1.0 255.255.255.0 10.250.77.0 255.255.255.248 eq 50389 (hitcnt=2)
    access-list lan_access_in line 5 extended permit tcp 10.77.1.0 255.255.255.0 10.250.77.0 255.255.255.248 eq 50636 (hitcnt=470)
    access-list lan_access_in line 5 extended permit tcp 10.77.1.0 255.255.255.0 10.250.77.0 255.255.255.248 eq smtp (hitcnt=1)

    access-list dmz_access_in line 1 extended permit icmp object-group dmz_network object-group lan_network object-group allow_ping
    access-list dmz_access_in line 1 extended permit icmp 10.250.77.0 255.255.255.248 10.77.1.0 255.255.255.0 echo (hitcnt=14)
    access-list dmz_access_in line 1 extended permit icmp 10.250.77.0 255.255.255.248 10.77.1.0 255.255.255.0 echo-reply (hitcnt=13)
    access-list dmz_access_in line 2 extended permit tcp object-group dmz_network any object-group DMZ
    access-list dmz_access_in line 2 extended permit tcp 10.250.77.0 255.255.255.248 any eq smtp (hitcnt=8)
    access-list dmz_access_in line 2 extended permit tcp 10.250.77.0 255.255.255.248 any eq www (hitcnt=134)
    access-list dmz_access_in line 2 extended permit tcp 10.250.77.0 255.255.255.248 any eq https (hitcnt=17)
    access-list dmz_access_in line 2 extended permit tcp 10.250.77.0 255.255.255.248 any eq domain (hitcnt=10)
    access-list dmz_access_in line 3 extended permit udp object-group dmz_network any object-group DMZ_UDP
    access-list dmz_access_in line 3 extended permit udp 10.250.77.0 255.255.255.248 any eq domain (hitcnt=299)
    access-list dmz_access_in line 4 extended permit tcp object-group dmz_network object-group mail eq smtp
    access-list dmz_access_in line 4 extended permit tcp 10.250.77.0 255.255.255.248 host 10.77.1.21 eq smtp (hitcnt=0)
    access-list dmz_access_in line 5 extended permit tcp object-group dmz_network object-group domain object-group dmz_to_lan
    access-list dmz_access_in line 5 extended permit tcp 10.250.77.0 255.255.255.248 host 10.77.1.1 eq domain (hitcnt=0)
    access-list dmz_access_in line 5 extended permit tcp 10.250.77.0 255.255.255.248 host 10.77.1.2 eq domain (hitcnt=0)
    access-list dmz_access_in line 6 extended permit udp object-group dmz_network object-group domain object-group dmz_to_lan_udp
    access-list dmz_access_in line 6 extended permit udp 10.250.77.0 255.255.255.248 host 10.77.1.1 eq domain (hitcnt=0)
    access-list dmz_access_in line 6 extended permit udp 10.250.77.0 255.255.255.248 host 10.77.1.2 eq domain (hitcnt=0)

    Вот так правила выглядят.


    3 марта 2009 г. 11:11
  • Заново создавать подписку пробовали ?
    Первое правило Windows - делай резервную копию. Коды ошибок смотрите по адресу http://eventid.net/
    3 марта 2009 г. 11:56
  • да, раз 20 наверное. С разными вариациями :)
    3 марта 2009 г. 14:05
  • Pavel Dm написал:

    да, раз 20 наверное. С разными вариациями :)


    Как вариант - переместить Edge в подсеть с HUB и посмотреть на результаты.

    Если всё пройдёт гладко, то копать в сторону маршрутизации, dns, cisco

    Первое правило Windows - делай резервную копию. Коды ошибок смотрите по адресу http://eventid.net/
    • Предложено в качестве ответа Nikita PanovModerator 17 августа 2009 г. 11:36
    3 марта 2009 г. 15:13
  • Ну по всем признакам с доступом все в порядке, но все равно попробую. О резульатах напишу.
    4 марта 2009 г. 7:03