exchange 2010 and AD 問題

狀況：
1/12 13:30左右接到同事電話，告知有些 user 的 outlook 要求重新輸入帳號密碼
而且 master 的 EMC 開不起來，訊息 "因 kerberos ... powershell ... 存取被拒"
同事說也許和之前EMC開不起來(80PORT佔用)的問題有關
因我在一星期內並沒有修改 master 的 IIS 設定，所以推測可能性很低；user 此時只是作業多了一點麻煩，因此回覆建議暫停任何修改，待我回去上班再處理

14:22 同事告知越來越多 USER 出現問題，同時網路磁碟機也開始進不去；我於是遠端連進 master ，看到了一些 AD / Exchange 的重大錯誤 LOG ，LOG 最早發生的時間是在 1/12 10:36

作了一些處理，並和同事確認這星期作了哪些修正動作，我先將 master 重開，告知同事若還是有問題就得連絡廠商，然後我就離線去看醫生了

16:16 和主管確認狀況，廠商說 AD1 的架設有問題，導致 master 的一些帳號全部不見了；包括 SQL service 、Exchange、DNS 服務都沒辦法正常運作

廠商說，正常AD在安裝時是不會連帶安裝DNS的，如若一併安裝DNS表示原DNS是有問題的 (這和我的記憶是相反的，我記得AD都會順便裝DNS，因 AD based on DNS)

17:55 左右到機房，開始修正問題

約於 19:36 和廠商排除了一些問題，使 USER  隔日的作業可以正常運行

廠商告知還有一些問題，會於隔日上班時調查

錯誤訊息：

 1. 記錄檔名稱:         Application

來源:            MSExchangeMailSubmission
日期:            2012/1/12 上午 10:36:57
事件識別碼:         1009
工作類別:          MSExchangeMailSubmission
等級:            錯誤
關鍵字:           傳統
使用者:           不適用
電腦:            master.motorpro-sbs.local
描述:
Microsoft Exchange 郵件提交服務目前無法連絡本機 Active Directory 站台中的任何集線傳輸伺服器。伺服器可能太忙碌，此時無法接受新連線。

2. 記錄檔名稱:         Application
來源:            SQLWRITER
日期:            2012/1/12 上午 11:00:11
事件識別碼:         24583
工作類別:          無
等級:            錯誤
關鍵字:           傳統
使用者:           不適用
電腦:            master.motorpro-sbs.local

描述:

Sqllib 錯誤: 呼叫 IDBInitialize::Initialize 時發現 OLEDB 錯誤。hr = 0x80004005。 SQLSTATE: 28000, Native Error: 18452

Error state: 1, Severity: 14

Source: Microsoft SQL Server Native Client 10.0

Error message: 登入失敗。此登入是來自未受信任的網域，不能用於 Windows 驗證。

DBPROP_INIT_DATASOURCE: master\SHAREPOINT

DBPROP_INIT_CATALOG: master

DBPROP_AUTH_INTEGRATED: SSPI



3. 記錄檔名稱:         Application

來源:            Microsoft-SharePoint Products-SharePoint Foundation

日期:            2012/1/12 上午 11:00:19

事件識別碼:         5586

工作類別:          資料庫

等級:            錯誤

關鍵字:        

使用者:           SYSTEM

電腦:            master.motorpro-sbs.local

描述:

發生未知的 SQL 例外狀況 18452。SQL Server 的其他錯誤資訊如下。



登入失敗。此登入是來自未受信任的網域，不能用於 Windows 驗證。



4. 記錄檔名稱:         Application

來源:            MSExchange Assistants

日期:            2012/1/12 上午 11:09:28

事件識別碼:         9039

工作類別:          助理員

等級:            警告

關鍵字:           傳統

使用者:           不適用

電腦:            master.motorpro-sbs.local

描述:

服務 MSExchangeMailSubmission。無法處理任何資料超過 30 分鐘。診斷資訊: 管理者: ServerGovernor for DatabaseManagerEvent，上次執行時間: 2012/1/12 上午 10:36:57，下一個重試間隔: 00:00:05。目前例外狀況: Microsoft.Exchange.Assistants.TransientServerException

   於 Microsoft.Exchange.Assistants.Util.TraceAndThrow(CatchMe function, AIException aiException)

   於 Microsoft.Exchange.Assistants.Util.CatchMeIfYouCan(CatchMe function)

   於 Microsoft.Exchange.Assistants.Base.CatchMeIfYouCan(CatchMe function)

   於 Microsoft.Exchange.Assistants.EventDispatcherPrivate.DangerousProcessItem(EmergencyKit kit, InterestingEvent interestingEvent)

5. 記錄檔名稱:         Application

來源:            MSExchange ADAccess

日期:            2012/1/12 下午 01:39:32

事件識別碼:         2114

工作類別:          拓撲

等級:            錯誤

關鍵字:           傳統

使用者:           不適用

電腦:            master.motorpro-sbs.local

描述:

處理程序 STORE.EXE (PID=2160)。拓撲搜索失敗，錯誤為 0x80040931 (LDAP_INVALID_CREDENTIALS)。查詢事件描述中指定的輕量型目錄存取通訊協定 (LDAP) 錯誤碼。若要這麼做，請使用 Microsoft 知識庫文件編號 218185，「 Microsoft LDAP 錯誤碼 」。 使用該文件的資訊來瞭解此錯誤原因和解決方法的詳細資訊。使用 Ping 或 PathPing 命令列工具來測試本機網域控制站的網路連線狀態。



6. 記錄檔名稱:         Application

來源:            MSExchange ADAccess

日期:            2012/1/12 下午 01:47:04

事件識別碼:         2102

工作類別:          拓撲

等級:            錯誤

關鍵字:           傳統

使用者:           不適用

電腦:            master.motorpro-sbs.local

描述:

處理程序 MSEXCHANGEADTOPOLOGYSERVICE.EXE (PID=1348)。使用中的所有網域控制站伺服器均未回應:

master.motorpro-sbs.local

AD1.motorpro-sbs.local



7. 之後的錯誤訊息就是重覆這些



檢查動作：

AD1/master 的網路設定

DC 的健康狀態，使用 DCDIAG 指令



解決方法：

依錯誤訊息 google 資料

(我只列出我作了什麼，廠商那邊的會再請他概述)

1. 主要的問題

DCDIAG ：

正在啟動測試：MachineAccount

帳戶 master 不是 DC 帳戶，無法複寫。

警告：master 的 userAccountControl 屬性是

0x91000 = (workstation_trust_account | dont_expire_password | trusted_for_delegation)

DC的一般設定是 0x82000 = ( server_trust_account )

以上錯誤訊息因畫面只有部份截取，因此不完整



參考 http://blogs.dirteam.com/blogs/jorge/archive/2006/08/27/Incorrect-_2600_quot_3B00_userAccountControl_2600_quot_3B00_-Attribute-value-causes-error-when-running-DCDIAG-or-during-promotion-of-a-server-to-a-DC.aspx

排除問題

When using ADSIEDIT.MSC:

From the command-line start ADSIEDIT.MSC
Connect to the domain NC
Navigate to the OU or container that contains the computer account of the server for which the "userAccountControl" attribute value must be changed
Right click on the computer account of the server for which the "userAccountControl" attribute value must be changed and retrieve the properties
Scroll down to the "userAccountControl" attribute
You should see some value:
If the server already is a DC change the value to: 532480
原 userAccountControl 設定值  HEX:0x91000 (DEC: 593920)修改為 HEX:82000 (DEC:532480)



重設電腦帳戶 master$

指令：

netdom resetpwd /s:master /ud:motorpro-sbs\archer

訊息：

已成功重設本機電腦的電腦帳戶密碼



作了這兩個修正後，master 的 eventlog 大致上已恢復正常

測試收發信仍有問題，廠商建議本機 renew IP 後，OUTLOOK 收發信即恢復

之後廠商有作了一些處理，使原先仍開不起來的 EMC (錯誤訊息一直都沒變) 能夠正常開啟

然後就是廠商告知大部份都已OK，剩下的隔日再檢查





再發防止：

因 SBS 使用上有很多和一般 windows server 不同的地方

日後建置任何需上線使用的 windows server 會先問過廠商再行建置

建置完五個工作天密切注意任何 log ，若發現重大(可能會斷線的)異常再上網查資料或通知廠商，確認是否有問題