某企業(yè)使用Exchange Server 2010作為郵件系統(tǒng),根據(jù)集團(tuán)下發(fā)文件,在服務(wù)器上安裝了某廠商的“防勒索病毒補(bǔ)丁”后,導(dǎo)致Exchange出現(xiàn)問題,所有用戶不能登錄郵箱。后來卸載了補(bǔ)丁,將Exchange退出域、又重新加入到域,Exchange恢復(fù)正常。
一 周 后,大多數(shù)員工的Outlook不能登錄Exchange,但 OWA(在瀏覽器中通過Web頁面登錄Exchange)與手機(jī)客戶端正常,只有極少數(shù)員工的Outlook能登錄Exchange。對(duì)于不能登錄Exchange的無論是重新安裝操作系統(tǒng)還是重新配置Outlook,都會(huì)出現(xiàn)圖1錯(cuò)誤。
經(jīng)過檢查,故障現(xiàn)象總結(jié)如下:

圖1 不能登錄Exchange

圖2 網(wǎng)絡(luò)拓?fù)鋱D
1.Exchange Server 2010對(duì)外收發(fā)郵件正常。
2.員工使用手機(jī)客戶端、使用OWA(Web頁面)登錄Exchange郵件系統(tǒng)正常。
3.只有Outlook登錄Exchange時(shí)出錯(cuò),錯(cuò)誤如圖1所示。如果修改Outlook使用 POP3、SMTP方式,也可以登錄Exchange。
該單位有1臺(tái)Exchange Server 2010,2 臺(tái) Active Directory的服務(wù)器。其中 AD1、AD2、Exchange Server都 是Windows Server 2008 R2操作系統(tǒng)。網(wǎng)絡(luò)拓?fù)淙鐖D2所示。
經(jīng)過進(jìn)一步檢查,發(fā)現(xiàn)AD2(192.168.0.249)與Exchange(192.168.0.221)的 TCP的135端口不能登錄(測(cè)試方法telet 192.168.0.221 135時(shí)出錯(cuò))。但在Exchange上檢查,服務(wù)器的135端口已經(jīng)開放。
因 為 AD1(192.168.0.249)的 AD 與 Exchange(192.168.0.221)都出現(xiàn)TCP 135不能登錄的故障,并且故障原因也是在“勒索病毒”打補(bǔ)丁之后出現(xiàn)(192.168.0.223沒有安裝補(bǔ)丁,故一切正常)。所以解決故障的方法也就在修復(fù)TCP的135端口上。
在正式修復(fù)之前,我們做了如下的準(zhǔn)備與測(cè)試工作:
1.將 DC(192.168.0.223)的設(shè)置為主域,轉(zhuǎn)移角色到223。此時(shí)249將成為額外域控制器。
2.因?yàn)?92.168.0.249上有證書服務(wù)器,所以備份該服務(wù)器的根證書私鑰及數(shù)據(jù)庫。
3.通過升級(jí)安裝的方式(登錄進(jìn)入Windows,使用同操作系統(tǒng)、同版本的安裝鏡像,執(zhí)行Setup,執(zhí)行升級(jí)安裝),升級(jí) 192.168.0.249。
4.升級(jí)安裝192.168.0.249,升級(jí)之后,TCP的135端口能用。
因?yàn)橥ㄟ^升級(jí)192.168.0.249之 后,TCP的 135端口能用,故準(zhǔn)備通過升級(jí)Exchange修復(fù)135端口。……