修復(fù)企業(yè)AD與Exchange故障

故障現(xiàn)象

某企業(yè)使用Exchange Server 2010作為郵件系統(tǒng)，根據(jù)集團(tuán)下發(fā)文件，在服務(wù)器上安裝了某廠商的“防勒索病毒補(bǔ)丁”后，導(dǎo)致Exchange出現(xiàn)問題，所有用戶不能登錄郵箱。后來卸載了補(bǔ)丁，將Exchange退出域、又重新加入到域，Exchange恢復(fù)正常。

一 周 后，大多數(shù)員工的Outlook不能登錄Exchange，但 OWA（在瀏覽器中通過Web頁面登錄Exchange）與手機(jī)客戶端正常，只有極少數(shù)員工的Outlook能登錄Exchange。對(duì)于不能登錄Exchange的無論是重新安裝操作系統(tǒng)還是重新配置Outlook，都會(huì)出現(xiàn)圖1錯(cuò)誤。

故障排查

經(jīng)過檢查，故障現(xiàn)象總結(jié)如下：

圖1 不能登錄Exchange

圖2 網(wǎng)絡(luò)拓?fù)鋱D

1.Exchange Server 2010對(duì)外收發(fā)郵件正常。

2.員工使用手機(jī)客戶端、使用OWA（Web頁面）登錄Exchange郵件系統(tǒng)正常。

3.只有Outlook登錄Exchange時(shí)出錯(cuò)，錯(cuò)誤如圖1所示。如果修改Outlook使用 POP3、SMTP方式，也可以登錄Exchange。

該單位有1臺(tái)Exchange Server 2010，2 臺(tái) Active Directory的服務(wù)器。其中 AD1、AD2、Exchange Server都 是Windows Server 2008 R2操作系統(tǒng)。網(wǎng)絡(luò)拓?fù)淙鐖D2所示。

經(jīng)過進(jìn)一步檢查，發(fā)現(xiàn)AD2（192.168.0.249）與Exchange（192.168.0.221）的 TCP的135端口不能登錄（測(cè)試方法telet 192.168.0.221 135時(shí)出錯(cuò)）。但在Exchange上檢查，服務(wù)器的135端口已經(jīng)開放。

解決方法與思路

因 為 AD1（192.168.0.249）的 AD 與 Exchange（192.168.0.221）都出現(xiàn)TCP 135不能登錄的故障，并且故障原因也是在“勒索病毒”打補(bǔ)丁之后出現(xiàn)（192.168.0.223沒有安裝補(bǔ)丁，故一切正常）。所以解決故障的方法也就在修復(fù)TCP的135端口上。

在正式修復(fù)之前，我們做了如下的準(zhǔn)備與測(cè)試工作：

1.將 DC（192.168.0.223）的設(shè)置為主域，轉(zhuǎn)移角色到223。此時(shí)249將成為額外域控制器。

2.因?yàn)?92.168.0.249上有證書服務(wù)器，所以備份該服務(wù)器的根證書私鑰及數(shù)據(jù)庫。

3.通過升級(jí)安裝的方式（登錄進(jìn)入Windows，使用同操作系統(tǒng)、同版本的安裝鏡像，執(zhí)行Setup，執(zhí)行升級(jí)安裝），升級(jí) 192.168.0.249。

4.升級(jí)安裝192.168.0.249，升級(jí)之后，TCP的135端口能用。

因?yàn)橥ㄟ^升級(jí)192.168.0.249之 后，TCP的 135端口能用，故準(zhǔn)備通過升級(jí)Exchange修復(fù)135端口。……