修復(fù)企業(yè)AD與Exchange故障

故障現(xiàn)象

某企業(yè)使用Exchange Server 2010作為郵件系統(tǒng)，根據(jù)集團(tuán)下發(fā)文件，在服務(wù)器上安裝了某廠商的“防勒索病毒補(bǔ)丁”后，導(dǎo)致Exchange出現(xiàn)問題，所有用戶不能登錄郵箱。后來卸載了補(bǔ)丁，將Exchange退出域、又重新加入到域，Exchange恢復(fù)正常。

一 周 后，大多數(shù)員工的Outlook不能登錄Exchange，但 OWA（在瀏覽器中通過Web頁面登錄Exchange）與手機(jī)客戶端正常，只有極少數(shù)員工的Outlook能登錄Exchange。對于不能登錄Exchange的無論是重新安裝操作系統(tǒng)還是重新配置Outlook，都會出現(xiàn)圖1錯(cuò)誤。

故障排查

經(jīng)過檢查，故障現(xiàn)象總結(jié)如下：

圖1 不能登錄Exchange

圖2 網(wǎng)絡(luò)拓?fù)鋱D

1.Exchange Server 2010對外收發(fā)郵件正常。

2.員工使用手機(jī)客戶端、使用OWA（Web頁面）登錄Exchange郵件系統(tǒng)正常。

3.只有Outlook登錄Exchange時(shí)出錯(cuò)，錯(cuò)誤如圖1所示。如果修改Outlook使用 POP3、SMTP方式，也可以登錄Exchange。

該單位有1臺Exchange Server 2010，2 臺 Active Directory的服務(wù)器。其中 AD1、AD2、Exchange Server都 是Windows Server 2008 R2操作系統(tǒng)。網(wǎng)絡(luò)拓?fù)淙鐖D2所示。

經(jīng)過進(jìn)一步檢查，發(fā)現(xiàn)AD2（192.168.0.249）與Exchange（192.168.0.221）的 TCP的135端口不能登錄（測試方法telet 192.168.0.221 135時(shí)出錯(cuò)）。但在Exchange上檢查，服務(wù)器的135端口已經(jīng)開放。

解決方法與思路

因 為 AD1（192.168.0.249）的 AD 與 Exchange（192.168.0.221）都出現(xiàn)TCP 135不能登錄的故障，并且故障原因也是在“勒索病毒”打補(bǔ)丁之后出現(xiàn)（192.168.0.223沒有安裝補(bǔ)丁，故一切正常）。所以解決故障的方法也就在修復(fù)TCP的135端口上。

在正式修復(fù)之前，我們做了如下的準(zhǔn)備與測試工作：

1.將 DC（192.168.0.223）的設(shè)置為主域，轉(zhuǎn)移角色到223。此時(shí)249將成為額外域控制器。

2.因?yàn)?92.168.0.249上有證書服務(wù)器，所以備份該服務(wù)器的根證書私鑰及數(shù)據(jù)庫。

3.通過升級安裝的方式（登錄進(jìn)入Windows，使用同操作系統(tǒng)、同版本的安裝鏡像，執(zhí)行Setup，執(zhí)行升級安裝），升級 192.168.0.249。

4.升級安裝192.168.0.249，升級之后，TCP的135端口能用。

因?yàn)橥ㄟ^升級192.168.0.249之 后，TCP的 135端口能用，故準(zhǔn)備通過升級Exchange修復(fù)135端口。

為驗(yàn)證方法是否正確，我們進(jìn)行了如下的前期測試：

圖3 Exchange初始化失敗

1.使用“愛數(shù)”備份設(shè)備，備份Exchange的操作系統(tǒng)及數(shù)據(jù)庫。

2.使用一臺空閑的服務(wù)器搭建出虛擬化環(huán)境，新建AD1與MBX兩臺虛擬機(jī)，從愛數(shù)備份設(shè)備，將AD1與MBX備份恢復(fù)到虛擬機(jī)，故障再現(xiàn)。

3.在MBX的虛擬機(jī)中升級 Exchange，郵 箱、Outlook正常，但Exchange控制臺不能打開，錯(cuò)誤提示為“嘗試連接到指定的Exchange服務(wù)器***時(shí)出現(xiàn)以下錯(cuò)誤：嘗試使用"Kerberos"身份驗(yàn)證連接到 http://***/PowerShell失敗：連接到遠(yuǎn)程服務(wù)器失敗，錯(cuò)誤消息如下：WinRM 無法處理該請求。使用 Kerberos 身份驗(yàn)證時(shí)發(fā)生以下錯(cuò)誤：找不到網(wǎng)絡(luò)路徑。”（如圖 3）。

4.經(jīng)過分析，打開服務(wù)器管理器，添加“WINRAM IIS擴(kuò)展”組件，安裝該組件后正常。之后可以打開Exchange管理控制臺。

在實(shí)驗(yàn)成功之后，我們準(zhǔn)備修復(fù)生產(chǎn)環(huán)境中的Exchange，并提前在集團(tuán)OA發(fā)布了此項(xiàng)維護(hù)通知。

本著數(shù)據(jù)第一、安全第一的原則，在修復(fù)前使用對Exchange進(jìn)行備份，備份完成后再對系統(tǒng)進(jìn)行修復(fù)，這樣一旦出現(xiàn)問題，可以通過備份恢復(fù)。因?yàn)閿?shù)據(jù)量較大，整個(gè)備份大約花了28個(gè)小時(shí)。

升級修復(fù)不成功但找到故障原因

在周六正式對Exchange進(jìn)行升級安裝，升級花費(fèi)了大約2個(gè)小時(shí)，但升級之后，故障依舊。

因?yàn)楫?dāng)前操作系統(tǒng)是Windows Server 2008 R2，而做實(shí)驗(yàn)的虛擬環(huán)境的操作系統(tǒng)是Windows Server 2008 R2 SP1的版本，我們將當(dāng)前的操作系統(tǒng)升級到Windows Server 2008 R2 SP1，打補(bǔ)丁之后，故障依舊。

經(jīng)過進(jìn)一步對物理服務(wù)器中的操作系統(tǒng)進(jìn)行檢查，發(fā)現(xiàn)telnet 127.0.0.1 135可用，但telnet 192.168.0.221 135不可用。我們分析認(rèn)為Exchange各項(xiàng)服務(wù)、操作系統(tǒng)相關(guān)服務(wù)都正常，但是由于某項(xiàng)策略導(dǎo)致192.168.0.221的135不可用。

在檢查到“本地安全策略”時(shí)，在“IP安全策略，在本地計(jì)算機(jī)”中有一個(gè)“Block”的策略。

1.查看該策略，在“篩選器操作→編輯”中，打開屬性，查看“安全方法”為“阻止”。

2.在“身份驗(yàn)證方法”選項(xiàng)卡中，看到驗(yàn)證方法包括了Kerberos。之后再telnet 192.168.0.221 135，發(fā)現(xiàn)已經(jīng)正常。

此時(shí)我們使用Outlook登錄Exchange，發(fā)現(xiàn)登錄正常，并收到了外網(wǎng)發(fā)來的郵件。

發(fā)現(xiàn)新問題并解決

在我們認(rèn)為故障解決的時(shí)候，經(jīng)過測試發(fā)現(xiàn)，Exchange能收郵件、不能發(fā)郵件（無論是向外發(fā)郵件還是內(nèi)部發(fā)郵件，都不行），郵件都保存在“草稿箱”內(nèi)。

經(jīng)過分析，我們認(rèn)為原因如下：

Exchange某項(xiàng)服務(wù)沒有啟動導(dǎo)致此事情發(fā)生。但經(jīng)過檢查，發(fā)現(xiàn)Exchange的所有服務(wù)都啟動正常。

繼續(xù)分析認(rèn)為可能是安裝了Windows Server 2008 R2 SP1引發(fā)的，之后卸載Windows Server 2008 R2 SP1補(bǔ)丁。在卸載補(bǔ)丁后，故障依舊。

之后繼續(xù)卸載“WinRM IIS擴(kuò)展”，卸載之后，系統(tǒng)并未提示需要重新啟動。為了可靠，我們重新啟動Exchange。在Exchange重新啟動的過程中，停留在“發(fā)件箱”中的郵件發(fā)送成功。但再次進(jìn)入系統(tǒng)后，故障依舊。

此時(shí)我們再次逐一檢查Exchange相關(guān)服務(wù)，雖然檢查到每項(xiàng)服務(wù)的狀態(tài)為“己啟動”，但在重新啟動“Microsoft Exchange郵 件提交”服務(wù)之后，Exchange發(fā)信恢復(fù)正常。

此時(shí)已經(jīng)是下午16：50多。在經(jīng)過多次測試之后，確認(rèn)Exchange恢復(fù)正常。

之后安裝了“WinRM IIS擴(kuò)展”，Exchange管理正常。

繼續(xù)測試，Exchange的OWA、Outlook正常，收發(fā)正常，至此故障解決。

編寫腳本

為了防止以后Exchange登錄后，不能發(fā)送郵件，我們配置Exchange，讓Exchange在重新啟動后自動以Administrator賬戶登錄進(jìn)入系統(tǒng)，并且執(zhí)行腳本重新啟 動“Microsoft Exchange郵件提交”服務(wù)。

運(yùn) 行regedit， 打 開“HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon”鍵值，新建“字符串值”，前面為鍵值，后面為內(nèi)容。具體項(xiàng)如下。

"AutoAdminLogon"="1"

"DefaultUserName"="Ad ministrator"

"DefaultDomainName"="單位域名"

"DefaultPassword"="管理員密碼"

用“記事本”創(chuàng)建startexchange.cmd，內(nèi)容如下：

net stop MSExchangeFBA

net start MSExchangeFBA

net stop MSExchange MailSubmission

net start MSExchange MailSubmission

將其添加到“啟動”菜單，或者編輯計(jì)劃內(nèi)容，選擇“登錄后只執(zhí)行一次”。

經(jīng)過這些配置，Exchange修復(fù)完成。