Exchange в вопросах и ответах: Работающие обходные пути

В Microsoft Exchange есть «обходные» способы выполнения таких задач, как отключение SSL 2.0 или устранение неполадок синхронизации.

Хенрик Уолтер

Приглашенный специалист — Джордж Хинтерхофер

Отключить SSL

Вопрос Мы недавно завершили аудит нашей ИТ-инфраструктуры. Одна из рекомендаций заключалась в отключении SSL 2.0 для веб-служб, в том числе служб Exchange, таких как Web Access, Outlook Anywhere, Exchange Web Services и других. Как лучше всего это сделать?

Ответ Прежде всего посмотрим, почему консультанты по безопасности рекомендуют такое изменение. Протокол SSL 2.0 разработан в середине 1990-х годов (впрочем, как и SSL 3.0). Он стал одним из первых общедоступных протоколов шифрования и проверки подлинности в Интернете. Однако у SSL 2.0 были ряд слабых мест, которые позволяли взломать его по методу посредника или с использованием других методов. Протокол SSL 3.0 был значительно усовершенствован.

Но при чем здесь Exchange? У Exchange нет собственного протокола шифрования, поэтому в нем используются службы шифрования базовой ОС. Поэтому Exchange использует протокол или шифр, который вы разрешите в службах шифрования операционной системы.

Базовый процесс изложен в документе службы поддержки «Отключение протоколов PCT 1.0, SSL 2.0, SSL 3.0 и TLS 1.0 в службах IIS» и применим ко всем текущим версиям Windows. Если нужно отключить SSL 2.0, выполните следующее:

1. Откройте редактор реестра командой regedit.exe.
2. Перейдите к разделу HKLM\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0\Server.
3. Создайте новый параметр типа DWORD по имени Enabled и в бинарном редакторе присвойте ему значение «00000000» (рис. 1).
4. Перезапустите компьютер.

Рис. 1. Создание этого параметра является частью процесса отключения SSL 2.0

Эта же процедура применяется для отключения любых других протоколов, например PCT 1.0 (Private Communications Transport). Она работает даже в шлюзе Microsoft Forefront Threat Management Gateway, если вы используете один или несколько таких шлюзов для публикации Exchange.

Вас также могут попросить отключить слабые шифры, такие как DES 56/56 и другие. Отключить их можно таким же способом. Просто добавьте параметр типа DWORD по имени Enabled в соответствующую ветку реестра и присвоить ему значение 00000000. Не забывайте всегда выполнять достаточный объем тестирования, чтобы убедиться, что вы не нарушите какую-либо клиентскую функциональность из-за отключения серверного протокола или шифра.

Рассинхронизация организационных форм

Вопрос С момента перехода на Exchange 2010 у нас часто возникают неполадки с клиентами Outlook в режиме кеширования данных. Сообщения об ошибках информируют о том, что что-то не так с синхронизацией библиотеки организационных форм. Это вызывает звонки в службу поддержки, что в свою очередь ведет неудовольствию пользователей. Мои клиенты больше не в состоянии использовать формы, когда не подключены к Exchange. Можно ли что-нибудь сделать с этим?

Ответ Получаемые вами сообщения об ошибках скорее всего выглядят примерно так:

19:23:23 Synchronizing Forms 19:23:23 Downloading from server FQDN 19:23:23 Error synchronizing folder 19:23:23 [80004005-501-4B9-560] 19:23:23 The client operation failed

Это может приводить к переполнению папки синхронизации. Это сообщение об ошибке появляется, только когда папка организационных форм размещается в хранилище общих папок Exchange 2010. Причина заключается в ошибке кода Exchange 2010.

До настоящего момента было только два обходных решения. Можно было удалить папку организационных форм из иерархии (это возможно, только если в этой папке вы не храните никаких форм). Другой способ — заставить клиентов использовать хранилище общих папок, отличное от хранилища Exchange 2010, например в хранилище общих папок Exchange 2007.

К счастью, после нескольких попыток добиться признания ошибки в отделе инженерной поддержки Microsoft Exchange устранили ее. Исправление описано в документе службы поддержки «80004005-501-4B9-560 synchronization error logs in the Outlook Sync Issues folder». Исправление также присутствует в накопительном пакете обновления Exchange 2010 SP2 Update Rollup. После исправления клиенты должны перестать получать ошибки и снова иметь возможность использовать формы в автономном режиме. Важно заметить, что при этом не будут устранены любые другие ошибки синхронизации, например связанные с автономной адресной книгой и другими.

Активная синхронизация

Вопрос Недавно у нас случилось несколько аварий, обусловленных очень активным использованием наших серверов клиентского доступа. Мы обнаружили, что большую часть доступных ресурсов потребляет экземпляр w3wp.exe. Не могли бы вы пояснить, почему так просходит?

Ответ Вероятнее всего, что у вас одно или несколько неучтенных устройств Active Sync. Недавно мы наблюдали подобную проблему на нескольких экземплярах. К счастью, выявить эти «дикие» устройства сравнительно просто благодаря программе Log Parser.

В сущности вся информация, необходимая для расследования этой неполадки есть в стандартных журналах IIS. По умолчанию если система установлена на диске C:\, эти журналы размещены в папке C:\inetpub\logs\LogFiles\W3SVC1. При открытии этих файлов журналов вы увидите записи для Outlook Web Access, ActiveSync, Exchange Web Services и других компонентов.

Загрузите копию Log Parser 2.2 и установите его на самом Exchange или на любом сервере управления. При использовании сервера управления нужно не забыть также установить Windows PowerShell 2.0. Также загрузите сценарий ActiveSyncReport и перенесите его на сервер.

Допустим, нужно на основе этих записей определить десятку самых активных устройств. Для этого достаточно выполнить следующую команду:

ActiveSyncReport.ps1 -iislog "C:\inetpub\logs\logfiles\w3svc1\" -logparserexec "C:\Program Files (x86)\Log Parser 2.2\logparser.exe" -activesyncoutputfolder c:\EAS -htmlreport -tophits 10

Как видно на рис. 2, у самого активного устройства более миллиона записей. Совершенно ясно, что это слишком много и требует дальнейшего расследования.  

Рис. 2. Можно определить, у каких устройств больше всего записей в журнале

Как насчет того, чтобы выявить десять самых активных устройств на определенную дату? Это просто — достаточно выполнить такую команду:

ActiveSyncReport.ps1 -iislog "C:\inetpub\logs\logfiles\w3svc1\" -logparserexec "C:\Program Files (x86)\Log Parser 2.2\logparser.exe" -activesyncoutputfolder c:\EAS -htmlreport -tophits 10 –date 7-20-2012

Вы получите аккуратный результат в формате HTML со всеми записями в папке ActiveSyncOutputFolder. Другие варианты использования этого сценария, описаны в статье «A script to troubleshoot issues with Exchange ActiveSync» блога команды разработчиков Exchange.

Хенрик Уолтер (Henrik Walther) — носит звание Microsoft Certified Master, а также MVP по Exchange 2007 и обладает более чем 16-летним опытом работы в ИТ. Занимает должность архитектора технологий в Trifork Infrastructure Consulting (компании, находящейся в Дании и обладающей званием Microsoft Gold Certified Partner), а также работает в качестве технического писателя для Biblioso Corp. (находящейся в США компании, специализирующейся в области услуг по управлению документацией и локализации). Хенрик также работает по контракту в командах различных продуктов (в том числе, в командах Exchange и Lync) в Microsoft.

Джордж Хинтерхофер (Georg Hinterhofer) — носит звание Microsoft Certified Master for Exchange 2010. Он работает старшим инженером, специализирующимся исключительно по Microsoft Exchange. Он живет в Австрии, недалеко от Вены.