Professional Documents
Culture Documents
V1.3
Contenido
1 Objetivos y Alcances .............................................................................................................................. 4
1.1 Objetivos del documento ......................................................................................................................................4 1.2 Resumen del documento .......................................................................................................................................4 1.3 Nomenclaturas.......................................................................................................................................................5 1.4 Nombres de Servidores parte del pCorp ...............................................................................................................5 Anlisis de amenazas y Caractersticas de CORP ................................................................................... 5 2.1 Clculo de riesgo ....................................................................................................................................................5 2.2 Anlisis de amenazas en Corp................................................................................................................................5 2.3 Resultado de este Anlisis .....................................................................................................................................6 2.4 Diagrama general de la Infraestructura .................................................................................................................7 2.5 Dependencias entre los sub-sistemas....................................................................................................................7 2.6 Niveles de disponibilidad estimados......................................................................................................................7 Diagnostico y Tareas mitigadoras de primer nivel ................................................................................ 8 3.1 Diagnosticar falla ...................................................................................................................................................8 3.2 Mitigacin de primer nivel en AD y servicios relacionados ...................................................................................8 3.3 Identificar y solucionar contingencia primer nivel en Exchange ...........................................................................9 Procedimientos genricos para DRP ................................................................................................... 10 4.1 Falla de servidor Exchange...................................................................................................................................10 4.2 Restaurar la configuracin del sistema Operativo ...............................................................................................10 4.3 Recuperar la configuracin de un servidor Exchange ..........................................................................................10 4.4 Recuperar servidor como Dial Tone ....................................................................................................................11 4.5 Incrementar el nivel de diagnostico ....................................................................................................................11 4.6 Problemas de inicio System Attendant ................................................................................................................12 4.7 Recuperacin de Cluster ......................................................................................................................................12 4.7.1 Identificacin del origen del error ..................................................................................................................12 4.7.2 Sustituir Nodo Daado ....................................................................................................................................13 4.8 Recuperacin de recursos de disco en cluster .....................................................................................................14 4.8.1 Cambio de firma de discos Cluster ..................................................................................................................14 4.8.2 Restauracin de una base de datos en un clster ..........................................................................................15 4.8.3 Restauracin de un recurso de disco de qurum ...........................................................................................15 4.8.4 Cambiar disco Quorum ...................................................................................................................................15 4.8.5 Cambiar de discos en Cluster (no Quorum) ....................................................................................................15 4.9 Perdida de datos en Base ....................................................................................................................................15 4.10 Recuperacin de base de Datos ...........................................................................................................................16 4.11 Recuperar un Domain Controller .........................................................................................................................17 4.11.1 Restauracin Non Authoritative. .............................................................................................................17 4.11.2 Restauracin Authoritative Active Directory .............................................................................................17 4.11.3 Restauracin Active Directory en un Hardware diferente. ........................................................................18 4.12 Configurar alertas para acceso a archivos sin autorizacin y de intentos de inicio de sesin .............................19 DRP de Exchange ................................................................................................................................. 20 5.1 Falla de servidor Exchange...................................................................................................................................20 5.1.1 Recuperar servidor de Exchange .....................................................................................................................20 5.1.2 Recuperar Servidor Cluster .............................................................................................................................21 5.2 Falla servicio en Exchange ...................................................................................................................................21 5.3 Exchange no encuentra AD o parte de l ............................................................................................................22 5.3.1 No encuentra servidores DC ...........................................................................................................................22 5.3.2 No est disponible AD completa o parcialmente ............................................................................................22 5.3.3 Falla de Base de Datos ....................................................................................................................................22 5.3.4 Recuperacin de algunos Buzones ..................................................................................................................23 5.3.5 Restauracin de Buzn que ha sido Borrado de Exchange. ............................................................................25 5.4 Failover de servicio Cluster ..................................................................................................................................26 5.4.1 Fail-over de Cluster Exchange .........................................................................................................................26 5.4.2 Fail-back al servidor Original ...........................................................................................................................26 DRP de AD ........................................................................................................................................... 27
6.1 Recuperacin de base de Datos de Active Directory ...........................................................................................27 6.1.1 Corrupcin total de Active Directory ..............................................................................................................27 6.1.2 Perdida de datos de Active Directory .............................................................................................................27 6.2 Domain controller con roles FSMO falla ..............................................................................................................28 6.3 Prepare a Domain Controller for Non-Authoritative SYSVOL Restore .................................................................29 7 DRP de DNS y DHCP ............................................................................................................................. 30 7.1 Verificar estado general de DNS server ...............................................................................................................30 7.2 Servicio DNS no inicia ..........................................................................................................................................30 7.3 Falla General de DNS Active Directory .................................................................................................................30 7.4 Perdida o corrupcin de zona DNS ......................................................................................................................31 7.5 Falla de un servidor DHCP ....................................................................................................................................31 7.6 Cliente no obtiene DHCP IP address ....................................................................................................................32 8 Actualizaciones propuestas al pCorp actual ........................................................................................ 33 8.1 Mejorar Servicio DNS ...........................................................................................................................................33 8.2 Mantener Servicio WINS ......................................................................................................................................37 8.3 Mejorar tolerancia a fallas de DHCP ....................................................................................................................38 8.4 Asegurar y optimizar objetos AD .........................................................................................................................40 8.4.1 Configurar fuente de tiempo a la jerarqua de dominio .................................................................................40 8.4.2 Limpiar estructura de Polticas de dominio (GPO) ..........................................................................................40 8.4.3 Fijar y/o Eliminar objetos hurfanos de Active directory ...............................................................................41 8.5 Revisin de AV y excusiones ................................................................................................................................41 8.5.1 Exclusiones de directorios ...............................................................................................................................42 8.5.2 Exclusiones de procesos ..................................................................................................................................42 8.5.3 Exclusiones de extensiones de nombres de archivo .......................................................................................42 8.5.4 Exclusiones actuales ........................................................................................................................................43 8.5.5 Revisar Dsaccess Exchange .............................................................................................................................43 8.5.6 Performance de Domain Controller, opcin con 64 bits .................................................................................43 8.6 Cambiar Plataforma fsica a Vmware ...................................................................................................................44 8.7 Incorporar alternativa Exchange 2010 .................................................................................................................45 8.7.1 Funcionalidades de Exchange 2010 ................................................................................................................45 8.7.2 Alta disponibilidad en Exchange Server 2010 .................................................................................................45 8.7.3 Requerimientos de directorio para Exchange 2010 ........................................................................................46 8.7.4 Diseo Fsico de Exchange Server 2010 ..........................................................................................................47 8.7.5 Consideraciones de Almacenamiento .............................................................................................................47 8.7.6 Requisitos para alta disponibilidad y resistencia de sitios ..............................................................................47 8.7.7 Coexistencia con otras plataformas ................................................................................................................49 8.8 Mejorar el soporte a fallas completas de Datacenter .........................................................................................50 8.8.1 PCorpificacin general de resistencia de sitios ...............................................................................................50 9 Probar pCorp de contingencia ............................................................................................................. 51 9.1 Checklist Configuracin y Pruebas de Dominio ...................................................................................................51 9.2 Checklist Pruebas Servicio Outlook......................................................................................................................52 9.3 Checklist Pruebas de Operacin Plataforma AD/Exchange .................................................................................52 9.4 Checklist Pruebas de Operacin - Clientes de Correo .........................................................................................53 9.5 Checklist Pruebas de Operacin - Disponibilidad del servicio .............................................................................53 9.6 Pruebas Alta Disponibilidad Exchange .................................................................................................................53 10 Anexos ................................................................................................................................................. 55 10.1 Procedimientos disponibles en Internet para Active Directory ...........................................................................55 10.2 Procedimientos disponibles en Internet para Exchange Server ..........................................................................57
1 Objetivos y Alcances
1.1 Objetivos del documento
El objetivo del documento es mejorar el proceso existente de recuperacin a desastres de la plataforma de Microsoft instalada en la infraestructura de Corporacin, principalmente orientado a los servicios crticos tales como mensajera, directorio y servicios de apoyo a redes tales como DNS y DHCP. Muchos tipos de errores pueden implicar la reparacin o restauracin de una o varias partes del sistema. En este documento se intenta definir una estrategia para prepararse y responder ante la eventualidad que se presenten.
1.3 Nomenclaturas
Este documento cuenta con muchas abreviaciones y siglas propias de la tecnologa utilizada, las ms frecuentemente usadas en este documento son las siguientes: Acrnimo Detalle
AD DC GC MBX OWA VMware ESM ADUC Windows Active Directory ServidorDomain Controller Servidor Catlogo Global Servidor Mailbox, BridgeHead y Public Folder Servidor Outlook Web Access Servicio de virtualizacin VMWare Consola Exchange System Manager (Exch 2003) Consola Active Directory Users and Computers
Domain IP
192.168.1.51 192.168.1.53 192.168.1.49 192.168.1.52 192.168.1.204
Controllers Rol
DC DC DC DC DC HOLDING HOLDING HOLDING HOLDING HOLDING
Ubicacin
Santiago Santiago Santiago Santiago Santiago
Servidor
BH01 BH03 BH05 OWA1 OWA2 PF01 MBX1 VIRTCLU1 VIRTCLU2 VIRTCLU3 VIRTCLU4
Exchange IP
192.168.2.23 192.168.3.169 192.168.1.242 200.14.104.87 200.14.104.88 192.168.2.26 192.168.4.25 192.168.2.19 192.168.2.11 192.168.2.12 192.168.2.18
Server Rol
BridgeHead BridgeHead BridgeHead Servidor OWA Servidor OWA Servidor PF Server MBX Cluster MBX Cluster MBX Cluster MBX Cluster MBX
Ubicacin
Santiago Santiago Santiago Santiago Santiago Santiago Santiago Santiago Santiago Santiago Santiago
Cuenta desactivadas
Accesos restringidos
Duplic.HW/Enlaces
Contramedidas Existentes
Datacenter Redundante
Capacitacin
Firewall
Antivirus/Spyware
Redundancia HW
UPS
Activos
Incidentes catastrficos
Corrimiento Tierra/AvaCorpcha Construccin Defectuosa
Empleado negligente
Accidente industrial
Clase
Nombre
HW HW HW HW HW SIST SIST SIST SIST SIST SIST SIST SIST SIST SIST SIST SIST SIST SIST SW SW INFO INFO INFO INFO INFO INFO INFO INFO INFO INFO INFO INFO INFO
Centros de datos Equipos de escritorio Notebook PDA Servidores Acceso a VPN Aire acondicionado Almacenamiento de datos Aplicacin ventas Web App.colaboracin Archivos compartidos Correo DHCP service Firewall UPS Servicio de directorio Routers y switch Sistema DNS Sitios Web internos Software de servidor Software de usuario final Cdigo fuente Datos de contacto de clientes Datos de pedidos Datos de publicidad Datos financieros DatosRRHH Informacion infraestructura Documentacin de producto Medios extrables (cintas,CD) Pedidos de proveedores PKI sistema informtico PCorpes estratgicos Tarjetas inteligentes
1 2 2 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 0 0 0 0 0 0 0 0 1 1 0 1 1 27
1 2 1 0 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 0 0 0 0 0 0 0 0 1 1 0 1 1 25
1 2 2 0 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 0 0 0 0 0 0 0 0 1 1 0 1 0 25
0 1 2 2 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 2 7
1 1 2 1 1 0 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 0 0 0 0 0 0 0 0 1 1 0 1 1 25
0 1 2 1 1 0 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 0 0 0 0 0 0 0 0 1 1 0 1 1 24
1 1 1 0 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 0 0 0 0 0 0 0 0 0 0 1 1 0 1 0 21
0 0 1 2 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 1 4
0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0
3 8 1 0 3 5 5 3 3 3 3 3 3 3 0 3 3 3 3 1 2 0 1 1 1 1 1 1 1 0 1 0 1 0 70
0 7 7 6 4 4 3 4 4 4 4 4 4 3 2 4 2 4 4 0 0 0 1 2 1 1 1 1 1 0 1 0 1 0 84
6 8 6 0 5 6 0 1 6 6 6 6 6 2 0 6 2 6 6 6 6 0 1 2 0 0 0 0 1 2 1 0 2 0 105
2 3 3 3 1 0 2 1 2 2 1 2 1 1 1 1 1 1 2 2 6 1 1 2 1 1 1 1 2 1 3 1 2 3 58
0 2 2 1 1 0 0 0 0 1 0 1 0 0 0 0 0 0 0 0 3 0 1 0 0 0 0 1 1 0 1 1 0 2 18
2 2 2 1 2 2 2 1 2 2 1 2 1 1 1 1 1 1 2 2 6 1 1 2 1 1 1 1 2 1 3 1 2 3 57
0 1 1 0 2 3 0 1 3 3 1 3 1 5 0 1 3 1 3 3 1 1 1 2 1 1 1 1 2 0 2 1 2 0 51
0 1 1 1 1 0 0 1 1 1 0 2 0 1 0 0 0 0 1 0 0 1 1 1 3 1 1 1 2 2 1 1 1 1 28
Espionaje industrial
Corte elctrico
Inundacin
Terrorismo
Terremoto
Disturbios
Tormenta
Falla HW
Incendio
Hacker
1 1 1 1 2 1 3 3 2 2 2 2 2 1 1 2 1 2 2 2 6 2 1 2 2 1 1 1 2 1 2 1 2 2 60
0 0 1 0 0 1 0 0 0 0 0 0 0 0 0 0 1 0 0 0 0 1 1 1 0 0 1 1 2 1 0 0 1 0 12
0 3 3 0 2 1 0 4 3 1 3 3 3 1 0 3 3 3 4 6 9 1 1 0 0 0 0 1 1 0 1 1 0 1 62
Esfuerzos Mitigacin
Indice Vulnerabilidad
Con respecto a otros activos que tambin requieren atencin estn los siguientes:
Tipo Activo Hardware Hardware Sistemas Sistemas Sistemas Nombre Activo Centro de datos Servidores Almacenamientos de Datos Correo Firewall Valor 5 4 4 3 3 ndice Riesgo 105 116 100 102 96 Contramedida Hay dos centros de Datos actualmente Existen varias medidas de proteccin: UPS, redundancia, Cluster, contratos de Mantencin. Redundancia de discos, controladoras, UPS Plataforma distribuida en internet y on-premise Redundancia para el Firewall, control de accesos
1ra dependencia
Comunicaciones Comunicaciones Comunicaciones
2da dependencia
Firewall Servidores Exchange Servidores DNS
3era dependencia
Servidores Exchange Storage SAN Servidores AD
4ta dependencia
Servidores AD Servidores AD Hardware
Al revisar exhaustivamente podremos ver que siempre se depende de una serie de factores en cadena para que funcione como un conjunto unificado. Dado este conjunto es necesario tener pCorpes de contingencia para todos aquellos sub-sistemas de los cuales hay mas dependencias, ya sea otros sub-sistemas o de clientes finales. Tambin es importante asignar prioridad, aquellos que son vitales para el desempeo del negocio. Tomando ests ideas nos avocaremos a los ms relevantes desde la perspectiva de servicios Microsoft y de los que dependen tanto usuarios como otros sistemas: Active Directory, DNS, DHCP y Exchange server.
Nivel de disponibilid ad
99% o superior
Sistema de mensajera de primer nivel : Corresponde a un sistema con las siguientes caractersticas: 1 Firewall con DMZ 1 Servidor de seguridad (ISA, Relay) 1 DC-GC 1 DNS
1 Exchange Sistema de mensajera de segundo nivel: Un sistema de segundo nivel cumple los requisitos de un sistema de primer nivel, pero tambin incluye varios controladores de dominio, varios servidores DNS, un servidor de supervisin independiente y una solucin de almacenamiento bsica de Storage redundante de discos independientes (RAID) que no est en una SAN. Sistema de mensajera de tercer nivel: Un sistema de mensajera de tercer nivel cumple los requisitos de un sistema de segundo nivel, pero tambin incluye una solucin de almacenamiento RAID de gama media mediante SAN e implementa BaCorpceo de carga de red (NLB) en los servidores Front-end de Exchange. Sistema de mensajera de cuarto nivel: Un sistema de mensajera de cuarto nivel cumple los requisitos de un sistema de tercer nivel, pero tambin incluye una solucin de almacenamiento RAID de gama alta, una solucin SAN de gama alta, copia de seguridad y restauracin mediante el servicio de instantneas de volumen y Organizacin en clster activo/pasivo de Microsoft Windows (con varios nodos pasivos) para todos los servidores de servicios de fondo de Exchange. Sistema de mensajera de quinto nivel: Un sistema de mensajera de quinto nivel cumple los requisitos de un sistema de cuarto nivel, pero tambin incluye conmutacin por error completa del sitio (en caso de que se produzca un error en un sitio) mediante el uso de un diseo de varios sitios que incluye una solucin de organizacin en clster dispersa geogrficamente.
99,5% o superior
99,9% o superior
99,99% o superior
99,999% o superior
Solucin
Verificar conectividad con Ping IP DNS server Verificar estado servicio DNS, en servidores DNS Principal Verificar estado servicio WINS, en servidores WINS Principal
Hay problemas con la modificacin y generacin de cuentas Problemas de acceso para un solo servidor Windows
Revisar que todos los roles FSMO, estn funcionando correctamente, en especial schema admin. Ejecutar comando NETDOM QUERY FSMO y verificar si estn operativos esos servidores Registrarlos en DNS Server Ipconfig /registerdns y para Wins con NBTStat RR Verificar conectividad con Ping a: DC1 DC2 Revisar con SET L en estacin con problemas y ver a que servidor se conectan. Luego revisar acceso con ping y nslookup a este servidor. Verificar configuracin de DNS en estacin Verificar aplicacin y actualizacin de Antivirus corporativo Identificar que estacin es la bloquea las cuentas revisando log de eventos Security Revisar conectividad a servidores Proxy: proxy.Corp.cl Conectarse a servidores Proxy: proxy.Corpchile.cl y verificar servicios
Usuarios se bloquen sus Password recurrentemente Se detectan problemas para Navegar en Internet
Pregunta:
Evaluar Impacto: La falla es aislada generalizada?
Respuesta
En caso de ser aislada (solo algunos clientes):
Accin comprobatoria
Es necesario ver cuantos clientes y como se ven afectados. Ejecutar comando IPconfig para verificar IP recibida y que NO sea 169.254.X.X Ping a <Servidor de Correo> Verificar donde se autentica con comando SET L, debe ser alguno de <Servidores DC>. No puede ser local
1. 2. 3.
Ping <Servidor de DC> para Verificar conexin a DC. Logon con Escritorio Remoto a servidor <Servidor de Correo Cluster> Verificar que los servicios Microsoft Exchange estn arriba : Servicio Debe estar Microsoft Exchange System Attendant Iniciado Iniciado Microsoft Exchange Information Store Iniciado Microsoft Exchange MTA Stacks Iniciado Microsoft Exchange Routing Engine Iniciado Microsoft Exchange Management
4.
Verificar que el envo de correo hacia y desde Internet est funcionando. Si no funciona revisar los siguientes servidores: BH01, BH03, BH05 5. Verificar conexin a pgina web en internet. Si no funciona hacer ping a www.google.cl y ver si resuelve la direccin (es muy probable que el ping no responda). Si no lo resuelve verificar servicio DNS en DC1. Verificar los pasos 1,2,3,4,5 En consola de ESM Verificar que bases de datos estn Montadas Verificar funcionamiento de acceso RPC con: telnet <Servidor de Correo Cluster> 135 (La Terminal/pantalla debe quedar en negro) Verificar los pasos 1,2,3,4,5 Adems probar desde IExplorer la siguiente URL: http://OWA1/exchange y ver si posible conectarse al servicio OWA Si lo anterior no funciona verificar el estado del servicio en la consola remota del mismo servidor VIRTCLU2, a travs de la siguiente URL: http://VIRTCLU2/exchange. probar con tambin con los siguientes: VIRTCLU1, VIRTCLU3, VIRTCLU4 En el caso de clientes POP3 e IMAP ejecutar los siguientes comandos: telnet OWA1 110 y telnet OWA2 143. Si lo anterior tampoco funciona en la consola remota del mismo servidor OWA1, ejecutar como comando IISRESET Verificar de salida a internet Verificar los pasos 1,2,3,4,5 Verificar las colas de los servidores: BH01, BH03, BH05 Ejecutar comando desde BH01, BH03 y BH05: telnet 192.168.99.164 25 y verificar respuesta de comandos SMTP Verificar envo de correos directamente al servidor MTA: recomendado ver articulo MS: http://support.microsoft.com/kb/153119 Solo para algunos buzones: Verificar los pasos 1,2,3,4 Ver que est direccin SMTP correcta en configuracin de buzn (propiedades, email address) Para todos los buzones: Verificar los pasos 1,2,3,4 Verificar si servicio SMTP est operativo en BH01, BH03 y BH05 a travs de un comando: telnet BH01 25 telnet BH03 25 Desde consola de servidor BH01, BH03 y BH05, seleccionar tracking de correos recibidos en los ltimos 10 minutos. Recomendado ver articulo MS: http://technet.microsoft.com/enus/library/aa997573.aspx Ping a todos: <Servidor de DC> y esperar respuesta Verificar con el comando SET L que la estacin haga logon a alguno de los DC: DC1, DC2, DC3, DC6, DC7 Logon con terminal Service a todos los DC: <Servidor de DC>Verificar en otros server afectados el log de eventos de aplicaciones
10
Compruebe que hay una copia de seguridad vlida de las bases de datos (si se quiere recuperar luego estos). Debe montar los almacenes una vez reiniciado el servidor. La instalacin de una recuperacin de desastres reemplaza la jerarqua de directorios y las claves del Registro sin volver a agregar la informacin a Active Directory. Debe tener el servidor configurado con las mismas unidades de disco para luego pasar los datos Si ejecuta Exchange Server en un clster, NO puede realizar una instalacin con el parmetro /disasterrecovery El parmetro /DisasterRecovery puede ser usado para recuperar la configuracin completa desde Active Directory de todos los tipos de roles de Servidores Exchange 2003 exceptuando aquello es que estn montados en configuracin de Cluster. Adicionalmente a aplicar las configuraciones almacenadas en AD, el Setup re-instala archivos y servicios requeridos para esos roles. Esto significa en la prctica que solo algunas personalizaciones realizadas necesitaran ser recreadas manualmente otra vez, Por ejemplo: Bases de datos, personalizaciones de OWA, certificados SSL.Para estas ltimas se recomienda tambin tener un respaldo en una ubicacin distinta al servidor que se protege. Algunas razones adicionales que motivan la ejecucin de una instalacin de recuperacin de desastres con el comando setup.exe /disasterrecovery son las siguientes: La carpeta Bin ha sido eliminada accidentalmente. Las claves del Registro de MSExchange se eliminan y no hay ninguna copia de seguridad del Registro. Se ha optado por iniciar un servidor con la misma configuracin del fallido, pero sin Datos (conocido como mtodo Dial tone. Es un mtodo rpido de recuperar la operatividad de un servidor que no tenga datos como por ejemplo un Bridge server o OWA)
11
12
Busque en el registro de aplicacin de Event Viewer: Empiece por buscar sucesos MSExchangeCluster. La descripcin debera ayudar a determinar el origen del problema.
Configure el registro detallado del Servicio de Cluster: Aunque los clsteres de servidores registran los errores y sucesos en el registro Sucesos del sistema, puede solucionar el problema con mayor rapidez si habilita el registro detallado del Servicio de Cluster para obtener un archivo de texto denominado Cluster.log. How to Turn On Cluster Logging in Microsoft Cluster Server
Instalar el sistema operativo Windows Server 2003 y unir el nuevo nodo al dominio. Conectar el nuevo nodo al recurso de disco compartido (SAN). Agregar el nodo de reemplazo al clster.
Instalar Exchange en el nodo de reemplazo. Actualizar con SP y hotFix a Nodo as que tenga el mismo nivel de actualizacin que otros nodos.
13
14
15
Error en un servidor de buzn o de carpetas pblicas que requiere la reconstruccin del servidor: En este caso, la recuperacin ante desastres suele implicar la reconstruccin del servidor desde su sistema operativo.
Eseutil: Es la herramienta para desfragmentar una base en modo Offline, chequear su integridad y reparar dao o perdida de datos. Tenga en cuenta el espacio libre en disco requerido para ejecutar estas opciones, el cual puede ser al menos el tamao de la base de datos y en cuyo caso podra usar la opcin /t para indicar un almacenamiento temporal. Para revisar desfragmentacin, ejecutar el comando de la siguiente manera, cambiando los path: C:\Program Files\Exchsrvr\Bin\eseutil /MS R:\Program Files\Exchsrvr\MDData1\Priv1.edb Para desfragmentar Offline, ejecutar el comando de la siguiente manera, cambiando los path: C:\Program Files\Exchsrvr\Bin\eseutil /d R:\Program Files\Exchsrvr\MDData1\Priv1.edb Para revisar integridad, ejecutar el comando de la siguiente manera, adecuando los path: C:\Program Files\Exchsrvr\Bin\eseutil /g R:\Program Files\Exchsrvr\MDData1\Priv1.edb Para recuperacin a desastres, asegurese que la base realmente no puede iniciar, revise en el log de eventos la causa de la falla, haga un backup de la base, por ultimo reinicie el servidor y si todo aun no funciona, ejecute el comando de la siguiente manera, modificando los path (hay que tener claro que es posible prdida de datos): C:\Program Files\Exchsrvr\Bin\eseutil /P R:\Program Files\Exchsrvr\MDData1\Priv1.edb Isinteg: Es usado para realizar test del information Store y corregir algunos errores detectados. Debe ejectarse varias veces ISINTEG FIX test alltests hasta que no se reporten errores
16
17
En Advanced Restore options asegurarse que los siguientes campos estn marcados. Restore Security. Restore Junctions point, and restore file and folders data Ander junctions points to the original location. Preserve existing volume mount points. Hacer click en Finish. Rechazar el reinicio del equipo. Hacer click en Restore Tab.Asegurarse de que este seleccionada la opcin Alternate Location en Restore Files To. Nota: Con esta opcin se restaurar el System State a un ubicacin alternativa, no es necesario para este caso que se restaure el disco de sistema dentro de las selecciones posibles de NTBACKUP para respaldo a un ubicacin alternativa. Este tipo de restauracin solo restaurar SYSVOL, boot files y registro a dicha ubicacin alternativa. Cuando el proceso de restore finalice, cierre la aplicacin NTBACKUP. Luego de lo anterior, abra una ventana de comando y digite ntdsutil, presione Enter. Luego, escriba Authoritative Restore y presiones Enter. Digite, Restore database.En cuadro Authoritative Restore Confirmation Dialog, click OK. Digite Quit, repetidamente hasta salir de la aplicacin. Reinicie el servidor. Una vez que el sistema haya reiniciado y luego de que SYSVOL, haya sido publicado debe copiar los archivos y carpetas desde el directorio SYSVOL a la Ubicacin Alternativa (Alternative Location). Entre los archivos que debe considerar, se encuentra Scripts, Polticas de dominio y polticas de grupo. Por ejemplo: Copie el contenido de la presente carpeta: c:\<AlternateSysvolLocation>\sysvol\c_\winnt\Sysvol\Domain\scripts\. Una vez lo anterior, agregue a la siguiente carpeta: c:\Winnt\SYSVOL\Sysvol\domain\scripts\
18
19
5 DRP de Exchange
5.1 Falla de servidor Exchange
Ante la falla de un servidor Exchange, primero identificaremos que rol tiene y a continuacin nos informaremos si corresponde o no a un cluster. Para eso nos apoyaremos en el nombre de la maquina y alguna documentacin y/o conocimiento que podamos rescatar acerca de ella. Los nombres de las maquinas tienen declarado implcitamente varias de sus caractersticas: Por Ejemplo la maquina: 3KPELIMBH01, se puede descomponer en: 3K: Maquina Windows 2003 PE: Del dominio pe.Corp.com LIM: Ubicada en Lima BH : Con rol BridgeHead 01: Correlativo a su numeracin Fuera de esta normativa estn los servidores virtuales de Cluster, los cuales tienen nombre de Arboles, tales como: VIRTCLU2, VIRTCLU1, VIRTCLU3, VIRTCLU4.
20
5. 6.
Reiniciar y verificar operacin servidor recuperado, conectando clientes, verificando flujo de correo. Instalar otras aplicaciones, tales como Antivirus, agentes de monitoreo
21
o The Microsoft Exchange Information Store service does not start o The MTA Stacks service may not start o SMTP Service wont start Si el servicio exchange esta montado en clustering, este ultimo tiene el control de los servicios y todas las operaciones de inicio y bajada de servicios deben realizarse a travs de Cluster Administrator. De igual manera en casoi de falla se deben seguir el orden indicado y verificar en el Event Viewer de aplicacin los efectos de cada subida y bajada de recursos. Podra ser necesario Incrementar el nivel de diagnostic.
6. 7.
Si no estn asignados automticamente, remover Check Box y asignar manualmente a algun DC que le tengamos confianza en el acceso y la integridad. En caso contrario verificar en Event Viewer de aplicacin ID con error para troubleshooting
22
Verifique que los errores indicado en Event Viewer de aplicacin e intente solucin haciendo troubleshooting en base a ID detectado. Haga un Backup de la base de datos Exchange incluso si se piensa que est daada Verifique el espacio libre disponible en disco que sea al menos del mismo tamao de la base Verifique a travs de la forma ms inofensiva de Eseutil propuesta por los switches (para detalles de uso de Eseutil Verificar en 4.10 Recuperacin de base de Datos) 1. eseutil /mh: Indica si el ultlimo shutdown fue limpio 2. eseutil /ml: Similar pero adems revisa los Logs 3. eseutil /mk: Provee informacin del checkpoint 4. eseutil /k: Revisa integridad de information Stores Tambin en el supuesto que falle la base de Datos al montarse debido a un evento: ESE ID 494 - Recovery failed with error -1216. Tambien pueden aparecer ESE BACKUP ID 904 y ID 905 en ese caso aplicar reparacin de log files con Eseutil /R. Finalmente en base a las correcciones y resultados de los comandos anteriores hay que decidir si se ejecuta la reparacin forzada de la base con el parametro: /P
2.
3.
Se requiere ahora seleccionar la base de Datos que ser recuperada con Add Database to Recover
23
4. 5. 6.
Realizar ahora la recuperacin de la base de Datos con el software de Backup (Tivoli DSM). Verificar que el directorio Recovery Storage Group est limpio y sin archivos. A continuacin la base queda montada y con los mismos Buzones a produccin Se debe realizar entonces la recuperacin del buzn con datos perdidos
7.
8.
Es necesario indicar que hacer con los datos recuperados: Merge copy
9.
En el supuesto que se quisieran recuperar todos los buzones de una base de datos se seleccionan todos
24
2.
Desde ESM, en tools, indicar MailBox Recovery Center, Advanced, y especificar el Mailbox Store del servidor
3.
4.
Desde Active Dorectory Users and Computers buscar los buzones que se re-conectaron e indicar Move MaiBox
5.
6.
Con esto quedan operativos los buzones, y solo resta remover el RSG, para lo cual hay que desmontar el Mailbox store de recuperacin.
25
7.
4. En "cluster administrator", seleccionar Grupo Exchange que se desea mover. 5. En este con botn derecho indicar move Group y luego a cual nodo pasivo
26
6 DRP de AD
Que se corrompa Active Directory, no solo implicar que los usuarios NO puedan validarse al Dominio, sino adems no podrn acceder sus recursos y a su correo, ya que el Active Directory contiene la Configuracin de la Organizacin de Exchange. Teniendo en cuenta lo anterior, el AD es una base de datos Multimaster, por lo que se replica constantemente otros Domain Controller existentes en la Foresta, esto quiere decir que la corrupcin ser transmitida a los otros DC.
27
5. 6.
En el prompt ntdsutil, tipearauthoritative restore . En prompt ntdsutil authoritative restore, tipear: Restore Subtree OU=ouname,DC=domain,DC=domainroot Por ejemplo, si sin querer se borr la unidad Organizacional Marketing en el dominio cl.Corp.com, escribir: Restore Subtree OU=Marketing, DC=cl,DC=Corp,DC=COM 7. En el cuadro de dialogo Authoritative Restore Confirmation , clic OK. 8. Tipear quit hasta salir de Ntdsutil.exe. 11. Restart el servidor. Esta OU estar marcada como authoritative para el directorio los cambios sern replicados a los otros domain controllers. 9. Verificar replica con comando repadmin /showrepl
RID Master 7.
Domain Admins
El sistema solicitar una confirmacin. Este entonces intentar transferir el rol. Cuando la transferencia falla alguna informacin de error es mostrada y el sistema procede a la reasignacin. Despus que la transferencia se completa una lista de roles y nombres Ldap que mantiene cada rol es mostrada. 8. Durante la reasignacin del rol de RID master, el que mantiene el rol intenta sincronizar con sus partners de replicacin. Si no puede establecer la comunicacin ser mostrado un Warning y se debe confirmar que se desea trasferir el rol haciendo clic en Yes, para proceder. 9. Tipear quit hasta salir de Ntdsutil.exe. 10. Verificar con comando Netdom query FSMO, ubicacin de los roles
28
29
30
Con esto se ha completado el proceso para borrar un servidor DNS. Se debe completar el proceso para servidores DNS adicionales que se pCorpea integrar con Active Directory. Los pasos siguientes crearan una nueva base para DNS, Active Directory y FRS: 1. Configurar todos los servidores DNS para que apunten al mismo servidor DNS en el dominio o bosque 2. Vuelva a agregar el servicio DNS y/o las zonas y configurarlas como integradas a Active Directory. Para evitar problemas, indicar "Permitir actualizaciones dinmicas". 3. Detenga el servicio DNS y el servicio NetLogon. 4. Ejecutar comando ipconfig /flushdns y, a continuacin, ejecutar comando ipconfig /registerdns. Este comando registrar su registro host (A) en DNS, as como el SOA. Ejecutar este comando en otros servidores que son crticos. DHCP client service debe estar corriendo en cada uno de estos equipos para registrar los registros en DNS dinmico. No importa si el equipo es un cliente DHCP o no. 5. DNS integrado a Active Directory trabajar ahora en el primer servidor DNS dinmico. Todava los otros Servidores DNS dinmicos deben apuntar al primer servidor DNS en propiedades TCP/IP. Hay que asegurarse que se ha producido la replicacin completa antes de cambiar las propiedades de TCP/IP para que apunte a s mismo para los otros servidores DNS.
1. En el servidor DNS con la copia primaria, haga clic en Zona con problema 2. Clic con el botn derecho en la zona y seleccione Properties. Haga clic en tab Zone Transfers. 3. Active el check box Allow zone transfers y luego haga clic en: To any server 4. Haga clic en Apply y despus, en Ok. Esperar algunos minutos y volver intentar seleccionar la zona en DNS secundario. Una vez que la zona esta operativa en servidor secundario, se puede cambiar a Active Directory Integrada siempre y cuando este servidor sea un Domain controller. Esto se puede lograr automticamente al reiniciar el servicio DNS manualmente seleccionando cambio de la zona a integrada en Active directory: 1. Clic derecho en la zona DNS, clic en Properties, clic el tab General, verificar el tipo de la zona que puede ser una de las siguientes: Primary zone, Secondary zone Stub zone. 2. Clic en Change. En el cuadro Change Zone Type, clic para seleccionar el check Box Store the zone in Active Directory (disponible solo en domain controller). Aceptar luego con Yes, y entonces clic OK.
31
Estructura de comunicaciones que permite la redireccin de bsquedas DHCP para casi todas las localidades en Chile Dos servidores DHCP separados Geogrficamente Scope DHCP divididos en ambos servidores con la mitad de un rango de red Clase C para cada uno (100 direcciones aproximadamente)
32
En consideracin a ste diseo/estado y las rutas donde se podra generar una falla, se proponen las siguientes modificaciones para hacer ms robusta la configuracin de DNS service:
33
Tal como ilustra la figura, se puede declarar lo siguiente: Cada servidor DNS en la foresta DNS de Corp.com tendr una copia integrada al Active Directory de las 98 zonas que son propias de la compaa. Los Clientes recibirn como parmetros propios de DHCP, el servidor DNS que corresponda a su dominio y sitio Active directory. El DNS server de cada ORI, tendr como re-envador en primer lugar al DNS de su propio ISP, y con esto las consultas para las zonas que no son locales no llegaran hasta Chile, si no que sern atendidas por un DNS ms cercano. Cada DNS server de una ORI, tendr en segundo lugar de los re-enviadores el DNS de la forest Root Domain Corp.com. Los cuales sern utilizados cuando falle el enlace Internet con el ISP y as la ORI podr seguir funcionando con todos los sistemas internos que corren por la red SITA. En Santiago, los servidores DNS del dominio cl.Corp.com harn el re-envo a los del forest Root Domain Corp.com Los servidores DNS de Corp.com tendrn configurados 3 forwarding: Impsat.cl, Altavoz.net y los servidores DNS de la DMZ (dns.Corpchile.cl). La siguiente tabla muestra como debera ser configurados la entrega de parmetros de DHCP por sitio, asi como la configuracin de forwarding para cada servidor DNS de la organizacin.
34
Sitio
Dominio Corp.com
DNS x DHCP
Forward2 impsat.cl altavoz.net DC2 Corp.com DC2 Corp.com DC1 Corp.com DC1 Corp.com DC1 Corp.com DC1 Corp.com DC1 Corp.com DC1 Corp.com DC1 Corp.com DC1 Corp.com DC1 Corp.com DC1 Corp.com DC1 Corp.com DC1 Corp.com DC1 Corp.com DC1 Corp.com DC1 Corp.com DC1 Corp.com DC1 Corp.com DC1 Corp.com DC1 Corp.com DC1 Corp.com DC1 Corp.com DC1 Corp.com DC1 Corp.com DC1 Corp.com DC1 Corp.com DC1 Corp.com
CL-Santiago cl.Corp.com
DC1 DC6
cambian a 2do server DNS siguen usando el 1er. DNS cambian a 2do server DNS siguen usando el 1er. DNS cambian a 2do server DNS siguen usando el 1er. DNS cambian a 2do server DNS siguen usando el 1er. DNS cambian a 2do server DNS siguen usando el 1er. DNS cambian a 2do server DNS siguen usando el 1er. DNS cambian a 2do server DNS siguen usando el 1er. DNS cambian a 2do server DNS siguen usando el 1er. DNS cambian a 2do server DNS siguen usando el 1er. DNS cambian a 2do server DNS siguen usando el 1er. DNS cambian a 2do server DNS siguen usando el 1er. DNS cambian a 2do server DNS siguen usando el 1er. DNS siguen usando el 1er. DNS cambian a 2do server DNS siguen usando el 1er. DNS cambian a 2do server DNS
DC1 Corp.com DC1 Corp.com ISP Local ISP Local ISP Local ISP Local ISP Local ISP Local ISP Local ISP Local ISP Local ISP Local ISP Local ISP Local ISP Local ISP Local ISP Local ISP Local ISP Local ISP Local ISP Local ISP Local ISP Local ISP Local ISP Local ISP Local ISP Local ISP Local
Forward3 DNS3.Corpchile.c l DNS3.Corpchile.c l DNS3.Corpchile.c l DNS3.Corpchile.c l DC2 Corp.com DC2 Corp.com DC2 Corp.com DC2 Corp.com DC2 Corp.com DC2 Corp.com DC2 Corp.com DC2 Corp.com DC2 Corp.com DC2 Corp.com DC2 Corp.com DC2 Corp.com DC2 Corp.com DC2 Corp.com DC2 Corp.com DC2 Corp.com DC2 Corp.com DC2 Corp.com DC2 Corp.com DC2 Corp.com DC2 Corp.com DC2 Corp.com DC2 Corp.com DC2 Corp.com DC2 Corp.com DC2 Corp.com
AR-BuenosAires
ar.Corp.com
3KARBUEDC01 3KARBUEDC02
br.Corp.com BR-Viracopos
3KBRVCPDC01
3KBRSAODC01 BR-SaoPablo br.Corp.com 3KBRSAODC02 DE-Frankfurt eur.Corp.com 3KDEFRADC01 3KDEFRADC02 ec.Corp.com EC-Guayaquil 3KECGYEDC01 3KECUIODC01 EC-Quito ec.Corp.com 3KECUIODC02 ES-Madrid eur.Corp.com 3KESMADDC01 3KESMADDC02 MX-CiudaddeMexico amn.Corp.co m pe.Corp.com PE-Lim-Ato 3KMXMEXDC01 3KMXMEXDC02 3KPELIMDC04 3KPELIMDC01 PE-Lim-Mir pe.Corp.com 3KPELIMDC03 USA-LosAngeles amn.Corp.co m 3KUSLAXDC02 3KUSMIADC01 USA-Miami amn.Corp.co m 3KUSMIADC02 UY-Montevideo uy.Corp.com 3KUYMVDDC01 3KUYMVDDC02 1er 2do 1er 2do 1er 2do 1er 2do 1er 2do 1er 2do 1er 2do 1er 2do 1er 1er 1er 2do 1er 2do
35
La siguiente figura indica el anlisis correspondiente a un diagrama de flujo y como operara el forwarding en caso de una falla:
36
37
Costo
2 servidores 2 servidores 2 servidores + SAN
Pros
Proteccin Contra corrupcin DB Scope disponible al 100% (sin overhead) Simple administracion, Scope disponible al 100% (sin overhead)
Contras
IP Limitadas Requiere Intervencion Manual, Problemas con update DNS Sin proteccion para database, unico punto de falla
Si consideramos que los scope Divididos ya estn presentes, nos quedan solo 2 alternativas, pero un requisito es hacer la solucin tolerante a fallas completas, como por ejemplo del datacenter, por lo cual habra que descartar el cluster DHCP, ya que no podemos distribuirlo geogrficamente. Nos quedamos solo con la alternativa del standby server, en el cual un servidor DHCP as como sus scope, no estn activos en condiciones normales y solo son habilitados cuando el administrador lo requiere. Para habilitar la configuracin de Stand-by server, sta debe ser un respaldo idntico del primario. Algunas cosas se deben tener en cuenta para la implementacin del Stand-by:
38
Se deben considerar dos servidores Stand By, cada uno podr cubrir en caso de falla de un servidor DHCP en produccin. Nos es posible hacerlo en un solo stand-by que abarque todo el rango de direcciones disponibles que estara superponiendo y entregando direcciones del mismo rango del que an sobrevive. Es conveniente tener algn mecanismo de monitoreo para tener rpido feed-back de que se ha producido la falla de un servidor DHCP y para estar seguro cual es el servidor Stand-by que es necesario subir y no otro. El Stand-by debe usar la misma IP address del servidor DHCP para no cambiar la configuracin de ruteo en la red, ya que los router usan un parmetro llamado IPHelperAddress para localizar al DHCP sin pasar el Broadcast generado por el Request DHCP. Este servidor se debe mantener desconectado de la red de produccin o apagado para evitar conflictos con el servidor principal DHCP. Por las facilidades de administracin y manejo de redes se recomienda una maquina virtual Tambin se debe implementar en el servidor de deteccin de conflictos para evitar que la asignacin de direcciones duplicadas en Consola DHCP, Server, Propiedades, y ah seleccionar un numero ente 1 y 6:
Debido a que la deteccin de conflictos en el servidor ARP e ICMP para detectar duplicados, El Firewall o otros servidores de seguridad que se instaCorp en los clientes de la red podra interferir con la deteccin de conflictos.
Adicionalmente al realizar el anlisis de este servicio se detectaron algunos detalles que requieren atencin y/ correccin: Backup de la base de Datos DHCP o Respaldo Sincrnicos, son automticos cada 60 minutos o Respaldo Asincrnicos (manuales) ejecutados usando el comando de Backup en la consola DHCP o Backups herramientas de backup Tener listado de scope que se encuentran con ms del 50% de uso ya que en caso de falla estos no podrn cubrir todas las necesidades. Completar los scope divididos que en algunos casos no estn presentes en ambos servidores (ver documento de levantamiento)
39
40
de corregir esto es a travs de Despromosion/Promosin del domian controller lo cual es bastante impactante en la configuracin de la maquina. Este issue Para corrobar mas profundamente el estado de las polticas es posible generar un log de diagnostico, para guardar detallada informacin acerca del procesamiento de las polticas. Este log es conocido como Userenv.log y est localizado en: %windir%\debug\usermode\Userenv.log (http://technet.microsoft.com/en-us/library/cc775423(WS.10).aspx) Para activar es log, es necesario ir a Regedit y configurar lo siguiente: En HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon Seleccionar New, y luego clic en DWORD. Entrar el siguiente nombre para el valor DWORD: UserEnvDebugLevel. Entrar 30002 como un valor hexadecimal. Finalmente ejecutar: "gpupdate /force"
2.
3.
4.
41
Al implementar analizadores antivirus para archivos en servidores de Exchange 2003, hay que asegrese de realizar las exclusiones apropiadas para los directorios, procesos y extensiones de nombres de archivo tanto en los anlisis programados, as como en tiempo real. Basados en la Referencia articulo MS: http://support.microsoft.com/kb/823166 se indican estas para servidores Exchange 2003 y Domain Controllers.
La carpeta temporal que se usa junto con utilidades de mantencin offline tal como Eseutil.exe. De forma predeterminada, esta carpeta es la ubicacin desde la que ejecuta los archivos .exe, pero puede configurarla al ejecutar Eseutil.exe. Archivos del Servicio de replicacin de sitios (SRS) en la carpeta Exchsrvr\Srsdata. Archivos del sistema de Servicios de Internet Information Server (IIS) de Microsoft en la carpeta %SystemRoot%\System32\Inetsrv. La carpeta de compresin de Servicios de Internet Information Server (IIS) 6.0 que se utiliza con Outlook Web Access 2003. De forma predeterminada, la carpeta de compresin en IIS 6.0 se encuentra en %systemroot%\IIS Temporary Compressed Files. Para los clsteres, el disco de qurum y la carpeta %Winnt%\Cluster. Cualquier carpeta de programas antivirus de mensajera. La carpeta Exchsrvr\Conndata. Excluya la carpeta que contiene el puntero de control (.chk) en antivirus residentes en memoria y ondemand.
42
.avc,.dt,.lst,.cab,.fdb,.mdb,.cfg,.fdm,.ppl,.config,.id e,.set,.da1,.key,.v3d,.dat,.klb,.vdb,.def,.kli,.vdm
8.5.5 Revisar Dsaccess Exchange 8.5.6 Performance de Domain Controller, opcin con 64 bits
Al hacer un muestreo para anlisis en un horario de baja actividad (dia Viernes a las 17.00 hrs), este mostr que los Domain controller de Corp.com y cl.Corp.com, tenan los siguientes valores promedios: Nro. Memoria Memoria Servidor IP Uso CPU Core disponible Total
3KCORPSCLDC01 3KCORPSCLDC02 DC1 DC2 DC3 DC6 BH01 BH03 BH05 PF01 MBX1 VIRTCLU1 VIRTCLU2 VIRTCLU3 VIRTCLU4 192.168.2.3 192.168.2.4 192.168.1.51 192.168.1.53 192.168.1.49 192.168.1.52 192.168.2.23 192.168.3.169 192.168.1.242 192.168.2.26 192.168.4.25 192.168.2.19 192.168.2.11 192.168.2.12 192.168.2.18 3% 26% 39% 11% 54% 1% 22% 78% 1% 54% 6% 40% 9% 27% 57% 2 2 4 4 2 1 2 4 4 2 2 4 4 4 4 128 Mb 280 Mb 85 Mb 480 Mb 200 Mb 200 Mb 80 Mb 550 Mb 2923 Mb 451 Mb 850 Mb 294 Mb 313 Mb 1186 Mb 1439 Mb 1 Gb 1 Gb 2 Gb 2 Gb 1 Gb 512 Mb 2 Gb 2 Gb 4 Gb 2 Gb 2 Gb 4 Gb 4 Gb 3,2 Gb 4 Gb
Esto indica que hay algunos servidores que estn degradados en su performance, en Rojo (grave) y Amarillo (alerta). Estos deben ser potenciados o reemplazados. Por ejemplo, DC1 solo tena al momento de la medicin 85 Mb disponibles de RAM, y lo recomendado es al menos 200 Mb para una respuesta adecuada. Tambin est el caso de BH01, el cual la memoria solo tiene disponible 80 Mb y BH01 donde CPU esta a ms del 78%, y esto finalmente redundar en una percepcin y respuesta lenta de esta mquina. Windows Server 2003 64 bits Hasta hace poco, la gran mayora de servidores disponibles en el mundo, eran servidores de 32 bits basados en el conjunto de instrucciones x86. Los sistemas Windows 32 bits han sido ampliamente implementados por su facilidad de uso y extensa funcionalidad. Hoy da dentro de servidores basados en el set de instrucciones Intel x86, se incluye una nueva clase denominada "x64". Estos servidores cuentan con el mismo conjunto de instrucciones x86, pero con la funcionalidad aadida de 64 bits. Esto significa que pueden ejecutar el software existente de 32 bits, adems del nuevo software de 64 bits. Las ediciones de Windows Server 2003 x64 estn diseadas para el nuevo hardware x64 que es actualmente el estndar de la industria. Los sistemas x64 ofrecen la opcin de ejecutar hoy da sistemas Windows 32 bits, mientras se pasan a sistemas Windows de 64 bits. El siguiente cuadro ilustra las alternativas que existen:
32 bits
Aplicaciones Windows Server Device Drivers Hardware 32 bits 32 bits 32 bits x64
Hibrido
32/64 Bits x64 x64 x64
64 bits Puro
x64 x64 x64 x64
En cuanto a compatibilidad y rendimiento los resultados de pruebas comparativas muestran que las ediciones de Windows Server 2003 x64 cumplen la promesa de ejecutar software de 32 y 64 bits a mayor velocidad. En la siguiente tabla, se compara el aumento de los recursos mximos de equipos basados en versiones de Windows de 64 bits y el procesador Intel de 64 bits con los recursos mximos existentes de 32 bits.
43
Componente Memoria virtual Tamao archivo paginacin Hiperespacio Bloque paginado Bloque no paginado Cach del sistema PTEs de sistema
La memoria virtual es mtodo para extender la memoria fsica disponible de un equipo. El sistema operativo crea un archivo de paginacin, y divide la memoria en unidades denominadas pginas. Una consideracin importante es que incluso las aplicaciones de 32 bits se beneficiarn de un mayor espacio de direcciones de memoria virtual cuando se ejecuten en versiones Windows 64 bits. Las aplicaciones que son compiladas con la opcin /LARGEADDRESSAWARE para aprovechar el parametro /3GB (boot.ini) en Windows de 32 bits, podrn direccionar automticamente 4 GB de memoria virtual sin ningn modificador en el booteo y sin hacer ningn cambios en Windows de 64 bits. Adems, el sistema operativo no tiene que compartir esos 4 GB de espacio. Por tanto, no hay ninguna restriccin. Al escoger instalar el sistema en 64 bits, debemos asegurarnos que el servidor como las aplicaciones soporten los 64 bits. En el caso de la mquina, prcticamente todos los procesadores actuales soportan los 64 bits (a partir de 2008). Para instalar un servidor Windows 2003 64 bits, se necesitar al menos 4 Gb de RAM (se puede instalar con menos, pero entonces rendira menos que la versin de 32 bits). En lo que respecta a las aplicaciones de 32 bits que se instalen en 64bits, la mayora funcionan sin problemas, aunque habra que asegurarse con la informacin que d el fabricante de las mismas, ya que es posible que en algn caso se necesite alguna actualizacin o parche. Para verificar consideraciones de compatibilidad tambin se recomienda el siguiente URL de Microsoft: http://support.microsoft.com/kb/896456/en-us Se recomienda entonces por las ventajas que ofrece principalmente en el manejo de memoria, gradualmente reemplazar los Domain Controllers Windows server 2003 a la versin equivalente 64 bits, con 4 Gb de RAM al menos. Ahora si se quiere utilizar la versin Windows server 2003 R2, se deber tener en cuenta que es necesario hacer una extensin del schema de active directory (va utilidad adprep), ya que es requerido para instalar un Domain controller con esta versin. Otros servidores Microsoft que podran ser candidatos a ser migrados a versiones 64 bits son los File Share y Print Share, los cuales podran ser migrados directamente a la versin Windows Server 2008 R2 sin otra consideracin que las diferencias que en cuanto a la administracin de estos productos.
44
Usar herramienta de PTV tal como Vmware vCenter Converter Es recomendable antes de pasar un sistema a servidor Virtual, cerciorase que la aplicacin ser completamente soportada en el ambiente virtualizado. Para aplicaciones Microsoft se recomienda usar el wizard indicada en la URL, para cualquier ambiente Virtual: www.windowsservercatalog.com
45
El acceso a clientes HTTP/MAPI/ otro debe ser proporcionado por 2 o ms servidores con el rol de Client Access Server de manera baCorpceada. Los servicios de Webmail, Exchange ActiveSync y Outlook Anywhere deben ser publicados directamente hacia Internet solo a travs del protocolo SSL (443) o a travs ISA server o Forefront Threat Management Gateway (TMG). Para el ruteo de mensajes, a cargo del rol de Hub Transport Server, se encargara de hacerlo dentro y fuera de la organizacin. Entregarn los correos internos a sus respectivos Mailbox server y se ayudar de los servicios SMTP para enviar correos fuera de la organizacin. La alta disponibilidad es obtenida a travs de la configuracin almacenada en Active directory que permite incluir mas de un servidor con Source o target de los mensajes. El de Mailbox Server est dedicado al almacenamiento de los buzones de correo de los usuarios Exchange Server 2010. En el siguiente diagrama se muestra la distribucin fsica de la mensajera electrnica en configuracin llamada DAG, la cual permite mantener varias copias de las bases de datos a travs de la red de datos y donde se requieran.
Requerimiento
Por defecto, el rol de schema master corre sobre el primer domain controller Windows Server 2003 o Windows Server 2008 /R2 Instalado en una foresta. El rol de schema master debe corer en cualquiera de los siguientes: Windows Server 2003 Standard o Enterprise SP1 o posterior(32-bit or 64-bit) Windows Server 2008 Standard o Enterprise (32-bit or 64-bit) Windows Server 2008 R2 Standard o Enterprise En cada sitio Active Directory donde est instalado Exchange 2010, debe haber al menos un servidor Global catalog que puede ser cualquiera de los siguientes: Windows Server 2003 Standard o Enterprise, SP1 o posterior (32-bit or 64-bit) Windows Server 2008 Standard o Enterprise (32-bit or 64-bit) Windows Server 2008 R2 Standard o Enterprise
46
Domain controller
En cada sitio Active Directory donde est instalado Exchange 2010, debe tener al menos un servidor Domain Controller que puede ser algunos de los siguientes: Windows Server 2003 Standard o Enterprise, SP1 o posterior (32-bit or 64-bit) Windows Server 2008 Standard o Enterprise (32-bit or 64-bit) Windows Server 2008 R2 Standard o Enterprise Active Directory debe tener el nivel de funcionalidad Windows Server 2003 forest o mas alto.
Usuarios
2500 2500 2500
Cuota Standard
200 Mb 200 Mb 200 Mb
Mnimo requerido
800 Gb 800 Gb 800 Gb
Recomendado
1,2 Tb 1,2 Tb 1,2 Tb
Como vemos debemos considerar idealmente 3,6 Tb para soportar a los usuarios y las replicas de las bases DAG. Ahora si consideramos que adems se requiere espacio suficiente para crecimiento y Tolerancia a fallas, debemos considerar un 50% mas para crecimiento y mantencin el espacio requerido en el Storage es de 7,2 Tb.
47
Adems de cumplir con los requisitos previos para la instalacin de Exchange 2010, existen requisitos del sistema operativo que deben cumplirse. Los DAG usan tecnologa de clster de Windows y, por lo tanto, requieren la versin Enterprise de Windows. Requisitos de red: Las redes del DAG son similares a las redes pblicas, mixtas y privadas usadas en versiones anteriores de Exchange. Sin embargo, a diferencia de las versiones anteriores, es posible configurar una nica red en cada miembro del DAG. Adems, la terminologa ha cambiado. En lugar de redes pblicas, privadas o mixtas, cada DAG cuenta con una nica red MAPI, que es usada por otros servidores para comunicarse con el miembro del DAG, y ninguna o ms redes de replicacin, que son redes dedicadas al transporte de logs y la inicializacin. Si bien se admite una nica red, recomendamos que cada DAG tenga, al menos, dos redes: una nica red MAPI y una nica red de replicacin. Esto ofrece redundancia para la red y la ruta de la red, y permite al sistema distinguir entre un error del servidor y un error de la red. El uso de dos adaptadores de red en cada miembro del DAG le ofrece una red MAPI y una red de replicacin, y los siguientes comportamientos de recuperacin: En caso de que ocurra un error que afecte la red MAPI, ocurrir un failover del servidor (siempre que haya copias de base de datos de Mailbox en buen estado que puedan activarse). En caso de que ocurra un error que afecte la red de replicacin, si la red MAPI no se ve afectada por el error, las operaciones de transporte de logs e inicializacin se revertirn para usar la red MAPI. Cuando se restaure la red de replicacin que presenta el error, las operaciones de transporte de logs e inicializacin volvern a la red de replicacin. Cada miembro del DAG debe tener el mismo nmero de redes. Por ejemplo, si pCorpea usar un nico adaptador de red en cada miembro del DAG, todos los miembros del DAG tambin deben usar un nico adaptador de red. Cada DAG debe tener una red MAPI como mximo. La red MAPI debe proporcionar conectividad a los otros servicios y servidores de Exchange, como Active Directory y DNS. Se pueden agregar redes de replicacin, segn sea necesario. Tambin puede evitar que un adaptador de red individual sea un punto de falla al usar teams de adaptadores de red. Cada servidor miembro del DAG debe encontrarse en su propia subred. Cada servidor del DAG puede encontrarse en una subred diferente, pero las redes MAPI y las redes de replicacin deben ser ruteables y suministrar conectividad, tal que: Cada red MAPI del servidor parte del DAG puede comunicarse con las dems redes MAPI del miembro del DAG. Cada red de replicacin del servidor miembro del DAG puede comunicarse con las dems redes de replicacin del miembro del DAG. No existe ruteo directo que permita trfico de Heartbeat de la red de replicacin a la red MAPI en otro servidor del DAG. Independientemente de su ubicacin geogrfica en relacin con otros miembros del DAG, cada miembro del DAG debe contar con un delay de red de ida y vuelta que no supere los 250 milisegundos (ms) entre cada uno de los dems miembros. Es posible que los requisitos de latencia sean menos estrictos que los de ancho de banda. Se debe evaluar la carga de red total, que incluye Client Access, Active Directory, HubTransport, replicacin continua y trfico de aplicacin, para determinar los requisitos de red necesarios para su entorno. Las redes del DAG admiten el protocolo de Internet versin 4 (IPv4). Requisitos de servidor testigo: Un servidor testigo es un servidor externo al DAG que se usa para alcanzar y mantener qurum cuando el DAG cuenta con un nmero par de miembros. Los DAG con un nmero impar de miembros no usan un servidor testigo. Todos los DAG con nmero par de miembros usarn un servidor testigo. El servidor testigo puede ser cualquier equipo que ejecute Windows Server. No es necesario que la versin del sistema operativo Windows Server del servidor testigo coincida con el sistema operativo usado por los miembros del DAG. Un DAG tiene qurum cuando la mayora de sus miembros estn conectados y pueden comunicarse con los dems miembros conectados del DAG. El qurum es un recurso interno del clster que ofrece un medio para arbitrar las decisiones de pertenencia y de estado del clster. El recurso de qurum tambin proporciona un almacenamiento para la informacin de configuracin. El qurum se usa tambin como mecanismo para resolver empates que podran ocurrir cuando los miembros del DAG no pueden comunicarse entre ello, pero se
48
encuentran en ejecucin. Este sntoma se evita al requerir la disponibilidad e interaccin de la mayora de los miembros del DAG.
49
Path nicos no-redundantes, ofrecidos a todo el equipamiento Componentes sin capacidad redundante Infraestructura bsica del sitio garantizanda al 99,671% de disponibilidad Cumple todos los requisitos de Tier 1 Componentes redundantes para la infraestructura del sitio que garantizen una capacidad de 99,741% de disponibilidad Cumple todos los requisitos de Tier 1 & Tier 2 Varias rutas de distribucin independiente al servicio d el equipamiento Todo el equipamiento debe ser de doble encendido y totalmente compatibles con la topologa de la arquitectura del sitio Adems la infraestructura del sitio debe mantener garantizando 99,982% de disponibilidad Cumple todos los requisitos de Tier 1, Tier 2 y Tier 3 Todos los equipos de refrigeracin son independientemente doblemente alimentados, incluyendo refrigeracin y calefaccin, ventilacin y aire acondicionado (HVAC) Infraestructura de sitio tolerante a fallas con las instalaciones de almacenamiento elctrico y de distribucin que garantizan 99.995% de disponibilidad
50
Debe comprenderse la estrategia para permitir los cambios de DNS necesarios a fin de realizar un cambio de Datacenter. Los cambios de DNS especficos, incluidos los valores del perodo de vida (TTL), deben definirse y documentarse para permitir los SLA vigentes. Tambin debe establecerse una estrategia para probar la solucin. La validacin peridica de la implementacin es la nica forma de garantizar la calidad y la vigencia de la implementacin. Una vez validada la implementacin, se debe documentar explcitamente la parte de la configuracin que afecte de manera directa SLA. Asimismo, se recomienda mejore los procesos de administracin del cambios en relacin con dichos segmentos de la implementacin. El Sitio principal debe alojar el servidor testigo, esto garantiza el servicio en el sitio principal incluso si la conectividad de red entre los dos centros de datos falla. Esto tambin implica que cuando falle el sitio principal se perder el qurum de los miembros del Sitio secundario y se deber activar el Sitio secundario manualmente (servidores del Sitio donde se produjo un error se quitan temporalmente del DAG) Durante la operacin de cambio, los servicios del Sitio principal se redirigen a direcciones IP alternativas para los mismos servicios en el Sitio secundario. Esto minimiza el nmero de cambios que deben realizarse en la informacin de configuracin almacenada en Active Directory. Hay dos formas de completar este paso: Update de los registros DNS. Reconfiguracin del baCorpceador de carga y del DNS global para habilitar y deshabilitar las direcciones IP alternativas y as trasladar los servicios entre los Datacenter. Establecer una estrategia para probar la solucin. Debe tenerse en cuenta en el SLA.
Pruebas Resolucin de Nombres (DNS Internoexterno) Verificacin de Visor de Sucesos en todas las mquinas -Reportes Verificar estandarizacin de password (Administrador local) Pruebas de HA para Servidores de Bridgehead Verificar estado de Windows Update en Mquinas
Verificar presencia y Exclusiones de AV en Servidores Revisar Configuracin de Red de cada mquina (IP DNS - GW) - Reportes Eliminar Software y Utilitarios que no corresponden al ambiente de produccin. Verificar presencia de Agentes y Mecanismos de Respaldo en cada Servidor
51
Fecha
Resultado Observaciones Conexin Outlook: Demora: SI seg. NO
Creacin de Mensajes en formato HTML, Texto Enriquecido y pCorpo Creacin de Mensajes con Archivos Adjuntos de distintos formatos (EXE, ZIP, DOC, XLS) Creacin de Mensajes con distintos niveles de importancia y sensibilidad Creacin de Msg con opciones de voto y seguimiento Envo de Msg mayores a polticas definidas Descarga de encabezados de Msg. Revisin de Lista Global de Direcciones GAL Verificar Acceso a OAB Creacin de citas Individuales, recurrentes y verificacin de disponibilidad Creacin y uso de notas Creacin y uso de contactos Creacin y verificacin de reglas de correo: Redireccionamiento a carpetas - Out Office Creacin y categorizacin de contactos Revisin de nuevos paneles y vistas incluidas en nueva versin de Outlook Verificacin de opciones de organizacin de Msj. Utilizar y verificar marcas para control y seguimiento de Msg. Llamadas a procedimientos remotos (RPC) con protocolo de transferencia de hipertexto (HTTP)
Prueba
Crear Contactos Crear Listas de Distribucin Agregar Usuarios a la Listas de Distribucin Eliminacin de Mailbox de usuarios
Resultado
Observaciones
52
Eliminacin del usuarios asociado a los mailbox eliminados Verificar que no existan los objetos User y Mailbox eliminados dentro del Active Directory
Resultado
Observaciones
Prueba
Conectar Clientes OWA y MAPI Realizar Failover del servicio en Cluster Verificar envo y recepcin de correos Volver los grupos de Cluster al primer Nodo Realizar el mismo ejercicio anterior pero con BridgeHead Server Apagado de 1 Servidor AD Apagado de 1 Servidor Exchange
Resultado
Observaciones
Prueba
Fail-over manual
Resultado
Observaciones
53
Fail-Back Manual Re-iniciar nodo Activo del Cluster Re-iniciar servidor BridgeHead Apagar nodo Activo del Cluster Apagar servidor BridgeHead Ejecutar lnea base de performance Monitor
54
10 Anexos
10.1 Procedimientos disponibles en Internet para Active Directory
Associate an Existing Subnet Object with a Site Back Up System State and the System Disk on a Domain Controller Back Up System State on a Domain Controller Change Polling Interval Change the Delay for Initial Notification of an Intrasite Replication Partner Change the Garbage Collection Logging Level Change the Garbage Collection Period Change the Priority for DNS SRV Records in the Registry Change the Space Allocated to the Staging Area Folder Change the Static IP Address of a Domain Controller Change the Weight for DNS SRV Records in the Registry Check Directory Database Integrity Check the Status of the Shared System Volume Clean Up Metadata Clear the Global Catalog Setting Compact the Directory Database File (Offline Defragmentation) Compare the Size of the Directory Database Files to the Volume Size Configure a Domain Controller as a Global Catalog Server Configure a Domain Controller as a Preferred Bridgehead Server Configure a Domain Controller to not be a Preferred Bridgehead Server Configure DNS Server Recursive Name Resolution Configure SID Filtering Configure the DNS Client Settings Configure the Selected Computer as a Reliable Time Source Configure the Site Link Cost Configure the Site Link Interval Configure the Site Link Schedule Configure Time on the Forest Root PDC Emulator Configure Windows NT 4.0 Emulation Copy the Directory Database Files to a Remote Share and Back Create a Connection Object Create a Delegation for a New Domain Controller Create a One-way Trust (MMC Method) Create a One-way Trust (Netdom.exe Method) Create a Secondary DNS Zone Create a Site Link Object Create a Site Object Create a Subnet Object Create a Temporary Connection Link for Replication Partners Create a Two-way Trust (MMC Method) Create a Two-way Trust (Netdom.exe Method) Create the New Staging Area Folder Create the SYSVOL Folder Structure Delete a Lingering Object from a Global Catalog Server Delete a Server Object from a Site Delete a Site Link Object Delete a Site Object Delete a Subnet Object Delete an Object from a Domain Determine the Database Size and Location Offline Determine the Database Size and Location Online Determine the Initial Change Notification Delay on a Domain Controller Determine the ISTG Role Owner for a Site Determine the Tombstone Lifetime for the Forest Determine When Intersite Replication is Scheduled to Begin Determine Whether Account Lockout Policy is Defined on a Domain Determine Whether a Domain Controller is a DNS Server Determine Whether a Domain Controller is a Global Catalog Server Determine Whether a Domain Controller is a Preferred Bridgehead Server Determine Whether a Server Object has Child Objects Determine Whether a Site Has at Least One Global Catalog Server Disable Compression on a Site Link Disable Outbound Replication Disable Time Service Flush the DNS Cache Enable Active Directory Diagnostic Event Logging Enable Change Notification on a Site Link Enable Secure Dynamic Updates for a DNS Zone Establish Credentials to Access a Remote Computer
55
Establish the Distinguished Name and GUID of an Object Gather the System Volume Path Information Generate the Replication Topology Identify a Revived Lingering Object and Replication Source on a Writable Domain Controller Identify and Delete a Known Non-Replicated Lingering Object on an Outdated Domain Controller Identify Replication Partners Identify the GUID of a Domain Controller Identify Unknown Lingering Objects on an Outdated Domain Controller Import the SYSVOL Folder Structure Install Active Directory Install the DNS Server Service Locally Restart a Domain Controller in Directory Services Restore Mode Monitor Global Catalog Removal in Event Viewer Monitor Global Catalog Replication Progress Move a Server Object to a Different Site Move the Directory Database Files to a Local Drive Perform Authoritative Restore of a Subtree or Leaf Object Perform Authoritative Restore of Entire Directory Perform Directory Database Recovery Perform Semantic Database Analysis with Fixup Prepare a Domain Controller for Non-Authoritative SYSVOL Restore Remotely Restart a Domain Controller in Directory Services Restore Mode Remove a Manually Configured Time Source on a Selected Computer Remove a Manually Created Trust Remove a Site from a Site Link Remove a Time Source Configured on the Forest-Root PDC Emulator Remove Active Directory Rename a Member Server Reset the Computer Account Password on the PDC Emulator Restart Disabled Outbound Replication on a Domain Controller Restart the Net Logon Service Restore Applicable Portion of SYSVOL from an Alternate Location Restore from Backup Media Restore from Backup Media for Authoritative Restore Restore System State to an Alternate Location Restore SYSVOL from an Alternate Location Seize the Operations Master Role Set a Manually Configured Time Source on a Selected Computer Set the fRSRootPath Set the PDC Emulator to not Synchronize Time Set the Staging Area Path Set the SYSVOL Path Stop and Start Windows Time Service Start the File Replication Service Stop the File Replication Service Stop the Net Logon Service Stop Windows NT 4.0 Emulation Synchronize Replication from a Source Domain Controller Synchronize Replication Partners with the PDC Emulator Transfer the Domain-Level Operations Master Roles Transfer the Forest-Level Operations Master Roles Update Security on the New SYSVOL Update the Junction Points Use the Net Time Tool Use the W32tm Tool Verify Active Directory Restore Verify a Connection Object Verify Communication with Other Domain Controllers Verify DNS Records Verify DNS Records by Using Dcdiag.exe Verify DNS Registration and Functionality Verify Domain Membership for a New Domain Controller Verify Global Catalog DNS Registrations Verify Global Catalog Readiness Verify Network Configuration Verify Network Connectivity Verify Replication is Functioning Verify an SPN Verify Successful Replication to a Domain Controller Verify that an IP Address Maps to a Subnet and Determine the Site Association Verify that Windows Time Service is Synchronizing Time Verify the Existence of the Operations Masters View Replication Metadata of an Object View the Current Operations Master Role Holders View the List of Preferred Bridgehead Servers
56
57
DSA Computer name mismatch DSACCESS.DLL file is missing The DSAccess configuration cache is full DSAccess configuration cache value is non-default DSAccess DisableNetLogonCheck registry parameter is non-default DSAccess has been hard-coded DSAccess is not using port 389 for LDAP domain controller requests DSAccess is not using port 3268 for LDAP global catalog requests DSAccess LdapKeepAliveSecs registry parameter is non-default DSAccess LdapKeepAliveSecs registry parameter is set to non-supported value DSAccess PreloadBaseDNs registry parameter is non-default DSAccess PreloadFilters registry parameter is non-default DSAccess reports that this Active Directory server is not functional DSAccess reports that this Active Directory server is not synchronized with the rest of the topology DSAccess reports that this Active Directory server is taking longer than 2 seconds to respond to LDAP requests DSAccess TopoCreateTimeoutSecs registry parameter is non-default The DSAccess user cache is full DSAccess user cache value is non-default DSProxy RFR service has been disabled Duplicate httpRuntime entries in the Web.config file EMSMTA.EXE file is missing EnableAuthEpResolution registry key is enabled Epoxy Client Out Queue Length (IMAP) beyond threshold Epoxy Client Out Queue Length (POP) beyond threshold EPOXY.DLL file is missing Epoxy performance monitor object is not available Epoxy Store Out Queue Length (IMAP) beyond threshold Epoxy Store Out Queue Length (POP) beyond threshold Error Accessing Exchange Server Error Accessing Exchange Server Information Error Accessing Message Tracking Log Error while upgrading ACLs ESE.DLL file is missing ESEUTIL.EXE file is missing EXCDO.DLL file is missing EXCHMEM.DLL file is missing EXMIME.DLL file is missing EXOLEDB.DLL file is missing EXPOP3.DLL file is missing EXPROX.DLL file is missing EXRES.DLL file is missing EXSMTP.DLL file is missing EXSMTP.DLL file version is outdated Exchange ActiveSync tracing is currently enabled Exchange binary file version is newer than installed version of Exchange Server This Exchange cluster node is also a domain controller Exchange Error Reporting is disabled This Exchange front-end server has the /3GB startup switch in the Boot.ini file Exchange IFS drive has not been explicitly excluded from Windows Backup This Exchange mailbox server has 1 GB or more of memory but does not have /3GB set in the Boot.ini file
58
Exchange Management service is not running as LocalSystem Exchange Management service is stopped Exchange Provider Tracing is Enabled Exchange 2000 Server is not running the latest Service Pack Exchange 2000 Server is not supported on Windows Server 2003 Exchange 2007 pre-release version is installed Exchange 2007 server object has been moved to a different administrative group Exchange 2010 does not support the Exchange 2007 Best Practices Analyzer Exchange resident on domain controller that is not a global catalog server Exchange Servers group does not have default group membership Exchange Server 5.5 detected Exchange Server 5.5 is not running the latest Service Pack Exchange Server 5.5 is not supported on Windows 2003 Exchange Server 5.0 is not running the latest Service Pack or Update Rollup Exchange Server 5.5 resident on Active Directory domain controller Exchange Server 2010 cannot be installed on a domain controller if the forest is in split permission mode Exchange Server 2010 installation is stopped if WinRM-IIS-Ext is installed on the server Exchange Server 2010 SP1 Poison Mailbox Quarantine Feature Exchange Server DNS name resolution failure The Exchange server has been designated as a front-end and appears to host mailboxes This Exchange server is also a domain controller, which is not a recommended configuration This Exchange server is down or unreachable This Exchange server is running on Windows NT4.0; limited diagnostic information is available This Exchange Server 2003 server is not running the final Service Pack 2 build Exchange Server is running SharePoint Portal Server Exchange Server is running Virtual Server 2005 with another Exchange Server installed as a Guest Exchange server running DNS services Exchange server running SQL Server Exchange server running under VMware This Exchange server has less than 1 GB of memory but has the /3GB and /USERVA=3030 switches in the boot.ini file This Exchange server has less than 1 GB of memory but has the /3GB switch set in the Boot.ini file This Exchange server has the /3GB startup switch set in the Boot.ini file This Exchange 2003 server is not running the final Service Pack 1 build (7226.6) This Exchange server is running Windows 2000 Server but has the /3GB switch set in the boot.ini file Exchange Server WMI could not be accessed The Exchange System Attendant service is not running on this front-end server The Exchange System Attendant service is not running Exchmem Heaps Indicating Performance Issue ExMon Tracing is not Enabled on the Server EXCHMEM.DLL present in Windows System32 folder The ExternalURL value must be set Fatal error found FCL logging is not Enabled for the server File Check for Windows Server 2008 NTFS.sys hotfix Free Page Table entries is at the critical threshold Free Page Table entries is at the warning threshold Front-end server is running Site Replication Service GAPI32.DLL file is missing from bin folder GAPI32.DLL file is missing from system32 folder GlobalFlag has been set
59
A high number of ACL upgrade failures are occurring Highly Active Exmon User Hosting mode setup: unsupported switches and roles Hotfix KB977020 and hotfix KB973136 are required on the Microsoft Exchange Client Access Server IIS is Creating 32-bit processes on a 64-bit Machine IIS SMTP Service Installed Improve Kernel Memory Improve User Memory Improve Virtual Memory Integrated Windows authentication is turned off Intelligent Message Filter is not installed on one or more servers running Exchange Server 2003 IPv4 is Not Enabled on Windows Server 2008 ISAPI Caching Is Disabled ISA Server 2000 Update is available Journaling recipient is not valid Journaling recipient points to a deleted object Journaling recipient points to a disabled account Journaling recipient points to the local server Journaling recipient should be hidden Junk store threshold not configured Kernel memory depletion Kernel Resource Depletion: Volume Shadow Copy Service Update LeakDiag is installed LeakDiag is enabled Less Than Seven Days of Log Space Left The LegacyExchangeDN for this Exchange server does not match the parent administrative group The LegacyExchangeDN for this Exchange server is invalid License logging service is set to Automatic Load BaCorpcing Update Required Log Filename does not Match Log Generation Number Log Sequence Signature Mismatch Log Signature Issue Log record bytes/sec beyond error threshold LogicalDisk performance monitor object is not available Long-latency MAPI operations found Long-running MAPI bulk operation Long-running MAPI 'FindRow' operation Long-running MAPI online operation Long-running MAPI operation Long-running MAPI 'SaveChangesMessage' operation Long-running MAPI 'SetColumns' operation Long-running MAPI synchronization operation Long-running MAPI 'TaskQ' operation Long-running operation due to MAPI 'Restrict' operation MAD.EXE file is missing MAD NSPI port is below 5000 MAD RFR port has been manually overridden MAD RFR port is below 5000 MAPI32.DLL file is missing from bin folder MAPI32.DLL file is missing from system32 folder
60
MAPI session limit disabled MAPISTUB.DLL file is missing MAPISP32.EXE file is missing Maximum ESE Cache size larger than 1.2 GB Maximum recipient limit has been changed Maximum recipient limit is high Maximum recipient limit is too low MaxUserPort Key is Missing or Non-default MaxUserPort value is too low MDBSZ.DLL file is missing Memory performance monitor object is not available The Mscordacwks.dll file must be updated on computers that have more than 8 processors MSExchangeDSAccess Processes performance monitor object is not available MSExchangeIS Mailbox performance monitor object is not available MSExchangeIS performance monitor object is not available MSExchangeIS Public performance monitor object is not available MSFTE.DLL file is missing MSGINA.DLL driver update available MTA APDU logging required parameter is non-default MTA Call-stack diagnostics required parameter is non-default MTA Computer name mismatch MTA Concurrent connections to CORP-MTAs parameter is non-default MTA Concurrent connections to X.400 gateways parameter is non-default MTA Concurrent MDB/delivery queue clients parameter is non-default MTA data files are being written to a compressed folder MTA data files are being written to an encrypted folder MTA data files are being written to a non-NTFS partition MTA DB data buffers per object parameter is non-default MTA DB file handles parameter is non-default MTA Diagnostic Logging level is greater than 5 (MTA is in debug mode) MTA Diagnostic logging level is non-zero MTA Dispatcher threads parameter is non-default MTA is not running under LocalSystem account MTA Kernel threads parameter is non-default MTA CORP-MTAs parameter is non-default MTA MDB users parameter is non-default MTA Max RPC calls outstanding parameter is non-default MTA Min RPC threads parameter is non-default MTA RTS threads parameter is non-default MTA service is not running MTA service is set to Disabled MTA Submit/deliver threads parameter is non-default MTA TCP/IP control blocks parameter is non-default MTA TCP/IP threads parameter is non-default MTA Transfer threads parameter is non-default MTA Transport threads parameter is non-default Message tracking disabled Message tracking logs are being written to a compressed folder Message tracking logs are being written to a non-NTFS partition Message tracking logs are being written to an encrypted folder
61
Metabase cannot be accessed MinUserDC value is non-default More than 1000 mailbox stores are present Most Ongoing store.exe calls are waiting for a response from ESE Most Ongoing store.exe calls are waiting for a response from IMAIL Most Ongoing store.exe calls are waiting for a response from LSASS Most Ongoing store.exe calls are waiting for a response from the directory Most Ongoing store.exe calls are waiting for a response from the Virus Scanner Most Ongoing store.exe calls are waiting for a response from VSS Snapshot The MOUNTMGR.SYS File is an Incorrect Version Move Temp and TMP Directories Move User Mailboxes to Another Server Multiple MAPI public folder trees detected NAS configuration problem networkAddress attribute is not set correctly Network Interface performance monitor object is not available Newer MSGTRACK.dll available Newer WLDAP32.DLL available NNTP service enabled No Client Authentication Methods Available for ActiveSync No DNS servers are available for tests No Master Account SID No SMTP instance found NSPI target server has been manually overridden A non-Exchange Server MAPI subsystem is installed Non-Microsoft ESE engine detected Non-Microsoft Extensible Storage Engine detected Nonpaged Pool is over the warning threshold The number of free page table entries is low, which can cause system instability The number of Ongoing Calls currently waiting on virus-scanning is near the limit. OABGEN.DLL file is missing Obtaining the latest service pack/update rollup for Exchange Server 5.0 Obtaining the latest service pack/update rollup for Exchange Server 5.5 Obtaining the latest service pack/update rollup for Exchange Server 2003 Obtaining the latest service pack/update rollup for Exchange 2000 Server Offline address book server has been deleted Offline address book server is running on a front-end server Offline address book site public folder deleted Older CDO.DLL file detected Older DAVEX.DLL file detected Older DRVIIS.DLL file detected Older DSACCESS.DLL file detected Older EMSMTA.EXE file detected Older EPOXY.DLL file detected Older ESE.DLL file detected Older ESEUTIL.EXE file detected Older EXCDO.DLL file detected Older EXCHMEM.DLL file detected Older EXCHMEM.DLL present Older EXMIME.DLL file detected
62
Older EXOLEDB.DLL file detected Older EXPOP3.DLL file detected Older EXPROX.DLL file detected Older EXRES.DLL file detected Older EXSMTP.DLL file detected Older MAD.EXE file detected Older MAPI32.DLL file detected Older MAPI32.DLL file detected in system32 folder Older MDBSZ.DLL file detected Older OABGEN.DLL file detected Older PHATCAT.DLL file detected Older PHATQ.DLL file detected Older REAPI.DLL file detected Older RESVC.DLL file detected Older STORE.EXE file detected Ongoing Calls to Active Directory found Ongoing Calls to ESE found Ongoing Calls to IMail found Ongoing Calls to LSASS found Ongoing calls to Virus Scanning found Online database maintenance is configured Operating System GlobalFlag has been set The operating system is in debug mode Outlook Anywhere clients require hotfix to support load baCorpced deployments Outlook Web Access is Configured Without SSL Outlook Web Access requires hotfix for Windows Server 2003 SP1 Outlook Web Access template file mismatch Outstanding RPC requests reached maximum threshold PHATCAT.DLL file is missing PHATQ.DLL file is missing Page cannot be displayed error when you access a mailbox Page File Performance Issue Page File Size is Less than Physical Memory Size Plus 10 MB Page File Usage counter greater than 50% PageHeapFlags has been set Nonpaged Pool is over the error threshold Paged pool is over the warning threshold Path for RPC proxy server extension is incorrect The path of a virtual directory on the server does not match the path in Active Directory PDC emulator is not excluded from DSAccess topology Performance data for Available MBytes counter Performance data from Average Disk sec/Read counter of the LogicalDisk performance object Performance data from Average Disk sec/Read counter of the PhysicalDisk performance object Performance data from Average Disk sec/Write counter of the LogicalDisk performance object Performance data for Average Disk sec/Write counter Performance data from Epoxy Client Out Queue Length (DSAccess) counter Performance data from Epoxy Client Out Queue Length (SMTP) counter Performance data from Epoxy Store Out Queue Length (DSAccess) counter Performance data from Epoxy Store Out Queue Length (SMTP) counter Performance data from RPC Averaged Latency counter
63
Performance data from RPC Operations/sec counter Performance data from RPC Requests counter Performance data from SMTP Categorizer Queue Length counter Performance data from SMTP Local Queue Length counter Performance data from SMTP Remote Queue Length counter Performance data from Virus Scan Queue Length counter Performance data for Log Record Stalls/sec counter Performance data for Log Threads Waiting counter Performance data for Pages/sec counter Performance data for % Processor Time counter Performance data for Bytes Total/sec counter Performance data from LDAP Read Time counter Performance data from LDAP Search Time counter Performance data is not collected PhysicalDisk performance monitor object is not available Port conflict: Site Replication Service Port conflict: Store HTTP Port conflict: Store TCP Port conflict: System Attendant HTTP Port conflict: System Attendant HTTP NSPI Port conflict: System Attendant NSPI Port conflict: System Attendant RFR Pre-release service pack update rollup detected Problem with Page File Location Processor Bottleneck Processor performance monitor object is not available Public folder content replication is paused Public Folder Database Cannot be Found Public folder store present on front-end server REAPI.DLL file is missing Recipient Update Service deleted Recipient Update Service is missing or is not configured Recommended updates for Windows 2000 Server SP 4 on a cluster Remote Queue length beyond threshold Remote Retry Queue length beyond threshold Replica of Offline Address Book version 4 not found Replication Receive Queue queue length beyond threshold RESVC.DLL file is missing RestrictRemoteClients registry key is enabled RFR target server has been manually over-ridden RegTrace is currently enabled Rejection threshold not configured RPC binding does not contain FQDN RPC binding does not match DNS resolved name The RPC binding order is not correct The Rpc_Binding_Order registry entry is present The Rpc_Svr_Binding_Order registry value has been modified from its default value Round-trip times to Active Directory server are taking more than 100 ms Round-trip times to Active Directory server are taking more than 10 ms Round-trip times to global catalog server are taking more than 100 ms
64
Round-trip times to global catalog server are taking more than 10 ms Scalable Networking Pack Update is Available Scan is not supported error message Search filter change is required for Recipient Policy Search filter change required for Recipient Policy A security group does not have sufficient rights to an OAB folder Sender ID not Configured Server name case mismatch Server name mismatch Server name too long Server RPC network address does not match Exchange server name Service Principal Name missing Service principal name should not be registered Services Value is Missing or Inaccessible Setup cannot detect an SMTP or Send connector that has an address space of * A service terminated unexpectedly in the last 24 hours Single free/busy replica found Single free/busy replica found for large number of mailboxes Single global catalog is present in topology Site folder server deleted Slow Active Directory directory service calls Slow ESE Calls Slow IMAIL Calls Slow LSASS calls Slow Virus Scanner Calls Slow VSS Snapshot Calls An 'SMTPSVC' error event (ID: 429) was logged within the last 24 hours SMTP instance fully-qualified domain name does not match server name SMTP Local Queue length beyond threshold SMTP Server performance monitor object is not available SQL Server is running Virtual Server 2005 with Exchange Server installed as a Guest SRS port is below 5000 SRS port has been manually overridden SSL Certificate Is Not Installed or Is Not Configured SSL is enabled on the ExchWeb virtual directory SSL is enabled on the Public virtual directory The start-up account configured for System Attendant is not supported Store.exe and Exoledb.dll file version mismatch STORE.EXE file is missing Store HTTP port is below 5000 Store: HTTP port is non-default Sub-optimal Memory Settings The SuppressStateChanges registry value must be changed Suspect Desktop Search Installed on Clients SystemPages set too high SystemPages Value Is Non-Default on 64-bit Computer System Attendant HTTP port is below 5000 System Attendant HTTP NSPI port is below 5000 System Attendant: HTTP NSPI port is non-default System Attendant: HTTP port value is non-default
65
System Attendant legacyExchangeDN value is missing System Attendant NSPI port has been manually overridden System Attendant service is configured to interact with desktop System Attendant service is not running as LocalSystem TcpTimedWaitDelay Key is Missing or Non-default The computer is running Windows Web Server 2008 or Windows Web Server 2008 R2 The Mailbox and Categorizer thread count exceeds the recommended limit The maximum event log size is set too high The Track Duplicates registry entry is missing The TEMP/TMP variable appears to point to an invalid or inappropriate folder This server has 1 GB or more of physical memory and HeapDeCommitFreeBlockThreshold has not been set to 262144 This server is running Windows Server 2003 and the SystemPages value is not equal to 0 This Exchange server has the /PAE startup switch set in the Boot.ini file This Exchange server is running with Physical Address Extensions enabled This Exchange server is running with Physical Address Extensions enabled and the /3GB Startup Switch This Exchange server is running with the /PAE and /3GB Startup Switches This front-end server is configured with the recipient update service There is a discrepancy with the Exchange server name between the registry and Active Directory There is a discrepancy with the Exchange server name in Active Directory There is more than one network between the Active Directory server and this Exchange server Too many hops Unable to access Windows Management Instrumentation (WMI) Unified Communications Managed API 2.0 Redist (64 Bit) Hotfix required Unsupported virtual machine configuration - clustered Exchange Server detected Unsupported virtual machine configuration - Exchange Server 2003 Service Pack 2 or later not detected Unsupported virtual machine configuration - virtual machine additions not detected Update for Daylight Saving Time Available Update Rollup for Windows 2000 SP4 not installed URLScan is installed USERVA is set incorrectly Verify that Mailbox Database Points to the FQDN of the CAS Server Array, if CAS is Used The version of the Tcpip.sys file installed on this computer may require a hotfix A virtual directory is running under an incorrect application pool Virtual machine configuration detected Virtual memory is fragmented Virtual Server 2005 R2 or later not detected Virus Scan queue length beyond threshold Virus Scan queue length beyond warning threshold Volume Mount Point Failure: Windows Server 2003 SP1 not Installed Web Site Is Stopped Windows Firewall Service is Enabled on Exchange Server Windows Management Instrumentation cannot be accessed Windows Management Instrumentation service is not running as LocalSystem Windows Server 2003 SP1: Outlook Web Access hotfix is required Windows Server 2003 SP1 Security Configuration Wizard was detected XESE.DLL file is present PowerShell Virtual Directory issues cause problems with Exchange Management tools Exchange 2010 System Requirements Exchange 2010 Discontinued Features and De-Emphasized Functionality
66