Ошибка 535 Authentication unsuccessful
Модератор: Модераторы
Сообщений: 2
• Страница 1 из 1
Arkady » 05 авг 2006, 14:06
Существующая организация MyOrg состоит из двух доменов MyOrg.local и поддомена place.MyOrg.Local. В каждом домене установлено по одному Exchange 2000 серверу, содержащему почтовые ящики и по одному хранилищу общих папок; часть папок реплицируется между серверами.
Некоторые общие папки могут также принимать почту извне.
Кроме того, организация имеет внешний домен myorg.ru, в котором стоит ее почтовый сервер-релей. Соотвествующая MX-record в домене myorg.ru содержится.
Все получатели внутри организации имеют два шаблона SMTP-адресов: вида *@myorg.local и <*@mydomain.ru. По умолчанию используется шаблон <name>@myorg.ru.
Сервер в домене MyOrg.local имеет FQDN kolya.myorg.local; сервер в домене place.MyOrg.local — server2.place.myorg.local.
Сервер kolya.myorg.local выключается во внерабочее для офиса время; сервер server2.place.myorg.local выключается в выходные дни; в остальные дни можеть иметь круглосуточный режим работы или быть выключен только в ночное время (требование охраны).
Для связи между доменами в дневное время между серверами с помощью RRAS устанавливается туннель VPN-PPTP. Служба RRAS установлена на тех же самых серверах, на которых установлен и Exchange. Эти же серверы выполняют роли контроллеров домена и содержат реплики GC. Репликация AD выполняется периодически во время существования VPN.
Установление связи инициируется со стороны server1.place.myorg.local, т.к. там можно использовать только Dial-Up. Подключение осуществляется с двумя аккаунтами VPN_Office@place.MyOrg.local и VPN_Place@MyOrg.local.
После установления связи у каждого из серверов появляется два дополнительных сетевых интерфейса (192.168.x.25x), а у font=courier]server1.place.myorg.local[/font] — еще и публичный адрес 212.xxx.xxx.xxx.
Внутренние адреса регистрируются в DNS каждого сервера; SMTP каждого Exchange-сервера по умолчанию привязаны ко всем интерфейсам. Аккаунты SMTP (Outbound Security) соотвествуют аккаунтам исходящих соединений VPN и определены в домене, с сервером которого осуществляется соединение.
Каждый из серверов содержит три SMTP-коннектора, один из которых используется для приема и получения почты извне, а два других служат для репликации общих папок.
Один из этих двух коннекторов на каждом сервере указывает на своего партнера; для аутентификации используются учетные данные пользователя, осуществившего VPN-соединение (см. выше). Третий коннектор служит для поддержки репликации общих папок в то время, когда VPN-соединения нет. При этом почтовые сообщения отправляются на релей и хранятся там, пока их не снимет exchange-сервер, обслуживающий соотвествующий домен.
Существовавшая конфигурация
Система в такой конфигурации работала более двух лет без нареканий.
Недавно был подготовлен новый сервер на замену kolya.myorg.local и включен в домен как DC server.myorg.local для тестирования.
На новом сервере установлена Win2K3 SP1, SQL2K, Exchange 2K3 SP2. Все основные сетевые службы DNS, DHCP, RRAS, WINS были перенесены на новый сервер, а на старом заглушены.
Новая конфигурация
Для тестирования в хранилище общих папок нового сервера была создана тестовая папка с репликацией на все Exchange-сервера.
Новый Exchange-сервер на этапе тестирования было решено использовать как релей для передачи сообщений между существовавшими ранее Exchange-серверами: во всех SMTP-коннекторах домена myorg.local bridgehead'ом был указан новый сервер, а в SMTP старого сервера kolya.myorg.local был указан smart-hоst'ом новый сервер server.myorg.local.
В Access/Auth. SMTP нового сервера были добавлены соответствующие пользователи, имеющие право Send As: это упоминавшиеся выше аккаунты VPN_**** и соотвествующие им пароли (ок. 20 символов из стандартного набора ASCII).
В SMTP-коннекторе cервера server2.place.myorg.local из поддомена в качестве адреса доставки был прописан статический IP-адрес нового сервера 192.168.0.8. Также на этот адрес был перенастроен NAT.
Сразу выяснились следующие недостатки:
1. В течение некоторого времени после включения офисных серверов — старогоkolya.myorg.local и нового server.myorg.local в логах регистрируется неуспешная аутентификация (Error 535), но, тем не менее, обмен сообщениями осуществляется. При этом, сообщения, адресованные п/я доставляются всегда, а адресованные хранилищу общих папок — доставляются на сервер, но некоторые сообщения игнорируются, т.е. репликация осуществляется с ошибками.
2. При отправке сообщения от хранилища на старом сервере (адрес KOLYA-IS@myDomain.ru) иногда в Application log регистрируется событие примерно такого содержания «…отправительKOLYA-IS@myDomain.ru попытался отправить сообщение, не имя прав Send As». Установка права Send As даже для Everyone не устраняет от появления подобного события. Тем не менее, сообщение от хранилица, если оно было адресовано хранилищу на сервере в поддомене, а не на новом, доставляется адресату.
3. Аутентификация нового сервера и удаленного server2.place.myorg.local работает только для доступа anonymous в соотвествующих соединению SMTP-коннекторах. Причем для соединения через публичные интернет-интерфейсы 212.xxx.xxx.xxx, а не через VPNнаоборот нужно указывать не-anonymous аутентификацию, а логин-пароль. В обоих вариантах в лучае выбора «неправильного» метода аутентификации связь между серверами ограничивается «handshak'ом» EHLO-GSSAPI-QUIT.
4. Иногда, после образования туннеля VPN, перестает работать аутентификация в направлении от Exchange 2000 к Exchange 2003: после выдачи GSSAPI пауза примерно пять-десять секунд и Error 535 c разрывом соединения. В Event log'е регистрируется соотвествующее событие от MSExchangeTransport .
5. Сообщения от хранилища общих папок, отправленные с Exchangе 2000-серверов с задержкой, вызванной, например, отсуствием VPN-тоннеля или неудачной попыткой аутентификации Error 535, скорее всего будут потеряны, хотя и доставлены (см. п.1);
6. Репликация через внешний SMTP-релей перестала работать вовсе: сообщения доставляются на Exchаnge 2003-сервер, но там и пропадают без следа, т.е. не доставляются хранилищу-адресату KOLYA-IS@MyDomain.ru;
В соотвествии с советами от Microsoft реестр поправил.
В чем может быть причина такого загадочного поведения Exchange 2003?
Некоторые общие папки могут также принимать почту извне.
Кроме того, организация имеет внешний домен myorg.ru, в котором стоит ее почтовый сервер-релей. Соотвествующая MX-record в домене myorg.ru содержится.
Все получатели внутри организации имеют два шаблона SMTP-адресов: вида *@myorg.local и <*@mydomain.ru. По умолчанию используется шаблон <name>@myorg.ru.
Сервер в домене MyOrg.local имеет FQDN kolya.myorg.local; сервер в домене place.MyOrg.local — server2.place.myorg.local.
Сервер kolya.myorg.local выключается во внерабочее для офиса время; сервер server2.place.myorg.local выключается в выходные дни; в остальные дни можеть иметь круглосуточный режим работы или быть выключен только в ночное время (требование охраны).
Для связи между доменами в дневное время между серверами с помощью RRAS устанавливается туннель VPN-PPTP. Служба RRAS установлена на тех же самых серверах, на которых установлен и Exchange. Эти же серверы выполняют роли контроллеров домена и содержат реплики GC. Репликация AD выполняется периодически во время существования VPN.
Установление связи инициируется со стороны server1.place.myorg.local, т.к. там можно использовать только Dial-Up. Подключение осуществляется с двумя аккаунтами VPN_Office@place.MyOrg.local и VPN_Place@MyOrg.local.
После установления связи у каждого из серверов появляется два дополнительных сетевых интерфейса (192.168.x.25x), а у font=courier]server1.place.myorg.local[/font] — еще и публичный адрес 212.xxx.xxx.xxx.
Внутренние адреса регистрируются в DNS каждого сервера; SMTP каждого Exchange-сервера по умолчанию привязаны ко всем интерфейсам. Аккаунты SMTP (Outbound Security) соотвествуют аккаунтам исходящих соединений VPN и определены в домене, с сервером которого осуществляется соединение.
Каждый из серверов содержит три SMTP-коннектора, один из которых используется для приема и получения почты извне, а два других служат для репликации общих папок.
Один из этих двух коннекторов на каждом сервере указывает на своего партнера; для аутентификации используются учетные данные пользователя, осуществившего VPN-соединение (см. выше). Третий коннектор служит для поддержки репликации общих папок в то время, когда VPN-соединения нет. При этом почтовые сообщения отправляются на релей и хранятся там, пока их не снимет exchange-сервер, обслуживающий соотвествующий домен.
Существовавшая конфигурация
Система в такой конфигурации работала более двух лет без нареканий.
Недавно был подготовлен новый сервер на замену kolya.myorg.local и включен в домен как DC server.myorg.local для тестирования.
На новом сервере установлена Win2K3 SP1, SQL2K, Exchange 2K3 SP2. Все основные сетевые службы DNS, DHCP, RRAS, WINS были перенесены на новый сервер, а на старом заглушены.
Новая конфигурация
Для тестирования в хранилище общих папок нового сервера была создана тестовая папка с репликацией на все Exchange-сервера.
Новый Exchange-сервер на этапе тестирования было решено использовать как релей для передачи сообщений между существовавшими ранее Exchange-серверами: во всех SMTP-коннекторах домена myorg.local bridgehead'ом был указан новый сервер, а в SMTP старого сервера kolya.myorg.local был указан smart-hоst'ом новый сервер server.myorg.local.
В Access/Auth. SMTP нового сервера были добавлены соответствующие пользователи, имеющие право Send As: это упоминавшиеся выше аккаунты VPN_**** и соотвествующие им пароли (ок. 20 символов из стандартного набора ASCII).
В SMTP-коннекторе cервера server2.place.myorg.local из поддомена в качестве адреса доставки был прописан статический IP-адрес нового сервера 192.168.0.8. Также на этот адрес был перенастроен NAT.
Сразу выяснились следующие недостатки:
1. В течение некоторого времени после включения офисных серверов — старогоkolya.myorg.local и нового server.myorg.local в логах регистрируется неуспешная аутентификация (Error 535), но, тем не менее, обмен сообщениями осуществляется. При этом, сообщения, адресованные п/я доставляются всегда, а адресованные хранилищу общих папок — доставляются на сервер, но некоторые сообщения игнорируются, т.е. репликация осуществляется с ошибками.
2. При отправке сообщения от хранилища на старом сервере (адрес KOLYA-IS@myDomain.ru) иногда в Application log регистрируется событие примерно такого содержания «…отправительKOLYA-IS@myDomain.ru попытался отправить сообщение, не имя прав Send As». Установка права Send As даже для Everyone не устраняет от появления подобного события. Тем не менее, сообщение от хранилица, если оно было адресовано хранилищу на сервере в поддомене, а не на новом, доставляется адресату.
3. Аутентификация нового сервера и удаленного server2.place.myorg.local работает только для доступа anonymous в соотвествующих соединению SMTP-коннекторах. Причем для соединения через публичные интернет-интерфейсы 212.xxx.xxx.xxx, а не через VPNнаоборот нужно указывать не-anonymous аутентификацию, а логин-пароль. В обоих вариантах в лучае выбора «неправильного» метода аутентификации связь между серверами ограничивается «handshak'ом» EHLO-GSSAPI-QUIT.
4. Иногда, после образования туннеля VPN, перестает работать аутентификация в направлении от Exchange 2000 к Exchange 2003: после выдачи GSSAPI пауза примерно пять-десять секунд и Error 535 c разрывом соединения. В Event log'е регистрируется соотвествующее событие от MSExchangeTransport .
5. Сообщения от хранилища общих папок, отправленные с Exchangе 2000-серверов с задержкой, вызванной, например, отсуствием VPN-тоннеля или неудачной попыткой аутентификации Error 535, скорее всего будут потеряны, хотя и доставлены (см. п.1);
6. Репликация через внешний SMTP-релей перестала работать вовсе: сообщения доставляются на Exchаnge 2003-сервер, но там и пропадают без следа, т.е. не доставляются хранилищу-адресату KOLYA-IS@MyDomain.ru;
В соотвествии с советами от Microsoft реестр поправил.
В чем может быть причина такого загадочного поведения Exchange 2003?
Сообщений: 2
• Страница 1 из 1
Кто сейчас на конференции
Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 15