Заметка ошибки в журналах Exchange 2016

quake

Случайный прохожий
Доброго времени суток! Несколько месяцев назад с приключениями переехал на Exchange 2016, были косяки и грабли разного рода но в целом миграция завершилась удачно; я заводил тут ранее тему по этому - кому интересно прочтите.
Напомню на всякий случай - у меня сейчас 2 сервера в DAG. Это типа предыстория.

После этого приехал новый firewall который надо было обновить на более старшую версию. Наверное об этом стоит запилить отдельный пост но как-нибудь потом. После того как я переехал на новый FW народ начал жаловаться типа :eek: в OWA зайти не можем и activesync на смартфонах не работает. Первое что подумал - проблема с сертификатом и расшифровкой https.А вот фигу. Все там нормально переехало и дело оказалось в одном из Exchange - тот который опубликован и выставлен голой Ж🤬 в интернет и держит owa и activesync соединения.
В общем захожу я в Exchange а там в журналах - пруд пруди ошибок всех мастей и цветов. Первое что я подумал - наверное это после замены firewall (который держит все сети и маршруты) у этого почтаря "сорвало флягу" ибо он меня не пускал даже в shell и коннектился к более живучему соседу по DAG. Решил перезагрузить его. После перезагрузки Exchange ошибок стало меньше и видимо у него крыша на место встала, но часть ошибок осталась Решил собрать тут ошибки которые там возникали и разобраться с какого ляду они там появились. Вот про них я и напишу.
Буду дополнять по ходу развития событий, а пока просто перечислю ошибки которые нарыл.

Event id 12035 MSExchangeTransport
Exchange was unable to load certificate mail.reverend.ru. More information: Is FrontEnd Proxy enabled: false. Original backend Server: mail.reverend.ru. Send Connector Name from the original request: inet.
Event id 2 KernelEventTracing
Не удалось начать сеанс "RemoteCommandExecutionLog" из-за следующей ошибки: 0xC0000035
Event id 3025 MSExchangeApplicationLogic
Scenario: GetKillBit. Failed to download killbit list from OMEX server. Exception: System.Net.WebException: Базовое соединение закрыто: Непредвиденная ошибка при передаче. ---> System.IO.IOException: Не удается прочитать данные из транспортного соединения: Удаленный хост принудительно разорвал существующее подключение. ---> System.Net.Sockets.SocketException: Удаленный хост принудительно разорвал существующее подключение
Event id 4999 MSExchange Common
Watson report about to be sent for process id: 7860, with parameters: E12IIS, c-RTL-AMD64, 15.01.1913.005, M.Exchange.Pop3, unknown, M.E.P.C.R.<ProxyConnect>d__404.MoveNext, System.NullReferenceException, 7748-dumptidset, unknown.
ErrorReportingEnabled: False
Event id 36874 Schannel
Получен запрос на подключение TLS 1.2 от удаленного клиентского приложения, но ни один из поддерживаемых этим приложением комплектов шифров не поддерживается сервером. Запрос на подключение TLS завершился с ошибкой.
Event id 1013 MSExchangeDiagnostics
Potential data loss warning in RetentionAgent: RetentionAgent: Warning: Potential data loss. The size of this folder C:\Program Files\Microsoft\Exchange Server\V15\Logging\Diagnostics\DailyPerformanceLogs has reached 70% of max size allowed - 5120 MB. Some data will be purged once it reaches the max limit.
Пока все но еще буду дополнять
 
Последнее редактирование модератором:

SvetlanaD

Участник
По event id 12035 - Exchange ищет сертификат для имени mail.reverend.ru , которое является интеллектуальным хостом в SendConnector. Проверьте, установлен ли сертификат для mail.reverend.ru в личном хранилище сертификатов на сервере Exchange. Если да, проверьте правильность, а если нет, установите его.
Посмотреть сертификаты можно с помощью Get-ExchangeCertificate
Можно включить сертификат для службы SMTP, используя следующую команду
Enable-ExchangeCertificate -Thumbprint <String> -Services SMTP
Скорее всего у вас не назначен сертификат для SMTP
 

quake

Случайный прохожий
Сейчас у меня служба SMTP висит на Microsoft Exchange Server Auth Certificate
Как я понимаю это самоподписный сертификат который не содержит в альтернативных именах субъектов: mail.rerverend.ru
Интересно если я переназначу на другой сертификат службу SMTP я ничего не обвалю ?:unsure:
 

quake

Случайный прохожий
Нашел решение ошибки Event ID 3025 - попробую поменять интервал

Change the interval for the Office Store access checks
  1. Open the following Web.config files in the Exchange Server 2013 Client Access Server or Exchange Server 2016 Mailbox Server:
    • %ExchangeInstallPath%ClientAccess\exchweb\ews\web.config
    • %ExchangeInstallPath%ClientAccess\Owa\web.config
    • In Microsoft Exchange Server 2016, you must also change the REST Web.config file: %ExchangeInstallPath%ClientAccess\rest\web.config
  2. Example:
    • C:\Program Files \Microsoft\Exchange Server \V15\ClientAccess\exchweb\ews\web.config
    • C:\Program Files \Microsoft\Exchange Server \V15\ClientAccess\Owa\web.config
    • C:\Program Files \Microsoft\Exchange Server \V15\ClientAccess\rest\web.config
  3. In each Web.config file, add the following line between the "<appSettings>" line and the </appSettings> line.<add key = "KillBitRefreshTimeInSeconds" value = "<seconds>" />

    For example, the following line sets the interval for Office Store access checks to 86,400 seconds (1 day):<add key = "KillBitRefreshTimeInSeconds" value = "86400" />
  4. From the administrative tools, start Internet Information Services (IIS) Manager.
  5. Select Application Pools, right-click each of the following pools, and then click Recycle:
    • MSExchangeServicesAppPool
    • MSexchangeOWAAppPool
    • MSExchangeRestAppPool
 

quake

Случайный прохожий
Еще ошибка Event ID 1008
Ошибка в процедуре открытия службы "BITS" из библиотеки "C:\Windows\System32\bitsperf.dll". Данные производительности не будут доступны для этой службы. Первые четыре байта (DWORD) в разделе данных содержат код ошибки.
 

DOC

Участник
Еще ошибка Event ID 1008
View counters in Performance Monitor
To view counters in Performance Monitor:

  1. On the computer where you want to view counters, click Start. In the Start Search text box, type perfmon.exe, and then press ENTER.
  2. In the navigation pane, expand Monitoring Tools, and then click Performance Monitor.
  3. Click the Add button to open a list of available performance counters.
  4. In the Add Counters dialog box, you can click Help for more information on adding counters. When you have finished adding counters to the list, click OK.
  5. Verify that the performance counters you selected are displayed in the Performance Monitor graph.
View a list of counters using the typeperf command

To view a list of counters at the command prompt:

  1. Click Start, click All Programs, and click Accessories. Right-click Command Prompt, and click Run as administrator.
  2. At the command prompt, type typeperf -qx and press ENTER.
  3. Verify that the performance counter list contains expected values.
 

quake

Случайный прохожий
View counters in Performance Monitor
To view counters in Performance Monitor:

  1. On the computer where you want to view counters, click Start. In the Start Search text box, type perfmon.exe, and then press ENTER.
  2. In the navigation pane, expand Monitoring Tools, and then click Performance Monitor.
  3. Click the Add button to open a list of available performance counters.
  4. In the Add Counters dialog box, you can click Help for more information on adding counters. When you have finished adding counters to the list, click OK.
  5. Verify that the performance counters you selected are displayed in the Performance Monitor graph.
View a list of counters using the typeperf command

To view a list of counters at the command prompt:

  1. Click Start, click All Programs, and click Accessories. Right-click Command Prompt, and click Run as administrator.
  2. At the command prompt, type typeperf -qx and press ENTER.
  3. Verify that the performance counter list contains expected values.
это не совсем понял - это проблемы с производительностью Exchange ? Как узнать какие счетчики производительности выбирать ?:unsure:
 

Толстый Лори

Почетный гость
Удалось ли понять и устранить эту проблему ? У меня тоже такое есть
Event id 4999 MSExchange Common
Watson report about to be sent for process id: 7860, with parameters: E12IIS, c-RTL-AMD64, 15.01.1913.005, M.Exchange.Pop3, unknown, M.E.P.C.R.<ProxyConnect>d__404.MoveNext, System.NullReferenceException, 7748-dumptidset, unknown.
ErrorReportingEnabled: False
 

quake

Случайный прохожий
Пишут что нужно установить CU на Exchange 2016 но у меня пока нет времени - не проверял
 

Freddy

Случайный прохожий
Когда то была ошибка Event id 1013 MSExchangeDiagnostics
Решил ее так :

To relocate the logs to another location, or a larger partition/disk, do the following;
First double check the log location;

logman query ExchangeDiagnosticsDailyPerformanceLog | more


Код:
Then to move the logs, stop the logging, relocate the log location, and finally start the logging again;

logman -stop ExchangeDiagnosticsDailyPerformanceLog
logman -update ExchangeDiagnosticsDailyPerformanceLog -o “H:\Exchange\PerformanceLogs”
logman -start ExchangeDiagnosticsDailyPerformanceLog
move exchange performanace logs
 
Верх Низ