Ticket: UM failed submit mail to HUB

November 25, 2010 by johnnyyao

Troubleshoot: UM voice mails not submitted to Hub Transport

UMService EventID 1082 "The Unified Messaging server was unable to submit messages to a Hub Transport"

Authentication failure

UM Voicemail delivery fails – SMTP error TargetUnknown

on UM

Event Type:    Warning
Event Source:    MSExchange Unified Messaging
Event Category:    Disk
Event ID:    1185
Date:        11/24/2010
Time:        3:22:41 PM
User:        N/A
Computer:    OCS-UM
Description:
The Unified Messaging server was unable to submit a message to Hub Transport server "EXCH-CAS" because the following error occurred: 意外的 SMTP 伺服器回應。預期: 235，實際: 454，整個回應: 454 4.7.0 Temporary authentication failure

Event Type:    Error
Event Source:    MSExchange Unified Messaging
Event Category:    Services
Event ID:    1082
Date:        11/24/2010
Time:        3:19:10 PM
User:        N/A
Computer:    OCS-UM
Description:
The Unified Messaging server was unable to submit messages to a Hub Transport server because there is no Hub Transport server available to process the request with UM header file "C:\Program Files\Microsoft\Exchange Server\UnifiedMessaging\voicemail12d51df-7bd6-4b15-a073-b1a1f9d5249c.txt". Make sure that there is a Hub Transport server located in the same Active Directory site as the UM server. In addition, make sure that the Microsoft Exchange Transport service is started on the Hub Transport server.

On HUB

Event Type:    Warning
Event Source:    MSExchangeTransport
Event Category:    SmtpReceive
Event ID:    1035
Date:        11/25/2010
Time:        10:58:26 AM
User:        N/A
Computer:    EXCH-CAS
Description:
Inbound authentication failed with error IllegalMessage for Receive connector Default EXCH-CAS. The authentication mechanism is ExchangeAuth. The source IP address of the client who tried to authenticate to Microsoft Exchange is [192.168.10.154].

Setspn.exe 工具

C:\Program Files (x86)\Resource Kit>setspn -L bqt-ca07
Registered ServicePrincipalNames for CN=BQT-CA07,CN=Computers,DC=msft,DC=corp,DC
=com:
    POP/BQT-CA07.msft.corp.com
    POP/BQT-CA07
    exchangeRFR/BQT-CA07
    exchangeRFR/BQT-CA07.msft.corp.com
    exchangeMDB/BQT-CA07
    exchangeMDB/BQT-CA07.msft.corp.com
    SMTP/BQT-CA07.msft.corp.com
    SMTP/BQT-CA07
    WSMAN/BQT-CA07
    WSMAN/BQT-CA07.msft.corp.com
    IMAP/BQT-CA07.msft.corp.com
    IMAP/BQT-CA07
    POP3/BQT-CA07
    POP3/BQT-CA07.msft.corp.com
    IMAP4/BQT-CA07.msft.corp.com
    IMAP4/BQT-CA07
    SmtpSvc/BQT-CA07.msft.corp.com
    HOST/BQT-CA07.msft.corp.com
    SmtpSvc/BQT-CA07
    HOST/BQT-CA07

Final root cause

Event Type:    Warning
Event Source:    LSASRV
Event Category:    SPNEGO (Negotiator)
Event ID:    40960
Date:        10/29/2010
Time:        1:00:57 AM
User:        N/A
Computer:    EXCH-CAS
Description:
The Security System detected an authentication error for the server DNS/dc.msft.corp The failure code from authentication protocol Kerberos was "網域主控站的時間與備份網域控制站或成員伺服器上的時間相差太大。
(0xc0000133)".

EXPS EXCHANGEAUTH GSSAPI NTLM

這是 Exchange 2007 的新增參數。這是在 X-ANONYMOUSTLS 之後宣告的預設接收連接器服務延伸。

X-EXPS GSSAPI NTLM LOGIN、X-EXPS=LOGIN

X-EXPS 命令是 Exchange 的專屬命令。此命令與 AUTH 類似，因為它會指定執行 Exchange 2007、Exchange 2003 與 Exchange 2000 的伺服器在進行驗證時可使用的方法，如下所示：

GSSAPI 一種代表一般安全性服務應用軟體程式設計介面，並且可讓使用者透過 Kerberos 進行驗證的方法。

NTLM 一種代表 Windows NT 與 LAN Manager，並且可讓使用者透過 Windows NT 挑戰/回應通訊協定進行驗證的方法。

,27,,>,250-exch-cas.msft.corp Hello [192.168.10.154],
,28,,>,250-SIZE,
,29,,>,250-PIPELINING,
,30,,>,250-DSN,
,31,,>,250-ENHANCEDSTATUSCODES,
,32,,>,250-AUTH NTLM,
,33,,>,250-X-EXPS EXCHANGEAUTH GSSAPI NTLM,
,34,,>,250-X-EXCHANGEAUTH SHA256,
,35,,>,250-8BITMIME,
,36,,>,250-BINARYMIME,
,37,,>,250-CHUNKING,
,38,,>,250-XEXCH50,
,39,,>,250 XRDST,
,40,,<,X-EXPS EXCHANGEAUTH,
,41,,*,SMTPSubmit SMTPSubmitForMLS SMTPAcceptAnyRecipient SMTPAcceptAuthenticationFlag SMTPAcceptAnySender SMTPAcceptAuthoritativeDomainSender BypassAntiSpam BypassMessageSizeLimit SMTPSendEXCH50 SMTPAcceptEXCH50 AcceptRoutingHeaders AcceptForestHeaders AcceptOrganizationHeaders SendRoutingHeaders SendForestHeaders SendOrganizationHeaders SendAs,Set Session Permissions

,42,,*,CDE\OCS-UM$,authenticated
,43,,>,235 <authentication response>,
,44,,<,MAIL FROM: MicrosoftExchange329e71ec88ae4615bbc36ab6ce41109e@msft.corp,
,45,,*,08CD45909F8ED06C;2010-11-25T05:57:22.812Z;1,receiving message
,46,,>,250 2.1.0 Sender OK,
,47,,<,RCPT TO: carol.lee@msft.corp,
,48,,>,250 2.1.5 Recipient OK,

,26,,<,EHLO OCS-UM.msft.corp,
,27,,>,250-exch-cas.msft.corp Hello [192.168.10.154],
,28,,>,250-SIZE,
,29,,>,250-PIPELINING,
,30,,>,250-DSN,
,31,,>,250-ENHANCEDSTATUSCODES,
,32,,>,250-AUTH NTLM,
,33,,>,250-X-EXPS EXCHANGEAUTH GSSAPI NTLM,
,34,,>,250-X-EXCHANGEAUTH SHA256,
,35,,>,250-8BITMIME,
,36,,>,250-BINARYMIME,
,37,,>,250-CHUNKING,
,38,,>,250-XEXCH50,
,39,,>,250 XRDST,
,40,,<,X-EXPS EXCHANGEAUTH,
,41,,*,,Inbound ExchangeAuth negotiation failed because of IllegalMessage
,42,>,454 4.7.0 Temporary authentication failure,

Ref: 從 Exchange 2007 Transport 升級

November 24, 2010 by johnnyyao

從 Exchange 2007 Transport 升級
1. Exchange 2010 和 Exchange 2007 Hub Transport Server 需有 Exchange 2007 SP2，才能在單一 Active Directory 站台共存

含有版本化路由的訊息流程

版本化路由工作流程

由 Exchange 2007 信箱使用者傳送給 Exchange 2010 收件者的所有郵件，都會依照類似的路徑。

在 SP2 中，已將建立版本路由新增至 Exchange 2007。您必須先將現有的 Exchange 2007 伺服器升級至 SP2，才能讓 Exchange 2010 和 Exchange 2007 在相同的 Active Directory 站台中共存。當您在相同的 Active Directory 站台中擁有 Exchange 2010 和 Exchange 2007 SP2，每一部 Hub Transport Server 便會以相符的版本，來處理信箱伺服器的郵件。建立版本路由不會變更站台內郵件的路由傳送方式。

當您在相同站台中擁有 Exchange 2010 和 Exchange 2007，請考量下列事項：

您不能將不相容的 Hub Transport Server，指定為信箱伺服器的提交伺服器覆寫。
若是特定的信箱伺服器，如果您在本機站台上沒有相符版本的 Hub Transport Server，則該信箱伺服器上的使用者送出的所有郵件，都會保留在信箱伺服器中。
若是特定的信箱伺服器，如果您在本機站台上沒有相符版本的 Hub Transport Server，對於傳送給該信箱伺服器上使用者的所有郵件，會發佈未傳遞回報 (NDR)。
傳送到已啟用郵件的公用資料夾郵件，其處理方式和郵件傳送到信箱相同。

Ticket: smtp relay in active directory site 451 4.4.0 & 421 4.2.1 between E14 & E2K7

November 24, 2010 by johnnyyao

smtp relay in active directory site 451 4.4.0

Understanding Message Routing
瞭解訊息路由

REF: Exchange 2007 HUB issue

November 23, 2010 by johnnyyao

傳輸伺服器的負載平衡及容錯
 內部郵件路由

容錯: 系統自動允許單點失敗

負載平衡: 自動依各項機制分散loading
以下內容為Exchange 2007 適用

1. 同一AD site 中組織組態的to internet connector 會自動進行容錯及負載平衡

同一 Active Directory 站台的傳送連接器上指定了多個來源傳輸伺服器的郵件轉送
在連接器上指定多個來源傳輸伺服器時，連線會分散給多個來源伺服器，以用循環配置方式達到負載平衡。當該連接器無法使用某個來源伺服器時，就會容錯移轉至下一個替代來源伺服器以達到容錯。

在下圖中，傳送連接器 C1 設定為使用 Hub Transport Server A 及 Hub Transport Server B 作為來源伺服器。當 Hub Transport Server C 路由傳送郵件至傳送連接器 C1 時，會在 Hub Transport Server A 與 Hub Transport Server B 之間進行郵件分散的負載平衡。

同一 Active Directory 站台的傳送連接器上多個來源傳輸伺服器

如果轉送郵件的伺服器也設定為所選連接器的來源傳輸伺服器，則不會進行負載平衡。在這樣的情況下，鄰近本機伺服器會比鄰近本機 Active Directory 站台更佔優勢，而一律使用本機伺服器來路由傳送郵件。
在此圖中，如果 Hub Transport Server C 也設定為傳送連接器 C1 上的來源傳輸伺服器，則從 Hub Transport Server C 轉送的郵件會透過傳送連接器 C1 來路由傳送，而不是負載平衡至 Hub Transport Server A 與 Hub Transport Server B。

2. 不同AD site 使用的to internet connector 不會自動進行負載平衡，但可以設定容錯!!

不同 Active Directory 站台中的來源傳輸伺服器

如果正在用來路由傳送電子郵件的傳送連接器的來源傳輸伺服器位於不同的遠端 Active Directory 站台，則郵件不會在這些 Active Directory 站台之間進行負載平衡。反而，會選擇一個 Active Directory 站台，並將郵件轉送至該站台。具有最低成本的 Active Directory 站台會優先選用。如果所有 Active Directory 站台都具有相同成本，則會選擇來源傳輸伺服器清單中第一個列出的來源傳輸伺服器的 Active Directory 站台。

下圖顯示當針對傳送連接器設定來自多個 Active Directory 站台的來源傳輸伺服器時的郵件路由行為。在此圖中，郵件會從 Active Directory 站台 3 路由傳送至外部收件者。連接器 C1 被選為位址空間最接近的連接器。連接器 C1 的來源傳輸伺服器有 Active Directory 站台 1 及 Active Directory 站台 2 中的 Hub Transport Server。如果第一個列出的來源傳輸伺服器位於 Active Directory 站台 1，則來自 Active Directory 站台 3 的所有郵件都會路由傳送至 Active Directory 站台 1。Active Directory 站台 1 中的任何 Hub Transport Server 都可以接收郵件，然後使用本機 Active Directory 站台負載平衡來分散郵件，以在 Hub Transport Server A 與 Hub Transport Server B 之間進行轉送。

來自傳送連接器上設定的不同 Active Directory 站台的來源傳輸伺服器

不支援在 Active Directory 站台之間進行負載平衡，因為 Exchange 2007 一律會使用決定性路由，而且一律都只會選取一個 Active Directory 站台來路由傳送郵件。

需先取消Scoped Send connector

您可以使用傳送連接器範圍來控制傳送連接器在 Exchange 組織內的可見性。依預設，Exchange 組織內的所有 Hub Transport Server 都可以使用您建立的所有傳送連接器。不過，您可以限制任何傳送連接器的範圍，使得只有相同 Active Directory 站台內的其他 Hub Transport Server 才可以使用傳送連接器。

加入其他site 的 HUB

3. AD site to AD site 間HUB傳輸，每個site 也各需兩台HUB 來進行容錯及負載平衡!

到遠端 Active Directory 站台的郵件轉送

當單一 Active Directory 站台中部署多個 Hub Transport Server 時，會以循環配置方式指定其他 Active Directory 站台到那些 Hub Transport Server 的連線優先順序。當某個 Active Directory 站台中的 Hub Transport Server 將收件者的位置解析為另一個 Active Directory 站台中的 Mailbox Server 時，則會傳回遠端站台中 Hub Transport Server 的優先順序清單。如果 Active Directory 站台中的 Hub Transport Server 無法使用，則會嘗試連線至優先順序清單上的其他 Hub Transport Server。這可在 Active Directory 站台中提供容錯。

4. 單一站台中有多個HUB角色，會進行容錯及負載平衡!

從 Mailbox Server 到 Hub Transport Server 的郵件轉送

Active Directory 站台中已部署多個 Hub Transport Server。如果 Hub Transport Server 與 Mailbox Server 位在相同位置，則該 Hub Transport Server 一律優先於同一站台中的其他 Hub Transport Server。
這表示 Microsoft Exchange 郵件提交服務一律會通知本機 Hub Transport Server。如果沒有 Hub Transport Server 與 Mailbox Server 位在相同位置，或如果本機 Mailbox Server 上的 Hub Transport Server 無法使用，則會以循環配置方式使用同一 Active Directory 站台中的其他 Hub Transport Server。

如果多部 Hub Transport Server 與提交可以擷取郵件之通知的 Mailbox Server 位在相同 Active Directory 站台中，則會處理下列選項：

如果本機 Mailbox Server 也執行 Hub Transport server role，則會通知本機伺服器。如果未執行本機 Microsoft Exchange 傳輸服務，或本機 Hub Transport Server 因背壓而無法處理新的郵件提交，則會通知另一個可用的 Hub Transport Server。如需背壓的相關資訊，請參閱了解背壓。
如果本機 Mailbox Server 未執行 Hub Transport server role，則會使用循環配置在 Hub Transport Server 之間對通知進行負載平衡。

5. 單一AD site 中，若唯一一台或無HUB 可用時，郵件傳輸將會暫停!

如果無法連絡選取的 Hub Transport Server，則 Microsoft Exchange 郵件提交服務會容錯移轉至位在相同 Active Directory 站台中的不同 Hub Transport Server。失敗伺服器會標示為非使用中，而且會選取提交伺服器清單中的下一部 Hub Transport Server。如果本機 Active Directory 站台中沒有可用的 Hub Transport Server，則提交伺服器清單會是空的。在此情況下，會記錄一則事件，而且會暫時停止郵件提交通知。而系統會在五分鐘之後重試標示為非使用中的 Hub Transport Server。

6. 若要指定MBS提交的HUB，可依下列說明設定!

Microsoft Exchange 郵件提交服務預設會在站台的 Hub Transport Server 之間對通知事件進行負載平衡，讓每個 Hub Transport Server 所接收要處理的通知事件有平均地分配。在某些情況下，提供平均分配可能不是最佳的解決方案。並非所有 Hub Transport Server 都具有相同的容量，而且某些郵件需要額外進行處理。例如，Hub Transport Server 處理具有大型附件或許多收件者的郵件所需的時間，會比處理只寄給一個收件者的小型郵件所需的時間還要久。如果想要建立 Mailbox Server 應該通知之 Hub Transport Server 的靜態清單，可以在 Exchange 管理命令介面中使用 Set-MailboxServer 指令程式。使用 SubmissionServerOverrideList 參數，則可以指定本機 Mailbox Server 在有郵件需要擷取時會通知的 Hub Transport Server 清單。如需如何設定此設定的相關資訊，請參閱 Set-MailboxServer。