Kontrola zdravotního stavu Exchange 2010 MIROSLAV KNOTEK Microsoft MVP IT Senior Consultant KPCS CZ, s.r.o. knotek@kpcs.cz www.kpcs.cz
Agenda Nástroje pro kontrolu zdraví TOP 029
Nástroje pro kontrolu zdraví
Nástroje EXBPA MBSA Performance console Test-* cmdlety Event viewer Microsoft Remote Connectivity Analyzer https://www.testexchangeconnectivity.com/
Monitoring výkonu Processor (_Total)\% Processor Time průměr pod 75% Memory\Pages/Sec průměr pod 1000 LogicalDisk PhysicalDisk\Avg. Disk Queue Length průměr pod 2 MSExchange ADAccess Processes(*)\LDAP Search Time průměr pod 50ms MSExchangeIS\RPC Averaged Latency Průměr pod 10ms
Nejčastější problémy při kontrole Exchange
#1 virtualizace ano, ale Dynamicky se zvětšující disky nejsou podporovány Diferenční disky ani snímky (snapshosts) nejsou podporovány Memory oversubscription / Dynamic memory není doporučeno Poměr virtuální / logický procesor maximálně 2:1 Od Exchange 2010 SP1 Kombinace DAGs a hypervisor-based clustering za určitých okolností ano (Live migration a nebo shutdown/cold boot) Virtualizace i Unified Messaging role možná http://technet.microsoft.com/cs-cz/library/aa996719.aspx
#2 NTFS alokační jednotka Dle doporučení každý oddíl s Exchange databází nebo transakčními logy má být naformátován s NTFS alokační jednotkou 64 KB! Není to výchozí nastavení a má opravdu znatelný vliv na výkon diskového subsytému fsutil fsinfo ntfsinfo E: http://technet.microsoft.com/en-us/library/ee832792.aspx
#3 výjimky pro souborový antivir Pokud je na Exchange serveru instalován souborový antivir a nejsou nastaveny správně výjimky, může docházet k pádům služeb či poškození dat! Výjimky pro konkrétní složky, soubory a procesy jsou popsány v dokumentaci http://technet.microsoft.com/en-us/library/bb332342.aspx Např. MBX role Exchange databases, checkpoint files, and log files. Database content indexes. Group Metrics files General log files, such as message tracking and calendar repair log files The Offline Address Book files IIS system files The temporary folder that is used with offline maintenance utilities The Mailbox database temporary folder: %ExchangeInstallPath%\Mailbox\MDBTEMP Any Exchange-aware antivirus program folders
#4 záplatování (instalace hotfixů) Doporučené bezpečnostní záplaty (OS, Exchange, 3 rd party SW) je jednoduše nutné rychle nasazovat samozřejmě v závislosti na riziku.
#5 záplatování (nedokončený restart) MBSA test A previous software update installation was not completed. You must restart your computer to finish the installation. If the incomplete installation was a security update, then the computer may be at risk until the computer is restarted. Riziko nejen pro bezpečnost, ale způsobuje i nestabilitu funkčního stavu
#6 vypínání IPv6 Je doporučeno nevypínat IPv6 i když Vaše síť IPv6 nepoužívá Důsledkem mohou být problémy se startem služeb a další From Microsoft's perspective, IPv6 is a mandatory part of the Windows operating system. Because Windows was designed specifically with IPv6 present, Microsoft does not perform any testing to determine the effects of disabling IPv6 http://technet.microsoft.com/en-us/network/cc987595.aspx
#7 NIC Teaming Teaming není zakázán, předpokládá se možné využití na pro síťová rozhraní směrem ke klientovi např. MAPI network, ale... Nesmí být nastaven v load balancing módu, pouze v redundancy módu Z pohledu MS podpory je ale teaming 3rd party řešení a veškeré problémy spojené s teamingem musí řešit výrobce HW http://technet.microsoft.com/en-us/library/ff622321.aspx
#8 Konfigurace Pagefile Exchange 2010 má mít napevno nastavenou velikost souboru pagefile.sys dle následujícího pravidla: Pokud má server méně než 8GB RAM, velikost pagefile.sys musí být 1,5 x RAM Pokud má server 8GB RAM a více, velikost pagfile.sys musí být RAM + 10 MB
#9 Hyperthreading a Exchange 2010 Hyperthreading by měl být na všech Exchange 2010 serverech v produkčním prostředí vypnutý http://technet.microsoft.com/en-us/library/dd346699.aspx
#10 generování OAB (1) OAB generation server musí být funkční Frekvence generování OABu by neměla být příliš častá výchozí stav je 1 denně, menší přestávky mezi generováním OABu než 4h nejsou doporučeny Web based distribuce je ve výchozím stavu HTTP Doporučena změna na HTTPS Distribuce na více CAS serverů pro zajištění vysoké dostupnosti http://technet.microsoft.com/en-us/library/bb232155.aspx
#10 generování OAB (2)
#11 OALgen OALGen skipped some entries in the offline address list \Global Address List
#12 velikost aplikačního logu Výchozí velikost aplikačního logu je 20MB Exchange primárně loguje do app logu Včetně výsledků zapnutého diagnostického logování Doporučená praktika je navýšení na minimálně 40 MB
#13 Kerberos pro MAPI (1) Je doporučeno zapnout Kerberos autentizaci pro MAPI klienty Od Exchange 2010 SP1 existuje standardizovaný postup Proč to dělat? Ve výchozím stavu jsou klienti MS Outlook nastaveni v režimu Negotiate, což ve výsledku znamená použití NTLM autentizace Jakmile existuje větší počet současně připojených MAPI relací, NTLM se stává úzkým místem a může docházet k výpadkům v ověření
#13 Kerberos pro MAPI (2) Řešení je založeno na vytvoření alternativního servisního účtu (ASA), který je nositelem relevantních SPN Služba Microsoft Exchange Service Host na CAS serveru byla rozšířena tak, aby mohla využívat ASA pro Kerberos autentizaci Zde http://t.co/fpd6sna je kompletní postup pro implementaci (využívá rollalternateserviceaccountpassword.ps1)
#14 Velikost schránek Schránka jako taková nemá v zásadě na straně Exchange serveru žádný praktický limit ve velikosti Exchange 2010-100,000 items in critical path folders Omezující je Outlook Cached mode. Doporučení Standardní PC -> do 5GB (velikost OST) Nastandardní PC (mnoho RAMěti, rychlý disk) -> 10GB Větší ost než 10GB výrazně zpomaluje práci s PC Řešení Osobní archív Outlook v online režimu Outlook v cached mode, ale se synchronizačními filtery
#15 HUB pozor na Back Pressure Vestavěný monitor systémových zdrojů na HUBu Pokud se systém cítí být přetížen, pozastaví zpracování nových zpráv, aby šetřil systémové zdroje Co se kontroluje: Volné místo na disku s message queue DB Volné místo na disku s message queue tr.logy Počet nepotvrzených transakcí message queue DB v paměti Paměť použitá procesem EdgeTransport.exe Paměť použitá ostatními procesy Stavy Normal Medium server začne používat tarpitting pro zpoždění odpovědí a odmítá zprávy zvenku High zdroje jsou skoro vyčerpány, a tak server odmítá všechny zprávy (SMTP Reject)
#16 CAS pozor na Throttling policy (1) Client Throttling Policy je obrana proti tomu, aby jeden uživatel nevyčerpal mnoho systémových zdrojů na úkor ostatních Hlídány jsou oblasti Activesync (aktivuje se až při využití CPU > 75% (default)) EWS IMAP (aktivuje se až při využití CPU > 75% (default)) POP (aktivuje se až při využití CPU > 75% (default)) Outlook Web App (OWA) PowerShell RPC Client Access Server
#16 CAS pozor na Throttling policy (2) V rámci oblastí následující hodnoty MaxConcurrency (ve výchozím nastavení pouze zde nenulová hodnota) PercentTimeInCAS PercentTimeInAD PercentTimeInMailboxRPC Nejčastější problémové scénáře BlackBerry servisní účet Outlook 2003 s řadou připojených sdílených složek / schránek http://support.microsoft.com/kb/2299468
#17 MBX pozor na Exchange Store limity Obrana před vyčerpáním všech dostupných připojení jedním uživatelem Session limits Open item limits Item size limits http://technet.microsoft.com/en-us/library/ff477612.aspx
#18 nedokončená migrace z Exchange 2003 LDAP to OPATH Při migraci z Exchange 2003 je nutné provést upgrade LDAP filterů -> OPATH jinak jsou AL, GAL a e-mail address policied needitovatelné v Exchange 2007/2010 http://technet.microsoft.com/en-us/library/dd351283.aspx http://gallery.technet.microsoft.com/scriptcenter/7c04b866-f83d-4b34-98ecf944811dd48d
#19 DC/Exchange na jednom serveru Je to podporováno, ale ne doporučeno Omezení Po instalaci Exchange není podporováno spustit DCPROMO Cluster node s DC i Exchange není podporován DC, na kterém je Exchange, musí být i GC ABP pro Outlook nefungují Bezpečnostní a výkonnostní nedostatky A další
#20 Umístění DB a transakčních logů Izolace DB a tr.logů v prostředí bez datové redundance (bez DAGu) je silně doporučená. Disky s rychlostí <= 7200 ot, pouze RAID 1,10,JBOD Circular logging pouze ve specifických scénářích jako je např. backup-less Exchange Doporučená maximální velikost DB S DAG -> 2TB Bez DAG -> 200GB
#21 CAS array - FQDN CAS array FQDN nemusí být součástí certifikátu CAS array FQDN by nemělo být přeložitelné pomocí externího DNS Produktový tým doporučuje konfigurovat CAS array i když máme třeba jen 1serverové řešení bez HA pro budoucí možnost rozšíření http://blogs.technet.com/b/exchange/archive/2012/03/28/ demystifying-the-cas-array-object-part-2.aspx
#22 SMTP EHLO vs PTR
#23 maximum message size Nastavit konzistentně Recieve/send konektory Globální nastavení transportu Per mailbox 10MB není 10MB příloha, ale celková velikost zprávy
#24 Outlook Anywhere autentizace Basic 100% kompatibilní, ale každé přepnutí do režimu RPC over HTTP vyustí v požadavek o autentizaci NTLM bezpečnější, SSO expirience, nemusí fungovat s některými reverse proxu, FW atp. Pokud je to možné, doporučujeme NTLM
#25 Disaster Recovery plan Formalizovaný pro hlavní scénáře Obnova serveru Obnova DB Obnova smazaných položek (schránka, zpráva, veřejná složka) Pravidelný Trial restore
#26 Monitoring Proaktivní vs. reaktivní přístup Ideálně nástroje typu SCOM Monitorovat minimálně Běh služeb Výkon Chyby v prohlížeči událostí Místo na disku Fronty zpráv DAG synchronizace DB Zálohování
#27 Vysoká dostupnost PF Replikace databází v DAG řeší jen mailbox databáze PF je možné replikovat na úrovni složek mezi více PF DBs Exchange 2010 SP1 RU2 přináší zpět PF DBs HA http://support.microsoft.com/kb/2409597/en-us V řadě prostředích vidíme, že na začátku došlo pro všechny PFs k nastavení minimálně 2 replik, ale v čase nekontrolovaně vznikají nové, které mají jen jednu reoliku Je třeba řešit pravidleným AddReplicaToPFRecursive.ps1 případně vlastním sofistikovanějším skriptem
A #28-29 na přání posluchačů
#28 Autodiscover site affinity Pokud máme klienty MS Outlook 2007 / 2010, kteří přistupují interně k Exchange serveru a CAS servery v různých site, je doporučeno nastavit site affinity Set-ClientAccessServer -Identity EXCHCAS01" - AutodiscoverServiceInternalURI "https://mail.kpcs.local/autodiscover/autodiscover.xml" - AutodiscoverSiteScope Praha,Kolin
#29 Outlook 2003/Exchange 2010 samovolná změna profilu Scénář: Outlook 2003, Exchange 2010 Uživatel má připojenou sdílenou schránku Dojde ke ztrátě jména serveru v outlook profilu Existuje již fix http://support.microsoft.com/kb/2510153/en-us
Nástroje pro kontrolu zdraví
Školení této oblasti naleznete v nabídce Počítačové školy Gopas na www.gopas.cz Každý odevzdaný dotazník bude v místě registrace odměněn tričkem s hlavou plnou vědomostí. Vaše spokojenost je pro nás vždy na prvním místě.