All perguntas(server)

Posso estar enganado, mas os documentos do Apache 2.4 sobre mod_reqtimeout e as funcionalidades principais não explicam como as diretivas RequestReadTimeoute Timeoutinteragem entre si: uma tem precedência sobre a outra ou ambas se aplicam?

Como não consegui encontrar resposta para essa pergunta, decidi descobrir à moda antiga: experimentando.

$ time telnet localhost 80
Trying 127.0.0.1...
Connected to localhost.
Escape character is '^]'.
Connection closed by foreign host.

real    0m51.744s
user    0m0.001s
sys     0m0.005s

E, bem, isso foi inesperado, porque minha configuração atual parece contar uma história diferente:

$ sudo apache2ctl -DDUMP_CONFIG | grep -i time
Timeout 300
KeepAliveTimeout 5
# In file: /etc/apache2/mods-enabled/reqtimeout.conf
RequestReadTimeout header=20-40,minrate=500
RequestReadTimeout body=10,minrate=500

Então, não apenas não encontrei a resposta para minha pergunta inicial, mas outra apareceu: de onde realmente vem esse tempo limite de 51 segundos? Não é a Timeoutdiretiva que o especifica, nem os tempos limite relativos aos estágios do cabeçalho ou do corpo da RequestReadTimeoutdiretiva.

Espere, poderia ser... veja isso: body=10, e o máximo do cabeçalho é 40, e 10+40 = 50 que é próximo o suficiente de 51 (latência e outras coisas). Não faz muito sentido porque, pelo que entendi, o tempo limite do corpo deve entrar em vigor somente depois que os cabeçalhos forem totalmente recebidos (certo?). Mas nunca se sabe, vamos ver.

$ sudo apache2ctl -DDUMP_CONFIG | grep -i time
Timeout 300
KeepAliveTimeout 5
# In file: /etc/apache2/mods-enabled/reqtimeout.conf
RequestReadTimeout header=20-30,minrate=500
RequestReadTimeout body=1,minrate=500

Então agora devo ver um tempo limite de aproximadamente 31 segundos, se a hipótese estiver correta. Certo?

Bem...

$ time telnet localhost 80
Trying 127.0.0.1...
Connected to localhost.
Escape character is '^]'.
Connection closed by foreign host.

real    0m51.567s
user    0m0.001s
sys     0m0.005s

Suponho que isso prova que a hipótese está errada.

E assim fico com duas perguntas sem resposta: como as diretivas RequestReadTimeoute Timeoutinteragem e por que meu apache atinge o tempo limite inesperadamente?

POR FALAR NISSO:

$ apache2 -v
Server version: Apache/2.4.58 (Ubuntu)
Server built:   2024-04-18T15:13:41

Estou instalando o FosWiki em uma máquina Fedora 40. O diretório principal do FosWiki será /home/wikis/foswiki_company. Abaixo disso existem vários diretórios de conteúdo, bem como o logdiretório.

/homeé um sistema de arquivos separado (não NFS, apenas uma partição separada na máquina local)

FosWiki é um conjunto barato e alegre de scripts Perl CGI, então é apenas a configuração CGI usual.

Acontece que não consigo nem entrar na página de configuração do FosWiki porque o script de configuração não consegue criar o arquivo de log (ou seja, open()a chamada do Perl falha). O problema aparente é que "o sistema de arquivos é somente leitura".

O SELinux está habilitado e estou verificando as mensagens de negação do AVC. Parece não haver nenhum.

Abaixo está a estrutura relevante do sistema de arquivos.

• Os elementos laranja são onde o arquivo de log deve ficar, mas isso é impossível. Também tentei com o tmpsubdiretório, mesmo problema.
• O elemento marrom é um experimento pelo qual modifiquei o script CGI para que o arquivo de log fosse gravado em um diretório (com permissão adequada) /home/tmp, o que falha.
• Os elementos verdes são um experimento pelo qual modifiquei o script CGI para que o arquivo de log fosse gravado em um diretório (com permissão adequada) /var/www/tmp. Isso funciona.

Além disso, o booleano SELinux para permitir acesso httpd aos diretórios pessoais, geralmente desativado, foi ativado, sem diferença, parece ser irrelevante para este problema:

# semanage boolean -l -C
SELinux boolean                State  Default Description

httpd_can_network_connect      (on   ,   on)  Allow httpd to can network connect
httpd_enable_homedirs          (on   ,   on)  Allow httpd to enable homedirs
selinuxuser_execmod            (on   ,   on)  Allow selinuxuser to execmod

Além disso, se eu su - apache(depois de configurar um shell para o usuário apacheem /etc/passwd), posso criar ou gravar em qualquer um dos arquivos de log.

Portanto, é uma coisa relacionada ao processo, não ao usuário.

Além disso, tentei desabilitar o SELinux, mas tive o mesmo problema.

Portanto, é improvável que seja o SELinux.

o que estou perdendo? O que poderia impedir o Apache httpd de gravar no /homesistema de arquivos?

Preciso escolher o layout adequado para o pool de 12 unidades. As opções são:

4 raidz vdevs x 3, no spares
3 raidz vdevs x 3, 3 spares
2 raidz vdevs x 5, 2 spares
2 raidz2 vdevs x 6, no spares

A escolha é difícil para mim, então quaisquer prós e contras são muito apreciados

Objetivo do pool:

2 tipos de carga

1. leitura e gravação aleatória paralela intensa de arquivos pequenos.

2. Leituras ou gravações sequenciais raras, não simultâneas

O desempenho não é um problema. Os backups são replicados em outro servidor todas as noites.

Pior caso - se a piscina for destruída haverá uma perda de no máximo 1 dia de trabalho, que será remediada durante 1 mês seguinte, portanto a confiabilidade é algo importante. Definitivamente mais que velocidade

Todos os discos são 10T WD Ultrastar

Alguns de nossos servidores não atualizam o kernel quando solicitado. O seguinte prompt de mensagem ocorre:

Atualização do Kernel Reinicialização da Atualização do Kernel

Após fechar e reiniciar os serviços, nada foi atualizado pois na próxima vez que executo o comando:

sudo apt-get update && apt-get upgrade

Ele passa pelo mesmo processo, ou seja, o prompt ocorre novamente. Isso acontece mesmo se eu tiver reiniciado o servidor.

Você poderia me indicar a direção certa para corrigir isso?

Gostaria de demonstrar uma situação em que o tráfego MTU é superior ao aceito. Assim, a fonte receberia o ICMP Tipo 3 Código 4 como resposta.

Estou tentando com duas instâncias do Linux em execução na AWS. Ambos estão na mesma rede, mas em sub-redes diferentes.

A instância A possui MTU de 9.001. A instância B possui MTU de 1.500.

Estou tentando com ping.

ping B-ip -M dont -s 9001

Eu esperaria que falhasse, mas na verdade está funcionando, recebe uma resposta.

Como posso simular/demonstrar ICMP Tipo 3 Código 4?

Estou tentando com o ping evitar a limitação do TCP MSS. Mas estou aberto a alternativas.

Estou tentando obter todos os grupos dos quais um usuário é membro em todos os meus domínios e subdomínios.
Aqui está a configuração:

Floresta 1
domínio1.local
sub.domínio1.local
Floresta 2
domínio2.local

O usuário está localizado em domínio1.local e consegui obter todos os grupos em domínio1.local e domínio2.local, mas não consigo obter os grupos de sub.domínio1.local.
Aqui está o que eu tenho:

$domain1user = Get-ADUser -Server DC.domain1.local -Filter "Name -like 'John Doe'"
$domain1groups = Get-ADUser -Identity $domain1user -Server DC.domain1.local -Credential $myCreds -Properties MemberOf | Select-Object -ExpandProperty MemberOf

$domain2user = "CN=$($domain1user.SID.Value),CN=ForeignSecurityPrincipals,DC=domain2,DC=local"
$domain2groups = (Get-ADObject -Identity $domain2user -Server DC.domain2.local -Credential $myCreds -Properties MemberOf).MemberOf

Se eu tentar algo assim para obter os grupos do subdomínio:

$subdomaingroups = (Get-ADObject -Identity $domain1user -Server DC.sub.domain1.local -Credential $myCreds -Properties MemberOf).MemberOf

Eu recebo esse erro.

Get-ADObject: Uma referência foi retornada do servidor
CategoryInfo: ResourceUnavailable: (CN=John Doe,OU=...DC=domain1,DC=local:ADUser) [Get-ADObject], ADReferralException

O único método que tenho trabalhado até agora é pegar todos os grupos do subdomínio e verificar cada um deles se o usuário é membro desse grupo. Eu gostaria de usar uma maneira mais simples, se possível.

Obrigado.

Estou ficando louco por cerca de 1 semana. Estou seguindo muitos documentos e soluções para isso, mas de jeito nenhum.

Estou tentando suprimir membros do grupo BUILTIN\Administratos em computadores de domínio com uma política que escrevi no controlador de domínio primário. Para este processo, adicione um grupo em Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Grupos Restritos ss adicionados abaixo.

Aparência de grupos restritos

Vincule esta Política de Grupo a todo o domínio. Depois disso eu reinicio meu pc.

Quando o pc abre e faz login, verifico o grupo Administradores no meu pc Usuários e grupos locais com lusrmgr.msc. Não vejo nada alterado, usuários padrão antigos ainda estão lá e novos não foram adicionados. Portanto, a Política de Grupo Restrita não é afetada.

Em seguida , executo Gpresult /h C:\Users\Xuser\Documents\gpresultreport.html /fo comando no prompt de comando e verifico a saída do relatório. SS adicionado abaixo;

Gpresultreport.html

Gpresultreport.html

Eu pesquiso na internet AD / SYSVOL Version Mismatche tento algumas soluções, mas sem ajuda.

O estranho é que, quando eu uso gpupdate /forceo comando, às vezes os usuários são adicionados com sucesso ao grupo BUILTIN\Administradores, às vezes não.

Além disso, às vezes, esses usuários adicionados desaparecem e o grupo BUILTIN\Administradores volta para o padrão por conta própria.

Também a segunda coisa estranha é geralmente se você reiniciar o PC 2 vezes, adicionando com sucesso os usuários desejados ao grupo BUILTIN\Administradores

Eu verifico todas as outras políticas de grupo para usar Grupos Restritos. Esta configuração não pode ser usada em nenhuma outra política, tenho certeza.

Também verifico o status de replicação do PDC e ADC. Tudo bem. Não temos problemas de replicação.

Status do representante dos DCs

------- EDITAR 2 ------

Terceira estranheza acontece agora. Quando eu reinicio o pc, vejo a última política adicionada com o comando Gpresult. Vejo a política desejada aplicada, mas os usuários desejados não foram adicionados ao grupo restrito, como nas capturas de tela abaixo;

Políticas aplicadas com sucesso

Mas faltam 5 usuários no Grupo Restrito.

A parte que me faz pensar é que às vezes o problema acontece e às vezes não. Eu realmente não conseguia sair da situação.

Estou curioso para saber como o conceito de partições (e tabelas de partição) coexiste com o conceito de matrizes RAID. Aqui está meu entendimento atual (corrija-me se estiver errado em algum lugar):

Um disco rígido físico pode ser particionado em vários segmentos. Uma tabela de partição fica no início do espaço em disco para descrever como ele é particionado. Existem vários tipos de tabelas de partição (MBR, GPT, ...)

Uma matriz RAID é um único "volume físico" composto por vários discos rígidos (ou seja, uma matriz). Para o sistema operacional, isso aparece como um único dispositivo físico. Além disso, esta matriz RAID pode ser particionada como um todo.

Então, minha pergunta - se você adicionar discos físicos a um controlador RAID, esse controlador RAID sequestrará automaticamente cada disco físico e explodirá/reescreverá uma única tabela de partição de disco de forma que controle todo o dispositivo? Ou os controladores RAID estão conscientes do fato de que unidades individuais podem ser particionadas?

Estou procurando ajuda para entender um relatório DMARC para meu servidor de e-mail. O conteúdo xml é semelhante ao seguinte:

<?xml version="1.0" encoding="UTF-8" ?>
<feedback>
  <report_metadata>
    <org_name>google.com</org_name>
    <email>[email protected]</email>
    <extra_contact_info>https://support.google.com/a/answer/2466580</extra_contact_info>
    <report_id>5064312124151702006</report_id>
    <date_range>
      <begin>1716940800</begin>
      <end>1717027199</end>
    </date_range>
  </report_metadata>
  <policy_published>
    <domain>example.com</domain>
    <adkim>s</adkim>
    <aspf>s</aspf>
    <p>reject</p>
    <sp>reject</sp>
    <pct>10</pct>
    <np>reject</np>
  </policy_published>
  <record>
    <row>
      <source_ip>209.85.220.69</source_ip>
      <count>1</count>
      <policy_evaluated>
        <disposition>none</disposition>
        <dkim>pass</dkim>
        <spf>fail</spf>
      </policy_evaluated>
    </row>
    <identifiers>
      <header_from>example.com</header_from>
    </identifiers>
    <auth_results>
      <dkim>
        <domain>example.com</domain>
        <result>pass</result>
        <selector>mail</selector>
      </dkim>
      <spf>
        <domain>example.com</domain>
        <result>fail</result>
      </spf>
    </auth_results>
  </record>
  <record>
    <row>
      <source_ip>198.51.100.56</source_ip>
      <count>1</count>
      <policy_evaluated>
        <disposition>none</disposition>
        <dkim>pass</dkim>
        <spf>pass</spf>
      </policy_evaluated>
    </row>
    <identifiers>
      <header_from>example.com</header_from>
    </identifiers>
    <auth_results>
      <dkim>
        <domain>example.com</domain>
        <result>pass</result>
        <selector>mail</selector>
      </dkim>
      <spf>
        <domain>example.com</domain>
        <result>pass</result>
      </spf>
    </auth_results>
  </record>

Pelo que entendi, este relatório indica que dois endereços IP enviaram e-mails usando meu domínio: 209.85.220.69(do Google mail-sor-f69.google.com) e 198.51.100.56(redigido para fins de privacidade). Desses dois IPs, ambos passaram nas verificações DKIM, enquanto um deles teve uma falha na verificação SPF. Se não estou entendendo mal como o SPF funciona, isso me parece normal, pois o endereço IP com falha na verificação do SPF não é o endereço IP do meu servidor e, portanto, o e-mail não passa no SPF. Ao receber servidores, como o Gmail, recebo o seguinte nos cabeçalhos:

dkim=pass [email protected] header.s=mail header.b=KBd35XCX;
       spf=pass (google.com: domain of [email protected] designates 198.51.100.56 as permitted sender) [email protected];

Isso me faz acreditar que o SPF está funcionando corretamente e que o DKIM está pelo menos funcionando corretamente para meu próprio domínio. O que estou tendo dificuldade para entender é por que o DKIM passaria para esse outro endereço IP com o SPF com falha ? Talvez eu esteja entendendo mal como o DKIM deve funcionar, mas ao ler outras respostas e relatórios DMARC de outros usuários aqui, eles parecem estar recebendo falhas de DKIM para remetentes que não são diretamente de seu próprio domínio. Não é assim que deve funcionar? Algumas dicas seriam muito apreciadas!

Como observação lateral, alguns meses atrás eu recebia constantemente uma tonelada de e-mails de spam vindos do meu próprio endereço de e-mail (e-mail típico pedindo resgate criptográfico). Isso me fez perceber que estava sendo falsificado, o que me levou a perceber que meu servidor de e-mail (Postfix) estava configurado incorretamente em relação às verificações de SPF. No entanto, alterei as configurações e todos aqueles e-mails de spam pararam de chegar. Também usei vários serviços de teste, como dmarc-tester, emailspooftest, mxtoolbox, etc., e todos eles relataram um bom status para meu e-mail, embora nenhuma explicação sobre esta parte. Os hosts confiáveis ​​para o arquivo OpenDKIM incluem apenas o endereço de loopback do servidor e a tabela de assinatura inclui apenas *@example.comendereços.

Eu estive aqui e ali no StackExchange (imagine minha surpresa ao descobrir que eles são o mesmo grupo, apenas diferentes) e usei perguntas e respostas por anos até agora, quando encontrei um obstáculo que estava apenas me atrapalhando. Então, depois de brigar com o site por mais de uma hora, postei isso originalmente no StackExchange, pois tinha visto vários tópicos e conversas sobre problemas do MS Exchange, mas foi apontado que deveria estar aqui e que o StackExchange é apenas para questões de "programação" . Então eu apaguei e movi para cá. Eu ainda digo que se você tiver apenas dúvidas de programação, livre-se de todas as questões não relacionadas a programação nessa parte do site. Eu apenas postei lá porque já tinha visto muitos outros posts, e usei esses posts muitas vezes.

Na verdade, o logotipo próximo à barra de pesquisa na parte superior ainda mostra “StackExchange” e, embora eu ache que a marca do site seja confusa, é por isso que pensei que StackExchange era o lugar certo para ir. Sim, fiquei chateado depois de lutar para postar por mais de uma hora, e sim, houve tríades sobre a experiência; no entanto, talvez adicionar uma notificação "isso pode não ser uma codificação" com uma opção de redirecionar para ServerFault ou meta ou quaisquer outras opções também seja útil. Então, excluí essa pergunta e estou postando-a aqui.

Vamos ao assunto em questão...

Durante o último mês, temos lidado com o acesso ao OWA e ao ECP sendo inconsistentemente responsivo e super, super lento. Em um minuto eles carregam em 1 a 2 segundos no login, no próximo levam 5 minutos para fazer login e outros 2 minutos para abrir o primeiro item de e-mail. E isso vai e volta aparentemente aleatoriamente. Além disso, ao executar comandos no EMS, recebo a mensagem "A operação de E/S foi abortada devido a uma saída de thread ou a uma solicitação de aplicativo. + FullyQualifiedErrorId: JobFailure

Divulgação completa Eu executo um total de (3) implantações diferentes: 2 são de domínio único (1 um ambiente Server 2019 e 1 um Server 2022) e 1 é uma floresta/multidomínio (ambiente All Server 2019). Todos esses ambientes estão sendo executados como máquinas virtuais em ambientes virtuais Proxmox. Estou tendo um problema com as implantações de Exchange local do Server 2022, domínio único, mas não com as outras.

Aqui está a configuração atual do hardware da VM (observação: o site A e o site B estão conectados por meio de uma VPN): Site A (configurado como "Site A" em Sites e serviços AD com sub-rede 10.2.0.0/16)

• DC01 (Windows Server 2022)
  • Máquina virtual
    • 4 processadores (2 soquetes, 4 núcleos por)
    • Memória de 8 GiB
  • Placa de rede 1 - 10.2.0.11 (intINet)
    • DNS1 = 10.1.0.11
    • DNS2 = 127.0.0.1
• EXCH01 (Windows Server 2022 com Exchange 2019 CU14)
  • Máquina virtual
    • 16 processadores (2 soquetes, 8 núcleos por)
    • Memória de 164 GiB
  • Nic 1 - 10.2.0.13 (intINet)
    • Rota 10.1.0.0 && 10.2.0.0 até 10.2.0.1
    • DNS1 = 10.1.0.11 (DC02)
    • DNS2 = 10.2.0.11 (DC01)
  • Nic 2 - public_ip_address (extINet)
    • DNS1 = 10.1.0.11 (DC02)
    • DNS2 = 10.2.0.11 (DC01)

Site B (configurado como "Site B" em Sites e Serviços AD com sub-rede 10.1.0.0/16)

• DC02 (Windows Server 2022)
  • Máquina virtual
    • 4 processadores (2 soquetes, 4 núcleos por)
    • Memória de 8 GiB
  • Placa de rede 1 - 10.1.0.11 (intINet)
    • DNS1 = 10.2.0.11
    • DNS2 = 127.0.0.1

Sobre o que tentei até agora ...

A primeira coisa que tentei foi mover toda a instância para um novo servidor. Nenhuma melhoria.

Também verifiquei se o DNS está configurado corretamente (veja acima)

Quando uso o Microsoft Remote Connectivity Analyzer, obtenho os seguintes resultados:

1. Exchange ActiveSync (especificar manualmente as configurações do servidor) - recebo o seguinte erro: Observação: este teste foi aprovado anteriormente com apenas um problema de SSL de "certificado raiz".

   • Uma sessão do ActiveSync está sendo tentada com o servidor.
     • Tentando enviar o comando OPTIONS para o servidor - PASS
     • Tentativa de FolderSyncCommand na sessão do Exchange ActiveSynce - FAILED
       • Detalhes Adicionais: O Exchange ActiveSync retornou uma resposta HTTP 503 (Serviço Indisponível).

2. Exchange ActiveSync (configurações do servidor Autodiscover) - recebo o seguinte erro na verificação CORRECT-DOMAIN-REMOVED-FOR-LIMITATIONS/Autodiscover/Autodiscover.xml:

   • Tentativa de testar o potencial URL de descoberta automática CORRECT-DOMAIN-REMOVED-FOR-LIMITATIONS/Autodiscover/Autodiscover.xml - FAILED (não existe no servidor web)
   • Tentativa de testar o potencial URL de descoberta automática https://autodiscover.example.com:443/Autodiscover/Autodiscover.xml - FAILED (deve passar) Observação: quando eu visito https://autodiscover.example.com/Autodiscover/Autodiscover. xml , às vezes solicitará imediatamente um usuário/senha e às vezes levará de 30 a 45 segundos
     • Tentando resolver o nome do host - PASS
     • Testando a porta TCP 443 no host - PASS
     • Testando o certificado SSL - PASS
     • Tentativa de enviar uma solicitação POST de descoberta automática para possíveis URLs de descoberta automática - FAILED
       • O Microsoft Connectivity Analyzer está tentando recuperar uma resposta de Descoberta Automática XML da URL CORRECT-DOMAIN-REMOVED-FOR-LIMITATIONS/Autodiscover/Autodiscover.xml para o usuário [email protected] . O Microsoft Connectivity Analyzer não conseguiu obter uma resposta XML de Descoberta Automática. Detalhes adicionais: Detalhes da exceção: Mensagem: A operação expirou Tipo: System.Net.WebException Rastreamento de pilha: em System.Net.HttpWebRequest.GetResponse() Em Microsoft.M365.RCA.Services.RcaHttpRequest.GetResponse()
   • Tentativa de entrar em contato com o serviço Autodiscover usando o método de redirecionamento HTTP - FAILED (HTTP Redirect não configurado)
   • Tentativa de entrar em contato com o serviço Autodiscover usando o método de redirecionamento DNS SRV - FAILED (Not Configured)

Também executei os seguintes comandos e abaixo da lista está a saída com informações de domínio editadas: Comandos:

Get-OabVirtualDirectory | servidor fl, nome, URL , autenticação Get-WebServicesVirtualDirectory | fl server, Nome, URL , autenticação , MRSProxyEnabled Get-EcpVirtualDirectory | servidor fl, nome, URL , autenticação Get-OwaVirtualDirectory | servidor fl, nome, URL , autenticação Get-ActiveSyncVirtualDirectory | servidor fl, nome, URL , autenticação Get-ClientAccessService | fl Nome, OutlookAnywhereEnabled, AutodiscoverServiceInternalUri Get-ExchangeCertificate | fl FriendlyName, Assunto, CertificateDomains, Serviços, Emissor, não , Status Get-OutlookAnywhere | fl server, Nome, URL , nome do host , autenticação Get-MapiVirtualDirectory | fl server, Nome, URL , autenticação Get-OrganizationConfig | fl mapi Get-ClientAccessArray | fl Get-OutlookProvider Get-ExchangeServer | nome fl, admin , estático*

    Creating a new session for implicit remoting of "Get-OabVirtualDirectory" command...

    ( Get-OabVirtualDirectory | fl server, Name, *URL*, *auth* )
    Server                        : EXCH01
    Name                          : OAB (Default Web Site)
    InternalUrl                   : CORRECT-DOMAIN-REMOVED-FOR-LIMITATIONS/OAB
    ExternalUrl                   : CORRECT-DOMAIN-REMOVED-FOR-LIMITATIONS/OAB
    BasicAuthentication           : False
    WindowsAuthentication         : True
    OAuthAuthentication           : True
    InternalAuthenticationMethods : {WindowsIntegrated, OAuth}
    ExternalAuthenticationMethods : {WindowsIntegrated, OAuth}

    ( Get-WebServicesVirtualDirectory | fl server, Name, *URL*, *auth*, MRSProxyEnabled )
    Server                        : EXCH01
    Name                          : EWS (Default Web Site)
    InternalNLBBypassUrl          :
    InternalUrl                   : CORRECT-DOMAIN-REMOVED-FOR-LIMITATIONS/ews/exchange.asmx
    ExternalUrl                   : CORRECT-DOMAIN-REMOVED-FOR-LIMITATIONS/ews/exchange.asmx
    CertificateAuthentication     :
    InternalAuthenticationMethods : {Ntlm, WindowsIntegrated, WSSecurity, OAuth}
    ExternalAuthenticationMethods : {Ntlm, WindowsIntegrated, WSSecurity, OAuth}
    LiveIdNegotiateAuthentication :
    WSSecurityAuthentication      : True
    LiveIdBasicAuthentication     : False
    BasicAuthentication           : False
    DigestAuthentication          : False
    WindowsAuthentication         : True
    OAuthAuthentication           : True
    AdfsAuthentication            : False
    MRSProxyEnabled               : False

    ( Get-EcpVirtualDirectory | fl server, Name, *URL*, *auth* )
    Server                        : EXCH01
    Name                          : ecp (Default Web Site)
    InternalUrl                   : CORRECT-DOMAIN-REMOVED-FOR-LIMITATIONS/ecp
    ExternalUrl                   : CORRECT-DOMAIN-REMOVED-FOR-LIMITATIONS/ecp
    InternalAuthenticationMethods : {Basic, Fba}
    BasicAuthentication           : True
    WindowsAuthentication         : False
    DigestAuthentication          : False
    FormsAuthentication           : True
    LiveIdAuthentication          : False
    AdfsAuthentication            : False
    OAuthAuthentication           : False
    ExternalAuthenticationMethods : {Fba}

    ( Get-OwaVirtualDirectory | fl server, Name, *URL*, *auth* )
    Starting a command on the remote server failed with the following error message : The I/O operation has been aborted because of either a thread exit or an application request. For more information, see the about_Remote_Troubleshooting Help topic.
        + CategoryInfo          : OperationStopped: (exch01.example.local:String) [],     PSRemotingTransportException
        + FullyQualifiedErrorId : JobFailure
        + PSComputerName        : exch01.example.local

O segmento do bloco "JobFailure" foi repetido 10 vezes.

Consegui remover os "comandos concluídos" e completar lentamente o conjunto. Aqui estão esses resultados:

    ( Get-OwaVirtualDirectory | fl server, Name, *URL*, *auth* )
    Server                        : EXCH01
    Name                          : owa (Default Web Site)
    Url                           : {}
    InternalSPMySiteHostURL       :
    ExternalSPMySiteHostURL       :
    SetPhotoURL                   :
    Exchange2003Url               :
    FailbackUrl                   :
    InternalUrl                   : CORRECT-DOMAIN-REMOVED-FOR-LIMITATIONS/owa
    ExternalUrl                   : CORRECT-DOMAIN-REMOVED-FOR-LIMITATIONS/owa
    ClientAuthCleanupLevel        : High
    InternalAuthenticationMethods : {Basic, Fba}
    BasicAuthentication           : True
    WindowsAuthentication         : False
    DigestAuthentication          : False
    FormsAuthentication           : True
    LiveIdAuthentication          : False
    AdfsAuthentication            : False
    OAuthAuthentication           : False
    ExternalAuthenticationMethods : {Fba}

    ( Get-ActiveSyncVirtualDirectory | fl server, Name, *URL*, *auth* )
    Server                              : EXCH01
    Name                                : Microsoft-Server-ActiveSync (Default Web Site)
    MobileClientCertificateAuthorityURL :
    InternalUrl                         : CORRECT-DOMAIN-REMOVED-FOR-LIMITATIONS/Microsoft-Server-ActiveSync
    ExternalUrl                         : CORRECT-DOMAIN-REMOVED-FOR-LIMITATIONS/Microsoft-Server-ActiveSync
    MobileClientCertificateAuthorityURL :
    BasicAuthEnabled                    : True
    WindowsAuthEnabled                  : False
    ClientCertAuth                      : Ignore
    InternalAuthenticationMethods       : {}
    ExternalAuthenticationMethods       : {}

    ( Get-ClientAccessService | fl Name, OutlookAnywhereEnabled, AutodiscoverServiceInternalUri )
    Name                           : EXCH01
    OutlookAnywhereEnabled         : True
    AutoDiscoverServiceInternalUri : https://autodiscover.example.com/Autodiscover/Autodiscover.xml

    ( Get-ExchangeCertificate | fl FriendlyName, Subject, CertificateDomains, Services, Issuer, *not*, Status ))
    FriendlyName       : mail.example.com [Certify] - 5/15/2024 3:08:09 PM to 8/13/2024 3:08:08 PM
    Subject            : CN=mail.example.com
    CertificateDomains : {mail.CORRECT-DOMAIN-REMOVED-FOR-LIMITATIONS, attachments.example.CORRECT-DOMAIN-REMOVED-FOR-LIMITATIONS, autodiscover.CORRECT-DOMAIN-REMOVED-FOR-LIMITATIONS, webmail.CORRECT-DOMAIN-REMOVED-FOR-LIMITATIONS}
    Services           : IMAP, POP, IIS, SMTP
    Issuer             : CN=R3, O=Let's Encrypt, C=US
    NotAfter           : 8/13/2024 3:08:08 PM
    NotBefore          : 5/15/2024 3:08:09 PM
    Status             : Valid

    FriendlyName       : Microsoft Exchange Server Auth Certificate
    Subject            : CN=Microsoft Exchange Server Auth Certificate
    CertificateDomains : {}
    Services           : SMTP
    Issuer             : CN=Microsoft Exchange Server Auth Certificate
    NotAfter           : 9/30/2027 5:59:59 PM
    NotBefore          : 10/26/2022 5:59:59 PM
    Status             : Valid

    FriendlyName       : Microsoft Exchange
    Subject            : CN=EXCH01
    CertificateDomains : {EXCH01, EXCH01.CORRECT-DOMAIN-REMOVED-FOR-LIMITATIONS}
    Services           : IIS, SMTP
    Issuer             : CN=EXCH01
    NotAfter           : 10/26/2027 5:57:07 PM
    NotBefore          : 10/26/2022 5:57:07 PM
    Status             : Valid

    FriendlyName       : WMSVC-SHA2
    Subject            : CN=WMSvc-SHA2-EXCH01
    CertificateDomains : {WMSvc-SHA2-EXCH01}
    Services           : None
    Issuer             : CN=WMSvc-SHA2-EXCH01
    NotAfter           : 10/23/2032 3:47:25 PM
    NotBefore          : 10/26/2022 3:47:25 PM
    Status             : Valid


    ( Get-OutlookAnywhere | fl server, Name, *URL*, *hostname*, *auth* )
    Server                             : EXCH01
    Name                               : Rpc (Default Web Site)
    XropUrl                            :
    ExternalHostname                   : CORRECT-DOMAIN-REMOVED-FOR-LIMITATIONS
    InternalHostname                   : CORRECT-DOMAIN-REMOVED-FOR-LIMITATIONS
    ExternalClientAuthenticationMethod : Negotiate
    InternalClientAuthenticationMethod : Ntlm
    IISAuthenticationMethods           : {Basic, Ntlm, Negotiate}

    ( Get-MapiVirtualDirectory | fl server, Name, *URL*, *auth* )
    Server                        : EXCH01
    Name                          : mapi (Default Web Site)
    InternalUrl                   : CORRECT-DOMAIN-REMOVED-FOR-LIMITATIONS
    ExternalUrl                   : CORRECT-DOMAIN-REMOVED-FOR-LIMITATIONS
    IISAuthenticationMethods      : {Negotiate}
    InternalAuthenticationMethods : {Negotiate}
    ExternalAuthenticationMethods : {Negotiate}

    ( Get-OrganizationConfig | fl *mapi* )
    MapiHttpEnabled     : True

    ( Get-ClientAccessArray | fl )
    NO RESULTS RETURNED

    ( Get-OutlookProvider )
    Name Server CertPrincipalName TTL
    ---- ------ ----------------- ---
    EXCH                          1
    EXPR                          1
    WEB                           1

    Get-ExchangeServer | fl name, *admin*, static* >>
    Name                            : EXCH01
    AdminDisplayVersion             : Version 15.2 (Build 1544.4)
    StaticDomainControllers         : {}
    StaticGlobalCatalogs            : {}
    StaticConfigDomainController    :
    StaticExcludedDomainControllers : {}

Nos meus logs de eventos "Microsoft Exchange com disponibilidade de banco de dados", estou vendo apenas

• "Erro" para certificados expirados
• "Erro" para um relatório Watson
• "Aviso" para o MSExchange ActiveSync de que "A configuração LiveIdBasicAuthModule.ApplicationName no arquivo Web.Config estava faltando. Usando o valor padrão de ." Todo o resto é "Informação"

No meu log de eventos "Eventos Administrativos", estou vendo o acima, além do seguinte:

• Schannel "Error" - Ocorreu um erro fatal ao criar uma credencial de cliente TLS. O estado de erro interno é 10013. O processamento do cliente SSPI é SYSTEM.
• "Aviso" Armazenamento de camada intermediária do MSExchange - Cliente do Active Manager já está fazendo consulta para o objeto 'XXX' em outro thread, no entanto, esse thread não compeliu em 100 ms.

No meu log de eventos "Server Roles Web Server (IIS)", estou vendo o seguinte:

• "Aviso" WAS - Um pool de aplicativos de processamento 'MSExchangeSyncAppPool' sofreu um erro fatal de comunicação com o serviço de ativação do Windows Proess. O ID do processo era 'XXXX'. O campo de dados contém o número do erro.

Só hoje ocorreram 41 desses eventos (de 12h14 CST de 29/05 a 20h44 CST de 29/05)

Algumas pessoas estão sugerindo que este é um problema de DNS; no entanto, ele pode executar ping nos controladores de domínio e, se houvesse um problema de DNS incompatível quando desliguei o DC02, o problema deveria ter sido resolvido; no entanto, isso não aconteceu.

Alguém sugeriu reconstruir todos os diretórios virtuais; no entanto, o sistema estava lento antes de instalar a atualização CU14... a atualização CU14 não reconstruiria/redefiniria os diretórios virtuais?

The other (2) exchange environments I have both allow you to login with 1-2 seconds, MAX. Granted they are running Server 2019 CU10 and CU11 (The client has told me not to update either of them, so not much that I can do.

I am open to any suggestions here.

Thank You in Advance!

Update 202040530 @ 1730Hrs CST

Last night (20240529) I wanted to test the DNS issue theory and I disabled the network on the DC02 VM, and left it off. Nothing changed. In fact, it got worse.

Fast-forward to 10 minutes ago (20240530@1720Hrs CST) I was banging my head on the desk and decided to switch them. I re-enabled the network on DC02 and disabled the network on DC01. Lo and behold, within 3 minutes it is now running like it should. Logging in takes 2-3 seconds on OWA and ECP. Connecting through EMS is fast. This is how it should be.

So, this is not an exchange issue, it is a domain controller issue. I will be running a DCDiag on DC01 when I can re-activate the network, and I will post the results below at that time.

UPDATE - DCDIAG RESULTS: 20240530@2140Hrs CST

As I mentioned earlier, here are the results from running dcdiag. Please note I have changed city names and server names. Please Note: there are a series of DFSREvents in the event log. This were when I had either A.) turned off the network adapter on DC02 or, more recently, turned off the network adapter on DC01 to test and discover that the issue is DC01.

Aside from the errors due to the NIC adapters being disabled, I am not seeing anything that would explain why DC01 is causing all manner of problems for exchange, but DC02 is fine.

See this link for dcdiag results: https://pastebin.com/Ckwe5RdF

UPDATE: 20240601@1722Hrs - Diagnosing Requests

I was asked to do some additional diagnosing steps , but I am not able to paste all the information here.

Please see this link for a full rundown: https://pastebin.com/x6nkBnkM