次の方法で共有


Problemas con SCOM monitorizando un servidor CAS

Hola a tod@s!

Últimamente hemos detectado un problema con la monitorización de los servidores con rol de CAS de Exchange 2007 utilizando SCOM que puede ser bastante interesante. Durante la monitoización del rol de CAS se ejecuta el comando Test-OwaConnectivity (https://technet.microsoft.com/en-us/library/aa997682.aspx) y, en caso de disponer de algún Controlador de Dominio que sea Windows 2000 en el site de Exchange, esta operación puede fallar. El error obtenido será similar al siguiente:

Date and Time: --/--/---- --:--:--
Property Name Property Value
State Error
Message Unable to obtain Test-OwaConnectivity result - The test mailbox was not initialized. Run new-TestCasConnectivityUser.ps1 to ensure that the test mailbox is created. Then run Test-ActiveSyncConnectivity ?ResetTestAccountCredentials under a system account to store this user's credentials for use in testing the Client Access services. More information: Mailbox Server:MailboxFQDNName
[Microsoft.Exchange.Monitoring.CasHealthUserNotFoundException]: UserPrincipalName:
CAS_XXXXXXXXXXX@smtpaddress.com is not found in Active Directory. Additional error information: [System.Security.SecurityException]: The Kerberos subsystem encountered an error. A service for user protocol request was made against a domain controller which does not support service for user.   

El problema aparece porque en el momento de ejecutar el comando el servidor CAS está utilizando uno de los Controladores de Dominio de Windows 2000 como servidor KDC y el tipo de operación realizada utiliza una extensión de Kerberos no soportada por Windows 2000. Esta extensión fue introducida con Windows 2003, aquí podéis encontrar más información:

Exploring S4U Kerberos Extensions in Windows Server 2003
https://msdn.microsoft.com/en-us/magazine/cc188757.aspx

Finalmente conseguimos evitar este error forzando a los servidores CAS a utilizar Controladores de Dominio de Windows 2008 ejecutando de forma periódica el siguiente comando:
NLTest /dsgetdc:grupo.cm.es / KDC /DS_6 /FORCE

Comentar que en caso de tener un entorno similar, con Controladores de Dominio ejecutando Windows 2000 en el mismo site que los servidores Exchange 2007 es la única alternativa para evitar que aparezca este problema.

Saludos,
Pablo