Minden összefügg mindennel

De rég is volt, te jó ég. Itt írtam egy orbitális nagy zöldségről. Annyira rég volt, hogy azóta a fiúk ki is irtották azt a KB cikket, felszántották, helyét sóval vetették be.
Ettől persze a problémánk nem múlt el. A komment szerint a hibát bejelentettük a PSS-nek, akik rá is uszították embereiket. Több, mint egy évvel ezelőtt. Nem lehet azt mondani, hogy nem vagyunk kellően makacsok.
A bejelentés után a dolgok mentek a maguk útján. Bekértek mindenféle adatot, beküldtem mindenféle adatot. Aztán eszkalálták a problémát a németekhez, akik megint bekértek mindenféle adatot. Ők is megkapták. Aztán nekiálltak kipróbálni ezt-azt – és az egyik próbára az ügyfél azt mondta, hogy ezt pedig már nem. Itt meg is álltunk. Az MTA szolgáltatás hiánya nem érintette őket annyira tragikusan, hogy belemenjenek egy routing groupok közötti szervermigrációba. Köszönték szépen, inkább nem – még akkor sem, amikor az MS bejelentette, hogy ugye tudják, hogy az MTA nélküli Exchange szerver automatikusan nem támogatottá válik.
Eltelt hét-nyolc hónap. Lehulltak a levelek, fehérre váltott a táj, majd elkezdtek bimbózni a rügyek. Az ügyfélnél leváltották az IT vezetőt, az új fiúval jobban lehetett tárgyalni, belement a migrációba. Létrehoztam egy új routing group-ot, telepítettem egy új szervert, konnektorok, routing rendben. Levelezés tesztelve, frankó. MTA indít – hibaüzenet.
Ez bizony övön aluli volt. Az eddigi koncepció szerint biztosan a szerver telepítésénél történt valami gikszer, amely miatt a routing group nem volt teljesen százas. Nos, nem.
Habár. Az új szerver Windows2003, szemben a régivel, mely Windows2000. És az új szerver azt írja az üzenetben, hogy az MTA elindult ugyan, de aztán rögtön le is állt, mert úgy érezte, őrá itt nincs is igazán szükség. Hasonlóan, mint a perfmon szervíz. Kipróbáltam, tényleg az is ezt írja ki.
Ennyi lenne? Az a nagy rejtélyes hiba pusztán csak annyi, hogy nincs kedve elindulni? (Mely valahol érthető, ugyanis közel-távol sincs Exchange5.5 – mindemellett az organizáció még mixed módú.)
Ebbe akár bele is nyugodhatnék, de az eventlogban könyörtelenül ott van ismét a két ominózus hibaüzenet. Most akkor melyiknek higyjek? A direkt üzenetnek? Az eventlognak? Mit tenne az adott helyzetben Steve Jobs a MOM?
Rábíztam a PSS-re. Ha írásba adják, hogy ez jó, akkor jó lesz nekem is.
Nem mondom, hogy nem inogtak meg. A beküldött adatok szerint olyan pöpec az Active Directory, amilyen csak lehet. Az őscsökevény MTA ráadásul nem is az AD alapján működik, saját adattáblái vannak. Tehát minden észérv azt mondja, hogy tojni rá.
Persze ezt nem adták írásba. Az eltelt időre való tekintettel megint bekértek egy valag adatot. Mire beküldtem, kijött egy újabb EXBPA, így kedvesen megkértek, hogy ismételjem meg az adatgyűjtést. Szóval elvoltunk.
Természetesen próbáltam önállóan is nyomozni, találtam is egy figyelemre méltó levélváltást, de a legacyDN értékek sajnálatosan rendben voltak.
A magam részéről innen már nem igazán bíztam semmiben, de egyszer csak jött egy teljesen vad ötlet a német hapitól. Azt mondta, a hiba oka egy kilométerrel távolabbi Exchange szerveren keresendő. A távolságot nem csak fizikailag kell érteni: bár az Exchange szerverek ugyanabban az organizációban vannak, de AD szinten két különböző szájton, melyek között csak egy harmadik szájton keresztül van kapcsolat, tartományilag pedig nemcsakhogy más domainban üzemelnek, de teljesen más fában is. Azt mondta erre a szerverre az EXBPA, hogy a jogosultsági rendszerében el van vágva az öröklődés. Ezt az üzenetet láttam én is, de csak megvontam a vállam. Igen, el van vágva, valamiért valószínűleg anno el kellett vágni. (Még az se kizárt, hogy pont ennek a case-nek a kezelése során. Legalábbis gyanús, de most nincs kedvem utánakeresni.) Ahogy néztem, elvágáskor rákerült minden jogosultság, tehát pánikra nincsen ok.
Mivel a két szervernek tényleg nagyon halvány köze van egymáshoz, meglehetősen tamáskodtam, amikor ezt az öröklődés elvágást kiáltották ki bűnösnek. De fegyelmezetten beklattyintottam, megvártam, amíg elterjed az AD-ban, mint a kolera, aztán teszt. És itt fehéredtem el: az MTA elindult.

Ez a cikk akkor lenne tökéletes, ha most roppant precíz szikekezeléssel bemutatnám, hogy mi rejlik a megoldás mélyén. De őszintén bevallom, halványlila fogalmam sincs. Annyit sikerült megtudnom, hogy a német srác a regtrace alapján jutott erre a következtetésre – ez viszont megint egy olyan cucc, mely bináris formában gyűjti az adatokat, azaz mezei halandó képtelen értelmezni az outputot.
Ehelyett azt tudom csak mondani Shakespeare kollégával egyetemben, hogy “Több dolgok vannak földön és égen, oh, Horatio, mintsem bölcselmetek álmodni képes”.
És ilyenkor ver ki a víz, ha belegondolok, hogy egy ilyen bonyolult Exchange/AD rendszerbe hány embernek van joga belepiszkálni. És ennyi közül elég, ha csak egy gondolja, hogy nem kell szarozni, csak ide-oda kattintunk néhányat és minden oké lesz.

[Update]
Jó persze, azt észrevettem, hogy miután engedtem az öröklődést, rákerült az ezer éve üzemelő Exchange szerver jogosultságlistájára a nagyon-nagyon távoli tartomány ‘exchange domain servers’ csoportja, read jogosultsággal. De ez valahogy még nem elégítette ki a kíváncsiságomat.

5 Comments

  1. BTW nem volna olyan rossz, ha nehany tool adatait a mezei halando is ertene es nem csak a binaris elkuldesere hasznalna minket az MS.

  2. Hát engem is kiverne a víz, az biztos. Azért feltenném a kérdést: tényleg minden rendben van az architektúra környékén? Tényleg annyi és olyan tartomány kell? Annyi és olyan routing group, stb?
    A válasz persze lehet “igen” is, egyszer fejszámolással arra jutottam, hogy a hotmail. com mögött kb. 10.000 szerver lehet (5000 user / server. 50 millió felhasználó esetén egy ugye 10.000 szerver), szóvel el tudok én képzelni nagy rendszert is, csak valahogy az az érzésem, hogy pár tízezer felhasználóig viszonylag talán “egyszerű” architektúrák is létezhetnek. No, az is igaz, hogy az “egyszerű” architektúra feltételezi, hogy “politikai koefficiens” 0. :-)

  3. Az architektúra… meglehetősen cégspecifikus, ezért nem is akarom nyilvánosan elemezni. Mindenesetre vannak benne üzletpolitikai szempontok és IT biztonságtechnikai szempontok. Az IT üzemeltetési szempontok meglehetősen a végére szorultak.

  4. Al,
    És akkor miből élne a PSS? ;)

  5. Az IT uzemeltetesi szempontok mindig a a vegere szorulnak. Legalabbis feher hollo, ahol nem. Olyanrol pedig meg nem hallottam mikor azt mondta volna az uzlet, hogy jol van srac, ha szar, akkor nem megy elesbe, hagyjuk a bizniszt. Ez inkabb olyan, hogy kirakod holnapra ha vert hugyozik is, aztan majd workaround amig kell.

Leave a Reply

Your email address will not be published. Required fields are marked *

Discover more from MiVanVelem

Subscribe now to keep reading and get access to the full archive.

Continue reading