S tím, jak se pomalu ale jistě utahuje smyčka kolem on-premises Exchange instalací, se zpomalují i migrace na novější verze. A tak se snadno může stát, že jedna verze běží beze změny více než 5 let. A v takovém případě hrozí, že expiruje self-signed certifikát s Friendly-name "Microsoft Exchange", který byl vystaven a nastaven instalačním programem. Certifikát má platnost 5 let - a to není zas tak dlouho :( Více...
Microsoft nám všem, kteří se staráme o nějaký Exchange server, poslal novoroční pozdrav v podobě přetečení hodnoty 32-bit integer. Postižení jsou všichni, kdo na Exchange serverech nevypnuli AntimalwareScanning. Teď si toto skenování musí vypnout všichni, minimálně do doby, než Microsoft vydá opravu.
To, že je váš Exchange postižen, poznáte jednoduše - poslední maily dovnitř i ven přišly na Silvestra... V Exchange Toolboxu pod Queue Viewer uvidíte v Submission frontě velké množství nedoručených zpráv. V eventlogu se pak objevují takovéto hlášky:
Log Name: Application
Source: Microsoft-Filtering-FIPFS
Event ID: 1127
Level: Error
Description:
The FIP-FS Filtering Management Service was unable to acquire a scanner within the specified timeout. The process will be terminated.
a
Log Name: Application
Source: Microsoft-Filtering-FIPFS
Event ID: 5300
Level: Error
Description:
The FIP-FS "Microsoft" Scan Engine failed to load. PID: 20764, Error Code: 0x80004005. Error Description: Can't convert "2201010009" to long.
Problémem je hodnota 2201010009. Oprava je naštěstí jednoduchá. Spusťte Exchange Management Shell jako admin a v něm:
& $env:ExchangeInstallPath\Scripts\Disable-AntimalwareScanning.ps1
Restart-Service MSExchangeTransport
Vypínání skenování trvalo na všech serverech zatraceně dlouho, ale nakonec se povedlo.
Velké díky https://www.itwriting.com/blog/11910-exchange-emails-stuck-in-queue-because-message-deferred-by-categorizer-agent-happy-new-year-admins.html, myslím, že ušetřil spoustě administrátorů hodně času.
Doplnění 17:34:
https://techcommunity.microsoft.com/t5/exchange-team-blog/email-stuck-in-transport-queues/ba-p/3049447
https://betanews.com/2022/01/02/microsoft-releases-fix-for-email-breaking-y2k22-bug-in-exchange-fip-fs/
https://aka.ms/ResetScanEngineVersion - automatizovaná oprava od Microsoftu
Microsoft vydal výše zmíněný skript ResetScanEngineVersion, protože zjistil, že zcela automatizované řešení, které by nevyžadoval zásah Exchange administrátora, by jim zabralo několik dní.
To už je podruhé, kdy se s tímto problémem potkávám. Samozřejmě jsem si jej poprvé nepoznamenal (jako tunu dalších věcí, které člověk vyřeší a naivně si myslí, že to bylo naposledy v životě). Tak omyl. Je to tu zase. Existující domain admini nebo lokální administrátoři se přihlásí. Ale nově vytvořený domain admin nikoliv. Kde je zakopaný pes? Kruci, slovo PES není v této době úplně nejvhodnější. Více...