Outlook radi, ne radi...

Sistemac koji sebe smatra Linux adminom povremeno je u prilici pomagati kolegama koji održavaju Windows servere i klijente. Jedan takav slučaj aktivirao je detektivske vijuge obojici sistemaca, Linuksašu i Windowsašu. Korisnici Windows računala svako se jutro ulogiraju u svoje računalo, koristeći Domenski račun, zatim pokrenu Outlook i autenticiraju se s istim računom na Exchange, Microsoftov mail server. No jednog jutra rutina se prekida. Desetak posto korisnika može se ulogirati na računalo, ali autentikacija na Exchange ne prolazi!

Kolega održava izdvojenu mrežu. Domenski kontroleri nalaze se na centralnoj lokaciji i nisu pod njegovom nadležnošću. Zvao je admina u centrali koji brine o Win serverima, ali dobija odbijanac: "Kod nas je sve u redu, problem je kod tebe, na računalima koja se ne mogu spojiti na Exchange."

Nazvao me i zatražio pomoć, pa smo zajedno krenuli istraživati. Na problematičnom računalu otvaramo profil drugom korisniku, kojem Outlook radi. Može se ulogirati, ali povezivanje s Exchangeom sad ne radi ni njemu! I obnuto, korisniku problematičnog računala stvaramo profil na "ispravnom" računalu: povezivanje s Exchangeom prolazi, Outlook radi bez problema! Dakle problem nije na razini korisnika, nego na razini računala! Čini se da je mrzovoljni kolega iz centrale u pravu.

Dajemo se u potragu za razlikama među računalima, usporedili smo stavku po stavku problematična računala s ostalima. Svi imaju istu verziju Windowsa 7, istu verziju Officea i Outlooka, instalirane iste zakrpe. Provjerili smo postavke firewalla, instalirane aplikacije, ništa nismo pronašli. Korisnici ne mogu sami instalirati softver, sve je pod kontrolom. Pustili smo instalirani antivirus, ništa nije našao. Bootali smo računalo s antivirusnog rescue CD-a, za slučaj da se neka gamad digne rano i sakrije od AV-a. Ništa.

U međuvremenu se pojavljuje novi problem. Korisnik koji očekuje važan poslovni mail uporno se pokušavao autenticirati preko Outlooka, sve dok nije probio limit. Sada mu je korisnički račun zaključan! Otključali smo ga, ali Outlook se i dalje ne spaja na Exchange.

Odlučujemo instalirati neki drugi mail klijent. Isprobavamo ih nekoliko, za čitanje mailova koristimo POP protokol koji je dignut na Exchange serveru. Autentikacija korisnika na drugim mail klijentima prolazi, čitanje i slanje mailova radi! Dakle problem je samo u komunikaciji Outlooka s Exchangeom, i to samo na nekoliko računala. Korisnici kojima Outlook ne radi odahnuli su, sad mogu raditi. Grde nas: "Kako mi to zamišljamo da oni mogu u 21. stoljeću raditi svoj posao bez e-maila!"

Zovemo druge kolege u centrali, više ne onoga koji tvrdi da je sve u redu. Ispričamo im rezultate istrage, možda njima nešto padne na pamet. Saznajemo da se isti problem počeo pojavljivati i na centralnoj lokaciji. I njima mrzovoljni sistemac tvrdi da je sve u redu. Savjetuju da problematičnim korisnicima promijenimo password na Domenskom računu. Pokušavamo i to, ne pomaže. Savjetuju da im pobrišemo profil, pa ga kreiramo nanovo. Nećemo, jer smo ustanovili da nije problem u postavkama korisničkog računa.

Da skratimo priču, problem je ipak bio na serverima, u servisu koji se zove Global Catalog. To je jedna od funkcija Active Directorija, zapravo popis korisnika i računala u mreži. Exchange koristi GC za autentikaciju korisnika. Na centralnoj lokaciji u pogonu je nekoliko Domenskih kontrolera. Jedan od njih je umirovljen, njegovu je ulogu preuzeo drugi. Nekim čudom desetak posto korisnika još uvijek se pokušava autenticirati preko nepostojećeg servera.

U registru problematičnog računala nalazimo stavku:

HKEY_CURRENT_USER\Software\Microsoft\Exchange\Exchange Provider
Value name: DS Server
Value type: REG_SZ
Value: <FQDN GC servera>

Kada smo umjesto domenskog imena umirovljenog servera stavili ime njegovog nasljednika, sve je proradilo!

Ostaje problem zašto se većina korisnika autenticira pomoću aktivnih servera, dok ostali imaju zadanog umirovljenika? Odgovor je jednostavan: nešto nije odrađeno do kraja u postavkama Domenskih kontrolera, nije počišćena konfiguracija u kojoj se spominje nepostojeći server. To će morati napraviti kolege u centrali, bez našeg sudjelovanja. Pronašli smo na webu linkove sa savjetima:

Kako preseliti Global Catalog na drugi Domenski kontroler

Kako obrisati Domenski kontroler iz Active Directorija

Kako ukloniti podatke u AD nakon neuspjelog pokušaja degradacije Domenskog kontrolera

Iako priča završava sretno, ostaje malo gorčine u ustima. Rješavanje je predugo trajalo, korisnici su imali probleme sa svojim nadređenima. Zaista, kako objasniti šefu da ti u 21.stoljeću ne radi mail servis? Pogotovo kad šefu normalno radi...

Podsjećamo se na činjenicu da postoje dvije vrste sistemaca. Jedni se odmah bacaju na rješavanje problema, dok drugi igraju ping-pong, negiraju postojanje problema dok god je to moguće. Da li je stvar u karakteru, ili u iskustvu? Dok si mlad i naivan odmah se bacaš na rješavanje problema. S vremenom, kad se nagomilaju loša iskustva, shvatiš da previše radiš a premalo si plaćen i dobijaš premalo zasluga za svoj rad, pa počinješ odbijati žalbe. Neki problemi nestanu sami od sebe, ponekad je i to dobra strategija. Tek kad postane jasno da se problem neće riješiti sam od sebe, onda se mrzovoljno prihvatiš posla. Ne hvalim prve, ne kudim druge. Gdje sam tu ja? Iskreno, to ovisi o danu i raspoloženju. Moj prvi impuls je: riješi problem, shvati što se i zašto događa, razmisli što napraviti da se više ne ponavlja. Dobar sistemac imat će sve manje posla ako tako postupa. Ali s vremenom nastupa zamor materijala, pa se mnogi od nas pretvaraju u mrgude. Time se komunikacija s korisnicima pogoršava i postaje sve lošija, a sistemac dobija sve manje priznanja za svoj trud. Vrijeme je za promjenu sredine, ili čak zanimanja. Kolega je našao oglas za pastira: "Čuvanje stada ovaca, plaća 7000 kn plus stan i hrana. Idem odmah, čim mi slijedeći put dignu tlak!" ;))

Čini se da nam je tlak na normali, jer još uvijek smo sistemci, zar ne?