SMTP-Protokoll-Überlauf

Discussion:

(zu alt für eine Antwort)

Ray Munzinger

2008-10-31 10:16:55 UTC

Hallo NG,

ich habe seit 3 Wochen folgendes Problem:
Auf dem Exchange-Server würde mir permanent die C:-Platte überlaufen, wenn
ich nicht rechtzeitig die Dateien im folgenden Verzeichnis löschen würde:
"C:\WINDOWS\system32\LogFiles\SMTPSVC1"
Dort werden Logfiles in der Form "extend01.log, extend02.log... geschrieben.
Klar kann ich die Protokollierung ausschalten und schon ist das Problem
gelöst.
Das möchte ich aber nicht, vielmehr interessiert es mich, warum auf einmal
die Dateien derart anwachsen, da es doch früher nie der Fall war.
Die Protokollierung stand immer auf "täglich", dann wurde die Datei 2GB groß
und wurde täglich neu als zusätzliche Datei geschrieben.
Ich habe das ganze aktuell umgestellt auf "Größe" und habe 128MB hinterlegt.
Jetzt schreibt er alle 30 Minuten eine Datei, deren Inhalt wie folgt
aussieht:

----
#Software: Microsoft Internet Information Services 6.0
#Version: 1.0
#Date: 2008-10-31 09:17:19
#Fields: date time c-ip cs-username s-sitename s-computername s-ip s-port
cs-method cs-uri-stem cs-uri-query sc-status sc-win32-status sc-bytes
cs-bytes time-taken cs-version cs-host cs(User-Agent) cs(Cookie) cs(Referer)
2008-10-31 09:17:19 10.1.100.4 mail.[domain].intra SMTPSVC1 [Servername]
10.1.100.4 0 x-exps - +GSSAPI 0 0 22 13 0 SMTP - - - -
2008-10-31 09:17:19 10.1.100.4 mail.[domain].intra SMTPSVC1 [Servername]
10.1.100.4 0 x-link2state -
+LAST+CHUNK={0000006a}+MULTI+(5)+({00000051}+DIGEST_QUERY+0fc5f172e567ec468c711904968a1d4c+95ca947f2d4080ef537ad584167f5ee3++)++
200 0 68 140 0 SMTP - - - -
2008-10-31 09:17:19 10.1.100.4 mail.[domain].intra SMTPSVC1 [Servername]
10.1.100.4 0 QUIT - mail.[domain].intra 240 46 62 4 0 SMTP - - - -
2008-10-31 09:17:19 10.1.100.4 mail.[domain].intra SMTPSVC1 [Servername]
10.1.100.4 0 EHLO - +mail.[domain].intra 250 0 257 21 0 SMTP - - - -
2008-10-31 09:17:19 10.1.100.4 mail.[domain].intra SMTPSVC1 [Servername]
10.1.100.4 0 x-exps - +GSSAPI 0 0 22 13 0 SMTP - - - -
2008-10-31 09:17:19 10.1.100.4 mail.[domain].intra SMTPSVC1 [Servername]
10.1.100.4 0 x-link2state -
+LAST+CHUNK={0000006a}+MULTI+(5)+({00000051}+DIGEST_QUERY+0fc5f172e567ec468c711904968a1d4c+95ca947f2d4080ef537ad584167f5ee3++)++
200 0 68 140 0 SMTP - - - -
2008-10-31 09:17:19 10.1.100.4 mail.[domain].intra SMTPSVC1 [Servername]
10.1.100.4 0 QUIT - mail.[domain].intra 240 0 62 4 0 SMTP - - - -
2008-10-31 09:17:19 10.1.100.4 mail.[domain].intra SMTPSVC1 [Servername]
10.1.100.4 0 EHLO - +mail.[domain].intra 250 0 257 21 0 SMTP - - - -
2008-10-31 09:17:19 10.1.100.4 mail.[domain].intra SMTPSVC1 [Servername]
10.1.100.4 0 x-exps - +GSSAPI 0 0 22 13 0 SMTP - - - -
----
Die Einträge werden im Sekundentakt geschrieben.
Umgebung:
Windows2003Native-Domain, Exchange-Server2003 (in der Root, wo dieses
Logfile erzeugt wird) und Exchange2007 in der Child-Domain.
Push-Dienst ist aktiviert und 4 Clients erhalten darüber Ihre e-mails
gepusht.

Ich denke es hat etwas mit dem Push-Dienst zu tun, weiß aber nicht weiter.
Das Eventlog des Exchange-Servers gibt mir nichts her und google habe ich
auch schon ein paar Stunden gequält, aber nichts gefunden.

Hat jemand einen Tip?

Vielen Dank

Ray Munzinger

Walter Steinsdorfer [MVP]

2008-10-31 13:08:48 UTC

Permalink

Hi,

Post by Ray Munzinger
Auf dem Exchange-Server würde mir permanent die C:-Platte überlaufen, wenn
"C:\WINDOWS\system32\LogFiles\SMTPSVC1"
Dort werden Logfiles in der Form "extend01.log, extend02.log... geschrieben.
Klar kann ich die Protokollierung ausschalten und schon ist das Problem
gelöst.

das ist das Textlog des SMTP-Dienstes. Alles was über SMTP
empfangen/gesendet wird läuft da rein.

Post by Ray Munzinger
Das möchte ich aber nicht, vielmehr interessiert es mich, warum auf einmal
die Dateien derart anwachsen, da es doch früher nie der Fall war.
Die Protokollierung stand immer auf "täglich", dann wurde die Datei 2GB
groß und wurde täglich neu als zusätzliche Datei geschrieben.
Ich habe das ganze aktuell umgestellt auf "Größe" und habe 128MB hinterlegt.
Jetzt schreibt er alle 30 Minuten eine Datei, deren Inhalt wie folgt
Die Einträge werden im Sekundentakt geschrieben.

schau dir mal die Warteschlangen an. Evtl. versucht einfach ein Spammer bei
euch seine Mails abzuladen (oder ihr spammt selbst?).

--
Viele Grüsse aus München

Walter Steinsdorfer
MVP Exchange Server
www.exusg.de
http://www.amazon.de/Exchange-Server-Outlook-Umstieg-Profis/dp/382732484X

Ray Munzinger

2008-10-31 16:58:23 UTC

Permalink

Post by Walter Steinsdorfer [MVP]
schau dir mal die Warteschlangen an. Evtl. versucht einfach ein Spammer
bei euch seine Mails abzuladen (oder ihr spammt selbst?).

das waren auch schon meine Gedanken.
Wenn ich in die "aktuelle Sitzung" schaue und permanent mit F5 aktualisiere,
dann sehe ich immer ganz kurz einen Benutzer.
Der flackert aber wirklich nur so kurz und es sind immer andere, sodass ich
nie weder eine IP noch eine Adresse erkennen kann.
In der Warteschlange selbst ist nichts aussergewöhnliches zu sehen.

Ray Munzinger

Frank Carius (MVP)

2008-10-31 21:55:36 UTC

Permalink

Post by Ray Munzinger
Der flackert aber wirklich nur so kurz und es sind immer andere, sodass
ich nie weder eine IP noch eine Adresse erkennen kann.
In der Warteschlange selbst ist nichts aussergewöhnliches zu sehen.

Wer das ist kannst du aber schon im SMTP-Log sehen
ansonsten: Du hast E2003 und E2007 ? und im SMTP Log sieht man "Link2State"
hast du nicht den Ratschlag befolgt und LinkState Minor Updates deaktiviert
? (ExBPA starten und mal die Warnungen anschauen)

Damit das nicht allesvoll läuft, kannst du das SMTP Logging auch abschalten
(auf dem virtuellen SMTP Server, direkt erste Karteikarte. sieht aus wie
beim WWW-Server das Logging :-) per Default ist es auch

--
Frank Carius MS Exchange MVP
Exchange FAQ auf http://www.msxfaq.de
Wenn es die Zeit erlaubt, dann rufe ich auch an. Nummer/Mailadresse ?
:-) --

Ray Munzinger

2008-11-03 09:13:33 UTC

Permalink

Post by Frank Carius (MVP)
Wer das ist kannst du aber schon im SMTP-Log sehen
ansonsten: Du hast E2003 und E2007 ? und im SMTP Log sieht man
"Link2State" hast du nicht den Ratschlag befolgt und LinkState Minor
Updates deaktiviert ? (ExBPA starten und mal die Warnungen anschauen)

im ExBPA habe ich genau 3 blaue Ausrufezeichen.
Die melden, dass anonymer Zugriff aktiviert ist und noch so 2 Kleinigkeiten,
die nicht wirklich spannend sind.
(Wir haben kein Front-/Backend-Server, das AD ist auf dem Exchange und Debug
wurde deaktiviert).

Post by Frank Carius (MVP)
Damit das nicht allesvoll läuft, kannst du das SMTP Logging auch
abschalten (auf dem virtuellen SMTP Server, direkt erste Karteikarte.
sieht aus wie beim WWW-Server das Logging :-) per Default ist es auch

Abschalten ist eine Alternative und löst das Problem, jedoch nicht die
Ursache.

Danke

Ray

Frank Carius (MVP)

2008-11-03 09:38:09 UTC

Permalink

Post by Ray Munzinger

Abschalten ist eine Alternative und löst das Problem, jedoch nicht die
Ursache.

Die ursache ist, dass der Exchange versucht mit LINK2STATE mit deinem E2007
zu sprechen, der auf dem Ohr natürlich "taub" ist.
hast du Linkstate denn auf dem E2003 laut Handbuch deaktiviert ?

--
Frank Carius MS Exchange MVP
Exchange FAQ auf http://www.msxfaq.de
Wenn es die Zeit erlaubt, dann rufe ich auch an. Nummer/Mailadresse ?
:-) --

Ray Munzinger

2008-11-04 10:28:19 UTC

Permalink

Post by Frank Carius (MVP)
Die ursache ist, dass der Exchange versucht mit LINK2STATE mit deinem
E2007 zu sprechen, der auf dem Ohr natürlich "taub" ist.
hast du Linkstate denn auf dem E2003 laut Handbuch deaktiviert ?

Nein. Bislang noch nicht. (Ich wusste ja auch bis zu deiner Antwort in
diesem Thread noch nichts von einem LinkState zum E2K7).
Komischerweise hat das ganze wieder aufgehört. Seit dem Neustart von Sonntag
morgen ist das Log wieder "normal".
Das ist nun mittlerweile ziemlich genau 48Stunden her. Scheint sich also
"regeneriert" zu haben.
Gruß+Danke
Ray