Exchange 2010: 923372036854775766 copy queue lenght and orphaned mailbox server

An error occurred while trying to validate the specified database copy for possible activation:

Move-ActiveMailboxDatabase DAG-OFFICE -ActivateOnServer DAG-200

Database copy ‘DAG-OFFICE’ on server ‘DAG-200.domain.com’ has a copy queue length of 9223372036854725486 logs, which is too high to enable automatic recovery. Try this:

Move-ActiveMailboxDatabase DAG-OFFICE -ActivateOnServer DAG-200 -SkipHealthChecks -SkipActiveCopyChecks -SkipClientExperienceChecks -SkipLagChecks -MountDialOverride:BESTEFFORT

Exchange 2010 (after SP3): OWA error, exppw.dll, event ID 2280

I would suggest you perform the following steps to troubleshoot this issue:

  1. Remove the exppw.dll entry from applicationhost.config (c:\windows\system32\inetsrv\config)

Then registered the exppw.dll by following the below steps:

  1. IIS Manager -> Select the Server Name in the left Pane -> Open Modules in the middle pane
  2. Click on ‘Configure Native Modules’ in the right pane -> Click the button ‘Register’ -> Type the name as ‘exppw’
  3. Browse and select the path of above file as: c:\Programme Files\Microsoft\Exchange Server\V14\Client Access\OWA\Auth\exppw.dll

After registered:

  1. Made sure that the ‘exppw.dll’ is only present at OWA level and not at any of the top hierarchy
  2. Then ensured for this module in OWA (VDir), ‘Module Type’ is set to ‘Native’ and ‘Entry Type’ is ‘Local’
  3. Run IISreset /noforce

Idlescan, és ami mögötte van #1

Első körben az nmap küld egy halom SYN/ACK keretet az eszköznek (amiből majd a zombie gép lesz), és figyeli az RST válaszokat (itt az IPID értéke az érdekes, ennek következetesen növekvőnek kell lennie). Ekkor még nincs semmiféle kommunikáció a célgéppel!
iz_1A trace kimenet, figyeljük meg az IPID értékének növekedését (jobb olvashatóság miatt formáztam a kimenetet egy kicsit):

Source           Destination      Summary 
-----------------------------------------------------------------------------------------
[192.168.0.10]   [192.168.0.100]  IP:  D=[192.168.0.100] S=[192.168.0.10]  LEN=20 ID=1592
[192.168.0.100]  [192.168.0.10]   IP:  D=[192.168.0.10]  S=[192.168.0.100] LEN=20 ID=0994 <--
[192.168.0.10]   [192.168.0.100]  IP:  D=[192.168.0.100] S=[192.168.0.10]  LEN=20 ID=2012
[192.168.0.100]  [192.168.0.10]   IP:  D=[192.168.0.10]  S=[192.168.0.100] LEN=20 ID=0995 <--
[192.168.0.10]   [192.168.0.100]  IP:  D=[192.168.0.100] S=[192.168.0.10]  LEN=20 ID=9228
[192.168.0.100]  [192.168.0.10]   IP:  D=[192.168.0.10]  S=[192.168.0.100] LEN=20 ID=0996 <--
[192.168.0.10]   [192.168.0.100]  IP:  D=[192.168.0.100] S=[192.168.0.10]  LEN=20 ID=5056
[192.168.0.100]  [192.168.0.10]   IP:  D=[192.168.0.10]  S=[192.168.0.100] LEN=20 ID=0997 <--
[192.168.0.10]   [192.168.0.100]  IP:  D=[192.168.0.100] S=[192.168.0.10]  LEN=20 ID=6306
[192.168.0.100]  [192.168.0.10]   IP:  D=[192.168.0.10]  S=[192.168.0.100] LEN=20 ID=0998 <--
[192.168.0.10]   [192.168.0.100]  IP:  D=[192.168.0.100] S=[192.168.0.10]  LEN=20 ID=1468
[192.168.0.100]  [192.168.0.10]   IP:  D=[192.168.0.10]  S=[192.168.0.100] LEN=20 ID=0999 <--

Miután a forrásgép és a leendő zombie gép közt a kommunikáció sikeres volt, az NMAP meghamisítja az IP címet a célállomás részére, és kommunikációt még 4 alkalommal megismétli. A trace filet megvizsgálva észrevehetjük, hogy a forrás cím hamisításra került (a célgép IP címét vette fel), és erre az IP címre válaszol a zombie gép! A forrásgép SOHA nem látja a visszakapott válaszokat!
iz_2

Source           Destination      Summary 
-----------------------------------------------------------------------------------------
[192.168.0.200]  [192.168.0.100]  IP:  D=[192.168.0.100] S=[192.168.0.200] LEN=20 ID=3940
[192.168.0.100]  [192.168.0.200]  IP:  D=[192.168.0.200] S=[192.168.0.100] LEN=20 ID=1000 <--
[192.168.0.200]  [192.168.0.100]  IP:  D=[192.168.0.100] S=[192.168.0.200] LEN=20 ID=8034
[192.168.0.100]  [192.168.0.200]  IP:  D=[192.168.0.200] S=[192.168.0.100] LEN=20 ID=1001 <--
[192.168.0.200]  [192.168.0.100]  IP:  D=[192.168.0.100] S=[192.168.0.200] LEN=20 ID=3069
[192.168.0.100]  [192.168.0.200]  IP:  D=[192.168.0.200] S=[192.168.0.100] LEN=20 ID=1002 <--
[192.168.0.200]  [192.168.0.100]  IP:  D=[192.168.0.100] S=[192.168.0.200] LEN=20 ID=3373
[192.168.0.100]  [192.168.0.200]  IP:  D=[192.168.0.200] S=[192.168.0.100] LEN=20 ID=1003 <--

Mivel a forrásgéphez nem érkeznek meg a csomagok, az nmap nem tudja megállapítani, hogy a hamisítás megfelelően működött. Ezért az nmap lekérdezi a zombie gépet, hogy frissítse az IPID értéket:
iz_3

Source           Destination      Summary 
---------------------------------------------------------------------------------------
[192.168.0.10]   [192.168.0.100]  IP:  D=[192.168.0.100] S=[192.168.0.10] LEN=20 ID=6267
[192.168.0.100]  [192.168.0.10]   IP:  D=[192.168.0.10] S=[192.168.0.100] LEN=20 ID=1004 <--

Az IPID értéke 1004, amire vártunk 😀 Most, hogy az IPID elemzés befejeződött, az nmap elkezdheti a célgép szkennelését.

Have fun: Upside down

Example:

For more fun, we set iptables to forward everything to a transparent squid proxy running on port 80 on the machine.

/sbin/iptables -A PREROUTING -s 192.168.0.0/255.255.255.0 -p tcp -m tcp --dport 80 -j DNAT --to-destination 192.168.0.1

That machine runs squid with a trivial redirector that downloads images, uses mogrify to turn them upside down and serves them out of its local webserver.

The redirection script

#!/usr/bin/perl
$|=1;
$count = 0;
$pid = $$;
while (<>) {
        chomp $_;
        if ($_ =~ /(.*\.jpg)/i) {
                $url = $1;
                system("/usr/bin/wget", "-q", "-O","/space/WebPages/images/$pid-$count.jpg", "$url");
                system("/usr/bin/mogrify", "-flip","/space/WebPages/images/$pid-$count.jpg");
                print "http://127.0.0.1/images/$pid-$count.jpg\n";
        }
        elsif ($_ =~ /(.*\.gif)/i) {
                $url = $1;
                system("/usr/bin/wget", "-q", "-O","/space/WebPages/images/$pid-$count.gif", "$url");
                system("/usr/bin/mogrify", "-flip","/space/WebPages/images/$pid-$count.gif");
                print "http://127.0.0.1/images/$pid-$count.gif\n";

        }
        else {
                print "$_\n";;
        }
        $count++;
}

More:

http://www.ex-parrot.com/~pete/upside-down-ternet.html

😀 😀 😀 😀 😀 😀