Realtracking - Datenfluss

Auf den Seiten Nachrichtentracking mit Exchange 2007 und Exchange 200x Nachrichtentracking habe ich schon einen Einblick in die Formate von Exchange 2000/2003 und 2007/2010 gegeben. Das Einlesen einer CSV-Datei (auch ohne Header) ist nicht schwer und mit Exchange 2007/2010 PowerShell-Commandlets bekommen Sie auch schon die Feldbeschreibungen. Aber sie benötigen immer noch die IDs und deren Abfolge. Und da gibt es eine ganze Menge von Varianten, die sich aber schön in Teilstrecken aufteilen lassen. Allerdings hat sich das Routing von 2000/2003 und 2007/2010 speziell bei der Zustellung auf dem gleichen Server geändert, so dass die lokale Zustellung bei Exchange 2003 ein Sonderfall ist. Alle andere Mails landen irgendwann beim Transportdienst. Bei Exchange 2007/2010 ist das eben der Transport bei Exchange 2003/2000 der MTA.

Fälle

Entsprechend lassen sich Bereich herausarbeiten, die mehrere Fällen enthalten

  • Client zum Transport
    • Outlook zu Outlook auf dem selben Server
    • Outlook via Mailbox zum Transport
    • Pickup zu Transport
    • OWA zum Transport
    • ActiveSync zum Transport
  • Transport zum Transport
    • Versand über Internet Connector
    • Versand über RoutingGroup Connector mit Exchange 2000/2003
    • Versand über Site Link an anderem Exchange 2007/2010
    • Versand über Foreign connector
    • Empfang über Receive Connector
    • Empfang über RoutingGroup Connector von Exchange 2000/2003
    • Empfang über Site Link von anderem Exchange 2007/2010
    • Empfang über Foreign connector
  • Transport zum Client
    • Zustellung in Postfach
  • Sonderfälle
    • Quittungen Erzeugung
    • Beschränkungen durch Quotas
    • Verarbeitung von Transport Regeln
    • Aufteilen von Verteilern
    • Message Replay 
      (erneutes Senden, wenn Exchange Transport Cache einen Verlust befürchtet
    • Duplikate deletion
      Doppelte Mails (z.B.: durch Transport Cache) werden am Ziel wieder heraus gefiltert.
    • Journal
      Wer Messagejournal aktiviert hat, wird erkennen, dass die Mail an einer stelle dupliziert und eine Kopie an das Journal gesendet wird.

Für jeden der Fälle müssen wir getrennt nach Exchange 2000/2003 und 2007/2010 die entsprechenden Events in einer Reihe aufschlüsseln. Keine ganz einfach Aufgabe. Und dann gilt es die einzelnen Bindfäden noch zusammen zu bringen.

Exchange 2003 Logs

Wenn Sie ein paar Testmails senden, dann sehen Sie folgende Events.

Internet
->MB		 MB->
Internet		 MB->MB
Local		 Site2Site
Sender		 Site2Site
Receiver		 Beschreibung (Siehe KB 821905)


1019
1025
1024
---
1033
1036



1023
1028

1027
1019
1025
1024
---
1033

1034
1020
1031

1027
1019
1025
1024
---
1033
1036



1023
1028

1027
1019
1025
1024
---
1033

1034
1020
1031


1019
1025
1024
---
1033
1036



1023
1028

SMTP submit message to store driver (SD)
SMTP submit message to Advanced Queuing (AQ)
SMTP A new message was submitted to AQ
SMTP submit message to the categorizer
--- Split bei mehreren Empfängern
SMTP message categorized and queued für routing
SMTP message queued für local delivery
SMTP message routed and queued für remote delivery
SMTP begin outbound transfer
SMTP end outbound transfer
SMTP local delivery
Store: local delivery

Ich habe mal Sonderfälle ausgelassen, aber im Grund sehen Sie sehr viele übereinstimmende Events.

  • 1027 und 1028
    Diese beiden Events kennzeichnen eine neue Mail aus einer Mailbox (ausgehend) und eine lokale Zustellung einer Mail
  • 1031/1019
    Diese beiden Events zeigen an, wenn eine Mail die aktuelle Umgebung per SMTP verlässt oder empfängt, wobei der 1019 auch anderweitig vorkommt. Es wird nicht zwischen "Internet" und SiteLinks" unterschieden.
  • 1019 ist immer dabei
    Dabei eignet sich jeder diese Events gut für Auswertungen nach Summen.

Wer also zuverlässig Mails nach Intern, SameOrg und Internet unterscheiden möchte, kann dies über das Messagetracking nur sehr schwer tun, sondern muss letztlich die Sender und Empfänger ermitteln und sich z.B. an den Event 1019 halten.

  • 821905 Message Tracking Event IDs in Exchange Server 2003

Exchange 2007/2010

Analog protokolliert Exchange 2007/2010 seine Vorgänge. Hier ist zu beachten, dass der Mailboxserver selbst an den Server nur eine Benachrichtigung gibt, die Sie auf dem Mailboxserver finden, auch wenn dieser keine HubTransport-Rolle hat. Allerdings gibt es hier nicht mehr die einfache numerische EventID, sondern die Felder "SOURCE" und EVENTID.

Internet
->MB		 MB->
Internet		 MB->MB
Local		 Site2Site
Sender		 Site2Site
Receiver		 Beschreibung (Siehe KB 821905)

RECEIVE
SMTP

RECEIVE
MAILBOXRULE




DELIVER
STOREDRIVER

RECEIVE
STOREDRIVER

TRANSFER
ROUTING

SEND
SMTP




SUBMIT
STOREDRIVER

RECEIVE
STOREDRIVER







DELIVER
STOREDRIVER

SUBMIT
STOREDRIVER

 

 

Mail vom Store abgeholt
oder per SMTP Empfangen

Route


Per SMTP versendet


Zugestellt


Mail nach "gesendete Objekte" verschoben

Die Logs in Exchange 2010 sind also sehr viel einfacher und überschaubarer. Wer hier Aber nicht per PowerShell agiert, sondern direkt an die CSV-Dateien geht, wird feststellen, dass es hier immer zwei Dateien gibt. Am 26. Feb 2012 könnten Sie folgende Dateien finden

  • MSGTRK20120226-1.LOG
    Enthält das komplette Log mit allen einzelnen Schritte
  • MSGTRKM20120226-1.LOG
    Enthält eine Zusammenfassung, in der es pro Mail nur genau eine Zeile gibt

Für Auswertungen nach dem Volumen würde also schon die zweite Datei ausreichend sein.

Weitere Links