Exchange BE/FE Konstelation, probleme mit Mail Replikation...RPC?

1. offizieller Beitrag

    Hi, ich habe nun meinen FE/BE Test hinter mir und das ganze in unserem Netz integriert. Leider ärgere ich mich noch mit einem kleinen Problemchen rum.


    Hier erstmal die Situation:


    Server1; 2003 Std. SP1; DC; DNS; DHCP; Exchange 2003 SP2 BE; 192.168.1.1
    Server2; 2003 Std. SP1; Exchange 2003 SP2 FE; 192.168.111.1


    Zwischen den Servern ist eine Gateprotect Firewall welche das Routing zwischen den Servern übernimmt. Ich hab alle notwendigen Portregeln laut MS Doku angelegt und Server2 problemlos der Domäne hinzugefügt. Wenn er bootet meldet er sich auch problemlos beim DC an und im Ereignisprotokoll gibt es keine Fehler. Auch im Exchange System Manager - Status gibt es keine Probleme.


    Jedoch gibt es Probleme beim Transfer der Mails zwischen den beiden Servern. Die hängen ewig in der Warteschlage und kommen nur sporadisch durch. Prinzipiell schieb ich das Problem auf die FW, denn sobald ich den FE eine IP aus dem Netz des DC gebe klappt es.


    Wenn es über die FW geht krachen ständig unterschiedliche Ports gegen die Wand. Ich vermute mal das ist RPC. Also hab ich mal für RPC port 1024-10000 freigegeben. Kracht dennoch sporadisch, daher FW Bug denk ich.


    Dennoch stellt sich für mich die Frage wie ich die RPC Ports richtig beschränke, z.B. auf 5000-6500. Ich habs mit nem Regkey für NTDS und RPCCFG versucht. Aber irgendwie hat das glaub nix gebracht. Oder gibt es noch einen anderen Dienst der von Exchange benötigt wird und die Ports wechselt?


    Ich hoffe ihr könnt mir nochmal helfen.

    • Offizieller Beitrag

    Hi,


    wo wirklich verstehe ich Dein Problem nicht.... so wie es schaut hast du ja gleich mehrere!


    1. Routing zwischen FE und BE
    Da auf einen FE Server keine Postfächer und Öffentlichen Ordner liegen dürfen, kannst Du den FE ja nur als Gateway verwenden um Mails ins Internet zu schicken und auch darüber zu erhalten. Dementsprechend hast Du für den FE Server einen SMTP Connector erstellt. Auf den FE selber kannst Du den Öffentlichen Ordnerspeicher löschen! Den Postfachspeicher brauchst Du noch wegen der SystemMailbox. Sonst geht das Routing nicht mehr!
    Um zu sehen ob es an der Firewall liegt, würde ich mit Telnet vom BE versuchen ein Mail an den FE abzugeben.


    Telnet - SMTP Befehl (Mailversand via telnet)
    http://www.nobbysweb.de/community/newbb/howto/023.pdf


    Oder auch mal das SMTP Logging aktivieren!


    Protokollierung des SMTP Verkehres
    http://www.nobbysweb.de/community/newbb/howto/042.pdf


    2. RPC Ports
    Dann hattest Du noch die RPC Ports angesprochen.. Diese sind primär nur für den Outlook Zugriff gedacht und sind von 1024 bis 65535! Wenn der FE in der DMZ steht brauchst Du folgende Ports, damit der HTTP bsierte Zugriff geht.



    Dies kann ActiveSync (Push oder auch AUTD), OWA, OMA und RPC over HTTP sein.


    3. RPC over HTTP
    Bei diesem Outlook Zugriff werden die RPC Anfragen über HTTP getunnelt. Um RPC over HTTP anwenden zu können wird SSL benötigt! Zusätlich müssen an der FW noch die Ports zum GC geöffnet werden.



    Am besten ist es aber, den FE mit ins interne LAN zu stellen und vorerst alles zu testen. Dann einfach die IP zu ändern und den FE in die DMZ stellen und alle Ports öffnen und DNS anpassen.


    Gruss
    Heinz

    Wenn ich den Fe ins LAN stelle funktioniert alles problemlos. Daherist klar das die Probleme prinzipiell von der FW kommen. Ich hatte da auch schon den Gateprotect Supportler per SSH auf die FW gelassen und auch er war erstaunt als er sah das die Ports geblockt werden obwohl ich eine Regel dafür definiert habe.


    SMTP Connector für den FE? Also ich habe SMTP Connectoren für die Postfächer beim ISP erstellt und den FE als Bridgehead eingerichtet. Muss ich noch einen SMTP-Connector für den FE erstellen?
    In meinen Warteschlangen sehe ich immer (beim Betrieb in der DMZ) Mails die nicht sofort wie im LAN übertragen werden. Die SMTP Connectoren in der Warteschlange heissen SERVER1.dömäne.local, bzw. Server2.domäne.local. Ich denke du meinst diese Connectoren.


    Wird RPC nicht genutzt wenn einer dieser Connectoren versucht sich zu verbinden?


    Wird RPC über HTTP auch zur BE/FE Replikation genutzt?

    Natürlich habe ich den FE bei meinen Connectoren als Bridgehead angegeben. Sonst würde ja nicht er die Mails ins Internet schicken.



    Also nochmal...


    Ist der FE im LAN klappt alles. Ist er in der DMZ mit anderer IP stehen gibt es Probleme beim Replizieren der Mails zwischen den Exchange Servern. Die stehen immer wieder auf wiederholen.
    Auf meiner FW sehe ich dann zig Ports über die die beiden Server miteinander kommunizieren wollen. Ich gehe mal davon aus dass das RPC ist. Ich hab schon einiges versucht diese Ports zu begrenzen. War aber wohl erfolglos, bzw. konnte ich es dank der DRECKS Firewall nicht verifizieren.


    Daher hoffe ich einer von euch kann mir sagen wie ich den RPC Verkehr RICHTIG auf wenige Ports beschränke. Denn wenn ich das geschafft hab kann ich die Jungs vom Support nerven :P


    RPC über HTTP wird ja zur Outlook Kommunikation mit dem Server genutzt. Oder auch für die Kommunikation zwischen den Servern?

    • Offizieller Beitrag

    Hi,


    also RPC over HTTP ist nur für den Outlook Client um die Ports auf 443 zu minimieren!


    Die Exchange Server arbeiten untereinander nur mit Port 80 und 25.


    HTTP um alle Anfragen wie OWA, POP, IMAP, ActiveSync und OMA an den BE zu übergeben und 25 für den Mail Verkehr. Wenn zwei Exchange Server im internen LAN stehen geht auch die Öffentliche Ordner Replikation über Port 25.


    Alle anderen Anfragen gehen an den DC, GC, DNS und WINS!


    Gruss
    Heinz

    http://www.microsoft.com/techn…912b2017ded.mspx?mfr=true


    Danach hab ich mich gerichtet. Und unter "Configuring Firewalls" Step 3 steht:


    Open the appropriate ports for RPC communication:


    ? TCP port 135 - RPC endpoint mapper

    ? TCP ports 1024+ - random RPC service ports


    (Optional) To limit RPCs across the intranet firewall, edit the registry on servers in the intranet to specify RPC traffic to a specific non random port. Then, open the appropriate ports on the internal firewall:


    ? TCP port 135 - RPC endpoint mapper

    ? TCP port 1600 (example) - RPC service port



    Und genau das ist mein Problem. Wie begrenze ich den RPC richtig? Ich habs mit nem REG Eintrag aufm DC versucht unter NTDS. Der bringts net.


    Oder muss ich das mit "RPCCFG -pe 5000-6500 -d 0" machen? (Beide Server haben nur einen LAN Adapter.)

    Ich hab nochmal alles überprüft und es passt laut euren Angaben.


    Doch sobald der FE Mails vom Internet geholt hat, hängen die lange in der Warteschlange. Auf der FW krachen dynamische Ports wo der DC/BE auf den FE will.
    Daher denke ich es liegt am RPC.


    MS schreibt dazu:


    Beschränken des RPC-Datenverkehrs
    Wenn Sie die für RPCs benötigten Features, wie zum Beispiel Authentifizierung oder implizite Anmeldung, konfigurieren möchten, die breite Palette von Anschlüssen über 1024 jedoch nicht öffnen möchten, können Sie Ihre Domänencontroller und globalen Katalogserver zur Verwendung eines einzelnen Anschlusses für den gesamten RPC-Datenverkehr konfigurieren. Weitere Informationen zur Beschränkung von RPC-Datenverkehr finden Sie im Microsoft Knowledge Base-Artikel 224196, "Einschränken von Active Directory-Replikationsverkehr an einem bestimmten Port."


    Zur Clientauthentifizierung muss der Registrierungsschlüssel (wie im oberen Knowledge Base-Artikel und im Folgenden erläutert) auf allen Servern festgelegt werden, die der Front-End-Server möglicherweise kontaktiert (zum Beispiel ein globaler Katalogserver). Legen Sie den folgenden Registrierungsschlüssel für einen bestimmten Anschluss fest, zum Beispiel 1600:


    HKEY_LOCAL_MACHINE\CurrentControlSet\Services\NTDS\Parameters


    Registrierungswert: TCP/IP-Port Werttyp: REG_DWORD-Wertdaten: (verfügbarer Anschluss)


    Öffnen Sie auf der Firewall zwischen dem Umgebungsnetzwerk und Ihrem Intranet lediglich die beiden Anschlüsse für die RPC-Kommunikation - Der RPC-Portmapper (135) und der von Ihnen angegebene Anschluss (Anschluss 1600, wie in der folgenden Tabelle angegeben). Der Front-End-Server versucht zunächst, die Back-End-Server mit RPCs über Anschluss 135 zu kontaktieren, und der Back-End-Server antwortet mit dem aktuell verwendeten RPC-Anschluss.



    Ich hab den Wert gesetzt, jedoch ohne Erfolg. Mir ist aber aufgefallen, dass der Wert in jedem Dokument von MS anders geschrieben wird.


    TCP/IP-Port
    TCP/IP Port
    TCP-IP-Port


    ??? ja was denn nun?



    FRS hab ich nun auch auf einen Port gesetzt...hat aber au nix gebracht. :(


    So langsam bin ich echt am verzweifeln. Konfiguriert sind die Server 100% richtig denn im LAN klappt es supi!

    • Offizieller Beitrag

    Hi,


    SMTP hat aber nichts mit RPC zu tun! Wenn Du im Connector ein Relay eingetragen hast so muss die Mail dahin übertragen werden. Wichtig ist, dass der Name des Relays auch aufgelöst wird, sonst solltest du am besten die IP verwenden!


    Da es aber intern geht, würde ich mal vorerst das FW Problem in den Griff bekommen. Klingt ja sehr spannent! :D


    Gruss
    Heinz

    Es geht ja auch nicht um den SMTP Connector, sondern um die Replikation zwischen den Servern. Die stehen dann halt als SMTP in der Warteschlange. Z.B. Server1.domäne.local und auf der FW krachen die Ports. Das FW Problem kann ich ganz fix mit dem Support erledigen. Jedoch hätte ich halt gerne die Dynamischen Ports davor endlich weg :(