Landschaftsgest 10 Geschrieben 26. Mai 2011 Melden Teilen Geschrieben 26. Mai 2011 Hallo zusammen. Folgendes ist eingerichtet: 2x ADS auf W2K8R2 Standard (1x physical, 1x VMware-VM), 2008R2er -Funktions-und Domain-Level 2x E2K10 CAS/HUB auf W2K8R2 Enterprise (2x VMware-VM, CAS-Array und NLB) 2x E2K10 MBX auf W2K8R2 Enterprise (2x physical, DAG) 1x Windows 7 mit Office 2010 (physical) alles ist auf dem aktuellsten Patch-Level, bei den Exch.-Servern wurde das SP1 nachträglich installiert Die "Maschinen" befinden sich alle im gleichen Subnetz. Die NLB-Knoten sind mit je 1x NIC im Multicast-Modus mit forwarding=enabled konfiguriert. Bei der Port-Konfig habe keine Einstellung verändert - ergo sind alle Ports (0 bis 65535) konfiguriert. Als erstes wurden die CAS/HUB-Server eingerichtet - CAS1 und dann CAS2 (Namen der Server), nach dem Patchen dann der Windows-NLB und das CAS-Array. Danach kamen die Mailbox-Server. Nach dem Patchen der Mailbox-Server wurde die DAG eingerichtet und jeweils eine DB je Server angelegt, die dann auf den jeweils anderen MBX-Server repliziert. Soweit so gut. Die DAG tut auch, wie sie soll. ABER! Meiner Meinung nach funktioniert das CAS-Array mit Windows-NLB nicht so, wie es sollte. Wenn ein MAPI-Client mit der NLB-IP bzw. dem NLB-Namen eine Verbindung zum CAS-Array aufgebaut hat, wird diese getrennt, wenn der entsprechende CAS-Server "ausfällt". Während der CAS-Server dann "down" ist, versucht Outlook eine Wiederherstellung. Dabei kommt es zum Beispiel dazu, dass erneut Anmeldedaten eingegeben werden sollen. Nun meine Frage: Wie sollte sich Outlook verhalten? Eigentlich dürfte der User doch nichts von einem Ausfall eines NLB-Knotens merken, oder liege ich da falsch? Nächste Frage: Wie sieht es mit den Zertifikaten aus? Wenn Outlook über NLB-IP und Name konfiguriert wird, dann fehlt in den Zertifikaten doch der virtuelle Name des NLB-Verbundes, oder irre ich da? Noch eine Frage: Wenn die CAS-Server installiert werden, legen diese SCPs (ServiceConnectionPoints) im AD an. Diese heißen dann logischer Weise so, wie die Server. Da Outlook bei der Erstkonfig nach diesen SCPs fragt, stellt sich mir die Frage, wie ich Outlook dazu "überreden" kann, bei der Autoermittlung (Profileinrichtung intern) die Einstellungen bzw. IP und Namen des NLB bzw. CAS-Arrays zu nutzen? So, dass reicht erstmal oder? :D Hoffe, ich bekomme ein paar Antworten... Halt! Eine hab' ich noch: Ich gehe mal davon aus, dass CAS-Array und NLB nicht das Gleiche sind. CAS-Array auf der Exchange-Seite, NLB auf OS-Seite. Wie spielen diese beiden zusammen? Geht auch ein NLB ohne CAS-Array oder umgekehrt? Fragen über Fragen... Cheers Zitieren Link zu diesem Kommentar
NorbertFe 2.045 Geschrieben 26. Mai 2011 Melden Teilen Geschrieben 26. Mai 2011 Meiner Meinung nach funktioniert das CAS-Array mit Windows-NLB nicht so, wie es sollte. Wenn ein MAPI-Client mit der NLB-IP bzw. dem NLB-Namen eine Verbindung zum CAS-Array aufgebaut hat, wird diese getrennt, wenn der entsprechende CAS-Server "ausfällt". Während der CAS-Server dann "down" ist, versucht Outlook eine Wiederherstellung. Dabei kommt es zum Beispiel dazu, dass erneut Anmeldedaten eingegeben werden sollen. Nein, das sollte nicht passieren, jedenfalls passiert es bei mir nicht. ;) Wobei ich zugebe, dass ich nicht getestet habe, ob ich in dem Fall über RPC oder über OA und ein vorgelagertes TMG connected war. Nun meine Frage: Wie sollte sich Outlook verhalten? Eigentlich dürfte der User doch nichts von einem Ausfall eines NLB-Knotens merken, oder liege ich da falsch? Nö, würde ich ebenfalls von kurzer Verzögerung und Bubbleblase von Outlook auch nicht erwarten. Nächste Frage: Wie sieht es mit den Zertifikaten aus? Wenn Outlook über NLB-IP und Name konfiguriert wird, dann fehlt in den Zertifikaten doch der virtuelle Name des NLB-Verbundes, oder irre ich da? Deswegen konfiguriert man ja auch jeden CAS mit dem selben Zertifikat, welches alle 3 Namen beinhaltet. Noch eine Frage: Wenn die CAS-Server installiert werden, legen diese SCPs (ServiceConnectionPoints) im AD an. Diese heißen dann logischer Weise so, wie die Server. Da Outlook bei der Erstkonfig nach diesen SCPs fragt, stellt sich mir die Frage, wie ich Outlook dazu "überreden" kann, bei der Autoermittlung (Profileinrichtung intern) die Einstellungen bzw. IP und Namen des NLB bzw. CAS-Arrays zu nutzen? Das ist eine Eigenschaft des Postfachs. Set-MailboxDatabase: Hilfe zu Exchange 2010 SP1 Der Parameter RpcClientAccessServer gibt den Clientzugriffsserver oder das Clientzugriffsserver-Array an, über das RPC-Clients (z. B. Microsoft Office Outlook 2007-Clients) auf ihre Postfächer zugreifen. Diese Funktion wird für alle Versionen von Outlook unterstützt. Halt! Eine hab' ich noch: Ich gehe mal davon aus, dass CAS-Array und NLB nicht das Gleiche sind. CAS-Array auf der Exchange-Seite, NLB auf OS-Seite. Wie spielen diese beiden zusammen? Geht auch ein NLB ohne CAS-Array oder umgekehrt? Ein CAS Array beinhaltet automatisch alle CAS Server einer AD-Site. Dazu müssen diese CAS Server auch nicht zwingenderweise als NLB konfiguriert sein. NLB ohne CAS Array geht nicht, andersrum schon. Ist nur selten sinnvoll imho. Bye Norbert Zitieren Link zu diesem Kommentar
Landschaftsgest 10 Geschrieben 26. Mai 2011 Autor Melden Teilen Geschrieben 26. Mai 2011 Hi ho, na das mit den Zertifikaten hat sich erledigt. Wenn beim starten von Outlook die Fehlermeldug erscheint, dass der Name im Zertifikat nicht stimmt, ist die Lage klar. Aber das mit den SCPs und CAS-Array und NLB habe ich noch nicht durchstiegen... :confused: Beim First-Connect von Outlook linst dieses ins AD - aha, SCP vorhanden - dann mal schnell auf die CAS-Rolle geguckt - jo, die weiß wo meine Mailbox ist -fertig. Wo ist da nun NLB? Irgendwie ist es schon ganz schön spät... ;) Cheers Zitieren Link zu diesem Kommentar
NorbertFe 2.045 Geschrieben 26. Mai 2011 Melden Teilen Geschrieben 26. Mai 2011 CAS Array = NLB Name in diesem Fall, bzw. ein Name des NLB ist auch CAS Array. ;) Wo siehst du da jetzt ein Problem? Bye Norbert Zitieren Link zu diesem Kommentar
Landschaftsgest 10 Geschrieben 27. Mai 2011 Autor Melden Teilen Geschrieben 27. Mai 2011 Moin moin, wenn CAS-Array und/oder NLB automatisch von Outlook ermittelt werden, sehe ich kein Problem... :D Erklärt allerdings nicht, warum es bei mir nicht funktioniert. Sicherlich hängen da noch andere Sachen (z.B. Netzwerk) mit drin. Muss mal schauen, ob ich da noch was "finde"... Besten Dank Cheers Zitieren Link zu diesem Kommentar
RobertWi 81 Geschrieben 27. Mai 2011 Melden Teilen Geschrieben 27. Mai 2011 Moin, Meiner Meinung nach funktioniert das CAS-Array mit Windows-NLB nicht so, wie es sollte. Wenn ein MAPI-Client mit der NLB-IP bzw. dem NLB-Namen eine Verbindung zum CAS-Array aufgebaut hat, wird diese getrennt, wenn der entsprechende CAS-Server "ausfällt". Während der CAS-Server dann "down" ist, versucht Outlook eine Wiederherstellung. Dabei kommt es zum Beispiel dazu, dass erneut Anmeldedaten eingegeben werden sollen. Nun meine Frage: Wie sollte sich Outlook verhalten? Eigentlich dürfte der User doch nichts von einem Ausfall eines NLB-Knotens merken, oder liege ich da falsch? hier muss ich leider Norbert widersprechen. Was Du erlebst, ist das normale Verhalten beim Windows NLB und einer der zwei Gründe, warum MSFT WNLB nicht mehr empfiehlt für Exchange. Hintergrund: WNLB macht seine Zuordnung anhand der Client-IP-Adresse fest (Achtung bei NAT, dann geht alles auf einen Knoten - das ist der zweite Grund). Solange die sich nicht ändert, kommt der Client seine Lebzeit also immer beim gleichen NLB raus, was schon mal kein wirkliches Load Balancing ist. Der Client arbeitet also mit allen Verbindungen (RPC, HTTPS für OAB/EWS) gegen *einen* CAS-Server (wenn die URLs korrekt eingestellt sind) und hat von diesem für den Zugriff das Zugriffstoken, sowie eine SSL-Session bekommen. Beim Schwenk auf den anderen Knoten stellt der dortige IIS fest, dass ein bisher nicht bekannter Client erscheint, der eine SSL-Session verwendet, die dieser IIS gar nicht kennt - FEHLER. Die Auswirkungen im Client sind je nach Version unterschiedlich. Gute NLB verwalten daher ihre Session untereinander, in dem sie Cookies oder Sessions States oder andere Verbindungsinformationen untereinander austauschen. Wenn man diese Einschränkung kennt und damit leben kann, ist WNLB eine Alternative, da kostenlos. Will man es aber perfekt haben, bleibt nur ein Drittanbieter-Produkt. Zitieren Link zu diesem Kommentar
NorbertFe 2.045 Geschrieben 27. Mai 2011 Melden Teilen Geschrieben 27. Mai 2011 Also im Endeffekt ist mir egal, ob ich als Client immer auf einem CAS lande. (ein anderer Client landet ja auf einem anderen CAS) und bei NAT mit davorliegendem TMG ist die von dir erwähnte Tatsache auch relativ einfach zu lösen, so dass das TMG die Verteilung der Clients auf beide CAS regelt. Fakt ist, dass in meiner Umgebung ein Reboot eines dieser CAS auf keinen Fall zu einer Anmeldemaske in Outlook führt, sondern nur zur Meldung Outlook Verbindung verloren/wiederhergestellt. Innerhalb weniger Sekunden. Insofern kann ich zumindest mit dieser "Nichtempfehlung" gut leben. ;) Bye Norbert Zitieren Link zu diesem Kommentar
Landschaftsgest 10 Geschrieben 27. Mai 2011 Autor Melden Teilen Geschrieben 27. Mai 2011 HI, Tja, das mit dem Verbindungs-Aufbau (wiederholtem) klappt seit heute früh... Keine Ahnung was das nun wieder war... Und ich sehe das ähnlich bzw. ganz genauso wie Norbert. Der User kann mit ein paar Sekunden Reconnect-Versuch sicher leben, so denn er dies überhaupt bemerkt... Cheers Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.