=BT=Viper

Es geht nun. Lag an der Schreibweise des REG eintrags für RPC. "TCP/IP Port" ist die richtige schreibweise.

Klar, VPN würde auch gehen, aber ohne wär mir lieber. Denn wenn einer den DMZ Server hackt hat er dann auch alle Ports. Ich hab nochmal alles überprüft und es passt alles. Doch sobald der FE Mails vom Internet geholt hat, hängen die lange in der Warteschlange. Auf der FW krachen dynamische Ports wo der DC/BE auf den FE will. Daher denke ich es liegt am RPC. MS schreibt dazu: Beschränken des RPC-Datenverkehrs Wenn Sie die für RPCs benötigten Features, wie zum Beispiel Authentifizierung oder implizite Anmeldung, konfigurieren möchten, die breite Palette von Anschlüssen über 1024 jedoch nicht öffnen möchten, können Sie Ihre Domänencontroller und globalen Katalogserver zur Verwendung eines einzelnen Anschlusses für den gesamten RPC-Datenverkehr konfigurieren. Weitere Informationen zur Beschränkung von RPC-Datenverkehr finden Sie im Microsoft Knowledge Base-Artikel 224196, "Einschränken von Active Directory-Replikationsverkehr an einem bestimmten Port." Zur Clientauthentifizierung muss der Registrierungsschlüssel (wie im oberen Knowledge Base-Artikel und im Folgenden erläutert) auf allen Servern festgelegt werden, die der Front-End-Server möglicherweise kontaktiert (zum Beispiel ein globaler Katalogserver). Legen Sie den folgenden Registrierungsschlüssel für einen bestimmten Anschluss fest, zum Beispiel 1600: HKEY_LOCAL_MACHINE\CurrentControlSet\Services\NTDS\Parameters Registrierungswert: TCP/IP-Port Werttyp: REG_DWORD-Wertdaten: (verfügbarer Anschluss) Öffnen Sie auf der Firewall zwischen dem Umgebungsnetzwerk und Ihrem Intranet lediglich die beiden Anschlüsse für die RPC-Kommunikation - Der RPC-Portmapper (135) und der von Ihnen angegebene Anschluss (Anschluss 1600, wie in der folgenden Tabelle angegeben). Der Front-End-Server versucht zunächst, die Back-End-Server mit RPCs über Anschluss 135 zu kontaktieren, und der Back-End-Server antwortet mit dem aktuell verwendeten RPC-Anschluss. Ich hab den Wert gesetzt, jedoch ohne Erfolg. Mir ist aber aufgefallen, daß der Wert in jedem Dokument von MS anders geschrieben wird. TCP/IP-Port TCP/IP Port TCP-IP-Port ??? ja was denn nun? FRS hab ich nun auch auf einen Port gesetzt...hat aber au nix gebracht. So langsam bin ich echt am verzweifeln. Konfiguriert sind die Server 100% richtig denn im LAN klappt es supi!

Also irgendwie bekomm ich das mit dem RPC nicht hin. Nochmacl kurz die aktuelle Konfiguration: Server1 2003 Standart, DC, DNS, DHCP, Exchange 2003 SP2 BE, 192.168.1.1 Server2 2003 Standart, Exchange 2003 SP2 FE, 192.168.111.1 Zwischen den Servern sitzt nun meine Gateprotect Firewall. Ich habe alle Regeln für die notwendigen Ports erstellt und den Server der Domäne hinzugefügt. Der FE meldet sich also schön beim DC an ohne Probs. Jetzt habe ich versucht die RPC Ports zu ändern damit ich auf der FW nicht so viel freigeben muss. Jedoch hat der Server dann Probleme die Exchage Server zu verbinden. Ich hab es mit RPCCFG versucht: rpccfg -pe 5000-6000 -d 0 Vielleicht kann mir ja jemand sagen wie ich die RPC Ports richtig umleite? Es klappt alles, nur schaffen es die Exchange Server nicht die Mails untereinander weiterzuleiten :(

Ich hab nochmal ne Frage: In der MS Doku zu FE/BE Konstelationen heisst es man sollte die RPC Ports reduzieren wenn der FE in einem Perimeter Netzwerk sitzt. Ich war dann erstmal so schlau und hab mit RPCCGF.EXE nur Port 1024 definiert. Dann hats gekracht und einige Dienste die RPC benötigen konnten nicht gestartet werden (Exchange, DHCP, usw.) Jetzt hab ich erstmal mehr Ports definiert und es klappt wieder. Wieviele Ports sollte ich denn für RPC freigeben? MS meint min. 100 aber das reicht nicht. Wie kann ich den RPC wieder auch seine Standart Settings bringen, bzw. was sind denn die std. Ports?

Klaro, was mit dem 2. DNS geht oder nicht geht kommt auf dessen Konfiguration an. Was mich eher verwundert ist das Clientverhalten. Nämlich das der Client, hat er mal den 1. DNS nicht erreicht, den 2. DNS nimmt und diesen auch weiterhin verwendet obwohl der 1. DNS wieder bereit ist. Erst nachdem der DNS-Cache des Clients gelöscht wird nimmt er wieder den 1. DNS.

Haste auch an die XP Firewall gedacht? Warum machste keinen VPN? Dann kannste alle Rechner mit ihrer internen IP erreichen ohne zig extra Ports aufzumachen. Abgesehen davon ist dann die Verbindung sicherer. ;)

Bin da über ein nettes Verhalten gestolpert, welches absolut nicht dem entspricht, was ich damals während meiner MCSE Schulung gelernt hab. Bisher ging ich immer davon aus, daß der 2. DNS nur dann vom Client genutzt wird, wenn der 1. DNS nicht erreichbar ist. Fakt ist aber, daß er den 2. DNS immer nutzt wenn er den 1. DNS mal nicht erreicht hat. Zumindest bis der DNS-Cache gelöscht wird. Jetzt hab ich doch mal meine alten Schulungsordner ausgegraben und da steht: "Anmerkung Windows 2000 verwendet den zweiten (oder alternativen) DNS-Server nur dann, wenn keine Verbindung zum primären DNS-Server hergestellt werden kann." Die hätten auch dazuschrieben können das er dann bei dem DNS bleibt :P Ist doch eigentlich unlogisch. Normal geht man doch davon aus das er den 1. DNS fragt und wenn der nicht antwortet oder den Namen nicht auflösen kann fragt er den 2. DNS. Die nächste neue Anfrage sollte ja dann wieder an den 1. DNS gehen. So hatte ich z.B. bei uns im LAN als 1. DNS unseren DC und als 2. DNS unsere FireWall. Die Weiterleitung von DNS-Anfragen an die FW war auf dem 1. DNS aus damit nicht der DC sondern der Client mit der FW kommuniziert. Also muss ich den DNS mit Anfragen fürs Web belasten :mad: ....is doch nicht wahr...

OK hier die wirkliche Lösung: Ich hatte beim FE als 1. DNS den DNS des DC eingetragen. Als 2. DNS die Firewall. Die Weiterleitung der DNS-Anfragen waren auf dem DNS deaktiviert. Wenn der FE also über den 1. DNS eine Webseite nicht aufbekommen hat, hat er es über die FW versucht. Anscheinend wird dann aber jede DNS anfrage zuerst an den 2. DNS-Eintrag geschickt und so konnte er den DC nimmer finden.

Ich dreh durch, es geht?! :shock: Ich hab mal auf dem FE einen 2. DNS installiert, da ich ja beim Googeln einen Artikel gefunden hatte wie jemand mittels eines DNS dieses Problem beseitigt hatte. Jedoch war das kein FE/BE sondern ein einzelner Exchange. Danach hab ich den Server rebootet und hatte immernoch das Problem. Jedoch konnte ich die Dienste nun nicht mehr selber starten. Also hab ich den DNS wieder deinstalliert, rebootet und konnte die Dienste immer noch nicht starten. Auch manuel nicht. Dann hab ich den FE mal komplett heruntergefahren und wieder eingeschaltet und nun geht es Ich kann mir das absolut nicht erklären! @Christoph: Kannst du das trotzdem mal nachstellen?

Hab noch mal alles neu installiert und es gab keinerlei Fehlermeldungen auf beiden Exchange Servern. Dann hab ich als erstes beim FE das Häkchen gesetzt das er ein FrontEnd ist, rebootet und schwupps kommen die identischen Fehlermeldungen. Komisch ist halt echt, daß ich die Dienste selber starten kann und dann alles tut.

Klar wäre das die Optimal Lösung. Aber da ich später in der echten Umgebung das nicht machen kann, muss ich den DC mit dem Exchange BE belasten :(

Ich installiere die Teststellung nochmal neu denn ich will einige Konfigurationsfehler ausschließen. So hatte ich z.B. für den lokalen Admin und beim DCPROMO kein AdminPW vergeben. Und ich will diesmal vor DCPROMO den DNS installieren und das nicht vom AD-Setup machen lassen. Vielleicht hilfts ja... Der FE bekommt auch mehr Plattenplatz.

Die Deinste kommen beim Start nicht automatisch hoch. Wenn sie laufen tut es. Ich hab grad einen Post gefunden, wo einer DNS auf seinem Exchange installiert hat und danach selbiges Problem behoben war. Das war aber keine BE/FE Konstelation.

DNS ist konfiguriert, NSLOOKUP funktioniert auf FE

Meine Testmail ist gerade angekommen. D.h. der SMTP funktioniert wenn die Dienste gestartet sind.

Nein, ich hab keine FW dazwischen. Ich will ja erstmal die Konfiguration und Funktion verstehen.

So nun hab ich mal eine Teststellung gemacht. Beschreibung: DCBE.TEST.LOCAL, 2003 Standart DC, DNS, Exchgange Backend FE.TEST.LOCAL, 2003 Standart, Exchgange Frontend Wie schon beschrieben möchte ich mit dem FE die Mails vom Provider abrufen bzw. versenden. Hierzu habe ich einen POPCon (nicht MS) installiert und einen SMTP Connector angelegt. Das Häkchen bei "Das ist ein Front-End..." ist gesetzt und ich habe den FE als Bridgehead angegeben. Problem: Die Systemaufsicht, der Informationsspeicher und die MTA-Stacks starten auf FE nicht automatisch. Wenn ich im System-Manager die Erste Speichergruppe von FE öffen will kommt die Meldung das der Informationsspeicher nicht gestartet ist "C10411721". Bei DCBE meldet er "Server nicht funktionstüchtig, 8007203a".Die Dienste kann ich starten und komm dann an den Informationsspeicher ran. Wirklich funktionieren tut es dann aber anscheinend auch nicht. Die Mails gehen nicht raus. Ich hab da bestimmt noch einen fatalen Konfigurationsfehler drinne. Aber leider hab ich bisher keine Doku dazu gefunden, wie man den FE zum Empfangen/Versenden konfiguriert. Hier mal die Fehler aus dem Ereignisprotokoll: Ereignistyp: Fehler Ereignisquelle: MSExchangeDSAccess Ereigniskategorie: Topologie Ereigniskennung: 2104 Datum: 26.07.2006 Zeit: 17:13:45 Benutzer: Nicht zutreffend Computer: FE Beschreibung: Prozess INETINFO.EXE (PID=1708). Alle DS-Server in der Domäne reagieren nicht. Weitere Informationen erhalten Sie unter http://www.microsoft.com/contentredirect.asp.'>http://www.microsoft.com/contentredirect.asp. Ereignistyp: Fehler Ereignisquelle: MSExchangeSA Ereigniskategorie: Allgemein Ereigniskennung: 1005 Datum: 26.07.2006 Zeit: 17:13:52 Benutzer: Nicht zutreffend Computer: FE Beschreibung: Der unerwartete Fehler Der Server ist nicht funktionstüchtig. Einrichtung: Win32 ID-Nr.: 8007203a Microsoft Exchange-Systemaufsicht ist aufgetreten. Weitere Informationen erhalten Sie unter http://www.microsoft.com/contentredirect.asp. Ereignistyp: Fehler Ereignisquelle: Userenv Ereigniskategorie: Keine Ereigniskennung: 1030 Datum: 26.07.2006 Zeit: 17:13:57 Benutzer: NT-AUTORITÄT\SYSTEM Computer: FE Beschreibung: Die Abfrage der Liste der Gruppenrichtlinienobjekte ist fehlgeschlagen. Überprüfen Sie das Ereignisprotokoll auf frühere Fehlermeldungen des Richtlinienmoduls, die die Ursache für dieses Problem beschreiben. Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter http://go.microsoft.com/fwlink/events.asp.'>http://go.microsoft.com/fwlink/events.asp.'>http://go.microsoft.com/fwlink/events.asp. Ereignistyp: Fehler Ereignisquelle: Service Control Manager Ereigniskategorie: Keine Ereigniskennung: 7001 Datum: 26.07.2006 Zeit: 17:15:18 Benutzer: Nicht zutreffend Computer: FE Beschreibung: Der Dienst "Microsoft Exchange-Informationsspeicher" ist vom Dienst "Microsoft Exchange-Systemaufsicht" abhängig, der aufgrund folgenden Fehlers nicht gestartet wurde: Der Vorgang wurde erfolgreich beendet. Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter http://go.microsoft.com/fwlink/events.asp. Ereignistyp: Fehler Ereignisquelle: Service Control Manager Ereigniskategorie: Keine Ereigniskennung: 7001 Datum: 26.07.2006 Zeit: 17:15:18 Benutzer: Nicht zutreffend Computer: FE Beschreibung: Der Dienst "Microsoft Exchange MTA-Stacks" ist vom Dienst "Microsoft Exchange-Systemaufsicht" abhängig, der aufgrund folgenden Fehlers nicht gestartet wurde: Der Vorgang wurde erfolgreich beendet. Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter http://go.microsoft.com/fwlink/events.asp. Könnt ihr mir da einen Tip geben?

Schon alle Firmwares und Treiber vom IBM geupdatet?

Mein Chef hatte tatsächlich das Problem schonmal :D Lösung: 1. HP Treiber bei HP saugen. 2. Alten Treiber löschen. (evtl. muss hierzu der Spool Dienst gestoppt werden) 3. Spool Dienst neu starten. 4. Treiber installieren. 5. Glücklich sein :D

Wie es sein muss ist mir auch klar ;) Aber ich denke auch du weißt wie es in der Praxis bei den Kunden aussieht.

Kann doch nicht sein das da nix steht warum du F1 drpcken sollst. Mach doch mal n Foto von dem Screen.

Mit dem Setup vom Hersteller?

Das XP muss ja nicht unbedingt wirklich illegal sein. Ist er XP Lizenzkleber nicht hinten drauf, liegt er evtl. irgendwo rum. Wir hatten hier schon so einige die dank WGA ihre Systeme neu machen mussten weil der PC nicht mit der orginal CD insatlliert wurde.

Schonmal über den Gerätemananger dein Glück versucht?

Wenn ein auf dem Client installierter Drucker auf dem TS funzen soll muss auf dem TS und dem Client der identische Treiber installiert sein. Prinzipiell empfehle ich nicht die von MS mitgelieferten Treiber zu nutzen, sondern saug bei HP den aktuellsten. Das du jedoch keinerlei Standartdrucker auf dem Server festlegen kannst ist verwunderlich und das Workarround von MS dazu echt lächerlich. Ein StdDrucker muss doch vergeben sein? Oder ist bisher garkeiner auf dem Server installiert? Ggf. weiß mein Chef am Montag da Rat. Der ist ein Drucker Guru. Grüsse aus dem mindestens genauso heißen Königsbach ;)