Jump to content

E2k10 - CAS-Array und NLB: Verhalten von MAPI-Clients bei Ausfall eines Knotens


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo zusammen.

 

Folgendes ist eingerichtet:

 

2x ADS auf W2K8R2 Standard (1x physical, 1x VMware-VM), 2008R2er -Funktions-und Domain-Level

2x E2K10 CAS/HUB auf W2K8R2 Enterprise (2x VMware-VM, CAS-Array und NLB)

2x E2K10 MBX auf W2K8R2 Enterprise (2x physical, DAG)

1x Windows 7 mit Office 2010 (physical)

alles ist auf dem aktuellsten Patch-Level, bei den Exch.-Servern wurde das SP1 nachträglich installiert

Die "Maschinen" befinden sich alle im gleichen Subnetz.

Die NLB-Knoten sind mit je 1x NIC im Multicast-Modus mit forwarding=enabled konfiguriert. Bei der Port-Konfig habe keine Einstellung verändert - ergo sind alle Ports (0 bis 65535) konfiguriert.

 

Als erstes wurden die CAS/HUB-Server eingerichtet - CAS1 und dann CAS2 (Namen der Server), nach dem Patchen dann der Windows-NLB und das CAS-Array. Danach kamen die Mailbox-Server. Nach dem Patchen der Mailbox-Server wurde die DAG eingerichtet und jeweils eine DB je Server angelegt, die dann auf den jeweils anderen MBX-Server repliziert. Soweit so gut.

Die DAG tut auch, wie sie soll.

ABER!

Meiner Meinung nach funktioniert das CAS-Array mit Windows-NLB nicht so, wie es sollte. Wenn ein MAPI-Client mit der NLB-IP bzw. dem NLB-Namen eine Verbindung zum CAS-Array aufgebaut hat, wird diese getrennt, wenn der entsprechende CAS-Server "ausfällt". Während der CAS-Server dann "down" ist, versucht Outlook eine Wiederherstellung. Dabei kommt es zum Beispiel dazu, dass erneut Anmeldedaten eingegeben werden sollen.

 

Nun meine Frage: Wie sollte sich Outlook verhalten? Eigentlich dürfte der User doch nichts von einem Ausfall eines NLB-Knotens merken, oder liege ich da falsch?

 

Nächste Frage: Wie sieht es mit den Zertifikaten aus? Wenn Outlook über NLB-IP und Name konfiguriert wird, dann fehlt in den Zertifikaten doch der virtuelle Name des NLB-Verbundes, oder irre ich da?

 

Noch eine Frage: Wenn die CAS-Server installiert werden, legen diese SCPs (ServiceConnectionPoints) im AD an. Diese heißen dann logischer Weise so, wie die Server. Da Outlook bei der Erstkonfig nach diesen SCPs fragt, stellt sich mir die Frage, wie ich Outlook dazu "überreden" kann, bei der Autoermittlung (Profileinrichtung intern) die Einstellungen bzw. IP und Namen des NLB bzw. CAS-Arrays zu nutzen?

 

So, dass reicht erstmal oder? :D

 

Hoffe, ich bekomme ein paar Antworten...

 

Halt! Eine hab' ich noch: Ich gehe mal davon aus, dass CAS-Array und NLB nicht das Gleiche sind. CAS-Array auf der Exchange-Seite, NLB auf OS-Seite. Wie spielen diese beiden zusammen? Geht auch ein NLB ohne CAS-Array oder umgekehrt?

Fragen über Fragen...

 

Cheers

Link zu diesem Kommentar
Meiner Meinung nach funktioniert das CAS-Array mit Windows-NLB nicht so, wie es sollte. Wenn ein MAPI-Client mit der NLB-IP bzw. dem NLB-Namen eine Verbindung zum CAS-Array aufgebaut hat, wird diese getrennt, wenn der entsprechende CAS-Server "ausfällt". Während der CAS-Server dann "down" ist, versucht Outlook eine Wiederherstellung. Dabei kommt es zum Beispiel dazu, dass erneut Anmeldedaten eingegeben werden sollen.

 

Nein, das sollte nicht passieren, jedenfalls passiert es bei mir nicht. ;) Wobei ich zugebe, dass ich nicht getestet habe, ob ich in dem Fall über RPC oder über OA und ein vorgelagertes TMG connected war.

 

Nun meine Frage: Wie sollte sich Outlook verhalten? Eigentlich dürfte der User doch nichts von einem Ausfall eines NLB-Knotens merken, oder liege ich da falsch?

 

Nö, würde ich ebenfalls von kurzer Verzögerung und Bubbleblase von Outlook auch nicht erwarten.

 

Nächste Frage: Wie sieht es mit den Zertifikaten aus? Wenn Outlook über NLB-IP und Name konfiguriert wird, dann fehlt in den Zertifikaten doch der virtuelle Name des NLB-Verbundes, oder irre ich da?

 

Deswegen konfiguriert man ja auch jeden CAS mit dem selben Zertifikat, welches alle 3 Namen beinhaltet.

 

Noch eine Frage: Wenn die CAS-Server installiert werden, legen diese SCPs (ServiceConnectionPoints) im AD an. Diese heißen dann logischer Weise so, wie die Server. Da Outlook bei der Erstkonfig nach diesen SCPs fragt, stellt sich mir die Frage, wie ich Outlook dazu "überreden" kann, bei der Autoermittlung (Profileinrichtung intern) die Einstellungen bzw. IP und Namen des NLB bzw. CAS-Arrays zu nutzen?

 

Das ist eine Eigenschaft des Postfachs.

Set-MailboxDatabase: Hilfe zu Exchange 2010 SP1

Der Parameter RpcClientAccessServer gibt den Clientzugriffsserver oder das Clientzugriffsserver-Array an, über das RPC-Clients (z. B. Microsoft Office Outlook 2007-Clients) auf ihre Postfächer zugreifen. Diese Funktion wird für alle Versionen von Outlook unterstützt.

 

Halt! Eine hab' ich noch: Ich gehe mal davon aus, dass CAS-Array und NLB nicht das Gleiche sind. CAS-Array auf der Exchange-Seite, NLB auf OS-Seite. Wie spielen diese beiden zusammen? Geht auch ein NLB ohne CAS-Array oder umgekehrt?

 

Ein CAS Array beinhaltet automatisch alle CAS Server einer AD-Site. Dazu müssen diese CAS Server auch nicht zwingenderweise als NLB konfiguriert sein. NLB ohne CAS Array geht nicht, andersrum schon. Ist nur selten sinnvoll imho.

 

Bye

Norbert

Link zu diesem Kommentar

Hi ho,

 

na das mit den Zertifikaten hat sich erledigt. Wenn beim starten von Outlook die Fehlermeldug erscheint, dass der Name im Zertifikat nicht stimmt, ist die Lage klar.

Aber das mit den SCPs und CAS-Array und NLB habe ich noch nicht durchstiegen... :confused:

Beim First-Connect von Outlook linst dieses ins AD - aha, SCP vorhanden - dann mal schnell auf die CAS-Rolle geguckt - jo, die weiß wo meine Mailbox ist -fertig. Wo ist da nun NLB?

Irgendwie ist es schon ganz schön spät... ;)

 

Cheers

Link zu diesem Kommentar

Moin,

 

Meiner Meinung nach funktioniert das CAS-Array mit Windows-NLB nicht so, wie es sollte. Wenn ein MAPI-Client mit der NLB-IP bzw. dem NLB-Namen eine Verbindung zum CAS-Array aufgebaut hat, wird diese getrennt, wenn der entsprechende CAS-Server "ausfällt". Während der CAS-Server dann "down" ist, versucht Outlook eine Wiederherstellung. Dabei kommt es zum Beispiel dazu, dass erneut Anmeldedaten eingegeben werden sollen.

 

Nun meine Frage: Wie sollte sich Outlook verhalten? Eigentlich dürfte der User doch nichts von einem Ausfall eines NLB-Knotens merken, oder liege ich da falsch?

 

hier muss ich leider Norbert widersprechen. Was Du erlebst, ist das normale Verhalten beim Windows NLB und einer der zwei Gründe, warum MSFT WNLB nicht mehr empfiehlt für Exchange.

 

Hintergrund: WNLB macht seine Zuordnung anhand der Client-IP-Adresse fest (Achtung bei NAT, dann geht alles auf einen Knoten - das ist der zweite Grund). Solange die sich nicht ändert, kommt der Client seine Lebzeit also immer beim gleichen NLB raus, was schon mal kein wirkliches Load Balancing ist.

 

Der Client arbeitet also mit allen Verbindungen (RPC, HTTPS für OAB/EWS) gegen *einen* CAS-Server (wenn die URLs korrekt eingestellt sind) und hat von diesem für den Zugriff das Zugriffstoken, sowie eine SSL-Session bekommen.

 

Beim Schwenk auf den anderen Knoten stellt der dortige IIS fest, dass ein bisher nicht bekannter Client erscheint, der eine SSL-Session verwendet, die dieser IIS gar nicht kennt - FEHLER. Die Auswirkungen im Client sind je nach Version unterschiedlich.

 

Gute NLB verwalten daher ihre Session untereinander, in dem sie Cookies oder Sessions States oder andere Verbindungsinformationen untereinander austauschen.

 

Wenn man diese Einschränkung kennt und damit leben kann, ist WNLB eine Alternative, da kostenlos. Will man es aber perfekt haben, bleibt nur ein Drittanbieter-Produkt.

Link zu diesem Kommentar

Also im Endeffekt ist mir egal, ob ich als Client immer auf einem CAS lande. (ein anderer Client landet ja auf einem anderen CAS) und bei NAT mit davorliegendem TMG ist die von dir erwähnte Tatsache auch relativ einfach zu lösen, so dass das TMG die Verteilung der Clients auf beide CAS regelt. Fakt ist, dass in meiner Umgebung ein Reboot eines dieser CAS auf keinen Fall zu einer Anmeldemaske in Outlook führt, sondern nur zur Meldung Outlook Verbindung verloren/wiederhergestellt. Innerhalb weniger Sekunden. Insofern kann ich zumindest mit dieser "Nichtempfehlung" gut leben. ;)

 

Bye

Norbert

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...