9
ISA 2006 fuehrt zu Verbindungsproblemen
Hallo,
ich hoffe hier kann mir jemand helfen. Für meine Firma sollte ich einen ISA-Server 2006 aufbauen (auf einem Win2003 Server). Gesagt getan. War gar kein Problem.
Es wurde von mir ein Umkreisnetzwerk aufgebaut. Zusätzlich noch ein weiteres Netzwerk für einen IAS-Server. Ein weiteres Netzwerk wurde für WLAN aufgebaut.
Der Computer entspricht den Minimalanforderungen des Servers. Drinnen befinden sich jeweils eine 4-Port-Netzwerkkarte von D-Link und eine zusätzliche einzelne Netzwerkkarte für WLAN. VPN ist durch den ISA-Server aktiviert.
Folgendes Problem. Am Anfang läuft das System super. Mit wenigen Rechnern in einer Testumgebung. Als ich die Testumgebung in das bestehende Netzwerk eingebunden habe, war anfangs alles ok. Nach einigen Tagen fing es an, dass Outlook Fehlverbindungen verursachte zum außenstehenden Exchange-Server. Mit ISA-Server im Netzwerk nach ein paar Tagen und mehreren Rechnern Fehler bei den Anfragen, beim entfernen des ISA-Servers wieder alles in Ordnung. Auch wenn ich den Server wieder in meine Testumgebung aufbaue läuft alles wieder gut. Am Tag danach jedoch plötzlich nur mit einem einzelnen Computer plötzlich auch Probleme. Die Auslastung des Servers überschreitet jedoch nicht mal die Hälfte der Systemauslastung.
Kann mir jemand helfen bzw. erklären was da los ist? Oder hat jemand bereits Erfahrungen gesamelt weil er das selbe erlebt hat? Ich habe bereits einen etwas schnelleren Computer verwendet, gleichen Probleme.
Über eine Antwort wäre ich sehr dankbar.
LG,
Alexander
ich hoffe hier kann mir jemand helfen. Für meine Firma sollte ich einen ISA-Server 2006 aufbauen (auf einem Win2003 Server). Gesagt getan. War gar kein Problem.
Es wurde von mir ein Umkreisnetzwerk aufgebaut. Zusätzlich noch ein weiteres Netzwerk für einen IAS-Server. Ein weiteres Netzwerk wurde für WLAN aufgebaut.
Der Computer entspricht den Minimalanforderungen des Servers. Drinnen befinden sich jeweils eine 4-Port-Netzwerkkarte von D-Link und eine zusätzliche einzelne Netzwerkkarte für WLAN. VPN ist durch den ISA-Server aktiviert.
Folgendes Problem. Am Anfang läuft das System super. Mit wenigen Rechnern in einer Testumgebung. Als ich die Testumgebung in das bestehende Netzwerk eingebunden habe, war anfangs alles ok. Nach einigen Tagen fing es an, dass Outlook Fehlverbindungen verursachte zum außenstehenden Exchange-Server. Mit ISA-Server im Netzwerk nach ein paar Tagen und mehreren Rechnern Fehler bei den Anfragen, beim entfernen des ISA-Servers wieder alles in Ordnung. Auch wenn ich den Server wieder in meine Testumgebung aufbaue läuft alles wieder gut. Am Tag danach jedoch plötzlich nur mit einem einzelnen Computer plötzlich auch Probleme. Die Auslastung des Servers überschreitet jedoch nicht mal die Hälfte der Systemauslastung.
Kann mir jemand helfen bzw. erklären was da los ist? Oder hat jemand bereits Erfahrungen gesamelt weil er das selbe erlebt hat? Ich habe bereits einen etwas schnelleren Computer verwendet, gleichen Probleme.
Über eine Antwort wäre ich sehr dankbar.
LG,
Alexander
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 89641
Url: https://administrator.de/contentid/89641
Printed on: April 16, 2024 at 22:04 o'clock
9 Comments
Latest comment
Eine pauschale Antwort bei einer solch komplexen Server Application kann ich dir leider nicht geben. Untersuche den Verkehr, er wird ja mitgeloggt. Prüfe warum die Verbindungen nicht zustande kommen. Welche FM wird angezeigt? Hast du die Netzwerktopologie korrekt eingepflegt? Hast du die Routen eingepflegt? Sind diese statisch? Passen die Verhältnisse (Route/NAT)?
Ohne Grund passiert das nicht. Allerdings ist ISA manchmal etwas zickig.
Ohne Grund passiert das nicht. Allerdings ist ISA manchmal etwas zickig.
Hi,
also meiner Meinung nach muss eigentlich alles richtig eingestellt sein. Ich habe jetzt mit einem etwas schnellerem Rechner den ISA-Server nochmal neu aufgesetzt. Und schon wieder das selbe Problem. 5 Tage läuft alles Reibungslos bei mir. Doch plötzlich wird die Verbindung zum Exchange-Server, der außerhalb der Firma seht miserabel.
Im Protokoll ist zu sehen wie HTTP auf Port 80 einmal fehlgeschlagen ist. Er versucht das dann auch über die RPC-Schnittstelle Port 135 ausgehend. Das schlägt dann meistens auch fehl. Was mir aufgefallen ist, dass "Nicht identifizierter IP-Datenverkehr" entsteht mit unterschiedlichen Ports (1198, 1211 usw.), wo der Exchange-Server versucht mit dem "Lokalen Host" sich zu verbinden. Die Standardregel verbietet das, auch wenn ich als Regel die IP des Exchange angebe, die jeglichen ausgehenden Verkehr zum lokalen Host erlaubt.
Das merkwürdige ist, dass es ab und zu gelingt wirklich schnell und ohne Fehler sich trotzdem mit dem Exchange-Server zu verbinden. Habe ich mal getestet indem ich Outlook geöffnet und wieder geschlossen habe. Bei ca. jeden 5ten Versuch klappte es reibungslos. Ansonsten immer mit Fehlern.
Woran kann es liegen?
also meiner Meinung nach muss eigentlich alles richtig eingestellt sein. Ich habe jetzt mit einem etwas schnellerem Rechner den ISA-Server nochmal neu aufgesetzt. Und schon wieder das selbe Problem. 5 Tage läuft alles Reibungslos bei mir. Doch plötzlich wird die Verbindung zum Exchange-Server, der außerhalb der Firma seht miserabel.
Im Protokoll ist zu sehen wie HTTP auf Port 80 einmal fehlgeschlagen ist. Er versucht das dann auch über die RPC-Schnittstelle Port 135 ausgehend. Das schlägt dann meistens auch fehl. Was mir aufgefallen ist, dass "Nicht identifizierter IP-Datenverkehr" entsteht mit unterschiedlichen Ports (1198, 1211 usw.), wo der Exchange-Server versucht mit dem "Lokalen Host" sich zu verbinden. Die Standardregel verbietet das, auch wenn ich als Regel die IP des Exchange angebe, die jeglichen ausgehenden Verkehr zum lokalen Host erlaubt.
Das merkwürdige ist, dass es ab und zu gelingt wirklich schnell und ohne Fehler sich trotzdem mit dem Exchange-Server zu verbinden. Habe ich mal getestet indem ich Outlook geöffnet und wieder geschlossen habe. Bei ca. jeden 5ten Versuch klappte es reibungslos. Ansonsten immer mit Fehlern.
Woran kann es liegen?
Der lokale Host ist nur der ISA. Wenn aber die Clients kommunzieren, muss das entsprechende Netzwerk freigeschalten werden. Zudem verwendet Exchange RPC. Das bedeutet, dass dynamische Ports verwendet werden. Ebenso muss der RPC-Filter in dieser Regel deaktiviert werden.
Kurze Anmerkung: Der lokale Host ist NICHT Bestandteil des internen Netzwerk. Er bildet ein eigenes Netzwerkobjekt, eben "Lokaler Host". Das muss in den Regeln berücksichtigt werden.
Kurze Anmerkung: Der lokale Host ist NICHT Bestandteil des internen Netzwerk. Er bildet ein eigenes Netzwerkobjekt, eben "Lokaler Host". Das muss in den Regeln berücksichtigt werden.
Ich habe mal einfach nen Port Namens 135 ausgehen definiert und den benutzt. Auch wenn ich den RPC-Filer ausschaltete, kamen die fehlgeschlagenen Verbindungen zu stande. Mit dem selbsterstellten Port wird die Verbindung initialisiert. Die wahllosen Ports die Exchange versucht aufzubauen tauchen dann nicht mehr auf.
Allerdings ändert dies nichts an der momentanen Situation. Ab und zu habe ich eine reibungslose Verbindung zum Exchange ohne Verzögerung, meistens nicht. Ich weiß partou nicht was falsch konfiguriert sein soll, da es ja 5 Tage lang ohne Probleme funktionierte.
Habe sogar alle Protokollierungen deaktiviert (DNS-Agriffe, Flutabwehr) und sogar die Funktionen selbst. Hat dazu geführt das die Verbindungen etwas besser zustande kamen, aber nur minimal.
Es dauert einfach zu lange mit der Erstellung der Verbindung meiner Meinung nach. Aber warum?
Allerdings ändert dies nichts an der momentanen Situation. Ab und zu habe ich eine reibungslose Verbindung zum Exchange ohne Verzögerung, meistens nicht. Ich weiß partou nicht was falsch konfiguriert sein soll, da es ja 5 Tage lang ohne Probleme funktionierte.
Habe sogar alle Protokollierungen deaktiviert (DNS-Agriffe, Flutabwehr) und sogar die Funktionen selbst. Hat dazu geführt das die Verbindungen etwas besser zustande kamen, aber nur minimal.
Es dauert einfach zu lange mit der Erstellung der Verbindung meiner Meinung nach. Aber warum?
Ich habe mal was getan was ich schon längst mal hätte tun sollen. Ich habe mal einen Neustart des ganzen Computers gemacht mit dem Windows 2003 und ISA-Server. Und siehe da, die Verbindungen sind wieder einwandfrei. Outlook verbindet sich wieder ohne Probleme.
Jetzt ist die Frage wie lange dieser Zustand bleiben wird. Und, wieso läuft es nach einem Neustart wieder besser?
Jetzt ist die Frage wie lange dieser Zustand bleiben wird. Und, wieso läuft es nach einem Neustart wieder besser?
Ok, hat grad mal 5 Minuten funktioniert...
Bringt das Dashboard und der Eventvwr keine Meldungen? Evtl. zu kleiner Speicher, vollgelaufene Festplatte? Womöglich sind es Performanceprobleme. Check alle relevanten Baselines (Speicher, Platte, CPU, Netzwerk). Prüfe auch nochmal die (Standard-) Regeln. Sorry, mehr kann ich aus der Ferne gerade nicht sagen. Vielleicht hat ja ein anderer noch ein paar Tipps.
EDIT: Port 135 ist NetBIOS.
EDIT: Port 135 ist NetBIOS.
Ja dank dir erstmal für deine Hilfe.
Hab alles schon überprüft. Auslastung des PCs ist minimal. Lediglich der Arbeitsspeicher kommt auf 70% Auslastung. Die Regeln sind auch alle ok, denn sie haben anfangs ja funktioniert.
Im Eventmanager von Windows gibt es keine Informationen. Wenn alles gelöscht ist und der ISA-Server läuft, werden dort keine Informationen rein geschrieben.
Leider bekomm ich nicht heraus, warum die Verbindung so schlecht wird.
Wenn jemand noch ne Vermutung hat dazu wieso weshalb und warum der ISA-Server bei Outlook so miese Verbindungen zu lässt wäre ich sehr dankbar.
Hab alles schon überprüft. Auslastung des PCs ist minimal. Lediglich der Arbeitsspeicher kommt auf 70% Auslastung. Die Regeln sind auch alle ok, denn sie haben anfangs ja funktioniert.
Im Eventmanager von Windows gibt es keine Informationen. Wenn alles gelöscht ist und der ISA-Server läuft, werden dort keine Informationen rein geschrieben.
Leider bekomm ich nicht heraus, warum die Verbindung so schlecht wird.
Wenn jemand noch ne Vermutung hat dazu wieso weshalb und warum der ISA-Server bei Outlook so miese Verbindungen zu lässt wäre ich sehr dankbar.
Hallo,
ich denke ich habe das Problem gefunden, aber weiß immer noch nicht warum das so ist. Ich schreibe einfach mal meine Entdeckung hier rein und hoffe, dass mir das jemand erklären kann. Vielleicht auch der Matthias ^_^.
Also. Outlook versucht über die Ports 80 und 443 eine Verbindung zum Exchange-Server herzustellen. Ich habe im ISA-Server die vordefinierten Protokolle "HTTP" und "HTTPS" benutzt. Mit diesen vorgefertigten Protokollen gibt es auch einen HTTP-Filter. Dieser HTTP-Filter ist jedoch so eingestellt, dass er alle Verbindungen durch lässt. Auch habe ich versucht mal den Filter zu deaktiveren, Outlook hatte immer noch Probleme sich zu verbinden.
Jetzt habe ich mal eigene Protokolle erstellt mit Port 80 und 443. Beim selbst erstellen werden keine Filter zugeordnet. Während ich bei den vorgefertigten Protokollen immer noch den Filter einstellen konnte, auch wenn er deaktiviert war, so war es bei den neu erstellten Protokollen nicht der Fall.
Und jetzt geht es. Outlook hat keine Probleme mehr sich mit dem Exchange-Server zu verbinden.
Die Frage wäre jetzt, warum scheint der HTTP-Filter die Outlook-Verbindungen zu stören, obwohl er deaktiviert ist, bzw alle Verbindungen durchlassen müßte!?
Grüße,
Alexander
ich denke ich habe das Problem gefunden, aber weiß immer noch nicht warum das so ist. Ich schreibe einfach mal meine Entdeckung hier rein und hoffe, dass mir das jemand erklären kann. Vielleicht auch der Matthias ^_^.
Also. Outlook versucht über die Ports 80 und 443 eine Verbindung zum Exchange-Server herzustellen. Ich habe im ISA-Server die vordefinierten Protokolle "HTTP" und "HTTPS" benutzt. Mit diesen vorgefertigten Protokollen gibt es auch einen HTTP-Filter. Dieser HTTP-Filter ist jedoch so eingestellt, dass er alle Verbindungen durch lässt. Auch habe ich versucht mal den Filter zu deaktiveren, Outlook hatte immer noch Probleme sich zu verbinden.
Jetzt habe ich mal eigene Protokolle erstellt mit Port 80 und 443. Beim selbst erstellen werden keine Filter zugeordnet. Während ich bei den vorgefertigten Protokollen immer noch den Filter einstellen konnte, auch wenn er deaktiviert war, so war es bei den neu erstellten Protokollen nicht der Fall.
Und jetzt geht es. Outlook hat keine Probleme mehr sich mit dem Exchange-Server zu verbinden.
Die Frage wäre jetzt, warum scheint der HTTP-Filter die Outlook-Verbindungen zu stören, obwohl er deaktiviert ist, bzw alle Verbindungen durchlassen müßte!?
Grüße,
Alexander
