none
Exchange 2010 CAS Proxy und HWL mit mehreren Sites RRS feed

  • Allgemeine Diskussion

  • Hallo zusammen,


    ich hätte da mal ein Frage bzw. Diskussionbedarf bzgl. Exchange 2010 CAS Proxy und HWL.

    Umgebung:

    Site WI
    2 x Exchange 2010 mit DAG
    1 x HWL Kemp LoadMaster 2200  (ja wirklich nur einer. Bitte net fragen ?)
    CAS URL ist CAS-WI.domain.de

    Exchange Server und LoadMaster sind in eigenem Subnetz getrennt von den Clients. LoadMaster ist nur mit SingleArm konfiguriert. GW der Exchange Server zeigt auf die IP vom LoadMaster.

    Die Site WI stellt auch die Verbindung in Internet her. OWA, AS, OA werden mit TMG2010 nach extern veröffentlicht. Externe Domain ist owa.domain.de

    Auf den Exchange Server sind die CAS URLS so konfiguriert.
    URLs Intern
    AutodiscoverVirtualDirectory  cas-wi.domain.de
    WebservicesVirtualDirectory cas-wi.domain.de
    OabVirtualDirectory cas-wi.domain.de
    OwaVirtualDirectory cas-wi.domain.de
    EcpVirtualDirectory cas-wi.domain.de
    ActiveSyncVirtualDirectory cas-wi.domain.de

    URLs Extern
    AutodiscoverVirtualDirectory  owa.domain.de
    WebservicesVirtualDirectory owa.domain.de
    OabVirtualDirectory owa.domain.de
    OwaVirtualDirectory owa.domain.de
    EcpVirtualDirectory owa.domain.de
    ActiveSyncVirtualDirectory owa.domain.de

    --------------------------------------------------

    Site BB
    2 x Exchange 2010 mit DAG
    2 x HWL Kemp LoadMaster 2200 
    CAS URL ist CAS-BB.domain.de

    Exchange Server und LoadMaster sind in eigenem Subnetz getrennt von den Clients. Die LoadMaster sind hier mit Zweiarmig konfiguriert. GW der Exchange Server zeigt auf die Cluster IP der LoadMaster.

    URLs Intern
    AutodiscoverVirtualDirectory  cas-BB.domain.de
    WebservicesVirtualDirectory cas-BB.domain.de
    OabVirtualDirectory cas-BB.domain.de
    OwaVirtualDirectory cas-BB.domain.de
    EcpVirtualDirectory cas-BB.domain.de
    ActiveSyncVirtualDirectory cas-BB.domain.de

    URLs Extern
    Sind alle mit $Null konfiguriert

    ----------------------------------------------------

    Site M

    1 Exchange 2010

    CAS URL CAS-M.domain.de

    URLs Intern
    AutodiscoverVirtualDirectory  cas-M.domain.de
    WebservicesVirtualDirectory cas-M.domain.de
    OabVirtualDirectory cas-M.domain.de
    OwaVirtualDirectory cas-M.domain.de
    EcpVirtualDirectory cas-M.domain.de
    ActiveSyncVirtualDirectory cas-M.domain.de

    URLs Extern
    Sind alle mit $Null konfiguriert

    Auf allen LoadMastern gibt es jeweils einen VIP für MAPI, SMTP, HTTPS und SMTPS. Alle VIP sind mit den Template von Kemp erstellt worden.

    Der HTTPS VIP ist mit ist in WI und BB mit SuperHTTP Persitence und 1 Hour Time Out konfiguriert gewesen.

    --------------------------------------------------------------------------

    Meine Fragen bzw. Probleme die aufgefallen sind.

    Clients aus Site BB können sich von Extern zwar am OWA anmelden ECP bzw. ActiveSync funktioniert nicht. Nach längerem Debugging hab ich auf den Kemps in BB Log einträge gefunden wie

    ul 26 15:31:29 lbdebb01 kernel: L7: badrequest-add_address [192.168.52.112:26417->194.55.177.1:443] (-501): <params><canary>r5W7fLA1Y0W52dW ? , 0 [hlen 1394, nhdrs 23]

    Das Problem ist nur in BB aufgetreten. Die User von M konnte alles ohne Probleme nutzen. Problem trat auch nur von Extern auf und wenn über die HWL in BB gegangen wird.

    Das Problem konnte ich jetzt erstmal so lösen das ich die die Presistence auf HWL in BB auf SourceIP für umgestellt hab. Seit dem geht alles.

    Aber warum?

    Ich hab dabei jetzt nen bisschen gegoogelt und die Aussagen von MS sind eindeutig.

    http://technet.microsoft.com/en-us/library/ff625248.aspx

    http://www.msxfaq.de/cluster/loadbalancer.htm

    http://www.msexchange.org/articles_tutorials/exchange-server-2010/high-availability-recovery/load-balancing-exchange-2010-client-access-servers-using-hardware-load-balancer-solution-part1.html

    Wie sollte so ein Konstrukt mit CAS Proxy und HLB aussehen? Auf MSXFAQ hab ich gelesen das es evtl gar nicht notwendig ist die HTTPS dienste über den zweite HLB zu jagen sondenr das der CAS in WI das selbst steuern kann und direkt auf die Exchange Server in BB gehen sollte??

    Welche Persistence sollte den jetzt genutzt werden? Es wird zwar über all von SourceIP und Cookie gesprochen in allen Anleitung wird aber nur SuperHTTP genutzt was laut KEMP nur den Header auswertet??? Sollten die HTTPS Dienste in so einem Konsturkt zwingen auf einzelen VIP verteilt werden um solche einstellungen granularer zu verteilen?

    Wie habt ihr das bisher gemacht bzw. welche erfahrungen habt ihr gesammelt?

    Beste Grüße

    Christoph



    • Bearbeitet C.Pilgram Freitag, 27. Juli 2012 09:40
    • Typ geändert Alex Pitulice Freitag, 3. August 2012 06:51 Warten auf Feedback
    Freitag, 27. Juli 2012 09:38

Alle Antworten

  • Hi Logarn,

    Auf allen LoadMastern gibt es jeweils einen VIP für MAPI, SMTP, HTTPS und SMTPS. Alle VIP sind mit den Template von Kemp erstellt worden.
    Wie sollte so ein Konstrukt mit CAS Proxy und HLB aussehen? Auf MSXFAQ hab ich gelesen das es evtl gar nicht notwendig ist die HTTPS dienste über den zweite HLB zu jagen sondenr das der CAS in WI das selbst steuern kann und direkt auf die Exchange Server in BB gehen sollte??

    Welche Persistence sollte den jetzt genutzt werden? Es wird zwar über all von SourceIP und Cookie gesprochen in allen Anleitung wird aber nur SuperHTTP genutzt was laut KEMP nur den Header auswertet??? Sollten die HTTPS Dienste in so einem Konsturkt zwingen auf einzelen VIP verteilt werden um solche einstellungen granularer zu verteilen?

    Hast du mal mit Kemp über die Konfiguration gesprochen? Der Support ist sehr schnell und sie sollten dir am Ehsten sagen, was BP ist.

    Wie habt ihr das bisher gemacht bzw. welche erfahrungen habt ihr gesammelt?

    Habe nie mit Cockies angefangen und laufen die internen URLS über 80 oder 443? Teste doch einfach mal und stell auf 80 um. Die IP-Adresse zeigt auf die HLBs und im Zertifikat sind die Namen drin?


    Viele Grüße
    Christian

    Montag, 30. Juli 2012 16:17
    Moderator