none
Edge Synchronisation? RRS feed

  • Frage

  • Hallo, bin in der Testphase einer Exchange 2010 Umgebung inkl. TMG. Beide Server laufen auf einem Windows Server 2008 R2 x64 und sind in der gleichen Domäne eingebunden. Exchange 2010 mit SP1. TMG mit Edge Rolle Exchange 2010 ohne SP1 da für TMG das deutsche Update1 für SP1 ja noch nicht verfügbar ist.

    Exchange 2010 ist mit einem SAN Zertifikat (selbst erstellt) mit den Services SMTP, IIS, POP, IMAP verbunden. Gleiches Zertifikat ist auf dem TMG/Edge Server im lokale Computer Konto hinterlegt.

    EdgeAbonnement erstellen und importieren aht geklappt. Sehe die nowendigen Connectoren sowie meinen TMG/Edge Server unter Serverkonfiguration.

    Leider endet die Edge Synchronisation in der Management Shell immer mit der Meldung Result="could not connect" und failure details=LDAP Server ist nicht verfügbar. Test mit ldapbrowser.exe vom TMG/Edge aus hat einwandfrei funktioniert.

    Zwei Dinge sind mir aufgefallen: Zum Einen sehe ich bei der Fehlermeldung noch eine Info Start und End UTC wo eine 2 stündige Differenz gegenüber meiner Serverzeit aufweist. Zum 2. sehe ich auf dem TMG/Edge Server, dass der Dienst Exchange ADAM nicht verfügbar ist. Dienst ADAM vom TMG läuft.

    Wo kann ich meinen Fehler noch suchen? Bin für jeden Tipp dankbar.

    Gruss und Danke, Markus

    Samstag, 2. Oktober 2010 13:08

Antworten

  • Hi Markus,

    Hallo, bin in der Testphase einer Exchange 2010 Umgebung inkl. TMG. Beide Server laufen auf einem Windows Server 2008 R2 x64 und sind in der gleichen Domäne eingebunden. Exchange 2010 mit SP1. TMG mit Edge Rolle Exchange 2010 ohne SP1 da für TMG das deutsche Update1 für SP1 ja noch nicht verfügbar ist.

    Der Edge sollte nicht in der Domain sein - der Edge hält über ADAM die lokale
    Kopie...

    Exchange 2010 ist mit einem SAN Zertifikat (selbst erstellt) mit den Services SMTP, IIS, POP, IMAP verbunden. Gleiches Zertifikat ist auf dem TMG/Edge Server im lokale Computer Konto hinterlegt.

    Aber es ist nicht das gleiche auf beiden eingerichtet?:
    http://technet.microsoft.com/en-us/library/cc671171%28EXCHG.80%29.aspx

    Hast du das Zertifikat vor oder nach der Erstellung der Sync erstellt? Teste
    am besten ein neues Zertifikat und schau dir folgenden Link an:
    http://groups.google.com/group/microsoft.public.exchange.setup/msg/1a1e4620044250d3?

    Leider endet die Edge Synchronisation in der Management Shell immer mit der Meldung Result="could not connect" und failure details=LDAP Server ist nicht verfügbar. Test mit ldapbrowser.exe vom TMG/Edge aus hat einwandfrei funktioniert.

    Hast du die Connection zum Hub oder zum DC getestet? Der Edge connected nur
    zum Hub und hier muss die Verbindung stehen.

    Nenn uns auch nochmal die genauen Meldungen aus dem EventLog.
    Viele Grüße
    Christian

    • Als Antwort markiert AdminIT Dienstag, 12. Oktober 2010 16:55
    Sonntag, 3. Oktober 2010 13:45
    Moderator
  • Hi,

    der Prozess ist hier beschrieben: http://technet.microsoft.com/en-us/library/aa997438.aspx

    "To replicate data to AD LDS, the Hub Transport server binds to a global catalog server to retrieve updated data. The Microsoft Exchange EdgeSync service initiates a secure LDAP session between a Hub Transport server and the subscribed Edge Transport server over the non-standard TCP port 50636."

     

    Hilft das weiter?


    Viele Grüße Walter Steinsdorfer MVP Exchange Server http://msmvps.org/blogs/wstein
    • Als Antwort markiert AdminIT Dienstag, 12. Oktober 2010 16:55
    Dienstag, 5. Oktober 2010 22:19
    Moderator

Alle Antworten

  • Hi Markus,

    Hallo, bin in der Testphase einer Exchange 2010 Umgebung inkl. TMG. Beide Server laufen auf einem Windows Server 2008 R2 x64 und sind in der gleichen Domäne eingebunden. Exchange 2010 mit SP1. TMG mit Edge Rolle Exchange 2010 ohne SP1 da für TMG das deutsche Update1 für SP1 ja noch nicht verfügbar ist.

    Der Edge sollte nicht in der Domain sein - der Edge hält über ADAM die lokale
    Kopie...

    Exchange 2010 ist mit einem SAN Zertifikat (selbst erstellt) mit den Services SMTP, IIS, POP, IMAP verbunden. Gleiches Zertifikat ist auf dem TMG/Edge Server im lokale Computer Konto hinterlegt.

    Aber es ist nicht das gleiche auf beiden eingerichtet?:
    http://technet.microsoft.com/en-us/library/cc671171%28EXCHG.80%29.aspx

    Hast du das Zertifikat vor oder nach der Erstellung der Sync erstellt? Teste
    am besten ein neues Zertifikat und schau dir folgenden Link an:
    http://groups.google.com/group/microsoft.public.exchange.setup/msg/1a1e4620044250d3?

    Leider endet die Edge Synchronisation in der Management Shell immer mit der Meldung Result="could not connect" und failure details=LDAP Server ist nicht verfügbar. Test mit ldapbrowser.exe vom TMG/Edge aus hat einwandfrei funktioniert.

    Hast du die Connection zum Hub oder zum DC getestet? Der Edge connected nur
    zum Hub und hier muss die Verbindung stehen.

    Nenn uns auch nochmal die genauen Meldungen aus dem EventLog.
    Viele Grüße
    Christian

    • Als Antwort markiert AdminIT Dienstag, 12. Oktober 2010 16:55
    Sonntag, 3. Oktober 2010 13:45
    Moderator
  • Hi Christian,

    Danke für die prompte Antwort und die Tipps.

    Der Edge sollte nicht in der Domain sein - der Edge hält über ADAM die lokale
    Kopie...

    OK...wird dann im operativen Szenario berücksichtigt...

    Aber es ist nicht das gleiche auf beiden eingerichtet?:
    http://technet.microsoft.com/en-us/library/cc671171%28EXCHG.80%29.aspx

    Hast du das Zertifikat vor oder nach der Erstellung der Sync erstellt? Teste
    am besten ein neues Zertifikat und schau dir folgenden Link an:
    http://groups.google.com/group/microsoft.public.exchange.setup/msg/1a1e4620044250d3?

    Auf dem Hub- und dem Edge-Server sind 2 verschiedene Zertifikate installiert. Abfrage via Shell hat zwei verschiedene Thumbprints ergeben.

    Zuerst das neue Zertifikat erstellt und sichergestellt, dass es fehlerfrei ist. Danach Edge Sync. Hat auch nix geholfen. Dann so vorgegangen wie in dem Link beschrieben, auch kein Erfolg.

    Hast du die Connection zum Hub oder zum DC getestet? Der Edge connected nur
    zum Hub und hier muss die Verbindung stehen.

    Edge kann zum Hub connecten. Fehlermeldung in der Shell ist:

    RunSpaceID:....dann eine lange Zeichenkette

    Result:could not connect

    Type:configuration und recipients

    Name: mein Edge Server

    Failure Details:LDAP Server ist nicht verfügbar

    Start und End UTC: Zeitstempel minus 2 Stunden gegenüber meiner Serverzeit

    Gibt es noch eine Log Datei? Wo würde ich Diese finden?

    Möchte nochmals kurz zu einer meiner Feststellungen. Ist das OK wenn auf dem Edge Server der ADAM Exchange Dienst unter ADLS auf "nicht verfügbar" ist. Aber unter Dienste als gestartet erkannt wird?

    Danke und Gruss,

    Markus


    AdminIT
    Montag, 4. Oktober 2010 18:20
  • Hallo,

    So, das Ding hat mir keine Ruhe gelassen. Manchmal hilft ja das unvermutete und ich habe alle meine virtuellen Testmascheinen neu gestartet. Nix gebracht. Dann 1. Punkt hat mein Hub Server eine Verbindung zum Edge Server. Nein. OK Hub Server Firewall ausgeschaltet. Immer noch nix. OK wieder ein. Dann meinen Edge bzw. den TMG gelöchert und allen Verkehr an alle Netzwerke durchggelassen. (ist ja ein Testnetzwerk) und siehe da es hat funktioniert!

    Na gut dann den TMG wieder dicht machen und nix geht mehr. Regeln für LDAP/S sind per Systemrichtlinie zwei erstellt worden.

    1. LDAP/S von lokalem Host nach Intern

    47. LDAP/S Edge Sync von Intern zu lokalem Host

    Protokoll zeigt auch den Verbindungsaufbau der Regel mit dem LDAP/S Edge Sync als success 2x an. Dann kommt eine verweigerte Verbindung mit Error:0x0040017 FWX_E_TCP_NOT_SYN_PACKET_DROPPED.

    Jetzt steh ich da am Berg und hab das eine Problem "gelöst" und kann das andere Problem nicht nachvollziehen?!

    Bin für jede Hilfe sehr dankbar.

    Gruss, Markus


    AdminIT
    Dienstag, 5. Oktober 2010 21:56
  • Hi,

    der Prozess ist hier beschrieben: http://technet.microsoft.com/en-us/library/aa997438.aspx

    "To replicate data to AD LDS, the Hub Transport server binds to a global catalog server to retrieve updated data. The Microsoft Exchange EdgeSync service initiates a secure LDAP session between a Hub Transport server and the subscribed Edge Transport server over the non-standard TCP port 50636."

     

    Hilft das weiter?


    Viele Grüße Walter Steinsdorfer MVP Exchange Server http://msmvps.org/blogs/wstein
    • Als Antwort markiert AdminIT Dienstag, 12. Oktober 2010 16:55
    Dienstag, 5. Oktober 2010 22:19
    Moderator
  • Hallo Walter,

    Danke für den Tipp inkl. Link. Sehr gute Beschreibung.

    Den wichtigen Teil was die zu öffnenden Ports betrifft ist bei meiner Testinstallation gegeben. Sehe im TMP Protokoll, dass mein Hub Server via Port 50636 auf den Edge zugreift und dies über die Systemregel auch erfolgreich macht. Dies mit 2 Einträgen. Dann aber im 3. Eintrag die Fehlermeldung erscheint:

    0x0040017 FWX_E_TCP_NOT_SYN_PACKET_DROPPED

    Was wiederum in der Fehlermeldung in der Exchange Shell "LDAP Server ist nicht verfügbar" endet.

    Da ja die Edgesynchronisation, bei vollkommen offenem TMG, erfolgreich abläuft, sollte der Fehler doch dort zu suchen sein?

    Gruss, Markus

     


    AdminIT
    Mittwoch, 6. Oktober 2010 09:02
  • Hi,

    ja, irgendein Firewall-Problem. Du könntest die Firewall aufmachen, das anstoßen und mti netstat nachschauen was für Ports die Syncronisierung nimmt.


    Viele Grüße Walter Steinsdorfer MVP Exchange Server http://msmvps.org/blogs/wstein
    Mittwoch, 6. Oktober 2010 10:24
    Moderator
  • Am Wed, 6 Oct 2010 10:24:40 +0000 schrieb Walter Steinsdorfer [MVP]:

    Hi,

    ja, irgendein Firewall-Problem. Du könntest die Firewall aufmachen, das anstoßen und mti netstat nachschauen was für Ports die Syncronisierung nimmt.

    Ist das nicht mehr Port 50636, so wie Du auch zwei Postings weiter oben
    zitiert hast?


    Grüße aus Berlin schickt Robert
    MVP Exchange Server
    Mittwoch, 6. Oktober 2010 16:32
  • Hi,

     

    in der Theorie schon, aber wer weiß was dort eingestellt ist. Firewall runter, netstat an, sollte keine 5 Minuten dauern.


    Viele Grüße Walter Steinsdorfer MVP Exchange Server http://msmvps.org/blogs/wstein
    Mittwoch, 6. Oktober 2010 17:04
    Moderator
  • Hallo,

    NETSTAT auf Hub-Server mit "geschlossener" TMG zeigt:diverse lokale Ports (Bsp. 20946/20949/26023/26032) mit jeweils Remoteadress TMG Ports 50636.

    NETSTAT auf Hub-Server mit "komplett offener" TMG zeigt: KEINE aktuelle Verbindung zum TMG.

    Habe dann noch mit einer neuen Regel rumgespielt. Sprich diverse VON und NACH sowie PROTOKOLL Einstellungen versucht. Geholfen hat nur den kompletten ausgehenden Verkehr als Protokoll und bei VON und NACH meine 3 Server (AD,Hub, Edge) einzusetzen.

    Dachte die Edge Synchronisation findet nur vom Hub zum Edge statt? Scheinabr ist bei mir auch noch mein AD Server involviert!?

    Ich stehe komplett auf dem Schlauch....

    Gruss,Markus


    AdminIT
    Freitag, 8. Oktober 2010 15:40
  • HI,

    hm, befindet sich der EDge in der Domäne oder hat eine seiner Netzwerkkarten den AD-Domänenkontroller als DNS-Server eingetragen?

     


    Viele Grüße Walter Steinsdorfer MVP Exchange Server http://msmvps.org/blogs/wstein
    Freitag, 8. Oktober 2010 19:06
    Moderator
  • Hallo Walter,

    Ja, dem ist so. Sowohl in der Domäne als auch den AD als DNS an 1. Stelle. Hierzu hatte mich Christian ganz zu Beginn dieser Diskussion schon aufmerksam gemacht. Der Edge gehört in eine DMZ.

    Die von mir erstellte Netzwerktopologie ist "nur" für Testzwecke so aufgesetzt worden.

    Danke und Gruss,

    Markus


    AdminIT
    Dienstag, 12. Oktober 2010 16:56