none
Ex2016 DAG mit DNS RRS feed

  • Frage

  • Hallo ,

    ich wollte nachfragen ob ich das mit dem Exchange 2016 DAG korrekt verstanden habe. Mein Ziel ist es zwei Exchange 2016 zu haben für den Fall eines defektes oder zu Wartungsarbeiten. Ich habe schon viel gelesen das man um es optimal zu nutzen einen Loadbalancer vorschalten muss. Erstmal finde ich schade das es da nicht direkt was von MS gibt.

    Mein Ziel ist jetzt jedoch nicht primär der Lastenausgleich sondern mehr die Ausfallsicherheit.

    Die einfachste Variante ist ja per DNS. Jedoch wie verhält sich das ganze mit dem Autodiscover? Wenn ich ein Autodiscover fahre erkennt ja immer den Server wo das Postfach ist direkt oder? Aktuell steht ja immer der Server direkt eingetragen nach einem Autodiscover.

    Schafft man per DNS eine Ausfallsicherheit ? Wenn User A gerade auf Server A ist und dieser ausfällt sich Outlook automatisch mit Server B verbindet?

    Dienstag, 20. Juni 2017 12:30

Alle Antworten

  • Hallo,

    wenn deine Clients in der Domäne sind nehmen sie den SCP aus dem ActiveDirectory für Autodiscover, dort sollte für die einzelnen Server der Eintrag auf eine geloadbalancten Namen und keinen Servernamen lauten.

    DNS hat ggf. seine Tücken, denn es verhält sich meines Wissens nach so: Das DNS-Round-Robin geschieht allein auf DNS-Ebene, womit kein Healthcheck der einzelnen URLs, wie bei einem Loadbalancer, möglich ist. Sollte ein Exchange Server ausfallen, wird dessen IP-Adresse dennoch per DNS an die Clients ausgegeben. Dies endet erst mit dem Löschen des Eintrages durch den Administrator, aber erst mit Ablauf der im DNS hinterlegten TTL ist sichergestellt, dass diese Information den Client auch erreicht. Moderne Client-Betriebssysteme und auch Outlook erhalten zwar meines Wissens nach bei ihren DNS-Anfragen beide IPs, doch sollte die erste IP nicht erreichbar sein, muss erst ein Timeout von 30s erreicht werden, bis die zweite IP angefragt wird. In der Regel sollte dieses Verhalten in einem Outlook mit Cache-Modus nicht spürbar sein, bei Outlooks im Online-Modus könnte es aber zum temporären einfrieren kommen.

    Noch schwieriger könnte es werden, wenn sich ein Exchange bei der Abarbeitung aufhängt, aber die Pakete weiter entgegennimmt, dann probiert der Outlook-Client auch nicht die andere IP. Eine Healthprobe eines Loadbalancers sollte sowas jedoch rausfinden, je nach Art der Prüfung.

    Grüße Steve


    Grüße Steve

    Dienstag, 20. Juni 2017 13:07
  • Hallo Steve,

    ja, es sind alle Clients in einer Domäne bzw. Subdomain. Oder auch in Domänen mit Vertraunstellungen dort müssten die SCP dann noch manuell angelegt werden oder?

    Aktuell gibt es ja SCP mit dem direkten Servernamen. Neue SCP, für die geloadbalancten Namen müsste ich ja dann manuell anlegen oder?

    Dienstag, 20. Juni 2017 13:44
  • Das kommt jetzt auf deine Domainnamen an:

    Wenn du Split-DNS benutzt (externe und interne Namen identisch), findet Outlook seinen Weg aus einer Domain mit Vertrauensstellung zur anderen von selbst, da mit der Domänenvertrauensstellung auch eine DNS-Weiterleitung in der Clientdomäne angelegt wird.

    Wenn jedoch intern eine andere Domain als von extern genutzt wird, musst du in der Domäne deiner Clients Forward-Lookupzonen anlegen, die zu deiner Exchange VIP zeigen. (Das funktioniert, aber da keine SCP-Auflösung klappt, geht er die einzelnen Wege des Domänenautodiscovers bis er was findet, das dauert beim Verbindungsaufbau und erstem Outlook öffnen immer etwas länger.)

    Deine SCP-Namen änderst du mit Set-ClientAccessServer, keine zusätzlichen Anlegen ! Aber aufpassen, dass die Zertifikate passen und den Namen der VIP enthalten.

    Der genaue Autodiscover-Prozess ist sehr schön im Whitepaper auf frankysweb.de erklärt.


    Grüße Steve

    Dienstag, 20. Juni 2017 13:57
  • Am 20.06.17 um 14:30 schrieb MaddinB:

    Hallo ,

    ich wollte nachfragen ob ich das mit dem Exchange 2016 DAG korrekt verstanden habe. Mein Ziel ist es zwei Exchange 2016 zu haben für den Fall eines defektes oder zu Wartungsarbeiten. Ich habe schon viel gelesen das man um es optimal zu nutzen einen Loadbalancer vorschalten muss. Erstmal finde ich schade das es da nicht direkt was von MS gibt.

    Mein Ziel ist jetzt jedoch nicht primär der Lastenausgleich sondern mehr die Ausfallsicherheit.

    Evtl. hilft dir ja dieser Thread hier:
    https://social.technet.microsoft.com/Forums/de-DE/725e5f4d-9d71-4dd1-91df-d6a1ae2d6879/2node-exchange-2016-cluster-und-dns-round-robin-fr-cas?forum=exchange_serverde#725e5f4d-9d71-4dd1-91df-d6a1ae2d6879
     Bye
    Norbert

    Dienstag, 20. Juni 2017 14:28
  • Moderne Client-Betriebssysteme und auch Outlook erhalten zwar meines Wissens nach bei ihren DNS-Anfragen beide IPs, doch sollte die erste IP nicht erreichbar sein, muss erst ein Timeout von 30s erreicht werden, bis die zweite IP angefragt wird. In der Regel sollte dieses Verhalten in einem Outlook mit Cache-Modus nicht spürbar sein, bei Outlooks im Online-Modus könnte es aber zum temporären einfrieren kommen.

    Moin,

    hier nur eine Präzisierung: Alle Client-Betriebssysteme und Programme, die eine DNS-Anfrage absetzen, hinter der RR steckt, erhalten alle Adressen zurück:

    https://msdn.microsoft.com/de-de/library/windows/desktop/ms738520(v=vs.85).aspx

    Web-Browser und halt auch Outlook, wenn der Zugriff über HTTPS erfolgt, haben das geschilderte Timeout-/Failover-Verhalten mit 21 Sekunden. Doch auch andere Programme, von denen man es nicht unbedingt erwartet hätte, sind DNSRR-fähig. Frank Carius hat es mal untersucht und zum Teil Erstaunliches herausgefunden: http://www.msxfaq.de/cluster/dnsroundrobin.htm


    Evgenij Smirnov

    I work @ msg services ag, Berlin -> http://www.msg-services.de
    I blog (in German) @ http://it-pro-berlin.de
    my stuff in PSGallery --> https://www.powershellgallery.com/profiles/it-pro-berlin.de/
    Exchange User Group, Berlin -> http://exusg.de
    Windows Server User Group, Berlin -> http://www.winsvr-berlin.de
    Mark Minasi Technical Forum, reloaded -> http://newforum.minasi.com


    Dienstag, 20. Juni 2017 16:06
  • Hallo,

    Danke für eure Informationen. Ich arbeite zwar schon lange mit Exchange aber nie mit HA oder DAG bisher. Daher möchte ich nicht meine produktive Umgebung  lahm legen.

    Ich würde das ganze über SCP / RRDNS realisieren wollen da es mir wirklich nur um Ausfallsicherheit geht. Auch wenn DNS 30 Sekunden oder ähnlich benötigt ist das ein akzeptable Ausfallzeit.

    Vorgehensweise wäre die Installation eine zweiten Exchange 2016, wenn dieser läuft sollte ja erstmal nichts passieren. Anschließend muss ich die DAG Gruppen einrichten und der letzte Schritt wäre dann SCP und/oder DNS ?




    • Bearbeitet MaddinB Mittwoch, 21. Juni 2017 09:16
    Mittwoch, 21. Juni 2017 09:14
  • Am 21.06.17 um 11:14 schrieb MaddinB:

    Auch wenn DNS 30 Sekunden oder ähnlich benötigt ist das ein akzeptable Ausfallzeit.

    Das sagen sie vorher alle. ;)

    Viel Erfolg.

    Bye
    Norbert

    Mittwoch, 21. Juni 2017 09:38
  • Am 21.06.17 um 11:14 schrieb MaddinB:

    Auch wenn DNS 30 Sekunden oder ähnlich benötigt ist das ein akzeptable Ausfallzeit.

    Das sagen sie vorher alle. ;)

    LOL

    Evgenij Smirnov

    I work @ msg services ag, Berlin -> http://www.msg-services.de
    I blog (in German) @ http://it-pro-berlin.de
    my stuff in PSGallery --> https://www.powershellgallery.com/profiles/it-pro-berlin.de/
    Exchange User Group, Berlin -> http://exusg.de
    Windows Server User Group, Berlin -> http://www.winsvr-berlin.de
    Mark Minasi Technical Forum, reloaded -> http://newforum.minasi.com

    Mittwoch, 21. Juni 2017 09:58
  • Am 21.06.17 um 11:14 schrieb MaddinB:

    Auch wenn DNS 30 Sekunden oder ähnlich benötigt ist das ein akzeptable Ausfallzeit.

    Das sagen sie vorher alle. ;)

    Viel Erfolg.

    Bye
    Norbert


    Andere Variante wäre ja nur mit einem Loadbalancer oder?
    Ist sonst mein Weg erstmal korrekt?
    Mittwoch, 21. Juni 2017 10:39
  • Ich habe nun den zweiten Exchange Server 2016 erstmal installiert, jedoch haben Outlook 2010 Clients nun Verbindungsprobleme und sind im Offline Modus. Soweit ich sehen kann liegt es daran das die URL des Postfachspeichers auf den zweiten zeigt, aber das Postfach liegt ja auf dem ersten??
    Donnerstag, 22. Juni 2017 09:43
  • Moin, sobald ein Server fertig installiert ist, wird er in seiner Site per Autodiscover für den Clientzugriff angeboten. Das heißt: Zertifikat und die URLs der virtuellen Verzeichnisse müssen passen, und das so bald wie möglich, sonst gibt es die von Dir beobachteten Phänomene.

    Evgenij Smirnov

    I work @ msg services ag, Berlin -> http://www.msg-services.de
    I blog (in German) @ http://it-pro-berlin.de
    my stuff in PSGallery --> https://www.powershellgallery.com/profiles/it-pro-berlin.de/
    Exchange User Group, Berlin -> http://exusg.de
    Windows Server User Group, Berlin -> http://www.winsvr-berlin.de
    Mark Minasi Technical Forum, reloaded -> http://newforum.minasi.com

    Donnerstag, 22. Juni 2017 13:01
  • Das war bereits. Mein Problem war das der neue Server keine Token erstellen durfte.

    Ich habe nun auch eine DAG erstellt. Mir stellt sich jedoch die Frage, muss der Zeugenserver auch in dem seperaten Netzwerk sein? Ich habe für die DAG jeweils im Server eine extra Netzwerkkarte mit eigenem IP-Bereich erstellt. Oder wird dieser nur über das normale Netzwerk angesprochen?


    Eine weitere Frage die sich mir stellt ist der Punkt AutoDagDatabaseRootfolderPath, packt er dort alle Datenbanken kopien jetzt automatisch rein? Dieser ist ja aktuell auf C: das müsste ich dann ändern noch..
    • Bearbeitet MaddinB Donnerstag, 22. Juni 2017 15:33
    Donnerstag, 22. Juni 2017 15:29
  • Das war bereits. Mein Problem war das der neue Server keine Token erstellen durfte.

    Ich habe nun auch eine DAG erstellt. Mir stellt sich jedoch die Frage, muss der Zeugenserver auch in dem seperaten Netzwerk sein? Ich habe für die DAG jeweils im Server eine extra Netzwerkkarte mit eigenem IP-Bereich erstellt. Oder wird dieser nur über das normale Netzwerk angesprochen?


    Eine weitere Frage die sich mir stellt ist der Punkt AutoDagDatabaseRootfolderPath, packt er dort alle Datenbanken kopien jetzt automatisch rein? Dieser ist ja aktuell auf C: das müsste ich dann ändern noch..

    Der Witness Server kann ruhig im gleichen Subnetz sein, extra Netzwerkkarte braucht man nicht. Um den Parameter AutoDagDatabaseRootFolderPath brauchste dich auch erstmal nicht kümmern, es seih denn du konfigurierst Auto-Reseed für deine DAG. Wenn du eine DB Kopie anlegst, dann wird automatisch der gleiche Pfad wie bei der Quelldatenbank genommen. Den kannst du auch nicht ändern.

    Grüße

    Jörg

    Donnerstag, 22. Juni 2017 19:53
  • Hallo,

    leider habe ich immer noch Probleme mit einigen Outlook Clients, das diese manchmal Offline stehen und nach einem Neustart wieder gehen. Zertifikat ist ein gültiges angelegt, test über OWA klappt auch so das der zweite an die Datenbank ran kommt?! Es bekommen auch alle Clients den neuen Server per Autodiscover? Wenn ich eine DAG nutzen möchte muss ich sowieso noch SCP und DNS auf einen allgemeinen Namen anlegen oder?

    Beim erstellen der Datenbankkopie habe ich auch einen Fehler:

    The database file wasn't found after log replay. The copy will be set to failed. Database: 'DB01\SRVEX'. File Path: 'D:\Exchange Server\V15\DB01\DB01.edb'.

    Freitag, 23. Juni 2017 06:44
  • Ich würde das ganze über SCP / RRDNS realisieren wollen da es mir wirklich nur um Ausfallsicherheit geht. Auch wenn DNS 30 Sekunden oder ähnlich benötigt ist das ein akzeptable Ausfallzeit.

    In meinen Augen ist RRDNS keine Ausfallsicherheit, weil die "Sicherheit" ausschließlich vom Client abhängt. Wenn ein Client das nicht unterstützt (oder der Hersteller bei einem Update mal einen Bug einbaut), dann gibt es einen Ausfall, der sich zentral nicht managen lässt.

    Loadbalancer (die bei Exchange eigentlich gar keine "Last" ausgleichen, sondern reine "HA-Balancer" sind) gibt es sogar kostenlos, hängt nur von der Größe des Unternehmens ab.


    Gruesse aus Berlin schickt Robert - MVP Office Servers and Services (Exchange Server)

    Freitag, 23. Juni 2017 09:40
  • Wenn ich eine DAG nutzen möchte muss ich sowieso noch SCP und DNS auf einen allgemeinen Namen anlegen oder?

    Das hat nicht unmittelbar was mit der DAG zu tun (Du könntest auch "CAS" Server ohne Postfächer davor schalten), SCP und URLS würden in deiner Umgebung aber auf einen allgemeinen Namen zeigen, der beim Loadbalancer, RRDNS oder einem der Exchange endet.

    Beim erstellen der Datenbankkopie habe ich auch einen Fehler:

    The database file wasn't found after log replay. The copy will be set to failed. Database: 'DB01\SRVEX'. File Path: 'D:\Exchange Server\V15\DB01\DB01.edb'.

    Wenn der Fehler bei einem manuellen Seeding verschwindet, kannst Du das ignoriieren. Es kommt beim Erstellen in Exchange leider an diversen Stellen vor, dass im Hintergrund zwei Befehle (oder mehr) ausgeführt werden, die AD-Replikation des ersten aber noch nicht durch ist.

    Gruesse aus Berlin schickt Robert - MVP Office Servers and Services (Exchange Server)

    Freitag, 23. Juni 2017 09:47
  • Hallo,

    also das anlegen der Datenbankkopie funktioniert wenn ich die Kopie noch einmal entferne und neustarte, dann klappt es tadellos. Beim ersten mal jedoch jedesmal nicht.

    Einen Loadbalancer würde ich erstmal außenvor lassen.

    Was muss ich denn jetzt genau tun damit Outlook beide Exchange nutzt und einer zu Wartungszwecken oder Ausfällen den anderen nutzt mit RRDNS? Wenn ich das richtig verstehen einen DNS Eintrag erstellen z.b exchange.domain.de und diesen beide IPs geben. Und zusätzlich SCP und Autodiscover URL auf diesen Eintrag anpassen?

    Freitag, 23. Juni 2017 10:05