none
Probleme mit Timeouts? AD<->EX2010 seit SP2 RRS feed

  • Frage

  • Hallo zusammen,

    ich habe kurz nach Weihnachten unser Exchange 2010 SP1 RU6-System auf SP2 aktualisiert. Nun war der erste Eindruck durchweg positiv. Leider wurde mir dann einige Tage später berichtet, das z.B. OWA sehr langsam wäre. Speziell wenn man auf die ECP zugreifen wollte. Des Weiteren dauert der Zugriff auf z.B. eine Mailbox aus der EMC sehr lange. Es wird ein leeres Fenster angezeigt, bis dann nach ca. 2-3 Minuten die Daten auch tatsächlich angezeigt werden. Auch das schlichte Öffnen der EMS dauert Ewigkeiten. Das Fenster bleibt schlicht bei "Verbindung mit Exchange-Server wird hergestellt ..." stehen... Man muss noch anfügen, das fast zeitgleich eine neue Firewall installiert wurde, die unter anderem die Exchange-Server von den DCs trennt, da die Exchange-Server in einer DMZ stehen.

    Ich habe nun folgende Fehlermeldungen bzw. Warnungen im Ereignislog des CAS-Servers:

     

    Prozess w3wp.exe () (PID=7344). Eine Anforderung an den Verzeichnisserver dc.domain.tld hat innerhalb von 180 Sekunden kein Ergebnis zurückgegeben und wird abgebrochen. Die Suche wird nach Möglichkeit wiederholt. Die fehlerhafte Suche besitzt die folgenden Eigenschaften: Basis-DN=DC=domain,DC=tld, Filter=(&(|(&(msExchVersion<=2251799813685248)(!(msExchVersion=2251799813685248)))(!(msExchVersion=*)))(objectClass=user)(objectCategory=person)(mailNickname=*)(msExchHomeServerName=*)(!(msExchRecipientTypeDetails=8388608))(!(msExchRecipientTypeDetails=16777216))(homeMDB=<GUID=ce0f6340-d3d5-471f-9320-2551ef4e3930>)), Bereich=SubTree.

    Prozess w3wp.exe () (PID=7344). Der Exchange Active Directory-Anbieter hat eine Anforderung zum Herstellen einer Verbindung mit dem Domänencontroller 'dc.domain.tld' empfangen, der aber nicht verfügbar ist. Testen Sie die Netzwerkverbindungen mit lokalen Domänencontrollern mithilfe der Befehlszeilentools 'Ping' oder 'PathPing'. Führen Sie das Dcdiag-Befehlszeilenprogramm aus, um den Domänencontrollerzustand zu testen.

    Die beiden oberen Meldungen treten alle paar Stunden auf, ich habe allerdings das Gefühl, das ständig irgendwelche Abfragen an den DC in einen Timeout enden oder kurz davor stehen. Testweise habe ich mal vom Exchange-Server aus ein paar LDAP-Abfragen auf den DC losgeschickt, wobei sich natürlich kein Fehler feststellen lies. Die Netzwerkeinstellungen hab ich jetzt auch schon mindestens tausendmal überprüft, hier gibt es leider auch keine Auffälligkeiten. DcDiag und Ping liefern auch keine Fehler.

    Noch kurz ein paar Eckdaten zu meiner Umgebung:

    DC-OS: 2008 R2

    Exchange-OS: 2008 R2

    Exchange-Version: SP2, vorher SP1 RU6

    Besonderheit Netzwerk: Wir haben auf allen Exchange-Servern per Registry-Hack IPv6 deaktiviert. Gleiches gilt auch für die DCs. Hat vorher auf alle Fälle problemlos funktioniert...

    Ich hoffe, hier kann mir jemand den entscheidenden Tipp geben, bin echt am verzweifeln.

     

    Viele Grüße,

    D.Ziegler

     

     

     


    • Bearbeitet D. Ziegler Mittwoch, 18. Januar 2012 08:24 typo
    Mittwoch, 18. Januar 2012 08:23

Antworten

  • Moin,

    so, haben uns nun doch entschlossen eben mal einen neuen DC aufzusetzen. Diesen kurzerhand in die DMZ gestellt und siehe da, Exchange ist schnell wie noch nie. Liegt nun offenbar tatsächlich an der Firewall. Dennoch werden wir längerfristig die Exchange-Server in das interne Netz stellen und das Ganze dann mit TMG realisieren. Vielen Dank für die Anregungen an alle :).

     

    Grüße,

    D.Ziegler

    • Als Antwort markiert D. Ziegler Freitag, 20. Januar 2012 15:11
    Freitag, 20. Januar 2012 15:10

Alle Antworten

  • Moin,

    es ist immer schlecht, wenn mehrere wichtige Dinge gleichzeitig geändert werden.

    Probleme mit der neuen Firewall sind ausgeschlossen? Wir erreicht der Exchange die DC darüber?


    Grüße aus Berlin schickt Robert
    MVP Exchange Server
    Mittwoch, 18. Januar 2012 12:59
  • Hi D. Ziegler,

    angezeigt werden. Auch das schlichte Öffnen der EMS dauert Ewigkeiten. Das Fenster bleibt schlicht bei "Verbindung mit Exchange-Server wird hergestellt ..." stehen... Man muss noch anfügen, das fast zeitgleich eine neue Firewall installiert wurde, die unter anderem die Exchange-Server von den DCs trennt, da die Exchange-Server in einer DMZ stehen.

    der Exchange gehört auf jeden Fall nicht in die DMZ. Siehst du in dem Firwall-Log zu diesem Zeitpunkt einen Verbindungsversuch?

    Kannst du einen RODC neben dem Exchange stellen oder den Exchange ins Netzwerk schieben?


    Viele Grüße
    Christian

    Mittwoch, 18. Januar 2012 12:59
    Moderator
  • Hallo,

    wie Christian schon sagte, Exchange Server in der DMZ sind nicht supportet:

    Siehe dazu diesen Artikel vom EHLO Blog.

    Hier aber tortzdem noch ein Link zu einem Artikel mit den von Exchange genutzen Ports.

    Viele Grüße,

    Chris


    Christopher Dargel

    Chris' Exchange Blog - blog.dargel.at

    MCITP Enterprise Messaging Administrator 2007 / 2010

    Mittwoch, 18. Januar 2012 13:06
  • Hallo zusammen,

    @Robert:

    Ist mir klar das mit den mehreren Dingen gleichzeitig. Leider wars uns nicht anders möglich, außer wir machen jedes Semester nur eine Änderung :).

    Probleme mit der Firewall kann ich "eigentlich" ausschließen, da alle Ports zu Testzwecken noch offen sind und erstmal einen reibungslosen Betrieb gewährleisten sollten. Der DC ist wunderbar per Ping, DCDiag und manuellen LDAP-Abfragen erreichbar. Dabei ist die Reaktionszeit auch ganz "normal".

     

    @Christian:

    Wir haben alle vier Exchange-Server in einer eigenen DMZ stehen. Von außen sind nur POP3, IMAP, 25, 443 und Port 80 offen. Ist es wirklich sinnvoll da ein Loch durchzubohren?

    Das mit dem RODC war unsere nächste Idee, falls wirklich nichts anderes mehr greifen sollte.

     

    @Christopher

    War mir so bisher gar nicht bekannt, leider vermutlich ... Die Best-Practice wäre, die Server ins interne Netz zu stellen?

     

    Danke schon mal an alle für die prompte Hilfe!

     

    D.Ziegler

    Mittwoch, 18. Januar 2012 15:35
  • Moin,

    @Christian:

    Wir haben alle vier Exchange-Server in einer eigenen DMZ stehen. Von außen sind nur POP3, IMAP, 25, 443 und Port 80 offen. Ist es wirklich sinnvoll da ein Loch durchzubohren?

    in der DMZ gehört kein Exchange, da gehört ein Proxy.

    Das mit dem RODC war unsere nächste Idee, falls wirklich nichts anderes mehr greifen sollte.

    Exchange funktioniert nicht mit einem RODC, der brauch einen beschreibbaren GC.

    http://technet.microsoft.com/en-us/library/ff728623.aspx (Abschnitt Supported Active Directory Environments)

    War mir so bisher gar nicht bekannt, leider vermutlich ... Die Best-Practice wäre, die Server ins interne Netz zu stellen?

    Ja, und einen Proxy in die DMZ, z.B. TMG.


    Grüße aus Berlin schickt Robert
    MVP Exchange Server
    Mittwoch, 18. Januar 2012 16:00
  • Morgen,

    ok, werde mir das Ganze mal durch den Kopf gehen lassen. Klingt aber schon mal nicht schlecht und logisch. Vielen Dank für die Hilfe!

     

    Viele Grüße,

    D.Ziegler

    Donnerstag, 19. Januar 2012 06:22
  • Moin,

    so, haben uns nun doch entschlossen eben mal einen neuen DC aufzusetzen. Diesen kurzerhand in die DMZ gestellt und siehe da, Exchange ist schnell wie noch nie. Liegt nun offenbar tatsächlich an der Firewall. Dennoch werden wir längerfristig die Exchange-Server in das interne Netz stellen und das Ganze dann mit TMG realisieren. Vielen Dank für die Anregungen an alle :).

     

    Grüße,

    D.Ziegler

    • Als Antwort markiert D. Ziegler Freitag, 20. Januar 2012 15:11
    Freitag, 20. Januar 2012 15:10