none
Exchange 2013 POP3 beendet Verbindung auf Netz-IP sofort RRS feed

  • Frage

  • Moin!

    Ich dreh mich gerade im Kreis:

    Auf einem Exchange (DAG und CAS in einem, ist nur für 65 User) laufen die POP3-Dienste. Eine Mailarchivierung soll auf diesem Weg das Journaling-Postfach abrufen.
    Laut Konfiguration sollen alle verfügbaren Adressen belauscht werden.
    Es gibt keine Einschränkungen, welche Quelle den Port ansprechen darf.
    Ein Port-Test ergibt, dass Port 110 auf dem Exchange offen ist.
    Aktuell ist die Windows-Firewall testhalber aus.

    Hier ein paar Tests mit ihren Ergebnissen:

    Exchange lokal:
    Telnet 127.0.0.1 110 -> Exchange meldet sich korrekt
    Telnet 10.114.25.3 -> Kommandozeile bleibt schwarz, Cursor blinkt nicht, keine Reaktion
    Port-Ping (Zusatz-Tool): pping 127.0.0.1 110 -> open
    pping 10.114.25.3 110 -> open
    pping 10.114.25.3 111 -> closed (nur mal so zum Testen, ob das Tool auch was anderes melden könnte)

    Von der Firewall für dieses Netz aus:
    Telnet 10.114.25.3 110 -> hier sieht man, dass die Verbindung aufgebaut und sofort wieder beendet wird (Linux-Systeme sind da doch etwas auskunftsfreudiger)

    Alle mir bekannten Konfigurationen habe ich überprüft, erneuert, absichtlich einmal falsch und dann wieder korrekt eingestellt, Dienste- und Serverneustart, alles schon durch.

    Welche Punkt kenne ich noch nicht? Was habe ich übersehen? Und warum - das ist mir zwischendurch mal aufgefallen - wird das lt. Powershell so konfigurierte POP3-Log nicht geschrieben?
    Die Dienste starten einwandfrei, es gibt keine Fehler in der Ereignisanzeige.
    Wie passt das zusammen?


    Grüße aus dem Norden

    Jörg Wanders

    ________________________________________________________________________

    Ich lerne noch. Tag für Tag.


    Donnerstag, 14. Juli 2016 10:15

Antworten

  • Moin,

    außerdem ist es sehr nett, wenn man die Helfer auf Crosspostings hinweist:

    http://www.mcseboard.de/topic/207813-exchange-2013-pop3-dienst-beendet-verbindung-direkt-nach-dem-aufbau/?p=1308235


    Gruß Norbert

    Donnerstag, 14. Juli 2016 21:21
    Moderator
  • Moin,

    1. bitte die genaue Exchange-Version angeben:

    http://blog-schulenburg.de/index.php/kategorie-als-blog/87-exchange-build-nummern

    2. Was meint denn "DAG und CAS in einem" in Bezug auf den Zugriff: Load Balancer oder wie wird die Verbindung hergestellt?

    3. Was sagt Get-POPSettings in Bezug auf "ProtocolLogEnabled" und "LogFileLocation"?


    Gruesse aus Berlin schickt Robert - MVP Office Servers and Services (Exchange Server)

    Donnerstag, 14. Juli 2016 15:51
  • 3. Was sagt Get-POPSettings in Bezug auf "ProtocolLogEnabled" und "LogFileLocation"?


    ...und außerdem in Bezug auf "InternalConnectionSettings" und "ExternalConnectionSettings"?

    Evgenij Smirnov

    msg services ag, Berlin -> http://www.msg-services.de
    my personal blog (mostly German) -> http://it-pro-berlin.de
    Windows Server User Group, Berlin -> http://www.winsvr-berlin.de
    Mark Minasi Technical Forum, reloaded -> http://newforum.minasi.com

    In theory, there is no difference between theory and practice. In practice, there is.

    Donnerstag, 14. Juli 2016 20:02
  • Moin,

    1. das Log-Verzeichnis wird erst angelegt, wenn Du ProtocolLoggingEnabled auf $true setzt.

    2. Zitat aus dem Ursprungspost: "Laut Konfiguration sollen alle verfügbaren Adressen belauscht werden." --> das ist in der obigen Config schon mal nicht der Fall. Den zitierten Satz würde die Angabe {[::]:110, 0.0.0.0:110} abbilden

    3. Ich würde den Fehler auch mal außerhalb von Exchange suchen. Die Windows-Firewall mal überprüfen (und NICHT abschalten - wenn man sie offen haben will, dann halt komplett aufmachen). Per Netstat schauen, ob nicht noch jemand auf Port 110 lauscht.

    4. Was sagt denn Test-POPConnectivity ?


    Evgenij Smirnov

    msg services ag, Berlin -> http://www.msg-services.de
    my personal blog (mostly German) -> http://it-pro-berlin.de
    Windows Server User Group, Berlin -> http://www.winsvr-berlin.de
    Mark Minasi Technical Forum, reloaded -> http://newforum.minasi.com

    In theory, there is no difference between theory and practice. In practice, there is.

    Donnerstag, 14. Juli 2016 20:59
  • Am 15.07.2016 schrieb der Jörg (Wanders):
    Hi,

    Das stimmt, es sei denn, man bleibt stur bei der Bezeichnung laut Exchange: da gibt es die DAG mit nur einer DB auf nur einem Server.

    Wo sollte das in der Form stehen? Eine DAG auch mit nur einem Server müßte man konfigurieren. Einen Mailboxserver funtioniert grundsätzlich nach der Installation. Es ist hilfreich, die fachlich korrekten Begriffe zu nutzen und nicht für andere Fälle zu nutzen, nur weil sie passen könnten.

    Und genau so ist es bei uns.

    Ihr habt also eine 1-Knoten DAG konfiguriert? Das bezweifle ich, denn es bringt keinen Vorteil.
     > Außerdem ist derselbe Server auch noch der CAS. In großen Umgebungen trennt man das auch gerne mal

    Falsch, auch in großen Umgebungen lautet die Empfehlung es nicht zu trennen. Ab 2016 ginge es nicht mal.

    , bei unseren 65 Leutchen hat das Ding nicht so viel zu tun, dass das nicht ein Server alleine übernehmen könnte.

    Deswegen ist er noch lange keine DAG.

    Bye
    Norbert


    Dilbert's words of wisdom #10:
    I don't have an attitude problem. You have a perception problem.
    nntp-bridge Zugriff auf die MS Foren wieder möglich: https://communitybridge.codeplex.com/

    Freitag, 15. Juli 2016 10:41
  • Am 14.07.2016 schrieb der Jörg (Wanders):
    Hi,

    Der Exchange ist genau ein Server. Es gibt keine Trennung zwischen DAG und CAS, beides läuft auf derselben Maschine.

    DAG = Database Availability Group und du meinst wahrscheinlich Mailbox Role. Üblicherweise besteht eine DAG aus mehr als einem Server. ;)

    Bye
    Norbert


    Dilbert's words of wisdom #19:
    Am I getting smart with you? How would you know?
    nntp-bridge Zugriff auf die MS Foren wieder möglich: https://communitybridge.codeplex.com/

    Donnerstag, 14. Juli 2016 21:19
  • Also - die Sache ist die: sorry, ich habe mir seit zwei Wochen die Finger wund gesucht, Kollegen, Trainer und sonst noch wen befragt, mit nachschauen lassen und niemand konnte mir helfen... Ich wollte verflixt noch mal eine Lösung haben und habe daher tatsächlich in mehreren Foren versucht, jemanden zu finden, der mir da den entscheidenden Hinweis geben kann. Ich gelobe Besserung.

    Dafür habe ich jetzt aber auch die Lösung, es funktioniert!

    Aber erst einmal der Reihe nach:

    CU13 ist installiert, am Problem hat das nichts geändert.
    Logging enablen: Ok, hab ich übersehen, ich dachte, wenn's läuft, wird automatisch geloggt, wie bei anderen Dingen auch.
    Ursprünglich "Lauscht an allen Adressen" vs. PopSettings: Ich habe in der Zwischenzeit herumprobiert und geschaut, ob ich einen Konfigurationsfehler meinerseits finde oder einen "Bitkipper" im System habe oder ähnliches.
    Firewall aus oder offen: hatte ich praktisch alles schon hinter mir, das war nur der aktuelle Stand zum Zeitpunkt der Frage.
    Test-PopConnectivty ergab, dass die Verbindung aufgebaut und vom Exchangeserver aus sofort wieder beendet wurde. Eine Begründung stand nicht dabei.

    Die Lösung des Problems:

    Die deutsche Kurzfassung: https://der-offliner.de/2016/04/exchange-2013-pop3-connector-laeuft-oder-nicht/

    Diese verweist auf den Ursprung im englischsprachigen TechNet: https://social.technet.microsoft.com/Forums/en-US/5f1a2cee-19ad-43e6-b281-bb7f094d8c09/pop-works-via-localhost-but-not-from-other-networked-machines?forum=exchangesvrclients

    Ich habe also offensichtlich nur die falschen Suchbegriffe verwendet...

    Danke für Euer Mitdenken und ein paar PS-Befehle, die ich noch nicht auf dem Zettel hatte!


    Grüße aus dem Norden

    Jörg Wanders
    __

    Ich lerne noch. Tag für Tag.

    Freitag, 15. Juli 2016 10:06

Alle Antworten

  • Moin,

    1. bitte die genaue Exchange-Version angeben:

    http://blog-schulenburg.de/index.php/kategorie-als-blog/87-exchange-build-nummern

    2. Was meint denn "DAG und CAS in einem" in Bezug auf den Zugriff: Load Balancer oder wie wird die Verbindung hergestellt?

    3. Was sagt Get-POPSettings in Bezug auf "ProtocolLogEnabled" und "LogFileLocation"?


    Gruesse aus Berlin schickt Robert - MVP Office Servers and Services (Exchange Server)

    Donnerstag, 14. Juli 2016 15:51
  • 3. Was sagt Get-POPSettings in Bezug auf "ProtocolLogEnabled" und "LogFileLocation"?


    ...und außerdem in Bezug auf "InternalConnectionSettings" und "ExternalConnectionSettings"?

    Evgenij Smirnov

    msg services ag, Berlin -> http://www.msg-services.de
    my personal blog (mostly German) -> http://it-pro-berlin.de
    Windows Server User Group, Berlin -> http://www.winsvr-berlin.de
    Mark Minasi Technical Forum, reloaded -> http://newforum.minasi.com

    In theory, there is no difference between theory and practice. In practice, there is.

    Donnerstag, 14. Juli 2016 20:02
  • 1. bitte die genaue Exchange-Version angeben:

    Name                         Edition AdminDisplayVersion
    ----                            ------- -------------------
    [NetBios-Servername] Enterprise Version 15.0 (Build 1104.5)

    Update auf CU13 mache ich jetzt, es arbeitet gerade niemand...

    2. Was meint denn "DAG und CAS in einem" in Bezug auf den Zugriff: Load Balancer oder wie wird die Verbindung hergestellt?

    Der Exchange ist genau ein Server. Es gibt keine Trennung zwischen DAG und CAS, beides läuft auf derselben Maschine. Zugriff: direkt. Von 10.114.25.100 auf 10.114.25.3 ohne Umwege.

    3. Was sagt Get-POPSettings in Bezug auf "ProtocolLogEnabled" und "LogFileLocation"?

    RunspaceId                               : f8547d25-bc81-49a7-a393-79c7b24c464f
    Name                                       : 1
    ProtocolName                            : POP3
    MaxCommandSize                      : 512
    MessageRetrievalSortOrder         : Ascending
    UnencryptedOrTLSBindings         : {10.114.25.3:110}
    SSLBindings                              : {10.114.25.3:995}
    InternalConnectionSettings         : {[FQDN des Exchangeservers]:995:SSL, [FQDN des Exchangeservers]:110:TLS}
    ExternalConnectionSettings        : {}
    X509CertificateName                  : [FQDN des Exchangeservers]
    Banner                                     : Läuft bei uns...
    LoginType                                 : PlainTextLogin
    AuthenticatedConnectionTimeout    : 00:30:00
    PreAuthenticatedConnectionTimeout : 00:00:30
    MaxConnections                         : 2147483647
    MaxConnectionFromSingleIP       : 2147483647
    MaxConnectionsPerUser              : 16
    MessageRetrievalMimeFormat      : BestBodyFormat
    ProxyTargetPort                          : 1995
    CalendarItemRetrievalOption       : iCalendar
    OwaServerUrl                             :
    EnableExactRFC822Size              : False
    LiveIdBasicAuthReplacement       : False
    SuppressReadReceipt                  : False
    ProtocolLogEnabled                     : False
    EnforceCertificateErrors               : False
    LogFileLocation                           : C:\Ex2013\Logging\Pop3     --> ist nicht vorhanden!
    LogFileRollOverSettings               : Daily
    LogPerFileSizeQuota                    : 0 B (0 bytes)
    ExtendedProtectionPolicy             : None
    EnableGSSAPIAndNTLMAuth         : True
    Server                                        : [NetBios-Servername]
    AdminDisplayName                     :
    ExchangeVersion                         : 0.10 (14.0.100.0)
    DistinguishedName                      : CN=1,CN=POP3,CN=Protocols,CN=[NetBios-Servername],CN=Servers,CN=Exchange Administrative Group(FYDIBOHF23SPDLT),CN=Administrative Groups,CN=[Name der administrativen Gruppe],CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=[subdomain],DC=[Domain],DC=de
    Identity                                      : [NetBios-Servername]\1
    Guid                                           : 0de11c33-c74d-4516-98e4-1a2aeb29b2e5
    ObjectCategory                            : [Subdomain.Domain.de]/Configuration/Schema/ms-Exch-Protocol-Cfg-POP-Server
    ObjectClass                                 : {top, protocolCfg, protocolCfgPOP, protocolCfgPOPServer}
    WhenChanged                             : 14.07.2016 16:03:05
    WhenCreated                               : 15.09.2015 14:02:15
    WhenChangedUTC                        : 14.07.2016 14:03:05
    WhenCreatedUTC                         : 15.09.2015 12:02:15
    OrganizationId                             :
    Id                                               : [NetBios-Servername]\1
    OriginatingServer                         : [FQDN des Domänencontrollers]
    IsValid                                         : True
    ObjectState                                 : Unchanged

    Grüße aus dem Norden

    Jörg Wanders
    __

    Ich lerne noch. Tag für Tag.


    Donnerstag, 14. Juli 2016 20:36
  • Siehe vorherige Rückfrage / Antwort

    Sehr treffender letzter Signatursatz ;-)


    Grüße aus dem Norden

    Jörg Wanders
    __

    Ich lerne noch. Tag für Tag.

    Donnerstag, 14. Juli 2016 20:43
  • Moin,

    1. das Log-Verzeichnis wird erst angelegt, wenn Du ProtocolLoggingEnabled auf $true setzt.

    2. Zitat aus dem Ursprungspost: "Laut Konfiguration sollen alle verfügbaren Adressen belauscht werden." --> das ist in der obigen Config schon mal nicht der Fall. Den zitierten Satz würde die Angabe {[::]:110, 0.0.0.0:110} abbilden

    3. Ich würde den Fehler auch mal außerhalb von Exchange suchen. Die Windows-Firewall mal überprüfen (und NICHT abschalten - wenn man sie offen haben will, dann halt komplett aufmachen). Per Netstat schauen, ob nicht noch jemand auf Port 110 lauscht.

    4. Was sagt denn Test-POPConnectivity ?


    Evgenij Smirnov

    msg services ag, Berlin -> http://www.msg-services.de
    my personal blog (mostly German) -> http://it-pro-berlin.de
    Windows Server User Group, Berlin -> http://www.winsvr-berlin.de
    Mark Minasi Technical Forum, reloaded -> http://newforum.minasi.com

    In theory, there is no difference between theory and practice. In practice, there is.

    Donnerstag, 14. Juli 2016 20:59
  • Am 14.07.2016 schrieb der Jörg (Wanders):
    Hi,

    Der Exchange ist genau ein Server. Es gibt keine Trennung zwischen DAG und CAS, beides läuft auf derselben Maschine.

    DAG = Database Availability Group und du meinst wahrscheinlich Mailbox Role. Üblicherweise besteht eine DAG aus mehr als einem Server. ;)

    Bye
    Norbert


    Dilbert's words of wisdom #19:
    Am I getting smart with you? How would you know?
    nntp-bridge Zugriff auf die MS Foren wieder möglich: https://communitybridge.codeplex.com/

    Donnerstag, 14. Juli 2016 21:19
  • Moin,

    außerdem ist es sehr nett, wenn man die Helfer auf Crosspostings hinweist:

    http://www.mcseboard.de/topic/207813-exchange-2013-pop3-dienst-beendet-verbindung-direkt-nach-dem-aufbau/?p=1308235


    Gruß Norbert

    Donnerstag, 14. Juli 2016 21:21
    Moderator
  • Also - die Sache ist die: sorry, ich habe mir seit zwei Wochen die Finger wund gesucht, Kollegen, Trainer und sonst noch wen befragt, mit nachschauen lassen und niemand konnte mir helfen... Ich wollte verflixt noch mal eine Lösung haben und habe daher tatsächlich in mehreren Foren versucht, jemanden zu finden, der mir da den entscheidenden Hinweis geben kann. Ich gelobe Besserung.

    Dafür habe ich jetzt aber auch die Lösung, es funktioniert!

    Aber erst einmal der Reihe nach:

    CU13 ist installiert, am Problem hat das nichts geändert.
    Logging enablen: Ok, hab ich übersehen, ich dachte, wenn's läuft, wird automatisch geloggt, wie bei anderen Dingen auch.
    Ursprünglich "Lauscht an allen Adressen" vs. PopSettings: Ich habe in der Zwischenzeit herumprobiert und geschaut, ob ich einen Konfigurationsfehler meinerseits finde oder einen "Bitkipper" im System habe oder ähnliches.
    Firewall aus oder offen: hatte ich praktisch alles schon hinter mir, das war nur der aktuelle Stand zum Zeitpunkt der Frage.
    Test-PopConnectivty ergab, dass die Verbindung aufgebaut und vom Exchangeserver aus sofort wieder beendet wurde. Eine Begründung stand nicht dabei.

    Die Lösung des Problems:

    Die deutsche Kurzfassung: https://der-offliner.de/2016/04/exchange-2013-pop3-connector-laeuft-oder-nicht/

    Diese verweist auf den Ursprung im englischsprachigen TechNet: https://social.technet.microsoft.com/Forums/en-US/5f1a2cee-19ad-43e6-b281-bb7f094d8c09/pop-works-via-localhost-but-not-from-other-networked-machines?forum=exchangesvrclients

    Ich habe also offensichtlich nur die falschen Suchbegriffe verwendet...

    Danke für Euer Mitdenken und ein paar PS-Befehle, die ich noch nicht auf dem Zettel hatte!


    Grüße aus dem Norden

    Jörg Wanders
    __

    Ich lerne noch. Tag für Tag.

    Freitag, 15. Juli 2016 10:06
  • Das stimmt, es sei denn, man bleibt stur bei der Bezeichnung laut Exchange: da gibt es die DAG mit nur einer DB auf nur einem Server. Und genau so ist es bei uns. Außerdem ist derselbe Server auch noch der CAS. In großen Umgebungen trennt man das auch gerne mal, bei unseren 65 Leutchen hat das Ding nicht so viel zu tun, dass das nicht ein Server alleine übernehmen könnte.

    Grüße aus dem Norden

    Jörg Wanders
    __

    Ich lerne noch. Tag für Tag.

    Freitag, 15. Juli 2016 10:09
  • Am 15.07.2016 schrieb der Jörg (Wanders):
    Hi,

    Das stimmt, es sei denn, man bleibt stur bei der Bezeichnung laut Exchange: da gibt es die DAG mit nur einer DB auf nur einem Server.

    Wo sollte das in der Form stehen? Eine DAG auch mit nur einem Server müßte man konfigurieren. Einen Mailboxserver funtioniert grundsätzlich nach der Installation. Es ist hilfreich, die fachlich korrekten Begriffe zu nutzen und nicht für andere Fälle zu nutzen, nur weil sie passen könnten.

    Und genau so ist es bei uns.

    Ihr habt also eine 1-Knoten DAG konfiguriert? Das bezweifle ich, denn es bringt keinen Vorteil.
     > Außerdem ist derselbe Server auch noch der CAS. In großen Umgebungen trennt man das auch gerne mal

    Falsch, auch in großen Umgebungen lautet die Empfehlung es nicht zu trennen. Ab 2016 ginge es nicht mal.

    , bei unseren 65 Leutchen hat das Ding nicht so viel zu tun, dass das nicht ein Server alleine übernehmen könnte.

    Deswegen ist er noch lange keine DAG.

    Bye
    Norbert


    Dilbert's words of wisdom #10:
    I don't have an attitude problem. You have a perception problem.
    nntp-bridge Zugriff auf die MS Foren wieder möglich: https://communitybridge.codeplex.com/

    Freitag, 15. Juli 2016 10:41
  • Da musste ich doch glatt mal richtig nachschauen...

    Stimmt, ich habe mich ganz offensichtlich von ein paar Umständen leiten lassen, die mich hier zu einer kompletten Falschannahme gebracht haben. Ich habe den Ex nicht aufgesetzt, er wurde mir fertig aber leer übergeben. Nun hat er im Namen "-DAG" stehen und in unserer alten Umgebung, die ich ebenfalls erst später übernommen habe, gab es sowohl "-DAG" als auch "-CAS". Ursprünglich waren das mal 2 "-DAG"-Server und 2 CAS. So eingerichtet und konfiguriert auf Wunsch von jemandem, der immer alles ausloten will. Die Sache mit der Trennung habe ich selbst schon infrage gestellt, dass ich mit der Bezeichnung "-DAG" aber komplett auf dem Holzweg gelandet bin, ist mir nicht in den Sinn gekommen.

    In unserem alten 2010er (steht kurz vor der Deinstallation) ist tatsächlich zuletzt eine 1-Knoten-DAG konfiguriert, im 2013er jetzt nicht mehr, ich hatte nur den Punkt gesehen, aber noch nicht weiter beachtet.

    Ich arbeite mich in den Exchange gerade erst ein. Der letzte, den ich ganz gut im Griff hatte, war der 2003, dann hatte ich ein paar Jahre Pause. Den 2010er habe ich nur intern für unseren Eigenbedarf verwaltet, sprich also Postfächer und Verteiler anlegen und ändern, schon mal eine Signatur anpassen und einen öffentlichen Ordner anlegen, ein paar Berechtigungen einstellen, mehr nicht.

    Den 2013 will ich wieder richtig verstehen, muss mir aber das Wissen mangels Budget dezentral zusammensuchen.

    In diesem Sinne: Vielen Dank für die schwungvolle Dachlatte auf meinem Hinterkopf!


    Grüße aus dem Norden

    Jörg Wanders
    __

    Ich lerne noch. Tag für Tag.

    Freitag, 15. Juli 2016 11:09