none
Exchange 2016 CU8 auf Server 2012R2 fragt LDAP alle DCs auch die aus anderen Sites

    Question

  • Hallo zusammen,

    bei einem Kunden habe ich festgestellt, dass der Exchange Server 2016 CU8 auf einem Windows Server 2012R2 alle DomainController unabhängig von der Site per LDAP abfrägt. Hintergrund ist, dass die VPN Verbindung diesen aktuell blockt und nun ist die Frage ob wir dies erlauben sollten. 

    Allgemein wäre die Frage, welche DCs versucht ein Exchange Server zu erreichen, wenn es mehrere Sites gibt und er in der Hauptsite liegt. Muss ich LDAP Ports zu allen DCs freischalten? Falls dieses Verhalten nicht normal ist, wie könnte ich dies Troubleshooten? 

    In dieser Konstellation ist auf der RemoteSite ein RODC, eventuell hat es noch damit zu tun.

    Freue mich über Antworten und Hilfestellungen.  


    Viele Gruesse /best wishes Alexander (blog.it-koehler.com)

    Friday, January 19, 2018 8:48 AM

Answers

All replies

  • Moin,

    sind denn die Sites und IP´s unter Standorte und Dienste auch eingerichtet?

    ;)


    Gruß Norbert

    Sunday, January 21, 2018 5:22 PM
    Moderator
  • Hi Norbert, 

    ja die Sites sind definiert und der Exchange Server erkennt auch, dass er in der richtigen Site ist. Subnetze sind ebenfalls richtig. Get-ADSite liefert ebenfalls die richtige Site. 

    Vielen Dank. 

    Grüße 


    Viele Gruesse /best wishes Alexander (blog.it-koehler.com)

    Monday, January 22, 2018 7:16 AM
  • Moin,

    ist in der Haupt-Site ein GC?

    Ansonsten poste mal bitte den letzten Eventlog-Eintrag mit der ID 2080 aus der Quelle "MSExchange ADAccess" im Application-Log. Der sollte alle 15 Minuten auftauchen.


    Gruesse aus Berlin schickt Robert - MVP Office Servers and Services (Exchange Server)

    Monday, January 22, 2018 12:47 PM
  • Hallo, 

    ja auf der Hauptsite befinden sich zwei GC. Eventlog ID muss ich noch nachreichen. Komme ich im Moment nicht ran. 

    Grüße 


    Viele Gruesse /best wishes Alexander (blog.it-koehler.com)

    Monday, January 22, 2018 2:44 PM
  • Moin,

    definiere "Nachfragen". Exchange AD Access schaut sich schon den Status aller DCs an, zu denen er lt. Replikationstopologie eine Route hat. Wenn also in einer Hub-Spoke-Topologie Exchange in der Hub Site steht, dürfte man geringfügigen LDAP-Traffic zu allen DCs sehen.

    Echte Daten-Queries sind es aber nicht, sondern einfach nur ein Bind.


    Evgenij Smirnov

    I work @ msg services ag, Berlin -> http://www.msg-services.de
    I blog (in German) @ http://it-pro-berlin.de
    my stuff in PSGallery --> https://www.powershellgallery.com/profiles/it-pro-berlin.de/
    Exchange User Group, Berlin -> https://exusg.de
    Windows Server User Group, Berlin -> http://www.winsvr-berlin.de
    Mark Minasi Technical Forum, reloaded -> http://newforum.minasi.com


    In theory, there is no difference between theory and practice. In practice, there is.

    • Marked as answer by AKoehler Thursday, February 01, 2018 7:50 AM
    Monday, January 22, 2018 4:19 PM
  • Hallo zusammen, 

    hier noch der Nachtrag aus dem EventLOG:

     Process Microsoft.Exchange.Directory.TopologyService.exe (PID=2128). Exchange Active Directory Provider has discovered the following servers with the following characteristics:       
     (Server name | Roles | Enabled | Reachability | Synchronized | GC capable | PDC | SACL right | Critical Data | Netlogon | OS Version)       
    In-site:
    dc1.domain.de     CDG 1 7 7 1 0 1 1 7 1
    dc2.domain.de     CDG 1 7 7 1 0 1 1 7 1
    dc3.domain.de    CDG 1 7 7 1 0 1 1 7 1       
    Out-of-site:
     
    
    

    Hier tauchen nur die DCs vom gleichen Standort auf. Ich finde auch keinen Eintrag, an dem er den DC in der Remotesite abfrägt. (nur ebenauf der Firewall). Nun die Frage, muss ich das durch die Firewall durchlassen, wenn ich es schon nicht verhindern kann? Leider ist mir immer noch nicht klar wofür er das tut. 

    Bitte um eine kurze Erklärung. Danke. 

    <u5:p></u5:p>

     


    Viele Gruesse /best wishes Alexander (blog.it-koehler.com)

    Wednesday, January 24, 2018 1:24 PM
  • Moin,

    er möchte wissen, mit wem er reden kann, falls alle DCs in der eigenen Site down sind. Ja, ich würde es durchlassen. Und erst recht, wenn der PDCe, wie Deine Ausgabe suggeriert, nicht in der eigenen Site steht...


    Evgenij Smirnov

    I work @ msg services ag, Berlin -> http://www.msg-services.de
    I blog (in German) @ http://it-pro-berlin.de
    my stuff in PSGallery --> https://www.powershellgallery.com/profiles/it-pro-berlin.de/
    Exchange User Group, Berlin -> https://exusg.de
    Windows Server User Group, Berlin -> http://www.winsvr-berlin.de
    Mark Minasi Technical Forum, reloaded -> http://newforum.minasi.com


    In theory, there is no difference between theory and practice. In practice, there is.

    • Marked as answer by AKoehler Thursday, February 01, 2018 7:50 AM
    Wednesday, January 24, 2018 3:19 PM
  • Hallo Alexander,

    nur um sicher zugehen: Die Liste der Out-of-site Domain Controller ist leer, richtig?

    Schau doch auch mal, ob die Exchange Server für bestimmte Domain Controller eingeschränkt wurden (Get-/Set-ExchangeServer).

    Aus betrieblicher Sicht ist es nur bedingt sinnvoll, für Server die Erreichbarkeit von Domain Controllern einzuschränken. Sollte ein Exchange Server im laufenden Betrieb die Domain Controller nur noch schlecht oder gar nicht mehr erreichen, wird es durch die Managed Avaibalbility auch zu automatischen Neustarts der Exchange Server kommen.

    Beste Grüße,
    Thomas 


    Thomas Stensitzki | MCSM - MCM - MCT- MCSE - MCSA | Blog: http://justcantgetenough.granikos.eu/

    Thursday, January 25, 2018 9:48 AM