none
Problème EAC (page blanche après login) après failover RRS feed

  • Question

  • Bonjour,

    Nous avons monté une plate-forme Exchange 2013 multi-site (test pour le moment) à l'architecture suivante:

    - 2 sites (Paris & Clichy)

    - 2 réseaux (1 subnet par site)

    - rôle CAS & MAILBOX séparé de la manière suivante:

         * 1 CAS sur VM sur PARIS et cette VM est répliqué sur le site de Clichy par un outil tierce qui va simplement copier le VMDK vers le vcenter de Clichy (Pas les moyens d'avoir du LoadBalancer multisite pour avoir du CAS actif/actif sur les 2 sites qui ont chacun leur propre réseau)

         * 1 MAILBOX Physique sur chaque Paris & Clichy ( donc 2 serveurs physiques MAILBOX en tout)

         * OS: Windows Server 2012 r2 & Exchange 2013

         * le réseau de Paris et Clichy peuvent communiquer entre eux

         * un controleur de domaine sur Paris et Clichy

     Contexte & Symptômes:

    La création du DAG se passe sans problème, le rôle cluster Windows a bien été déployé par la création du DAG et nous avons 2 VIP (une VIP actif pour le réseau de PARIS et l'autre pour le réseau de Clichy qui est en stand-by en attendant la bascule).

    La copie des bases vers le serveur MAILBOX secondaire (Clichy) a été effectué et l'accès à la console exchange EAC/Commande Powershell/OWA/envoi&reception mail fonctionne.

    Lorsque j'éteins le serveur MAILBOX du site de Paris:

    - Le cluster Windows fait son boulot en basculant vers la VIP de clichy

    - le DNS du DAG se met bien à jour en basculant vers la VIP de Clichy (Test ping du DAG OK)

    - Reception/envoi de mail fonctionne

    - L'OWA/Commande Powershell Exchange fonctionne

    - Par contre l'accès à l'EAC https://<Serveur CAS Paris>/ecp?ExchClientVer=15 ne fonctionne pas en m'affichant une page blanche après l'authentification.

    Auriez-vous une idée sur le problème ?

    Je vous remercie d'avance.

    Cordialement.

    vendredi 31 janvier 2014 11:46

Réponses

  • Du coup, dans notre configuration de test actuel (site Paris: CAS on / MAILBOX off   -   Site Clichy: MAILBOX ON), serait-ce normal qu'uniquement l'EAC serait inaccessible (Page Blanche après authentification) ou pourrait-il manquer une configuration à apporter ? 

    Vous êtes dans une configuration non supportée, donc tout ce qui ne marche pas... ne marche pas

    Nous envisageons également de tous passer sur un WAN étendu où on aura un subnet qui sera présent sur les 2 sites et donc les 2 MAILBOX +1 CAS seront sur un site AD.

    Dans ce cas de figure, un CAS suffit, cependant pourquoi ne pas partir sur une configuration plus classique avec 2 serveurs mutualisés Mailbox / CAS ? Vous économiserez une licence Exchange avec un taux de disponibilité meilleur.


    Bruce Jourdain de Coutance - Consultant MVP Exchange http://blog.brucejdc.fr

    • Marqué comme réponse N.Van lundi 3 février 2014 14:11
    samedi 1 février 2014 08:03
    Modérateur

Toutes les réponses

  • * 1 CAS sur VM sur PARIS et cette VM est répliqué sur le site de Clichy par un outil tierce qui va simplement copier le VMDK vers le vcenter de Clichy 

    Est-ce que vous avez plusieurs sites AD?

    Si c'est le cas le CAS sera remonté dans un nouveau site AD, ce qui risque de poser des problèmes.

    Pour l'EAC, il faut savoir que l'authentification de l'EAC passe par la partie formulaire d'OWA, avez vous vérifier les externals et internals URL utilisés? Idem si vous avez plusieurs sites AD, cela risque de ne pas fonctionner en cas d'arrêts du serveur mailbox.


    Bruce Jourdain de Coutance - Consultant MVP Exchange http://blog.brucejdc.fr

    vendredi 31 janvier 2014 12:37
    Modérateur
  • Bonjour,

    Je vous remercie pour la réactivité de votre retour.

    En effet nous avons 2 sites Active Directory (Paris & Clichy) où on a défini le subnet par rapport au site.

    Le CAS + 1er MAILBOX sont sur le subnet de Clichy et le Second MAILBOX est sur le subnet de Paris.

    Dans le cadre d'un POC, pour le moment nous avons juste l'URL interne du CAS pour l'ecp qui a gardé la valeur par défaut (https://<serveur_CAS>/ecp) et que nous utilisons pour l'accès à l'EAC. 

    * Si c'est le cas le CAS sera remonté dans un nouveau site AD, ce qui risque de poser des problèmes.

    avez vous vérifier les externals et internals URL utilisés? Idem si vous avez plusieurs sites AD, cela risque de ne pas fonctionner en cas d'arrêts du serveur mailbox.


    Quelles seraient les conséquences ?

    Je n'ai pas très bien saisi le lien entre EAC/CAS + MAILBOX et site AD.

    J'avais également constaté que le CAS tentait toujours de contacter le premier MAILBOX lors de la tentative d'accès à l'EAC.

    Je vous remercie d'avance.

    Cordialement.

    vendredi 31 janvier 2014 14:17
  • Pour chaque site AD où se trouvent un serveur mailbox, vous devez aussi placer un serveur CAS.

    Même si le lien entre CAS et sites AD est plus ténu que dans les versions précédentes, il existe toujours.

    Une fois avec un CAS dans chaque site AD, selon les scénarii on peut avoir plusieurs pistes.


    Bruce Jourdain de Coutance - Consultant MVP Exchange http://blog.brucejdc.fr

    vendredi 31 janvier 2014 14:44
    Modérateur
  • Bonjour,

    dans le cas où on aurait un MAILBOX par site AD, il serait donc impératif (et pas optionnel) d'avoir un CAS par site également ?

    Qu'il ne serait pas applicable d'avoir 1 CAS + 1 MAILBOX actif sur un site AD et 1 MAILBOX passif sur le second site ? 

    Je vous remercie d'avance.

    Cordialement.

    vendredi 31 janvier 2014 15:04
  • dans le cas où on aurait un MAILBOX par site AD, il serait donc impératif (et pas optionnel) d'avoir un CAS par site également ?

    OUI pour avoir des accès clients

    Qu'il ne serait pas applicable d'avoir 1 CAS + 1 MAILBOX actif sur un site AD et 1 MAILBOX passif sur le second site ? 

    Ce n'est applicable que si ce serveur reste  passif sans accès client, par exemple un serveur qui ne sert que pour la sauvegarde. Dans tous les autres cas, à partir du moment où des bases sont activées sur ce serveur, vous devez avoir un CAS dans le même site.

    Utiliser une fonction de répliqua pour déporter un CAS entre des sites AD... ce n'est pas une très bonne idée, surtout qu'un serveur CAS a peu de besoins en CPU, RAM et Volumétrique.


    Bruce Jourdain de Coutance - Consultant MVP Exchange http://blog.brucejdc.fr


    vendredi 31 janvier 2014 15:21
    Modérateur
  • Bonjour,

    Dans notre cas, effectivement le second site servira uniquement pour la "sauvegarde".

    L'objectif était d'avoir un site Actif qui réceptionnera tous les accès clients + données de messagerie et un site de secours (Nous avons une très bonne latence entre les 2 sites), d'où l'idée initial de partir sur un MAILBOX passif & le CAS réplica à activer manuellement sur le site de secours.

    Nous envisageons également de tous passer sur un WAN étendu où on aura un subnet qui sera présent sur les 2 sites et donc les 2 MAILBOX +1 CAS seront sur un site AD.

    * Ce n'est applicable que si ce serveur reste  passif sans accès client, par exemple un serveur qui ne sert que pour la sauvegarde. 

    Du coup, dans notre configuration de test actuel (site Paris: CAS on / MAILBOX off   -   Site Clichy: MAILBOX ON), serait-ce normal qu'uniquement l'EAC serait inaccessible (Page Blanche après authentification) ou pourrait-il manquer une configuration à apporter ? 

    Je vous remercie pour votre disponibilité et vos retours.

    Cordialement.

    vendredi 31 janvier 2014 16:06
  • Du coup, dans notre configuration de test actuel (site Paris: CAS on / MAILBOX off   -   Site Clichy: MAILBOX ON), serait-ce normal qu'uniquement l'EAC serait inaccessible (Page Blanche après authentification) ou pourrait-il manquer une configuration à apporter ? 

    Vous êtes dans une configuration non supportée, donc tout ce qui ne marche pas... ne marche pas

    Nous envisageons également de tous passer sur un WAN étendu où on aura un subnet qui sera présent sur les 2 sites et donc les 2 MAILBOX +1 CAS seront sur un site AD.

    Dans ce cas de figure, un CAS suffit, cependant pourquoi ne pas partir sur une configuration plus classique avec 2 serveurs mutualisés Mailbox / CAS ? Vous économiserez une licence Exchange avec un taux de disponibilité meilleur.


    Bruce Jourdain de Coutance - Consultant MVP Exchange http://blog.brucejdc.fr

    • Marqué comme réponse N.Van lundi 3 février 2014 14:11
    samedi 1 février 2014 08:03
    Modérateur
  • Bonjour,

    Je vous remercie pour ce retour.

    Du coup, dans notre configuration de test actuel (site Paris: CAS on / MAILBOX off   -   Site Clichy: MAILBOX ON), serait-ce normal qu'uniquement l'EAC serait inaccessible (Page Blanche après authentification) ou pourrait-il manquer une configuration à apporter ? 

    Vous êtes dans une configuration non supportée, donc tout ce qui ne marche pas... ne marche pas

    C'était le type d'information que nous nous recherchions :) et nous n'insisterons donc pas dans ce design.

    Par curiosité nous avons ajouté un 2e CAS sur le second site AD et en effet l'accès à l'ECP était fonctionnel après failover.

    Je mettrai votre dernier échange marqué comme réponse.

    Une dernière question tant qu'on est encore dans le sujet:

    Dans ce cas de figure, un CAS suffit, cependant pourquoi ne pas partir sur une configuration plus classique avec 2 serveurs mutualisés Mailbox / CAS ? Vous économiserez une licence Exchange avec un taux de disponibilité meilleur.

    Dans quel circonstance recommanderiez-vous de séparer les rôles CAS et MAILBOX sur différent HOST (à partir de x nombre client ou autre ?) ? 

    Cordialement.

    lundi 3 février 2014 14:11
  • Dans quel circonstance recommanderiez-vous de séparer les rôles CAS et MAILBOX sur différent HOST (à partir de x nombre client ou autre ?) ? 

    A partir du moment où vous avez des contraintes différentes en terme d'accès pour des populations identifiées (par exemple une population qui nécessite un accès OWA Formulaire, une autre en Windows Integrated), des noms de certificats différents (vous hostez des clients différents et ne voulez pas que les certificats mélangent les nom), etc.


    Bruce Jourdain de Coutance - Consultant MVP Exchange http://blog.brucejdc.fr


    lundi 3 février 2014 14:21
    Modérateur
  • Bonsoir,

    Merci pour votre retour.

    Le nombre de client peut-il être un critère à prendre en compte sur le choix de séparation des rôles sur différents hôtes ?

    Exemple:

    - 100000 utilisateurs sur un même site/même domaine/Accès messagerie via Outlook essentiellement

    Diviser les 2 rôles CAS & MAILBOX sur chaque HOST serait-il avantageux en terme de performance ou autre (Exemple: CAS -> VM faible configuration 25% / MB -> Physique configuration + riche 75%) ? ou mutualiser les 2 rôles sur un HOST serait-il + pertinent (Physique riche configuration 100%) ? 

    Cordialement.

    lundi 3 février 2014 17:38
  • Le nombre de client peut-il être un critère à prendre en compte sur le choix de séparation des rôles sur différents hôtes ?

    C'est je pense plus à un problème de sizing du socle serveur, réseau, données, etc.

    Diviser les 2 rôles CAS & MAILBOX sur chaque HOST serait-il avantageux en terme de performance 

    Le fait de séparer les rôles impliques plutôt une perte de ressources (les ressources de base ne seraient plus mutualisées entre rôle CAS et MBX : Cpu, mémoire, multiplication des adresses IP, etc).


    Bruce Jourdain de Coutance - Consultant MVP Exchange http://blog.brucejdc.fr

    mardi 4 février 2014 15:20
    Modérateur