Hallo Leutz,
Lt. Aussage von Microsoft ist die Installation von Windows Server 2008 R2 SP1 auf Forefront TMG und UAG offiziell supported (ein offizieller Blogeintrag des ISA/TMG Team von Microsoft folgt noch).
Auf meinen Testmaschinen und meiner produktiven TMG/UAG Appliance von SecureGURAD konnte ich bisher auch keine Probleme feststellen -bis gestern 🙁
Bei einem Kunden haben wir auf vier Forefront TMG Enterprise Maschinen (deutsch, aktuell gepatched, EMS verwaltete Array Member mit NLB) Windows Server 2008 R2 SP1 installiert. Die “besondere” Konstellation ist hier, dass die Firewalls zwei Standorte verbinden und drei Windows Domaenen aus Firewallsicht trennen, sprich die Firewalls sind nicht klassische Backend- Frontendfirewalls oder Forward- Reverse Proxy.
Das Exchange Cluster steht in der Ressourcendomaene und die Benutzer aus den drei Domaenen und zwei Standorten greifen per Outlook auf das CAS-Array und den dahinterliegenden DAG Cluster zu. Am naechsten Tag nach der Installation beklagten sich die Anwender des entfernten Standorts, sowie der Subdomaenen in denen kein Exchange Server steht, dass Outlook sich nicht richtig verbindet und der Zugriff auf oeffentliche Ordner teilweise nicht moeglich ist. Im Outlook 2007/2010Verbindungssymbol sah man laufende getrennte und verbundene Exchange Server Verbindungen und einige TCP-Fehler. Wenn der Outlook Cached Mode verwendet wird, kommen auch keine Mails mehr im Outlook an, obwohl Outlook staendig eine korrekte Synchronisation mit dem Exchange Server meldet. Sobald man den Cached Mode ausschaltet, kommen E-Mails wieder an, aber weitere Probleme schlagen auf. Bei dem Versuch auf oeffentliche Ordner von Exchange zuzugreifen kam es teilweise zu Fehlermeldungen, dass ein Clientvorgang fehlgeschlagen sei und beim Aufruf von diversen PDF- und PPT-Dokumenten in oeffentlichen Ordnern kam die Meldung, dass der Preview Handler nicht verfuegbar sei!
In den Logs der Firewall sieht man unzaehlige RPC Fehlermeldungen fuer das Protokoll RPC und etliche blockierte Highport Verbindungen. die Meldung im TMG ist, dass die Verbindung gespoofed waere. Nach etlichen erfolglosen Tests zur Eingrenzung der Problematik sind wir zu der Feststellung gekommen, dass mit Windows Server 2008 R2 SP1 Aenderungen des RPC-Verhalten eingefuehrt wurden, welche mit dem in Forefront TMG enthaltenen RPC-Filter nicht kompatibel sind. ANMERKUNG: Da dies meine erste Windows Server 2008 R2 SP1 Installation auf produktiven TMG Servern in diesem speziellen Szenario ist, kann ich noch keinen eindeutigen Beweis fuer diese Vermutung erbringen, die Symptome sind aber eindeutig und konnten zumindest in diesem Szenario bewiesen werden.
Gruende, warum ich den RPC Filter im Verdacht habe:
Benutzer mit Outlook Postfach in der gleichen Domaene wie der Exchange Server haben keine Probleme
Wenn man an den betroffenen Clients Outlook Anywhere aktiviert und per HOSTS Datei oder DNS FLZ den OA Aufruf auf den FQDN des internen CAS Array legt, funktioniert alles einwandfrei
Wenn man einen neuen Exchange Benutzer mit Postfach anlegt, wird eine OST-Datei erstellt, aber keine Outlook / Exchange Synchronisation durchgefuehrt, Aendert man auch hier das Outlook Profil auf OA funktioniert es.
Wenn OA aktiviert ist erhalten die Benutzer beim Aufruf von oeffentlichen Ordnern im Exchange auch keine Fehlermeldungen mehr
Loesungsansaetze:
Datensicherung der TMG Server zurueckspielen
Windows Server 2008 R2 SP1 deinstallieren
OA aktivieren (Achtung CAS Server Belastung beachten)
RPC Filter in TMG deaktivieren und Zugriffsregel fuer Outlook erstellen ohne RPC-Filterbindung. Hierbei ist zu beachten, dass man je nach Veroeffentlichungsumfang und Funktionsumfang des TMG Servers auch andere Funktionalitaeten verliert!
Bei einem naechsten Termin an einem Wochenende im Maerz werden wir versuchen die Probleme naeher einzukreisen, bis dahin haben wir erst mal einen Workaround fuer die betroffenen User in Form von OA eingefuehrt, da die CAS Server genuegend Power haben 🙂
Ich werde in diesem Blog ueber Updates berichten.
Gruss Marc Grote
