Outlook не удается подключиться к кластеру Exchange 2013 с балансировкой нагрузки через Direct Access 2012 R2

19

У нас есть кластер Exchange 2013 с пакетом обновления 1 (SP1), работающий по протоколу MAPI через HTTP.

Связь с клиентами внутри нашей собственной сети работает просто отлично, а клиенты, подключенные через Direct Access, не подключаются. Журналы Outlook на клиенте не показывают абсолютно никакой ошибки вообще.

Сервер прямого доступа работает под управлением 2012 R2, все клиенты - Windows 8.1. Все исправлено.

Последние пару недель я искал как сумасшедший, и единственные интересные хиты, которые я получаю, - это TMG 2010 (UAG), отфильтровывающий запросы из-за смены исходного IP-адреса (балансировщик нагрузки обмена). Существует статья базы знаний (982604), которая описывает это, и довольно здоровенное сообщение в блоге о проблеме от первичной поддержки, но, к сожалению, скрипт не работает на нашем сервере, так как это не TMG и это Windows Server 2012 R2 ..

Я в недоумении здесь. Я задам этот вопрос неделю, а затем я расскажу о первом случае поддержки с Microsoft.

exchange load-balancing exchange-2013 direct-access pauska
источник
Вы имеете в виду MAPI по HTTP? Какая версия Outlook? Можете ли вы публиковать подробности или снимки экрана из клиентов DA в Outlook, показывая состояние подключения и автоматическую настройку тестовой электронной почты? Что вы используете для балансировки нагрузки?
mfinni
@mfinni Извините, конечно, MAPI :-) Outlook 2013 SP1 с последними исправлениями. Наш балансировщик нагрузки - KEMP VLM-1000. Я постараюсь опубликовать скриншот, но офисная установка - норвежская. Возможно, для вас это не имеет большого смысла?
Пауска
Что ж, мы ищем, если клиент пытается подключиться к внутреннему URL-адресу автообнаружения (как это должно быть при использовании DA) или к внешнему, который может дать сбой и может вызвать ваши проблемы. Многое из этого может сводиться к вашей конфигурации DNS. Если автообнаружение работает правильно, но какая-то часть соединения не работает.
mfinni
1
@mrfinni Я проверил это, поскольку мы не используем принудительное туннелирование. У нас есть разделенный мозг DNS с одним пространством имен, поэтому все внутренние и внешние домены явно туннелируются. В действительности это означает, что клиент не может разрешить ни одну из наших внешних записей DNS. Я установлю английскую версию Outlook, когда у меня будет время ..
pauska
1
Эван Андерсон: Я предоставлю скриншоты и логи позже в этот день. Aceth: Извините, это SP1 (уточнено в Q). longneck: это не имеет значения. Я знаю, что LB перезаписывает исходный IP (nat), и я думаю, что это то место, где он ломается ..
pauska

Ответы:

1

Ранее я сталкивался с подобной проблемой (в решении на основе HAproxy), в моем случае это были Exchange 2010 и ISA 2006 Server с включенным фильтром RPC. Мы отключили фильтр RPC и снова счастливых дней ...

Я немного искал вокруг себя и нашел это:

http://geek.martinwahlberg.com/problem-using-forced-tunneling-mode-in-directaccess

Которые предполагают проблемы с Outlook, DirectAccess и туннельным режимом, которые так и не были решены (кроме возможного взлома клиента ...), поэтому я действительно задавался вопросом, было ли это то же самое. в комментариях у него есть идентификатор дела, поэтому, если вы зайдете в MS, вы сможете добавить вес к вашему делу.

Аарон Вест
источник
Я также нашел много сообщений о фильтре RPC и ISA, но, к сожалению, мы не используем ни того, ни другого. Наша среда теперь использует чистый HTTP MAPI, поэтому не должно быть никаких RPC. Пока я отказался от всей проблемы, за исключением трафика Outlook из туннеля DA.
Пауска
0

В какой сборке Exchange 2013 работают серверы CAS? Я не знаком с «KEMP VLM-1000», но у меня был Exchange 2013 с балансировкой нагрузки, использующий NGINX, и я столкнулся с аналогичной проблемой до Exchange 2013 SP1, где RPC не работает с балансировкой нагрузки по HTTPS.

В недавнем выпуске Exchange 2013 с пакетом обновления 1 (SP1) они реализовали MAPI поверх HTTPS, который предназначен для решения этой проблемы - я еще не тестировал его, пока ссылка на technet приведена ниже.

Exchange 2013 SP1 - MAPI через HTTPS

Дайте мне знать, как вы продвигаетесь, поскольку я еще не успел реализовать это, поскольку я только использовал балансировку нагрузки haproxy to TCP между серверами CAS.

Рис Эванс
источник
Здравствуй. Мы используем MAPI через HTTPS на SP1 (и RPC через HTTPS для клиентов до 2013 года). Это все было рассмотрено в вопросе.
Пауска
Только потому, что вы только что отредактировали его! лол. Вы сделали шаги, описанные в ссылке? Вы пробовали тестировать и искать в файлах журналов exchange mapi ..% ExchangeInstallPath% Logging \ MAPI Client Access \% ExchangeInstallPath% Logging \ HttpProxy \ Mapi \
Рис Эванс
Если это возможно, попробуйте поменять балансировщик нагрузки для NGINX ( turnkeylinux.org/nginx-php-fastcgi - уже установлен и хорошо настроен), добавьте новую конфигурацию для обмена. Тот, который я намереваюсь реализовать для MAPI по HTTP, основан на .. gist.github.com/taddev/7275873
Рис Эванс,
или если вам не нужен HTTP-балансировщик нагрузки, пытающийся использовать HAProxy, это то, что я сделал и работает хорошо.
Рис Эванс
Заменить наш балансировщик нагрузки только потому, что соединение Outlook выходит из строя через DirectAccess, не вариант. Мы заплатили за это немалые деньги, и он отлично балансирует все остальное, что мы запускаем (фермы RDS, серверы шлюзов, прокси и т. Д.). Это просто под DA, что Outlook ломается. Я не проверял эти журналы, нет, поэтому я сделаю это позже сегодня, когда я запущу новый тест из дома.
Пауска