Domino 9 und frühere Versionen > ND8: Administration & Userprobleme

Clusterfailover Problem bei Windowsserver 2008 im "stealth" Mode

(1/2) > >>

Peter S.:
Moin,

wir hatten die Tage ein sehr merkwürdiges Phänomen und ich dachte ich gebe unser Erfahrungen mal zum Besten.
Vielleicht stolpert da ja in Zukunft nochmal jemand drüber.

Umgebung
2 Dominoserver im Cluster
- Server A -> Domino 8.5.1 auf Windows Server 2003
- Server B -> Domino 8.5.2FP1 auf Windows Server 2008

Client: Notes 8.5.1 (Basic) auf Windows XP

Bei einem Clusterfailover verhält sich der Client sehr unterschiedlich, je nachdem welcher der beiden Domino - Server runterfällt.
Wenn der domino-Server auf dem W2K8 Server runterfällt findet ein Clusterfailover erst nach mehreren Minuten Wartezeit und Netzerkfehlermdlungen im Client statt.
Wenn der domino - Server auf dem W2K3 Server runterfällt macht der Client sofort einen Failover.

Die Recherchen haben ergeben das der Notes-client auf "RST" Pakete vom Server IP-stack wartet.
Da der W2K8 server, zur Erschwerung von Portscans, keine "RST" Pakete mehr sendet wenn ein Port ohne Servuice angefragt wird, macht der Client erst den Failover wenn der lokale IP-stack in einen Timeout läuft.

Und das kann wohl sehr lange dauern.

(Ich gebe das jetzt mal so wieder wie ein Notes-Admin seine Netzwerk- und Serverkollegen versteht)

Von MS kommt die Auskunft "Der stealth - Mode ist nicht abschaltbar und soll auch nicht abgeschaltet werden".
IBm war das Problem neu.

Und es gibt einen Registry Eintrag am Windows Server 2008 der den Stealth Mode deaktiviert.

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile]
"DisableStealthMode"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\PrivateProfile]
"DisableStealthMode"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\PublicProfile]
"DisableStealthMode"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\StandardProfile]
"DisableStealthMode"=dword:00000001

Vielleicht testet das ja mal jemand mit dem Standard-client, evtl. wirkt sich der fehler da gar nicht so aus.
Wir haben die Tests nur mit dem Basic - Client durchgeführt

m3:
Was meint denn IBM im PMR dazu? Schauen sie sich das an?

Peter S.:
Den PMr habe ich von unserer Seite schließen lassen.
Er geht intern nach Level 3

Hartie:
@Peter S.

Aus welcher Quelle stammen die Registry-Einträge zum Disablen des Stealth Mode?

Wenn ich das Internet durchsuche, finde ich diese nirgends dokumentiert. Es gibt nur diesen Microsoft-Artikel, der aussagt, dass man den Stealth Mode nicht disablen kann:

http://technet.microsoft.com/en-us/library/dd448557(WS.10).aspx

Gruß Hartie

m3:
Technote #1498755: Does Domino support Windows 2008 "Stealth mode"?

--- Zitat ---To run in "Stealth Mode" and get good failover, IBM recommends the installation of Firewall software which disables this "feature" on the Notes NRPC port (1352 by default).
--- Ende Zitat ---

Navigation

[0] Themen-Index

[#] Nächste Seite