Clusterfailover Problem bei Windowsserver 2008 im "stealth" Mode

[Peter S.]

Moin,

wir hatten die Tage ein sehr merkwürdiges Phänomen und ich dachte ich gebe unser Erfahrungen mal zum Besten.
Vielleicht stolpert da ja in Zukunft nochmal jemand drüber.

Umgebung
2 Dominoserver im Cluster
- Server A -> Domino 8.5.1 auf Windows Server 2003
- Server B -> Domino 8.5.2FP1 auf Windows Server 2008

Client: Notes 8.5.1 (Basic) auf Windows XP

Bei einem Clusterfailover verhält sich der Client sehr unterschiedlich, je nachdem welcher der beiden Domino - Server runterfällt.
Wenn der domino-Server auf dem W2K8 Server runterfällt findet ein Clusterfailover erst nach mehreren Minuten Wartezeit und Netzerkfehlermdlungen im Client statt.
Wenn der domino - Server auf dem W2K3 Server runterfällt macht der Client sofort einen Failover.

Die Recherchen haben ergeben das der Notes-client auf "RST" Pakete vom Server IP-stack wartet.
Da der W2K8 server, zur Erschwerung von Portscans, keine "RST" Pakete mehr sendet wenn ein Port ohne Servuice angefragt wird, macht der Client erst den Failover wenn der lokale IP-stack in einen Timeout läuft.

Und das kann wohl sehr lange dauern.

(Ich gebe das jetzt mal so wieder wie ein Notes-Admin seine Netzwerk- und Serverkollegen versteht)

Von MS kommt die Auskunft "Der stealth - Mode ist nicht abschaltbar und soll auch nicht abgeschaltet werden".
IBm war das Problem neu.

Und es gibt einen Registry Eintrag am Windows Server 2008 der den Stealth Mode deaktiviert.

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile]
"DisableStealthMode"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\PrivateProfile]
"DisableStealthMode"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\PublicProfile]
"DisableStealthMode"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\StandardProfile]
"DisableStealthMode"=dword:00000001

Vielleicht testet das ja mal jemand mit dem Standard-client, evtl. wirkt sich der fehler da gar nicht so aus.
Wir haben die Tests nur mit dem Basic - Client durchgeführt

[m3]

Was meint denn IBM im PMR dazu? Schauen sie sich das an?

[Peter S.]

Den PMr habe ich von unserer Seite schließen lassen.
Er geht intern nach Level 3

[Hartie]

@Peter S.

Aus welcher Quelle stammen die Registry-Einträge zum Disablen des Stealth Mode?

Wenn ich das Internet durchsuche, finde ich diese nirgends dokumentiert. Es gibt nur diesen Microsoft-Artikel, der aussagt, dass man den Stealth Mode nicht disablen kann:

http://technet.microsoft.com/en-us/library/dd448557(WS.10).aspx

Gruß Hartie

[m3]

Technote #1498755: Does Domino support Windows 2008 "Stealth mode"?

To run in "Stealth Mode" and get good failover, IBM recommends the installation of Firewall software which disables this "feature" on the Notes NRPC port (1352 by default).

[Hartie]

@m3

Die zitierte Technote kenne ich.

Millionenfrage: Kannst Du mir eine "Firewall software" benennen, die den Stealth Mode disablen kann?

Gruß Hartie

[m3]

MSDN: Disable Stealth Mode

http://msdn.microsoft.com/en-us/library/ff720058%28v=prot.10%29.aspx

[Hartie]

Hallo m3,

danke für die Registry-Angaben.

Muss Deiner Meinung nach die Windows-Firewall aktiv sein, damit diese Registry-Werte ziehen?

Grund ist, dass wir die Window-Firewall meist komplett abschalten bei im Intranet stehenden Servern.

Gruß Hartie

[Peter S.]

Moin,

jetzt ist es offiziell. folgende Info habe ich gerade von meinem Kollegen bekommen der das Thema bei MS forciert hat.
----
Ab sofort ist die Deaktivierung des Stealth-Modes für den W2k8R2-Server mit bekannten Registry-Keys offiziell supportet. Eine generelle Veränderung des Verhaltens des IP-Stacks, sodass für in der Firewall freigeschaltete Ports grundsätzlich ein TCP-RST Package gesendet wird ist bis auf weiteres nicht vorgesehen.
----

Gruß
Peter