Autor Thema: Clusterfailover Problem bei Windowsserver 2008 im "stealth" Mode  (Gelesen 4636 mal)

Offline Peter S.

  • Senior Mitglied
  • ****
  • Beiträge: 429
Moin,

wir hatten die Tage ein sehr merkwürdiges Phänomen und ich dachte ich gebe unser Erfahrungen mal zum Besten.
Vielleicht stolpert da ja in Zukunft nochmal jemand drüber.

Umgebung
2 Dominoserver im Cluster
- Server A -> Domino 8.5.1 auf Windows Server 2003
- Server B -> Domino 8.5.2FP1 auf Windows Server 2008

Client: Notes 8.5.1 (Basic) auf Windows XP

Bei einem Clusterfailover verhält sich der Client sehr unterschiedlich, je nachdem welcher der beiden Domino - Server runterfällt.
Wenn der domino-Server auf dem W2K8 Server runterfällt findet ein Clusterfailover erst nach mehreren Minuten Wartezeit und Netzerkfehlermdlungen im Client statt.
Wenn der domino - Server auf dem W2K3 Server runterfällt macht der Client sofort einen Failover.

Die Recherchen haben ergeben das der Notes-client auf "RST" Pakete vom Server IP-stack wartet.
Da der W2K8 server, zur Erschwerung von Portscans, keine "RST" Pakete mehr sendet wenn ein Port ohne Servuice angefragt wird, macht der Client erst den Failover wenn der lokale IP-stack in einen Timeout läuft.

Und das kann wohl sehr lange dauern.

(Ich gebe das jetzt mal so wieder wie ein Notes-Admin seine Netzwerk- und Serverkollegen versteht)

Von MS kommt die Auskunft "Der stealth - Mode ist nicht abschaltbar und soll auch nicht abgeschaltet werden".
IBm war das Problem neu.

Und es gibt einen Registry Eintrag am Windows Server 2008 der den Stealth Mode deaktiviert.

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile]
"DisableStealthMode"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\PrivateProfile]
"DisableStealthMode"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\PublicProfile]
"DisableStealthMode"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\StandardProfile]
"DisableStealthMode"=dword:00000001

Vielleicht testet das ja mal jemand mit dem Standard-client, evtl. wirkt sich der fehler da gar nicht so aus.
Wir haben die Tests nur mit dem Basic - Client durchgeführt






Offline m3

  • Freund des Hauses!
  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 8.102
  • Geschlecht: Männlich
  • Non ex transverso sed deorsum!
    • leyrers online pamphlet
Was meint denn IBM im PMR dazu? Schauen sie sich das an?
HTH
m³ aka. Martin -- leyrers online pamphlet | LEYON - All things Lotus (IBM Collaborations Solutions)

All programs evolve until they can send email.
Except Microsoft Exchange.
    - Memorable Quotes from Alt.Sysadmin.Recovery

"Lotus Notes ist wie ein Badezimmer, geht ohne Kacheln, aber nicht so gut." -- Peter Klett

"If there isn't at least a handful of solutions for any given problem, it isn't IBM"™ - @notessensai

Offline Peter S.

  • Senior Mitglied
  • ****
  • Beiträge: 429
Den PMr habe ich von unserer Seite schließen lassen.
Er geht intern nach Level 3

Offline Hartie

  • Aktives Mitglied
  • ***
  • Beiträge: 103
@Peter S.

Aus welcher Quelle stammen die Registry-Einträge zum Disablen des Stealth Mode?

Wenn ich das Internet durchsuche, finde ich diese nirgends dokumentiert. Es gibt nur diesen Microsoft-Artikel, der aussagt, dass man den Stealth Mode nicht disablen kann:

http://technet.microsoft.com/en-us/library/dd448557(WS.10).aspx

Gruß Hartie

Offline m3

  • Freund des Hauses!
  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 8.102
  • Geschlecht: Männlich
  • Non ex transverso sed deorsum!
    • leyrers online pamphlet
Technote #1498755: Does Domino support Windows 2008 "Stealth mode"?
Zitat
To run in "Stealth Mode" and get good failover, IBM recommends the installation of Firewall software which disables this "feature" on the Notes NRPC port (1352 by default).
HTH
m³ aka. Martin -- leyrers online pamphlet | LEYON - All things Lotus (IBM Collaborations Solutions)

All programs evolve until they can send email.
Except Microsoft Exchange.
    - Memorable Quotes from Alt.Sysadmin.Recovery

"Lotus Notes ist wie ein Badezimmer, geht ohne Kacheln, aber nicht so gut." -- Peter Klett

"If there isn't at least a handful of solutions for any given problem, it isn't IBM"™ - @notessensai

Offline Hartie

  • Aktives Mitglied
  • ***
  • Beiträge: 103
@m3

Die zitierte Technote kenne ich.

Millionenfrage: Kannst Du mir eine "Firewall software" benennen, die den Stealth Mode disablen kann?

Gruß Hartie

Offline m3

  • Freund des Hauses!
  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 8.102
  • Geschlecht: Männlich
  • Non ex transverso sed deorsum!
    • leyrers online pamphlet
HTH
m³ aka. Martin -- leyrers online pamphlet | LEYON - All things Lotus (IBM Collaborations Solutions)

All programs evolve until they can send email.
Except Microsoft Exchange.
    - Memorable Quotes from Alt.Sysadmin.Recovery

"Lotus Notes ist wie ein Badezimmer, geht ohne Kacheln, aber nicht so gut." -- Peter Klett

"If there isn't at least a handful of solutions for any given problem, it isn't IBM"™ - @notessensai

Offline Hartie

  • Aktives Mitglied
  • ***
  • Beiträge: 103
Hallo m3,

danke für die Registry-Angaben.

Muss Deiner Meinung nach die Windows-Firewall aktiv sein, damit diese Registry-Werte ziehen?

Grund ist, dass wir die Window-Firewall meist komplett abschalten bei im Intranet stehenden Servern.

Gruß Hartie

Offline Peter S.

  • Senior Mitglied
  • ****
  • Beiträge: 429
Moin,

jetzt ist es offiziell. folgende Info habe ich gerade von meinem Kollegen bekommen der das Thema bei MS forciert hat.
----
Ab sofort ist die Deaktivierung des Stealth-Modes für den W2k8R2-Server mit bekannten Registry-Keys offiziell supportet. Eine generelle Veränderung des Verhaltens des IP-Stacks, sodass für in der Firewall freigeschaltete Ports grundsätzlich ein TCP-RST Package gesendet wird ist bis auf weiteres nicht vorgesehen.
----

Gruß
Peter

 

Impressum Atnotes.de  -  Powered by Syslords Solutions  -  Datenschutz