Exchange DAG macht kein Switchover

Mitglied: NordicMike

NordicMike (Level 3) - Jetzt verbinden

28.04.2021, aktualisiert 07:24 Uhr, 629 Aufrufe, 16 Kommentare

Hallo zusammen,

ich habe gerade einen Switchover von Exchange1 auf Exchange2 durchgeführt und begonnen Exchange1auf die neueste CU upzudaten (Exchange 2016). Als die Installation begann, sieht man den Status, dass die Dienste von Exchange1 beendet werden, trotzdem bekommt Outlook keine Verbindung mehr. Das Webinterface (OWA und ECP) vom Exchange2 sind noch zu sehen, sobald man sich jedoch anmeldet, bleibt es bei einem weissen leeren Bildschirm. Die Dienste von Server2 sind jedoch alle noch gestartet.

Ich dachte Exchange2 sollte übernehmen?!? Wozu dann ein Switchover und eine DAG? Warum läuft das nicht redundant?

Danke Euch in Voraus and keep rockin

Der Mike
Mitglied: MichaelSch83
28.04.2021 um 07:37 Uhr
Guten Morgen,

hast du denn ein NLB davor oder wie steuerst du den Client Zugriff? Die DAG selbst hat ja kein NLB sondert dient ja nur zur Erstellung und Steuerung der Datenbankkopien (ganz einfach gesagt). Auf welchen Server zeigen deinen Urls vom owa, ecp etc? Hast du den A-Record vorher auf den verbleibenden geschwenkt?

Mit freundlichen Grüßen

Micha
Bitte warten ..
Mitglied: NordicMike
28.04.2021, aktualisiert um 07:51 Uhr
Ich habe einen HA Proxy davor, der Transparent zum Server2 durchlässt, ich habe Server1 am HAproxy deaktiviert.

Ein Test mit https und Telnet Port 25 zeigt, dass alles schön zum Server2 durch geht. Ich kann auch Emails an Server2 über den HAproxy schicken. Nur die Clients mögen sich nicht mehr verbinden. Die URLs und DNS Records zeigen alle auf den HA Proxy. Das Zertifikat (über https) zeigt den Server2 an. Wie gesagt, auch ein direkter Aufruf auf https://server2.domain.intern/ecp bringt den Anmeldebildschirm vom Server2, Und eben nach der Anmeldung an dieser Seite kommt danach ein leerer weisser Browserinhalt. Also wird es nicht am HAproxy liegen. Server2 mag alleine einfach nicht mehr arbeiten bzw die Clients abservieren, aber Emails nimmt er noch an..
Bitte warten ..
Mitglied: MichaelSch83
28.04.2021, aktualisiert um 11:19 Uhr
Hallo,

Sry erst mal für die vielen Fragen, aber man muss sich erst mal ein Bild der Umgebung machen :) face-smile

Wie hast du den Switchover durchgeführt? Ist der Witness der DAG noch vom Server2 aus erreichbar? Wie ist dort der Status?

Mit freundlichen Grüßen

Micha
Bitte warten ..
Mitglied: NordicMike
28.04.2021, aktualisiert um 12:22 Uhr
Um den Wittnes habe ich mich, ehrlich gesagt, gar nicht gekümmert. Jetzt kann ich den Status aber nicht mehr abfragen, die Installation ist beendet und alles ist wieder online. Ich kann den Test aber irgendwann machen, wenn ich einen Server zur Nachtzeit herunter fahren kann. Aber ja, der Witness ist ständig online gewesen und im gleichen Netz, wie die zwei Exchange Server. Das Zabbix Monitoring hat auch nicht gemeldet, dass der Wittnes Server offline wäre, also gehe ich davon aus, dass er alles mitbekommen hat.

Den Switchover habe ich im ECP bei den Datenbanken durchgeführt. Wie du schon sagtest, das hat scheinbar nichts mit dem Clientzugriff zu tun.

Stelle ruhig viele Fragen, ich lerne auch daraus, was jemand Anderes so von sich gibt :c)
Bitte warten ..
Mitglied: MichaelSch83
28.04.2021 um 17:17 Uhr
Hallo,

Das klingt schonmal gut. Die Zertifikate stimmen hier aber auch alle oder ? Also auf beiden exchange ist ein Zertifikat installiert und an http gebunden welches die zugriffs url für owa und co enthällt ?

Also wenn du mit deinen clients zum exchange die Verbindung via „owa.domain.local“ aufbaust dann haben beide server sowie natürlich der ha proxy dieses Zertifikat installiert?

Weil eine Blank Page deutet manchmal auf ssl Probleme hin. Kannst du dir mal die iis logs anschauen wenn du die Verbindung aufbaust und die site leer ist, was kommt dort für ein Fehler?

Mit freundlichen Grüßen

Micha
Bitte warten ..
Mitglied: mbehrens
28.04.2021 um 20:43 Uhr
Zitat von @NordicMike:

ich habe gerade einen Switchover von Exchange1 auf Exchange2 durchgeführt und begonnen Exchange1auf die neueste CU upzudaten (Exchange 2016). Als die Installation begann, sieht man den Status, dass die Dienste von Exchange1 beendet werden, trotzdem bekommt Outlook keine Verbindung mehr. Das Webinterface (OWA und ECP) vom Exchange2 sind noch zu sehen, sobald man sich jedoch anmeldet, bleibt es bei einem weissen leeren Bildschirm. Die Dienste von Server2 sind jedoch alle noch gestartet.

Ich dachte Exchange2 sollte übernehmen?!? Wozu dann ein Switchover und eine DAG? Warum läuft das nicht redundant?

Der DAG Knoten wurde auch in den Wartungsmodus gesetzt? Der vorgeschaltete LB bekommt das dann in der Regel auch mit und verteilt die Anfragen entsprechend.
Bitte warten ..
Mitglied: NordicMike
29.04.2021 um 09:47 Uhr
@MichaelSch83
Ja, SSL und Zertifikate passen. Ein SSL Fehler kann es nicht sein, da beim Anmeldebildschirm das Zertifikat noch richtig angezeigt wird. Auf der weissen Seite dann übrigens auch :c)

@mbehrens
Das könnte der Knackpunkt sein. Ich habe wirklich nur den Switchover über ecp angetriggert.
Nur, wenn es notwendig ist diesen Wartungsmodus manuell einzustellen, dann funktioniert ja gar kein Failover, wenn ein Server unbeaufsichtigt stirbt ?!?

Danke an euch Beide fürs miträtseln...
Bitte warten ..
Mitglied: mbehrens
29.04.2021 um 14:13 Uhr
Zitat von @NordicMike:

Das könnte der Knackpunkt sein. Ich habe wirklich nur den Switchover über ecp angetriggert.
Nur, wenn es notwendig ist diesen Wartungsmodus manuell einzustellen, dann funktioniert ja gar kein Failover, wenn ein Server unbeaufsichtigt stirbt ?!?

Es besteht schon ein Unterschied, ob man das ganze geplant oder ungeplant macht.

Wird zum Beispiel den Servern und Clients mitgeteilt, sich jetzt wg. Wartung mit einem anderen System zu verbinden oder die Replikation einzustellen. Zusätzlich muss natürlich der LB auch über passende Mechanismen prüfen, ob die Dienste noch zur Verfügung stehen.
Bitte warten ..
Mitglied: NordicMike
29.04.2021, aktualisiert um 15:36 Uhr
Welcher Unterschied wäre das? Hast du einen technische Beschreibung dazu?
Ich sehe das so: Die Clients müssen in der Lage sein im Fehlerfall den noch funktionierenden Server zu kontaktieren, egal, ob einer geplant oder ungeplant ausgefallen ist.
Der Loadbalancer wurde geplant auf Server 2 umgestellt, wobei der Loadbalancer das mit alive-Tests auch selbst feststellen hätte können (es ist ja kein Loadbalancer, sondern ein HA Proxy). Nach dieser Umstellung und vor der Installation wurde geprüft, ob die Clients sich noch verbinden. Der Kontakt zu Server2 ist bestätigt, die angezeigte Login Seite trägt das Zertifikat vom Server2. Whireshark sieht die Zugriffe auf Server2. Der LB hat seine Arbeit also gut verrichtet. Die Logs auf Server2 füllen sich mit Anfragen.

Server 2 hat seine Arbeit eingestellt, als das Setup auf Server1 die Exchange Dienste von Server1 beendet hat um Dateien zu kopieren. Seit dem kommt eben zwar noch die Anmeldeseite von Server2, aber nach dem Anmelden kein Inhalt mehr. Ich denke er sucht die Datenbank auf Server1 (dessen Dienste gestoppt sind) und hängt dabei.

Als die Installation auf Server1 fertig war, hat das Setup die Dienste von Server1 wieder gestartet, genau in diesem Moment hat Server2 wieder das OWA und ECP angezeigt, der Loadbalancer war nach wie vor noch immer auf Server2 eingestellt. Server 2 mag also ohne Server1 nicht - wobei er das, egal ob Server1 geplant oder ungeplant verschwunden ist, machen sollte :c)
Bitte warten ..
Mitglied: MichaelSch83
30.04.2021 um 07:27 Uhr
Hallo,

Bei einer DAG kann jeder aktive Knoten den Clientzugriff realisieren .. unabhängig davon wo die Datenbank aktiv liegt. Wenn z.b. der Server1 die aktive DB hostet und der Client aber durch den HAProxy auf Server2 landet dann kann der Client sich ja auch verbinden. Sobald die Datenbank also durch deinen Switchover geschwenkt wurden (alles auf Server1) muss der Zugriff funktionieren.

Dein Argument das es bei einem richtigen Ausfall auch gehen muss stimmt, da dauert es nur etwas länger bis die DAG den Knoten als „offline“ erkennt und die DB schwenkt.

Die angesprochene Maintenance die man per Powershell aktiviert schwenkt unter anderem auch die Datenbanken (neben Knoten offline nehmen) . Du könntest es ja mal damit probieren .. aber ich denke das wird das gleiche Fehlerbild geben.

Siehe z.b hier: https://ehloexchange.com/exchange-maintenance-mode/ (gibt auch viele andere)

Hatte ich es richtig verstanden das jeder deiner Exchange ein eigenes Zertifikat hat, wobei bei jedem der öffentliche Name enthalten ist? Oder ist das ein Zertifikat wo alle Namen aller Server enthalten ist.

Kannst du mal folgendes auf jedem Server ausführen ausführen (nur oben den Namen anpassen) und den Output posten (gern auch per PN).


$servername = "Server1"
Get-OwaVirtualDirectory -Server $servername | fl internalurl, externalurl
Get-EcpVirtualDirectory -server $servername | fl internalurl, externalurl
Get-WebServicesVirtualDirectory -server $servername| fl internalurl, externalurl
Get-ActiveSyncVirtualDirectory -Server $servername | fl internalurl, externalurl
Get-OabVirtualDirectory -Server $servername | fl internalurl, externalurl
Get-MapiVirtualDirectory -Server $servername | fl externalurl, internalurl
Get-ClientAccessService $servername | fl AutoDiscoverServiceInternalUri
Get-Mailboxdatabase | fl Server,AdminDisplayName, rpc*

Mit freundlichen Grüßen

Micha
Bitte warten ..
Mitglied: NordicMike
03.05.2021, aktualisiert um 14:27 Uhr
Danke dir....

>Get-OwaVirtualDirectory -Server $servername | fl internalurl, externalurl
InternalUrl : https://mail.domain.intern/owa
ExternalUrl : https://mail.domain.de/owa

>Get-EcpVirtualDirectory -server $servername | fl internalurl, externalurl
InternalUrl : https://mail.domain.intern/ecp
ExternalUrl : https://mail.domain.de/ecp

Die anderen Adressen sind alle analog dazu ähnlich.

Der interne Pfad löst die IP Nummer des HA Proxys im lokalen Netz auf.
Der externe Pfad löst die externe IP der DSL Leitung auf.
Der HA Proxy kennt dann nur zwei Adressen, die als Ziel eingetragen sind:
server1.domain.intern
server2.domain.intern


Der Client stellt auch den Kontakt bis zum Server her, die OWA Anmeldeseite des Servers ist zu sehen. Von extern genau so wie von intern.

Server1 hat folgende Adressen im Zertifikat:
server1.domain.intern
mail.domain.intern
mail.domain.de

Server2 hat folgende Adressen im Zertifikat:
server2.domain.intern
mail.domain.intern
mail.domain.de
Bitte warten ..
Mitglied: Dani
10.05.2021 um 17:34 Uhr
Moin NordicMike,
ich kann dich mehr oder weniger beruhigen... du bist nicht alleine.

Wir haben die von dir beschriebene Problematik auf allen DAGs, welche der Kombination Exchange 2016 und Outlook 2016 zu treffen. Allerdings bereits schon mit CU19 und dem letzten Sicherheitsupdate.

Nehmen wir anstatt Outlook 2016 ein Outlook 2010 auf einer Test VM funktioniert alles wie es soll. Outlook 2019 konnten wir bis dato noch nicht testen. Ist das bei dir auch so?

Unabhängig davon sehen wir bei einem Failover eines Knoten der DAG in Verbindungstatus deutlich mehr Einträge für ein Postfach wie im funktionieren Zustand. Als würde Outlook immer und immer wieder neue Verbindungen aufbauen wollen. Ist das bei dir auch so?

Aber ja, der Witness ist ständig online gewesen und im gleichen Netz, wie die zwei Exchange Server. Das Zabbix Monitoring hat auch nicht gemeldet, dass der Wittnes Server offline wäre, also gehe ich davon aus, dass er alles mitbekommen hat.
Wenn der Witness Server bzw. die Freigabe offline gewesen wäre, findet in der Regel die DAG nicht mehr von alleine zusammen. Dem entsprechend ist auch das Ereignisprotokoll voll mit Fehlern.

Ich habe einen HA Proxy davor, der Transparent zum Server2 durchlässt, ich habe Server1 am HAproxy deaktiviert.
Sprich Layer 4, NAT oder SNAT?


Gruß,
Dani
Bitte warten ..
Mitglied: NordicMike
11.05.2021 um 07:20 Uhr
Hallo Dani,

es ist auch bei Outlook 2019 bei uns so, auch beim iPhone. Die Clients kommen ja auch alle bis zum noch laufenden Server auf die Anmeldeseite z.B. auf /owa oder /ecp. Der Knackpunkt ist wirklich, dass der noch laufende Serer ohne dem anderen Server zwar online war, jedoch einfach seine Inhalte nicht preis geben wollte, als ob er seine Datenbankkopie nicht aktiv stellen wollte.

Das mit den mehreren Verbindungen klingt plausibel, Outlook intern weiss ja durch SCPs welche Server vorhanden sein müssten, wenn die Verbindung zu einem scheitert oder hängt, versucht er es beim nächsten Server. Das wäre zumindest intern. Mein Problem ist intern wie auch extern.

Sprich Layer 4, NAT oder SNAT?
Ich kenne mich mit diesen OSI Layern nicht wirklich aus, dafür haben wir andere Jungs hier :c) Es macht auf jeden Fall kein NAT. Es ist einfach ein Man In The Middle, ein Proxy halt.
Bitte warten ..
Mitglied: NordicMike
12.05.2021 um 16:00 Uhr
Nachdem das nächste Exchange Security Update bereits steht, habe ich mal eine ruhige Minute ausgenutzt um einen neuen Switchover zu versuchen.

Wenn ich Server1 update, läuft alles normal weiter.
Wenn ich Server2 update, hängt alles, obwohn der HA Proxy komplett auf Server1 gestellt ist.

Jetzt konnte ich mal ein paar Prüfungen machen:



Name Server Mounted
---- ------
Mailbox Database 1198545982 Server1 True
Mailbox Database Firma.de Server2

Die (eigentlich wichtige) Datenbank ist also auf dem Server1 nicht gemounted, wenn Server2 updatet. Klar, dass Server1 nur den Loginbildschirm bringt, aber nach dem Login hängt.

Im ECP ist jedoch zu sehen, dass die Datenbank auf beiden Servern vorhanden und synchron wäre.

Ich überlege gerade ob ich versuchen soll diese Datenbank zu mounten...
Bitte warten ..
Mitglied: NordicMike
12.05.2021 um 16:26 Uhr
Die Updates sind durch und beide Server sind wieder online.

Ich suche den Grund, warum die Datenbank auf Server1 im Offline Fall von Server2 nicht gemounted wurde.

ECP zeigt mir den Cluster mit beiden Membern an und beide sind online.
Powershell zeigt mit mit get-clusternode nur den Server1 an. Wenn ich versuche den Server2 mit "add-clusternode" hinzuzufügen, erhalte ich eine Fehlermeldung, dass dieser bereits zu einem Cluster gehört. Ich habe jedoch nur einen Cluster, in diesem zeigt mir die Powershell den Server2 nicht mit an.

Für mich ein nicht schlüssiges bzw fehlerhaftes System, wenn ECP und Powershell unterschiedliche Sachen anzeigen.
Bitte warten ..
Mitglied: Dani
12.05.2021 um 21:01 Uhr
Moin,
Für mich ein nicht schlüssiges bzw fehlerhaftes System, wenn ECP und Powershell unterschiedliche Sachen anzeigen.
ich würde eher der Powerhell als em ECP glauben schenken.

Hast du schon mal die Konfiguration geprüft bzw. prüfen lassen?
Überwachen von Datenbankverfügbarkeitsgruppen
Using Test-ReplicationHealth to Troubleshoot Database Availability Groups


Gruß,
Dani
Bitte warten ..
Heiß diskutierte Inhalte
Datenschutz
FAX ist nicht mehr Datenschutzkonform
brammerVor 1 TagInformationDatenschutz52 Kommentare

Hallo, jetzt sollte es jeder begreifen FAX ist nicht mehr Datenschutzkonform brammer

Humor (lol)
Na, kann euer Toaster auch schon WLAN?
ITlerin95Vor 1 TagAllgemeinHumor (lol)16 Kommentare

Also ich frag mich ja selbst echt oft, ob wirkliche alle technischen Neuerungen auch wirklich notwendig sind. Hintergrund ist, ich brauch einen neuen Toaster. ...

Netzwerkgrundlagen
Statische Route auf UTM
gelöst Ex0r2k16Vor 14 StundenFrageNetzwerkgrundlagen31 Kommentare

Moin! Ich habe an meiner Sophos UTM an einem physischen Interface einen Switch angeschlossen. Dieser läuft im Netz 10.1.1.0/24. Ich kann von meinem aktuellen ...

Windows Update
Keine Updates zum Mai-Patchday über WSUS?
gelöst CoreknabeVor 1 TagFrageWindows Update12 Kommentare

Moin, wir laden über unseren WSUS die Windows Updates herunter (Server 2012R2). Jetzt stelle ich gerade verwundert fest, dass es Stand jetzt (19:45 Uhr) ...

Exchange Server
Sicherheitsupdates für Exchange Server 11. Mai 2021
kgbornVor 1 TagInformationExchange Server4 Kommentare

Sicherheitsupdates für Exchange Server 11. Mai 2021 Technet-Beitrag Meine Zusammenstellung: Sicherheitsupdates (KB5003435) für Microsoft Exchange Server (11. Mai 2021)

Exchange Server
Office 365 ohne lokalen Exchange
RicoPausBVor 1 TagFrageExchange Server8 Kommentare

Moin zusammen wir sind erst vor kurzem ins Office 365 eingestiegen und hatten vorher auch keinen Exchange Server im Einsatz. Ein Hybrid-Setup liegt also ...

SAN, NAS, DAS
Synology-NAS DS1813+: Lebensdauer des Gerätes?
OrmensonVor 1 TagFrageSAN, NAS, DAS10 Kommentare

Hallo Forum! In unserer Firma nutzen wir ein Synology NAS DS1813+ als zentraler Datenspeicherort. Konfiguriert ist er als RAID mit Ausfallsicherheit einer Platte. Die ...

Microsoft Office
Weiterleitung bestimmter Emails während Urlaubszeit
gelöst imebroVor 1 TagFrageMicrosoft Office11 Kommentare

Hallo, verschiedene Rechnungen werden an meine Email-Adresse gesendet. Daher habe ich vor einiger Zeit eine Outlook-Regel in meinem Outlook-Postfach erstellt, die automatisch Emails mit ...