komplexeres Problem bei Durchgangsverbindung

    Also, hier mal was zu knobbeln, bin ein wenig ratlos:


    Folgende Umgebung: 5 Domino Server, und zwei Netz-Segmente (LAn und DMZ)


    Domino1 und Domino2
    sind im LAN und fungieren als Apllication und Mailserver der User. SMTP nicht erlaubt. Dabei ist Domino1 der Hauptserver und Domino2 der Backup-Server (mittels Cluster)


    Domino3 und Domino 4
    sind in der DMZ und sind die SMTP-Server für den Verkehr nach aussen. Dabei ist Domino3 der hauptserver und Domino4 der Backup (mittels Cluster)


    Domino5
    ist auch in der DMZ und dient als Faxserver, kein SMTP gestattet. Fax als Domino-Task (Mail->Fax) über fremde Domäne


    Firewall
    Die Firewall ist ein MS ISA Server, der alle LAN-Adressen nach aussen zu einer maskiert (NAT).
    Außerdem sind nur Verbindung auf Port 1352 zwischen Domino1,2,3,4 zugelassen. Nicht aber zu Domino5.
    Das Bedeutet Domino1 und Domino2 greifen auf Domino5 mittels Passtrough über Domino3 und Domino4 zu.


    Dominokonfig.
    Alle 5 Server sind in einem Cluster.
    Es gibt zwei Admin-IDs. Eine für die DMZ und eine für die LAN-Server.
    Alle 5 Server sind in jedem Serverdokument einzelnd in den Durchgangsserver-Sicherheitseinstellungen eingetragen (in allen Feldern)
    Jeder Server hat zu jedem ein explizites Verbindungsdokument. Auch die Server die in einem Netz-Segment sind.



    DAS PROBLEM:
    Das Routing der Mails zum Faxserver funktioniert nur über den Domino3 (wenn dieser unten ist gar nicht)
    trace-Befehle in der Serverkonsole liefert verwirrende Ergbnisse:


    von Domino1:
    trace Domino3 -> connect
    trace Domino4 -> connect
    trace Domino5 -> findet zwei wege (über domino3 und 4) beendet dann aber mit "no path to Domino3", manchmal auch Passtrough prohibited


    voon Domino2:
    trace Domino3 -> connect
    trace Domino4 -> connect
    trace Domino5 -> findet zwei wege (über domino3 und 4) beendet dann aber mit "no path to Domino3", manchmal auch Passtrough prohibited, manchmal hat er aber auch einen Connect


    ...


    Witziger Weise funktioniert das Mailrouting meist auch, obwohl ich keinen eindeutigen Trace machen kann!


    Hat da einer eine Idee???
    Ich tippe darauf, dass die Durchgangsverbindungen Probleme mit dem Masquerading einer zwichengeschalteten Firewall haben???
    Oder evtl. Probleme mit dem MS ISA Server??


    Bin für jede Hilfe Dankbar!

    Hallo,


    Zitat

    Dominokonfig.
    Alle 5 Server sind in einem Cluster.


    Sind wirklich alle 5 Server in einem einzigen Cluster??


    Hast Du mal die Priorität der Verbindungsdokumente überprüft??


    Wenn die auf niedrig steht, verwendet er sie nicht unbedingt....


    Gruß


    Norbert

    Mal vorab: Entweder klingt deine Clusterkonfiguration nur konfus oder sie ist es tatsächlich ;=)


    Wenn tatsächlich alle 5 Server im gleichen Cluster sind, dann gehe ich davon aus:
    - alle sind in der gleichen Domäne
    - jeder Server ist nur in 1 Cluster


    Dann allerdings verstößt die Konfiguration in folgenden Punkten gegen die Cluster-Richtlinien:
    - Clusterserver müssen im gleichen DNN (Notes Netzwerk) liegen.
    - Wenn Clusterserver im gleichen DNN liegen haben sie auch uneingeschränkt direkten Zugriff untereinander. Das schließt den ausschließlichen Zugriff via Durchgangsserver aus.
    - Wenn alle Server im gleichen DNN liegen [würden] dann wird nur für die periodische Replikation ein Verbindungsdokument benötigt. Mailzustellung funktioniert direkt und automatisch.


    Daß du mal eine Verbindung hinbekommst und mal nicht liegt vermutlich genau an den angesprochenen Punkten, da im Cluster das gleiche DNN eine angenommene Voaussetzung ist kommen die Server beim Verbindungsaufbau durcheinander, da sie logischerweise mehrere Möglichkeiten finden, von denen es einige nicht geben dürfte (Passthrou) und andere wiederum geben müßte (DNN) - die dann allerdings nicht existieren.


    Was weiterhin ziemlich sinnlos erscheint ist die Eintragung aller Server in allen Durchgangsfeldern aller Serverdokumente, das dürfte zusätzlich für Verwirrung sorgen, mal von der technischen [Nicht]-Notwendigkeit ganz abgesehen.

    ja, es sind alle in einem Cluster! Und auch in einer Notes-Domäne!


    Das die Verbindungsdokumente innerhalb eines Netzwerksegmentes nicht notwendig sind, ist mir schon klar. Aber das sie zur Verwirrung beitragen nicht. Werde das mal checken.


    Auch der Punkt, dass sich Clusterserver nicht über Passtrough verbunden sein dürfen war mir nicht bekannt! Ist das sicher??


    Wenn ja, wäre es also sinnvoll zwei Cluster, eins für jedes Netzsegment, zu bilden!?


    Würde es auch schon genügen, direkte Verbindungen zwischen den Lan-Servern(Domino1&2) und dem Fax-Server (Domino5) zu erlauben?


    Anonsten schonmal vielen Dank!

    also ich würde auf jeden fall für beide segmente jeweils die cluster trennen...schon alleine weil hier ja die clusterfunktionalität aus meiner sicht nicht notwendig ist...
    den fax server würde ich in keinen cluster aufnehmen sondern nur zeitnahe verbindungsdokumente erstellen...

    Zitat

    Das die Verbindungsdokumente innerhalb eines Netzwerksegmentes nicht notwendig sind, ist mir schon klar. Aber das sie zur Verwirrung beitragen nicht.


    Das Problem dabei ist, daß Server (gerade fürs Routing) innerhalb des gleichen DNN immer Verbindungskosten von 1 haben, da sie ja direkt zugreifen können. Du hast nicht genau beschrieben um welche Art Verbindungsdokumente es sich handelt. Sind es Mailverbindungen so irritiert das den Router, da Verbindungsdokumente gegenüber den anderen Wegen Priorität haben der Router sich aber normalerweise an den Verbindungskosten und nicht der Priorität orientiert. Nichtsdestotrotz kann mit Verbindungsdokumenten gearbeitet werden. Nur die Kombination Gleiches DNN + Cluster + Verbindungsdokument innerhalb des Clusters ist ziemlich unüblich (daher verwirrend).


    Außerdem benutzt ein trace nicht zwingend den Weg, den Mail nehmen würde. Dafür gibt es für Mail zu viele zusätzliche Optionen. Der Mail-Weg wird vom Router ermittelt (periodische Ermittlung mit Tabellen). Der Verbindungsaufbau z.B. für Replikation oder Passtrough-Sessions wird anders ermittelt.


    Deine Formulierung "Netzwerksegment" macht mich etwas stutzig: wie sehen die Notes Netzwerke im Serverdokument der 5 Server aus? Alle im selben? Notes Netwerke haben nicht zwingend etwas mit der physikalischen Infrastruktur zu schaffen, lediglich das gleiche Protokoll und eine permanent verfügbare Verbindung sind Voraussetzung. Das kann durchaus (wenn auch eher unüblich) auch über WAN, NAT etc. sein.



    Zitat

    Auch der Punkt, dass sich Clusterserver nicht über Passtrough verbunden sein dürfen war mir nicht bekannt! Ist das sicher??


    Nun das ist ziemlich simpel erklärt: Da Voraussetzung für alle Server im Cluster das gleiche Notes Netzwerk (DNN) ist und Voraussetzung für das gleiche DNN wiederum eine permanente, nicht geroutete Verbindung mit dem gleichen Protokoll darstellt ist eine Durchgangsverbindung (weil ja geroutet) per Definition eigentlich ausgeschlossen.


    Erschwerend und diffus wird das ganze wenn man sich vorstellt, daß jede Änderung an jedem Server automatisch per Clusterreplikator an 4 weitere Server übertragen wird. Da zumindest der 5er Server nur via Passtrough erreichbar ist heißt das, daß die Daten an mindestens 2 Server doppelt übermittelt werden müssen - zumindest versucht es der Clusterreplikator. Jenachdem in welcher Reihenfolge gepusht wird ist die Änderung aber schon auf anderem Weg dort angekommen...verwirrend.


    Zitat

    wäre es also sinnvoll zwei Cluster, eins für jedes Netzsegment, zu bilden!?


    Das wäre anhand der Beschreibung die mit Sicherheit sinnvollste Variante.


    Allerdings - wie Micha schon schrieb - ohne der 5er. Es kann sowieso kein anderer die Faxfunktionen übernehmen.