Forefront TMG – Windows Server 2008 R2 SP1 und der RPC-Filter – Teil II

Hallo Leutz,

in meinem ersten Posting berichtete ich von Problemen mit Forefront TMG und Windows Server 2008 R2 SP1 in Verbindung mit dem RPC Filter und Exchange Server 2010:
http://www.it-training-grote.de/blog/?p=4350
Weiterhin steht die Aussage des TMG Teams, dass Windows Server 2008 R2 SP1 voll von TMG und UAG supported wird. Bisher gibt es in den Technet Foren auch wenig Klagen. Ein “Bug” ist aber bereits bekannt und erkannt:
http://social.technet.microsoft.com/Forums/en-US/Forefrontedgegeneral/thread/05a3d0f8-9a50-414a-870c-347f35650e6b
Das SP1 stellt den Zustand wieder her, dass Forefront TMG Server 16 Minuten zum Reboot benoetigen, Abhilfe schafft die Community Loesung bis ein Fix verfuegbar ist:
sc config isactrl depend= RasMan/SSTPSVC/FwEng/ISASTG/bfe/mpssvc/HTTP
Desweiteren gibt es noch einen Workaround fuer die Installation des Windows Server 2008 R2 SP1 in Verbindung mit NLB, aber das sehe ich weniger als Bug an, eher als die Notwendigkeit das Readme zu lesen πŸ™‚
Zurueck zum Thema RPC: Ich hatte gestern und heute die Gelegenheit zu ermitteln, ob das Windows Server 2008 R2 SP1 auf dem TMG Server wirklich fuer die RPC Probleme mit Exchange verantwortlich ist. Wir haben gestern und heute bei einem Kunden einen zusaetzlichen TMG Knoten ohne Windows Server 2008 R2 SP1 in das Array eingebunden und heute Nachmittag auf diesen Knoten umgeswitcht und siehe da: Es funktioniert weiterhin nicht mit diversen Outlook Zugriffen (Public Folder Zugriffe (Handler ungueltig), oeffnen von Anhaengen in E-Mails etc.). Nach einigen Tests haben wir jetzt ein geaendertes RPC Verhalten von Windows Server 2008 R2 SP1 auf Exchange 2010 in Verbindung mit TMG in Verdacht. Der Kunde hat alle Exchange Server 2010 auf Windows Server 2008 R2 SP1 aktualisiert und der Forefront TMG RPC Filter kommt scheinbar nicht mit einem moeglichen geaenderten RPC Verhalten auf den Exchange Servern klar, wenn die Outlook Zugriffe ueber TMG Netzwerke und Firewallregeln gesteuert werden. Wir haben als Workaround den RPC-Filter deaktiviert und eine entsprechende Access Rule von den Outlook Clients der verschiedenen Domaenen und Subnetze erstellt, welche die RPC Zugriffe auf das Exchange CAS Array ohne den RPC-Filter ermoeglicht. Das funktioniert einwandfrei. Zur Zeit ist die Firma SecureGUARD (Danke an Markus Grudl) dabei, das Problem nachzustellen und ggfs. bei Microsoft zu eskalieren. Weitere Infos folgen, wenn neue Erkenntnisse vorliegen.

Gruss Marc