Forefront TMG – Windows Server 2008 R2 SP1 und der RPC-Filter

Hallo Leutz,

Lt. Aussage von Microsoft ist die Installation von Windows Server 2008 R2 SP1 auf Forefront TMG und UAG offiziell supported (ein offizieller Blogeintrag des ISA/TMG Team von Microsoft folgt noch).
Auf meinen Testmaschinen und meiner produktiven TMG/UAG Appliance von SecureGURAD konnte ich bisher auch keine Probleme feststellen -bis gestern :-(
Bei einem Kunden haben wir auf vier Forefront TMG Enterprise Maschinen (deutsch, aktuell gepatched, EMS verwaltete Array Member mit NLB) Windows Server 2008 R2 SP1 installiert. Die “besondere” Konstellation ist hier, dass die Firewalls zwei Standorte verbinden und drei Windows Domaenen aus Firewallsicht trennen, sprich die Firewalls sind nicht klassische Backend- Frontendfirewalls oder Forward- Reverse Proxy.
Das Exchange Cluster steht in der Ressourcendomaene und die Benutzer aus den drei Domaenen und zwei Standorten greifen per Outlook auf das CAS-Array und den dahinterliegenden DAG Cluster zu. Am naechsten Tag nach der Installation beklagten sich die Anwender des entfernten Standorts, sowie der Subdomaenen in denen kein Exchange Server steht, dass Outlook sich nicht richtig verbindet und der Zugriff auf oeffentliche Ordner teilweise nicht moeglich ist. Im Outlook 2007/2010Verbindungssymbol sah man laufende getrennte und verbundene Exchange Server Verbindungen und einige TCP-Fehler. Wenn der Outlook Cached Mode verwendet wird, kommen auch keine Mails mehr im Outlook an, obwohl Outlook staendig eine korrekte Synchronisation mit dem Exchange Server meldet. Sobald man den Cached Mode ausschaltet, kommen E-Mails wieder an, aber weitere Probleme schlagen auf. Bei dem Versuch auf oeffentliche Ordner von Exchange zuzugreifen kam es teilweise zu Fehlermeldungen, dass ein Clientvorgang fehlgeschlagen sei und beim Aufruf von diversen PDF- und PPT-Dokumenten in oeffentlichen Ordnern kam die Meldung, dass der Preview Handler nicht verfuegbar sei!
In den Logs der Firewall sieht man unzaehlige RPC Fehlermeldungen fuer das Protokoll RPC und etliche blockierte Highport Verbindungen. die Meldung im TMG ist, dass die Verbindung gespoofed waere. Nach etlichen erfolglosen Tests zur Eingrenzung der Problematik sind wir zu der Feststellung gekommen, dass mit Windows Server 2008 R2 SP1 Aenderungen des RPC-Verhalten eingefuehrt wurden, welche mit dem in Forefront TMG enthaltenen RPC-Filter nicht kompatibel sind. ANMERKUNG: Da dies meine erste Windows Server 2008 R2 SP1 Installation auf produktiven TMG Servern in diesem speziellen Szenario ist, kann ich noch keinen eindeutigen Beweis fuer diese Vermutung erbringen, die Symptome sind aber eindeutig und konnten zumindest in diesem Szenario bewiesen werden.
Gruende, warum ich den RPC Filter im Verdacht habe:
Benutzer mit Outlook Postfach in der gleichen Domaene wie der Exchange Server haben keine Probleme
Wenn man an den betroffenen Clients Outlook Anywhere aktiviert und per HOSTS Datei oder DNS FLZ den OA Aufruf auf den FQDN des internen CAS Array legt, funktioniert alles einwandfrei
Wenn man einen neuen Exchange Benutzer mit Postfach anlegt, wird eine OST-Datei erstellt, aber keine Outlook / Exchange Synchronisation durchgefuehrt, Aendert man auch hier das Outlook Profil auf OA funktioniert es.
Wenn OA aktiviert ist erhalten die Benutzer beim Aufruf von oeffentlichen Ordnern im Exchange auch keine Fehlermeldungen mehr

Loesungsansaetze:
Datensicherung der TMG Server zurueckspielen
Windows Server 2008 R2 SP1 deinstallieren
OA aktivieren (Achtung CAS Server Belastung beachten)
RPC Filter in TMG deaktivieren und Zugriffsregel fuer Outlook erstellen ohne RPC-Filterbindung. Hierbei ist zu beachten, dass man je nach Veroeffentlichungsumfang und Funktionsumfang des TMG Servers auch andere Funktionalitaeten verliert!

Bei einem naechsten Termin an einem Wochenende im Maerz werden wir versuchen die Probleme naeher einzukreisen, bis dahin haben wir erst mal einen Workaround fuer die betroffenen User in Form von OA eingefuehrt, da die CAS Server genuegend Power haben :-)   

Ich werde in diesem Blog ueber Updates berichten.

Gruss Marc Grote

5 Responses to “Forefront TMG – Windows Server 2008 R2 SP1 und der RPC-Filter”

  1. Marc Grote Blog» Blog Archive » Forefront TMG und Windows Server 2008 R2 SP1 Says:

    […] jetzt auch die offizielle Aussage vom Forefront Team, dass Windows Server 2008 R2 SP1 auf TMG supported ist: http://blogs.technet.com/b/isablog/archive/2011/03/07/tmg-2010-sp1-and-uag-2010-sp1-are-supported-on-windows-2008-r2-sp1.aspx Bis auf ein bekanntes NLB “Problem” scheint alles supported zu sein. In den Technet Foren sieht es auch noch ruhig aus. Bisher gab es einen Beitrag von einem Poster, welcher schreibt, dass nach der SP1 Installation der TMG wieder 16 Minuten zum Starten der Dienste benoetigt, ich selbst schlage mich zur Zeit mit folgendem Problem rum: http://www.it-training-grote.de/blog/?p=4350 […]

  2. Marc Grote Blog» Blog Archive » Forefront TMG – Windows Server 2008 R2 SP1 und der RPC-Filter – Teil II Says:

    […] TMG und Windows Server 2008 R2 SP1 in Verbindung mit dem RPC Filter und Exchange Server 2010: http://www.it-training-grote.de/blog/?p=4350 Weiterhin steht die Aussage des TMG Teams, dass Windows Server 2008 R2 SP1 voll von TMG und UAG […]

  3. Rune Flo Says:

    Hi Marc, I ran into this RPC filter issue when upgrade our TMG 2010 SP1/RU2 from Windows Server 2008 R2 -> R2/SP1. Thanks to this blog post I was able to get Outlook 2010 (MAPI) clients working across subnets filtered by TMG. For the moment [while waiting for MS to wake up on this] I’ve disabled the TMG RPC filter. Can’t see any reference to this issue in RU3 either.

    Did you ever call PSS on this?
    Any respons from MS?

    \Rune Flo

  4. Marc.Grote Says:

    Hi Rune,

    thanks for your blog entry. No Update from MS regarding this issue.

    Regards Marc

  5. Gunther Schmitz Says:

    Hallo Marc,

    danke für deinen Post. Ich habe ein ähnliches Problem. Wenn ich TMG auf einem 2008R2 incl. SP1 installiere sieht das Fehlerbild wie folgt aus.

    TMG SP1 auf Hyper-V R2 mit 1,86 Ghz 2 CPU und 3 GB Ram

    – Nach dem Booten bis zu 5 Min bis der Desktop geladen ist
    – Nach geladenen Desktop weitere 5 bis das Netzwerk zur Verfügung steht
    – Keine Funktionale Bereitstellung mit Exchange Edge

    Ich habe letztendlich TMG mit der RTM Version installiert und SP1 manuell nachgezogen. Ich habe noch nicht die Edge Rolle installieren können da mir dazu die Zeit gefehlt hat.

Leave a Reply