Adgang til exchangeserver fra extern klient via vpn-tunnel

Det kunne lyde som om der mellem klienten og netværket filtreres på en eller anden måde. måske mangler du at give adgang til IMAP trafik i routeren

Prøv at tilføje serverens IP-adresse og servernavn i hosts filen (C:\WINDOWS\system32\drivers\etc\hosts)

>bufferzone: Det er jo ligemeget når den kører igennem VPN!

nheilbuth >> Det kommer jo an på om det er routeren, der laver VPN tunnel, eller om klient PC'en er endepunkt! ;o)

...Under alle om stændigheder er der noget MAPI trafik, der tilsyneladende ikke kommer frem til serveren. (Eller tilbage...?)

Når du laver NSLOOKUP på din klient, hvilken DNS server, er så din Primære? (TCP/IP settings)

Jeg er nu også sikker på at det er MAPI (RPC) Bufferzone mante. Bare fordi man kører VPN betyder det ikke at der er åbnet for al trafik. For at teste det kan danmarlin prøve et værktøj der hedder RPCPing. Det kræver at man starter en lille utility på serveren og så afviklet et lille værktøj fra klienten. RPCPing findes på Exchange CD'en og der kan læses lidt om det her:
http://support.microsoft.com/kb/q167260/
Dét kan nemlig teste om RPC trafik bliver tilladt gennem VPN tunellen.

nheilbuths forslag er nu også et udemærket skud. For at se om det er løsningen, skal din bruge prøve at pinge serveren (med det navn som der står angivet i din Outlookkonfiguration). Hvis dette resulterer i en forkert IP vil hosts filen være et godt sted at starte :)

Det er stadig ligemeget. Hvis PC'en er endepunkt skal routeren være sat til at tillade IPSec passthrough, og så kommer alle typer trafik på VPN direkte igennem!
Jeg tror snarere det er et DNS problem, derfor forslaget med at tilføje i hosts!

nheilbuth>Det behøver det bestemt ikke at være, alle de VPN installationer jeg laver, filtreres VPN forbindelsen også. Ingen tilgang til nettet uden det sker gennem en firewall, heller ikke via vpn

Ja ok, det er selvfølgelig muligt at sætte det op på den måde.

Jeg har prøvet at sætte servernavn og IP ind i lmhosts-filen.
Når jeg bruger nslookup får jeg korrekt min servers navn og ip tilbage.
Jeg kan både pinge server-ip samt navn med korrekt svar.
vpn-forbindelsen er lavet på routeren. En ganske simpel forbindelse, netop for at udelukke problemer med denne.
Jeg har ikke åbnet for andre porte i routeren, end dem som default er åbne. Er der evt. nogen speciel port der skal åbnes til exchange ?
Det lyder bare lidt underligt i mine ører, når nu der er opnået adgang til serveren og domænet.

som standard bruger imap port 443, så den skal åbnes hvis du anvender exchange server. Over internettet bruges normalt POP3 og smtp med portene 110 og 25, men overlan er det normalt port 443 der er i spild

Måske en manglende PRT record i din DNS...

Prøv venturer's forslag med at RPC-ping'e... Så finder du måske fejlen!

jeg har nu åbnet de poste som bufferzone skriver, uden positivt resultat.
Jeg går nu igang med at prøve venturers forslag og se hvad jeg får ud af det.

Jeg blev lige distreheret. Fandt et notat hvor der blev anbefalet at opgradere til SP1 på exchange. Dette er nu gjort MEN det virker stadig ikke. ØV
Jeg har forsøgt at finde værktøjet RPCPing både på Exchange 2003 server og small business server 2003 men jeg kan ikke finde det nogen steder.
Kan venturer evt. specificere lidt mere ?
Jeg bliver nødt til at lave noget andet nu, men jeg vender tilbage igen i morgen tidlig hvis der skulle være andre bud på løsning.

Jeg huskede forkert. RPCPing kan du finde her:
http://www.microsoft.com/downloads/details.aspx?displaylang=en&familyid=9d467a69-57ff-4ae7-96ee-b18c4790cffd

Download og installer rktools.exe.

Ja, nu har vi så haft en ekstern konsulent til at kigge på problemet.......SUK han kunne heller ikke finde løsningen. Ifølge ham fungerer det hele perfekt (det havde jeg jo sådan set også selv konstateret). Vi har haft fat i D-link som ikke mener at routeren har et problem med exchange.
Det eneste som virker underligt er, at når vpn-tunnelen er etableret kan man pinge serveren fra clienten, men man kan ikke pinge clienten fra serveren.
Der er intet galt i DNS og iøvrigt på netværket, men måske nogen har et bud alligevel.
Hvis der iøvrigt sidder nogen der idag kører exchange via en DI-824VUP+, så må de meget gerne svare på denne tråd.

...man kan blokerer for ping, ud mod klienterne gennem ICF (Internet Connection Firewall)... Og gennem din ISA server, som ligger på SBS.

Har du prøvet at følge med i hvad der sker, i ISA "monitor"? (Live event log)

Nu stod jeg lige af. Hvad er ISA server ?

Der ligger ISA (Internet Security & Acceleration) Server på din SBS. (Så vidt jeg ved...)

Den fungere som Firewall på din SBS server. Deri findes et gange fortrinligt stykke værktøj, til at overvåge trafiken ud og ind af serveren! ;o)

Nu har jeg kigget på serveren under programmer efter ISA og her findes ikke noget. Heller ikke under windowsprogrammer som ikke er installeret og ej heller under services. Hvis den skulle være der ved jeg ikke helt hvor jeg skal finde den.
Søger jeg i hjælpen kan jeg godt nok se hjælp til opsætning af ISA, men ikke noget om hvor den bør ligge.

Er der ikke noget der hedder "Server Manager" på en SBS?

Der burde den ligge

Nu har jeg kigget alle steder under server manager, der er ingen ISA

ISA Server er med i SBS premium edition, ikke i SBS standart edition!

Tak for svaret nheilbuth. Jeg stopper straks med at lede.
I går havde vi så en ekstern IT-ekspert til at kigge på problemet her på stedet. Han måtte også smide håndklædet i ringen. Kunne simpelhen ikke se hvad problemet er. Han har sat masser af vpn-routere op med access til Exchange, og mente til sidst at problemet måtte ligge i routeren eller vpn-clienten.
Jeg er nu kommet dertil at jeg tager fat i D-Link og hvis de ikke kan hjælpe med at finde ud af hvad problemet er.........ja, så bliver D-Link skrottet.

okay! My bad! Det var jeg ikke klar over! ;o)

nheilbuth >> Tak for info! ;o)

Velbekomme!

Nu har jeg generelt ikke de bedste erfaringer med D-Link, så det lyder som en god idé! Hvis jeg skal anbefale dig et andet mærke, så har jeg rigtig gode erfaringer med Zyxel!

Mysteriet er opklaret...........
Det var vpn-clienten som den var gal med. Efter at have ringet til D-link (hvilket jeg iøvrigt har prøvet flere gange), skruede jeg bissen på og sagde at jeg ikke ville købe noget af deres skrammel mere hvis de ikke kunne give mig en konsulent som kunne løse problemet. VUPTI fik jeg fat i en svensker som udmærket kendte problemet.
Jeg skulle bare gå ud på deres ftp-server og downloade en opgradering til vpn-clienten. Vpn-clienten hedder DS-601 men opgraderingen hedder 102 så det er jo fuldstændig indlysende og meget nemt at finde. Hvorfor de har lagt den på deres ftp-server og ikke på deres offentlige hjemmeside var der ikke noget svar på.
Iøvrigt kunne den kvikke svensker fortælle mig at man aldrig måtte afinstallere vpn-clienten før man havde ogpraderet den hvis man kørte WinXP SP2. Dette ville gøre at maskinen går fuldstændig i kludder. Dejligt at få at vide 2 dage efter man har gjort det og iøvrigt har måttet reinstallere maskinen.
Adressen til ftp-serveren er:  ftp.dlink.se  hvis andre skulle have brug for det.
Søg efter products / ds-products / ds-601 / drivers firmware / dlinkcli102.zip

Jeg har delt point mellem ventura og bufferzone da de var de eneste jeg kunne give nogle. Godt nok kom I ikke med de rigtige svar, men I har gjort en indsats. Også tak til jer andre.

Takker og bukker. Kanont godt feedback du lige kom med der. Er sikker på der er en del (D-Link ejere) der kan drage fordel af det.