yurij
Lt. Commander
- Registriert
- Jan. 2008
- Beiträge
- 1.058
Wer Exchange hinter dieser ISA Firewall betreibt kennt wahrscheinlich das Problem:
ISA meldet "Ein nicht SYN Packet wurde verworfen, weil keine verbindung zu Quelle bestand, blah blah"
Microsoft handelt dabei strikt nach IP Protokoll, wie schön... für Microsoft, nicht aber für Mailserver-Betreiber.
Denn ca 10% des Emailverkehrs erreicht unseren Mailserver nicht, weil ISA meint bei "verspäteten Paketen" oder sogenannten "Impatien Clients" sofort alles zu blockieren. Viele wichtige Emails, versendet von unseren Kunden erreichen uns einfach nicht.
Das Verhalten lässt sich nicht abstellen, ich überlege langsam ISA rauszuschmeissen und auf der angeblichen Sicherheit von ISA (ist das teil überhaupt sicher?) zu verzichten. Dann muss halt Cisco Router mit SPI für ein bisschen Sicherheit sorgen. Aber Emailverbindungen einfach zu kappen, wodurch uns dadurch eventuell Aufträge entgehen, und das weil sich ein Packet um paar Milisekunden verspätet?
Das Problem ist Microsoft bekannt, es gibt ein ganzes KB Artikel darüber, was aber nicht drin steht, wie man das Problem löst. Schon das ganze Net durchsucht, es gibt ganz wenige Seiten wo das Problem überhaupt korrekt identifiziert wird, leider keine einzige Lösung. Vermuttlich lässt sich in ISA dieses "verbindung-closen-du-kommst-nicht-rein" Verhalten garnicht umkonfigurieren.
ISA meldet "Ein nicht SYN Packet wurde verworfen, weil keine verbindung zu Quelle bestand, blah blah"
Microsoft handelt dabei strikt nach IP Protokoll, wie schön... für Microsoft, nicht aber für Mailserver-Betreiber.
Denn ca 10% des Emailverkehrs erreicht unseren Mailserver nicht, weil ISA meint bei "verspäteten Paketen" oder sogenannten "Impatien Clients" sofort alles zu blockieren. Viele wichtige Emails, versendet von unseren Kunden erreichen uns einfach nicht.
Das Verhalten lässt sich nicht abstellen, ich überlege langsam ISA rauszuschmeissen und auf der angeblichen Sicherheit von ISA (ist das teil überhaupt sicher?) zu verzichten. Dann muss halt Cisco Router mit SPI für ein bisschen Sicherheit sorgen. Aber Emailverbindungen einfach zu kappen, wodurch uns dadurch eventuell Aufträge entgehen, und das weil sich ein Packet um paar Milisekunden verspätet?
Das Problem ist Microsoft bekannt, es gibt ein ganzes KB Artikel darüber, was aber nicht drin steht, wie man das Problem löst. Schon das ganze Net durchsucht, es gibt ganz wenige Seiten wo das Problem überhaupt korrekt identifiziert wird, leider keine einzige Lösung. Vermuttlich lässt sich in ISA dieses "verbindung-closen-du-kommst-nicht-rein" Verhalten garnicht umkonfigurieren.