Javítsuk meg a semmit

Linux tűzfalat használok (jujj, de ez egy Exchange blog). Évek óta bosszant az Exchange Server Event Logban ez a bejegyzés.

Ha van egy mobil eszközünk, ami az ActiveSync for Exchange-el direct push módban beszélget akkor a kliens nyit egy TCP kapcsolatot a szerver felé, a szerver pedig jó sokáig hagyja várakozni a klienst. Némelyik tűzfal ebbe beleun és lekapcsolja a villanyt idő előtt. Ha ez megtörténik, akkor pakolja a fenti kedves üzenetet az Exchange a logba.

Két lehetőségünk van:

1. Megmondjuk az Exchange-nek, hogy ne várjon addig. Ezt a Program Files\Microsoft\Exchange Server\ClientAccess\Sync\web.config fájlban található heartbeat bejegyzések módosításával érhetjük el. Pontosabban ezekről beszélek: MinHeartbeatInterval, MaxHeartbeatInterval, HeartbeatSampleSize, HeartbeatAlertThreshold

2. Csökkenteni a heartbeat értékeket mégsem célravezető. Inkább a csomagok útjában álló tűzfallal kéne tudatni, hogy várjon vagy 30 percet (ez a Microsoft ajánlás)

Térjünk vissza a linuxhoz. A linuxon az ide tartozó bejegyzések a /proc/sys/net/ipv4 alatt találhatóak. Próbáltam kideríteni, hogy melyekhez kellene hozzányúlni. Végül is találtam erre vonatkozóan egy cikket.

Puff neki, ezek szerint a linux vonatkozó timeout-ja három nap (ennyit a 30 perces ajánlásról). Végig is néztem a sajátom beállításait, és valóban.

Akkor ki a tettes? Láthatóan mostmár senki. Július 5.-e óta megszűntek a bejegyzések. Valaki észbekaphatott valamelyik a mobilok és a tűzfal közötti szolgáltatónál és állítottak valamit.

Probléma lezárva.

6 Comments

  1. Probléma lezárva.

    Méghozzá tipikusan. 😉

  2. Egyébként éppen most zárunk le egy hasonló sztorit, kéthetes szívás után a rendszer váratlanul magától megjavult.
    Ha találok rá valami épkézláb magyarázatot, megírom.

  3. hrongyorgy

    2010-09-02 at 11:46

    Ami azt illeti, a 30 perc nagyon hosszu connection time, ezzel tamadni is lehet a szervert. Erdemes mindenutt olyan 1-2 perc korulire levinni, max 5 perc, mert ennel hosszabbal mar siman ki lehet meriteni a max connection limitet.

  4. Hali,

    Nem értek egyet. Ez DoS ellen megoldás lenne, de arra van jobb:
    http://www.cyberciti.biz/faq/iptables-connection-limits-howto/
    Az activesync-et megöli, DDoS ellen meg ez sem véd meg.

    üdv,
    Zoli

  5. Egyetértek Zolival. Mindegyik direct push technológia úgy működik, hogy a szerver nyit egy jóóóó hosszú http sessiont, aztán ha közben beesik egy levél, akkor értesíti is a klienst. Egyébként pedig nincs forgalom, nincs költség.

Leave a Reply to JoeP Cancel reply