Bredbånd fra Canal Digital, Microsoft Exchange, TCP port 135 [SOLVED]

[tonyreed]

Heisann,

Jeg har nettopp gått over til bredbånd fra Canal Digital.

 

CD påstår hardnakket at ingen porter er blokkert, men jeg kommer ikke gjennom på port 135, som er RPC port for å innlede kommunikasjon med exchange server.

Jeg kommer ghjennom på andre porter, i tillegg til reguær ping.

 

Jeg har verifisert at port 135 faktisk er åpen ved å bruke http://www.t1shopper.com/tools/port-scanner/ i tillegg til at mine kolegaer klarer å kjøre portscanner mot server.

 

Lurte på om det var andre som hadde problem med port 135.

 

Vil helst ikke poste server ip addresse online, men kan ta det i PM dersom noen andre ønsker å teste.

 

Alt av råd mottas med takk, exchange webmail er ikke akkurat nyttig.

 

Edit: 2009.03.06

Fikk til slutt mail fra CD der de sier at ded faktisk blokkerer port 135, til tross for hva de tidligere hadde sagt.

Endret 6. mars 2009 av tonyreed

[nutts]

Hei

 

Jeg kan godt teste for deg.

 

Du er sikker på att du ikke må koble opp med VPN for å få kontakt med Exchange serveren?

[tonyreed]

100%

Har snakket lenge om at vi burde få satt opp Vpn.

 

Sender deg en PM om 2 strakser.

 

Hadde vært fint å få verifisert at den er a) Åpen b) Den ikke kan nås fra CD og c) Den kan nås fra via andre ISPer.

[formann]

Jeg har satt opp en del exchange servere. Noen som står mot andre servere, mot lokale maskiner, smartphones og noen mot bærbare over internet (RPC over HTTP). Det jeg aldri har gjort, er å benytte port 135 til noe av dette.

 

Er det noe helt spesielt du forsøker å gjøre med exhange siden du trenger port 135?

[tdipower]

Jeg håper virkelig ikke du er redd for dataen din... å åpne for RPC på denne måten rett ut på internett... ja hva kan jeg si.

 

Hvilken versjon Exchange er det snakk om?

 

[Edit]

og siden jeg ser du skriver at exchange webmail ikke er nyttig skjønner jeg at du bruker en pre2007 exchange..

Endret 4. mars 2009 av tdipower

[tonyreed]

Vil absolutt ikke påstå at oppsettet er optimalt.

Heller omvendt faktisk.

 

Såvidt jeg har funnet ut bruker excgange port 135 til å innledw kommunikasjon med klient.

 

Er forresten en brannmur før man kommer fram.

 

Videre kommunikasjon skjer på tilfeldige porter tror jeg.

Er ikke akkurat mitt felt.

Men noen porter må åpnes, ellers er det like godt å nappe ut nettverkskabelen.

 

 

 

 

Kommer om kort tid til å kutte ut in-house mail.

 

Inntil det skjer må jeg enten bruke webmail mens jeg er hjemme, og få synket kalender og mail fra kontoret - eller finne ut hvoefor jeg ikke klarer å koble til exchange via Cd.

[formann]

Vil absolutt ikke påstå at oppsettet er optimalt.

Heller omvendt faktisk.

 

Såvidt jeg har funnet ut bruker excgange port 135 til å innledw kommunikasjon med klient.

 

Er forresten en brannmur før man kommer fram.

 

Videre kommunikasjon skjer på tilfeldige porter tror jeg.

Er ikke akkurat mitt felt.

Men noen porter må åpnes, ellers er det like godt å nappe ut nettverkskabelen.

 

 

 

 

Kommer om kort tid til å kutte ut in-house mail.

 

Inntil det skjer må jeg enten bruke webmail mens jeg er hjemme, og få synket kalender og mail fra kontoret - eller finne ut hvoefor jeg ikke klarer å koble til exchange via Cd.

 

Over nettet er det port 443 som blir brukt om man kjører RPC over HTTP. En av grunnene til at dette er at port 443 svært sjeldent er stengt uansett hvor man befinner seg i verden.

 

Om du har en server på innsiden av router må du forwarde port 443 til exchange serverens IP.

Er det en SBS eller stand alone Exchange?

Å sette opp RCP over HTTP kan være litt knot. Er du sikker på at exchange er satt opp riktig?

 

EDIT: Ser nå at problemet er å kontakte serveren på jobben hjemme i fra.

 

Har du testet at det fungerer for andre, eller om det fungerer når du er andre steder en hjemme?

Kan du legge ut et screenshot av instillingene du har under proxy settings i outlook?

Endret 4. mars 2009 av formann

[tonyreed]

Nei, det kan jeg ikke si.

Har ikke vært involvert.

 

Er derimot 10+ andre brukere fordelt på det dobbelte ip addresser som ikke har problem med å koble til exchange.

Clienter som er i bruk er en lett blanding av outlook 2003, 2007 entourage og office for mac.

 

Indisiene tilsier det er mine maskiner eller min linje.

Det ene maskinen har ingen problem med hverken powertech linjer eller nextgentel.

Den andre har bare vært innom nextgentel tidligere.

 

Jeg vet ikke om problemet er port 134 eller noe annet.

Vet bare at jeg ikke kommer gjennom på den, og at den blir omtalt som location ettellerannet i forbindelse med exchange.

Samme port er bekreftet åpnet gjennom brannmur.

[formann]

Nei, det kan jeg ikke si.

Har ikke vært involvert.

 

Er derimot 10+ andre brukere fordelt på det dobbelte ip addresser som ikke har problem med å koble til exchange.

Clienter som er i bruk er en lett blanding av outlook 2003, 2007 entourage og office for mac.

 

Indisiene tilsier det er mine maskiner eller min linje.

Det ene maskinen har ingen problem med hverken powertech linjer eller nextgentel.

Den andre har bare vært innom nextgentel tidligere.

 

Jeg vet ikke om problemet er port 134 eller noe annet.

Vet bare at jeg ikke kommer gjennom på den, og at den blir omtalt som location ettellerannet i forbindelse med exchange.

Samme port er bekreftet åpnet gjennom brannmur.

 

Ok, så om andre får sittet hjemme og syncet vet vi at oppsett på server og brannmur er i orden. Med mindre de andre kobler til nettverket på jobben via VPN da.

 

For at du hjemme skal kunne koble deg til trenger du ikke gjøre noe i router. En vanlig hjemmerouter har alle porter åpne fra innsiden og ut.

 

Det som står igjen er oppsettet i din Outlook klient. Når man kjører RPC over HTTP så må klienten settes opp på en spesiell måte, ellers fungerer det ikke.

Du må aktivere "Connect using HTTP" og under proxy settings må du spesifisere URL.

 

feks: https://mail.jobben.no

[tonyreed]

Må fortsette på denne i morgen,

Dama sover på samme rom som pcen.

 

Får ikke testet på telefonen. ;-)

Slår meg som rart at en og samme maskin klarer seg bra på ngt og powertech nettverk men må omkonfigureres for å koble til via Cd.

Takk for input hittil.

[formann]

Må fortsette på denne i morgen,

Dama sover på samme rom som pcen.

 

Får ikke testet på telefonen. ;-)

Slår meg som rart at en og samme maskin klarer seg bra på ngt og powertech nettverk men må omkonfigureres for å koble til via Cd.

Takk for input hittil.

 

 

Aha, så du har prøvd den andre steder med hell. Med RPC? Ingenting endret av instillinger siden det?

 

Med mindre it-avdelingen deres har et svært sært oppsett skal det fungere over alt. Port 443 er tross alt samme port som brukes av https, så den porten kan ikke ISP stenge. Lite heldig om ingen av kundene får brukt nettbanken sin

 

Dette var svært mystisk.

 

Om du får de som har satt opp serveren til å komme med litt info i morgen så blir det litt lettere å finne ut hva som er problemet.

[tonyreed]

Jada, er kun via Canal Digital jeg ikke kommer inn.

 

Sitter for øyeblikket på Powertech nå. Outlook 2007 er oppe, kommunikasjonen med Exchange er på plass.

 

Angående "connect via http" og proxy.

Har ikke hatt behov for det, men har lagt inn servernavn i hosts og lmhosts filene for å simulere lokalnettverk.

Skal teste litt på det når jeg er tilbake på CD i kveld.

 

 

/Tony

[tonyreed]

Jankee skal ta en test på port 135.

Han sitter som meg på CD i Oslo, blir interessant å se om han kommer gjennom.

Må innrømme at jeg håper han ikke kommer gjennom, selv om det hadde vært mye lettere å fikse dersom det er kløning fra min side.

[formann]

Jankee skal ta en test på port 135.

Han sitter som meg på CD i Oslo, blir interessant å se om han kommer gjennom.

Må innrømme at jeg håper han ikke kommer gjennom, selv om det hadde vært mye lettere å fikse dersom det er kløning fra min side.

 

Kan du fortelle meg hvorfor port 135 er så viktig?

 

Den porten skal/burde ikke ha noe med Exchange sync over nettet å gjøre.

[tonyreed]

Som det står i dokumentet under

Microsoft Exchange System Attendant

"135 & other RPC - All core Exchange services require the Microsoft Exchange System Attendant."

 

http://technet.microsoft.com/en-us/library...(EXCHG.65).aspx

 

Som sagt jeg vet ikke at mitt problem stammer fra at jeg ikke kommer gjennom der, men all research tyder på at det trengst.

[Jankee]

Tok ein portscan med nmap og fekk resultatet: filtered.

ZenMap http://nmap.org/zenmap/

 

Men sidan eg sjølv bruker outlook mot ein exchange og det fungerer, så sjekka eg opp med It-avdelinga på jobben korleis vår bedrifts exchange er satt opp.

Og her dukka port 443 opp. Så dei har flytta init-porten frå 135 til 443 for RPC.

Det fungerer også for canal digital-linjer og alle andre plasser eg har sitte som konsulent.

 

Så om det er CD som filterere pakker som skal mottakere for port 135 eller om det blir routa til feil exchange (aka CD sin) kan eg ikkje uttale meg om, men at det ligger eit eller ann der er ingen tvil om.

 

Edit:

Testa også ved å kjøre igjennom jobbens VPN og då kom det også filtert opp:

135/tcp filtered msrpc

Endret 5. mars 2009 av Jankee

[formann]

Som det står i dokumentet under

Microsoft Exchange System Attendant

"135 & other RPC - All core Exchange services require the Microsoft Exchange System Attendant."

 

http://technet.microsoft.com/en-us/library...(EXCHG.65).aspx

 

Som sagt jeg vet ikke at mitt problem stammer fra at jeg ikke kommer gjennom der, men all research tyder på at det trengst.

 

Det å koble opp mot exchange fra kontoret og hjemme i fra er to veldig forskjellige ting.

 

Det står ikke noe om RPC over HTTP i dokumentet du linker til. Tenk på hva RPC over HTTP betyr... ja, man bruker https/443

 

Glem hele port 135. Jeg tror neppe it-avdelingen deres er så dumme at de router all trafikk på port 135 rett inn til exchange serveren deres. Det ville ikke fungert uansett, for telenor/Canal Digital sin DNS har ikke filla peil på hva som er hva i deres interne domene.

 

Funker webmail/OWA og nettbank? Ja, så er alt i orden med portene hos deg.

 

Jeg har fortsatt ikke sett noe screenshot av proxy instillinger, men hvis du synes det er viktigere å teste port 135 så vær så god.

[tonyreed]

Jeg har aldri vært på samme lan som Exchange server.

Den står i Kristiansand, jeg jobber fra Oslo.

 

Som sagt jeg har aldri hatt behov for å gå via http, dvs port 443.

Sender deg en PM med dump connection settings.

[formann]

Jeg har aldri vært på samme lan som Exchange server.

Den står i Kristiansand, jeg jobber fra Oslo.

 

Som sagt jeg har aldri hatt behov for å gå via http, dvs port 443.

Sender deg en PM med dump connection settings.

 

Fra et kontor i Oslo? Da er det vanlig at det settes opp en VPN-tunell.

 

Men, om du har fått outlook sync til å fungere andre steder med oppsettet du sendte meg på PM så begynner jeg å lure. Spesielt med tanke på sikkerthet, for da går all autentisering og data i klartekst over nettet.

 

Bruk av port 135 i denne (og alle andre sammenhenger) er lite smart. Porten er ofte sperret grunnet sårbarheter Windows 2k, XP og 2003. Blandt annet for å sperre netsend og ormer. De fleste husker sikkert ormen Netsky? Den som restartet pc´n hele tiden.

 

Valgene dine er:

Koble til via HTTP (Krever at server er satt opp for det)

Få opp en VPN-tunell

Bytte ISP (Til en som ikke har sprerret port 135)

Send server admins på exchange kurs

[tonyreed]

Vi kommer om kort tid til å slutte å hoste egen mail, blir deilig å få outsourcet hele den delen.

Kommer nok til å få satt opp en tunnell uansett da vi kjører en del andre ting der det hadde vært en fordel.

 

Det mest irriterende med denne saken er at CD påstår at de ikke sperrer noe.