У меня возникают предупреждающие события EventID 3033 «Server ActiveSync» на нашем сервере Exchange 2003 SP2, описанном в KB905013 (см. ниже), по-видимому, из-за таймаутов брандмауэра.
Сервер Exchange находится за брандмауэром на основе Red Hat Enterprise Linux 5.4 iptables, но я не знаю, какие настройки нужно проверить, чтобы убедиться, что тайм-аут HTTP (S) установлен не менее 15 минут, как описано в статье.
Может ли кто-нибудь сказать мне, где находятся настройки, влияющие на тайм-ауты брандмауэра iptables в Linux, и как я могу их изменить?
Далее следует ошибка журнала событий:
Event Type: Warning
Event Source: Server ActiveSync
Event Category: None
Event ID: 3033
Date: 08/10/2009
Time: 10:42:35
User: <REMOVED>
Computer: <REMOVED>
Description:
The average of the most recent [200] heartbeat intervals used by clients is less than or equal to [540]. Make sure that your firewall configuration is set to work correctly with Exchange ActiveSync and direct push technology. Specifically, make sure that your firewall is configured so that requests to Exchange ActiveSync do not expire before they have the opportunity to be processed. For more information about how to configure firewall settings when using Exchange ActiveSync, see Microsoft Knowledge Base article 905013, "Enterprise Firewall Configuration for Exchange ActiveSync Direct Push Technology" (http://go.microsoft.com/fwlink/?linkid=3052&kbid=905013).
Проведя некоторое расследование, насколько я могу видеть, тайм-аут сетевого фильтра Linux по умолчанию для «установленных» TCP-соединений при использовании модуля «состояние» для разрешения УСТАНОВЛЕННЫХ подключений составляет 5 дней, что намного больше 15 минут, рекомендованных Microsoft:
http://www.frozentux.net/ipsysctl-tutorial/chunkyhtml/netfilterreference.html
3.7.8. ip_ct_tcp_timeout_established Переменная ip_ct_tcp_timeout_established сообщает нам значение тайм-аута по умолчанию для отслеживаемых соединений в состоянии ESTABLISHED. Все соединения, которые завершили начальное трехстороннее рукопожатие и не получили никаких пакетов FIN, считаются УСТАНОВЛЕННЫМИ. Другими словами, это более или менее состояние по умолчанию для TCP-соединения.
Поскольку мы никогда не хотим, чтобы соединение было потеряно с обеих сторон брандмауэра netfilter, этот тайм-аут установлен очень большим, поэтому мы случайно не удалим все еще используемые записи. По умолчанию для переменной ip_ct_tcp_timeout_established установлено значение 432000 секунд или 5 дней.
Поэтому я собираюсь изучить другие варианты, поскольку может быть другой брандмауэр, вызывающий тайм-ауты.
Спасибо тем, кто все равно помогал!