我在 Exchange 2003 SP2 服务器上遇到了 EventID 3033“Server ActiveSync”警告事件,详情请见KB905013(见下文),显然是由于防火墙超时。
Exchange 服务器位于基于 Red Hat Enterprise Linux 5.4 iptables 的防火墙后面,但我不知道要检查哪些设置才能确保 HTTP(S) 超时设置为至少 15 分钟,如文章中所述。
有人能告诉我影响 Linux 中 iptables 防火墙超时的设置在哪里以及如何更改它们吗?
事件日志错误如下:
Event Type: Warning
Event Source: Server ActiveSync
Event Category: None
Event ID: 3033
Date: 08/10/2009
Time: 10:42:35
User: <REMOVED>
Computer: <REMOVED>
Description:
The average of the most recent [200] heartbeat intervals used by clients is less than or equal to [540]. Make sure that your firewall configuration is set to work correctly with Exchange ActiveSync and direct push technology. Specifically, make sure that your firewall is configured so that requests to Exchange ActiveSync do not expire before they have the opportunity to be processed. For more information about how to configure firewall settings when using Exchange ActiveSync, see Microsoft Knowledge Base article 905013, "Enterprise Firewall Configuration for Exchange ActiveSync Direct Push Technology" (http://go.microsoft.com/fwlink/?linkid=3052&kbid=905013).
答案1
经过一番调查,据我所知,当使用“状态”模块允许已建立的连接通过时,Linux netfilter 对“已建立”TCP 连接的默认超时时间为 5 天,远远高于微软推荐的 15 分钟:
http://www.frozentux.net/ipsysctl-tutorial/chunkyhtml/netfilterreference.html
3.7.8. ip_ct_tcp_timeout_established ip_ct_tcp_timeout_established 变量告诉我们处于 ESTABLISHED 状态的跟踪连接的默认超时值。所有已完成初始 3 次握手且未看到任何类型的 FIN 数据包的连接都被视为 ESTABLISHED。换句话说,这或多或少是 TCP 连接的默认状态。
由于我们不希望在 netfilter 防火墙的任一侧丢失连接,因此此超时设置得非常高,这样我们就不会意外删除仍在使用的条目。默认情况下,ip_ct_tcp_timeout_established 变量设置为 432000 秒,即 5 天。
因此,我将研究其他选项,因为可能有另一个防火墙导致超时。
无论如何,感谢那些提供帮助的人!