Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 8 replies
  • Subscribers 2 subscribers
  • Views 2658 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

2 BES servers

aconover@hinmanstraub.com
Hello,

I'm in the middle of migrating to a new BES server (BES-2).  Until I retire the old BES server (BES-1), I will need 2 BES servers running (both have unique SRPs).

In Astaro I have a packet filter setup as follows:
source - internal network
service - port 3101
destination - any

Also a DNAT setting:
traffic source - any
traffic service - port 3101
traffic destination - external
NAT mode - DNAT
Destination - BES-1

Any user attached to BES-1 works fine, any user attached to BES-2 (which is not part of the DNAT setting) can't send or receive email.

How can I get both working?  Thanks!


This thread was automatically locked due to age.
  • 0
    Hi, aconover, and welcome to the User BB!

    The easiest would have been to transition all of the users at once.  At present, my guess would be that the only solution would be to put an additional address on the External interface and create a second DNAT from it to BES-2.  Then, instruct everyone that they should change to the new address if the old one doesn't work.

    That said, I think you should ask some questions on the BlackBerry® Enterprise Solution - BlackBerry Support Community Forums

    Cheers - Bob
  • 0
    Thank you for the welcome message.

    The transition period takes a bit of time (and testing) it is also difficult for me to schedule down time here.  Do I even need the DNAT setting?  Would the packet filter setting for 3101 be sufficient?
  • 0
    Your packet filter rule only allows outbound traffic from your internal network, so I believe it is not used.  I suspect that you have selected 'Automatic packet filter rule' for the existing DNAT.  In fact, I've not dealt with BES servers, so those are only guesses.

    Without another DNAT, you can't direct the traffic to a second server.  The key here is that the "Traffic selector" - the triplet of "Source -> Service -> Destination" must be unique.  If you are limited to 'Any -> {Service} -> External (Address)', then your other possibility is to change the service in the traffic selector.

    In general, it's a good habit to leave the 'Destination service' filed blank if not changing it.

    Cheers - Bob
    PS The best practice for professional use is not to use another service, but, as per my initial suggestion, to add a new IP, and then create an FQDN that's resolvable in public DNS to your new IP.
  • 0
    First off, thank for your assistance.
    If I disable the packet filter rule then both BES servers cease to function.  BBSRPTest on either server will fail.  After enabling the same rule, BBSRPTest on either server will pass.  According to this Blackberry thread, port 3101 has to be opened for outbound traffic only:
    Change SRP Host port - BlackBerry Forums Support Community
    If that is the case, what is the DNAT rule for 3101 doing for me?
  • 0
    No a DNAT rule won't allow unsolicited outbound traffic.  You would need the firewall rule for this.
  • 0
    Yes, thanks, Scott.  I've added a caveat about my ignorance about BES to my first post above. [:)]

    In fact, I don't know that there's any direct contact from the outside world, so it may indeed be that the DNAT isn't used.  Maybe the issue is that the BES service only allows a single BES server on your account.  Like I said, I suspect the issue is one better answered in the Blackberry forum.

    Cheers - Bob
  • 0 in reply to aconover@hinmanstraub.com
    First off, thank for your assistance.
    If I disable the packet filter rule then both BES servers cease to function.  BBSRPTest on either server will fail.  After enabling the same rule, BBSRPTest on either server will pass.  According to this Blackberry thread, port 3101 has to be opened for outbound traffic only:
    Change SRP Host port - BlackBerry Forums Support Community
    If that is the case, what is the DNAT rule for 3101 doing for me?


    You don't need the DNAT rule.
  • 0
    Thank you all for your comments.  I did remove the DNAT rule and it still didn't work.  I contacted RIM and apparently they gave me the wrong SRP identifier for my new server.  After getting the correct one, bingo, mail flow to both BES servers!

    Cheers