Exchange200 и ISA 2004
Модератор: Модераторы
Сообщений: 14
• Страница 1 из 2 • 1, 2
sis » 25 мар 2005, 14:32
Всем здрасте!
Хотелось бы узнать мнение и рекомендации по решению следующего вопроса:
Есть ISA2004, Exchange200, W2k, в общем нормально функционирующая внутренняя сетка, она (т.е. сеть) подсоединена к Интернету по выделенному каналу, есть реальный внешний домен, "белые" ДНС сервера, на исашке опубликован внутренний экс, на белом днс есть мх запись которая показывает на исашку, все прекрасно работало и работает, как вдруг в один прекрасный день на эксе встала очередь на ххххххх домен не уходит и все тут. через некоторое время приходит письмо, что мол "...я сисоп почтовика куда не уходит почта, поскольку у Вас неправильно все работает, т.е. Ваш почтовик представляется именем ххххххххх, но его мх записи в Вашеи белом днс нет."
я ему пишу ответ, мол типа ищи почтовик по мх записи в днс, а не мх запись почтовика, потому что он стоит за фаерволом, и само собой мх запись в белом днс ссылается на адрес файервола и не на почтовик во внутренней сетке.
он опять письмо написал...., типа вот у рамблера мх запись вот такая хххх, а почтовик представляется вот так хххх, как все правильно, а у Вас нет.
ну не буду же я экс выставлять в интернет!!! рамблер пусть че хочет то и делает, а мне голову потом снимут.
Вот щас сижу и думаю, толи я чегото не допонимаю, толи уже вообще полный лох.
Люди скажите мне че теперь делать?
Хотелось бы узнать мнение и рекомендации по решению следующего вопроса:
Есть ISA2004, Exchange200, W2k, в общем нормально функционирующая внутренняя сетка, она (т.е. сеть) подсоединена к Интернету по выделенному каналу, есть реальный внешний домен, "белые" ДНС сервера, на исашке опубликован внутренний экс, на белом днс есть мх запись которая показывает на исашку, все прекрасно работало и работает, как вдруг в один прекрасный день на эксе встала очередь на ххххххх домен не уходит и все тут. через некоторое время приходит письмо, что мол "...я сисоп почтовика куда не уходит почта, поскольку у Вас неправильно все работает, т.е. Ваш почтовик представляется именем ххххххххх, но его мх записи в Вашеи белом днс нет."
я ему пишу ответ, мол типа ищи почтовик по мх записи в днс, а не мх запись почтовика, потому что он стоит за фаерволом, и само собой мх запись в белом днс ссылается на адрес файервола и не на почтовик во внутренней сетке.
он опять письмо написал...., типа вот у рамблера мх запись вот такая хххх, а почтовик представляется вот так хххх, как все правильно, а у Вас нет.
ну не буду же я экс выставлять в интернет!!! рамблер пусть че хочет то и делает, а мне голову потом снимут.
Вот щас сижу и думаю, толи я чегото не допонимаю, толи уже вообще полный лох.
Люди скажите мне че теперь делать?
GifteD » 25 мар 2005, 17:21
sis
Попроси хостера прописать тебе обратную зону.
+ У тебя белый точно не динамический?
Попроси хостера прописать тебе обратную зону.
+ У тебя белый точно не динамический?
Slim » 25 мар 2005, 20:05
У меня похожая проблема только наоборот. Exchange 2003 стоит за файрволом (2004St SP1) от корпоративной сетки, почтовик опубликован, мх запись имеет ip внешнего интерфейса на проксе, внутри корпоративной сети почта ходит. В интернет уходит, НО из интернета НЕ приходит. В логах пишется что Denied connection для SMTP, но правила которое блокирует не пишется, (разрешающее есть). Как быть, в какую сторону копать?
Ещё в догонку: публикуя DС (DNS) поправили в dns записи верхнего уровня для DC чтоб имел первым ip адрес прокси, но он оттуда удаляется, что мы делаем не так?
Ещё в догонку: публикуя DС (DNS) поправили в dns записи верхнего уровня для DC чтоб имел первым ip адрес прокси, но он оттуда удаляется, что мы делаем не так?
GifteD » 25 мар 2005, 20:23
Slim
MX Запись IP его тебе известно? Оно твое, т.е., как я подозреваю маршрутизатор/фаервол, на нем нужно правило которое вест трафик по 25 порту переводит на хост, где с Exchange.
+ Самая распостроненная ошибка с Exchange 2000 (под рукой 2003, но думаю там принципе теже, хотя....) Не открыт анонимной доступ на Exchange.
MX Запись IP его тебе известно? Оно твое, т.е., как я подозреваю маршрутизатор/фаервол, на нем нужно правило которое вест трафик по 25 порту переводит на хост, где с Exchange.
+ Самая распостроненная ошибка с Exchange 2000 (под рукой 2003, но думаю там принципе теже, хотя....) Не открыт анонимной доступ на Exchange.
sis » 26 мар 2005, 09:55
Господа!!!
Если не трудно давайте все таки попробуем определиться с темой, а именно что делать если мх запись ссылается на файрвол на котором опубликован почтовый сервер, а почтовый сервер, к примеру если к нему телнетится по 25 порту, отзывается своим родныи именем во внутренней сети.
Белый днс нормальный, адреса он не присваивает динамически, проблема вовсе не в этом. А в том что за все время существования, около 5 лет, нашелся один товарищ который обратил на это внимание, и сказал что это неправильно!!!
Если не трудно давайте все таки попробуем определиться с темой, а именно что делать если мх запись ссылается на файрвол на котором опубликован почтовый сервер, а почтовый сервер, к примеру если к нему телнетится по 25 порту, отзывается своим родныи именем во внутренней сети.
Белый днс нормальный, адреса он не присваивает динамически, проблема вовсе не в этом. А в том что за все время существования, около 5 лет, нашелся один товарищ который обратил на это внимание, и сказал что это неправильно!!!
- глобальный каталог
- Активный пользователь
- Сообщения: 323
- Зарегистрирован: 02 фев 2005, 19:30
глобальный каталог » 26 мар 2005, 12:03
>я ему пишу ответ, мол типа ищи почтовик по мх записи в днс, а не мх запись
>почтовика
это как вообще понять? зачем ему искать почтовик, если он пытается проверить соответствие айпишника доменному имени? имо товарищ прав - это обычное дело вообще.
> почтовый сервер, к примеру если к нему телнетится по 25 порту, отзывается
>своим родныи именем во внутренней сети
и чё дальше? у меня тоже так почтовик отвечает, однако всё работает прекрасно :-) внутренний домен совпадает с внешним, у прова есть мх с внутренним именем моего почтовика и айпишником гейта - всё зашибись.
а ты видимо один из любителей организовывать .local домены? :-)
>почтовика
это как вообще понять? зачем ему искать почтовик, если он пытается проверить соответствие айпишника доменному имени? имо товарищ прав - это обычное дело вообще.
> почтовый сервер, к примеру если к нему телнетится по 25 порту, отзывается
>своим родныи именем во внутренней сети
и чё дальше? у меня тоже так почтовик отвечает, однако всё работает прекрасно :-) внутренний домен совпадает с внешним, у прова есть мх с внутренним именем моего почтовика и айпишником гейта - всё зашибись.
а ты видимо один из любителей организовывать .local домены? :-)
GifteD » 26 мар 2005, 14:27
sis
Товарищу привет
Вообще это стандартная схема когда почтовик у тебя в DMZ. Этот товарищ просто проверяет обратную зону. Т.е. ты можешь поступить как я написал выше, все будет нормально.
Хм... телнет, а откуда, из внутренней сети он и отзовется родным IP, что смущает?
глобальный каталог
Скорее не Local, а local.domen.net -непонимаю твоей аппатии по этому поводу. local или что-ть в этом роде делать правильно, это рекомендация microsoft. Но никто не запрещает сделать и назвать так как ты хочешь.
иначе может сложиться ситуация:-
название компании- company, зарегистрировано как company.ru, локальный домен company. Ты берешь хостинг под сайт company.ru. Куда при этом идут обращения из твоей сети при www.company.ru? На контроллер, ты делаешь запись www у себя в ДНС www на внешний... и тоже, проблем никаких нет.
Товарищу привет
Вообще это стандартная схема когда почтовик у тебя в DMZ. Этот товарищ просто проверяет обратную зону. Т.е. ты можешь поступить как я написал выше, все будет нормально.
Хм... телнет, а откуда, из внутренней сети он и отзовется родным IP, что смущает?
глобальный каталог
Скорее не Local, а local.domen.net -непонимаю твоей аппатии по этому поводу. local или что-ть в этом роде делать правильно, это рекомендация microsoft. Но никто не запрещает сделать и назвать так как ты хочешь.
иначе может сложиться ситуация:-
название компании- company, зарегистрировано как company.ru, локальный домен company. Ты берешь хостинг под сайт company.ru. Куда при этом идут обращения из твоей сети при www.company.ru? На контроллер, ты делаешь запись www у себя в ДНС www на внешний... и тоже, проблем никаких нет.
- глобальный каталог
- Активный пользователь
- Сообщения: 323
- Зарегистрирован: 02 фев 2005, 19:30
глобальный каталог » 26 мар 2005, 18:33
>Вообще это стандартная схема когда почтовик у тебя в DMZ
у него наверно нет dmz, поэтому пока боицца :-)
>ты делаешь запись www у себя в ДНС www на внешний... и тоже, проблем
>никаких нет
ты не понял - я про внутренний домен с именем вида company.local, а потом внешний регистрируют на company.ru и плачут как всё плохо :-)))
у него наверно нет dmz, поэтому пока боицца :-)
>ты делаешь запись www у себя в ДНС www на внешний... и тоже, проблем
>никаких нет
ты не понял - я про внутренний домен с именем вида company.local, а потом внешний регистрируют на company.ru и плачут как всё плохо :-)))
sis » 28 мар 2005, 07:02
GifteD
Обратная зона у меня прописана, и белый не динамический.
глобальный каталог
внутренний домен у меня совпадает с внешним. внешние днс сервера в принципе тоже под моим контролем,
>>у прова есть мх с внутренним именем моего почтовика и айпишником гейта - всё зашибись.
единственное отличие насколькоя понял, это то что моя мх запись (внешняя) ссылается на имя гейта и его айпишник.
К примеру, в стандартной схеме конфигурации сервера Exchange2000 через ISA сервер для работы с почтой интернет, есть рекомендации по созданию мх записей на внешних днс серверах, они должны указывать на внешний интерфейс шлюза.
Поэтому я и спрашиваю Вашего совета, что делать в таких случаях?
мх запись указывет на шлюз, сервер представляется по другому (разница только в имени шлюза и почтовика), если сделать так как сделано у глобального каталога, то правильно ли это?
Обратная зона у меня прописана, и белый не динамический.
глобальный каталог
внутренний домен у меня совпадает с внешним. внешние днс сервера в принципе тоже под моим контролем,
>>у прова есть мх с внутренним именем моего почтовика и айпишником гейта - всё зашибись.
единственное отличие насколькоя понял, это то что моя мх запись (внешняя) ссылается на имя гейта и его айпишник.
К примеру, в стандартной схеме конфигурации сервера Exchange2000 через ISA сервер для работы с почтой интернет, есть рекомендации по созданию мх записей на внешних днс серверах, они должны указывать на внешний интерфейс шлюза.
Поэтому я и спрашиваю Вашего совета, что делать в таких случаях?
мх запись указывет на шлюз, сервер представляется по другому (разница только в имени шлюза и почтовика), если сделать так как сделано у глобального каталога, то правильно ли это?
domovoy » 28 мар 2005, 10:41
sis
MX запись во внешних ДНС должна указывать на внешний адрес шлюза это стандартное правило если во внутренней сети применяются "серые" адреса.
При этом соответственно запись в обратной зоне для почтового сервера делается тоже для внешнего адреса шлюза. Для того что бы сервер представлялся правильно, то есть имя сервера в заголовке сообщения соответствовало его записи в прямой и обратной зоне используются поля
Masquerade domain и Fully-qualified domain name в настройках SMTP сервера.
При принятии почты некоторые сервера (как в примере) делают проверку соответсвися MX записи сервера в домене и записи в обратной зоне. Соответсвенно MX запись опредяется по имени домена от которого отправлял почту сервер, поэтому и важно соблюсти правило, что сервер должен представлятся правильно, то есть желательно именем прописанным во внешннем ДНС.
MX запись во внешних ДНС должна указывать на внешний адрес шлюза это стандартное правило если во внутренней сети применяются "серые" адреса.
При этом соответственно запись в обратной зоне для почтового сервера делается тоже для внешнего адреса шлюза. Для того что бы сервер представлялся правильно, то есть имя сервера в заголовке сообщения соответствовало его записи в прямой и обратной зоне используются поля
Masquerade domain и Fully-qualified domain name в настройках SMTP сервера.
При принятии почты некоторые сервера (как в примере) делают проверку соответсвися MX записи сервера в домене и записи в обратной зоне. Соответсвенно MX запись опредяется по имени домена от которого отправлял почту сервер, поэтому и важно соблюсти правило, что сервер должен представлятся правильно, то есть желательно именем прописанным во внешннем ДНС.
Правильно заданный вопрос - это уже половина ответа.
Сообщений: 14
• Страница 1 из 2 • 1, 2
Кто сейчас на конференции
Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 9