понедельник, 17 мая 2010 г.

Интернет почта через Edge Transport в Exchange 2010

Недавно обнаружил, что в сети нет достаточно подробных инструкций по настройке сервера Exchange 2010 на работу с внешней почтой. В данной статье я постараюсь как можно более подробно и доступно описать процесс настройки Exchange Server 2010 для работы с внешней электронной почтой через Edge Transport Server.

Для того чтобы сделать действительно полный Step-by-Step Guide, давайте рассмотрим процесс настройки внешней почты с самого начала. Как правило, данный процесс состоит из трех основных этапов:


1. Регистрация доменного имени предприятия;
2. Настройка MX записи на DNS сервере, обслуживающем доменное имя;
3. Настройка Exchange сервера на работу с внешним доменом.
На первом пункте мы останавливаться не будем, т.к. у подавляющего большинства компаний уже есть свое доменное имя в сети Интернет, а те, у кого ещё нет, могут легко его купить у любого регистратора (например, RU-CENTER http://www.nic.ru/). Зарегистрировав доменное имя, вам нужно будет найти и прописать в настройках домена, по крайней мере, два DNS сервера, которые будут его обслуживать, это также можно сделать у регистратора, либо воспользоваться бесплатными DNS-серверами (например, http://freedns.ws/ru/).
Первый этап пройден, теперь у провайдера нужно получить статический IP-адрес для своей организации и можно переходить ко второму этапу – настройке MX-записи на DNS сервере, обслуживающем внешний домен. Запись типа MX (Mail Exchange - почтовый сервер) определяет почтовый сервер, который будет обрабатывать почту для вашего домена.
Редактируем зону на DNS сервере следующим образом:
1. Регистрируем А-запись, например mail.firma.ru и указываем для неё внешний IP-адрес, на котором опубликован сервер Exchange;
2. Регистрируем MX-запись и указываем для неё имя хоста - mail.firma.ru.
Примечание: Если вы только что создали зону для вашего домена, то не думайте, что ping firma.ru будет сразу указывать на нужный IP,  может потребовать довольно продолжительное время для того, чтобы все DNS сервера Интернета «узнали» о внесенных изменениях.
Чтобы проверить правильность сделанных настроек нужно воспользоваться командой nslookup следующим образом:
1. Проверяем MX-запись домена (к примеру, mail.ru):
nslookup -type=mx mail.ru
В результате, мы узнали, что почта на mail.ru ходит через хост mxs.mail.ru.
2. Проверяем IP-адрес хоста mxs.mail.ru:
nslookup mxs.mail.ru 8.8.8.8
Примечание: В данном примере мы проверяем, что «знает» о хосте mxs.mail.ru не наш локальный DNS-сервер, а DNS сервере Google`a (8.8.8.8).

Рис.1: Проверка MX-записи.
Если все настроено правильно и MX-запись вашего домена резолвится во внешний IP-адрес вашего сервера, то можно приступать непосредственно к настройке Exchange`a.

Публикация сервера Exchange

Есть два варианта публикации сервера Exchange в сети Интернет:
1. Сервер с ролью Hub Transport находится в локальной сети предприятия и публикуется в Интернет через корпоративный Интернет шлюз;
2. На шлюзе публикуется сервер с ролью Edge Transport, который располагается в DMZ-зоне и пересылает почту на локальный Hub Transport.
В данной статье будет рассмотрен второй и наиболее правильный (на мой взгляд) вариант публикации сервера Exchange. Возможным минусом данной схемы является то, что вам необходимо будет приобрести дополнительную лицензию на Exchange Server 2010 и установить дополнительный Windows Server 2008.
Примечание: Чтобы сэкономить на лицензии Windows Server и на аппаратном обеспечении, малые и средние организации могут поставить роль Edge Transport прямо на шлюз под управлением Threat Management Gateway (TMG), такая конфигурация официально поддерживается компанией Microsoft, поэтому так мы и сделаем (на ISA-сервер поставить Edge не получится). Подробнее про установку Exchange 2010 Edge Transport на TMG можно прочитать тут - http://www.alexxhost.ru/2010/04/exchange-server-2010-edge-server.html.
В результате, схема нашей организации Exchange будет выглядеть следующим образом:

Рис.2: Схема организации Exchange.
Процесс инсталляции серверов и ролей Exchange 2010 я рассматривать в этой статье не буду, т.к. ни чего сложного в этом нет и данная тема, уже не однократно описывалась в других источниках. Давайте основное внимание уделим конфигурированию.

Коммутация почты через Edge Transport

Перед тем как начать настройку, давайте разберемся, как будет происходить взаимодействие пограничного транспортного сервера (Edge) с локальным транспортным сервером концентратором (Hub). Данная тема подробно описана в статье MS Exchange 2007/2010 - Edge Subscription (http://www.alexxhost.ru/2011/05/ms-exchange-20072010-edge-subscription.html) и из этой статье можно сделать вывод, что основой для взаимодействия данных транспортных серверов является пограничная подписка (Edge Subscription). О том, как она делается мы и поговорим далее.

Настройка сетевых параметров Edge Transport сервера

Перед тем, как оформлять подписку нужно правильно настроить сетевые параметры на сервере с ролью Edge Transport. Напомню, что в данном сценарии он не включён в доменную структуру предприятия, находится в DMZ-зоне и расположен на одном сервере с TMG (не забудьте правильно настроить правила на TMG для отправки/получения почты). Исходя из данного сценария, рекомендуется сделать следующие настройки:
1. Получить у провайдера и установить на внешнем интерфейсе сервера IP-адрес (на который указывает ранее настроенная MX-запись), маску, шлюз и адреса DNS серверов провайдера;
2. Если у вас в DMZ-зоне нет своего DNS-сервера, то нужно прописать в файл hosts в папке \%Systemroot%\System32\Drivers\Etc сопоставление имени Hub Transport сервера с его IP-адресом, т.е. добавить в конец файла строчку вида 192.168.0.10 hub.domain.local;
3. На интерфейсе, смотрящем в локальную сеть предприятия установить IP-адрес и маску. Шлюз вписывать НЕ нужно;
4. Настроить имя и DNS-суффикс компьютера, как показано на рис.4. (потом изменить эти настройки не получится);

Рис.4: Настройка DNS-суффикса сервера.
5. На локальном DNS сервере создать А-запись, указывающую на IP-адрес Edge-сервера.
В результате Edge сервер должен уметь резолвить адреса Интернета и адрес сервера с ролью Hub Transport, а Hub Transport сервер, в свою очередь, должен знать, как найти Edge-сервер по его FQDN-имени (для проверки можно использовать команды ping и nslookup).

Оформление Edge Subscription

Как уже говорилось выше, компьютер, на котором установлена роль пограничного транспортного сервера, не имеет доступа к Active Directory. Все сведения о конфигурации и получателях хранятся в экземпляре служб облегченного доступа к каталогам (AD LDS) Active Directory. Данную службу заранее придется установить, как показано на рис.5.

Рис.5: Установка службы облегченного доступа к каталогам (AD LDS).
Для выполнения задач, связанных с поиском получателей, пограничному транспортному серверу требуются данные, которые находятся в Active Directory. Эти данные синхронизируются с пограничным транспортным сервером с помощью EdgeSync. EdgeSync представляет собой коллекцию процессов, выполняемых на компьютере с ролью транспортного сервера-концентратора (Hub Transport) для организации односторонней репликации сведений о получателе и конфигурации из Active Directory в AD LDS на пограничном транспортном сервере (Edge Transport).
После установки AD LDS и правильной настройки сетевых параметров можно приступать к конфигурированию совместной работы Edge и Hub Transport серверов. Для этого оформим Edge Subscription следующим образом:
1. На сервере c ролью Edge Transport  выполним команду:
New-EdgeSubscription –FileName c:\edge_subscr.xml

Рис.6: Создание Edge Subscriprion.
2. Полученный файл edge_subscr.xml скопируем на локальный Hub Transport сервер;
3. Зайдем в консоль управления Exchange -> раздел Конфигурация организации -> действие New Edge Subscription

Рис.7: Создание Edge Subscription на сервере Hub Transport.
4. Выберем необходимый сайт AD и XML файл подписки. Не забудем оставить включенной галочку для автоматического создания отправляющих коннекторов.
5. После завершения работы мастера, будут созданы коннекторы отправки, и через некоторое время будет выполнена синхронизация с сервером Edge Transport. Чтобы не дожидаться сеанса синхронизации, его можно выполнить вручную командой:
Start-EdgeSynchronization

После успешного создания пограничной подписки, необходимо настроить сам Exchange сервер на работу с получателями.

Создание Accepted Domain и E-mail Address Policy

Обслуживаемый домен (Accepted Domain) — это любое пространство имен SMTP, для которого организация Microsoft Exchange отправляет и принимает электронную почту. В связи с тем, что имя внешнего домена у нас отличается от локального (firma.ru и domain.local), необходимо на уровне организации добавить обслуживаемый домен firma.ru, с той целью, чтобы сервер Exchange смог с ним работать.
Для этого перейдем на уровень конфигурирования организации -> Hub Transport -> Accepted Domain.

Рис.11: Создание нового обслуживаемого домена.
В мастере заполним отображаемое имя обслуживаемого домена, впишем сам домен и укажем, что домен будет Authoritative, т.к. почтовые ящики получателей будут находится в этом SMTP домене.
Для того, чтобы пользователь мог получать и отправлять почту через обслуживаемые домены, ему необходимо создать дополнительные адреса электронной почты, делается это с помощью политик адресов электронной почты.
E-mail Address Policy создаются на уровне организации в свойствах роли Hub Transport, выбором действия New E-mail Address Policy…

Рис.12: Добавление E-mail Address Policy.
Политику нужно применить ко всем типам получателей, без каких либо фильтров, привязать к нужному FQDN имени (как показано на рис.12) и указать в расписании немедленное выполнение (Immediately). В результате, политика адресов электронной почты (E-mail Address Policy), будучи привязанной к доверенному домену (Accepted Domain), автоматически создаст соответствующие адреса электронной почты всем получателям, к которым она применена.
Примечание: Создание дополнительных адресов у получателей происходит не сразу, поэтому, чтобы не ждать, вы сами можете добавить e-mail адрес в свойствах почтового ящика, либо выполнить командлет Update-EmailAddressPolicy.
Вы должны создать две политики – одну для домена firma.ru, другую для domain.local. В результате, каждый получатель в организации будет иметь по 2 e-mail адреса, причем в качестве обратного адреса, будет использоваться тот, который принадлежит политике с меньшим номером приоритета.
На этом работа с сервером Hub Transport завершена и можно переместиться на Edge Transport.

Возможные проблемы

На этом базовая настройка Exchange Server 2010 на работу с внешней почтой через сервер Edge Transport, расположенный в DMZ-зоне предприятия, закончена. Следующим шагом будет проверка отправки и получения этой почты. Если по каким либо причинам почта не отправляется, либо не принимается, то я посоветовал бы для начала выполнить следующие шаги:
1. Воспользоваться мастером Remote Connectivity Analyzer, расположенном в меню Toollbox. Данный мастер отправит вас на страничку http://testexchangeconnectivity.com/, с которой можно произвести тестирование многих сервисов Exchange`a.
2. Посмотреть очередь сообщений Toolbox -> Queue Viewer с той целью, чтобы определить, на какой стадии зависло письмо. Данная утилита может показать не только очередь сообщений, но также текст последних ошибок, которые произошли с конкретной очередью и заголовки писем, находящихся в ней.
3. Команда telnet YourServer 25 поможет вам проверить, доступны ли ваши сервера для приема почты.
4. Если в Queue Viewer вы обнаружили проблемы связанные с DNS, то скорее всего вы не правильно настроили сетевые параметры интерфейсов, либо неверно отредактировали файл hosts.
5. Также, для Edge Transport сервера можно указать адреса DNS-серверов, отличные, от тех, которые установлены на сетевых интерфейсах, делается это в меню Properties выбранного сервера – вкладки Internal DNS Lookups и External DNS Lookups.
6. На коннекторах необходимо проверить вкладки Network, Authentication и Permission Group.
7. После внесенных изменений на Hub Transport`e не забывайте выполнять синхронизацию (Start-EdgeSynchronization).
8. Если ничего из выше озвученного не помогает, то можно посмотреть в сторону анализа логов системы, подробнее об этом тут - http://technet.microsoft.com/ru-ru/library/aa998617.aspx.

Заключение

Мы рассмотрели основные настройки, которые необходимо сделать, чтобы почтовая система вашей организации начала работать с внешним доменом через выделенный сервер с ролью Edge Transport. В следующих статьях мы поговорим про то, как защитить эту почты от спама и вирусов.

52 комментария:

Анонимный комментирует...

Добрый день. У меня nlb из двух серверов установлен exchange 2010 транспорт, fpe и tmg. Спам фиьтруется, но вот в оснастке fpe в разделе incidents показываются только письма которые incident category virus, а остальных не видно. Spam logging включен.

Анонимный комментирует...

похоже дело было в порядкуе установки ( я ставил exchange и fpe при работающем tmg). Установил заново при остановленном tmg. Иниденты стали записываться.

Алексей Богомолов (Alexx) комментирует...

Здорово, что все разрешилось ещё до того, как я увидел вопрос :)

Ann комментирует...

Все сделано, но почему то почта не принимается, хотя по локальной сети все уходит и приходит, в интернет отправляется. Но вот с Интернета приема нет.
Коменда nslookup -type=mx
выдает информацию в которой вообще не содержится строки mail exchenger, хотя соответствующая запись создана в зоне dns провайдера. Не понятно в чем проблема.

Алексей Богомолов (Alexx) комментирует...

Воспользуйтесь сервисом http://www.nettools.ru/tests/ для проверки настроек DNS. Если зона отредактирована недавно, то возможно ваш DNS сервер ещё не обновил о ней информацию. + посмотрите веб-каст http://www.alexxhost.ru/2010/10/exchange-2010.html

Анонимный комментирует...

Алексей, спасибо за работу!
Было бы замечательно, если Вы в этой инструкции отменили галочку, которая создает необходимые коннекторы автоматически и создали бы их сами. Но Вы так не поступили, поэтому есть вопрос по коннекторам -
При описанной Вами конфигурации для правильного и успешного потока писем требуется 6 коннекторов, указанных на иллюстрации.
Понятно почему автоматический созданный на Edge сервере Receive Connector отвечает за коннекторы 1 и 5 (на иллюстрации) - он находится на самом Edge сервере и он принимает "почту" со всех адресов, будь то "Интернет" адреса или адреса того предприятия к которому принадлежит сам Edge.
Так же, судя по Properties, понятно почему Send коннектор "Inbound to Default-First-Site-Name" отвечает за коннектор 2 на иллюстрации и Receive коннектор на Hub сервере отвечает за 3 на иллюстрации.
Однако, судя по Properties, не понятно почему Send Connector "Default-First-Site-Name to Internet" отвечает не только за 6, но и за 4 коннектор на иллюстрации.
Логично рассуждая (и зная, что при внутренней маршрутизации Exchange сам создает "implicit" коннекторы), можно предположить, что Hub, приняв письмо на отправку "наружу", берет этот коннектор, и видя что в свойствах этого коннектора в "Source Server" указан некий Edge, отправляет письмо ему. Но если мое предположение правильно, то как в этом примере Hub отправляет письмо Edg'у? А если мое предположение не правильно, то каким образом Hub отправляет письма, не имея ни одного Send Connector'а, где он был бы указан в качестве "Source Server"?
Спасибо!

Алексей Богомолов (Alexx) комментирует...

Спасибо за внимательное прочтение статьи, на самом деле очень приятно когда появляются хорошие вопросы.
По теме:
>"не понятно почему Send Connector "Default-First-Site-Name to Internet" отвечает не только за 6, но и за 4 коннектор на иллюстрации."
Дело все в том, что если вы откроете этот коннектор на HUB`e то заметите что там есть вкладка "Исходный сервер" (Source Server) где и указан Edge, именно эта настройка отвечает за то, что данный соединитель связан с другим транспортным сервером.

Анонимный комментирует...

То-то и оно, Алексей! В указанном Вами предприятии Hub держит в своих руках письмо, направленное "наружу", и понимает что:
а) В организации НЕТ ни одного Send коннектора, который бы позволял этому Hub'у отправлять письма наружу (Т.е. нет ни одного Send коннектора, у которого в свойствах Source Server был бы указан этот Hub)
б) ЕСТЬ один коннектор, который отправляет письма "наружу", но он "приклеплен" к Edg'у (в Source Server указан Edge сервер).
в) Единственная возможность передать письмо адресату "наружу" - это как-то передать его Edg'у, у которого есть коннектор на отправку в Инет.

И вот, Алексей, я всё нигде не могу найти внятного описания, как Exchange поступает в таком случае - Как Hub переправляет письмо Edg'у? Ведь коннектора между ними нет.

Если не совсем понятно, то вот еще один взгляд на тот же вопрос, но с другой стороны: Отдельный коннектор Edge > Hub есть (Inbound to Default-First-Site-Name), а отдельного коннектора Hub > Edge нет!

Алексей, спасибо за быстрый ответ! Не ожидал.

Алексей Богомолов (Alexx) комментирует...

>Как Hub переправляет письмо Edg'у
Здесь имеет место быть внутрисайтовая маршрутизация сообщений. Дело в том, что внутри сайта AD Exchange имеет свою собственную таблицу маршрутизации, которой и пользуется при пересылке сообщений в другие сайты и внутри сайта.
Скоро здесь будет статья опубликована на тему маршрутизации сообщений, там я постараюсь прояснить этот момент более подробно.

Анонимный комментирует...

С низоты моей осведомленности в Exchange 2010, все таки позволю себе сказать: Похоже, что так оно и есть. Так как ясности по этому вопросу в моей голове до сих пор нет, немного напрягает implicit маршрутизация, которая может перенаправлять письма на standalone сервер, единственной информацией о котором является только имя, взятое из свойств коннектора (ну и IP адрес). В AD (проверял поиском) - абсолютно ничего об Edg'е нет.
И еще одно, Алексей. Получается, что в данной статье есть неточность - Send Connector "Default-First-Site-Name to Internet" хоть и имеет определенное отношение к построению маршрута на Hub'е, но задачи, возложенные на 4 коннектор на иллюстрации, не выполняет. Или я глупость сейчас сказал?
P.S. Только поймите правильно - я не пытаюсь Вас обидеть или специально выискать неточности. И все мои сегодняшние комментарии можете удалить. Просто хочется разобраться, а ваша статья к моему вопросу подходит максимально. Буду дальше читать, гуглить, и ждать обещанной статьи. С уважением!

Алексей Богомолов (Alexx) комментирует...

Конечно же я ни чего удалять не буду. Более того, я с вами согласен, нужно подробнее расписать этот вопрос. Когда я писал статью, то был уверен, что схематического описания процесса достаточно. Но раз возникают подобные вопросы, то копну чуть глубже и через пару дней будет апдейт этой статьи.

Unknown комментирует...

Добрый день! Подскажите пожалуйста а как настроить работу Exchange 2010 имея только 1 сервер (т.е. 1 лицензию) и сервер TMG отдельный. Т.е. можно обойтись без Edge Transport. И если Да - то какие изменения будут в настройке?

Алексей Богомолов (Alexx) комментирует...

Без Edge`a обойтись можно, изменений практически ни каких:
1. Не будет подписки
2. на TMG надо будет опубликовать сам HUB.

Unknown комментирует...

Алексей а можно по подробнее выложить инструкцию настройки при условии 1 сервера и физически и лицинзионно и выход наружу через TMG. Не могу заставить почту уходить наружу.

Алексей Богомолов (Alexx) комментирует...

Свяжитесь со мной по электронной почте, порешаем. Отдельно такую статью выкладывать не вижу смысла.

Анонимный комментирует...

Спасибо большое за статью, Алексей.
расскажите пожалуйста как должны быть настроены сетевые карты? возможно в связи с этим,нужно вносить еще какие то изменения,поделитесь опытом

Анонимный комментирует...

"Спасибо большое за статью, Алексей.
расскажите пожалуйста как должны быть настроены сетевые карты? возможно в связи с этим,нужно вносить еще какие то изменения,поделитесь опытом "

Простите за поспешность... совсем забыл о предисловии,как быть если edge отличная машина от tmg т.е почтовый трафик приходит сначала на наш "трафик инспектор" затем на edge ну а потом уже на транспорт сервер

Анонимный комментирует...

Если пользователь подключается к почте извне (из интернета) и пытается отправить письмо на адрес, не входящий в обслуживаемые домены, то получает от EDGE отлуп Relaying Denied. В MDaemon у меня было включена опция, чтобы клиентам, прошедщим авторизацию позволяли отправлять куда угодно. Как поступить тут? Люди жалуются, а я не знаю что сделать.

Алексей Богомолов (Alexx) комментирует...

Тут весь вопрос в том как "пользователь подключается к почте извне (из интернета)"?
Я правильно понимаю, что речь о POP3/SMTP подключении?

Анонимный комментирует...

Уже прочитал кучу материалов, изучил все ваши видео Алексей.. но блин.. никак не могу догнать в чем проблема.. есть сервер ексченж и другой с ролью edge с tmg... все настроил как описано.. синхра есть между серверами.. письма приходят.. без проблем.. проблема с отправкой... если я включаю чтобы отправлять письма через сервер с tmg то они там застревают с ошибкой dns relay. сейчас отправляет главный, в нем прописан шлюз на сетевой tmg. так все работает.. включена работа через pop3. всего у меня 2 коннектора...
EdgeSync - Default-First-Site-Name to Internet и EdgeSync - Inbound to Default-First-Site-Name в конфигурации организации и 2 в настройке серверов Client EX01 и Default EX01. в чем может быть мой косяк? заранее спасибо

Алексей Богомолов (Alexx) комментирует...

Сколько сетевых интерфейсов и какой сервер dns использует Edge?

Анонимный комментирует...

2 интерефейса. внешний и внутренний. использует сервер dns провайдера, пробовал даже dns сервер гугла

Алексей Богомолов (Alexx) комментирует...

на Edge`e выполните:
1. nslookup -type=mx mail.ru
2. telnet ns5.mail.ru 25

Анонимный комментирует...

[PS] C:\Windows\system32>nslookup -type=mx mail.ru
╤хЁтхЁ: ns2.comcor.ru
Address: 212.45.2.5

Не заслуживающий доверия ответ:
mail.ru MX preference = 10, mail exchanger = mxs.mail.ru

mail.ru nameserver = ns1.mail.ru
mail.ru nameserver = ns5.mail.ru
mail.ru nameserver = ns4.mail.ru
mail.ru nameserver = ns2.mail.ru
mail.ru nameserver = ns.mail.ru
mail.ru nameserver = ns3.mail.ru
mxs.mail.ru internet address = 94.100.176.20
ns.mail.ru internet address = 217.69.129.230
ns.mail.ru AAAA IPv6 address = 2a00:1148:1:1322::1:c0de
ns1.mail.ru internet address = 94.100.179.159
ns1.mail.ru AAAA IPv6 address = 2a00:1148:1:1311::1:a002
ns2.mail.ru internet address = 94.100.186.189
ns2.mail.ru AAAA IPv6 address = 2a00:1148:1:1322::1:a003
ns3.mail.ru internet address = 94.100.179.93
ns3.mail.ru AAAA IPv6 address = 2a00:1148:1:1311::1:a001
ns4.mail.ru internet address = 94.100.178.100
ns4.mail.ru AAAA IPv6 address = 2a00:1148:1:1310::1:b0de
ns5.mail.ru internet address = 217.69.129.241
ns5.mail.ru AAAA IPv6 address = 2a00:1148:1:1322::1:a002

Анонимный комментирует...

telnet ns5.mail.ru 25
25: сбой подключения

Анонимный комментирует...

разобрался... на edge сервере если зайти в свойства почему то не стояло откуда брать внешние dns. спасибо

Анонимный комментирует...

Рано я радовался... Возник другой вопрос. все кто подключен через pop3 к серверу не могут получать письма извне... т.к. нет на главном сервере галочки анонимный доступ.. т.к. работает через edge... т.е. сейчас у меня получается почта через тмг пропускается напрямую в ексченж.. минуя все спамфильтры... как то это нехорошо. Как можно это испраить?

Алексей Богомолов (Alexx) комментирует...

А что вам мешает направить почту с TMG на EDGE-сервер?

Анонимный комментирует...

у меня tmg стоит на edge сервере... как ее туда направить?

Анонимный комментирует...

может я неправильно описал ситуацию конечно.. суть в том что почта ходит отлично через едж... все работает.. но есть задача подключить клиентов по pop3 а для этого нужно опубликовать протоколы на tmg. т.к. на edge нет службы pop то к нему не может клиент законектиться.. приходится пробрасывать на главный сервак.. тогда уже тупит почто из инета.. так как на главном серваке не стоит галочка анонимные пользователи.. если ставлю почта работает но не через edge. а напрямую.. спама много

Алексей Богомолов (Alexx) комментирует...

Вы что именно пробрасываете на HUB? Вам надо пробросить до HUB`a только POP3, проброс SMTP оставить на Edge!

Анонимный комментирует...

Пробрасываю pop и smtp. Если я выключаю правило smtp либо прописываю его вместо habа на edge (т.е. на самого себя т.к. tmg и edge стоит на одном компе). то проверка подключения у клиента pop проходит а smtp нет. спрашивает логин с паролем.. хотя все данные правильно введены.

Алексей Богомолов (Alexx) комментирует...

Попробуйте на Edge`e на Receive Connector`e установить галки Basic Authentication и Windows Integrated Authentication.

Анонимный комментирует...

Тоже самое(( не проходит

Роман комментирует...

Добрый день, Алексей.
Очень признателен за Вашу статью, она помогла мне с нуля настроить интернет почту в моей организации, правда на 2007 Exchange. Поэтому смело можете дополнить статью, что она подходит и для более ранней версии Exchange. Единственное что хотелось бы добавить (говорю исключительно по Exchange Server 2007, так как с 2010 дел не имел)так это то, что почта не принималась из вне пока на коннекторе получения не убрал протокол TSL. Кстати сервис www.testexchangeconnectivity.com говорит про 2 ошибки при выполнени проверки исходящего SMTP:
1. IP-адрес х.х.х.х не имеет PTR-записи в службе DNS.
2. Попытка найти SPF-запись с помощью запроса DNS-записи TEXT. Анализатору ExRCA не удалось найти SPF-запись.
Но почта при этом нормально ходит, что порекомендуете?

Алексей Богомолов (Alexx) комментирует...

1. Вам надо позвонить провайдеру, который предоставляет вам IP адрес и попросить зарегистрировать в обратной зоне DNS PTR-запись
2. SPF-запись не является необходимой, но желательно её иметь. Как создать правильную SPF смотрите тут http://www.openspf.org/SPF_Record_Syntax

Анонимный комментирует...

Добрый день!
У меня вопрос... Уже всю голову сломал...
На сервер Exchange 2010 не приходят письма с mail.ru
Причем не приходят только со вложениями, и отправленные из веб-интерфейса меила. Если его (маил) настроить в оутлуке - все летает. Уже бошку сломал. Могу привести лог, если понадобится.

Алексей Богомолов (Alexx) комментирует...

Пишите на электронную почту, будем разбираться. Кусок лога получения подобного письма с Receive Connector`a очень желателен.

Unknown комментирует...

Добрый день Алексей.
Спасибо за очень полезную статью. По ней я настроил свою почтовую систему. Но есть у меня несколько вопросов, на которые я в ней не нашел ответов.
Так как в нашей почтовой системе реализована система CAS-arraay + EDGE, я не могу понять что указывать на TMG в качестве опубликованного внутреннего веб-сайта в правилах для ActiveSync и Outlook Anywhere? И какой при это надо указывать сертификат?

Алексей Богомолов (Alexx) комментирует...

Вам нужно указывать имя cas-массива. В сертификате должно быть внешнееи имя хоста (куда будут подключаться пользователи) и имя autodiscover.firma.ru

Анонимный комментирует...

Добрый день Алексей.
У меня возникла ситуация связанная с LDAP..
В моей организации стоят два сервера Пограничный Edge (serverTMG) и локальный Exchange (SRE.SFERA.COM).При выполнении завершающей команды синхронизации - Start-EdgeSynchronization –TargetServer servertmg –Server sre выводится ошибка сервер LDAP не доступен на сервере serverTMG, что это может означать??? Порылся на форумах нашел ответ, что ошибка может быть связана с одинаковыми сертификатами, но у меня разные сертификаты...

Алексей Богомолов (Alexx) комментирует...

А порт у вас TCP 50636 открыт?

Unknown комментирует...

А как быть в такой ситуации:
Изначально Edge на TMG был основным mx'ом, а теперь же Cisco IronPort основной mx, а Edge дополнительный.
Планируется использовать Edge только для отправки писем, на получение он должен быть закрыт (может быть открыт при нештатном поведении основного mx).
Отключение штатного Default internal receive connector приведет как я понимаю к невозможности обмена почтой между Hub и Edge и не даст возможность отправлять письма в Инет через Edge.

Unknown комментирует...

Алексей, добрый день!
Прошу Вашей помощи! у меня 2 сервера Exchange 2010 - с ролью hub и с ролью edge. Настроены сервера были в июне. Сейчас мы эти сервера мигрировали на новую виртульную платформу - изменились ip адреса и шлюзы сети. После перенастройки не работает синхронизация между серверами.
При попытке синхронизировать с сервера с ролью hub - выходит ошибка:

[PS] C:\Windows\system32>Start-EdgeSynchronization
Не удалось подключиться к службе синхронизации EdgeSync.
+ CategoryInfo : ReadError: (:) [Start-EdgeSynchronization], EndPointNotRegi
+ FullyQualifiedErrorId : FD79A281,Microsoft.Exchange.Management.EdgeSync.SyncNowTask

При тестировании, выходит следующая ошибка:
Test-EdgeSynchronization
RunspaceId : 54ba4d70-1f66-45be-88b8-53c0a8d26e00
SyncStatus : Failed
UtcNow : 30.10.2013 6:01:21
Name : mail-edge
LeaseHolder : CN=MAIL-HUB,CN=Servers,CN=Exchange Administrative Group (FYDIBOHF23SPDLT),CN=Administrati
ve Groups,CN=ERC,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=erc,DC=loc
LeaseType : Option
FailureDetail : Истек срок аренды EdgeSync. Это может указывать, что службы EdgeSync не работают на транс
портных серверах-концентраторах в сайте подписки.
LeaseExpiryUtc : 12.10.2013 14:51:22
LastSynchronizedUtc : 12.10.2013 14:21:22
TransportServerStatus : Skipped
TransportConfigStatus : Skipped
AcceptedDomainStatus : Skipped
RemoteDomainStatus : Skipped
SendConnectorStatus : Skipped
MessageClassificationStatus : Skipped
RecipientStatus : Skipped
CredentialRecords : Number of credentials 3

Алексей Богомолов (Alexx) комментирует...

Я правильно понимаю, что вы пересоздали подписку?

Unknown комментирует...

Решил проблему переустановкой роли edge.
Дело в том, что перестал работать AD LDS, как следствие синхронизация не выполнялась, пришлось переустановить роль ad lds с предварительным удалением роли edge transport.

Victor Sh комментирует...

Алексей, добрый день.
Стоят два сервера: Edge и Transport Hub. До сегодняшнего утра все работало. Сейчас вижу, что нарушена связь между серверами из-за того, что кончился срок действия сертификата (ов) взаимодействия серверов.
Как правильно в этом случае решить проблему?

Алексей Богомолов (Alexx) комментирует...

Перевыпустить сертификат, потом пересоздать подписку.

Алимов Александр комментирует...

Алексей здравствуйте.
Помогите пожалуйста.
Заменил EDGE на новый. Отписал старый подписался к новому. Почта ходит, но не работает фильтрация по списку IPBlockListProvider. В логе agentlog нет записей о том что spamcop отклонил письмо (хотя спам идет)
Фильтры включенны, провайдеры прописанны, тест выдает это:
[PS] C:\>Test-IPBlockListProvider -Identity bl.spamcop.net

cmdlet Test-IPBlockListProvider at command pipeline position 1
Supply values for the following parameters:
IPAddress: 8.8.8.8

Provider ProviderResult Matched
-------- -------------- -------
bl.spamcop.net {} False

Алимов Александр комментирует...

Вот настройки:
[PS] C:\>Get-IPBlockListConfig


Name : IPBlockListConfig
MachineEntryRejectionResponse : External client with IP address {0} does not have permissions to submit to this server.
Visit http://support.microsoft.com/kb/928123 for more information.
StaticEntryRejectionResponse : External client with IP address {0} does not have permissions to submit to this server.
Enabled : True
ExternalMailEnabled : True
InternalMailEnabled : False
AdminDisplayName :
ExchangeVersion : 0.1 (8.0.535.0)
DistinguishedName : CN=IPBlockListConfig,CN=Message Hygiene,CN=Transport Settings,CN=First Organization,CN=
Microsoft Exchange,CN=Services,CN=Configuration,CN={D003EB43-09B3-4973-BD26-B60BB6C3469
A}
Identity : IPBlockListConfig
Guid : 0c6fed37-c02a-4f13-9648-0f24be6db9d7
ObjectCategory : CN=ms-Exch-Message-Hygiene-IP-Block-List-Config,CN=Schema,CN=Configuration,CN={D003EB43
-09B3-4973-BD26-B60BB6C3469A}
ObjectClass : {top, msExchAgent, msExchMessageHygieneIPBlockListConfig}
WhenChanged : 01.10.2014 16:22:54
WhenCreated : 01.10.2014 16:22:54
WhenChangedUTC : 01.10.2014 12:22:54
WhenCreatedUTC : 01.10.2014 12:22:54
OrganizationId :
OriginatingServer : localhost
IsValid : True




[PS] C:\>Get-IPBlockListProvider

Name LookupDomain Priority
---- ------------ --------
zen.spamhaus.org zen.spamhaus.org 2
bl.spamcop.net bl.spamcop.net 1
cbl.abuseat.org cbl.abuseat.org 3
dul.ru dul.ru 4


[PS] C:\>

Алексей Богомолов (Alexx) комментирует...

Александр, с ходу не подскажу в чем тут может быть проблема, надо разбираться...

Stils комментирует...

Здравствуйте! С удовольствием читаю ваш сайт, очень помогает в работе. Очень нужен ваш совет - не знаю как сделать правильно. Сейчас у нас один сервер Exchange и один провайдер, хотим заключить договор со вторым, как в таком случае настроить Exchange, ведь 2-й провайдер даст другой ip.

Отправить комментарий