» ISA+Exchange

Klisha
а чем тебе моя конфигурация не нравиться?
имхо в плане безопасности это намного лучче будет.

вообщем я приблизительно понял в чем проблема... зашел через telnet - пытаЮсь с exch отправить письмо наружу - пишет unable to relay.
в свойствах smtp virtual server стоит все как полагается....
но кто не дает релеить не понятно....

Lamerok
Надо разрешить релееть определнным IP адресам... и все...

Klisha

вообщем снес я exch. оставил пока как было до установки exch . буду ставить на w2k3 e2k3 exch - и пробовать с ним. возможно трабл связан с версией e2k ... Standart Edition не позволяет делать Front End ЕухнологиЮ, тока Enterprise могет....
а с релеем я разобрался.. дело было не в нем

p.s как подберу оптимальнуЮ конфу isa и e2k3 - напишу пошаговуЮ инструкциЮ...

Ниже приведена пошаговая инструкция как установить ISA + Exchange 2003 на одном сервере + настройка публикации OWA ( Outlook Web Access)

Лабораторная работа проводилась на 2003-й платформе. Про работу exch 2000 ничего сказать не могу.

Требования для лабораторной работы

Наличие двух серверов со следующим установленным софтом:
1) Сервер № 1: назовем его dc1.domain.ru. на нем установлен w2k3 Active Directory + Exchange 2003 Standart Edition. Имеем один сетевой интерфейс 192.168.1.1

2)Сервер №2 назовем его isa1.domain.ru. Установлен w2k3 + Exchange 2003 Standart Edition + ISA Server 2000 SP1, FP1. Имеем два сетевых интерфейса 192.168.1.2 (локальный) и 195.195.195.100.200 ( внешний интерфес ISA)

Цель лабораторной работы
1) чтобы все пользователи домена могли получать и отправлять почту Интернет.
2) доступ к почтовому ящику Exchange вне пределах офиса
3) безопасность подключения к Интернет.

Шаг №1 КОНФИГУРАЦИЯ EXCHANGE на isa1.domain.ru

a) Заходим в System Manager. Открываем закладку Servers. Выпадает список из двух серверов: dc1 и isa1. Выбираем isa1 Protocols - SMTP - Default SMTP Virtual Server - Properties - Access - Relay. Далее добавляем ip адрес с которого можно проводить relay. Вводим 192.168.1.1
b) в System Manager открываем свойства сервера ISA1. В закладке General устанавливаем галку "This is a front-end server" Это означает что Exchange на isa1 будет фактически SMTP релеем, Information Store будет хранитьсся на сервере dc1.domain.ru
с) в System Manager открываем свойства сервера ISA1. В закладке Delivery - Advanced - Configure External DNS Server вписываем ip адреса DNS серверов кот. дал провайдер.

На этом конфигурация Exchange на isa1 завершена.


Шаг №2 КОНФИГУРАЦИЯ EXCHANGE на dc1 .domain.ru

a) Заходим в System Manager. Открываем закладку Servers. Выпадает список из двух серверов: dc1 и isa1. Выбираем dc1 Protocols - SMTP - Default SMTP Virtual Server - Properties - Access - Relay. Далее добавляем ip адрес с которого можно проводить relay. Вводим 192.168.1.1.
b) В закладке Delivery - Advanced - Smart Host - вписываем [192.168.1.2] Это означает что всЮ почту dc1 будет пересылать на смарт хост , т.е на exch isa.

На этом конфигурация Exchange на dc1 завершена.



ШАГ №3 НАСТРОЙКА IP packet Filtering в ISA для работы сервиса SMTP

Для того чтобы SMTP на isa работал нормально, т.е , принимал и отправлял почту необходимо создать два правила:
1. smtp inbound ( local port: fixed 25, remote port: all)
2. smtp outbound ( local port : dynamic remote port fixed 25)

Делаем restart сервисов ISA и можно проверять работу почты.

ВНИМАНИЕ !!! Использование технологии Back-end Front -end позволяет избавиться от публикации smtp сервиса локального сервера dc1.domain.ru, что повышает безопасность системы.

Подробнее об этой технологии можно прочитать тут http://www.microsoft.com/downloads/details.aspx?FamilyID=afad8426-572e-40f8-99da-eb7198f374c4&displaylang=en

ШАГ № 4 НАСТРОЙКА IIS для работы с Outlook WEB Access

1. Первым делом необходимо установить Certification Authorty на dc1.domain.ru
Заходим в add or remove programs - add windows components - выбираем Certificate Server.
2. После того как CA установлен необходимо сгенерить сертификат для web site на котором находится OWA:
заходим в IIS на сервере dc1. domain.ru Default Web Site - Properties - Directory Security - Server Certificate - create a new certificate - send a request immeadiately... в Закладке Name and Seurity набираем www.mail.domain.ru ( это та ссылка по которой клиенты из вне будут заходить в OWA) во внешнем DNS domain.ru желательно прописать запись
типа (A) которая будет ссылаться на mail.domain.ru.
Далее... в IIS - Default Web Site - Exchange - Directory Security - Edit - ставим галку Require Secure Chanel ( SSL) Ставим галку require 128 bit encryption
В Autentification and access control убираем anonimous access , оставляем только basic аутентификацию.
Тоже самое проделываем с ExchWeb и Public

3. Перенос сертификатов с dc1.domain.ru на isa1.domain.ru
Для того чтобы заработал SSL необходимо произвести export сгенерированного сертификата с одного сервера на другой. Это можно сделать с помощью mmc - Certificates. Подробности расписывать не буду - операция банальная. с dc1 - export на isa1 провести импорт.

ШАГ №5 НАСТРОЙКА ISA для работы с SSL

1. В свойствах сервсера isa1 в консоли ISA - Properties.
a) Incoming Web Request
Configure listerns individualy rep ip address ставим галку "use a server certificate..." выбираем сгенерированный сертификат.
тип аутентификации Basic - выбираем домен - domain.ru оставляем Windows Integrated аутентификациюю Ставим галку enable ssl listerns и ask autentificated users...
b) Outgoing Web Request
Интегрированная утентификация для всех пользователей.
c) правим файлик hosts . Вписываем туда 192.168.1.1 mail.domain.ru

ШАГ №6 НАСТРОЙКА ПУБЛИКАЦИИ OWA

1. Создаем Destination Set . Называем его OWA
вписываем туда path /exchweb*/exchange* /public*
в destination везде пишем mail.domain.ru
2. Создаем Web Publishing Rule. Используя Destination Set OWA. в закладке action пишем Redirect the requiest tio internal web server пишем mail.domain.ru
Ставим галку "send original host header...."
В закладке Bridging HTTP request as HTTP , SSL as SSL Ставим галку Require SSL 128 bit

НУ вот вроде бы и все.... Рестартуем сервисы и проверяем с внешнего ip обратиться по линку https://mail.domain.ru/exchange. Еcли нет траблов с DNS все должно работать как из пушки.

БЕЗОПАСНОСТЬ

Данная схема подключения обеспечивает работу двух сервисов: SMTP и OWA (по SSL)
При сканировании isa server из вне, наружу торчат только два порта !!!

p.s. я настроил еще маппинг сертификатов. Раздал юзерам и прописал в IIS кто может ходить на OWA а кто нет.

p.p.s. более подробная инфа по публикации OWA http://www.isaserver.org/tutorials/pubowa2003toc.html

Надеюсь что ничего не забыл.
Good Luck & Good Frag's
если что пишите

Такой вопросы.
Есть два сервера
srv1- w2k3 (192.168.0.2), контроллер Active Directory (domain.local), Exchange 2k3, внутренний dns с прописанной прямой зоной domain.local и обратной 0.168.192.......
srv2-w2k3 (A.B.C.D и 192.168.0.1), входит в домен domain.local, ISA 2k, внешний dns с прописанной прямой зоной domain.com и обратной C.B.A.....
1. На каком dns нужно прописывать MX запись.
2. Как правильно опубликовать mail server
3. Как сделать так, чтоб мэйл-сервер идентифицировался как mail.domain.com, а не srv1.domain.local

avital
1. На обоих. На внутреннем для работы из офиса, на внешнем для входящей почты
2. читай пост выше
3. CNAME запись в локальном DNS, и обычная host (A) в DNS провайдера, у которого покупал доменное имя

Все вроде заработало. Но возникла проблема. Закрыл Опен релэй и теперь из-за внешней сети не релэится даже с аутентификацией, т.е. из внутренней сети через оутлук експрес передается почта только с установленной аутентификацией SMTP, а из внешней даже с аутентификацией SMTP пишет Unable to relay. Что за фигня? По-идее должен быть релэй не важно где, внутри сети или снаружи, ничего не пойму?

Может аутентификация происходит по другому протоколу и нужно открыть какой-нить фильтр?

В общем разобрался почему. Оказывается SMTP фильтр в ISA не знает команду AUTH. По-этому ее просто нужно добавить.

Я вообще сделал проще. Установил ИСУ, потом Exchange 2003, на исе открыл пакет фильтры:
1. Протокол ТСР, локальный порт - 25, удаленный порт - все порты
2. Протокол ТСР, локальный порт - динамик, удаленный - 25.
И никаких публикаций.
Все работает на ура.
Если нужно свою почту извне смотреть, соответственные входящие фильтры ставятся.
А вы тут порасписывали на 3 страницы текста.

NEED
Все конечно замечательно, но здесь люди говорят о секьюрном соединении, так что каждому свое.

Привет, народ!

Есть интересная задачка:
Необходимо на Exchange получить логи по отправке и получениЮ почты.

На данный момент MSExchangeTransport сыпет в лог event id 7010 такого содержания:

Цитата:

This is an SMTP protocol log for virtual server ID 1, connection #1. The client at "192.168.0.1" sent a "xexch50" command, and the SMTP server responded with "504 Need to authenticate first ". The full command sent was "xexch50 1904 2". This will probably cause the connection to fail.

For more information, click http://www.microsoft.com/cont

Есть подозрение что некоректно отработывает SMTP Filter....Полностью не уверен...Может и в паблишинге где нить недокрутил...

Конфа моей сети собсно описано в посте выше...

Что порекомендуете?

p.s. SMTPFilterConfiguration.doc не предлагать

Вот-вот. Два поста выше у меня тоже самое было. Надо команды прописать в SMTP фильтре ИСЫ, которые он почему-то после 1-го сервис пака не знает и в все будет ОК.

Често говоря у меня таких проблем вообще нет. Я просто открыл на исе 25 порт, а публикацию почтовика не делал. Все работает как дети в школу

см 5 постов выше. Вот, как ты думаешь, зачем умные люди из мелкомягких придумали публикацию?

avital

Вообще-то публикация придумана для того, чтобы опубликовывать наружу сервисы серверов, находящихся ВНУТРИ сети. Публикацию может заменить обычный порт-меппинг. Конечно, можно сказать, что при публикации все по-другому, типа защищено Исой и все такое, но на физическом уровне это происходит как порт-меппинг, к которому просто прикручены дополнительные правила. Кстати, никто не обратил внимание на то, что у Исы порт-меппинга нет?