Jump to content
Sign in to follow this  
kosta88

Exchange und Domain/DNS

Recommended Posts

Hallo,

ich lerne Exchange und habe begonnen zu lesen, Videos ansehen, Lab bauen...

Bin auch dabei bei MSXFAQ zu lesen, aber das Thema ist ja so riesig, ich wüßte nicht wo ich genau anfangen soll.

 

Nun mache ich den Lab nach MS Empfehlung, internal.lab.com (fiktiver Name) für AD und die lab.com Domäne habe ich bei Godaddy gekauft.

Server sind DC01, EXCH01 (Mailbox) und EXCH02 (EdgeTransport) als VMs auf meinem Heimrechner (kein AD).

 

Was ich hier fragen möchte, ob ich Domain-seitig und DNS-seitig alles soweit korrekt gemacht habe:
1) internal.lab.com ist AD-Forest (übliche Default-Einstellungen)

2) lab.com ist eine weitere primäre Zone am DC01 (Dynamic Updates aus)

3) im DNS am DC01 in der Zone lab.com habe ich 3 CNAME-Einträge autodiscover, mail und smtp -> EXCH02.internal.lab.com

5) auf Godaddy habe ich folgende Einträge:

Capture.thumb.JPG.cfcf3ab17f333e04d7db14330048c147.JPG

Schwarz sind: meine WAN-IP und die "lab.com" (also die echte Domain)

 

Ebenso ist EXCH02 denke ich richtig konfiguriert: Test-EdgeSynchronization zeigt SyncStatus Normal, und beide EXCH01 und EXCH02 sehen sich mit FQDN.

 

Die Firewall leitet alles Eingehendes über SMTP an EXCH02 weiter.

 

So, und das Problem:

Meine E-Mails von draußen kommen im Exchange nicht an - kann man aus der Beschreibung hier wissen, wo's hängt? Wie sieht die Konfiguration aus, ist das etwa OK by Design?

 

Danke

 

 

Edited by kosta88

Share this post


Link to post

Danke - das war's wohl. smtp.lab.com war ja gar nicht zu verbinden (DNS...). Korrigiert und alles gut. Alle Testmails gerade angekommen.

 

Warum wird mir bei der Antwort von Telnet der interne Hostname des Servers angezeigt? Das sollte denke ich aus Sicherheitsgründen doch so nicht sein...?

Edited by kosta88

Share this post


Link to post

Naja sicherer wird’s dadurch auch nicht, aber wahrscheinlich liegt’s daran, dass du ihn nicht geändert hast. Nutzt du einen Edge Server oder nur einen Mailboxserver? Bei ersterem kannst du den ehlo String im receive connector einfach ändern. Bei letzterem musst du dir erst einen eigenen connector anlegen, weil du den Namen sonst nicht ändern kannst ohne die Authentifizierung abzuschalten.

Share this post


Link to post

Nein, habe wohl nichts geändert - ich habe lediglich soweit versucht einzurichten und soweit möglich zu verstehen - für das erste.

 

Edge Server ist im Einsatz.

Habe soeben versucht: Default Frontend EXCH01 auf smtp.lab.com umgestellt, und will nicht speichern, meckert was vonwegen "If the AuthMechanism attribute on a Receive connector contains the value ExchangeServer, you must set the FQDN parameter on the Receive connector to one of the following values:..." und lässt mich nicht ändern.

 

EDIT: habe geschafft zu ändern, aber eine Änderung bei Telnet hat das aber nicht bewirkt. Ich lese aber dass es auch nicht ganz klug ist das zu ändern. Gut für 1-Server-Umgebung, aber sollte 2. MB Server kommen, dann ist vorbei, kein Mailflow.

 

Ein anderer Vorschlag ist eben SMTP-Proxy zu verwenden, wofür meine Sophos UTM eigentlich perfekt wäre. Ich bin nur nicht soweit das noch zu machen...

Edited by kosta88

Share this post


Link to post

Wer setzt denn eine sophos ein, wenn er einen Edge nutzt? Evtl. Solltest du dir klar werden, was du da üben willst. ;) was genau hast du jetzt geändert?

Share this post


Link to post
vor 27 Minuten schrieb NorbertFe:

Wer setzt denn eine sophos ein, wenn er einen Edge nutzt? Evtl. Solltest du dir klar werden, was du da üben willst. ;) was genau hast du jetzt geändert?

Ahja, stimmt - mein Fehler. Klar keine Sophos als SMTP Proxy wenn man Edge hat. War nur mein Irrtum, da ich zu Hause keine DMZ habe, daher liegen beide Server im gleichen Netz.

 

Ja, es ist einfach viele Gebiete, Begriffe... wird schon. Es geht nur langsamer als gewünscht voran, liegt aber an Arbeitsumständen, ich mache nicht nur die klassische IT-Administration sondern auch Support für unsere Software. und ja Familie und Lebensaufgaben machen es auch nicht leichter :)

 

In Godaddy ein CNAME Eintrag für smtp mit Wert @ (Verweis auf A-Record mit IP). MX war OK, aber bringt nix wenn smtp.lab.com nicht aufgelöst werden kann. Einfach nicht daran gedacht...

Edited by kosta88

Share this post


Link to post

Der Edge ist hoffentlich nicht Mitglied der selben Domain wie dein Mailboxserver. Ansonsten hättest du ihn nämlich auch gleich so nennen können wie er extern angesprochen wird, dann wäre der Step nicht mal notwendig gewesen. Aber ja, das meinte ich mit anpassen des EHLO Strings. Sorry für die Verwirrung.

 

Bye

Norbert

Du müßtest das dann im SendeConnector auch gleich noch anpassen. ;) Und dann kannst du dir auch gleich noch die HeaderFirewall anschauen, die dann die internen Received from Header beim Versand nach extern entfernt.


Get-SendConnector „Dein Sendeconnector ins Internet“   | Remove-ADPermission -User „Nt-Autorität\Anonymous-Anmeldung“   -ExtendedRights „ms-Exch-Send-Headers-Routing“

Bye

Norbert

Share this post


Link to post

Nein, der Edge ist gar kein Mitglied einer Domain - soll auch solo sein. Die Servernamen habe ich gerne sortiert (als EXCH01, EXCH02, EXCH03 usw...) und die interne FQDNs auch gleich - der EDGE hat den manuell gesetzten DNS Suffix und DNS ist der DC01.

 

Aber ja, macht vielleicht Sinn zB. Mailgate01.lab.com zu nennen. Dafür ist ein Lab da, um auszuprobieren :)

Edited by kosta88

Share this post


Link to post

Warum setzt du denn interne FQDNs für einen Server der normalerweise ja genau eben NICHTS mit der internen Domäne zu tun hat, ausser eben per EdgeSync und SMTP Daten zu empfangen?

Share this post


Link to post
vor 1 Minute schrieb NorbertFe:

Warum setzt du denn interne FQDNs für einen Server der normalerweise ja genau eben NICHTS mit der internen Domäne zu tun hat, ausser eben per EdgeSync und SMTP Daten zu empfangen?

:thumb1: Stimmt, hast Recht.

D.h. die FQDNs müssen nicht gleich sein, damit EdgeSync funktioniert? Hätte ursprünglich so gedacht...

 

Und, ich würde gerne nochmal auf mein Eröffnungspost zurückkehren:

Ist diese Konstellation richtig, üblich, Best Practice? Insbesondere auf das Thema Domains/DNS, ob eine solche Aufstellung als sicher bzw. richtig eingestuft wird?

Edited by kosta88

Share this post


Link to post

Nein die Edge und Mailboxserver müssen sich gegenseitig mit dem korrekten Namen auflösen können. Welchen auch immer du da gesetzt hast. Allerdings dürfte nach der INstallation das ändern des DNS Suffixes auf den Edgeservern nicht mehr möglich sein, weil dann dein AD/LDS nicht mehr mitspielt. Also kannst du maximal deinstallieren und neu installieren oder damit leben und es als Erfahrung abheften. ;)

Share this post


Link to post
vor 1 Minute schrieb NorbertFe:

Nein die Edge und Mailboxserver müssen sich gegenseitig mit dem korrekten Namen auflösen können. Welchen auch immer du da gesetzt hast. Allerdings dürfte nach der INstallation das ändern des DNS Suffixes auf den Edgeservern nicht mehr möglich sein, weil dann dein AD/LDS nicht mehr mitspielt. Also kannst du maximal deinstallieren und neu installieren oder damit leben und es als Erfahrung abheften. ;)

Danke. Abheften ;-)

Share this post


Link to post

Ist doch ne Testumgebung. ;) Da würd ich jetzt aber verifizieren ob ich Recht habe. :P Wie sagte die Omi? Zum Üben, nicht als Strafe. ;)

Share this post


Link to post
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

Werbepartner:



×
×
  • Create New...