Empfangsconnector meldet Service not active bei Zugriff von außen

[jimmyone 15]

Hallo Zusammen,

 

wir haben einen speziellen Connector auf einem Exchange on-prem, der bestimmte Aufgaben übernimmt und als einziger auch von außen über einen Proxy, DMZ, aber nur von bestimmten public IPs angesprochen werden darf.

Die Frewall und Netzwerk Jungs haben bereits geprüft und melden, das die Pakete und Anfragen vom Exchange on-prem angenommen werden.

Ein entsprechendes Protokoll liegt mir vor.

 

Teste ich das ganze intern oder via VPN meldet sich der Exchange auf dem betreffenden Connector.

Rufe ich das nun komplett von außen auf, wie das Szenario gedacht ist, erhalte ich als Meldung: 421 4.3.2 Service not active.

 

Ich hatte vermutet, das der Proxy irgendwas filtert oder die Firewall, aber nichts dergleichen trifft hier zu.

 

Die Konfiguration des Connectors lässt die anfragenden IPs zudem zu, heißt der Scope ist dafür gesetzt.

 

Was übersehe ich denn hier?

Hat ggf. jemand eine Idee, die vielleicht weiterhelfen könnte?

 

Vielen Dank und LG

 

 

[NorbertFe 1.805]

Klingt nach backpressure. Wieviel Platz ist denn auf der Platte, auf der die Mail queue liegt?

[jimmyone 15]

Zur Zeit knapp 400 GB.

 

Edit: Zusatzinfo: Wartungsmodus ist nicht, auch nicht teilweise aktiv.

bearbeitet 20. Februar von jimmyone

[Nobbyaushb 1.359]

Was sprechen denn die Healthchecker auf dem/den Servern?

Ist das nur einer oder eine DAG mit einem Loadbalancer davor?

Was ist alles zwischen der Welt und dem Exchange?

Standard-Port 25 / 587 oder was anderes?

[NorbertFe 1.805]

vor 9 Minuten schrieb jimmyone:

erhalte ich als Meldung: 421 4.3.2 Service not active.

 

Ist ja auf jeden Fall eine SMTP Fehlermeldung. Insofern tippe ich mal auf ein Problem am Exchange. gibts denn evtl. Fehlermeldungen im Eventlog? Wenn genau dieser connector intern antwortet, dann wäre ich bei Nobby und würde mal schauen, was ggf. alles firewall- und Routingtechnisch dazwischenfunken kann.

[jimmyone 15]

vor 30 Minuten schrieb Nobbyaushb:

Was sprechen denn die Healthchecker auf dem/den Servern?

Ist das nur einer oder eine DAG mit einem Loadbalancer davor?

Was ist alles zwischen der Welt und dem Exchange?

Standard-Port 25 / 587 oder was anderes?

 

Es ist nur ein Server. Früher waren es mal mehrere, inzwischen liegt das alles auf EXO und die sind zurückgebaut worden.

Dazwischen befinden sich ein Proxy und 2 Firewalls. Sowie ein externes Mailgateway.

Heißt: Der Exchange ist nicht direkt über das Netz erreichbar, weder für SMTP nocht für https Verbindung, wobei letztere inzwischen auch dicht sind, weil die Postfächer in EXO sind.

Der Connector, dessen Port etc. aber sind erreichbar und werden laut den Netzwerkern und das sagt ja auch das Protokoll bis zum Exchange on-prem geroutet.

 

Haelth Checker vom meldet derzeit mal keine Probleme.

Zumindest solange nicht, bis es wieder Sicherheitsupdates gibt.

 

vor 33 Minuten schrieb NorbertFe:

 

Ist ja auf jeden Fall eine SMTP Fehlermeldung. Insofern tippe ich mal auf ein Problem am Exchange. gibts denn evtl. Fehlermeldungen im Eventlog? Wenn genau dieser connector intern antwortet, dann wäre ich bei Nobby und würde mal schauen, was ggf. alles firewall- und Routingtechnisch dazwischenfunken kann.

 

Das meine ich ja auch, das dass Netzwerkseitig ist. Ich erhalte derzeit nur als Meldung: Netzwerkseitig keine Probleme oder Fehlconfig.

Keine Fehlermeldung im Log des Exchange on-prem ersichtlich.

 

Im Grunde will ich sicherstellen, bevor ich das erneut eskaliere an die Netzwerker, das nicht ich der Depp war, der eine Fehlconfig gebaut hat und man sich am Ende entschuldigen muss.  Deshalb dachte ich, geh mal in den Austausch. Manchmal übersieht man ja was.

 

[NorbertFe 1.805]

vor einer Stunde schrieb jimmyone:

Dazwischen befinden sich ein Proxy und 2 Firewalls. Sowie ein externes Mailgateway.

Heißt: Der Exchange ist nicht direkt über das Netz erreichbar, weder für SMTP

 

Ich denke er ist extern per SMTP erreichbar?

vor 2 Stunden schrieb jimmyone:

als einziger auch von außen über einen Proxy, DMZ, aber nur von bestimmten public IPs angesprochen werden darf.

 

was denn nu? SMTP Proxy? Wie muss man sich das vorstellen?

[jimmyone 15]

vor 17 Minuten schrieb NorbertFe:

 

Ich denke er ist extern per SMTP erreichbar?

 

was denn nu? SMTP Proxy? Wie muss man sich das vorstellen?

Aber nur auf diesem einen Connector, sonst nicht. Und auch nicht unmitelbar sondern über den Proxy.

[NorbertFe 1.805]

Du kannst jetzt noch zig mal "über den Proxy" schreiben, ich stell dann halt jedes Mal dieselbe Frage:

 

vor 2 Minuten schrieb jimmyone:

was denn nu? SMTP Proxy? Wie muss man sich das vorstellen?

 

[jimmyone 15]

vor 1 Stunde schrieb NorbertFe:

Du kannst jetzt noch zig mal "über den Proxy" schreiben, ich stell dann halt jedes Mal dieselbe Frage:

 

 

Sorry, mir war nicht klar, das ich das Grundprinzip eines SMTP Proxy noch erklären muss. Das hatte ich irgendwie vorausgesetzt. 

Also vom Grunsatz her sind SMTP-Proxys MTAs, die, ähnlich wie andere Proxy-Server, SMTP-Sitzungen an andere MTAs weiterleiten, ohne dabei den typischen Store-and-Forward-Ansatz eines üblichen MTA zu verwenden. Wenn ein SMTP-Proxy eine Verbindungsanfrage erhält, initiiert er eine weitere SMTP-Sitzung zu seinem Ziel-MTA. Fehler oder Statusinformationen vom Ziel-MTA werden über den Proxy an den sendenden MTA zurückgegeben.

 

Heißt: Ich erreiche bei einem Connect den Exchange on-premise nicht direkt sondern nur über den Proxy und zwischengeschaltete Firewalls.

Nach außen sieht es aber so aus, als würde ich diesen direkt erreichen.

 

Für meine Begriffe liegt da irgendwo der Hase im Pfeffer. Ich kann mir sonst nicht erklären, warum ich diese Meldung von außen erhalte, von innen aber nicht. 

[NorbertFe 1.805]

Naja, du musst nicht das Grundprinzip eines Proxys erklären, sondern nur klären, dass du eben einen proxy meinst und nicht evtl. ein zwischengeschaltetes SMTP Relay. Spontan würde ich genau an diesem proxy ansetzen, denn der macht irgendwas, was bei interner Kommunikation eben nicht so läuft. ;)