locked
TMG: IMAPS und POP3S funktionieren nicht von extern RRS feed

  • Frage

  • Hallo,

    TMG ist als Edge-Firewall konfiguriert. OWA und ActiveSync funktionieren von extern problemlos, ebenso IMAP, IMAPS, POP3, POP3S von intern. Exchange 2007 habe ich via Serververöffentlichungsregel in der Firewall freigeschaltet. Telnet von extern auf die Ports der genannten Protokolle gibt eine Antwort, also funktioniert der Aufbau einer Verbindung zumindest ansatzweise. In der TMG-Überwachung finde ich folgende Meldung: "0x8007274c WSAETIMEDOUT".

    Der Versuch die Geschichte per Zugriffsregel zu aktivieren funktioniert ebenfalls nicht.

    Danke im Voraus!

    Montag, 20. September 2010 12:56

Antworten

  • hallo malhol,

    jau er sollte das standard-gate auf den tmg gesetzt haben. zur not kannst du auch in der veröffentlichungsregel den radio-button auf "ursprung der anforderung scheint der tmg zu sein" setzen. in dem fall wäre das sg nicht zu schwenken, würde ich aber grundsätzlich nicht empfehlen.


    gruss, jens mander aka karsten hentrup - www.aixperts.de - www.forefront-tmg.de - www.hentrup.net |<-|
    • Als Antwort markiert malhol Donnerstag, 23. September 2010 07:21
    Montag, 20. September 2010 15:16

Alle Antworten

  • Hi,

    du musst eine Mail Client Veroeffentlichungsregelö erstellen um POP, IMAP(S) usw. von aussen verfuegbar zu machen:
    http://technet.microsoft.com/en-us/library/bb310788.aspx


    regards Marc Grote aka Jens Baier - www.nt-faq.de - www.it-training-grote.de - www.forefront-tmg.de
    Montag, 20. September 2010 13:04
  • hi malhol,

    und denke daran der zu veröffentlichende mailserver muss secure-nat-client vom tmg sein!


    gruss, jens mander aka karsten hentrup - www.aixperts.de - www.forefront-tmg.de - www.hentrup.net |<-|
    Montag, 20. September 2010 13:28
  • Danke für die Antworten.

    @Marc: Die Regel hatte ich ja schon erstellt.

    @Jens: Aha, d.h. also dass der Mailserver den TMG als Standardgateway nutzen muss? Das ist nämlich aktuell nicht der Fall, aufgrund der IMAP/POP3-Probleme.

    Montag, 20. September 2010 14:02
  • Hi,

    ACK!


    regards Marc Grote aka Jens Baier - www.nt-faq.de - www.it-training-grote.de - www.forefront-tmg.de
    Montag, 20. September 2010 14:57
  • hallo malhol,

    jau er sollte das standard-gate auf den tmg gesetzt haben. zur not kannst du auch in der veröffentlichungsregel den radio-button auf "ursprung der anforderung scheint der tmg zu sein" setzen. in dem fall wäre das sg nicht zu schwenken, würde ich aber grundsätzlich nicht empfehlen.


    gruss, jens mander aka karsten hentrup - www.aixperts.de - www.forefront-tmg.de - www.hentrup.net |<-|
    • Als Antwort markiert malhol Donnerstag, 23. September 2010 07:21
    Montag, 20. September 2010 15:16
  • Ich habe nun die Option "Ursprung der Anforderung scheint der Forefront TMG-Computer zu sein" gesetzt. Bin auch einen Schritt weiter, nur leider funktioniert der Abruf der Mails noch nicht. Beim Abrufen wird nun das Zertifikat als nicht vertauenswürdig angezeigt und als Ausnahme hinzugefügt. Anscheinend wird die Verbindung allerdings an dieser Stelle von wieder abgebaut. In den Protokollen finde ich dazu folgende Infos:

     

    Initiierte Verbindung xxx 21.09.2010 10:32:02
    Protokolltyp: Firewalldienst
    Status: Der Vorgang wurde erfolgreich beendet. 
    Regel: Exchange IMAPS-Server
    Quelle: Extern (xxx:49966)
    Ziel: Intern (xxx xxx:993)
    Protokoll: IMAPS-Server
     Zusätzliche Informationen
    Anzahl der gesendeten Bytes: 0 Anzahl der empfangenen Bytes:: 0
    Verarbeitungszeit: 0ms Ursprüngliche Client-IP: xxx

     

    Getrennte Verbindung xxx 21.09.2010 10:32:02
    Protokolltyp: Firewalldienst
    Status: Eine Verbindung wurde beim ordnungsgemäßen Herunterfahren mit einem FIN-initialisierten Dreiwegehandshake getrennt. 
    Regel: Exchange IMAPS-Server
    Quelle: Extern (xxx:49966)
    Ziel: Intern (xxx xxx:993)
    Protokoll: IMAPS-Server
     Zusätzliche Informationen
    Anzahl der gesendeten Bytes: 572 Anzahl der empfangenen Bytes:: 2321
    Verarbeitungszeit: 359ms Ursprüngliche Client-IP: xxx

     

    Warum kannst du das Setzen der Option nicht empfehlen? Welchen Nachteil hat die Geschichte?

    Dienstag, 21. September 2010 08:38
  • Hi,

    wenn Du diese Option setzt, laeuft auf dem Exchange immer nur die IP-Adresse des TMG auf, so dass Du nicht einwandfrei die Zugriffe loggen kannst und keine ACLs z. B. auf Client IP-Adressen setzen kannst


    regards Marc Grote aka Jens Baier - www.nt-faq.de - www.it-training-grote.de - www.forefront-tmg.de
    Dienstag, 21. September 2010 08:52