none
Veröffentlichung Exchange 2013 mit TMG 2010 RRS feed

  • Frage

  • Hallo,

    Versuche mich an der Veröffentlichung meines Exchange Server 2013 die beinahe klappt. Aber eben nur beinahe....

    Fehler im TMG Protokoll (Filter ist mit Port 25 gesetzt) bei einer eingehenden Mail:0xc00400017 FWX_E_TCP_NOT_SYN_PACKET_DROPPED. Weitere Parameter sind jeweils bei Client IP der Eintrag meines Exchange und bei Ziel IP die IP des Mailservers von dem ich die Mail versende.

    Google mit Typs des Standard Gateways etc. hat mich bis jetzt nicht auf die richtige Spur geführt. Zudem funktioniert der interne Versand und Empfang, sowie der externe Versand vom Exchange (via Outlook Client)

    Mein TESTNetzwerk sieht wie folgt aus:

    Internetverbindung mit offizieller IP MX Record entsprechend

    TMG 2010 aktueller Stand mit 2 NIC. Externe NIC mit der offiziellen IP Interne NIC mit 192.168.100.10 Domain Joined

    Windows Server 2012 mit Exchange 2013 (kein Edge) mit IP 192.168.110.17 Gateway 192.168.110.1

    dazwischen ein Cisco Router der meine 2 VLAN's kennt und die 2 IP's der internen Netze .100.1 und .110.1 hat.

    Wo liegt hier der, bzw. mein Fehler? Bin für jeden Tipp dankbar.

    Gruss,Markus


    AdminIT

    Mittwoch, 5. Juni 2013 16:22

Antworten

  • Hi,

    da haben wir dann schon des Raetsels Loesung :-)
    Du musst das Mailrouting erst mal wieder so umstellen, dass alles auf Deinen TMG zeigt (MX, DNS etc.)


    regards Marc Grote aka Jens Baier - www.it-training-grote.de - www.forefront-tmg.de - www.nt-faq.de

    Freitag, 7. Juni 2013 04:21
    Moderator

Alle Antworten

  • Hi,

    Du verwendest also eine SMTP Serververoeffentlichungsregel am TMG Server?
    Der Exchange 2013 Server hat als Default Gateway / Route den TMG Server?
    In der SMTP Publishing Rule ist der Radiobutton (Request appear to come from .... auf TMG oder Orginal Client gesetzt)?
    Die Definition des internen Netzwerks am TMG Server enthaelt die beiden Netze .100 und .110?
    Du kannst vom TMG Server den Exchange Server per Telnet auf Port 25 erreichen und auch eine Mail ueber Telnet versenden?
    Im SMT Receive Log des Exchange Server 2013 tauchen keine Verbindungsversuche des externen Client / Server auf?


    regards Marc Grote aka Jens Baier - www.it-training-grote.de - www.forefront-tmg.de - www.nt-faq.de

    Mittwoch, 5. Juni 2013 17:45
    Moderator
  • Hallo Marc,

    - Ja, Mailserververöffentlichungsregel

    - Nein, Default Gateway ist der Router der zwischen TMG und LAN hängt

    - kommt vom Original Client

    - Ja, beide Netze enthalten

    - JA, Telnet Port 25 erfolgreich Mail Versand erfolgreich

    - Nein, keine Verbindungsversuche des externen Clients

    Gruss, Markus


    AdminIT

    Mittwoch, 5. Juni 2013 21:22
  • Hi,

    funktioniert die Publishing Rule wenn Du in der TMG Publishing Rule sagst: "Request appear to come from ....the Orginal Client"? Dann solltest Du im SMTP Receive Log des Exchange Servers auf alle Faelle Logeintraege haben 


    regards Marc Grote aka Jens Baier - www.it-training-grote.de - www.forefront-tmg.de - www.nt-faq.de

    Donnerstag, 6. Juni 2013 04:07
    Moderator
  • Hallo Marc,

    Die Regel war bereits auf "Request....from Original Client" gesetzt.

    Habe nun noch einmal eine Mail vom TMG versandt und danach nochmals von meinem Webmail Konto. Den  SMTP Receive Log angeschaut und wenn meine DAU Kenntnisse mich nicht täuschen, dann ist der einzige Unterschied im Protokoll beim ELHO. Vom TMG kommt dort EHLO InboundProxyProbe und beim Webmailer nur EHLO.

    Habe dann auch noch den Exchange Connectivity Tester bemüht, der mir als Fehler folgende Info auswarf:

    The connection was established but a banner was never received

    Gruss, Markus


    AdminIT

    Donnerstag, 6. Juni 2013 09:56
  • Hi,

    hmm, hast Du einen SMTP Filter am Laufen?
    http://technet.microsoft.com/en-us/library/dd439389(v=exchg.80).aspx
    Auf
    dem TMG ist aber nur der Standard SMTP Anwendungsfilter aktiv?

    ich vermute das Problem auf der Exchange 2013 Seite. schau dir mal den Default Connector (Inbound Proxy) an. welche Authentifizierungseinstellungen hat dieser und akzeptiert dieser Mails von "allen" IPs?


    regards Marc Grote aka Jens Baier - www.it-training-grote.de - www.forefront-tmg.de - www.nt-faq.de

    Donnerstag, 6. Juni 2013 10:15
    Moderator
  • Hallo Marc,

    Nop, nur den Standard Filter von der Regel. Port 25 gehört zu Exchange Frontend Transport lokale IP 0.0.0.0

    Default Connector "Default frontend xy" hat folgende Authentifizierung:

    TLS inkl. Domänensicherheit

    Standardauthentifizierung inkl. erst nach TLS

    Integrierte Windows-Authentifizierung

    Exchange-Serverauthentifizierung

    Berechtigungsgruppen sind Exchange Server, Legacy Exchange Server und Anonyme Benutzer

    Habe alles auf den Standardeinstellungen belassen...

    Danke und Gruss, Markus


    AdminIT

    Donnerstag, 6. Juni 2013 11:51
  • Hi,

    OK am Connector kann es dann nicht liegen, der akzeptiert im Gegensatz zu Exchange 2010 auch out of the Box anoynme Anfragen aus dem Internet!

    Wenn die Checkbox "Request appear to come from .... TMG Server" gesetzt ist, solltest Du in dem SMTP Log auf dem Exchange etwas sehen muessen?! Die Windows Firewall am Exchange laesst die SMTP Verbindungen zu?


    regards Marc Grote aka Jens Baier - www.it-training-grote.de - www.forefront-tmg.de - www.nt-faq.de

    Donnerstag, 6. Juni 2013 20:01
    Moderator
  • Hallo Marc,

    Die Windows Firewall am Exchange Server war der aller erste Check, bevor ich das Forum bemüht, den ich erledigt hatte. JA ist ok.

    Im Exchange Log hat sich von der Protokollaussage nichts geändert, wenn ich den Client Ursprung auf TMG setzte.

    Jetzt habe ich aber auch einmal versucht eine Mail von einem anderen Webmailer an intern zu senden (man weiss ja nie) und da war im Errormail das zurück kam folgender Fehler aufgeführt:

    DB3FFO11FD002.mail.protection.outlook.com rejected your message

    jetzt hoffe ich nicht ich habe hier ein Eigengoal geschossen?! Da ich gleichzeitig einen Test für den Hybrid Modus angestossen hatte, aber noch nicht abgeschlossen. AD ist synchronisiert aber die Hybrid Konfig noch nicht, weil der Assistent mir immer sagt, dass er keine EWS URL findet.

    Zudem muss ich auch noch erwähnen, dass ich auch einen Test mit UAG und OWA Veröffentlichung am laufen habe. TMG und UAG sind nicht im gleichen Subnetz. Auch ist der MX Eintrag auf eine andere öffentliche IP erstellt. Sprich MX x.y.z.62 und OWA x.y.z.64. Exchange Server ist dann aber der Gleiche. Dies sollte ja nicht der Grund des Problem sein?

    Hoffe nicht, dass du mich nun in Stücke zerreisst?

    Danke und Gruss, Markus


    AdminIT


    • Bearbeitet AdminIT Donnerstag, 6. Juni 2013 22:15 Hyperlink
    Donnerstag, 6. Juni 2013 22:14
  • Hi,

    da haben wir dann schon des Raetsels Loesung :-)
    Du musst das Mailrouting erst mal wieder so umstellen, dass alles auf Deinen TMG zeigt (MX, DNS etc.)


    regards Marc Grote aka Jens Baier - www.it-training-grote.de - www.forefront-tmg.de - www.nt-faq.de

    Freitag, 7. Juni 2013 04:21
    Moderator
  • Hallo Marc,

    Mist....da hätte ich dir viel Zeit ersparen können. SORRY

    Nur das ich dich richtig verstehe. Der MX Eintrag MUSS auf die gleiche IP zeigen wie der OWA Eintrag? Könnte aber am Schluss der TMG ODER der UAG sein? Hauptsache GLEICHE IP?

    Oder Hauptsache die beiden Regeln/IP auf der GLEICHEN Firewall (TMG/UAG)?

    Danke und Gruss,

    Markus


    AdminIT

    Freitag, 7. Juni 2013 15:53
  • Hi,

    wenn Du nur eine oeffentliche IP hast muss der A / MX Record fuer Mail und OWA auf die gleiche IP zeigen, damit das Routing funktioniert. Momentan zeigt Dein MX ja zu den Public Cloud Services von Microsoft, deswegen auch die EHLO Antwort. Wenn OWA von UAG und Mail von TMG veroeffentlicht werden soll und Du nur eine IP Adresse hast braeuchtest Du ja vor dem UAG und TMG ein Protokollbasiertes Routing welches sagt, HTTPS Traffic zu UAG, SMTP Traffic zu TMG 


    regards Marc Grote aka Jens Baier - www.it-training-grote.de - www.forefront-tmg.de - www.nt-faq.de

    Samstag, 8. Juni 2013 05:17
    Moderator
  • Hi Marc,

    So, jetzt habe ich einige Korrekturen angebracht und kann mit Sicherheit folgende Aussagen treffen: (xy.com=meine Domain)

    MX Record mail.xy.com zeigt auf meine offizielle IP mit Preference 5. Mit der 10 zeigt der Eintrag auf xy-com.mail.eo.outlook.com (für Hybrid Office365)

    Mein owa.xy.com Eintrag zeigt auf die gleiche IP

    Mein autodiscover.xy.com zeigt auf autodiscover-emeacenter.outlook.com. (CNAME Eintrag autodiscover.outlook.com wird ja ausdrücklich verlangt bei der Hybrid Office365 Einrichtung) Zusätzliche Aliase sind autodiscover.xy.com, autodiscover.outlook.com und autodiscover.outlook.com.glbdns.microsoft.com

    Zudem sind die Mailserververöffentlichung und die OWA Veröffentlichung auf dem gleichen Server, diesmal aber in Form eines UAG (aktuellster Stand für Exchange 2013)

    OWA Zugriff Intern und Extern funktioniert Einwandfrei.

    ALS INFO gedacht, weil ich einfach nix mehr vergessen will zu erwähnen...

    Bei der Einrichtung für die Hybrid Bereitstellung mit dem EX2013 Assistenten kommt folgende Error Meldung (Ausschnitt aus Log XC1-SRV=Mein Exchange)

    INFO : Sitzung=OnPrem Cmdlet=Get-WebServicesVirtualDirectory -Server 'XC1-SRV' START
    [06/11/2013 16:53:18]    INFO : Sitzung=OnPrem Cmdlet=Get-WebServicesVirtualDirectory FINISH-Zeit=3665.6375ms
    [06/11/2013 16:53:18]   ERROR : Fehler beim Ausführen von Unteraufgabe "Configure": Frei/Gebucht-Einstellungen konfigurieren
                                    Es wurde kein Clientzugriffsserver mit angegebenem externem EWS-URL gefunden.
                                       bei Microsoft.Exchange.Management.Hybrid.OnOffSettingsTask.ConfigureAvailabilityAddressSpace(ITaskContext taskContext)
                                       bei Microsoft.Exchange.Management.Hybrid.OnOffSettingsTask.Configure(ITaskContext taskContext)
                                       bei Microsoft.Exchange.Management.Hybrid.Engine.ExecuteSubStep(String subStepName, ITaskContext taskContext, ITask task, Func`3 substep, Func`4 createException, Boolean throwOnFalse

    EWS ist aber definitiv auf dem UAG eingerichtet.

    Diese "Konstellation" muss ja immer noch einen Fehler haben, da die Mailzustellung immer noch mit dem gleichen Fehler endet =DB3FFO11FD002.mail.protection.outlook.com rejected your message

    Hop count exceeded - possible mail loop> #SMTP#

    Denke der Profi sieht es gleich und ich wahrscheinlich vor lauter Bäumen, bzw. schlechtes Grundwissen in allen Belangen, nicht mehr.

    Danke und Gruss,

    Markus


    AdminIT

    Dienstag, 11. Juni 2013 21:42