locked
SMTP eingehend durch TMG zum Exchange RRS feed

  • Frage

  • Hallo zusammen,

    mein TMG ist als Back-FW hinter einer Fritzbox konfiguriert. Intern steht ein Exchange, für welchen ich bereits OWA, OA und ActiveSync veröffentlicht habe. SMTP ausgehend, also senden funktioniert nach dem Erstellen einer einfachen Zugriffsregel auch. Lediglich der Mail-Empfang bereitet mir Probleme. Bevor ich den TMG eingesetzt habe, hat die Fritzbox Port 25 an den Exchange weitergeleitet und alles lief (MX-Einträge beim Provider passen). Nachdem ich den Exchange jetzt in einen anderen IP-Adressbereich gesetzt habe, also weg vom Umkreisnetz der Fritzbox, hinter den TMG ins interne Netz geht nichts mehr. Ich habe es einmal mit Mail-Server veröffentlichen und einmal mit Zugriffsregel versucht (Protokoll SMTP-Server von Extern nach IP des Exchange für Alle User). 

    Wenn ich die Protokollierung mitlaufen lassen (Protokoll enthält SMTP oder SMTP-Server), dann bekomme ich lediglich die Meldungen "[System] Für E-Mail-Schutz und Filterung SMTP-Datenverkehr zum lokalen Host zulassen", aber weder rot noch grün, noch mit Bezug auf die erstellte eingehende Regel.

    Außer dem Template "Back-Firewall" habe ich bei Netzwerkregeln nur zwei Routen von Intern nach Umkreis und Umkreis nach Intern eingerichtet. Der Rest ist Standard. Die Fritzbox leitet Port 25 an die IP des TMG weiter.

    Habe ich etwas vergessen?


    Muss auf dem TMG zwingend eine Exchange Edge Rolle installiert werden? Kann er eingehenden Port 25 Verkehr nicht einfach den Exchange weiterleiten?

    • Bearbeitet MFischer Sonntag, 7. April 2013 18:26
    Sonntag, 7. April 2013 17:10

Antworten

Alle Antworten

  • Hi,

    1) das Standard Netzwerkverhaeltnis von Intern - Extern ist NAT Du musst also eine Mail Server Veroeffentlichungsregel erstellen. Wenn das Netzwerkverhaeltnis ROUTE ist kannst Du eine normale SMTP Protokoll Firewallregel erstellen
    http://technet.microsoft.com/en-us/library/bb794845.aspx (gilt auch fuer TMG)
    2) Nein, das E-Mail Protection Feature musst Du nicht installieren wenn der TMG Server nicht SMTP Gateway und E-Mail Hygiene Gateway sein soll
    3) Du kannst auch das Edge Template verwenden, das passt hier besser


    regards Marc Grote aka Jens Baier - www.it-training-grote.de - www.forefront-tmg.de - www.nt-faq.de

    Montag, 8. April 2013 04:11
  • Vielen Dank für Deine Antwort!

    1) Intern - Extern ist auch bei mit NAT, eine Mail-Server-Veröffentlichungsregel ist erstellt. Da gibt's ja nichts groß zum einstellen, oder? (Bei Netzwerk habe ich "Extern" markiert, habe aber keine IP-Adresse ausgewählt)
    2) Ok
    3) Das mit dem Edge-Template habe ich gerade mal versucht, aber da bringt er mir einen Fehler, wenn ich speichern will 0xc00403c4. Ich habe am TMG schon einiges eingestellt, so dass da vielleicht was blockiert. Ich meine, es kommt ja was am TMG auf Port 25 an, wenn ich die Protokollierung anwerfe, aber er leitet es nur nicht weiter.

    4) Wenn ich über dnsstuff.com meine Domain abfrage, kommt dort bei Mail die Meldung: 79.194.xx.xxx | failed message send with: failed cx open with: failed socket connect with: Connection refused

    5) Nachdem ich die Mail-Veröffentlichungsregel nochmals gelöscht und neu angelegt habe, kommt unter Alarme diese Fehlermeldung: Serververöffentlichungsregel SMTP-eingehend SMTP-Server ist fehlgeschlagen, weil kein gültiger Netzwerklistener verfügbar war. Zwischen den ausgewählten Listenernetzwerken und dem veröffentlichten Server muss eine Netzwerkbeziehung bestehen, damit Anforderungen den veröffentlichten Server erreichen können. Fehlerposition 325.958.7.0.9193.575. 



    • Bearbeitet MFischer Montag, 8. April 2013 09:01
    Montag, 8. April 2013 08:43
  • Hi,

    dann gibts in Deiner Netzwerktopologie am TMG noch ein Problem zwischen Quell- und Zielnetzwerk scheint es keine Netzwerkregel zu geben. Das solltest Du nochmal pruefen.
    Wenn es kein Aufwand ist kannst Du nochmal from Scratch mit dem Edge Template beginnen, damit sollten dann einige Probleme geloest sein!
    Auf dem TMG Server laeuft aber nichts anderes was den SMTP Port belegt?


    regards Marc Grote aka Jens Baier - www.it-training-grote.de - www.forefront-tmg.de - www.nt-faq.de

    Montag, 8. April 2013 09:01
  • Es gibt tatsächlich keine Netzwerkregel zwischen Extern und Intern. Diese muss es geben?
    Montag, 8. April 2013 09:50
  • Hi,

    Regel 3 ist NAT von INTERN nach EXTERN. Wenn Dein SMTP Server im Netzwerk INTERN steht muss Du eine Mailserververoeffentlichungsregel erstellen


    regards Marc Grote aka Jens Baier - www.it-training-grote.de - www.forefront-tmg.de - www.nt-faq.de

    Montag, 8. April 2013 10:09
  • Ich habe es hinbekommen. Es hat eine Netzwerkregel NAT vom Exchange nach Umkreis gefehlt. Ehrlich gesagt verstehe ich überhaupt nicht wieso, da ich ja eigentlich von Extern nach Intern möchte. Drauf gekommen bin ich durch den Hinweis in diesem Blog. Ich hoffe, ich darf das hier posten. Vielleicht hilft es einem anderen ja weiter:

    http://richardkok.wordpress.com/2010/11/08/using-non-web-server-publishing-rules-with-a-route-relationship-on-forefront-tmg/

    • Als Antwort markiert MFischer Montag, 8. April 2013 14:32
    Montag, 8. April 2013 14:31
  • Hi,

    das ist das "Problem" des Backfirewwalltemplates, deswegen schrieb ich ja, besser ist das Edge Template, weil es die Netzwerkregeln gleich korrekt erstellt


    regards Marc Grote aka Jens Baier - www.it-training-grote.de - www.forefront-tmg.de - www.nt-faq.de

    Montag, 8. April 2013 16:37
  • Ich habe den funktionierenden Zustand eingefroren und mal versucht den TMG neu mit einem Edge Template einzurichten. Da hat das mit dem SMTP wesentlich schneller funktioniert. Jetzt hab ich nur das Problem, dass ich mein Umkreisnetzwerk nirgends abgebildet habe. Es befinden sich noch der ein oder andere Client zwischen Fritzbox und TMG (z.B.WLAN-Clients), die jetzt gar nicht mehr auf interne Ressourcen zugreifen können. Ich bin eigentlich davon ausgegangen, dass diese dann wie "Externe" behandelt werden, aber dem ist wohl nicht so. Aus dem Internet, vom TMG und Intern gehen die Zugriffe aber. Ich vermute fast, das es am DNS dieser Clients liegt (DNS=Fritzbox-DHCP). Eine Idee?
    Donnerstag, 11. April 2013 07:39
  • Hi,

    Clients zwischen TMG und Fritz Box sind jetzt EXTERN sprich untrusted. Wenn diese auf interne Ressourcen zugreifen sollen musst Du eine Serververoeffentlichungsregel am TMG erstellen oder nachtraeglich noch ein DMZ Netzwerk am TMG erstellen und die Clients aus dem Netz zwischen TMG und FritzBox da reinstellen.


    regards Marc Grote aka Jens Baier - www.it-training-grote.de - www.forefront-tmg.de - www.nt-faq.de

    Donnerstag, 11. April 2013 07:43
  • Genau ersteres habe ich gemacht und der externe Zugriff klappt auch. Nur die Clients zwischen TMG und Fritzbox können die Adresse nicht finden.

    Wie sähe ein zusätzlich zu definierendes Netzwerk aus? Also welche Netzwerkregeln wären passend?

    • Bearbeitet MFischer Donnerstag, 11. April 2013 08:18
    Donnerstag, 11. April 2013 08:18
  • Hi,

    wie meinst Du das: "Nur die Clients zwischen TMG und Fritzbox können die Adresse nicht finden"? Welche Adresse koennen die nicht finden?


    regards Marc Grote aka Jens Baier - www.it-training-grote.de - www.forefront-tmg.de - www.nt-faq.de

    Donnerstag, 11. April 2013 12:11
  • Von Intern und Extern rufe ich z.B. OWA über https://mail.contoso.com/owa auf. Vom Client zwischen TMG und Fritzbox klappt dieser Aufruf nicht. Sie benutzen den DNS der Fritzbox, welche ihrem wiederrum vom Provider hat.

    Ein Umkreisnetzwerk wäre ohnehin praktisch, da ich noch andere Dienste, wie das vSphere-Management, darin zugänglich machen möchte. Aber da bin ich mir nicht sicher, welche Netzwerkregeln ich einstellen muss, damit das dann läuft. 

    Donnerstag, 11. April 2013 13:10