none
Настройки DNS для Exchange RRS feed

  • Общие обсуждения

  • Добрый вечер!

    Сложилась такая ситуация, помер DNS сервер в котором были записи для Exchange 2010. Но не все так просто, работало это все так:

    Есть внутренняя сеть с IP 192.168.0. В ней находится AD, DNS, и Exchange, на внутреннем DNS есть записи A и MX указывающие на сервер Exchange по внутренней сети.

    Был внешний DNS, находящийся в другой сети и в нем были прописаны записи для Exchange с внешними IP.

    У самого Exchange в сетевых настройках прописан IP внутренней сети, также сервер имеет статический IP проброшенный через NAT, который естественно отличается от внешнего.

    Т.е. сервер Exchange имеет статический IP внутренней сети 192.168.0.8, внешний айпи который знал только померший DNS - 228.172.0.162

    После отпадения внешнего DNS - почта стала ходить только внутри компании, во вне почта не уходит с ошибкой:  450.4.1.8 <email> Sender address rejected: Domain not found

    подскажите, что нужно записать в DNS чтобы почта нормально бегала?

    DNS сервер также имеет статический внешний IP проброшенный на него через NAT

    10 августа 2011 г. 12:48

Все ответы

  • Значит у вас в качестве DNS использовался внешний сервер либо напрямую был прописан, либо на внутреннем DNS настроен форвардинг на внешний. Вам нужно решить как у вас будет работать распознавание имен: либо опять использовать внешний DNS, либо настроить внутренний, чтобы он отправлял запросы наружу.


    Сазонов Илья http://www.itcommunity.ru/blogs/sie-wl/
    10 августа 2011 г. 13:37
    Модератор
  • Сервер на котором расположен DNS (для внутренней сети), имеет внешний IP через статический NAT.

    Настройки на сервере такие:

    Зона прямого просмотра:

    MX запись, стоимость 10, mail.domain.com

    autodiscover, CNAME, mail.domain.com

    mail, узел A, 192.168.0.8 статический

    Зона обратного просмотра:

    192.168.0.8 Указатель PTR mail.domain.com статический

    Соответственно, вся внутренняя сеть находится в диапазоне 192.168.0.ххх

    Сервер DNS также находится во внутренней сети и имеет IP 192.168.0.11, из интернета сервер доступен по статическому NAT адресу.

     

    10 августа 2011 г. 14:21
  • так какой у вас ДНС умер: внутренний или внешний?

    Сетевые настройки сервера Exchange покажите. Не может найти домен получателя - следовательно ваш ДНС его не знает.

    Он либо не работает, либо не настроен на пересылку запросов внешнему ДНС.

    10 августа 2011 г. 14:33
    Модератор
  • Помер внешний DNS

    Я хочу перетащить функции внешнего DNS, на внутренний, пользователи внутренней сети ходят в интернет через внутренний DNS он сам им резольвит. В серверах пересылки указаны стандартные серверы пересылки. 

    Внешний DNS пережиток прошлого, от него необходимо было избавится, но он самоустранился =)

    10 августа 2011 г. 14:41
  •  внешний айпи который знал только померший DNS - 228.172.0.162

    То есть от провайдера вам была делегирована зона DNS прямого просмотра?
    10 августа 2011 г. 14:45
    Отвечающий
  • уу так если помер внешний, то вам нужно ещё и делегировать свой домен на другие сервера...

    т.к. если вы только записи перенесёте - это ничего не даст для внешних клиентов, которые будут писать вам.

    450.4.1.8 <email> Sender address rejected: Domain not found - а это кто отвечает, ваш сервер или сервер получателя?

    если ответ от внешнего, значит он не может вас проверить из-за ДНС. Вам нужно переделывать авторитарные ДНС сервера. точнее создавать новые, т.к. бывший - самоустранился. Советую его временно восстановить...

    10 августа 2011 г. 14:48
    Модератор
  • у нас куплен диапазон белых IP, домен официально зарегистрирован.

    Есть внутренняя сеть со своими IP адресами, есть сервера в этой сети, которые через NAT работают по белым IP.

    450.4.1.8 <email> Sender address rejected: Domain not found - это отвечает наш сервер, после того, как помер внешний DNS.

    Если я отправляю почту по внутренним адресам - то все работает хорошо, если я отправляю почту на сервера которые не проверяют на подлинность мой сервер - тоже работает (rambler.ru, mail.ru). А вот если отправлять на сервера которые проверяют на подлинность- то выскакивает такая вот ошибка.

    Что нужно прописать на DNS сервере, при этом не поломав внутреннюю почту?

    10 августа 2011 г. 14:56
  • домен официально зарегистрирован.

    какие ДНС сервера отвечали за его зону? Если один из них внешний - подымайте такой же с его же настройками.

    Или делегируйте зону на другие ДНС сервера. Это делается там, у кого регистрировали домен - у регистратора.

     

    на своём вы можете создать зону для этого почтового домена, но это будет не авторитарная зона, т.к. содержится на не авторитарном ДНС.

    И этой зоне никто не будет доверять.


    10 августа 2011 г. 15:00
    Модератор
  • у нас куплен диапазон белых IP, домен официально зарегистрирован.

    Есть внутренняя сеть со своими IP адресами, есть сервера в этой сети, которые через NAT работают по белым IP.

    450.4.1.8 <email> Sender address rejected: Domain not found - это отвечает наш сервер, после того, как помер внешний DNS.

    Если я отправляю почту по внутренним адресам - то все работает хорошо, если я отправляю почту на сервера которые не проверяют на подлинность мой сервер - тоже работает (rambler.ru, mail.ru). А вот если отправлять на сервера которые проверяют на подлинность- то выскакивает такая вот ошибка.

    Что нужно прописать на DNS сервере, при этом не поломав внутреннюю почту?


    Вы понимаете работу DNS неверно.
    Ваши DNS сервера - только для вашего внутреннего потребления и никто в интернете о них "не знает". Ваша дальнейшая задача - разобраться с вашими провайдерами, которые вам предоставляю интернет и DNS сервера, содержащие вашу зону прямого просмотра. (Банально не заплатили очередной платеж за DNS домен : ))
    10 августа 2011 г. 15:09
    Отвечающий
  • Внешний DNS находился так же у нас, имел белый IP, из другой подсети и другого домена (например 85.ххх.ххх.ххх) на нем была запись, для почтового сервера находящегося во внутренней сети (прямого и обратного просмотра), но с белыми IP адресами почтового сервера (например 213.ххх.ххх.ххх), которые видно с интернета. Я хочу чтобы внутренний DNS мог также позволить работать как и внешний. Только разница в том, что на почтовике, что на действующем DNS статик NAT, который смотрит напрямую в интернет, а на умершем DNS стоял белый внешний IP.

    Я не понимаю, что на действующем DNS прописать, чтобы почтовый сервер нормально заработал, не нарушив работу внутренней сети.

    10 августа 2011 г. 15:16
  • у нас куплен диапазон белых IP, домен официально зарегистрирован.

    Есть внутренняя сеть со своими IP адресами, есть сервера в этой сети, которые через NAT работают по белым IP.

    450.4.1.8 <email> Sender address rejected: Domain not found - это отвечает наш сервер, после того, как помер внешний DNS.

    Если я отправляю почту по внутренним адресам - то все работает хорошо, если я отправляю почту на сервера которые не проверяют на подлинность мой сервер - тоже работает (rambler.ru, mail.ru). А вот если отправлять на сервера которые проверяют на подлинность- то выскакивает такая вот ошибка.

    Что нужно прописать на DNS сервере, при этом не поломав внутреннюю почту?


    Вы понимаете работу DNS неверно.
    Ваши DNS сервера - только для вашего внутреннего потребления и никто в интернете о них "не знает". Ваша дальнейшая задача - разобраться с вашими провайдерами, которые вам предоставляю интернет и DNS сервера, содержащие вашу зону прямого просмотра. (Банально не заплатили очередной платеж за DNS домен : ))
    В том то и дело, что мы сами себе хостеры, домен у нас третьего уровня (основной домен принадлжеит головному офису компании), проплаченый. Провайдер нам не предоставляет DNS, мы сами набираем префиксы.
    10 августа 2011 г. 15:22
  • вам на НАТе нужно пробросить 53 порт на внутренний ДНС. тогда внутренний ДНС будет отвечать на внешние запросы.

    а про то, что писать - я вам ответил - зону, которая была на старом-внешнем ДНС. Если конечно, зона внешнего домена отличается от зоны внутреннего домена.

    + переделегировать домен. Т.к. адрес авторитарного ДНС - изменился.

    10 августа 2011 г. 15:24
    Модератор
  • Добрый день.

    Проблема в том что почта не уходит? А из вне к вам приходит?

    У сотрудников в офисе интернет работает?

    В EMC зайдите в "server configuration" свойства вашего сервера, посмотрите вкладку External DNS Lookup может у вас там явно был прописан умерший сервер?

    11 августа 2011 г. 2:02
  • Добрый день!

    На сервере используются внутренние DNS сервера, у которых в свою очередь в серверах пересылки стоял внешний (умерший) DNS. У сотрудников в офисе интернет работает, из вне к нам приходит почта с серверов которые не требуют проверки сервера отправки. С остальных не приходит, и не уходит. 

    Решил решить проблему так:

    Так как внутреннее имя сервера соответствует внешнему, то прописать А, СNAME, MX с внешним IP не целесообразно, так как там уже есть такие записи с внутренними IP, и также не получается создать зону прямого и обратного просмотра, так как опять же имя с суффикс сервера, в точности совпадает с внешним.

    Запустил отдельный изолированный от AD, DNS сервер, но опять же во внутренней сети, пробросил на него  статик NAT в интернет, разрешил пересылку всех портов (на время), создал зоны прямого и обратного просмотра, в них прописал MX, A, CNAME, но только с внешним IP адресом почтового сервера.

    В свою очередь на внутренних DNS серверах, в серверах пересылки, поставил новый DNS сервер на самых верх. Но все равно ничего не работает =(((

     

    11 августа 2011 г. 2:48
  • Запустил отдельный изолированный от AD, DNS сервер, но опять же во внутренней сети, пробросил на него  статик NAT в интернет, разрешил пересылку всех портов (на время), создал зоны прямого и обратного просмотра, в них прописал MX, A, CNAME, но только с внешним IP адресом почтового сервера.


    вот это я и просил сделать в 9-ом посте.

    только я фразу "статик НАТ" может не так понимаю. Вы на нате указали, что все запросы на внешний определённый IP пересылать на определённый внутренний?

    Если так, я бы назвал - перенаправление трафика... а статик НАТ... ни разу не встречал такое словосочетание.

    но это уже не важно, главное - у вас работает.

    11 августа 2011 г. 7:07
    Модератор
  • static nat это частный случай настоящего NAT: когда внутренний ip полностью сопоставляется внешнему 1 в 1, динамически (пул внешних адресов и пул внутренних, трансляция выбирается автоматом) или статически (жестко привязано). при этом чтобы снаружи попасть внутрь ничего не надо пробрасывать, достаточно просто разрешить трафик и все.
    а то что многие называют словом NAT, когда много внутренних адресов ходят наружу под одним внешним, по правильному называется PAT (port address translation)

    11 августа 2011 г. 16:22
  • ясно. видимо я не работал пока с маршрутизаторами у которых на один внешний интерфейс приходит несколько внешних адресов.

    Я обычно ставил свитч перед роутером в таких случаях и внешний адрес сразу (из свитча) втыкал в розетку для компа :)


    11 августа 2011 г. 16:59
    Модератор
  • необязательно на один, интерфейсов тоже может быть много

    напрямки в комп это конечно сильно, только защиты никакой

    11 августа 2011 г. 17:53
  • да я только когда быстро и не надолго, или для тестов. А защиту поднять - не проблема.
    11 августа 2011 г. 18:47
    Модератор
  •  450.4.1.8 <email> Sender address rejected: Domain not found
    Если при этом интернет у сотрудников работает, значит Exchange использует какой-то другой ДНС (ваш мертвый). Если бы проблема была бы в отсутствии A,MX или PTR записей, то ошибка выглядела бы по другому.
     
    Как вам уже говорил я, и еще раньше Sazonov ILYA  Ваш "мертвый" ДНС сервер прописан напрямую. Проверьте это в настройках Exchange
    11 августа 2011 г. 23:09
  • Уважаемый пользователь!
    В вашей теме отсутствует активность в течение последних 5 дней. При отсутствии каких-либо действий в течение 2 последующих дней, тема будет переведена в разряд обсуждений. Вы можете возобновить дискуссию, просто оставив сообщение в данной теме.
    Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий
    17 августа 2011 г. 13:47