none
Настройка коннекторов получения RRS feed

  • Вопрос

  • Есть два домена domain1.ru и domain2.ru в одной локальной сети, между ними доверительные отношения.

    У каждого есть свой exchange server2010 exch1 и exch2.

    На обоих серверах делал коннекторы вот этими коммандами (имена серверов разные):

    New-ReceiveConnector -Name Receive_From_Inet -Usage Internet -Bindings 0.0.0.0:25 -Server EXCH1

    Get-ReceiveConnector -Identity 'EXCH1\Receive_From_Inet' | Remove-ADPermission -User 'NT AUTHORITY\Анонимный вход' -ExtendedRights 'ms-Exch-SMTP-Accept-Authoritative-Domain-Sender'

    New-ReceiveConnector -Name Receive_From_Local -Usage Client -Bindings 0.0.0.0:25 -RemoteIPRanges 192.168.1.0-192.168.1.255 -Server EXCH1

    Get-ReceiveConnector -Identity 'EXCH1\Receive_From_Local' | Add-ADPermission -User 'NT AUTHORITY\Анонимный вход' -ExtendedRights 'ms-Exch-SMTP-Accept-Any-Recipient'

    Get-ReceiveConnector -Identity 'EXCH1\Receive_From_Local' | Set-ReceiveConnector -AuthMechanism 'Tls, Integrated, BasicAuth, BasicAuthRequireTLS, ExchangeServer' -PermissionGroups 'ExchangeUsers, ExchangeServers, ExchangeLegacyServers, Partners'

    Default коннектор получения отключил.

    Почта в интернет и обратно ходит нормально, а между domain1.ru и domain2.ru не хочет.

    Ошибка:

    "451 4.4.0 Primary target IP address responded with: "421 4.2.1 Unable to connect." Attempted failover to alternate host, but that did not succeed. Either there are no alternate hosts, or delivery failed to all alternate hosts.".

    Лог фрагмент:

    ,+,,
    ,*,SMTPAcceptAnyRecipient,Set Session Permissions
    ,>,"220 EXCH2.domain2.ru Microsoft ESMTP MAIL Service ready at Mon, 22 Jul 2019 13:48:48 +0500",
    ,<,EHLO mail.domain1.ru,
    ,>,250-EXCH2.domain2.ru Hello [192.168.1.13],
    ,>,250-SIZE 10485760,
    ,>,250-PIPELINING,
    ,>,250-DSN,
    ,>,250-ENHANCEDSTATUSCODES,
    ,>,250-STARTTLS,
    ,>,250-X-ANONYMOUSTLS,
    ,>,250-AUTH NTLM,
    ,>,250-X-EXPS GSSAPI NTLM,
    ,>,250-8BITMIME,
    ,>,250-BINARYMIME,
    ,>,250-CHUNKING,
    ,>,250-XEXCH50,
    ,>,250-XRDST,
    ,>,250 XSHADOW,
    ,<,STARTTLS,
    ,>,220 2.0.0 SMTP server ready,
    ,*,,Sending certificate
    ,*,CN=EXCH2,Certificate subject
    ,*,CN=EXCH2,Certificate issuer name
    ,*,3EB4407BEB3835B24FC96561BBE1,Certificate serial number
    ,*,97D895C031DBB748AC998F1EDB485F32708BF2,Certificate thumbprint
    ,*,EXCH2;EXCH2.domain2.ru,Certificate alternate names
    ,*,,"TLS protocol SP_PROT_TLS1_0_SERVER negotiation succeeded using bulk encryption algorithm CALG_AES_256 with strength 256 bits, MAC hash algorithm CALG_SHA1 with strength 160 bits and key exchange algorithm CALG_ECDHE with strength 256 bits"

    ,<,EHLO mail.domain1.ru,
    ,*,,TlsDomainCapabilities='None'; Status='NoRemoteCertificate'
    ,>,250-EXCH2.domain2.ru Hello [192.168.1.13],
    ,>,250-SIZE 10485760,
    ,>,250-PIPELINING,
    ,>,250-DSN,
    ,>,250-ENHANCEDSTATUSCODES,
    ,>,250-AUTH NTLM LOGIN,
    ,>,250-X-EXPS GSSAPI NTLM,
    ,>,250-8BITMIME,
    ,>,250-BINARYMIME,
    ,>,250-CHUNKING,
    ,>,250-XEXCH50,
    ,>,250-XRDST,
    ,>,250 XSHADOW,
    ,<,MAIL FROM адрес1 SIZE=4260,
    ,*,Tarpit for '0.00:00:05',
    ,>,530 5.7.1 Client was not authenticated,
    ,-,,Local

    Где что пропустил и что исправить?



    • Изменено stas74ni 22 июля 2019 г. 11:28
    22 июля 2019 г. 9:17

Ответы

  • Оба сервера у вас имеют адреса из диапазона 192.168.1.0-192.168.1.255, так?

    В таком случае они должны попадать на коннектор Receive_From_Local', т.е. - клиентский  (проверьте имя коннектора по журналу протокола для SMTPReceive), а на этом коннекторе не разрешен анонимный доступ.

    Самое простое IMHO в таком случае настроить (или создать, если нет) в каждом Exchange специальный Send Connector для отсылки на другой домен через smarthost в с IP Exсh другого домена , и для smarthost указать использование аутентификации с подходящей учеткой.

    Альтернатива - более точно настроить RemoteIPRanges, чтобы Exch из соседнего домена попадал в диапазон для коннектора Receive_From_Inet.


    Слава России!

    22 июля 2019 г. 12:07

Все ответы

  • Оба сервера у вас имеют адреса из диапазона 192.168.1.0-192.168.1.255, так?

    В таком случае они должны попадать на коннектор Receive_From_Local', т.е. - клиентский  (проверьте имя коннектора по журналу протокола для SMTPReceive), а на этом коннекторе не разрешен анонимный доступ.

    Самое простое IMHO в таком случае настроить (или создать, если нет) в каждом Exchange специальный Send Connector для отсылки на другой домен через smarthost в с IP Exсh другого домена , и для smarthost указать использование аутентификации с подходящей учеткой.

    Альтернатива - более точно настроить RemoteIPRanges, чтобы Exch из соседнего домена попадал в диапазон для коннектора Receive_From_Inet.


    Слава России!

    22 июля 2019 г. 12:07
  • Альтернативный способ помог.
    23 июля 2019 г. 9:24