none
TLS and Intra-Organization SMTP Send Connector RRS feed

  • Общие обсуждения

  • Hello!
    Pls, give advice!
    There are 2 organizations:

    1. contoso.com
    2. nwtraders.net

    Contoso.com uses for sending / receiving mail EDGE  server, nwtraders.net - HUB-Transport servers looking on the Internet. Task: using the self-signed  certificates, to make TLS between two organizations. All Exchange - 2010 SP2.

    That is made:

    Special pairs of send/receive - connector for interaction of two organizations via the mechanism of smart hosts as which act, respectively, by EDGE and HUB - servers are created. TLS is adjusted, in transport config the protected domains at level of the organizations are specified. The self-signed certificates aren't transport certificates by default and are written out on FQDN by which connectors of both organizations are for each other represented. The exchange of certificates between servers is made; they trust each other.

    Situation:

    nwtraders.net without problems sends mail by means of TLS in contoso.com, contoso.com can't execute mail sending through TLS in nwtraders.net. It was noticed that mail for the SMTP domain nwtraders.net remains in turn on organization HUB transport contoso.com and isn't transferred to the EDGE server, giving out a mistake: The admin has temporarily disallowed this secure domain. In transport logs the mistake is also noticed: A secure connection to domain-secured domain 'nwtraders.net' on connector ' ' could not be established because the DomainSecureEnabled flag on the connector was not set. Set the DomainSecureEnabled flag or remove the domain 'nwtraders.net' from the domain-secured list.

    Where mistake?
    Thanks


    WBR, Alex

    12 сентября 2012 г. 8:18

Все ответы

  • Это русскоязычный форум - задавайте вопрос на русском.

    Сазонов Илья http://isazonov.wordpress.com/

    12 сентября 2012 г. 8:27
    Модератор
  • Прошу прощения

    Есть 2 организации: contoso.com и nwtraders.net

    Contoso.com использует для отсылки / получения почты EDGE-сервера, nwtraders.net - сервера HUB-Transport, смотрящие в интернет. Задача: используя самозаверенные сертификаты, настроить TLS между двумя организациями.  Что сделано:

    Настроены выделенные группы send / receive - коннекторов для взаимодействия 2х организаций посредством механизма смарт-хостов, в роли которых выступают, соответственно, EDGE и HUB - сервера. Настроен TLS, в транспорт-конфиге указаны защищенные домены на уровне организаций. Самозаверенные сертификаты не являются транспортным сертификатами по-умолчанию и выписаны на FQDN, которыми друг для друга представляются соединители обеих организаций. Сервера так же обменяны сертификатами между собой и доверяют друг-другу.

    Собственно проблема:

    nwtraders.net без проблем отправляет почту посредством TLS в contoso.com, contoso.com не может выполнить отправку почты через TLS в nwtraders.net. Было замечено, что почта для SMTP-домена nwtraders.net остается в очереди на HUB-транспорте организации contoso.com и не передается EDGE-серверу, выдавая ошибку: The admin has temporarily disallowed this secure domain. В транспортных логах при этом была замечена ошибка: A secure connection to domain-secured domain 'nwtraders.net' on connector 'Intra-Organization SMTP Send Connector' could not be established because the DomainSecureEnabled flag on the connector was not set. Set the DomainSecureEnabled flag or remove the domain 'nwtraders.net' from the domain-secured list.

    Вопрос: где ошибка? Почему в одной организации не возникло проблем с системным 'Intra-Organization SMTP Send Connector' ?


    WBR, Alex

    12 сентября 2012 г. 8:32
  • Выставьте параметр как вам рекомендовано с помощью   Set-SendConnector http://technet.microsoft.com/en-us/library/bb125140.aspx

    А почему так случилось, надо у вас спрашивать :-) - видимо по-разному создавали коннекторы.


    Сазонов Илья http://isazonov.wordpress.com/

    12 сентября 2012 г. 9:46
    Модератор
  • Для специальных пар коннекторов все выставлено

    Проблема именно в системном (скрытом) интер-коннекторе "Intra-Organization SMTP Send Connector". И этот коннектор не создается, это данность нам свыше!

    При попытке настроить его через Set-SendConnector получается отбой что таковой не найден на контроллере домена

    WBR, Alex

    12 сентября 2012 г. 10:03
  • День добрый.

    Создайте сертификат самоподписный с SAN, FQDN всех серверов. Импортируйте сертификат на все сервера. Укажите SMTP сервис для данного сертификата.

    Set-TransportServer "server" -IntraOrgConnectorProtocolLoggingLevel:verbose

    Включите и смотрите логи SMTP, что пишет?


    MCITP. Знание - не уменьшает нашей глупости.

    12 сентября 2012 г. 10:18
    Модератор
  • Этот вербоз уже выставлен, именно оттуда сообщения "A secure connection to domain-secured domain 'nwtraders.net' on connector 'Intra-Organization SMTP Send Connector' ......"

    WBR, Alex

    12 сентября 2012 г. 10:48
  • Если у вас настроены с обоих сторон отдельные коннекторы для передачи и приема между вашими двумя почтовыми организациями, то системный коннектор вообще не должен участвовать в этом процессе.


    Сазонов Илья http://isazonov.wordpress.com/

    12 сентября 2012 г. 10:54
    Модератор
  • Системный коннектор, в том числе, используется для пересылки сообщений транспортным серверам в организации Exchange. Еще раз: почта для SMTP-домена nwtraders.net остается в очереди на HUB-транспорте организации contoso.com и не передается EDGE-серверу

    WBR, Alex

    12 сентября 2012 г. 10:59
  • Как вариант сделать не подписной Edge.

    Configuring Edge Transport servers in your hybrid deployment when not using EdgeSync

    http://community.office365.com/en-us/wikis/exchange/configuring-mail-routing-with-an-exchange-2010-edge-transport-server-in-a-hybrid-deployment.aspx


    MCITP. Знание - не уменьшает нашей глупости.

    12 сентября 2012 г. 11:07
    Модератор
  • Не подписной не вариант - проблема с реальной большой инфраструктуры.

    "Создайте сертификат самоподписный с SAN, FQDN всех серверов. Импортируйте сертификат на все сервера. Укажите SMTP сервис для данного сертификата. "

    Не понял замысла...  самоподписный сертификат должен иметь в CN FQDN, которым представляется соединитель. Все что в SAN - игнорируется. Помимо всего прочего самоподписный сертификат не экспортится с приватным ключом, соответственно не может быть импортирован в иных весях...


    WBR, Alex

    12 сентября 2012 г. 11:19
  • Системный коннектор, в том числе, используется для пересылки сообщений транспортным серверам в организации Exchange. Еще раз: почта для SMTP-домена nwtraders.net остается в очереди на HUB-транспорте организации contoso.com и не передается EDGE-серверу

    WBR, Alex


    Вы все же озвучьте где и какие коннекторы вы создали и с какими параметрами: внутреннему коннектору должно быть без разницы что вы отправляете на Edge.

    Сазонов Илья http://isazonov.wordpress.com/

    12 сентября 2012 г. 11:48
    Модератор
  • Вот! Именно! Должно быть без разницы, но разница есть в очередях и логах!

    Еше раз:

    В Contoso.com есть EDGE (и конечно ниже свои HUB), в nwtraders.net - сервера HUB, смотрящие в интернет (т.е. EDGE просто нет, почему-зачем - не имеет значения, просто "дано").  Соответственно в Contoso.com  на EDGE созданы send / receive - коннекторы в сторону nwtraders.net; в nwtraders.net  - на HUB созданы send / receive - коннекторы  в сторону Contoso.com; получатели во всех send-коннекторах стоят smart-host c FQDN как в сертификатах "визави" по пересылке. 

    WBR, Alex

    12 сентября 2012 г. 12:17
  • Домены в организациях переведены в режим Internal Relay?

    Когда-то экспортировать можно было. Пойдем другим путем.

    Hub (nwtraders.net) доверяет самоподписному сертификату Edge (Contoso.com)? И на оборот?

    How to Export a Self signed Server Certificate and Import it on a another Server in Windows server 2008 R2


    MCITP. Знание - не уменьшает нашей глупости.

    12 сентября 2012 г. 12:52
    Модератор
  • Системный коннектор, в том числе, используется для пересылки сообщений транспортным серверам в организации Exchange. Еще раз: почта для SMTP-домена nwtraders.net остается в очереди на HUB-транспорте организации contoso.com и не передается EDGE-серверу

    WBR, Alex

    Ну если HUB транспорту так не хочется передавать почту на Edge, а использовать системный коннектор, то попробуйте создать send connector на самом HUB'e в сторону HUB'a из nwtraders.net.
    12 сентября 2012 г. 13:15
    Отвечающий
  • А зачем Internal Relay ? Т.е. об этом думали, но по формальным признакам это более подходит под External - доступ через инет, нет трастов, синхронизаций и проч.

    Нет, туда не экспортили именно потому что "внутреннему коннектору должно быть без разницы что вы отправляете на Edge". Теперь вот есть сомнения: неужели криптовка будет происходить на хабе? Иначе зачем хабу этот серт?  Сейчас допилим стенд...


    WBR, Alex

    12 сентября 2012 г. 13:21
  • Усли вы не делаете Internal Relay, тогда делайте Configure Cross-Forest Connectors.


    MCITP. Знание - не уменьшает нашей глупости.

    12 сентября 2012 г. 13:32
    Модератор
  • To  Maksim Barakin

    Не могу, ограничение безопасников, не обсуждается


    WBR, Alex


    • Изменено KRUGOR 12 сентября 2012 г. 13:40
    12 сентября 2012 г. 13:33
  • Собственно релеи тут вообще не причем, сделаны для отдельных задач, напрямую к текущей засаде не относящейся.  Но если это вдруг как-то влияет...

    WBR, Alex

    12 сентября 2012 г. 13:35
  • TOOleg.Kovalenko

    Вашими бы устами да медку бы хапануть! ;-) Увы, безопасники с обеих сторон откроют на нас сезон охоты...

    А что Internal Relay изменит?


    WBR, Alex


    • Изменено KRUGOR 12 сентября 2012 г. 13:38
    12 сентября 2012 г. 13:37
  • Вам скорее External Relay Domain, если вы настраиваете через Edge.

    Настройка прав на External Relay.

    How To Allow Relaying in Exchange 2010 and Exchange 2007


    MCITP. Знание - не уменьшает нашей глупости.

    12 сентября 2012 г. 13:45
    Модератор
  • Т.к. про параметры настроек вы так ничего и не сказали, остается гадать... Посмотрите в Set-TransportConfig параметр TLSReceiveDomainSecureList. http://technet.microsoft.com/en-us/library/bb124151.aspx

    Целиком описание настроек http://technet.microsoft.com/en-us/library/bb123543.aspx


    Сазонов Илья http://isazonov.wordpress.com/


    13 сентября 2012 г. 2:54
    Модератор
  • Почему не сказал? "в транспорт-конфиге указаны защищенные домены на уровне организаций".  Или мы говорим о чем-то разном?

    Хуже то, что детальный повтор конфигурации на стенде ошибок не выдает, все работает как швейцарские часы. Понятно что чистая инсталляция и запачканная временем и потными руками админов  - разные вещи, но что теперь делать? ;-)


    WBR, Alex

    13 сентября 2012 г. 9:18
  • 1. Повысить уровень логирования транспортных сервисов.

    2. Send/Receive connector permissions проверить.


    MCITP. Знание - не уменьшает нашей глупости.

    13 сентября 2012 г. 11:31
    Модератор
  • Тогда банальное предположение, что в списк доменов у вас попал мусор (например, копировали и попал спецсимвол) - обнулите списки и ручками напечатайте аккуратно.

    Сазонов Илья http://isazonov.wordpress.com/

    13 сентября 2012 г. 11:32
    Модератор
  • Ну да, еще раз все по кругу проверить и надеяться на собственный косяк, другого выхода нет....


    WBR, Alex

    13 сентября 2012 г. 12:23
  • KRUGOR, удалось ли Вам разобраться?

    Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий

    21 сентября 2012 г. 12:01
  • Тема переведена в разряд обсуждений по причине отсутствия активности

    Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий

    26 сентября 2012 г. 14:20
  • добрый день, А можно эспортировать самоподписной сертификат Edge (он уже установлен был по умолчанию на сервере, и на этом сертификате определена служба SMTP) на sedmail другой организации ? Тоже требуется настроить SMTP TLS между двумя организациями.

    17 ноября 2012 г. 12:13