none
Ексч 2013 и новый роутер ... RRS feed

  • Общие обсуждения

  • Сейчас сабж смотрит голым ... в инет. И ... честно говоря, несмотря на настройки и встроенные в winsrv2008r2 файрволлы, всё равно "пихают". Не далее как сегодня пришёл на работу - там BSOD. Уже не в первый раз и каждый раз по-разному. Решили всё-таки поставить роутер впереди - там и файрфолл и куча фишек встроенных типа защиты от дидос и т.д.

    Вопрос: как настроить эксч и роутер в такой конфигурации ?

    В общем планирую закрыть абсолютно все порты, а потом открыть ТОЛЬКО те, которые нужны эксчу.

    ЗЫ: и что будет с записью PTR у провайдера ...


    =STAS=


    21 июня 2018 г. 11:14

Все ответы

  • Добрый день.

    Какое отношение имеет BSOD к тому, что кто-то там вашему эксчу "пихает"?

    А так все задачи стандартные:

    1. меняете сетевые настройки на адаптере эксча

    2. на роутере делаете проброс нужных портов в сторону эксча

    3. на роутере разрешаете эксчу по нужным портам ходить в интернет

    21 июня 2018 г. 11:38
  • Все необходимые порты расписаны в этой статье.
    Смотрите, какие сервисы Вы используете и открывайте соответсвующий порт.
    53 и 50636 Вам не нужно открывать.
    Если у роутера будет IP адрес, который сейчас прописан у Exchange - то ничего на внешнем DNS, в том числе PTR, менять не нужно.
    Вам остаётся только поменять IP Exchange на внутренний и поменять ссылки доступа для клиентов.
    21 июня 2018 г. 11:59
    Модератор
  • Уже третий раз за год ... Сначала был WannaCry, теперь 2 BSOD. Я понимаю, вы намекаете на то, что это ошибка драйверов и железа, но действительно ли нельзя это инициировать извне ?

    По поводу первого пункта можно поподробней ? 2 и 3 в общем и целом понятны. Сейчас на Ексче 2 сетевухи. Одна смотрит вовнутрь, другая - в инет.


    =STAS=

    • Изменено -STAS- 21 июня 2018 г. 23:33
    21 июня 2018 г. 23:31
  • хм ... а зачем ссылки доступа менять ? mail.domain.ru сейчас стоит ... предлагаете поменять его на другой ? тогда комодовский сертификат может не работать ...

    =STAS=

    • Изменено -STAS- 21 июня 2018 г. 23:32
    21 июня 2018 г. 23:32
  • Добрый День.

    По сути необходимо открыть порты 443 и 25, настроить на роутере перенаправление портов на Exchange, возможно  понадобится развернуть WAP...


    Я не волшебник, я только учусь MCP CCNA. Если Вам помог чей-либо ответ, пожалуйста, не забывайте жать на кнопку "Пометить как ответ" или проголосовать "полезное сообщение". Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции работодателя. Вся информация предоставляется как есть без каких-либо гарантий. Блог IT Инженера, Twitter, YouTube, GitHub.

    21 июня 2018 г. 23:42
    Модератор
  • Уже третий раз за год ... Сначала был WannaCry, теперь 2 BSOD. Я понимаю, вы намекаете на то, что это ошибка драйверов и железа, но действительно ли нельзя это инициировать извне ?

    По поводу первого пункта можно поподробней ? 2 и 3 в общем и целом понятны. Сейчас на Ексче 2 сетевухи. Одна смотрит вовнутрь, другая - в инет.


    =STAS=

    WannaCry - это косяк лично ваш как админа, поскольку вы не ставите обновления на винду и держите открытыми наружу лишние порты, которые не нужны для работы сервиса. Итого два очень серьезных по степени важности упущения.

    Даже если и ваш BSOD каким-то магическим образом кто-то вызывает снаружи, это не отменяет того факта, что вы, коллега, стали главной причиной проблем на вашем сервере.

    По поводу пункта №1: почитайте про NAT (https://ru.wikipedia.org/wiki/NAT - обратите внимание на картинки в статье). На одном сетевом интерфейсе вашего маршрутизатора будет висеть публичный адрес, с которого будут проброшены порты на локальный адрес вашего эксча. 

    22 июня 2018 г. 5:15
  • хм ... а зачем ссылки доступа менять ? mail.domain.ru сейчас стоит ... предлагаете поменять его на другой ? тогда комодовский сертификат может не работать ...

    =STAS=

    Для внутренних клиентов. Но если имена останутся теже самыми - то не нужно менять
    22 июня 2018 г. 7:39
    Модератор
  • Насчёт WannaCry  хочу заметить, что Microsoft включила защиту от него в автообновление гораздо позже, именно поэтому было заражено так много компов. То есть это обновление можно было скачать, но только вручную.

    Насчёт портов - всё по-умолчанию, по дефолтным настройкам MS для общественных сетей.

    По первому пункту не понял - я спросил про специальные настройки на эксче, если таковые имеются и в свойствах сетевого подключения на winsrv2008r2, а не на роутере. То ли лыжи не едут ...


    =STAS=

    22 июня 2018 г. 8:41
  • Спасибо за ссылку на статью - очень наглядно и понятно описано. По поводу смены IP Exchange на внутренний: на сервере 2 сетевухи и на одной уже прописан внутренний IP - так второй сетевухе тоже дать ещё один внутренний IP, так что ли ?

    =STAS=

    22 июня 2018 г. 8:49
  • Насчёт WannaCry  хочу заметить, что Microsoft включила защиту от него в автообновление гораздо позже, именно поэтому было заражено так много компов. То есть это обновление можно было скачать, но только вручную.

    Насчёт портов - всё по-умолчанию, по дефолтным настройкам MS для общественных сетей.

    По первому пункту не понял - я спросил про специальные настройки на эксче, если таковые имеются и в свойствах сетевого подключения на winsrv2008r2, а не на роутере. То ли лыжи не едут ...


    =STAS=

    Нет, все было совсем не так. Столько проблем с WannaCry было как раз из-за того, что сисадмины очень часто предпочитают вообще не ставить обновы.

    Не будем вдаваться в подробности как там у MS по умолчанию с общественными сетями, но из инета вам нужно было дать доступ только по нужным для работы эксча портам, а порты SMB-шар таковыми не являются ни при каких обстоятельствах. 

    По первому пункту я немного не так вас понял. Оказывается у вас эксч с двумя сетевухами. В таком случае можно просто одну отключить и сделать соответствующие пробросы с внешнего адреса на маршрутизаторе на внутренний адрес второй сетевой карты. Поскольку эта карта у вас уже была и настройки не менялись, то на эксче вероятнее всего ничего менять тоже не придется.

    22 июня 2018 г. 8:52
  • По WannaCry не согласен, т.к. боролся с ним и изучал эту проблему в течении месяца, наверное. Довольно подробно и в мелочах, но не суть. А обновления ставлю регулярно раз в неделю-две.

    По поводу настроек на сетевухе - там сейчас стоит публичный IP, маска подсети, шлюз и ДНС провайдера. Предлагаете так и оставить ?

    А на второй сетевухе стоит наш, внутренний IP и ДНС с контроллера домена он запрашивает (в настройках эксча тоже днс внутренний)


    =STAS=

    • Изменено -STAS- 22 июня 2018 г. 9:14
    22 июня 2018 г. 9:04
  • внутренние клиенты заходят на ексч извне ... так я настроил :)

    =STAS=

    22 июня 2018 г. 9:16
  • если убираете сервер за роутер то надобности во второй сетевой карте на Exchange не будет.
    Внутренних пользователей лучше пускать бужед по внутреннему IP, а не IP роутера. Поэтому видимо и придётся менять внутренний URL, т.к. это будет новая запись в DNS. И да, тогда придётся править сертификат.

    Я вообще не понимаю, зачем Вам нужно было два сетевых интерфейса...

    22 июня 2018 г. 9:24
    Модератор
  • внутренние клиенты заходят на ексч извне ... так я настроил :)

    =STAS=

    Ужасно.
    22 июня 2018 г. 9:25

  • По поводу настроек на сетевухе - там сейчас стоит публичный IP, маска подсети, шлюз и ДНС провайдера. Предлагаете так и оставить ?


    Я ничего не понимаю, вы собираетесь сервер помещать за маршрутизатор или нет? Если собираетесь, то у вас эта сетевуха должна быть отключена.

    Ещё один момент: если вы руководствуетесь логикой "помещу сервер за маршрутизатор, чтобы BSOD больше не вылезал", то я вам сразу скажу, что от этой проблемы вы не избавитесь таким образом.

    22 июня 2018 г. 9:27
  • внутренние клиенты заходят на ексч извне ... так я настроил :)


    =STAS=

    Ужасно.
    само по себе это нормально, при условии что других интерфейсов нет, но у Автора они есть - вот только зачем?
    22 июня 2018 г. 9:27
    Модератор

  • Ужасно.

    само по себе это нормально, при условии что других интерфейсов нет, но у Автора они есть - вот только зачем?

    Логично предположить, что шлюз только один и он на внешней сетевой карте. Если на внутреннюю карту пришел запрос из подсети, которая не соответствует подсети внутреннего интерфейса, то сервер не будет знать кому отправлять ответ. Это решается добавлением вручную статических маршрутов (или одного единственного маршрута с результирующей маской, если подсети отличаются незначительно).

    Но это конечно усложнение инфраструктуры на пустом месте. Не говоря уже о том, что впустую расходуется лишний публичный адрес.

    22 июня 2018 г. 9:33
  • запрос приходит на "внешнюю" карту. "так он настроил :)" (с)

    ещё бы узнать как это настроено, если средствами Exchange - хорошо (в таком случае внутренняя сетевая карта не нужна), если средствами RRAS - "ужасно"

    22 июня 2018 г. 9:42
    Модератор
  • Что ужасного ? Царь Леонид таким образом долго сдерживал персов - посмотрите 300 спартанцев. Один узкий вход и под полным контролем :) Стратегия, батенька.

    =STAS=

    22 июня 2018 г. 10:12
  • Одна сетевуха - публичный IP - на провайдера и там mail.domain.local

    Другая - внутри нашего домена - получает ДНС с КД, который, в свою очередь,, получает ДНС у прова и яндекса.


    =STAS=

    22 июня 2018 г. 10:14
  • Что ужасного ? Царь Леонид таким образом долго сдерживал персов - посмотрите 300 спартанцев. Один узкий вход и под полным контролем :) Стратегия, батенька.

    =STAS=

    Раз вы словили WannaCry, значит ваш "проход" оказался не таким уж и узким (не подумайте ничего нехорошего), либо ваши "спартанцы" на самом деле так себе спартанцы
    22 июня 2018 г. 10:17
  • Мать такая куплена была с 2-мя сетевухами Интел сервер начального уровня. 2-ю сетевуху хотели использовать для уменьшения нагрузки + ДНС со своего КД надёжнее.

    =STAS=

    22 июня 2018 г. 10:17
  • не RRAS

    =STAS=

    22 июня 2018 г. 10:20
  • Что-то вы меня совсем запутали.

    Да, сначала будет роутер, за ним ексч - такая идея. Более безопасно.

    На роутере настраивать публичный IP, насколько я понял, и проброс портов, необходимых для эксча, на почтовый сервер. Допустим, одну сетевуху на сервере отключаем. Что писать в настройках оставшейся сетевухи ?


    =STAS=

    22 июня 2018 г. 10:24
  • Что-то вы меня совсем запутали.

    Да, сначала будет роутер, за ним ексч - такая идея. Более безопасно.

    На роутере настраивать публичный IP, насколько я понял, и проброс портов, необходимых для эксча, на почтовый сервер. Допустим, одну сетевуху на сервере отключаем. Что писать в настройках оставшейся сетевухи ?


    =STAS=

    вот так Цаль Леонид и сдерживал персов.

    Просто отклчите "вненюю" сетевую карту. На "внутреней" сетевой карте, всё что нужно уже настроено.
    Если внутренние клиенты (спартанцы) не смогут подлючаться к серверу - подключайте их по внутренней сетевой карте.

    А вот по-поводу пойманого вируса - похоже у Вас на сервере не только Exchange установлен.....

    22 июня 2018 г. 10:33
    Модератор
  • На внутренней карте шлюз пропишите. Это все.
    22 июня 2018 г. 10:36
  • На внутренней карте шлюз пропишите. Это все.
    а, точно )
    22 июня 2018 г. 10:43
    Модератор
  • Какой ?  У меня их получится два тогда уже. Один - существующий сейчас, по которому весь офис в инет выходит, второй будет на новом роутере. Или вы предлагаете прописать шлюз не роутера, а провайдера ?

    =STAS=

    • Изменено -STAS- 22 июня 2018 г. 11:41
    22 июня 2018 г. 11:34
  • внутренний адрес вашего роутера )
    22 июня 2018 г. 11:36
    Модератор
  • Просто отклчите "вненюю" сетевую карту. На "внутреней" сетевой карте, всё что нужно уже настроено.

    Если внутренние клиенты (спартанцы) не смогут подлючаться к серверу - подключайте их по внутренней сетевой карте.

    А вот по-поводу пойманого вируса - похоже у Вас на сервере не только Exchange установлен.....

    Как так ? Если я отключаю внешнюю. сетевуху, то вариант только один остаётся. Что значит "подключайте их по внутренней сетевой карте" ?

    Ексч онли.


    =STAS=

    • Изменено -STAS- 22 июня 2018 г. 11:37
    22 июня 2018 г. 11:37
  • Так не получится. Внутри нашей сети у нас роутер, по которому весь офис выходит в интернет - на нём другой IP-адрес внешний, отличный от того, на котором сейчас почтовый сервер находится.

    =STAS=

    • Изменено -STAS- 22 июня 2018 г. 11:50
    22 июня 2018 г. 11:48
  • вот я схему почтовых потоков, роутеров и серверов нарисовал для понятности:


    =STAS=

    22 июня 2018 г. 12:11
  • Что значит "подключайте их по внутренней сетевой карте" ?

    Ексч онли.


    =STAS=

    Это значит менять URL. Ссылку я давал.

    Так не получится. Внутри нашей сети у нас роутер, по которому весь офис выходит в интернет - на нём другой IP-адрес внешний, отличный от того, на котором сейчас почтовый сервер находится.

    Значит нужно менять и записи во внешнем ДНС: все A, MX, PTR.

    Стас, убедительная просьба не писать сообщения подряд, а изменять уже написанные!

    Я так понял, эта схема - новая схема? и SRV2 - это Ваш Exchange?

    Если у Вас Cisco, то скорее всего там можно прописать второй внешний IP адрес, тогда нужно будет только грамотно настроить правила проброса портов, и никакие DNS менять уже не нужно будет.
    22 июня 2018 г. 12:15
    Модератор
  • Окей.

    Схема старая. Давно уже так работает всё.

    SRV2 - да, Exchange 2013

    На Cisco через веб-интерфейс уже не зайти - слишком старый, на старой яве был написан, а через CLI - я не такой крутой цискарь. Второй роутер покупаем именно для этих целей - защита почты извне. Потому и IP отдельный. Не хочется всё мешать один роутер. Тем более на том IP висит ещё PTR на старый MDaemon, через который почта приходит от провайдера м потом идёт на Exchange, два моста с удалёнными офисами. В общем, Cisco - для интернета, Zyxel - для почты. Такая мысль. В дальнейшем сменим и Cisco, но это ещё ...


    =STAS=

    • Изменено -STAS- 22 июня 2018 г. 12:46
    22 июня 2018 г. 12:43
  • если это старая схема, то где Exchange, смотрящий голым задом в инет? Я вот вижу, его прикрывает Zyxel
    22 июня 2018 г. 12:50
    Модератор
  • Так нет, Зухель ещё не купили. Пока напрямую с провайдера на почтовый сервер идёт. Ну да, получается новая схема :)

    =STAS=

    • Изменено -STAS- 22 июня 2018 г. 12:55
    22 июня 2018 г. 12:54
  • какой внутренний IP у Циски?
    22 июня 2018 г. 13:04
    Модератор
  • Окей.

    Схема старая. Давно уже так работает всё.

    SRV2 - да, Exchange 2013

    На Cisco через веб-интерфейс уже не зайти - слишком старый, на старой яве был написан, а через CLI - я не такой крутой цискарь. Второй роутер покупаем именно для этих целей - защита почты извне. Потому и IP отдельный. Не хочется всё мешать один роутер. Тем более на том IP висит ещё PTR на старый MDaemon, через который почта приходит от провайдера м потом идёт на Exchange, два моста с удалёнными офисами. В общем, Cisco - для интернета, Zyxel - для почты. Такая мысль. В дальнейшем сменим и Cisco, но это ещё ...


    =STAS=

    Добрый День.

    Уточните модель Cisco...

    Как пример:

    ip nat inside source static tcp Internal IP External IP 443 extendable
    ip nat inside source static tcp Internal IP External IP 25 extendable
    


    Я не волшебник, я только учусь MCP CCNA. Если Вам помог чей-либо ответ, пожалуйста, не забывайте жать на кнопку "Пометить как ответ" или проголосовать "полезное сообщение". Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции работодателя. Вся информация предоставляется как есть без каких-либо гарантий. Блог IT Инженера, Twitter, YouTube, GitHub.

    22 июня 2018 г. 13:18
    Модератор
  • 192.168.1.1

    =STAS=

    • Изменено -STAS- 22 июня 2018 г. 13:29
    22 июня 2018 г. 13:29
  • 192.168.1.1

    =STAS=

    Добрый День.

    :) я про Модель а не его Адрес...


    Я не волшебник, я только учусь MCP CCNA. Если Вам помог чей-либо ответ, пожалуйста, не забывайте жать на кнопку "Пометить как ответ" или проголосовать "полезное сообщение". Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции работодателя. Вся информация предоставляется как есть без каких-либо гарантий. Блог IT Инженера, Twitter, YouTube, GitHub.

    22 июня 2018 г. 13:31
    Модератор
  • О, нет ! Только не это опять !  Cisco 800 series. У меня как-то раз давно уже внутренняя флеш-память полетела, мастера поменяли на новую, пустую - вот я намучался тогда через Putty ... Спасибо за совет, конечно, но ... Тем более я уже писал, что там много другого на этой циске, так что ... я просто хочу зикселем прикрыть почтовик и всё.

    =STAS=

    • Изменено -STAS- 22 июня 2018 г. 13:35
    22 июня 2018 г. 13:31
  • тогда на Zyxel внутренний делаете 192.168.1.254 и его указываете шлюзом в Exchange. Если 254 занят - любой другой свободный IP из сети 192.168.1.0/24
    22 июня 2018 г. 13:32
    Модератор
  • это я Анахайму - он спрашивал про внутренний IP ...

    =STAS=

    22 июня 2018 г. 13:37
  • Теоретически можно любой IP назначать, т.к. Зухель никак не связан с внутренней сетью. У него с одной стороны - провайдер, с другой - почтовик.

    =STAS=

    22 июня 2018 г. 13:40
  • т.к. Зухель никак не связан с внутренней сетью

    а вот лучше связать, что бы и Exchange и пользователи были в одной сети.

    Мой Вам совет - не изобретайте велосипед!

    22 июня 2018 г. 13:49
    Модератор
  • ну не знаю ... так а на сетевухе почтовика в данной конфигурации что писать ?

    =STAS=

    22 июня 2018 г. 14:07
  • я уже писал - внутрений адрес Zyxel
    22 июня 2018 г. 14:44
    Модератор