Remove From My Forums

ISA, Exchange HUB, SMTP TLS

Вопрос
0

Нужно войти
Здравствуйте всезнающие. Помогите разобраться:

Есть ISA, на которой установлен сертификат mail.domain.com от Thawte. Внутри сети стоят 2 HUB транспорта, организованных в NLB кластер: srv-hub.domain.ru, его ноды: srv-hub1.domain.ru и srv-hub2.domain.ru

На ISA прописаны правила, что весь SMTP/SMTPS заворачивать на NLB адрес. Стоит задача какие сертификаты (и нужно ли) запрашивать от локального центра сертификации для работы SMTP starttls... Я так понимаю, что при обращении клиента извне сама ISA с установленным сертификатом начинает шифрование траффика SMTP, или же траффик SMTP полностью без обработки передается на HUB? Тогда, если без обработки, то сам HUB начинает работу SMTP с TLS,- а если так, то какие сертификаты будет правильно использовать, ведь ноды две, да еще и само имя HUB-NLB, плюс ко всему их название отличается от mail.domain.ru...? Всю голову себе сломал уже...
- Перемещено Hengzhe Li 12 марта 2012 г. 11:05 forum merge (От:Exchange Server 2007)
11 марта 2009 г. 7:05

Ответить

|

Цитировать

Все ответы

0

Нужно войти

Roman Kuchukbaev написал:
Здравствуйте всезнающие. Помогите разобраться:

Есть ISA, на которой установлен сертификат mail.domain.com от Thawte. Внутри сети стоят 2 HUB транспорта, организованных в NLB кластер: srv-hub.domain.ru, его ноды: srv-hub1.domain.ru и srv-hub2.domain.ru

На ISA прописаны правила, что весь SMTP/SMTPS заворачивать на NLB адрес. Стоит задача какие сертификаты (и нужно ли) запрашивать от локального центра сертификации для работы SMTP starttls... Я так понимаю, что при обращении клиента извне сама ISA с установленным сертификатом начинает шифрование траффика SMTP, или же траффик SMTP полностью без обработки передается на HUB? Тогда, если без обработки, то сам HUB начинает работу SMTP с TLS,- а если так, то какие сертификаты будет правильно использовать, ведь ноды две, да еще и само имя HUB-NLB, плюс ко всему их название отличается от mail.domain.ru...? Всю голову себе сломал уже...

Установите на ISA и серверах Exchange сертификат от Thawte
Первое правило Windows - делай резервную копию. Коды ошибок смотрите по адресу http://eventid.net/

11 марта 2009 г. 7:27

Ответить

|

Цитировать
0

Нужно войти

А как быть с внутренними пользователями? Ведь они цепляются не к mail.domain.ru получается. Ругаться будет?

11 марта 2009 г. 7:38

Ответить

|

Цитировать
0

Нужно войти

Roman Kuchukbaev написал:
А как быть с внутренними пользователями? Ведь они цепляются не к mail.domain.ru получается. Ругаться будет?

С чего вдруг будет ругаться ?

Во первых они по mapi в основной своей массе, а во вторых рут траста разве нет от Thawte?
Первое правило Windows - делай резервную копию. Коды ошибок смотрите по адресу http://eventid.net/

11 марта 2009 г. 7:52

Ответить

|

Цитировать
0

Нужно войти

ругаться не должно. Если у вас внутреннее имя и внешнее не отличается

11 марта 2009 г. 8:00

Ответить

|

Цитировать
0

Нужно войти

kkvkkv написал:
ругаться не должно. Если у вас внутреннее имя и внешнее не отличается

В том-то и дело, что отличается... Т.е. снаружи виден как mail.domain.ru, а изнутри как srv-hub.domain.ru (который в свою очередь состоит из 2 нод: srv-hub1.domain.ru и srv-hub2.domain.ru)...

11 марта 2009 г. 8:12

Ответить

|

Цитировать
0

Нужно войти

Roman Kuchukbaev написал:
kkvkkv написал:
ругаться не должно. Если у вас внутреннее имя и внешнее не отличается

В том-то и дело, что отличается... Т.е. снаружи виден как mail.domain.ru, а изнутри как srv-hub.domain.ru (который в свою очередь состоит из 2 нод: srv-hub1.domain.ru и srv-hub2.domain.ru)...

Не будет ругаться - уже ответил почему.
Первое правило Windows - делай резервную копию. Коды ошибок смотрите по адресу http://eventid.net/

11 марта 2009 г. 8:19

Ответить

|

Цитировать
0

Нужно войти

cognize_ написал:
Во первых они по mapi в основной своей массе

А это значит цепляются к mailbox серверам, и HT Ваш совершенно ни при чем.
Roman Kuchukbaev написал:
На ISA прописаны правила, что весь SMTP/SMTPS заворачивать на NLB адрес.

Это правило публикации почтового сервера так называется? Или это просто правило, руками деланное?
Олег Крылов

11 марта 2009 г. 20:10

Ответить

|

Цитировать

Модератор
0

Нужно войти

Так... с SMTP и TLS немного отойдем в сторону. Возникла проблема номер 2: NLB и SMTP. Делал, руководствуясь статьей http://www.redline-software.com/rus/support/articles/msexchange/2007/balancing-exchange2007sp1-balancing-part2.php и ее первой частью. Письма приходили и повисали в очереди. Затем нашел здесь на форуме, что от NLB у HUB срывает крышу, конкретно когда он отсылает письма. В общем помогите разобраться в коннекторах... Совсем в конец запутался:

На каждом из серверов есть 2 receive коннектора с именами Default и Client:

В Default на каждой из нод кластера прописано, что он отвечает srv-hubX.domain.ru и в Networks использовать свой (ноды) IP адрес, где биндится 25 порт.

В Client прописано, что он отвечает как mail.domain.ru (на каждой ноде). ну и в параметрах Networks стоит собственно так же IP адрес себя (у каждой ноды свой локальный). Если меняю на виртуальный IP имени кластера, то почта повисает в очереди. Как правильно организовать коннекторы, чтобы входящий траффик SMTP приходил на адрес кластера и отрабатывался по мере загрузки каждой ноды и в то же время, чтобы почта вот так в очереди не висела.

Простите, если вопросы глупые, просто с Exchange не так давно начал работать и SEND/Receive коннекторы меня окончательно запутали.

12 марта 2009 г. 10:45

Ответить

|

Цитировать
0

Нужно войти

1) Балансировка нагрузки и обеспечение отказоустойчивости транспортных серверов

2) Send отправляет, Receive принимает

Первое правило Windows - делай резервную копию. Коды ошибок смотрите по адресу http://support.microsft.com и http://eventid.net/

12 марта 2009 г. 10:59

Ответить

|

Цитировать