none
ISA, Exchange HUB, SMTP TLS RRS feed

  • Вопрос

  • Здравствуйте всезнающие. Помогите разобраться:

    Есть ISA,  на которой установлен сертификат mail.domain.com от Thawte. Внутри сети стоят 2 HUB транспорта, организованных в NLB кластер: srv-hub.domain.ru, его ноды: srv-hub1.domain.ru и srv-hub2.domain.ru

    На ISA прописаны правила, что весь SMTP/SMTPS заворачивать на NLB адрес. Стоит задача какие сертификаты (и нужно ли) запрашивать от локального центра сертификации для работы SMTP starttls... Я так понимаю, что при обращении клиента извне сама ISA с установленным сертификатом начинает шифрование траффика SMTP, или же траффик SMTP полностью без обработки передается на HUB? Тогда, если без обработки, то сам HUB начинает работу SMTP с TLS,- а если так, то какие сертификаты будет правильно использовать, ведь ноды две, да еще и само имя HUB-NLB, плюс ко всему их название отличается от mail.domain.ru...? Всю голову себе сломал уже...
    • Перемещено Hengzhe Li 12 марта 2012 г. 11:05 forum merge (От:Exchange Server 2007)
    11 марта 2009 г. 7:05

Все ответы

  • Roman Kuchukbaev написал:

    Здравствуйте всезнающие. Помогите разобраться:

    Есть ISA,  на которой установлен сертификат mail.domain.com от Thawte. Внутри сети стоят 2 HUB транспорта, организованных в NLB кластер: srv-hub.domain.ru, его ноды: srv-hub1.domain.ru и srv-hub2.domain.ru

    На ISA прописаны правила, что весь SMTP/SMTPS заворачивать на NLB адрес. Стоит задача какие сертификаты (и нужно ли) запрашивать от локального центра сертификации для работы SMTP starttls... Я так понимаю, что при обращении клиента извне сама ISA с установленным сертификатом начинает шифрование траффика SMTP, или же траффик SMTP полностью без обработки передается на HUB? Тогда, если без обработки, то сам HUB начинает работу SMTP с TLS,- а если так, то какие сертификаты будет правильно использовать, ведь ноды две, да еще и само имя HUB-NLB, плюс ко всему их название отличается от mail.domain.ru...? Всю голову себе сломал уже...


    Установите на ISA и серверах Exchange сертификат от Thawte
    Первое правило Windows - делай резервную копию. Коды ошибок смотрите по адресу http://eventid.net/
    11 марта 2009 г. 7:27
  • А как быть с внутренними пользователями? Ведь они цепляются не к mail.domain.ru  получается. Ругаться будет?
    11 марта 2009 г. 7:38
  • Roman Kuchukbaev написал:

    А как быть с внутренними пользователями? Ведь они цепляются не к mail.domain.ru  получается. Ругаться будет?


    С чего вдруг будет ругаться ?

    Во первых они по mapi в основной своей массе, а во вторых рут траста разве нет от Thawte?
    Первое правило Windows - делай резервную копию. Коды ошибок смотрите по адресу http://eventid.net/
    11 марта 2009 г. 7:52
  • ругаться не должно. Если у вас внутреннее имя и внешнее не отличается
    11 марта 2009 г. 8:00
  • kkvkkv написал:

    ругаться не должно. Если у вас внутреннее имя и внешнее не отличается


    В том-то и дело, что отличается... Т.е. снаружи виден как mail.domain.ru, а изнутри как srv-hub.domain.ru (который в свою очередь состоит из 2 нод: srv-hub1.domain.ru и srv-hub2.domain.ru)...
    11 марта 2009 г. 8:12
  • Roman Kuchukbaev написал:

    kkvkkv написал:

    ругаться не должно. Если у вас внутреннее имя и внешнее не отличается


    В том-то и дело, что отличается... Т.е. снаружи виден как mail.domain.ru, а изнутри как srv-hub.domain.ru (который в свою очередь состоит из 2 нод: srv-hub1.domain.ru и srv-hub2.domain.ru)...


    Не будет ругаться - уже ответил почему.

    Первое правило Windows - делай резервную копию. Коды ошибок смотрите по адресу http://eventid.net/
    11 марта 2009 г. 8:19
  • cognize_ написал:
    Во первых они по mapi в основной своей массе
    А это значит цепляются к mailbox серверам, и HT Ваш совершенно ни при чем.
    Roman Kuchukbaev написал:
    На ISA прописаны правила, что весь SMTP/SMTPS заворачивать на NLB адрес.

    Это правило публикации почтового сервера так называется? Или это просто правило, руками деланное?

    Олег Крылов
    11 марта 2009 г. 20:10
    Модератор
  • Так... с SMTP и TLS немного отойдем в сторону. Возникла проблема номер 2: NLB и SMTP. Делал, руководствуясь статьей http://www.redline-software.com/rus/support/articles/msexchange/2007/balancing-exchange2007sp1-balancing-part2.php и ее первой частью. Письма приходили и повисали в очереди. Затем нашел здесь на форуме, что от NLB у HUB срывает крышу, конкретно когда он отсылает письма. В общем помогите разобраться в коннекторах... Совсем в конец запутался:

    На каждом из серверов есть 2 receive коннектора с именами Default и Client:

    В Default на каждой из нод кластера прописано, что он отвечает srv-hubX.domain.ru и в Networks использовать свой (ноды) IP адрес, где биндится 25 порт.

    В Client прописано, что он отвечает как mail.domain.ru (на каждой ноде). ну и в параметрах Networks стоит собственно так же IP адрес себя (у каждой ноды свой локальный). Если меняю на виртуальный IP имени кластера, то почта повисает в очереди. Как правильно организовать коннекторы, чтобы входящий траффик SMTP приходил на адрес кластера и отрабатывался по мере загрузки каждой ноды и в то же время, чтобы почта вот так в очереди не висела.


    Простите, если вопросы глупые, просто с Exchange не так давно начал работать и SEND/Receive коннекторы меня окончательно запутали.

    12 марта 2009 г. 10:45
  • 1) Балансировка нагрузки и обеспечение отказоустойчивости транспортных серверов

    2) Send отправляет, Receive принимает

    Первое правило Windows - делай резервную копию. Коды ошибок смотрите по адресу http://support.microsft.com и http://eventid.net/
    12 марта 2009 г. 10:59