Правильная публикация 2х Exchange EDGE через TMG
Вопрос
-
Коллеги, добрый день.
Есть вот такая инфраструктура:
На каждом EDGE:
В качестве шлюза указан Front-End DMZ NLB VIP (172.16.0.20).
Прописан статический маршрут в сеть Internal через Back-End DMZ NLB VIP (172.16.0.100).
На DMZ TMG-серверах прописаны 2 правила-проброса SMTP траффика:
Если SMTP пришёл на Provider1_IP1 или Provider2_IP1, то всё редиректить на EDGE-01, с сохранением IP источника
Если SMTP пришёл на Provider1_IP2 или Provider2_IP2, то всё редиректить на EDGE-02, с сохранением IP источника
Также на DMZ TMG настроены 2 сетевых правила:
Если запрос от EDGE-01 идёт в сеть External, то NAT'ить весть трафик через Provider1_IP1 или Provider2_IP1
Если запрос от EDGE-02 идёт в сеть External, то NAT'ить весть трафик через Provider1_IP2 или Provider2_IP2
На DMZ TMG включен ISP для этих двух провайдеров.
Собственно, проблема:
Подключения по 25му порту снаружи идут только к одному из серверов. При этом в логах на DMZ TMG видно, что входящий запрос "отвалился" по таймауту через 21 секунду:
Failed Connection Attempt DMZ-02 03.09.2014 14:11:46
Log type: Firewall service
Status: A connection attempt failed because the connected party did not properly respond after a period of time, or established connection failed because connected host has failed to respond.
Rule: Publish SMTP to EDGE-02
Source: External (184.72.226.23:53214)
Destination: Internal (172.16.0.22:25)
Protocol: SMTP Server
Additional information
Number of bytes sent: 0 Number of bytes received: 0
Processing time: 21094ms Original Client IP: 184.72.226.23Ко второму серверу, к любому из его 2х внешних IP всё корректно подключается.
Если в правилах публикации SMTP выбрать вместо сохранения IP адреса источника, замену на IP адрес DMZ TMG сервера, то все SMTP запросы корректно доходят по всем 4м IP.
Однако тогда не работает Анти-Спам, которому нужен IP источника для его проверки (SPF,MX,PTR,Greylisting, etc.)
Вопрос: В чём может быть проблема?
Нашёл похожую проблему:
Но подобные настройки мне не помогли, да и у меня нет внешнего VIP.
Было предположение, что проблема в маршрутизации. Например, EDGE не знает через какой сервер ему пришёл запрос, и шлёт ответ на VIP DMZ серверов, а там срабатывает NLB, который кидает эти пакеты на другой DMZ-сервер. Исправил это сетевым правилом, которое заставляет DMZ TMG NAT'ить правильно.
Да и Wireshark показывает, что входящий пакет пришёл корректно, без ошибок, а ответ с какой-то ошибкой:
Header checksum: 0x0000 [incorrect, should be 0x4f09 (may be caused by "IP checksum offload"?)]
[GOOD: False]
[BAD: True]
Expert Info (Error/Checksum): Bad checksum
Message: Bad checksum
Severity level: Error
Group: Checksum
Source: 172.16.0.22 (172.16.0.22)
Destination: 184.72.226.23 (184.72.226.23)
Ответы
Все ответы
-
Не понятна фраза.
Т.е. принципиально ничего бы не поменялось, если бы мы использовали 4 MX записи - соединение по 25му порту всё равно идёт только на один из серверов
Да идет на один из серверов, но можно же сделать косты одинаковыми и распределения будет на все 4 IP адреса равноправно последовательно.
На FW можно же сделать проброс SMTP 25 с 4 внешних IP в 4 внутренних IP EDGE, порт в порт IP в IP. Вам же это ничего не мешает сделать, при этом минуя балансировщик.
При этом OWA, AS - HTTPS 443 отправлять на балансировщик.
MCITP, MCSE. Знание - не уменьшает нашей глупости. Все данные приведены в виде примера и не адаптированы для вашей системы. Выполнения командлетов и внесения изменений в систему, делаете ВЫ. Все вопросы по привязке примера к вашей ситуации или адаптации решения, рассматриваются, только через заявку или кейс в техническую поддержку.
- Изменено Oleg.KovalenkoModerator 4 сентября 2014 г. 5:50
-
Олег,
Почитал ссылку, там описывается настройка NAT средствами сетевых правил TMG (Networking->Network Rules). Т.к. DMZ TMG и EDGE сервера находятся в одной подсети, то приходящие на DMZ TMG сервера пакеты просто Route'ятся на любые сервера в той же подсети. Это Default'ное правило.
В моём случае, я выбирал NAT в самом правиле публикации:
