none
Exchange MailBox Server <--->ASA<---> Exchange CAS RRS feed

  • Вопрос

  • Во внутренней сети установлен Exchange 2010 Mailbox Role 2010 , Exchange CAS 2010 для внутренних пользователей, есть зона extranet в которой будет установлен CAS для внешних пользователей. Доступ через ASA разрешен от сервера в extranet к контроллеру домена и к серверам Exchange 2010. Сервер в CAS который в Extranet заведен в домен.При установке CAS роли  на сервер в Extranet появляется ошибка которая ссылается на  недоступность RPC портов.  Подозреваю что проблема в инспектировании траффика RPC Cisco ASA . Разрешил на ASA инспектирование  инициализации RPC  c помощью DCE/RPC по TCP 135.Дальше столкнулся со следующей проблемой Mailbox роль общается с CAS c помощью диапазона портов RPC (60005-59530). Не могу понять как на ASA эту ситуацию разрулить?Не могу понять  как весь диапазон открыть.

    27 августа 2011 г. 9:41

Ответы

Все ответы

  • Для начала нужно посмотреть Справочник по сетевым портам Exchange

    Конфиг ASA покажите


    Первое правило Windows - делай резервную копию. Коды ошибок смотрите по адресу http://support.microsoft.com и http://eventid.net/ Cisco для начинающих http://faq-cisco.ru
    29 августа 2011 г. 5:48
  • Я думаю вы понимаете, что открытие диапазонов портов под RPC собственно сводит всю вашу DMZ и ASA к нулю? Делайте классическим образом через публикацию сервиса на внешнем устройстве (сервер, TMG, UAG, может та же ASA) - это правильно, просто и надежно.

    Более того схема, которую вы пытаетесь собрать, не поддерживается http://blogs.technet.com/b/exchange/archive/2009/10/21/3408587.aspx


    Сазонов Илья http://www.itcommunity.ru/blogs/sie-wl/
    29 августа 2011 г. 5:53
    Модератор
  • Такую схему классическую , через TMG попробовал в первую очередь, там все велеколепно работает.Я планировал разделить CAS сервера для внутреннего и внешнего подключения.Идея  такая  внутренний CAS  обслуживает пользователей находящихся внутри организации, внешний CAS находится в Extranet в которой сервера находятся в домене но доступ имеют только к серверам AD и Exchange MB .Соответственно на внутреннем DNS адрес CAS который внутри , на внешнем DNS адрес CAS  который снаружи вот этот внешний CAS затем я и хотел опубликовать с помощью ASA или TMG (класического способа) уже из сети Extranet. Реализация ни как не задевает зону DMZ.Вот и столкнулся с проблемой инспектирования RPC траффика на ASA .  Если со 135 портом понятно что делать , то с диапазоном RPC портов через которые взаимодействуют Exchnage CAS и Exchange MailBox справится пока не могу?Я понимаю что DMZ зону могу вытащить только EDGE который будет заниматься непосредственно транспортом.И что если в DMZ вынести CAS то смысла от DMZ никакого.

    29 августа 2011 г. 7:54
  • Порты которые необходимы инспектирование  инициализации RPC  c помощью DCE/RPC по TCP 135 , дальше диапазон портов RPC (60005-59530) если знаете подскажите как настроить инспектирование такого траффика v 8 на ASA.

    29 августа 2011 г. 7:58
  • Я вам еще раз говорю: не надо изолировать CAS сервера друг от друга - они работают как единое целое в общем случае. Т.е. в вас внутренний клиент может запросто ломануться на CAS в Extranet и обломиться.

    Что касается ASA, то не знаю как там настраивается RPC - откройте полный доступ по ip и не мучайтесь: какой смысл инспектировать трафик между CAS и MB серверами?!


    Сазонов Илья http://www.itcommunity.ru/blogs/sie-wl/
    29 августа 2011 г. 10:06
    Модератор
  • Не стал разделять опубликовал CAS через TMG работает.Сейчас собрал кластер из двух CAS серверов , внутри работают нормально клиенты обращаются на имя mail.aaaa.ru внутри.Подскажите как опубликовать на ружу CAS кластер?

    31 августа 2011 г. 10:31
  • Какой сервис? Их там много!


    Сазонов Илья http://www.itcommunity.ru/blogs/sie-wl/
    31 августа 2011 г. 10:40
    Модератор
  • В кластере 2 сервера Exchange 2010 Client Access . Они внутри доступны по mail.sfsfs.ru к ним клиенты подключаются работают.Я публиковал наружу через TMG  только один сервре, который был есче не в кластере.Как правильно кластер опубликовать, ведь когда делал с одним сервером там сертификат был только на один сервер CAS?

    31 августа 2011 г. 12:00
  • OWA,Outlook Anywhere, ActiveSync сейчас пытаюсь настроить Outlook Anywhere.


    31 августа 2011 г. 12:23
  • В TMG есть визард, который все сделает за вас. На TMG нужно поставить сертификат, в котором прописаны внешние имена всех сервисов.
    Сазонов Илья http://www.itcommunity.ru/blogs/sie-wl/
    31 августа 2011 г. 12:45
    Модератор
  • Cделал вот так  : после поднятия Cервера СAS ARRAY , я  подготовил сертификаты на обоих серверах CAS c SAN всех нужных имен. Экспортировал сертификат с одного из CAS серверов в ARRAY и импортировал его на TMG.В настройках публикации я указывал именно виртуальное имя CAS ARRAY а не имена серверов, а внешнее естественно то которое у меня прописано во внешней зоне DNS.Я правильно поступил? 

    31 августа 2011 г. 12:57
  • CAS array он только для внутреннего потребления :-) - для RPC трафика всего лишь.

    В TMG вы должны подключаться к конкретным серверам (есть там понятие farm). TMG выступает как балансировщие в этом случае, выполняет привязку сессий (куки) и определяет доступность сервиса/сервера.


    Сазонов Илья http://www.itcommunity.ru/blogs/sie-wl/
    31 августа 2011 г. 13:21
    Модератор
  • На балансировщике есть настройка которая говорит о балансировке трафика по 443 порту.

    31 августа 2011 г. 15:23
  • Собрал Farm TMG . Настраиваю Publishing Outlook Using NTLM Autentication Outlook Anywhere согласно оффициального гайда.Как правильно прописать spn для TMG сделал setspn -A http/mail.xxxxxxx.ru: 443 TMG все равно выскаивает ошибка при проверке правила There is not suitabl Service Principal Name entry found this Forefront TMG computer in Active Directory? 

    2 сентября 2011 г. 9:05
  • Сделал следующим образом прописал SPN на CAS серверах http/*     и в правиле публикации в разделе аутентификаци поставил http/*   это применимо к Farm .

    2 сентября 2011 г. 10:10
  • Ну это перебор. Для теста конечно пойдет, но...

    Я не знаю ваши имена, но посмотрите в картинках настройки http://blogs.technet.com/b/isablog/archive/2009/09/07/web-publishing-test-button-and-kcd-in-tmg.aspx


    Сазонов Илья http://www.itcommunity.ru/blogs/sie-wl/
    • Помечено в качестве ответа Yuriy Lenchenkov 7 сентября 2011 г. 11:51
    2 сентября 2011 г. 14:53
    Модератор