none
Публикация SMTP с двумя MX-записями, двумя Forefront TMG и двумя Edge RRS feed

  • Вопрос

  • Добрый день!

    Существует схема с двумя Forefront TMG, каждый сервер Forefront TMG подключен к трем сетям: DMZ, Internal и External. На всех интерфейсах включен NLB.
    Отношения между сетями: DMZ-Internal - маршрутизация, (DMZ, Internal)-External - NAT

    В сети DMZ расолагаются два Exchange Edge 2010. В сети Internal четыре сервера Exchange (два MBX и два CAS-HUB). 
    Во внешней DNS зоне прописываю две mx записи: MX01.contoso.com и MX02.contoso.com. 
    Имена ссылаются на IP адреса сетевого интерфейса каждого Forefront TMG (не VIP NLB адрес).
    На массиве Forefront TMG создаю два правила публикации SMTP сервера для каждого Exchange Edge.

    При такой схеме возникает следующая проблема:
    если из внешней сети пытаюсь подключится к Exchange Edge по telnet, то к одному серверу подключатся, к другому нет - пустой черный экран и через некоторое время отмена подключения.

    Пробовал разные варианты - например при отключении NLB на интерфейсе DMZ, по telnet удается подключиться к обоим серверам Edge, но при этом уже Forefront ругается, что если между сетями DMZ и Internal настроена маршрутизация, то NLB должен быть включен на обоих интерфейсах.

    В чем может быть проблема? И какая правильная схема публикации SMTP при двух MX записях, двух Forefront TMG работающих в NLB и двух Edge транспортах в DMZ?
    16 апреля 2012 г. 6:42

Ответы

  • Understanding SMTP Failover and Load Balancing in Transport

    http://technet.microsoft.com/en-us/library/ff634392.aspx


    MCITP. Знание - не уменьшает нашей глупости.

    • Помечено в качестве ответа iartem 16 апреля 2012 г. 11:29
    • Снята пометка об ответе iartem 20 апреля 2012 г. 6:45
    • Помечено в качестве ответа iartem 20 апреля 2012 г. 13:16
    16 апреля 2012 г. 7:04
    Модератор
  • Сравните правила публикации: чем они различаются? В обоих стоит галка "отправлять пакеты от имени TMG"?

    Сазонов Илья http://isazonov.wordpress.com/

    • Помечено в качестве ответа iartem 16 апреля 2012 г. 11:29
    • Снята пометка об ответе iartem 20 апреля 2012 г. 6:46
    • Помечено в качестве ответа iartem 20 апреля 2012 г. 13:16
    16 апреля 2012 г. 11:20
    Модератор
  • ILYA [ sie ] Sazonov, спасибо. 

    Разобрался в итоге, сделал вот как:

    1. убрал в правилах публикации галку о которой Вы говорили, а так же настроил IP адрес для прослушивания внешней сети на каждом из правил публикации, таким образом, что одно правило слушает запросы VIP адреса соответствующего записи mx01 и пересылающие запросы на Edge01, второе правило слушает VIP адрес mx02 и пересылает на Edge02.

    2. Установил на каждом Edge в качестве шлюза VIP адрес Forefront TMG интерфейса DMZ.

    3. Прописал в сетевых правилах на Forefront, что запросы с Edge01, на внешнем интерфейсе Forefront должны уходить с VIP адреса соответствующие mx01, а запросы с Edge02 должны уходить с VIP адреса соответствующие mx02.

    После данных настроек подключение происходит по обоим mx записям.

    • Помечено в качестве ответа iartem 20 апреля 2012 г. 13:16
    20 апреля 2012 г. 13:15

Все ответы

  • Understanding SMTP Failover and Load Balancing in Transport

    http://technet.microsoft.com/en-us/library/ff634392.aspx


    MCITP. Знание - не уменьшает нашей глупости.

    • Помечено в качестве ответа iartem 16 апреля 2012 г. 11:29
    • Снята пометка об ответе iartem 20 апреля 2012 г. 6:45
    • Помечено в качестве ответа iartem 20 апреля 2012 г. 13:16
    16 апреля 2012 г. 7:04
    Модератор
  • Oleg.Kovalenko, спасибо. Данную статью читал. 

    Мой случай описан в разделе

    Балансировка нагрузки входящих сообщений Интернета между пограничными транспортными серверами

    в частности возможно два варианта:

    1. Балансировка нагрузки для сообщений Интернета с помощью циклического перебора DNS и записей MX

    2. Распределение сообщений Интернета с помощью решения балансировки нагрузки

    Я сейчас использую первый вариант: создаю две MX записи и создаю две публикации для edge серверов на массиве Forefront TMG. Причем MX записи создаю не для NLB IP, а для выделенных IP для каждого сервера Forefront, что бы при ответе, IP адрес разрешался в MX-запись. Правильный ли этот вариант?

    Если же использовать второй вариант, то тогда необходимо создать одну MX-запись ссылающуюся на VIP-адрес массива Forefront TMG, правильно ли я понимаю, что в данном случае необходимо создавать NLB кластер из Edge-серверов, на IP адрес которого будет происходить проброс входящего SMTP трафика? И как в данном случае обеспечить, что бы исходящий трафик уходил с VIP адреса Forefront TMG, а не IP конкретного сервера TMG.

    16 апреля 2012 г. 8:02
  • Артем, описаные вами оба варианта рабочие и применяються в зависимости от конфигурации. Указаные два IP адреса с равноценной стоимостью должны нормально работать, и у вас должны быть правила публикации двух Edge.

    Рекомендую вариант создания NLB на базе TMG и VIP адресом, тогда у вас будет одно правило публикации SMTP для VIP адреса. Отвечать будет с VIP адреса, это можно указать в SMTP коннекторе.

    Плюсы отказоустойсивость для всех сервисов опубликуемых на VIP адресах.

    Единственную проблему которую вижу, это нагрузка. Если у вас входящий трафик/запросы превышает больше 500Mб/с рекомендую использовать HLB.


    MCITP. Знание - не уменьшает нашей глупости.

    16 апреля 2012 г. 8:31
    Модератор
  • Oleg.Kovalenko, я строю схему по первому варианту.

    Для наглядности прикладываю схему:

    Допустим два TMG01 и TMG02, Объединенных в NLB - TMGNLB.

    Сеть External:

    TMG01 - 1.1.1.1

    TMG02 - 1.1.1.2

    TMGNLB - 1.1.1.3, 1.1.1.4.

    MX01 - 1.1.1.1, с приоритетом 10

    MX02 - 1.1.1.2, с приоритетом 10

    Сеть Internal:

    TMG01 - 192.168.1.1

    TMG02 - 192.168.1.2

    TMGNLB - 192.168.1.3

    EXCH-HUB01 - 192.168.1.4; Шлюз 192.168.1.3

    EXCH-HUB02 - 192.168.1.5; Шлюз 192.168.1.3

    Сеть DMZ:

    TMG01 - 10.1.1.1

    TMG02 - 10.1.1.2

    TMGNLB - 10.1.1.3

    EXCH-EDGE01 - 10.1.1.4; Шлюз 10.1.1.1

    EXCH-EDGE02 - 10.1.1.5; Шлюз 10.1.1.2

    На TMG создаю два правила публикации SMTP:

    1) Внешний IP 1.1.1.1 -> DMZ 10.1.1.1

    2) Внешний IP 1.1.1.2 -> DMZ 10.1.1.2

    Данная схема это как раз вариант №1: Балансировка нагрузки для сообщений Интернета с помощью циклического перебора DNS и записей MX.

    Но проблема в том, что при данной схеме, если я пытаюсь подключиться по телнет к IP 1.1.1.1 и 1.1.1.2, то могу подключиться только к одному Edge, ко второму подключиться не дает. 

    В чем может быть причина?


    • Изменено iartem 16 апреля 2012 г. 9:05
    16 апреля 2012 г. 9:04
  • Проверьте пожалуйста. Закройте все сесии telnet. Подключитеся telnet ко второму Edge и во втором окне открыть сесию на первый, не разрывая сесию со вторым, даст возможность открыть сесию с первым ). Есть подозрение, что не даст пока не закроете сесию с первым. :)


    MCITP. Знание - не уменьшает нашей глупости.

    16 апреля 2012 г. 9:53
    Модератор
  • Сравните правила публикации: чем они различаются? В обоих стоит галка "отправлять пакеты от имени TMG"?

    Сазонов Илья http://isazonov.wordpress.com/

    • Помечено в качестве ответа iartem 16 апреля 2012 г. 11:29
    • Снята пометка об ответе iartem 20 апреля 2012 г. 6:46
    • Помечено в качестве ответа iartem 20 апреля 2012 г. 13:16
    16 апреля 2012 г. 11:20
    Модератор
  • В обоих эта галка не стояла. После установки - подключение происходит по обоим IP.

    Целый день убил на поиск ошибки, а оказалось все так просто...

    • Помечено в качестве ответа iartem 20 апреля 2012 г. 13:16
    • Снята пометка об ответе iartem 20 апреля 2012 г. 13:16
    16 апреля 2012 г. 11:31
  • Добрый день!

    Хочу поднять тему в связи вот с чем.

    После установки галки в правилах публикации, что запросы приходят от Forefront TMG -соединение устанавливается к обоим серверам Edge, расположенных в DMZ.

    Но если смотреть служебную информацию самого письма, то смущает вот что:

    Received-SPF: SoftFail (ET01.contoso.com: domain of transitioning
     address@mail.ru discourages use of 10.1.1.1 as permitted sender)

    Т.е. получается что Edge определяет адрес сервера отправителя как адрес интерфейса DMZ Forefront TMG. Что, наверное, не есть хорошо. 

    Но если в правиле публикации выставить, что запросы приходят от исходного клиента - соединение устанавливается только к одному серверу из двух опубликованных.

    Не подскажите, как это можно побороть?


    • Изменено iartem 20 апреля 2012 г. 6:17
    20 апреля 2012 г. 6:16
  • Тогда оберите галку в настройке и настройте оба Edge так, чтобы они понимали интернет адреса, т.е. работало распознавание имен DNS в Интернете и чтобы маршрут по умолчанию был только в сторону TMG (маршруты в локальную сеть надо прописать ручками явно).

    Сазонов Илья http://isazonov.wordpress.com/

    20 апреля 2012 г. 11:43
    Модератор
  • ILYA [ sie ] Sazonov, спасибо. 

    Разобрался в итоге, сделал вот как:

    1. убрал в правилах публикации галку о которой Вы говорили, а так же настроил IP адрес для прослушивания внешней сети на каждом из правил публикации, таким образом, что одно правило слушает запросы VIP адреса соответствующего записи mx01 и пересылающие запросы на Edge01, второе правило слушает VIP адрес mx02 и пересылает на Edge02.

    2. Установил на каждом Edge в качестве шлюза VIP адрес Forefront TMG интерфейса DMZ.

    3. Прописал в сетевых правилах на Forefront, что запросы с Edge01, на внешнем интерфейсе Forefront должны уходить с VIP адреса соответствующие mx01, а запросы с Edge02 должны уходить с VIP адреса соответствующие mx02.

    После данных настроек подключение происходит по обоим mx записям.

    • Помечено в качестве ответа iartem 20 апреля 2012 г. 13:16
    20 апреля 2012 г. 13:15