none
咨询Exchange2016 获取F5真实客户端IP方式 RRS feed

  • 问题

  • HI,工程师:
         目前我的环境是Exchange 2016,配置了F5作为硬件负载均衡,我在F5上配置了X-Forward-For,开启IIS高级审核日志可以看到真实IP地址了。但使用IIS中的IP地址和域限制时,配置拒绝一段IP地址还是无法生效,将F5 IP地址配置上的话就生效了,猜测IIS应该还是无法获取到真实IP地址,请问我需要怎么配置呢?谢谢!
    2018年11月28日 13:42

答案

  • 当初我们的需求是前端服务器需要看到用户的真实IP地址。

    由A10负载均衡,A10工程师给了两套方案。

    一是和你一样,动前端服务器的IIS,X-Forward-For,插入字段啥的,说了一堆...

    另一个方案是,动前端服务器网关,网关指向A10即可,理论也说了一堆...

    考虑后续会添加前端服务器,改网关相对动IIS更简单,就用了第二套方案。

    确保前端服务器和AD,和后端服务器网络互通就好。

    至于其中的理论知识,网络组兄弟和A10工程师讨论的结果,你找你们F5工程师应该也一样,他会告诉你的吧~

    供参考

    2018年12月10日 6:58

全部回复

  • 您好,

    请问您在IIS中创建了X-FORWARDED-FOR的自定义字段了吗?具体步骤您可以参考这一篇文章:Exchange: Get the real source IPs in the IIS hit logs for servers   

    1. Open Server Manager.

    2. Click Add Roles and Features.

    3. In the Add Roles and Features wizard navigate to Custom Logging Role which is under the Web Server > Web Server > Health and Diagnostics category.

    4. On the Confirmation page, click Install.

    Now Open IIS Manager > select Logging.


    Click Select Fields.



    Create a new custom field:

    Field Name – we can give any name so that it will reflect on the logs as a new column

    Source Type – Request Header

    Source – X-FORWARDED-FOR


    此致, 

    敬礼

    Kyle Xu


    如果以上回复对您有所帮助,建议您将其“标记为答复”. 如果您对我们的论坛支持有任何的建议,可以通过此邮箱联系我们:tnsf@microsoft.com.

    点击了解更多,或者访问我们的专用论坛,与我们的技术专家一起分享探索 Microsoft Teams.

    2018年11月29日 8:04
    版主
  • Kyle:

         您好,我之前已经按照操作开启了IIS的日志信息,我从日志里面也可以查看到客户端的真实IP地址,但使用IIS中的IP地址和域限制时,依旧只能识别到F5的地址。重启IIS也无效,谢谢!

    2018年11月29日 12:22
  • 您好,

    请问您说的指的是添加了自定义项之后,看到的IP地址和F5中看到的IP地址还是不一样吗?如果您取消F5上的X-Forward-For,能否在IIS中看到正确的IP地址?

    此致,

    敬礼

    Kyle Xu


    如果以上回复对您有所帮助,建议您将其“标记为答复”. 如果您对我们的论坛支持有任何的建议,可以通过此邮箱联系我们:tnsf@microsoft.com.

    点击了解更多,或者访问我们的专用论坛,与我们的技术专家一起分享探索 Microsoft Teams.

    2018年12月3日 10:02
    版主
  • Kyle :

         您好,我在IIS中添加了自定义项,从log中可以看到真实IP地址,但使用IIS中的IP地址和域限制,针对真实IP地址做限制操作时,发现无法成功限制。我尝试添加F5的IP地址,可以成功限制。证明IP和域限制功能还是只能识别到F5的IP,无法像log一样识别到真实IP地址。感谢您的帮助,谢谢!

    2018年12月5日 15:43
  • 前端的网关指向给F5?
    2018年12月6日 5:06
  • Kyle :

         您好,我在IIS中添加了自定义项,从log中可以看到真实IP地址,但使用IIS中的IP地址和域限制,针对真实IP地址做限制操作时,发现无法成功限制。我尝试添加F5的IP地址,可以成功限制。证明IP和域限制功能还是只能识别到F5的IP,无法像log一样识别到真实IP地址。感谢您的帮助,谢谢!

    如果您取消F5上的X-Forward-For,只在IIS中添加”X-Forward-For“的记录,之后能否在IIS中看到正确的IP地址?

    此致,

    敬礼

    Kyle Xu


    如果以上回复对您有所帮助,建议您将其“标记为答复”. 如果您对我们的论坛支持有任何的建议,可以通过此邮箱联系我们:tnsf@microsoft.com.

    点击了解更多,或者访问我们的专用论坛,与我们的技术专家一起分享探索 Microsoft Teams.

    2018年12月9日 7:06
    版主
  • Kyle:

            您好,我在F5上取消X-Forward-For的话,IIS中添加”X-Forward-For“的记录也是只能查看到F5的IP地址。请知悉,谢谢!

    2018年12月9日 7:19
  • Salavie:

           您好,我之前的确有听过别人说要把网关地址指向F5才生效,但我没做尝试,请问你有文章之类的说明么?我想了解下概念,谢谢!

    2018年12月9日 7:20
  • 当初我们的需求是前端服务器需要看到用户的真实IP地址。

    由A10负载均衡,A10工程师给了两套方案。

    一是和你一样,动前端服务器的IIS,X-Forward-For,插入字段啥的,说了一堆...

    另一个方案是,动前端服务器网关,网关指向A10即可,理论也说了一堆...

    考虑后续会添加前端服务器,改网关相对动IIS更简单,就用了第二套方案。

    确保前端服务器和AD,和后端服务器网络互通就好。

    至于其中的理论知识,网络组兄弟和A10工程师讨论的结果,你找你们F5工程师应该也一样,他会告诉你的吧~

    供参考

    2018年12月10日 6:58
  • Salavie:

          好的,感谢您的帮助,谢谢!

    2018年12月10日 13:57
  • 您好,

    请问您是否从F5工程师处获取有效的方案,如果还没有,您可以尝试在Windows Server论坛中提出您的疑惑。关于IIS,他们有更加专业的知识。

    此致,

    敬礼

    Kyle Xu


    如果以上回复对您有所帮助,建议您将其“标记为答复”. 如果您对我们的论坛支持有任何的建议,可以通过此邮箱联系我们:tnsf@microsoft.com.

    点击了解更多,或者访问我们的专用论坛,与我们的技术专家一起分享探索 Microsoft Teams.

    2018年12月13日 9:44
    版主
  • 这个问题建议您找下F5的工程师,F5进行负载默认是不支持透传的,默认情况下F5会将所要访问的IP地址转换成F5的出口IP地址或什么IP地址然后在连接Exchange。

    您如果想做限制的话需要让F5不进行地址转换,让真实IP地址透传过来。

    2018年12月14日 6:59
  • 已经开了透传了,但Ex还是不能识别,应该如楼上Salavie说的,将网关地址修改为F5地址即可。
    2018年12月14日 13:14