[ Kolins Balaban @ 01.06.2011. 14:00 ] @
Ovako, krenu sam da ucim Windows 2008 server a ujedno i MS Exchange Server. Sastavio sam sljedeci LAB i naisao na problem.
-------------------------------------------------------
DC1:
ovaj server glumi root domenain controller za kolinsb.net domenu. Server uredno radi kao domain controller, kreirano par korisnika i radnih stanica u AD-u, uredno se kace na domenu.
IP=192.168.10.2/24
DNS 1 = 192.168.10.2
DNS 2 = 192.168.10.3
-------------------------------------------------------
DC2: domain kontroller koji je dodan u kolinsb.net forest, tj. glumi sekundarni DC u slucaju da DC1 padne.
IP= 192.168.10.3/24
DNS 1 = 192.168.10.2
DNS 2 = 192.168.10.3
kad je DC1 ugasen, DC2 uredno radi.
replikacija izmedju DC1 i DC2 uredno radi.
-------------------------------------------------------
EX2K10PRIM
domain kontroler koji je dodan u kolinsb.net forest
odradjene pripreme za instalaciju EX 2010
instaliran Hub Transport, Client Access i Unified Messaging role
IP = 192.168.10.5/24
DNS 1 = 192.168.10.2
DNS 2 = 192.168.10.3
DNS 3 = 8.8.8.8
Gateway = 192.168.10.1 (ip od mog Mikrotik routera)
-------------------------------------------------------
EX2K10MB1
domain kontroler koji je dodan u kolinsb.net forest
instalirana Mailbox role
IP = 192.168.10.4/24
DNS 1 = 192.168.10.2
DNS 2 = 192.168.10.3
-------------------------------------------------------
EDGE
masina na kojoj se vrti Win2K8 i na kojoj je instaliran MX 2010 ali samo Edge Transport role. ova masina ne glumi domain controller
IP = 192.168.10.6/24
DNS 1 = 192.168.10.2
DNS 2 = 192.168.10.3
DNS 3 = 8.8.8.8
Gateway = 192.168.10.1
------------------------------------------------------
sve masine se uredno pingaju. sa EX2K10PRIM i EX2K10MB1 uredno pokrecem EX Management Console. Send i Recive connectori kreirani prema uputstvu. Uredno saljem mailove svim korisnicima u domeni kojima sam kreirao mailbox. Znaci razmjena ide. Uredno saljem mail sa interneta korisnicima u domeni, ali ali ali, iz domene ne mogu poslati mail na net, i to je problem zbog kojeg pisem ovdje.
na netu sam kupio domenu kolinsb.net. Internet provider mi je fixirao javnu adresu. Na Mikrotiku sam sve bitne portove forwardovo sa javne adrese na 192.168.10.5 (25, 443, 80...). Domain providera sam zamolio da mi kreira A recorde, MX record, PTR record, i DNS zona izgleda ovako:
Code:

 Zone file for kolinsb.net
$TTL 1200
kolinsb.net. 1200 IN SOA ns.ionzones.com. isa.ion.ba. (
2011052203 ;Serial Number
7200 ;refresh
7200 ;retry
1209600 ;expire
3600 ;minimum
)
kolinsb.net. 1200 IN NS ns.ionzones.com.
kolinsb.net. 1200 IN NS ns2.ionzones.com.
kolinsb.net. 1200 IN A moj_public_ip
mail. 1200 IN A moj_public_ip
kolinsb.net. 1200 IN MX 10 kolinsb.net.
mail 1200 IN CNAME kolinsb.net.
2 1200 IN PTR kolinsb.net.kolinsb.net.
2 1200 IN PTR mail.kolinsb.net.kolinsb.net.
2 1200 IN PTR autodiscover.kolinsb.net.kolinsb.net.
2 1200 IN PTR site.kolinsb.net.kolinsb.net.
site. 1200 IN A moj_public_ip
autodiscover. 1200 IN A moj_public_ip


znaci, s neta uredno otvorim https://mail.kolinsb.net (napravio sam u IIS da me odmah redirektuje na https://mail.kolinsb.net/owa) i dobijem Outlook Web Access. Da li trebam kreirati ikakve DNS recorde u DNS-u na DC1? Da li treba kreirati jos neki DNS record kod domain providera?? sem o bih koji se vide u DNS zoni? Nadam se, da razumijete ovo sto sam napisao, da nije konfuzno, i previse zbrkano. Pratim video tutorial od TrainSignala za Exchange 2010. Sve ovo se vrti na VMware.








[Ovu poruku je menjao Kolins Balaban dana 02.06.2011. u 16:42 GMT+1]
[ Dennis @ 01.06.2011. 14:14 ] @
Jesi li podesio "Send Connector" i kako?
[ Kolins Balaban @ 01.06.2011. 14:27 ] @
cini mi se da sam ukucao samo * i podesio ga da koristi DNS MX (ne relay)
[ Dennis @ 01.06.2011. 14:35 ] @
Da, sve po default - u, ali sa *.
Jesi li gledao "Queue Viewer" u "Toolbox" - u?
Inače, ne mogu da otvorim "https://mail.kolinsb.net", jel' ti to sada natovano ili si isključio?
[ valjan @ 01.06.2011. 14:53 ] @
Svakako proveri Application log u Event Vieweru nakon sto pokusas da posaljes mail "napolje", tu mozes naci vrlo korisne informacije. Mozda tovj server ne moze da resolvuje udaljeni Exchange, mozda imas NDR iz nekog drugog razloga, ali tu ces ga u velikom broju slucajeva naci.

BTW, onaj Google DNS bi trebalo da izbacis iz TCP/IP setovanja, on bi trebalo da se pojavi samo na Forwarders kartici DNS servisa, inace mozes imati problema sa prijavljivanjem racunara na domen. I nadam se da je

Citat:
DNS 2 = 192.168.10


kod EX2K10MB1 samo typo prilikom kopiranja informacija ovamo.
[ Dennis @ 01.06.2011. 15:08 ] @
Možda bi najbolje bilo da postuješ NDR.
[ Kolins Balaban @ 01.06.2011. 15:52 ] @
Srry sto tek sad odgovaram. tek sam dosao kuci s posla. A link je bio nedostupan jer je provider nesto postimavao, pa nisam imao neta. Sada bi trebao biti dostupan. Evo sad sam pogledao Queue Viewer, i jedna poruka stoji u njemu (pokusavam sebi poslati mail na hotmail.com) i u statusu te poruke pise Connecting. Delivery Type = DnsConnectorDelivery.
[ Dennis @ 01.06.2011. 16:02 ] @
Idi desni klikom na poruku, pa "Remove with NDR", a odogor koji ti stigle, u Inbox naloga sa koga si slao, postuj ovde.
[ Kolins Balaban @ 01.06.2011. 16:17 ] @
U Aplication logu Event Viewera imam Error sa ovim sadrzajem

Code:

Microsoft Exchange could not find a certificate that contains the domain name kolinsb.net in the personal store on the local computer.
Therefore, it is unable to support the STARTTLS SMTP verb for the connector Slanje with a FQDN parameter of kolinsb.net.
 If the connector's FQDN is not specified, the computer's FQDN is used. Verify the connector configuration and the installed certificates to make sure that there is a certificate with a domain name for that FQDN. 
If this certificate exists, run Enable-ExchangeCertificate -Services SMTP to make sure that the Microsoft Exchange Transport service has access to the certificate key.


Certifikat naravno nemam, jer kosta, a domenu sam uzeo samo radi vjezbe. Mislim da ovo ne bi trebao biti uzrok neslanja mailova prema vani.

Nakon sto sam uklonio poruku sa NDR-om, dobijem mail s sljedecim sadrzajem:


Code:

Delivery has failed to these recipients or groups:
[email protected] ([email protected])
The recipient's e-mail system isn't accepting messages now. Please try resending this message later or contact the recipient directly.

Diagnostic information for administrators:
Generating server: EX2K10PRIME.kolinsb.net
[email protected]
#550 4.3.2 QUEUE.Admin; message deleted by administrative action ##
Original message headers:
Received: from EX2K10MB1.kolinsb.net ([fe80::3970:4078:803:e4dc]) by
 EX2K10PRIME.kolinsb.net ([::1]) with mapi; Wed, 1 Jun 2011 17:10:58 +0200
From: Kolins Balaban <[email protected]>
To: Dino Alicic <[email protected]>
Subject: zzzz
Thread-Topic: zzzz
Thread-Index: AcwgbhoqEaPLft4hRuuZ5ocm6wBqxQ==
Date: Wed, 1 Jun 2011 15:10:55 +0000
Message-ID: <[email protected]>
Accept-Language: en-US
Content-Language: en-US
X-MS-Has-Attach:
X-MS-TNEF-Correlator:
Content-Type: multipart/alternative;
    boundary="_000_9966AE8EE43F354B961BA3600D2BF4AC06AC2D11EX2K10MB1kolins_"
MIME-Version: 1.0


Na forwarders kartici DNS servisa sam vec imao postavljen google dns 8.8.8.8 i dvije IP adrese DNS servera (ns.ionzones.com i ns2.ionzones.com), koji su zaduzeni za moju domenu (ovo sam upisao nakon sto vise nisam znao sta da radim :D)
[ Miroslav Strugarevic @ 01.06.2011. 16:44 ] @
Ja nisam citao sve postove i ne razumem se u Exchange. Meni zone fajl za tvoj domen izgleda malo "sljampavo" A i koliko vidim PTR (reverzni) zapis za tvoju ip adresu ne ukazuje na mail.kolinsb.net vec na nesto drugo i mozda je to upravo problem kod tebe.
[ Kolins Balaban @ 01.06.2011. 16:51 ] @
pa ukazuje na root domene.... zar tako ne treba biti? da li se mora kreirati rDNS za svaku poddomenu? tj. da li pored rDNS-a za kolinsb.net, moram imati i rDNS za mail.kolinsb.net, site.kolinsb.net, autodiscover.kolinsb.net....????
[ Miroslav Strugarevic @ 01.06.2011. 16:58 ] @
Tvoj PTR rekord ukazuje na tc-cutuk-net-22-2.team.ba a trebalo bi da ukazuje na mail.kolinsb.net. Ne kazem da je ovo 100% problem kod tebe ali vrlo moguce da jeste.

p.s. Da li si sa tog Exchange servera probao poslati email na drugu adresu koja nije @gmail, @hotmail itd...

Evo ti najlaksi nacin da proveris ovo sto ja pricam.

http://www.mxtoolbox.com/SuperTool.aspx?action=mx%3akolinsb.net (klikni na SMTP test)
[ Kolins Balaban @ 01.06.2011. 17:06 ] @
pa tc-cutuk-net-22-2.team.ba je zapravo moj public ip tj. 109.105.213.2, a cutuk.net mi je ISP (a on kupuje IP od team.ba). Da li nesto posebno moram traziti od svog ISP-a?
[ Miroslav Strugarevic @ 01.06.2011. 17:07 ] @
Zamoli ih da podese PTR rekord koji ce ukazivati na edge.kolinsb.net ili mail.kolinsb.net i kada se propagiraju podesavanja probaj da posaljes email na hotmail.

Evo pogledaj kako PTR za team.ba izgleda.

Code:

[[email protected] ~]# host mail.team.ba
mail.team.ba has address 77.74.224.193
mail.team.ba mail is handled by 5 mail.team.ba.
[[email protected] ~]# host 77.74.224.193
193.224.74.77.in-addr.arpa domain name pointer mail.team.ba.

[ Kolins Balaban @ 01.06.2011. 17:14 ] @
ok, zamolim ih, ako budu htjeli. fixnu ip su mi dali djabe. hvala u svakom slucaju :) nadam se da je to pravi razlog... eto, naucio sam nesto :) djabe mi kad mi je moj domain provider sredio ptr, kad moj isp, koji je karika izmedju domain providera i mene, nije sredio ptr za moju domenu....
[ Miroslav Strugarevic @ 01.06.2011. 17:21 ] @
Javi sta su uradio bas me interesuje.

Malo objasnjenje za PTR rekord i zasto je on potreban:

- kada hotmail dobije email sa tvog servera on proveri tvoj PTR zapis i vidi da ukazuje na tc-cutuk-net-22-2.team.ba a ne na fully qualified domain name (FQDN) iz smtp banera (EDGE.kolinsb.net) i automatski te odbije jer smatra da su poruke sa tvog servera "neispravne".
[ Kolins Balaban @ 01.06.2011. 17:28 ] @
razumijem sada. vjerovatno svi mail serveri tako funkcionisu. kako onda funkcionise to kad se koriste realy serveri? na koju IP mora ukazivati A record na DNS-u mog domain providera?
[ Miroslav Strugarevic @ 01.06.2011. 17:37 ] @
Nisam razumeo ovo poslednje pitanje u vezi A rekorda.

p.s relay server se koristi kada hoces da se slanje poste vrsi preko tog nekog smtp servera (ili Smarthosta kako ga MS naziva) a ne preko tvog Exchange servera. (Razlozi za takav setup su razni.)
[ Kolins Balaban @ 01.06.2011. 17:42 ] @
pa da. to i pitam, da li u A recordu mora biti navedena IP od relay servera, ili od mail servera (npr. exchangea)...
[ Dennis @ 01.06.2011. 18:15 ] @
Što se slanja tiče, ne trebaju vam nikakvi rekordi. Na pogrešnom ste putu. Rekordi će vam pomoći da vas ne tretiraju kao spam, ali ćete sigurno moći da pošaljete mejl na GMail recimo, a i na 90 % mejl servera.
Čim poruka stoji u Queue, znači da server nije dobro podešen. Da vas odbijaju (zbog nepostojanja DNS, rDNS, MX, TXT, SPF...) dobio bi obaveštenje.
[ Miroslav Strugarevic @ 01.06.2011. 19:43 ] @
U pravu si Dennise. Imas neku ideju kako ovo da resimo?

Sto se tice pitanja u vezi smarthost-a tj. relay server-a.

DNS podesavanja su uvek ista (da ne kazem standardna) nebitno kakav je setup u pitanju.

Slanje preko smarthost-a:
Code:

[email protected] -> exchange -> smarthost -> (((internet))) -> mail.pera.com -> [email protected]
Prijem poste:
Code:

[email protected] -> mail.pera.com -> (((internet))) -> exchange -> [email protected]


Ti saljes preko smarthost-a ali i dalje mail za krajnjeg korisnika izgleda kao da si ga poslao sa @kolinsb.net i kada ti neko odgovori on ti salje direktno na tvoj Exchange server. Ovo je nekakvo najprostije objasnjenje.

Nisi mi rekao da li mozes da posaljes email na neku drugu adresu tipa @gmail.com i slicno?
Probaj ovo: telnet mx1.hotmail.com 25 ko zna :)

[Ovu poruku je menjao Miroslav Strugarevic dana 01.06.2011. u 20:55 GMT+1]
[ acatheking @ 01.06.2011. 19:55 ] @
Nisam upucen u podesavanja Exchange-a, ali treba ga podesiti da direktno salje e-mail na odredisni server. Dakle, Exchange treba da ima podesen neki DNS (dovoljan je i 8.8.8.8), da bi mogao da razlucuje MX zapise i direktno se povezuje na druge odredisne SMTP servere. E sad, tu moze nastati problem i odredisni server odbiti konekciju (neslaganje A i PTR zapisa, SPF, itd) zavisno od mehanizma koje primenjuje. Slanje preko smarthosta zahteva postojanje drugog e-mail servera koji ce isti posao uraditi za Exchange, a ne verujem da ce mu iko dozvoliti relaying poruka preko svog servera.
PS. Bez ikakve uvrede, tema je suvise prosta da bi stajala u enterprajz :)
[ Miroslav Strugarevic @ 01.06.2011. 20:02 ] @
Njegovo pitanje:
Code:
razumijem sada. vjerovatno svi mail serveri tako funkcionisu. kako onda funkcionise to kad se koriste realy serveri?
na koju IP mora ukazivati A record na DNS-u mog domain providera?

JA POKUSAVAM da mu objasnim sta znaci koristiti smarthost ili relay server. Samo to.
[ valjan @ 01.06.2011. 20:45 ] @
Ona greška sa sertifikatom nije krucijalna, onodsno server će funkcionisati ali nećeš moći koristiti TLS za komunikaciju. E sad, ako ti je TLS jedini dozvoljeni protokol, onda si našao razlog za tvoj problem. Inače, self-signed sertifikat je sasvim dovoljan za ovakvu operaciju, i već uz Exchange dobiješ jedan takav, verovatno si ga ti obrisao ili nisi konfigurisao sve kako treba pa zato dobijaš grešku. Naravno da je bolje kad ti sertifikat izda odnosno overi neki autoritet, ali može i ovako da prođe.

Onaj NDR koji si dobio nakon brisanja poruke je trenutno bezvredan, jer ti ta greška kaže da poruka nije ni stigla do udaljenog servera jer ju je administrator obrisao (odnosno, kaže ti "pa sam si obrisao poruku, i šta sad hoćeš više od mene" :-) ). Proverio sam ti i domen, nisi na blacklistama, pa to nije razlog zbog čega poruke nisu otišle. Hotmail, Yahoo, Gmail i slični imaju i greylisting varijantu, gde svaku poruku sa novog domena najpre stave u greylistu, i traže da bude poslata ponovo. Spameri to uglavnom ne rade, i ako u roku od n minuta ne stigne ponovo zahtev za slanjem, domen automatski biva stavljen na blacklistu. Pošto se admini normalnih domena trde da ne ulete na black liste, oni obično i pošalju poruku ponovo, i na taj način budu automatski stavljeni na white listu. Međutim, koliko se sećam, od njih dobiješ i NDR u kojm nešto slično i piše.

Po meni, najbolje je da uključiš kreiranje logova na SMTP konektorima, i ispratiš šta se dešava sa tvojom porukom na odlaznom konektoru. Uputstvo za uključivanje logova i njihove lokacije možeš pronaći na:

http://exchangepedia.com/2007/...ng-smtp-protocol-activity.html

(isti je postupak i za 2010, ne daj da te naslov iz linka zbuni)
[ Dennis @ 01.06.2011. 20:50 ] @
Exchange po defaultu uz samo malo podešavanja može da radi osnovnu stvar, slanje mejlova. Samo treba podesiti send connector i to je to. Čak ni ruter ne moraš da imaš :)
Moja greška za NDR :)
[ Kolins Balaban @ 02.06.2011. 13:47 ] @
pozdrav raja. evo mene opet. provider mi je obecao srediti ptr kod sebe, ali kaze da cu morati slati mailove preko nekog drugog porta, a ne preko 25. da li to postimavam na Exchange-u ili???
[ Miroslav Strugarevic @ 02.06.2011. 14:02 ] @
Eto nasli smo problem.


edit: Izmenio sam posto posto sam debelo pogresio :)



[Ovu poruku je menjao Miroslav Strugarevic dana 02.06.2011. u 18:29 GMT+1]
[ Kolins Balaban @ 02.06.2011. 15:57 ] @
evo sta mi kaze log na smtp SendConnectoru:

Code:

2011-06-02T14:54:43.042Z,Slanje,08CDEF486D92570A,1,,65.55.92.152:25,*,,"Failed to connect. Error Code: 10060, Error Message:
A connection attempt failed because the connected party did not properly respond after a period of time, 
or established connection failed because connected host has failed to respond 65.55.92.152:25"


izgleda da je upravo problem u tome, sto hotmail provjerava moj ptr i vidi da on nema ama bas nikakve veze sa kolinsb.net domenom :(

EDIT: i jos jedno pitanje. Da li PTR koji mi bude kreirao ISP treba da ukazuje na mail.kolinsb.net (to je zapravo adresa sa koje pristupam Outlook Web Accessu), ili na FQDN racunara u mojoj domeni, na kojem je instaliran MS Exchange (EX2K10PRIME.kolinsb.net), ili direktno na kolinsb.net?

[Ovu poruku je menjao Kolins Balaban dana 02.06.2011. u 17:10 GMT+1]
[ Miroslav Strugarevic @ 02.06.2011. 16:30 ] @
Mozes li MOLIM TE da citas ovo sto ti pisemo posto ovde se ne zna ko koga j :)

Da li si probao sa Exchange servera da kucas ovo:

telnet mx1.hotmail.com 25

?
[ Kolins Balaban @ 02.06.2011. 17:13 ] @
srry sto sam zaboravio odg na to pitanje. ne prolazi ta telnet konekcija....

Code:
Connecting To mx1.hotmail.com...Could not open connection to the host, on port 25: Connect failed
[ Miroslav Strugarevic @ 02.06.2011. 17:29 ] @
Ovo je problem od pocetka. Tvoj provajder blokira port 25 i u sustini ti omogucavaju da saljes email-ove SAMO preko njihovog email servera (mail.cutuk.net) ili preko webmail-a (gmail, hotmail, yahoo i ostali).

Proveri jos jednom komandom telnet mail.cutuk.net 25 da li dobijas njihov SMTP server ili isto kao i hotmail.

U ovoj situaciji osim koriscenja Smarthost-a (tj. mail.cutuk.net) ne znam drugo resenje.
[ Kolins Balaban @ 02.06.2011. 17:31 ] @
ovo prolazi ;) dobijem IceWarp mail server.
EDIT: pricao sam sa vlasnikom ISP-a, i rekao mi je da mu je problem otvarati portove. rekao mi je da postimam mail server da salje preko npr. porta 99. zato sam i pitao kako se to podesava u exchange-u. ali ni to mi nece pomoci, jer moj mail server mora kontaktirati drugi mail server na portu 25, tj. ISP mi je blockirao DST port 25, a ne SRC, ili?

[Ovu poruku je menjao Kolins Balaban dana 02.06.2011. u 18:49 GMT+1]
[ Miroslav Strugarevic @ 02.06.2011. 18:00 ] @
Tebe svi "vide" po portu 25 (sto je okej za dolaznu postu) ali ti ne "vidis" nikoga (osim njihovog mail servera) po portu 25 (sto je nephodno kako bi mogao da posaljes email drugom server-u).

Promeni provajdera i uzivaj!
[ acatheking @ 02.06.2011. 18:03 ] @
Pretpostavljam da tvoj provajder nije predvideo da ce neko da se igra i podize svoj server, pa je blokirao TCP 25 osim prema njegovom email serveru, sto je i opravdano. Kad te vec savetuje, trebao je da ti kaze da kontaktiras Hotmail, Gmail, Yahoo... koga god se setis, da svi oni zbog tebe pomere prijem poruka sa TCP 25 na TCP 99 (sto ce se desiti znas kada) :) U prevodu, prosuo ti je glupu pricu.
[ Miroslav Strugarevic @ 02.06.2011. 18:05 ] @
Mozda je covek mislio da mu je Exchange server van njihove ultra secure mreze pa da jednostavno "nastima" svoj Exchange da slusa na port 99 :))
[ Kolins Balaban @ 02.06.2011. 18:11 ] @
ma hajde neise, ne treba to meni sad za nesto posebno. samo ucim :) eto naucio sam sta trebam traziti od svog ISP-a kad sutra stvarno budem trebao poptuno funkcionalan MS Exchange server u svojoj mrezi. Takodjer mi je drago, jer sad znam da nisam ja nish fulo u podesavanjima EX-a :)