以下問題如有表達不清敬請見諒,請問各位前輩,我的網路架構是:(ad)本身也有dns為內部解析及Exchange使用、外部DNS都是放在防火牆內,NAT對應也是沒有問題,防火牆為SSG5。
Ad未開任何port使外部解析純讓內部做解析、User使用ad的內部dns解析上網
Exchange 開了443、25、ICMP服務 (是否少開了嗎)?
Dns對外開了53(純解析)
個人測試心得:
1.Exchange 2007架設好,問題是只可以傳不可以收,我用的是25 port 傳、收如此之下我用telnet 內部192.168.1.9 25(內部ip) 成功。
回傳訊息:220 xx-xx.xxxxxxxx.com.tw Microsoft ESMTP MAIL Service ready at Thu, 10 Sep 2009 16:54:21 +0800
2.從外部telnet 139.223.XXX.XXX 25(外部ip)失敗
中間無防毒或是windows內建防火阻擋所造成的失敗,對外的25 SMTP我也開了,為何就是沒辦法從外部telnet 25 port成功,現在的判定是信件無法從外部無法進smtp進來,據我了解的他只是一種服務而已。
3.驗證NAT對應成功在外部WEB port telnet 139.223.XXX.XXX 80 進入後一片黑。
驗證NAT對應成功在外部DNS port telnet 139.223.XXX.XXX 53 進入後一片黑。
第三點以上階成功,是否可確定固ip跟虛ip對應成功。
錯誤看法:
1.是否純防火牆開25 UDP/TCP port問題?還是有特別的開法?
2.Exchange 2007 系統Smtp對外部收信設定服務失敗問題,有這種設定嗎?內部telnet 192.168.1.9 25成功,也有成功的訊息回傳所以應該不是smtp服務問題是嗎?。
3.現在問題smtp port不通,要如何解決,還是要從別的角度看這件事件呢?
先以telnet來說,
你說你有nat 80、53的埠,那你有nat 25的埠麼?因為從你上面敘述只有說開防火牆外對內的25埠,似乎沒有提到nat 25的埠喔!應該是防火牆的nat問題....
注意:收信的話,必須要有dns及網域喔...否則會收不到信的。
已經有個人的網域了,內對外有開,外對內也有開,現在的問題是我telent 192.168.1.9 25的mail server 這一個port他是ok的,可是如果從實體ip telnet 139.223.XXX.XXX 25的話,25port是不通的,但是443卻是可以,這真的讓我越摸越沒力
因為你telnet內網ip的25埠一定是可以的,防火牆開25、80、443是一定要開得。主要是還要開啟nat,就是ip share上的「虛擬伺服器」或「埠轉換」的名稱。
請看下圖為防火牆設定
http://double-chinned.mirror.waffleimages.com/data/3e/3ec6cd56570b4dcac1436881796565be691ecc5d.jpg
除了防火牆設定之外,還要設定nat轉埠...
http://bruno.mirror.waffleimages.com/files/3d/3d6d78a6eb52c31398010c9e0eeed9409858005d.jpg
這樣你telnet ip 25 才會轉到你的內網ip的25埠....
大大~您好,很詳細但圖片好像不能看....感謝您的回覆,圖片可以再請費心放到別的空間嗎,謝謝
把網址MARK複製起來,在貼到瀏覽器網址列上就可以了....
如果你是單機架,可能要檢查 smtp receive connector ,再來是 DNS 設置,firewall 開 53,443,25 就夠了
這位大大你好,Exchange 2007是非單機版,我會檢查一下我的smtp receive port的 可是telnet lan ip 25是正常的,那理應對外是正常的,對外,我也開了443、25,dns為另一台也開了53port,從架構面來看,我應當是被防火阻擋住了,我有可能nat無法對應這smtp的port嗎?虛心受教,tks
一般建議 Exchange 2007 要另外架一台 Edge Transport Server 來處理 smtp 郵件效能及垃圾郵件處理會比較好,不過礙於預算有些公司只能用一台主機,預設安裝沒有 smtp receive connector 設置
防火牆各個牌子設定不太一樣,如果懷疑有問題,問一下原廠工程師會比較快
1.Exchange 2007架設好,問題是只可以傳不可以收,我用的是25 port 傳、收如此之下我用telnet 內部192.168.1.9 25(內部ip) 成功。
firewall要設定二個Policy, 開通:trust -> untrust (內對外) 25port
開通:untrust-->trust (外對內) 25 port.
你應是外對內的policy沒有設定, 或windwos的firewall 25 port沒開.
2.從外部telnet 139.223.XXX.XXX 25(外部ip)失敗
中間無防毒或是windows內建防火阻擋所造成的失敗,對外的25 SMTP我也開了,為何就是沒辦法從外部telnet 25 port成功,現在的判定是信件無法從外部無法進smtp進來,據我了解的他只是一種服務而已。
與中題類似,查一下firewall與 windows firewall設定.
3.驗證NAT對應成功在外部WEB port telnet 139.223.XXX.XXX 80 進入後一片黑。
驗證NAT對應成功在外部DNS port telnet 139.223.XXX.XXX 53 進入後一片黑。
第三點以上階成功,是否可確定固ip跟虛ip對應成功。
請驗證NAT對應外部DNS port telnet 139.223.XXX.XXX 25 是否有訊息。