iT邦幫忙

1

AD + Exchange 2016 要如何對外呢 ?

exchange server 2016 ad dns
薇薇小兔 2018-09-19 17:46:585649 瀏覽

[已解決,謝謝大家]

各位高手您們好 ~

事情是這樣的,我幫公司架設 Mail Server (公司剛成立),然後我們使用 Windows Server 2016 + Exchange 2016,也有在中華電信申請了英文網域,並且在中華電信 DNS 網域那邊設定了我們公司的固定 IP 跟 AD Server name.

公司目前使用兩台實體機器,一台安裝了 Server 2016 做成 AD + DHCP + DNS,這一台有兩個 Network,一個走中華電信固定 IP,一個走內部的 IP,利用 NAT 大家可以對外上網,不過因為一些原因,部分的 Client 沒有加入 Domain (假設 Domain = aaa.com.tw)

另外一台安裝 Server 2016 + Exchange 2016,這台只有一個網路有加入 Domain 並且安裝時都有做問題排除,目前看起來跟 AD 有連線跟互動,也有抓到使用者等等的資料

問題來了,我要使用 Outlook 連線到 Exchange 時發生 Timeout,想說有沒有方向可以試試看的,所以就在外部的 IP 利用 Browser 想說能不能連到 AD (因為有中華電信的 DNS),結果連不到 ... 利用 nslookup 變成很奇怪,輸入 server 168.95.1.1 然後輸入 aaa.com.tw 有反應,但是改成 server dns.hinet.net 再以同樣方式輸入 aaa.com.tw 卻沒有回應,小妹我不知道要從哪裡開始除錯 Google 了很多天也沒有特別的發現,只好請教各位 IT 高手們了,我該怎麼一步一步來呢 ?? 謝謝

小妹是寫程式轉過來幫忙 IT 的,很多不懂,請多包涵呢

看更多先前的討論...收起先前的討論...
竹本立里 iT邦好手 1 級 ‧ 2018-09-19 18:01:57 檢舉
這一台有兩個 Network,一個走中華電信固定 IP,一個走內部的 IP,
走中華電信固定 IP 沒有任何防火牆 ??
建議先畫一個簡易的網路拓樸圖吧

nslookup 變成很奇怪,輸入 server 168.95.1.1 然後輸入 aaa.com.tw 有反應,
但是改成 server dns.hinet.net 再以同樣方式輸入 aaa.com.tw 卻沒有回應
所以這台電腦網卡的DNS 設定是設什麼 ??
竹本立里 iT邦好手 1 級 ‧ 2018-09-19 18:03:52 檢舉
網域名稱或許是隱私, 但問網域問題 不公佈網域,很容易只是在觀落陰跟雞同鴨講
窮嘶發發發 iT邦高手 1 級 ‧ 2018-09-20 09:21:58 檢舉
你們的dns 給外部用的跟給內部用的紀錄要注意一下,給外部的紀錄不能有 私人ip,給內部的不能有公眾ip,除非你們有走電信級nat,那部分還要跟isp業者要求進一步設定
接著就是 exchange 要對外,要走 exchange 連接,防火牆要開port,至於ad,基本上不需要開port 出去的
ks1217 iT邦研究生 1 級 ‧ 2018-09-20 09:28:15 檢舉
DNS真的不是三言兩語就能說清楚的...貴公司不找專職IT, 最好找SI公司協助建置吧..
薇薇小兔 iT邦新手 5 級 ‧ 2018-09-20 09:42:30 檢舉
謝謝竹本大大的回應,對外的網卡沒有經過防火牆喔,她的 IP 設定中華電信的
Preferred DNS 是 127.0.0.1 Alternate DNS 是 168.95.1.1

括樸正在畫呢,等等畫好放上來請大家指點呢



謝謝發發發大哥,
恩,有關 IP 的設定我有切開了,Exchange 因為是連到 AD 出去的,所以他對 AD 的 Port 我有開,Outlook 還連不到他呢


謝謝 ks1217 大哥
我會評估的,因為小公司剛起步,還有很多事情可以研究建置,還要考慮金額問題,所以我只是盡量在學習,也可以幫公司省錢呢,不過專業的 SI 我想一定比較優質啦,我會評估的唷,謝謝
竹本立里 iT邦好手 1 級 ‧ 2018-09-20 10:35:26 檢舉
給台防火牆吧, 不然遇到Zero Day Attack 很恐怖的
ks1217 iT邦研究生 1 級 ‧ 2018-09-20 11:06:26 檢舉
我常這樣比喻IT與程式設計師, IT人員就像是土木技師, 把一棟房子設計好蓋好, 基礎穩固, 而程式設計師就像是在蓋好的房子裡做室內設計, 把一個空房間做成某種功能(例如廚房), IT不需要去管哪個房間做甚麼, 只要做好基礎建設, 而設計師更不用去了解電梯要怎麼建置, 或是鋼筋水泥比重多少, 只需要專心做好設計. 如果您現在跌跌撞撞把系統做好了, 那也只是看起來好了, 很多細節還需要注意的*例如資訊安全.
薇薇小兔 iT邦新手 5 級 ‧ 2018-09-20 17:33:37 檢舉
謝謝竹本大大 ~

有在詢價了喔 ~ 詢價完還要簽核,這段時間就先做好功課呢,因為公司還不大,就算都移掉重建是可以的,所以對我來說目前學習當個好 IT 比較重要呢。謝謝你們


謝謝 ks1217 大大,

恩,我有聽懂您的比喻,所以我從室內設計要轉碰土木技師有很多東西需要學習的。當然我相信不是簡單的事情,所以我希望自己年底左右至少可以當個合格的 IT 工程師,當然要像您們當個菁英可能還要好幾年呢。總之工作就好好學習嚕,謝謝您呢 ~
窮嘶發發發 iT邦高手 1 級 ‧ 2018-09-20 17:50:28 檢舉
exchange 對外的方法

1. 外部 dns => 看起來你跟cht 租網域,他們有 dns 代管,去把 mx 紀錄都寫好
基本的
@ mx xxx.ABC.COM.TW
xxx a xxx.xxx.xxx.xxx ( ip 位址 )
ip 位址請看你防火牆做的設定是用哪個ip 對外
例如 60.123.123.250 這種的實體ip
2. 內部 dns ( ad 伺服器本身的 dns
一樣要有以下紀錄
@ mx xxx.ABC.COM.TW
xxx a xxx.xxx.xxx.xxx ( ip 位址 )
ip 位址 是內部的 ip 位址,不是外部 ip
例如 192.168.1.1 這種的虛擬ip
接著,dns 要設定 未知查詢轉寄給看是 168.95.1.1 或是 8.8.8.8 都行

3. 所有的用戶端dns 都要指定 ad 伺服器的 ip,而且必須加入 ad 網域
使用 user的網域帳號登入,user 要設定好 exchange 相關設定

4. 內部 user 打開 outlook ,基本上就能直接用 exchange 連接到 exchange server 了

5. 防火牆參考 exchange firewall port 設定好,把該開的 port 打開,如果怕exchange 連接要開的port比較多
可以考慮只開 imap pop 跟 smtp 就好,其他的不需要開,如果要用 owa的話,相關port 也要跟著開

6. exchange 內部設定,請參考相關使用手冊,建議多少研究一下,了解一下整個架構,會比較好上手
薇薇小兔 iT邦新手 5 級 ‧ 2018-09-20 18:18:14 檢舉
謝謝發發發的回應,

Exchange 連到 AD 是透過 NAT 上網的,我是說他們之間的 port 我有看您那一個連結的部分都是有開啟的。我知道基本環境目前很危險,所以我沒打算讓這一次的練習直接到位可以上線,當然也不會笨到 full open firewall (disable firewall) 的呢。這樣說吧,公司有很多東西都還沒定位,logo 名片都沒有,僅僅只有註冊了公司,然後幾個志同道合的人想辦法一步一步建立起來。我之前有跟總經理報告過 Exchange online ~ 但是總經理認為我們可以自己架,我也說過這方面我沒有很熟悉,但是總經理給我時間跟環境練習跟學習,我當然也懂各位大大的專業不是三言兩語一年半載可以學會的,但是凡事起頭難,總還是要練的,所以我只是想在我可以幫到忙練到功的時候,努力學習這些。到最後,只要防火牆來了,這些機器整個移光光重新架構也可以,但是到那個時候,希望我的觀念跟知識足夠我應用呢。

真的不好意思像我這樣的新手發問,讓大家傷腦筋,但是我只是想學習這方面的知識跟應用,讓自己可以更成長呢。
薇薇小兔 iT邦新手 5 級 ‧ 2018-09-20 18:23:39 檢舉
感謝發發發大大的步驟,

有筆記下來了,我這幾天都在努力的看文件,不過很多東西還是不懂,會繼續先 Google 的,實在很感激對我的耐心,花您們的時間真的由衷感激呢

對了,有關公司的 Client 網路有設定 DNS 到 AD 的 IP,但是一定要加入網域嗎 ?? 這點我在 google 也發現很多不一樣的見解耶 ~

可以指教一下嗎 ?? 謝謝

再次非常誠心的謝謝您
登入發表討論
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

2 個回答

1
林門神JanusLin
iT邦超人 1 級 ‧ 2018-09-20 08:28:46
最佳解答

AD如果兩片網卡
DNS又在上面
DNS格式又是AD型態
DNS會有兩筆A記錄
一筆真實IP
一筆虛擬IP
造成無回應的應該AD DNS Server回應到虛擬IP了

看更多先前的回應...收起先前的回應...
薇薇小兔 iT邦新手 5 級 ‧ 2018-09-20 09:44:23 檢舉

謝謝門神大大的回應 ~
恩,我想您說的沒有錯,可是我要怎麼分析問題進而除錯呢 ...
IT 真的是高深的學問呀 ~

謝謝

林門神JanusLin iT邦超人 1 級 ‧ 2018-09-20 10:22:27 檢舉

我找找我20年的文章(開玩笑的 XD
其實很簡單
把內外的 DNS 分開就好了
對外的讓ISP託管
最簡單

薇薇小兔 iT邦新手 5 級 ‧ 2018-09-20 10:34:26 檢舉

恩恩,我去中華電信申請一下好了,看起來 DNS 要兩台(對內跟對外分開) 似乎比較不會有太多的問題

謝謝各位先進的幫忙,我研究一下怎麼處理再上來更新狀態喔

竹本立里 iT邦好手 1 級 ‧ 2018-09-20 10:39:17 檢舉

自管DNS 才需要兩台
外部給HINET託管,這樣只要一台AD管內部就好

薇薇小兔 iT邦新手 5 級 ‧ 2018-09-20 10:54:06 檢舉

謝謝竹本大大的回應,
恩,我原本打算自管,不過因為公司硬體機台還沒添購,剛剛申請拖管了,正在修改內部的 DNS 呢,真的感激各位大大的支援

不過因為 Hinet 需要 24 小時生效,我想我修改了之後要測試在報告給大大們也是明天了呢,會在更新狀態的唷,再次感激各位大哥們的 ~~

林門神JanusLin iT邦超人 1 級 ‧ 2018-09-20 11:18:54 檢舉

很快 10min 就會 ok 了
只是外部別家的 dns 更新可能需要 8~72 hr

薇薇小兔 iT邦新手 5 級 ‧ 2018-09-20 17:40:07 檢舉

謝謝門神大大,

恩,我剛剛用 nslookup 試了一下 CHT 的 DNS 連網域應該還沒好,AD 上的 DNS 我也移掉外部的了,可能晚點再試試看 ... 先打通 CHT DNS 到 AD ,如果打通了,後面就可以再繼續學習前進了。
對了,公司是新成立的,很多事情都還在建構,所以這台 AD 跟 Exchange Server 都是 Pure Server 也沒重要資料,所以最壞就是全部移掉重來,可以給我練功很感激呢。

窮嘶發發發 iT邦高手 1 級 ‧ 2018-09-25 09:49:19 檢舉

加入 AD 是為了使用者身分驗證,還有使用各種 AD 相依服務
要了解AD建議就是先找幾本書來K完,最好去考一下 MCSA 或 MCSE,會有比較詳盡且有系統的學習
基本上,要不要加AD是看政策需求,還有特權模式,基本上就是看你們的政策怎麼制定而已
有 AD ,會比較好管理,沒AD還是有方法可以管理,看你們的政策

登入發表回應
0
Ray
iT邦大神 1 級 ‧ 2018-09-20 14:08:14

我只看到一場災難準備要開始....

如果要你現在花一點錢來解決, 老闆一定覺得不甘願;
但若等到以後不得已再花錢, 那筆錢可能會很大一條...

不論誰給你任何不花錢的建議, 這個架構將來都會是個爛攤子;
雖然很想幫你, 但是不要招惹爛攤子上身, 是 IT 基本原則...

很抱歉給了一個毫無建樹的說詞, 但這事...我真的不敢碰...

看更多先前的回應...收起先前的回應...
薇薇小兔 iT邦新手 5 級 ‧ 2018-09-20 17:27:13 檢舉

謝謝 ray 的分享,

並不是任何人給我不花錢的建議,而是公司本身就是剛起步的,我也懂省錢也許未來會花大錢的概念,但是都付錢我想也沒有練習機會進步,我倒是很感激公司給我機會練習架設跟學習。

有關不想招惹爛攤子上身這件事情應該不能說 IT 基本原則,應該是個人要不要分享的問題。當然也會有人詢問,然後還怪別人教的不仔細的,但是那些都是人的問題,不應該是拿專業來當擋箭牌。我當軟體主管時有詢問我都會回答,當然也遇過問個沒完沒了很煩的狀況,但是在他問的過程,他跟我都在進步,事後也是一種棒的經驗(雖然當下很煩很辛苦)。所以分享與不分享,我想個人喜好就好,不會怪您沒給建議的,畢竟是我自己的問題求救,沒有資格怪您呢。

還是感激您嚕 ~ 謝謝

Ray iT邦大神 1 級 ‧ 2018-09-21 06:22:13 檢舉

以下幾件事情會造成你的災難:
(以下寫 AD 實則指 Domain Controller)

  1. AD 主機雙網卡
  2. AD 主機直接面對 Internet
  3. 用 AD 當 Public DNS Server
  4. 用 AD 當 NAT 分享器
  5. 沒有備份機制
  6. 沒有備援 DC (AD)

1.的架構會讓你以後出現如鬼魅般的現象, 有時有問題, 有時又自己消失. 你很難重現問題, 所以很難查修.

2.的架構會讓你的主機很快就備駭客攻破,接手,製造釣魚信件,或是藏入木馬偷取公司資料

3.的架構會讓外界足以探測你的內網狀況,得知如何客製入侵你系統的自動化工具;同時,這也會讓你內網的 DNS 查詢異常, 外網的 DNS 遭受 Flooding 攻擊. AD 的 DNS Server 不適合拿來當 Public DNS 使用.

4.的架構會讓你的 AD 反應速度變慢,導致 Exchange 經常會讀不到他的 config 或者是權限, 用戶 Outlook 連線不正常, Autodiscover 找不到 Exchange Server.

5.是我猜的,應該沒有. 所以這個系統一旦磁碟機掛掉, 全部帳號和信箱都救不回來.

6.如果有5, 沒有6.還可以從備份復原. 如果有 6., 沒有 5., 災難發生後, 至少你還可以救回帳號和 Exchange 設定. 但是我猜: 你兩個都沒有?

裡面還有其他更多的問題, 例如: DNS Model? Exchange 的 Autodiscover?...等等, 但前面的架構不解, 後面這些問題也解不了...

AD 像是人身上的內褲, 你應該把它藏到最深處, 只有最信任的人可以接觸到他, 其他陌生人都看不見; 不應該把它放到 Internet 上去到處招搖見人.

既然沒有經費, 選擇 AD+Exchange 架構是個奇怪的決策, 你這一整套下來, 買齊所有授權(Server+CAL), 也要花上好幾十萬, 而且還要準備將來每隔幾年升級的費用, 一次就是好幾十萬.

很多 OpenSource 的產品可以達到你的需求, 建議看看:

帳號管理: Zentyal
郵件伺服器: Zimbra

他們在不花錢的狀況下, 就可以完成 AD+Exchange 大約 70% 的工作. 當然, 不一定適合你的環境, 例如: 你或許需要經常派送 GPO 政策到每台電腦上?...但這些都超出本篇主題的範圍.

讓我直接放棄解題, 是因為看到這句描述:

所以就在外部的 IP 利用 Browser 想說能不能連到 AD

聽到這個說法, 腦中出現的情境是:

一個不到 10 歲的小孩, 自己爬上汽車駕駛座, 轉動鑰匙發動了引擎, 然後問旁邊的人:「我要怎麼把車開出去?」

我們都知道這是件危險的事情:
小孩身高不夠, 腳踏不到踏板, 眼睛看不到路, 手臂無法靈活轉動方向盤, 不知道如何駕馭車子的性能...光憑日常經驗, 也知道開出去凶多吉少, 就算這小孩是達賴轉世, 你也不會允許他把車子開走的!!

但是你的架構和描述, 就像看到上面的情境一樣. 為了你和他人的安全, 我必須把你趕下車來, 讓有經驗和能力的人接手.

不是不讓你開車, 但是先練好再來...

有心要學很值得鼓勵, 但要選對管道...你提出的問題, 至少還需要 182 小時的前置訓練課程作為基礎, 才會知道我們為什麼要這樣設計和解決...你或許知道其中 10 幾個小時的內容了, 但還是相差很多...

我沒辦法在這裡把那 182 小時的東西全部寫出來, 所以只好放棄救你...

(提示: AD 上面怎麼會有 Web 可以讓你從外面連進來? 如果你想連的 Web 是指 /certsrv 的話, 那整個企業根憑證都會被偷走, 讓別人足以偽造你的 Exchange Server)

echochio iT邦高手 1 級 ‧ 2018-09-21 09:29:23 檢舉

DC 放到外網 ... 哈哈哈 ... 勇氣可嘉
與微軟配合過 ... 他家總部也沒放到外網 , 放到外網的是 RODC ... XD

不要把雞蛋都放到同一個籃子 ...

薇薇小兔 iT邦新手 5 級 ‧ 2018-09-21 09:55:32 檢舉

感謝 Jay 大大的回應,
首先我知道您所說的 182 小時的訓練,所以我想您看得太過嚴重

  1. 公司現在都在用 Gmail 但是因為要申請一些文件,Gmail 是無法申請的,所以目前公司只是在開始草創要做這些事情的過程中,那我也正好有機會在 Google 跟一些論壇的文章努力學習,當然還有很多網路架構的文件要看,依照您說的,我不是要開車上路了,是在駕訓班而已,我想您看到我發問會覺得很危險,是因為覺得這樣要直接上線的想法,不過您放心,在防火牆到公司之前,這兩台機器都是我的練功工具,讓我可以在 182 小時的訓練有實際操作的經驗而已。
  2. 我知道我這樣回有些人會覺得資安有問題就是我這樣的人造成的,不過您放心,這兩台機器我本來就有打算等練完工要全部清空 (Full-Format) 然後安裝上防火牆後再開始動工,而且目前公司內部也只有我跟另一個工程師有加入這個 AD ,我們手上也沒有甚麼重要資料,所以我想被偷資料倒是還好的。
  3. 關於您的 5.6 我有準備了 NAS,不過都沒上限,因為這兩台目前只是給我練習的,沒有重要到需要備份的資料呢。
  4. 對不起讓您誤會了,我說的外面連到 AD 是因為我有安裝 IIS 想說 IIS 應該有對外當網站的功能,所以想試試看,是不是連連線都有問題,當然不是指 /certsrv。不過這觀念是錯誤的我知道了,很抱歉讓你看到這樣的錯誤觀念。
  5. 不好意思我可能沒有太多這樣的觀念,我看到不懂的人,我會想先知道他的初衷,理由,困難。依照您的比喻是小孩子要開車,我不會趕他下車,只要他在安全的範圍內,我會幫他換部小車(可以碰到腳踏板跟方向盤的...玩具車 ??),讓他在安全的狀況下練習。並不會跟他說,您要經過多少訓練才可以開車,然後趕他下車,我想 ... 這樣子那小孩子應該會直接放棄了 (還好我不會 XD) ,不過這是個人的觀念問題了,我依樣沒資格說甚麼,只是表達我的立場而已,謝謝。

其實我應該改個開頭 ... 以免大家覺得就是這樣我就要上線了 ...
這點實在是我不對呢 ... 跟大家抱歉

薇薇小兔 iT邦新手 5 級 ‧ 2018-09-21 10:11:00 檢舉

為了讓這個話題打住 XD 我決定我把這兩台格式化掉,然後在防火牆來之前,我還是看看文章就好,實際練習看起來有太多人會念。難怪現在大家開車就看書就好,實際上路會一直被念,我想跟這個事件一樣,最後大家都拿雞腿換駕照了 XD。

在這邊感謝各位先進的幫忙,我還是先去寫我的 C# 好了

ks1217 iT邦研究生 1 級 ‧ 2018-09-21 10:27:15 檢舉

如果只是為了申請文件需要使用企業EMAIL Address,
您應該使用GMAIL for Business, or Outlook for business, 一樣可以達到你的目的.

至於您說的小孩開車, 如您所述, 小孩應該玩小車(EX: Gmail for Busines or O365), 不應該玩大車 (EX: MS Exchange), 小孩硬要玩大車的情況, 就如雷大所述, 您埋下的炸彈會在日後爆炸的.

PS.假設您找SI公司來做, 您一樣可以在旁邊邊看邊學習, 這也是快速學習的方式之一, 也可避免埋下後患. 同樣的, 如果使用人數不多, 我真的想不出使用MS Exchange的理由.

登入發表回應

我要發表回答

立即登入回答
iThome鐵人賽
參賽組數
1123
團體組數
52
累計文章數
23096
完賽人數
656
iT+看影片追技術 看影片追技術 看更多
熱門tag 看更多
15th鐵人賽 13th鐵人賽 14th鐵人賽 12th鐵人賽 11th鐵人賽 鐵人賽 2019鐵人賽 2018鐵人賽 javascript 2017鐵人賽 python windows php c# windows server linux css react 程式設計 vue.js
熱門問題
熱門回答
熱門文章
IT邦幫忙