Trung Tâm Đào Tạo Mạng Máy Tính Nhất Nghệ   Trung Tâm Đào Tạo Mạng Máy Tính Nhất Nghệ
Trang Chủ Giới Thiệu Chương Trình Học Tài Liệu Lịch Khai Giảng Học Phí Việc Làm Lộ trình học

Go Back   Trung Tâm Đào Tạo Mạng Máy Tính Nhất Nghệ > MICROSOFT AREA > Mail Server
Đăng Ký Thành Viên Thành Viên Lịch Ðánh Dấu Ðã Ðọc


Mail Server Các vấn đề liên quan đến các Mail Server : Exchange , Mdeamon , Lotus ...
Người Quản Trị : Trần Trọng Tuấn

Vui lòng gõ từ khóa liên quan đến vấn đề bạn quan tâm vào khung dưới , trước khi đặt câu hỏi mới.


Trả lời
 
Ðiều Chỉnh
  #1  
Old 24-08-2010, 02:25
haipham haipham vẫn chưa có mặt trong diễn đàn
Khám Phá
 
Tham gia ngày: May 2010
Nơi Cư Ngụ: Trần gian
Tuổi: 38
Bài gởi: 188
Thanks: 34
Thanked 99 Times in 63 Posts
Triển khai Edge Transport Server trong vùng DMZ với ISA 2006 Back-To-Back

Sau một thời gian hì hục thì mình cũng làm xong mô hình triển khai Edge Transport Server trong vùng DMZ với ISA Back-To-Back. Có gì sai xót mong Thầy và các bạn góp ý sửa chữa. Để hiểu rõ hơn, các bạn nên tham khảo các bài viết sau:

Triển khai Edge Transport Server trên hệ thống Exchange 2007:
http://nhatnghe.com/forum/showthread.php?t=28289

PUBLISH SERVER ON ISA 2004 DMZ:
http://nhatnghe.com/forum/showthread.php?t=23668

DMZ with ISA 2004 Back to Back:
http://nhatnghe.com/forum/showthread.php?t=24565



Giả sử trong nội bộ ta có domain domX.local
Bên ngoài ta có domain domX.com

I. Cấu hình TCP/IP:


DC & HT Server:


ISA Back-End: Domain member có 2 NIC, 1 NIC nối vào trong LAN, 1 NIC nối với Perimeter network (vùng DMZ).



External DNS:


ET Server (Stand alone server):


ISA Front-End (Stand alone server):


ISP Router & DNS:


Client:



II. Cấu hình cơ bản:

1. Tại máy DC:

Cài đặt Exchange 2007 SP1 trên DC1 với 3 role: Client Access Server Role, Mailbox Server Role và Hub Transport Server Role.

Tạo 2 mailbox u1/123, u2/123 để test mail.

Cấu hình lại DNS trên DC:

Tạo RLZ 203.162.1.x Subnet, tạo host “edge” và MX record trỏ máy ET Server.






2. Cấu hình ISA Back-End:

Cấu hình Back-End template:

Mở ISA, vào Network > Template > Chọn Back Firewall.


Chọn Export để save lại cấu hình (có thể bỏ qua) và nhấn Next để tiếp tục.


Định nghĩa range IP trong mạng LAN.


Chọn “Block all”, nhấn Next và Finish.

Định nghĩa 2 port 50389 và 50636 cho kết nối một chiều từ AD đến ET Server.

Toolbox > Protocol > New > Protocol, thực hiện theo hình.








Tương tự, định nghĩa port 50636.


Định nghĩa HT Server và ET Server như là “Computer Set” trong Network Object.





Thục hiện tương tự cho ET Server.



Định nghĩa Network rule từ ET Server đến HT Server.



Tạo Access rule cho phép truy vấn DNS từ ET Server đến HT Server (để máy Edge trỏ DNS Suffix về DC trong LAN)


Mở port 50389 và 50636 cho phép đồng bộ một chiều từ HT Server đến ET Server và mở port 25 để send mail giữa HUB và EDGE.



3. Cấu hình Edge Transport Server:

Tạo Persisten route từ ET Server vào trong LAN qua ISA Back-End



Kiểm tra ET Server đã có thể phân giải được FQDN của HT Server.


Tiến hành trỏ DNS Suffix về domx.local



Cài đặt Edge Transport Server role.





Tạo Edge Subscription File trên máy ET Server. Mở Exhchange Management Shell, gõ lệnh
New- EdgeSubscription -filename “c:\EdgeSubscription.xml”
Nhấn Enter và nhấn Y để xác nhận.


Trên ISA Back-End, tạo Access rule như sau để cho phép ET Server đồng bộ thời gian với máy DC (bạn có thể mở port UDP 123 trên ISA Back-End và ISA Front-End để DC và Edge đồng bộ thời gian với 1 server trên internet).


Đồng bộ thời gian vói DC (thời gian trên HT Server và ET Server không đồng bộ với nhau thì khi import Edge Subscription File vào HT Server sẽ bị lỗi)

thay đổi nội dung bởi: haipham, 24-08-2010 lúc 14:32
Trả Lời Với Trích Dẫn
Đã có 3 người gửi lời cảm ơn haipham vì bài viết hữu ích này:
  #2  
Old 24-08-2010, 02:27
haipham haipham vẫn chưa có mặt trong diễn đàn
Khám Phá
 
Tham gia ngày: May 2010
Nơi Cư Ngụ: Trần gian
Tuổi: 38
Bài gởi: 188
Thanks: 34
Thanked 99 Times in 63 Posts
4. Cấu hình trên HT Server:

Copy file EdgeSubscription.xml đã tạo trên ET Server ở bước trên vào ổ C: máy Hub, mở Exchange Management Console, vào Organization Configuration > R.Click Hub Transport, chọn New Edge Subscription, Browse đến file EdgeSubscription.xml vừa copy về ở ổ C:\, nhấn New,



Ở màn hình Competion, xem lại thông báo và nhấn Finish.


Kiểm tra lại Edge Subscription vừa tạo.


Kiểm tra kết nối từ HT Server đến ET Server.



Tiến hành đồng các Recipient từ AD tới ADAM. Lưu ý các dòng Result phải là Success


Kiểm tra thuộc tính của Send Connector “EdgeSync – Default-First-Site-Name To Internet”.





Kiểm tra thuộc tính của Receive Connector “Default srv01”.





Trên máy ET Server kiểm tran đã có 2 Send Connector được đồng bộ từ HT Server.


Kiểm tra các thuộc tính của “Default internal receive connector”





Kiểm tra lại các Serives của máy Edge, mở Exchange Management Shell, gõ lệnh
Test-ServiceHealth


5. Cấu hình External DNS:

Cài đặt DNS, tạo FLZ domx.com và RLZ 203.162.1.x Subnet như hình.







Tạo host mail trở về ISA Back-End


Tạo host edge trở về máy ET Server


Tạo MX trỏ về edge.domx.com


Kiểm tra lại:



Thực hiện Forward về ISP Router & DNS.


6. Cấu hình ISP Router:

Tạo static route đến subnet 210.245.1.16/28



Cấu hình DNS server delegate về ExtDNS.domx.com – 203.162.1.26


Giả lập 1 SMTP server ngoài internet để test mail:
Trong DNS, tạo thêm 1 Zone net, trong zone này tạo Domain abc, trong abc tạo host mail trỏ về máy ISP (210,245.0,1) và MX trỏ về host mail.



Tiến hành Forwarder về ExtDNS.


Cài đặt và cấu hình MDaemon cho domain abc.net:

Mở Mdaemon, vào menu Setup > Default Domain & Server, cấu hình như sau.


menu Accounts, tạo mail account ti/123.


Cấu hình Outlook Express gửi và nhận mail với user ti.

Mở OE, vào Tools > Account, cấu hình như sau.










Ti gửi cho mình 1 e-mail để test.


7. Cấu hình ISA Front-End:

Mở ISA, vào Network > Template > Chọn Front Firewall.


Chọn Export để save lại cấu hình (có thể bỏ qua) và nhấn Next để tiếp tục.


Định nghĩa Perimeter networt (range IP vùng DMZ)


Chọn “Block all”, nhấn Next và Finish.


Kiểm tra lại.



Tạo Computer Set cho ExtDNS.



Tạo 2 Access rule “External DNS Query” để truy vấn DNS từ ngoài vào vùng DNMZ và từ DMZ ra ngoài và “Allow SMPT Traffic” để send mail giữa ET Server và internet.

thay đổi nội dung bởi: haipham, 24-08-2010 lúc 14:31
Trả Lời Với Trích Dẫn
Đã có 4 người gửi lời cảm ơn haipham vì bài viết hữu ích này:
  #3  
Old 24-08-2010, 02:32
haipham haipham vẫn chưa có mặt trong diễn đàn
Khám Phá
 
Tham gia ngày: May 2010
Nơi Cư Ngụ: Trần gian
Tuổi: 38
Bài gởi: 188
Thanks: 34
Thanked 99 Times in 63 Posts
III. Server Publishing:

Sau khi thực hiện các bước cấu hình trên, tiếp tục cấu hình Server Publishing

1. Publish Mail Server (POP3 & SMTP):

Chuyển cơ chế chứng thực về PlainTextLogon, mở Exchange Management Shell, gỡ lệnh.


Start Microsoft Exchange POP3 service


Kiểm tra lại các dịc vụ của HT Server.


Trên ISA Back-End, tiến hành config mail server publishing.








Thực hiên thêm bước sau.


Uncheck “SMTP Filter”


Trên ISA Front-End, mở port 110


Cấu hình Outlook Express trong LAN:

Trên máy DC, mở OE, vào Tools > Accounts, khai báo như sau:









U1 gửi cho mình 1 mail để kiểm tra.


Cấu hình E-Mail Address Policies để có thể nhận mail từ internet:

Trên HT Server, mở Exchange Management Console, tạo 1 Accepted domain “domx.com”





Cấu hình E-mail Address Policies với domx.com








Nhấn Edit, xong Finish.


Test mail:

Trên DC, mở OE, u1 gửi mail cho ti


Bạn sẽ thấy 1 thông báo lỗi, đại khái là “không cho phép relay mail qua ET Server”.


Để fix vấn đề này, trên máy ET Server, mở Exchange Management Shell, gõ lệnh:
Get-ReceiveConnector | Add-ADPermission -User "NT AUTHORITY\ANONYMOUS LOGON" -ExtendedRights "ms-Exch-SMTP-Accept-Any-Recipient"


Trên máy ISP Router, mở OE, thấy ti đã nhận được mail từ u1.


Ti gửi mail cho u1.


Kiểm tra u1 đã nhận được mail.


Kiểm tra lại quá trình vận chuyển mail giữa Hub Transport và Edge Transport:

Trên ET Server, khai báo sai Default Gateway (như hình).


Nhấn “Yes” để xác nhận.


Trên HT Server, mở OE, u1 gửi mail cho ti@abc.net.


Trên ET Server, mở Exchange Management Console > Toolbox > Queue Viewer, kiểm tra thấy mail của u1 gửi cho ti được chuyển đến ET Server trước khi đi ra ngoài.





Trên máy HT Server, disable card mang.


Trên ISP Router, mở OE, ti gửi mail cho u1


Trên ET Server, mở Exchange Management Console > Toolbox > Queue Viewer, kiểm tra thấy mail của ti gửi cho u1 được chuyển đến ET Server trước khi đi vào HT Server.



Cấu hình Outlook Express để client check mail ngoài internet:

Trên máy Client, mở OE, vào Tools > Accounts, cấu hình như sau.




Lưu ý 2 dòng Incoming mail và Outgoing mail.






Kiểm tra kết quả.


thay đổi nội dung bởi: haipham, 24-08-2010 lúc 14:33
Trả Lời Với Trích Dẫn
Những người sau đây đã gửi lời cảm ơn haipham vì bài viết hữu ích này:
  #4  
Old 24-08-2010, 02:37
haipham haipham vẫn chưa có mặt trong diễn đàn
Khám Phá
 
Tham gia ngày: May 2010
Nơi Cư Ngụ: Trần gian
Tuổi: 38
Bài gởi: 188
Thanks: 34
Thanked 99 Times in 63 Posts
2. Publish Secure Mail Server (POP3S & SMTPS):

Trên ISA Back-End, thực hiện Publish Secure Mail








Trên ISA Front-End, mở port 465 và 995.


Trên máy Client (ngoài internet), cấu hình lại OE như sau.


Kiểm tra:




3. Publish Outlook Web Access (OWA):

Trên ISA Back-End, tiến hành Publish OWA.








Ở của sổ “Select Web Listener”, nhấn New.













Trên ISA Front-End, mở port 80.


Trên máy Client, mở IE, truy cập http://mail.domx.com/owa thành công


Logon u1, gửi mail thành công.


thay đổi nội dung bởi: haipham, 24-08-2010 lúc 14:17
Trả Lời Với Trích Dẫn
  #5  
Old 24-08-2010, 13:52
haipham haipham vẫn chưa có mặt trong diễn đàn
Khám Phá
 
Tham gia ngày: May 2010
Nơi Cư Ngụ: Trần gian
Tuổi: 38
Bài gởi: 188
Thanks: 34
Thanked 99 Times in 63 Posts
4. Publish Secure Outlook Web Access (Secure OWA):

Trên ISA Back-End, thực hiện xin Certificate với tên truy cập “mail.domx.com”, lần lượt thực hiện các bước sau:














Tạo Web listener lắng nghe ở cổng 443.





Nhấn vào “Select Certificate…”


Chọn Certificate vừa xin ở bước trên.






Ok, giờ ta Publish Secure OWA.












Trên ISA Front-End, mở port 443.


Trên máy Client, mở IE, truy cập https://mail.domx.com/owa, nhấn vào View Certificate, thấy dấu chéo đỏ (không được Trusted)



Ta tiến hành download Trusted CA từ DC về (certnew.cer) và import vào máy Client:







Trên máy Client, mở IE, truy cập https://mail.domx.com/owa thành công.






5. Remote Control Edge Transport Server:

Trong LAN, ta dễ dàng cấu hình ET Server bằng cách cho phép Remote Desktop qua ISA Back-End.

Tạo rule cho phép Remote Desktop trên ISA Back-End.


Trên máy DC, vào Run gõ mstsc /console, nhấn Connect


Truy cập thành công ET Server bằng Remote Desktop Connection bằng chế độ Console.



Các bạn có thể thực hiện publish IMAP4 & IMAP4S, Outlook Anywhere (RPC Over HTTPS)…

Lưu ý: Khi cấu hình RPC Over HTTPS, phải xin lại certificate cho Default Website trùng với tên truy cập từ bên ngoài, việc giải quyết các vấn đề phát sinh khi thay đổi certificate có thể xem tại http://www.nhatnghe.com/forum/showthread.php?t=25855

Cảm ơn đã theo dõi bài viết.

thay đổi nội dung bởi: haipham, 24-08-2010 lúc 14:34
Trả Lời Với Trích Dẫn
Đã có 9 người gửi lời cảm ơn haipham vì bài viết hữu ích này:
  #6  
Old 04-10-2010, 14:55
CuteBaby CuteBaby vẫn chưa có mặt trong diễn đàn
Thành Viên Mới
 
Tham gia ngày: Mar 2010
Bài gởi: 91
Thanks: 33
Thanked 21 Times in 18 Posts
Ồ, Thanks pác, bài viết thật dài và công phu, tổng hợp nhiều thứ quá !!!
save page lẹ đi mấy bồ, kẻo hình die !!!
Trả Lời Với Trích Dẫn
  #7  
Old 28-10-2010, 15:24
favouritekid favouritekid vẫn chưa có mặt trong diễn đàn
Thành Viên Mới
 
Tham gia ngày: Feb 2009
Tuổi: 32
Bài gởi: 39
Thanks: 7
Thanked 1 Time in 1 Post
Bài viết của anh rất hay nhưng link của hình die hết rồi,anh có thể fix lại dùm em được không ? Em cảm ơn!
Trả Lời Với Trích Dẫn
  #8  
Old 28-10-2010, 16:05
haipham haipham vẫn chưa có mặt trong diễn đàn
Khám Phá
 
Tham gia ngày: May 2010
Nơi Cư Ngụ: Trần gian
Tuổi: 38
Bài gởi: 188
Thanks: 34
Thanked 99 Times in 63 Posts
Mình kiểm tra rồi, hình vẫn còn, bạn xem lại vào lúc khác nhé. Thân!
Trả Lời Với Trích Dẫn
  #9  
Old 15-11-2010, 16:50
favouritekid favouritekid vẫn chưa có mặt trong diễn đàn
Thành Viên Mới
 
Tham gia ngày: Feb 2009
Tuổi: 32
Bài gởi: 39
Thanks: 7
Thanked 1 Time in 1 Post
Em sử dụng ISA 2006 Enterprise để triển khai bài lab,đến đoạn bỏ SMTP Filter thì nó báo lỗi "this application filter is used by corresponding protocol at the enterprise level.Therefore it cannot be deselected"

Em bỏ qua bước này,cấu hình tiếp các bước tiếp theo.Tạo tài khoản mail box rồi gửi cho chính nó thì nhận được thông báo lỗi
"An unknown error has occurred. Subject '', Account: 'dc-hub.domxc.local', Server: 'edge.domxc.local', Protocol: SMTP, Server Response: '550 5.7.1 Message rejected as spam by Content Filtering.', Port: 25, Secure(SSL): No, Server Error: 550, Error Number: 0x800CCC69"

-->Có phải nó sử dụng Filter trên và coi mail em gửi là spam ko???

Server cài DC và Hub transport:dc-hub.domxc.local
Server cài Edge transport:edge.domxc.local

Mong anh hướng dẫn dùm em! Em cảm ơn!

thay đổi nội dung bởi: favouritekid, 15-11-2010 lúc 16:59
Trả Lời Với Trích Dẫn
  #10  
Old 15-11-2010, 19:57
favouritekid favouritekid vẫn chưa có mặt trong diễn đàn
Thành Viên Mới
 
Tham gia ngày: Feb 2009
Tuổi: 32
Bài gởi: 39
Thanks: 7
Thanked 1 Time in 1 Post
Nếu em bỏ chức năng Content Filter trên Edge Transport Server thì Mail được gửi đi,nhưng vẫn không nhận được Mail đã gửi!
Không biết bị lỗi sao luôn!
Em đã vào C:\Program Files\Microsoft\Exchange Server\TransportRoles\Logs\ProtocolLog
để kiểm tra Log trên Hub Transport nhưng không thấy file Log đâu hết???
Mong mọi người giúp đỡ!
Trả Lời Với Trích Dẫn
Trả lời

Bookmarks

Ðiều Chỉnh

Quyền Sử Dụng Ở Diễn Ðàn
You may not post new threads
You may not post replies
You may not post attachments
You may not edit your posts

BB code is Mở
Smilies đang Mở
[IMG] đang Mở
HTML đang Tắt

Chuyển đến

Similar Threads
Ðề tài Người Gởi Chuyên mục Trả lời Bài mới gởi
[Help] Help me toanminhtran48 Những Vấn Đề Khác 11 24-03-2010 19:11
[Help] Xin giúp đỡ về ISA Server 2006 Array trong mô hình Workgroup ! dttvu Firewall 18 09-02-2010 09:19
[Help] Bên ngoài mạng không nhìn thâý port 1433 khi thông qua ISA Server 2006 khanhkiengiang Firewall 2 07-02-2010 15:26



Múi giờ GMT +7. Hiện tại là 16:52
Powered by: vBulletin Version 3.8.7
Copyright ©2000 - 2020, Jelsoft Enterprises Ltd.
Ad Management by RedTyger