Exchange 2007 Verbindung LAN – Internet
Wie bereits im Exchange Installations-Screencast demonstriert, ist Exchange 2007 nach der Installation intern direkt mailfähig. Dies gilt auch für mehrere installierte Hub Transport Rollen im Netzwerk. SMTP-Zugriffe aus / ins WAN sind allerdings nicht möglich. In diesem Szenario binden wir den Exchange Server an das Internet an.
zum Vergrößern ins Bild klicken
Vorbereitung der Testumgebung
Benötigte virtuelle Maschinen: DC1 – Exch1 – CLT1 – Gateway – Internet - CLT.home
Zusätzlich wird in der WAN-Simulation ein funktionierender SMTP/POP Server betrieben.
Dieses Szenario ist die Variante “Testumgebung”. Derzeit wird als Gateway nur ein Windows Server 2008 verwendet. Dies wird in Unternehmen wohl eher seltener zutreffen. Der Funktionalität für Testzwecke tut dies allerdings keinen Abbruch. Folgende Varianten bieten sich im Produktivbetrieb an:
-
Microsoft empfiehlt, als SMTP Endpunkt die Edge Transport Rolle zu betreiben. Diese Rolle steht in der DMZ und ist nicht direkt ans Active Directory angebunden. Anti-Spam Dienste und Transportregeln werden schon am diesem “Eingang” angewendet.
-
Veröffentlichung via ISA-Server: ISA und Exchange sind ein gutes Team und bieten in Kombination vielfältige Filterungs- und Zugriffsmöglichkeiten an.
-
Mail Appliance: Viele Unternehmen haben bereits in eine spezielle Hardwarelösung investiert, die selbstverständlich auch weiterhin genutzt werden kann.
Um die Verbindungen später korrekt mit dem Namen anzusprechen, wird im WAN die DNS-Zone Lernschmiede.de konfiguriert und mit einem entsprechenden MX-Eintrag versehen. Der Mailserver im WAN sollte mit entsprechenden Benutzern konfiguriert sein.
zum Vergrößern ins Bild klicken
Checkliste für dieses Szenario:
DC1.lernschmiede.local
-
Voll funktionsfähiges AD und DNS
-
DNS-Weiterleitung ins WAN vorhanden und funktioniert
CLT1.lernschmiede.local
-
Outlook 2007 installiert
Exch1.lernschmiede.local
-
Zusätzliche IP für WAN SMTP eingepflegt
-
Benutzer mit Postfächern verknüpft
Gateway.lernschmiede.local
-
Grundsätzliche Verbindung LAN/WAN vorhanden
-
Firewall für SMTP freigeschaltet
-
Portforwarding Regel für SMTP im NAT eingepflegt
Internet.
-
POP/SMTP Server vorhanden und funktioniert
-
DNS Zone Elitetrainer.de mit den entsprechenden Einträgen
-
Benutzer auf dem Mailserver vorhanden
-
Lernschmiede.de Domäne mit A-Eintrag und Verweis auf die externe Schnittstelle des Gateway
-
MX-Eintrag für die Lernschmiede Domäne einpflegen
CLT.home
-
Mailclient vorhanden
-
POP3 und SMTP im WAN funktioniert
Screencast: Überprüfen der Voraussetzungen
Konfiguration Exchange 2007
Die Hub-Transport Rolle auf Organisationsebene ist in der Exchange-Verwaltungskonsole
unser erster Ansprechpartner. Im Register Remotedomänen werden die Domänen festgelegt, zu den Exchange senden darf. Dies können durchaus mehrere Domänen sein, für die beispielsweise unterschiedliche Einstellungen für Out-of-Office Nachrichten oder Zeichensatzeinstellungen zugewiesen werden . Die Standardwildcard “*” reicht für dieses Szenario aus.
Akzeptierte Domänen
Ohne eine akzeptierte Domäne – kein Emailverkehr. Die akzeptierte Domäne definiert den 
SMTP-Namensraum, für den dieser Exchange Server verantwortlich ist. Daher ist der AD Name auch standardmäßig mit im Boot. Das Active Directory der Lernschmiede lautet “lernschmiede.local”. Mails von externen Clients werden jedoch von “Lernschmiede.de” gesendet / empfangen. Daher muss dieser DNS-Suffix in die akzeptierten Domänen eingepflegt werden. Auch für die Adressrichtlinien ist dieser Konfigurationsschritt notwendig.
E-Mail-Adressrichtlinien
Derzeit haben die infrage kommenden AD-Objekte den Suffix “*.lernschmiede.local” Mit Hilfe der Adressrichtlinie werden den ausgewählten Objekten eine benutzerdefinierte Mailadresse zugewiesen. Ich nutze in diesem Beispiel die Standardeinstellungen. Selbstverständlich kann gefiltert werden, welche Objekte die neue Adresse verpasst bekommen. Im Anschluss überprüfen wir gleich, ob die neue Richtlinie korrekt angewendet wird.
Sendeconnector
Der Sendeconnector für ausgehende SMTP-Verbindungen zuständig. Im ersten Schritt kann der DNS-Namensraum eingeschränkt werden, an den dieser Connector senden darf. Für das Internet gibt es keine Einschränkungen.
Wenn aus dem Unternehmensnetzwerk eine Mail an “jonathan-zuhause@elitetrainer.de” gesendet werden soll, muss unser Exchange wissen, an welchen Mailserver die Mail geschickt werden soll. Werden MX-Einträge ausgelesen, muss das DNS-Namenssystem im Netzwerk funktionieren – auch nach extern. Ein Smarthost ist ein definierter Mailserver, an den die Mails von diesem Sendeconnector aus geschickt werden (z.B. GMX oder so) Hier werden auch Authentifizierungseinstellungen eingetragen. Nicht zuletzt kann via Verwaltungsshell ein DNS-Server eingetragen werden, den dieser Sendeconnector verwenden soll.
Empfangsconnector
Empfangsconnectoren werden auf der Serverebene der Hub-Transportrolle eingerichtet und bilden den Endpunkt für eingehende SMTP-Verbindungen. Anhand der IP-Adressierung und des Ports wird der Empfangsconnector bestimmt, der für die eingehende Verbindung zuständig ist. Connectoren mit identischer IP/Portkonfiguration ist nicht möglich.
Daher bietet es sich an, für externe, anonyme Verbindungen einen eigenen Connector mit dedizierter IP zur Verfügung zu stellen.
Auf dem Reiter Authentifizierung wird festgelegt, wie sich die eingehende Verbindung authentifizieren kann. Der Reiter Berichtigungsgruppen listet vordefinierte Sätze auf, die diese Verbindung zugewiesen bekommt, wenn sie für diesen Connector authentifiziert wurde. Hier weisen wir einer potenziellen Verbindung über diesen Connector den Berechtigungssatz für anonyme Benutzer zu. Ein Relay ist in dieser Konfiguration nicht möglich.
Abschlusstest
Abschließend sendet Jonathan Boss von zuhause, also aus dem WAN heraus eine E-Mail in das Lernschmiede LAN. Empfänger Gottfried Stutz beantwortet seinerseits die Mail. Nachdem sichergestellt ist, dass die Antwort auch wieder im WAN-Postfach landet, sind alle glücklich und reiten in die untergehende Sonne…
Screencast: Konfiguration und Abschlusstest
Comments
3 Comments on Exchange 2007 Verbindung LAN – Internet
-
Exchange 2007 – Vorbereitung und Installation : Lernschmiede.de on
Do, 30th Apr 2009 19:40
-
Servicewüste Deutschland? : Lernschmiede.de on
Sa, 8th Aug 2009 23:00
-
Reinhard Taubitz on
Fr, 4th Mrz 2011 18:13
[...] Mail zwischen LAN und WAN mit Exchange 2007 hier [...]
[...] GB effektiv nutzbarer RAM kommen in meinem Arbeitsumfeld auch schnell an die Grenze – und wenn das Ganze noch mit einer Screenrecordersoftware mitgeschnitten wird… naja, lassen wir [...]
Ja wie geil ist das denn !
Wenn man sieht wann, wo, was zu tun ist, kommt es einem gleich so vor als wär´s schon erledigt ! :-)
Bestechender Vortrag, danke !
Tell me what you're thinking...
and oh, if you want a pic to show with your comment, go get a gravatar!