- Remove From My Forums
-
General discussion
-
После перезапуска всех серверов, не приходят письма
Проверил соединители — там все окей
Какие логи приложить?
Что сделать?
Помогите пожалуйста, очень срочно нужно-
Moved by
Dmitriy VereshchakMicrosoft contingent staff, Moderator
Thursday, March 26, 2020 11:24 AM
from Exchange Server 2007, 2003 и более ранние версии -
Changed type
Vasilev VasilMicrosoft contingent staff
Monday, April 6, 2020 8:27 AM
давность, нет активности со стороны ТС
-
Moved by
All replies
-
Сервер возвратил код состояния 451 — Error in processing. The server response was: 4.7.0 Temporary server error. Please try again later. PRX5
Сведения об исключении:
Сообщение: Error in processing. The server response was: 4.7.0 Temporary server error. Please try again later. PRX5
Тип: System.Net.Mail.SmtpException
Трассировка стека:
at System.Net.Mail.DataStopCommand.CheckResponse(SmtpStatusCode statusCode, String serverResponse)
at System.Net.Mail.DataStopCommand.Send(SmtpConnection conn)
at System.Net.ClosableStream.Close()
at System.Net.Mail.SmtpClient.Send(MailMessage message)
at Microsoft.Exchange.Tools.ExRca.Tests.SmtpMessageTest.PerformTestReally()Затраченное время: 2087 мс.
-
-
Edited by
Андрей Михалевский
Tuesday, March 24, 2020 2:10 PM
-
Edited by
-
выше прислал ответ с проверки
-
Начните проверку с сервисов. Потом с базы данных.
Test-ServiceHealth
Test-MAPIConnectivity
Test-ServiceHealth — все True
Test-MAPIConnectivity —
ZIMEXCH Mailbox Database 1 Удачное з
авершение
ZIMEXCH Mailbox Database S Удачное з
ale авершениедомен — kronvuz.com
-
Edited by
Kooq1Name
Tuesday, March 24, 2020 2:19 PM
-
Edited by
-
220 ZIMEXCH.kronvuz.com Microsoft ESMTP MAIL Service ready at Tue, 24 Mar 2020 16:32:24 +0300 [781 ms]
EHLO keeper-us-east-1b.mxtoolbox.com
250-ZIMEXCH.kronvuz.com Hello [52.55.244.91]
250-SIZE 104857600
250-PIPELINING
250-DSN
250-ENHANCEDSTATUSCODES
250-STARTTLS
250-X-ANONYMOUSTLS
250-AUTH NTLM
250-X-EXPS GSSAPI NTLM
250-8BITMIME
250-BINARYMIME
250-CHUNKING
250 XRDST [813 ms]
MAIL FROM:<supertool@mxtoolbox.com>
250 2.1.0 Sender OK [812 ms]
RCPT TO:<test@mxtoolboxsmtpdiag.com>
550 5.7.54 SMTP; Unable to relay recipient in non-accepted domain [5828 ms]
LookupServer 12703ms -
2020-03-24T14:36:16.877Z,ZIMEXCHDefault ZIMEXCH,08D7CFFB9821FDB9,1,192.168.0.13:2525,192.168.0.13:20877,>,»220 ZIMEXCH.kronvuz.com Microsoft ESMTP MAIL Service ready at Tue, 24 Mar 2020 17:36:16 +0300″,
2020-03-24T14:36:16.878Z,ZIMEXCHDefault ZIMEXCH,08D7CFFB9821FDB9,2,192.168.0.13:2525,192.168.0.13:20877,<,EHLO smtp.availability.contoso.com,
2020-03-24T14:36:16.878Z,ZIMEXCHDefault ZIMEXCH,08D7CFFB9821FDB9,3,192.168.0.13:2525,192.168.0.13:20877,>,250 ZIMEXCH.kronvuz.com Hello [192.168.0.13] SIZE PIPELINING DSN ENHANCEDSTATUSCODES STARTTLS X-ANONYMOUSTLS AUTH NTLM X-EXPS GSSAPI NTLM 8BITMIME
BINARYMIME CHUNKING XEXCH50 XRDST XSHADOWREQUEST,
2020-03-24T14:36:16.879Z,ZIMEXCHDefault ZIMEXCH,08D7CFFB9821FDB9,4,192.168.0.13:2525,192.168.0.13:20877,-,,Remote(SocketError) -
Что предшествовало перезапуску всех серверов? Имеется ли шлюз/антиспам перед Exchange? Антивирус? Установка CU/апдейтов ?
Хватает ли места на дисках с очередями? Изучите Application лог на серверах.
-
Что предшествовало перезапуску всех серверов? Имеется ли шлюз/антиспам перед Exchange? Антивирус? Установка CU/апдейтов ?
Хватает ли места на дисках с очередями? Изучите Application лог на серверах.
Есть Zyxel USG-60, все порты для почты открыты, до этого все работало
Перезагрузку делал, т.к. DHCP начал тупить
Места хватает
Cmdlet failed. Cmdlet Get-Mailbox, parameters -ResultSize «1».
Cmdlet failed. Cmdlet Get-Queue, parameters -Server «Mailbox01″ -Exclude » empty».
Cmdlet failed. Cmdlet New-ReceiveConnector, parameters -Name «ZIMEXCH_INTERNET» -Bindings («0.0.0.0:25») -Usage «Internet» -Server «ZIMEXCH.kronvuz.com» -TransportRole «FrontendTransport».
Cmdlet failed. Cmdlet Get-PublicFolder, parameters -ErrorAction «SilentlyContinue» -GetChildren «True» -ResultSize «500».
Cmdlet failed. Cmdlet Get-Notification, parameters -Summary «True».
-
1. Не очень понял какая связь между Exch и DHCP, если у вас адреса динамические и для чанги они сейчас изменились, то вполне возможно что на Zyxel нужен перенастроить проброс портов. И задать статику на серверах.
2. IPv6 случаем не отключали?
-
Ничего не менялось
Вчера вечером заработало все, после принудительной записи в PTRСтатика прописано везде на серверах, в Zyxel пробросы есть
Сейчас снова на ровном месте перестало работать
Ничего не менялось вообще
Со стороны хостинга домена не может быть проблем?
-
Edited by
Kooq1Name
Wednesday, March 25, 2020 8:37 AM
-
Edited by
-
1. Поясните, что за принудительная запись в PTR?
2. Снаружи ещё раз инициируйте SMTP-сессию (хоть через telnet или openssl) и посмотрите в какой момент она рвётся. Если сервер чанги успешно её принимает (HELO/EHLO) и только потом рвёт, то навряд ли это сетевая или хостинг
проблема. Тут надо понять ещё — все ли записи для почты у вас созданы (см п.1 и https://mxtoolbox.com/ в помощь).3. Проверьте ещё раз сервисы на всех почтовых серверах + отключите временно антивирус + посмотрите лог System.
-
1.домен — DNS
2. До этого момента все работало, ничего не менялось и не добавлялось.
Сейчас то работает, то не работает
Потоками письма приходят. Какое то время работает, после «стоп» и потом прям пачками письма приходят.
-
Connecting to 84.53.239.51
220 ZIMEXCH.kronvuz.com Microsoft ESMTP MAIL Service ready at Wed, 25 Mar 2020 16:26:08 +0300 [734 ms]
EHLO keeper-us-east-1c.mxtoolbox.com
250-ZIMEXCH.kronvuz.com Hello [18.205.72.90]
250-SIZE 104857600
250-PIPELINING
250-DSN
250-ENHANCEDSTATUSCODES
250-STARTTLS
250-X-ANONYMOUSTLS
250-AUTH NTLM
250-X-EXPS GSSAPI NTLM
250-8BITMIME
250-BINARYMIME
250-CHUNKING
250 XRDST [797 ms]
MAIL FROM:<supertool@mxtoolbox.com>
250 2.1.0 Sender OK [797 ms]
RCPT TO:<test@mxtoolboxsmtpdiag.com>
550 5.7.54 SMTP; Unable to relay recipient in non-accepted domain [5797 ms]LookupServer 9422ms
-
Есть подозрение на это
посмотрел очереди, да там порядка 15-20 очередей, с разными статусами
Как устранить затор в очередях?
Что нужно сделать? -
Очереди можно вынести на отдельный быстрый диск.
Остальные ресурсы можете сверить по калькулятору и при необходимости нарастить.
Ещё, кстати, антивирус/антиспам может так фризить.
-
До этого проблем не наблюдалось
Два дня такая песня идет -
Какой то период работает все, а в какой то период перестает приходить почта из вне.
В чем проблема? -
На диске C: сколько свободного места в процентах?
При настройках «по-умолчанию» внешняя почта перестает приниматься, если осталось менее 10% свободного места на диске C:
-
В момент ступора письма скапливаются в очереди — посмотрите какие ошибки у каждого письма.
Get-Message / Get-Queue
-
Home -
Knowledge Base
-
SMTP Service
-
SMTP Errors
SMTP Error 471
SMTP Error 450 4.7.1
SMTP Error 451 4.7.1
451 4.7.1 Greylisting in action, please come back in 00:02:00 [minutes]
This error is usually followed by «Please try again later.» It is connected with the sender’s server. It is usually caused by an anti-spam policy or by a bad automatic update from antivirus software.
To fix the error, contact the SMTP service provider you use.
SMTP Error 451
Requested action aborted — Local error in processing
A remote antispam filter might reject your request. Also, your internet provider may be overloaded, or too many emails were sent through your SMTP relay. The next attempt may be successful if the error still occurs — contact your SMTP provider.
SMTP error 451 may
Usually, the recipient’s spam-filter sends this error for policy reasons, labeling your email as spam.
You can eliminate this error by asking a recipient to whitelist you.
SMTP Error 551
551 Sender address is not valid for your login
551 This mail server requires authentication before sending mail from a locally hosted domain
Sometimes this error occurs intending to thwart spam, but it is not always accurate. To solve this problem, contact your internet service provider to ensure that you are a certified user. Also, this error may occur if the user is not local or if the email address is invalid.
SMTP error 554
Transaction failed
If you receive this error, it means that the recipient’s mail server considers your email to be spam or your IP to be blacklisted on one or more lists on the internet. To eliminate this error, ask the recipient to whitelist you or take steps for your IP address or ISP server to be removed from Realtime Blackhole List.
Last Updated: 21.01.2020
Rate this article about «Spam Related Delivery Errors»
Popular in Our Blog
Разберемся, что такое «ошибка 451» и как от нее избавиться. Какое отображение может быть на экране? Рассмотрим проблему на примере.
В последнее время пользователи Сети при обращении к искомой странице все чаще видят на экранах мониторов сообщение об ошибке 451. И ладно бы, просто сообщение, как привычная всем «ошибка 404— страница удалена или не найдена».
Сообщение «ошибка 451» часто бывает украшено козлиной мордой и надписью «На территории вашей страны просмотр этой страницы запрещен органами власти».
Начнем сразу с примера…
Именно так приветствовал пользователей Живого Журнала в 2013 году монитор компьютера, когда они пытались открыть любую, в том числе собственную, страничку ЖЖ.
Неудивительно, что шквал вопросов и комментариев превысил зафиксированные рейтинги активности пользователей ЖЖ. Понятна реакцию любого человека, решившего посмотреть страничку в сети и увидевшего сообщение о запрете просмотра.
Коротко об истории возникновения термина.
Ввести термин в обращение несколько лет тому назад предложила компания Google, обозначив его как HTTP/1.1 451 Unavailable For Legal Reasons, что в дословном переводе означает [Недоступно по юридическим причинам]
Действующий НТТР протокол передачи данных дает сбой при наложении ограничений на просмотр контента, пользователь видит на экране монитора сообщение «ошибка 451»
Марк Ноттингема (Mark Nottingham) — президент инженерного совета интернета IEFT- заявил, что ошибка 451 в протокол HTTP внесена официально. Цензура запрещала ранее и продолжает запрещать просмотр отдельных страниц сайтов, либо сайты целиком.
Именно для целей цензуры введен HTTP/1.1 451 Unavailable For Legal Reasons официально.
Вернемся к примеру…
Почему пользователи Живого Журнала не получили доступа к контенту, какой сбой протокола HTTP не позволил им почитать новости и посмотреть фотки?
Ответ уже известен: государственные структуры приняли решение о запрете доступа к блогу Алексея Навального. Провайдеры, перестраховавшись, ограничили доступ всем пользователям ЖЖ, наложив запрет на сайт целиком.
Существуют технические трудности по ограничению просмотра контента одного пользователя, устранение которых требует времени и разработки новых решений. Для реализации запрета в кратчайший срок был закрыт доступ к Живому Журналу в полном объеме.
История и рамки ошибки
Вернемся к заявлению Марка Ноттингема (Mark Nottingham). В своей речи он сказал, что коды HTTP никогда ранее не имели отношения к политическим либо религиозным мотивам. И далее добавил, что невозможно заставить применять код HTTP 451.
Однако, на практике… сами понимаете.
Запрет на контент, наложенный цензорами одного государства, может не иметь никакого значения в соседней стране. Правомерность запрета просмотра страниц бывает спорной, коды HTTP можно изменить, либо просто игнорироваться. В этом случае страницы, отмеченные цензурой, будут видны всем пользователям.
Пользователи Сети активно делятся опытом. Желание получить доступ к контенту заставило миллионы пользователей искать способы обойти выставленный запрет.
Таких способов, предложенных читателями Живого Журнала, на текущий момент три.
Способ № 1
Использование анонимайзеров, VPN сервисов, меняющих IP-адреса клиента. Анонимайзерами называют сайты, которые скрывают реальное местонахождение пользователя в сети. Следует заметить, что в Российской Федерации с1 ноября 2017 года вступил в силу закон об анонимайзерах. А с1 ноября 2019 года вступает в силу Федеральный закон № 90-ФЗ «О внесении изменений в Федеральный закон «О связи» и Федеральный закон «Об информации, информационных технологиях и о защите информации».
Об этом чуть позже. В свете положений нового закона, уже получившего название Закона «О суверенном интернете», совет об использовании анонимайзеров для исключения ошибки 451 выглядит классическим вредным советом.
Способ № 2
Предложенный одним из авторов Живого Журнала способ выглядит так:
«для чтения заблокированного контента добавьте в браузере Хром слово «cache:» Именно так читали блог известного политика его подписчики, набирая в адресной строке cache: http://navalny.livejournal.com/
Способ № 3
Оказалось, что часть пользователей Интернета ни разу не столкнулась с таким препятствием к доступу контента, как ошибка 451. Эти относится к людям, установившим на компьютере браузер Opera в режиме Turbo. Попробуйте такой вариант: бесплатно, без ограничений.
Что представляет собой код HTTP 451?
Можно сказать, что код HTTP 451 представляет собой уточняющую версию кода HTTP 403 (forbidden).
Код HTTP 403 запрещает просмотр страницы, чаще всего «ошибка 403» возникает по причине сбоя в работе сервера. Пользователю остается ждать, когда произойдет плановая перезагрузка сервера и страница станет доступна для просмотра. Обычно этот процесс занимает небольшой промежуток времени.
Схожесть ошибок 451 и ошибки 403
Существует еще одна причина возникновения ошибки 403, которая связана с настройками сайта. Возможны установленные администрацией сайта ограничения показа, касающиеся возраста пользователя. В этом случае «ошибка 403» означает действующий запрет и пользователь, попавший под ограничение, наложенное администратором, доступа к странице не получит.
Код ошибки HTTP 451 возникает только в случае запрета, наложенного цензурой. Содержимое страницы либо сайта противоречит правовым нормам государства, содержит призывы к насилию, экстремистскую пропаганду и направлено на антисоциальные цели.
Дополнительно к коду HTTP 451 добавим, что есть возможность уточнения, кем именно запрещен просмотр контента.
Как узнать, кто наложил ограничения с ошибкой 451?
Для получения точной информации нужно обратиться к HTML -разметке сообщения, найти заголовок Link, именно он содержит интересующие данные. Речь идет о содержащемся в заголовке Link параметре rel, имеющий значение «blocked-by» — в этой же строке стоит наименование ресурса, наложившего запрет на просмотр контента. Очень хороший пример приводит Википедия
HTTP/1.1 451 Unavailable For Legal Reasons Link: <https://spqr.example.org/legislatione>; rel="blocked-by" Запрет наложен сайтом spqr.example.org
Пример взят из истории Древнего Рима, запрет наложен на информацию, порочащую доброе имя правительственного чиновника отдаленной провинции. Суть запрета становится понятна читателям, содержание запрещенной статьи уже не вызывает интереса.
Возвращаемся к коду ошибки 451. Редко возникавшая ранее, она все чаще будет напоминать о себе. Вопрос цензуры в сети поднимался средствами массовой информации неоднократно.
Введение кода HTTP 451 стало необходимостью, своеобразным инструментом регулирования потока информации, не всегда соответствующей этическим нормам.
Продолжаю цикл статей под названием Установка Exchange Server 2013. Сейчас уже становиться понятно, что название для цикла было выбрано неудачно. Цикл следовало бы назвать “Внедрение Exchange 2013” т.к. я собираюсь рассмотреть все аспекты и затронуть все темы, от предварительной подготовки, до окончательной настройки, почтового потока.
На данный момент было написано две статьи:
- Установка Exchange Server 2013 Preview – часть 1 — подготовка
- Установка Exchange Server 2013 – часть 2 [установка]
В них было рассказано о том как подготовить сервер к установке Exchange 2013 и описан сам процесс установки.
Дополнительно рекомендую внимательно изучить статью:
- Важные аспекты успешной установки Exchange Server 2013 — часть 2.
В ней приведена информация, которая поможет Вам сократить время в некоторых ситуациях.
После установки Microsoft Exchange Server 2013 в Вашей организации, вам нужно настроить почтовый поток и доступ для клиентов в Exchange Server 2013 . Без этих дополнительных шагов, вы не сможете отправлять почту в Интернет и внешние клиенты, такие как Microsoft Office Outlook и ActiveSync устройства не смогут подключиться к вашей организации Exchange.
В этой статье предполагается, что Exchange развернут как описано в вышеприведенных статьях, с одним сайтом Active Directory и одним пространством имен Simple Mail Transport Protocol (SMTP).
В этом примере я использую следующие настройки:
- DNS-имя домена corp.contoso.com,
- NetBIOS имя домена: corp
- Внешнее имя сайта: mail.danshin.ms
- IP-адрес сервера 172.21.0.38.
Вы можете заменить их на те, что используются в Вашей организации.
В будущих статьях я более подробно рассмотрю все, что связано с почтовым потоком и клиентским и мобильным доступом. Сейчас ограничусь лишь той информацией которой будет достаточно для первоначальной настройки.
Введение
- Предполагаемое время для выполнения этой задачи: 35 минут
- В каждой организации должен быть установлен минимум один Client Access сервер и один Mailbox сервер. Все роли могут быть установлены на одном сервере. Однако если Вы планируете разделять роли, то рекомендуется сначала устанавливать Mailbox сервер.
- В Exchange 2013 не требуется установка Client Access в каждом сайте Active Directory где установлен Mailbox. Например Вы можете установить Mailbox в сайт без выхода в Internet и направлять почту через Client Access сервер установленный в Active Directory сайте с выходом в Internet.
- Вы будете получать предупреждения сертификата при подключении к вебсайту при помощи Exchange Administration Center (EAC) , до тех пор пока вы не настроите сертификат Secure Sockets Layer (SSL) на сервере клиентского доступа. Как это сделать будет показано позже, в этой статье.
- Для получения информации о сочетаниях клавиш, которые могут применяться к процедурам в этой статье см. Keyboard Shortcuts in Exchange 2013.
Подсказка:
В случае возникновения проблем Вы можете обратиться на форум: Exchange Server или написать мне на адрес эл. почты mdanshin@gmail.com
Подсказка: Что осталось за рамками статьи
- В этой статье я не стал подробно рассматривать как создавать DNS записи. Уверен, что Вы сами сможете это сделать. Я указал лишь какие записи должны быть созданы.
- Весь пример основан на том, что мы настраиваем внутренний сервер. Проброс данного сервера в Internet выходит за рамки данной статьи. Для того чтобы почта принималась снаружи Вам самим придется позаботиться о том, как вывести сервер в Internet . Я только покажу как сделать необходимые настройки на сервере.
- В статье не приводится подробных сведений о SSL сертификатах и о том как они работают. Приводятся лишь конкретные инструкции, которые нужно выполнить для настройки сертификатов в Exchange 2013. При этом предполагается, что вы хоть раз делали самоподписной сертификат или заказывали и устанавливали сертификат от стороннего поставщика.
Что нужно сделать
- Шаг 1: Создать соединитель отправки (Send connector)
- Шаг 2: Добавить дополнительные принимаемые домены (accepted domains)
- Шаг 3: Настроить почтовую политику по умолчанию (default email address policy)
- Шаг 4: Настроить SSL сертификат (SSL certificate)
- Шаг 5: Настроить внешние имена (external URLs)
- Проверить работоспособность
Шаг 1: Создать соединитель отправки (Send connector)
Чтобы отправлять почту в Internet Вам нужно создать соединитель отправки (Send connector). Для этого сделайте следующее.
1. Откройте Internet Explorer и пройдите по адресу “https://(fully qualified domain name (FQDN) of Client Access server)ECP”, где FQDN – это полное имя компьютера. В моем примере ссылка выглядит так “https://hq-ib-dan-01.corp.contoso.com/ecp”
ВАЖНО:
Если Вы получите следующее сообщение:
ВАЖНО:To use Outlook Web App, browser settings must allow scripts to run. For information about how to allow scripts, consult the Help for your browser. If your browser doesn’t support scripts, you can download Windows Internet Explorer for access to Outlook Web App.
то проще всего добавить сайт в доверенные, но вообще нужно разрешить выполнение скриптов.
2. Введите логин и пароль и нажмите “sign in”.
3. Перейдите в Mail flow — Send connectors. На странице Send connectors нажмите Add (
).
4. В открывшемся окне New send connector впишите имя Вашего соединителя (Send connector) и выберите опцию Internet. Затем нажмите Next.
5. Убедитесь, что выбрана опция “MX record associated with recipient domain” и нажмите Next.
6. В разделе Address space, нажмите Add. В открывшемся окне Add domain убедитесь, что в поле Type написано SMTP. В поле Fully Qualified Domain Name (FQDN) введите символ * (звездочка), а затем нажмите Save.
7. Убедитесь, что поле “Scoped send connector” не выбрано и нажмите Next.
8. В поле Source server нажмите Add. В открывшемся окне выберите сервер с ролью Mailbox который будет использоваться для отправки почты в интернет через сервер с ролью Client Access. В нашем примере всего один сервер – его и выбираем. После этого нажмите кнопку “Add“, а затем OK.
9. Теперь нажмите Finish.
Примечание:
После установки Exchange 2013 был создан принимающий соединитель по умолчанию (default inbound Receive connector). Этот соединитель принимает анонимные SMTP соединения от внешних серверов. Вам не требуется делать никаких дополнительных настроек. Если Вы хотите ограничить подключение от внешних серверов Вам следует изменить коннектор “Default Frontend (имя_сервера)“ на сервере клиентского доступа (Client Access server).
Как убедиться, что все работает?
Чтобы убедиться в том, что Вы правильно создали соединитель отправки (outbound Send connector) сделайте следующее:
1. В EAC убедитесь, что новый соединитель появился в разделе Mail flow — Send connectors.
2. Откройте Outlook Web App и отправьте почтовое сообщение внешнему получателю. Если Ваше сообщение было получено, то Вы сделали все правильно!
Шаг 2: Добавить дополнительные принимаемые домены (accepted domains)
После того как вы развернули Ваш новый Exchange 2013 в организации, в качестве принимающего домена Exchange использует имя домена Active Directory. Если Вы хотите, чтобы Выши пользователи имели возможность принимать почту для других доменов или отправлять от их имени Вы должны добавить эти домены как “принимаемые домены” (accepted domain). Этот домен также добавляется как основной SMTP адрес (primary SMTP address ) в политику почтовых адресов по умолчанию (default email address policy) на следующем шаге.
Важно: Внешняя MX запись требуется для каждого SMTP домена для которого Вы собираетесь принимать почту из Интернет. Каждая MX запись должна разрешать внешний сервер, который будет принимать почту в Вашей организации.
1. Откройте Internet Explorer и пройдите по адресу “https://(fully qualified domain name (FQDN) of Client Access server)ECP”, где FQDN – это полное имя компьютера. В моем примере ссылка выглядит так “https://hq-ib-dan-01.corp.contoso.com/ecp”
2. Введите логин и пароль и нажмите “sign in”.
3. Перейдите в раздел Mail flow — Accepted domains. На странице Accepted domains нажмите Add
.
4. В окне New accepted domain введите имя нового принимаемого домена.
5. В поле Accepted domain введите SMTP имя принимаемого домена. Например danshin.ms.
6. Выберите опцию Authoritative domain и нажмите Save.
Чтобы убедиться, что все выполнено правильно удостоверьтесь, что новый принимаемый домен появился в Mail flow — Accepted domains.
Шаг 3: Настроить почтовую политику по умолчанию (default email address policy)
Если Вы добавили новый принимающий домен, как показано в предыдущем шаге, и Вы хотите, чтобы этот домен был добавлен каждому Вашему получателю в качестве основного SMTP адреса, для этого нужно изменить политику почтовых адресов по умолчанию (default email address policy).
1. Откройте Internet Explorer и пройдите по адресу “https://(fully qualified domain name (FQDN) of Client Access server)ECP”, где FQDN – это полное имя компьютера. В моем примере ссылка выглядит так “https://hq-ib-dan-01.corp.contoso.com/ecp”
2. Введите логин и пароль и нажмите “sign in”.
3. Перейдите в раздел Mail flow — Email address policies. В окне Email address policies выберите Default Policy и нажмите Edit
.
4. На странице Default Policy Email Address Policy нажмите Email Address Format.
5. В разделе Email address format, выберите SMTP адрес который Вы хотите изменить и нажмите Edit.
6. На странице Email address format, в поле Email address parameters, введите SMTP домен который Вы хотите использовать для всех получателей в организации. Этот домен должен совпадать с тем, что Вы создали в предыдущем шаге. Затем нажмите Save.
7. В окне Default Policy нажмите Save
8. В окне дополнительных параметров Default Policy нажмите Apply.
На заметку: Мы рекомендуем Вам настроить каждому пользователю user principal name (UPN) так, чтобы он совпадал с основным email адресом (primary email address). Если этого не сделать, то пользователю придется вручную добавлять domainuser name или UPN в качестве дополнительного email адреса. Если UPN совпадает с email адресом, то Outlook Web App, ActiveSync, и Outlook будут автоматически сопоставлять email адрес с UPN. Как проверить, что все работает?
Чтобы проверит, что Вы успешно настроили политику почтовых адресов по умолчанию (default email address policy), выполните следующее:
- В EAC, перейдите в Recipients — Mailboxes.
- Выберите почтовый ящик, а затем в дополнительной панели (details pane) убедитесь, что поле User mailbox имеет значение вида (alias)@(new accepted domain).
ПРИМЕЧАНИЕ: Для того, чтобы я смог увидеть вступившие в силу изменения мне понадобилось нажать кнопку Refresh.
Дополнительно к этому Вы можете создать новый почтовый ящик и убедиться, что он получил то email который Вы настроили. Для этого сделайте следующее:
1. Перейдите в Recipients — Mailboxes и нажмите Add
2. На странице создания нового почтового ящика введите все необходимые данные и нажмите Save.
3. Выберите почтовый ящик, а затем в дополнительной панели (details pane) убедитесь, что поле User mailbox имеет значение вида (alias)@(new accepted domain).
Шаг 4: Настроить SSL сертификат (SSL certificate)
Некоторые сервисы, например Outlook Anywhere или ActiveSync, требуют установленного и настроенного сертификата на Вашем Exchange 2013 сервере. Далее показано как настроить сервер на работу с SSL сертификатом выпущенным сторонним производителем (third-party certificate authority (CA))
1. Откройте Internet Explorer и пройдите по адресу “https://(fully qualified domain name (FQDN) of Client Access server)ECP”, где FQDN – это полное имя компьютера. В моем примере ссылка выглядит так “https://hq-ib-dan-01.corp.contoso.com/ecp”
2. Введите логин и пароль и нажмите “sign in”.
3. Перейдите в раздел Servers — Certificates. На странице Certificates убедитесь, что выбран Ваш Client Access сервер, в выпадающем списке Select server нажмите Add.
4. В открывшемся окне New Exchange certificate выберите Create a request for a certificate from a certification authority, и нажмите Next.
5. Введите имя для нового сертификата и нажмите Next.
6. Если Вы хотите запросить wildcard сертификат, то выберите пункт Request a wild-card certificate, а затем введите имя рутового домена (root domain) в поле Root domain. Если Вы не хотите заказывать wildcard сертификат, а хотите перечислить по отдельности каждый домен, который вы хотите добавить в сертификат, не ставьте галочку, а просто нажмите Next.
7. Нажмите Browse и выберите Exchange сервер на котором Вы хотите сохранить сертификаты. Сервер, который Вы выберите, должен быть внешним Client Access сервером и смотреть в интернет. Нажмите Next.
8. Для каждого сервиса в списке выберите внешнее или внутреннее имя сервера, которое будет использоваться для подключения пользователей. Например для Outlook Web App (when access from the Internet), Вы можете написать owa.danshin.ms. Для OWA (when access from the Intranet), можно написать hq-ib-dan-01.corp.contoso.com. Эти домены будут использоваться при создании запроса SSL сертификата. Теперь нажмите Next.
9. Добавьте любые дополнительные домены в SSL сертификат и нажмите Next.
10. Введите информацию о своей организации. Эта информация будет включена в SSL сертификат. Нажмите Next.
11. Введите сетевой путь где Вы хотите сохранить запрос на сертификат и нажмите Finish.
После сохранения запроса на сертификат, отправьте его в центр сертификации (certificate authority (CA)). Это может быть внутренний CA или сторонний центра сертификации. Клиенты, которые подключаются к серверу клиентского доступа должны доверять CA который выпустит Вам сертификат. После получения сертификата от центра сертификации, выполните следующие шаги:
1. В разделе Server — Certificates в EAC, выберите запрос на сертификат который был создан на предыдущем шаге.
2. На панеле деталей нажмите Complete в разделе Status.
3. На странице complete pending request введите путь к вашему SSL сертификату и нажмите OK.
4. Выберите только что добавленный сертификат и нажмите Edit.
5. В открывшемся окне нажмите Services.
6. Выберите сервисы для которых вы хотите назначить данный сертификат. Как минимум Вы должны выбрать SMTP и IIS. Затем нажмите Save.
7. Если Вы получите предупреждение Overwrite the existing default SMTP certificate?, нажмите OK.
Как убедиться, что все работает?
Чтобы убедиться, что вы успешно добавили новый сертификат сделайте следующее:
- В EAC, перейдите в раздел Servers — Certificates.
- Выберите новый сертификат, а затем на панели деталей убедитесь в следующем:
- Status показан как Valid
- Assigned to services показан как IIS и SMTP
Шаг 5: Настроить внешние имена (external URLs)
После того как Вы настроили внешний домен и установили сертификат Вам нужно настроить внешний домен на виртуальных каталогах (virtual directories) Client Access сервера. А затем создать DNS записи. Ниже показано как настроить одинаковые внешние домены на всех виртуальных каталогах. Если на какие-то каталоги Вы хотите настроить другие домены Вам нужно настроить внешние ссылки (external URLs) вручную. Для более подробной информации см. Virtual Directory Management.
1. Откройте Internet Explorer и пройдите по адресу “https://(fully qualified domain name (FQDN) of Client Access server)ECP”, где FQDN – это полное имя компьютера. В моем примере ссылка выглядит так “https://hq-ib-dan-01.corp.contoso.com/ecp”
2. Введите логин и пароль и нажмите “sign in”.
3. Перейдите в Servers — Servers и нажмите Configure external access domain.
4. В разделе Select the Client Access servers to use with the external URL нажмите Add
5. Выберите Client Access сервер, который Вы хотите настроить и нажмите Add. После этого нажмите OK.
6. В поле Enter the domain name you will use with your external Client Access servers введите название внешнего домена и нажмите Save.
7. Перейдите в Servers – Servers выберите внешний Client Access сервер и нажмите Edit.
8. Выберите Outlook Anywhere.
9. В поле Specify the external hostname укажите внешнее FQDN имя для Client Access сервера. Например mail.danshin.ms.
10. Нажмите Save.
После того как Вы настроили внешние URL на виртуальные директории Client Access сервера Вам нужно создать DNS записи для Autodiscover, Outlook Web App, и приема почты.
Следующий пример показывает как настроить рекомендованные DNS записи, которые необходимы для работы почтового потока и подключении внешних клиентов.
В данном примере я использую внутренний IP адрес. Но Ваши DNS записи должны указывать на внешний IP адрес Client Access сервера и использовать доступные из вне FQDN-ы, которые Вы настроили на своем Client Access сервере.
| FQDN | DNS record type | Value |
| danshin.ms | MX | Mail.danshin.ms |
| Mail.danshin.ms | A | 172.21.0.38 |
| Owa.danshin.ms | A | 172.21.0.38 |
| Autodiscover.danshin.ms | A | 172.21.0.38 |
Как проверить, что все работает?
Чтобы убедиться, что Вы правильно настроили внешние URL на виртуальные директории Client Access сервера, выполните следующее:
1. В EAC перейдите в Servers — Virtual directories.
2. В поле Select server выберите внешний (Internet-facing) Client Access сервер.
3. Выберите виртуальную директорию, а затем на панели деталей убедитесь, что поле External URL содержит корректные сведения о FQDN, как показано ниже:
| Virtual directory |
External URL value |
| Autodiscover | No external URL displayed |
| ECP | https://mail.danshin.ms/ecp |
| EWS | https://mail.danshin.ms/EWS/Exchange.asmx |
| Microsoft-Server-ActiveSync | https://mail.danshin.ms/Microsoft-Server-ActiveSync |
| OAB | https://mail.danshin.ms/OAB |
| OWA | https://mail.danshin.ms/owa |
| PowerShell | http://mail.danshin.ms/PowerShell |
Чтобы убедиться, что Вы правильно настроили DNS записи сделайте следующее:
1. Откройте командную строку и наберите nslookup.exe.
2. В nslookup найдите все А записи для каждого созданного Вами FQDN. Проверьте, что возвращается правильный IP адрес для каждого FQDN.
3. В nslookup введите set type=mx и найдите принимаемый домен, который Вы настроили на шаге 1.
Убедитесь, что возвращаемое значение совпадает с FQDN Client Access сервера.
Как проверить работу почты?
Чтобы убедиться, что Вы правильно настроили почтовый поток и доступ для внешних клиентов, сделайте следующее:
1. В Outlook или на устройстве с ActiveSync создайте новый профиль. Убедитесь, что профиль успешно создан.
2. В Outlook, или на мобильном устройстве отправьте новое сообщение на внешний почтовый ящик. Убедитесь, что сообщение получено.
3. Во внешнем почтовом ящике ответьте на полученное из Exchange сообщение. Убедитесь, что сообщение дошло до почтового ящика Exchange.
4. Зайдите на https://owa.danshin.ms/owa и удостоверьтесь, что Вы не получаете предупреждение о не доверенном сертификате.
На этом установка и настройка Exchange 2013 завершена.
Следующие статьи я собираюсь посвятить Правам. Рассказать о модели доступа Role Based Access Control (RBAC) и о том как делегировать права администраторам и пользователям.