Hoppa till innehåll

  • Logga in via Facebook Logga in via Twitter Logga in via Windows Live Log In with LinkedIn Log In with Google      Logga in   
  • Registrera dig nu!

Edge på TMG2010 array utan integration

exchange edge tmg2010 tmg

Den här tråden har blivit arkiverad. Det betyder att du inte kan skriva något inlägg i tråden.
18 svar i denna tråden

#1 Padde

Padde

  • 1626 inlägg

Skriven 07 May 2012 - 14:37

Hej

Vet inte om denna hör hemma i TMG eller Exchangeforumet men chansar här.

Har sliit med att få mailflödet att fungera 100% och har kommit fram till att det inte funkar med edge integrationen i TMG2010 om man kör en array.
Skulle vilja ha kvar min edgeroll på TMG-servrarna men vill ha dem som separata edge-installationer och alltså inte integrerade alls med TMG array:n.

Någon som vet om det är möjligt ? Behöver nämligen skilja på avsändarip:t beroende på vilken edge som skickar mailet så att mottagarens anti-spam inte får spader och studsar mailen.
Kan jag ta bort edgesyncen mellan mina hubs och edge och sedan skapa upp dem en och en så jag får en edgesync per edgeserver.
Som det är idag har jag bara en edgesync med båda min TMG:s som sourceservrar. De delar således på FQDN och sourceIP på send-connectorn men har olika "riktiga" ip:n när de skickar mail (TMG:ns)


Kör:
Exchange 2010 SP2 RU2 (2 MBX,2CAS/HUB w/NLB,2Edge på TMG2010)
TMG 2010 SP2 RU1


/Patrik

Redigerat av Padde, 07 May 2012 - 14:38.

/Patrik

#2 Padde

Padde

  • 1626 inlägg

Skriven 07 May 2012 - 15:16

Ser att jag skrivit lite konstigt.
Jag har två Edge Subscriptions men bara en Send-connector för Edgesync - Till Internet med båda  TMG:s som Sourceservrar.
/Patrik

#3 mailmaster

mailmaster

  • 2515 inlägg

Skriven 07 May 2012 - 16:06

Ja så blir det alltid (flera subscriptions, en Send connector). Läs nedan från: http://technet.micro...y/aa997438.aspx
If more than one Edge Transport server is subscribed to the same Active Directory site, additional Send connectors to the Internet aren't created. Instead, all Edge Subscriptions are added to the same Send connector as source servers. This configuration causes outbound connections to the Internet to be load balanced between the subscribed Edge Transport servers.

Om jag förstår din fråga rätt så vill du ha två separata subscriptions som inte delar connector? I så fall går detta inte som det står ovan.

Det du skulle kunna göra är att bara använda dina Edge som Smart hosts (utan subscription), men då missar du ju en del av funktionen.

Har jag fattat frågan rätt?
Magnus Björk
MVP Office 365
Blog  @mailmastern

#4 Padde

Padde

  • 1626 inlägg

Skriven 07 May 2012 - 19:14

Hej
Du har nog fattar rätt.
Jag har bara en AD-site men vill ha redundanta EDGE-servrar. Kan man lösa det ?
Ska försöka förklara varför jag har problem.
Har skapat 1st mx record som pekar på ett  VIP på min TMG som jag har som ip för Edge-servrarnas inkommande port 25
sedan har jag 3:st PTR, en för varje TMG:s externa IP och en för VIP:en som både lyssnar på port 25.
Så långt funkar ju sändning av epost och gör mottagaren en reverse lookup så får de tillbaka samma FQDN som jag har som mx och som min send-connector har som FQDN.
Problemet blir att vi har råkat ut för att mottagaren har tagit FQDN de fick från reverse-lookup:en och sedan gör en forward. Då får de ju VIP-ip:t som jag har som MX.

Detta försöker jag komma runt på ett bra sätt men stöter på patrull hela £¤%& tiden :)

Redigerat av Padde, 07 May 2012 - 19:15.

/Patrik

#5 mailmaster

mailmaster

  • 2515 inlägg

Skriven 07 May 2012 - 19:37

Grillat och tagit någon öl inför hockeyn nu (så ta mitt svar med en nypa salt), men så fall borde inte två mx (med högre cost om du vill) som pekar på dina FQDN för servrana på utsidan lösa detta? Då kan mottagaren göra reverse på vad som och komma rätt
Magnus Björk
MVP Office 365
Blog  @mailmastern

#6 Padde

Padde

  • 1626 inlägg

Skriven 07 May 2012 - 19:51

Låter ju inte fel (Grillen alltså)
Angående mitt problem tror jag inte två mx löser det, vet inte om du missuppfattade vad jag skrev ovan. Har ju bara ett externt fqdn till mina edge-servrar eftersom de är samma send-connector som bestämmer över båda. Såhär ser det ut (påhittade ip och domäner)

MX 10 epost.foretagsnamn.se
A epost.foretagsnamn.se   195.189.35.21

TMG har en LNB med ip 195.189.35.21 som lastabalancerar inkommande smtp till edge-rollen.

TMG01 med edge:
ip 195.189.35.22

TMG02 med edge:
ip 195.189.35.23

Båda edge-servrar är med som source-servrar i send-connectorn "Edgesync - default site to Internet"
Den har FQDN satt till epost.foretagsnamn.se

PTR:s skapade:
195.189.35.21 -> epost.foretagsnamn.se
195.189.35.22 -> epost.foretagsnamn.se
195.189.35.23 -> epost.foretagsnamn.se

Edge-servrarna kommer ju att skicka mail genom att ansluta med sin egna ip (22 & 23). Den kan man göra en PTR på för att se att skickat FQDN stämmer.
Men vissa för en forward lookup på FQDN och den IP (från A-recordet) som de får då är ju den från TMG:n LNB (21) och då skiter det ju sig.

Hoppas det blev tydligare. Lycka till med ölen.

Redigerat av Padde, 07 May 2012 - 19:53.

/Patrik

#7 mailmaster

mailmaster

  • 2515 inlägg

Skriven 08 May 2012 - 00:56

Nu blev det mycket tydligare!
Ska försöka hinna testa en sak i morgon, tror det går att lösa med en transport rule... Får återkomma, dags att sova nu

Edit: Stavning...

Redigerat av mailmaster, 08 May 2012 - 00:56.

Magnus Björk
MVP Office 365
Blog  @mailmastern

#8 Padde

Padde

  • 1626 inlägg

Skriven 10 May 2012 - 08:13

Hej igen

Hunnit testa? Kan du ge mig en hint annars vad du tänker på så kan jag leta själv ?
/Patrik

#9 mailmaster

mailmaster

  • 2515 inlägg

Skriven 11 May 2012 - 12:27

Nej inte testat min Edge i labbet hade behagat ligga på en annan disk än den jag trodde...

Har ingen bra idé för stunden... Grejen med transport rules gick bort
Magnus Björk
MVP Office 365
Blog  @mailmastern

#10 Padde

Padde

  • 1626 inlägg

Skriven 11 May 2012 - 13:04

Ok, hur fan gör alla andra då ? Är jag den ända som kör dubbla TMG's med Edge-rollerna på ?
Tycker ju man borde snubbla över fler som har samma problematik men icke.
/Patrik

#11 mailmaster

mailmaster

  • 2515 inlägg

Skriven 12 May 2012 - 16:37

Jag ger sällan (läs aldrig) rekommendationen att kombinera TMG och Edge pga bla det du upplever samt att administrationen blir en smula (ironi) mer komplex eftersom det är rörigt för kunder att veta var man gör vad, vissa saker görs i Edge, andra i TMG och en tredje på hub för att sen syncas via edgesync.
Vill påstå att två fristående edgear gör jobbet mist lika bra och du slipper en del komplexitet. De går ju dessutom utmärkt att köra virtuellt.
Magnus Björk
MVP Office 365
Blog  @mailmastern

#12 Padde

Padde

  • 1626 inlägg

Skriven 12 May 2012 - 19:00

Va, är det komplext med TMG??? :D  hehe

Får bygga om då.....attans.
/Patrik

#13 DXter

DXter

  • 6568 inlägg

Skriven 12 May 2012 - 22:04

Magnus, vad är det som behöver göras i Exchange konsollen direkt som inte går att göra i E-Mail policy regelverket i TMG:n som i sin tur konfar Exchange Edge?

// Fredrik "DXter" Jonsson
Senior Security Consultant - Sigma IT & Management Sweden AB
Blog: http://www.poweradmin.se

Phone: +46 76 858 22 99


#14 mailmaster

mailmaster

  • 2515 inlägg

Skriven 15 May 2012 - 01:55

Visa inläggDXter på 12 May 2012 - 22:04 sade:

Magnus, vad är det som behöver göras i Exchange konsollen direkt som inte går att göra i E-Mail policy regelverket i TMG:n som i sin tur konfar Exchange Edge?

Förmodligen väldigt lite eller inget alls! Jag säger bara att när allt "klumpas ihop" så får folk (mig inräknad) svårare att hålla koll på var en sak ska konfas eftersom det skiljer sig om man kör TMG separerat från Edge
Magnus Björk
MVP Office 365
Blog  @mailmastern

#15 Padde

Padde

  • 1626 inlägg

Skriven 15 May 2012 - 09:52

Det finns ju huur mycket trådar som helst på tex. Ms social på folk som har trubbel med integrationen.
Ångrar själv att jag gick den vägen.
/Patrik

#16 DXter

DXter

  • 6568 inlägg

Skriven 15 May 2012 - 10:00

Visa inläggmailmaster på 15 May 2012 - 01:55 sade:

Jag säger bara att när allt "klumpas ihop" så får folk (mig inräknad) svårare att hålla koll på var en sak ska konfas eftersom det skiljer sig om man kör TMG separerat från Edge

Jag känner nog snarare tvärt om här. Om du har en TMG som är även Exchange Edge och kör Forefront Protection for Exchange så kan du konfa allting på ett ställe i TMG-konsollen under E-Mail Policy. Känns snarare enklare med en enhetligt management än att ha tre olika MMC:er IMHO. :)

Anders Olsson skrev en bra blogpost om det på: http://svenskaforefr...-policyn-i-tmg/.

// Fredrik "DXter" Jonsson
Senior Security Consultant - Sigma IT & Management Sweden AB
Blog: http://www.poweradmin.se

Phone: +46 76 858 22 99


#17 Göran fantomen Johansson

Göran fantomen Johansson

  • 5561 inlägg

Skriven 15 May 2012 - 10:19

Inte för att det tillför något i frågan men jag väljer att separera det också så man vet mer vem gör vad kan jag känna...

Vänligen klicka på "Gilla" om inlägget löste ditt problem.

Göran "Fantomen" Johansson
Shift IT
ITProffs.se Staff | Blog | LinkedIn | @gjohansson | Facebook

#18 mailmaster

mailmaster

  • 2515 inlägg

Skriven 15 May 2012 - 12:02

Visa inläggDXter på 15 May 2012 - 10:00 sade:

Jag känner nog snarare tvärt om här. Om du har en TMG som är även Exchange Edge och kör Forefront Protection for Exchange så kan du konfa allting på ett ställe i TMG-konsollen under E-Mail Policy. Känns snarare enklare med en enhetligt management än att ha tre olika MMC:er IMHO. :)

Anders Olsson skrev en bra blogpost om det på: http://svenskaforefr...-policyn-i-tmg/.

Det stämmer möjligen när man inte är van att göra som man normalt sätt gör det. Har man haft dem separata och sen gör dem ihop är det så mycket som är annorlunda (och några få saker som inte ens möjliga). Jag säger inte att det är fel att kombinera men jag skulle inte göra det om man har vanan från att köra separerat sen innan för då blir det knas
Magnus Björk
MVP Office 365
Blog  @mailmastern

#19 PsYteAk

PsYteAk

  • 46 inlägg

Skriven 25 May 2012 - 10:50

Hej på er!

Ledsen att jag kommer in sent i den här tråden, har inte varit in på it-proffs på länge så det vart lite meck att byta lite e-postadresser och få till ett nytt lösenord :)
Efter att ha varit inblandad i många projekt och felsökningar där man kombinerat TMG, Exchange Edge och FPE på samma hojj har jag ändrat inställning över denna uppsättning. Då det blir extremt mycket beroenden på alla tjänster är det väldigt lätt att något kan gå galet och framför allt om du nyttjar TMG till fullo som brandvägg för hela infrastrukturen så kan det få förödande konsekvenser om den skulle stanna/krasha. Det är fortfarande en fördel att installera TMG på en Exchange Edge för att härda och strypa ner all övrig trafik till servern samt nyttja FPE för att få full antimalware/spam direkt på edgen. Men där emot rekommenderar jag inte längre att integrera manageringen utan att man istället konfar respektive produkt var för sig, även Microsofts support är inne på samma spår och kommer ge det svaret om det uppstår problem med någon av dessa produkter om de samexisterar.


När det kommer till vilken IP adress som blir source IP från ett TMG kluster så är det default DIP (Dedicated IP) adressen från den TMG i arrayen som svarar på requesten. Där emot om det här ställer till med något så finns möjligheten i TMG att nyttja enhanced NAT vilket betyder att du skapar en Network Rule som avgör vilken IP av TMGs addresser som skall vara source från exempelvis ett network objekt som då kan vara Exchange servern.
Det här är även användbart om företagets avsändar-IP skulle bli svartlistat i ett externt SPAM filter, där du då kan med hjälp av Enhanced NAT byta source IP från just Exchange.


Hoppas det redde ut lite av dina funderingar Padde?

Mvh,
Anders Olsson