Problémy s konfigurací Windows Serveru
1/ Nefunguje mi autodiscover. Porty jsou otevřené, záznam v DNS je též otevřený. Obvykle to končí s chybou 403: Nemáte dostatečná oprávnění zobrazit tuto stránku. Stává se, že test funkčnosti zůstane už u toho, že záznam autodiscover neexistuje nebo není otevřený port. Čím by to mohlo být způsobeno?
2/ V DNS domény mám nastavené dva MX záznamy s odlišnou prioritou. Nový server má nižší prioritu. Když odešlu poštu, zpráva přijde na druhý mail server. (někdy také na ten první) Když vypnu ESET mail security, e-mail dochází pokaždé na server první. Může např. greylisting způsobovat to, že zpráva přijde na druhý sekundární server? Pomohlo by odstranit druhý MX záznam?
3/ Před serverem mám router, který mění veřejnou adresu na vnitřní síť 192.168.4.2 a jde z něj kabel do připojení 1. Pro druhou síť je nastavena adresa 192.168.3.1 a pro tuto síť je povolen server DHCP. Když do druhé sítě připojím zařízení, tak nedostane žádnou adresu. Po zadání statické adresy přestane jít i internet na serveru. S připojeným zařízením se nedostanu ani do sítě. Je nastaveno směrování internetu - překlad adres NAT z rozhraní 1 na rozhraní 2, kde bude vnitřní síť s počítači.
4/ Pomocí skriptu se mají namapovat složky jako disky. To funguje, ale píše to u nich Síťová jednotka je odpojena, přičemž jsou disky přístupné. Jak udělat, aby se zobrazovaly jako připojené?
ad 1. ověř si to všechno postupně. Tedy: resolving DNS, konfiguraci web serveru (IMHO máš špatně virtualhosta)
ad 2. ano. Graylisting jde přímo proti záložním mailserverům (buď musíš nastavit oba na GL, nebo druhý spustit až tehdy, když první je dole). Když zrušíš záložní MX, tak logicky poštu musíš doručit na jediný server, a tedy MTA _musí_ vyčkat na proběh graylist doby.
ad 3. špatně nakonfigurovaný DHCP server, firewall apod. těžko říct, pokud jsou to windows. Na nich si konfiguraci do texťáku sice vypíšeš, ale bude mít kilometr (netsh není zrovna ideál)
ad 4. to vypadá na problém s ověřováním nebo podobnou kratochvíli
1/ resolving DNS je na serveru OK. Avšak je zajímavé, že jednou kontrola záznamu pro autodiscover projde, jednou ne. U virtualhosta EWS a Autodiscover jsem nastavil, aby bylo používáno základní nebo integrované ověřování, jak jsem našel na internetu, ale nepomohlo to.
2/ Zruším sekundární MX záznam.
3/ Ano, jsou to Windows Server. DHCP server hlásí, že nelze přidat podporu pro IPv6 - tu však nepoužíváme.
4/ A jak by se to dalo vyřešit? Položky jsou přes položku síť přístupné a práva zde fungují, jak mají.
podle mě mají body č.2 a č.4 souvislost.
1/ Prvně byl problém s certifikátem, tak jsem udělal nový pro konkrétní doménu. Poté kontrola certifikátu prošla, ale opět se zastavila zde:
Failed to obtain AutoDiscover XML response.
Additional Details
Exception Details:
Message: The underlying connection was closed: Could not establish trust relationship for the SSL/TLS secure channel.
Type: System.Net.WebException
Stack Trace:
at System.Net.HttpWebRequest.GetResponse()
at Microsoft.Exchange.Tools.ExRca.Tests.AutoDiscover. AutoDiscoverGetXMLBase`2.Discover()
Exception Details:
Message: The underlying connection was closed: Could not establish trust relationship for the SSL/TLS secure channel.
Type: System.Net.WebException
Stack Trace:
at System.Net.HttpWebRequest.GetResponse()
at Microsoft.Exchange.Tools.ExRca.Tests.AutoDiscover. AutoDiscoverGetXMLBase`2.Discover()
2/ Vyřešeno. Odstranění sekundárního záznamu pomohlo a e-maily již dochází, jak mají.
3/ Díval jsem se snad všude, ale ani s profesionálem jsem zatím na nic nepřišli. Route print i ipconfig /all je v pořádku. Tracerout na serveru funguje, na klientovi hlásí chybu. Zkoušel jsem i vypínat službu pro směrování a vzdálený přístup, což nepomohlo. Nelze se z klienta dostat vůbec do sítě ani na internet. Když nastavím statickou adresu a snažím se připojit, vypadne i internet na serveru a musím ho restartovat.
Nevíš prosím touchwoode, kde by mohl být problém?
Kdysi jsem nastavoval směrování a DHCP stejným způsobem ve VirtualBoxu a fungovalo. Rozdíl byl ten, že při instalaci služeb byl kabel ze druhé síťové karty (pro vnitřní síť) odpojený.
4/ Vyřešeno. Skript se spouštěl po spuštění počítače a správně má být po přihlášení uživatele.
ad 3) jen se tak blbě zeptám - proč NATuješ v sítích s privátními adresami? NAT ti přece řeší "krabicový" router, z Windows bys měl udělat jen router, nikoli router s překladem adres (NAT).
To je pravda, klienti by mohli byt klidne pripojeni do routeru. Jediny rozdil je, ze server ma rychlejsi sit 1gbps. Samotnym natem to zrejme nebude, protoze jsem ho zkousel i zakazat a take to nefungovalo.
chápu, že to NATem být nemusí, nicméně je to první nesystémová věc, kterou vidím. Nemá tam žádný účel ani smysl.
Správný postup je:
1. do routeru přidat statickou routu směrem druhá síť s bránou IP serveru (první síť)
2. na serveru zrušit NAT, ponechat jen normální routing
3. korektně nakonfigurovat DHCP server (zkus si počíst zde pravidla pro multihomed konfiguraci, protože takto na dálku se nedá nic předem vyloučit: http://technet.microsoft.com/en-us/library/cc72820 5%28WS.10%29.aspx)
toto reseni vypada mnohem lepe. Dnes vyzkousim. Dhcp server by mel byt nastaveny spravne, zkusim ho reinstalovat.
1/ Podařilo se mi zjistit, že daná chyba je opět tím, že certifikát nepochází od důvěryhodné CA. Lze tuto chybu nějak opravit a Autodiscover používat i s certifikátem self-signed?
3/ Nastavil jsem routování, odinstaloval roli s NATem. Funguje to! Takže tento bod také vyřešen.
ad 1) noooo... jedině do stanic dopravit tento certifikát a zdůvěryhodnit jej.
To by šlo. Toto téma považuji tedy za uzavřené. Děkuji.
5/ Dovolil jsem si ještě doplnit jeden bod.
Pokud nechci, aby můj server byl na black listu (protože je mail serverem), rozhodl jsem se zablokovat odchozí komunikaci na port 25. Je to dobrá volba?
Kam mám v tomto případě pravidlo přidat (na router nebo server) - budu blokovat klienty v rozsahu 192.168.3.2-192.168.3.254, které jsou na druhé síti za serverem.