Настройка дополнительного внешнего маршрута в конфигурации Edge-FPE-TMG


 

О чем тут речь? О том как создать из консоли TMG 2010 второй внешний коннектор (в терминах TMG) для Exchange Edge.

 

Конфигурация:

1.       Windows Server 2008 R2 SP1

2.       Exchange 2010 SP1 Edge

3.       Forefront Protection for Exchange 2010 RU2

4.       TMG 2010 SP1 SU1

Сетевая схема настраеваемых коннекторов:

clip_image001[4]

 

Первоначальная настройка:

1.       Устанавливаем систему.

Накатываем Service Pack 1

Устанавливаем последние обновления

На внутреннем сетевом  интерфейсе сервера прописываем внутренний адрес

На внещнем сетевом интерфейсе прописываем основной и дополнительный адреса (для двух коннекторов)

2.       Устанавливаем Edge

3.       Устанавливаем FPE

4.       Устанавливаем TMG 2010

5.       Настраиваем EMail policy с интерграцией с FPE с помощью визарда. Для внешнего подключения выбираем сеть External и первый IP адрес.

Руководства:

Ø  Обобщенное руководство по установке: http://technet.microsoft.com/en-us/library/ee207141.aspx

Ø  Обобщенное руководство по настройке EMail policy: http://technet.microsoft.com/en-us/library/dd441084.aspx

Ø  Первоначальная настройка EMail policy: http://technet.microsoft.com/en-us/library/dd441082.aspx

Дополнительные руководства:

Ø  Exchange Server 2010 Edge Server and Microsoft Threat Management Gateway

Ø  Installing and Configuring the Email Hygiene Solution on the TMG 2010 Firewall

Ø  Using Mail Protection with Exchange EdgeSync on Forefront TMG

Ø  Unable to Add an Additional IP on Receive Connector on Exchange Edge when using E-Mail Protection feature on Forefront TMG 2010

Полезные ссылки для решения проблем:

Ø  http://www.agence-europimmobilier.com/?p=12

Ø  http://social.technet.microsoft.com/Forums/en-US/Forefrontedgesetup/thread/33f6a377-1994-4fa8-af97-23608ffc61a4

Ø  http://social.technet.microsoft.com/Forums/en-US/Forefrontedgesetup/thread/c53e6da7-3b09-4fd5-9b67-35f2bfb87e65/

 

В результате в консоле TMG видим такую стандартную картину:

clip_image002[4]

6.       В панели задач выбираем Create SMTP route и создаем второй коннектор. При этом в качестве сети выбираем External и второй IP адрес. И получаем такую картину:

clip_image003[4]

— не смотря на привязку к сети External визард создал внутренний коннектор!

 

После убийственных манипуляций с отключением интеграции, пересозданием подписки Edge и прочих плясок с бубном было найдено простейшее решение.

 

Решение

 

1.       Экспортируем определение коннектора:

clip_image004[4]

2.       Открываем полученный XML файл, находим раздел маршрутов:

<fpc4:SmtpRoutes StorageName=»SmtpRoutes» StorageType=»0″>

3.       и удаляем в определении нашего коннектора строку:

<fpc4:RouteDirection dt:dt=»int«>0</fpc4:RouteDirection>

4.       Сохраняем файл.

5.       Импортируем файл:

clip_image005[4]

6.       После импорта исправленного определения коннектора получаем:

clip_image006[4]

7.       Теперь сохраняем конфигурацию TMG, ждем пока она применится и тестируем коннекторы: как минимум вы сможете подключиться командой telnet на порт 25 по обоим внешним адресам.

Заключение

TMG 2010 несмотря на SP1 сыроват, и даже в рекомендованных сценариях мы можем напороться на проблемы.

Что касается выше описанной конфигурации коннектров, а то альтернативный путь, который я рассматривал – отказ от режима интеграции TMG и FPE. Но во-первых, как уже было сказано, режим интеграции рекомендованный, а во-вторых, он удобен тем, что в массиве TMG можно из консоли TMG автоматически настраивать почтовую политику FPE сразу на всех членах домена, а не ручками на каждом сервере отдельно.

PS:

Может возникнуть вопрос: а зачем два внешних адреса и коннектора, если можно принимать почту многих почтовых доменов  на один адрес? Да, конечно, можно и на один. Но возможны ситуации, когда почтовые домены достаточно сильно независимы. Например, это могут быть почтовые домены нескольких крупных филиалов компании или дочерних компаний. В такой ситуации почтовые домены могут требовать специфических политик, особых настроек коннекторов, аутентификации и маршрутизации. Наконец просто удобно фильтровать логи по именам коннекторов, например, для анализа почты отдельного филиала.

PSS:

Если появилась проблема с запуском сервиса:

The Microsoft Forefront TMG Managed Control service terminated with the following error:

%%-2146233079

Решение: чистим список блокировки по ip адресам

Get-IPBlockListEntry | Remove-IpBlockListEntry