Exchange mit Shared Domäne

X

xrated

Enthusiast
Thread Starter
Mitglied seit
31.01.2007
Beiträge
1.095
hi

folgendes was ich noch nie gemacht habe. Auf einem SBS2003 läuft eine Domäne die über POP3 angebunden ist und zusätzlich gibt es Mitarbeiter die ihre Mails im Ausland nur über den Provider über POP3 abholen.

Wenn nun ein User auf dem Exchange eine Mail an den User in der selben Domäne schickt, der aber kein lokales Konto auf dem Exchange hat, kommt logischerweise eine Fehlermeldung.

Deswegen bin ich so vorgegangen wie hier:
Share the same SMTP address space (domain name) with a different e-mail server

In der Default Recipient Policy habe ich bei der entsprechenden Domäne diese auf nicht-autorisiert gesetzt, damit Empfänger die in AD nicht aufgelöst werden können, weitergeleitet werden.

Zusätzlich habe ich wie beschrieben einen zweiten SMTP Connector mit dieser Domäne angelegt der den selben Smarthost wie der schon vorhandene hat. Nur das ich dort die Weitergabe per Relay erlaubt habe.

Danach gingen überhaupt keine ausgehenden Mails mehr.
Als ich den zweiten SMTP Connector entfernt habe, ging es wieder. Nur Mails an diese "externen Mitarbeiter" kommen nicht an, Fehlermeldung:
< mo-p05-ob.rzone.de #5.1.2 SMTP; 550 5.1.2 diedomänediegesharedwird.com: Not found in DNS (NXDOMAIN)>

Kann mir jemand erklären was da genau abläuft? Es liegt wohl an der Relay Einstellung nehme ich an.

rzone.de gehört glaube ich zu strato, da wo die primäre Domain vom Exchange läuft.
 
Zuletzt bearbeitet:
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Für mich sieht das ganze Setup aus, als gehöre es in die Tonne. POP3 ist ein Protokoll für Clients, nichts wo man weitere Mail-Server dranhängt.

Wer kann den ruhigen Gewissens mit sowas arbeiten und nachts ruhig schlafen?

< mo-p05-ob.rzone.de #5.1.2 SMTP; 550 5.1.2 diedomänediegesharedwird.com: Not found in DNS (NXDOMAIN)>
Zum Vergrößern anklicken....

Scheint als wäre die Domain nicht mal ordentlich im DNS sichtbar. Mit einem Fantasienamen ist da auch nichts zu debuggen.
 
Das hat mit POP3 eigentlich recht wenig zu tun, die Mails werden damit nur vom Hoster abgeholt und landen auf Exchange. Es geht aber um ausgehende Mails per SMTP.
 
xrated schrieb:
Zusätzlich habe ich wie beschrieben einen zweiten SMTP Connector mit dieser Domäne angelegt der den selben Smarthost wie der schon vorhandene hat. Nur das ich dort die Weitergabe per Relay erlaubt habe.
Zum Vergrößern anklicken....
Den zweiten SMTP-Connector kannst Du wieder löschen, normalerweise dürfte das auch über den ersten SMTP-Connector gehen, wenn da ein Smarthost mit Authentifizierung eingestellt ist.

Ich habe bei einigen Installationen schon (testweise) in der Smarthost-Authentifizierung mailadresse1@domäne1.de (mit entsprechendem Passwort beim Internetprovider) eingestellt und konnte mit mailadresse2@domäne2.de problemlos Mails verschicken. Durch die Authentifizierung erkennt der Server, der im Smarthost eingetragen ist, dass der Exchange-Server autorisiert ist, Mails zu verschicken, und schaut dann nicht mehr auf die Domäne, die im "from:"-Feld steht.

Die Anleitung, die Du verlinkt hast, gilt für mehrere Mailserver im selben Netzwerk, was ja in deinem Fall nicht zutrifft. In deinem Fall brauchst Du nur den Benutzern eine zusätzliche Mailadresse verpassen (und den Eintrag in der Default Recipient Policy belässt, damit der Exchange Mails für diese Domäne überhaupt als teilweise intern behandelt), dann sollte das schon laufen. Habe ich schon viele Male genau so konfiguriert.



@ TCM: nicht jede (bzw. wahrscheinlich die wenigsten) kleine/mittlere Firma besitzt eine feste externe IP-Adresse bzw. kann/will sich die monatlichen Kosten dafür an's Bein binden, außerdem haben viele kleine/mittlere Firmen keine ordentliche (Hardware-)Firewall, die den eingehenden SMTP-Verkehr prüfen können. Natürlich ist POP3 nicht das Gelbe vom Ei, aber für Firmen ohne feste externe IP-Adresse nicht anders die einzige ordentliche Möglichkeit, an Mails zu kommen.
 
@Eye-Q
was genau meinst du mit "zusätzlicher Mailadresse"?

Wenn ich den Haken "die Exch Organisation ist für die gesamte ..." bei der Default Policy rausnehmen, habe ich das so verstanden das der Exchange dann nicht mehr autorisiert ist alles alleine abzuwickeln und dann die Empfänger weitergeroutet werden, die nicht im AD gefunden werden. Sollte ja dann eigentlich passen oder?

Und der User hatte sich tatsächlich bei der Domäne vertippt, deswegen die DNS Fehlermeldung :)

Beim SMTP Connector das "Weitergabe von Nachrichten *an* diese Domäne per Relay erlauben", sehe ich auch jetzt erst das das nur für eingehende Nachrichten ist. Ich hatte bis jetzt nur Exchange die per POP3 abholen und irgendwann ordnet man dem SMTP automatisch fälschlicherweise zu es würde nur senden (ist aber eben nicht so).
 
xrated schrieb:
@Eye-Q
was genau meinst du mit "zusätzlicher Mailadresse"?
Zum Vergrößern anklicken....
In den Eigenschaften des Active Directory-Benutzers gibt es ja die Registerkarte "E-Mail-Adressen". Dort nimmst Du den Haken bei "E-Mail-Adressen anhand Empfängerrichtlinie automatisch aktualisieren" raus und gibst dem über "Neu" -> "SMTP-Adresse" die gewünschte zusätzliche Mailadresse, außer Du hast die Default Policy über "Diese Richtlinie jetzt anwenden" manuell angestoßen und somit den Benutzern allen eine entsprechende Adresse verpasst.

xrated schrieb:
Wenn ich den Haken "die Exch Organisation ist für die gesamte ..." bei der Default Policy rausnehmen, habe ich das so verstanden das der Exchange dann nicht mehr autorisiert ist alles alleine abzuwickeln und dann die Empfänger weitergeroutet werden, die nicht im AD gefunden werden. Sollte ja dann eigentlich passen oder?
Zum Vergrößern anklicken....
Naja, was heißt "autorisiert" - damit wird dem Exchange signalisiert, dass es auf einem anderen Server andere Mailadressen dieser Domäne geben kann. Wenn man von einem internen Benutzer jetzt eine Mail an eine E-Mail-Adresse schickt, die zu der Domäne gehört, aber nicht im internen Exchange verfügbar ist, schickt der Exchange die Mail eben an seinen Smarthost.

xrated schrieb:
Beim SMTP Connector das "Weitergabe von Nachrichten *an* diese Domäne per Relay erlauben", sehe ich auch jetzt erst das das nur für eingehende Nachrichten ist. Ich hatte bis jetzt nur Exchange die per POP3 abholen und irgendwann ordnet man dem SMTP automatisch fälschlicherweise zu es würde nur senden (ist aber eben nicht so).
Zum Vergrößern anklicken....
Wie viele SMTP-Connectoren gibt es? In welchem ist der Smarthost eingetragen (oder ist der Smarthost vielleicht sogar im virtuellen Standardserver für SMTP eingetragen? Wenn ja, sollte der da schnellstens raus)? Dieser ist dann für die ausgehenden Mails zuständig, und sollte eigentlich kein Problem damit haben, eben die Mails zu routen, die an eine Adresse geht, die nicht im AD eingetragen ist.
 
Verstehe jetzt nicht warum die zusätzliche Adresse. Sobald der Exchange die Empfängeradresse nicht im AD findet, soll er die Mail ja über SMTP an den Smarthost schicken damit der User sich die Mail via IMAP/POP3 dort abholen kann.

Im Moment gibt es 1 SMTP Connector, sollte passen.
Ich habe eigentlich jetzt nur Exchange bei der einen Domäne auf nicht autorisiert gestellt und bis jetzt funktioniert alles wie gewünscht.

Muss man wohl aufpassen das der im Ausland nicht auf die gleiche Idee kommt, alles unbekannte wieder zurück zu schicken, sonst gibts einen Loop.
 
xrated schrieb:
Auf einem SBS2003 läuft eine Domäne die über POP3 angebunden ist und zusätzlich gibt es Mitarbeiter die ihre Mails im Ausland nur über den Provider über POP3 abholen.

Wenn nun ein User auf dem Exchange eine Mail an den User in der selben Domäne schickt, der aber kein lokales Konto auf dem Exchange hat, kommt logischerweise eine Fehlermeldung.
Zum Vergrößern anklicken....

Kannst du das ganze mal bildlich skizzieren?
Weil irgendwie werde ich daraus nicht schlau...

Du hast eine Domain, die von einem Provider gehostet wird... Soweit klar.
Der SBS2003 holt gewisse Postfächer via POP3 direkt in seine DB. Soweit auch klar...
Nur was ist mit den MAs im Ausland? Nutzen diese die selbe Domain? Oder eine andere?
Wenn ich das richtig verstehe nutzen diese die selbe Domain, richtig?

Das heist also du hast ein paar User, die am Exchange des SBS hängen, dort ihre Mails aus der lokalen DB holen. Wärend andere nur über POP3 direkt auf die Server des Providers zugreifen?

Und warum soll "logischerweise" eine Fehlermeldung kommen? Da gibts keine Logik ;) Denn der Exchange handelt so, wie man ihm es einstellt.

xrated schrieb:
Zusätzlich habe ich wie beschrieben einen zweiten SMTP Connector mit dieser Domäne angelegt der den selben Smarthost wie der schon vorhandene hat. Nur das ich dort die Weitergabe per Relay erlaubt habe.

Danach gingen überhaupt keine ausgehenden Mails mehr.
Als ich den zweiten SMTP Connector entfernt habe, ging es wieder. Nur Mails an diese "externen Mitarbeiter" kommen nicht an, Fehlermeldung:
< mo-p05-ob.rzone.de #5.1.2 SMTP; 550 5.1.2 diedomänediegesharedwird.com: Not found in DNS (NXDOMAIN)>
Zum Vergrößern anklicken....

Grundsätzlich würde das wohl so funktionieren. Sprich zwei Sendeconnectoren. Einer festgezurrt auf die Domain selbst. Der andere mit nem * als Wildcard für jeglichen ausgehenden SMTP Traffic. Beide direkt zum Smarthost beim Provider. Für was du aber Relaying brauchst, ist mir schleierhaft ;) Zumindest benötigst du das nicht primär, wenn mich nicht alles täuscht.

Die Fehlermeldung ansich ist aber ziemlich eindeutig. Nämlich das dein Exchange!? (oder von wo kommt die Meldung?) die Zieldomain nicht auflösen kann. Was wiederum verschiedene Gründe haben kann...

xrated schrieb:
Kann mir jemand erklären was da genau abläuft? Es liegt wohl an der Relay Einstellung nehme ich an.
Zum Vergrößern anklicken....

Im Grunde ist das ganz einfach... Wir hatten so eine Konstellation mal ziemlich ähnlich bei meinem Ex Arbeitgeber.
Nach Übernahme der Firma durch eine andere, gab es für alle MAs einheitliche (in unserem Fall neue) Domains/Mailadressen.
Die Herrausforderung bestand aber darin, das Mailserver A (bei uns im Haus) auf die selbe Domain gehört hat, wie Mailserver B (in der Konzernzentrale)
Es war schlicht nur nötig, nen dedizierten Sendeconnector zu bauen, diesen auf die Domain festzuziehen (damit auch nur die Mails gesendet an x.y@domain.com diesen nutzen können) sowie als akzeptierte Domain die Domain auf "internal relay domain" zu schalten.
Das hat dann zur Folge, das alle Mails, die der Exchange selbst händeln kann (sprich wo er selbst intern Postfächer für findet), dort auch eintütet, die die er nicht händeln kann, weil es keine Postfächer oder ähnliches gibt, werden via besagten Connector weiter gereicht. Damit dort nicht fälschlicherweise der falsche Connector genommen wird, zurrt man den Spaß auf die Domain fest.
Ich muss aber gestehen, das mein Exchange 2003 Wissen mit der Zeit etwas eingerostet ist :fresse: Exchange 2007-13 ist da in Sachen Konfiguration doch schon ne Ecke einfacher finde ich... Und auch weitreichender.
So ne alte Software sollte man ggf. sowieso zeitnah mal tauschen. Der Support für Sicherheitsupdates läuft ja ebenso bald aus. Beim Exchange selbst dürfte das sogar schon der Fall sein.


Die große Preisfrage ist aber, ob das in deiner Konstellation so funktioniert. Denn es ist absolut unklar, ob der Providermailserver damit umgehen kann, bzw. was der genau macht.
Denn im Grunde ist er "nur" Smarthost, der Mails weiterreicht. Ob diese Konstellation so funktioniert, ist mit dem Provider zu klären.

PS: was hindert dich daran, alle Postfächer vom Provider abzuziehen und bei euch auf dem Exchange zu packen?
Weil POP3 Zugriff, Webmailzugriff oder auch IMAP geht genau so vom Exchange aus. Somit spart ihr euch den Umweg über diese Bastelkrücke... Man könnte sogar die Domain dann vollständig auf den SBS ziehen.
Denn dieses ganze POP3 hol ich mir Mails Zeugs ist auch ne Bastelkrücke ;) Laut MS nur in der Migrationsphase vorgesehen...



@Eye-Q
an ner fixen IP dürfte es bei den wenigstens scheitern, zumindest in DE.
Denn ne fixe IP als Option zu nem DSL Businessvertrag geht absolut schmerzfrei, kost auch nicht die Welt mehr (teils gar kostenfrei -> TCom)
Auch Kabelanbieter geben solche Optionen... ;)
 
Also du hast ja meinen ersten Post zitiert, in der Zwischenzeit hatte ich ja noch Sachen dazu geschrieben ... Es geht im Prinzip um eine Domäne die gemeinsam benutzt wird. Dann gibt es noch 2 weitere die aber nur an einem Ort verwendet werden.
Bei 2 SMTP Connectoren ging das raussenden gar nicht mehr (bei insgesamt 3 Domains nicht) und der 2. Connector war ja auch nicht notwendig, denn die zeigten beide auf den selben Smarthost. Warum das dann aber gar nicht mehr ging, weiß ich aber auch nicht. Der erste Connector hatte ja noch * um alles zu verwalten.
Das ganze lief halt komplett ohne Planung ab, dass ist eine kleine Firma wo ich gebeten wurde "eine neue Mail Adresse einzurichten". Das hat sich dann erst Tage später rausgestellt das die Domain noch von jemand anders benutzt wird, ich weiß jetzt noch nicht mal wie diese Adressen benutzt werden :)
Auf jeden Fall habe ich nur die Autorisierung geändert und bis jetzt geht alles.

P.S.
Das mit der "logischen Fehlermeldung" ist doch klar, wenn man was an eine Adresse schickt wo Exchange die Domäne verwaltet aber das Mailkonto nicht in AD existiert, dann kommt eine Fehlermeldung weil der Server standardmäßig für die ganze Domain autorisiert ist.
 
wie gesagt, Exchange handelt so, wie man es ihm sagt. Sofern nicht Bugs die korrekte Ausführung verhindern. Somit ist die Fehlermeldung wie angesprochen so ganz logisch nicht. Denn ich las nirgens (vllt hab ich es auch übersehen), wie der Exchange zu der Domain eingestellt ist. ;)

Aber wenn es jetzt geht, ist doch gut...

Der zweite Connector würde übrigens dennoch Sinn ergeben, weil du eben dediziert Settings für den Connector einstellen kannst. Ob du das nun brauchst oder nicht. Kann ja mal irgendwann passieren. Speziell bei so ner "pseudo" internen Domain. Ggf. zieht man das Teil irgendwann mal um.
 
fdsonne schrieb:
Der Support für Sicherheitsupdates läuft ja ebenso bald aus. Beim Exchange selbst dürfte das sogar schon der Fall sein.
Zum Vergrößern anklicken....
Noch nicht.
Für den Exchange 2003 läuft der bis zum 08.04.2014, also noch etwas mehr als 1 Jahr.
Der für den SBS2003 läuft noch ein Jahr länger bis zum 14.07.2015.
Das kann man bei Microsoft auf der Homepage nachschauen: Übersicht Microsoft Support Lifecycle

fdsonne schrieb:
PS: was hindert dich daran, alle Postfächer vom Provider abzuziehen und bei euch auf dem Exchange zu packen?
Weil POP3 Zugriff, Webmailzugriff oder auch IMAP geht genau so vom Exchange aus. Somit spart ihr euch den Umweg über diese Bastelkrücke... Man könnte sogar die Domain dann vollständig auf den SBS ziehen.
Zum Vergrößern anklicken....

Stimmt, habe ich auch schon durchgezogen, geht auch mit Strato.
Sogar rel. einfach.
Man braucht nur ein entsprechendes Paket, kann sogar eines der kleinen sein und eine feste IP.
Bei Strato den MX-Record oder gleich die ganze Domain (wenn man z.B. auch die Webseite selbst hosten will) auf die feste IP umbiegen, im Exchange ein paar Einträge ändern, dann läuft das schon.
Dauert keine 30 Minuten, das funktionsfähig zu bekommen.
 
fdsonne schrieb:
Somit ist die Fehlermeldung wie angesprochen so ganz logisch nicht.
Zum Vergrößern anklicken....

Die Fehlermeldung die im Detail oben steht (mit DNS) ist auch nicht die, die ich meinte als ich von logisch schrieb ;)

In der Zwischenzeit ist schon wieder eine "neue" Mailadresse aufgetaucht die mir nicht bekannt war und auch nicht auf dem Server angelegt ist.
Diesmal ist die Adresse aber aus der Domäne, die in der Empfängerrichtlinie als Hauptadresse eingetragen ist und da lässt sich die Checkbox nicht rausnehmen, dass der Exchange für die gesamte Mail Übermittlung verantwortlich ist.
 
Anmelden, um zu antworten.
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh