上一篇文章讲到:两台 Exchange Server 2016 邮件服务器配置了DAG(高可用集群)和NLB(网络负载平衡),今天来讲一下:(1)NLB需要做的交换机的配置;(3)防火墙策略的配置;(3)外网域名解析及检测确认;(4)运营商IP反向解析的检测。
思科交换机对接微软NLB
多播的NLB配置完成后,在主域控制器上输入owa网址,发现邮箱能正常登录,于是交付给用户。用户测试时发现,OUTLOOK配置邮箱时提示:无法连接服务器。利用telnet命令检查用户到邮箱服务器的连接
telnet 10.1.5.31 143 *IP地址是NLB地址,143是IMAP的端口
结果是连接失败,ping 10.1.5.31,也是不通。
可是ping 10.1.5.15和10.1.5.16是正常的,这两个IP,是两台邮件服务器地真实IP。
很明显,这是NLB不能跨网段访问的问题,需要在核心交换机上做相应的配置,客户使用的是思科C3750交换机,配置命令如下:
ip igmp snooping querier *开启IGMP侦听
arp 10.1.5.31 0300.xxxx.xxxx arpa *绑定NLB虚拟IP及MAC
注意,下接的二层交换机是不用进行此配置的。
经测试,NLB跨网段也能正常通讯了,用户配置邮箱成功
华为防火墙配置NAT:在内网用公网IP访问内部服务器
客户的Wifi网段,只能访问外网,DNS服务器的IP,被直接配置为运营商的IP,所以mail.domain.com被解析为外网的IP,配置邮箱时显示无法连接服务器,这就需要在防火墙上配置NAT策略以及安全策略了
图片中,192.168.11.0/24为Wifi网段,10.1.5.31是NLB虚拟的IP,NAT策略需要配置与之对应的安全策略。
域名解析及检测确认
由于需要在WEB端登录邮箱,所以无论内网还是外网,都需要做DNS解析,内网就在DNS服务器上配置,外网则需要在域名注册商的管理后台来做。
主机记录值 解析类型 解析记录值
mail A 222.92.xx.146
@ MX mail.xxxxx.com
@ TXT v=spf1 include:_s.corp-email.com -all
验证方法:
A记录很简单,ping mail.xxxxx.com,能解析出IP地址就表示生效了;
MX记录,需要用nslookup命令来验证:
运行 nslookup 命令,set type=mx,然后输入域名,有结果就表示已经生效了;
TXT记录,同样需要用nslookup命令来验证:
运行 nslookup 命令,set type=txt,然后输入域名,有结果就表示已经生效了;
运营商反向解析的验证
自建邮件服务器,公网IP需要做反向解析,笔者以为这是常识了,但是运营商的很多客户经理还是不懂这是个什么业务,这次又解释了好几遍:正解是域名解析为IP,反解自然就是IP解析为域名啦。
运营商不确定需要几天能生效,所以只能自己经常检测是否已生效,生效之前应该禁止外发邮件,哪怕是回复也不行,因为笔者曾经遭遇过,回复了一两封邮件,IP就被列 入黑名单了。
反解记录,同样用nslookup命令来验证:
运行 nslookup 命令,set type=ptr,然后输入IP,有结果就表示已经生效了;
经过以上一系列的配置后,邮件服务器才算正常工作了。