PDA

Bekijk Volledige Versie : ISA 2006 - Exchange 2007 probleem



RobertMatthieu
02/10/09, 17:29
Beste WHT’ers,

Ik heb het volgende probleem, mijn ISA 2006 server wil de mail die ik vanaf mijn Exchange 2007 server verzend niet doorlaten naar het internet.

Laat ik eerst even uitleggen hoe het netwerk eruit ziet:
- Alle servers draaien op een Citrix XenServer bak met 3 netwerkkaarten (management, intern netwerk en extern netwerk).
- Virtueel draaien er een ISA 2006 + SP1 server voor internet toegang, 2 DC’s, een file server en 2 Exchange 2007 servers (1 Hub Transport + Mailbox en de andere is een Client Acces server). Alle servers draaien Server 2003 standaard behalve de 2 Exchange servers. Deze draaien 2003 enterprise x64.
- Als test pc gebruik ik een fysieke pc die via een switch op de interne netwerkkaart is aangesloten. Hierop kan ik internetten, mail ontvangen via Exchange en kan ik alle servers zonder problemen bereiken via mstsc, nslookup en ping.

Als ik in de ISA management console onder Moitoring -> Logging een query op mijn Exchange server ip draai zie ik dat bijna alle aanvragen gedropped worden of dat de verbindingen op de een of andere manier gesloten worden (zie plaatje).

Op internet kwam ik de volgende beschrijvingen tegen maar kan er niet veel uit opmaken:
FWX_E_BAD_TCP_CHECKSUM_DROPPED 0xC0040031A packet was dropped because verification of its TCP checksum failed.
FWX_E_ABORTIVE_SHUTDOWN 0x80074E21A connection was abortively closed after one of the peers sent an RST packet.

Verder heb ik een firewall policy aangemaakt die al het SMTP verkeer van mijn Exchange server naar het internet zou moeten toestaan (zie plaatje).

Heeft iemand een idee wat dit zou kunnen zijn?

Alvast bedankt,

Robert

yoda-ict
05/10/09, 15:12
Allereerst moet je SMTP Server protocol uit de rule halen; dat is alleen voor inkomend verkeer. Dus dat protocol gebruik je in de publishing rule voor je exchange inkomend SMTP verkeer.
De rule die je hebt aangemaakt werkt ok, aangezien je een correcte verbinding hebt gemaakt vanaf de exchange server naar 209.85.220.61.
Je zou voor verdere debugging een telnet sessie kunnen starten naar een externe SMTP server vanaf je exchange hub.

RobertMatthieu
05/10/09, 21:35
Beste Yoda-ict,

Ten eerste bedankt voor je reactie.
Verder heb ik het SMTP Server protocol uit de rule gehaald en je suggestie om eens naar externe SMTP server te telnetten opgevolgd. Helaas krijg ik bij alle servers die ik heb geprobeerd een Connect failed terug. Als ik dan ook in de logs van ISA kijk zie ik dat alle telnet aanvragen geblokkeerd worden.

Hoe zit het eigenlijk met de filters op de rule? Blokkeren deze misschien iets? Nu zijn er in ieder geval geen filters op de rule toegepast.

yoda-ict
07/10/09, 14:06
Hoi Robert,

Ik bedoel uiteraard wel telnetten op poort 25, zodat je de response van de SMTP service van de ontanger terug moet krijgen. Dus in een command window tiep je:
telnet mail.domain.nl 25

Dan moet je een welkomstbericht krijgen van de server waarmee je verbinding maakt.

Je zou het SMTP application filter uit kunnen schakelen. Waar dat precies zit weet ik zo niet; ik gebruik al bijna 2 jaar geen ISA meer..

RobertMatthieu
07/10/09, 19:59
Ik had inderdaad op poort 25 naar de mailserver van xs4all, hetnet, one, alice en upc getelnet. Toen kreeg ik telkens deze error:
C:\Documents and Settings\Gebruikersnaam>telnet smtp.xs4all.nl 25
Connecting To smtp.xs4all.nl...Could not open connection to the host, on port 25
: Connect failed.

Ik heb het net voordat ik dit bericht schreef nog eens naar de hetnet server geprobeerd (mailhost.hetnet.nl) en na eventjes wachten krijg ik dan in een leeg scherm te zien: "Press any key to continue...". Als ik dan enter druk kom ik weer in mijn command prompt en zie ik de melding:"Connection to host lost".
De telnet sessies worden wel door de rule in isa herkent, maar 2 van de 8 keer wordt deze geblokkeerd (ik heb hier een plaatje van als je die graag wilt zien).

yoda-ict
08/10/09, 13:50
En krijg je dan dezelfde drop meldingen als voorheen? Post het plaatje effe als je wilt.

RobertMatthieu
08/10/09, 15:30
Ja het zijn dezelfde drop meldingen. Het zijn dezelfde dropmeldingen als hiervoor.

Ik heb ook nog even een plaatje toegevoegd over wat ik in het telnet scherm te zien kreeg. Voor als je dat niet helemaal voor je zou zien.

MMaI
08/10/09, 22:27
heb je toevallig een ISP die poort 25 blokkeerd?
kan wel evne een testserver voor je aanmaken die gebruik maakt van poort 26 ipv 25
verder staan de meeste isps alleen verkeer toe via smtp op hun eigen smtp hosts als je ook daadwerkelijk een (A)DSL dienst van ze afneemt, ze willen namelijk gene public relay spelen ;)

RobertMatthieu
08/10/09, 23:59
Ik zit bij Alice en zij blokkeren gelukkig geen poort 25:)

Verder heb ik even de mailserver buiten de ISA firewall gezet (hehe I love vps:)) en als ik nu telnet naar bijvoorbeeld mailhost.hetnet.nl 25 krijg ik antwoord van de server: 220 CPSMTPM-EML109.kpnxchange.com kpnxchange.com Thu, 8 Oct 2009 22:48:49 +0200.

Zal morgen eens een nieuwe ISA server zonder SP1 maken.. Hiervoor draaide exchange 2003 perfect achter een isa zonder sp1. Misschien dat verzenden dan wel wil. Al blijf ik het dan raar vinden dat iets in SP1 zo'n drastische verandering heeft ondergaan.

Hou jullie op de hoogte!

RobertMatthieu
09/10/09, 15:50
Ok, ik heb de nieuwe ISA server zonder SP1 draaiende, maar helaas worden alle mailtjes + telnet tegengehouden..
Zijn weer allemaal denied connection door een bad TCP checksum. Zou de Exchange server alle pakketten al kapot verzenden waardoor de ISA server ze dropt om onnodig verkeer te veroorzaken?

yoda-ict
09/10/09, 21:21
Ik geloof niet dat het aan SP1 ligt. Een standaard telnet connectie heeft niks met TCP chacksums te maken. Ik heb alleen geen idee waar het dan wel aan kan liggen.. Maak anders even een nieuw protocol aan, met TCP poort 25. Probeer het daarmee eens

RobertMatthieu
14/10/09, 21:13
Sorry voor de late reactie.. had het even druk met school dus dit schoot er even bij in.
Maar ik heb het nieuwe protocol aangemaakt maar ook hier blokkeert ISA de pakketten weer. Het protocol wordt wel herkent alleen zoals bij de vorige pogingen toch weer geblokkeerd met een bad tcp checksum..