Вопросы Теги

Аутентификация пользователя AD в Exchange 2016

У нас есть несколько устройств, которые отправляют электронную почту через наш сервер Exchange 2010. Все эти устройства проходят проверку подлинности с использованием пользователя домена до отправки сообщения, и в 2010 году это работало нормально. Сейчас мы переходим на Exchange 2016, и я пытаюсь настроить коннектор приема, чтобы он разрешил то же самое, но не могу заставить его работать. Вот конфигурация моего коннектора приема: 

[PS] C:\>Get-ReceiveConnector "EX2016\default frontend EX2016" | fl
RunspaceId                                : 68459e4b-3af8-411d-a616-7db360d20905
AuthMechanism                             : Tls, Integrated, BasicAuth, BasicAuthRequireTLS, ExchangeServer
Banner                                    :
BinaryMimeEnabled                         : True
Bindings                                  : {[::]:25, 0.0.0.0:25}
ChunkingEnabled                           : True
DefaultDomain                             :
DeliveryStatusNotificationEnabled         : True
EightBitMimeEnabled                       : True
SmtpUtf8Enabled                           : False
BareLinefeedRejectionEnabled              : False
DomainSecureEnabled                       : True
EnhancedStatusCodesEnabled                : True
LongAddressesEnabled                      : False
OrarEnabled                               : False
SuppressXAnonymousTls                     : False
ProxyEnabled                              : False
AdvertiseClientSettings                   : False
Fqdn                                      : EX2016.example.com
ServiceDiscoveryFqdn                      :
TlsCertificateName                        :
Comment                                   :
Enabled                                   : True
ConnectionTimeout                         : 00:10:00
ConnectionInactivityTimeout               : 00:05:00
MessageRateLimit                          : Unlimited
MessageRateSource                         : IPAddress
MaxInboundConnection                      : 5000
MaxInboundConnectionPerSource             : 20
MaxInboundConnectionPercentagePerSource   : 2
MaxHeaderSize                             : 256 KB (262,144 bytes)
MaxHopCount                               : 60
MaxLocalHopCount                          : 5
MaxLogonFailures                          : 3
MaxMessageSize                            : 25 MB (26,214,400 bytes)
MaxProtocolErrors                         : 5
MaxRecipientsPerMessage                   : 200
PermissionGroups                          : AnonymousUsers, ExchangeServers, ExchangeLegacyServers
PipeliningEnabled                         : True
ProtocolLoggingLevel                      : Verbose
RemoteIPRanges                            : {::-ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff, 0.0.0.0-255.255.255.255}
RequireEHLODomain                         : False
RequireTLS                                : False
EnableAuthGSSAPI                          : False
ExtendedProtectionPolicy                  : None
LiveCredentialEnabled                     : False
TlsDomainCapabilities                     : {}
Server                                    : EX2016
TransportRole                             : FrontendTransport
RejectReservedTopLevelRecipientDomains    : False
RejectReservedSecondLevelRecipientDomains : False
RejectSingleLabelRecipientDomains         : False
SizeEnabled                               : Enabled
TarpitInterval                            : 00:00:05
MaxAcknowledgementDelay                   : 00:00:30
AdminDisplayName                          :
ExchangeVersion                           : 0.1 (8.0.535.0)
Name                                      : Default Frontend EX2016
DistinguishedName                         : CN=Default Frontend EX2016,CN=SMTP Receive
                                            Connectors,CN=Protocols,CN=EX2016,CN=Servers,CN=Exchange
                                            Administrative Group (###########),CN=Administrative Groups,CN=Org
                                            Unit,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=caymanport,
                                            DC=com
Identity                                  : EX2016\Default Frontend EX2016
ObjectCategory                            : example.com/Configuration/Schema/ms-Exch-Smtp-Receive-Connector
ObjectClass                               : {top, msExchSmtpReceiveConnector}
WhenChanged                               : 20/09/2016 8:21:49 AM
WhenCreated                               : 08/09/2016 8:02:11 AM
WhenChangedUTC                            : 20/09/2016 1:21:49 PM
WhenCreatedUTC                            : 08/09/2016 1:02:11 PM
OrganizationId                            :
Id                                        : EX2016\Default Frontend EX2016
OriginatingServer                         : dc.example.com
IsValid                                   : True
ObjectState                               : Unchanged

И это протокол SMTP попытки подключения: 

+,,
>,"220 EX2016.example.com Microsoft ESMTP MAIL Service ready at Tue, 20 Sep 2016 07:18:27 -0500",
<,EHLO printer.example.com,
>,250  EX2016.example.com Hello [172.16.113.55] SIZE 26214400 PIPELINING DSN ENHANCEDSTATUSCODES STARTTLS X-ANONYMOUSTLS AUTH NTLM X-EXPS GSSAPI NTLM 8BITMIME BINARYMIME CHUNKING XRDST,
<,AUTH NTLM,
>,334 <authentication response>,
>,334 <authentication response>,
*,,Inbound Negotiate failed because of LogonDenied
*,,User Name: NULL
*,Tarpit for '0.00:00:05' due to '535 5.7.3 Authentication unsuccessful',
>,535 5.7.3 Authentication unsuccessful,
-,,Remote(SocketError)

Я не думаю, что мне следует использовать анонимный коннектор ретрансляции, потому что я аутентифицирую пользователя / пароля домена. Что я делаю не так?

Изменить: Я должен отметить, что эти принтеры должны иметь возможность отправлять электронную почту как извне, так и внутри.

1
задан 20 September 2016 в 17:32
2 ответа

В этом сообщении на GeeksWithBlogs.net показано, как установить расширенные разрешения AD для приема аутентифицированных соединений от любого пользователя на любой адрес.

Основы - создание группа безопасности пользователей, которым разрешено проходить проверку подлинности в Exchange для отправки почты. Добавьте в эту группу любых пользователей, которых вы хотите. Затем добавьте расширенное разрешение ms-Exch-SMTP-Submit для коннектора Frontend по умолчанию. Поскольку интерфейсный соединитель просто ретранслируется на соединитель прокси-сервера клиента, вам необходимо добавить к нему все фактические разрешения приема вместо внешнего интерфейса.

1
ответ дан 3 December 2019 в 20:34

Во-первых, я бы не прикасался к стандартному коннектору получения. В таких случаях я всегда создаю новый коннектор получения. Поэтому я бы вернул все как есть. Вам не нужно, чтобы коннектор получения с включенной аутентификацией на 25 порту, подверженном влиянию интернета, то есть чтобы запрашивать атаки аутентифицированных пользователей. Тогда создайте новый коннектор получения. Для этого вам придется использовать PWS, поскольку графический интерфейс ECP в настоящее время создает только типы бэкэндов, в то время как вам нужен фронтэнд. Блокируйте его до определенного IP-адреса устройств. Затем вам нужно включить типы аутентификации и пользователей Exchange в группы разрешений - в основном те же самые, что и у клиентского внешнего коннектора получения, но на другом порту и, возможно, без TLS.

Затем перезапустите службу MS Exchange Transport.

1
ответ дан 3 December 2019 в 20:34

Теги

Похожие вопросы