У нас есть несколько устройств, которые отправляют электронную почту через наш сервер Exchange 2010. Все эти устройства перед отправкой сообщения проходят проверку подлинности с использованием пользователя домена, и в 2010 году это работало нормально. Сейчас мы переходим на Exchange 2016, и я пытаюсь настроить коннектор приема, чтобы разрешить то же самое, но я не могу его передать. работай. Вот конфигурация моего приемного разъема:
[PS] C:\>Get-ReceiveConnector "EX2016\default frontend EX2016" | fl
RunspaceId : 68459e4b-3af8-411d-a616-7db360d20905
AuthMechanism : Tls, Integrated, BasicAuth, BasicAuthRequireTLS, ExchangeServer
Banner :
BinaryMimeEnabled : True
Bindings : {[::]:25, 0.0.0.0:25}
ChunkingEnabled : True
DefaultDomain :
DeliveryStatusNotificationEnabled : True
EightBitMimeEnabled : True
SmtpUtf8Enabled : False
BareLinefeedRejectionEnabled : False
DomainSecureEnabled : True
EnhancedStatusCodesEnabled : True
LongAddressesEnabled : False
OrarEnabled : False
SuppressXAnonymousTls : False
ProxyEnabled : False
AdvertiseClientSettings : False
Fqdn : EX2016.example.com
ServiceDiscoveryFqdn :
TlsCertificateName :
Comment :
Enabled : True
ConnectionTimeout : 00:10:00
ConnectionInactivityTimeout : 00:05:00
MessageRateLimit : Unlimited
MessageRateSource : IPAddress
MaxInboundConnection : 5000
MaxInboundConnectionPerSource : 20
MaxInboundConnectionPercentagePerSource : 2
MaxHeaderSize : 256 KB (262,144 bytes)
MaxHopCount : 60
MaxLocalHopCount : 5
MaxLogonFailures : 3
MaxMessageSize : 25 MB (26,214,400 bytes)
MaxProtocolErrors : 5
MaxRecipientsPerMessage : 200
PermissionGroups : AnonymousUsers, ExchangeServers, ExchangeLegacyServers
PipeliningEnabled : True
ProtocolLoggingLevel : Verbose
RemoteIPRanges : {::-ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff, 0.0.0.0-255.255.255.255}
RequireEHLODomain : False
RequireTLS : False
EnableAuthGSSAPI : False
ExtendedProtectionPolicy : None
LiveCredentialEnabled : False
TlsDomainCapabilities : {}
Server : EX2016
TransportRole : FrontendTransport
RejectReservedTopLevelRecipientDomains : False
RejectReservedSecondLevelRecipientDomains : False
RejectSingleLabelRecipientDomains : False
SizeEnabled : Enabled
TarpitInterval : 00:00:05
MaxAcknowledgementDelay : 00:00:30
AdminDisplayName :
ExchangeVersion : 0.1 (8.0.535.0)
Name : Default Frontend EX2016
DistinguishedName : CN=Default Frontend EX2016,CN=SMTP Receive
Connectors,CN=Protocols,CN=EX2016,CN=Servers,CN=Exchange
Administrative Group (###########),CN=Administrative Groups,CN=Org
Unit,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=caymanport,
DC=com
Identity : EX2016\Default Frontend EX2016
ObjectCategory : example.com/Configuration/Schema/ms-Exch-Smtp-Receive-Connector
ObjectClass : {top, msExchSmtpReceiveConnector}
WhenChanged : 20/09/2016 8:21:49 AM
WhenCreated : 08/09/2016 8:02:11 AM
WhenChangedUTC : 20/09/2016 1:21:49 PM
WhenCreatedUTC : 08/09/2016 1:02:11 PM
OrganizationId :
Id : EX2016\Default Frontend EX2016
OriginatingServer : dc.example.com
IsValid : True
ObjectState : Unchanged
А это журнал SMTP попытки подключения:
+,,
>,"220 EX2016.example.com Microsoft ESMTP MAIL Service ready at Tue, 20 Sep 2016 07:18:27 -0500",
<,EHLO printer.example.com,
>,250 EX2016.example.com Hello [172.16.113.55] SIZE 26214400 PIPELINING DSN ENHANCEDSTATUSCODES STARTTLS X-ANONYMOUSTLS AUTH NTLM X-EXPS GSSAPI NTLM 8BITMIME BINARYMIME CHUNKING XRDST,
<,AUTH NTLM,
>,334 <authentication response>,
>,334 <authentication response>,
*,,Inbound Negotiate failed because of LogonDenied
*,,User Name: NULL
*,Tarpit for '0.00:00:05' due to '535 5.7.3 Authentication unsuccessful',
>,535 5.7.3 Authentication unsuccessful,
-,,Remote(SocketError)
Я не думаю, что мне следует использовать коннектор анонимного ретранслятора, потому что я аутентифицирую пользователя / пароля домена. Что я делаю не так?
Изменить: я должен отметить, что эти принтеры должны иметь возможность отправлять электронную почту как извне, так и внутри.
это Почта в GeeksWithBlogs.net показал мне, как установить расширенные разрешения AD, чтобы принимать аутентифицированные соединения от любого пользователя на любой адрес.
Основы - создать группу безопасности пользователей, которым разрешено проходить аутентификацию в Exchange для отправки почты. Добавьте в эту группу любых пользователей, которых вы хотите. Затем добавьте расширенное разрешение ms-Exch-SMTP-Submit для коннектора Frontend по умолчанию. Поскольку коннектор внешнего интерфейса просто ретранслируется на коннектор прокси-сервера клиента, вам необходимо добавить к нему все фактические разрешения приема вместо внешнего интерфейса.
Во-первых, я бы не стал трогать коннектор получения по умолчанию. В этих случаях я всегда создаю новый коннектор получения. Поэтому я бы поставил все как было. Вы не хотите, чтобы соединитель приема с включенной аутентификацией на порту 25, доступном для Интернета, запрашивал атаки аутентифицированного пользователя.
Затем создайте новый коннектор получения. Для этого вам нужно будет использовать PWS, потому что графический интерфейс ECP в настоящее время создает только типы бэкэнда, тогда как вам нужен интерфейс. Заблокируйте его на конкретный IP-адрес устройств. Затем вам нужно включить типы аутентификации и пользователей Exchange в группах разрешений - в основном то же, что и клиентский Frontend Receive Connector, но на другом порту и, возможно, без TLS.
Затем перезапустите транспортную службу MS Exchange.