Назад | Перейти на главную страницу

Предоставление ретрансляции серверам на основе членства в группе безопасности AD

Мы перемещаем наш ретранслятор с сервера Exchange 2003 на сервер Exchange 2010. Я надеялся, что опция «Предоставить или отклонить разрешения на ретрансляцию для определенных пользователей или групп» все еще будет доступна в той или иной форме, но я не мог понять, как это сделать. Я читал о разъемах для приема, но пока не могу заставить его работать. Я отредактировал параметры безопасности в соединителе приема, чтобы предоставить группе следующие расширенные права, и добавил в эту группу учетные записи компьютеров:

Принять заголовки маршрутизации
Обойти Антиспам
Отправить на сервер
Принимаем любого отправителя
Принять любого получателя

Затем я внезапно понял во время тестирования ... Как соединитель получения разрешит разрешение на конкретный объект AD, возможно, обратный поиск в DNS? Я хотел бы знать, возможно ли то, чего я пытаюсь достичь, и как это возможно.

Я бы предпочел не возвращаться к списку на основе IP-адресов, поскольку это не так управляемо, и я стараюсь избегать создания статических IP-адресов / резервирований для ряда рабочих станций, которые в противном случае не нуждались бы в них.

На основании ваших комментариев к @ Нур ответ Я подозреваю, что вы ищете:

Сделать учетную запись AD данного компьютера членом некоторой группы "Разрешено ретрансляция"
Пусть программы, работающие на этом компьютере, волшебным образом смогут ретранслировать SMTP через Exchange из-за членства в группе учетной записи AD компьютера.

Если это то, что вы ищете, нет способа сделать это если только все клиенты SMTP на данном компьютере могут аутентифицироваться в Exchange с учетной записью компьютера AD. Большинство клиентов SMTP - нет (на самом деле, я не могу придумать ни одного, который мог бы). Исходный IP-адрес входящего SMTP-подключения к Exchange не вызывает аутентификации и не создает токен безопасности, который Exchange может запрашивать для членства в группах. IP-адреса и участники безопасности ортогональны.

Лучший способ сделать это - сгенерировать учетные данные службы (с любой степенью детализации учетных записей, с которыми вам удобно - я предпочитаю один для каждого SMTP-клиента) и предоставить те учетные данные, права на ретрансляцию. Затем вы можете настроить каждый SMTP-клиент для аутентификации, и ретрансляция будет разрешена на основе учетных данных.

Есть дополнительные параметры безопасности, которые вы можете редактировать с помощью PowerShell, вы не можете редактировать их с помощью графического интерфейса пользователя, вы можете сообщить Exchange, кто должен использовать соединитель, с помощью этой команды PowerShell:

Get-ReceiveConnector «Имя соединителя получения» | Add-ADPermission -User «Имя учетной записи / группы»

В качестве примера я обычно использую эту команду, чтобы разрешить анонимный доступ к коннектору:

Get-ReceiveConnector «Имя соединителя получения» | Add-ADPermission -User "NT AUTHORITY \ ANONYMOUS LOGON" -ExtendedRights "ms-Exch-SMTP-Accept-Any-Recipient"

Более подробную информацию можно найти здесь: http://help.globalscape.com/help/me3/configuring_authenticated_access_to_exchange.htm