Назад | Перейти на главную страницу

Потеря входящей электронной почты из внешних доменов после замены брандмауэра новым ASA5510

Для начала я просто хотел бы признать, что мне не хватает знаний в настройке / обслуживании критически важного оборудования, такого как межсетевые экраны и серверы обмена. Я являюсь координатором по технологиям в небольшой чартерной школе и пришел на эту должность около 6 месяцев назад, когда в то время не было никакой технической поддержки в течение последних 4–5 лет. Излишне говорить, что я довольно долгое время занимался реверс-инжинирингом схемы нашей сети и ее многочисленных проблем. Моя база знаний действительно ориентирована на устранение основных неполадок оборудования / программного обеспечения со значительным дефицитом моих знаний о сетевой инфраструктуре, но я действительно единственный, кто даже удаленно способен исправить сетевые проблемы.

Вчера я и сетевой инженер нашего нового провайдера оптоволоконных сетей заменили устаревший межсетевой экран PIX515 на новый межсетевой экран ASA5510 и подключили недавно проложенное оптоволоконное соединение. Сетевой инженер отразил конфигурацию в ASA5510 для переадресации портов и IP-адресов точно так, как это было установлено в PIX515.

После замены Интернет работал отлично с ожидаемым колоссальным увеличением пропускной способности (модернизировано с 2 соединений T-1 по 1,5 Мбайт до волоконно-оптического соединения 20 Мбайт)

На следующий день мы заметили, что не можем получать входящие электронные письма на наш сервер обмена, которые исходят из внешних доменов. После некоторых неистовых исследований в Google я думаю, что могу с уверенностью сказать, что наша основная проблема здесь - это необходимость изменить общедоступный IP-адрес нашей записи DNS, чтобы точно отразить изменение IP-адреса, которое произошло вместе со сменой интернет-провайдеров.

Мой вопрос действительно многогранен, поскольку я думаю, что знаю, в чем проблема, но я не имею понятия, какой первый шаг предпринять, чтобы попытаться ее решить.

Я был бы бесконечно признателен любому, кто мог бы дать мне некоторое профессиональное представление о том, как мне следует действовать. Я хочу повторить тот факт, что мне, вероятно, не хватает некоторой соответствующей информации (например, общедоступного IP-адреса нашего почтового сервера), потому что я не знаю конкретной истории и конфигурации нашей сети, и я не знаю, как это сделать. найти эту информацию.

Похоже, вы уже нашли ответ:

После некоторых неистовых исследований в Google я думаю, что могу с уверенностью сказать, что наша основная проблема здесь - это необходимость изменить публичный IP-адрес нашей записи DNS, чтобы точно отразить изменение IP-адреса, которое произошло вместе с нашим изменением интернет-провайдеров.

Другими словами, это не имеет никакого отношения к ASA или серверам Exchange. Вы сменили интернет-провайдера и получили другой публичный IP.

Вам необходимо обновить запись / записи DNS для вашего домена. Невозможно сказать вам, куда идти, так как вам нужно будет проверить свой домен (использовать инструмент whois) и связаться с людьми / компанией, ответственными за хостинг вашего домена. Затем замените любую A-запись, которая указывает на ваш старый IP-адрес, и вставьте новый.

Как сказал Пауска, вам следует проверить информацию о существующем реестре домена. Это то место, где вам все равно нужно будет его обновить. Однако вы можете найти информацию и другими способами. Используя cmd.exe в окне Windows, запустите:

  1. nslookup
  2. установить тип = mx
  3. example.domainname.com DNSserverIP

Это даст вам DNS-запись вашего общедоступного почтового сервера. Затем выполните nslookup для этого имени сервера - это IP-адрес вашего общедоступного почтового сервера. Обратите внимание, что вы можете получить разные результаты, выполняя это внутренне (против вашего собственного DNS) и внешне (против публичного DNS). Указанный выше DNSserverIP позволит вам настроить таргетинг на общедоступный DNS-сервер (например, тот, который предоставляет ваш интернет-провайдер - спросите, кто поддерживает ваш DNS, они могут дать вам правильное значение). Если вы его не используете, вы получите свой внутренний DNS. Если все это слишком запутанно, просто запустите из дома 3 команды, указанные выше, без значения DNSserverIP. Вы получите общедоступное значение DNS.

Или вы можете просмотреть свои старые конфигурации PIX. Вероятно, есть запись во внешнем ACL и для нее оператор NONAT. Если вам понадобится помощь, дайте мне знать.

Даже после того, как вы исправите указатель DNS, вам все равно придется обновить правила брандмауэра. Дай мне знать, когда приедешь. В ваших старых конфигурациях PIX были бы записи для старых IP-адресов, а не для новых. Скорее всего, вам потребуются изменения ACL и NAT.