Назад | Перейти на главную страницу

Outlook для Mac, Active Directory DNS и DDOS

Изменить: это не вопрос о DDOS, а вопрос о том, как решить техническую проблему, затрагивающую только Mac-клиенты Outlook Anywhere.

Проблема и решение теперь известны, но я не могу связать это здесь по какой-то глупой причине ограничений stackexchange. Я могу предложить поискать в Google: «взгляните на любую точку, где мы сможем использовать командлеты», и вы должны найти проблему и решение, описанные на сайте charlietree.com.

Далее следует исходный вопрос ...

Я не пользователь Mac и не администратор Windows, так что простите меня, если у меня нет правильной номенклатуры, но я пытаюсь помочь другому администратору.

Мы используем Active Directory и Exchange 2010. Серверы имен для нашего домена верхнего уровня в Интернете - это Linux с Bind. Поддомен, например ad.example.com, является доменом для AD, Exchange и т. Д.

В попытке предотвратить злоупотребление службой DNS в AD методом DDOS-атаки с отражением DNS, порт 53 был заблокирован брандмауэром. Он блокирует синхронизацию с Exchange для сторонних пользователей с Mac Outlook.

Блокирование порта 53 казалось единственным выходом, потому что отключение рекурсии в Windows DNS приводит к сбою доступа к внешнему миру, и, в отличие от Bind, здесь нет такой функции, как представления.

Другие сайты считают, что это проблема, или это указывает на проблему конфигурации?

Администратор упомянул, что при отслеживании информация о соединении (возможно, с помощью автообнаружения) возвращалась с адресом, например exchange.ad.example.com, в то время как сервер обмена также известен как адрес, например exchange.example.com. Он не уверен, есть ли в конфигурации место, чтобы это исправить. Идея в том, что если мы сможем получить «рекламу» из имени хоста, клиенту Mac Outlook не нужно будет взаимодействовать с DNS в AD.

Наша цель: чтобы заблокировать DNS-серверы AD от злоупотреблений DDOS.

Наша проблема: Клиентам Mac Outlook требуется доступ к DNS AD за пределами площадки.

Я все еще немного запутался в вашем объяснении того, почему вы делаете то, что делаете с блоком порта 53. У вашего внутреннего DNS в вашем брандмауэре не должно быть причин для доступа к Интернету, поэтому вы правы, заблокировав входящий порт 53 на своем брандмауэре. Внешний DNS-сервер должен обеспечивать разрешение имен для вашего внешнего (выходящего в Интернет) имени домена, включая autodiscover.domain.com.

Я думаю, вы слишком усложняете ситуацию.

Exchange можно настроить для простой обработки клиентов Mac, работающих с Outlook 2011, используя те же методы автообнаружения, что и в Outlook Anywhere и на смартфонах.

Вы просто настроите правильный сертификат, убедитесь, что внутренний и внешний URL-адреса для Outlook Anywhere верны, и убедитесь, что правильные порты (80/443) разрешены через брандмауэр к серверу Exchange и что аутентификация настроена. для Outlook Anywhere.

После того, как вы это сделаете и сможете подтвердить с помощью теста на www.testexchangeconnectivity.com, что все настроено правильно, у вас не должно возникнуть проблем с настройкой клиента Mac, запускающего Outlook на этом этапе.

Некоторые URL-адреса, которые помогут вам:

http://www.msexchange.org/articles-tutorials/exchange-server-2010/management-administration/exchange-autodiscover.html

http://technet.microsoft.com/en-us/library/bb201695%28v=exchg.141%29.aspx

http://premnair.wordpress.com/2010/07/03/configure-ews-autodiscover-owa-oab-ecp-on-exchange-server-2010/

http://blogs.technet.com/b/exchdxb/archive/2012/05/10/troublshooting-autodiscover-exchange-2007-2010.aspx

http://exchangeserverpro.com/how-to-configure-exchange-server-2010-outlook-anywhere/

https://help.exchangemymail.com/entries/20037278-Configure-Outlook-2011-for-Mac-with-Exchange-2010-2007