Изменить: это не вопрос о DDOS, а вопрос о том, как решить техническую проблему, затрагивающую только Mac-клиенты Outlook Anywhere.
Проблема и решение теперь известны, но я не могу связать это здесь по какой-то глупой причине ограничений stackexchange. Я могу предложить поискать в Google: «взгляните на любую точку, где мы сможем использовать командлеты», и вы должны найти проблему и решение, описанные на сайте charlietree.com.
Далее следует исходный вопрос ...
Я не пользователь Mac и не администратор Windows, так что простите меня, если у меня нет правильной номенклатуры, но я пытаюсь помочь другому администратору.
Мы используем Active Directory и Exchange 2010. Серверы имен для нашего домена верхнего уровня в Интернете - это Linux с Bind. Поддомен, например ad.example.com, является доменом для AD, Exchange и т. Д.
В попытке предотвратить злоупотребление службой DNS в AD методом DDOS-атаки с отражением DNS, порт 53 был заблокирован брандмауэром. Он блокирует синхронизацию с Exchange для сторонних пользователей с Mac Outlook.
Блокирование порта 53 казалось единственным выходом, потому что отключение рекурсии в Windows DNS приводит к сбою доступа к внешнему миру, и, в отличие от Bind, здесь нет такой функции, как представления.
Другие сайты считают, что это проблема, или это указывает на проблему конфигурации?
Администратор упомянул, что при отслеживании информация о соединении (возможно, с помощью автообнаружения) возвращалась с адресом, например exchange.ad.example.com, в то время как сервер обмена также известен как адрес, например exchange.example.com. Он не уверен, есть ли в конфигурации место, чтобы это исправить. Идея в том, что если мы сможем получить «рекламу» из имени хоста, клиенту Mac Outlook не нужно будет взаимодействовать с DNS в AD.
Наша цель: чтобы заблокировать DNS-серверы AD от злоупотреблений DDOS.
Наша проблема: Клиентам Mac Outlook требуется доступ к DNS AD за пределами площадки.
Я все еще немного запутался в вашем объяснении того, почему вы делаете то, что делаете с блоком порта 53. У вашего внутреннего DNS в вашем брандмауэре не должно быть причин для доступа к Интернету, поэтому вы правы, заблокировав входящий порт 53 на своем брандмауэре. Внешний DNS-сервер должен обеспечивать разрешение имен для вашего внешнего (выходящего в Интернет) имени домена, включая autodiscover.domain.com.
Я думаю, вы слишком усложняете ситуацию.
Exchange можно настроить для простой обработки клиентов Mac, работающих с Outlook 2011, используя те же методы автообнаружения, что и в Outlook Anywhere и на смартфонах.
Вы просто настроите правильный сертификат, убедитесь, что внутренний и внешний URL-адреса для Outlook Anywhere верны, и убедитесь, что правильные порты (80/443) разрешены через брандмауэр к серверу Exchange и что аутентификация настроена. для Outlook Anywhere.
После того, как вы это сделаете и сможете подтвердить с помощью теста на www.testexchangeconnectivity.com, что все настроено правильно, у вас не должно возникнуть проблем с настройкой клиента Mac, запускающего Outlook на этом этапе.
Некоторые URL-адреса, которые помогут вам:
http://technet.microsoft.com/en-us/library/bb201695%28v=exchg.141%29.aspx
http://exchangeserverpro.com/how-to-configure-exchange-server-2010-outlook-anywhere/