Hallo,
folgendes habe ich vor und weiß noch nicht recht, wie ich es konfigurieren soll.
Zwei Internetleitungen - DSL und LTE. und somit wwei Gateway. Es sollen immer alle Mails per DSL-Leitung gesendet werden, wenn diese ausfällt, sollen die Mails per LTE Leitung gesendet werden.
Wenn ich nun in dem Sendeconnector die zwei IPs als Smarthost hinterlege, werden ja auch permanent Mails über den LTE weg gesendet (und nicht nur im fehlerfall).
Nun hatte ich schon getestet, einfach einen zweiten Sendeconnector anzulegen und dort meinen Smarthost zu hinterlegen. In der Bereichsdefinition dann die Kosten auf 1 DSL und 5 LTE eingestellt. Bringt leider auch nichts. Im fehlerfall vom DSL bleibt der Connector bestehen und die Mails kommen in die Warteschlage.
Hat jemand ein ähnliches Szenario und wie wird dies am besten gelöst?
Hallo Xaver,
ich glaube du setzt eventuell am falschen Punkt an.
Wenn es möglich ist würde ich dieses Szenario nicht über den Exchange konfigurieren sondern von einem Gateway/Firewall die beide WAN-Leitungen im Zugriff hat. Damit ist es meistens in wenigen Minuten konfiguriert. Natürlich muss der SPF angepasst werden etc..
Zur Info, der Exchange entscheidet nicht nach den reinen "Cost"-Faktoren sondern auch nach Address Space, Least Hops, AD-Sites.
Hier eine kleine Lektüre: https://docs.microsoft.com/en-us/Exchange/mail-flow/mail-routing/mail-routing?redirectedfrom=MSDN&view=exchserver-2019
Es gibt eine kleine Möglichkeit die gerne Beschreibe, jedoch würde ich empfehlen das über Gateways/Routing-Geräte abzubilden, dafür sind Sie gemacht.
Der Weg sieht wie folgt aus, um Fehlertoleranz für einen Sende-Connector zu gewährleisten. Ein Sende-Connector hält sich an RFC-Standards um bei Verwendung eines Smart-Host-Namens immer einen MX-Eintrag im DNS vor einem A-Eintrag nachzuschlagen. Im Endeffekt bedeutet das, dass ein Smart Host auf zwei MX-einträge im DNS hört. Einmal mit der Wichtigkeit 10 und 20. Der Eintrag mit 10 zeugt auf Site-1 und der mit 20 auf Site-2. So nimmt er den den zweiten MX wenn der erste nicht verfügbar ist.
Gruß,
Steffen
Never walk alone to the Cloud - Take the cloud journey and start the digital transformation
Ah da habe ich mich etwas unverständlich ausgedrückt. Also mein Gateway ist keine Firewall oder Router. Dies sind zwei VMs die zudem noch Spamschutz machen.
Und diese beiden bzw. VM1 via DSL und VM2 via LTE.
Deine Erklärung mit MX-Eintrag mi DNS verstehe ich noch nicht so ganz. Bisher habe ich die interne IP von VM1 als Smartconnector eingetragen...
Hallo Xaver,
h da habe ich mich etwas unverständlich ausgedrückt. Also mein Gateway ist keine Firewall oder Router. Dies sind zwei VMs die zudem noch Spamschutz machen.
Und diese beiden bzw. VM1 via DSL und VM2 via LTE.
Das verstehe ich gerade nicht 100%, und falls doch sollten die VMs ein HA-Cluster bilden und dann müsstest du dort dein Failover bauen. Sodass beide VMs wenn diese nun als Gateway bei dir fungieren beide WAN-Leitungen ansteuern können.
Und dann ist es für den Exchange immer nur 1 "Punkt" den er anspricht, und der "Punkt" regelt alles weitere.
Bitte erläutere doch wie viele Exchange Server, was für ein Breakout du hast und wie die beiden WAN-Leitungen angebunden sind, ergo so eine grobe Skizze der Infrastruktur.
Gruß,
Steffen
Never walk alone to the Cloud - Take the cloud journey and start the digital transformation
Hi,
wie Steffen schon schreibt, mit zwei Sendeconnectoren wird dies nicht funktionieren. Die Sache mit dem MX wird meiner Meinung nach aber auch nicht funktionieren. Der Lookup des MX geschieht ja für die Zieldomain und nicht für den Smarthost. Wenn einer der beiden Smarthosts die Internetverbindung verliert, bekommt davon der Exchange Server ja auch erst einmal nichts mit. Die Smarthosts werden ja trotzdem die Mail vom Exchange Server annehmen, aber nicht ausliefern können. Aus Exchange Sicht ist die Mail an einen Smarthost übergeben worden, dieser muss sich nun um die Zustellung kümmern.
Eine Übersicht wie die Umgebung aussieht, wäre sehr hilfreich.
Gruß,
Frank
Zunächst: Mit LTE oder ohne fester IP auf Deinen Leitungen darfst Du keine ausgehenden Emails an die Empfänger verteilen. Du wirst dann sehr oft nicht durch den Spamschutz der Empfänger kommen. Das muss ein Rechner oder Dienst mit fester IP Adresse übernehmen, dessen IP Nummer oder Hostname im SPF Eintrag Deiner Domäne hinterlegt ist. Üblicherweise übernimmt die Rolle Dein Internetprovider, auf dem Deine DNS Einträge gehostet sind. Diese Rolle nennt sich Smarthost.
Du musst also von Deinen beiden VMs, oder direkt vom Exchange Server zu diesem Smarthost (Deines Domain Hosters) senden. Exchange (oder andere Programme) können den Weg nicht bestimmen, sie senden es einfach nur zur Standardgateway der Netzwerkkarte und Deine Netzwerktopologie bestimmt welcher Weg eingeschlagen wird.
Du benötigst also in Deiner Route zum Smarthost einen Dienst, der erkennt ob eine Leitung tot ist oder nicht, und schickt dann Deine Netzwerkpakete über die noch übrige Route dort hin. Üblicherweise machen das Firewalls, an denen man zwei oder mehrere Internet Leitungen anmelden kann. Falls Du mit VMˋs arbeitest, kannst Du mal pfsense oder OPNsense oder Sophos UTM anschauen. Sophos ist nur im privaten Bereich kostenlos.
Die zwei Spamschutz VMˋs benötigst Du nur für eingehende Emails. Sie helfen Dir nicht bei der Wegbestimmung zum Smarthost. Sollte eine der beiden VM bereits eine ausgehende Email angenommen haben, und die dafür zugewiesene Leitung ist tot, kann man die Email nicht mehr auf die andere VM übertragen.
..so wie es aussieht, muss mein Beitrag noch freigeschaltet werden.. Moderation ausstehend