1 votes

Caynadian avatar

Authentification des utilisateurs AD sur Exchange 2016

Demandé el 20 de Septembre, 2016
Quand la question a-t-elle été
8403 affichage
Nombre de visites la question a
2 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

Nous avons un certain nombre de dispositifs qui envoient des e-mails via notre serveur Exchange 2010. Ces appareils s'authentifient tous en utilisant un utilisateur du domaine avant d'envoyer le message et cela fonctionnait bien sur 2010. Nous sommes en train de migrer vers Exchange 2016 et j'essaie de configurer le connecteur de réception pour permettre la même chose mais je n'arrive pas à le faire fonctionner. Voici la configuration de mon connecteur de réception :

[PS] C:\>Get-ReceiveConnector "EX2016\default frontend EX2016" | fl
RunspaceId                                : 68459e4b-3af8-411d-a616-7db360d20905
AuthMechanism                             : Tls, Integrated, BasicAuth, BasicAuthRequireTLS, ExchangeServer
Banner                                    :
BinaryMimeEnabled                         : True
Bindings                                  : {[::]:25, 0.0.0.0:25}
ChunkingEnabled                           : True
DefaultDomain                             :
DeliveryStatusNotificationEnabled         : True
EightBitMimeEnabled                       : True
SmtpUtf8Enabled                           : False
BareLinefeedRejectionEnabled              : False
DomainSecureEnabled                       : True
EnhancedStatusCodesEnabled                : True
LongAddressesEnabled                      : False
OrarEnabled                               : False
SuppressXAnonymousTls                     : False
ProxyEnabled                              : False
AdvertiseClientSettings                   : False
Fqdn                                      : EX2016.example.com
ServiceDiscoveryFqdn                      :
TlsCertificateName                        :
Comment                                   :
Enabled                                   : True
ConnectionTimeout                         : 00:10:00
ConnectionInactivityTimeout               : 00:05:00
MessageRateLimit                          : Unlimited
MessageRateSource                         : IPAddress
MaxInboundConnection                      : 5000
MaxInboundConnectionPerSource             : 20
MaxInboundConnectionPercentagePerSource   : 2
MaxHeaderSize                             : 256 KB (262,144 bytes)
MaxHopCount                               : 60
MaxLocalHopCount                          : 5
MaxLogonFailures                          : 3
MaxMessageSize                            : 25 MB (26,214,400 bytes)
MaxProtocolErrors                         : 5
MaxRecipientsPerMessage                   : 200
PermissionGroups                          : AnonymousUsers, ExchangeServers, ExchangeLegacyServers
PipeliningEnabled                         : True
ProtocolLoggingLevel                      : Verbose
RemoteIPRanges                            : {::-ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff, 0.0.0.0-255.255.255.255}
RequireEHLODomain                         : False
RequireTLS                                : False
EnableAuthGSSAPI                          : False
ExtendedProtectionPolicy                  : None
LiveCredentialEnabled                     : False
TlsDomainCapabilities                     : {}
Server                                    : EX2016
TransportRole                             : FrontendTransport
RejectReservedTopLevelRecipientDomains    : False
RejectReservedSecondLevelRecipientDomains : False
RejectSingleLabelRecipientDomains         : False
SizeEnabled                               : Enabled
TarpitInterval                            : 00:00:05
MaxAcknowledgementDelay                   : 00:00:30
AdminDisplayName                          :
ExchangeVersion                           : 0.1 (8.0.535.0)
Name                                      : Default Frontend EX2016
DistinguishedName                         : CN=Default Frontend EX2016,CN=SMTP Receive
                                            Connectors,CN=Protocols,CN=EX2016,CN=Servers,CN=Exchange
                                            Administrative Group (###########),CN=Administrative Groups,CN=Org
                                            Unit,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=caymanport,
                                            DC=com
Identity                                  : EX2016\Default Frontend EX2016
ObjectCategory                            : example.com/Configuration/Schema/ms-Exch-Smtp-Receive-Connector
ObjectClass                               : {top, msExchSmtpReceiveConnector}
WhenChanged                               : 20/09/2016 8:21:49 AM
WhenCreated                               : 08/09/2016 8:02:11 AM
WhenChangedUTC                            : 20/09/2016 1:21:49 PM
WhenCreatedUTC                            : 08/09/2016 1:02:11 PM
OrganizationId                            :
Id                                        : EX2016\Default Frontend EX2016
OriginatingServer                         : dc.example.com
IsValid                                   : True
ObjectState                               : Unchanged

Et voici le journal SMTP d'une tentative de connexion :

+,,
>,"220 EX2016.example.com Microsoft ESMTP MAIL Service ready at Tue, 20 Sep 2016 07:18:27 -0500",
<,EHLO printer.example.com,
>,250  EX2016.example.com Hello [172.16.113.55] SIZE 26214400 PIPELINING DSN ENHANCEDSTATUSCODES STARTTLS X-ANONYMOUSTLS AUTH NTLM X-EXPS GSSAPI NTLM 8BITMIME BINARYMIME CHUNKING XRDST,
<,AUTH NTLM,
>,334 <authentication response>,
>,334 <authentication response>,
*,,Inbound Negotiate failed because of LogonDenied
*,,User Name: NULL
*,Tarpit for '0.00:00:05' due to '535 5.7.3 Authentication unsuccessful',
>,535 5.7.3 Authentication unsuccessful,
-,,Remote(SocketError)

Je ne pense pas que je doive utiliser un connecteur relais anonyme car je m'authentifie avec un utilisateur/mot de passe du domaine. Qu'est-ce que je fais de mal ?

Edit : Je dois noter que ces imprimantes doivent être en mesure d'envoyer des e-mails en externe et en interne.

Demandé el 20 de Septembre, 2016 par Caynadian

Réponses

Trop de publicités?

1voto

Sembee avatar
Sembee Points 2854

Premièrement, je n'aurais pas touché au connecteur de réception par défaut. Dans ce cas, je crée toujours un nouveau connecteur de réception. Par conséquent, je remettrais les choses telles qu'elles étaient. Vous ne voulez pas qu'un connecteur de réception activé pour l'authentification sur le port 25 soit exposé à l'Internet - c'est le signe d'attaques d'utilisateurs authentifiés.

Créez ensuite un nouveau connecteur de réception. Vous devrez utiliser la PWS pour cela, car l'interface graphique de l'ECP ne crée actuellement que des types de backend, alors que vous voulez un frontend. Verrouillez-le sur l'adresse IP spécifique des appareils. Vous devez ensuite activer les types d'authentification et les utilisateurs d'échange sous les groupes de permission - en gros, c'est la même chose que pour le connecteur de réception frontal client, mais sur un port différent et probablement sans TLS.

Redémarrez ensuite le service MS Exchange Transport.

Répondu el 21 de Septembre, 2016 par Sembee (2854 Points )

1voto

Caynadian avatar
Caynadian Points 371

Este poste de GeeksWithBlogs.net m'a montré comment définir les autorisations AD étendues pour accepter les connexions authentifiées de n'importe quel utilisateur vers n'importe quelle adresse.

L'essentiel est de créer un groupe de sécurité d'utilisateurs autorisés à s'authentifier auprès d'Exchange pour envoyer du courrier. Ajoutez les utilisateurs que vous voulez à ce groupe. Ensuite, ajoutez la permission étendue ms-Exch-SMTP-Submit à votre connecteur frontal par défaut. Comme le connecteur frontal ne fait que relayer le connecteur Client Proxy, vous devez ajouter toutes les autorisations d'acceptation réelles à ce connecteur plutôt qu'au connecteur frontal.

Répondu el 23 de Septembre, 2016 par Caynadian (371 Points )

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X