Global Domain /Foreign Domain

[Freem@n]

Hallo Forum.

Ich habe mal wieder ein für mich völlig unlogisch auftretendes Problem mit dem Mailrouting.

Ausgangssituation:

2 Server im Cluster, die im Intranet verfügbar sind und die Postfächer der User beherbergen. Wird eine Mail ins Internet gesendet, wird diese an Server 3, der sich in einer DMZ befindet, geroutet. Dieser soll dann die Mail weiter ans Internet übergeben.

Ich brauchte einige Zeit und auch ein wenig Hilfe, um das System Global Domain / Foreign Domain zu verstehen. Danach war es nicht mehr so arg problematisch, das senden ans Internet einzurichten.
Was ich nicht wirklich verstanden habe, sind die Einträge, die ich in der Foreign Domain gemacht habe. Man sagte mir, es spiele keine bedeutende Rolle, was dort eingetragen wird.
Also trzug ich folgendes ein:

Messages Addressed to: Internet Domain: *.*
Schould be routet to: Domain Name: FWDU

Die Global Domain wurde entsprechend eingerichtet und das Resultat entsprach dem, was ich mir vorstellte.

Da Die Konfiguration des Systems noch nicht zu 100% abgeschlossen ist (Replikation fpr Traveling User fehlt noch) war dies der nächste schritt, den ich in Agriff genommen habe. Ab da fingen die Probleme an.

Jede Koinfi9gurationsänderung, die ich in Richtung Traveling User machte, wirkte sich sofort auf die Global Domain / Foreign Domain aus. Bedeutet im Klartext, daß es nach jeder Konfiguratiuonsänderung Probleme mit dem Versand von Internet Mails gibt.

Router: Failed to connect to SMTP host ......

Also bringe ich wieder alles in den Ausgangszustand zurück, sarte den Server x mal neu, starte den router Task und auch den AdminP xmal neu, damit es dann irgend wann wieder funktioniert.

Das Phänomen dabei ist, ersetzte ich bis Dato den Eintrag FWDU aus dem Foreign Domain Dokument mit der IP der Firewall, funktionierte das Routing wieder für ein paar tage. Danach war es nötig, die IP wieder durch den Eintrag FWDU zu ersetzen.

Jetzt funktioniert weder das eine noch das andere. Server sammelt fleißig mails, die ans internet versendet werden sollen, brngt aber permanent die Rotuer Fehlermeldung wie oben beschrieben.

Mittlerweile bin ich so verwirrt, daß ich mir nicht mehr sicher bin, an welcher schraube ich nun drehen muss, um die Problematik ein für alle mal zu lösen.

Sollte jemand eine Idee haben, wäre ich für Hilfe sehr dankbar.

[Andrycha]

Hallo Freeman,

wie schaut denn dein Server 3 aus? Wie ist denn da die Konfig? Leitet dein Server 3 die Mails direkt ins Internet oder leitet er die Mails nur weiter an einen anderen Server, der dann die Mails ins Internet abgibt? Wenn Server 3 nicht direkt ins Internet abliefert, musst du im Konfig-Dok. des Servers 3 unter Reiter "Router/SMTP-Allgemein" in Relais-Host für Nachrichten, die die lokale Internet-Domäne verlassen: die IP oder den Hostnamen des Servers eintragen, an den die externen Mails abgegeben werden.
Zusätzlich musst du ein Verbindungs-Dok. anlegen, wo festgelegt ist, dass der Server 3 an Server *.* und die Domäne FWDU ausliefern soll.

Gruss,
Andrycha

[Freem@n]

Hi Andrycha.

Erst mal danke für die Antwort und den Lösungsansatz.

das Mailrouting funktioniert jetzt erst mal wieder. Immer wieder der selbe alte weg, der dann kurzfristig zum erfolg führt.
Die Frage, die sich mir stellt ist, warum SMTP Routing nicht mehr funktioniert, sobald ich im Serverdokumtent den Zugriff (in diesem Fall für die Gruppe Traveling User) eingerichtet habe. Wenn ich es richtig verstanden habe, dürfte sich eine derartige Änderung eigentlich nicht auf die Foreign Domain /Global Domain und damit das SMTP Mailrouting auswirken.

Das aber genau ist das, was passiert und für mich auch vollkommen unverständlich.

Weitere Frage: Warum dieses Wechselspiel zwischen der Phantasydomain FWDU und dem Eintrag der IP Adresse im Feld Internet Host.

Mit jedem mal, wo das passiert, macht sich mehr Verwirrung in mir breit 

[Freem@n]

Hallo nochmal.

Leider besteht meine Problematik immer noch, allerdings konnte ich das "Phänomen" doch noch etwas eingrenzen.

Server 1 und 2 übergeben automatisch alle Mails, die ins Internet gehen sollen, an Server. Dieser soll dann letztendlich die Mail ans Internet übergeben. Dazu gibts die Foreign SMTP Domain und eine Global Domain.
Foreign SMTP Domain: Internet Domain *.* --> next Domain: FWDU (Dummyeintrag)

So funktionierte es anfangs. Ohne Änderungen meinerseits gab es von einem Tag auf den anderen Probleme mit dieser Konfiguration (ich weiss, hört sich unglaubwürdig an, aber ist so ).
Geholfen hat dann, den Dummyeintrag aus dem Foreign SMTP Dokument zu löschen, und stattdessen eine Zeile tiefer ins Feld Internet Host die IP des Gateways einzutragen.
Unerwünschter Nebeneffekt dabei. Sobald ich diese Änderungen vorgenommen habe, adminp und router neu gestartet habe, kann Server 3 zwar Mails ins Internet schicken, Server 1 routet aber nicht mehr weiter an Server 3, sondern probiert selbst ins Internet zu routen.

Damit ist für mich die Verwirrung perfekt und ich hab mich mittlerweile so darin verbissen, daß ich scheinbar zu blind bin, den Fehler zu finden 

Vielleicht hat aufgrund dieser Informationen doch noch jemand ne Idee, wo ich schrauben muss.

Danke schon mal im Voraus.

[Semeaphoros]

Naja, da scheinen aber schon noch einige Basics falsch eingerichtet zu sein. Da würd ich jemanden zuziehen, der SMTP auf Domino einrichten kann, die Sache ist vor Ort schneller eingerichtet, als wir hier wirklich auf Grund gehen können.

Was mir schonmal verdächtig scheint, Spezialkonfigurationen ausgeschlossen, gibt es in einer Notes-Domäne entweder ein Foreign SMTP Domain Dokument oder ein Globales Domain Doc, aber nicht beides gleichzeitig. Hier scheint das so zu sein. Scheint mir auch nicht sicher zu sein, dass der SMTP-Server nur auf Server 3 läuft und nicht auf S1 bzw. S2.

Weiter ist unklar, ob S3 in einer eigenen Notes-Domäne steht oder ob er mit S1/S2 in einer gemeinsamen Notes-Domäne konfiguriert ist.

So wie ich das bisher verstehe, ist es reiner Zufall, ob es funktioniert oder nicht, hängt damit zusammen, ob der Router das Globale oder das Foreign SMTP Domain Dokument zuerst findet, und so sieht ja dann auch die Symptomatik aus.

[Freem@n]

Ich war leider in der Zeit, wo das alles eingerichtet wurde, mehr oder weniger unbedarft. Also hab ich ein paar alte Kontakte aufleben lassen und mal vorsichtig nachgefragt.

Die Antwort war dann, ich brauche sowoh F SMTP D wie auch G D.

Server 1 und 2 sind in einer eigenen Domäne und auch in einem eigenen Netz. S3 sitzt in der DMZ.
Hintergrund war einfach, die 2 Server, die auch die Maildatenbanken halten, seperat von dem Server zu haben, der mehr oder weniger im Internet sichtbar ist.
Frage: Warum funktionierte es über mehrere Wochen mit dieser Konfiguration ohne Probleme und erst, seit dem ich anfing, den Zugang für "Traveling User" auf Server 3 anzulegen, tauchen diese Probleme auf ?
Ich btrachte dann wieder alles in den Ausgangszustand zurück, also so, wie es vorher problemlos funktionierte, aber seit dem habe ich, mal alle 2 oder 3 tagen, dann mal wieder jeden Tag dieses Problem.

Das ist auch das, was mich jetzt zum schluss etwas verwirrt hat.

Externe Hilfe, hab ich auch schon dran gedacht. Nur leider noch niemanden in der Nähe gefunden 

[Semeaphoros]

Wie gesagt, das ist eindeutig ein Zufallsgenerator. Solange an der Konfiguration nichts geändert wird, ändert sich auch die Reihenfolge der Dokumente nicht, und wenns dann zufällig läuft, läuft es eben. Sobald man was schraubt, ändert die interne Reihenfolge. Offenbar wurdest Du unvollständig informiert.

[Freem@n]

Ja, scheinbar hast Du wohl recht.

Trotzdem Danke für die Hilfe.

Muss mal sehen, wie ich das jetzt auf die schnelle geregelt kriege.

[MOD]

Was mir schonmal verdächtig scheint, Spezialkonfigurationen ausgeschlossen, gibt es in einer Notes-Domäne entweder ein Foreign SMTP Domain Dokument oder ein Globales Domain Doc, aber nicht beides gleichzeitig.

Auszug aus der Hilfe:
A Foreign SMTP domain document provides servers that don't use SMTP routing and which do not have access to DNS with the next hop information required to route Internet mail. You can also use Foreign SMTP domain documents with servers that route mail over SMTP to configure different routing paths for mail sent to different destinations.

...But if the Domino Directory includes a Global domain document, Domino can receive mail for multiple Internet domains. To determine whether to accept a message, Domino compares the domain part to the local primary Internet domain listed in the Global domain document. If it does not find a match in this field, it examines the secondary Internet domains -- the "alternate Internet domain aliases" -- listed in that document.

Ich würde dann mal behaupten, dass das schon Sinn macht und auch in diesem Fall erforderlich ist..

  MOD

[Freem@n]

Tja, und ich bin jetzt irgend wie total raus.

Gehirn entknot und nochmal drüber nachdenk, aber dennoch keine Lösung zum Problem finde.

Wüßte ich, warum es vorher funktionierte und jetzt nicht mehr, hätte ich ja die Lösung für mein Problem.

Trotzdem Dank für Eure jHilfe 

[Semeaphoros]

Nein, macht keinen Sinn, S1 und S2 empfangen Notes-Mails von S3, keine Internet-Mails

[Freem@n]

Stimmt, so war es gedacht und so lief es auch bis vor kurzem.

Sollte ich eine Lösung finden, werde ich es Euch wissen lassen.

[MOD]

Nein, macht keinen Sinn, S1 und S2 empfangen Notes-Mails von S3, keine Internet-Mails

Ist das wirklich so?

... an Server 3, der sich in einer DMZ befindet, geroutet.

  MOD

[Semeaphoros]

Nein, macht keinen Sinn, S1 und S2 empfangen Notes-Mails von S3, keine Internet-Mails

Ist das wirklich so?

Die Konfig ist dann am sichersten, wenn S3 SMTP sendet und empfängt und zwischen S3 und dem Cluster S1/S2 NRPC verwendet wird. Und genau das war hier ganz offensichtlich der Sinn der Sache. Wenn S1/S2 in irgendeiner Weise für SMTP konfiguriert wird, macht S3 nicht mehr wirklich Sinn, oder nur noch für einen Weg Sinn, was dann aber wiederum eine sehr merkwürdige Konfiguration darstellen würde. Für einen reinen SMTP-Relay in der DMZ gibt es sinnvollere Server als ein Domino


PS: solche Konfigurationen sprechen für Deinen Alias: MOD ..... das sind tatsächlich potentielle Desaster-Konfigurationen

[Freem@n]

Also, ich probiere das nochmal in einem kurzen Satz zusammenzusafassen.

Nur S3 ist für SMTP Konfiguriert, S1 und S2 nicht. Macht ja, wie schon erwähnt wurde, keinen Sinn. Die Grundidee war, S1 und S2 seperat (intranet) von S3 (DMZ) zu halten. S3 übernimmt SMTP und ist somit "Empfänger" und "Lieferant" für S1 und S2 und Schnittstelle zum Internet. Ebenso aber auch die Schnittstelle für die im Moment noch kleine Usergruppe an "Traveling Usern" die über S3 die Möglichkeit haben sollen, ihre Postfächer zu replizieren.

Das war die Theorie und so wurde es ursprünglich auch umgesetzt und die Funktion vor dem eiogentlichen "go Live" meherere Wochen erfolgreich getestet.

[MOD]

PS: solche Konfigurationen sprechen für Deinen Alias: MOD ..... das sind tatsächlich potentielle Desaster-Konfigurationen

Da stimme ich dir vollkommen zu, aber ich war es wirklich nicht. Ich verspreche. 

  MOD

[Semeaphoros]

Ja klar, Markus, Dein Alias und Unterschrift waren hier gerade so sehr verlockend .... da konnte ich nicht widerstehen .... 

Es ging vor allem darum, den Lesern klar zu machen, dass so etwas wenn immer möglich zu vermeiden ist, sagt auch, warum ich oben von "Spezialkonfigurationen" (oder so ähnlich) gesprochen habe.

Freem@n: Hier bei uns läuft das genau so und seit Jahren stabil.

[Freem@n]

Ich denke, so wie es bei Euch läuft und bei mir angedacht war, macht es ja auch Sinn.

Ich hab aber nochmal ne andere Frage, die mir eben so in den Sinn kam, nachdem ich zum x-ten male heute die F SMTP D geändert habe.

Sind diese Dokumente, Foreign SMTP Domain, Global Domain etc nicht sozusagen "eigenständig"?
Was ich meine ist, sollten diese Dokumente, guckt man sie sich mit dem Admin Client an, nicht immer gleich sein, egal auf welchen Server ich gerade zugreife? (Oder hab ich da mal wieder was falsch verstanden?)
Sprich, ich wähle im Admin Client S1 aus, betrachte mir die Einträge der F SMTP D, wechsel dann auf S3 und erwarte, daß dort exakt die selben Einträge vorhanden sind.

Sollte dem nicht so sein, habe ich wohl zumindest einen Teilbereich des Problems gefunden.

[Semeaphoros]

Wie schon gesagt, die F SMTP D ist nur in der internen Domäne anzuwenden und GD in der DMZ, beide in der gleichen Notes-Domäne ist in diesem Falle falsch. Da S1 und S3 nicht in der gleichen Notes-Domäne sind, können sie gar nicht dieselben Dokumente haben.

[Freem@n]

Danke,

damit ist die Münze dann auch bei mir gefallen  .

Klar, in meiner Hektik wollte ich schnellstmöglich ne Problemlösung und hab weniger auf die doch wichtigen Kleinigkeiten (richtigen Server auswählen) geachtet und einfach drauf los geändert (man wusste ja eigentlich schon, wo man ansetzen muss).

Sachstand jetzt: Nachdem ich nach dem Mittag frisch gestärkt noch mal an die Problematik ran gegangen bin und da auch die Unterschiede der Dokumente zwischen den Servern feststellte, habe ich an der richtigen Stelle geschraubt (S3) und damit das Problem (vorerst) behoben.

Ich lasse mich mal überraschen, wie es morgen Früh aussieht.

Ausserdem bedanke ich mich an dieser Stelle nochmals für die Tatkräftige Unterstützung.