Das Notes Forum
Domino 9 und frühere Versionen => Administration & Userprobleme => Thema gestartet von: dertoaster am 20.01.03 - 15:50:44
-
Hallo zusammen,
folgendes Problem habe ich.
1 Notes Domäne
1 Notes Netzwerk
3 Server
davon 1 Server in der DMZ
Auf dem Domino Server in der DMZ liegen von einigen Usern Maildatenbanken. Wollen diese nun Mails an User senden, deren Mail DBs im LAN, sprich hinter der DMZ liegen bleiben die Mails in der Mailbox hängen.
Nun habe ich ein Verbindungsdokment (Mail Routing) erstellt, das der Server, der hinter der DMZ im LAN liegt, sich alle 5 Min. die Mails des Servers in der DMZ über Router Type "PULL" holen soll.
Folgende Meldung erscheint auf der Konsole:
Router: Unable to open mailbox file SERVER/DOMAIN mail.box: Server not responding
Firewallmäßig darf der Server in der DMZ nichts ins LAN senden. Vom LAN in die DMZ ist der Notes Port freigegben.
Die Replikation von Datenbanken funtioniert einwandfrei. Wo liegt mein Fehler?
Danke und Gruß
Toaster
-
Yoo,
der Server in der DMZ muss die Mails mit "Push Wait" senden.
Das heißt Du richtest ein Verbindungsdokument DMZ -> LAN ein (Mail Routing) und setzt bei "Router type" eben "Push Wait".
Gruss ...
Hoshee
-
Danke für die Antwort Hoshee!
Wenn ich das richtig verstanden habe, brauch ich nur das eine Mailrouting Dokument Push Wait oder?
Gruß
Toaster
-
Yoo,
"Push Wait" in der DMZ und im LAN dann ein Verbindungsdokument mit "Nur Pull".
Gruss ...
Hoshee
-
danke, dann heisst das, dass ich für Mailrouting Verbindungen immer 2 Dokumente einrichten muss, anders als bei Replizierungsdokumenten!
Ich melde mich dann morggen, ob es geklappt hat!
Gruß
Toaster
-
Hi,
"Push Wait" in der DMZ und im LAN dann ein Verbindungsdokument mit "Nur Pull".
Falls der Server im LAN auch Mails an den DMZ Server schicken soll, dann sollte hier mit 'Pull / Push' gearbeitet werden.
Meff ;)
-
Hi zusammen,
es funktioniert noch nicht.
Nochmal zur Info:
Der Notes Port (1352) vom LAN in die DMZ ist offen. Damit die Server vom LAN in die DMZ Mails senden können brauch ich keinerlei Verbindungsdokumente, da sich die Server im selben Notes Netzwerk und in derselben Notes Domaine befinden.
Der Server in der DMZ darf Firewall mäßig nichts ins LAN senden. Die Replikation der Server funkitioniert ja, da immer ein Server aus dem LAN die Verbindung zu dem Server in der DMZ aufbaut. Nur das Mail Routing funktioniert noch nicht.
Im Mailrouting Dokument habe ich ist der Source Server= der in der DMZ, Destination Server=der im LAN.
Router Type=Push Wait.
Ein weiteres Dokument brauche ich meiner nach nicht, weil ja die Server im LAN in die DMZ senden dürfen!
Wo dran kann es denn noch hängen?
Gruß
Toaster
-
Hi Toaster,
wenn Du ein Push Wait Routing nutzt aber schon, da hier das Mailrouting von dem anderen Server angetriggert wird....
Meff ;)
-
Hi Meff,
wie sollte es deiner Meinung nach aussehen? Auf der Konsole bekomme ich die Meldung, Server ist not responding! DMZ>LAN?
Gruß
Toaster
-
Wie ist den dein Mailrouting jetzt konfiguriert ?
-
Der Server der in der DMZ steht heißt:
delnhd/zup/de_gp/europa
Der Server der hinter der DMZ im LAN steht heißt:
deln001/europa
Problem: Die Mails vom delnhd/zup/de_zup/europa bleiben in der mail.box hängen.
Der Notes Port 1352 ist von der DMZ ins LAN GESCHLOSSEN!
Beide Server sind in demselben Notes Netzwerk und in derselben Notes Domaine.
Im Moment ist nur ein Push Wait eingetragen. siehe Bild im Anhang!
-
2. Bild zur Konfiguration!
-
Und auf der LAN Seite ?
-
hier ist die LAN Config:
-
Config LAN die zweite:
-
Und das funktioniert nicht ? Hast Du den Router mal durchgestartet (auf beiden Servern) ? Was erhälst Du bei einem 'sh sched' ?
Meff ;)
-
Yoo,
hast Du denn an der FW geschaut, was da gedroppt wird?
Gruss ...
Hoshee
-
Nein, noch nicht, weil das eine andere Abteillung ist. Werde gleich mal hingehen.
Sind denn die 2 Konfigurationen richtig? Muss in der Firewall irgendein Port nach innen hin offen sein?
Auf der Konsole kommt folgende Fehlermeldung:
21.01.2003 13:33:53 Router: No messages transferred to DELN001/EUROPA via Notes: Server not responding
21.01.2003 13:33:58 Router: Unable to open mailbox file DELN001/EUROPA mail.box: Server not responding
-
Also das einfachste ist es immer, den Port 1352 zu erlauben, da Du dann wirklich keine Probleme haben solltest...
Meff ;)
-
Den Router task habe ich an beiden Servern neugestartet.
Die Firewall droppt die Pakete von der DMZ ins LAN, was auch logisch ist da ja kein Port nach innen ins LAN offen ist.
sh sched auf dem Server in der DMZ sagt folgendes:
21.01.2003 13:33:53 Router: No messages transferred to DELN001/EUROPA via Notes: Server not responding
21.01.2003 13:33:58 Router: Unable to open mailbox file DELN001/EUROPA mail.box: Server not responding
Den Port 1352 nach innen haben wir schon testweise offen gehabt. Dann läuft auch alles ohne Mailrouting Dokumente., weil ja selbes Notes Netzwerk und Domäne.
Aber das dauerhafte öffnen des Ports ist nicht gewünscht.
Gruß
Toaster
-
Also, ich habe eben nochmal in die Adminhilfe geschaut und dort steht folgendes :
Push/Wait to have your server wait until it gets a call from another server. When your server is called and receives a "pull request," then your server pushes messages to the other server.
Push Only (default) to have your server call another server and send any pending messages to the other server.
Pull Push to have your server call another server and send a pull request to the other server to send messages back, and send any pending messages to the other server. The other server will push any pending messages to your server.
Pull Only to have your server call another server and send a pull request. The other server will push any pending messages to your server.
Das heist also, dass der Port 1352 offen sein muss, da der abgebende Server die Mails an den Anforderer schickt, ich hatte das irgendwie missinterpretiert.
Meff ;)
-
Yoo,
der Vorteil der "Push Wait" / "Pull only" Methode ist, das wenn der Port offen ist, die Aktion immer von innen her getriggert wird.
D.h. der Server in der DMZ darf von sich aus nicht ins LAN greifen!
IMHO ist das schon RELATIV :P sicher.
Gruss ...
Hoshee
-
Oder kann ich dem guten Server in der DMZ sagen, dass er alles dort an den Relay Server weitergibt und der wierderum die Sachen an den Server ins LAN gibt???
Gruss Toaster
-
Warum ?!
Wo steht den der Relayserver ? Meinst Du nicht, es wäre einfacher den Port 1352 zu öffnen. In Abhängigkeit euerer Firewall kannst Du den Durchgriff über diesen Port ja beschränken, z.B. auf die beiden IP Adressen der Dominoserver.
Meff ;)
-
Der Relayserver steht auch in der DMZ! Aber kann ich dem Notes Server beibringen das er nicht im names.nsf nach Auflösung der Namen schaut, sondern die Mails halt über den Relayserver schickt. Wenn ich SMTP aktiviere versucht er doch normalerweise die Mails über SMTP zu versenden und nicht über NRPC. Aber er versucht auch direkt an den Server im LAN zu senden, halt nur über SMTP
Gruss
Toaster
-
Das heist also, dass der Port 25 zwischen der DMZ und dem LAN offen ist ? Falls dem so sein sollte, dann richte das Push Wait Routing doch so ein, dass die Mails per SMTP weitergesendet werden...
Meff ;)
-
Hi zusammen,
wir haben jetzt den Port 1352 in der DMZ ins LAN aufgemacht und die Push Wait/Pull Only Methode eingerichtet.
Die SMTP Methode haben wir ausgeschlossen, weil die Nachrichten dort ja wieder umkonvertiert werden und so Datenbanklinks usw. verloren gehen können.
Noch mal vielen Dank für eure Bemühungen und Unterstützung in diesem Fall!
Gruß
Toaster