Доброе утро!

Помогите, плиз разобраться. Ситуация такая:

Новый домен, созданный с нуля - mynewdomain.com.

Три сервера - КД, Exchange Server 2003 SP2 и ISA Server 2004 - все на Windows Server 2003 R2 SP2.

Домен установился нормально. КД стал также DNS и DHCP сервером.

Потом начал ставить Exchange 2003. Тоже установился нормально, ForestPrep, DomainPrep и т.д. - все прошло гладко. Перезагрузился, начал создавать почтовые ящики. Все без проблем, почта начало нормально гулять внутри домена. Но при попытке отправить письмо наружу, оно застревает в Queues (очереди) с ошибкой "Unable to bind to the destination server in DNS". Повторные попытки ни к чему не приводят.

У себя на ДНС-сервере (который КД) создал записи MX для mailserver.mynewdomain.com в Forward Lookup Zone, а также PTR запись в Reverse Lookup Zones, который указывает на 192.168.X.X - внутренний адрес почтового сервера в локальной сети.

Помимо всего этого, у внешнего IP-адреса сервера прописана MX запись, которая указывает на mail.mynewdomain.com. Но мне кажется (хотя, возможно, я ошибаюсь) что тут дело вообще не доходит до внешней сетки со стороны ИСА для этого почтового сервера ограничения не установлены, разрешен выход в External.

Где, по-вашему, проблема - на внутреннем DNS или внешнем?
Что я могу делать не так? :confused:

со стороны ИСА для этого почтового сервера ограничения не установлены, разрешен выход в External. »
Тупо разрешен выход или же создано правило публикации SMTP сервиса? Это разные вещи.
Попробуйте извне зайти telnet ваш_внешний_адрес 25. Если появится приветствие EMSTP сервиса, то будем думать. Если нет, то публикации нет.

Пример:
telnet kts.kna.ru 25.......
220 kts.kna.ru Microsoft ESMTP MAIL Service, Version: 6.0.3790.3959 ready at We
d, 3 Dec 2008 16:47:31 +1000

Спасибо за ответ.

Тупо разрешен выход или же создано правило публикации SMTP сервиса? Это разные вещи »
ну пока что "тупо разрешен". но нужно конечно создать публикацию SMTP-сервера. думаете все-таки ИСА не пускает?

проверить, к сожалению, по телнету сейчас не смогу - сервер выключен :( вечерком тока...

есть еще какие-то предположения где-то что-то пересмотреть?

думаете все-таки ИСА не пускает? »
уверен.

ANR, если не сложно, дайте ваш электронный адрес почты , я проверю MX записи и прочее для более предметного разговора.

Delirium, Спасибо. Адрес почтового сервера я скинул в личку.

Delirium, продублиру плиз, я тоже поковыряю.
ANR, в Вашем внутреннем DNS нет необходимости создавать MX и PTR. Механизм маршрутизации почтового потока несколько другой в локальной сети. Главное - должны быть MX и PTR-записи на внешнем NS-сервере. И конечно же сервис должен быть именно опубликован. Посмотрите монитор ISA, отфильтровав по IP-адресу сервера почты и порту 25. Увидите причину блокировки траффика.

Oleg Krylov, вам тоже отправил айпи-адрес и домен.

По поводу ИСЫ я вроде смотрел мониторинг - туда вроде вообще сообщения не поступают. Вы вечером (после 18:00 МСК) будете в онлайне?

Буду.

Oleg Krylov, Вы здесь?

знаете я поковырялся в инете и решил, что проблема в том, что у меня мой ДНС сервер "не понимает" запросы на внешние ресурсы.

т.е. если в nslookup задать интернет-домен, то он не может его обработать. надо прописывать forward в DNS management - сделал. так все равно проблема не решилась...

Проверьте разрешен ли траффик с DNS наружу по TCP 53?
Он их понимает, видимо пробросить не может. Форвардинг куда настроен? Должен на NS провайдера.
Опять же смотрите в логах ISA почему стопорятся DNS Query?

Проверьте разрешен ли траффик с DNS наружу по TCP 53? »
в ISA посмотреть? Да там все разрешено с КД в Интернет.

Форвардинг куда настроен? Должен на NS провайдера. »
Да, на НС провайдера.

Опять же смотрите в логах ISA почему стопорятся DNS Query? »
не показывает мониторинг ничего по этому поводу :(

вот смотрите, что я получаю по nslookup

C:\Documents and Settings\sysadmin>nslookup
Default Server: dc.mynewdomain.com
Address: 192.168.60.2

> mail.ru
Server: dc.mynewdomain.com
Address: 192.168.60.2

DNS request timed out.
timeout was 2 seconds.
*** Request to dc.mynewdomain.com timed-out

смотрю тот домен, который на работе - точно-точно построен по этому же принципу, но не пойму почему дома не работает???

ipconfig /all с DNS-сервера покажите?
Попробуйте с него на NS провайдера зайти телнетом на 53 порт. Должен провалиться внутрь, но без банеров.

ipconfig /all с DNS-сервера покажите? »
C:\Documents and Settings\sysadmin>ipconfig /all

Windows IP Configuration

Host Name . . . . . . . . . . . . : domain-dc
Primary Dns Suffix . . . . . . . : mynewdomain.com
Node Type . . . . . . . . . . . . : Unknown
IP Routing Enabled. . . . . . . . : No
WINS Proxy Enabled. . . . . . . . : No
DNS Suffix Search List. . . . . . : mynewdomain.com

Ethernet adapter Local Area Connection:

Connection-specific DNS Suffix . :
Description . . . . . . . . . . . : Accelerated AMD PCNet Adapter
Physical Address. . . . . . . . . : 00-0C-29-43-CA-0A
DHCP Enabled. . . . . . . . . . . : No
IP Address. . . . . . . . . . . . : 192.168.60.2
Subnet Mask . . . . . . . . . . . : 255.255.255.0
Default Gateway . . . . . . . . . :
DNS Servers . . . . . . . . . . . : 192.168.60.2

а по телнету не подключается, Вы правы

C:\Documents and Settings\sysadmin>telnet 81.21.80.21 53
Connecting To 81.21.80.21...Could not open connection to the host, on port 53: Connect failed

значит ИСА? но я в ней разрешил весь трафик из ДНС сервера наружу!

Oleg Krylov, итак, проблема заключалась в том, что я просто тупо не прописал шлюз, как на КД, так и почтовом сервере.

Почта сразу уже после этого. Отправлял на gmail. Во-первых, все 3 письма сели в Спам-папку. Во-вторых, после того, как я отправил ответ уже прошло достаточно много времени, но письмо так и не пришло. Может быть, я как-то неправильно настроил публикацию почтового сервера? Имею ввиду в ИСА.

Во-первых, все 3 письма сели в Спам-папку »
Это как? Где?
DNS корректно настроен? PTR-запись есть? Представляется тем именем, на которое PTR указывает?
Пройдите DNS тест на http://tests.nettools.ru

Это как? Где? »
ну в почтовом ящике GMAIL есть свой фильтр спама. сомнительные письма он бросает в папку Spam.

PTR-запись есть? »
есть запись A и MX, но PTR- нету. Попросил чтобы прописали. Но афаик - PTR - не обязательное условия для функционированя почтовой пересылки.

Пройдите DNS тест на http://tests.nettools.ru »
Найдена MX запись: mail.xxxxxx.com (приоритет 10)
Найдена только одна MX запись.
Почтовый сервер: mail.xxxxxxx.com [81.21.XXX.XXX] приоритет:10
Почтовый сервер не отвечает.


:(

Плохо. Телнетом на 25 порт попадаете?

Oleg Krylov, неа :(

Думаете, ИСА не пускает?

хотя я и в мониторинге ИСЫ запрещенных коннекшенов не вижу...

Думаю. Попробуйте пересоздать правило публикации. У ISA внешний адрес белый статический? Или возможны варианты?

Oleg Krylov, все заработало!

проблема была в том, что сам IP смотрел на АДСЛ-модем, а он уже к серверу отдавал свой айпи. Поставил модем в режим моста - теперь он видит сервер по 25-му порту.

Только вот неувязка. К АДСЛ-модему подключены 2 компьютера и я не могу распределить интернет на них обоих когда он работает в режиме моста. Второй компьютер не имеет никакого отношения к домену и не является его членом. Как быть?