Raffi 0 Geschrieben 11. Januar 2014 Melden Teilen Geschrieben 11. Januar 2014 Hallo Forum, ich bin Ralf, 47 Jahre alt und Systemadministrator in einer Behörde mit einer W2k8 R2 Domäne. Die Migration des AD von 2003 auf 2008 verlief ohne Probleme, seit vorgestern ist der Exchange 2003 auch abgeschaltet (erst einmal) und der Ex2010 hat alle Aufgaben übernommen. Ein kleines Problem existiert allerdings, habe schon das Internet umgegraben und finde keinen Hinweis in die richtige Richtung. Bei der alten Serverconfig gab es einen Sendeconnector für Mailempfänger in benachbarten Behörden. Dieser Connector war durch die entsprechenden Einträge für die übermittlung zu diesen Empfängern zuständig. Wollte ein Mitarbeiter eine Mail ausserhalb des Behördennetzes versenden (z.b. web.de, gmx.de) musste er in Outlook das dafür eingerichtete Internet-Mailkonto auswählen. Dieses als POP3 eingerichtete Konto zeigt auf einen Hmail-Server in der DMZ der damit quasi als Senderelay für internetmail missbraucht wurde. Durch dieses Konstrukt wurde bisher sehr erfolgreich verhindert, das ein Mitarbeiter vertrauliches versehentlich nach "extern" versendet. Wenn, muss er das bewusst durch Auswahl des entsprechenden Kontos tun denn das Standardkonto ist das eigene Exchangekonto. Vergass er die Kontoauswahl, bekam der Anwender sofort einen NDR vom alten Ex2003, die Nachricht kann nicht zugestellt werden. Beim neuen Ex2010 kommt der NDR auch, allerdings 2 Tage später. Die Mail bleibt so lange in der Warteschlange für nicht zustellbare Mails und hat 2 Tage Ablaufzeit. Der Fehlertext sinngemäß: für diesen externen Empfänger ist kein Sendeconnector vorhanden. Damit hat Exchange recht, wie aber und vor allem wo kann ich Einfluss auf die Zeitspanne nehmen. Der Anwender soll, wie beim alten Server, direkt erkennen das er vergessen hat, das richtige Konto zu wählen. Über Transportregeln finde ich keine rechten Hinweise oder Bedingungen die passen könnten, oder ich bin einfach zu blind :-) Lg Raffi Zitieren Link zu diesem Kommentar
RobertWi 81 Geschrieben 11. Januar 2014 Melden Teilen Geschrieben 11. Januar 2014 Moin, ich würde spontan sagen, dass es dafür keine einfache Lösung in Exchange gibt. Die Logik ist: Solange es keinen expliziten Fehler gibt, probiere ich es weiter. Der Zeitraum, über den probiert wird, kann man leider nicht einzeln ändern, der gilt für die gesamte Organisation. Du könntest z.B. einen *-Connector einrichten und den auf nicht existenten Smarthost (mit FQDN am besten aus Deiner Domäne) zeigen lassen. Wenn der DNS einen authorativen Fehler zurückgibt, könnte es sofort einen NDR geben. Oder Du lässt vom *-Connector die Mails an einen Mailserver in Deinem Bereich einliefern, der aber diese Mails mit Fehler ablehnt. Andersrum solltest Du Dir aber auch überlegen, ob der Aufwand den Nutzen rechtfertigt. Du hast mehrere Mail-Server, die Du pflegen musst. Wenn Mails nachvollzogen werden müssen ("warum ist die Mail nicht angekommen"), musst Du auf verschiedenen Servern suchen. Und was bringt Euch das? Am Ende Nichts. Denn alles, was der Benutzer machen muss, ist ein anderes Outlook-Konto zu wählen. Und bitte nicht argumentieren, dass das ja dann absichtlich und bewusst so getan wird. Das sind Benutzer, die suchen grundsätzlich den Weg des geringsten Widerstandes und tun das selten "bewusst". Dann müsst ihr andere Maßnahmen ergreifen. Ich bin auch in einer Behörde mit gleiche Aufgabe, wie Du. Wir würden nie auf die Idee kommen, uns für quasi nicht existenten Nutzwert eine so hohe Komplexität einzuführen. Zitieren Link zu diesem Kommentar
Raffi 0 Geschrieben 12. Januar 2014 Autor Melden Teilen Geschrieben 12. Januar 2014 Danke für die schnelle Antwort und die Ideen. Die Stelle um die Ablaufzeit manipulieren zu können habe ich gefunden. Die Idee mit dem nicht existierenden Smarthost und dem DNS-Fehler gefällt mir aber wesentlich besser zumal das Verhalten genau dem entspricht, welches der 2003 an den Tag legte. Nur dort funktionierte es ohne zusätzlichen *-Connector. Ich werde berichten, ob es zum Erfolg führt. Deine Bedenken was den Administrativen Aufwand bezgl. des 2. Mailservers angeht kann ich gut nachvollziehen. Aber der Server mit dem Mailer "hmailer" ist als Front-Server in unserer DMZ eh schon immer vorhanden gewesen. Als C#-Programmierer habe ich mir die nötigen Tools die mir die überwachung der Serverlandschaft erleichtern selbst geschrieben sofern nicht schon mit Bordmitteln realisierbar. Und was die Benutzer angeht: In diesem Punkt sind unsere Benutzer froh, im Eifer des Gefechtes nicht versehentlich etwas vertrauliches nach "aussen" schicken zu können, z.b im Rahmen von "allen Antworten" ohne genau zu schauen wer denn dabei ist. Anhand der Warteschlange bei dem neuen Mailserver sehe ich erstmal, wie schusselig unsere User teilweise sind :-) Aber trotzdem natürlich vielen Dank für die Hinweise. Gruß, Raffi Zitieren Link zu diesem Kommentar
RobertWi 81 Geschrieben 13. Januar 2014 Melden Teilen Geschrieben 13. Januar 2014 Es ist korrekt, dass sich das Standard-Sendeverhalten geändert hat. Ex 2003 hat direkt munter ins Internet gesendet, Ex 2007 und höher brauchen zwingend einen Connector. Zitieren Link zu diesem Kommentar
Raffi 0 Geschrieben 13. Januar 2014 Autor Melden Teilen Geschrieben 13. Januar 2014 Ok, da habe ich dann auch die Erklärung für das Verhalten des alten 2003. Habe heute morgen den Fake *-Connector konfiguriert und nun habe ich meinen gewünschten NDR innerhalb von 5 sek. Danke für die Hilfe und Grüße aus dem Rheinland!! Raffi Zitieren Link zu diesem Kommentar
RobertWi 81 Geschrieben 13. Januar 2014 Melden Teilen Geschrieben 13. Januar 2014 Prima, danke für das Feedback! Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.