• Познакомьтесь с пентестом веб-приложений на практике в нашем новом бесплатном курсе

    «Анализ защищенности веб-приложений»

    🔥 Записаться бесплатно!

  • CTF с учебными материалами Codeby Games

    Обучение кибербезопасности в игровой форме. Более 200 заданий по Active Directory, OSINT, PWN, Веб, Стеганографии, Реверс-инжинирингу, Форензике и Криптографии. Школа CTF с бесплатными курсами по всем категориям.

Проблема С Передачей Почты С Одного Domino Сервера На Другой.

  • Автор темы lemuriez
  • Дата начала
L

lemuriez

Здравствуйте!
Необходимо перевести пользователей с сервера domino1 на сервер domino2. Сервера в кластере.
Изменил в Person Документе почтовый сервер пользователя, изменил сервер в месте вызова.
На всякий случай отключил базу на старом сервере (Out of Service).
Внутри почта ходит между пользователями разных серверов, а снаружи на domino1 все приходит, а при попытке передать с него сообщение на domino2 вываливается ошибка и письмо возвращается отправителю.

Вот лог с сервера domino1:

Код:
10.07.2013 15:20:10  SMTP Server: mailrelay.host.ru (123.123.123.123) connected
10.07.2013 15:20:10  SMTP Server: Message 003E458F (MessageID: <3556adba4656@ext.ru>) received from mailrelay.host.ru (123.123.123.123) size 11102 bytes
10.07.2013 15:20:10  SMTP Server: mailrelay.host.ru (123.123.123.123) disconnected. 1 message[s] received

10.07.2013 15:20:11  Router: Transferring mail to domino2/lotusdomino/ru via Notes
10.07.2013 15:20:11  Router: No messages transferred to domino2/lotusdomino/ru via Notes

10.07.2013 15:20:11  Router: Error transferring message 003E458F via Notes to domino2/lotusdomino/ru mail.box OF932BEC11:07AD8813 ON44257BA4:003E458F Maximum hop count exceeded. Message probably in a routing loop.

10.07.2013 15:20:11  Router: Transferring mail to domain mailrelay.host.ru (host mailrelay.host.ru [123.123.123.123]) via SMTP
10.07.2013 15:20:11  Router: Transferred 1 messages to mailrelay.host.ru (host mailrelay.host.ru) via SMTP

Подскажите, в какой настройке роутера что подкрутить? Уже голову сломал. :rolleyes:
 

puks

Lotus Team
03.02.2007
1 919
55
BIT
3
А почему если они в кластере нужно получать на domino1 и раутить на domino2.

Надо сразу получать на domino2.

Да и раутить на domino2 не надо вообще. Кластерный сервер должен все сразу же получить через кластерную репликацию.
 
L

lemuriez

У них не очень правильный кластер. domino1 имеет возможность получать почту снаружи, а domino2 не имеет. В перспективе все пользователи должны мигрировать на domino2, а первый сервер отключится и уедет на другую площадку, где будет в кластере с другим сервером, но сделать этого сейчас не могу, потому что пользователи не могут получать почту на второй сервер.
А проблема в том, что как только я меняю в персон-документе сервер на domino2 внешняя почта к этому пользователю перестает ходить.
 

lmike

нет, пердело совершенство
Lotus Team
27.08.2008
7 933
609
BIT
178
а там случаем задача router не остановлена?
 

ToxaRat

Чёрный маг
Green Team
06.11.2007
3 332
42
BIT
0
больше похоже что нету форейн домена и конекшена чтобы роутер знал что пулять нужно через 1й
 

puks

Lotus Team
03.02.2007
1 919
55
BIT
3
Я так и не понял.

Сервера все еще в кластере?
Реплики почтовых баз пользователей на двух серверах?

Если да, то зачем вообще раутить.
 

Мыш

Lotus Team
12.02.2008
1 213
29
BIT
43
Судя по этому, серверы друг другу почту кидают до посинения. Такое бывает, если, скажем, в одной реплике АК у пользователя указан mail server'ом Domino1, а в другой - Domino2.
 
B

Baneslaer

пишет, что превышено кол-во хопов...

Значит надо смотреть:
1. Cost маршрута в конекшененах, для тогочтобы письмо летело по самому короткому маршруту
2. Разрешенное кол-во хопов в месаджинг документе. Я обычно ставил 25 и проблем таких не возникало никогда.
 
B

Baneslaer

а вообще зайди на свой релей - mailrelay.host.ru и поищи в логах куда ушло письмо с Id = 003E458F...
Если оно ушло с ваших серверов в мир, то пробуй увеличить кол-во хопов или связаться с админом той компании куда оно ушло, сообщив ему время и айди письма.
 
L

lemuriez

Router поднят, потому что внутреннюю почту сервера между собой передают (часть пользователей живет на domino1, а часть на domino2).
Реплики книг проверил - одинаковые.

А где указывается количество хопов и кост маршрутизатора?

Добавлено:
а вообще зайди на свой релей - mailrelay.host.ru и поищи в логах куда ушло письмо с Id = 003E458F...
Если оно ушло с ваших серверов в мир, то пробуй увеличить кол-во хопов или связаться с админом той компании куда оно ушло, сообщив ему время и айди письма.

Это письмо, которое уходит отправителю с ошибкой маршрутизатора вида:
DELIVERY FAILURE: Error transferring to domino2/lotusdomino/ru...

Опять же не понятно, почему он от второго сервера ответ получает... В релее внешний почтовик указан только на первом домино.
 
B

Baneslaer

>Lemmi

что-то ты все запутал!
Давай по порядку, чтобы разобраться что к чему.

1. Ты оправляешь письмо с сервера domino1. Кто получатель это письма? Внешняя организация и пользователь с сервера domino2?
2. Письмо с сервера domino1 отправляется на релей mailrelay.host.ru
3. Вскоре приходит аутлуп, что письмо недоставлено на сервер domino2. У пользователей на сервере domino2 тотже домен, что и у пользователей на сервере domino1?

4. Запусти трассировку отправления письма с сервера domino1 пользователю на сервере domino2 и результат кинь сюда.
Так как кроме всего есть подозрение, что могут быть закрыты порты. С релеем domino2 должен общаться по 25 порту, а с domino1 по NRPC.
Т.е. должны быть открыты порты tcpip 1352 между domino1 и domino2 в обе стороны, а также между domino2 и релеем 25 порт в обе стороны.
Кроме того на релее дожно быть разрешено получать почту с domino2(это при завершении переноса пользователей).
А также на domino2 должна быть запущена задача SMTP и настроен конекшен в сторону релея.
 
B

Baneslaer

Если еще и кластер НЕПРАВИЛЬНЫЙ и нет одноименной сети, то еще в АК добавь документ Конекшен между domino1 и domino2.
Соурс и дестинайшен домен в этом конекшене указываешь один и тотже, если домен у пользователей при переносе не изменялся
 

Мыш

Lotus Team
12.02.2008
1 213
29
BIT
43
Это письмо, которое уходит отправителю с ошибкой маршрутизатора вида:
DELIVERY FAILURE: Error transferring to domino2/lotusdomino/ru...

Опять же не понятно, почему он от второго сервера ответ получает... В релее внешний почтовик указан только на первом домино.
Судя по логу, дело происходит так: domino1 получает почту от релея, пытается ее перенаправить на domino2, это у него не получается (Error transferring message 003E458F via Notes to domino2/lotusdomino/ru) и domino1 возвращает ошибку о невозможности доставки это письма обратно на релей. Скажите, а Вы весь лог по данному сообщению приложили или выборочно?
А где указывается количество хопов
Документ Configuration сервера -> Router/SMTP -> Transfer controls -> Maximum hop count
А стоимость соединения в док-те Connection между серверами.
 
L

lemuriez

>Lemmi

что-то ты все запутал!
Давай по порядку, чтобы разобраться что к чему.

1. Ты оправляешь письмо с сервера domino1. Кто получатель это письма? Внешняя организация и пользователь с сервера domino2?
2. Письмо с сервера domino1 отправляется на релей mailrelay.host.ru
3. Вскоре приходит аутлуп, что письмо недоставлено на сервер domino2. У пользователей на сервере domino2 тотже домен, что и у пользователей на сервере domino1?

4. Запусти трассировку отправления письма с сервера domino1 пользователю на сервере domino2 и результат кинь сюда.
Так как кроме всего есть подозрение, что могут быть закрыты порты. С релеем domino2 должен общаться по 25 порту, а с domino1 по NRPC.
Т.е. должны быть открыты порты tcpip 1352 между domino1 и domino2 в обе стороны, а также между domino2 и релеем 25 порт в обе стороны.
Кроме того на релее дожно быть разрешено получать почту с domino2(это при завершении переноса пользователей).
А также на domino2 должна быть запущена задача SMTP и настроен конекшен в сторону релея.

Оба сервера в одноименной сети и в кластере.
Пользователи, живущие на одном сервере переписываются с пользователями, живущими на другом. Наружу сообщения отправляют пользователи с любого сервера без проблем. Проблема с получением внешней почты пользователями на domino2, а именно с передачей внешнего письма с domino1 на domino2. Такая передача необходима, так как mailrelay.host.ru (это тоже наш сервер в DMZ на postfix) передает почту только на domino1.
Домен у всех один.

Добавлено:
Судя по логу, дело происходит так: domino1 получает почту от релея, пытается ее перенаправить на domino2, это у него не получается (Error transferring message 003E458F via Notes to domino2/lotusdomino/ru) и domino1 возвращает ошибку о невозможности доставки это письма обратно на релей. Скажите, а Вы весь лог по данному сообщению приложили или выборочно?

Документ Configuration сервера -> Router/SMTP -> Transfer controls -> Maximum hop count
А стоимость соединения в док-те Connection между серверами.

Лог весь. Сейчас попробую количество петель увеличить. Спасибо.
 
B

Baneslaer

>> еще в АК добавь документ Конекшен между domino1 и domino2.
>> Соурс и дестинайшен домен в этом конекшене указываешь один и тотже, если домен у пользователей при переносе не изменялся

Добавь такой документик.

>>4. Запусти трассировку отправления письма с сервера domino1 пользователю на сервере domino2 и результат кинь сюда

и вот это ждем
 
L

lemuriez

Все заработало. Видимо звезды как-то иначе сегодня встали.

Трассировка: Mail Trace Message
направленная: Lemmi/lotusdomino/ru@lotusdomino
доставлена на сервер: domino2/lotusdomino/ru
дата: 11.07.2013 13:16:40

domino1/lotusdomino/ru
domino1/lotusdomino/ru
domino2/lotusdomino/ru

Трассировка: Mail Trace Message
направленная: Lemmi/lotusdomino/ru
доставлена на сервер: Lemmi/lotusdomino/ru
дата: 11.07.2013 13:16:40

domino1/lotusdomino/ru
domino2/lotusdomino/ru
domino2/lotusdomino/ru

Что сделал:
Пересоздал конекшен документы между domino1 и domino2. Тип установил Mail Routing.
Увеличил количество хупов.

Правда хупы потом вернул обратно.

Вопрос: Как долго применяются конекшен документы? Дело в том, что после того как все заработало, я вернул хупы и удалил конекшены. После этого на всякий случай реплекнул адресную книгу, и на обоих серверах перезапустил роутеры. Сломалось все примерно через полчаса. Когда вернул все обратно и перезапустил роутер, починилось все сразу. Второй раз этот опыт повторить не получилось. Я так и не понял, что же именно на это влияло.
 
B

Baneslaer

Наличие конекшен документа влияет.

Параметры применяются после репликации АК и перезапуска задачи роутера сразу или без перезапуска задачи роутера на протяжении получаса - связано с тем, что пока отреплицируются АК и пока роутер обновит таблицы роутинга, а обновляет он их как правило каждые 5 минут
 
L

lemuriez

Наличие конекшен документа влияет.

Параметры применяются после репликации АК и перезапуска задачи роутера сразу или без перезапуска задачи роутера на протяжении получаса - связано с тем, что пока отреплицируются АК и пока роутер обновит таблицы роутинга, а обновляет он их как правило каждые 5 минут

Ну вот уже третий час работает без конекшена... Блин, странно все это. Когда же снова все перестанет работать.
А количество хупов значит не причем?

Добавлено:
хммм.. А ЧТО там до этого было???

До этого был и роутинг и репликация. А зачем конекшены на репликацию между кластерными серверами?
 

Мыш

Lotus Team
12.02.2008
1 213
29
BIT
43
Ну вот уже третий час работает без конекшена...
Без connection и будет работать, если серверы находятся в одной NNN и резолвят имена друг друга (через DNS, hosts и т.п.)
А зачем конекшены на репликацию между кластерными серверами?
Не нужны, вроде.
ЗЫ. А не прочекать ли АК оффлайн по полной (FCU), причем, обе реплики? Мож, битый вид где затесался али документ? ЗЫ. Не забудьте сделать резервные копии перед этим.
 
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!