Outlook para Mac, Active Directory DNS e DDOS

2

Editar: Esta não é uma pergunta sobre o DDOS, mas uma pergunta sobre como resolver um problema técnico que afeta apenas os clientes Mac do Outlook em Qualquer Lugar.

O problema e a solução são agora conhecidos, mas não posso vinculá-lo aqui por algum motivo estúpido dos limites do stackexchange. Eu posso sugerir googling: "outlook em qualquer lugar que conseguimos usar Commandlets" e você deve encontrar o problema e a solução descrita em charlietree.com

A pergunta original segue ...

Eu não sou usuário de Mac nem administrador do Windows, então me perdoe se eu não tiver o a nomenclatura correta, mas estou tentando ajudar outro administrador.

Executamos o Active Directory e o Exchange 2010. Os servidores de nomes da nossa Internet domínio de nível superior são Linux com Bind. Um subdomínio como ad.example.com é o domínio para AD, Exchange, etc.

Em uma tentativa de impedir que o serviço DNS no AD seja usado com abuso Método de ataque DDOS de reflexão do DNS, a porta 53 foi bloqueada no firewall. Ele tem o efeito de bloquear usuários do site com o Mac Outlook da sincronização com o Exchange.

A porta de bloqueio 53 parecia ser o único caminho a seguir, pois desativava a recursão no DNS do Windows faz com que falhas de acesso ao mundo exterior, e ao contrário Vincular, não há recursos como visualizações.

Outros sites estão encontrando isso como um problema, ou isso sugere um problema de configuração?

O administrador mencionou que, quando rastreada, as informações de conexão (talvez com autodiscovery) voltou com o endereço como exchange.ad.example.com, enquanto o servidor do Exchange também é conhecido como um endereço como exchange.example.com. Ele não tem certeza se há algum lugar na configuração para consertar isso. A ideia Sendo que se conseguirmos retirar o "anúncio" do nome do host, o cliente do Mac Outlook não precisaria falar com o DNS no AD.

Nosso objetivo: para bloquear os servidores DNS do AD contra o abuso de DDOS.

Nosso problema: Os clientes do Mac Outlook exigem acesso ao DNS do AD quando estão fora do site.

    
por labradort 11.06.2013 / 16:48

1 resposta

4

Eu ainda estou um pouco perdido quanto à sua explicação de por que você está fazendo o que está fazendo com o bloco da porta 53. Seu DNS interno em seu firewall não deve ter nenhum motivo para estar exposto à Internet, portanto, você tem o direito de bloquear a porta de entrada 53 no seu firewall. Seu DNS externo deve fornecer resolução de nomes para o seu nome de domínio externo (com acesso à Internet), incluindo autodiscover.domain.com.

Eu acho que você está complicando demais as coisas.

O Exchange pode ser configurado para lidar com clientes Mac que executam o Outlook 2011 facilmente, usando os mesmos métodos de descoberta automática que o Outlook em Qualquer Lugar e smartphones usam.

Você simplesmente configurará o certificado apropriado, verifique se as URLs internas e externas do Outlook em Qualquer Lugar estão corretas e certifique-se de que as portas adequadas (80/443) sejam permitidas através do firewall para o servidor Exchange e que as a autenticação é configurada para o Outlook em Qualquer Lugar.

Depois de fazer isso, e você pode confirmar através do teste em www.testexchangeconnectivity.com que tudo está configurado corretamente, então você não deve ter problemas para configurar um cliente Mac executando o Outlook naquele momento.

Alguns URLs para ajudar você:

link

link

link

link

link

link

    
por 17.06.2013 / 15:39