编辑:这不是关于 DDOS 的问题,而是关于如何解决仅影响 Outlook Anywhere 的 Mac 客户端的技术问题的问题。
问题和解决方案现在已经为人所知,但由于 stackexchange 限制等愚蠢原因,我无法在此处提供链接。我建议你谷歌搜索:“outlook 我们可以随时随地使用 Commandlet”,你应该可以在 charlietree.com 上找到问题和解决方案
原始问题如下...
我不是 Mac 用户,也不是 Windows 管理员,所以如果我没有正确使用术语,请原谅我,但我正在尝试帮助另一位管理员。
我们运行 Active Directory 和 Exchange 2010。我们的 Internet 顶级域名的名称服务器是带有 Bind 的 Linux。子域名(如 ad.example.com)是 AD、Exchange 等的域名。
为了防止 AD 上的 DNS 服务被 DNS 反射 DDOS 攻击方法滥用,防火墙封锁了端口 53。其效果是阻止使用 Mac Outlook 的场外用户与 Exchange 同步。
阻止端口 53 似乎是唯一的办法,因为在 Windows DNS 上禁用递归会导致无法访问外部世界,而且与 Bind 不同,没有视图之类的功能。
其他网站是否发现这是一个问题,或者这是否暗示存在配置问题?
管理员提到,在跟踪时,连接信息(可能带有自动发现)返回的地址类似于 exchange.ad.example.com,而 Exchange 服务器也称为 exchange.example.com 这样的地址。他不确定配置中是否有某个地方可以修复这个问题。我们的想法是,如果我们可以从主机名中去除“ad”,那么 Mac Outlook 客户端就不需要与 AD 上的 DNS 通信了。
我们的目标:阻止 AD 的 DNS 服务器遭受 DDOS 滥用。
我们的问题:Mac Outlook 客户端在异地时需要访问 AD 的 DNS。
答案1
我仍然不太理解你为什么要封锁 53 端口。防火墙内的内部 DNS 不应该暴露在互联网上,因此你在防火墙上封锁 53 端口入站的做法是正确的。外部 DNS 应该为外部(面向互联网)域名提供名称解析,包括 autodiscover.domain.com。
我认为你把事情复杂化了。
可以设置 Exchange 来轻松处理运行 Outlook 2011 的 Mac 客户端,使用与 Outlook Anywhere 和智能手机相同的自动发现方法。
您只需设置正确的证书,确保 Outlook Anywhere 的内部和外部 URL 正确,并确保正确的端口 (80/443) 被允许通过防火墙进入 Exchange 服务器,并且为 Outlook Anywhere 设置了身份验证。
完成此操作后,您可以通过 www.testexchangeconnectivity.com 上的测试确认所有设置都正确,此时配置运行 Outlook 的 Mac 客户端应该不会遇到任何问题。
以下 URL 可为您提供帮助:
http://technet.microsoft.com/en-us/library/bb201695%28v=exchg.141%29.aspx
http://exchangeserverpro.com/how-to-configure-exchange-server-2010-outlook-anywhere/