编辑:这不是一个关于DDOS的问题,而是一个关于如何解决仅影响Outlook Anywhere Mac客户端的技术问题的问题。
现在已经知道问题和解决scheme,但是我不能在这里链接它,因为一些堆栈交换限制的愚蠢的原因。 我可以build议使用谷歌search:“任何地方我们可以使用的命令”,你应该find在charlietree.com描述的问题和解决scheme
原来的问题如下…
我不是Mac用户,也不是Windowspipe理员,所以请原谅我,如果我没有正确的命名,但我想帮助另一个pipe理员。
我们运行Active Directory和Exchange 2010.我们的Internet顶级域名服务器是带绑定的Linux。 像ad.example.com这样的子域名是AD,Exchange等的域名
为了防止AD上的DNS服务被DNSreflectionDDOS攻击方法所滥用,端口53在防火墙处被阻塞。 它具有阻止站点用户使用Mac Outlook与Exchange同步的function。
阻止端口53似乎是唯一的出路,因为在Windows DNS上禁用recursion会导致无法访问外部世界,与Bind不同的是,没有像视图这样的function。
其他网站发现这是一个问题,或者它暗示的configuration问题?
pipe理员提到,跟踪时,连接信息(可能与自动发现)回来了,像exchange.ad.example.com地址,而交换服务器也被称为像exchange.example.com地址。 他不确定在configuration中是否有一些地方来解决这个问题。 这个想法是,如果我们可以从主机名中获得“广告”,Mac Outlook客户端就不需要和AD上的DNS通话。
我们的目标:阻止AD的DNS服务器遭受DDOS滥用。
我们的问题: Mac Outlook客户端需要在脱离站点时访问AD的DNS。
对于你为什么要做53端口块的操作,我仍然有点遗憾。 您的防火墙内部的DNS应该没有任何理由暴露在互联网上,所以您有权在防火墙上阻止入站端口53。 您的外部DNS应为您的外部(面向互联网)域名提供名称parsing,包括autodiscover.domain.com。
我觉得你太过复杂了。
Exchange可以设置为使用Outlook Anywhere和智能手机使用的相同自动发现方法轻松处理运行Outlook 2011的Mac客户端。
您只需设置正确的证书,确保Outlook Anywhere的内部和外部URL是正确的,并确保允许正确的端口(80/443)通过防火墙到Exchange服务器,并且身份validation已设置适用于Outlook Anywhere。
完成此操作后,您可以通过www.testexchangeconnectivity.com上的testing确认所有设置都正确,那么configuration在此时运行Outlook的Mac客户端应该没有问题。
一些url可以帮助您:
http://technet.microsoft.com/en-us/library/bb201695%28v=exchg.141%29.aspx
http://exchangeserverpro.com/how-to-configure-exchange-server-2010-outlook-anywhere/