Exchange的边缘服务器虽然是防病毒和防垃圾的官方网关角色,但功能有限造成防病毒和防垃圾过滤效果一般,使得大部分客户都使用第三方的防病毒和防垃圾方案。而硬件网关是其中一种方式,通过修改MX记录,把所有收到的邮件通过这个网关过滤后再转发给内部的Exchange。
摄于2016年11月13日美国阿拉斯加州德纳利国家公园
最近有一个客户也上线了某品牌的反垃圾网关,在测试过程中,发现反垃圾邮件网关中存在大量没有转发到内部的排队邮件队列,客户联系我们咨询相关处理方案。
分析发现队列出现下面的错误:
4.3.2 The maximum number of concurrent connections has exceeded a limit, closing transmission channel。
从网关的队列的提示错误信息中,初步判断是邮件网关往内部Exchange发送邮件的频率超过Exchange的限制造成。到底是哪一个限制呢?针对这个问题可以参考之前推送过的《答疑 如何配置Exchange用户邮件发送频率限制?》,我在这篇答疑的最后,介绍大家查看下面一篇TechNet的资料:
邮件限制
http://t.cn/RpZjyec
在是客户Exchange服务器上尝试查找,发现以下日志:
日志名称:应用程序
事件ID:1021
警告信息:
接收连接器Default Frontend Server1 拒绝了一个来自IP地址:192.168.98.220的传入连接。对于此源IP地址的连接器来源,已经达到每个源的最大连接数(20)
根据上述警告信息,结合邮件限制资料中信息,确定问题的原因是因为同一个反垃圾网关做为一个来源IP,往Exchange的转发邮件,超过了接收连接器的MaxInboundConnectionPerSource值(默认值为20),如下表:
处理的方法是对网关转发连接的服务器的接收连接器修改为需要的值,比如Unlimited,命令如下:
Get-ReceiveConnector -Server Server1 Set-ReceiveConnector -MaxInboundConnectionPerSource Unlimited
通过以下命令查询修改结果:
Get-ReceiveConnector -Server Server1 fl Name,MaxInboundConnectionPerSource
确认修改完成后,重启相关前端传输或传输服务,检查网关的队列是否减少直至解决。
另外,在协助客户处理这个问题的同时,邮件网关的工程师,也提供了通过以下的资料链接:
http://t.cn/RQwfEVi
主要是建议创建专用接收连接器并配置完全信任的“外部保护”的选择,并指定允许连接的IP为网关的IP。但个人认为这个方法,需要结合客户环境,比如本例中如果网关转发的内部Exchange服务器指向CAS的NLB所用IP,所以无法创建专用的连接器,只就能使用专用的端口了。所以,有关这个方法,大家可以根据环境具体尝试。
领取专属 10元无门槛券
私享最新 技术干货