上一篇文章講到：兩臺 Exchange Server 2016 郵件服務器配置了DAG（高可用集群）和NLB（網絡負載平衡），今天來講一下：（1）NLB需要做的交換機的配置；（3）防火墻策略的配置；（3）外網域名解析及檢測確認；（4）運營商IP反向解析的檢測。

思科交換機對接微軟NLB

多播的NLB配置完成后，在主域控制器上輸入owa網址，發(fā)現郵箱能正常登錄，于是交付給用戶。用戶測試時發(fā)現，OUTLOOK配置郵箱時提示：無法連接服務器。利用telnet命令檢查用戶到郵箱服務器的連接

telnet  10.1.5.31 143   *IP地址是NLB地址，143是IMAP的端口

結果是連接失敗，ping 10.1.5.31，也是不通。

可是ping 10.1.5.15和10.1.5.16是正常的，這兩個IP，是兩臺郵件服務器地真實IP。

很明顯，這是NLB不能跨網段訪問的問題，需要在核心交換機上做相應的配置，客戶使用的是思科C3750交換機，配置命令如下：

ip igmp snooping querier   *開啟IGMP偵聽

arp 10.1.5.31 0300.xxxx.xxxx arpa   *綁定NLB虛擬IP及MAC

注意，下接的二層交換機是不用進行此配置的。

經測試，NLB跨網段也能正常通訊了，用戶配置郵箱成功

華為防火墻配置NAT：在內網用公網IP訪問內部服務器

客戶的Wifi網段，只能訪問外網，DNS服務器的IP，被直接配置為運營商的IP，所以mail.domain.com被解析為外網的IP，配置郵箱時顯示無法連接服務器，這就需要在防火墻上配置NAT策略以及安全策略了

圖片中，192.168.11.0/24為Wifi網段，10.1.5.31是NLB虛擬的IP，NAT策略需要配置與之對應的安全策略。

域名解析及檢測確認

由于需要在WEB端登錄郵箱，所以無論內網還是外網，都需要做DNS解析，內網就在DNS服務器上配置，外網則需要在域名注冊商的管理后臺來做。

主機記錄值              解析類型               解析記錄值

mail                             A                   222.92.xx.146

@                                MX                mail.xxxxx.com

@                                TXT               v=spf1 include:_s.corp-email.com -all

驗證方法：

A記錄很簡單，ping mail.xxxxx.com，能解析出IP地址就表示生效了；

MX記錄，需要用nslookup命令來驗證：

運行 nslookup 命令，set type=mx，然后輸入域名，有結果就表示已經生效了；

TXT記錄，同樣需要用nslookup命令來驗證：

運行 nslookup 命令，set type=txt，然后輸入域名，有結果就表示已經生效了；

運營商反向解析的驗證

自建郵件服務器，公網IP需要做反向解析，筆者以為這是常識了，但是運營商的很多客戶經理還是不懂這是個什么業(yè)務，這次又解釋了好幾遍：正解是域名解析為IP，反解自然就是IP解析為域名啦。

運營商不確定需要幾天能生效，所以只能自己經常檢測是否已生效，生效之前應該禁止外發(fā)郵件，哪怕是回復也不行，因為筆者曾經遭遇過，回復了一兩封郵件，IP就被列 入黑名單了。

反解記錄，同樣用nslookup命令來驗證：

運行 nslookup 命令，set type=ptr，然后輸入IP，有結果就表示已經生效了；

經過以上一系列的配置后，郵件服務器才算正常工作了。