ТОП-10 популярных


НОУТБУК с блестящим экраном
Eсли выпустившая ноутбук фирма предлагает его в качестве «замены настольному ПК», то это должно подразумевать под собой нечто большее, чем...


Для работы с вещественными числами в MySQL предусмотрено три типа данных - это типы FLOAT, DOUBLE, DECIMAL. Числовой тип FLOAT...

Магнито-оптический дисковод DynaMO
Cейчас, когда традиционные флоппи-дисководы на долгие годы замерли в своем развитии, поиск альтернативных носителей продолжается, и ситуация, казалось бы, разрешилась...

БОЛЬШЕ БОЛЬШИХ LCD-мониторов
Процесс вытеснения с рынка мониторов с электронно-лучевой трубкой (CRT) продолжается. О смещении акцентов в пользу LCD-мониторов теперь заявляют даже те...

Больше больших LCD-мониторов
Процесс вытеснения с рынка мониторов с электронно-лучевой трубкой (CRT) продолжается. О смещении акцентов в пользу LCD-мониторов теперь заявляют даже те...


Какую только информацию мы не помещаем на компакт-диски: резервные копии важных данных, музыку, фильмы... Многие полагают, что главное - «купить...

Иди и пиши. TravelMate C100
Планшетный компьютер платформы Tablet PC обязан в первую очередь быть легким, способным достаточно долго работать без подзарядки батарей. Эти требования...

Размер объему не помеха.
С тех пор как компания Fujitsu отказалась от производства жестких дисков для настольных компьютеров, многие пользователи начали забывать о том,...

ПОД ЛИТЕРОЙ «N»
Aтаку LCD-мониторов не остановить, а масштабы этого наступления даже немного пугают. Судите сами — многие пользователи только начинают приглядываться к новому для...

Internet2, или cтарые песни о новом
Когда-то на заре Интернета, тогдаеще военно-научной сетиAPRAnet, были заложены основныепринципы функционирования«Сети сетей». В их числе — использованиепротокола, называемого сейчасIPv4. В...

Microsoft Exchange Server 2003. Настройка брандмауэра для внешних серверов


28-12-2009

Чтобы использовать внешние и внутренние серверы с брандмауэрами, внешний сервер должен иметь возможность запускать процесс соединения с внутренним сервером. Если внешний сервер находится позади брандмауэра, политика безопасности компании должна позволять внешнему серверу начинать процесс соединения. В противном случае использование внешних/внутренних серверов невозможно.
Для клиентского доступа к внешнему серверу на нем должны быть открыты для Internet следующие порты (если некоторые из этих протоколов не используются, соответствующие порты можно не открывать):
• 443/TCP HTTPS - защищенный протокол HTTP с поддержкой SSL.
• 993/TCP IMAPS - защищенный протокол IMAP с поддержкой SSL.
• 995/TCP POP3S - защищенный протокол POP3 с поддержкой SSL.
• 25/TCP SMTP - необходим для передачи пакетов от клиентов POP3 и IMAP или для получения почты из Internet. Если SMTP-почта передается из другого источника или вообще не разрешена, этот порт можно не открывать.

Хотя обычно не рекомендуется пускать нешифрованный поток данных через "обычные" порты, используемые для HTTP, IMAP и POP3 (80, 143 и 110), их можно открыть, в зависимости от политики безопасности компании. Кроме того, если порт 80 открыт, клиентов нужно научить подключаться к серверу через https:// соединение. Если это невыполнимо, порт 80 придется оставить открытым и настроить специальную Web-страницу, автоматически пере­правляющую клиентов на защищенное соединение.
Чтобы внешний сервер мог соединяться с внутренним сервером, между внешним сервером и локальной сетью должны быть открыты следующие порты:
• 80/TCP HTTP
• 143/TCP IMAP
• 110/TCP POP3
• 25/TCP SMTP
• 389/TCP LDAP - доступ к Active Directory.
• 3268/TCP - доступ к глобальному каталогу.
• 88/TCP - Аутентификация Kerberos.
• 88/UDP Аутентификация Kerberos.
Также рекомендуется открыть порт 53 TCP и UDP, что позволит внешнему серверу посылать запросы к DNS для получения записей из глобального каталога и контроллера домена. Если порты DNS не открыты, на сервере можно использовать файл со списком узлов (HOSTS). В этом файле должны присутствовать все серверы глобального каталога и контроллеры домена, с которыми будет работать внешний сервер.
Внешние серверы в Exchange Server 2003 в меньшей степени применяют RPC для обращений к контроллерам домена, но, к сожалению, пока еще не полностью отказались от использования RPC. В частности, внешние серверы используют RPC для аутентификации клиентов и запросов на поиск контроллеров домена Active Directory и серверов глобального каталога.
Для поддержки аутентификации клиентов на внешних серверах должны быть открыты следующие порты:
• 135/TCP - Распределитель конечной точки портов RPC (RPC Port Endpoint Mapper).
• 1024+/TCP - Порты служб RPC (RPC Service Ports).
• 445/TCP - Вход в сеть (Netlogon).
Если нет возможности открыть динамические порты RPC между внешними серверами и контроллерами домена AD, можно заставить AD работать через определенные порты путем внесения изменений в системный реестр на всех контроллерах домена. Обычно такой метод изменения настроек в контроллерах домена применять не рекомендуется, поскольку он существенно отличается от общепринятых технологий.
Отключение неиспользуемых служб на внешнем сервере
Для нормального функционирования внешний сервер требует всего лишь нескольких служб. Ниже приведен список служб, необходимых для поддержки каждого протокола.
• HTTP - World Wide Web Publishing Service ( Служба публикации в Web) и Exchange System Attendant (Проводник системы Exchange).
• POP3 - Exchange POP3, Exchange System Attendant и Exchange Information Store (Хранилище информации Exchange).
• IMAP - Exchange IMAP, Exchange System Attendant и Exchange Information Store.

На внешних серверах все службы Exchange кроме HTTP, POP3 и IMAP должны быть оста­новлены с помощью оснастки Services. Это будет гарантией того, что внешний сервер вы­полняет только необходимые задачи.

По умолчанию, в конфигурациях POP3 и IMAP внешний сервер требует наличия хранилища на сервере, даже если там не будет никаких данных. Хранилище данных можно удалить, если убрать зависимость от хранилища данных Exchange из системного реестра системы. Для этого необходимо удалить запись MSExchangeIS из разделов DependOnService в следующих ключах реестра:
HKEY_LOCAL_MACHINESystemCurrentControlSetServicesIMAP4SVC HKEY_LOCAL_MACHINESystemCurrentControlSetServicesPOP3SVC
Если внешний и внутренний серверы разделены брандмауэром и порты RPC не открыты, зависимости хранилища информации Exchange от протоколов POP3 и IMAP должны быть удалены. 

Для конфигураций HTTP, POP3 и IMAP все базы данных с общедоступными папками должны быть удалены с сервера. Базы почтового хранилища можно оставить на сервере до тех пор, пока они не содержат никаких почтовых ящиков. Это позволит запускать диспетчер Internet Service Manager и осуществлять различные настройки, например, SSL.
На внешних серверах, которые получают почту из Internet, нужно оставить как минимум одно хранилище для собственной информации, чтобы можно было отправлять пользователям Internet сообщения о недоставленной почте (non-delivery receipt -NDR). Если ни одного хранилища не было создано, сообщения NDR застрянут в локальной очереди доставки сообщений. Кроме того, это хранилище информации требуется для включения MTA для передачи почты через RPC при наличии серверов Exchange 5.5 в той же группе маршрутизации.

Понравился материал? Поделитесь с друзьями!



<< Предыдущая статьяСледующая статья >>
Microsoft Exchange Server 2003. Аутентификация на внешних и внутренних серверах Microsoft Exchange Server 2003. Сокращение конфигурации сервера