Чтобы использовать внешние и внутренние серверы с брандмауэрами, внешний сервер должен иметь возможность запускать процесс соединения с внутренним сервером. Если внешний сервер находится позади брандмауэра, политика безопасности компании должна позволять внешнему серверу начинать процесс соединения. В противном случае использование внешних/внутренних серверов невозможно.
Для клиентского доступа к внешнему серверу на нем должны быть открыты для Internet следующие порты (если некоторые из этих протоколов не используются, соответствующие порты можно не открывать):
• 443/TCP HTTPS - защищенный протокол HTTP с поддержкой SSL.
• 993/TCP IMAPS - защищенный протокол IMAP с поддержкой SSL.
• 995/TCP POP3S - защищенный протокол POP3 с поддержкой SSL.
• 25/TCP SMTP - необходим для передачи пакетов от клиентов POP3 и IMAP или для получения почты из Internet. Если SMTP-почта передается из другого источника или вообще не разрешена, этот порт можно не открывать.
Хотя обычно не рекомендуется пускать нешифрованный поток данных через "обычные" порты, используемые для HTTP, IMAP и POP3 (80, 143 и 110), их можно открыть, в зависимости от политики безопасности компании. Кроме того, если порт 80 открыт, клиентов нужно научить подключаться к серверу через https:// соединение. Если это невыполнимо, порт 80 придется оставить открытым и настроить специальную Web-страницу, автоматически переправляющую клиентов на защищенное соединение.
Чтобы внешний сервер мог соединяться с внутренним сервером, между внешним сервером и локальной сетью должны быть открыты следующие порты:
• 80/TCP HTTP
• 143/TCP IMAP
• 110/TCP POP3
• 25/TCP SMTP
• 389/TCP LDAP - доступ к Active Directory.
• 3268/TCP - доступ к глобальному каталогу.
• 88/TCP - Аутентификация Kerberos.
• 88/UDP Аутентификация Kerberos.
Также рекомендуется открыть порт 53 TCP и UDP, что позволит внешнему серверу посылать запросы к DNS для получения записей из глобального каталога и контроллера домена. Если порты DNS не открыты, на сервере можно использовать файл со списком узлов (HOSTS). В этом файле должны присутствовать все серверы глобального каталога и контроллеры домена, с которыми будет работать внешний сервер.
Внешние серверы в Exchange Server 2003 в меньшей степени применяют RPC для обращений к контроллерам домена, но, к сожалению, пока еще не полностью отказались от использования RPC. В частности, внешние серверы используют RPC для аутентификации клиентов и запросов на поиск контроллеров домена Active Directory и серверов глобального каталога.
Для поддержки аутентификации клиентов на внешних серверах должны быть открыты следующие порты:
• 135/TCP - Распределитель конечной точки портов RPC (RPC Port Endpoint Mapper).
• 1024+/TCP - Порты служб RPC (RPC Service Ports).
• 445/TCP - Вход в сеть (Netlogon).
Если нет возможности открыть динамические порты RPC между внешними серверами и контроллерами домена AD, можно заставить AD работать через определенные порты путем внесения изменений в системный реестр на всех контроллерах домена. Обычно такой метод изменения настроек в контроллерах домена применять не рекомендуется, поскольку он существенно отличается от общепринятых технологий.
Отключение неиспользуемых служб на внешнем сервере
Для нормального функционирования внешний сервер требует всего лишь нескольких служб. Ниже приведен список служб, необходимых для поддержки каждого протокола.
• HTTP - World Wide Web Publishing Service ( Служба публикации в Web) и Exchange System Attendant (Проводник системы Exchange).
• POP3 - Exchange POP3, Exchange System Attendant и Exchange Information Store (Хранилище информации Exchange).
• IMAP - Exchange IMAP, Exchange System Attendant и Exchange Information Store.
На внешних серверах все службы Exchange кроме HTTP, POP3 и IMAP должны быть остановлены с помощью оснастки Services. Это будет гарантией того, что внешний сервер выполняет только необходимые задачи.
По умолчанию, в конфигурациях POP3 и IMAP внешний сервер требует наличия хранилища на сервере, даже если там не будет никаких данных. Хранилище данных можно удалить, если убрать зависимость от хранилища данных Exchange из системного реестра системы. Для этого необходимо удалить запись MSExchangeIS из разделов DependOnService в следующих ключах реестра:
HKEY_LOCAL_MACHINESystemCurrentControlSetServicesIMAP4SVC HKEY_LOCAL_MACHINESystemCurrentControlSetServicesPOP3SVC
Если внешний и внутренний серверы разделены брандмауэром и порты RPC не открыты, зависимости хранилища информации Exchange от протоколов POP3 и IMAP должны быть удалены.
Для конфигураций HTTP, POP3 и IMAP все базы данных с общедоступными папками должны быть удалены с сервера. Базы почтового хранилища можно оставить на сервере до тех пор, пока они не содержат никаких почтовых ящиков. Это позволит запускать диспетчер Internet Service Manager и осуществлять различные настройки, например, SSL.
На внешних серверах, которые получают почту из Internet, нужно оставить как минимум одно хранилище для собственной информации, чтобы можно было отправлять пользователям Internet сообщения о недоставленной почте (non-delivery receipt -NDR). Если ни одного хранилища не было создано, сообщения NDR застрянут в локальной очереди доставки сообщений. Кроме того, это хранилище информации требуется для включения MTA для передачи почты через RPC при наличии серверов Exchange 5.5 в той же группе маршрутизации.
Microsoft Exchange Server 2003. Настройка брандмауэра для внешних серверов
28-12-2009
| << Предыдущая статья | Следующая статья >> |
| Microsoft Exchange Server 2003. Аутентификация на внешних и внутренних серверах | Microsoft Exchange Server 2003. Сокращение конфигурации сервера |