本文描述如何在使用防火墙与 Microsoft Windows 2000 网络隔离并且位于非保护区 (DMZ) 以太网环境中的计算机上安装 Exchange 2000 Server 和 Outlook Web Access 5.5。在试图建立任何 Exchange 2000 连接之前,必须配置防火墙以允许进行 Windows 2000 登录和网络通信。
注意:本文仅讨论 Windows 2000 通信和连接性。
警告:注册表编辑器使用不当可造成严重问题,这些问题可能需要重新安装操作系统。Microsoft 不保证能够解决因为注册表编辑器使用不当而产生的问题。使用注册表编辑器需要您自担风险。
对于使用防火墙与 Microsoft Windows 2000 网络相隔离并且位于非保护区 (DMZ) 以太网环境中的计算机而言,要在其中安装 Exchange 2000 和 Outlook Web Access 5.5,请执行下列操作:
| 1. | 通过为入站通信打开下列端口,使基于 Windows 2000 Server 的计算机能够通过防火墙登录到域: | %26#8226; | 53(传输控制协议 [TCP]、用户数据报协议 [UDP])- 域名系统 (DNS)。 | | %26#8226; | 80 (TCP) - Web Access 5.5 访问 Exchange 前端服务器和后端服务器之间通信所需的端口。 | | %26#8226; | 88(传输控制协议 [TCP]、UDP)- Kerberos 验证。 | | %26#8226; | 123 (TCP) - Windows 时间同步协议 (NTP)。请注意,这对于 Windows 2000 登录功能而言不是必要的,但网络管理员可能配置或需要。 | | %26#8226; | 135 (TCP) - EndPointMapper。 | | %26#8226; | 389 (TCP, UDP) - 轻量目录访问协议 (LDAP)。 | | %26#8226; | 445 (TCP) - 用于 Netlogon、LDAP 转换和分布式文件系统 (Dfs) 发现的服务器消息块 (SMB)。 | | %26#8226; | 3268 (TCP) - 到全局编录服务器的 LDAP。 | | %26#8226; | 一个用于 Active Directory 登录和目录复制接口(通用唯一标识符 [UUID] 12345678-1234-abcd-ef00-01234567cffb 和 e3514235-4b06-11d1-ab04-00c04fc2dcd2)的端口,它通常在启动期间被分配端口 1025 或 1026。此值不在 DSProxy 或系统助理 (MAD) 源代码中设置,因此对于 Exchange 2000 计算机必须通过防火墙与其进行联系的任何域控制器而言,必须在该域控制器上的注册表中映射该端口以处理登录,然后在防火墙上打开该端口。
要在注册表中映射该端口,请执行下列操作: | a. | 启动注册表编辑器 (Regedt32.exe)。 | | b. | 在注册表中找到下面的项: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters | | c. | 在编辑菜单上,单击添加数值,然后添加下面的注册表值: 值名称:TCP/IP 端口
数据类型:REG_DWORD
基数:十进制
值:大于 1024 | | d. | 退出注册表编辑器。 |
确保“TCP/IP”中的斜杆为正斜杆,并且您分配的值为十进制格式且大于 1024。该数字是在防火墙上打开 (TCP, UDP) 所需的额外端口。在防火墙内的每个域控制器上设置此注册表值并不会影响性能,并且涵盖了由服务器停机或角色更改导致的任何登录请求重定向或带宽需要。 |
注意:为了使防火墙内的服务器能够通过防火墙与外部服务器进行通信,您还需要为出站通信配置端口 1024 到 65535。启动经过防火墙的通信的计算机使用动态分配并且不能配置的客户端端口。 |
| 2. | 在外部计算机上安装 Exchange 2000。无须打开任何附加端口便可在外部计算机上安装 Exchange 2000。 |
| 3. | 在外部计算机上安装 Outlook Web Access 5.5。要在被定向到在 DMZ 和防火墙内运行的 Microsoft Exchange Server 5.5 计算机的情况下,在外部计算机上安装 Outlook Web Access 5.5,您需要前面讨论的 Windows 2000 端口,以及 Exchange Server 5.5 目录服务的静态映射 (UUID f5cc5a18-4264-101a-8c59-08002b2f8426)、信息存储的静态映射 (UUID a4f1db00-ca47-1067-b31f-00dd010662da) 和系统助理的静态映射 (UUID 469d6ec0-0d87-11ce-b13f-00aa003bac6c)。有关设置这些静态映射的其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章: 155831 (http://support.microsoft.com/kb/155831/EN-US/) XADM:Setting TCP/IP Ports for Exchange and Outlook Client Connections Through a Firewall 245273 (http://support.microsoft.com/kb/245273/EN-US/) XWEB:OWA Setup Error Message:There Are No More Endpoints Available from the Endpoint Mapper |
| 4. | 配置 Exchange 2000 前端和后端连接。Exchange 2000 前端和后端连接只要求为所需的任何服务打开必要的附加端口(例如,Web 客户端前端和后端连接需要打开端口 80 [TCP]、IMAP 143 [TCP] 等)。此外,通过 IPSec 或安全套接字层 (SSL)-安全超文本传输协议 (HTTP)、Internet 邮件访问协议 (IMAP) 或邮局协议版本 3 (POP3) 等需要的安全协议建立的任何连接都要求本文未指定的其他配置。
在 DMZ 以太网环境中,您还需要定义从 DMZ 以太网中的计算机到您需要与其通讯的内部网络中的每台计算机的 TCP\IP 路由。 |
在下面的 Web 站点中可以找到网络白皮书:
http://www.lucentnps.com/knowledge/whitepapers/index.asp (http://www.lucentnps.com/knowledge/whitepapers/index.asp)
