Microsoft ISA Server 2000 Feature Pack 1,版本 1
本文件概要敘述提供 Microsoft® Exchange 2000 Server 服務,讓需要存取網際網路的特定使用者能夠加以利用的傳統方法。 文中說明了這些策略中固有的問題:Exchange 2000 Server 如何設定為啟用網際網路連線能力、如何使用 Microsoft® Internet Security and Acceleration (ISA) Server 2000,以安全而有效的方式提供內部 Exchange 服務給網際網路用戶端使用。
需要的定義 |
由於使用網際網路做為傳輸與存取資訊工具的需求日益增加,公司需要透過網際網路,提供內部服務給員工使用。 不但銷售部門人力需要從遠端位置存取公司資訊,還有更多其他類型的員工晚上都會將工作帶回家。 更何況還有更多人是全天候在家工作。
電子郵件是需求最大的資源,這些員工每一個人都需要存取使用。
公司也使用網際網路做為需要共用郵件服務的連線位置。 隨著可負擔高速網際網路存取的問世,透過網際網路連線取得公司資料已經日益普遍。 為了讓員工可安全地存取公司資料,許多公司建立 VPN 連線,讓用戶端能夠透過網際網路利用安全通道。 但是當使用者只是單純地需要從家中電腦、用戶端網站或網路資訊站,存取電子郵件時,VPN 連線並非永遠都是實際可行的解決方式。 下一節描述一般透過網際網路存取 Exchange 的方式。
安全存取 Exchange 的傳統方法 |
Microsoft Exchange 2000 Server 有兩種功能,讓用戶端能夠執行存取作業; Microsoft® Outlook® 用戶端使用網際網路連線,可以透過三種基本狀況模式存取:
- 使用 Microsoft Outlook 或另一個 MAPI 用戶端 (透過 RPC 連線)
- 使用 Microsoft Outlook、Outlook Express 或另一個郵件用戶端 (透過 IMAP4 或 POP3 帳戶連線)
- 使用 Microsoft Outlook Web Access (OWA) (透過 HTTP 連線)
本文將會說明各種狀況如何運作,包括其優缺點。
在內部網路上,大半用戶端使用 Outlook 與 Exchange 伺服器連線。 在網際網路上,大半公司都使用 Outlook Web Access (OWA),它提供電子郵件的網路存取。 許多在家中工作的人是透過 POP3 或 IMAP4 用戶端,如 Outlook Express,來存取郵件。 但是用戶端越來越需要,也要求能利用完整的 Outlook 用戶端功能來存取。
Outlook 及其他 MAPI 用戶端的完整功能
Exchange 用戶端、Outlook 與 Outlook Express 都可以使用訊息應用程式發展介面 (MAPI,Messaging Application Programming Interface) 與 Exchange 2000 Server 儲存區通訊。 以 MAPI 用戶端連線所提供的功能包括:存取規劃行事曆資訊、壓縮 Word 和 Excel 文件做為電子郵件訊息等等。 大半用戶端不但上班工作時喜歡用 Outlook 用戶端,在家或出外旅遊時也都喜歡用。 但是由於 MAPI 要求是透過遠端程序呼叫 (RPC) 傳送給 Exchange 伺服器,透過 RPC 跨越網際網路連線其實不是很理想,需要考慮的是額外負擔成本與安全性問題。
額外負擔
RPC 需要大量的頻寬, 當撥號網路為標準配備時,頻寬成本在時間和金錢兩方面都很高昂。 為了降低額外負擔,犧牲不用 RPC 所提供的某些功能,如規劃行事曆,也還算合理。 但推出負載量更大而且更快速的網際網路連線,透過寬頻提供廠商讓人使用以後,延遲不再是太嚴重的問題,而 RPC 也成為更理想的工具。
安全性
按照以往一般慣例,Exchange 的 RPC 連線並未視為安全連線。 這是因為在此方法中,服務指派給動態連接埠的方式所造成。 按照預設的情況,沒有辦法預料將與 Exchange 服務關聯的連接埠是哪一個。 雖然服務可以鎖入範圍中,但必須要有額外的組態設定與額外的系統管理負擔。 按照預設的情況,伺服器上 Exchange 通用獨一識別碼 (UUID) 是由 RPC 結束點對應程式所註冊,所有 Exchange 用戶端都知道; 其他服務,如 Active Directory 複寫功能,也已註冊 UUID。 每個 UUID 都確保應用程式可以跨越分散式環境,在用戶端和伺服器兩方上識別,以確保相容性與交互操作性。 當 MAPI 用戶端使用 RPC 與 Exchange 伺服器連線時,首先會連絡連接埠 135/tcp,它可將用戶端連線到 RPC 結束點對應程式。 結束點應用程式在提供 UUID 供 Exchange 檢視時,會提供給用戶端註冊 Exchange 服務的通訊連接埠。 這個連接埠的範圍可以從 1024 到 65535。這個動態連接埠指派需要防火牆允許從 1024 到 655535 的所有輸出連線,這種情況會將安全防火牆轉變成不安全的情況。 系統管理員很不願意開放這麼多連接埠。
如本文件稍後說明,ISA Server 2000 提供安全方法,可以為 MAPI 用戶端發佈 Exchange。
RPC 的優缺點
RPC 發佈允許全功能存取 Outlook 2000 與 Outlook 2002 用戶端。 它提供郵件服務的安全存取,而毋需管理 VPN 連線的額外負擔。
但是若用戶端設在另一個防火牆後面,阻止存取 RPC 連線所需的動態高層次連接埠,RPC 還是可能會發生問題。
RPC 發佈無法讓不使用 MAPI 用戶端的用戶端執行存取作業。 使用者若從瀏覽器或 Outlook Express 連線,就無法善加利用 Outlook 功能,如規劃行事曆與郵件通知。
使用 POP3 或 IMAP4 用戶端僅限郵件存取
許多用戶端需要存取電子郵件,但通常會不想要或不需要完整的 MAPI 用戶端功能。 與郵局通訊協定,第 3 版 (POP3) 及網際網路訊息存取通訊協定 (IMAP4) 連線可提供快速、可靠的工具,以取得電子郵件訊息。 POP3 是業界標準。 用戶端從 Exchange 伺服器下載電子郵件訊息,以便在與伺服器連線中斷時加以使用。 IMAP4 在伺服器本身就提供郵件存取,也提供只下載訊息標題的功能,以便快速存取。 但是這個功能需要與 Exchange 伺服器之間建立更持續的連線。 Outlook Express 使用 POP3 和 IMAP4,今天市面上所提供的大部份其他郵件閱讀程式也是如此。 網路電子郵件入口網站提供與 POP3 和 IMAP4 訊息儲存區連線的功能,並將數個帳戶的電子郵件訊息合併在一起。 ISA Server 2000 中包含「安全郵件發佈精靈」,很容易就能設定發佈郵件的通訊協定。
POP3 或 IMAP4 存取的優缺點
大部分的用戶端都支援 POP3 或 IMAP4,提供這些方法來存取電子郵件訊息, 但電子郵件存取是唯一的功能。 規劃行事曆、工作清單,或公用資料夾都無法使用。
使用 OWA 進行網路存取
許多地方都有網路咖啡廳或公用資訊站提供網際網路連線瀏覽器。 這些設定提供透過網頁,咸稱 Exchange Outlook Web Access (OWA),存取電子郵件與 Exchange 公用資訊儲存區。 在這種情況下,使用者可以從一般瀏覽器查看電子郵件,但是必須要有 Internet Explorer 5.0 或以上版本,才能充份利用所有功能。 OWA 依預設是在 Exchange 2000 Server 上加以設定,並不需要在標準 HTTP 連接埠 80 或是 SSL 存取的連接埠 443 (比較理想,可以保障網路安全) 以外,再開啟連接埠。
雖然 OWA 很容易使用,但卻不具備 MAPI 用戶端所擁有的相同功能。 郵件規則、日誌項目和拼音檢查都無法使用。 雖然可以使用行事曆、工作清單和會議項目,但卻沒有在 Outlook 中可以使用的相同功能。
OWA 的優缺點
您可以使用 OWA,在幾乎所有與網際網路連線的瀏覽器上存取電子郵件,也就是說,您可以從任何網路咖啡廳、會議資訊站或 Web 式的電話系統,存取公司的電子郵件、行事曆和工作。
缺點是功能有限。 不支援離線存取電子郵件,行事曆的支援也有限。 下表強調顯示 Outlook Web Access 2000 的一些優缺點。本表假設 OWA 是在 Exchange 2000 SP2 或以上版本執行,而且是以 Internet Explorer 5 或以上版本進行存取。
優點 | 缺點 |
---|---|
信箱和公用資料夾存取,包括連絡人和行事曆項目 | 沒有進階安全性 (S/MIME) |
新郵件通知和行事曆提醒 | 無離線模式 |
編輯 HTML 電子郵件訊息的 Rich Text | 無法建立新的公用資料夾 |
供檢視及錄製的多媒體控制項 | 無法使用 Outlook 規則和回收郵件,也無法復原已刪除的項目 |
透過 URL 存取郵件 | 沒有日誌、附註或工作 |
信箱資料夾之間的拖放功能 | 只能存取 Exchange 2000 Server 信箱 |
前端與後端伺服器組態設定支援 | 無法開啟其他使用者的信箱資料夾 |
郵件答錄機與預覽窗格 | 開始撥接時速度緩慢 |
使用包含在 ISA Server 2000 Feature Pack 1 之中的 OWA 發佈精靈,便可輕鬆設定 OWA。
Exchange Server 組態設定 |
Microsoft Exchange 2000 Server 滿足個人與企業使用者的訊息傳送與協同作業需求。 Exchange 2000 Server 提供許多機會:如廣泛收集支援的通用通訊協定,讓用戶端輕鬆設定組態、無限制的資料儲存區、功能加強的 Outlook Web Access、多重虛擬伺服器功能,以及 Active Directory 整合等。 只要掌握了解 Exchange 2000 Server,就能讓外部使用者存取電子郵件,而毋需事先決定 ISA Server 的組態。 本節內容說明:如何最佳化設定 Exchange 2000 Server、如何發揮利用 SMTP 和 HTTP 虛擬伺服器等關鍵元件,以及在網路上設 Exchange 2000 Server 的位置,以便為訊息傳送平台提供最理想的安全防護。
如需取得有關在此概述之案例組態設定的逐步指示說明,請參閱功能套件中所附的案例文件。
已定義的最佳組態設定
本節的主要目標之一是:建立對 Exchange 2000 Server 組態設定的基本了解。 這項資訊提供基礎,避免在使用本文所提供案例時產生問題或有不一致的情形。 每一個網路都是唯一且獨立於其他網路,但以 Windows 為基礎之伺服器與 Exchange 伺服器的組態設定則不需強調其獨立性。
Service Pack 是發表供每一個 Microsoft 核心作業系統與伺服器產品使用。 Service Pack 一般都是收集到 Service Pack 發行日期為止,最新的所有已知 Hotfix 與安全性修補程式。 最根本的改變是:Service Pack 不再包含新功能。 只要比較 Exchange 2000 Server Service Pack 2 與 Service Pack 3,就可以很明顯地看出這項改變。Exchange 2000 Server Service Pack 2 是隨附在各種功能的變更一起出貨,尤其是 Outlook Web Access;而 Exchange Service Pack 3 則是完全不附加任何功能。
使用 ISA Server 發佈 Exchange 時若要達到更高的成功機率,必須符合本文提供案例中的下列各項假設:
- Windows 2000 上已安裝 Service Pack 2 或以上版本。 (最好是 Service Pack 3)
- 伺服器是最新版,已套用最新修補程式與安全性 Hotfix。 若已在 Windows 2000 與 Exchange 2000 Server 上安裝 Service Pack 3,目前並不需要另外再安裝 Hotfix 或安全性更新。 如需最新版的修補程式,請參閱 。
- Exchange 2000 Server 上已安裝 Service Pack 2 或以上版本。 (最好是 Service Pack 3)
Exchange 安全性顧慮
設定 Exchange 2000 Server 時,伺服器的安全性很重要。 Exchange 2000 Server 一般最擔心的安全性問題之一是 SMTP 轉送。 SMTP 轉送表示郵件伺服器允許 Exchange 2000 Server 郵件用戶端,傳送郵件給外部組織的使用者。 雖然有些情況需要轉送,大部分的公司都會避免使用這項設定。 因為這樣會開放郵件伺服器,垃圾電子郵件訊息就能長驅直入轉送進來,會像是從您的郵件伺服器發信傳遞郵件一樣。 SMTP 轉送必須仔細加以控制及監視,以免伺服器允許發送垃圾電子郵件。 如需更多有關 SMTP 轉送的資訊,請參閱 Microsoft Exchange Server 網站 ()
Exchange Server 5.5 與 Exchange 2000 Server 的預設值會有差異。 本概觀中會考量 Exchange 2000 Server 中的 SMTP 轉送預設組態設定。 如需 Exchange Server 5.5 中與 SMTP 轉送相關的資訊,請參閱 Microsoft TechNet 網站,網址為:。
依預設,Exchange 伺服器會自動設定為只有已驗證的使用者,才能透過 Exchange 伺服器轉送郵件。
由於只有已驗證的使用者,才能透過 Exchange 伺服器轉送郵件,所以只有內部使用者,才能傳送郵件給外部對象。 組織以外的人可以傳送電子郵件訊息給內部使用者,但不能傳送電子郵件訊息給不同組織的人。
若不確定是否已設定 Exchange 伺服器來處理 SMTP 轉送,請查驗組態設定。 若發現伺服器已經設定為開放轉送有一段時間,很可能伺服器已經被加在網路濫用資料庫中。 若要判斷郵件領域是否已被加在此類型的資料庫中,請參閱 。 您也可以在 Microsoft knowledge base 文件 249266 () 中找到其他相關資訊。
請遵循下列常用程序,更嚴密保護訊息傳送基礎架構的完整性:
- 適時安裝修補程式。
- 使用白皮書、查核表以及 IISLockdown 和 URLScan 等工具所提供的資訊,讓伺服器更強固。
- 關閉未使用的通訊協定與服務。 例如,若 Exchange 只供 SMTP 使用,就關閉 POP3、IMAP4 和 HTTP 通訊協定。
- 使用 Exchange 系統原則與郵件追蹤來維護記錄活動的設定。
- 保持取得病毒發佈的最新消息,下載最新病毒定義,以保護伺服器不受網路病毒傳遞侵害。
- 確保所有進入點的安性性,以保護網路。
- 在網路上使用強固、複雜的密碼。
Exchange 內部設置
發佈 Exchange 服務時,可能涉入的通訊協定包括 SMTP、HTTP (OWA) 和 RPC。 Exchange 2000 Server 上這些通訊協定的組態定義了存取類型與使用者擁有的選擇。 Exchange 2000 Server 支援虛擬伺服器 (SMTP、HTTP、IMAP4、POP3 和 NNTP)。 新版 Exchange 與舊版不同,在舊版中只有單一伺服器,只能使用一個通訊協定實體;引進虛擬伺服器以後,系統管理員可以在 Exchange 伺服器上,定義單一通訊協定的多個虛擬伺服器。 虛擬伺服器是利用結合通訊協定與連接埠的方式,來執行這項作業。 例如,SMTP 伺服器會依預設接聽 SMTP 和連接埠 25 傳輸。
SMTP 虛擬伺服器
SMTP 虛擬伺服器定義郵件從組織流出的方式,因為系統管理員可以設定選項,如驗證、轉送與存取控制。 簡易郵件傳送通訊協定 (SMTP) 是原始通訊協定,已經成為在郵件伺服器之間傳輸網際網路郵件的標準。 安裝 Exchange 2000 Server 時會依預設安裝 SMTP 虛擬伺服器,而且已準備好開始傳送郵件,毋需修改任何屬性設定。
SMTP 虛擬伺服器有四個可設定資訊的索引標籤。 請注意在 ISA Server 電腦之後,保證最受關切,以及在發佈 Exchange 伺服器會有最大風險的設定。 下表定義在設定 Exchange 2000 Server SMTP 虛擬伺服器時,要審查的關鍵屬性設定。
屬性 | 位置 | 說明 |
---|---|---|
輸出安全性 | [傳遞] 索引標籤 | [輸出安全性] | 定義 SMTP 虛擬伺服器傳遞郵件給其他 SMTP 伺服器的方式。 |
智慧主機 | [傳遞] 索引標籤 | [進階] | SMTP 伺服器必須能夠解析使用 DNS 的外部郵件網域。
解析可以設定,以便讓 SMTP 伺服器傳送查詢給:
|
轉送限制 | [存取] 索引標籤 | [轉送] | 定義允許透過 SMTP 虛擬伺服器轉送郵件的電腦。 可以按網域、個別 IP 位址或子網路指定。 |
若要阻止不必要的存取,請了解 SMTP 虛擬伺服器的屬性,決定郵件伺服器轉送郵件的方式,並確實設定所有適當層次的驗證。
HTTP 虛擬伺服器
Outlook Web Access 使用 HTTP 虛擬伺服器。 超文字傳輸協定 (HTTP) 是用在網際網路上,傳送及接收 HTML 文件的用戶端/伺服器通訊協定。 HTTP 是在連接埠 80 上作業,一般人大部份是透過這項媒介與網際網路連線。
HTTP 虛擬伺服器是在安裝 Exchange 2000 Server 時自動設定,提供 Outlook Web Access 供人使用。
無法從 Exchange 系統管理員內設定 HTTP 虛擬伺服器,任何嘗試都會產生以下訊息:
您必須使用 IIS Admin 來管理此「虛擬伺服器」設定。
HTTP 虛擬伺服器是虛擬目錄組合,這些目錄與位於「Internet 服務管理員」主控台中的預設網站一起安裝。
組成 Outlook Web Access 的虛擬目錄包括:
- /Exchange - 提供信箱的網頁瀏覽器存取。
- /Exchweb - 提供存取實際 Exchange 應用程式的開發人員程式碼。
- /Public - 提供公用資料夾的網頁瀏覽器存取。
跟有許多設定選項的 SMTP 虛擬伺服器比較之下,建議不要修改 HTTP 虛擬伺服器屬性設定。 HTTP 虛擬伺服器的屬性並不需要編輯。 更有效保護 OWA 存取安全的方式是:利用前端後端模式,並使用 SSL 在網際網路用戶端與 OWA 前端伺服器之間進行通訊。 同時,由於 HTTP 虛擬伺服器是 IIS 中虛擬目錄的組合,請安裝 IIS 鎖定工具,以進一步加強保護 IIS。
用戶端存取 Outlook Web Access 是按預設啟動。 若要在離開辦公室時限制與 OWA 的連線,可以在信箱層次關閉 HTTP 通訊協定,不要使用。
修改此預設值
- 開啟 [Active Directory 使用者和電腦],找出要禁止存取 OWA 的使用者帳戶,在該帳戶上按一下滑鼠右鍵,然後再按 [屬性]。
- 按一下 [Exchange 進階] 索引標籤,再按一下 [通訊協定設定]。
注意 只有在 [Active Directory 使用者和電腦] 的 [檢視] 功能表中選取 [進階功能] 後,才會顯示 [Exchange 進階] 索引標籤。
- 按一下 [HTTP],然後按一下 [設定]。
- 在預設情況下,會選取 [啟用信箱核取方塊]。 清除此選項,以關閉單一使用者的 OWA,然後按 [確定]。
前端 (存取) 與後端 (儲存) 交換解決方案
有了 Exchange 2000 Server 企業版,公司可以建立前端後端解決方案,主要是提供單一存取點和命名空間,以供使用者在與 Exchange 連線時參考。 這種解決方案在允許使用者透過網際網路連接郵件時很有用。
前端伺服器是不包含任何信箱的 Exchange 2000 Server。 最主要的目的就是將用戶端的要求以 Proxy 送至適當的後端伺服器。 由於前端伺服器正在為用戶端進行 Proxy 要求,且不包含使用者資料,伺服器可以放在網路上的多個位置上。 前端伺服器可以放在 ISA Server 防火牆之前或之後,也可以放在周邊網路中 (也稱為「非戰區 (DMZ)」,或「受監視的子網路」),位於兩道 ISA Server 防火牆之間。
注意 本文提供的案例專注於背靠背 ISA 環境中的前端後端解決方案設定上。
後端 Exchange 伺服器所包含的信箱儲存區和公用資料夾與任何典型 Exchange 伺服器一樣。 系統管理員可以實作前端後端解決方案,卸載後端伺服器上的 SSL 活動,並透過 ISA Server 控制可以直接處理送到後端伺服器的傳輸類型,以提供加強的保護。 後端 Exchange 伺服器可以有一個或多個,依您的環境和所需資料儲存區數目而定。
當使用者透過網際網路與前端伺服器連線,前端伺服器必須決定使用者信箱所在的後端伺服器。 這項通訊作業是透過執行 LDAP 查詢來完成,查詢是從前端伺服器到位於內部網路上的 Windows 2000 網域控制站。 內部網域控制站參考 Active Directory 資料庫,以判斷信箱的確切位置。
只有 HTTP、IMAP4 和 POP3 等用戶端類型可以透過網際網路連線,使用前端後端組態設定。 Outlook Web Access 的 HTTP 用戶端是最典型的類型。 常見的設計是:將前端伺服器放置在位於兩道 ISA Server 防火牆之間的周邊網路中。 後端伺服器與 Active Directory 網域控制站會放置在內部網路上。 為了讓 HTTP、POP3 和 IMAP4 用戶端連線,兩道 ISA 防火牆上都必須開啟以下連接埠:
- HTTP (80)
- 通用類別型錄 (3268) 和 LDAP (389)
- SSL (443)
- POP3 (110)
- SMTP (25)
- IMAP4 (143)
本文所提供的案例會詳細描述兩道 ISA Server 防火牆上所需要的確切組態,以啟用前端後端解決方案。 如需更多有關前端後端解決方案之定義、設計和組態的資訊,請參閱 Microsoft 白皮書〈Microsoft Exchange 2000 前端與後端技術〉。
Exchange 伺服器位置
本節描述一些常見的網路設計,在功能套件所提供的案例中會有更詳細的論述。
- Exchange 與 ISA Server 位於相同位置。
- Exchange 位於 ISA Server 電腦之後的內部網路上。
Exchange 與 ISA Server 位於相同位置
將 Exchange 2000 Server 安裝在 ISA Server 電腦上是常見的現象。 這是因為硬體或預算有限,或是使用了 Small Business Server 2000 的關係。
下圖闡明 Exchange 與 ISA Server 位於相同伺服器上的設計。
Exchange 位於 ISA Server 電腦之後的內部網路上
最常使用的設計是將 Exchange 2000 Server 放在 ISA 防火牆之後的內部伺服器上。 ISA 防火牆是設定為發佈 Exchange 服務,並攔截適當傳輸,然後導向 Exchange 伺服器的內部 IP 位址。
下圖闡明 Exchange 位於 ISA 防火牆之後另一個內部伺服器上的設計。
基礎架構需求 |
Exchange 2000 Server 與舊版大不相同。 使用本文案例來發佈 ISA Server 電腦之後的 Exchange 服務時,要涉及許多項目,才能確保用戶端可以在離開辦公室時存取他們的電子郵件。 除了 Exchange 2000 Server 和 ISA Server 以外,還要先在網路上檢閱其他項目,才能提供 RPC 與 OWA 給外部使用者基礎使用。
要在網路上檢閱的重要項目包括:
- Active Directory
- DNS
- 路由器
Active Directory
Active Directory 是 Microsoft 的最新版目錄服務,是 Windows 2000 Server 作業系統的一部份。 它提供單一目錄,可以儲存數百萬網路物件,如使用者、群組與電腦。
Exchange Server
Exchange 2000 Server 利用 Active Directory 做為目錄服務,也就是說,兩個產品共用相同的目錄。 在舊版 Exchange 中,資料庫以外另有目錄供網路作業系統 (NOS) 使用。 網路系統管理員若要安裝 Exchange 2000 Server,環境中必須已經建立 Active Directory。
將目錄服務從 Exchange Server 5.5 變更到 Exchange 2000 Server 所代表的意義是,公司必須將他們的 NOS 升級,才能升級郵件基礎架構。 有些人就因為這個原因,要升級到 Windows 2000 和 Active Directory;其他人則認為這種相依性表示必須延遲升級為 Exchange 2000 Server。
如需更多有關 Exchange 和 Active Directory 之間相依性的資訊,請參閱 Microsoft Exchange 網站。
ISA Server
ISA Server 提供對 Active Directory 的相依性,但其並非強制性。 您可以購買 ISA Server 標準版,並將產品安裝在 Windows NT 或 Windows 2000 環境中,而不需要與 Active Directory 有任何相互關係。 ISA Server 企業版的設計符合企業需求,您可以將產品與 Active Directory 整合在一起。 系統管理員若要建立 ISA Server 陣列 (一個或多個 ISA Server 電腦共同分享快取記憶體),就必須要有 Active Directory。 為了建立 ISA Server 陣列,ISA Server 中包含「企業初始化工具」,用來準備及擴充 Active Directory 架構,將必要擴充程式載入目錄中。
本文件後半部以及功能套件中附含的案例手冊假設下列各項:
- Windows 2000 與 Active Directory 已部署在網路環境中。
- Exchange 2000 Server 至少已安裝了 Service Pack 2。(最好是 Service Pack 3)
- ISA Server 2000 已安裝最新的 Service Pack。
DNS
網域名稱系統 (DNS) 是必要元件,可以確保 Exchange 郵件如預期地順利送進送出組織。 Microsoft ISA Server 新聞群組公佈了很多有關 DNS 及其在環境中位置的訊息。
定義
在案例中使用了下列詞彙:
- DNS。 為組織成網域階層結構之電腦與網路服務命名的系統。 DNS 命名是用在 TCP/IP 網路中,如網際網路,透過好記名稱,找出電腦與服務。
- 遞迴查詢。 受查詢時,名稱伺服器會受到正式請求,回應有關網域名稱的資訊,或是該網域名稱根本不存在的事實。 要求不能指向另一個名稱伺服器。
- 互動式查詢。 由要求者提出查詢時,名稱伺服器會根據可用的資訊,傳回所能提供的最佳回答。 這個回答可能是確切的名稱,也可能是指向有更多資訊的另一個名稱伺服器。
- 分割 DNS。 這種設計由兩個各自更新的獨立 DNS 伺服器組成。 內部伺服器包含組織內所有 DNS 名稱的資料庫,而外部伺服器解析名稱,應付存在外部的各種事項,如電子郵件轉寄與網頁伺服器。
- 轉寄站。 一個或多個名稱伺服器的 IP 位址,是此名稱伺服器要傳送所有查詢與回應的目的地。
了解 DNS
做為 Exchange 系統管理員必須了解:SMTP 是依靠 DNS 才能有效傳送使用者的郵件至外部網域。 例如,組織以內的使用者若要傳送郵件給組織以外的另一個使用者,SMTP 伺服器必須查詢 DNS 伺服器,可以轉寄要求,解析外部網域的 IP 位址,也可以設定為使用智慧主機。 智慧主機是遠端伺服器,Exchange 伺服器可以將本來要給特定遠端網域或路由群組的訊息傳輸給它。 基本上,智慧主機是做為轉送站,其作業方式是:Exchange 伺服器傳送郵件給智慧主機,再轉由智慧主機負責使用 DNS,繼續傳送郵件到目的地。
若要用 ISA Server 順利發佈 Exchange 服務,Microsoft 建議將 DNS 環境以「分割 DNS」設計方式設定。 上文已經定義,分割 DNS 包含兩個 DNS 伺服器:一個位於內部供伺服器尋找彼此及 Active Directory,另一個位於外部供 SMTP 伺服器尋找任何一處的郵件網域。 內部 DNS 伺服器位於 ISA Server 電腦之後,而外部 DNS 伺服器則位於 ISA Server 電腦之前。
ISA Server 用戶端
選擇要在內部網路上使用哪個 ISA 用戶端時,DNS 名稱解析是主要考量。 下表概要敘述各 ISA 用戶端如何執行 DNS 名稱解析。
ISA Server 用戶端 | 名稱解析方法 |
---|---|
SecureNAT 用戶端 | 依環境而定。 需要提供用戶端內部 DNS 伺服器,或是設定 ISA Server,直接將 DNS 查詢從用戶端傳送到外部 DNS 伺服器。 |
Web Proxy 用戶端 | 可以讓 ISA Server Web Proxy 服務提供簡單的 DNS 功能。 以 ISA Server 本身電腦上的 DNS 組態為基礎。 |
Firewall 用戶端 | 可以讓 ISA Server Firewall 服務提供簡單的 DNS 功能。 以 ISA Server 本身電腦上的 DNS 組態為基礎。 |
文章来源于领测软件测试网 https://www.ltesting.net/