Microsoft ISA Server 2000 Feature Pack 1,版本 1 本文件概要敘述提供 Microsoft%26reg; Exchange 2000 Server 服務,讓需要存取網際網路的特定使用者能夠加以利用的傳統方法。 文中說明了這些策略中固有的問題:Exchange 2000 Server 如何設定為啟用網際網路連線能力、如何使用 Microsoft%26reg; Internet Security and Acceleration (ISA) Server 2000,以安全而有效的方式提供內部 Exchange 服務給網際網路用戶端使用。
需要的定義
由於使用網際網路做為傳輸與存取資訊工具的需求日益增加,公司需要透過網際網路,提供內部服務給員工使用。 不但銷售部門人力需要從遠端位置存取公司資訊,還有更多其他類型的員工晚上都會將工作帶回家。 更何況還有更多人是全天候在家工作。
電子郵件是需求最大的資源,這些員工每一個人都需要存取使用。
公司也使用網際網路做為需要共用郵件服務的連線位置。 隨著可負擔高速網際網路存取的問世,透過網際網路連線取得公司資料已經日益普遍。 為了讓員工可安全地存取公司資料,許多公司建立 VPN 連線,讓用戶端能夠透過網際網路利用安全通道。 但是當使用者只是單純地需要從家中電腦、用戶端網站或網路資訊站,存取電子郵件時,VPN 連線並非永遠都是實際可行的解決方式。 下一節描述一般透過網際網路存取 Exchange 的方式。
安全存取 Exchange 的傳統方法
Microsoft Exchange 2000 Server 有兩種功能,讓用戶端能夠執行存取作業; Microsoft%26reg; Outlook%26reg; 用戶端使用網際網路連線,可以透過三種基本狀況模式存取:
使用 Microsoft Outlook 或另一個 MAPI 用戶端 (透過 RPC 連線) 使用 Microsoft Outlook、Outlook ExPRess 或另一個郵件用戶端 (透過 IMAP4 或 POP3 帳戶連線) 使用 Microsoft Outlook Web access (OWA) (透過 HTTP 連線) 本文將會說明各種狀況如何運作,包括其優缺點。
在內部網路上,大半用戶端使用 Outlook 與 Exchange 伺服器連線。 在網際網路上,大半公司都使用 Outlook Web Access (OWA),它提供電子郵件的網路存取。 許多在家中工作的人是透過 POP3 或 IMAP4 用戶端,如 Outlook Express,來存取郵件。 但是用戶端越來越需要,也要求能利用完整的 Outlook 用戶端功能來存取。
Outlook 及其他 MAPI 用戶端的完整功能Exchange 用戶端、Outlook 與 Outlook Express 都可以使用訊息應用程式發展介面 (MAPI,Messaging application Programming Interface) 與 Exchange 2000 Server 儲存區通訊。 以 MAPI 用戶端連線所提供的功能包括:存取規劃行事曆資訊、壓縮 Word 和 Excel 文件做為電子郵件訊息等等。 大半用戶端不但上班工作時喜歡用 Outlook 用戶端,在家或出外旅遊時也都喜歡用。 但是由於 MAPI 要求是透過遠端程序呼叫 (RPC) 傳送給 Exchange 伺服器,透過 RPC 跨越網際網路連線其實不是很理想,需要考慮的是額外負擔成本與安全性問題。
額外負擔RPC 需要大量的頻寬, 當撥號網路為標準配備時,頻寬成本在時間和金錢兩方面都很高昂。 為了降低額外負擔,犧牲不用 RPC 所提供的某些功能,如規劃行事曆,也還算合理。 但推出負載量更大而且更快速的網際網路連線,透過寬頻提供廠商讓人使用以後,延遲不再是太嚴重的問題,而 RPC 也成為更理想的工具。
安全性按照以往一般慣例,Exchange 的 RPC 連線並未視為安全連線。 這是因為在此方法中,服務指派給動態連接埠的方式所造成。 按照預設的情況,沒有辦法預料將與 Exchange 服務關聯的連接埠是哪一個。 雖然服務可以鎖入範圍中,但必須要有額外的組態設定與額外的系統管理負擔。 按照預設的情況,伺服器上 Exchange 通用獨一識別碼 (UUID) 是由 RPC 結束點對應程式所註冊,所有 Exchange 用戶端都知道; 其他服務,如 Active Directory 複寫功能,也已註冊 UUID。 每個 UUID 都確保應用程式可以跨越分散式環境,在用戶端和伺服器兩方上識別,以確保相容性與交互操作性。 當 MAPI 用戶端使用 RPC 與 Exchange 伺服器連線時,首先會連絡連接埠 135/tcp,它可將用戶端連線到 RPC 結束點對應程式。 結束點應用程式在提供 UUID 供 Exchange 檢視時,會提供給用戶端註冊 Exchange 服務的通訊連接埠。 這個連接埠的範圍可以從 1024 到 65535。這個動態連接埠指派需要防火牆允許從 1024 到 655535 的所有輸出連線,這種情況會將安全防火牆轉變成不安全的情況。 系統管理員很不願意開放這麼多連接埠。
如本文件稍後說明,ISA Server 2000 提供安全方法,可以為 MAPI 用戶端發佈 Exchange。
RPC 的優缺點
RPC 發佈允許全功能存取 Outlook 2000 與 Outlook 2002 用戶端。 它提供郵件服務的安全存取,而毋需管理 VPN 連線的額外負擔。
但是若用戶端設在另一個防火牆後面,阻止存取 RPC 連線所需的動態高層次連接埠,RPC 還是可能會發生問題。
RPC 發佈無法讓不使用 MAPI 用戶端的用戶端執行存取作業。 使用者若從瀏覽器或 Outlook Express 連線,就無法善加利用 Outlook 功能,如規劃行事曆與郵件通知。
使用 POP3 或 IMAP4 用戶端僅限郵件存取許多用戶端需要存取電子郵件,但通常會不想要或不需要完整的 MAPI 用戶端功能。 與郵局通訊協定,第 3 版 (POP3) 及網際網路訊息存取通訊協定 (IMAP4) 連線可提供快速、可靠的工具,以取得電子郵件訊息。 POP3 是業界標準。 用戶端從 Exchange 伺服器下載電子郵件訊息,以便在與伺服器連線中斷時加以使用。 IMAP4 在伺服器本身就提供郵件存取,也提供只下載訊息標題的功能,以便快速存取。 但是這個功能需要與 Exchange 伺服器之間建立更持續的連線。 Outlook Express 使用 POP3 和 IMAP4,今天市面上所提供的大部份其他郵件閱讀程式也是如此。 網路電子郵件入口網站提供與 POP3 和 IMAP4 訊息儲存區連線的功能,並將數個帳戶的電子郵件訊息合併在一起。 ISA Server 2000 中包含「安全郵件發佈精靈」,很容易就能設定發佈郵件的通訊協定。
POP3 或 IMAP4 存取的優缺點
大部分的用戶端都支援 POP3 或 IMAP4,提供這些方法來存取電子郵件訊息, 但電子郵件存取是唯一的功能。 規劃行事曆、工作清單,或公用資料夾都無法使用。
使用 OWA 進行網路存取許多地方都有網路咖啡廳或公用資訊站提供網際網路連線瀏覽器。 這些設定提供透過網頁,咸稱 Exchange Outlook Web Access (OWA),存取電子郵件與 Exchange 公用資訊儲存區。 在這種情況下,使用者可以從一般瀏覽器查看電子郵件,但是必須要有 Internet Explorer 5.0 或以上版本,才能充份利用所有功能。 OWA 依預設是在 Exchange 2000 Server 上加以設定,並不需要在標準 HTTP 連接埠 80 或是 SSL 存取的連接埠 443 (比較理想,可以保障網路安全) 以外,再開啟連接埠。
雖然 OWA 很容易使用,但卻不具備 MAPI 用戶端所擁有的相同功能。 郵件規則、日誌項目和拼音檢查都無法使用。 雖然可以使用行事曆、工作清單和會議項目,但卻沒有在 Outlook 中可以使用的相同功能。
OWA 的優缺點
您可以使用 OWA,在幾乎所有與網際網路連線的瀏覽器上存取電子郵件,也就是說,您可以從任何網路咖啡廳、會議資訊站或 Web 式的電話系統,存取公司的電子郵件、行事曆和工作。
缺點是功能有限。 不支援離線存取電子郵件,行事曆的支援也有限。 下表強調顯示 Outlook Web Access 2000 的一些優缺點。本表假設 OWA 是在 Exchange 2000 SP2 或以上版本執行,而且是以 Internet Explorer 5 或以上版本進行存取。
優點缺點信箱和公用資料夾存取,包括連絡人和行事曆項目
沒有進階安全性 (S/MIME)
新郵件通知和行事曆提醒
無離線模式
編輯 HTML 電子郵件訊息的 Rich Text
無法建立新的公用資料夾
供檢視及錄製的多媒體控制項
無法使用 Outlook 規則和回收郵件,也無法復原已刪除的項目
透過 URL 存取郵件
沒有日誌、附註或工作
信箱資料夾之間的拖放功能
只能存取 Exchange 2000 Server 信箱
前端與後端伺服器組態設定支援
無法開啟其他使用者的信箱資料夾
郵件答錄機與預覽窗格
開始撥接時速度緩慢
使用包含在 ISA Server 2000 Feature Pack 1 之中的 OWA 發佈精靈,便可輕鬆設定 OWA。
Exchange Server 組態設定
Microsoft Exchange 2000 Server 滿足個人與企業使用者的訊息傳送與協同作業需求。 Exchange 2000 Server 提供許多機會:如廣泛收集支援的通用通訊協定,讓用戶端輕鬆設定組態、無限制的資料儲存區、功能加強的 Outlook Web Access、多重虛擬伺服器功能,以及 Active Directory 整合等。 只要掌握了解 Exchange 2000 Server,就能讓外部使用者存取電子郵件,而毋需事先決定 ISA Server 的組態。 本節內容說明:如何最佳化設定 Exchange 2000 Server、如何發揮利用 SMTP 和 HTTP 虛擬伺服器等關鍵元件,以及在網路上設 Exchange 2000 Server 的位置,以便為訊息傳送平台提供最理想的安全防護。
如需取得有關在此概述之案例組態設定的逐步指示說明,請參閱功能套件中所附的案例文件。
已定義的最佳組態設定本節的主要目標之一是:建立對 Exchange 2000 Server 組態設定的基本了解。 這項資訊提供基礎,避免在使用本文所提供案例時產生問題或有不一致的情形。 每一個網路都是唯一且獨立於其他網路,但以 Windows 為基礎之伺服器與 Exchange 伺服器的組態設定則不需強調其獨立性。
Service Pack 是發表供每一個 Microsoft 核心作業系統與伺服器產品使用。 Service Pack 一般都是收集到 Service Pack 發行日期為止,最新的所有已知 Hotfix 與安全性修補程式。 最根本的改變是:Service Pack 不再包含新功能。 只要比較 Exchange 2000 Server Service Pack 2 與 Service Pack 3,就可以很明顯地看出這項改變。Exchange 2000 Server Service Pack 2 是隨附在各種功能的變更一起出貨,尤其是 Outlook Web Access;而 Exchange Service Pack 3 則是完全不附加任何功能。
使用 ISA Server 發佈 Exchange 時若要達到更高的成功機率,必須符合本文提供案例中的下列各項假設:
Windows 2000 上已安裝 Service Pack 2 或以上版本。 (最好是 Service Pack 3) 伺服器是最新版,已套用最新修補程式與安全性 Hotfix。 若已在 Windows 2000 與 Exchange 2000 Server 上安裝 Service Pack 3,目前並不需要另外再安裝 Hotfix 或安全性更新。 如需最新版的修補程式,請參閱 www.microsoft.com/taiwan/security/。 Exchange 2000 Server 上已安裝 Service Pack 2 或以上版本。 (最好是 Service Pack 3) Exchange 安全性顧慮設定 Exchange 2000 Server 時,伺服器的安全性很重要。 Exchange 2000 Server 一般最擔心的安全性問題之一是 SMTP 轉送。 SMTP 轉送表示郵件伺服器允許 Exchange 2000 Server 郵件用戶端,傳送郵件給外部組織的使用者。 雖然有些情況需要轉送,大部分的公司都會避免使用這項設定。 因為這樣會開放郵件伺服器,垃圾電子郵件訊息就能長驅直入轉送進來,會像是從您的郵件伺服器發信傳遞郵件一樣。 SMTP 轉送必須仔細加以控制及監視,以免伺服器允許發送垃圾電子郵件。 如需更多有關 SMTP 轉送的資訊,請參閱 Microsoft Exchange Server 網站 (http://www.microsoft.com/taiwan/exchange/)
Exchange Server 5.5 與 Exchange 2000 Server 的預設值會有差異。 本概觀中會考量 Exchange 2000 Server 中的 SMTP 轉送預設組態設定。 如需 Exchange Server 5.5 中與 SMTP 轉送相關的資訊,請參閱 Microsoft TechNet 網站,網址為:www.microsoft.com/taiwan/technet。
依預設,Exchange 伺服器會自動設定為只有已驗證的使用者,才能透過 Exchange 伺服器轉送郵件。
由於只有已驗證的使用者,才能透過 Exchange 伺服器轉送郵件,所以只有內部使用者,才能傳送郵件給外部對象。 組織以外的人可以傳送電子郵件訊息給內部使用者,但不能傳送電子郵件訊息給不同組織的人。
若不確定是否已設定 Exchange 伺服器來處理 SMTP 轉送,請查驗組態設定。 若發現伺服器已經設定為開放轉送有一段時間,很可能伺服器已經被加在網路濫用資料庫中。 若要判斷郵件領域是否已被加在此類型的資料庫中,請參閱 http://www.abuse.net。 您也可以在 Microsoft knowledge base 文件 249266 (http://support.microsoft.com/default.aspx?scid=KB;ZH-TW;249266%26amp;) 中找到其他相關資訊。
請遵循下列常用程序,更嚴密保護訊息傳送基礎架構的完整性:
適時安裝修補程式。 使用白皮書、查核表以及 IISLockdown 和 URLScan 等工具所提供的資訊,讓伺服器更強固。 關閉未使用的通訊協定與服務。 例如,若 Exchange 只供 SMTP 使用,就關閉 POP3、IMAP4 和 HTTP 通訊協定。 使用 Exchange 系統原則與郵件追蹤來維護記錄活動的設定。 保持取得病毒發佈的最新消息,下載最新病毒定義,以保護伺服器不受網路病毒傳遞侵害。 確保所有進入點的安性性,以保護網路。 在網路上使用強固、複雜的密碼。 Exchange 內部設置發佈 Exchange 服務時,可能涉入的通訊協定包括 SMTP、HTTP (OWA) 和 RPC。 Exchange 2000 Server 上這些通訊協定的組態定義了存取類型與使用者擁有的選擇。 Exchange 2000 Server 支援虛擬伺服器 (SMTP、HTTP、IMAP4、POP3 和 NNTP)。 新版 Exchange 與舊版不同,在舊版中只有單一伺服器,只能使用一個通訊協定實體;引進虛擬伺服器以後,系統管理員可以在 Exchange 伺服器上,定義單一通訊協定的多個虛擬伺服器。 虛擬伺服器是利用結合通訊協定與連接埠的方式,來執行這項作業。 例如,SMTP 伺服器會依預設接聽 SMTP 和連接埠 25 傳輸。
SMTP 虛擬伺服器SMTP 虛擬伺服器定義郵件從組織流出的方式,因為系統管理員可以設定選項,如驗證、轉送與存取控制。 簡易郵件傳送通訊協定 (SMTP) 是原始通訊協定,已經成為在郵件伺服器之間傳輸網際網路郵件的標準。 安裝 Exchange 2000 Server 時會依預設安裝 SMTP 虛擬伺服器,而且已準備好開始傳送郵件,毋需修改任何屬性設定。
SMTP 虛擬伺服器有四個可設定資訊的索引標籤。 請注意在 ISA Server 電腦之後,保證最受關切,以及在發佈 Exchange 伺服器會有最大風險的設定。 下表定義在設定 Exchange 2000 Server SMTP 虛擬伺服器時,要審查的關鍵屬性設定。
屬性位置說明輸出安全性
[傳遞] 索引標籤 | [輸出安全性]
定義 SMTP 虛擬伺服器傳遞郵件給其他 SMTP 伺服器的方式。
智慧主機
[傳遞] 索引標籤 | [進階]
SMTP 伺服器必須能夠解析使用 DNS 的外部郵件網域。 解析可以設定,以便讓 SMTP 伺服器傳送查詢給:
根據 TCP/ip 屬性之慣用 DNS 伺服器設定的內部 DNS 伺服器。 在 [進階] 索引標籤上設定的外部 DNS 伺服器。 外部 SMTP 伺服器智慧主機,一般是負責為 ISP 解析郵件網域的 SMTP 伺服器。
轉送限制
[存取] 索引標籤 | [轉送]
定義允許透過 SMTP 虛擬伺服器轉送郵件的電腦。 可以按網域、個別 IP 位址或子網路指定。
若要阻止不必要的存取,請了解 SMTP 虛擬伺服器的屬性,決定郵件伺服器轉送郵件的方式,並確實設定所有適當層次的驗證。
HTTP 虛擬伺服器Outlook Web Access 使用 HTTP 虛擬伺服器。 超文字傳輸協定 (HTTP) 是用在網際網路上,傳送及接收 HTML 文件的用戶端/伺服器通訊協定。 HTTP 是在連接埠 80 上作業,一般人大部份是透過這項媒介與網際網路連線。
HTTP 虛擬伺服器是在安裝 Exchange 2000 Server 時自動設定,提供 Outlook Web Access 供人使用。
無法從 Exchange 系統管理員內設定 HTTP 虛擬伺服器,任何嘗試都會產生以下訊息:
您必須使用 IIS Admin 來管理此「虛擬伺服器」設定。
HTTP 虛擬伺服器是虛擬目錄組合,這些目錄與位於「Internet 服務管理員」主控台中的預設網站一起安裝。
組成 Outlook Web Access 的虛擬目錄包括:
/Exchange - 提供信箱的網頁瀏覽器存取。 /Exchweb - 提供存取實際 Exchange 應用程式的開發人員程式碼。
/Public - 提供公用資料夾的網頁瀏覽器存取。 跟有許多設定選項的 SMTP 虛擬伺服器比較之下,建議不要修改 HTTP 虛擬伺服器屬性設定。 HTTP 虛擬伺服器的屬性並不需要編輯。 更有效保護 OWA 存取安全的方式是:利用前端後端模式,並使用 SSL 在網際網路用戶端與 OWA 前端伺服器之間進行通訊。 同時,由於 HTTP 虛擬伺服器是 IIS 中虛擬目錄的組合,請安裝 IIS 鎖定工具,以進一步加強保護 IIS。
用戶端存取 Outlook Web Access 是按預設啟動。 若要在離開辦公室時限制與 OWA 的連線,可以在信箱層次關閉 HTTP 通訊協定,不要使用。
修改此預設值
開啟 [Active Directory 使用者和電腦],找出要禁止存取 OWA 的使用者帳戶,在該帳戶上按一下滑鼠右鍵,然後再按 [屬性]。 按一下 [Exchange 進階] 索引標籤,再按一下 [通訊協定設定]。 注意 只有在 [Active Directory 使用者和電腦] 的 [檢視] 功能表中選取 [進階功能] 後,才會顯示 [Exchange 進階] 索引標籤。
按一下 [HTTP],然後按一下 [設定]。 在預設情況下,會選取 [啟用信箱核取方塊]。 清除此選項,以關閉單一使用者的 OWA,然後按 [確定]。 前端 (存取) 與後端 (儲存) 交換解決方案有了 Exchange 2000 Server 企業版,公司可以建立前端後端解決方案,主要是提供單一存取點和命名空間,以供使用者在與 Exchange 連線時參考。 這種解決方案在允許使用者透過網際網路連接郵件時很有用。
前端伺服器是不包含任何信箱的 Exchange 2000 Server。 最主要的目的就是將用戶端的要求以 Proxy 送至適當的後端伺服器。 由於前端伺服器正在為用戶端進行 Proxy 要求,且不包含使用者資料,伺服器可以放在網路上的多個位置上。 前端伺服器可以放在 ISA Server 防火牆之前或之後,也可以放在周邊網路中 (也稱為「非戰區 (DMZ)」,或「受監視的子網路」),位於兩道 ISA Server 防火牆之間。
注意 本文提供的案例專注於背靠背 ISA 環境中的前端後端解決方案設定上。
後端 Exchange 伺服器所包含的信箱儲存區和公用資料夾與任何典型 Exchange 伺服器一樣。 系統管理員可以實作前端後端解決方案,卸載後端伺服器上的 SSL 活動,並透過 ISA Server 控制可以直接處理送到後端伺服器的傳輸類型,以提供加強的保護。 後端 Exchange 伺服器可以有一個或多個,依您的環境和所需資料儲存區數目而定。
當使用者透過網際網路與前端伺服器連線,前端伺服器必須決定使用者信箱所在的後端伺服器。 這項通訊作業是透過執行 LDAP 查詢來完成,查詢是從前端伺服器到位於內部網路上的 Windows 2000 網域控制站。 內部網域控制站參考 Active Directory 資料庫,以判斷信箱的確切位置。
只有 HTTP、IMAP4 和 POP3 等用戶端類型可以透過網際網路連線,使用前端後端組態設定。 Outlook Web Access 的 HTTP 用戶端是最典型的類型。 常見的設計是:將前端伺服器放置在位於兩道 ISA Server 防火牆之間的周邊網路中。 後端伺服器與 Active Directory 網域控制站會放置在內部網路上。 為了讓 HTTP、POP3 和 IMAP4 用戶端連線,兩道 ISA 防火牆上都必須開啟以下連接埠:
HTTP (80) 通用類別型錄 (3268) 和 LDAP (389) SSL (443) POP3 (110) SMTP (25) IMAP4 (143) 本文所提供的案例會詳細描述兩道 ISA Server 防火牆上所需要的確切組態,以啟用前端後端解決方案。 如需更多有關前端後端解決方案之定義、設計和組態的資訊,請參閱 Microsoft 白皮書〈Microsoft Exchange 2000 前端與後端技術〉。
Exchange 伺服器位置本節描述一些常見的網路設計,在功能套件所提供的案例中會有更詳細的論述。
Exchange 與 ISA Server 位於相同位置。 Exchange 位於 ISA Server 電腦之後的內部網路上。 Exchange 與 ISA Server 位於相同位置將 Exchange 2000 Server 安裝在 ISA Server 電腦上是常見的現象。 這是因為硬體或預算有限,或是使用了 Small Business Server 2000 的關係。
下圖闡明 Exchange 與 ISA Server 位於相同伺服器上的設計。
Exchange 位於 ISA Server 電腦之後的內部網路上最常使用的設計是將 Exchange 2000 Server 放在 ISA 防火牆之後的內部伺服器上。 ISA 防火牆是設定為發佈 Exchange 服務,並攔截適當傳輸,然後導向 Exchange 伺服器的內部 IP 位址。
下圖闡明 Exchange 位於 ISA 防火牆之後另一個內部伺服器上的設計。
基礎架構需求
Exchange 2000 Server 與舊版大不相同。 使用本文案例來發佈 ISA Server 電腦之後的 Exchange 服務時,要涉及許多項目,才能確保用戶端可以在離開辦公室時存取他們的電子郵件。 除了 Exchange 2000 Server 和 ISA Server 以外,還要先在網路上檢閱其他項目,才能提供 RPC 與 OWA 給外部使用者基礎使用。
要在網路上檢閱的重要項目包括:
Active Directory DNS 路由器 Active DirectoryActive Directory 是 Microsoft 的最新版目錄服務,是 Windows 2000 Server 作業系統的一部份。 它提供單一目錄,可以儲存數百萬網路物件,如使用者、群組與電腦。
Exchange ServerExchange 2000 Server 利用 Active Directory 做為目錄服務,也就是說,兩個產品共用相同的目錄。 在舊版 Exchange 中,資料庫以外另有目錄供網路作業系統 (NOS) 使用。 網路系統管理員若要安裝 Exchange 2000 Server,環境中必須已經建立 Active Directory。
將目錄服務從 Exchange Server 5.5 變更到 Exchange 2000 Server 所代表的意義是,公司必須將他們的 NOS 升級,才能升級郵件基礎架構。 有些人就因為這個原因,要升級到 Windows 2000 和 Active Directory;其他人則認為這種相依性表示必須延遲升級為 Exchange 2000 Server。
如需更多有關 Exchange 和 Active Directory 之間相依性的資訊,請參閱 Microsoft Exchange 網站。
ISA ServerISA Server 提供對 Active Directory 的相依性,但其並非強制性。 您可以購買 ISA Server 標準版,並將產品安裝在 Windows NT 或 Windows 2000 環境中,而不需要與 Active Directory 有任何相互關係。 ISA Server 企業版的設計符合企業需求,您可以將產品與 Active Directory 整合在一起。 系統管理員若要建立 ISA Server 陣列 (一個或多個 ISA Server 電腦共同分享快取記憶體),就必須要有 Active Directory。 為了建立 ISA Server 陣列,ISA Server 中包含「企業初始化工具」,用來準備及擴充 Active Directory 架構,將必要擴充程式載入目錄中。
本文件後半部以及功能套件中附含的案例手冊假設下列各項:
Windows 2000 與 Active Directory 已部署在網路環境中。 Exchange 2000 Server 至少已安裝了 Service Pack 2。(最好是 Service Pack 3) ISA Server 2000 已安裝最新的 Service Pack。 DNS網域名稱系統 (DNS) 是必要元件,可以確保 Exchange 郵件如預期地順利送進送出組織。 Microsoft ISA Server 新聞群組公佈了很多有關 DNS 及其在環境中位置的訊息。
定義在案例中使用了下列詞彙:
DNS。 為組織成網域階層結構之電腦與網路服務命名的系統。 DNS 命名是用在 TCP/IP 網路中,如網際網路,透過好記名稱,找出電腦與服務。 遞迴查詢。 受查詢時,名稱伺服器會受到正式請求,回應有關網域名稱的資訊,或是該網域名稱根本不存在的事實。 要求不能指向另一個名稱伺服器。 互動式查詢。 由要求者提出查詢時,名稱伺服器會根據可用的資訊,傳回所能提供的最佳回答。 這個回答可能是確切的名稱,也可能是指向有更多資訊的另一個名稱伺服器。 分割 DNS。 這種設計由兩個各自更新的獨立 DNS 伺服器組成。 內部伺服器包含組織內所有 DNS 名稱的資料庫,而外部伺服器解析名稱,應付存在外部的各種事項,如電子郵件轉寄與網頁伺服器。 轉寄站。 一個或多個名稱伺服器的 IP 位址,是此名稱伺服器要傳送所有查詢與回應的目的地。 了解 DNS做為 Exchange 系統管理員必須了解:SMTP 是依靠 DNS 才能有效傳送使用者的郵件至外部網域。 例如,組織以內的使用者若要傳送郵件給組織以外的另一個使用者,SMTP 伺服器必須查詢 DNS 伺服器,可以轉寄要求,解析外部網域的 IP 位址,也可以設定為使用智慧主機。 智慧主機是遠端伺服器,Exchange 伺服器可以將本來要給特定遠端網域或路由群組的訊息傳輸給它。 基本上,智慧主機是做為轉送站,其作業方式是:Exchange 伺服器傳送郵件給智慧主機,再轉由智慧主機負責使用 DNS,繼續傳送郵件到目的地。
若要用 ISA Server 順利發佈 Exchange 服務,Microsoft 建議將 DNS 環境以「分割 DNS」設計方式設定。 上文已經定義,分割 DNS 包含兩個 DNS 伺服器:一個位於內部供伺服器尋找彼此及 Active Directory,另一個位於外部供 SMTP 伺服器尋找任何一處的郵件網域。 內部 DNS 伺服器位於 ISA Server 電腦之後,而外部 DNS 伺服器則位於 ISA Server 電腦之前。
ISA Server 用戶端選擇要在內部網路上使用哪個 ISA 用戶端時,DNS 名稱解析是主要考量。 下表概要敘述各 ISA 用戶端如何執行 DNS 名稱解析。
ISA Server 用戶端名稱解析方法SecureNAT 用戶端
依環境而定。 需要提供用戶端內部 DNS 伺服器,或是設定 ISA Server,直接將 DNS 查詢從用戶端傳送到外部 DNS 伺服器。
Web Proxy 用戶端
可以讓 ISA Server Web Proxy 服務提供簡單的 DNS 功能。 以 ISA Server 本身電腦上的 DNS 組態為基礎。
Firewall 用戶端
可以讓 ISA Server Firewall 服務提供簡單的 DNS 功能。 以 ISA Server 本身電腦上的 DNS 組態為基礎。
路由器 在允許終端使用者存取電子郵件訊息的基礎架構中,透過網路上的各種不同層級來傳送傳輸是很重要的。 每個客戶的路由拓樸各有不同,有些組織可能有簡單的平面網路,而其他組織則可能有複雜的區段網路。 如何設定路由器,透過內部、周邊與外部網路傳送傳輸,可以在從組織以外使用者傳送郵件時,防止郵件送到您的 Exchange 伺服器。 了解路由器以及路由器的設定方式,有助識別及避免這些問題,確保郵件能夠成功傳遞。
定義路由器。 結合多個網路的實體裝置。 路由器介面是指定給 IP 位址。 這個位址便是其所服務之網路區段的預設閘道。
路由需求開始執行本文提供的案例以前:
設定已發佈的 Exchange、OWA 和 SMTP 伺服器做為 SecureNAT 用戶端。 安裝 ISA Server 以前,建立所有內部網路的路由。 設定 SecureNAT 用戶端若要適當地路由傳輸,必須正確設定 SecureNAT 用戶端的預設閘道。 組態設定依網路技術而不同:
簡單網路。 簡單的網路拓樸在 SecureNAT 用戶端與 ISA Server 電腦之間,沒有設定路由器。 複雜網路。 複雜網路拓樸在 SecureNAT 用戶端與 ISA Server 電腦之間,會設定一個或多個路由器來橋接多個子網路。 確定路由器不是設定為捨棄送往網際網路目的地之傳輸。 下表顯示如何根據網路拓樸來設定預設閘道,以確保傳送成功。
拓樸已定義的組態簡單
將 SecureNAT 用戶端上的預設閘道位址設定為 ISA Server 電腦上內部網路介面卡的指定 IP 位址。
複雜
將 SecureNAT 用戶端上的預設閘道位址設定為介於 SecureNAT 用戶端與 ISA Server 電腦之間鏈結中最後路由器的指定 IP 位址。
Route Add 指令在複雜網路上,為內部網路上的所有網路區段定義 ISA Server 路由。 路由表可以使用 ROUTE ADD 指令,或使用動態路由通訊協定 (如 Routing Information Protocol (RIP)),手動填入。
ROUTE ADD 指令的語法如下:
ROUTE ADD「目的地網路 ID」MASK「預設閘道 IP 位址」
ISA Server 組態
ISA Server 2000 提供兩種基本功能: 提升速度,讓用戶端能夠存取網際網路內容,並提供安全防火牆,在提供內容送入及送出私人網路時,保護內部資源。 ISA Server 是應用程式層級防火牆,可以提供 Exchange 服務給外部用戶端使用。
如需取得有關設定本文件所描述案例的逐步指示說明,請參閱功能套件中所包含的案例文件記錄。
已定義的最佳組態設定Exchange 環境最安全的組態設定是,只提供用戶端所需存取權的設定,除此之外無他:
只有指定的內部伺服器可以在公司以外傳送資訊。 在公司以外所能看見的伺服器只有 ISA Server 電腦。 只有允許 RPC、OWA 和 SMTP 傳輸的三個連接埠可以在公司以外看見。 只允許輸出 SMTP 和 DNS 傳輸。 所有網頁傳輸都是安全的。 訊息過濾器是設定為篩選掉不想要的郵件。 限制潛在洩漏資料的點,也就是限制使用用戶端位址集和通訊協定規則,存取及進出網路。 「用戶端位址集」指定將與網際網路通訊的內部伺服器。 若要發佈 Exchange,只能建立一個包含所有橋頭伺服器 IP 位址的用戶端位址集。 此時的橋頭伺服器是做為傳送 SMTP 郵件出入網際網路的訊息傳輸點伺服器。 然後再建立「通訊協定規則」,只允許特定通訊協定定義 (例如 HTTP 或 SMTP) 進出網路。 只有必要的通訊協定定義才允許存取進入網路中。 其他所有傳輸都加以阻擋。
限制傳出傳輸ISA Server 2000 只建立輸出連線的連接埠。 輸入傳回傳輸並未加以阻檔,因為 ISA Server 可以在異動期間,動態開啟連接埠。 確保只有輸出的 SMTP 和 DNS 傳輸,才允許從 Exchange 伺服器輸出,以限制來自內部網路的資訊類型。 Exchange 只需要下列通訊協定: 必須有 SMTP 輸出傳輸,才能傳送電子郵件訊息給公司外面的收件者;必須允許 DNS 傳輸,以便讓內部 DNS 伺服器執行 DNS 查詢來解析 FQDN。
限制可見連接埠ISA Server 2000 要求只看見 TCP 連接埠 25、135 和 443,以便只提供必要的存取。 連接埠 25 允許輸入 SMTP 傳輸,以便接收來自公司外面的電子郵件。 可以更進一部使用內建訊息過濾器來保護 SMTP 傳輸,下文會有更詳細的論述。 必須要有連接埠 135,來自 MAPI 用戶端的 RPC 要求才能存取端點對應程式服務,讓用戶端在動態指定的高層次連接埠上,與 Exchange 服務連線。
LAT 需求本機位址表 (LAT) 定義 ISA Server 如何解譯屬於網路內部的電腦位址,以及屬於網路外部的電腦位址。 LAT 透過指定在 ISA Server 防火牆界限之內的 IP 位址範圍,提供安全基礎架構的基礎。 只要是在 LAT 以外,都會受限於 ISA Server 所訂定的限制。 ISA Server 組態的 LAT 將包含 Exchange 服務需要的所有伺服器,包括:Exchange、SMTP、Active Directory 與內部 DNS 伺服器。
ISA 伺服器發佈伺服器發佈是 ISA Server 2000 讓用戶端能夠在網際網路上使用內部伺服器的一種方式。 ISA Server 會處理所有已發佈內部伺服器的網際網路用戶端要求,外表看起來好像 ISA Server 是外部用戶端的 Exchange 伺服器。 然後 ISA Server 會傳送要求給 Exchange 伺服器,再將回應傳回用戶端。 ISA Server 可以執行轉寄與反轉 Proxy 功能。 轉寄 Proxy 使得外部內容選擇性地提供給內部用戶端使用。 在發佈 Exchange 時,ISA Server 是做為反轉 Proxy 伺服器,使得內部內容能夠提供給外部用戶端使用。 伺服器與網頁發佈都是用來執行這些反轉的 Proxy 功能。 網頁發佈只用來提供 OWA 給網際網路用戶端使用。 伺服器發佈是用來提供 Exchange 給 MAPI、POP3 與 IMAP4 用戶端使用。
ISA Server 發佈的運作方式試考量:在某案例中,執行 Outlook Express 的用戶端電腦需要與其 Exchange 伺服器連線。 Exchange 伺服器的 IP 位址是 10.1.1.22。 ISA Server 電腦有內部位址 (10.1.1.33) 可與區域網路連線通訊,也有外部位址 (68.79.25.25) 可與網際網路連線通訊。
用戶端電腦向 Exchange 伺服器要求內容,伺服器的 IP 位址是使用連接埠 25 (SMTP 要求的預設值),以 ISA Server 電腦的形式傳回。 ISA Server 電腦是在連接埠 25 上接聽。它接收要求,而因為發佈的規則,認出要求是在連接埠 25 上發出,而且內容是傳送到 Exchange 伺服器。 Exchange 伺服器處理要求,然後將內容傳回給 ISA Server 電腦,該電腦再轉寄給用戶端。 Exchange 伺服器必須設定為 SecureNAT 用戶端 (也就是說,必須有設定為其預設閘道的 ISA Server 電腦 IP 位址)。 存取原則ISA Server 使用三種不同的規則,來控制 LAT 電腦的內部使用者可以存取的網際網路網站內容、能夠使用的連接埠,以及輸出與輸入網路的傳輸類型。
網站與內容規則「網站與內容規則」決定您的伺服器能造訪的外部網站,以及所能存取的內容。 必須有一條規則允許存取所有網站,因為不可能預測所有郵件伺服器的名稱。 若有不希望用戶端存取的特定網站,就需要建立「目的地集」,其中透過如 *.nwtraders.com 的網域名稱,或是以 IP 位址來定義網際網路目的地。 然後再設定網站與內容規則,拒絕存取該目的地集。
通訊協定規則通訊協定的定義方式是:指定 UDP 或 TCP 連接埠號碼或範圍,並指定存取是從網際網路傳送進來 (輸入) 或是從區域網路傳送出去 (輸出)。 ISA Server 隨附有事先設定,已定義最常用的通訊協定,如 HTTP、DNS 和 SMTP。 「通訊協定規則」定義 ISA Server 電腦將允許傳送進出網際網路的通訊協定。 您會想在 ISA Server 中,為 Exchange、DNS 與 SMTP 伺服器定義通訊協定規則,只允許輸入存取連接埠 25、135 和 443,以及輸出存取連接埠 25 和 53。
封包篩選器「封包篩選器」是一項工具,可以從特定連接埠靜態地開啟或封鎖存取出入。 啟用封包篩選以提供最安全的環境,因為除了明確允許的封包外,它可以阻止任何封包跨越防火牆界限。 封包篩選並不是依預設啟用。 一般來說,只有在周邊網路中的電腦上設定 Exchange 後,才需要定義封包篩選器,這種設定會將 Exchange 伺服器與內部網路及有 ISA Server 電腦的網際網路分隔開。 如需有關定義特定封包篩選器的資訊,請參閱功能套件文件資料中提供的其他案例。
封包篩選與伺服器發佈的相異處因為封包篩選器是靜態地開啟連接埠,只有在絕對必要時,才加以使用。 封包篩選器與網站及內容、通訊協定和發佈規則不同,後者是動態或視需要才開啟及關閉。 伺服器發佈規則提供強化的安全性,因為它比封包篩選器更為明確。 伺服器發佈並不是永遠透過靜態對應提供通訊協定或連接埠讓人使用,而是能夠指定到這些連接埠的傳輸連線,只能在特定條件下,導向特定內部伺服器。
不過,下列情況必須要有封包篩選器:
正在執行三重主機周邊網路。 需要發佈在 ISA Server 本身上執行的服務。 需要在 TCP 或 UDP 之外,提供其他通訊協定讓人使用。 使用郵件伺服器安全性精靈,設定發佈規則伺服器發佈讓您的 Exchange 伺服器可在組織外面使用。 ISA Server 精靈可以協助建立 Exchange 伺服器的發佈規則。
郵件伺服器安全性精靈設定要在網際網路上迅速、可靠地發佈 Exchange 服務的所有必要元件。
SMTP 篩選器與訊息過濾器ISA Server 包括兩個元件,可以協助阻止網路上的郵件轉送、病毒侵入,及不想要的附件,它們是: SMTP 篩選器與訊息過濾器。
SMTP 篩選器的目的是透過攔截送達連接埠 25 上的所有 SMTP 傳輸,允許篩選 SMTP 動詞命令與使用者/網域來存取網路。SMTP 應用程式篩選器是用 ISA Server 安裝,但依預設應為停用狀態。
SMTP 篩選永遠位於 ISA Server 電腦上。 當 SMTP 傳輸送達 ISA Server 電腦上時,傳輸是按照已設定的規則進行分析,若允許時,再繼續傳送下去。
相對地,訊息過濾器的目的是在於篩選顯示在 SMTP 篩選屬性中,其他索引標籤上的關鍵字與附件。 訊息過濾器設定時更複雜,因為它只能安裝在 IIS 5.0 SMTP 伺服器上。 這個伺服器並不一定要是 ISA Server 電腦。 例如,訊息過濾器可以安裝在 ISA Server 電腦上、在 Exchange 2000 Server 電腦上,或任何其他內部 IIS 5.0 SMTP 伺服器上。 最好是在不執行 Exchange 2000 Server 的內部 SMTP 伺服器上安裝訊息過濾器。