Microsoft%26reg; Exchange Server 為使用者提供了重要的資訊。生產力及效能的關鍵不僅是能夠存取電子郵件,還要可以存取連絡人資訊、工作清單以及公用資料夾資訊。位在公司網路之外,往往代表此資訊的存取是特別重要的。存取 Exchange 完整功能的唯一方法,就是透過 Microsoft Outlook%26reg; 2000 或 Outlook 2002 用戶端。
透過防火牆存取 Exchange 伺服器是相當危險的方法,因為大部份的防火牆都是靠靜態地對應連接埠。ISA Server 使用其 RPC 應用程式篩選器,以便安全地發行 Exchange 伺服器。
本文件說明了設定 ISA Server 的逐步程序,讓 Outlook 2000 及 Outlook 2002 用戶端可以安全地連線到位於 ISA Server 防火牆後面的 Exchange 2000 Server 電腦。
此案例所採用的 ISA Server 設定是位於 ISA Server 電腦後面的 Exchange Server 電腦。
程序以下各節詳述將 ISA Server 設定為允許 RPC 連線能力所需要的步驟:
設定網域名稱系統 (DNS) 設定 Exchange 伺服器做為 SecureNAT 用戶端 檢閱本機位址表格 (LAT) 建立網站及內容規則 設定用戶端位址集 建立通訊協定規則 變更驗證方法 建立伺服器發行規則 準備工作在您開始之前,請先收集下列資訊:
ISA Server 電腦的內部與外部 ip 位址 內部與外部 DNS 伺服器的 IP 位址 您的 Exchange 伺服器名稱 您的 Exchange Server 登入 ID 及密碼 注意 不支援的設定
Exchange 2000 前端伺服器不會處理 MAPI 遠端程序呼叫。所有 MAPI 連線能力均必須將通訊從 Outlook 用戶端路由到後端的 Exchange 伺服器。 如果 Exchange 和 ISA Server 是安裝在相同的電腦上,MAPI 用戶端便無法使用 RPC 存取 Exchange。 步驟 1:設定 DNS在您開始設定任何的 ISA Server 元件之前,必須先確定您的 DNS 基礎結構將會支援 MAPI 用戶端存取。檢查 DNS,以確保 Exchange 伺服器的主機 (A) 記錄是存在於您的外部 DNS 伺服器上。
若要設定 DNS
在 DNS 伺服器上,按一下 [開始],按一下 [設定],然後按一下 [系統管理工具]。 按一下 [DNS] 圖示。 展開外部 DNS 伺服器節點。 展開您正在使用的命名空間,例如 exchange.nwtraders.com。 按兩下 Exchange 伺服器的記錄。 確定 Exchange 伺服器的主機名稱是指向 ISA Server 電腦的外部 IP 位址。 注意 如果 Exchange 伺服器的主機名稱在內部及外部 DNS 電腦上均不同,請在用戶端電腦上的「主機」檔案中建立項目,使用 ISA Server 電腦的外部 IP 位址解析 Exchange 伺服器的 NetBIOS 名稱。
步驟 2:設定 Exchange 伺服器做為 SecureNAT 用戶端若要讓 Exchange 伺服器能夠成功進行通訊,必須將它設定為 SecureNAT (網路位址轉譯) 用戶端。這種類型的用戶端會使用其預設的閘道路由傳送網際網路流量。
若要設定 Exchange 伺服器做為 SecureNAT 用戶端
在 Exchange 伺服器上,按一下 [開始],按一下 [設定],然後按一下 [控制台]。 開啟 [網路和撥號連線] 應用程式。 在 Exchange 伺服器的 LAN 連線上按滑鼠右鍵,然後按一下 [內容]。連線的 [網際網路連線內容] 頁便會出現。 反白 [網際網路通訊協定 (TCP/IP)] 選項,然後按一下 [內容]。 如果您設定的是「簡易網路」,其中,沒有路由器會區分 Exchange 伺服器與 ISA Server 電腦,請將 [預設閘道] 設定為 ISA Server 電腦的內部 IP 位址。 如果您設定的是「複雜網路」,其中,路由器會區分 Exchange 伺服器與 ISA Server 電腦,請將 Exchange 伺服器的 [預設閘道] 設定為本機區段路由器的 IP 位址。此外,請確保網際網路所有的流量界限都會路由到 ISA Server 電腦的內部介面。 新增路由對於複雜的網路而言,則建議使用 ISA Server 為內部網路上所有網路區段所定義的路由。路由表可以使用 ROUTE ADD 指令手動擴展,或使用動態路由通訊協定,例如 Routing Information PRotocol (RIP)。
ROUTE ADD 指令的語法如下:
ROUTE ADD 目的地網路 ID遮罩預設閘道 IP 位址
注意 如果您的 Exchange 伺服器收到來自 DHCP 伺服器的保留 IP 位址,便必須在範圍內容中變更預設閘道。
步驟 3:檢閱本機位址表格由於本機位址表 (LAT) 會定義位於內部網路上的伺服器,因此其為安全環境的基本需求。您必須確定使 Exchange 服務能夠運作的所有必要伺服器,均位於 LAT 中。
若要檢閱 LAT
開啟 [ISA Management]。 若是企業安裝,展開 Enterprise 樹狀目錄,然後選擇適當的企業原則。 若是獨立安裝,展開 Servers and Arrays 樹狀目錄,然後展開適當的伺服器或陣列。
展開 Servers and Arrays 樹狀目錄,然後展開適當的伺服器或陣列。 展開 Network Configuration 樹狀目錄,然後按一下 [Local Address Table (LAT)]。 當安裝 ISA Server 時,便會設定 LAT。在詳細資料窗格中,您會看到一系列定義內部網路的 IP 位址。
請確認 Exchange 伺服器、SMTP 伺服器、Active Directory 網域控制站及內部 DNS 伺服器的 IP 位址均在 LAT 中。 如果您需要新增額外的位址或位址集,請依照下列步驟進行: 在 Local Address Table (LAT) 資料夾上按滑鼠右鍵,按一下 [New],然後按一下 [LAT Entry]。 在 [From] 和 [To] 欄位中,輸入 IP 位址的範圍。如果您想要定義個別伺服器,請在兩個欄位中輸入相同的 IP 位址。 為項目提供 [Description],然後按一下 [OK]。 步驟 4:建立網站及內容規則請建立允許內部用戶端存取所有網際網路網站及所有網際網路內容的網站及內容規則。
若要建立網站及內容規則
開啟 [ISA Management]。 若是企業安裝,展開 Enterprise 樹狀目錄,然後選擇適當的企業原則。 若是獨立安裝,展開 Servers and Arrays 樹狀目錄,然後展開適當的伺服器或陣列。
在 [Site and Content Rules] 上按滑鼠右鍵。Site and Content Wizard 便會出現。 為新的網站及內容規則輸入名稱,例如 [Allow All],然後按一下 [Next]。 在精靈 [Rule Action] 頁的 [Allow for the Response to client requests for access] 選項中,選擇 [Allow],然後按一下 [Next]。 在 [Rule Configuration] 索引標籤中,選取 [Allow access based on destination],然後按一下 [Next]。 在 [Destination Sets] 索引標籤中,選擇 [Apple this rule to All destinations],然後按一下 [Next]。 檢閱您的選擇,確認它們都是正確的,然後按一下 [Finish]。 步驟 5:設定用戶端位址集建立用戶端位址集,指定將使用通訊協定規則 (在步驟 6:建立通訊協定規則中加以說明) 的內部 Exchange 伺服器。
若要設定用戶端位址集
開啟 [ISA Management]。 若是企業安裝,展開 Enterprise 樹狀目錄,然後選擇適當的企業原則。 若是獨立安裝,展開 Servers and Arrays 樹狀目錄,然後展開適當的伺服器或陣列。
展開 Policy Elements 樹狀目錄,然後選擇 Client Address Sets 資料夾。 在 Client Address Sets 資料夾上按滑鼠右鍵,按一下 [New],然後按一下 [Set]。 輸入用戶端位址集的 [Name],例如 Microsoft Exchange Servers。 按一下 [Add] 按鈕。 輸入 Exchange 伺服器的 IP 位址,然後按兩次 [OK],關閉兩個對話方塊。 步驟 6:建立通訊協定規則設定可以讓您的內部 Exchange 伺服器與外部伺服器及用戶端進行通訊的通訊協定規則。此規則將允許兩種輸出通訊協定 - DNS 及 SMTP,並且僅套用到您為內部 Exchange 伺服器所建立的用戶端位址集。
若要建立通訊協定規則
開啟 [ISA Management]。 若是企業安裝,展開 Enterprise 樹狀目錄,然後選擇適當的企業原則。 若是獨立安裝,展開 Servers and Arrays 樹狀目錄,然後展開適當的伺服器或陣列。
在 [Protocol Rules] 上按滑鼠右鍵,按一下 [New],然後按一下 [Rule]。 輸入 protocol rule name,說明 Exchange 伺服器通訊協定,然後按一下 [Next]。 選擇 [Allow],然後按一下 [Next]。 在 [Apply this rule to] 中,選擇 [Selected Protocols] 選項。 從 [Protocols] 方塊中選擇 [DNS Query] 及 [SMTP] 選項,然後按一下 [Next]。 選擇 [Always],然後按一下 [Next]。 在 [Client Type] 對話方塊的 [Apply the rule to requests from] 選項中,選擇 [Specific computers (client address sets)],然後按一下 [Next]。 在 [Client Sets] 對話方塊中,按一下 [Add ] 按鈕,選擇定義 Exchange 伺服器的用戶端位址集,然後按一下 [Add ] 按鈕。 按一下 [OK],然後按一下 [Next]。 檢閱您在 [Completing the New Protocol Rule Wizard] 對話方塊中的選擇,然後按一下 [Finish]。 步驟 7:變更驗證方法若要使用內部網域控制站來驗證 Outlook 用戶端,必須將 Exchange 伺服器設定為擔任 Outlook 用戶端的 Proxy。
若要變更驗證方法
在 Exchange Server 電腦上,按一下 [開始] 按鈕,然後按一下 [執行]。 輸入 regedit,然後按一下 [確定]。 移至 HKLM\System\CurrentControlSet\Services\MSExchangeSA\Parameters 機碼。 在 Parameters 機碼上按滑鼠右鍵。 選擇 [新增] 選項,然後選擇 [DWord 值]。 輸入 No RFR Service。 將值設定為 [1]。 步驟 8:建立伺服器發行規則接下來,ISA Server 需要伺服器發行規則,為內部 Exchange 伺服器提供外部 MAPI Outlook 用戶端連線能力。
若要建立伺服器發行規則
開啟 [ISA Management]。 若是企業安裝,展開 Enterprise 樹狀目錄,然後選擇適當的企業原則。 若是獨立安裝,展開 Servers and Arrays 樹狀目錄,然後展開適當的伺服器或陣列。
展開 Publishing 資料夾,然後在 Server Publishing Rules 資料夾上按滑鼠右鍵。按一下 [New],然後按一下 [Rule]。您將會看到 [New Server Publishing Rule Wizard] 對話方塊出現。 輸入 Server publishing rule name,然後按一下 [Next]。 在 [Address Mapping] 對話方塊的適當欄位中,輸入 ISA Server 電腦的內部及外部位址。 在 [Protocol Settings] 對話方塊的 [Apply the rule to requests from] 選項中,選擇 [Exchange RPC Server] 通訊協定,然後按一下 [Next]。 從 [Client Type] 對話方塊中,選擇預設的 [Any request],然後按一下 [Next]。 在 [Complete the New Server Publishing Rule Wizard] 對話方塊中,檢閱您的選擇是否正確,然後按一下 [Finish]。 設定用戶端本節說明如何設定 Outlook 用戶端,以便啟用 Exchange 伺服器的連線能力,並且解決有關新郵件通知的問題。
透過發行 Exchange 伺服器,用戶端可以在使用網際網路進行連線時,使用與本機連線時相同的設定。然而,如果 Exchange 伺服器的內部及外部名稱不同,您可能就必須建立不同的設定檔。
若要設定 Outlook 2000 用戶端
在桌面上的 [Microsoft Outlook] 圖示上按滑鼠右鍵,然後按一下 [內容]。 如果設定檔不存在,按一下 [新增] 按鈕,選擇 [Microsoft Exchange Server],然後按一下 [下一步]。輸入 [Exchange 伺服器] 的名稱,然後按一下 [下一步]。按一下 [完成] 按鈕。 如果設定檔已經存在,則按一下 [顯示設定檔...] 按鈕。 選擇適當的設定檔,然後按一下 [內容]。您將會看到設定檔的 [內容] 頁。反白 [Microsoft Exchange Server] 資訊服務,然後按一下 [屬性]。 在 [一般] 索引標籤中,選擇 [檢查名稱] 按鈕,確認 Exchange 伺服器可以解析您的信箱名稱。 如果您無法連線,請在本機的「主機」檔案中建立項目,將 Exchange 伺服器的外部 IP 位址對應到它的 NetBIOS 名稱。 按一下 [進階] 索引標籤。在使用網路及撥號網路時,均選取 [加密資訊]。 選取 [啟用離線使用] 方塊,然後按一下 [確定]。按一下 [確定],關閉設定檔的 [內容] 方塊。 若要設定 Outlook 2002 用戶端
前往 [控制台] 中的 [郵件] 附屬應用程式。您將會看到 [郵件設定 - Outlook] 對話方塊。 按一下 [顯示設定檔] 按鈕。 如果設定檔不存在,請依照下列步驟進行: 按一下 [新增] 按鈕,然後輸入設定檔的名稱。 選擇 [新增電子郵件帳號] 選項按鈕,然後按一下 [下一步]。 選擇 [Microsoft Exchange Server] 選項,然後按一下 [下一步]。 輸入 [Microsoft Exchange 伺服器] 的名稱,以及您的信箱的 [使用者名稱]。出現提示時,請輸入您的密碼。 按一下 [下一步],然後按一下 [完成]。 如果設定檔已經存在,選擇您的 Exchange 伺服器的設定檔。 按一下 [電子郵件帳號] 按鈕。 選擇 [檢視或變更現有的電子郵件帳號] 選項按鈕,然後按一下 [下一步]。 選擇您的 Exchange 伺服器的電子郵件帳號,然後按一下 [變更] 按鈕。 在 [一般] 索引標籤中,重新輸入您的信箱名稱,然後按一下 [檢查名稱] 按鈕,以確認 Exchange 伺服器可以解析您的信箱名稱。 如果您無法連線,請在本機的「主機」檔案中建立項目,將 Exchange 伺服器的外部 IP 位址對應到它的 NetBIOS 名稱。 按一下 [其他設定] 按鈕。 按一下 [進階] 索引標籤。在使用網路及撥號網路時,均選取 [加密資訊]。 按一下 [確定],關閉 [Microsoft Exchange Server] 對話方塊,然後回到 [電子郵件帳號] 對話方塊。 按一下 [下一步],然後按一下 [完成]。 按一下 [郵件設定] 對話方塊中的 [關閉] 按鈕,然後按一下 [確定],關閉 [郵件] 對話方塊。
適用於 RPC 發行的 ISA Server Feature Pack 1
利用新的 Feature Pack,可以讓您的 Outlook 用戶端更快速地使用 Exchange 2000 Server。這些功能可以讓您更輕鬆、實用地透過網際網路使用 RPC 發行:
Exchange RPC 篩選器增強功能。ISA Server Exchange RPC 篩選器有兩項主要的增強功能,因此 Outlook 現在可以透過防火牆,與 Exchange 2000 Server 安全地連線。 RPC 篩選器設定增益集精靈。過去若要提供 RPC 存取,是使用 [All RPC servers] 選項。由於精靈較為細微,因此您可以建立新的 ISA Server 通訊協定定義,其中包含一或多個 RPC 介面 UUID。這些通訊協定定義是用於 ISA Server 的伺服器發行規則中,讓外部用戶端可以在內部 RPC 伺服器上存取 UUID 介面。 加密增強功能在網際網路上為 Outlook 用戶端發行 Exchange 的系統管理員,現在可以要求 Outlook 使用加密。之前,系統管理員必須靠使用者自行設定 Outlook。
若要增強加密
按一下 [開始],然後按一下 [執行]。輸入 regedit,然後按一下 [確定]。 開啟 HKEY_LOCAL_MACHINE\Software\Microsoft\FPC\PluginRPC。 將 [MinimumAuthenticationLevel] 的值從 [1] 改為 [6]。 輸出 RPCISA Server 電腦後面的 Outlook 用戶端現在可以存取 ISA Server 電腦前面的 Exchange 2000 Server 電腦。當您安裝此 Feature Pack 時,會建立新的通訊協定定義,稱為 RPC。您可以使用此通訊協定規則,讓內部用戶端可以存取防火牆外的 Exchange 伺服器。
若要設定輸出 RPC
開啟 [ISA Management]。 若是企業安裝,展開 Enterprise 樹狀目錄,然後選擇適當的企業原則。 若是獨立安裝,展開 Servers and Arrays 樹狀目錄,然後展開適當的伺服器或陣列。
在 Protocol Rules 資料夾上按滑鼠右鍵,按一下 [New],然後按一下 [Rule]。 在 [Welcome] 頁中,輸入通訊協定規則的名稱。例如,輸入 Allow outbound RPC。然後按一下 [Next]。 在 [Rule Action] 頁中,選擇 [Allow]。然後,按一下 [Next]。 在 [Protocols] 頁的 [Apply this rule to] 中,選擇 [Selected protocols]。然後,在 [Protocols] 中,選擇 [RPC]。然後按一下 [Next]。 在 [Schedule] 頁中,選擇適當的排程。然後按一下 [Next]。 在 [Client Type] 頁中,選擇適當的用戶端類型。然後按一下 [Next]。 按一下 [Finish]。 其他資源在設定這些案例時,可以使用下列文件做為參考:
Configuring and Securing Microsoft Exchange 2000 Server and Clients - http://www.microsoft.com/isaserver/techinfo/deployment/ISAandExchange.asp ISA Server and Acceleration Resource Site - http://www.isaserver.org/ Shinder, Thomas.《Configuring Exchange RPC Publishing in a Back to Back ISA Server Environment》http://www.isaserver.org/pages/article_p.asp?358 Shinder, Thomas.《Using the Exchange RPC Filter to Publish Microsoft Exchange》http://www.isaserver.org/pages/article_p.asp?351 ISA Server 首頁 - http://www.microsoft.com/taiwan/ISAServer/ 155831 - XCCC:設定 Outlook 用戶端通過防火牆連上 Exchange Server 所需要開的 TCP/IP 連接埠 256976 - XCLN:How MAPI Clients Access Active Directory 270836 - XCLN:Exchange 2000 靜態連接埠對應 280132 - XCCC:Exchange 2000 Windows 2000 Connectivity Through Firewalls 291000 - External MAPI Clients Cannot Connect with RPC 298369 - XADM:How to Configure a Global Catalog Server to Use a Specific Port When Servicing MAPI Clients 305572 - OL2002:You Cannot Receive New E-mail Notifications in Environments That Use the Network Address Translation 308599 - XCCC:How to Configure Internet Security and Acceleration Server to Publish an Internal Exchange Server
附錄 A - 發行背對背 ISA Server
在背對背 ISA Server 的情況中,請依照下列步驟設定外部 ISA Server 電腦:
建立用戶端位址集 建立網站及內容規則 建立伺服器發行規則
圖 2 背對背 ISA 設定允許 MAPI 用戶端存取
步驟 A-1:建立定義內部 ISA Server 電腦的用戶端位址集若要建立用戶端位址集
在外部 ISA Server 電腦上,開啟 [ISA Management]。 若是企業安裝,展開 Enterprise 樹狀目錄,然後選擇適當的企業原則。 若是獨立安裝,展開 Servers and Arrays 樹狀目錄,然後展開適當的伺服器或陣列。
展開 Policy Elements 樹狀目錄,然後選擇 Client Address Sets 資料夾。 在 Client Address Sets 資料夾上按滑鼠右鍵,按一下 [New],然後按一下 [Set]。 輸入用戶端位址集的 [Name],例如 Internal ISA Server。 按一下 [Add] 按鈕。 輸入內部 ISA Server 電腦的外部介面 IP 位址,然後按兩次 [OK],關閉兩個對話方塊。 步驟 A-2:建立網站及內容規則若要建立網站及內容規則
開啟 [ISA Management] 主控台。 若是企業安裝,展開 Enterprise 樹狀目錄,然後選擇適當的企業原則。 若是獨立安裝,展開 Servers and Arrays 樹狀目錄,然後展開適當的伺服器或陣列。
在 [Site and Content Rules] 上按滑鼠右鍵,按一下 [New],然後按一下 [Rule]。Site and Content Wizard 便會出現。 輸入新的網站及內容規則的名稱,例如 [Allow All],然後按一下 [Next]。 在精靈 [Rule Action] 頁的 [Response to client requests for access] 選項中,按一下 [Allow],然後按一下 [Next]。 在 [Rule Configuration] 頁中,選擇 [Allow some clients access to all external sites],然後按一下 [Next]。 在 [Client Type] 頁中,選擇 [Apply the rule to requests from the specific computers (client address sets)] 選項,然後按一下 [Next]。 在 [Client Sets] 頁中,按一下 [Add] 按鈕,從左邊的 [Defined sets] 欄中選擇您所建立的用戶端位址集;按一下 [Add] 按鈕,按一下 [OK],然後按一下 [Next]。 檢閱您的選擇,確認它們都是正確的,然後按一下 [Finish]。 步驟 A-3:建立 Exchange RPC 伺服器發行規則若要建立 Exchange RPC 伺服器發行規則
在外部 ISA Server 電腦上,開啟 [ISA Management] 主控台。 若是企業安裝,展開 Enterprise 樹狀目錄,然後選擇適當的企業原則。 若是獨立安裝,展開 Servers and Arrays 樹狀目錄,然後展開適當的伺服器或陣列。
展開 Publishing 資料夾,然後在 Server Publishing Rules 資料夾上按滑鼠右鍵。按一下 [New],然後按一下 [Rule]。您將會看到 [New Server Publishing Rule Wizard] 對話方塊。 輸入 Server publishing rule name,然後按一下 [Next]。 在 [Address Mapping] 對話方塊的適當欄位中,輸入外部 ISA Server 電腦的內部及外部位址。 在 [Protocol Settings] 對話方塊的 [Apply the rule to requests from] 選項中,選擇 [Exchange RPC Server] 通訊協定,然後按一下 [Next]。 從 [Client Type] 對話方塊中選擇預設的 [Any request],然後按一下 [Next]。 在 [Complete the New Server Publishing Rule Wizard] 對話方塊中,檢閱您的選擇是否正確,然後按一下 [Finish]。