本文件概要叙述提供 Microsoft® Exchange 2000 Server 服务，让需要存取网际网络的特定使用者能够加以利用的传统方法。 文中说明了这些策略中固有的问题：Exchange 2000 Server 如何设定为启用网际网络连线能力、如何使用 Microsoft® Internet Security and Acceleration (ISA) Server 2000，以安全而有效的方式提供内部 Exchange 服务给网际网络用户端使用。
　

需要的定义

由于使用网际网络做为传输与存取信息工具的需求日益增加，公司需要透过网际网络，提供内部服务给员工使用。 不但销售部门人力需要从远端位置存取公司信息，还有更多其他类型的员工晚上都会将工作带回家。 更何况还有更多人是全天候在家工作。

电子邮件是需求最大的资源，这些员工每一个人都需要存取使用。

公司也使用网际网络做为需要共享邮件服务的连线位置。 随着可负担高速网际网络存取的问世，透过网际网络连线取得公司资料已经日益普遍。 为了让员工可安全地存取公司资料，许多公司建立 VPN 连线，让用户端能够透过网际网络利用安全通道。 但是当使用者只是单纯地需要从家中计算机、用户端网站或网络信息站，存取电子邮件时，VPN 连线并非永远都是实际可行的解决方式。 下一节描述一般透过网际网络存取 Exchange 的方式。

安全存取 Exchange 的传统方法

Microsoft Exchange 2000 Server 有两种功能，让用户端能够执行存取作业； Microsoft® Outlook® 用户端使用网际网络连线，可以透过三种基本状况模式存取：

· 使用 Microsoft Outlook 或另一个 MAPI 用户端 (透过 RPC 连线)

· 使用 Microsoft Outlook、Outlook Express 或另一个邮件用户端 (透过 IMAP4 或 POP3 账户连线)

· 使用 Microsoft Outlook Web Access (OWA) (透过 HTTP 连线)

本文将会说明各种状况如何运作，包括其优缺点。

在内部网络上，大半用户端使用 Outlook 与 Exchange 服务器连线。 在网际网络上，大半公司都使用 Outlook Web Access (OWA)，它提供电子邮件的网络存取。 许多在家中工作的人是透过 POP3 或 IMAP4 用户端，如 Outlook Express，来存取邮件。 但是用户端越来越需要，也要求能利用完整的 Outlook 用户端功能来存取。

Outlook 及其他 MAPI 用户端的完整功能

Exchange 用户端、Outlook 与 Outlook Express 都可以使用讯息应用程序发展界面 (MAPI，Messaging Application Programming Interface) 与 Exchange 2000 Server 储存区通讯。 以 MAPI 用户端连线所提供的功能包括：存取规划行事历信息、压缩 Word 和 Excel 文件做为电子邮件讯息等等。 大半用户端不但上班工作时喜欢用 Outlook 用户端，在家或出外旅游时也都喜欢用。 但是由于 MAPI 要求是透过远端程序呼叫 (RPC) 传送给 Exchange 服务器，透过 RPC 跨越网际网络连线其实不是很理想，需要考虑的是额外负担成本与安全性问题。

额外负担

RPC 需要大量的频宽， 当拨号网络为标准配备时，频宽成本在时间和金钱两方面都很高昂。 为了降低额外负担，牺牲不用 RPC 所提供的某些功能，如规划行事历，也还算合理。 但推出负载量更大而且更快速的网际网络连线，透过宽带提供厂商让人使用以后，延迟不再是太严重的问题，而 RPC 也成为更理想的工具。

安全性

按照以往一般惯例，Exchange 的 RPC 连线并未视为安全连线。 这是因为在此方法中，服务指派给动态连接埠的方式所造成。 按照预设的情况，没有办法预料将与 Exchange 服务关联的连接埠是哪一个。 虽然服务可以锁入范围中，但必须要有额外的组态设定与额外的系统管理负担。 按照预设的情况，服务器上 Exchange 通用独一识别码 (UUID) 是由 RPC 结束点对应程序所注册，所有 Exchange 用户端都知道； 其他服务，如 Active Directory 复写功能，也已注册 UUID。 每个 UUID 都确保应用程序可以跨越分散式环境，在用户端和服务器两方上识别，以确保兼容性与交互操作性。 当 MAPI 用户端使用 RPC 与 Exchange 服务器连线时，首先会连络连接埠 135/tcp，它可将用户端连线到 RPC 结束点对应程序。 结束点应用程序在提供 UUID 供 Exchange 检视时，会提供给用户端注册 Exchange 服务的通讯连接埠。 这个连接埠的范围可以从 1024 到 65535。这个动态连接埠指派需要防火墙允许从 1024 到 655535 的所有输出连线，这种情况会将安全防火墙转变成不安全的情况。 系统管理员很不愿意开放这么多连接埠。

如本文件稍后说明，ISA Server 2000 提供安全方法，可以为 MAPI 用户端发布 Exchange。

RPC 的优缺点

RPC 发布允许全功能存取 Outlook 2000 与 Outlook 2002 用户端。 它提供邮件服务的安全存取，而毋需管理 VPN 连线的额外负担。

但是若用户端设在另一个防火墙后面，阻止存取 RPC 连线所需的动态高层次连接埠，RPC 还是可能会发生问题。

RPC 发布无法让不使用 MAPI 用户端的用户端执行存取作业。 使用者若从浏览器或 Outlook Express 连线，就无法善加利用 Outlook 功能，如规划行事历与邮件通知。

使用 POP3 或 IMAP4 用户端仅限邮件存取

许多用户端需要存取电子邮件，但通常会不想要或不需要完整的 MAPI 用户端功能。 与邮局通讯协定，第 3 版 (POP3) 及网际网络讯息存取通讯协定 (IMAP4) 连线可提供快速、可靠的工具，以取得电子邮件讯息。 POP3 是业界标准。 用户端从 Exchange 服务器下载电子邮件讯息，以便在与服务器连线中断时加以使用。 IMAP4 在服务器本身就提供邮件存取，也提供只下载讯息标题的功能，以便快速存取。 但是这个功能需要与 Exchange 服务器之间建立更持续的连线。 Outlook Express 使用 POP3 和 IMAP4，今天市面上所提供的大部份其他邮件阅读程序也是如此。 网络电子邮件入口网站提供与 POP3 和 IMAP4 讯息储存区连线的功能，并将数个账户的电子邮件讯息合并在一起。 ISA Server 2000 中包含「安全邮件发布精灵」，很容易就能设定发布邮件的通讯协定。

POP3 或 IMAP4 存取的优缺点

大部分的用户端都支援 POP3 或 IMAP4，提供这些方法来存取电子邮件讯息， 但电子邮件存取是唯一的功能。 规划行事历、工作清单，或公用资料夹都无法使用。

使用 OWA 进行网络存取

许多地方都有网络咖啡厅或公用信息站提供网际网络连线浏览器。 这些设定提供透过网页，咸称 Exchange Outlook Web Access (OWA)，存取电子邮件与 Exchange 公用信息储存区。 在这种情况下，使用者可以从一般浏览器查看电子邮件，但是必须要有 Internet Explorer 5.0 或以上版本，才能充份利用所有功能。 OWA 依预设是在 Exchange 2000 Server 上加以设定，并不需要在标准 HTTP 连接埠 80 或是 SSL 存取的连接埠 443 (比较理想，可以保障网络安全) 以外，再开启连接埠。

虽然 OWA 很容易使用，但却不具备 MAPI 用户端所拥有的相同功能。 邮件规则、日志项目和拼音检查都无法使用。 虽然可以使用行事历、工作清单和会议项目，但却没有在 Outlook 中可以使用的相同功能。

OWA 的优缺点

您可以使用 OWA，在几乎所有与网际网络连线的浏览器上存取电子邮件，也就是说，您可以从任何网络咖啡厅、会议信息站或 Web 式的电话系统，存取公司的电子邮件、行事历和工作。

缺点是功能有限。 不支援离线存取电子邮件，行事历的支援也有限。 下表强调显示 Outlook Web Access 2000 的一些优缺点。本表假设 OWA 是在 Exchange 2000 SP2 或以上版本执行，而且是以 Internet Explorer 5 或以上版本进行存取。

优点

缺点

信箱和公用资料夹存取，包括连络人和行事历项目

没有进阶安全性 (S/MIME)

新邮件通知和行事历提醒

无离线模式

编辑 HTML 电子邮件讯息的 Rich Text

无法建立新的公用资料夹

供检视及录制的多媒体控制项

无法使用 Outlook 规则和回收邮件，也无法复原已删除的项目

透过 URL 存取邮件

没有日志、附注或工作

信箱资料夹之间的拖放功能

只能存取 Exchange 2000 Server 信箱

前端与后端服务器组态设定支援

无法开启其他使用者的信箱资料夹

邮件录音机与预览窗格

开始拨接时速度缓慢

使用包含在 ISA Server 2000 Feature Pack 1 之中的 OWA 发布精灵，便可轻松设定 OWA。

Exchange Server 组态设定

Microsoft Exchange 2000 Server 满足个人与企业使用者的讯息传送与协同作业需求。 Exchange 2000 Server 提供许多机会：如广泛收集支援的通用通讯协定，让用户端轻松设定组态、无限制的资料储存区、功能加强的 Outlook Web Access、多重虚拟服务器功能，以及 Active Directory 整合等。 只要掌握了解 Exchange 2000 Server，就能让外部使用者存取电子邮件，而毋需事先决定 ISA Server 的组态。 本节内容说明：如何最佳化设定 Exchange 2000 Server、如何发挥利用 SMTP 和 HTTP 虚拟服务器等关键元件，以及在网络上设 Exchange 2000 Server 的位置，以便为讯息传送平台提供最理想的安全防护。

如需取得有关在此概述之案例组态设定的逐步指示说明，请参阅功能套件中所附的案例文件。

已定义的最佳组态设定

本节的主要目标之一是：建立对 Exchange 2000 Server 组态设定的基本了解。 这项信息提供基础，避免在使用本文所提供案例时产生问题或有不一致的情形。 每一个网络都是唯一且独立于其他网络，但以 Windows 为基础之服务器与 Exchange 服务器的组态设定则不需强调其独立性。

Service Pack 是发表供每一个 Microsoft 核心作业系统与服务器产品使用。 Service Pack 一般都是收集到 Service Pack 发行日期为止，最新的所有已知 Hotfix 与安全性修补程序。 最根本的改变是：Service Pack 不再包含新功能。 只要比较 Exchange 2000 Server Service Pack 2 与 Service Pack 3，就可以很明显地看出这项改变。Exchange 2000 Server Service Pack 2 是随附在各种功能的变更一起出货，尤其是 Outlook Web Access；而 Exchange Service Pack 3 则是完全不附加任何功能。

使用 ISA Server 发布 Exchange 时若要达到更高的成功机率，必须符合本文提供案例中的下列各项假设：

· Windows 2000 上已安装 Service Pack 2 或以上版本。 (最好是 Service Pack 3)

· 服务器是最新版，已套用最新修补程序与安全性 Hotfix。 若已在 Windows 2000 与 Exchange 2000 Server 上安装 Service Pack 3，目前并不需要另外再安装 Hotfix 或安全性更新。 如需最新版的修补程序，请参阅 www.microsoft.com/taiwan/security/。

· Exchange 2000 Server 上已安装 Service Pack 2 或以上版本。 (最好是 Service Pack 3)

Exchange 安全性顾虑

设定 Exchange 2000 Server 时，服务器的安全性很重要。 Exchange 2000 Server 一般最担心的安全性问题之一是 SMTP 转送。 SMTP 转送表示邮件服务器允许 Exchange 2000 Server 邮件用户端，传送邮件给外部组织的使用者。 虽然有些情况需要转送，大部分的公司都会避免使用这项设定。 因为这样会开放邮件服务器，垃圾电子邮件讯息就能长驱直入转送进来，会象是从您的邮件服务器发信传递邮件一样。 SMTP 转送必须仔细加以控制及监视，以免服务器允许发送垃圾电子邮件。 如需更多有关 SMTP 转送的信息，请参阅 Microsoft Exchange Server 网站 (//www.microsoft.com/taiwan/exchange/)

Exchange Server 5.5 与 Exchange 2000 Server 的预设值会有差异。 本概观中会考量 Exchange 2000 Server 中的 SMTP 转送预设组态设定。 如需 Exchange Server 5.5 中与 SMTP 转送相关的信息，请参阅 Microsoft TechNet 网站，网址为：www.microsoft.com/taiwan/technet。

依预设，Exchange 服务器会自动设定为只有已验证的使用者，才能透过 Exchange 服务器转送邮件。

由于只有已验证的使用者，才能透过 Exchange 服务器转送邮件，所以只有内部使用者，才能传送邮件给外部对象。 组织以外的人可以传送电子邮件讯息给内部使用者，但不能传送电子邮件讯息给不同组织的人。

若不确定是否已设定 Exchange 服务器来处理 SMTP 转送，请查验组态设定。 若发现服务器已经设定为开放转送有一段时间，很可能服务器已经被加在网络滥用数据库中。 若要判断邮件领域是否已被加在此类型的数据库中，请参阅 //www.abuse.net。 您也可以在 Microsoft knowledge base 文件 249266 (//support.microsoft.com/default.aspx?scid=KB;ZH-TW;249266&) 中找到其他相关信息。

请遵循下列常用程序，更严密保护讯息传送基础架构的完整性：

· 适时安装修补程序。

· 使用白皮书、查核表以及 IISLockdown 和 URLScan 等工具所提供的信息，让服务器更强固。

· 关闭未使用的通讯协定与服务。 例如，若 Exchange 只供 SMTP 使用，就关闭 POP3、IMAP4 和 HTTP 通讯协定。

· 使用 Exchange 系统原则与邮件追踪来维护记录活动的设定。

· 保持取得病毒发布的最新消息，下载最新病毒定义，以保护服务器不受网络病毒传递侵害。

· 确保所有进入点的安性性，以保护网络。

· 在网络上使用强固、复杂的密码。

Exchange 内部设置

发布 Exchange 服务时，可能涉入的通讯协定包括 SMTP、HTTP (OWA) 和 RPC。 Exchange 2000 Server 上这些通讯协定的组态定义了存取类型与使用者拥有的选择。 Exchange 2000 Server 支援虚拟服务器 (SMTP、HTTP、IMAP4、POP3 和 NNTP)。 新版 Exchange 与旧版不同，在旧版中只有单一服务器，只能使用一个通讯协定实体；引进虚拟服务器以后，系统管理员可以在 Exchange 服务器上，定义单一通讯协定的多个虚拟服务器。 虚拟服务器是利用结合通讯协定与连接埠的方式，来执行这项作业。 例如，SMTP 服务器会依预设接听 SMTP 和连接埠 25 传输。

SMTP 虚拟服务器

SMTP 虚拟服务器定义邮件从组织流出的方式，因为系统管理员可以设定选项，如验证、转送与存取控制。 简易邮件传送通讯协定 (SMTP) 是原始通讯协定，已经成为在邮件服务器之间传输网际网络邮件的标准。 安装 Exchange 2000 Server 时会依预设安装 SMTP 虚拟服务器，而且已准备好开始传送邮件，毋需修改任何属性设定。

SMTP 虚拟服务器有四个可设定信息的索引标签。 请注意在 ISA Server 计算机之后，保证最受关切，以及在发布 Exchange 服务器会有最大风险的设定。 下表定义在设定 Exchange 2000 Server SMTP 虚拟服务器时，要审查的关键属性设定。

属性

位置

说明

输出安全性

[传递] 索引标签 | [输出安全性]

定义 SMTP 虚拟服务器传递邮件给其他 SMTP 服务器的方式。

智慧主机

[传递] 索引标签 | [进阶]

SMTP 服务器必须能够解析使用 DNS 的外部邮件网域。

解析可以设定，以便让 SMTP 服务器传送查询给：

00001. 根据 TCP/IP 属性之惯用 DNS 服务器设定的内部 DNS 服务器。

00002. 在 [进阶] 索引标签上设定的外部 DNS 服务器。

00003. 外部 SMTP 服务器智慧主机，一般是负责为 ISP 解析邮件网域的 SMTP 服务器。

转送限制

[存取] 索引标签 | [转送]

定义允许透过 SMTP 虚拟服务器转送邮件的计算机。 可以按网域、个别 IP 位址或子网络指定。

若要阻止不必要的存取，请了解 SMTP 虚拟服务器的属性，决定邮件服务器转送邮件的方式，并确实设定所有适当层次的验证。

HTTP 虚拟服务器

Outlook Web Access 使用 HTTP 虚拟服务器。 超文字传输协定 (HTTP) 是用在网际网络上，传送及接收 HTML 文件的用户端/服务器通讯协定。 HTTP 是在连接埠 80 上作业，一般人大部份是透过这项媒介与网际网络连线。

HTTP 虚拟服务器是在安装 Exchange 2000 Server 时自动设定，提供 Outlook Web Access 供人使用。

无法从 Exchange 系统管理员内设定 HTTP 虚拟服务器，任何尝试都会产生以下讯息：

您必须使用 IIS Admin 来管理此「虚拟服务器」设定。

HTTP 虚拟服务器是虚拟目录组合，这些目录与位于「Internet 服务管理员」主控台中的预设网站一起安装。

组成 Outlook Web Access 的虚拟目录包括：

· /Exchange - 提供信箱的网页浏览器存取。

· /Exchweb - 提供存取实际 Exchange 应用程序的开发人员程序码。

· /Public - 提供公用资料夹的网页浏览器存取。

跟有许多设定选项的 SMTP 虚拟服务器比较之下，建议不要修改 HTTP 虚拟服务器属性设定。 HTTP 虚拟服务器的属性并不需要编辑。 更有效保护 OWA 存取安全的方式是：利用前端后端模式，并使用 SSL 在网际网络用户端与 OWA 前端服务器之间进行通讯。 同时，由于 HTTP 虚拟服务器是 IIS 中虚拟目录的组合，请安装 IIS 锁定工具，以进一步加强保护 IIS。

用户端存取 Outlook Web Access 是按预设启动。 若要在离开办公室时限制与 OWA 的连线，可以在信箱层次关闭 HTTP 通讯协定，不要使用。

修改此预设值

00001. 开启 [Active Directory 使用者和计算机]，找出要禁止存取 OWA 的使用者账户，在该账户上按一下鼠标右键，然后再按 [属性]。

00002. 按一下 [Exchange 进阶] 索引标签，再按一下 [通讯协定设定]。

注意 只有在 [Active Directory 使用者和计算机] 的 [检视] 功能表中选取 [进阶功能] 后，才会显示 [Exchange 进阶] 索引标签。

00003. 

00004. 按一下 [HTTP]，然后按一下 [设定]。

00005. 在预设情况下，会选取 [启用信箱核取方块]。 清除此选项，以关闭单一使用者的 OWA，然后按 [确定]。

前端 (存取) 与后端 (储存) 交换解决方案

有了 Exchange 2000 Server 企业版，公司可以建立前端后端解决方案，主要是提供单一存取点和命名空间，以供使用者在与 Exchange 连线时参考。 这种解决方案在允许使用者透过网际网络连接邮件时很有用。

前端服务器是不包含任何信箱的 Exchange 2000 Server。 最主要的目的就是将用户端的要求以 Proxy 送至适当的后端服务器。 由于前端服务器正在为用户端进行 Proxy 要求，且不包含使用者资料，服务器可以放在网络上的多个位置上。 前端服务器可以放在 ISA Server 防火墙之前或之后，也可以放在周边网络中 (也称为「非战区 (DMZ)」，或「受监视的子网络」)，位于两道 ISA Server 防火墙之间。

注意 本文提供的案例专注于背靠背 ISA 环境中的前端后端解决方案设定上。

后端 Exchange 服务器所包含的信箱储存区和公用资料夹与任何典型 Exchange 服务器一样。 系统管理员可以实作前端后端解决方案，卸载后端服务器上的 SSL 活动，并透过 ISA Server 控制可以直接处理送到后端服务器的传输类型，以提供加强的保护。 后端 Exchange 服务器可以有一个或多个，依您的环境和所需资料储存区数目而定。

当使用者透过网际网络与前端服务器连线，前端服务器必须决定使用者信箱所在的后端服务器。 这项通讯作业是透过执行 LDAP 查询来完成，查询是从前端服务器到位于内部网络上的 Windows 2000 网域控制站。 内部网域控制站参考 Active Directory 数据库，以判断信箱的确切位置。

只有 HTTP、IMAP4 和 POP3 等用户端类型可以透过网际网络连线，使用前端后端组态设定。 Outlook Web Access 的 HTTP 用户端是最典型的类型。 常见的设计是：将前端服务器放置在位于两道 ISA Server 防火墙之间的周边网络中。 后端服务器与 Active Directory 网域控制站会放置在内部网络上。 为了让 HTTP、POP3 和 IMAP4 用户端连线，两道 ISA 防火墙上都必须开启以下连接埠：

· HTTP (80)

· 通用类别型录 (3268) 和 LDAP (389)

· SSL (443)

· POP3 (110)

· SMTP (25)

· IMAP4 (143)

本文所提供的案例会详细描述两道 ISA Server 防火墙上所需要的确切组态，以启用前端后端解决方案。 如需更多有关前端后端解决方案之定义、设计和组态的信息，请参阅 Microsoft 白皮书〈Microsoft Exchange 2000 前端与后端技术〉。

Exchange 服务器位置

本节描述一些常见的网络设计，在功能套件所提供的案例中会有更详细的论述。

· Exchange 与 ISA Server 位于相同位置。

· Exchange 位于 ISA Server 计算机之后的内部网络上。

Exchange 与 ISA Server 位于相同位置

将 Exchange 2000 Server 安装在 ISA Server 计算机上是常见的现象。 这是因为硬件或预算有限，或是使用了 Small Business Server 2000 的关系。

下图阐明 Exchange 与 ISA Server 位于相同服务器上的设计。

Exchange 位于 ISA Server 计算机之后的内部网络上

最常使用的设计是将 Exchange 2000 Server 放在 ISA 防火墙之后的内部服务器上。 ISA 防火墙是设定为发布 Exchange 服务，并拦截适当传输，然后导向 Exchange 服务器的内部 IP 位址。

下图阐明 Exchange 位于 ISA 防火墙之后另一个内部服务器上的设计。

基础架构需求

Exchange 2000 Server 与旧版大不相同。 使用本文案例来发布 ISA Server 计算机之后的 Exchange 服务时，要涉及许多项目，才能确保用户端可以在离开办公室时存取他们的电子邮件。 除了 Exchange 2000 Server 和 ISA Server 以外，还要先在网络上检阅其他项目，才能提供 RPC 与 OWA 给外部使用者基础使用。

要在网络上检阅的重要项目包括：

· Active Directory

· DNS

· 路由器

Active Directory

Active Directory 是 Microsoft 的最新版目录服务，是 Windows 2000 Server 作业系统的一部份。 它提供单一目录，可以储存数百万网络物件，如使用者、群组与计算机。

Exchange Server

Exchange 2000 Server 利用 Active Directory 做为目录服务，也就是说，两个产品共享相同的目录。 在旧版 Exchange 中，数据库以外另有目录供网络作业系统 (NOS) 使用。 网络系统管理员若要安装 Exchange 2000 Server，环境中必须已经建立 Active Directory。

将目录服务从 Exchange Server 5.5 变更到 Exchange 2000 Server 所代表的意义是，公司必须将他们的 NOS 升级，才能升级邮件基础架构。 有些人就因为这个原因，要升级到 Windows 2000 和 Active Directory；其他人则认为这种相依性表示必须延迟升级为 Exchange 2000 Server。

如需更多有关 Exchange 和 Active Directory 之间相依性的信息，请参阅 Microsoft Exchange 网站。

ISA Server

ISA Server 提供对 Active Directory 的相依性，但其并非强制性。 您可以购买 ISA Server 标准版，并将产品安装在 Windows NT 或 Windows 2000 环境中，而不需要与 Active Directory 有任何相互关系。 ISA Server 企业版的设计符合企业需求，您可以将产品与 Active Directory 整合在一起。 系统管理员若要建立 ISA Server 阵列 (一个或多个 ISA Server 计算机共同分享快取存储器)，就必须要有 Active Directory。 为了建立 ISA Server 阵列，ISA Server 中包含「企业初始化工具」，用来准备及扩充 Active Directory 架构，将必要扩充程序载入目录中。

本文件后半部以及功能套件中附含的案例手册假设下列各项：

· Windows 2000 与 Active Directory 已部署在网络环境中。

· Exchange 2000 Server 至少已安装了 Service Pack 2。(最好是 Service Pack 3)

· ISA Server 2000 已安装最新的 Service Pack。

DNS

网域名称系统 (DNS) 是必要元件，可以确保 Exchange 邮件如预期地顺利送进送出组织。 Microsoft ISA Server 新闻群组公布了很多有关 DNS 及其在环境中位置的讯息。

定义

在案例中使用了下列词汇：

· DNS。 为组织成网域阶层结构之计算机与网络服务命名的系统。 DNS 命名是用在 TCP/IP 网络中，如网际网络，透过好记名称，找出计算机与服务。

· 递回查询。 受查询时，名称服务器会受到正式请求，回应有关网域名称的信息，或是该网域名称根本不存在的事实。 要求不能指向另一个名称服务器。

· 交互式查询。 由要求者提出查询时，名称服务器会根据可用的信息，传回所能提供的最佳回答。 这个回答可能是确切的名称，也可能是指向有更多信息的另一个名称服务器。

· 分割 DNS。 这种设计由两个各自更新的独立 DNS 服务器组成。 内部服务器包含组织内所有 DNS 名称的数据库，而外部服务器解析名称，应付存在外部的各种事项，如电子邮件转寄与网页服务器。

· 转寄站。 一个或多个名称服务器的 IP 位址，是此名称服务器要传送所有查询与回应的目的地。

了解 DNS

做为 Exchange 系统管理员必须了解：SMTP 是依靠 DNS 才能有效传送使用者的邮件至外部网域。 例如，组织以内的使用者若要传送邮件给组织以外的另一个使用者，SMTP 服务器必须查询 DNS 服务器，可以转寄要求，解析外部网域的 IP 位址，也可以设定为使用智慧主机。 智慧主机是远端服务器，Exchange 服务器可以将本来要给特定远端网域或路由群组的讯息传输给它。 基本上，智慧主机是做为转送站，其作业方式是：Exchange 服务器传送邮件给智慧主机，再转由智慧主机负责使用 DNS，继续传送邮件到目的地。

若要用 ISA Server 顺利发布 Exchange 服务，Microsoft 建议将 DNS 环境以「分割 DNS」设计方式设定。 上文已经定义，分割 DNS 包含两个 DNS 服务器：一个位于内部供服务器寻找彼此及 Active Directory，另一个位于外部供 SMTP 服务器寻找任何一处的邮件网域。 内部 DNS 服务器位于 ISA Server 计算机之后，而外部 DNS 服务器则位于 ISA Server 计算机之前。

ISA Server 用户端

选择要在内部网络上使用哪个 ISA 用户端时，DNS 名称解析是主要考量。 下表概要叙述各 ISA 用户端如何执行 DNS 名称解析。

ISA Server 用户端

名称解析方法

SecureNAT 用户端

依环境而定。 需要提供用户端内部 DNS 服务器，或是设定 ISA Server，直接将 DNS 查询从用户端传送到外部 DNS 服务器。

Web Proxy 用户端

可以让 ISA Server Web Proxy 服务提供简单的 DNS 功能。 以 ISA Server 本身计算机上的 DNS 组态为基础。

Firewall 用户端

可以让 ISA Server Firewall 服务提供简单的 DNS 功能。 以 ISA Server 本身计算机上的 DNS 组态为基础。

路由器

在允许终端使用者存取电子邮件讯息的基础架构中，透过网络上的各种不同层级来传送传输是很重要的。 每个客户的路由拓朴各有不同，有些组织可能有简单的平面网络，而其他组织则可能有复杂的区段网络。 如何设定路由器，透过内部、周边与外部网络传送传输，可以在从组织以外使用者传送邮件时，防止邮件送到您的 Exchange 服务器。 了解路由器以及路由器的设定方式，有助识别及避免这些问题，确保邮件能够成功传递。

定义

路由器。 结合多个网络的实体装置。 路由器界面是指定给 IP 位址。 这个位址便是其所服务之网络区段的预设闸道。

路由需求

开始执行本文提供的案例以前：

· 设定已发布的 Exchange、OWA 和 SMTP 服务器做为 SecureNAT 用户端。

· 安装 ISA Server 以前，建立所有内部网络的路由。

设定 SecureNAT 用户端

若要适当地路由传输，必须正确设定 SecureNAT 用户端的预设闸道。 组态设定依网络技术而不同：

· 简单网络。 简单的网络拓朴在 SecureNAT 用户端与 ISA Server 计算机之间，没有设定路由器。

· 复杂网络。 复杂网络拓朴在 SecureNAT 用户端与 ISA Server 计算机之间，会设定一个或多个路由器来桥接多个子网络。 确定路由器不是设定为舍弃送往网际网络目的地之传输。

下表显示如何根据网络拓朴来设定预设闸道，以确保传送成功。

拓朴

已定义的组态

简单

将 SecureNAT 用户端上的预设闸道位址设定为 ISA Server 计算机上内部网络界面卡的指定 IP 位址。

复杂

将 SecureNAT 用户端上的预设闸道位址设定为介于 SecureNAT 用户端与 ISA Server 计算机之间链结中最后路由器的指定 IP 位址。

Route Add 指令

在复杂网络上，为内部网络上的所有网络区段定义 ISA Server 路由。 路由表可以使用 ROUTE ADD 指令，或使用动态路由通讯协定 (如 Routing Information Protocol (RIP))，手动填入。

ROUTE ADD 指令的语法如下：

ROUTE ADD「目的地网络 ID」MASK「预设闸道 IP 位址」

ISA Server 组态

ISA Server 2000 提供两种基本功能： 提升速度，让用户端能够存取网际网络内容，并提供安全防火墙，在提供内容送入及送出私人网络时，保护内部资源。 ISA Server 是应用程序层级防火墙，可以提供 Exchange 服务给外部用户端使用。

如需取得有关设定本文件所描述案例的逐步指示说明，请参阅功能套件中所包含的案例文件记录。

已定义的最佳组态设定

Exchange 环境最安全的组态设定是，只提供用户端所需存取权的设定，除此之外无他：

· 只有指定的内部服务器可以在公司以外传送信息。 在公司以外所能看见的服务器只有 ISA Server 计算机。

· 只有允许 RPC、OWA 和 SMTP 传输的三个连接埠可以在公司以外看见。

· 只允许输出 SMTP 和 DNS 传输。

· 所有网页传输都是安全的。

· 讯息过滤器是设定为筛选掉不想要的邮件。

限制潜在泄漏资料的点，也就是限制使用用户端位址集和通讯协定规则，存取及进出网络。 「用户端位址集」指定将与网际网络通讯的内部服务器。 若要发布 Exchange，只能建立一个包含所有桥头服务器 IP 位址的用户端位址集。 此时的桥头服务器是做为传送 SMTP 邮件出入网际网络的讯息传输点服务器。 然后再建立「通讯协定规则」，只允许特定通讯协定定义 (例如 HTTP 或 SMTP) 进出网络。 只有必要的通讯协定定义才允许存取进入网络中。 其他所有传输都加以阻挡。

限制传出传输

ISA Server 2000 只建立输出连线的连接埠。 输入传回传输并未加以阻档，因为 ISA Server 可以在异动期间，动态开启连接埠。 确保只有输出的 SMTP 和 DNS 传输，才允许从 Exchange 服务器输出，以限制来自内部网络的信息类型。 Exchange 只需要下列通讯协定： 必须有 SMTP 输出传输，才能传送电子邮件讯息给公司外面的收件者；必须允许 DNS 传输，以便让内部 DNS 服务器执行 DNS 查询来解析 FQDN。

限制可见连接埠

ISA Server 2000 要求只看见 TCP 连接埠 25、135 和 443，以便只提供必要的存取。 连接埠 25 允许输入 SMTP 传输，以便接收来自公司外面的电子邮件。 可以更进一部使用内建讯息过滤器来保护 SMTP 传输，下文会有更详细的论述。 必须要有连接埠 135，来自 MAPI 用户端的 RPC 要求才能存取端点对应程序服务，让用户端在动态指定的高层次连接埠上，与 Exchange 服务连线。

LAT 需求

本机位址表 (LAT) 定义 ISA Server 如何解译属于网络内部的计算机位址，以及属于网络外部的计算机位址。 LAT 透过指定在 ISA Server 防火墙界限之内的 IP 位址范围，提供安全基础架构的基础。 只要是在 LAT 以外，都会受限于 ISA Server 所订定的限制。 ISA Server 组态的 LAT 将包含 Exchange 服务需要的所有服务器，包括：Exchange、SMTP、Active Directory 与内部 DNS 服务器。

ISA 服务器发布

服务器发布是 ISA Server 2000 让用户端能够在网际网络上使用内部服务器的一种方式。 ISA Server 会处理所有已发布内部服务器的网际网络用户端要求，外表看起来好像 ISA Server 是外部用户端的 Exchange 服务器。 然后 ISA Server 会传送要求给 Exchange 服务器，再将回应传回用户端。 ISA Server 可以执行转寄与反转 Proxy 功能。 转寄 Proxy 使得外部内容选择性地提供给内部用户端使用。 在发布 Exchange 时，ISA Server 是做为反转 Proxy 服务器，使得内部内容能够提供给外部用户端使用。 服务器与网页发布都是用来执行这些反转的 Proxy 功能。 网页发布只用来提供 OWA 给网际网络用户端使用。 服务器发布是用来提供 Exchange 给 MAPI、POP3 与 IMAP4 用户端使用。

ISA Server 发布的运作方式

试考量：在某案例中，执行 Outlook Express 的用户端计算机需要与其 Exchange 服务器连线。 Exchange 服务器的 IP 位址是 10.1.1.22。 ISA Server 计算机有内部位址 (10.1.1.33) 可与区域网络连线通讯，也有外部位址 (68.79.25.25) 可与网际网络连线通讯。

00001. 用户端计算机向 Exchange 服务器要求内容，服务器的 IP 位址是使用连接埠 25 (SMTP 要求的预设值)，以 ISA Server 计算机的形式传回。

1. ISA Server 计算机是在连接埠 25 上接听。它接收要求，而因为发布的规则，认出要求是在连接埠 25 上发出，而且内容是传送到 Exchange 服务器。

2. Exchange 服务器处理要求，然后将内容传回给 ISA Server 计算机，该计算机再转寄给用户端。 Exchange 服务器必须设定为 SecureNAT 用户端 (也就是说，必须有设定为其预设闸道的 ISA Server 计算机 IP 位址)。

存取原则

ISA Server 使用三种不同的规则，来控制 LAT 计算机的内部使用者可以存取的网际网络网站内容、能够使用的连接埠，以及输出与输入网络的传输类型。

网站与内容规则

「网站与内容规则」决定您的服务器能造访的外部网站，以及所能存取的内容。 必须有一条规则允许存取所有网站，因为不可能预测所有邮件服务器的名称。 若有不希望用户端存取的特定网站，就需要建立「目的地集」，其中透过如 *.nwtraders.com 的网域名称，或是以 IP 位址来定义网际网络目的地。 然后再设定网站与内容规则，拒绝存取该目的地集。

通讯协定规则

通讯协定的定义方式是：指定 UDP 或 TCP 连接埠号码或范围，并指定存取是从网际网络传送进来 (输入) 或是从区域网络传送出去 (输出)。 ISA Server 随附有事先设定，已定义最常用的通讯协定，如 HTTP、DNS 和 SMTP。 「通讯协定规则」定义 ISA Server 计算机将允许传送进出网际网络的通讯协定。 您会想在 ISA Server 中，为 Exchange、DNS 与 SMTP 服务器定义通讯协定规则，只允许输入存取连接埠 25、135 和 443，以及输出存取连接埠 25 和 53。

封包筛选器

「封包筛选器」是一项工具，可以从特定连接埠静态地开启或封锁存取出入。 启用封包筛选以提供最安全的环境，因为除了明确允许的封包外，它可以阻止任何封包跨越防火墙界限。 封包筛选并不是依预设启用。 一般来说，只有在周边网络中的计算机上设定 Exchange 后，才需要定义封包筛选器，这种设定会将 Exchange 服务器与内部网络及有 ISA Server 计算机的网际网络分隔开。 如需有关定义特定封包筛选器的信息，请参阅功能套件文件资料中提供的其他案例。

封包筛选与服务器发布的相异处

因为封包筛选器是静态地开启连接埠，只有在绝对必要时，才加以使用。 封包筛选器与网站及内容、通讯协定和发布规则不同，后者是动态或视需要才开启及关闭。 服务器发布规则提供强化的安全性，因为它比封包筛选器更为明确。 服务器发布并不是永远透过静态对应提供通讯协定或连接埠让人使用，而是能够指定到这些连接埠的传输连线，只能在特定条件下，导向特定内部服务器。

不过，下列情况必须要有封包筛选器：

· 正在执行三重主机周边网络。

· 需要发布在 ISA Server 本身上执行的服务。

· 需要在 TCP 或 UDP 之外，提供其他通讯协定让人使用。

使用邮件服务器安全性精灵，设定发布规则

服务器发布让您的 Exchange 服务器可在组织外面使用。 ISA Server 精灵可以协助建立 Exchange 服务器的发布规则。

邮件服务器安全性精灵设定要在网际网络上迅速、可靠地发布 Exchange 服务的所有必要元件。

SMTP 筛选器与讯息过滤器

ISA Server 包括两个元件，可以协助阻止网络上的邮件转送、病毒侵入，及不想要的附件，它们是： SMTP 筛选器与讯息过滤器。

SMTP 筛选器的目的是透过拦截送达连接埠 25 上的所有 SMTP 传输，允许筛选 SMTP 动词命令与使用者/网域来存取网络。SMTP 应用程序筛选器是用 ISA Server 安装，但依预设应为停用状态。

SMTP 筛选永远位于 ISA Server 计算机上。 当 SMTP 传输送达 ISA Server 计算机上时，传输是按照已设定的规则进行分析，若允许时，再继续传送下去。

相对地，讯息过滤器的目的是在于筛选显示在 SMTP 筛选属性中，其他索引标签上的关键字与附件。 讯息过滤器设定时更复杂，因为它只能安装在 IIS 5.0 SMTP 服务器上。 这个服务器并不一定要是 ISA Server 计算机。 例如，讯息过滤器可以安装在 ISA Server 计算机上、在 Exchange 2000 Server 计算机上，或任何其他内部 IIS 5.0 SMTP 服务器上。 最好是在不执行 Exchange 2000 Server 的内部 SMTP 服务器上安装讯息过滤器。

 本文由职坐标整理并发布，希望对同学们有所帮助。了解更多详情请关注职坐标系统运维之Exchange频道！