Es gilt einer Reihe von Ports und Protokollen den Zugang zur Domäne vom Exchange-Server aus zu erlauben – unter anderem diese:
- UDP/TCP 53 (DNS)
- UDP/TCP 88 (Kerberos-Authentifizierung)
- TCP 123 (Network Time Protocol, NTP). Dies dient nur dazu, die Zeit auf dem Exchange-Server mit dem internen Netzwerk zu synchronisieren, was für die Kerberos-Authentifizierung erforderlich ist.
- TCP 135 (DEC Endpoint Resolution, auch als RPC Endpoint Mapper bekannt)
- UDP/TCP 389 (LDAP Access)
- TCP 445 (Microsoft Directory Service)
- TCP 3268 (LDAP für globale Katalog-Server)
Darüber hinaus muss man einen Port mit einer hohen Portnummer für Active Directory-Logon und Verzeichnis-Replikation bereitstellen.
|
Dieser TCP-Port wird beim Starten des Servers dynamisch ausgewählt, aber man kann ihn über die Registry statisch zuweisen, indem man einen entsprechenden Registry-Schlüssel hinzufügt oder ändert.
Man öffnet den Registrierungs-Editor (Regedt32.exe), wechselt zum folgenden Schlüssel und nimmt die entsprechenden Einstellungen vor:
HKEY_LOCAL_MACHINESystemCurrentControlSetServices NTDSParameters
Name: TCP/IP Port
Typ: REG_DWORD
Basis: Dezimal
Wert: Wählen Sie einen ungenutzten Port, dessen Nummer größer als 1024 ist.
Man darf nicht vergessen, die oberen Ports (TCP größer als 1024) von den internen Servern zum Windows 2000 Exchange Server in der DMZ freizugeben. Schließlich muss man TCP 25 (SMTP) ein- und ausgehend für E-Mail-Traffic von und zu anderen E-Mail-Servern vom Exchange Server ins Internet öffnen.
Nun, da der Windows 2000 Server E-Mail empfangen und mit dem internen Netzwerk kommunizieren kann, gilt es den Exchange-Clients Zugriff auf diesen Server durch die Firewall hindurch zu gestatten.
Neueste Kommentare
2 Kommentare zu Windows und Exchange 2000 durch die Firewall konfigurieren
Kommentar hinzufügenVielen Dank für Ihren Kommentar.
Ihr Kommentar wurde gespeichert und wartet auf Moderation.
Exchange Server in der DMZ
Nach meiner Meinung hat ein EMail-Server in einer DMZ nichts verloren, da ja die Inhalte aller Postfächer und öffentlicher Ordner i.d.R. ebenfalls auf diesem Server liegen.
Besser ist es wohl einen Relay-Server in die DMZ zu stellen der zum einen EMails via SMTP an den Exchange Server im LAN weiterleitet bzw. für diesen als Smarthost zum Versenden funktioniert. Somit müssen nur die Ports für SMTP und DNS freigegeben werden, also erheblich weniger Koinfigurationsarbeit bei höherer Sicherheit. Ausserdem können bereits auf dem Relay-Server Prüfungen auf Viren bzw. Spam durchgeführt werden und so den eigentlichen Mailserver und die (hoffentlich) dort installierten Sicherheitsmechanismen entlasten.
AW: Exchange Server in der DMZ
In der Regel wird man diese Konfiguration mit der Front-End – Back-End Strategie bewerkstelligen (OWA). Firewall 1 (Port 80) -> Exchange (Front-End -> Firewall 2 (im Artikel genannte Ports) -> Produktiv Netz. Diese Konstellation ist in der Regel relativ sicher. Die Postfächer und die Öffentlichen Ordner liegen effektiv hinter der Firewall 2 auf dem Produktiv Server und sind somit geschützt. Der IIS sollte aber mit den Patches auf dem laufenden sein (URL Lockdown, Hotfixes, etc). Man kann aber auch anstatt der Firewall 2 einen ISA Server im Reverse Proxy Modus betreiben. Mit dieser Variante kann man sich den Front-End Server sparen.
Letztendlich ist es eine Abwägung zwischen Kosten und Sicherheit, für welche Variante man sich entscheidet.
Bei Front-End Back-End benötigt man zwei Exchangeserver Lizenzen. Der Front-End muss ein Advanced oder Enterprise Server sein (bis Exchange 2000, bei Exchange 2003 ist die Funktion schon in der Standard Version vorhanden).