Front-End- und Back-End-Topologie - Prüfliste

Artikel
10/25/2013

Letztes Änderungsdatum des Themas: 2005-05-24

In der folgenden Prüfliste werden die zur Konfiguration von Front-End-Servern, Back-End-Servern und Firewalls erforderlichen Schritte zusammengefasst.

Anmerkung:
Die folgenden Verfahren beinhalten Informationen zum Editieren der Registrierung. Die fehlerhafte Verwendung des Registrierungs-Editors kann zu ernsthaften Problemen führen, die möglicherweise eine Neuinstallation des Betriebssystems erforderlich machen. Microsoft übernimmt keine Garantie dafür, dass durch unsachgemäßes Verwenden des Registrierungs-Editors verursachte Probleme behoben werden können. Sie verwenden den Registrierungs-Editor auf eigene Verantwortung. Informationen zum Bearbeiten der Registrierung finden Sie unter "Ändern von Schlüsseln und Werten" in der Hilfe zum Registrierungs-Editor (Regedit.exe) oder unter "Hinzufügen und Löschen von Daten in der Registrierung" und "Bearbeiten der Registrierungsdaten" in der Hilfe zu Regedt32.exe Beachten Sie, dass die Registrierung vor der Bearbeitung gesichert werden sollte. Sie sollten ebenfalls Ihre Notfalldiskette aktualisieren.

Die folgenden Verfahren beinhalten Informationen zum Editieren der Registrierung. Die fehlerhafte Verwendung des Registrierungs-Editors kann zu ernsthaften Problemen führen, die möglicherweise eine Neuinstallation des Betriebssystems erforderlich machen. Microsoft übernimmt keine Garantie dafür, dass durch unsachgemäßes Verwenden des Registrierungs-Editors verursachte Probleme behoben werden können. Sie verwenden den Registrierungs-Editor auf eigene Verantwortung. Informationen zum Bearbeiten der Registrierung finden Sie unter "Ändern von Schlüsseln und Werten" in der Hilfe zum Registrierungs-Editor (Regedit.exe) oder unter "Hinzufügen und Löschen von Daten in der Registrierung" und "Bearbeiten der Registrierungsdaten" in der Hilfe zu Regedt32.exe Beachten Sie, dass die Registrierung vor der Bearbeitung gesichert werden sollte. Sie sollten ebenfalls Ihre Notfalldiskette aktualisieren.

Anmerkung:
In den folgenden Tabellen werden Aufgaben für die Front-End- und Back-End-Topologie in Form einer Prüfliste dargestellt.

Konfigurieren der Front-End-Server

Schritt 1. Installieren Sie Exchange Server:

Installieren Sie Exchange Server auf dem Front-End-Server.

Schritt 2. Konfigurieren Sie virtuelle HTTP-Server oder -Verzeichnisse auf dem Front-End-Server für den Zugriff auf Postfachspeicher und Informationspeicher für Öffentilche Ordner je nach Bedarf:

Geben Sie für zusätzliche virtuelle Server die SMTP-Domäne, IP-Adresse und Hostheader oder Anschlüsse an. Behalten Sie die Aktivierung des Kontrollkästchens Standardauthentifizierung bei.

Geben Sie für zusätzliche virtuelle Verzeichnisse für öffentliche Informationsspeicher das jeweilige Stammverzeichnis für öffentliche Informationsspeicher an.

Geben Sie für zusätzliche virtuelle Verzeichnisse für Postfachspeicher die SMTP-Domäne an.

Schritt 3. Deaktivieren Sie nicht benötigte Dienste:

Beenden Sie alle Dienste, die für die verwendeten Protokolle nicht benötigt werden.

Schritt 4. Deaktivieren oder löschen Sie nach Bedarf alle Informationsspeicher:

Wenn Sie SMTP nicht ausführen, deaktivieren oder löschen Sie alle Postfachspeicher.

Wenn Sie SMTP ausführen, behalten Sie einen Postfachspeicher bei, stellen Sie jedoch sicher, dass der Postfachspeicher keine Postfächer enthält. Wenn Sie viele externe E-Mail-Nachrichten erhalten, können Sie einen öffentlichen Informationsspeicher bereitstellen, da dies die Nachrichtenübermittlung an Öffentliche Ordner verbessert.

Schritt 5. Richten Sie bei Bedarf den Lastenausgleich für Front-End-Server ein:

Installieren Sie den Lastenausgleich auf allen Front-End-Servern.

(Empfohlen) Aktivieren Sie Clientaffinität.

Schritt 6. Konfigurieren Sie SSL (empfohlen):

Option 1: Konfigurieren Sie SSL auf dem Front-End-Server.

Option 2: Richten Sie einen Server zwischen dem Client und dem Front-End-Server ein, um SSL-Entschlüsselung zu verschieben.

Schritt 7. Bei Verwendung eines Umgebungsnetzwerks:

Anmerkung:
Bei diesem Verfahren empfiehlt es sich, einen erweiterten Firewallserver (wie zum Beispiel ISA Server) anstelle des Front-End-Servers im Umgebungsnetzwerk einzusetzen. Weitere Informationen finden Sie unter Erweiterte Firewall in einem Umgebungsnetzwerk.

Erstellen Sie den Registrierungsschlüssel DisableNetlogonCheck, und setzen Sie den REG_DWORD-Wert auf 1.

Erstellen Sie den Registrierungsschlüssel LdapKeepAliveSecs, und setzen Sie den REG_DWORD-Wert auf 0.

Wenn Sie den Front-End-Server auf die Kontaktierung bestimmter Domänencontroller und globaler Katalogserver beschränken möchten, geben Sie diese im Exchange-System-Manager auf dem Front-End-Server ein.

Schritt 8. Bei Verwendung eines Umgebungsnetzwerks und Verweigerung von RPCs über die Intranetfirewall:

Anmerkung:
Wenn Sie die Authentifizierung auf dem Front-End-Server deaktivieren möchten, können anonyme Anfragen Ihre Back-End-Server erreichen.

Deaktivieren Sie die Authentifizierung auf dem Front-End-Server.

Schritt 9. Erstellen Sie bei Bedarf eine IPSec-Richtlinie auf den Front-End-Servern.

Konfigurieren der Back-End-Server

Aufgaben
Erstellen und konfigurieren Sie virtuelle HTTP-Server oder -Verzeichnisse, die mit dem Front-End übereinstimmen: Legen Sie für zusätzliche virtuelle Server den Hostheader und die IP-Adressen entsprechend fest. Der TCP-Anschluss 80 muss beibehalten werden. Stellen Sie sicher, dass die Kontrollkästchen Standardauthentifizierung und Integrierte Windows-Authentifizierung aktiviert sind. Geben Sie für zusätzliche virtuelle Verzeichnisse für Informationsspeicher für Öffentliche Ordner das entsprechende Stammverzeichnis für den Informationsspeicher für Öffentliche Ordner an, das dem auf dem Front-End-Server konfigurierten Stammverzeichnis entspricht. Geben Sie für zusätzliche virtuelle Verzeichnisse für Postfachspeicher die SMTP-Domäne an.

Erstellen und konfigurieren Sie virtuelle HTTP-Server oder -Verzeichnisse, die mit dem Front-End übereinstimmen:
Legen Sie für zusätzliche virtuelle Server den Hostheader und die IP-Adressen entsprechend fest. Der TCP-Anschluss 80 muss beibehalten werden. Stellen Sie sicher, dass die Kontrollkästchen Standardauthentifizierung und Integrierte Windows-Authentifizierung aktiviert sind.
Geben Sie für zusätzliche virtuelle Verzeichnisse für Informationsspeicher für Öffentliche Ordner das entsprechende Stammverzeichnis für den Informationsspeicher für Öffentliche Ordner an, das dem auf dem Front-End-Server konfigurierten Stammverzeichnis entspricht.
Geben Sie für zusätzliche virtuelle Verzeichnisse für Postfachspeicher die SMTP-Domäne an.

Konfigurieren von Firewalls

Aufgabe
Schritt 1. Konfigurieren Sie die Internetfirewall (zwischen dem Internet und den Front-End-Servern): Öffnen Sie die TCP-Anschlüsse auf der Internetfirewall für die E-Mail-Protokolle: 443 für HTTPS 993 für SSL-fähiges IMAP 995 für SSL-fähiges POP 25 für SMTP (einschließlich TLS)
Schritt 2. (Fortsetzung) Führen Sie bei Verwendung von ISA Server die folgende Konfiguration aus: Konfigurieren Sie einen Listener für SSL. Erstellen Sie ein Zielset mit der externen IP-Adresse des ISA-Servers. Dieses Zielset wird in der Web-Veröffentlichungsregel festgelegt. Erstellen Sie eine Web-Veröffentlichungsregel, die die Anfragen an den internen Front-End-Server umleitet. Erstellen Sie Protokollregeln, um die Anschlüsse in ISA Server für ausgehenden Datenverkehr zu öffnen. Konfigurieren Sie den ISA-Server für Outlook Web Access (weitere Informationen zum Konfigurieren eines ISA-Servers für Outlook Web Access finden Sie im Microsoft Knowledge Base-Artikel 307347, "Sichere OWA-Veröffentlichung hinter ISA Server kann benutzerdefinierten HTTP-Header erfordern."
Schritt 3. Konfigurieren Sie die Intranetfirewall bei Verwendung eines Front-End-Servers in einem Umgebungsnetzwerk: Öffnen Sie die TCP-Anschlüsse auf der Intranetfirewall für die verwendeten Protokolle: 80 für HTTP 143 für IMAP 110 für POP 25 für SMTP 691 für das LSA (Link State Algorithm, Verbindungsalgorithmus)-Routingprotokoll Öffnen Sie Anschlüsse für die Active Directory-Kommunikation TCP-Anschluss 389 für LDAP zum Verzeichnisdienst UDP-Anschluss 389 für LDAP zum Verzeichnisdienst TCP-Anschluss 3268 für LDAP zum globalen Katalogserver TCP-Anschluss 88 für Kerberos-Authentifizierung UDP-Anschluss 88 für Kerberos-Authentifizierung Öffnen Sie die für den Zugriff auf den DNS-Server erforderlichen Anschlüsse: TCP-Anschluss 53 UDP-Anschluss 53 Öffnen Sie die entsprechenden Anschlüsse für die RPC-Kommunikation: TCP-Anschluss 135 - RPC-Endpunktzuordnung TCP-Anschlüsse 1024+ - zufällige RPC-Dienstanschlüsse (Optional) Bearbeiten Sie zum Beschränken der RPCs über die Intranetfirewall die Registrierung auf den Servern im Intranet, um RPC-Datenverkehr für einen bestimmten, nicht zufälligen Anschluss festzulegen. Öffnen Sie anschließend die gewünschten Anschlüsse auf der internen Firewall: TCP-Anschluss 135 - RPC-Endpunktzuordnung TCP-Anschluss 1600 (Beispiel) – RPC-Dienstanschluss Wenn Sie IPSec zwischen dem Front-End und dem Back-End verwenden, öffnen Sie die entsprechenden Anschlüsse. Wenn die von Ihnen konfigurierte Richtlinie nur AH verwendet, müssen Sie ESP nicht zulassen und umgekehrt. UDP-Anschluss 500 – IKE IP-Protokoll 51 – AH IP-Protokoll 50 – ESP UDP-Anschluss 88 und TCP-Anschluss 88 – Kerberos

Schritt 1. Konfigurieren Sie die Internetfirewall (zwischen dem Internet und den Front-End-Servern):

Öffnen Sie die TCP-Anschlüsse auf der Internetfirewall für die E-Mail-Protokolle:

443 für HTTPS

993 für SSL-fähiges IMAP

995 für SSL-fähiges POP

25 für SMTP (einschließlich TLS)

Schritt 2. (Fortsetzung) Führen Sie bei Verwendung von ISA Server die folgende Konfiguration aus:

Konfigurieren Sie einen Listener für SSL.

Erstellen Sie ein Zielset mit der externen IP-Adresse des ISA-Servers. Dieses Zielset wird in der Web-Veröffentlichungsregel festgelegt.

Erstellen Sie eine Web-Veröffentlichungsregel, die die Anfragen an den internen Front-End-Server umleitet.

Erstellen Sie Protokollregeln, um die Anschlüsse in ISA Server für ausgehenden Datenverkehr zu öffnen.

Konfigurieren Sie den ISA-Server für Outlook Web Access (weitere Informationen zum Konfigurieren eines ISA-Servers für Outlook Web Access finden Sie im Microsoft Knowledge Base-Artikel 307347, "Sichere OWA-Veröffentlichung hinter ISA Server kann benutzerdefinierten HTTP-Header erfordern."

Schritt 3. Konfigurieren Sie die Intranetfirewall bei Verwendung eines Front-End-Servers in einem Umgebungsnetzwerk:

Öffnen Sie die TCP-Anschlüsse auf der Intranetfirewall für die verwendeten Protokolle:

80 für HTTP
143 für IMAP
110 für POP
25 für SMTP
691 für das LSA (Link State Algorithm, Verbindungsalgorithmus)-Routingprotokoll

Öffnen Sie Anschlüsse für die Active Directory-Kommunikation

TCP-Anschluss 389 für LDAP zum Verzeichnisdienst
UDP-Anschluss 389 für LDAP zum Verzeichnisdienst
TCP-Anschluss 3268 für LDAP zum globalen Katalogserver
TCP-Anschluss 88 für Kerberos-Authentifizierung
UDP-Anschluss 88 für Kerberos-Authentifizierung

Öffnen Sie die für den Zugriff auf den DNS-Server erforderlichen Anschlüsse:

TCP-Anschluss 53
UDP-Anschluss 53

Öffnen Sie die entsprechenden Anschlüsse für die RPC-Kommunikation:

TCP-Anschluss 135 - RPC-Endpunktzuordnung
TCP-Anschlüsse 1024+ - zufällige RPC-Dienstanschlüsse

(Optional) Bearbeiten Sie zum Beschränken der RPCs über die Intranetfirewall die Registrierung auf den Servern im Intranet, um RPC-Datenverkehr für einen bestimmten, nicht zufälligen Anschluss festzulegen. Öffnen Sie anschließend die gewünschten Anschlüsse auf der internen Firewall:

TCP-Anschluss 135 - RPC-Endpunktzuordnung
TCP-Anschluss 1600 (Beispiel) – RPC-Dienstanschluss

Wenn Sie IPSec zwischen dem Front-End und dem Back-End verwenden, öffnen Sie die entsprechenden Anschlüsse. Wenn die von Ihnen konfigurierte Richtlinie nur AH verwendet, müssen Sie ESP nicht zulassen und umgekehrt.

UDP-Anschluss 500 – IKE
IP-Protokoll 51 – AH
IP-Protokoll 50 – ESP
UDP-Anschluss 88 und TCP-Anschluss 88 – Kerberos

Front-End- und Back-End-Topologie - Prüfliste

Konfigurieren der Front-End-Server

Konfigurieren der Back-End-Server

Konfigurieren von Firewalls

Zusätzliche Ressourcen