Konfigurieren einer Intranetfirewall
Letztes Änderungsdatum des Themas: 2006-04-14
In diesem Thema wird die Verwendung eines Umgebungsnetzwerk mit einer externen und internen Firewall erläutert. Die folgenden Abschnitte beinhalten Erläuterungen zur Konfiguration des Umgebungsnetzwerks, der Intranetfirewall und des ISA-Servers zur ordnungsgemäßen Ausführung von Exchange.
Neu in SP2 Mit Microsoft® Exchange Server 2003 Service Pack 2 (SP2) hat Microsoft eine Direct Push-Technologie eingeführt, mit der Exchange ActiveSync® E-Mail-Nachrichten direkt an das mobile Geräte weiterleitet kann, sobald diese den Server erreichen. Mit der Direct Push-Technologie sendet der Back-End-Server immer, wenn er eine an das mobile Gerät zu übertragende E-Mail-Nachricht empfängt, eine UDP-Benachrichtigung an den Front-End-Server. Für diese Übertragung muss der UDP-Anschluss 2883 auf der Firewall geöffnet sein, um Datenverkehr in eine Richtung vom Back-End-Server zum Front-End-Server zuzulassen.
Weitere Informationen zur Bereitstellung der Direct Push-Technologie und den Auswirkungen auf die Firewallkonfiguration finden Sie im Exchange Server-Blogartikel
- Direct Push is just a heartbeat away.
.gif "note")
Anmerkung:Die Inhalte der einzelnen Blogartikel und ihren URL können ohne vorherige Ankündigung geändert werden.
Erweiterter Firewallserver in einem Umgebungsnetzwerk
Wenn es sich bei Ihrem erweiterten Firewallserver (zum Beispiel ISA) nicht auch um Ihre Intranetfirewall handelt (zwischen dem erweiterten Firewallserver und dem Front-End-Server ist eine zusätzliche Firewall vorhanden), müssen Sie die erforderlichen Protokollanschlüsse auf Ihrer Intranetfirewall öffnen, um dem erweiterten Firewallserver die Weiterleitung von Anfragen zu ermöglichen.
Zur Weiterleitung von Anfragen über den erweiterten Firewallserver erforderlichen Protokollanschlüsse
| Zielanschlussnummer/-transport | Protokoll |
|---|---|
443/TCP - eingehend oder 80/TCP - eingehend |
HTTPS (SSL-gesichertes HTTP) oder HTTP, je nachdem, ob die erweiterte Firewall (wie zum Beispiel ISA) die SSL-Entschlüsselung verschiebt |
993/TCP - eingehend |
SSL-gesichertes IMAP |
995/TCP - eingehend |
SSL-gesichertes POP |
25/TCP - eingehend |
SMTP |
Zusätzliche Anschlüsse sind möglicherweise erforderlich, wenn die erweiterte Firewall bestimmte Tasks wie die Authentifizierung von Benutzern ausführt. Weitere Informationen finden Sie in der Dokumentation zu Ihrer erweiterten Firewall.
| Anmerkung: |
|---|
| Von anderen Firewallanbietern werden möglicherweise weitere Konfigurationseinstellungen zur IP-Fragmentierung für die jeweiligen Produkte empfohlen. |
Front-End-Server in einem Umgebungsnetzwerk
In einem Umgebungsnetzwerk muss der Front-End-Server in der Lage sein, Verbindungen zu Back-End-Servern und Active Directory® -Verzeichnisdienstservern herzustellen. Konfigurieren Sie daher Ihre interne Firewall mit einer Regel, die eingehenden Datenverkehr über Anschluss 80 vom Umgebungsnetzwerk zum Unternehmensnetzwerk erlaubt. Diese Regel verweigert jedoch ausgehenden Datenverkehr über Anschluss 80 vom Unternehmensnetzwerk zum Front-End-Server. Die folgende Diskussion über Anschlüsse bezieht sich auf Eingangsanschlüsse, über die der Datenverkehr vom Server in einem Umgebungsnetzwerk zu den Back-End-Servern erfolgt.
| Anmerkung: |
|---|
| Die bevorzugte Bereitstellungsmethode für den Front-End-Server ist die Positionierung im Intranet mit den Back-End-Servern und die Verwendung einer erweiterten Firewall als Umgebungsnetzwerk. Lesen Sie diesen Abschnitt, wenn zur Positionierung des Exchange-Front-End-Servers im Umgebungsnetzwerk bestimmte Anforderungen bestehen. |
Standardprotokolle
Alle unterstützten Protokollanschlüsse müssen in der inneren Firewall immer geöffnet sein. Die SSL-Anschlüsse müssen nicht geöffnet sein, da SSL zur Kommunikation zwischen dem Front-End-Server und den Back-End-Servern nicht verwendet wird. In der folgenden Tabelle finden Sie eine Auflistung der für die Intranetfirewall erforderlichen Anschlüsse Diese Anschlüsse sind spezifisch für eingehenden Datenverkehr (vom Front-End-Server zu den Back-End-Servern).
Für die Intranetfirewall erforderliche Protokollanschlüsse
| Anschlussnummer/-transport | Protokoll |
|---|---|
80/TCP - eingehend |
HTTP |
143/TCP - eingehend |
IMAP |
110/TCP - eingehend |
POP |
25/TCP - eingehend 691/TCP |
SMTP Routing des Verbindungsstatusalgorithmus |
| Anmerkung: |
|---|
| In dieser Tabelle bedeutet "eingehend", dass die Firewall zum Zulassen von Computern (zum Beispiel erweiterte Firewallserver) im Umgebungsnetzwerk konfiguriert werden sollte, um Verbindungen vom Front-End-Server im Unternehmensnetzwerk herzustellen. Der Front-End-Server muss nie Verbindungen zu Computern in einem Umgebungsnetzwerk herstellen. Der Front-End-Server reagiert lediglich auf Verbindungen, die von Computern im Umgebungsnetzwerk initiiert wurden. |
Active Directory-Kommunikation
Zur Kommunikation mit Active Directory müssen die LDAP-Anschlüsse auf dem Exchange-Front-End-Server geöffnet sein. TCP und UDP sind erforderlich. Windows auf dem Front-End-Server sendet eine 389/UDP-LDAP-Anfrage an einen Domänencontroller, um dessen Verfügbarkeit zu überprüfen. Anschließend verwendet der LDAP-Datenverkehr TCP. Die Windows Kerberos-Authentifizierung wird ebenfalls verwendet. Der Kerberos-Anschluss muss daher ebenfalls geöffnet sein. TCP und UDP sind ebenfalls für Kerberos erforderlich. Windows verwendet standardmäßig UDP/88. Wenn die Datenmenge die maximale Paketgröße für UDP übersteigt, kommt TCP zum Einsatz. In der folgenden Tabelle werden die zur Kommunikation mit Active Directory und Kerberos benötigen Anschlüsse aufgelistet.
Zur Kommunikation mit Active Directory und Kerberos benötigten Anschlüsse
| Anschlussnummer/-transport | Protokoll |
|---|---|
389/TCP |
LDAP zum Verzeichnisdienst |
389/UDP |
|
3268/TCP |
LDAP zum globalen Katalogserver |
88/TCP |
Kerberos-Authentifizierung |
88/UDP |
|
Auf der Firewall können zwei optionale Anschlusssets geöffnet werden. Die Auswahl richtet sich nach den jeweiligen Richtlinien des Unternehmens. Jede Entscheidung bringt jedoch auch Nachteile in den Bereichen Sicherheit, einfache Verwaltung und Funktionalität.
DNS (Domain Name Service)
Der Front-End-Server muss auf einen DNS-Server zugreifen, um Servernamen ordnungsgemäß zu ermitteln (z. B. zum Konvertieren von Servernamen in IP-Adressen). In der folgenden Tabelle werden die für diesen Zugriff erforderlichen Anschlüsse aufgelistet.
Wenn Sie diese Anschlüsse nicht öffnen möchten, müssen Sie einen DNS-Server auf dem Front-End-Server installieren und den richtigen Namen für IP-Zuordnungen für alle Server eingeben, zu denen möglicherweise eine Verbindung hergestellt wird. Weiterhin müssen alle Active Directory SRV-Datensätze konfigurieren, da der Front-End-Server in der Lage sein muss, Domänencontoller zu ermitteln. Stellen Sie bei der Installation eines DNS-Servers sicher, dass diese Zuordnungen bei Änderungen an der Organisation aktualisiert werden.
Für den Zugriff auf den DNS-Server erforderliche Anschlüsse
| Anschlussnummer/-transport | Protokoll |
|---|---|
53/TCP |
DNS-Suche |
53/UDP |
|
| Anmerkung: |
|---|
| Die meisten Dienst setzen UDP für die DNS-Suche ein. TCP wird nur verwendet, wenn der Umfang der Anfrage die maximale Paketgröße übersteigt. Der Exchange SMTP-Dienst verwendet TCP jedoch standardmäßig für die DNS-Suche. Weitere Informationen finden Sie im Microsoft Knowledge Base-Artikel 263237 mit Informationen zur Verwendung von TCP-DNS-Anfragen in Windows 2000- und Exchange 2000-SMTP. |
IPSec
In der folgenden Tabelle werden die für den IPSec-Datenverkehr über die Intranetfirewall benötigten Anforderungen aufgelistet: Sie müssen nur den Anschluss für das Protokoll aktivieren, das Sie konfigurieren. Wenn Sie zum Beispiel ESP verwenden, müssen Sie nur das IP-Protokoll 50 über die Firwall zulassen.
Für IPSec benötigte Anschlüsse
| Anschlussnummer/-transport | Protokoll |
|---|---|
IP-Protokoll 51 |
AH (Authentication Header) |
IP-Protokoll 50 |
ESP (Encapsulating Security Payload) |
500/UDP |
IKE (Internet Key Exchange) |
88/TCP |
Kerberos |
88/UDP |
|
RPCs (Remote Procedure Calls)
DSAccess verwendet RPCs nicht mehr zum Ermitteln von Active Directory-Diensten. Da Ihr Front-End-Server jedoch zur Authentifizierung von Anfragen konfiguriert ist, muss IIS nach wie vor RPC-Zugriff auf Active Directory haben, um Anfragen zu authentifizieren. Öffnen Sie daher die RPC-Anschlüsse, die in der Tabelle "Zur Authentifizierung benötigte RPC-Anschlüsse" weiter unten aufgelistet sind.
Beenden von RPC-Datenverkehr
Wenn Sie über ein eingeschränktes Umgebungsnetzwerk verfügen, in dem der Front-End-Server keine Benutzer authentifizieren kann, können Sie möglicherweise die in der Tabelle "Zur Authentifizierung benötigte RPC-Anschlüsse" weiter unten aufgelisteten RPC-Anschlüsse nicht öffnen. Ohne diese RPC-Anschlüsse kann der Front-End-Server jedoch keine Authentifizierung durchführen. Sie können den Front-End-Server für den anonymen Zugriff konfigurieren, Sie sollten sich jedoch über die dabei entstehenden Risiken bewusst sein. Weitere Informationen finden Sie unter Authentifizierungsmechanismen für HTTP.
Um das Beenden des gesamten RPC-Datenverkehrs zu vermeiden, wird empfohlen, den RPC-Datenverkehr durch Öffnen eines Anschlusses (wie im folgenden Abschnitt beschrieben) zu beschränken.
Beschränken des RPC-Datenverkehrs
Wenn Sie die für RPCs benötigten Features, wie zum Beispiel Authentifizierung oder implizite Anmeldung, konfigurieren möchten, die breite Palette von Anschlüssen über 1024 jedoch nicht öffnen möchten, können Sie Ihre Domänencontroller und globalen Katalogserver zur Verwendung eines einzelnen Anschlusses für den gesamten RPC-Datenverkehr konfigurieren. Weitere Informationen zur Beschränkung von RPC-Datenverkehr finden Sie im Microsoft Knowledge Base-Artikel 224196, "Einschränken von Active Directory-Replikationsverkehr an einem bestimmten Port."
Zur Clientauthentifizierung muss der Registrierungsschlüssel (wie im oberen Knowledge Base-Artikel und im Folgenden erläutert) auf allen Servern festgelegt werden, die der Front-End-Server möglicherweise kontaktiert (zum Beispiel ein globaler Katalogserver). Legen Sie den folgenden Registrierungsschlüssel für einen bestimmten Anschluss fest, zum Beispiel 1600:
HKEY_LOCAL_MACHINE\CurrentControlSet\Services\NTDS\Parameters
Registrierungswert: TCP/IP-Port Werttyp: REG_DWORD-Wertdaten: (verfügbarer Anschluss)
Öffnen Sie auf der Firewall zwischen dem Umgebungsnetzwerk und Ihrem Intranet lediglich die beiden Anschlüsse für die RPC-Kommunikation - Der RPC-Portmapper (135) und der von Ihnen angegebene Anschluss (Anschluss 1600, wie in der folgenden Tabelle angegeben). Der Front-End-Server versucht zunächst, die Back-End-Server mit RPCs über Anschluss 135 zu kontaktieren, und der Back-End-Server antwortet mit dem aktuell verwendeten RPC-Anschluss.
| Anmerkung: |
|---|
| Exchange-System-Administrator verwendet RPCs zur Verwaltung von Exchange-Servern. Es wird empfohlen, dass Sie Exchange-System-Administrator auf einem Front-End-Server nicht zur Verwaltung von Back-End-Servern einsetzen, da hierfür die Konfiguration von RPC-Zugriff vom Front-End-Server zu jedem einzelnen Back-End-Server erforderlich ist. Verwenden Sie Exchange-System-Administrator über einen Exchange-Clientcomputer oder einen Back-End-Server, um Back-End-Server zu verwalten. Sie können jedoch Exchange-System-Administrator nach wie vor auf dem Front-End-Server zur Verwaltung des Front-End-Servers selbst verwenden. |
Zur Authentifizierung benötigte RPC-Anschlüsse
| Anschlussnummer/-transport | Protokoll |
|---|---|
135/TCP |
Endpunktzuordnung für RPC-Anschlüsse |
1024+/TCP Oder 1600/TCP |
Zufällige Dienstanschlüsse (Beispiel) Bestimmter RPC-Dienstanschluss, falls beschränkt |