Configuration d'un pare-feu d'intranet
Dernière rubrique modifiée : 2006-04-14
Cette rubrique traite de l'utilisation d'un réseau de périmètre dans lequel vous utilisez à la fois un pare-feu externe et un pare-feu interne. Les sections suivantes expliquent comment configurer votre réseau de périmètre, votre pare-feu d'intranet et le serveur ISA afin qu'Exchange fonctionne correctement.
Nouveauté de SP2 Avec la version Microsoft® Exchange Server 2003 Service Pack 2 (SP2), Microsoft a introduit la technologie Direct Push qui permet à Exchange ActiveSync® d'envoyer immédiatement des messages électroniques sur le périphérique mobile dès leur arrivée sur le serveur. Avec la technologie Direct Push, chaque fois que le serveur principal reçoit du courrier électronique ou des données à transmettre à un périphérique mobile, il envoie une notification UDP au serveur frontal. Cette transmission nécessite que le port 2883 UDP soit ouvert sur le pare-feu pour autoriser le trafic unidirectionnel du serveur principal au serveur frontal.
Pour plus d'informations sur le déploiement de la technologie Direct Push et son impact sur la configuration du pare-feu, consultez l'article du blog Exchange Server suivant :
- Direct Push is just a heartbeat away.
.gif "note")
Remarque :Le contenu et l'URL de chaque blog sont susceptibles d'être modifiés sans préavis.
Serveur de pare-feu avancé dans le réseau de périmètre
Quand votre serveur de pare-feu avancé (par exemple, ISA) n'est pas également votre pare-feu d'intranet (il existe un pare-feu supplémentaire entre le pare-feu avancé et le serveur frontal), vous devez ouvrir les ports de protocole requis dans votre pare-feu d'intranet pour permettre au serveur de pare-feu avancé de transférer les demandes.
Ports de protocole requis pour permettre au serveur de pare-feu avancé de transférer des demandes
| Numéro du port de destination/transport | Protocole |
|---|---|
443/TCP entrant ou 80/TCP entrant |
HTTPS (HTTP sécurisé par la couche SSL) ou HTTP, selon que le pare-feu avancé (tel qu'ISA) décharge le décryptage SSL ou non. |
993/TCP entrant |
IMAP sécurisé par la couche SSL |
995/TCP entrant |
POP sécurisé par la couche SSL |
25/TCP entrant |
SMTP |
Des ports supplémentaires peuvent être requis si le pare-feu avancé effectue des tâches telles que l'authentification des utilisateurs. Pour plus d'informations, consultez votre documentation de pare-feu avancé.
| Remarque : |
|---|
| D'autres fournisseurs de pare-feu peuvent vous recommander d'ajouter des paramètres de configuration supplémentaires à leurs produits individuels pour la fragmentation IP. |
Serveur frontal d'un réseau de périmètre
S'il est placé dans un réseau de périmètre, le serveur frontal doit être en mesure d'établir des connexions aux serveurs principaux et aux serveurs de service d'annuaire Active Directory ®. Par conséquent, vous devez configurer le pare-feu interne avec une règle qui autorise le trafic de port 80 entrant à partir du réseau de périmètre dans le réseau d'entreprise. Cette règle n'autorisera pas le trafic de port 80 sortant du réseau d'entreprise au serveur frontal. Toutes les rubriques suivantes concernant les ports se réfèrent à des ports entrants transférant le trafic depuis le serveur du réseau de périmètre jusqu'aux serveurs principaux.
| Remarque : |
|---|
| Pour obtenir le meilleur déploiement possible, le serveur frontal doit se trouver sur l'intranet avec les serveurs principaux et utiliser un pare-feu avancé comme réseau de périmètre. Si vous avez des exigences particulières en ce qui concerne la position du serveur frontal Exchange dans le réseau de périmètre, consultez cette section. |
Protocoles de base
Dans tous les cas, tous les ports de protocole pris en charge doivent être ouverts sur le pare-feu interne. Les ports SSL ne doivent pas être ouverts étant donné que le protocole SSL n'est pas utilisé dans la communication entre le serveur frontal et les serveurs principaux. Le tableau suivant liste les ports requis pour le pare-feu d'intranet. Ces ports sont propres au trafic entrant (à partir du serveur frontal sur les serveurs principaux).
Ports de protocole requis pour le pare-feu d'intranet
| Numéro de port/transport | Protocole |
|---|---|
80/TCP entrant |
HTTP |
143/TCP entrant |
IMAP |
110/TCP entrant |
POP |
25/TCP entrant 691/TCP |
SMTP Routage Link State Algorithm |
| Remarque : |
|---|
| Dans ce tableau, « Entrant » signifie que le pare-feu doit être configuré pour autoriser les ordinateurs dans le réseau de périmètre, tels que le serveur de pare-feu avancé, pour établir des connexions au serveur frontal sur le réseau d'entreprise. Le serveur frontal ne doit jamais initier de connexion aux ordinateurs du réseau de périmètre. Le serveur frontal répond seulement aux connexions initiées par les ordinateurs du réseau de périmètre. |
Communication Active Directory
Pour communiquer avec Active Directory, le serveur frontal Exchange nécessite que les ports LDAP soient ouverts. Les protocoles TCP et UDP sont requis : Sur le serveur frontal, Windows enverra une demande LDAP 389/UDP à un contrôleur de domaine pour vérifier s'il est disponible pour une utilisation, après laquelle le trafic LDAP utilise TCP. L'authentification Windows Kerberos est également utilisée. Par conséquent, les ports Kerberos doivent également être ouverts. Les protocoles TCP et UDP sont également requis pour Kerberos : Par défaut, Windows utilise UDP/88 mais lorsque les données sont supérieures à la taille de paquets maximale pour UDP, il utilise le protocole TCP. Le tableau suivant liste les ports requis pour communiquer avec Active Directory et Kerberos.
Ports requis pour la communication Active Directory et Kerberos
| Numéro de port/transport | Protocole |
|---|---|
389/TCP |
LDAP au service d'annuaire |
389/UDP |
|
3268/TCP |
LDAP au serveur de catalogues global |
88/TCP |
Authentification Kerberos |
88/UDP |
|
Il existe deux jeux de ports facultatifs pouvant être ouverts dans le pare-feu. La décision de les ouvrir dépend des stratégies de l'entreprise. Chaque décision implique des compromis dans les domaines de la sécurité, de la facilité d'administration et de la fonctionnalité.
DNS (Domain Name Service)
Le serveur frontal doit avoir accès au serveur DNS pour rechercher correctement des noms de serveur (par, exemple pour convertir des noms de serveur en adresses IP). Le tableau suivant liste les ports requis pour cet accès.
Si vous ne souhaitez pas ouvrir ces ports, vous devez installer un serveur DNS sur le serveur frontal et entrer le nom approprié dans les mappages IP pour tous les serveurs qu'il peut avoir besoin de contacter. En outre, vous devez configurer tous les enregistrements Active Directory SRV car le serveur frontal doit être en mesure de localiser les contrôleurs de domaine. Si vous choisissez d'installer un serveur DNS, vérifiez que ces mappages sont mis à jour lorsque des modifications sont apportées à l'organisation.
Ports requis pour accéder au serveur DNS
| Numéro de port/transport | Protocole |
|---|---|
53/TCP |
Recherche DNS |
53/UDP |
|
| Remarque : |
|---|
| La plupart des services utilisent le protocole UDP pour des recherches DNS et utilisent le protocole TCP lorsque la requête est supérieure à la taille maximale de paquets. Toutefois, le service SMTP Exchange utilise le protocole TCP par défaut pour des recherches DNS. Pour plus d'informations, consultez l'article 263237 de la Base de connaissances Microsoft, « XCON: Windows 2000 and Exchange 2000 SMTP Use TCP DNS Queries ». |
IPSec
Le tableau suivant liste les exigences déterminant l'autorisation du trafic IPSec à travers le pare-feu d'intranet. Vous devez seulement activer le port qui s'applique au protocole que vous configurez. Par exemple, si vous choisissez d'utiliser ESP, vous devez uniquement autoriser le protocole IP 50 à travers le pare-feu.
Ports requis pour IPSec
| Numéro de port/transport | Protocole |
|---|---|
Protocole IP 51 |
En-tête d'authentification (AH) |
Protocole IP 50 |
Protection ESP (Encapsulating Security Payload) |
500/UDP |
IKE (Internet Key Exchange) |
88/TCP |
Kerberos |
88/UDP |
|
Appels de procédure distante (RPC)
DSAccess n'utilise plus les appels de procédure distante pour faire la découverte de services Active Directory. Toutefois, étant donné que votre serveur frontal est configuré pour authentifier des demandes, les services Internet doivent quand même avoir l'accès RPC à Active Directory pour authentifier les demandes. Par conséquent, vous devez ouvrir les ports RPC listés dans le tableau de « ports RPC requis pour l'authentification » ci-dessous.
Arrêt du trafic RPC
Si vous avez un réseau de périmètre verrouillé dans lequel il est impossible pour le serveur frontal d'authentifier les utilisateurs, vous n'êtes peut-être pas autorisé à ouvrir les ports RPC listés dans le tableau de « ports RPC requis pour l'authentification » ci-dessous. Sans ces ports RPC, le serveur frontal ne peut pas effectuer d'authentification. Vous pouvez configurer le serveur frontal pour autoriser l'accès anonyme mais vous devez en comprendre les risques. Pour plus d'informations, reportez-vous à Mécanismes d'authentification pour HTTP.
Au lieu d'arrêter tout le trafic RPC, il est recommandé de restreindre le trafic RPC en ouvrant un port (comme indiqué dans la section suivante).
Restriction du trafic RPC
Si vous souhaitez utiliser les fonctionnalités nécessitant les appels RPC, telles que l'authentification ou l'ouverture de session implicite, mais que vous ne souhaitez pas ouvrir les ports au-dessus de 1024, vous pouvez configurer vos contrôleurs de domaine et serveurs de catalogues globaux pour utiliser un seul port connu pour tout le trafic RPC. Pour plus d'informations sur la restriction du trafic RPC, consultez l'article 224196 de la Base de connaissances Microsoft « Restricting Active Directory Replication Traffic to a Specific Port »
Pour authentifier des clients, la clé de Registre (décrite dans l'article précédent de la Base de connaissances et listée ci-dessous) doit être définie sur un serveur que le serveur frontal peut contacter avec les appels RPC tel qu'un serveur de catalogues global. Définissez la clé de Registre suivante sur un port spécifique, tel que le port 1600 :
HKEY_LOCAL_MACHINE\CurrentControlSet\Services\NTDS\Parameters
Valeur du Registre : Type de valeur du port TCP/IP : Données de la valeur REG_DWORD : (Port disponible)
Sur le pare-feu entre le réseau de périmètre et l'intranet, vous devez ouvrir seulement deux ports pour la communication RPC — le service Portmapper RPC (135) et le port que vous spécifiez (port 1600, listé dans le tableau suivant). Le serveur frontal tente d'abord de contacter les serveurs principaux avec les appels RPC sur le port 135 et le serveur principal répond avec le port RPC qu'il utilise réellement.
| Remarque : |
|---|
| L'Administrateur système Exchange utilise les appels RPC pour administrer les serveurs Exchange. Nous vous conseillons de ne pas utiliser l'Administrateur système Exchange sur un serveur frontal pour administrer les serveurs principaux car cela exige de configurer l'accès RPC du serveur frontal à chaque serveur principal. Vous devez plutôt utiliser l'Administrateur système Exchange à partir d'un ordinateur client Exchange ou d'un serveur principal pour administrer les serveurs principaux. Vous pouvez quand même utiliser l'Administrateur système Exchange sur le serveur frontal pour administrer celui-ci. |
Ports RPC requis pour l'authentification
| Numéro de port/transport | Protocole |
|---|---|
135/TCP |
Mappeur de point final RPC |
1024+/ TCP Ou 1600/TCP |
Ports de service aléatoires (Exemple) Port de service RPC, s'il est restreint |