在公司环境中放置 RPC 代理服务器和防火墙

 

上一次修改主题: 2005-04-20

在公司环境中部署 RPC over HTTP 时,有几种用于放置 RPC 代理服务器和防火墙的部署策略可供选择。建议用于邮件环境的部署策略是在外围网络中部署高级防火墙服务器,如具有 Service Pack 1 和 Feature Pack 1 或更高版本的 Microsoft® Internet Security and Acceleration (ISA) Server 2000。然后在公司网络中放置 RPC 代理服务器,并使用 Exchange 前端和后端服务器体系结构。

note注意:
当您使用 ISA Server 作为高级防火墙服务器时,有几个部署方案可供选择。这些方案将在下列各节中说明。有关如何安装 ISA Server 作为高级防火墙服务器的信息,请参阅 Using ISA Server 2004 with Exchange Server 2003(英文)(http://go.microsoft.com/fwlink/?LinkId=42243)。

通过使用外围网络中的 ISA Server 来路由 RPC over HTTP 请求,并将 Exchange 前端服务器放置在公司网络中,只需打开内部防火墙上的端口 443 供 Microsoft Office Outlook® 2003 客户端与 Exchange 通信使用。下图显示此部署方案。

ISA 服务器在外围网络中的 RPC over HTTP

当 ISA Server 位于外围网络中时,它会将 RPC over HTTP 请求路由到充当 RPC 代理服务器的 Exchange 前端服务器。然后 RPC 代理服务器通过特定端口与使用 RPC over HTTP 的其他服务器通信。

note注意:
如果您的防火墙配置为仅允许访问特定虚拟目录,则必须明确允许访问安装 Microsoft Windows® RPC 网络组件时创建的 /rpc 虚拟目录。

虽然不推荐这样做,但可以将充当 RPC 代理服务器的 Exchange Server 2003 前端服务器放置在外围网络内。有关将 Exchange 前端服务器放置在外围网络中的详细信息,请参阅 Exchange Server 2003 and Exchange 2000 Server Front-End and Back-End Topology(英文)(http://go.microsoft.com/fwlink/?LinkId=34216) 中的主题“Scenarios for Deploying Front-End and Back-End Topology”。

在此方案中,配置 Exchange 服务器的方式与方案 1 中一样。但是,除那些已经要求用于 Exchange 前端服务器的端口外,您还将需要确保打开内部防火墙上 RPC over HTTP 所需的端口。下列端口是 RPC over HTTP 所需的端口:

  • TCP 6001(Microsoft Exchange Information Store 服务)
  • TCP 6002(目录服务代理组件的引用服务)
  • TCP 6004(目录服务代理组件的代理服务)
note注意:
运行 Exchange Server 2003 安装程序时,Exchange 会自动配置为使用端口 6001(它是存储所需的端口)和 6004(它是目录服务代理组件 (DSProxy) 所需的端口)。

有关 Exchange 前端和后端服务器上所需的其他端口的完整列表,请参阅 Exchange Server 2003 and Exchange 2000 Server Front-End and Back-End Topology(英文)(http://go.microsoft.com/fwlink/?LinkId=34216) 中的“部署前端/后端拓扑时的注意事项”。下图显示此部署方案。

59edc739-ae09-49a7-81c6-7b4627f90a07

如果打算使用单个服务器作为 Exchange 邮箱服务器和 RPC 代理服务器,或打算使用单个服务器作为 Exchange 邮箱服务器、RPC 代理服务器和全局编录服务器,并且没有单独的 Exchange 前端服务器,请参阅下列主题之一:

下图显示此部署方案。

a5ee239a-7fa0-4f2d-8dcf-9c1948142711

在此方案中,您还将需要配置服务器以便将指定的端口用于 RPC over HTTP。下列端口是 RPC over HTTP 所需的端口:

  • TCP 6001(Microsoft Exchange Information Store 服务)
  • TCP 6002(DSProxy 的引用服务)
  • TCP 6004(DSProxy 的代理服务)
note注意:
运行 Exchange Server 2003 安装程序时,Exchange 会自动配置为使用端口 6001(它是 Microsoft Exchange Information Store 服务所需的端口)和 6004(它是 DSProxy 的代理服务所需的端口)。

您可以使用 Exchange 前端服务器以外的服务器来处理客户端连接的安全套接字层 (SSL) 解密。在此方案中,您将需要设置特殊注册表设置以允许 SSL 解密发生在前端服务器以外的计算机上。有关详细信息,请参阅如何配置 RPC 代理服务器以允许在单独服务器上使用 SSL 减负功能。下图显示此部署方案。

卸下 ISA 服务器和 SSL 的 RPC over HTTP
 
显示: