外围网络中的前端服务器

 

上一次修改主题: 2005-05-24

下图说明了外围网络中的 Exchange 前端服务器。

外围网络中的前端服务器

在此图中,公司在两个独立防火墙之间放置了前端服务器。第一个防火墙将前端服务器与 Internet 分隔,只允许对该前端服务器的请求。第二个防火墙将前端服务器与内部网络分隔。两个防火墙之间的系统就是所谓的外围网络(也称为 DMZ、网络隔离区和屏蔽子网)。外围网络配置可以提供更多的安全保护,因为如果前端服务器被攻破,在入侵者与网络的其他部分之间仍存在另一个屏障。

note注意:
将前端服务器放置在外围网络内部是在外围网络内部部署前端/后端拓扑的一种方法。但是,建议的方法如第一个方案外围网络中的高级防火墙中所述。此方法涉及在 Intranet 内部放置前端服务器和后端服务器,在外围网络中放置一个高级防火墙(例如 ISA Server)。高级防火墙可以提供应用程序协议筛选功能,并在将请求代理到内部网络之前对其执行其他身份验证。

通常,已部署外围网络并标准化其使用方式的公司会通过限制在 Intranet 防火墙上启用的网络端口,限制允许通过 Intranet 防火墙的网络通信类型。但是,前端服务器要求某些端口全功能运行。

已为其他服务部署外围网络拓扑的一些公司会制订一些政策,限制外围网络内部的计算机发起与公司 Intranet 内部的服务器的连接。因为必须由前端服务器发起连接,所以,此配置中不支持运行 Exchange 的前端服务器。

此外,前端服务器必须是后端服务器所处的同一 Windows 林的成员。某些公司不允许成员服务器处于外围网络中;对于这些公司,不能在外围网络中部署前端服务器。

建议在放置或锁定 Intranet 防火墙之前完全配置前端服务器。如果在 Exchange 系统管理器中配置前端服务器上的配置,则要求正在运行 System Attendant (MSExchangeSA) 服务,以便可以将配置信息复制到元数据库。MSExchangeSA 服务要求通过 RPC 访问后端服务器,通常,不允许跨外围网络中的 Intranet 防火墙执行 RPC。

Exchange 2000 Server SP2 中的 DSAccess 组件已重新设计,可以为不允许跨内部防火墙的 RPC 通信的外围网络提供更好的支持。但是,应在前端服务器上设置另外两个注册表项,以便禁用 NetLogon 和目录访问 Ping:

  • NetLogon   DSAccess 通过 RPC 使用 NetLogon 服务连接到 Active Directory 服务器,以便检查可用磁盘空间、时间同步和复制参与情况。如果不允许跨内部防火墙的 RPC 通信,则应通过在前端服务器上创建 DisableNetlogonCheck 项来停止 NetLogon 检查。
  • 目录访问 Ping   默认情况下,目录访问使用 Internet 控制消息协议 (ICMP) 来 Ping 每台服务器,以确定服务器是否可用。但是,如果外围网络中在运行 Exchange 的服务器与域控制器之间没有 ICMP 连接,则目录访问将确定每个域控制器不可用。然后,目录访问丢弃旧拓扑并执行新拓扑发现,这会影响服务器的性能。为了避免这些性能问题,通过为 Windows 实现的 LDAP (wLDAP) 创建 LdapKeepAliveSecs 注册表项,在前端服务器上禁用目录访问 Ping。

有关如何设置这些注册表项的信息,请参阅为外围网络配置 DSAccess

 
显示: