外围网络中的前端服务器

上一次修改主题： 2005-05-24

下图说明了外围网络中的 Exchange 前端服务器。

方案

在此图中，公司在两个独立防火墙之间放置了前端服务器。第一个防火墙将前端服务器与 Internet 分隔，只允许对该前端服务器的请求。第二个防火墙将前端服务器与内部网络分隔。两个防火墙之间的系统就是所谓的外围网络（也称为 DMZ、网络隔离区和屏蔽子网）。外围网络配置可以提供更多的安全保护，因为如果前端服务器被攻破，在入侵者与网络的其他部分之间仍存在另一个屏障。

注意：
将前端服务器放置在外围网络内部是在外围网络内部部署前端/后端拓扑的一种方法。但是，建议的方法如第一个方案外围网络中的高级防火墙中所述。此方法涉及在 Intranet 内部放置前端服务器和后端服务器，在外围网络中放置一个高级防火墙（例如 ISA Server）。高级防火墙可以提供应用程序协议筛选功能，并在将请求代理到内部网络之前对其执行其他身份验证。

安装说明

有关详细的安装说明，请参阅如何设置在外围网络中包含前端服务器的前端/后端拓扑。

讨论

通常，已部署外围网络并标准化其使用方式的公司会通过限制在 Intranet 防火墙上启用的网络端口，限制允许通过 Intranet 防火墙的网络通信类型。但是，前端服务器要求某些端口全功能运行。

问题

已为其他服务部署外围网络拓扑的一些公司会制订一些政策，限制外围网络内部的计算机发起与公司 Intranet 内部的服务器的连接。因为必须由前端服务器发起连接，所以，此配置中不支持运行 Exchange 的前端服务器。

此外，前端服务器必须是后端服务器所处的同一 Windows 林的成员。某些公司不允许成员服务器处于外围网络中；对于这些公司，不能在外围网络中部署前端服务器。

建议在放置或锁定 Intranet 防火墙之前完全配置前端服务器。如果在 Exchange 系统管理器中配置前端服务器上的配置，则要求正在运行 System Attendant (MSExchangeSA) 服务，以便可以将配置信息复制到元数据库。MSExchangeSA 服务要求通过 RPC 访问后端服务器，通常，不允许跨外围网络中的 Intranet 防火墙执行 RPC。

Exchange 2000 Server SP2 中的 DSAccess 组件已重新设计，可以为不允许跨内部防火墙的 RPC 通信的外围网络提供更好的支持。但是，应在前端服务器上设置另外两个注册表项，以便禁用 NetLogon 和目录访问 Ping：

• NetLogon   DSAccess 通过 RPC 使用 NetLogon 服务连接到 Active Directory 服务器，以便检查可用磁盘空间、时间同步和复制参与情况。如果不允许跨内部防火墙的 RPC 通信，则应通过在前端服务器上创建 DisableNetlogonCheck 项来停止 NetLogon 检查。
• 目录访问 Ping   默认情况下，目录访问使用 Internet 控制消息协议 (ICMP) 来 Ping 每台服务器，以确定服务器是否可用。但是，如果外围网络中在运行 Exchange 的服务器与域控制器之间没有 ICMP 连接，则目录访问将确定每个域控制器不可用。然后，目录访问丢弃旧拓扑并执行新拓扑发现，这会影响服务器的性能。为了避免这些性能问题，通过为 Windows 实现的 LDAP (wLDAP) 创建 LdapKeepAliveSecs 注册表项，在前端服务器上禁用目录访问 Ping。

有关如何设置这些注册表项的信息，请参阅为外围网络配置 DSAccess。