前端/后端拓扑清单

 

上一次修改主题: 2005-05-24

以下清单总结在配置前端服务器、后端服务器和防火墙时所需的步骤。

note注意:
下列步骤包含有关编辑注册表的信息。使用注册表编辑器不当可能导致严重的问题,可能需要重新安装操作系统。Microsoft 无法保证使用注册表编辑器不当所导致的问题可以得到解决。使用注册表编辑器的风险自担。有关如何编辑注册表的信息,请查看注册表编辑器 (Regedit.exe) 中的“更改项和值”帮助主题或 Regedt32.exe 中的“在注册表中添加和删除信息”和“编辑注册表信息”帮助主题。注意,在编辑注册表之前应备份注册表。还应更新紧急修复盘 (ERD)。
note注意:
下列表格以表格清单形式显示前端/后端拓扑的任务。

配置前端服务器

任务

步骤 1 安装 Exchange Server:

在前端服务器上安装 Exchange Server。

步骤 2 根据需要在前端服务器上配置 HTTP 虚拟服务器或目录,用于访问邮箱存储和公用存储:

对于其他虚拟服务器,请指定 SMTP 域、IP 地址和主机头或端口。保持选中“基本身份验证”复选框。

对于用于公用存储的其他虚拟目录,请指定相应的公用存储根目录。

对于用于邮箱存储的其他虚拟目录,请指定 SMTP 域。

步骤 3 禁用不必要的服务:

停止所使用的协议不需要的任何服务。

步骤 4 卸除并删除存储(如果需要):

如果未在运行 SMTP,则卸除并删除所有邮箱存储。

如果正在运行 SMTP,则保持装入邮箱存储,但确保邮箱存储不包含任何邮箱。如果收到发往公用文件夹的大量外部电子邮件,则可以装入公用存储,因为这样可以改善向公用文件夹的邮件传递。

步骤 5 设置前端服务器负载平衡(如果需要):

在所有前端服务器上安装负载平衡。

(推荐)启用客户端关联。

步骤 6 配置 SSL(推荐):

方案 1:在前端服务器上配置 SSL。

方案 2:在客户端与前端服务器之间设置服务器,以减轻 SSL 解密的负担。

步骤 7 如果使用外围网络:

note注意:
建议在外围网络中使用高级防火墙服务器(如 ISA Server)而不是前端服务器。有关详细信息,请参阅外围网络中的高级防火墙

创建 DisableNetlogonCheck 注册表项并将 REG_DWORD 值设置为 1。

创建 LdapKeepAliveSecs 注册表项并将 REG_DWORD 值设置为 0。

要将前端服务器限制为只与某些域控制器和全局编录服务器联系,请在前端服务器上的 Exchange 系统管理器中进行指定。

步骤 8 如果使用外围网络并且不希望允许跨 Intranet 防火墙执行 RPC:

note注意:
如果在前端服务器上禁用身份验证,则允许匿名请求到达后端服务器。

在前端服务器上禁用身份验证。

步骤 9 如果需要,请在前端服务器上创建 IPSec 策略。

配置后端服务器

任务
  1. 创建并配置 HTTP 虚拟服务器或目录,以便与前端服务器匹配:
  2. 对于其他虚拟服务器,请设置相应的主机头和 IP 地址。TCP 端口必须保持在 80。确保同时选中“基本身份验证”和“集成 Windows 身份验证”复选框。
  3. 对于用于公用文件夹存储的其他虚拟目录,请指定相应的公用文件夹存储根目录,以便与前端服务器上配置的根目录匹配。
  4. 对于用于邮箱存储的其他虚拟目录,请指定 SMTP 域。

配置防火墙

任务

步骤 1 配置 Internet 防火墙(在 Internet 与前端服务器之间):

在 Internet 防火墙上打开邮件协议的 TCP 端口:

443(对于 HTTPS)

993(对于启用 SSL 的 IMAP)

995(对于启用 SSL 的 POP)

25(对于 SMTP,包括 TLS)

步骤 2(续) 如果使用 ISA Server,请如下所述进行配置:

为 SSL 配置侦听器。

创建包含 ISA 服务器的外部 IP 地址的目标集。将在 Web 发布规则中使用此目标集。

创建 Web 发布规则,以将请求重定向到内部前端服务器。

创建协议规则,以在 ISA Server 中打开用于传出通信的端口。

为 Outlook Web Access 配置 ISA 服务器(有关如何为 Outlook Web Access 配置 ISA 服务器的详细信息,请参阅 Microsoft 知识库文章 307347“Secure OWA Publishing Behind ISA Server May Require Custom HTTP Header”(英文)。

步骤 3 如果使用外围网络中的前端服务器,请配置 Intranet 防火墙:

在 Intranet 防火墙上打开所使用协议的 TCP 端口:

  • 80(对于 HTTP)
  • 143(对于 IMAP)
  • 110(对于 POP)
  • 25(对于 SMTP)
  • 691(对于链路状态算法路由协议)

打开用于 Active Directory 通信的端口:

  • TCP 端口 389(对于 LDAP 到目录服务的通信)
  • UDP 端口 389(对于 LDAP 到目录服务的通信)
  • TCP 端口 3268(对于 LDAP 到全局编录服务器的通信)
  • TCP 端口 88(对于 Kerberos 身份验证)
  • UDP 端口 88(对于 Kerberos 身份验证)

打开访问 DNS 服务器所需的端口:

  • TCP 端口 53
  • UDP 端口 53

打开用于 RPC 通信的相应端口:

  • TCP 端口 135 - RPC 终结点映射器
  • TCP 端口 1024+ - 随机 RPC 服务端口

(可选)要限制跨 Intranet 防火墙的 RPC,请在 Intranet 中的服务器上编辑注册表,以指定到达特定非随机端口的 RPC 通信。然后,在内部防火墙上打开相应的端口:

  • TCP 端口 135 – RPC 终结点映射器
  • TCP 端口 1600(示例) – RPC 服务端口

如果在前端服务器与后端服务器之间使用 IPSec,请打开相应的端口。如果配置的策略只使用 AH,则不必允许 ESP,反之亦然。

  • UDP 端口 500 – IKE
  • IP 协议 51 – AH
  • IP 协议 50 – ESP
  • UDP 端口 88 和 TCP 端口 88 – Kerberos
 
显示: