使用双宿主 Exchange 服务器作为 Internet 网关
上一次修改主题: 2005-05-20
此方案描述了用作 Exchange 组织的网关服务器的双宿主 Exchange 服务器的支持配置。此服务器既可以单独处理邮件,也可以用作组织中其他服务器的桥头服务器。为安全起见,应在防火墙的后面使用此配置。
基本配置
基本配置包含一台配置了两个网络接口的邮件网关;该网关用作 Intranet 与 Internet 之间的单个连接点。
下面的列表提供了两个虚拟服务器和一个 SMTP 连接器的常规配置要求:
.gif "note") 注意: |
|---|
| 如果在一台 Exchange 服务器上配置两个虚拟服务器,则必须使用唯一的 IP 地址和端口组合。不要配置其中的任意一个虚拟服务器使用“所有可用的 IP 地址”这一默认值。 |
- 虚拟服务器 1
- 将虚拟服务器 1 配置为 SMTP 连接器的桥头服务器。
- 配置虚拟服务器 1 使用外部 DNS 服务器列表中的全部外部 DNS 服务器。
- 将虚拟服务器 1 绑定到 Intranet IP 地址和 25 端口。
- 输入本地公司域(如 contoso.com)。
- 虚拟服务器 2
- 配置虚拟服务器 2,以使它不中继邮件(这是默认配置)。有关默认中继限制的详细信息,请参阅如何在 SMTP 虚拟服务器上验证中继限制。
- 配置虚拟服务器 2 以便允许匿名访问(这是默认配置)。有关允许匿名访问的详细信息,请参阅如何在出站 SMTP 虚拟服务器上允许匿名访问。
- 将虚拟服务器 2 绑定到 Internet IP 地址和 25 端口。
- 选择本地公司域(如 contoso.com)。
- SMTP 连接器
- 配置 SMTP 连接器,以便使用 DNS 来路由到连接器上的每个地址空间。
- 使 SMTP 连接器驻留在虚拟服务器 1 上(通过将其指定为桥头服务器)。
- 创建地址空间 *(星号)或等效的地址空间。
- 使用两个网络接口卡 (NIC) -- 一个是内部 NIC,一个是外部 NIC。
- 确认服务器上不存在两个网络之间的 IP 路由配置。(这是默认配置。)
有关配置 SMTP 连接器的详细信息,请参阅如何创建 SMTP 连接器。
入站 Internet 邮件
邮件以下列方式流入 Exchange 组织:
- 来自 Internet 的邮件使用 Internet IP 地址向本地域中的收件人发送邮件。
- 虚拟服务器 2 监视此 Internet IP 地址以侦听邮件,并接收传入的所有 Internet 邮件。由于未配置虚拟服务器 2 中继邮件,因此它拒绝目标地址非公司域(如 contoso.com)的邮件。
- 当虚拟服务器 2 收到从 Internet 发往本地域内部的主机的邮件时,通过内部 NIC 与 Microsoft Active Directory® 目录服务联系,以确定邮件要发往的目的地。因此,虚拟服务器 2 收到的邮件被直接发送到内部主机或另一台桥头服务器(以传递到另一个路由组)。
| 注意: |
|---|
| 虽然虚拟服务器 2 监视外部 IP 地址以侦听传入的邮件,但是它基于路由表中的条目来使用适于路由邮件的任意 IP 地址。虚拟服务器 2 仅使用内部 DNS 服务来进行名称解析。虚拟服务器 2 未配置外部 DNS 服务器列表,因此不解析外部地址。它拒绝发往公司域(本例中为 contoso.com)以外的域的所有邮件。 |
出站 Internet 邮件
邮件以下列方式流出 Exchange 组织:
- 用户向外部收件人发送邮件。
- 由于此邮件是出站邮件,因此它使用驻留在虚拟服务器 1 上的 SMTP 连接器。
- 当虚拟服务器 1 收到发往远程域的邮件时,使用外部 DNS 服务器列表来查找邮件收件人的 IP 地址,然后使用外部 NIC 来传递外部邮件。(通常,外部 Internet IP 地址在内部 DNS 服务器上不可用。)
.gif "important") 重要提示: |
|---|
| 虽然将虚拟服务器 1 配置为监视 Intranet IP 地址,但是它对外部邮件使用 Internet NIC。 |
下图说明了通过双宿主服务器的邮件流。
.gif "a9812efa-b197-4dc7-95c1-105bae0dcd3d")
使用 Internet 邮件向导配置双宿主 Exchange 服务器
可以使用 Internet 邮件向导来配置双宿主 Exchange 服务器。此向导引导您逐步完成必要的配置,并自动在出站 SMTP 虚拟服务器上创建连接器。
使用如何启动 Internet 邮件向导步骤,可以配置一台具有两个 SMTP 虚拟服务器的双宿主 Exchange 服务器,以便发送和接收 Internet 邮件。运行 Internet 邮件向导之后,Exchange 服务器将按照您在向导中指定的配置来发送和接收所有 Internet 邮件。
| 注意: |
|---|
| 如果已经在 Exchange 服务器上配置了 SMTP 连接器或创建了额外的 SMTP 虚拟服务器,则不能使用 Internet 邮件向导。在这种情况下,必须首先还原默认配置,然后才能运行 Internet 邮件向导。 |
该向导在 Exchange 服务器上创建额外的 SMTP 虚拟服务器。它以下列方式配置 Internet 邮件传递:
- 若要配置服务器以发送 Internet 邮件,向导将引导您完成为默认 SMTP 虚拟服务器(将在其上创建 SMTP 连接器以发送出站邮件)分配 Intranet IP 地址的过程。为该虚拟服务器分配 Intranet IP 地址,以便只有在您的 Intranet 上的内部用户才能发送出站邮件。
- 若要配置服务器以接收 Internet 邮件,向导将引导您完成为 Internet SMTP 虚拟服务器分配 Internet IP 地址的过程。之所以要为该虚拟服务器分配 Internet IP 地址,是因为外部服务器需要能够连接到该 SMTP 虚拟服务器,才能向您的公司发送 Internet 邮件。此外,Internet DNS 服务器上必须存在引用该服务器的 MX 记录。
Internet 邮件向导还对 Internet SMTP 虚拟服务器执行必要的检查,以确保其配置的正确性。它确认下面的两点:
- Internet SMTP 虚拟服务器接受匿名连接。
- Internet SMTP 不允许中继。
有关 Internet 邮件向导的详细信息,请参阅使用 Internet 邮件向导配置 Internet 邮件传递。
安全性考虑因素
若要提高双宿主网关服务器配置的安全性,请考虑下列推荐设置:
- 使用 Internet 协议安全 (IPSec) 策略来筛选 Internet NIC 上的端口。有关 IPSec 策略的详细信息,请参阅 Microsoft Windows 2000 或 Windows Server 2003 联机文档。
- 严格限制允许哪些用户登录到该服务器。一种简单的方法是在不使用键盘、鼠标或监视器的情况下运行服务器,而使用终端服务来管理服务器。然后,仅允许管理员访问终端服务器。
通过在此配置中使用双宿主 Exchange 服务器作为网关服务器,公司可以通过尽量减少从 Internet 到其 Intranet 的入口点来限制自身的暴露。通过防止 Internet 上的虚拟服务器将邮件中继到其他 Internet 主机,可以确保虚拟服务器仅路由发往有效的内部收件人的邮件。由于虚拟服务器 1 使用外部 DNS 服务器列表并仅路由出站 Internet 邮件(而非内部邮件),因此外部 DNS 服务器问题不会影响内部的邮件通信。通过将传入 Internet 邮件过程、内部邮件过程和传出 Internet 邮件过程分开,上述任何过程中的故障点都保持独立,并且更易于管理。