Verbindungen zwischen Exchange 2000 und Windows 2000 durch Firewalls

SPRACHE AUSWÄHLEN SPRACHE AUSWÄHLEN
Artikel-ID: 280132 - Produkte anzeigen, auf die sich dieser Artikel bezieht
Dieser Artikel ist eine Übersetzung des folgenden englischsprachigen Artikels der Microsoft Knowledge Base:
280132 Exchange 2000 Windows 2000 connectivity through firewalls
Wichtig: Dieser Artikel enthält Informationen zum Bearbeiten der Registrierung. Bevor Sie die Registrierung bearbeiten, vergewissern Sie sich bitte, dass Sie die Registrierung wiederherstellen können, falls ein Problem auftritt. Weitere Informationen zum Erstellen einer Sicherungskopie, zum Wiederherstellen und Bearbeiten der Registrierung finden Sie im folgenden Artikel der Microsoft Knowledge Base:
256986 Beschreibung der Microsoft Windows-Registrierung
Bitte beachten Sie: Bei diesem Artikel handelt es sich um eine Übersetzung aus dem Englischen. Es ist möglich, dass nachträgliche Änderungen bzw. Ergänzungen im englischen Originalartikel in dieser Übersetzung nicht berücksichtigt sind. Die in diesem Artikel enthaltenen Informationen basieren auf der/den englischsprachigen Produktversion(en). Die Richtigkeit dieser Informationen in Zusammenhang mit anderssprachigen Produktversionen wurde im Rahmen dieser Übersetzung nicht getestet. Microsoft stellt diese Informationen ohne Gewähr für Richtigkeit bzw. Funktionalität zur Verfügung und übernimmt auch keine Gewährleistung bezüglich der Vollständigkeit oder Richtigkeit der Übersetzung.
Alles erweitern | Alles schließen

Zusammenfassung

Dieser Artikel beschreibt das Installieren von Exchange 2000 Server und Outlook Web Access 5.5 auf Computern, die durch eine Firewall von ihren jeweiligen Microsoft Windows 2000-Netzwerken getrennt sind und sich in einem Perimeternetzwerk (auch bezeichnet als DMZ, Demilitarized Zone, und Screened Subnet) einer Ethernet-Umgebung befinden. Bevor der Versuch unternommen werden kann, die Exchange 2000-Konnektivität herzustellen, muss die Firewall darauf konfiguriert werden, Windows 2000-Anmeldungen und -Netzwerkverkehr zuzulassen.

Hinweis: In diesem Artikel werden ausschließlich Windows 2000-Netzwerkverkehr und -Konnektivität erläutert.

Weitere Informationen

Achtung: Die unkorrekte Verwendung des Registrierungseditors kann schwerwiegende Probleme verursachen, die das gesamte System betreffen und eine Neuinstallierung des Betriebssystems erforderlich machen. Microsoft kann nicht garantieren, dass Probleme, die von einer falschen Verwendung des Registrierungseditors herrühren, behoben werden können. Benutzen Sie den Registrierungseditor auf eigene Verantwortung.
Gehen Sie folgendermaßen vor, um Exchange 2000 und Outlook Web Access 5.5 auf Computern zu installieren, die durch eine Firewall von ihren jeweiligen Microsoft Windows 2000-Netzwerken getrennt sind und sich in einem Perimeternetzwerk einer Ethernet-Umgebung befinden:
  1. Öffnen Sie die folgenden Ports für eingehenden Netzwerkverkehr, um für Computer mit dem Betriebssystem Windows 2000 Server eine Anmeldung bei der Domäne durch eine Firewall zu ermöglichen:
    • 53 (Transmission Control Protocol [TCP], User Datagram Protocol [UDP]) - Domain Name System (DNS) zu allen DNS-Servern, die in der IP-Konfiguration des Frontend-Servers aufgeführt sind.
    • 80 (TCP) - Wird von Exchange 2000 Outlook Web Access für den Zugriff auf die Kommunikation zwischen Exchange-Frontend- und -Backend-Servern benötigt.
    • 88 (Transmission Control Protocol [TCP], UDP) - Kerberos-Authentifizierung zu allen Domänencontrollern, die sich im selben Active Directory-Standort befinden wie der Exchange-Frontend-Server.
    • 123 (UDP) - Windows Time Synchronization Protocol (NTP) zu allen Domänencontrollern, die sich im selben Active Directory-Standort befinden wie der Exchange-Frontend-Server. Dieses Protokoll wird für Windows 2000-Anmeldefunktionen nicht benötigt, kann jedoch durch den Netzwerkadministrator gefordert oder konfiguriert werden.
    • 135 (TCP) - EndPointMapper (Endpunktzuordnung) zu allen Domänencontrollern, die sich im selben Active Directory-Standort befinden wie der Exchange-Frontend-Server.
    • 389 (TCP, UDP) - Lightweight Directory Access Protocol (LDAP) zu allen Domänencontrollern, die sich im selben Active Directory-Standort befinden wie der Exchange-Frontend-Server.
    • 445 (TCP) - Server Message Block (SMB) für Netlogon, LDAP-Konvertierung und die Erkennung für das verteilte Dateisystem (Distributed File System, DFS) von Microsoft zu allen Domänencontrollern, die sich im selben Active Directory-Standort befinden wie der Exchange-Frontend-Serverr.
    • 3268 (TCP) - LDAP zu globalen Katalogservern.

      Ein Port für die Active Directory-Anmeldung und die Verzeichnisreplikationsschnittstelle (Universally Unique Identifiers [UUIDs] 12345678-1234-abcd-ef00-01234567cffb und e3514235-4b06-11d1-ab04-00c04fc2dcd2).

      Diese Funktion wird beim Start in der Regel Port 1025 oder 1026 zugeordnet. Dieser Wert wird im DSProxy- oder Systemaufsicht-Quellcode (MAD) nicht festgelegt. Deshalb müssen Sie diesen Port in der Registrierung auf allen Domänencontrollern zuordnen, die der Exchange 2000-Computer zur Verarbeitung von Anmeldungen durch die Firewall kontaktieren muss, und diesen Port dann auf der Firewall öffnen.

      Gehen Sie folgendermaßen vor, um den Port in der Registrierung zuzuordnen:
      1. Starten Sie den Registrierungseditor (Regedt32.exe).
      2. Suchen Sie folgenden Schlüssel in der Registrierung:
        HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters
      3. Klicken Sie im Menü Bearbeiten auf Wert hinzufügen, und fügen Sie dann den folgenden Registrierungswert hinzu:
        Name: TCP/IP Port
        Typ: REG_DWORD
        Basis: Dezimal
        Wert: größer als 1024
      4. Beenden Sie den Registrierungseditor.
      Vergewissern Sie sich, dass der Schrägstrich in "TCP/IP" kein umgekehrter Schrägstrich ist, und dass der von Ihnen zugewiesene Wert größer als 1024 ist (im Dezimalformat). Diese Zahl bezeichnet den zusätzlichen Port (TCP, UDP), den Sie auf der Firewall öffnen müssen. Durch das Festlegen dieses Registrierungswertes auf allen Domänencontrollern innerhalb der Firewall wird die Leistung nicht beeinträchtigt, und es wird die Umleitung von Anmeldeanforderungen abgedeckt, die ihre Ursache in ausgefallenen Servern, geänderten Rollen und Bandbreitenanforderungen haben.
    Hinweise:
    • Damit der hinter der Firewall befindliche Server zurück durch die Firewall mit dem externen Server kommunizieren kann, müssen die Ports 1024 bis 65535 für die ausgehende Kommunikation konfiguriert sein. Computer, die die Kommunikation durch die Firewall initiieren, verwenden einen Port, der dynamisch zugewiesen wird und nicht konfiguriert werden kann.
    • Windows 2000 übermittelt eine Folge von TCP/IP-Ping-Anforderungen an den Zielserver, wenn Computer auf Windows 2000 Server-Basis sich durch die Firewall bei der Domäne anmelden. Windows 2000 tut dies, um zu ermitteln, ob ein Clientcomputer über eine langsame Verbindung auf einen Domänencontroller zugreift, um eine Gruppenrichtlinie anzuwenden oder ein servergespeichertes Benutzerprofil herunterzuladen.
  2. Installieren Sie Exchange 2000 auf dem externen Computer. Es müssen keine weiteren Ports geöffnet sein, um Exchange 2000 auf dem externen Computer installieren zu können.
  3. Installieren Sie Outlook Web Access 5.5 auf dem externen Computer. Sie benötigen die zuvor genannten Windows 2000-Ports plus statische Zuordnungen für den Exchange Server 5.5-Verzeichnisdienst (UUID f5cc5a18-4264-101a-8c59-08002b2f8426), den Exchange-Informationsspeicher (UUID a4f1db00-ca47-1067-b31f-00dd010662da) und die Exchange-Systemaufsicht (UUID 469d6ec0-0d87-11ce-b13f-00aa003bac6c), um Outlook Web Access 5.5 so auf dem externen Computer zu installieren, dass die Installation auf den Microsoft Exchange Server 5.5-Computer zielt, der innerhalb des Perimeternetzwerks und der Firewall betrieben wird. Weitere Informationen dazu, wie Sie diese statischen Zuordnungen vornehmen können, finden Sie folgendem Artikel der Microsoft Knowledge Base:
    245273 XWEB: OWA-Setup-Fehlermeldung: gibt es mehreres kein Verfügbar von Endpunkt die Endpunkt-Zuordnung
  4. Konfigurieren Sie die Exchange 2000-Frontend- und -Backend-Konnektivität. Für die Exchange 2000-Frontend- und -Backend-Konnektivität benötigen Sie nur die zusätzlichen Ports, die für die jeweilige Kommunikationsform geöffnet sein müssen (für eine Webclient-Frontend- und -Backend-Konnektivität müssen zum Beispiel Port 80 [TCP], IMAP 143 [TCP] und so weiter geöffnet sein). Wenn Sie Verbindungen über sichere Protokolle wie IPsec, das per SSL gesicherte HTTP, das Internet Message Access Protocol (IMAP) oder die Post Office Protocol-Version 3 (POP3) herstellen müssen, sind weitere Konfigurationsschritte erforderlich, die in diesem Artikel nicht beschrieben werden. Wenn der Frontend-Server im Perimeternetzwerk über ein anderes Subnetz verfügt, müssen Sie sicherstellen, dass Sie das Subnetz zu dem Snap-In "Active Directory-Standorte und -Dienste" hinzufügen.

    In einer Perimeter-/Ethernet-Umgebung müssen Sie zudem die TCP\IP-Routen von dem Computer im Perimeternetzwerk des Ethernet zu jedem Computer in dem internen Netzwerk definieren, mit dem Sie kommunizieren müssen.

    Hinweis: In einem Szenario mit einem Perimeternetzwerk und einer Firewall gibt es keine ICMP-Konnektivität (ICMP = Internet Control Message Protocol) zwischen dem Exchange 2000-Server und Domänencontrollern. Die Funktion "Directory Access" (DSAccess/Verzeichniszugriff) verwendet standardmäßig ICMP, um alle Server anzupingen, zu denen eine Verbindung hergestellt wird, um zu ermitteln, ob der Server verfügbar ist. Wenn keine ICMP-Konnektivität besteht, reagiert "Directory Access" so, als wären alle Domänencontroller nicht verfügbar.

    Weitere Informationen dazu, wie Sie den DSAccess-Ping durch das Erstellen eines entsprechenden Registrierungsschlüssels deaktivieren können, finden Sie im folgenden Artikel der Microsoft Knowledge Base:
    320529 Die Verwendung von DSAccess in einem Perimeter-Netzwerk-Firewall-Szenario setzt eine Registrierungsschlüsseleinstellung voraus

Eigenschaften

Artikel-ID: 280132 - Geändert am: Freitag, 10. Februar 2006 - Version: 8.1
Die Informationen in diesem Artikel beziehen sich auf:
  • Microsoft Outlook Web Access 5.5 SP 1
  • Microsoft Exchange Server 5.5 Service Pack 2
  • Microsoft Exchange Server 5.5 Service Pack 3
  • Microsoft Exchange 2000 Server Standard Edition
Keywords: 
kbinfo KB280132
Microsoft stellt Ihnen die in der Knowledge Base angebotenen Artikel und Informationen als Service-Leistung zur Verfügung. Microsoft übernimmt keinerlei Gewährleistung dafür, dass die angebotenen Artikel und Informationen auch in Ihrer Einsatzumgebung die erwünschten Ergebnisse erzielen. Die Entscheidung darüber, ob und in welcher Form Sie die angebotenen Artikel und Informationen nutzen, liegt daher allein bei Ihnen. Mit Ausnahme der gesetzlichen Haftung für Vorsatz ist jede Haftung von Microsoft im Zusammenhang mit Ihrer Nutzung dieser Artikel oder Informationen ausgeschlossen.

Ihr Feedback an uns

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com