Conectividade entre o Exchange 2000 e o Windows 2000 através de firewalls

Traduções de Artigos Traduções de Artigos
Artigo: 280132 - Ver produtos para os quais este artigo se aplica.
Este artigo foi publicado anteriormente em PT280132
Importante: este artigo contém informações sobre como modificar o registo. Certifique-se de que cria uma cópia de segurança do registo antes de o modificar. Certifique-se de que sabe como restaurar o registo se ocorrer um problema. Para obter mais informações sobre como efectuar uma cópia de segurança, restaurar e modificar o registo, clique no número de artigo que se segue para visualizar o artigo na base de dados de conhecimento da Microsoft (KB, Microsoft Knowledge Base):
256986 Descrição do registo do Microsoft Windows


Este artigo poderá conter hiperligações para conteúdo em inglês (ainda não traduzido).
Expandir tudo | Reduzir tudo

Sumário

Este artigo descreve como instalar o Exchange 2000 Server e o Outlook Web Access 5.5 em computadores isolados das respectivas redes do Microsoft Windows 2000 por um firewall e que se encontram numa rede de perímetro (também conhecida por zona DMZ, zona desmilitarizada e sub-rede filtrada). Para que seja possível tentar qualquer ligação ao Exchange 2000, o firewall tem de ser configurado de forma a permitir início de sessão e tráfego de rede do Windows 2000.

NOTA: este artigo aborda apenas o tráfego e a conectividade do Windows 2000.

Mais Informação

Aviso: poderão ocorrer problemas graves se modificar o registo de forma incorrecta utilizando o Editor de registo ou qualquer outro método. Estes problemas poderão forçar a reinstalação do sistema operativo. A Microsoft não garante que estes problemas possam ser resolvidos. Todo e qualquer risco decorrente da modificação do registo é da responsabilidade do utilizador.
Para instalar o Exchange 2000 e o Outlook Web Access 5.5 em computadores isolados das respectivas redes do Microsoft Windows 2000 por um firewall e que se encontrem num ambiente Ethernet de rede de perímetro:
  1. Permita que computadores baseados no Windows 2000 Server iniciem sessão no domínio através do firewall abrindo as seguintes portas para tráfego de entrada:
    • 53 (protocolo de controlo de transmissão [TCP, Transmission Control Protocol], protocolo de datagrama de utilizador [UDP, User Datagram Protocol]) - sistema de nomes de domínio (DNS, Domain Name System) para todos os servidores de DNS listados na configuração IP do servidor front-end.
    • 80 (TCP) - requisito do Outlook Web Access do Exchange 2000 para comunicação entre servidores front-end e back-end do Exchange.
    • 88 (TCP, UDP) - autenticação Kerberos para todos os controladores de domínio que se encontrem no mesmo local do Active Directory que o servidor front-end do Exchange.
    • 123 (UDP) - protocolo de sincronização de hora do Windows (NTP) para todos os controladores de domínio que se encontrem no mesmo local do Active Directory que o servidor front-end do Exchange. Esta porta não é necessária para a capacidade de início de sessão do Windows 2000, mas o administrador da rede poderá configurá-la ou necessitar da mesma.
    • 135 (UDP) - mapeador de pontos finais para todos os controladores de domínio que se encontrem no mesmo local do Active Directory que o servidor front-end do Exchange.
    • 389 (TCP, UDP) - protocolo simples de acesso a directórios (LDAP, Lightweight Directory Access Protocol) para todos os controladores de domínio que se encontrem no mesmo local do Active Directory que o servidor front-end do Exchange.
    • 445 (TCP) - bloco de mensagens do servidor (SMB, Server message block) para Netlogon, conversão LDAP e identificação do sistema de ficheiros distribuídos (DFS, Distributed File System) da Microsoft para todos os controladores de domínio que se encontrem no mesmo local do Active Directory que o servidor front-end do Exchange.
    • 3268 (TCP) - LDAP para servidores de catálogo global.

      Uma porta para o início de sessão e a interface de replicação de directórios do Active Directory (identificadores exclusivos universais [UUIDs, universally unique identifiers] 12345678-1234-abcd-ef00-01234567cffb e e3514235-4b06-11d1-ab04-00c04fc2dcd2).

      Normalmente atribuído à porta 1025 ou 1026 durante o arranque. Este valor não é definido no código fonte do DSProxy ou do System Attendant (MAD). Por este motivo, tem de mapear a porta no registo de todos os controladores de domínio que o computador do Exchange 2000 tenha de contactar através do firewall para processar inícios de sessão e, em seguida, abrir a porta no firewall.

      Para mapear a porta no registo:
      1. Inicie o Editor de registo (Regedt32.exe).
      2. Localize a seguinte chave no registo:
        HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters
      3. No menu Editar, clique em Adicionar valor e adicione o seguinte valor de registo:
        Nome do valor: TCP/IP Port
        Tipo de dados: REG_DWORD
        Base: Decimal
        Valor: superior a 1024
      4. Saia do Editor de registo.
      Certifique-se de que a barra em "TCP/IP" é uma barra normal e de que o valor atribuído é superior a 1024, no formato decimal. Esse número é a porta adicional que precisa de abrir (TCP, UDP) no firewall. A definição deste valor de registo em todos os controladores de domínio protegidos pelo firewall não afecta o desempenho e abrange quaisquer redireccionamentos de pedidos de início de sessão que ocorram em resultado de servidores inactivos, de alterações de funções ou de requisitos de largura de banda.
    NOTAS:
    • Para que o servidor protegido pelo firewall comunique através do mesmo com o servidor externo, também terá de ter as portas 1024 a 65535 configuradas para comunicações de saída. Os computadores que iniciam a comunicação através do firewall utilizam uma porta do lado do cliente que é atribuída dinamicamente e não pode ser configurada.
    • O Windows 2000 adopta o formato de uma sequência de pedidos de ping TCP/IP ao servidor de destino quando computadores baseados no Windows 2000 Server iniciam sessão no domínio através do firewall. O Windows 2000 procede desta forma para determinar se um computador cliente está a obter acesso a um controlador de domínio através de uma ligação lenta para aplicar a política de grupo ou para transferir um perfil de utilizador guardado no servidor.
  2. Instale o Exchange 2000 no computador externo. Não necessita de portas adicionais abertas para instalar o Exchange 2000 no computador externo.
  3. Instale o Outlook Web Access 5.5 no computador externo. Para instalar o Outlook Web Access 5.5 no computador externo, direccionado para um computador com o Microsoft Exchange Server 5.5 em execução dentro da rede de perímetro e firewall, necessita das portas do Windows 2000 descritas anteriormente, além de mapeamentos estáticos para o serviço de directórios do Exchange Server 5.5 (UUID f5cc5a18-4264-101a-8c59-08002b2f8426), o arquivo de informações (UUID a4f1db00-ca47-1067-b31f-00dd010662da) e o System Attendant (UUID 469d6ec0-0d87-11ce-b13f-00aa003bac6c). Para obter mais informações sobre como configurar estes mapeamentos estáticos, clique no número de artigo que se segue para visualizar o artigo na base de dados de conhecimento da Microsoft (KB, Microsoft Knowledge Base):
    245273 OWA Setup error message: "There are no more endpoints available from the Endpoint Mapper"
  4. Configure a conectividade front-end e back-end do Exchange 2000. A conectividade front-end e back-end do Exchange 2000 apenas requer que sejam abertas portas adicionais conforme necessário a determinada comunicação (por exemplo, a conectividade front-end e back-end do cliente Web requer a porta 80 [TCP] aberta, IMAP 143 [TCP], etc.). Além disso, qualquer conectividade através de protocolos seguros, como o IPSec ou HTTP (Hypertext Transfer Protocol) protegido pela camada segura de sockets (SSL, Secure Sockets Layer), o protocolo IMAP (Internet Message Access Protocol) ou o protocolo POP3 (Post Office Protocol versão 3), requer configuração adicional que não é especificada neste artigo. Se o servidor front-end da rede de perímetro tiver uma sub-rede diferente, certifique-se de que adiciona essa sub-rede no snap-in Serviços e locais do Active Directory.

    Num ambiente Ethernet de rede de perímetro, também tem de definir rotas TCP\IP do computador incluído na Ethernet de rede de perímetro para todos os computadores da rede interna com os quais tenha de comunicar.

    NOTA: num cenário de firewall de rede de perímetro, não existe conectividade com o protocolo de mensagens de controlo da Internet (ICMP, Internet Control Message Protocol) entre o servidor do Exchange 2000 e os controladores de domínio. Por predefinição, o acesso a directórios (DSAccess, Directory Access) utiliza o ICMP para efectuar o ping a todos os servidores com os quais estabelece ligação para determinar se o servidor está disponível. Quando não existe conectividade ICMP, o DSAccess responde como se todos os controladores de domínio estivessem indisponíveis.

    Para obter mais informações sobre como desactivar o ping do DSAccess criando uma chave de registo, clique no número de artigo que se segue para visualizar o artigo na base de dados de conhecimento da Microsoft (KB, Microsoft Knowledge Base):
    320529 Using DSAccess in a perimeter network firewall scenario requires a registry key setting

Propriedades

Artigo: 280132 - Última revisão: 27 de fevereiro de 2007 - Revisão: 8.2
A informação contida neste artigo aplica-se a:
  • Microsoft Outlook Web Access 5.5 SP 1
  • Microsoft Exchange Server 5.5 Service Pack 2
  • Microsoft Exchange Server 5.5 Service Pack 3
  • Microsoft Exchange 2000 Server Standard Edition
Palavras-chave: 
kbinfo KB280132

Submeter comentários

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com