Как настроить параметры сети для обмена данными между компьютерами под управлением Windows 2000 и серверами Exchange 2000 при наличии межсетевого экрана

Переводы статьи Переводы статьи
Код статьи: 280132 - Vizualiza?i produsele pentru care se aplic? acest articol.
Внимание! Статья содержит сведения о внесении изменений в системный реестр. Перед внесением изменений рекомендуется создать резервную копию системного реестра и изучить процедуру его восстановления. Дополнительные сведения о создании резервной копии, восстановлении и изменении реестра см. в следующей статье базы знаний Майкрософт:
256986 Описание реестра Microsoft Windows
Развернуть все | Свернуть все

Аннотация

В данной статье приводятся инструкции по установке сервера Exchange 2000 Server и веб-клиента Outlook 5.5 на компьютерах, которые расположены в отдельной внутренней сети (также называемой демилитаризованной зоной (ДМЗ) или промежуточной подсетью), использующей стандарт Ethernet и отделенной от сети Microsoft Windows 2000 межсетевым экраном. Чтобы компьютеры смогли подключаться к серверу Exchange 2000, необходимо настроить межсетевой экран таким образом, чтобы он пропускал пакеты, порождаемые при входе в сеть Windows 2000 и при обмене данными.

Примечание. В данной статье рассматривается работа в сети только компьютеров под управлением Windows 2000.

Дополнительная информация

Предупреждение. Неправильное изменение параметров системного реестра с помощью редактора реестра или любым иным путем может привести к серьезным неполадкам и к необходимости переустановки операционной системы. Корпорация Майкрософт не гарантирует устранения этих неполадок. Ответственность за изменение реестра несет пользователь.
Чтобы установить Exchange 2000 и веб-клиент Outlook 5.5 на компьютерах, работающих в отдельной внутренней сети Ethernet и отделенных от сети Microsoft Windows 2000 межсетевым экраном, выполните следующие действия:
  1. Откройте следующие порты на межсетевом экране, чтобы компьютеры под управлением Windows 2000 Server могли входить в домен через межсетевой экран:
    • Порт 53 протоколов TCP (Transmission Control Protocol) и UDP (User Datagram Protocol) используется системой DNS (Domain Name System) для всех серверов DNS, перечисленных в конфигурации IP серверов переднего плана.
    • Порт 80 протокола TCP используется для обмена данными между серверами переднего плана и фоновыми серверами Exchange при доступе к серверам Exchange 2000 с помощью веб-клиента Outlook.
    • Порт 88 протоколов TCP и UDP используется при проверке подлинности Kerberos для всех контроллеров домена, которые находятся на одном с сервером переднего плана Exchange узле Active Directory.
    • Порт 123 протокола UDP используется при синхронизации времени по протоколу NTP для всех контроллеров домена, которые находятся на одном с сервером переднего плана Exchange узле Active Directory. Следующие порты не требуются для выполнения входа в систему на компьютерах под управлением Windows 2000, однако могут быть открыты по требованию сетевого администратора.
    • Порт 135 протокола TCP используется средствами EndPointMapper для всех контроллеров домена, которые находятся на одном с сервером переднего плана Exchange узле Active Directory.
    • Порт 389 протоколов TCP и UDP используется протоколом LDAP для всех контроллеров домена, которые находятся на одном с сервером переднего плана Exchange узле Active Directory.
    • Порт 445 протокола TCP используется протоколом LDAP, службой распределенной файловой системы (DFS) и службой входа в сеть при обмене данными по протоколу SMB для всех контроллеров домена, которые находятся на одном с сервером переднего плана Exchange узле Active Directory.
    • Порт 3268 протокола TCP используется для обращения по протоколу LDAP к серверам глобального каталога.

      Один порт для выполнения входа в Active Directory для интерфейса репликации каталогов (идентификаторы UUID 12345678-1234-abcd-ef00-01234567cffb и e3514235-4b06-11d1-ab04-00c04fc2dcd2).

      Как правило, при загрузке системы для этих целей выделяется порт 1025 или 1026. Данное значение не указано явным образом в исходном коде DSProxy или системного помощника (MAD). Поэтому необходимо открыть соответствующий порт на межсетевом экране, а затем внести данное сопоставление в системный реестр на всех контроллерах домена, к которым в процессе входа в систему обращаются находящиеся перед межсетевым экраном серверы Exchange Server 2000.

      Чтобы внести данное сопоставление в реестр, выполните следующие действия:
      1. запустите редактор реестра (Regedit32.exe);
      2. найдите и выделите следующий раздел реестра:
        HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters
      3. в меню Правка выберите пункт Создать и добавьте следующий параметр реестра:
        Параметр: Порт TCP/IP
        Тип данных: REG_DWORD
        Представление: десятичное
        Значение: больше 1024
      4. закройте редактор реестра.
      Убедитесь, что в названии параметра TCP/IP указана прямая косая черта и что введенное значение больше, чем 1024 в десятичном представлении. Это значение представляет собой номер порта протоколов TCP и UDP, который необходимо открыть на межсетевом экране. Добавление данного параметра в реестр всех контроллеров домена, находящихся за межсетевым экраном, не влияет на производительность и позволяет обработать все запросы на вход в систему, перенаправленные в результате отключения сервера, изменения ролей или в силу требований к полосе пропускания сети.
    Примечания.
    • Чтобы серверы, расположенные за межсетевым экраном, могли обращаться через межсетевой экран к внешнему серверу, необходимо, чтобы была разрешена установка исходящих подключений для портов 1024 - 65535. Компьютеры, инициирующие установку подключения через межсетевой экран, используют динамически выделяемый номер порта, который не может быть задан заранее.
    • Когда компьютеры под управлением Windows 2000 Server входят в домен через межсетевой экран, операционная система пытается выполнить обмен пакетами с целевым сервером. Это делается, чтобы определить, используется ли при подключении клиентского компьютера к контроллеру домена быстрый или медленный канал связи, и принять решение о применении групповой политики или загрузке перемещаемого профиля пользователя.
  2. Установите на внешнем компьютере сервер Exchange Server 2000. Чтобы установить Exchange Server 2000, на внешнем компьютере не нужно открывать дополнительные порты.
  3. Установите на внешнем компьютере веб-клиент Outlook 5.5. Чтобы установить на внешнем компьютере веб-клиент Outlook 5.5, который будет обращаться к компьютеру с сервером Microsoft Exchange Server 5.5, находящемуся в демилитаризованной зоне перед межсетевым экраном, необходимо открыть описанные выше порты Windows 2000, а также создать статические сопоставления портов для служб каталога сервера Exchange Server 5.5 (UUID f5cc5a18-4264-101a-8c59-08002b2f8426), банка данных (UUID a4f1db00-ca47-1067-b31f-00dd010662da) и системного помощника (UUID 469d6ec0-0d87-11ce-b13f-00aa003bac6c). Дополнительные сведения о создании этих сопоставлений см. в следующей статье базы знаний Майкрософт:
    245273 Сообщение об ошибке установки веб-клиента Outlook: «В системе отображения конечных точек не осталось доступных конечных точек» (Эта ссылка может указывать на содержимое полностью или частично на английском языке)
  4. Настройте внутренние и внешние серверы Exchange Server 2000 для обмена данными. Для этого необходимо открыть дополнительные порты. Номера этих портов зависят от используемого протокола (например, веб-клиенту необходим порт 80 протокола TCP, клиенту IMAP — порт 143 протокола TCP и т.д.). Кроме того, если в текущем окружении выполняется обмен данными с использованием протокола Ipsec или если пакеты протоколов HTTP, IMAP или POP3 защищаются с помощью протокола SSL, необходимо выполнить дополнительную настройку, которая не описывается в данной статье. Если сервер переднего плана, расположенный в отдельной внутренней сети, имеет собственный номер подсети, убедитесь, что эта подсеть добавлена к списку подсетей в оснастке «Active Directory — сайты и службы».

    Кроме того, в отдельной внутренней сети, использующей сеть Ethernet, необходимо задать маршруты TCP\IP, позволяющие компьютерам отдельной внутренней сети обмениваться данными с нужными компьютерами внутренней сети.

    Примечание. Если отдельная внутренняя сеть отделена от внутренней сети межсетевым экраном, то сервер Exchange Server 2000 и контроллеры домена не смогут обмениваться пакетами по протоколу ICMP. По умолчанию служба Directory Access (DSAccess) отправляет запросы протокола ICMP, чтобы определить, доступен ли сервер, к которому выполняется подключение. Если обмен данными по протоколу ICMP отключен, служба Directory Access будет считать, что все контроллеры домена недоступны.

    Дополнительные сведения о том, как отключить отправку запросов ICMP службой Directory Access, см. в следующей статье базы знаний Майкрософт:
    320529 Изменение параметров реестра для использования доступа к каталогу (DSAccess) на сервере, расположенном в отдельной внутренней сети перед межсетевым экраном (Эта ссылка может указывать на содержимое полностью или частично на английском языке)

Свойства

Код статьи: 280132 - Последний отзыв: 16 июня 2006 г. - Revision: 8.1
Информация в данной статье относится к следующим продуктам.
  • Microsoft Outlook Web Access 5.5 SP 1
  • Microsoft Exchange Server 5.5 Service Pack 2
  • Microsoft Exchange Server 5.5 Service Pack 3
  • Microsoft Exchange 2000 Server Standard Edition
Ключевые слова: 
kbinfo KB280132

Отправить отзыв

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com