通過防火牆的 Exchange 2000 Windows 2000 連線

文章翻譯 文章翻譯
文章編號: 280132 - 檢視此文章適用的產品。
重要 本文包含有關修改登錄的相關資訊。修改登錄之前,請務必將它備份起來,並瞭解如何在發生問題時還原登錄。如需有關如何備份、還原和修改登錄的詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
256986 Microsoft Windows 登錄說明
全部展開 | 全部摺疊

結論

本文將告訴您,如果電腦遭到防火牆隔離於其 Microsoft Windows 2000 網路外,且位於周邊網路 (也稱為 DMZ、非警戒區域和屏蔽式子網路) 乙太網路環境中,要如何在電腦上安裝 Exchange 2000 Server 和 Outlook Web Access 5.5。在嘗試進行任何 Exchange 2000 連線之前,必須先設定防火牆,以允許進行 Windows 2000 登入作業和網路流量。

注意:本文討論的重點僅在於 Windows 2000 的傳輸流量和連線。

其他相關資訊

警告 如果您使用「登錄編輯程式」或其他方法不當地修改登錄,可能會發生嚴重問題。這些問題可能會需要您重新安裝作業系統才能解決。Microsoft 不保證可以解決這些問題。請自行承擔修改登錄的一切風險。
如果要在遭到防火牆隔離於其 Microsoft Windows 2000 網路外且位於周邊網路乙太網路環境的電腦上,安裝 Exchange 2000 Server 和 Outlook Web Access 5.5:
  1. 開啟下列用於傳入流量的連接埠,讓 Windows 2000 Server 電腦得以通過防火牆登入網域:
    • 53 (傳輸控制通訊協定 [TCP]、使用者資料包通訊協定 [UDP]) - 網域名稱系統 (DNS) 至前端伺服器的 IP 設定中列出的所有 DNS 伺服器。
    • 80 (TCP) - Exchange 2000 Outlook Web Access 所需的連接埠,以便在 Exchange 前端與後端伺服器之間進行通訊。
    • 88 (傳輸控制通訊協定 [TCP]、UDP) - 用於與 Exchange 前端伺服器位於相同 Active Directory 站台之所有網域控制站的 Kerberos 驗證。
    • 123 (UDP) - 用於與 Exchange 前端伺服器位於相同 Active Directory 站台之所有網域控制站的 Windows 時間同步化通訊協定 (NTP)。Windows 2000 登入功能不需要此連接埠,但是網路系統管理員可能會設定或需要用到此連接埠。
    • 135 (TCP) - 用於與 Exchange 前端伺服器位於相同 Active Directory 站台之所有網域控制站的 EndPointMapper。
    • 389 (TCP、UDP) - 用於與 Exchange 前端伺服器位於相同 Active Directory 站台之所有網域控制站的輕量型目錄存取協定 (LDAP)。
    • 445 (TCP) - 用於與 Exchange 前端伺服器位於相同 Active Directory 站台之所有網域控制站的 Netlogon 伺服器訊息區 (SMB)、LDAP 轉換及 Microsoft 分散式檔案系統 (DFS) 探索。
    • 3268 (TCP) - 與通用類別目錄伺服器之間的 LDAP。

      這個連接埠是用於 Active Directory 登入以及目錄複寫介面 (通用唯一識別碼 [UUID] 12345678-1234-abcd-ef00-01234567cffb 和 e3514235-4b06-11d1-ab04-00c04fc2dcd2)。

      通常會在啟動期間將此連接埠指定為 1025 或 1026。這個值並非在 DSProxy 或系統服務員 (MAD) 的原始程式碼中設定的。因此,在 Exchange 2000 電腦必須透過防火牆連線以進行登入作業的任何網域控制站上,您必須將此連接埠對應在登錄內,然後在防火牆上開啟此連接埠。

      如果要將連接埠對應在登錄內:
      1. 啟動 [登錄編輯程式] (Regedt32.exe)。
      2. 在登錄中找到下列機碼:
        HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters
      3. [編輯] 功能表上,按一下 [新增值],然後新增下列登錄值:
        數值名稱:TCP/IP Port
        資料類型:REG_DWORD
        基數:十進位
        :大於 1024 的值
      4. 結束 [登錄編輯程式]。
      請確認 TCP/IP 中的斜線是正斜線,並且您指派的值確實大於 1024 (十進位格式)。這個數值代表必須在防火牆上開啟的額外連接埠 (TCP、UDP)。在每個網域控制站的防火牆內設定這個登錄值,不會對效能造成影響,並且會處理因伺服器關閉、角色變更或頻寬需求而產生的任何重新導向登入要求。
    注意
    • 防火牆內的伺服器若要通過防火牆與外部伺服器通訊,也必須設定 1024 到 65535 之間的連接埠,以用於傳出通訊。透過防火牆建立通訊的電腦會使用動態指定的用戶端連接埠,而此連接埠是無法設定的。
    • 當 Windows 2000 Server 電腦透過防火牆登入網域時,Windows 2000 會以一連串的 TCP/IP Ping 要求傳送到目的伺服器。Windows 2000 這麼做是為了判斷用戶端電腦是否透過慢速連結取得網域控制站的存取權,以套用群組原則或下載漫遊使用者設定檔。
  2. 在外部電腦上安裝 Exchange 2000。您不需要開啟任何額外的連接埠,即可在外部電腦上安裝 Exchange 2000。
  3. 在外部電腦上安裝 Outlook Web Access 5.5。如果要在外部電腦上安裝 Outlook Web Access 5.5,以導向至在周邊網路與防火牆內執行的 Microsoft Exchange Server 5.5 電腦,您需要先前所述的 Windows 2000 連接埠,再加上 Exchange Server 5.5 目錄服務 (UUID f5cc5a18-4264-101a-8c59-08002b2f8426)、資訊儲存庫 (UUID a4f1db00-ca47-1067-b31f-00dd010662da),以及系統服務員 (UUID 469d6ec0-0d87-11ce-b13f-00aa003bac6c) 的靜態對應。 如需有關如何設定這些靜態對應的詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
    245273 XWEB:OWA Setup Error Message:There Are No More Endpoints Available from the Endpoint Mapper
  4. 設定 Exchange 2000 前端與後端的連線。Exchange 2000 前端與後端的連線只會要求針對適合的通訊開啟所需的額外連接埠 (例如,網頁用戶端的前端與後端連線需要開啟連接埠 80 [TCP]、IMAP 143 [TCP] 等等)。此外,任何透過安全通訊協定進行的連線還需要本文未指定的額外設定,這些安全通訊協定包括以 Ipsec 或 Secure Sockets Layer (SSL) 保護的 HTTP、網際網路訊息存取通訊協定 (Internet Message Access Protocol,IMAP),或郵局通訊協定,第 3 版 (Post Office Protocol 3,POP3)。如果周邊網路內的前端伺服器有其他子網路,請確定您在「Active Directory 站台及服務」嵌入式管理單元中新增該子網路。

    在周邊網路乙太網路環境中,您也必須定義從周邊網路乙太網路中的電腦與您必須進行通訊之內部網路中每一部電腦之間的 TCP/IP 路由。

    注意:在周邊網路防火牆的情況中,Exchange 2000 伺服器與網域控制站之間並沒有「網際網路控制訊息通訊協定」(Internet Control Message Protocol,ICMP) 連線。根據預設,目錄存取 (DSAccess) 會使用 ICMP 來 Ping 所連線的每一部伺服器,以判斷伺服器是否可用。沒有 ICMP 連線時,目錄存取的回應就如同每個網域控制站都無法使用般。

    如需有關如何建立登錄機碼以關閉目錄存取 Ping 功能的詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
    320529 Using DSAccess in a perimeter network firewall scenario requires a registry key setting

屬性

文章編號: 280132 - 上次校閱: 2006年1月20日 - 版次: 8.0
這篇文章中的資訊適用於:
  • Microsoft Outlook Web Access 5.5 SP 1
  • Microsoft Exchange Server 5.5 Service Pack 2
  • Microsoft Exchange Server 5.5 Service Pack 3
  • Microsoft Exchange 2000 Server Standard Edition
關鍵字:?
kbinfo KB280132
Microsoft及(或)其供應商不就任何在本伺服器上發表的文字資料及其相關圖表資訊的恰當性作任何承諾。所有文字資料及其相關圖表均以「現狀」供應,不負任何擔保責任。Microsoft及(或)其供應商謹此聲明,不負任何對與此資訊有關之擔保責任,包括關於適售性、適用於某一特定用途、權利或不侵權的明示或默示擔保責任。Microsoft及(或)其供應商無論如何不對因或與使用本伺服器上資訊或與資訊的實行有關而引起的契約、過失或其他侵權行為之訴訟中的特別的、間接的、衍生性的損害或任何因使用而喪失所導致的之損害、資料或利潤負任何責任。

提供意見

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com