Al momento sei offline in attesa che la connessione Internet venga ristabilita

Connettività di Windows 2000 per Exchange 2000 attraverso firewall

Importante In questo articolo sono contenute informazioni su come modificare il Registro di sistema. Assicurarsi di eseguire il backup del Registro di sistema prima di modificarlo e di sapere come ripristinare il Registro di sistema qualora si verifichino dei problemi. Per informazioni su come eseguire il backup, ripristinare e modificare il Registro di sistema, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
256986 Descrizione del Registro di sistema di Microsoft Windows
Sommario
In questo articolo viene descritto come installare Exchange 2000 Server e Outlook Web Access 5.5 in computer isolati mediante un firewall dalle relative reti Microsoft Windows 2000 e ubicati in un ambiente Ethernet di rete perimetrale. Prima di qualsiasi tentativo di implementazione della connettività di Exchange 2000, è necessario configurare il firewall in modo che consenta l'accesso a Windows 2000 e il traffico di rete.

NOTA: in questo articolo vengono descritti solo il traffico e la connettività di Windows 2000.
Informazioni
Avviso L'errata modifica del Registro di sistema tramite l'editor o un altro metodo può causare seri problemi, che potrebbero richiedere la reinstallazione del sistema operativo. Microsoft non garantisce la soluzione di eventuali problemi derivanti dall'errata modifica del Registro di sistema. La modifica del Registro di sistema è a rischio e pericolo dell'utente.
Per installare Exchange 2000 e Outlook Web Access 5.5 in computer isolati mediante un firewall dalle relative reti Microsoft Windows 2000 e ubicati in un ambiente Ethernet di rete perimetrale:
  1. Abilitare i computer basati su Windows 2000 Server per l'accesso al dominio attraverso un firewall mediante l'apertura delle porte seguenti per il traffico in ingresso:
    • 53 (Transmission Control Protocol [TCP], User Datagram Protocol [UDP]) - Domain Name System (DNS) per tutti i server DNS elencati nella configurazione IP dei server front-end.
    • 80 (TCP) - Richiesta da Exchange 2000 Outlook Web Access per la comunicazione tra i server front-end e back-end di Exchange.
    • 88 (Transmission Control Protocol [TCP], UDP) - Autenticazione Kerberos per tutti i controller di dominio nello stesso sito di Active Directory in cui si trova il server front-end di Exchange.
    • 123 (UDP) - Windows Time Synchronization Protocol (NTP) per tutti i controller di dominio nello stesso sito di Active Directory in cui si trova il server front-end di Exchange. Non è richiesta per la funzionalità di accesso di Windows 2000, ma potrebbe essere configurata o richiesta dall'amminsitratore di rete.
    • 135 (TCP) - Mapper di endpoint per tutti i controller di dominio nello stesso sito di Active Directory in cui si trova il server front-end di Exchange.
    • 389 (TCP, UDP) - Lightweight Directory Access Protocol (LDAP) per tutti i controller di dominio nello stesso sito di Active Directory in cui si trova il server front-end di Exchange.
    • 445 (TCP) - Server Message Block (SMB) per Netlogon, conversione LDAP e individuazione del file system distribuito (DFS) Microsoft per tutti i controller di dominio nello stesso sito di Active Directory in cui si trova il server front-end di Exchange.
    • 3268 (TCP) - LDAP per i server di catalogo globale.

      Una porta per l'accesso Active Directory e per l'interfaccia di replica directory (identificatori univoci universali [UUID] 12345678-1234-abcd-ef00-01234567cffb e e3514235-4b06-11d1-ab04-00c04fc2dcd2).

      Viene solitamente assegnato il numero di porta 1025 o 1026 all'avvio. Questo valore non viene impostato nel codice sorgente di DSProxy o del Supervisore sistema (MAD), pertanto è necessario mappare la porta nel Registro di sistema su qualsiasi controller di dominio che il computer, con installato Exchange 2000, dovrà contattare attraverso il firewall per l'elaborazione degli accessi e quindi aprire la porta sul firewall.

      Per mappare la porta nel Registro di sistema:
      1. Avviare l'editor del Registro di sistema (Regedt32.exe).
      2. Individuare la seguente chiave del Registro di sistema:
        HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters
      3. Scegliere Aggiungi valore dal menu Modifica e aggiungere il seguente valore del Registro di sistema:
        Nome valore: Porta TCP/IP
        Tipo dati: REG_DWORD
        Base: Decimale
        Valore: maggiore di 1024
      4. Chiudere l'editor del Registro di sistema.
      Assicurarsi che la barra in "TCP/IP" sia una barra non rovesciata e che il valore assegnato sia maggiore di 1024 e in formato decimale. Questo numero corrisponde alla porta supplementare (TCP, UDP) aperta sul firewall. L'impostazione di questo valore del Registro di sistema su tutti i controller di dominio non influisce sulle prestazioni e assicura la copertura di qualsiasi reindirizzamento delle richieste di accesso eventualmente causato da server inattivi, modifiche di ruoli o requisiti di larghezza di banda.
    NOTE:
    • Per consentire al server all'interno della rete protetta dal firewall di comunicare attraverso il firewall con i server esterni, è inoltre necessario configurare le porte da 1024 a 65535 per le comunicazioni in uscita. I computer che iniziano la comunicazione attraverso il firewall utilizzano una porta sul lato client assegnata dinamicamente che non può essere configurata.
    • Quando i computer basati su Windows 2000 Server accedono al dominio attraverso il firewall, in Windows 2000 le richieste di accesso assumono il formato di una sequenza di richieste ping TCP/IP al server di destinazione. Questo comportamento consente al sistema operativo di determinare se un computer client ottiene l'accesso a un controller di dominio attraverso un collegamento lento per applicare i Criteri di gruppo o per scaricare un profilo utente comune.
  2. Installare Exchange 2000 nel computer esterno. Non sono necessarie porte aggiuntive aperte per effettuare questa operazione.
  3. Installare Outlook Web Access 5.5 nel computer esterno. Per installare Outlook Web Access 5.5 nel computer esterno, indirizzandolo al computer con installato Microsoft Exchange Server 5.5 in esecuzione all'interno della rete perimetrale e del firewall, sono necessari le porte di Windows 2000 descritte in precedenza, i mapping statici per il servizio directory di Exchange Server 5.5 (UUID f5cc5a18-4264-101a-8c59-08002b2f8426), l'archivio informazioni (UUID a4f1db00-ca47-1067-b31f-00dd010662da) e il Supervisore sistema (UUID 469d6ec0-0d87-11ce-b13f-00aa003bac6c). Per ulteriori informazioni su come impostare tali mapping statici, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
    245273 XWEB: Messaggio di errore del programma di installazione di OWA "Nessun endpoint disponibile nel mapping degli endpoint"
  4. Configurare la connettività front-end e back-end di Exchange 2000. La connettività front-end e back-end di Exchange 2000 richiede solo l'apertura delle porte aggiuntive richieste per qualsiasi tipo di comunicazione appropriata. Ad esempio, per la connettività front-end e back-end dei client Web è richiesta l'apertura della porta 80 [TCP], IMAP 143 [TCP] e così via. Inoltre, per qualsiasi tipo di connettività richiesta dai protocolli di protezione, ad esempio Ipsec o HTTP con protezione SSL (Secure Sockets Layer ), IMAP (Internet Message Access Protocol) o POP3 (Post Office Protocol version 3), è necessaria una configurazione aggiuntiva che non viene specificata in questo articolo. Se il server front-end nella rete perimetrale appartiene a una sottorete diversa, assicurarsi di aggiungere tale sottorete nello snap-in Siti e servizi di Active Directory.

    In un ambiente Ethernet di rete perimetrale è inoltre necessario definire route TCP\IP dal computer nella rete perimetrale Ethernet a ciascun computer nella rete interna con cui è necessario comunicare.

    NOTA: in uno scenario firewall di rete perimetrale la connettività ICMP (Internet Control Message Protocol) tra il server Exchange 2000 e i controller di dominio non è disponibile. Per impostazione predefinita, per determinare se il server è disponibile, la funzionalità di accesso alla directory (DSAccess) utilizza ICMP per effettuare il ping su ogni server a cui viene stabilita la connessione. Se la connettività ICMP non viene rilevata, da parte della funzionalità di accesso alla directory verrà restituita una risposta come se tutti i controller di dominio non fossero disponibili.

    Per ulteriori informazioni su come disattivare il ping da parte della funzionalità di accesso alla directory, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
    320529 L'utilizzo di DSAccess in uno scenario firewall di rete perimetrale richiede l'impostazione di una chiave del Registro di sistema
FE BE DC AD OWA
Proprietà

ID articolo: 280132 - Ultima revisione: 03/03/2006 17:38:00 - Revisione: 8.1

  • Microsoft Outlook Web Access 5.5 SP 1
  • Microsoft Exchange Server 5.5 Service Pack 2
  • Microsoft Exchange Server 5.5 Service Pack 3
  • Microsoft Exchange 2000 Server Standard Edition
  • kbinfo KB280132
Feedback