Łączność programu Exchange 2000 z systemem Windows 2000 przez zapory

Ten artykuł został zarchiwizowany. Jest oferowany „taki, jaki jest” i nie będzie już aktualizowany.
Ważne: Niniejszy artykuł zawiera informacje dotyczące modyfikowania rejestru. Przed zmodyfikowaniem rejestru wykonaj jego kopię zapasową. Upewnij się, że wiesz, jak przywrócić rejestr w przypadku pojawienia się problemu. Aby uzyskać więcej informacji dotyczących wykonywania kopii zapasowej, przywracania i modyfikowania rejestru, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
256986 Opis rejestru systemu Microsoft Windows
Streszczenie
W tym artykule opisano sposób instalowania programów Exchange 2000 Server i Outlook Web Access 5.5 na komputerach izolowanych od macierzystych sieci systemu Microsoft Windows 2000 przez zaporę i znajdujących się środowisku Ethernet sieci obwodowej (zwanej również DMZ, strefą zdemilitaryzowaną lub podsiecią osłoniętą/ekranowaną). Przed podjęciem próby ustanowienia połączenia z programem Exchange 2000 należy skonfigurować zaporę do akceptowania logowania w systemie Windows 2000 i ruchu sieciowego.

UWAGA: W tym artykule omówiono tylko ruch sieciowy i połączenia związane z systemem Windows 2000.
Więcej informacji
Ostrzeżenie: Niepoprawne zmodyfikowanie rejestru przy użyciu Edytora rejestru lub innej metody może stać się przyczyną poważnych problemów. Mogą one wymagać ponownego zainstalowania systemu operacyjnego. Firma Microsoft nie może zagwarantować, że rozwiązanie problemów spowodowanych niepoprawnym zmodyfikowaniem rejestru będzie możliwe. Możesz modyfikować rejestr na własną odpowiedzialność.
Aby zainstalować programy Exchange 2000 i Outlook Web Access 5.5 na komputerach izolowanych od macierzystych sieci systemu Microsoft Windows 2000 przez zaporę i znajdujących się środowisku Ethernet sieci obwodowej:
 1. Skonfiguruj komputery z systemem Windows 2000 Server do logowania do domeny przez zaporę, otwierając następujące porty dla przychodzącego ruchu sieciowego:
  • 53 (protokół TCP [Transmission Control Protocol], protokół UDP [User Datagram Protocol]) — system DNS (Domain Name System) do wszystkich serwerów DNS wymienionych w konfiguracji IP serwerów frontonu.
  • 80 (TCP) — Wymagany dla programu Exchange 2000 Outlook Web Access w celu komunikacji między serwerami Exchange frontonu i zaplecza.
  • 88 (protokół TCP [Transmission Control Protocol]) — uwierzytelnianie Kerberos do wszystkich kontrolerów domeny w tej samej lokacji usługi Active Directory, w której znajduje się serwer Exchange frontonu.
  • 123 (UDP) — protokół synchronizacji czasu w systemie Windows (NTP) do wszystkich kontrolerów domeny w tej samej lokacji usługi Active Directory, w której znajduje się serwer Exchange frontonu. Nie jest to konieczne do obsługi funkcji logowania systemu Windows 2000, jednak może być uwzględnione w konfiguracji lub wymagane przez administratora sieci.
  • 135 (TCP) — moduł EndPointMapper do wszystkich kontrolerów domeny w tej samej lokacji usługi Active Directory, w której znajduje się serwer Exchange frontonu.
  • 389 (TCP, UDP) — protokół LDAP (Lightweight Directory Access Protocol) do wszystkich kontrolerów domeny w tej samej lokacji usługi Active Directory, w której znajduje się serwer Exchange frontonu.
  • 445 (TCP) — blok komunikatów serwera (SMB) dla logowania do sieci, konwersji LDAP i odnajdowania rozproszonego systemu plików (DFS) firmy Microsoft do wszystkich kontrolerów domeny w tej samej lokacji usługi Active Directory, w której znajduje się serwer Exchange frontonu.
  • 3268 (TCP) — Protokół LDAP dla komunikacji z serwerami wykazu globalnego.

   Pojedynczy port dla logowania usługi Active Directory oraz interfejsu replikacji katalogów (unikatowe identyfikatory globalne [UUID] 12345678-1234-abcd-ef00-01234567cffb i e3514235-4b06-11d1-ab04-00c04fc2dcd2).

   Zazwyczaj przypisywany jest port 1025 lub 1026 podczas uruchamiania. Ta wartość nie jest ustawiona w kodzie źródłowym składnika DSProxy lub usługi System Attendant (MAD). Należy więc mapować port w rejestrze na dowolne kontrolery domeny, z którymi komputer z programem Exchange 2000 musi kontaktować się poprzez zaporę w celu przetwarzania żądań dotyczących logowania, a następnie otworzyć ten port w zaporze.

   Aby mapować port w rejestrze:
   1. Uruchom Edytor rejestru (Regedt32.exe).
   2. Zlokalizuj następujący klucz w rejestrze:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters
   3. W menu Edycja kliknij polecenie Dodaj wartość, a następnie dodaj następującą wartość rejestru:
    Nazwa wartości: TCP/IP Port
    Typ danych: REG_DWORD
    Podstawa: Dziesiętna
    Wartość: większa niż 1024
   4. Zamknij Edytor rejestru.
   Należy upewnić się, że w określeniu „TCP/IP” jest wpisana kreska ułamkowa, a przypisana wartość jest większa niż 1024, w formacie dziesiętnym. Ten numer oznacza dodatkowy port, który należy otworzyć (TCP, UDP) w zaporze. Skonfigurowanie tej wartości w rejestrze dla każdego kontrolera domeny po wewnętrznej stronie zapory nie wpływa na wydajność i umożliwia uwzględnienie dowolnego żądania dotyczącego logowania przekierowanego na skutek awarii serwerów, zmiany ról lub wymagań dotyczących przepustowości.
  UWAGI:
  • Aby umożliwić przekazywanie przez zaporę do serwera zewnętrznego odpowiedzi serwera po wewnętrznej stronie zapory, należy również skonfigurować porty od 1024 do 65535 do obsługi ruchu wychodzącego. Komputery inicjujące komunikację poprzez zaporę używają portu po stronie klienckiej, który jest przypisywany dynamicznie i nie może być skonfigurowany.
  • System Windows 2000 przekazuje dane w formie sekwencji żądań ping protokołu TCP/IP do serwera docelowego wówczas, gdy komputery z systemem Windows 2000 Server logują się do domeny poprzez zaporę. System Windows 2000 wykonuje tę operację w celu ustalenia, czy komputer kliencki może uzyskać dostęp do kontrolera domeny za pośrednictwem powolnego łącza w celu zastosowania zasad grupy lub pobrania profilu użytkownika mobilnego.
 2. Zainstaluj program Exchange 2000 na komputerze zewnętrznym. Otwieranie dodatkowych portów w celu instalowania programu Exchange 2000 na komputerze zewnętrznym nie jest konieczne.
 3. Zainstaluj program Outlook Web Access 5.5 na komputerze zewnętrznym. Aby zainstalować program Outlook Web Access 5.5 na komputerze zewnętrznym, ukierunkowany na komputer z programem Microsoft Exchange Server 5.5 uruchomionym po wewnętrznej stronie sieci obwodowej i zapory, skonfiguruj wspomniane porty systemu Windows 2000 oraz mapowania statyczne dla usługi katalogowej programu Exchange Server 5.5 (UUID f5cc5a18-4264-101a-8c59-08002b2f8426), magazynu informacji (UUID a4f1db00-ca47-1067-b31f-00dd010662da) i usługi System Attendant (UUID 469d6ec0-0d87-11ce-b13f-00aa003bac6c).Aby uzyskać więcej informacji dotyczących konfigurowania tych mapowań statycznych, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
  245273 OWA Setup error message: "There are no more endpoints available from the Endpoint Mapper"
 4. Skonfiguruj zewnętrzne i wewnętrzne połączenia programu Exchange 2000. W przypadku zewnętrznych i wewnętrznych połączeń programu Exchange 2000 wymagane jest tylko otwarcie dodatkowych portów zgodnych z typem komunikacji (na przykład w przypadku połączeń zewnętrznych i wewnętrznych klienta sieci Web wymagane jest otwarcie portu 80 [TCP], IMAP 143 [TCP] itd.). Ponadto dla każdego niezbędnego rodzaju połączeń obsługiwanych przy użyciu bezpiecznych protokołów, takich jak Ipsec czy HTTP z zabezpieczeniami SSL (Secure Sockets Layer), IMAP (Internet Message Access Protocol) lub POP3 (Post Office Protocol w wersji 3), jest wymagana dodatkowa konfiguracja, która nie została określona w tym artykule. Jeżeli zewnętrzny serwer w sieci obwodowej korzysta z innej podsieci, koniecznie dodaj tę podsieć w przystawce Lokacje i usługi Active Directory.

  W środowisku Ethernet sieci obwodowej również konieczne jest zdefiniowanie tras TCP\IP od komputera w obwodowej sieci Ethernet do każdego komputera w sieci wewnętrznej, który należy uwzględnić podczas komunikacji.

  UWAGA: W scenariuszu zapory sieci obwodowej nie uwzględniono połączeń protokołu ICMP (Internet Control Message Protocol) pomiędzy serwerem Exchange 2000 i kontrolerami domeny. Domyślnie składnik Directory Access (DSAccess) używa protokołu ICMP do wysyłania poleceń ping do każdego serwera, z którym się łączy, w celu ustalenia dostępności danego serwera. Jeżeli połączenia protokołu ICMP są niedostępne, składnik Directory Access odpowiada, tak jak w przypadku niedostępności każdego kontrolera domeny.

  Aby uzyskać więcej informacji dotyczących sposobu wyłączania obsługi polecenia ping dla składnika Directory Access przez utworzenie klucza rejestru, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
  320529 Using DSAccess in a perimeter network firewall scenario requires a registry key setting
FE BE DC AD OWA
Właściwości

Identyfikator artykułu: 280132 — ostatni przegląd: 12/05/2015 22:54:24 — zmiana: 8.3

Microsoft Outlook Web Access 5.5 SP 1, Microsoft Exchange Server 5.5 Service Pack 2, Microsoft Exchange Server 5.5 Service Pack 3, Microsoft Exchange 2000 Server Standard Edition

 • kbnosurvey kbarchive kbinfo KB280132
Opinia