Опубликован: 08.12.2008 | Доступ: свободный | Студентов: 543 / 31 | Оценка: 4.55 / 4.64 | Длительность: 15:21:00
Лекция 6:

Поддержка Outlook Web Access

< Лекция 5 || Лекция 6: 12345 || Лекция 7 >

Межсетевые экраны и серверы FE

Следует определить топологию межсетевых экранов при планировании размещения серверов FE. Существуют три варианта размещения: размещение сервера FE внутри сети до межсетевого экрана, за пределами межсетевого экрана и размещение между двумя межсетевыми экранами. У каждого из вариантов есть свои преимущества и недостатки.

Размещение сервера FE в пределах сети до межсетевого экрана

При размещении сервера FE до межсетевого экрана получается так, что сервер FE и остальную сеть отделяет от интернета один межсетевой экран. Положительный аспект данной топологии заключается в его экономичности и обеспечении некоторого уровня безопасности для сервера FE и сети. В данном случае необходимо открыть порты доступа клиентов на сервер FE, такие как порт 110 для РОРЗ, 143 для IМАР4, 119 для NNТР и 80 для HTTP.

Недостатком данной топологии является то, что как только злоумышленник преодолеет межсетевой экран, он получит доступ в остальную сеть. Эта проблема связана не только с сервером FE; ее причиной является наличие только одного межсетевого экрана. Во многих мелких организациях отдается предпочтение варианту с одним межсетевым экраном из соображений экономичности. Тем не менее, при возможности следует применять два межсетевых экрана и периметровую сеть.

Размещение сервера FE за пределами межсетевого экрана

Размещение сервера FE за пределами единственного межсетевого экрана является, вероятно, наименее предпочтительным вариантом конфигурации, так как сервер FE полностью открыт, и число портов, которые необходимо открыть на межсетевом экране для обеспечения связи сервера FE с сервером BE, делает межсетевой экран похожим на швейцарский сыр.

Чтобы поместить межсетевой экран между серверами FE и BE, необходимо открыть следующие порты:

  • 389 и 3268 для поиска с помощью протокола LDAP на контроллере домена и сервере глобального каталога;
  • 80 для обычного трафика HTTP;
  • 53 для трафика DNS;
  • 135 и 1024+ для трафика удаленного вызова процедур (RPC);
  • 445 для трафика Netlogon;
  • 88 для трафика Kerberos.

Потенциальные последствия открытия некоторых из этих портов можно смягчить посредством использования записей файла Hosts на каждом сервере FE. Кроме того, сервер FE можно настроить на использование конкретных контроллеров доменов и серверов глобального каталога посредством изменения записей на вкладке Directory Access (Доступ к каталогу) в свойствах сервера. Это позволит закрыть порты RPC. На этой вкладке необходимо отключить опцию Automatically Discover Servers (см. рис. 6.7).

Вкладка Directory Access в свойствах сервера

Рис. 6.7. Вкладка Directory Access в свойствах сервера
Размещение сервера FE между двумя межсетевыми экранами

Размещение сервера FE между двумя межсетевыми экранами является предпочтительным методом реализации технологии FE/BE. Сервер FE защищается межсетевым экраном от интернета, и на этом межсетевом экране открыты только порты для клиентского доступа. На внутреннем межсетевом экране, расположенном между серверами FE и BE, должны быть открыты порты 135, 1024+, 445 и порты, о которых мы только что рассказали, в противном случае придется вносить изменения в файл Hosts и Active Directory, однако это определенно лучше, чем открывать эти порты на внешнем межсетевом экране.

Если сервер FE будет размещен в периметровой сети для обслуживания HTTP-запросов, то на межсетевом экране, граничащем с интернетом, следует открыть только порт 80. На межсетевом экране между серверами FE и BE следует открыть порты, о которых говорилось в предыдущем разделе, либо соответственно приведенным инструкциям внести изменения в файл Hosts и DSAccess.

Кроме того, понадобится настроить два ключа реестра. Первым из них является ключ DisableNetlogonCheck. DSAccess подключается к Active Directory для проверки свободного дискового пространства, синхронизации времени и участия в процессе репликации с использованием NetLogon через RPC. Если запретить RPC-трафик через межсетевой экран, то нужно остановить проверку NetLogon. Ниже приведены данные ключа реестра DisableNetlogonCheck.

Ключ:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\MSExchangeDSAccess
   Имя значения: DisableNetlogonCheck Тип данных: REG_DW0RD Значение: 1

На серверах FE следует создать ключ реестра для предотвращения отправки службой DSAccess пинг-пакетов на контроллеры домена, и это можно сделать посредством изменения ключа LdapKeepAliveSecs. Создайте этот ключ реестра, как показано ниже.

Расположение ключа:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\MSExchangeDSAccess 
  Имя значения: LdapKeepAliveSecs Тип данных: REG_DW0RD Значение: О

Несмотря на то что между серверами FE и BE нельзя использовать SSL (443), можно применить протокол IPSec на сетевом уровне. IPSec настраивается либо на обязательное соблюдение мер безопасности, либо на предложение обеспечить безопасность.

Дополнительная информация.Для получения пошаговых инструкций по поводу того, как создавать фильтры IPSec между серверами FE и BE, обратитесь к главе 4 книги Securing Exchange Communications in the Security Operations Guide for Exchange 2000. Это руководство расположено на сайте TechNet (http://www.microsoft.com/technet).
< Лекция 5 || Лекция 6: 12345 || Лекция 7 >