Microsoft Exchange 2000 Server的Internet配置

領測軟件測試網 Exchange最新動態  
本文提供了Exchange 2000 Inte.net部署的建議配置。通過將Internet訪問限制在一臺機器并將傳入的Internet消息限制在一個入口點，該配置在確保intranet安全的情況下實現了Internet訪問。該配置為那些小型組織提供了安全的直接Internet訪問，并且無需防火墻。  

最佳配置  
下一節詳細描述了擔當郵件網關的Exchange服務器的建議配置�；�本配置由配置了兩個網卡的郵件網關組成，該網關擔當intranet和Internet間的單一連接點。您需要在一臺配置了雙虛擬服務器的Exchange服務器上安裝SMTP連接器：  

虛擬服務器1的配置：  

將虛擬服務器1配置為SMTP連接器。  
通過外部DNS服務器列表將虛擬服務器配置為使用外部DNS服務器。  
將虛擬服務器與25端口上的一個intranet IP地址綁定在一起。  
輸入本地公司域（例如，winery_co.co）。  
注意：如果拓撲結構包含多個Exchange組織，您必須配置虛擬服務器來中繼郵件。  

虛擬服務器2的配置：  

將虛擬服務器2配置為不中繼郵件（這是默認的配置）。  
將虛擬服務器2配置為允許匿名訪問（這是默認的配置）。  
將虛擬服務器2與端口25上的一個IP地址綁定在一起。  
選擇本地公司域（例如winery_co.co）。  
將SMTP連接器配置為使用DNS路由連接器上的每個地址空間。將虛擬服務器1配置為SMTP連接器。創建一個"*"或同等的地址空間。  
驗證服務器上的兩個網絡間沒有IP路由配置（這是默認的配置）。  
使用兩個網卡：一個內部網卡和一個外部網卡。  
郵件流動  
關于intranet到Internet郵件流動的更多信息，請見Exchange 2000的聯機文檔。  

內部郵件  
通常，上面所述的Exchange服務器不參與內部郵件傳輸。內部郵件只在內部服務器間流動。  

傳入的Internet郵件  
來自Internet的消息指向某個IP地址，而虛擬服務器2監視該IP地址的郵件。虛擬服務器2接收所有傳入的Internet郵件。因為該服務器沒有配置為中繼郵件，所有它拒絕不指向公司域的郵件。當虛擬服務器2接收到發往本地域內部主機的Internet郵件，它將通過內部網卡與Microsoft Active Directory™聯系，以確定該消息的目的地。于是，虛擬服務器2收到的消息將直接發給內部主機。  

注意：盡管虛擬服務器2監視來自外部IP地址的郵件，但它使用適合于路由消息的任意IP地址，具體取決于路由表。虛擬服務器2僅使用內部DNS服務進行名字解析。它并沒有配置外部DNS服務器列表，所以它并不解析外部地址。它只接收域名為該公司域的消息，本例中即域名為winery-co.co的消息。  

傳出的Internet消息  
傳出的消息使用虛擬服務器1上的SMTP連接器。外部IP地址通常在內部DNS服務器上不可用。當虛擬服務器1接收到指向遠程域的消息時，它使用外部DNS服務器列表來查找消息收件人的IP地址，同時使用外部網卡來投遞該外部郵件。很一點很值得注意：盡管虛擬服務器1被配置為監視intranet的IP地址，但它使用Internet網卡處理外部郵件。 下圖說明了郵件流經連接器的情況。圖中左側的圖表說明了來自intranet用戶郵件的流動。  

 

當intranet用戶向Internet收件人發送郵件時，該郵件將發往虛擬服務器1。因為SMTP連接器配置了SMTP地址空間"*"，并將虛擬服務器1用作本地橋頭，所以發往外部SMTP地址的所有郵件都首先被路由到虛擬服務器1。虛擬服務器1使用外部DNS服務器列表來解析Internet地址，然后將消息路由到Internet收件人的IP地址。  

圖右側的圖表說明了指向內部收件人的Internet郵件的流動情況。所有傳入的Internet郵件都將發往虛擬服務器2，也就是監視Internet IP地址的服務器。當虛擬服務器2接收到Internet消息時，它將使用內部DNS服務來解析收件人地址。因為虛擬服務器2只使用內部DNS服務，所以它只接收指向本地域（本例中為users@winery-co.co）的消息。此外，因為虛擬服務器2沒有配置為中繼郵件，所以地址為非本地域的收件人的所有郵件將自動被拒絕。  

安全建議  
使用以下建議來增強本配置的安全性：  

使用Internet Protocol安全（IPSec）策略來過濾Internet網卡上的端口。確保該計算機被配置為只接受來自網卡25端口的入站連接。這樣就消除了受Internet主機攻擊的可能性。關于IPSec策略的更多信息，請見Exchange 2000資源工具箱或Microsoft Windows® 2000聯機文檔。  

嚴格地限制有權登錄到該服務器的用戶。公司可以減少來自Internet或intranet的入口點，從而限制這一配置的脆弱性。通過禁止Internet上的虛擬服務器將消息中繼到其他Internet主機，您實際確保了該虛擬服務器只路由地址為合法內部收件人的郵件。因為虛擬服務器1僅將外部DNS服務器列表用于傳出的Internet郵件，而不是用于路由Internet郵件，所以所有內部郵件流通將不受外部DNS服務器故障的影響。無論外部DNS服務器發生了什么問題，本地郵件投遞都可以繼續進行。通過隔離入站Internet郵件、內部郵件和出站Internet郵件的進程，這三個進程的故障點將保持獨立，因而更易于管理。

文章來源于領測軟件測試網 http://www.kjueaiud.com/