В данной статье описывается публикация Exchange Server 5.5 и Exchange 2000 на компьютере с сервером ISA (Microsoft Internet Security and Acceleration Server) или за ним.

XADM: Публикация компьютера с Exchange Server на сервере ISA

Относится к

Аннотация

В данной статье описывается публикация Exchange Server 5.5 и Exchange 2000 на компьютере с сервером ISA (Microsoft Internet Security and Acceleration Server) или за ним.

Имеется два способа публикации сервера Exchange относительно сервера ISA:

• публикация Exchange на одном компьютере с сервером ISA;
• публикация Exchange за компьютером с сервером ISA.

В большинстве случаев корпорация Microsoft рекомендует публиковать сервер Exchange в защищенной сети, находящейся за компьютером с сервером ISA. Это позволяет более полно использовать возможности сервера ISA. Если сервер Exchange будет находиться на том же компьютере, что и сервер ISA, либо на компьютере, защищенном с помощью сервера ISA, то он сможет принимать и отправлять сообщения электронной почты через Интернет двумя способами.

В данной статье рассматриваются следующие вопросы.

• Публикация Exchange Server 5.5 за компьютером с сервером ISA.
• Публикация Exchange Server 5.5 на компьютере с сервером ISA.
• Публикация Exchange 2000 за компьютером с сервером ISA.
• Публикация Exchange 2000 на компьютере с сервером ISA.

Примечание. При развертывании сервера ISA можно использовать следующие типы клиентов.

• Клиент брандмауэра
• Клиент SNAT (Secure Network Address Translation)
• Клиент веб-прокси

Для публикации сервера Exchange можно использовать только конфигурации с клиентом брандмауэра и клиентом SNAT.

Дополнительная информация

Публикация Exchange Server 5.5 за компьютером с сервером ISA

Для публикации сервера Exchange Server 5.5 за компьютером с сервером ISA можно воспользоваться одним из описанных ниже способов. Чтобы лучше использовать возможности сервера ISA, корпорация Microsoft рекомендует применять первый из них.

Способ 1

1. На компьютере с сервером Exchange в свойствах протокола TCP/IP укажите в качестве адреса шлюза по умолчанию IP-адрес компьютера с сервером ISA.
   
   При этом компьютер с сервером Exchange будет работать как клиент SNAT.
2. На компьютере с сервером ISA нажмите кнопку Пуск и выберите последовательно пункты Программы, Microsoft ISA Server и ISA Management.
3. Разверните узел Publishing Rules, щелкните правой кнопкой мыши элемент Server Publish Rules и выберите в появившемся меню пункт Secure Mail Server.
4. После запуска мастера нажмите кнопку Next и введите параметры конфигурации.
   
   Как правило, следует выбирать параметры Incoming SMTP и Outgoing SMTP. Если требуется обеспечить доступ к серверу по протоколам POP3 (Post Office Protocol версии 3) и IMAP4 (Internet Message Access Protocol версии 4) или использовать проверку подлинности SSL (Secure Sockets Layer), установите соответствующие параметры.
5. Введите внешний IP-адрес компьютера с сервером ISA.
   
   Примечание. Не рекомендуется размещать публикуемые службы сервера Exchange (POP3, SMTP и другие) на одном компьютере с сервером ISA. Если они запущены на компьютере с сервером ISA, отключите их, поскольку при использовании портов с одинаковыми номерами эти службы могут вызывать конфликты и приводить к неработоспособности правил публикации.
6. Введите внутренний IP-адрес компьютера с сервером Exchange.
7. Нажмите кнопку Готово.

После завершения работы мастера новые правила будут отображаться в списке Server Publishing Rules под именем «Mail Wizard Rule - Example». Обратите внимание, что правило применяется к каждому параметру, выбранному на шаге 4. Новое правило, созданное мастером, также появится в правилах протокола.

Способ 2

При использовании данного способа на компьютере с сервером ISA не должна быть установлена служба SMTP из набора служб IIS (Internet Information Services). При этом нельзя использовать фильтры SMTP, а возможности сервера ISA будут задействованы не полностью. Корпорация Microsoft рекомендует применять данный способ, только если невозможно настроить компьютер с сервером Exchange Server как клиент SNAT.

1. Установите и настройте Microsoft ISA Server.
2. Установите клиент брандмауэра ISA на компьютере, на котором установлен сервер Exchange.
   
   Примечание. Если клиент брандмауэра уже установлен на этом компьютере, переустановите его. Для этого подключитесь к общему ресурсу Mspclnt компьютера с сервером ISA и запустите файл Setup.exe, находящийся в корневом каталоге данной папки.
3. Измените параметры DNS на компьютере с сервером Exchange.
   
   Если на компьютере с сервером Exchange не указан адрес сервера DNS, выполняющего разрешение имен в Интернете, то сервер Exchange не сможет правильно отправлять почту.
4. Убедитесь в работоспособности клиента брандмауэра и создайте на компьютере с сервером Exchange два файла Wspcfg.ini.
   
   Первый из них используется службой SMTP сервера Exchange. Чтобы создать данный файл, наберите следующий текст в программе «Блокнот» и сохраните получившийся файл под именем Wspcfg.ini в папке, в которой находится файл Msexcimc.exe.

   [MSEXCIMC]
   ServerBindTcpPorts=25
   Persistent=1
   KillOldSession=1

   Примечание. После выполнения этих действий порт SMTP (порт 25) на компьютере с сервером Exchange будет привязан к внешнему порту 25 протокола TCP компьютера с сервером ISA. По умолчанию файл Msexcimc.exe находится по следующему адресу: C:\Exchsrvr\Connect\Msexcimc\Bin\Msexcimc.exe.
   
   Второй файл Wspcfg.ini используется хранилищем данных Exchange (Store.exe). Чтобы создать данный файл, вставьте следующий текст в программу «Блокнот» (не набирайте текст вручную) и сохраните получившийся файл под именем Wspcfg.ini в папке, в которой находится файл Store.exe.

   [STORE]
   ServerBindTcpPorts=110,119,143
   Persistent=1
   KillOldSession=1

   По умолчанию файл Store.exe находится по следующему адресу: C:\Exchsrvr\Bin\Store.exe
   
   Примечание. Не используйте при сохранении файла формат Юникод.
   
   При этом могут привязываться и другие порты. В приведенном фрагменте дополнительно привязываются порты 119 и 143, поскольку файл Store.exe обеспечивает работу протокола NNTP (Network News Transfer Protocol) (порт 119) и почтового протокола POP (порт 110).
   
   При использовании сервером Exchange протокола IMAP4 или безопасной почты, сервер Exchange подключается к портам 993 и 995 компьютера с сервером ISA. Для этого необходимо изменить файл Wspcfg.ini, расположенный в той же папке, что и файл Store.exe сервера Exchange, чтобы привязать эти порты к внешнему интерфейсу компьютера с сервером ISA. Внесите в файл Wspcfg.ini следующие изменения:

   ProxyBindIp=993:адрес_сервера_ISA,995:адрес_сервера_ISA;
   ServerBindTCPPorts=993,995
   KillOldSession=1
   Persistent=1

5. Убедитесь, что к именам файлов Wspcfg.ini не добавлено расширение TXT.
   
   Это может произойти, если для параметров интерфейса обозревателя Internet Explorer установлены значения по умолчанию. При этом файлы получат имена Wspcfg.ini.txt. Если это произошло, переименуйте файлы.
6. Перезагрузите компьютер с сервером Exchange.
   
   После перезагрузки компьютер с сервером Exchange должен автоматически осуществлять прослушивание на внешнем интерфейсе компьютера с сервером ISA.
7. Чтобы проверить связь с сервером Exchange, выполните следующие действия на компьютере, непосредственно подключенном к Интернету.
   1. Нажмите кнопку Пуск, выберите команду Выполнить и запустите файл Telnet.exe.
   2. В меню Подключить выберите пункт Удаленная системаи введите следующие данные:

      Имя компьютера: Внешний_IP-адрес_сервера_ISA
      Порт: 25
      Тип терминала: vt100

   3. После подключения отобразится пустой экран. Нажмите клавишу ВВОД и подождите приблизительно 30 секунд. Должно появиться сообщение об успешной установке службы SMTP сервера Exchange . Если сообщение не появилось, необходимо проверить конфигурацию.
   4. Аналогичным образом можно проверить службу POP, подключившись к порту 110.

Публикация Exchange Server 5.5 на одном компьютере с сервером ISA

Способ 1

Корпорация Microsoft рекомендует использовать следующий способ.

1. На компьютере с сервером ISA нажмите кнопку Пуск и выберите последовательно пункты Программы, Microsoft ISA Server и ISA Management.
2. Разверните узел Publishing Rules, щелкните правой кнопкой мыши элемент Server Publish Rules и выберите в появившемся меню пункт Secure Mail Server.
3. После запуска мастера нажмите кнопку Next и введите необходимые параметры конфигурации. Как правило, следует выбрать следующие параметры.
   
   
   • Incoming SMTP
   • Outgoing SMTP
   
   Если необходимо обеспечить доступ к серверу по протоколам POP3 и IMAP4 или использовать проверку подлинности SSL, установите соответствующие параметры.
4. Введите внешний IP-адрес компьютера с сервером ISA.
5. Выберите вариант On the local Host и нажмите кнопку Next.
6. Нажмите кнопку Finish.

После завершения работы мастера появятся два новых фильтра пакетов. Эти фильтры пакетов создаются мастером автоматически, чтобы разрешить прохождение входящих и исходящих пакетов протокола SMTP (25 порт). Чтобы создать указанные фильтры вручную, используйте способ 2, описанный в данном разделе.

Способ 2

Чтобы создать фильтр входящих пакетов протокола SMTP, выполните следующие действия.

1. Запустите консоль управления сервером ISA.
2. Раскройте узел Access Policy Tree и выберите пункт IP Packet Filters.
3. Щелкните правой кнопкой мыши в любом месте правой панели и выберите в появившемся меню пункт New Filter.
4. Введите имя нового фильтра (например, «SMTP Inbound») и нажмите кнопку Next.
5. Выберите вариант Allow packet transmission и нажмите кнопку Next.
6. В окне Use this Filter выберите вариант Custom.
7. В окне Settingвведите следующие данные.

   IP Protocol: TCP
   Direction: Inbound
   Local Port: Fixed Port
   Port Number: 25
   Remote Port: All ports

8. Нажмите кнопку Next.
9. В поле Default IP address for each external interface on the ISA Server computer выберите только что созданный фильтр пакетов и нажмите кнопку Next.
10. В поле All remote computers выберите только что созданный фильтр пакетов и нажмите кнопку Next.
11. Нажмите Finish.

Чтобы создать фильтр исходящих пакетов протокола SMTP, выполните следующие действия.

1. Запустите консоль управления сервером ISA.
2. Разверните узел Access Policy Tree и выберите пункт IP Packet Filters.
3. Щелкните правой кнопкой мыши в любом месте на правой панели и выберите в появившемся меню пункт New Filter.
4. Введите имя нового фильтра (например, «SMTP Outbound») и нажмите кнопку Next.
5. Выберите вариант Allow packet transmission и нажмите кнопку Next.
6. В окне Use this Filter выберите вариант Custom.
7. В окне Settingвведите следующие данные.

   IP Protocol: TCP
   Direction: Outbound
   Local Port: All Ports
   Remote Port: Fixed Port
   Port Number: 25

8. Нажмите кнопку Next.
9. В поле Default IP address for each external interface on the ISA Server computer выберите только что созданный фильтр пакетов и нажмите кнопку Next.
10. В поле All remote computers выберите только что созданный фильтр пакетов и нажмите кнопку Next.
11. Нажмите кнопку Finish.

Публикация Exchange 2000 за компьютером с сервером ISA

Для публикации сервера Exchange 2000 за компьютером с сервером ISA можно можно воспользоваться одним из описанных ниже способов. Чтобы лучше использовать возможности сервера ISA, корпорация Microsoft рекомендует применять первый из них.

Способ 1

1. На компьютере с сервером Exchange 2000 в свойствах протокола TCP/IP укажите в качестве адреса шлюза по умолчанию IP-адрес компьютера с сервером ISA.
   
   При этом компьютер с сервером Exchange 2000 будет работать как клиент SNAT.
2. На компьютере с сервером ISA нажмите кнопку Пуск и выберите последовательно пункты Программы, Microsoft ISA Server и ISA Management.
3. Разверните узел Publishing Rules, щелкните правой кнопкой мыши элемент Server Publish Rules и выберите в появившемся меню пункт Secure Mail Server.
4. После запуска мастера нажмите кнопку Next и введите параметры конфигурации.
   
   Как правило, следует выбирать параметры Incoming SMTP и Outgoing SMTP. Если необходимо обеспечить доступ к серверу по протоколам POP3 и IMAP4 или использовать проверку подлинности SSL, установите соответствующие параметры.
5. Введите внешний IP-адрес компьютера с сервером ISA.
   
   Примечание. Не рекомендуется размещать публикуемые службы сервера Exchange (POP3, SMTP и другие) на одном компьютере с сервером ISA. Если они запущены на компьютере с сервером ISA, отключите их, поскольку при использовании портов с одинаковыми номерами эти службы могут вызывать конфликты и приводить к неработоспособности правил публикации.
6. Введите внутренний IP-адрес компьютера с сервером Exchange 2000.
7. Нажмите кнопку Finish.

После завершения работы мастера новые правила будут отображаться в списке Server Publishing Rules под именем «Mail Wizard Rule - Example». Обратите внимание, что правило применяется к каждому параметру, выбранному на шаге 4. Новое правило, созданное мастером, также появится в правилах протокола. В большинстве случаев при публикации сервера Exchange 2000 корпорация Microsoft рекомендует использовать именно данный способ.

Способ 2

Используйте данный способ, если на компьютере с сервером Exchange 2000 невозможно установить в качестве адреса шлюза по умолчанию внутренний IP-адрес компьютера с сервером ISA. Например, это может происходить при обновлении сервера Proxy Server 2.0 до сервера ISA. Поскольку данный способ публикации поддерживается сервером ISA, то после обновления серверы Exchange Server 5.5 или Exchange 2000 будут по-прежнему доступны.

Примечание. В некоторых случаях при переустановке сервера Exchange 2000 может быть утеряна информация о конфигурации (файл Wspcfg.ini). Это вызовет прерывание публикации сервера Exchange 2000 на сервере ISA. Для возобновления публикации можно использовать любой из указанных способов, но корпорация Microsoft рекомендует применять способ 1. Это позволяет полностью использовать преимущества SNAT на сервере ISA.

Примечание. На компьютерах, на которых установлены серверы Exchange Server 4.0, 5.0 и 5.5, службы, относящиеся к серверам Exchange, запускаются от имени учетной записи службы домена. На компьютерах, на которых установлен сервер Exchange 2000, службы Exchange запускаются от имени локальной системной учетной записи (LocalSystem), что не позволяет им пройти проверку подлинности на сервере ISA для привязки к компьютеру, на котором установлен сервер ISA. Чтобы разрешить этим учетным записям прохождение проверки подлинности на компьютере с сервером ISA и привязку к этому компьютеру, воспользуйтесь программой Credtool.exe. Программа Credtool устанавливается вместе с клиентом брандмауэра и находится в папке Mspclnt.

Чтобы привязать необходимые порты и службы к компьютеру с сервером ISA, выполните следующие действия.

1. Установите клиент брандмауэра ISA из общей папки Mspclnt на компьютере с сервером ISA.
2. Убедитесь, что для каждого протокола, который необходимо привязать к серверу ISA, существует виртуальный сервер.
3. Запустите диспетчер Exchange System Manager, последовательно выберите элементы Protocols и Servers и укажите нужный виртуальный сервер.
4. Убедитесь, что в свойствах виртуального сервера на вкладке General для всех протоколов установлено значение all unassigned.
5. Убедитесь в отсутствии конфликтов на компьютере с сервером ISA. Для этого выполните команду netstatи убедитесь, что следующие порты не заняты никакими службами (например, на компьютере с сервером ISA может потребоваться установить для службы SMTP тип запуска «Вручную»).
   • 25
   • 110
   • 143
   • 993
   • 995
6. Создайте в папке Winnt\System32\Inetsrv файл Wspcfg.ini, содержащий следующую информацию.

   [inetinfo]
   ServerBindTcpPorts=25,110,143,993,995
   Persistent=1
   KillOldSession=1
   ForceCredentials=1

7. В командной строке перейдите в папку клиента ISA Client (как правило, это папка "C:\Program Files\Microsoft Firewall Client") и выполните следующую команду, где имя_пользователя — имя пользователя, имеющего право выполнить привязку к компьютеру с сервером ISA; имя_домена — доменное имя NetBIOS данного пользователя; пароль— пароль данного пользователя.

   credtool -w -n inetinfo -c имя_пользователя имя_домена пароль

8. На компьютере с сервером Exchange 2000 в папке «Администрирование» дважды щелкните значок Службы и перезапустите службу IIS Admin.

Публикация сервера Exchange 2000 на одном компьютере с сервером ISA

В данном разделе рассматриваются два способа публикации сервера Exchange 2000, установленного на одном компьютере с сервером ISA.

Способ 1

Корпорация Microsoft рекомендует использовать следующий способ.

1. На компьютере с сервером ISA запустите консоль ISA Management и раскройте узел Publishing Rules.
2. Щелкните правой кнопкой мыши элемент Server Publish Rules и выберите в появившемся меню пункт Secure Mail Server.
3. После запуска мастера нажмите кнопку Next и введите необходимые параметры конфигурации. Как правило, следует выбрать следующие параметры.
   
   
   • Incoming SMTP
   • Outgoing SMTP
   
   Если необходимо обеспечить доступ к серверу по протоколам POP3 и IMAP4 или использовать проверку подлинности SSL, установите соответствующие параметры.
4. Введите внешний IP-адрес компьютера с сервером ISA.
5. Выберите вариант On the local Host и нажмите кнопку Next.
6. Нажмите кнопку Finish.

После завершения работы мастера появятся два новых фильтра пакетов. Эти фильтры пакетов создаются мастером автоматически, чтобы разрешить прохождение входящих и исходящих пакетов протокола SMTP (25 порт). Чтобы создать указанные фильтры вручную, используйте способ 2, описанный в данном разделе.

Способ 2

Чтобы создать фильтр входящих пакетов протокола SMTP, выполните следующие действия.

1. Запустите консоль управления сервером ISA.
2. Разверните узел Access Policy Tree и выберите пункт IP Packet Filters.
3. Щелкните правой кнопкой мыши в любом месте на правой панели и выберите в появившемся меню пункт New Filter.
4. Введите имя нового фильтра (например, «SMTP Inbound») и нажмите кнопку Next.
5. Выберите вариант Allow packet transmission и нажмите кнопку Next.
6. В окне Use this Filter выберите вариант Custom.
7. В окне Settingвведите следующие данные.

   IP Protocol: TCP
   Direction: Inbound
   Local Port: Fixed Port
   Port Number: 25
   Remote Port: All ports

8. Нажмите кнопку Next.
9. В поле Default IP address for each external interface on the ISA Server computer выберите только что созданный фильтр пакетов и нажмите кнопку Next.
10. В поле All remote computers выберите только что созданный фильтр пакетов и нажмите кнопку Next.
11. Нажмите кнопку Finish.

Чтобы создать фильтр исходящих пакетов протокола SMTP, выполните следующие действия.

1. Запустите консоль управления сервером ISA.
2. Разверните узел Access Policy Tree и выберите пункт IP Packet Filters.
3. Щелкните правой кнопкой мыши в любом месте на правой панели и выберите в появившемся меню пункт New Filter.
4. Введите имя нового фильтра (например, «SMTP Outbound») и нажмите кнопку Next.
5. Выберите вариант Allow packet transmission и нажмите кнопку Next.
6. В окне Use this Filter выберите вариант Custom.
7. В окне Settingвведите следующие данные.

   IP Protocol: TCP
   Direction: Outbound
   Local Port: All Ports
   Remote Port: Fixed Port
   Port Number: 25

8. Нажмите кнопку Далее.
9. В поле Default IP address for each external interface on the ISA Server computer выберите только что созданный фильтр пакетов и нажмите кнопку Next.
10. В поле All remote computers выберите только что созданный фильтр пакетов и нажмите кнопку Next.
11. Нажмите кнопку Finish.

Ссылки

В данной статье не рассматривается настройка сервера Exchange 2000, находящегося за сервером Proxy Server 2.0. За информацией о настройке сервера Exchange 2000 в данной конфигурации обратитесь к следующей статье Microsoft Knowledge Base:

276388 XIMS: How to Configure Exchange 2000 Behind Proxy Server 2.0

Информация в данной статье применима к:

• Microsoft Exchange Server 5.5
• Microsoft Exchange 2000 Server