Exchange 2003sp1 и удаленный офис.Правильно?
Модератор: Модераторы
Сообщений: 9
• Страница 1 из 1
- Лёлик
- Пользователь
- Сообщения: 70
- Зарегистрирован: 04 ноя 2004, 16:17
- Откуда: г. Тосно Ленинградской области
Лёлик » 17 фев 2005, 11:03
Поставил у себя в сети exchange 2003. Настроил почту на прием- отправку, прикрыл relay. Спасибо форуму и особенно domovoy!
Теперь стоит задача доступа (получение/отправка) к почте ( к exchange серверу) удаленного офиса через инет.
Вначале отправка почты клиентами удал. офиса через exchange в моей сети:
1. В настройках default smtp server\access\relay ставлю галочку allow all computers which... . Submit permission выставлена, relay permission снята. Да ещё выставлено only the list below и прописан диапазон лвс. В connection ничего не прописываю. В authentification выставлено anonymuos (для приема почты с других серверов) и integrated.
В connectors\address space снимаю галочку allow messages to be relay..
На клиентах outlook в удаленном офисе выставляю аутентификацию при отправке также как на сервер входящей почты. Вроде все. Правильно? Ничего не забыл? Где выставить шифрование (чтобы передача была не plain text)?
Теперь о приеме почты:
Во- первых публикую exchange (110 порт) на isa 2004.
На dc завожу пользователей с теми почтовыми ящиками которые нужны пользователям удаленного офиса.
В свойствах default pop3 server в аутентификации выставляю simple authentification and security level , edit\ntlm. Жму connection , ставлю only the list below и прописываю диапазон лвс.
Главный вопрос - как максимально защититься при такой схеме доступа (имена пароли не открытым текстом и др.) ?
Теперь стоит задача доступа (получение/отправка) к почте ( к exchange серверу) удаленного офиса через инет.
Вначале отправка почты клиентами удал. офиса через exchange в моей сети:
1. В настройках default smtp server\access\relay ставлю галочку allow all computers which... . Submit permission выставлена, relay permission снята. Да ещё выставлено only the list below и прописан диапазон лвс. В connection ничего не прописываю. В authentification выставлено anonymuos (для приема почты с других серверов) и integrated.
В connectors\address space снимаю галочку allow messages to be relay..
На клиентах outlook в удаленном офисе выставляю аутентификацию при отправке также как на сервер входящей почты. Вроде все. Правильно? Ничего не забыл? Где выставить шифрование (чтобы передача была не plain text)?
Теперь о приеме почты:
Во- первых публикую exchange (110 порт) на isa 2004.
На dc завожу пользователей с теми почтовыми ящиками которые нужны пользователям удаленного офиса.
В свойствах default pop3 server в аутентификации выставляю simple authentification and security level , edit\ntlm. Жму connection , ставлю only the list below и прописываю диапазон лвс.
Главный вопрос - как максимально защититься при такой схеме доступа (имена пароли не открытым текстом и др.) ?
- Лёлик
- Пользователь
- Сообщения: 70
- Зарегистрирован: 04 ноя 2004, 16:17
- Откуда: г. Тосно Ленинградской области
Лёлик » 17 фев 2005, 11:06
Ничего не забыл? Проверьте пожалуйста.
Попутно вопрос. "Сложные" пароли теперь должны быть у всех пользователей или достаточно только у тех кто коннектится удаленно? Можно сделать так чтобы к определенным почтовым ящикам соединение через инет вообще было невозможно. (для тех ящиков, почту с которых считывают из лвс) ?
Попутно вопрос. "Сложные" пароли теперь должны быть у всех пользователей или достаточно только у тех кто коннектится удаленно? Можно сделать так чтобы к определенным почтовым ящикам соединение через инет вообще было невозможно. (для тех ящиков, почту с которых считывают из лвс) ?
domovoy » 17 фев 2005, 12:19
| Цитата | ||
| Где выставить шифрование (чтобы передача была не plain text)?
[/quote] Пароль по SMTP в шифрованном виде будет передаваться только если используется SSL, без его использования он идет в открытом виде. Пользователей почты для удаленой работы я бы рекомендовал заводить в отдельном OU и сделать для них отдельную группу, из группы Domain Users их исключить, что бы не было возможности локального входа в сеть если он не нужен. В принципе для удаленной работы с почтой можно использовать OWA или по http или по https (c шифрованием) или прямое подключение к Exchange используя VPN Правильно заданный вопрос - это уже половина ответа.
Vpn, owa не подходит - очень медленный канал на той стороне (модем)
ssl - это я должен 995 порт открывать на isa и клиентов не на 25 , а на 995 настраивать? Хочу ещё сделать чтобы почтовые ящики почта с которых считывается только локально по лвс (не через инет) были через инет вообще недоступны т. е. на них нельзя было настроится (зная логин пароль) для получения почты. Это возможно?
если у тебя Exchange 2003 и AD поднята на W2k3, то тебе поможет технология RPC over HTTP, это организация работы аутглюка с сервером, но не через VPN, что существенно снижает трафик, скорость работы на уровне web доступа к ящику
Xenon[BMSTU]
|
по идее, но надо для начала установить галочку, что Exchange поддерживает RPC over HTTP, плюс, непомню, в настройках ISA может придетя чего-то править, типа включить поддержку RPC proxy, после в настройках клиента поставить тип соединения RPC over HTTP