本文介绍如何从一台运行 Microsoft Internet Security and Acceleration (ISA) Server 的计算机的后面或在此计算机上发布 Exchange Server 5.5 计算机和 Exchange 2000 计算机。
您可以通过以下两种方法使用 ISA Server 发布 Exchange 计算机:
• |
您可以将 Exchange 计算机放到 ISA Server 计算机上。 |
• |
您可以将 Exchange 计算机放到 ISA Server 计算机之后。 |
对于多数典型部署,Microsoft 建议您在一个安全的网络上将 Exchange 部署在 ISA Server 计算机的后面。这样,您就可以充分利用 ISA Server 的功能。如果您决定在 ISA Server 所在的计算机上安装 Exchange,或者计划在一个安全的网络上在 ISA Server 计算机的后面部署 Exchange,有两种方法使 Exchange 能够收发 Internet 电子邮件。
本文介绍了下列过程:
• |
如何在 ISA Server 计算机的后面发布 Exchange Server 5.5 计算机。 |
• |
如何在 ISA Server 计算机上发布 Exchange Server 5.5 计算机。 |
• |
如何在 ISA Server 计算机的后面发布 Exchange 2000 计算机。 |
• |
如何在 ISA Server 计算机上发布 Exchange 2000 计算机。 |
注意:在您部署 ISA Server 时,有下面几种类型的客户端:
• |
防火墙客户端 |
• |
安全网络地址转换 (SNAT) 客户端 |
• |
Web 代理客户端 |
只有防火墙客户端配置和 SNAT 客户端配置应用于发布 Exchange。
如何在 ISA Server 计算机的后面发布 Exchange Server 5.5 计算机
您可以使用本部分中介绍的两种方法之一在 ISA Server 计算机的后面发布 Exchange Server 5.5 计算机。Microsoft 建议您使用方法 1,以便利用 ISA Server 的全部功能。
方法 1
1. |
在 TCP/IP 属性中,配置 Exchange Server 计算机的默认网关地址,使之指向 ISA Server 计算机的内部“Internet 协议 (IP)”地址。
这样操作后,Exchange Server 计算机就相当于一个 SNAT 客户端。 |
2. |
在 ISA Server 中,单击开始,指向程序,指向 Microsoft ISA Server,然后单击 ISA 管理。 |
3. |
展开发布规则,右键单击 Server Publish Rules(服务器发布规则),然后单击 Secure Mail Server(安全邮件服务器)。 |
4. |
向导启动后,单击下一步,然后输入配置信息。
在典型部署中,单击 Incoming SMTP(传入 SMTP)和 Outgoing SMTP(传出 SMTP)。如果您想让该服务器可供邮局协议版本 3 (POP3) 或 Internet 消息访问协议版本 4 (IMAP4) 用户访问,并且您需要使用安全套接字层 (SSL) 身份验证,则请单击相应的设置。 |
5. |
输入 ISA Server 计算机的外部 IP 地址。
注意:避免运行正在 ISA Server 计算机上发布的 Exchange Server 服务(POP3、SMTP 和其他协议)。如果它们正在 ISA Server 计算机上运行,请禁用它们。否则,这些服务将引起端口冲突,而且发布规则将不能生效。 |
6. |
输入 Exchange Server 计算机的内部 IP 地址。 |
7. |
单击完成。 |
在您完成向导后,新的规则将在 Server Publishing Rules(服务器发布规则)下列出。这些规则的名称是“Mail Wizard Rule - Example”(邮件规则向导 - 示例)。您会看到有一个规则应用于您在第 4 步中选择的每一选项。在您的协议规则中您还会看到一个新的邮件向导规则。
方法 2
如果您使用此方法,将不能在 ISA Server 计算机上安装 Internet 信息服务 (IIS) 简单邮件传输协议 (SMTP)。这意味意着您无法使用 SMTP 筛选器,因而无法使用 ISA Server 的全部功能。只有在您无法将 Exchange Server 计算机配置为 SNAT 客户端时,Microsoft 才建议进行此部署。
1. |
安装并配置 Microsoft ISA Server。 |
2. |
在 Exchange Server 计算机上安装 ISA Server 防火墙客户端。
注意:如果已经安装了防火墙客户端,请重新安装。为此,请连接到 ISA Server 计算机上的 Mspclnt 共享,然后从根文件夹中运行 Setup.exe。 |
3. |
更改 Exchange Server 计算机上的 DNS 设置。
如果未在 Exchange Server 计算机上定义一个 Internet DNS 服务器地址,该 Exchange Server 计算机将无法正确发送邮件。 |
4. |
在 ISA Server 防火墙客户端开始工作后,为 Exchange Server 计算机创建两个 Wspcfg.ini 文件。
创建第一个 Wspcfg.ini 文件以用于 Exchange Server SMTP 服务。为此,请在一个记事本文件中键入以下文本,然后将此文件以 Wspcfg.ini 这一名称保存到 Msexcimc.exe 所在的文件夹中。
[MSEXCIMC] ServerBindTcpPorts=25 Persistent=1 KillOldSession=1 注意:这样操作之后,Exchange Server 计算机上的 SMTP 端口 (25) 就绑定到了 ISA Server 上的外部 TCP 端口 25。Msexcimc.exe 文件的默认位置是 C:\Exchsrvr\Connect\Msexcimc\Bin\Msexcimc.exe
创建第二个 Wspcfg.ini 文件以用于 Exchange Server 信息存储 (Store.exe)。将以下文本粘贴到一个记事本文件中(不要手动键入此文本),然后将此文件以 Wspcfg.ini 这一名称保存到 Store.exe 所在的文件夹中:
[STORE] ServerBindTcpPorts=110,119,143 Persistent=1 KillOldSession=1
Store.exe 的默认位置为 C:\Exchsrvr\Bin\Store.exe
注意:不要用 Unicode 格式保存该文件。
还可能会列出其他端口(如前面列出的端口 119 和 143),因为 Store.exe 在端口 119 上提供了网络新闻传输协议 (NNTP),在端口 110 上提供了 POP 邮件,如此等等。
在您配置 Exchange Server 计算机以使用 IMAP4 邮件或安全邮件时,Exchange Server 就会连接到 ISA Server 计算机上的端口 993 和 995。为使这一点可行,请编辑与 Exchange Server Store.exe 文件在同一文件夹中的 Wspcfg.ini 文件。必须将这些端口绑定到 ISA Server 计算机上的外部接口。对 Wspcfg.ini 文件做如下更改:
ProxyBindIp=993:ISA_server_address,995:ISA_server_address; ServerBindTCPPorts=993,995 KillOldSession=1 Persistent=1 |
5. |
确认这两个 Wspcfg.ini 文件的文件名后面是否没有附加 .txt 扩展名。
如果您的 Microsoft Internet Explorer 接口设置被设定为默认值,就会附加 .txt 扩展名。该文件可能会显示为 Wspcfg.ini.txt。如果有 .txt 扩展名,请重命名该文件。 |
6. |
重新启动 Exchange Server 计算机。
在您重新启动 Exchange Server 计算机之后,它会自动侦听 ISA Server 计算机的外部接口。 |
7. |
从直接连接到 Internet 的计算机上测试到 Exchange Server 服务的连接性:
a. |
在测试计算机上,单击开始,单击运行,然后运行 Telnet.exe。 |
b. |
单击连接,然后单击远程系统:
主机名称:ISA Server 的外部 IP 地址 端口: 25 终端类型:vt100
|
c. |
在建立连接后,您会看到一个空白屏幕。按 Enter 键并等待 30 秒。您会收到 Exchange Server SMTP 服务显示的一条信息,指出设置良好。如果您未收到此信息,请检查您的设置。 |
d. |
您也可以尝试用端口 110 以测试 POP 服务。 | |
如何在 ISA Server 计算机上发布 Exchange Server 5.5
方法 1
Microsoft 建议采用此方法。
1. |
在 ISA Server 中,单击开始,指向程序,指向 Microsoft ISA Server,然后单击 ISA 管理。 |
2. |
展开发布规则,右键单击 Server Publish Rules(服务器发布规则),然后单击 Secure Mail Server(安全邮件服务器)。 |
3. |
向导启动后,单击下一步,然后输入适当的配置信息。在典型部署中,单击以下项:
• |
Incoming SMTP(传入 SMTP)
|
• |
Outgoing SMTP(传出 SMTP)
| 如果您希望让该服务器可供 POP3 或 IMAP4 用户访问,或者如果您希望使用 SSL 身份验证,请选择相应的设置。 |
4. |
输入 ISA Server 计算机的外部 IP 地址。 |
5. |
单击“On the local Host”(在本地主机上),然后单击下一步。 |
6. |
单击完成。 |
完成向导后,将出现两个新的数据包。向导会自动创建这些数据包筛选器,以允许传入和传出通信量通过端口 25 (SMTP)。若要手动创建这些数据包筛选器,请使用本部分中介绍的方法 2。
方法 2
若要创建入站 SMTP 筛选器,请按照下列步骤操作:
1. |
启动 ISA 管理。 |
2. |
展开 Access Policy Tree(访问策略树),然后单击 IP 数据包筛选器。 |
3. |
右键单击右窗格中任一位置,然后单击新建筛选器。 |
4. |
为筛选器键入一个名称(如“SMTP 入站”),然后单击下一步。 |
5. |
单击 Allow packet transmission(允许数据包传输),然后单击下一步。 |
6. |
在 Use this Filter(使用此筛选器)页上,单击自定义。 |
7. |
在设置页上,键入以下信息:
IP 协议:TCP 方向:入站 本地端口:固定端口 端口号: 25 远程端口:所有端口
|
8. |
单击下一步。 |
9. |
在“Default IP address for each external interface on the ISA Server computer”(ISA Server 计算机上每一个外部接口的默认 IP 地址)框中,单击您刚创建的数据包筛选器,然后单击下一步。 |
10. |
在 All remote computers(所有远程计算机)框中,单击您刚创建的数据包筛选器,然后单击下一步。 |
11. |
单击“完成”。 |
要创建一个出站 SMTP 筛选器,请执行以下操作:
1. |
启动 ISA 管理。 |
2. |
展开 Access Policy Tree(访问策略树),然后单击 IP 数据包筛选器。 |
3. |
右键单击右窗格中任一位置,然后单击新建筛选器。 |
4. |
为筛选器键入一个名称(如“SMTP 出站”),然后单击下一步。 |
5. |
单击 Allow packet transmission(允许数据包传输),然后单击“下一步”。 |
6. |
在 Use this Filter(使用此筛选器)页上,单击自定义。 |
7. |
在设置页上,键入以下信息:
IP 协议:TCP 方向:出站 本地端口:所有端口 远程端口:固定端口 端口号: 25 |
8. |
单击下一步。 |
9. |
在“Default IP address for each external interface on the ISA Server computer”(ISA Server 计算机上每一个外部接口的默认 IP 地址)框中,单击您刚创建的数据包筛选器,然后单击下一步。 |
10. |
在 All remote computers(所有远程计算机)框中,单击您刚创建的数据包筛选器,然后单击下一步。 |
11. |
单击完成。 |
如何在 ISA Server 计算机的后面发布 Exchange 2000 计算机
您可以使用本部分中介绍两种方法之一在 ISA Server 计算机的后面发布 Exchange 2000 计算机。Microsoft 建议您使用方法 1,以便利用 ISA Server 的全部功能。
方法 1
1. |
在 TCP/IP 属性中,配置 Exchange 2000 计算机的默认网关地址,使之指向 ISA Server 计算机的内部“Internet 协议 (IP)”地址。
这样操作后,Exchange 2000 计算机就相当于一个 SNAT 客户端。 |
2. |
在 ISA Server 中,单击开始,指向程序,指向 Microsoft ISA Server,然后单击 ISA 管理。 |
3. |
展开发布规则,右键单击 Server Publish Rules(服务器发布规则),然后单击 Secure Mail Server(安全邮件服务器)。 |
4. |
向导启动后,单击下一步,然后输入配置信息。
在典型部署中,单击 Incoming SMTP(传入 SMTP)和 Outgoing SMTP(传出 SMTP)。如果您希望让该服务器可供 POP3 或 IMAP4 用户访问,并且希望使用 SSL 身份验证,请选择相应的设置。 |
5. |
输入 ISA Server 计算机的外部 IP 地址。
注意:避免运行正在 ISA Server 计算机上发布的 Exchange Server 服务(POP3、SMTP 和其他协议)。如果它们正在 ISA Server 计算机上运行,请禁用它们。否则,这些服务将引起端口冲突,而且发布规则将不能生效。 |
6. |
输入 Exchange 2000 计算机的内部 IP 地址。 |
7. |
单击完成。 |
在您完成向导后,新的规则将在 Server Publishing Rules(服务器发布规则)下列出。这些规则的名称是“Mail Wizard Rule - Example”(邮件规则向导 - 示例)。您会看到有一个规则应用于您在第 4 步中选择的每一选项。在您的协议规则中您还会看到一个新的邮件向导规则。Microsoft 建议您在多数部署中使用此方法发布 Exchange 2000 计算机。
方法 2
如果您无法将默认网关配置为 Exchange 2000 计算机上 ISA Server 计算机的内部 IP 地址,请使用此方法。本方案适用于您将 Proxy Server 2.0 升级到 ISA Server 的情况。升级将不会中断 Exchange Server 5.5 计算机或 Exchange 2000 的服务,因为使用此发布方法时,Exchange Server 服务仍保持可用。
注意:在某些灾难恢复案例中,重新安装 Exchange 2000 计算机后,配置信息 (Wspcfg.ini) 可能会丢失。这会导致从 ISA Server 计算机到 Exchange 2000 计算机的服务中断。使用这两种方法都可以恢复为 Exchange 2000 计算机提供的服务。不过,Microsoft 建议您使用方法 1,这样您可以充分利用 ISA Server 的 SNAT 功能。
注意:Exchange Server 4.0、5.0 和 5.5 在域服务帐户下运行与 Exchange Server 相关的服务。在 Exchange 2000 中,Exchange Server 服务在本地系统帐户 (LocalSystem) 下运行,此类帐户无法向 ISA Server 进行身份验证以绑定到 ISA Server 计算机。请使用 Credtool.exe 实用工具配置这些本地系统帐户,以便向 ISA Server 进行身份验证并绑定到 ISA Server 计算机。Credtool 实用工具是随防火墙客户端安装的,位于 Mspclnt 文件夹中。
如要将必要的端口和服务绑定到 ISA Server 计算机,请执行以下操作:
1. |
从 ISA Server Mspclnt 共享文件夹中安装 ISA 防火墙客户端。 |
2. |
确保您想绑定到 ISA Server 计算机的每一项协议都有一个虚拟服务器。 |
3. |
启动 Exchange 系统管理器,然后转到服务器、协议下的虚拟服务器。 |
4. |
在虚拟服务器属性中,确保这些协议在常规选项卡上设置为全部未分配。 |
5. |
确保在 ISA Server 计算机上不存在冲突。为此,请使用 netstat 命令来确认以下端口是否没有任何服务(例如,您可能必须将 ISA Server 计算机的 SMTP 服务设置为“手动”):
• |
25 |
• |
110 |
• |
143 |
• |
993 |
• |
995 |
|
6. |
在 Winnt\System32\Inetsrv 文件夹中创建一个名为 Wspcfg.ini 的文件,此文件夹包含以下信息:
[inetinfo] ServerBindTcpPorts=25,110,143,993,995 Persistent=1 KillOldSession=1 ForceCredentials=1
|
7. |
在命令提示符下,转到 ISA 客户端文件夹(一般是 C:\Program Files\Microsoft Firewall Client),然后运行以下命令,其中 user 是有权绑定到 ISA Server 计算机的一个用户的用户名,domain 是该用户的 NetBIOS 域名,password 是该用户的密码。
credtool -w -n inetinfo -c userdomainpassword |
8. |
在“管理工具”中,双击服务,然后重新启动 Exchange 2000 计算机上的 IIS 管理服务。 |
如何在 ISA Server 计算机上发布 Exchange 2000 计算机
本部分介绍如何在已安装了 ISA Server 的同一台计算机上发布 Exchange 2000 计算机。有两种发布方法。
方法 1
Microsoft 建议您使用此方法。
1. |
在 ISA Server 中,启动“ISA 管理”,然后展开发布规则。 |
2. |
右键单击 Server Publish Rules(服务器发布规则),然后单击 Secure Mail Server(安全邮件服务器)。 |
3. |
向导启动后,单击下一步,然后输入适当的配置信息。在典型部署中,单击以下项:
• |
Incoming SMTP(传入 SMTP)
|
• |
Outgoing SMTP(传出 SMTP)
| 如果您希望让该服务器可供 POP3 或 IMAP4 用户访问,或者如果您希望使用 SSL 身份验证,请选择相应的设置。 |
4. |
输入 ISA Server 计算机的外部 IP 地址。 |
5. |
单击“On the local Host”(在本地主机上),然后单击下一步。 |
6. |
单击完成。 |
完成向导后,将出现两个新的数据包。向导会自动创建这些数据包筛选器,以允许传入和传出通信量通过端口 25 (SMTP)。若要手动创建这些数据包筛选器,请使用本部分中介绍的方法 2。
方法 2
若要创建入站 SMTP 筛选器,请按照下列步骤操作:
1. |
启动 ISA 管理。 |
2. |
展开 Access Policy Tree(访问策略树),然后单击 IP 数据包筛选器。 |
3. |
右键单击右窗格中任一位置,然后单击新建筛选器。 |
4. |
为筛选器键入一个名称(如“SMTP 入站”),然后单击下一步。 |
5. |
单击 Allow packet transmission(允许数据包传输),然后单击下一步。 |
6. |
在 Use this Filter(使用此筛选器)页上,单击自定义。 |
7. |
在设置页上,输入以下信息:
IP 协议:TCP 方向:入站 本地端口:固定端口 端口号: 25 远程端口:所有端口
|
8. |
单击下一步。 |
9. |
在“Default IP address for each external interface on the ISA Server computer”(ISA Server 计算机上每一个外部接口的默认 IP 地址)框中,单击您刚创建的数据包筛选器,然后单击下一步。 |
10. |
在 All remote computers(所有远程计算机)框中,单击您刚创建的数据包筛选器,然后单击下一步。 |
11. |
单击完成。 |
要创建一个出站 SMTP 筛选器,请执行以下操作:
1. |
启动 ISA 管理。 |
2. |
展开 Access Policy Tree(访问策略树),然后单击 IP 数据包筛选器。 |
3. |
右键单击右窗格中任一位置,然后单击新建筛选器。 |
4. |
为筛选器键入一个名称(如“SMTP 出站”),然后单击下一步。 |
5. |
单击 Allow packet transmission(允许数据包传输),然后单击下一步。 |
6. |
在 Use this Filter(使用此筛选器)页上,单击自定义。 |
7. |
在设置页上,输入以下信息:
IP 协议:TCP 方向:出站 本地端口:所有端口 远程端口:固定端口 端口号: 25 |
8. |
单击下一步。 |
9. |
在“Default IP address for each external interface on the ISA Server computer”(ISA Server 计算机上每一个外部接口的默认 IP 地址)框中,单击您刚创建的数据包筛选器,然后单击下一步。 |
10. |
在 All remote computers(所有远程计算机)框中,单击您刚创建的数据包筛选器,然后单击下一步。 |
11. |
单击完成。 |
本文不适用于在 Proxy Server 2.0 的后面配置 Exchange 2000。有关此配置的信息,请参见下面的 Microsoft 知识库文章:
276388 XIMS:如何在 Proxy Server 2.0 的后面配置 Exchange 2000