使用 Microsoft ISA Server 将 MAPI 用户端连线到 Exchange 邮件

• 关 键 词：
• exchange server
• windows 2000
• microsoft
• internet
• director

Microsoft ISA Server 2000 Feature Pack 1，第 1 版

Microsoft^%26reg; Exchange Server 为使用者提供了重要的资讯。生产力及效能的关键不仅是能够存取电子邮件，还要可以存取连络人资讯、工作清单以及公用资料夹资讯。位在公司网路之外，往往代表此资讯的存取是特别重要的。存取 Exchange 完整功能的唯一方法，就是透过 Microsoft Outlook^%26reg; 2000 或 Outlook 2002 用户端。

透过防火墙存取 Exchange 伺服器是相当危险的方法，因为大部份的防火墙都是靠静态地对应连接埠。ISA Server 使用其 RPC 应用程式筛选器，以便安全地发行 Exchange 伺服器。

本文件说明了设定 ISA Server 的逐步程序，让 Outlook 2000 及 Outlook 2002 用户端可以安全地连线到位於 ISA Server 防火墙後面的 Exchange 2000 Server 电脑。

此案例所采用的 ISA Server 设定是位於 ISA Server 电脑後面的 Exchange Server 电脑。

　

程序

以下各节详述将 ISA Server 设定为允许 RPC 连线能力所需要的步骤：

1. 设定网域名称系统 (DNS)
2. 设定 Exchange 伺服器做为 SecureNAT 用户端
3. 检阅本机位址表格 (LAT)
4. 建立网站及内容规则
5. 设定用户端位址集
6. 建立通讯协定规则
7. 变更验证方法
8. 建立伺服器发行规则

准备工作

在您开始之前，请先收集下列资讯：

• ISA Server 电脑的内部与外部 IP 位址
• 内部与外部 DNS 伺服器的 IP 位址
• 您的 Exchange 伺服器名称
• 您的 Exchange Server 登入 ID 及密码

注意 不支援的设定

• Exchange 2000 前端伺服器不会处理 MAPI 远端程序呼叫。所有 MAPI 连线能力均必须将通讯从 Outlook 用户端路由到後端的 Exchange 伺服器。
• 如果 Exchange 和 ISA Server 是安装在相同的电脑上，MAPI 用户端便无法使用 RPC 存取 Exchange。

步骤 1：设定 DNS

在您开始设定任何的 ISA Server 元件之前，必须先确定您的 DNS 基础结构将会支援 MAPI 用户端存取。检查 DNS，以确保 Exchange 伺服器的主机 (A) 记录是存在於您的外部 DNS 伺服器上。

若要设定 DNS

1. 在 DNS 伺服器上，按一下 [开始]，按一下 [设定]，然後按一下 [系统管理工具]。
2. 按一下 [DNS] 图示。
3. 展开外部 DNS 伺服器节点。
4. 展开您正在使用的命名空间，例如 exchange.nwtraders.com。
5. 按两下 Exchange 伺服器的记录。
6. 确定 Exchange 伺服器的主机名称是指向 ISA Server 电脑的外部 IP 位址。

注意 如果 Exchange 伺服器的主机名称在内部及外部 DNS 电脑上均不同，请在用户端电脑上的「主机」档案中建立项目，使用 ISA Server 电脑的外部 IP 位址解析 Exchange 伺服器的 NetBIOS 名称。

步骤 2：设定 Exchange 伺服器做为 SecureNAT 用户端

若要让 Exchange 伺服器能够成功进行通讯，必须将它设定为 SecureNAT (网路位址转译) 用户端。这种类型的用户端会使用其预设的闸道路由传送网际网路流量。

若要设定 Exchange 伺服器做为 SecureNAT 用户端

1. 在 Exchange 伺服器上，按一下 [开始]，按一下 [设定]，然後按一下 [控制台]。
2. 开启 [网路和拨号连线] 应用程式。
3. 在 Exchange 伺服器的 LAN 连线上按滑鼠右键，然後按一下 [内容]。连线的 [网际网路连线内容] 页便会出现。
4. 反白 [网际网路通讯协定 (TCP/IP)] 选项，然後按一下 [内容]。
5. 如果您设定的是「简易网路」，其中，没有路由器会区分 Exchange 伺服器与 ISA Server 电脑，请将 [预设闸道] 设定为 ISA Server 电脑的内部 IP 位址。
6. 如果您设定的是「复杂网路」，其中，路由器会区分 Exchange 伺服器与 ISA Server 电脑，请将 Exchange 伺服器的 [预设闸道] 设定为本机区段路由器的 IP 位址。此外，请确保网际网路所有的流量界限都会路由到 ISA Server 电脑的内部介面。

新增路由

对於复杂的网路而言，则建议使用 ISA Server 为内部网路上所有网路区段所定义的路由。路由表可以使用 ROUTE ADD 指令手动扩展，或使用动态路由通讯协定，例如 Routing Information Protocol (RIP)。

ROUTE ADD 指令的语法如下：

ROUTE ADD 目的地网路 ID遮罩预设闸道 IP 位址

注意 如果您的 Exchange 伺服器收到来自 DHCP 伺服器的保留 IP 位址，便必须在范围内容中变更预设闸道。

步骤 3：检阅本机位址表格

由於本机位址表 (LAT) 会定义位於内部网路上的伺服器，因此其为安全环境的基本需求。您必须确定使 Exchange 服务能够运作的所有必要伺服器，均位於 LAT 中。

若要检阅 LAT

1. 开启 [ISA Management]。
2. 若是企业安装，展开 Enterprise 树状目录，然後选择适当的企业原则。

   若是独立安装，展开 Servers and Arrays 树状目录，然後展开适当的伺服器或阵列。

3. 展开 Servers and Arrays 树状目录，然後展开适当的伺服器或阵列。
4. 展开 Network Configuration 树状目录，然後按一下 [Local Address Table (LAT)]。

   当安装 ISA Server 时，便会设定 LAT。在详细资料窗格中，您会看到一系列定义内部网路的 IP 位址。

5. 请确认 Exchange 伺服器、SMTP 伺服器、Active Directory 网域控制站及内部 DNS 伺服器的 IP 位址均在 LAT 中。
6. 如果您需要新增额外的位址或位址集，请依照下列步骤进行：
   1. 在 Local Address Table (LAT) 资料夹上按滑鼠右键，按一下 [New]，然後按一下 [LAT Entry]。
   2. 在 [From] 和 [To] 栏位中，输入 IP 位址的范围。如果您想要定义个别伺服器，请在两个栏位中输入相同的 IP 位址。
   3. 为项目提供 [Description]，然後按一下 [OK]。

步骤 4：建立网站及内容规则

请建立允许内部用户端存取所有网际网路网站及所有网际网路内容的网站及内容规则。

若要建立网站及内容规则

1. 开启 [ISA Management]。
2. 若是企业安装，展开 Enterprise 树状目录，然後选择适当的企业原则。

   若是独立安装，展开 Servers and Arrays 树状目录，然後展开适当的伺服器或阵列。

3. 在 [Site and Content Rules] 上按滑鼠右键。Site and Content Wizard 便会出现。
4. 为新的网站及内容规则输入名称，例如 [Allow All]，然後按一下 [Next]。
5. 在精灵 [Rule Action] 页的 [Allow for the Response to client requests for access] 选项中，选择 [Allow]，然後按一下 [Next]。
6. 在 [Rule Configuration] 索引标签中，选取 [Allow access based on destination]，然後按一下 [Next]。
7. 在 [Destination Sets] 索引标签中，选择 [Apple this rule to All destinations]，然後按一下 [Next]。
8. 检阅您的选择，确认它们都是正确的，然後按一下 [Finish]。

步骤 5：设定用户端位址集

建立用户端位址集，指定将使用通讯协定规则 (在步骤 6：建立通讯协定规则中加以说明) 的内部 Exchange 伺服器。

若要设定用户端位址集

1. 开启 [ISA Management]。
2. 若是企业安装，展开 Enterprise 树状目录，然後选择适当的企业原则。

   若是独立安装，展开 Servers and Arrays 树状目录，然後展开适当的伺服器或阵列。

3. 展开 Policy Elements 树状目录，然後选择 Client Address Sets 资料夹。
4. 在 Client Address Sets 资料夹上按滑鼠右键，按一下 [New]，然後按一下 [Set]。
5. 输入用户端位址集的 [Name]，例如 Microsoft Exchange Servers。
6. 按一下 [Add] 按钮。
7. 输入 Exchange 伺服器的 IP 位址，然後按两次 [OK]，关闭两个对话方块。

步骤 6：建立通讯协定规则

设定可以让您的内部 Exchange 伺服器与外部伺服器及用户端进行通讯的通讯协定规则。此规则将允许两种输出通讯协定 - DNS 及 SMTP，并且仅套用到您为内部 Exchange 伺服器所建立的用户端位址集。

若要建立通讯协定规则

1. 开启 [ISA Management]。
2. 若是企业安装，展开 Enterprise 树状目录，然後选择适当的企业原则。

   若是独立安装，展开 Servers and Arrays 树状目录，然後展开适当的伺服器或阵列。

3. 在 [Protocol Rules] 上按滑鼠右键，按一下 [New]，然後按一下 [Rule]。
4. 输入 protocol rule name，说明 Exchange 伺服器通讯协定，然後按一下 [Next]。
5. 选择 [Allow]，然後按一下 [Next]。
6. 在 [Apply this rule to] 中，选择 [Selected Protocols] 选项。
7. 从 [Protocols] 方块中选择 [DNS Query] 及 [SMTP] 选项，然後按一下 [Next]。
8. 选择 [Always]，然後按一下 [Next]。
9. 在 [Client Type] 对话方块的 [Apply the rule to requests from] 选项中，选择 [Specific computers (client address sets)]，然後按一下 [Next]。
10. 在 [Client Sets] 对话方块中，按一下 [Add ] 按钮，选择定义 Exchange 伺服器的用户端位址集，然後按一下 [Add ] 按钮。
11. 按一下 [OK]，然後按一下 [Next]。
12. 检阅您在 [Completing the New Protocol Rule Wizard] 对话方块中的选择，然後按一下 [Finish]。

步骤 7：变更验证方法

若要使用内部网域控制站来验证 Outlook 用户端，必须将 Exchange 伺服器设定为担任 Outlook 用户端的 Proxy。

若要变更验证方法

1. 在 Exchange Server 电脑上，按一下 [开始] 按钮，然後按一下 [执行]。
2. 输入 regedit，然後按一下 [确定]。
3. 移至 HKLM\System\CurrentControlSet\Services\MSExchangeSA\Parameters 机码。
4. 在 Parameters 机码上按滑鼠右键。
5. 选择 [新增] 选项，然後选择 [DWORD 值]。
6. 输入 No RFR Service。
7. 将值设定为 [1]。

步骤 8：建立伺服器发行规则

接下来，ISA Server 需要伺服器发行规则，为内部 Exchange 伺服器提供外部 MAPI Outlook 用户端连线能力。

若要建立伺服器发行规则

1. 开启 [ISA Management]。
2. 若是企业安装，展开 Enterprise 树状目录，然後选择适当的企业原则。

   若是独立安装，展开 Servers and Arrays 树状目录，然後展开适当的伺服器或阵列。

3. 展开 Publishing 资料夹，然後在 Server Publishing Rules 资料夹上按滑鼠右键。按一下 [New]，然後按一下 [Rule]。您将会看到 [New Server Publishing Rule Wizard] 对话方块出现。
4. 输入 Server publishing rule name，然後按一下 [Next]。
5. 在 [Address Mapping] 对话方块的适当栏位中，输入 ISA Server 电脑的内部及外部位址。
6. 在 [Protocol Settings] 对话方块的 [Apply the rule to requests from] 选项中，选择 [Exchange RPC Server] 通讯协定，然後按一下 [Next]。
7. 从 [Client Type] 对话方块中，选择预设的 [Any request]，然後按一下 [Next]。
8. 在 [Complete the New Server Publishing Rule Wizard] 对话方块中，检阅您的选择是否正确，然後按一下 [Finish]。

设定用户端

本节说明如何设定 Outlook 用户端，以便启用 Exchange 伺服器的连线能力，并且解决有关新邮件通知的问题。

透过发行 Exchange 伺服器，用户端可以在使用网际网路进行连线时，使用与本机连线时相同的设定。然而，如果 Exchange 伺服器的内部及外部名称不同，您可能就必须建立不同的设定档。

若要设定 Outlook 2000 用户端

1. 在桌面上的 [Microsoft Outlook] 图示上按滑鼠右键，然後按一下 [内容]。
2. 如果设定档不存在，按一下 [新增] 按钮，选择 [Microsoft Exchange Server]，然後按一下 [下一步]。输入 [Exchange 伺服器] 的名称，然後按一下 [下一步]。按一下 [完成] 按钮。
3. 如果设定档已经存在，则按一下 [显示设定档...] 按钮。
4. 选择适当的设定档，然後按一下 [内容]。您将会看到设定档的 [内容] 页。反白 [Microsoft Exchange Server] 资讯服务，然後按一下 [属性]。
5. 在 [一般] 索引标签中，选择 [检查名称] 按钮，确认 Exchange 伺服器可以解析您的信箱名称。
6. 如果您无法连线，请在本机的「主机」档案中建立项目，将 Exchange 伺服器的外部 IP 位址对应到它的 NetBIOS 名称。
7. 按一下 [进阶] 索引标签。在使用网路及拨号网路时，均选取 [加密资讯]。
8. 选取 [启用离线使用] 方块，然後按一下 [确定]。按一下 [确定]，关闭设定档的 [内容] 方块。

若要设定 Outlook 2002 用户端

1. 前往 [控制台] 中的 [邮件] 附属应用程式。您将会看到 [邮件设定 - Outlook] 对话方块。
2. 按一下 [显示设定档] 按钮。
3. 如果设定档不存在，请依照下列步骤进行：
   1. 按一下 [新增] 按钮，然後输入设定档的名称。
   2. 选择 [新增电子邮件帐号] 选项按钮，然後按一下 [下一步]。
   3. 选择 [Microsoft Exchange Server] 选项，然後按一下 [下一步]。
   4. 输入 [Microsoft Exchange 伺服器] 的名称，以及您的信箱的 [使用者名称]。出现提示时，请输入您的密码。
   5. 按一下 [下一步]，然後按一下 [完成]。
4. 如果设定档已经存在，选择您的 Exchange 伺服器的设定档。
5. 按一下 [电子邮件帐号] 按钮。
6. 选择 [检视或变更现有的电子邮件帐号] 选项按钮，然後按一下 [下一步]。
7. 选择您的 Exchange 伺服器的电子邮件帐号，然後按一下 [变更] 按钮。
8. 在 [一般] 索引标签中，重新输入您的信箱名称，然後按一下 [检查名称] 按钮，以确认 Exchange 伺服器可以解析您的信箱名称。
9. 如果您无法连线，请在本机的「主机」档案中建立项目，将 Exchange 伺服器的外部 IP 位址对应到它的 NetBIOS 名称。
10. 按一下 [其他设定] 按钮。
11. 按一下 [进阶] 索引标签。在使用网路及拨号网路时，均选取 [加密资讯]。
12. 按一下 [确定]，关闭 [Microsoft Exchange Server] 对话方块，然後回到 [电子邮件帐号] 对话方块。
13. 按一下 [下一步]，然後按一下 [完成]。
14. 按一下 [邮件设定] 对话方块中的 [关闭] 按钮，然後按一下 [确定]，关闭 [邮件] 对话方块。

适用於 RPC 发行的 ISA Server Feature Pack 1

利用新的 Feature Pack，可以让您的 Outlook 用户端更快速地使用 Exchange 2000 Server。这些功能可以让您更轻松、实用地透过网际网路使用 RPC 发行：

• Exchange RPC 筛选器增强功能。ISA Server Exchange RPC 筛选器有两项主要的增强功能，因此 Outlook 现在可以透过防火墙，与 Exchange 2000 Server 安全地连线。
• RPC 筛选器设定增益集精灵。过去若要提供 RPC 存取，是使用 [All RPC servers] 选项。由於精灵较为细微，因此您可以建立新的 ISA Server 通讯协定定义，其中包含一或多个 RPC 介面 UUID。这些通讯协定定义是用於 ISA Server 的伺服器发行规则中，让外部用户端可以在内部 RPC 伺服器上存取 UUID 介面。

加密增强功能

在网际网路上为 Outlook 用户端发行 Exchange 的系统管理员，现在可以要求 Outlook 使用加密。之前，系统管理员必须靠使用者自行设定 Outlook。

若要增强加密

1. 按一下 [开始]，然後按一下 [执行]。输入 regedit，然後按一下 [确定]。
2. 开启 HKEY_LOCAL_MACHINE\Software\Microsoft\FPC\PluginRPC。
3. 将 [MinimumAuthenticationLevel] 的值从 [1] 改为 [6]。

输出 RPC

ISA Server 电脑後面的 Outlook 用户端现在可以存取 ISA Server 电脑前面的 Exchange 2000 Server 电脑。当您安装此 Feature Pack 时，会建立新的通讯协定定义，称为 RPC。您可以使用此通讯协定规则，让内部用户端可以存取防火墙外的 Exchange 伺服器。

若要设定输出 RPC

1. 开启 [ISA Management]。
2. 若是企业安装，展开 Enterprise 树状目录，然後选择适当的企业原则。

   若是独立安装，展开 Servers and Arrays 树状目录，然後展开适当的伺服器或阵列。

3. 在 Protocol Rules 资料夹上按滑鼠右键，按一下 [New]，然後按一下 [Rule]。
4. 在 [Welcome] 页中，输入通讯协定规则的名称。例如，输入 Allow outbound RPC。然後按一下 [Next]。
5. 在 [Rule Action] 页中，选择 [Allow]。然後，按一下 [Next]。
6. 在 [Protocols] 页的 [Apply this rule to] 中，选择 [Selected protocols]。然後，在 [Protocols] 中，选择 [RPC]。然後按一下 [Next]。
7. 在 [Schedule] 页中，选择适当的排程。然後按一下 [Next]。
8. 在 [Client Type] 页中，选择适当的用户端类型。然後按一下 [Next]。
9. 按一下 [Finish]。

其他资源

在设定这些案例时，可以使用下列文件做为参考：

• Configuring and Securing Microsoft Exchange 2000 Server and Clients - http://www.microsoft.com/isaserver/techinfo/deployment/ISAandExchange.asp
• ISA Server and Acceleration Resource Site - http://www.isaserver.org/
• Shinder, Thomas.《Configuring Exchange RPC Publishing in a Back to Back ISA Server Environment》http://www.isaserver.org/pages/article_p.asp?358
• Shinder, Thomas.《Using the Exchange RPC Filter to Publish Microsoft Exchange》http://www.isaserver.org/pages/article_p.asp?351
• ISA Server 首页 - http://www.microsoft.com/taiwan/ISAServer/
• 155831 - XCCC：设定 Outlook 用户端通过防火墙连上 Exchange Server 所需要开的 TCP/IP 连接埠
• 256976 - XCLN:How MAPI Clients Access Active Directory
• 270836 - XCLN：Exchange 2000 静态连接埠对应
• 280132 - XCCC:Exchange 2000 Windows 2000 Connectivity Through Firewalls
• 291000 - External MAPI Clients Cannot Connect with RPC
• 298369 - XADM:How to Configure a Global Catalog Server to Use a Specific Port When Servicing MAPI Clients
• 305572 - OL2002:You Cannot Receive New E-mail Notifications in Environments That Use the Network Address Translation
• 308599 - XCCC:How to Configure Internet Security and Acceleration Server to Publish an Internal Exchange Server

附录 A - 发行背对背 ISA Server

在背对背 ISA Server 的情况中，请依照下列步骤设定外部 ISA Server 电脑：

1. 建立用户端位址集
2. 建立网站及内容规则
3. 建立伺服器发行规则

图 2 背对背 ISA 设定允许 MAPI 用户端存取

步骤 A-1：建立定义内部 ISA Server 电脑的用户端位址集

若要建立用户端位址集

1. 在外部 ISA Server 电脑上，开启 [ISA Management]。
2. 若是企业安装，展开 Enterprise 树状目录，然後选择适当的企业原则。

   若是独立安装，展开 Servers and Arrays 树状目录，然後展开适当的伺服器或阵列。

3. 展开 Policy Elements 树状目录，然後选择 Client Address Sets 资料夹。
4. 在 Client Address Sets 资料夹上按滑鼠右键，按一下 [New]，然後按一下 [Set]。
5. 输入用户端位址集的 [Name]，例如 Internal ISA Server。
6. 按一下 [Add] 按钮。
7. 输入内部 ISA Server 电脑的外部介面 IP 位址，然後按两次 [OK]，关闭两个对话方块。

步骤 A-2：建立网站及内容规则

若要建立网站及内容规则

1. 开启 [ISA Management] 主控台。
2. 若是企业安装，展开 Enterprise 树状目录，然後选择适当的企业原则。

   若是独立安装，展开 Servers and Arrays 树状目录，然後展开适当的伺服器或阵列。

3. 在 [Site and Content Rules] 上按滑鼠右键，按一下 [New]，然後按一下 [Rule]。Site and Content Wizard 便会出现。
4. 输入新的网站及内容规则的名称，例如 [Allow All]，然後按一下 [Next]。
5. 在精灵 [Rule Action] 页的 [Response to client requests for access] 选项中，按一下 [Allow]，然後按一下 [Next]。
6. 在 [Rule Configuration] 页中，选择 [Allow some clients access to all external sites]，然後按一下 [Next]。
7. 在 [Client Type] 页中，选择 [Apply the rule to requests from the specific computers (client address sets)] 选项，然後按一下 [Next]。
8. 在 [Client Sets] 页中，按一下 [Add] 按钮，从左边的 [Defined sets] 栏中选择您所建立的用户端位址集；按一下 [Add] 按钮，按一下 [OK]，然後按一下 [Next]。
9. 检阅您的选择，确认它们都是正确的，然後按一下 [Finish]。

步骤 A-3：建立 Exchange RPC 伺服器发行规则

若要建立 Exchange RPC 伺服器发行规则

1. 在外部 ISA Server 电脑上，开启 [ISA Management] 主控台。
2. 若是企业安装，展开 Enterprise 树状目录，然後选择适当的企业原则。

   若是独立安装，展开 Servers and Arrays 树状目录，然後展开适当的伺服器或阵列。

3. 展开 Publishing 资料夹，然後在 Server Publishing Rules 资料夹上按滑鼠右键。按一下 [New]，然後按一下 [Rule]。您将会看到 [New Server Publishing Rule Wizard] 对话方块。
4. 输入 Server publishing rule name，然後按一下 [Next]。
5. 在 [Address Mapping] 对话方块的适当栏位中，输入外部 ISA Server 电脑的内部及外部位址。
6. 在 [Protocol Settings] 对话方块的 [Apply the rule to requests from] 选项中，选择 [Exchange RPC Server] 通讯协定，然後按一下 [Next]。
7. 从 [Client Type] 对话方块中选择预设的 [Any request]，然後按一下 [Next]。
8. 在 [Complete the New Server Publishing Rule Wizard] 对话方块中，检阅您的选择是否正确，然後按一下 [Finish]。

【深 度 阅 读】 相 关 文 章

• 3dmax不锈钢金属材质的制作方法
• Photoshop制作VONAI风格非主流照片效果
• 公司网站片头精彩导航Flash源码下载
• CorelDRAW 制作名片