none
RPC Port設定問題 RRS feed

  • 問題

  • 請教各位前輩,小弟現在正測試FE/BE架構,目前有一點疑問不懂,

    煩請指教

    於書上說明的若是FE置於DMZ,為了安全性考量與連線正常

    所以要將Netlogon Check與Ping停止使用,但書上還有提到要將RPC Port設成固定的Port

    將DC與BE修改Registry,於HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters

    新增TCP/IP Port,並將值設為10進位(例:8888)

    讓FE可以藉由RPC固定Port與DC,BE做認證

    小弟也上網查看了一下資料

    由微軟文件庫找到的

    http://technet.microsoft.com/zh-tw/library/aa996096.aspx

    發現並沒有要設定RPC固定Port這個設定

    請問,這個是有必要的嗎???

    小弟使用的是Exchange 2003 Stanard(己更新至 SP2)

    若有地方還需注意的,煩請提點

    感謝

     

     

    2007年8月9日 上午 09:31

解答

  • 建議採用 RPC over HTTP 就可以不用這麼麻煩了,又安全。若用戶端不支援 (Windows XP 先前版本,Outlook 2003 先前版本) 時再來考慮是否要將 RPC 的通訊埠固定下來,不然預設 RPC 通訊埠不是固定的,防火牆也不可能全都開。

    2007年8月9日 上午 10:15
  • 若公司政策已限制使用者在外部只能使用 OWA 和 POP3 的話那就不需要考慮 ROH 了,至於內部網路使用時要不要指定 Exchange Server 的 RPC 通訊埠那就看您如何決定了,不過減少伺服器的攻擊面是好事,而官方對於修改 RPC 通訊埠的用意是讓 RPC 通訊能夠順利的穿越防火牆,讓外部使用者可以順利取得 Back-End Server 上的資訊。

    Exchange Server static port mappings

    因為 Exchange Server 是需要與網路控制站做通訊的,所以通常都會建議放置在內部網路而非 DMZ 區,Front-End Server 也是一樣,只需要放置在內部網路,並將 SMTP、POP3、OWA 等服務發佈出去就可以了,也是比較安全的做法。

    2007年8月13日 上午 08:44

所有回覆

  • 建議採用 RPC over HTTP 就可以不用這麼麻煩了,又安全。若用戶端不支援 (Windows XP 先前版本,Outlook 2003 先前版本) 時再來考慮是否要將 RPC 的通訊埠固定下來,不然預設 RPC 通訊埠不是固定的,防火牆也不可能全都開。

    2007年8月9日 上午 10:15
  • 感謝MVP的回覆,小弟查了一下RPC over HTTP相關的資料,有個問題煩請解惑

    1. RPC over HTTP是針對外部網路使用者使用Outlook 2003與Exchange連線的解決方式,但因公司目前尚沒有此類的使用者,對於外部使用者都要求使用OWA或POP3收發信件,那麼還有需要使用RPC over HTTP嗎??

    2. 承一,因為FE置於DMZ,那麼與公司AD做身份認證,仍舊要使用RPC over HTTP才行嗎??

     

    感謝~

     

     

     

     

    2007年8月13日 上午 07:36
  • 若公司政策已限制使用者在外部只能使用 OWA 和 POP3 的話那就不需要考慮 ROH 了,至於內部網路使用時要不要指定 Exchange Server 的 RPC 通訊埠那就看您如何決定了,不過減少伺服器的攻擊面是好事,而官方對於修改 RPC 通訊埠的用意是讓 RPC 通訊能夠順利的穿越防火牆,讓外部使用者可以順利取得 Back-End Server 上的資訊。

    Exchange Server static port mappings

    因為 Exchange Server 是需要與網路控制站做通訊的,所以通常都會建議放置在內部網路而非 DMZ 區,Front-End Server 也是一樣,只需要放置在內部網路,並將 SMTP、POP3、OWA 等服務發佈出去就可以了,也是比較安全的做法。

    2007年8月13日 上午 08:44
  •  

    嗯嗯..了解了..感謝MVP的回覆~

    小弟應該朝著FE放於內部網路的做法來進行

    再次感謝

     

    2007年8月13日 上午 10:04