none
Exchange2007要如何設定port for Passthrough Firewall?? 狀況特殊~ RRS feed

  • 問題

  •  

    請問各位老師大大~

      因為我們客戶的網路環境多個Vlans,為了某些部門資料高安全性的原因,中間以Cisco ASA作ACL,現在要建置Exchange2007,我們要如何將相關所需service port fixed,(這樣看來甚至要包含AD serivce),讓Outlook Client at different Vlan can Access Exchange2007~ ??  看來已ROH的方式雖然可以不過因為Client數量多,這個方式較不適用,請問是否有類似EX2003將port fixed的方式呢??

     

    2007年8月31日 上午 02:13

解答

  • 瞭解你的問題所在!

    你的問題在Client configure不在Exchange端

    如果client都是Outlook 2007就毋需擔心,因為可透過Autodiscover來自動建立User profile.

     

    2007年9月1日 上午 07:31

所有回覆

  • Exchange應該與AD建置在同一個VLAN且沒有做任何的IP Filter or block

    Clinet到Exchange server改使用ROH則只需改HTTPS Port即可

     

     

    2007年8月31日 上午 03:09
  • Jammy 您好~

    您可能誤會我的意思了~

    1.AD+EX2007 是在同一個VLAN沒錯~

    2.OUTLOOK Client 是分佈在各個VLANs.~

    3.每個VLANs之間都有ASA ACL過濾阻擋(僅開放需要的Ports)

    4.因此,如何將Exchange Server 的服務port 固定下來,在ASA來允許 pass,這樣的solution才是客戶希望的~

       如果是以ROH的方式設定,Client數量非常多,因此不希望以此方式完成!!

     

    描述大致上是這樣!!

    2007年8月31日 上午 05:58
  • 不太懂耶

    HTTPS 443不就是一個固定的Port嗎?

    ACL不能設成所有的VLAN都允許HTTPS 到Exchange本身嗎?

    況且目前找不到官方版本的文件可供參考如何固定Exchange IS port

    2007年8月31日 上午 06:51
  • 感謝Jammy的說明.

    HTTPS 443當然是一個service port.

    如果以ROH方式設定,首先當然會在EX2007啟用"OUTLOOK無所不在"

    因此ASA防火牆會Permit any host to ex2007 443 (這部份也沒問題)

    只是針對Client 部份,尚需設定OUTLOOK ROH Proxy設定,填入相關設定值~

    例如:Exchange Proxy: ex2007.contoso.com and msstd:ex2007.contoso.com etc..

        這樣的方式很好~不好的地方是user有1,000多台,這樣的effort也確實不少!!

    所以客戶才希望,只要把Exchange的port設定下來,例如Exchange2003的

    Exchange SA (tcp/ip ,NSPI) IS + AD NTDS etc 固定下來(例如1288~1290),這樣一來,便完全不需要花額外的設定在Client端~

     

       我也蓋略的找過MS KB,似乎沒有相關的文件for EX2007~~

    2007年8月31日 下午 01:33
  • 瞭解你的問題所在!

    你的問題在Client configure不在Exchange端

    如果client都是Outlook 2007就毋需擔心,因為可透過Autodiscover來自動建立User profile.

     

    2007年9月1日 上午 07:31