NTMCP - Pensieri in libertà ...


Ora e Data
Archivio Posts
Anno 2012

Anno 2011

Anno 2010

Anno 2009

Anno 2008

Anno 2007

MICROSOFT EXCHANGE 2003: TOPOLOGIA FRONT-END / BACK-END & FIREWALL

L'argomento di questo post è una cosa ormai abbastanza conosciuta e documentata...... è più che altro un promemoria per me ed i miei colleghi!

Il caso che analizziamo è quello in cui il server Front-End è posizionato in DMZ.

Di seguito le informazioni per la configurazione dei firewall in questo tipo di topologia:

- Porte utilizzate dal client per connettersi al server Front-End:

Front-end service

TCP port

POP3

110 e 995 se si usa SSL

IMAP4

143 e 993 se si usa SSL

SMTP (solo se il server front-end è configurato come un gateway SMTP per I client POP3/IMAP4)

25 con o senza SSL

HTTP (OWA)

80 e 443 se si usa SSL

- Porte utilizzate dal server Front-End per collegarsi al server Back-End: Porte per i protocolli di messaggistica

Front-end service

TCP port

POP3

110

IMAP4

143

NNTP

119

HTTP

80

- Porte utilizzate dal server Front-End per collegarsi al server Back-End: Porte LDAP e Kerberos. Il server Front-End deve poter comunicare con i Controllori di Dominio e con i Global Catalog utilizzando LDAP ed autenticandosi tramite Kerberos.

Front-end service

TCP/UDP port

LDAP verso Controllori di Dominio

TCP 389 e UDP 389

LDAP verso Global Catalog

TCP 3268

Kerberos

TCP 88 e UDP 88

Netlogon

TCP 445

- Porte utilizzate dal server Front-End per collegarsi al server Back-End: Porte DNS. Il server Front-End deve poter risolvere i nomi dei server presenti sulla rete privata

Front-end service

TCP/UDP Port

DNS Lookup

TCP 53 e UDP 53

- Porte utilizzate dal server Front-End per collegarsi al server Back-End: Porte RPC. Il server Front-End utilizza RPC per l’autenticazione verso il Global Catalog

Front-end service

TCP port

RPC port endpoint mapper

135

RPC service ports

1024-65535

Si osservi come il servizio RPC service ports prevede che siano aperte, verso i Global Catalog, tutte le porte TCP superiori alla 1024 (comprese tra 1024 e 65536). Questa esigenza rende, ovviamente, estremamente vulnerabile il firewall tra la DMZ e la rete “privata”. Per evitare questo inconveniente è possibile, sui Global Catalog, fissare queste porte staticamente.

Il procedimento è il seguente:

- Start Registry Editor

- Posizionarsi sulla seguente chiave: “HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \Services \ NTDS \ Parameters

- Aggiungere il seguente valore di registro:

Value Name: TCP/IP Port
Value Type: REG_DWORD
Base: Decimal
Value Data: <Valore della porta in formato decimale e superiore a 1024>

- Restart il Global Catalog

venerdì, 08 feb 2008 Ore. 10.45



Statistiche
  • Views Home Page: 105.930
  • Views Posts: 266.424
  • Views Gallerie: 48.269
  • n° Posts: 164
  • n° Commenti: 80


Copyright © 2002-2007 - Blogs 2.0
dotNetHell.it | Home Page Blogs
ASP.NET 2.0 Windows 2003