發佈Exchange 2000伺服器

本文件概要敘述提供 Microsoft^%26reg; Exchange 2000 Server 服務，讓需要存取網際網路的特定使用者能夠加以利用的傳統方法。 文中說明了這些策略中固有的問題：Exchange 2000 Server 如何設定為啟用網際網路連線能力、如何使用 Microsoft^%26reg; Internet Security and Acceleration (ISA) Server 2000，以安全而有效的方式提供內部 Exchange 服務給網際網路用戶端使用。
　

需要的定義

由於使用網際網路做為傳輸與存取資訊工具的需求日益增加，公司需要透過網際網路，提供內部服務給員工使用。 不但銷售部門人力需要從遠端位置存取公司資訊，還有更多其他類型的員工晚上都會將工作帶回家。 更何況還有更多人是全天候在家工作。

電子郵件是需求最大的資源，這些員工每一個人都需要存取使用。

公司也使用網際網路做為需要共用郵件服務的連線位置。 隨著可負擔高速網際網路存取的問世，透過網際網路連線取得公司資料已經日益普遍。 為了讓員工可安全地存取公司資料，許多公司建立 VPN 連線，讓用戶端能夠透過網際網路利用安全通道。 但是當使用者只是單純地需要從家中電腦、用戶端網站或網路資訊站，存取電子郵件時，VPN 連線並非永遠都是實際可行的解決方式。 下一節描述一般透過網際網路存取 Exchange 的方式。

安全存取 Exchange 的傳統方法

Microsoft Exchange 2000 Server 有兩種功能，讓用戶端能夠執行存取作業； Microsoft^%26reg; Outlook^%26reg; 用戶端使用網際網路連線，可以透過三種基本狀況模式存取：

• 使用 Microsoft Outlook 或另一個 MAPI 用戶端 (透過 RPC 連線)
• 使用 Microsoft Outlook、Outlook Express 或另一個郵件用戶端 (透過 IMAP4 或 POP3 帳戶連線)
• 使用 Microsoft Outlook Web Access (OWA) (透過 HTTP 連線)

本文將會說明各種狀況如何運作，包括其優缺點。

在內部網路上，大半用戶端使用 Outlook 與 Exchange 伺服器連線。 在網際網路上，大半公司都使用 Outlook Web Access (OWA)，它提供電子郵件的網路存取。 許多在家中工作的人是透過 POP3 或 IMAP4 用戶端，如 Outlook Express，來存取郵件。 但是用戶端越來越需要，也要求能利用完整的 Outlook 用戶端功能來存取。

Outlook 及其他 MAPI 用戶端的完整功能

Exchange 用戶端、Outlook 與 Outlook Express 都可以使用訊息應用程式發展介面 (MAPI，Messaging Application Programming Interface) 與 Exchange 2000 Server 儲存區通訊。 以 MAPI 用戶端連線所提供的功能包括：存取規劃行事曆資訊、壓縮 Word 和 Excel 文件做為電子郵件訊息等等。 大半用戶端不但上班工作時喜歡用 Outlook 用戶端，在家或出外旅遊時也都喜歡用。 但是由於 MAPI 要求是透過遠端程序呼叫 (RPC) 傳送給 Exchange 伺服器，透過 RPC 跨越網際網路連線其實不是很理想，需要考慮的是額外負擔成本與安全性問題。

額外負擔

RPC 需要大量的頻寬， 當撥號網路為標準配備時，頻寬成本在時間和金錢兩方面都很高昂。 為了降低額外負擔，犧牲不用 RPC 所提供的某些功能，如規劃行事曆，也還算合理。 但推出負載量更大而且更快速的網際網路連線，透過寬頻提供廠商讓人使用以後，延遲不再是太嚴重的問題，而 RPC 也成為更理想的工具。

安全性

按照以往一般慣例，Exchange 的 RPC 連線並未視為安全連線。 這是因為在此方法中，服務指派給動態連接埠的方式所造成。 按照預設的情況，沒有辦法預料將與 Exchange 服務關聯的連接埠是哪一個。 雖然服務可以鎖入範圍中，但必須要有額外的組態設定與額外的系統管理負擔。 按照預設的情況，伺服器上 Exchange 通用獨一識別碼 (UUID) 是由 RPC 結束點對應程式所註冊，所有 Exchange 用戶端都知道； 其他服務，如 Active Directory 複寫功能，也已註冊 UUID。 每個 UUID 都確保應用程式可以跨越分散式環境，在用戶端和伺服器兩方上識別，以確保相容性與交互操作性。 當 MAPI 用戶端使用 RPC 與 Exchange 伺服器連線時，首先會連絡連接埠 135/tcp，它可將用戶端連線到 RPC 結束點對應程式。 結束點應用程式在提供 UUID 供 Exchange 檢視時，會提供給用戶端註冊 Exchange 服務的通訊連接埠。 這個連接埠的範圍可以從 1024 到 65535。這個動態連接埠指派需要防火牆允許從 1024 到 655535 的所有輸出連線，這種情況會將安全防火牆轉變成不安全的情況。 系統管理員很不願意開放這麼多連接埠。