DMZ 或 LAN 网络中的 Exchange 服务器

---

您需要将 Microsoft Exchange Server 放置在 DMZ 或 LAN 网络中吗？您想知道 DMZ 中 Exchange 的最佳实践是什么吗？在本文中，您将了解是否应该将 Exchange Server 放置在 DMZ 或 LAN 网络中。

什么是非军事区

在计算机安全中，DMZ 或非军事区（有时称为外围网络或屏蔽子网）是物理或逻辑子网。它包含组织的面向外部的服务并将其公开给不受信任的、通常更大的网络，例如互联网。

DMZ 的目的是为组织的局域网 (LAN) 添加额外的安全层。外部网络节点只能访问 DMZ 中公开的内容，而组织网络的其余部分则受防火墙保护。

DMZ 充当位于 Internet 和专用网络之间的小型隔离网络。如果其设计有效，将允许组织有更多时间来检测和解决漏洞，然后再进一步渗透到内部网络。

DMZ 或 LAN 网络中的 Exchange 服务器

安装 Exchange Server 时，您可以安装以下两个角色之一：

• Exchange 邮箱服务器角色
• Exchange 边缘传输服务器角色

每个 Exchange 角色都有不同的用途，无论是邮箱角色还是边缘传输角色。这就是为什么您需要遵循最佳实践，即放置：

• LAN 网络中的 Exchange 邮箱服务器
• DMZ 网络中的 Exchange 边缘传输服务器

两个 Exchange 服务器角色都需要不同的网络端口才能使邮件流正常工作（更多信息见下文）。

重要提示：请勿限制内部 Exchange 服务器之间的网络流量。这意味着内部 Exchange 服务器和内部 Lync 或 Skype for Business 服务器之间。在任何及所有类型的拓扑中的内部 Exchange 服务器和内部 Active Directory 域控制器之间。如果您的防火墙或网络设备可能会限制或更改此类网络流量，则需要配置规则以允许这些服务器之间进行自由且不受限制的通信。允许任何端口（包括随机 RPC 端口）上传入和传出网络流量的规则。

LAN 中的 Exchange 邮箱服务器角色

Microsoft 建议您将 Exchange 邮箱服务器角色放置在LAN 网络中。将其放置在 LAN 网络中，因为 Exchange 邮箱服务器需要与 Active Directory (AD) 进行通信。大多数 Exchange 信息都存储在 AD 中。

不要将 Exchange 邮箱服务器移至 DMZ 网络。如果这样做，它将丢失与专用 LAN 上的域控制器的通信。因此，Exchange 邮箱服务器将无法运行。相反，请将 Exchange 邮箱服务器保留在 LAN 网络中的域控制器旁边。

邮箱服务器邮件流所需的网络端口

如果您有 Exchange 邮箱服务器，请务必打开以下端口。

PurposePortsSourceDestinationInbound mail25/TCP (SMTP)Internet (any)Mailbox serverOutbound mail25/TCP (SMTP) Mailbox serverInternet (any)Outbound mail
(if proxied through the Front End Transport service)25/TCP (SMTP) Mailbox serverInternet (any)DNS for name resolution of the next mail hop*53/UDP,53/TCP (DNS)Mailbox serverDNS server

*下一个邮件跃点的 DNS 解析是任何 Exchange 组织中邮件流的基本部分。负责接收入站邮件或传送出站邮件的 Exchange 服务器必须能够解析内部和外部主机名，以实现正确的邮件路由。所有内部 Exchange 服务器都必须能够解析内部主机名，以实现正确的邮件路由。设计 DNS 基础结构的方法有很多种，但重要的结果是确保下一跃点的名称解析对于所有 Exchange 服务器都能正常工作。

DMZ 中的 Exchange 边缘传输服务器角色

Microsoft 建议您将 Exchange 边缘传输服务器放置在DMZ 网络中。将其放置在组织内部 Active Directory 林之外的外围网络中。

边缘传输服务器几乎总是位于外围网络中，因此您应该限制边缘传输服务器和 Internet 之间的网络流量。此外，在边缘传输服务器和内部 Exchange 组织之间。下面描述了这些网络端口。

边缘传输服务器邮件流所需的网络端口

如果您有 Exchange 边缘传输服务器，请务必打开以下端口。

PurposePortsSourceDestinationInbound mail – Internet to Edge Transport server25/TCP (SMTP)Internet (any)Edge Transport serverInbound mail – Edge Transport server to internal Exchange organization25/TCP (SMTP)Edge Transport serverMailbox servers in the subscribed Active Directory siteOutbound mail – Internal Exchange organization to Edge Transport server25/TCP (SMTP)Mailbox servers in the subscribed Active Directory siteEdge Transport serverOutbound mail – Edge Transport server to internet25/TCP (SMTP)Edge Transport serverInternet (any)EdgeSync synchronization50636/TCP (secure LDAP)Mailbox servers in the subscribed Active Directory site that participate in EdgeSync synchronizationEdge Transport serversDNS for name resolution of the next mail hop*53/UDP,53/TCP (DNS)Edge Transport serverDNS server

*下一个邮件跃点的 DNS 解析是任何 Exchange 组织中邮件流的基本组成部分。负责接收入站邮件或传送出站邮件的 Exchange 服务器必须能够解析内部和外部主机名，以实现正确的邮件路由。所有内部 Exchange 服务器都必须能够解析内部主机名，以实现正确的邮件路由。设计 DNS 基础结构的方法有很多种，但重要的结果是确保下一跃点的名称解析对于所有 Exchange 服务器都能正常工作。

了解更多：邮件流和客户端的 Exchange 防火墙端口 »

结论

您了解了将 Exchange Server 放置在 DMZ 或 LAN 网络中的最佳实践。 Microsoft 在 DMZ 中支持的唯一 Exchange 角色是边缘传输角色。其他一切都必须位于内部网络 (LAN) 中。

您喜欢这篇文章吗？如果是这样，您可能会喜欢这篇文章使用 PowerShell 查找 Exchange Server URL。不要忘记关注我们并分享这篇文章。