- - PR -
Windows Small Business Server 2003
| 投稿者 | 投稿内容 | ||||||||
|---|---|---|---|---|---|---|---|---|---|
|
投稿日時: 2004-04-23 16:27
ローカルな DNS とインターネット上の DNS とを混同しておられるとお見受けしますが。
ADはDNSを必要としていますが、インターネット上の DNS (今回はDDNS)とは全く関係させなくて良いです。 取得したドメインが sample.com であっても、hogehoge.local というドメインでローカルな DNS は構築して結構です。 インターネットのDNSはDDNS屋が維持管理しているので、考える必要ありません。 外から www.sample.com へのアクセス依頼があれば、DDNS屋のDNSがIPに変換して、あなたのところのルーターまでパケットが届くようにしてきれています。 | ||||||||
|
投稿日時: 2004-04-23 16:36
更に補足すれば、ADのDNSを ns.hogehoge.local として構築(ドメイン名としてはhogehoge.localになる)し、DNSのフォワーダ先を上位プロバイダに振って置けば、解決できないアドレス=[xxx.hogehoge.local以外のwww.yahoo.co.jp等]は上位のプロバイダへDNS問い合わせが行われ、IPアドレスがあなたのローカルなクライアントに届きます。
ns.hogehoge.local(192.168.1.1) が DNSサーバーで、 www.hogehoge.local(192.168.1.2) が HTTPサーバーであれば、 この AD に所属している端末のブラウザから www.hogehoge.local を叩けばローカルな HTTPサーバーのコンテンツが表示されます。 外の www.sample.com は、外からのアクセス時には DDNS屋の DNSサーバーで グローバルなアドレス(133.152.1.59)に変換され、ルーターのWANポートにパケットが届きますので、ルーターの設定で 192.168.1.2 へ転送するように設定すればおしまいです。 smtp.hogehoge.local(192.168.1.3) が SMTPサーバーであれば、同じくルーターの設定で 25番に届いたパケットを 192.168.1.3 へ転送かける設定にします。 1台のサーバーで、DNS、HTTP、SMTPサーバーを 192.168.1.1 で兼ねているのであれば、ルーターの転送先は 80番・25番ポート共に 192.168.1.1 へ転送させます。 DNS(UDP:53、TCP:53)のポートに届いたパケットの転送は不要です。(誰も見に来ない) | ||||||||
|
投稿日時: 2004-04-23 21:18
Kaz 様、こばさん 様 ご教授有難う御座います。
丁寧に解説して頂き有難う御座います。 お蔭様で、ほんの少し光が見えてきた気がします。 インストールからやり直して、設定し直してみます。 『内部ドメインの完全なDNS名』は、SAMPLE. Localという別名で・・・。 また躓いて質問させていただく事もあると思いますが、その節はまたお願い致します。 本当に有難う御座いました。 | ||||||||
|
投稿日時: 2004-05-06 23:01
先月の上旬頃から、皆様にご教授いただいております。
その節は、有難う御座いました。連休中、色々な設定を試し Exchange Serverの機能を使用し、独自ドメインでメールのやり取り(外部・内部共) ホームページの公開が出来る様になりました。 もう一歩前進しようと考え、ISA Serverをインストールしました。 インターネット接続・メール等は、問題なく出来るのですが 下記のエラーが表示され、ホームページにアクセス出来なくなってしまいました。 403 アクセス禁止 - サーバーは指定された URL (Uniform Resource Locator) を拒否しました。 サーバー管理者に問い合わせてください。 (12202) Internet Security and Acceleration Server ISA Serverのインストール方法に下記のような事が、書いてがあります。 formation Services (IIS) を再構成する必要があるというメッセージが表示されたら[OK] をクリックします。この手順の後の部分で [電子メールとインターネット接続の構成ウィザード] を完了すると IIS が ISA Server と連動するように自動的に構成されます。 注 publishing.<ドメイン名>.local の証明書は選択しないでください。 [電子メールとインターネット接続の構成ウィザード] 途中のWebサーバー証明書 SSL を構成するには、Web証明書を指定する必要があります。 という所で、『 新しいWeb証明書を作成する 』を選択し サーバーのフルインターネット名(sbsserver. Sample.com)と入力しています。 『 ISA Server 導入と運用の基本 』を参考に、自分なりに推測すると 下記のどちらかに問題があるのではないかと思っております。 ・ グローバルIPアドレスが、固定で無い。 ・ Webサーバー証明書 再度ご教授いただきたく、お願い申し上げます | ||||||||
|
投稿日時: 2004-05-07 00:26
こんばんわ.
旺盛な向学心ですね,かなり前進なさったようで. ISA Server は後にして,一点確認です.WWW Server の公開をしたいのだと思われますが,SSL はひつようなのですか?つまり,HTTP での公開なのでしょうか?それとも HTTPS での公開なのでしょうか?HTTP だけなら証明書の生成は必要ないように思われます. 電子メールは「問題なし」とされているようですから,SMTP の公開 rule はちゃんとできているのですね?WWW の公開も同様の rule が必要ですが,それは生成されていますか?これは要するに,SecureNAT と packet filtering が設定されているか否かということです.「公開」の「Web 公開ルール」だったかな?その辺に「サーバを公開するためのルール」があると思います.内容をご確認ください. | ||||||||
|
投稿日時: 2004-05-07 09:34
MSDNですよね?
何かアカデミックな感じで羨ましいです。 私は、そういう熱が少し冷めちゃいました。。
どちらも ISA の構築には問題ないですが。 ちなみに、Webサーバーを作ったときに証明書サーバーなんかも立てて、自前ルート証明書による SSL まで構築してしまっておられるのでしょうか。 余談ですが、SMTPサーバー設定の中の「中継」は注意して下さいね。 デフォで正しく認証された〜にチェックが入った状態で、いい加減なユーザー名・パスワードのユーザーを作っておくと、誰かが勝手に認証してスパム発信の中継台に使うことありますから。 | ||||||||
|
投稿日時: 2004-05-07 20:58
Kaz 様、こばさん 様、度重なるご教授有難う御座います。
HTTPで、WWW Server を公開したいと考えています。 ご教授いただきました「Web 公開ルール」を確認したところ WWWサーバー公開プロパティ 適用先『指定されたユーザーとグループ』 にチェックが付いており、訂正し無事アクセス出来るようになりました。 Web公開ルール 1 WWWサーバー公開 2 Small Business PUP Publishing Rule 3 Small Business OWA Web Publishing Rule 4 Small Business Business Card Publishing Rule 5 最後 規定のルール 2〜4は、自動的に作成されていました。 動作は、1〜4は『指定されたサイトへリダイレクト』 5は『拒否』に設定されています。 また、ISA Server の導入に下記の件は、関係ないとの事で安心致しました。 ・ グローバルIPアドレスが、固定で無い。 ・ Webサーバー証明書 『 ISA Server 導入と運用の基本 』の中にも紹介されている、シマンテックのサイトにて ISA Server のセキュリティーの確認をしたところ 「対ハッカー露出度チェック」ICMP Ping・25・80・443・1723のポート 「トロイの木馬チェック」1024・1025・1026・1028のポート に要注意との警告を受けました。 本の中には、『必ずしも問題があるわけではない。』との事ですが・・・。 また、ご教授いただきました『スパムメール』の件ですが 『4.メールのオープン・リレー対策(2)』を参考にさせていただき sbsserver自身から、コマンドプロントにて、telnetでSMTPポートに接続し 1: helo sbsserver 2: mail from:<test@example.com> 3: rcpt to:<test@example.com> 4: quit 2まで順調に行くのですが、3で帰ってくるメッセージが何度トライしても 501.5.5.4 Invalid Address と帰ってきます。 まったく別のパソコン(知人宅)からも試した結果 途中でエラーになってしまうことが何度もありましたが、 rcpt to:<test@example.com> の入力に対し、 2回程 550 5.7.1 Unable to relay for test@example.com というメッセージが帰ってきました。 他の方に、ご迷惑をお掛けする事は避けなくてはいけない・・・。 スパムメール&セキュリティの設定について、ご教授いただきたくお願い申し上げます。 | ||||||||
|
投稿日時: 2004-05-08 00:10
こんばんわ.
露出度というのは,「Internet から見えている」ということだと思います.このうち,ICMP はその site の policy によって返さないように設定することもあり,「別に気にしない」というのもひとつの姿勢です.また, TCP:25 -> SMTP TCP:80 -> HTTP TCP:443 -> HTTPS で,一般的に well-known port と呼ばれていますね.詳しくは google ででも調べることをお奨めしますが,これらはそれぞれ WWW Server や SMTP Server を公開している場合は当然 listen していますので至極正常です. TCP:1723 はたしか PPTP だったかと.過去に脆弱性が確認されている箇所でもあるので,VPN を使うのでなければ閉じることをお奨めします.たしか RRAS で設定するのかな? でも,default でこの port って空けたかな? >「トロイの木馬チェック」1024・1025・1026・1028のポート この辺はちょっとわかりません.が,自分の site でもその周辺が空いてくれてます.Internet から見えているのはよろしくないでしょうから,ISA で明示的に...って ISA の Firewall で塞いでくれてませんか?ちょっと自信ないです. symantec の site って,どのように調べてるんでしょうね?port scan してるだけ? 後述の「知人宅」から port scan したりするとよくわかるのではないかと思いますよ.
3rd party relay は,「許可されていない配信」を Unable to relay にするのが目的です.よって,「知人宅」からの配信要求が Unable to relay なのは「3rd party relay できない」ので「良」ですね. ちなみに spam check と 3rd party relay は別物です. sapm の定義自体がかなり曖昧ですので,あまり spam check という言葉に振り回されないほうがよろしいかと.要するに, ISA Server 内部 <--> ISA Server 外部 の送受信が出来るのは当然として, ISA Server 外部 --> ISA Server 外部 という配信を出来ないようにするのが本題です.この配信の仕方を一般に「踏み台にする」と言うわけです.要するに,spam 云々は措いといて,踏み台にされないことが重要なわけです. この辺が参考になるかと. http://www.atmarkit.co.jp/fsecurity/rensai/securitytips/005checkmail.html ここでも紹介されてますが, http://www.abuse.net/relay.html では結構手軽に試せます.ただし,一度調べると(たしか)丸1日経過しないと再挑戦できなかったりします.ご注意ください.ちなみに自分も最終確認に利用させていただいています. ところでメールサーバは Exchange Server...ですよね,SBS2003 なのですから.SMTP の設定でこれらを施して,上記 site で確認してみましょう. ということで,ガンバッてください. | ||||||||
スキルアップ/キャリアアップ(JOB@IT)
Copyright © ITmedia, Inc. All Rights Reserved.
著作権はアイティメディア株式会社またはその記事の筆者に属します。
当サイトに掲載されている記事や画像などの無断転載を禁止します。
著作権はアイティメディア株式会社またはその記事の筆者に属します。
当サイトに掲載されている記事や画像などの無断転載を禁止します。