- - PR -
Exchange2000Serverの構成U
| 投稿者 | 投稿内容 | ||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
|
投稿日時: 2002-05-31 09:19
お世話になります。
次の3つの構成のうち、構成可能なものはどれでしょうか。 目的は ・インターネットメールサーバーを立ち上げたい。 ・クライアント達はゲートウェイの下に隠してローカルIPアドレスで運用したい。 ・できればファイヤーウォールを隔てて中と外とを明確に区別してクライアント達を外敵から守りたい。 です。 ご教授お願い申し上げます。 [構成1]============================================================= [インターネット] | | | [ルータ]211.x.x.1 |------[Windows2000Server(ActiveDirectory & DNS)]211.x.x.2 |------[Exchange2000Server]211.x.x.4 | |211.x.x.3 [ゲートウェイ&ファイヤーウォール]IPマスカレード |192.168.1.1 | | クライアント達(192.168.1.0/24) ================================================================== [構成2]============================================================= [インターネット] | | | [ルータ]211.x.x.1 |------[DNS]211.x.x.2 |------[Exchange2000Server]211.x.x.4 | |211.x.x.3 [ゲートウェイ&ファイヤーウォール]IPマスカレード |192.168.1.1 | |------[2000Server(AD & ローカルなDNS)]192.168.1.2 | クライアント達(192.168.1.0/24) ================================================================== [構成3]============================================================= [インターネット] | | | [ルータ]211.x.x.1 | |211.x.x.2 [Windows2000Server Exchange2000Server ActiveDirectory DNS ] |192.168.1.1 | | クライアント達(192.168.1.0/24) ================================================================== | ||||||||||||||||
|
投稿日時: 2002-05-31 16:28
もうひとつの質問に答えるのを忘れていてすいません。こちらの方でレスさせていただきます。
3つの構成ですが、どれでも可能だと思いますが、どれも危ないといえば危ないですね。昔はMSは、SBSパッケージで、3の構成みたいなのを勧めていましたが、やはりDNSとそれ以外は分けた方がいいという方針になっています。Active Direcotryで使用するDNSには、ADのさまざまな情報が勝手に(というか、必要なんですが)登録されるので、そのDNSからの情報漏えいを防ぐためでしょう。ですので、最低でもDNSとそれ以外のサーバを分けることが推奨されています。そして内部のAD向けには別のDNSサーバを用意することが望ましいとされています。 この方針による、SBSを使ったインターネットサーバ構築記事が以下にありますので、ご覧ください(まだDNSまでしか掲載していませんが)。ネットワークの構成図が真ん中あたりにあります。 http://www.atmarkit.co.jp/fwin2k/special/iconnect_sbs2k/iconnect_sbs2k_02.html ただしこれはSBSを使った場合の例です。単独のExchangeを使うなら、ファイアウォールの内側において、メール関係のパケットを内部へフォワードするのが望ましいです。というのは、もしインターネットに直接さらされているセグメントに置くと、そのExchangeサーバのメールのポート(SMTPポート)以外を、完全にブロックすることが(Windows 2000の単独機能だけでは)難しいからです。またメールサーバは内部ユーザーからもPOPなどでアクセスされるでしょうから、内部からのアクセスは許可する必要があります。 そう考えると、メールサーバは内部セグメント上において、必要なポートだけを内部へフォワードするのがよいと思われます。 ところで211.はどこかのプロバイダから割り当てられたIPアドレスですよね? アクセス回線はどんどん変わる可能性があるので、これに依存するようなIPの割り当ては極力避けることをお勧めします。 また、現在100ユーザーほどおられるようですが、将来的にはどのくらいになる予定なのでしょうか? 半年後、1年後、2年後、などです。きっと増えていくでしょうから、インターネット向けのサーバ群は、192.168....じゃなくて、もっと別のセグメント、いわゆるDMZのネットワークを作って、(ほぼ)恒久的なIPアドレスを割り当てておくのがよいと思われます(出来ればADのドメインコントローラにも)。例えば、全社的に10.xx.xx.xxというIPを割り当てることにし、インターネットセグメントは今後は10.1.yy.yyにする、と決めておくとよいでしょう。そして各地域などの拠点ごとに10.10.zz.zzとか、10.11.zz.zzなどと大きく割り当て、さらにビル内、フロア内ごとに別セグメントを割り当てるように、計画を立てておく、とよいのではないでしょうか。すべて別のネットワークアドレスにしておくと、将来VPNしたりするときに便利ではないかと思われます。 というわけで以下のように、内部と外部という区分のほかに、インターネット向けサーバを設置するためのセグメントがあるのが望ましいと思います。入り口のルータでパケットフィルタをしてもいいのですが、安価なルータのパケットフィルタでは詳細なログが取れなかったりするので、外敵(クラッカーなど)の攻撃パターンを記録するためにも、ログ機能を備えたファイアウォールがあるとよいと思います。 インターネット] | | [ルータ/ファイアウォール] | |DMZネットワーク、インタネット向けサーバ [ルータ/ファイアウォール] | | | 社内ネットワーク | | | 各部署ごとのクライアント [ メッセージ編集済み 編集者: Uchiko 編集日時 2002-05-31 16:30 ] | ||||||||||||||||
|
投稿日時: 2002-05-31 17:23
ネットワーク構成に関してここまで踏み込んだお話をしていただいたのは初めてです。大変感謝しております。
フォワーディングに関して少し調べてから引き続きご質問させていただきたいと思います。 よろしくお願いします。 | ||||||||||||||||
|
投稿日時: 2002-05-31 17:58
[質問1]
DMZのDNSと内部のDNSを分けるという件で、DMZのDNSはWindows以外のものでも良いのでしょうか。 メールアドレスが xxx@mydomain.jp で、 Exchange2000Serverのホスト名が ns.mydomain.jp だとすると、そのDNS内のMXレコードに mydomain.jp. IN MX 10 ns.mydomain.jp とさえ書けばうまくいくのでしょうか。 | ||||||||||||||||
|
投稿日時: 2002-06-01 04:30
もちろん大丈夫ですので、お好きなOSをお使いください。
これは、外側のDNSサーバのことですよね? ちゃんと ns.mydomain.jp に対するAレコード(もちろんグローバルのIPアドレス)を定義して、それがDMZ上のメールサーバ(内部アドレス)へフォワードされるようにファイアウォールなどが設定されていれば、それで大丈夫です。でもメールサーバのホスト名はns.mydomain.jpじゃなくて、mail.mydomain.jpとか、メールサーバらしい方がいいのではないですか? どうせ内部へフォワードされるだけなので、ホスト名には大して意味がないですから。 | ||||||||||||||||
|
投稿日時: 2002-06-03 16:43
ご返答ありがとうございます。
今回は質問を端的に表現するために構成を簡略化しておりました。 実際は、 [現在の構成]======================================================== ISPより与えられたIPアドレス:211.x.x.0〜211.x.x.15/255.255.255.240 [インターネット] | | [ルータ]211.x.x.1 | |------[DNS Linux BIND9]211.x.x.2 (個別ファイヤーウォール) |------[Web Linux Apache]211.x.x.4 (個別ファイヤーウォール) |------[Mail Linux qmail]211.x.x.5 (個別ファイヤーウォール)xxx@domain.jp | |211.x.x.3 [GateWay&Firewall(IPマスカレード)] |192.168.10.1 | |192.168.10.2 [ Layer3 スイッチ ] ||||| ||||| ||||+----192.168.1.0/24 |||| +---Windows2000Server(DC DNS WINS)192.168.1.200 |||+------192.168.2.0/24(クライアント達) ||+--------192.168.3.0/24(クライアント達) |+----------192.168.・・・(クライアント達) +------------192.168.・・・(クライアント達) ==================================================================== という構成になっております。 インターネット側のサーバー群はLinuxで組んでおりまして、ファイヤーウォールはマシンごとに設定しております。外部向けのメールサーバーも既にLinuxで動いております。そこへ今回はローカルなメールサーバーとしてExchange2000Serverを図の「どこか」に配置し、運用しようと企んでおります。 ローカルメールと言いましても、事実上外からもメールが届かないと不便ですし、外へも送信したいと思います。 今の構成ではIPマスカレードを行っている手前上、その時点で外からのルーティングはできません。(これに間違いはないでしょうか。。) 従いまして、おっしゃるように[GateWay&Firewall](211.x.x.3)のマシンにNICを3枚挿して一枚をDMZに割り当てるのがベストかと考えております。 インターフェース名をそれぞれ(下図で) ・eth0 : 211.x.x.3 ・eth1 : 10.1.x.1 ・eth2 : 192.168.10.1 として、eth0<->eth2 は従来どおりIPマスカレード、 eth0<->eth1 と eth1<->eth2 はマスカレードなしでフィルタリングとフォワードのみ。 という考えです。 今回は設定の事前実験としてDMZには[Exchange2000Server]10.1.x.200だけを配置しようと考えています。(下図) =============================================================== [インターネット] | | [ルータ]211.x.x.1 | |------[DNS Linux BIND9]211.x.x.2 (個別ファイヤーウォール) |------[Web Linux Apache]211.x.x.4 (個別ファイヤーウォール) |------[Mail Linux qmail]211.x.x.5 (個別ファイヤーウォール)xxx@domain.jp | |211.x.x.3 [GateWay&Firewall]10.1.x.1----[Exchange2000Server]10.1.x.200(xxx@local.domain.jp) |192.168.10.1 | |192.168.10.2 [ Layer3 スイッチ ] ||||| ||||| ||||+----192.168.1.0/24 |||| +---Windows2000Server(DC DNS WINS)192.168.1.200 |||+------192.168.2.0/24(クライアント達) ||+--------192.168.3.0/24(クライアント達) |+----------192.168.・・・(クライアント達) +------------192.168.・・・(クライアント達) =============================================================== まず、この構成に不備はございませんでしょうか。また、上の私の能書きに認識ミスはございませんでしょうか。将来的にはインターネットサーバー群は10.1.x.xのDMZに配置しようと思いますが、一気には意向できませんので、これで実験します。 さて、このような構成で[GateWay&Firewall]10.1.x.1のマシン上でうまくフォワーディングが成功していると考えて、 [DNS Linux BIND9]211.x.x.2 のマシン上のDNSレコードで、 =========================================================== ・・・ ・・・ domain.jp IN MX 10 mx.domain.jp local.domain.jp IN MX 10 mxl.domain.jp ns IN A 211.x.x.2 web IN A 211.x.x.4 mx IN A 211.x.x.5 mxl IN A 10.1.x.200 ・・・ ・・・ ============================================================ でよろしいのでしょうか。 [Exchange2000Server]10.1.x.200 はWINSとルーティングの設定でセグメントを越えて Windows2000Server(DC DNS WINS)192.168.1.200 のActiveDirectoryに参加できているとすれば、これ以外にこのメールサーバーに必要な設定はありますでしょうか。 ながきに渡りご質問させていただきましたが、ご教授のほどよろしくお願い申し上げます。 [ メッセージ編集済み 編集者: okumura 編集日時 2002-06-03 16:46 ] | ||||||||||||||||
|
投稿日時: 2002-06-04 01:07
外側のメールと内側のメールで異なるメールアドレスにして、運用するんでしょうか? ローカルのユーザーのみなさんのメールアドレスは、XXX@domain.jpじゃなくて、XXX@local.domain.jp なのですか? いや、特に問題があるわけではありません。ちょっと気になったもので。
「eth0<->eth1」は「グローバルIP ←→ ローカルIP」なので、マスカレードがないとルーティングできないと思います。インターネット側かるみると、eth1(およびeth2)のセグメントは、内部LANになっていて、インターネットからは隠蔽されているので、インターネット側からこのLAN上のマシンと通信するためには、ポートフォワードやポートマッピングなどが必要です。
特に構成的には問題はないと思います。あとはルーティングをどうするかだけです。
上でも書いたように10.1.x.200というのは、ローカルIPアドレスですので、インターネット側からこのホストと直接通信することはできません。MXレコードは、インターネット上のどこかのホストがメールを送信するときに使うレコードですので、ここにローカルIPを記述しても、通信することはできません。外部へ見せるMXレコードには、211.x.x.3([GateWay&Firewall])というグローバルIPアドレスを記述するべきです。もしくは、内部メールサーバ用に別のグローバルIPアドレスを確保して、それをMXレコードに記述し、さらにそのIPアドレスをゲートウェイマシンに追加のIPアドレスとして設定します。 次に、そのグローバルIPアドレス(のSMTPポート)を、「10.1.x.200」というExchangeマシンへフォワードするように、IPマスカレードを設定します。 Exchangeマシンからインターネットや社内LAN方向への通信は、特に問題はないでしょうから、省略します。 | ||||||||||||||||
|
投稿日時: 2002-06-04 12:26
お世話になります。いつもご指導ありがとうございます。
厳密には他に理由がございまして。。(単なる我が社特有の事情です。。。)
以上を踏まえますと、次のような構成とIPマスカレードの設定になりますでしょうか。 eth2<->eth1:マスカレードなしでフィルタリングとフォワードのみ。 eth2<->eth0:IPマスカレード。 eth1<->eth0:IPマスカレード+SMTPポートフォワード。 =============================================================== [インターネット] | | [ルータ]211.x.x.1 | |------[DNS Linux BIND9]211.x.x.2 (個別ファイヤーウォール) |------[Web Linux Apache]211.x.x.4 (個別ファイヤーウォール) |------[Mail Linux qmail]211.x.x.5 (個別ファイヤーウォール)xxx@domain.jp | |(eth0)211.x.x.3 [GateWay&Firewall](eth1)10.1.1.1---[Exchange2000Server]10.1.1.2(xxx@local.domain.jp) |(eth2)192.168.10.1 | |192.168.10.2 [ Layer3 スイッチ ] ||||| ||||| ||||+----192.168.1.0/24 |||| +---Windows2000Server(DC DNS WINS)192.168.1.200 |||+------192.168.2.0/24(クライアント達) ||+--------192.168.3.0/24(クライアント達) |+----------192.168.・・・(クライアント達) +------------192.168.・・・(クライアント達) =============================================================== また、理想的な構成としては次のような形で不備はございませんでしょうか。 eth2<->eth1:マスカレードなしでフィルタリングとフォワードのみ。 eth2<->eth0:IPマスカレード。 eth1<->eth0:IPマスカレード。IPマスカレード+SMTP,HTTP,FTP・・・ポートフォワード。 =============================================================== [インターネット] | | [ルータ]211.x.x.1 | +------[DNS Linux BIND9]211.x.x.2 (個別ファイヤーウォール) | |(eth0)211.x.x.3 [GateWay&Firewall] | |(eth1)10.1.1.1 |(eth2)192.168.10.1 | | | +------[Web Linux Apache]10.1.1.2 | +------[Mail Linux qmail]10.1.1.3 (xxx@domain.jp) | +------[Exchange2000Server]10.1.1.4(xxx@local.domain.jp) | 192.168.10.2 [ Layer3 スイッチ ] ||||| ||||| ||||+----192.168.1.0/24 |||| +---Windows2000Server(DC DNS WINS)192.168.1.200 |||+------192.168.2.0/24(クライアント達) ||+--------192.168.3.0/24(クライアント達) |+----------192.168.・・・(クライアント達) +------------192.168.・・・(クライアント達) =============================================================== 以上、よろしくご指導願います。 | ||||||||||||||||
スキルアップ/キャリアアップ(JOB@IT)
Copyright © ITmedia, Inc. All Rights Reserved.
著作権はアイティメディア株式会社またはその記事の筆者に属します。
当サイトに掲載されている記事や画像などの無断転載を禁止します。
著作権はアイティメディア株式会社またはその記事の筆者に属します。
当サイトに掲載されている記事や画像などの無断転載を禁止します。