Cisco PIX Firewall/VPN コンフィギュレーション ガイド
MS-Exchange ファイアウォールの設 定
MS-Exchange ファイアウォールの設定
発行日;2012/02/04 | 英語版ドキュメント(2009/02/14 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf | フィードバック

目次

MS-Exchange ファイアウォールの設定

Microsoft Exchangeサーバの設定

PIX Firewall の設定

外部サーバの設定

内部サーバの設定

リブート後の両システムの設定

MS-Exchange ファイアウォールの設定

この付録では、Microsoft Exchange をサポートするように PIX Firewall を設定する方法を説明します。NetBIOS および TCP に対して access-list コマンド文を作成することで設定を行います。ここでは、2 台の Windows NT Server を使用する例を挙げます。1 台は PIX Firewall の内部ネットワークに、もう 1 台はメールの送受信先となる外部ネットワークに設置されます。PIX Firewall を介して
Microsoft Exchange が機能すると、Windows NT 以外のプラットフォーム上のメール クライアントとメールを送受信できるようになります。

設定を開始する前に、次の準備を行います。

static コマンド文で使用する PIX Firewall のグローバル アドレスを特定します。

両方の Windows NT システム上に Microsoft Exchange を事前にインストールしておきます。

Administrator ログインから Windows NT システムを選択します。

各 Windows NT システムの IP アドレス、コンピュータ名およびドメイン名を特定します。
Start>Settings>Control Panel>Network を選択し、イーサネット アダプタのエントリをクリックします。次に、Properties をクリックします。必要な情報が、IP Address タブおよび DNS Configuration タブに表示されます。

この付録では、次の項目について説明します。

「Microsoft Exchangeサーバの設定」

「PIX Firewall の設定」

「外部サーバの設定」

「内部サーバの設定」

「リブート後の両システムの設定」

Microsoft Exchangeサーバの設定

ここでは、2 台の Windows NT システムが PIX Firewall を通してメールを送受信するためのコンフィギュレーションについて説明します。


) 次の手順を実行するには、Microsoft Exchange の使用方法および Windows NT サーバの管理機能について十分に理解していることが必要です。


ここで説明する操作手順をわかりやすくするために、 表 C-1 にホスト名、対応する IP アドレス、ドメインを示します。

 

表 C-1 名前とアドレス

システム
名前
IP アドレス
ドメイン

外部 Windows NT サーバ

outserver

209.165.201.2

pixout

内部 Windows NT サーバ

inserver

192.168.42.2

pixin

PIX Firewall 外部インターフェイス

なし

209.165.201.1

なし

PIX Firewall 内部インターフェイス

なし

192.168.42.1

なし

PIX Firewall の static コマンド文は、グローバル アドレスとして 209.165.201.5 を使用します。この例では、Microsoft Exchange Administrator アプリケーションで CISCO という名前の管理ドメインが作成されます。両方のサーバがこのドメインに含まれます。

次の項では、Microsoft Exchange サーバおよび PIX Firewall の設定方法について説明します。1 つの項目の設定を完了してから、次の項目に進んでください。

PIX Firewall の設定

次の手順に従って、PIX Firewall を設定します。


ステップ 1 static コマンドと access-list コマンドを作成し、外部サーバに対して PIX Firewall のグローバル アドレス経由での内部サーバへのアクセスを許可します。

次に例を示します。

static (inside,outside) 209.165.201.5 192.168.42.2 0 0
access-list acl_out permit tcp host 209.165.201.2 host 209.165.201.5 eq 139
access-list acl_out permit udp host 209.165.201.2 host 209.165.201.5 eq 137
access-list acl_out permit udp host 209.165.201.2 host 209.165.201.5 eq 138
access-list acl_out permit tcp host 209.165.201.2 host 209.165.201.5 eq 135
access-group acl_out in interface outside
 

static コマンド文を使用し、内部サーバ 192.168.42.2 にグローバル アドレス 209.165.201.5 を設定して、外部からアクセスできるようにします。access-list コマンドは、外部サーバ 209.165.201.2 に対し、内部サーバのグローバル アドレス 209.165.201.5 へのアクセスを許可します。ポート 139 による NetBIOS over TCP へのアクセスを設定します。また、UDP ポート 137 および 138 へのアクセスも設定します。

TCP ポート 135 に対する最後の access-list コマンド文では、外部サーバに対し、TC Pを使用した MSRPC(Microsoft Remote Procedure Call)によるアクセスを許可しています。

access-group コマンド文は、 access-list コマンド文を外部インターフェイスにバインドします。

ステップ 2 ステップ 1 の static コマンド文で発信を開始することも可能ですが、バック接続を許可するには established コマンド文が必要です。

established tcp 135 permitto tcp 1024-65535
 

このコマンド文によって、すべての上位ポート(1024~65535)の外部ホストからの RPC バック接続でメールを配信できるようになります。

ステップ 3 2 台のサーバの設定後、メッセージを監視できるように、syslog console コマンド文を入力します。


 

外部サーバの設定

次の手順に従って、外部 Microsoft Exchange サーバを設定します。


ステップ 1 外部 Microsoft Exchange サーバで、Start>Settings>Control Panel を選択し、Network エントリをクリックします。イーサネット アダプタの Properties セクションで、プライマリ WINS(Windows Internet Name System)アドレスに外部システムの IP アドレス(この例では 209.165.201.2)を設定します。セカンダリ WINS アドレスに、static コマンド文で指定したグローバル アドレス 209.165.201.5 を設定します。

ステップ 2 さらに Network エントリで、Services>Computer Browser をクリックします。外部サーバが、サーバの外部ドメイン(この例ではpixout)に対するマスタ ブラウザであることを確認します。

ステップ 3 Start>Programs>WINS Manager を選択します。次にMappings>Static Mappings を選択します。内部サーバのドメイン pixin のスタティック マッピングに、staticコマンド文で指定したグローバル アドレス 209.165.201.5 を追加します。さらに、固有マッピングに内部サーバ名 inserver を追加し、同様に static コマンド文で指定したグローバル アドレスを設定します。設定した新しい情報を保存し、WINS Manager を終了します。

ステップ 4 次に、外部サーバのドメイン pixout と内部サーバのドメイン pixin の間に、信頼関係を設定します。

a. Start>Programs>Administrative Tools>User Manager for Domains を選択します。

b. Policies>Trust Relationship を選択し、Trusting Domain をクリックします。

c. 内部サーバのドメインに Trusting Domain を追加し、パスワードを設定します。

d. Trusted Domain をクリックし、pixin を Trusted Domain として設定します。

ステップ 5 アプリケーションを終了し、Windows NT システムを再度ブートします。


 

内部サーバの設定

次の手順に従って、内部 Microsoft Exchange サーバを設定します。


ステップ 1 内部サーバ上で、 Settings > Control Panel >Network を選択し、プライマリ WINS アドレスにシステムのアドレス 192.168.42.2 を、セカンダリ WINS アドレスに PIX Firewall の内部アドレス 192.168.41.1 を設定します。

Network エントリで、Services>Computer Browser を選択します。内部サーバがドメイン(この例ではpixin)のマスター ブラウザであることを確認します。

Network エントリで、Protocols>TCP/IP Protocol>WINS Configuration を選択します。プライマリ WINS アドレスおよびセカンダリ WINS アドレスに、内部サーバのアドレス 192.168.42.2 を設定します。Default Gateway タブを開き、アドレスに、PIX Firewall の内部アドレス 192.168.42.1 を設定します。

ステップ 2 Start>Programs>WINS Manager を選択し、外部サーバのドメイン pixout についてスタティック マッピングを指定し、さらに外部サーバ outserver について固有マッピングを指定します。両方とも、外部サーバのアドレス 209.165.201.2 を指定します。

Server メニューで Replication Partners をクリックし、Pull Partner に外部サーバ(この例では 209.165.201.2)を追加します。これを行うことにより、外部サーバのデータベースから内部サーバのローカル データベースへのコピーが許可されます。2 台のサーバのデータベースが統合され、ファイアウォールの両側でユーザ情報が共有されます。このダイアログボックスのほかの項目には、デフォルト オプションを使用します。

入力した情報は、Mappings>Show Database をクリックすると表示されます。

ステップ 3 内部サーバのドメイン pixin と外部サーバのドメイン pixout との間に、信頼関係を設定します。

a. Start>Programs>Administrative Tools>User Manager for Domains を選択します。

b. Policies>Trust Relationship を選択し、Trusting Domain をクリックします。

c. 外部サーバのドメインを Trusting Domain として追加し、パスワードを割り当てます。

d. Trusted Domain をクリックして、pixout を Trusted Domain として設定します。

ステップ 4 アプリケーションを終了し、Windows NT システムを再度ブートします。


 

リブート後の両システムの設定

システムを再度ブートした後で、次の手順に従って、内部サーバと外部サーバの両方を設定します。


ステップ 1 システムが使用可能になってから、内部サーバ上でStart>Find>Computer をクリックし、この例では \outserver と入力して外部サーバを検索します。次に、外部サーバ上で inserver を検索します。

ステップ 2 各サーバ上で Start>Programs>Microsoft Exchange Administrator を選択して、相手側のサーバに接続するように Microsoft Exchange を設定します。両方のサーバ上でネットワーク名(この例では CISCO)を宣言します。各サーバ上で、サーバのドメイン名となるサイト名を宣言します。この例では、内部サーバのサイト名は pixin、外部サーバのサイト名は pixout となります。

File>Connect to Server をクリックして、相手側サーバに接続します。

ステップ 3 Administrator アプリケーションで、サイト コネクタを設定します。Configure/Connections フィールドで該当するサイト名をクリックすると、Connections リストが表示されます。サイト コネクタがインストールされているかどうかを確認します。Microsoft Exchange をデフォルト設定でインストールしている場合には、サイト コネクタが存在します。サイト コネクタがない場合は、ステップ 2 に従って、サーバの各ドメインにサイト コネクタを追加します。cost についてはデフォルトを使用します。Messaging Bridge Head には、そのサーバの名前を指定します。Target Server には、相手側サーバの名前を指定します。Address Space フィールドは無視できます。

ステップ 4 両サイトを接続すると、Administrator アプリケーションに、アクセスできる相手側サイトが表示されます。各サーバ上に、テスト ログインに使用できるユーザ名が 1 つ以上指定されているかどうかを確認してください。

ステップ 5 指定されているユーザ名を使用して、メール クライアントからの電子メールをテストします。アドレス ブックのグローバル アドレス リストに、相手側サーバといずれかの側のユーザが指定されている必要があります。電子メール メッセージを送信します。


 

これで、PIX Firewall で、MSRPC 接続を示す syslog メッセージを表示できます。メールを内部ネットワークから外部ネットワークに送信する場合は、MSRPC 接続がポート 135 で内部サーバから外部サーバに方向付けられていることを確認してください。次に、外部サーバと内部サーバの間で別の上位ポートの接続が確立されていることを確認してください。電子メールは通常、ただちに転送されます。