多台Exchange服务器部署实战：公网访问问题解析

"该文主要介绍了一种在VMware环境下，使用两台Exchange服务器搭建的部署方案，结合海蜘蛛防火墙路由器和公网邮件服务器，实现邮件系统的内外部访问。" 在多台Exchange服务器的部署中，通常有前端和后端服务器的概念。前端服务器主要处理用户的Web访问（Outlook Web App, OWA）和POP3/IMAP4等邮件协议，而后端服务器则负责邮件存储和内部通信。在这个方案中，虽然提到了"Exchange 前后端"的标签，但实际上两台Exchange服务器都被当作后端服务器使用，没有明确的前端服务器角色。 方案一的具体步骤如下： 1. 部署了一台Exchange服务器作为域控制器，IP地址为192.168.10.1，网关设置为192.168.10.254。 2. 另一台Exchange服务器，IP地址192.168.10.2，同样将网关设为192.168.10.254，用于邮件服务。 3. 配置了一台双网卡的海蜘蛛防火墙路由器，内网IP为192.168.10.254，模拟公网IP为192.168.2.254，用作NAT转换，并将25、110、80端口映射到第一台Exchange服务器，以便外部访问。 4. 公网邮件服务器使用Windows 2003自带的邮件系统，IP地址192.168.2.253，同时兼作DNS服务器，支持两个域名的解析。 这个部署方案能够实现从公网通过Foxmail通过POP3收取第一台Exchange服务器上的邮件，以及通过OWA访问第一台服务器的邮箱。然而，存在两个问题： 问题1：在外网无法通过POP3收取第二台Exchange服务器上的邮箱。 问题2：在外网也无法通过OWA查看第二台Exchange服务器的邮箱。 原因分析：由于防火墙配置将公网的25、110、80端口映射到了第一台Exchange服务器，导致外部访问只能到达第一台服务器。由于两台Exchange服务器是平级关系，没有前端服务器进行路由转发，所以第二台服务器的邮件服务无法对外提供。 解决这两个问题的方法可能包括： 1. 添加前端Exchange服务器，用于接收外部连接并路由到适当的后端服务器。 2. 修改防火墙规则，使得外部请求可以直达第二台Exchange服务器或通过特定端口转发。 3. 使用负载均衡技术，根据策略分配用户请求至不同的后端Exchange服务器。 在实际部署中，应确保所有服务器间的通信安全，包括SSL加密和适当的权限控制。此外，对于高可用性和灾难恢复，还可以考虑Exchange的数据库可用性组（DAG）或者故障转移集群等技术。最后，对于DNS配置，确保所有域名解析正确，指向相应的Exchange服务器，以保证邮件的正常收发。