Microsoft Exchange Server 2007 з самого початку проектувався для розгортання в многосерверной середовищі. За замовчуванням продукт повинен працювати принаймні на двох фізичних серверах: одному - для серверної ролі Edge Transport, іншому - для інших ролей (Hub Transport, Mailbox, Client Access і Unified Messaging). Хоча фахівці Microsoft настійно рекомендують використовувати Exchange 2007 з двома фізичними серверами, в певних умовах можна встановити і запускати Exchange 2007 на одному комп'ютері. Так, невеликі компанії не завжди мають можливість виділити більше одного сервера для Exchange.
На щастя, Exchange 2007 може працювати і на одному сервері, якщо попередньо прийняти деякі заходи. Для розгортання на єдиному сервері необхідно встановити три обов'язкові серверні ролі (Hub Transport, Client Access і Mailbox) на одному комп'ютері і відмовитися від ролі Edge Transport. У цьому випадку роль Hub Transport виконує функції як Hub, так і Edge. Звичайно, необхідно встановити Active Directory, Global Catalog і DNS, переважно на фізичному сервері, відмінному від сервера Exchange. Крім того, важливо пам'ятати про деякі недоліки розгортання на одному сервері. По-перше, збільшується ризик через доступність і відкритість всіх ролей на сервері Exchange 2007 з Internet. Ступінь небезпеки можна зменшити за допомогою брандмауера. По-друге, при розміщенні всіх ролей на одному сервері Exchange 2007 сервер перетворюється в єдину точку відмови. Нарешті, оскільки в ролі Hub Transport потрібно реалізувати захист від спаму і вірусів, зростає навантаження на ресурси сервера. Якщо ці проблеми вирішені, то наступний крок - більш ретельно вивчити ролі, які потрібно налаштувати для односерверних варіанти Exchange 2007, а потім виконати процедуру налаштування цих ролей.
Своєрідність ролей в середовищі з одним сервером
Перше завдання при налаштуванні Exchange 2007 на сервері - підготувати ролі Edge Transport і Hub Transport для обслуговування тільки потоку повідомлень всередині компанії. За замовчуванням серверна роль Hub Transport не може ні доставляти повідомлення користувачам поза організації Exchange, ні отримувати повідомлення ззовні. Зазвичай сервер Hub Transport може встановити зв'язок з іншими серверами Hub Transport в тій же організації, а також з серверами Mailbox і сервером Edge Transport. Додаткові відомості про зв'язок між серверними ролями і способах пересилання повідомлень між серверами наведені в урізанні «Рух повідомлень в многосерверной середовищі Exchange 2007».
Для роботи Exchange 2007 в середовищі з одним сервером серверна роль Hub Transport повинна виконувати функції сервера Edge Transport. Три найважливіші серверні ролі - Mailbox, Client Access і Hub Transport - потрібно встановити на одному комп'ютері. У дуже невеликих компаніях цей сервер, можливо, буде і контролером домену (DC). За замовчуванням роль Hub Transport не може працювати без Edge Transport, тому необхідно налаштувати Hub Transport на виконання як власних функцій, так і завдань сервера Edge Transport. Для цього потрібно виконати наступні дії:
налаштувати роль Hub Transport для пересилання повідомлень безпосередньо в Internet;
налаштувати роль Hub Transport для отримання повідомлень з Internet;
встановити і активізувати функції боротьби зі спамом в ролі Hub Transport.
На відміну від спеціальної установки ролі Hub Transport, конфігурація серверних ролей Mailbox і Client Access майже така ж, як в многосерверной середовищі Exchange з сервером Edge Transport. Однак в односерверних середовищі Exchange 2007 роль Mailbox набагато більш вразлива для потенційних атак з Internet, ніж в середовищі з сервером Edge Transport, в якій сервери Mailbox і Hub Transport не підключені безпосередньо до Internet. У односерверних конфігурації сервер Mailbox розміщується разом з сервером Hub Transport (налаштованим для роботи в Internet) і сервером Client Access (на якому розміщені Web-служби Exchange, також доступні в Internet), тому значно збільшується число портів, відкритих для зовнішніх з'єднань. Для зменшення ступеня ризику рекомендується використовувати брандмауер з функцією фільтрації на рівні додатків. Найкраще застосовувати Microsoft ISA Server 2006, що підтримує публікацію захищеного сервера Exchange 2007. Більш докладно про захист Exchange 2007 з використанням ISA Server можна прочитати в статті «Захист служб Exchange Server 2007 Services за допомогою ISA Server 2006», опублікованій в цьому ж номері журналу . Також настійно рекомендується запустити майстер Security Configuration Wizard (SCW) після установки Exchange 2007, щоб підвищити безпеку сервера Exchange. Не забудьте імпортувати шаблон Exchange 2007 в SCW перед запуском майстра. Розібравшись у відмінностях серверних ролей, можна приступати до настройки конфігурації. У даній статті передбачається, що на сервері вже встановлено Exchange 2007.
Налаштування Hub Transport для відправки електронної пошти в Internet
Щоб дозволити серверної ролі Hub Transport відправляти повідомлення в Internet, необхідно налаштувати службу перетворення імен та коннектор SMTP Send. Серверна роль Hub Transport повинна перетворити імена Internet на основі адреси електронної пошти одержувача і вірно визначити SMTP-сервер призначення. Для доставки повідомлення в Internet потрібно створити SMTP-коннектор на сервері Hub Transport. Конектор Send є логічний шлюз для передачі вихідних повідомлень. Він керує вихідними з'єднаннями з внутрішнього передавального сервера на зовнішній приймаючий сервер або цільову систему електронної пошти. За замовчуванням при встановленні серверної ролі Hub Transport явних конекторів Send не створюється.
Щоб створити SMTP-коннектор, слід відкрити консоль управління Exchange (EMC), перейти до Organization Configuration і відкрити Hub Transport. Потім потрібно клацнути на вкладці Send Connectors і клацнути New Send Connector в області Actions.
На першому екрані введіть ім'я SMTP-коннектора (наприклад, send to internet), а в списку Select the intended use for this connector виберіть пункт Internet. Клацніть на кнопці Next, а на сторінці Address Space натисніть Add. В поле Domain слід ввести зірочку (*). Таким чином, буде створено коннектор, який відправляє повідомлення в будь-який домен мережі Internet. Якщо потрібно створити коннектор для певного домену, введіть замість зірочки його ім'я і параметри для цього домену.
Далі потрібно клацнути на кнопці Next і на сторінці з вкладками вибрати параметр для перетворення імен, як показано на екрані 1. За замовчуванням для маршрутизації пошти використовуються MX-записи DNS. Це означає, що сервер Exchange буде використовувати ім'я домену призначення, щоб запросити в локальній службі DNS IP-адреса цільового поштового сервера. Після цього Exchange буде шукати MX-записи в поясі пункту призначення, щоб виявити поштовий сервер. На даному етапі можна включити взаємну перевірку справжності із застосуванням засобів захисту транспортного рівня (т. Е. Встановити режим Enable Domain Security ...), якщо потрібно, щоб поштові сервери перевіряли один одного перед початком сеансу зв'язку. Однак цей режим не завжди застосуємо до поштових серверів Internet, з якими встановлює зв'язок сервер Exchange, оскільки не всі поштові сервери мають у своєму розпорядженні цією функцією.
Другий варіант перетворення імен - направляти пошту через інтелектуальний хост-сервер. Це означає, що сервер Hub Transport просто передає кожне повідомлення в заданий інтелектуальний хост-сервер (наприклад, поштовий сервер Internet-провайдера), який буде обслуговувати весь процес доставки повідомлення. Це підходящий варіант, якщо перетворення імен небажано виконувати локально (наприклад, локальних серверів заборонено звертатися в Internet) і є зовнішній поштовий сервер, який може використовуватися в якості інтелектуального хост-сервера. На цій сторінці можна вибрати режим Use the External DNS Lookup settings on the transport server для використання окремого DNS-сервера (серверів) тільки для відправки повідомлень. Для настройки адрес цих DNS-серверів слід скористатися командою Set-TransportServer. Натисніть Next в EMC, додайте вихідний сервер (оскільки сервер тільки один, цей сервер вибирається за замовчуванням). Знову натисніть Next і клацніть New для створення нового коннектора SMTP Send. Якщо замість EMC для настройки коннектора SMTP Send застосовується EMS, то можна використовувати команду з лістингу.
Після створення коннектора клацніть на ньому правою кнопкою миші і виберіть Properties. Перед його використанням потрібно задати кілька параметрів. Спочатку встановіть повне ім'я (FQDN) для нового коннектора і рівень ведення журналу протоколу (None або Verbose), як показано на екрані 2. Ім'я FQDN буде використовуватися сервером для подання іншою SMTP-серверів в Internet; зазвичай це публічне ім'я FQDN поштового сервера компанії. Потім відкрийте вкладку Network. На сторінці Network можна вибрати спосіб перевірки автентичності сервера на інтелектуальному хост-сервері, якщо він існує. Якщо його немає, то даний етап завершено.
Тепер сервер Hub Transport може відправляти повідомлення як всередині компанії, так і в Internet. Можна спробувати відправити повідомлення одержувачу поза компанією. Воно повинно дійти до адресата; проте отримувати повідомлення поки не можна. Тому наступний етап - налаштувати сервер Hub Transport для отримання електронної пошти з Internet.
Налаштування Hub Transport для отримання електронної пошти з Internet
Щоб налаштувати сервер Hub Transport для отримання повідомлень з зовнішніх джерел, слід в першу чергу налаштувати допустимий домен для організації Exchange. Допустимий домен - будь-який домен SMTP, для якого сервер Exchange приймає і відправляє електронну пошту. До обслуговуються доменів відносяться домени, для яких організація Exchange є довіреною (т. Е. Сервер забезпечує доставку пошти для одержувачів в цьому домені), а також домени, для яких організація Exchange отримує пошту, а потім передає її в зовнішній поштовий сервер. Необхідно налаштувати принаймні один обслуговується сервер, перш ніж можна буде використовувати цей простір імен SMTP в політиці адрес електронної пошти.
Для настройки обслуговується домену необхідно відкрити EMC, перейти до Organization Configuration, відкрити вузол Hub Transport і перейти на вкладку Accepted Domains. Клацніть на кнопці New Accepted Domain в області Actions, щоб запустити майстер. На першій сторінці введіть ім'я домену (це може бути ім'я вашого домену) і ім'я FQDN прийнятого домену. В імені обслуговується імені можна використати універсальні символи, щоб показати, що все піддомени адресного простору SMTP також приймаються організацією Exchange (наприклад, вказавши * .microsoft.com, можна зробити обслуговуються всі піддомени домену microsoft.com).
Потім виберіть Authoritative Domain, щоб вказати, що сервер відповідальний за поштові скриньки в цьому домені, і натисніть New, щоб створити новий допустимий домен. Цю процедуру можна повторити для будь-якого домену, для якого слід приймати повідомлення, але важливо переконатися, що MX-записи для цих доменів вказують на потрібний поштовий сервер.
Потім потрібно вказати коннектор Receive. У сервера Hub Transport є два стандартних прийомних коннектора, але для обох повинен розпізнаватися вашими. Оскільки сервер Hub Transport повинен приймати повідомлення безпосередньо з Internet (а не від сервера Edge Transport), Вам потрібно включити анонімне підключення. Для цього відкрийте вузол Server Configuration і клацніть Hub Transport. У середній області слід натиснути правою кнопкою миші Default ServerName connector і вибрати пункт Properties. Відкрийте вкладку Permission Groups і встановіть прапорець Anonymous users. Решта прапорці залиште в колишньому стані. На завершення натисніть OK.
Зверніть увагу, що є ще один коннектор прийому, Client ServerName. Цей коннектор налаштований для роботи з портом 587 і повинен використовуватися клієнтами POP3 і IMAP4 для відправки повідомлень з перевіркою достовірності TLS. Номер порту легко змінити, відредагувавши властивості коннектора. Не дозволяйте анонімних підключень за допомогою цього коннектора.
Включення функцій для боротьби зі спамом на сервері Hub Transport
Оскільки сервер Edge Transport не використовується, захист від спаму необхідно реалізувати в серверній ролі Hub Transport. За замовчуванням функціональність для боротьби зі спамом на сервері Hub Transport не встановлюється; для її установки використовуються команди EMS. Відкрийте EMS, перейдіть до папки, в якій встановлений Exchange Server (шлях за замовчуванням C: Program FilesMicrosoftExchange Server), а потім перейдіть у вкладену папку Scripts і введіть команду
Install-AntispamAgents.ps1
Ця команда додає функціональність для боротьби зі спамом в сервер Hub Transport. Закрийте і знову відкрийте EMC, відкрийте вузол Organization Configuration і клацніть Hub Transport, щоб побачити нову вкладку Anti-spam. На цій вкладці відображаються різні функції для боротьби зі спамом, як показано на екрані 3.
В першу чергу слід налаштувати фільтр контенту. Необхідно відкрити сторінку Content Filtering Properties і клацнути вкладку Action. На ній задаються дії для повідомлень після того, як їм присвоєно маркер небажаної пошти (SCL). Пропонується на вибір три варіанти: видалити, відкинути і відправити в карантин. Рекомендується спочатку видаляти повідомлення зі значенням SCL, рівним 9, відкидати повідомлення з SCL, рівним 8, і відправляти в карантин повідомлення зі значенням 7. У цьому випадку повідомлення зі значенням SCL менше 7 будуть доставлені в поштову скриньку користувача, як показано на екрані 4. згодом інтелектуальний фільтр спаму Exchange навчається, і згодом дії можна буде змінити відповідно до потреб компанії.
На цій же сторінці налаштовується поштову скриньку спаму, в який направляються всі повідомлення для карантину. Має сенс підготувати поштову скриньку виключно для цієї мети. Адміністратор повинен періодично перевіряти дану поштову скриньку в пошуках повідомлень, помилково визначених як спам, які слід доставити користувачам.
За допомогою інших параметрів на вкладці Anti-spam можна скласти списки дозволених і заборонених IP-адрес, щоб дозволити або блокувати зв'язок певних IP-адрес з поштовим сервером. Можна також налаштувати Exchange для прийому дозволених і заборонених списків від зовнішніх постачальників послуг. Крім того, можна призначити фільтри одержувачів і відправників, а також ідентифікатор Sender ID і параметри репутації відправника. Фільтри одержувачів і відправників дозволяють заборонити певним особам отримувати або відправляти повідомлення. Ідентифікатор Sender ID дозволяє перевірити відповідність істинного домену походження поштового повідомлення заявленому. Для цього адресу сервера-відправника зіставляється зі списком зареєстрованих серверів, в які власнику домену дозволено посилати повідомлення. Репутація відправника - засіб боротьби зі спамом, призначене для блокування повідомлень відповідно до багатьох характеристиками відправника. Репутація сервера ґрунтується на зібраних про відправника даних і визначає, як Exchange повинен обробити вхідне повідомлення.
Готовність до роботи з електронною поштою
Переконавшись, що AD працює коректно і всі служби Exchange функціонують, можна використовувати сервер Exchange 2007 для відправки та отримання електронної пошти. Встановити Exchange 2007 на одному сервері можна, якщо заздалегідь вжити спеціальних заходів і враховувати відмінності конфігурації зі звичайною многосерверной середовищем Exchange 2007. односерверних рішення Exchange 2007 може бути економічним і повністю функціональним, але головна проблема такого підходу - безпека, оскільки деякі ресурси, зокрема роль Mailbox, доступні з Internet. Крім того, встановлюючи Exchange на одному сервері, рекомендується використовувати комп'ютер з декількома жорсткими дисками і забезпечити безперервну локальну реплікацію для високої відмовостійкості.
Дамір Діздаревіч ( [email protected] ) - менеджер навчального центру Logosoft в Сараєво (Боснія). Має сертифікати MCSE, MCTS, MCITP і MCT. Спеціалізується на безпеки Windows Server і опублікував понад 350 статей в журналах по ІТ
Рух повідомлень в многосерверной середовищі Exchange 2007
У типовому випадку застосування Exchange Server 2007 існує щонайменше два фізичних сервера, один з яких виділено для ролі Edge Transport. При цьому пересилання повідомлення між серверними ролями відбувається наступним чином. Коли сервер Mailbox сповіщає сервер Hub Transport про наявність повідомлення для доставки, сервер Hub Transport обробляє повідомлення і приймає рішення про передачу повідомлення: в інший (або той же) сервер Mailbox в вузлі; на сервер Hub Transport в іншому вузлі; на сервер Edge Transport. Всі повідомлення, призначені для користувачів Internet (або користувачам поза організації Exchange), пересилаються на сервер Edge Transport. Цей сервер використовує публічні сервери DNS, щоб виявити поштовий сервер призначення, а потім передає повідомлення через протокол SMTP або просто пересилає його на інтелектуальний хост-сервер. На сервері Edge Transport можна застосувати до повідомлення транспортні правила або перезаписати адресу.
Вхідне повідомлення, яке надходить на сервер Edge Transport з Internet (цей сервер доступний через MX-записи в публічній DNS-зоні домена), обробляється агентами для боротьби зі спамом і вірусами, до нього застосовуються транспортні правила (якщо вони задані), і, нарешті , сервер Edge Transport передає повідомлення серверу Hub Transport. Сервер Hub Transport виконує пошук в глобальному каталозі, щоб виявити сервер Mailbox одержувача, а потім передає повідомлення в поштову скриньку користувача.
Лістинг. Створення коннектора Send SMTP