Поиск на сайте: Расширенный поиск


Новые программы oszone.net Читать ленту новостей RSS
Iceсream Screen Recorder – это программа для захвата видео с аудио и микрофоном и создания скриншотов с помощью ряда доп...
SlimDrivers — бесплатная программа для обнаружения присутствующих на компьютере драйверов, определение их версий, поиска...
Многофункциональный, кроссплатформенный текстовый редактор с функциями подсветки синтаксиса, авто-подстановкой выражений...
Программа позволяет быстро обнаруживать на раннем этапе возможные отказы в работе сети или веб-сайта. PRTG Network Monit...
Программа для создания презентаций и интерактивных обучающих видеоуроков. Camtasia Studio может осуществлять захват изоб...
OSzone.net Microsoft Exchange Server Exchange Server 2007 Использование сервера Exchange 2007 Edge Server в качестве ретранслятора почты в организациях Exchange 2003 (часть 1) RSS

Использование сервера Exchange 2007 Edge Server в качестве ретранслятора почты в организациях Exchange 2003 (часть 1)

Текущий рейтинг: 5 (проголосовало 1)
 Посетителей: 4095 | Просмотров: 6682 (сегодня 0)  Шрифт: - +

Было время, пару лет назад после выпуска Exchange Server 2003, когда компания Microsoft думала, при предоставлении продукта под названием Exchange Edge Services, что создала интеллектуального агента передачи сообщений для внешней границы сети предприятий, который будет обеспечивать безопасность и защиту от спама и вируса. Суть в том, что Edge Services так и не был выпущен в качестве самостоятельного продукта. Вместо этого компания Microsoft выпустила роль сервера Edge Transport Server в качестве части программного продукта Exchange Server 2007.

Роль сервера Exchange Server 2007 Edge является особенной. Она не может быть размещена совместно с другими ролями Exchange Server 2007, она не требует Active Directory (она использует собственный каталог: Active Directory Application Mode - ADAM) и она очень безопасна. На самом деле, это настолько «независимая» роль, что ее можно использовать в качестве промежуточного узла (smart host) и ретранслятора интернет почты в организации Exchange 2003 без необходимости каких либо шагов перехода на Exchange 2007.

Хотя размещение сервера Exchange 2007 Edge в качестве ретранслятора почтовой инфраструктуры не требует перехода организации Exchange на Exchange 2007, оно все же требует определенных задач настройки конфигурации. В этой статье мы рассмотрим все эти шаги и требуемые процедуры.

Топология решения

В целях написания этой статьи я установил следующую среду в своей тестовой лаборатории:

*
Увеличить

Рисунок 1: Топология решения

Все серверы являются виртуальными под управлением Windows Server 2008 Hyper-V.

Таблица 1: Список серверов
ИмяРольПО
VM1Контроллер домена Exchange Server 2003Windows Server 2003 R2 SP2 Exchange Server 2003 SP2
E2K7EDGEEdge ServerWindows Server 2003 R2 SP2 x64 Exchange Server 2007 SP1 + UR7 Forefront Server Security for Exchange 10 SP1

Задачи настройки

Установка сервера Exchange 2007 Edge Transport (также называемого сервером Edge или просто Edge) для поддержки существующей организации Exchange 2003 начинается с установки роли сервера Exchange 2007 Edge и, необязательно (но рекомендуется), Forefront Security для Exchange Server. После этого оставшуюся часть процесса можно разбить на следующие задачи:

  1. Настройки обслуживаемых доменов на сервере Edge
  2. Создание коннектора отправки с сервера Edge в интернет
  3. Создание коннектора отправки с сервера Edge в организацию Exchange 2003 3.1. Настройка виртуального сервера SMTP на Exchange Server 2003
  4. Создание коннектора получения на сервере Edge, который принимает подключения с организации Exchange 2003 4.1. Создание SMTP коннектора отправки с организации Exchange 2003 на сервер Edge
  5. Перенаправление записей DNS mail exchange (MX) record(s) для внешних доменов SMTP

*

Рисунок 2: Обзор задач конфигурации (образ предоставлен Microsoft)

1. Настройка обслуживаемых доменов

Первым шагом будет настройка обслуживаемых доменов (accepted domains), для которых сервер Edge будет принимать электронную почту.

  1. На сервере Exchange Edge Server откройте консоль управления Exchange Management Console (EMC), выберите Edge Transport, затем выберите закладку Обслуживаемые домены (Accepted Domains), после этого перейдите в панель Действия (Actions) и выберите опцию Новый обслуживаемый домен (New Accepted Domain). Выберите соответствующее Имя (Name) и введите его в поле Обслуживаемый домен (Accepted Domain) (рисунок 3). Обслуживаемый домен можно настроить в качестве уполномоченного домена (Authoritative), внутреннего ретранслятора (Internal Relay) или внешнего ретранслятора (External Relay). В данном случае мы настроим его в качестве Уполномоченного домена (Authoritative Domain). Нажимаем Новый (New), чтобы создать запись.

Для выполнения этой же задачи можно использовать команду PowerShell: new-AcceptedDomain -Name 'virtual.com' -DomainName 'virtual.com' -DomainType 'Authoritative'

*
Увеличить

Рисунок 3: Новый обслуживаемый домен

  1. Повторите эту процедуру для каждого SMTP домена, который будет проходить через Edge сервер.

2. Создание интернет коннектора отправки

Коннектор отправки обязателен для пересылки сообщений электронной почты в интернет. Можно настроить несколько коннекторов отправки (для различных SMTP доменов) или один универсальный коннектор отправки, адресное пространство которого будет определено в виде звездочки (*). Сообщения электронной почты могут направляться непосредственно на другие SMTP серверы, используя разрешение DNS имен, или могут направляться через промежуточный узел (такой как сервер, расположенный на ISP).

  1. Возвращаемся к консоли EMC, нажимаем закладку Коннекторы отправки. В панели Действия выбираем опцию Новый коннектор отправки. В поле Имя вводим имя, чтобы определить коннектор. В поле Выбор цели использования этого коннектора (Select the intended use for this connector) выбираем опцию Интернет (рисунок 4). Нажимаем Далее.

*
Увеличить

Рисунок 4: Новый SMTP коннектор отправки

  1. На странице Адресное пространство (Address space) (рисунок 5), нажимаем Добавить (Add). В диалоговом окне Добавление адресного пространства (Add Address Space) вводим "*" в качестве Адреса, 10 – в качестве Цены (Cost) (лучше не использовать стандартное значение 1) и затем нажимаем OK. Жмем Далее.

*
Увеличить

Рисунок 5: Адресное пространство

  1. На странице Сетевые настройки (Network settings) (рисунок 6), выбираем опцию Использовать записи DNS "MX" для автоматической пересылки сообщений (Use domain name system (DNS) "MX" records to route mail automatically). Если этот параметр правильный, нажимаем Далее (если вы пересылаете почту через промежуточный узел, я расскажу о том, как это делать, позже, поскольку коннектор отправки, который будет создан для пересылки сообщений в организацию Exchange 2003, будет использовать промежуточный узел).

*
Увеличить

Рисунок 6: Сетевые параметры

  1. На странице Новый коннектор (New Connector) (рисунок 7) просмотрите обзор конфигурации и нажмите Новый.

*
Увеличить

Рисунок 7: Новый коннектор

  1. На странице завершения нажмите Готово.

3. Создание внешнего коннектора отправления для Exchange 2003

Чтобы обрабатывать полученные сообщения, сервер Edge должен пересылать их внутри сети. Он делает это с помощью коннектора отправки, настроенного на пересылку сообщений, предназначенных для внутренних SMTP доменов через один или несколько серверов-плацдармов Exchange 2003, которые настроены в качестве промежуточных узлов.

  1. На сервере Edge открываем консоль EMC. Выбираем Edge Transport, нажимаем закладку Коннекторы отправки, а затем в панели Действия выбираем опцию Новый коннектор отправки. В мастере создания нового коннектора New SMTP Send Connector (рисунок 8) вводим Имя для этого коннектора. В поле Выбор цели использования этого коннектора выбираем опцию Внутренний (Internal) и нажимаем Далее.

*
Увеличить

Рисунок 8: Новый SMTP коннектор отправки

  1. На странице Адресное пространство нажимаем Добавить. Здесь можно добавлять несколько SMTP доменов в виде отдельных записей, или в диалоговом окне Добавление адресного пространства можно ввести -- местозаполнитель (рисунок 9). Этот -- прототип представляет собой все уполномоченные домены и домены внутренней ретрансляции, настроенные в качестве Обслуживаемых доменов. Нажимаем OK, чтобы закрыть это диалоговое окно, а затем жмем Далее.

*

Рисунок 9: Адресное пространство SMTP

  1. На странице Сетевые настройки (рисунок 10), выбираем опцию Пересылать почту через следующие промежуточные узлы (Route mail through the following smart hosts), а затем жмем Добавить. В диалоговом окне Добавление промежуточных узлов (Add smart host) вводим IP адрес или FQDN сервера-плацдарма Exchange 2003, который будет принимать входящую почту. Нажимаем OK. Здесь можно настраивать несколько промежуточных узлов, что значит, что сервер Edge будет компенсировать нагрузку подключений между серверами. Жмем Далее.

*
Увеличить

Рисунок 10: Добавление промежуточного узла

Теперь нужно определить, какой тип безопасности применить:

  • [Error! Reference source not found – Ошибка! Источник ссылки не найден.] Базовая аутентификация через TLS (Basic Authentication over TLS) – требует создания учетной записи домена, члена Exchange Domain Servers. Оба сервера должны иметь сертификаты. Виртуальный сервер Exchange 2003 SMTP должен быть настроен на прием базовой аутентификации через TLS.
  • [Error! Reference source not found – Ошибка! Источник ссылки не найден.] Анонимный доступ (Anonymous Access) – требует изменения списка управления на уровне пользователей (discretionary access control list - DACL) на коннекторе отправки для предоставления учетной записи NT Authority\ANONYMOUS LOGON разрешения ms-Exch-SMTP-Send-Exch50. На сервере-плацдарме Exchange 2003 нужно настроить ограничения ретрансляции (Relay Restrictions) виртуального сервера SMTP и нужно изменить реестр, чтобы позволить ему принимать анонимную отправку Exch50 данных (для сохранения некоторой информации, такой как вероятность нежелательной почты (spam confidence level - SCL) для сообщений, когда сообщения пересылаются с сервера Edge Transport).

Рекомендуемым параметром является базовая аутентификация по TLS для аутентификации более ранней версии сервера Exchange.

Оставьте мастера New SMTP Send Connector открытым и перейдите к нужному абзацу: Error! Reference source not found. или Error! Reference source not found..

Базовая аутентификация по TLS

  1. Создайте учетную запись пользователя (используемую сервером Edge для аутентификации на Exchange 2003) в Active Directory, которая обслуживает организацию Exchange (рисунок 11). Добавьте учетную запись в группу безопасности Exchange Domain Servers (рисунок 12).

*

Рисунок 11: Новый пользователь AD

*

Рисунок 12: Свойства пользователя

  1. На сервере (или серверах) Exchange 2003, который будет принимать сообщения с сервера Edge Transport, откройте диспетчер Exchange System Manager. Разверните Серверы (Servers), разверните нужный сервер, затем разверните Протоколы (Protocols) и, наконец, разверните SMTP. Нажмите правой клавишей Стандартный SMTP виртуальный сервер (Default SMTP Virtual Server) и выберите опцию Свойства (Properties). Перейдите в закладку Доступ (Access) и выберите Аутентификация (Authentication). В диалоговом окне Аутентификация (рисунок 13) выберите опции Базовая аутентификация (пароль передается чистым текстом) и Требовать TLS шифрования. Нажмите OK.

*

Рисунок 13: Аутентификация виртуального сервера SMTP

  1. Поскольку будет использоваться TLS, на сервере-плацдарме Exchange 2003 должен быть настроен сертификат. В закладке Доступ нажмите Сертификат. На странице мастера создания сертификата Web Server Certificate Wizard нажмите Далее. Следуйте инструкциям на оставшихся страницах мастера, чтобы создать новый сертификат или назначить имеющийся сертификат. Закройте Свойства стандартного виртуального сервера SMTP. Что касается сервера Edge, то он принимает самозаверяющийся сертификат. Если вы заменили самозаверяющийся сертификат, убедитесь, что включенный сертификат подписан обоими серверами как доверенный.
  2. Возвращаемся на сервер Edge Server, на странице Настройка параметров проверки подлинности промежуточного узла (рисунок 14), выберите опции Базовая аутентификация и Базовая аутентификация по TLS. В полях Имя пользователя и Пароль вводим учетные данные ранее созданной учетной записи пользователя (используем формат домен\пользователь или формат имени участника-пользователя (UPN)). Нажимаем Далее.

*
Увеличить

Рисунок 14: Параметры аутентификации промежуточного узла

  1. На странице Новый коннектор (рисунок 15), просматриваем обзор конфигурации и нажимаем Новый, чтобы создать коннектор.

*
Увеличить

Рисунок 15: Обзор параметров нового коннектора

  1. На странице завершения работы мастера нажимаем Готово.

Внутренний коннектор отправки с анонимным доступом

На сервере-плацдарме Exchange 2003 настраиваем ограничения ретрансляции, чтобы разрешить пересылку через этот виртуальный сервер только серверу Edge:

  1. Открываем диспетчер Exchange System Manager. Разворачиваем Серверы, нужный сервер, Протоколы и, наконец, SMTP. Нажимаем правой клавишей на Стандартном виртуальном сервере SMTP и выбираем Свойства. В закладке Доступ в свойствах стандартного виртуального сервера SMTP нажимаем Ретрансляция (Relay). В диалоговом окне Ограничения ретрансляции (Relay Restrictions) (рисунок 16) выбираем Только для нижеприведенного списка (Only the list below), нажимаем Добавить, а затем в диалоговом окне Компьютер вводим IP адрес сервера Edge. Дважды жмем OK, чтобы закрыть окно свойств стандартного виртуального сервера SMTP.

*

Рисунок 16: Ограничения ретрансляции виртуального сервера SMTP

  1. Чтобы изменить параметры реестра на сервере-плацдарме Exchange 2003, открываем Редактор реестра (Registry Editor). Находим HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SMTPSVC\XEXCH50. Правой клавишей нажимаем XEXCH50, нажимаем Новый и выбираем DWORD Value. Вводим SuppressExternal для значения имени и оставляем его со стандартным значением 0 (рисунок 17). Свойства XEXCH50 теперь могут передаваться анонимно.

*
Увеличить

Рисунок 17: Раздел реестра SupressExternal

  1. Далее нужно разрешить передачу свойств XEXCH50, когда электронная почта отправляется анонимно. Нажимаем правой клавишей на XEXCH50 и создаем новый раздел. Вводим номер объекта виртуального сервера SMTP в качестве значения раздела (стандартный объект виртуального сервера будет иметь значение 1). Жмем правой клавишей на только что созданном разделе, переходим к Новый и выбираем DWORD Value. Вводим Exch50AuthCheckEnabled в качестве имени и оставляем стандартное значение раздела 0 (рисунок 18).

*
Увеличить

Рисунок 18: Раздел реестра Exch50AuthCheckEnabled

  1. Возвращаемся к серверу Edge, на странице Настройка параметров аутентификации промежуточного узла (рисунок 19) выбираем Внешняя защита (например, с IPsec) (Externally Secured (for example with IPsec). Жмем Далее.

*
Увеличить

Рисунок 19: Параметры проверки подлинности на промежуточном узле

  1. На странице Новый коннектор (рисунок 20), просмотрите обзор конфигурации и нажмите Новый, чтобы создать коннектор.

*
Увеличить

Рисунок 20: Обзор конфигурации нового коннектора

  1. На странице завершения нажмите Готово.
  2. Выполните следующую команду в оболочке Exchange Management Shell чтобы предоставить разрешения, которые необходимы для включения передачи XExch50 данных на сервер Exchange 2003: Add-AdPermission -Identity <"Send Connector Name"> -User "NT Authority\Anonymous Logon" -ExtendedRights ms-Exch-SMTP-Send-Exch50

Заключение

На этом мы закончим первую часть цикла статей. В следующей заключительной части мы рассмотрим оставшиеся два шага для успешной установки самого безопасного сервера Exchange, который является ретранслятором, граничащим с интернетом, в организации Exchange 2003.

Дополнительные ссылки

Автор: Руи Силва  •  Иcточник: www.msexchange.ru  •  Опубликована: 18.09.2009
Нашли ошибку в тексте? Сообщите о ней автору: выделите мышкой и нажмите CTRL + ENTER
Теги:   Exchange 2007, Edge Server.


Оценить статью:
Вверх
Комментарии посетителей RSS

Чтобы оставить комментарий, зарегистрируйтесь или войдите с учетной записью социальной сети.