Материалы распечатаны с сайта OSzone.net. Дальнейшее применение материалов в других печатных изданиях, включая электронные статьи, должно сопровождаться указанием имени сайта OSzone.net и имени автора, если присутствует.

Более мощные средства ведения журнала Exchange 2007 OSzone.net » Microsoft » Exchange Server » Exchange Server 2007 » Более мощные средства ведения журнала Exchange 2007

Автор: Дэвид Строум (David Strome) Иcточник: TechNet Maagazine, TechNet Russia Опубликована: 29.12.2006

Приходилось ли вам когда-нибудь вести журнал сообщений, отправленных одному конкретному пользователю и полученных от него, и в результате получать нужные сообщения вместе с сообщениями из остальных 300 почтовых ящиков,

расположенных в том же хранилище? Сервер Microsoft Exchange Server 2007 решает эту проблему, обеспечивая необходимую точность управления.

Возможность ведения журнала для каждого получателя, предоставляемая корпоративными клиентскими лицензиями (Client Access Licenses, CAL), позволяет указать пользователей, для которых ведется журнал. При помощи правил ведения журнала можно указать только тех получателей и отправителей, которых нужно регистрировать в журнале. Вы можете сосредоточить внимание на отдельном почтовом ящике или же расширить контролируемую область, например, включив всех сотрудников отдела продаж. При этом почтовые ящики сотрудников необязательно должны находиться на одном сервере, в пределах одного узла Active Directory® или даже в одной организации Exchange. При помощи репликации Active Directory изменения автоматически применяются на всех компьютерах, выполняющих роль транспортного сервера-концентратора в организации.

Как ведется журнал

В Exchange Server 2003 ведение журнала было реализовано для отдельных хранилищ почтовых ящиков на каждом физическом сервере. Если требовалось вести журнал для всех почтовых ящиков в организации, приходилось настраивать ведение журнала для каждого хранилища почтовых ящиков. А чтобы вести журнал сообщений для одного получателя, приходилось или вести журнал для всех сотрудников, использующих это хранилище почтовых ящиков, или создавать отдельное хранилище почтовых ящиков для этого пользователя.

При ведении журнала на сервере Exchange Server 2007 используется новая ролевая топология Exchange. Как показано на рис. 1, все сообщения обрабатываются транспортными серверами-концентраторами при передаче или приеме от серверов почтовых ящиков и серверов единой системы обмена сообщениями, других серверов Exchange, приложений сторонних разработчиков и из Интернета. На всех транспортных серверах-концентраторах имеется транспортный агент, называемый агентом ведения журнала, который применяет правила журнала к сообщениям. Поскольку агент ведения журнала работает на транспортных серверах-концентраторах, он получает и обрабатывает все сообщения до того, как они будут доставлены получателю. Агент ведения журнала обрабатывает сообщения после классификации, что обеспечивает доступ ко всем атрибутам получателя и отправителя сообщения и позволяет агенту определить, было ли сообщение отправлено непосредственно получателю или же оно было получено путем расширения группы рассылки. Агент также может определить, в какой из строк («Кому», «Копия» или «Скрытая копия») сообщения был указан адрес получателя сообщения, поступившего из организации сервера Exchange Server 2007.

Рис. 1 Передача почтовых сообщений транспортным сервером-концентратором

Агент ведения журнала применяет настроенные администратором правила журнала к сообщениям по мере прохождения сообщений через транспортный сервер-концентратор. Эти правила определяют, должен ли агент записывать сведения о сообщении и пересылать их вместе с исходным сообщением в почтовый ящик журнала. Эти данные отправляются в сообщении, называемом отчетом журнала.

В предыдущих версиях Exchange приходилось применять настройки на нескольких серверах. Теперь при создании правила журнала для сервера Exchange Server 2007 эти изменения применяются ко всем транспортным серверам-концентраторам в организации при помощи службы Active Directory. Все транспортные серверы-концентраторы, а значит, и все агенты ведения журнала, считывают одну и ту же конфигурацию из Active Directory. Следовательно, этот сплошной охват обеспечивает использование одинаковых настроек ведения журнала всеми агентами.

При создании или изменении правил журнала следует учитывать время репликации Active Directory, поскольку изменения конфигурации должны быть реплицированы во всей организации и прочитаны транспортными серверами-концентраторами. Это может занять несколько часов. Обнаружить обновление конфигурации ведения журнала помогает то, что сервер Exchange записывает событие в журнал событий безопасности на каждом сервере.

Сервер Exchange Server 2007 никогда не допускает потери отчета, если почтовый ящик журнала недоступен, заполнен, неправильно настроен или отключен. (Это в особенности полезно, если необходимо обеспечить соответствие различным законодательным и нормативным требованиям, так как потерянные сообщения могут привести к нарушению соответствия.) Если отчет журнала не может быть доставлен в почтовый ящик журнала, он остается в очереди транспортного сервера-концентратора, пока почтовый ящик журнала не станет доступен. Поскольку это может привести к быстрому росту очередей, для правильной работы журнала необходимо следить за доступностью почтового ящика журнала. Если почтовый ящик журнала будет недоступен в течение длительного времени, можно настроить дополнительный почтовый ящик для получения отчетов, находящихся в очереди.

Что включать в журнал

Перед тем как создавать правила журнала, необходимо четко представлять себе, каких пользователей следует включать в журнал и какие данные должны регистрироваться в журнале. Указывая пользователя в правиле журнала, можно вести журнал для определенных пользователей. Эти пользователи могут быть, например, объектом нормативных требований или они могут участвовать в процессуальной деятельности, ведение которой предусматривает сбор почтовых сообщений и другой корреспонденции в качестве доказательств.

Помимо указания пользователей для включения в журнал, можно также определить область охвата сообщений, регистрируемых в журнале, выбрав регистрацию внутренних, внешних или всех сообщений. Регистрация внутренних сообщений касается только сообщений, передаваемых внутри организации, при регистрации внешних сообщений обрабатываются сообщения, отправитель или получатель которых находятся вне организации, регистрация всех сообщений охватывает как внутренние, так и внешние сообщения. (Обратите внимание, что при общей регистрации в журнале фиксируются все сообщения, проходящие через транспортный сервер-концентратор, даже те, которые могли быть уже обработаны правилами для внутренних и внешних сообщений.)

Сервер Exchange Server 2007 поддерживает единую систему обмена сообщениями, поэтому можно настроить Exchange так, чтобы все почтовые сообщения, сообщения голосовой почты и факсимильные сообщения пользователя поступали в его папку «Входящие». Это также означает, что можно вести журнал для всех этих данных или же исключить определенные данные.

При использовании сервера Exchange Server 2007 со стандартными клиентскими лицензиями по-прежнему можно вести журналы отдельно для каждого хранилища почтовых ящиков. Для использования новых возможностей ведения журнала для отдельных пользователей необходимо выполнить обновление до корпоративных клиентских лицензий сервера Exchange Server 2007.

Где разместить почтовый ящик журнала

После определения того, что следует включить в журнал, необходимо выбрать место назначения для отправки отчетов журнала. При наличии нескольких узлов для принятия решения о месте размещения почтовых ящиков журналов следует учесть топологию существующей или планируемой сети. В зависимости от размеров организации и числа почтовых ящиков ведение журнала может привести к появлению большого количества повторных отчетов.

Впрочем, не обязательно ограничиваться почтовыми ящиками на сервере Exchange. Отчеты журналов могут быть отправлены по любому допустимому SMTP-адресу. Этот адрес может указывать на службы Exchange Hosted Services, средства архивации сторонних поставщиков или любое сочетание этих возможностей при использовании группы рассылки. Однако следует учитывать, что в отношении адреса получателя отчетов журнала действуют определенные условия, связанные с безопасностью.

Независимо от того, где будет размещен почтовый ящик журнала, необходимо создать для него объект получателя в Active Directory. Это может быть почтовый ящик сервера Exchange Server 2007, контакт, поддерживающий электронную почту и перенаправляющий почтовые сообщения службам Exchange Hosted Services или средству архивации стороннего поставщика, а также список рассылки, содержащий как почтовые ящики, так и контакты.

Зачем нужен отчет журнала?

Когда агент ведения журнала регистрирует сообщение в журнале, он пытается поместить в отчет максимально возможное количество сведений о сообщении. После этого отчет отправляется в почтовый ящик журнала. Эта информация очень важна для определения цели сообщения, его получателей и отправителей. Например, способ указания получателей (прямая адресация в поле «Кому», включение адреса в поле «Копия» или отправка сообщения по списку рассылки) может помочь определить степень участия получателя в обсуждении. Исходное сообщение добавляется в отчет как вложение. На снимках экрана на рис. 2 показан отчет журнала о сообщении, отправленном по адресу david@contoso.com и пересланном по адресу christine@contoso.com, и другой отчет журнала, указывающий, что для сообщения, отправленного по адресу Sales_Group@contoso.com, было выполнено расширение группы рассылки, и получатель lukas@contoso.com, входящий в группу рассылки отдела продаж, получил это сообщение. Оба отчета содержат исходное сообщение в виде вложения, а также сведения об исходном отправителе (brian@contoso.com) и теме сообщения («Прогноз продаж»).

Рис. 2 Отчеты журнала: переадресованное сообщение и расширенная группа рассылки

Сервер Exchange выполняет классификацию только той информации, достоверность которой известна. Сведения, которые не могут быть определены автоматически, помещаются в соответствующие поля отчета журнала. Рисунок 2 поясняет значения полей, включенных в тело отчета журнала.

Все о безопасности

По умолчанию весь обмен информацией между серверами Exchange Server 2007 в одной организации Exchange зашифрован. Отчеты журнала также шифруются. Сервер Exchange выполняет ряд операций для снижения опасности вскрытия отчетов журнала.

• Между транспортными серверами-концентраторами и серверами почтовых ящиков в организации Exchange 2007 используются защищенные каналы связи.
• Отчеты журнала отправляются в виде «Microsoft Exchange» от имени отправителя исходного сообщения.
• В сеансах связи между транспортным сервером-концентратором и сервером почтовых ящиков используется проверка подлинности.
• При отправке отчетов журнала от транспортного сервера-концентратора серверам почтовых ящиков в одной организации Exchange 2007 принимаются только подключения с проверкой подлинности.

При создании почтового ящика журналов необходимо защитить его, так как этот почтовый ящик содержит сообщения, отправленные сотрудниками организации и адресованные им. Некоторые сообщения могут быть частью процессуальной деятельности или на них может распространяться действие нормативных требований, а различные законодательные акты требуют сохранения сообщений без изменения до их передачи следственным органам. Для повышения безопасности почтового ящика журнала следует настроить для этого ящика прием только сообщений, отправителем которых является сервер Microsoft Exchange, также следует установить требование, чтобы в почтовый ящик журнала могли попасть только сообщения от отправителей, прошедших проверку подлинности. На рис. 3 показана настройка ограничений доставки сообщений для почтового ящика журнала. Для настройки этих ограничений доставки сообщений можно также использовать следующую команду среды управления Exchange:

Set-Mailbox <Journal Mailbox Name>
-AcceptMessagesOnlyFrom "Microsoft Exchange" -RequireSenderAuthenticationEnabled 

Рис. 3 Ограничения доставки сообщений

При отправке отчетов журнала в почтовый ящик журналов, расположенный за пределами организации Exchange Server 2007 необходимо вручную обеспечить шифрование и защиту подключения между серверами Exchange Server 2007 и сервером, принимающим сообщения. Это можно сделать, потребовав использования протокола TLS между двумя системами с обязательной проверкой подлинности принимающей стороной и разрешив прием только сообщений, отправленных с SMTP-адреса получателя Microsoft Exchange (этот SMTP-адрес будет примерно таким: Exchange_UMUnique GUID@contoso.com). Необходимо также настроить для контакта Active Directory, используемого для пересылки сообщений, прием сообщений только от получателя Microsoft Exchange.

Реализация правил журнала

Но хватит разговоров. Давайте создадим несколько правил. Правила журнала агента ведения журнала могут быть настроены либо в среде управления Exchange, либо в консоли управления Exchange. Оба эти средства могут быть использованы для настройки параметров получателя, области действия и почтового ящика журнала. По умолчанию правила журнала включаются при создании. Значение, указанное в качестве адреса электронной почты журнала, должно соответствовать существующему объекту получателя в организации Exchange Server 2007. Этот объект получателя может представлять собой почтовый ящик, группу рассылки, динамическую группу рассылки или контакт, отправляющий сообщение по SMTP-адресу.

При использовании консоли управления Exchange для создания новых правил журнала можно воспользоваться мастером создания правил журнала. В разделе «Конфигурация организации» выберите роль транспортного сервера-концентратора. Затем на панели действий выберите ссылку «Создать правило журнала». Здесь необходимо указать имя правила, адрес электронной почты журнала и область действия правила. Если правило журнала должно применяться для обработки сообщений для всех получателей организации, указывать получателя в поле «Получатель» не требуется. Также можно выбрать отключение правила журнала при создании. На рис. 4 показан пример конфигурации, при которой в журнале регистрируются все сообщения, отправленные по адресу brian@contoso.com. Сообщения, регистрируемые в журнале, отправляются в почтовый ящик журналов «Compliance mailbox».

Рис. 4 Мастер создания правил журнала

В среде управления Exchange для администрирования агента ведения журнала можно использовать шесть командлетов.

• New-JournalRule
• Set-JournalRule
• Get-JournalRule
• Remove-JournalRule
• Enable-JournalRule
• Disable-JournalRule

Командлет New-JournalRule позволяет создать правило журнала. Основные требования при создании правила журнала этим способом такие же, как и при использовании мастера. Необходимо указать параметры Name, Scope и JournalEmailAddress. Опять же, не нужно указывать значение параметра Recipient, если правило журнала должно использоваться для регистрации в журнале сообщений всем получателям организации. Если при создании правило должно быть отключено, необходимо указать значение $False для параметра Enabled. Для создания правила с той же конфигурацией, которая показана на рис. 4 используйте следующую команду.

New-JournalRule 
-Name "Brian Smith Journal Rule" 
-Recipient brian@contoso.com 
-JournalEmailAddress "Compliance Mailbox" 
-Scope Global 

Командлет Get-JournalRule используется для просмотра списка всех созданных правил журнала. При запуске этого командлета без параметров отображается общий список всех правил журнала, настроенных в организации, и параметров их конфигурации. Для просмотра полной информации о правиле журнала можно передать вывод командлета Get-JournalRule командлету Format-List. При этом вывод одного командлета передается для дополнительной обработки следующему командлету. Например, командлет Format-List отображает все полученные данные. Для просмотра полной информации о ранее созданном правиле журнала можно воспользоваться следующей командой.

Get-JournalRule -Identity "Brian Smith Journal Rule" | Format-List

Чтобы включить или отключить правило журнала, следует использовать командлеты Enable-JournalRule и Disable-JournalRule. При использовании этих командлетов необходимо указывать имя правила журнала в параметре Identity. Например, для отключения только что созданного правила журнала можно использовать следующую команду.

Disable-JournalRule -Identity "Brian Smith Journal Rule"

Командлет Set-JournalRule позволяет изменить существующее правило журнала. Чтобы указать агенту ведения журнала правило, которое требуется изменить, используется параметр Identity с именем правила журнала. Затем необходимо задать в любой комбинации параметры Recipient, JournalEmailAddress и Scope и новые значения параметров. Например, чтобы изменить для созданного правила значение параметра JournalEmailAddress, используйте следующую команду.

Set-JournalRule -Identity "Brian Smith Journal Rule" -JournalEmailAddress "Seattle Users Compliance Mailbox"

И наконец, командлет Remove-JournalRule позволяет удалить существующее правило журнала. Для указания имени правила журнала используется параметр Identity. Чтобы удалить наше примерное правило журнала, выполните следующую команду.

Remove-JournalRule "Brian Smith Journal Rule"

При этом среда управления Exchange выдаст запрос подтверждения удаления правила журнала. И последний совет: почти во всех командлетах можно не использовать метку параметра Identity, а просто указать значение этого параметра.

Главная | Видео | Новости | Microsoft | Железо | Программы | СУБД | Форум