Многие компании все еще используют среды Exchange Server 2003 (которые появились и устанавливались несколько лет назад) и аспекты конструкции и рекомендации, которые были выпущены в то время, соответствовали только тому времени. Это означает, что многие использовали решение Exchange Server Front-End Solution, размещенное непосредственно в DMZ.
Если эти компании планируют переходить на Exchange Server 2007, им нужно решить, оставлять свои внешние серверы (front-end server) или замещать их новыми машинами с установленным на них сервером Exchange Server 2007, или полностью пересмотреть конфигурацию своего решения. В этой статье мы поговорим о плюсах и минусах перехода и о тех решениях, которые лучше всего будут соответствовать будущим требованиям.
Два возможных решения
В общем и целом, есть два типа решения, применимых в конструкции Exchange Server 2007 front-end Server:
- Замена существующего сервера Exchange 2003 front-end на роль сервера клиентского доступа Exchange 2007 client access service (CAS).
- Замена существующего сервера Exchange 2003 front-end на обратимый прокси сервер, такой как ISA Server 2006.
Эти два типа будут рассмотрены в данной статье.
Замена существующего сервера на Exchange Server 2007 CAS
Самым простым способом перехода с существующего Exchange Server 2003 front-end на Exchange Server 2007 будет установка нового сервера с 64 разрядной ОС Windows Server, после чего нужно добавить роль службы Exchange Server 2007 CAS на него. Затем вы успешно переведете все функции со старого сервера на новый и можете приступать к списанию старого Exchange Server 2003.
Это означает, что вы не измените саму конфигурацию; здесь просто будет замена старого сервера на новый с теми же функциями и характеристиками. Здесь также не произойдет никаких изменений настроек безопасности или конфигурации брандмауэра, так как порты, которыми вы пользовались в Exchange Server 2003 абсолютно такие же, как и в Exchange Server 2007.
Необходимые порты для взаимодействия между сервером CAS Server и внутренними серверами определены в одной из моих предыдущих статей, которую можно найти здесь.
Итак, это решение довольно простое и его можно без проблем использовать без каких-либо помех для пользователей.
Замена существующего сервера на обратимый прокси сервер (reverse Proxy Server)
Вторым способом миграции будет полное пересмотрение существующего решения. В Exchange Server 2007 вам больше не понадобится внешний сервер (front-end server). Вам нужен будет лишь обратимый прокси сервер (такой как ISA Server 2006), расположенный в DMZ, а также вам нужно будет разместить весь Exchange Server 2007 в LAN.
Рисунок 1: ISA Server в качестве обратимого прокси для OWA и Push Mail
Более того, это означает, что в DMZ больше не будет серверов Exchange Servers, а это делает данное решение еще более безопасным (в обратимом прокси сервере вам придется открыть лишь HTTPS для взаимодействий с вашими серверами Exchange в LAN). В результате этого вам также нужно будет открыть два порта (в вашей конфигурации) с DMZ во внутреннюю сеть, а не порты с 8 по 11, однако это зависит от вашей конкретной конфигурации.
Если вы выберите данную конкретную конфигурацию, вам нужно будет применить решение обратимого прокси сервера. Многие брандмауэры дают возможность настраивать прокси и/или обратимый прокси сервер на себе. Поэтому во многих конфигурациях вам не придется выбирать новое решение сервера для нового продукта. Если у вас нет существующего прокси сервера, вам нужно подумать о новом решении, таком как ISA Server 2006, который доступен в виде софтверного решения, а также в качестве аппаратной установки. Решение об установке софтверной или аппаратной версии принимать вам, это абсолютно не важно для функциональности, которая нам здесь потребуется.
Я бы порекомендовал использовать ISA Server в качестве обратимого прокси решения по следующим причинам:
- Лучшая интеграция с решением Exchange
- Вход будет осуществляться непосредственно на модуле ISA Server, а не на внутреннем интерфейсе; к тому же ISA Server будет обеспечивать аутентификацию и авторизацию
- ISA Server 2006 оснащен прикладным фильтром в стандартной конфигурации, который будет фильтровать трафик для Outlook Web Access и/или Outlook Mobile Access, чтобы не позволять нежелательному трафику проходить через брандмауэр
- ISA Server 2006 может работать в качестве RADIUS или LDAP прокси для обеспечения защищенной аутентификации на Active Directory Services внутри LAN
- На сегодняшний день ISA Server представляет собой единственное решение, обеспечивающее такие расширенные функции
Если вы решите использовать решение обратимого прокси, сам проект нуждается в детальном планировании, поскольку решения интернет почты (OWA и Active Server Sync) могут не работать.
Сам процесс миграции можно хорошо подготовить, поскольку можно подготовить множество элементов, прежде чем отключать существующий внешний сервер Exchange Server 2003 и переходить на новый сервер. Вот несколько моментов, которые помогут вам это сделать:
- Установка ОС и ISA Server на физическое оборудование
- Подготовка конфигурации брандмауэра для решения ISA Server (с новым IP адресом возможна одновременная работа даже двух решений)
- Настройка правил публикации для Outlook Web Access и/или Active Server Sync
Можно протестировать новую конфигурацию до ее применения, это будет включать:
- использование другого IP-адреса и внешнего DNS имени
- использование нового цифрового сертификата для ISA Server
Это решение довольно простое, но оно также означает, что если вы используете Active Server Sync, оно будет простым только в том случае, если вы используете цифровой сертификат на каждом мобильном устройстве, имеющем уже установленный в его хранилище сертификатов доверенный корневой сертификат. В противном случае вам придется установить новые корневые сертификаты на все мобильные устройства.
Выбор наилучшего решения
С точки зрения безопасности, второе решение, описанное выше, является наиболее сложным решением. Настройка серверов в DMZ с прямым доступом к серверам в LAN, не столь безопасна, как должна быть. Если хакер сможет действовать в качестве сервера в вашей DMZ, он с таким же успехом сможет получить доступ к вашим внутренним серверам и взломать их без дополнительных действий.
Если вы уже используете прокси сервер в DMZ, который способен работать в качестве обратимого прокси, вам следует подумать об использовании этого сервера. Если в настоящее время у вас нет никакого прокси сервера, который бы мог действовать в качестве обратимого прокси, вам следует подумать о применении ISA Server 2006 на машине Windows Server 2003, поскольку этот сервер в данный момент не работает на Windows Server 2008. Если вам нужно именно это решение, вам следует подождать несколько месяцев, пока не выйдет Microsoft Forefront с кодовым названием ‘Stirling’.