Migrando Usuários de Correio Open Source para Exchange 2003
Por Denis Augusto
Sabemos que existem no mercado diversas soluções para acesso aos serviços de correio eletrônico (SMTP), POP3/SPOP3 e IMAP. Tais soluções caminham entre sistemas operacionais de código aberto (Open Source) e sistemas operacionais proprietários. Discutiremos neste artigo um caminho para migração gradativa das caixas postais que residem em sistemas Open Source para Exchange 2003 Server com baixo impacto financeiro de projeto.
Inicialmente definiremos um cenário para nossas discussões. Imaginemos a empresa ABC Ltda cujo domínio na Internet responde pelo conhecido contoso.com. Por questões de segurança, o sistema de DNS para requisições internas (DNSInt) está separado do sistema de DNS para requisições de usuários externos (DNSExt) e temos um firewall de perímetro separando os sistemas de DNS. As operações de caixas postais (SPOP3) e correio eletrônico (SMTP) serão efetuadas inicialmente sempre pelo servidor EMAIL1. Para simplificar nosso modelo, depositaremos o servidor Exchange 2003 na rede DMZ. Vejamos a figura 1 para maiores detalhes:
.gif "Cc668478.CorreioOpenSource_01(pt-br,TechNet.10).gif")
Figura 1 - Ambiente para migração
Lembrando dos conceitos que envolvem o universo da segurança de dados, a informação sempre deve estar firmada em três pilares: confidencialidade, disponibilidade e integridade. Assim, podemos melhorar este modelo colocando o sistema de DNS externo (DNSExt) junto com o sistema de correio/SPOP3 na rede DMZ (EMAIL1) e projetar para o servidor Exchange 2003 uma arquitetura que segue o conceito de Front-End (Rede DMZ) e Back-End (Rede Interna). Esta arquitetura eleva a proteção das caixas postais migradas (Figura 2):
.gif "Cc668478.CorreioOpenSource_02(pt-br,TechNet.10).gif")
Figura 2 - Elevação do nível de segurança
Discutiremos melhor esta melhoria estrutural mais tarde, vamos retornar para Figura 1. Como existem dois sistemas de DNS distintos e independentes, imaginaremos a mesma zona de DNS para ambos os servidores (contoso.com) com registros MX (Mail Exchanger) distintos. A zona de DNS em DNSExt possui como registro MX o endereço IP do servidor de correio EMAIL1 e a zona de DNS em DNSInt possui como registro MX o endereço IP do servidor Exchange 2003 na rede DMZ.
Isto produz um problema, pois ambos os servidores de correio respondem pelo domínio contoso.com. Como solucionar esta questão? Basta colocar um terceiro serviço SMTP para fazer a interação entre os dois primeiros. Pode ser colocado no firewall um SMTP Proxy ou um serviço de SMTP que responda apenas pelos e-mails direcionados aos usuários existentes no firewall. Configuraremos o firewall como cliente DNS do servidor DNSInt. Desta forma poderemos fazer um redirecionamento dos e-mails que chegam em EMAIL1 para o servidor Exchange 2003. Para melhor entendimento vejamos a tabela abaixo:
Configurações dos agentes SMTP
Servidor EMAIL1 |
Firewall SMTP |
Exchange 2003 |
|---|---|---|
@contoso.com |
@firewall.contoso.com |
@contoso.com |
Tabela 1 - Domínios SMTP
Usaremos alias para os usuários que serão migrados. Estes alias serão configurados em EMAIL1 e no Firewall. Isto auxiliará no processo de redirecionamento dos e-mails pertencentes aos usuários que foram transferidos para o servidor Exchange 2003.
Para exemplificar, imaginemos que a caixa postal que responde ao endereço de correio eletrônico pedala.robinho@contoso.com foi migrada para o servidor Exchange 2003 com sucesso. Tomando como base a tabela 1, como ficaria o fluxo dos e-mails para esta caixa postal?
.gif "Cc668478.CorreioOpenSource_03(pt-br,TechNet.10).gif")
Figura 3 - Fluxo de e-mails
Podemos obter um maior isolamento do Exchange 2003 e do sistema de DNS Interno para conexões externas. Para o Exchange 2003 isto pode ser obtido com a configuração dos redirecionamentos (Forward) das conexões externas para o servidor EMAIL1 com o uso do conceito de Smart Hosts. Isto é feito seguindo os passos:
Clique em Start, Programs, Microsoft Exchange e escolha System Manager.
Encontre o folder:
Servers/Seu Servidor/Protocols/SMTP/Seu Servidor Virtual SMTP
Clique com o botão direito do mouse em Seu Servidor Virtual SMTP e escolha Properties.
.jpg "Cc668478.CorreioOpenSource_04(pt-br,TechNet.10).jpg")
Figura 4 - Configuração de Smart Host no Exchange 2003
Escolha Delivery e siga para Advanced.
.jpg "Cc668478.CorreioOpenSource_05(pt-br,TechNet.10).jpg")
Figura 5 - Configuração de Smart Host no Exchange 2003No local definido para os dados do Smart host, digite o nome ou o endereço IP do servidor desejado.
.png "Cc668478.CorreioOpenSource_06(pt-br,TechNet.10).png")
Figura 6 - Configuração de Smart Host no Exchange 2003
A configuração do sistema de DNS pode ser feita com os passos:
Clique em Start, Programs, Adminsitrative Tools e escolha DNS.
Clique com o botão direito no nome do seu servidor e escolha Properties.
Escolha Forwarders e defina o endereço IP do servidor de DNS desejado.
Figura 7 - DNS Forward
O domínio DNS definido pelo servidor DNSExt é de acesso público, possuindo somente os dados dos servidores que se encontram na rede DMZ, já o servidor DNSInt detêm todos os dados para funcionamento do Active Directory, juntamente com os registros dos computadores da Rede Internet.
Sabemos que um processo de migração é composto de várias fases importantes, mas nenhuma é tão importante quanto o tratamento do usuário. Para abordar isto, dividiremos os usuários em 4 grupos e priorizaremos a migração de cada grupo. Isto auxilia em duas questões: redução de custo por fase de migração para a compra de licenças (Mailbox Licence - CALs) e simplifica o trabalho da equipe de TI. A tabela 2 mostra uma proposta para os grupos e priorizações. Lembre-se que a priorização dependerá dos requisitos do seu projeto.
Grupos |
Ordem de Prioridade para Migração |
|---|---|
Equipe de TI |
1o |
Presidência |
2o |
Diretoria |
3o |
Gerência |
4o |
Demais usuários |
5o |
Tabela 2 - Definição dos grupos para migração
O uso da Equipe de TI como a primeira a ser migrada é estratégico, pois ela fará a composição da fase de testes e ajustes finais do ambiente definido pelo Exchange 2003. Testes de performance são indicados nesta fase. Para isto podemos fazer uso do Performance Troubleshooting Analyzer Tool v1.0 (ExPTA), veja o artigo indicado para maiores informações: http://www.msexchange.org/tutorials/Exchange-2003-Performance-Troubleshooting-Analyzer-Tool-v10-ExPTA.html.
Concluído os testes iniciais com a Equipe de TI, podemos considerar outras questões. Se esta equipe possuir membros inferiores a 3 pessoas, é indicado escolher alguns usuários não críticos para participar da fase de homologação. Este grupo não deve ultrapassar 5 usuários para melhor administração dos imprevistos. Configurado o acesso basta copiar as informações desejadas das pastas contidas no PST local para a nova caixa postal no servidor Exchange 2003.
O tempo da fase de testes deve ser combinado para evitar demora no processo de migração. Geralmente 7 dias úteis é uma boa escolha. Após este período já é indicada a migração do próximo grupo de usuários: Presidência. Concluída esta tarefa pode-se seguir sucessivamente para a Diretoria, Gerência e Demais Usuários.
Vamos discutir as melhorias propostas na Figura 2. Temos uma elevação do nível de segurança dos servidores envolvidos no projeto de migração. O primeiro item está na proteção das caixas de correio existentes no Exchange 2003. A configuração de Front-End e Back-End garante que as caixas postais não estarão fisicamente no servidor exposto a Internet. Melhorias para o uso do Webmail podem ser feitas, com os recursos de logon por formulários contidos no firewall ISA Server 2004, por exemplo.
Outro item é a proteção dos servidores EMAIL1 e DNSExt. Podemos obter um nível de segurança melhor colocando-os na rede DMZ. Assim, teremos a proteção do Firewall. Não é nosso foco neste artigo, mas podemos usar nesta rede DMZ sistemas de IDS (Intrusion Detection Service), IPS (Intrusion Prevention Service) ou similares para uma maior proteção.
Abraço a todos,
Denis Augusto A. de Souza
MCSE, MCSA Messaging