Поделиться через

Развертывание роли пограничного транспортного сервера в существующей организации Exchange Server 2003 перед обновлением до Exchange 2010

  • Статья

 

Применимо к: Exchange Server 2010 SP2, Exchange Server 2010 SP3

Последнее изменение раздела: 2012-07-23

Пограничный транспортный сервер может обеспечивать защиту от нежелательной почты и вирусов, а также обработку правил транспорта для существующей организации Exchange. Можно развернуть и настроить пограничный транспортный сервер, который будет выполнять роль промежуточного узла в сети периметра существующей организации Microsoft Exchange Server 2003, прежде чем начать обновление существующих серверов Exchange 2003 до версии Exchange Server 2010. Несмотря на распространенную рекомендацию внедрения Exchange 2010 в организацию Exchange 2003 и использование пограничных подписок, может оказаться полезным начать использовать пограничные серверы до начала обновления. Этот вариант развертывания может применяться в следующих случаях:

  • Следует начать использовать преимущество пограничной защиты до обновления внутренней организации Exchange.

  • Имеется несколько сайтов, которые не будут обновляться одновременно, и необходимо, чтобы серверы в этих сайтах отправляли почту напрямую в сеть периметра, прежде чем будут обновлены до новой версии.

  • Уже используется развертывание Exchange 2010, однако организация объединяется или приобретает другую организацию, где развернуты серверы Exchange 2003. Поток сообщений должен идти централизованно через серверы Edge.

ПримечаниеПримечание.
В сценарии, описанном в этом разделе, компьютеры под управлением Microsoft Exchange Server 2010 не были развернуты в организации Exchange. Это ограничивает число доступных функций на пограничном транспортном сервере, так как невозможно использовать функции, которые зависят от пограничной подписки. К функциям, которые зависят от пограничной подписки, относятся просмотр получателей и создание списка надежных отправителей. Чтобы создать пограничную подписку, необходимо развернуть в организации Exchange по крайней мере один транспортный сервер-концентратор Exchange 2010, а также настроить организацию для сосуществования. Дополнительные сведения см. в разделе Обновление от транспортного сервера Exchange 2003.

Необходимы сведения о других задачах управления, связанных с пограничными транспортными серверами? См. раздел Управление транспортными серверами.

Предварительные условия

  • Пограничный транспортный сервер развернут в демилитаризованной зоне. Дополнительные сведения см. в разделе Выполнение выборочной установки Exchange 2010.

  • Пограничный транспортный сервер настроен для обработки и проверки сообщений на наличие вирусов и нежелательной почты, а также для применения правил транспорта. Дополнительные инструкции см. в разделах Управление средствами защиты от нежелательной почты и вирусов и Управление правилами транспорта.

  • Обслуживаемые домены настроены на пограничном транспортном сервере. Необходимо создать запись обслуживаемого домена для каждого домена SMTP, для которого в организации Exchange принимается электронная почта. Дополнительные сведения см. в разделе Задачи, выполняемые после развертывания транспортного сервера.

  • Проверьте конфигурацию записи ресурса MX службы доменных имен (DNS) для этих доменов и внесите изменения, необходимые для того, чтобы электронная почта, отправленная в обслуживаемые домены, перенаправлялась на пограничный транспортный сервер.

  • Определите способ проверки подлинности, который будет применяться для защиты соединения между пограничным транспортным сервером и организацией Exchange. Рекомендуется использовать обычную проверку подлинности с использованием TLS. Кроме того, в качестве механизма проверки подлинности можно использовать внешнюю защиту. Этот механизм использует для защиты соединения функции сетевой безопасности, такие как IPsec. Дополнительные сведения о доступных методах проверки подлинности см. в разделе Защита транспортных серверов.

Развертывание пограничного транспортного сервера в организации Exchange 2003

Для всех развертываний необходимо предварительно создать соединитель отправки с пограничного транспортного сервера в Интернет. Затем настройте поток почты в соответствии с выбранным методом проверки подлинности.

Создание соединителя отправки с пограничного транспортного сервера в Интернет

Для выполнения этой процедуры необходимы соответствующие разрешения. Сведения о необходимых разрешениях см. в разделе Запись «Пограничный транспортный сервер» в разделе Разрешения транспорта.

Использование мастера создания соединителя отправки в консоли управления Exchange для создания соединителя отправки на пограничном транспортном сервере со следующими параметрами.

  • Вводная страница   В поле Выберите назначение для этого соединителя отправки выберите Интернет.

  • Страница адресного пространства   Нажмите кнопку Добавить и в диалоговом окне Адресное пространство SMTP введите * (звездочка).

Дополнительные сведения см. в разделе Создание соединителя отправки SMTP.

Также можно использовать командлет New-SendConnector для создания соединителя в командной консоли Exchange. В этом примере показано, как создать соединитель отправки в Интернет, использующий службу DNS для маршрутизации сообщений.

New-SendConnector -Name "To Internet" -AddressSpaces * -Usage Internet -DNSRoutingEnabled $true

При использовании промежуточного узла для маршрутизации сообщений в Интернет необходимо использовать другие параметры. В этом примере показано, как создать такой же соединитель отправки, но настроить его для выполнения маршрутизации сообщений с помощью промежуточного узла 10.10.1.1, а не службы DNS.

New-SendConnector -Name "To Internet" -AddressSpaces * -Usage Internet -DNSRoutingEnabled $false -SmartHosts "10.10.1.1"

Подробные сведения о синтаксисе и параметрах см. в разделе New-SendConnector.

ПримечаниеПримечание.
При установке роли пограничного транспортного сервера создается соединитель получения по умолчанию, настроенный для получения почты из Интернета. Поэтому нет необходимости создавать соединитель получения, соответствующий соединителю отправки, создание которого описано в этом разделе.

Настройка потока почты между пограничным транспортным сервером и организацией Exchange 2003 с помощью обычной проверки подлинности с использованием TLS

Процедуры, описанные в этом разделе, позволяют настроить безопасный поток почты между пограничным транспортным сервером и организацией Exchange 2003 с помощью обычной проверки подлинности с использованием TLS.

Для выполнения этой процедуры необходимы соответствующие разрешения. Сведения о необходимых разрешениях см. в разделе Запись «Пограничный транспортный сервер» в разделе Разрешения транспорта.

Настройка учетных данных для потока почты с проверкой подлинности

  1. Создайте учетные данные, которые будут использоваться пограничным транспортным сервером для проверки подлинности на сервере Exchange 2003. Создайте учетную запись пользователя в Служба каталогов Active Directory, которая обслуживает организацию Exchange. Добавьте эту учетную запись в группу безопасности «Серверы домена Exchange».

    ВажноВажно!
    Этой учетной записи пользователя предоставлены разрешения и права, назначенные серверам Exchange. Защитите учетные данные этой учетной записи, чтобы предотвратить ее несанкционированное использование. Учетную запись можно настроить так, чтобы вход в систему был разрешен только на определенных компьютерах.

  2. На пограничном транспортном сервере создайте учетные данные, используемые сервером Exchange 2003 для проверки подлинности на пограничном транспортном сервере. Создайте учетную запись пользователя в папке «Пользователи» контейнера «Локальные пользователи и группы» пограничного транспортного сервера.

Настройка Exchange 2003 для приема сообщений с пограничного транспортного сервера

На сервере или серверах Exchange 2003, которые будут получать сообщения от пограничного транспортного сервера, убедитесь, что виртуальный сервер настроен для обычной проверки подлинности через TLS.

  1. Откройте диспетчер Exchange. Разверните узел Servers (Серверы). Разверните нужный сервер. Разверните узел Protocols (Протоколы). Разверните узел SMTP. Щелкните правой кнопкой мыши пункт Default SMTP Virtual Server (Виртуальный SMTP-сервер по умолчанию) и выберите команду Properties (Свойства).

  2. Выберите вкладку Доступ и нажмите кнопку Проверка подлинности.

  3. В диалоговом окне Authentication (Проверка подлинности) выберите параметры Basic authentication (password is sent in clear text) (Обычная — пароль отправляется в текстовом формате) и Requires TLS encryption (Требовать шифрование TLS). Нажмите кнопку OK.

  4. Нажмите кнопку OK, чтобы закрыть окно Default SMTP Virtual Server Properties (Свойства виртуального SMTP-сервера по умолчанию).

Создание соединителя отправки с пограничного транспортного сервера в организацию Exchange 2003

Использование мастера создания соединителя отправки в консоли управления Exchange для создания соединителя отправки на пограничном транспортном сервере со следующими параметрами.

  • Вводная страница   В поле Выберите назначение для этого соединителя отправки выберите Внутренний.

  • Страница адресного пространства   Нажмите кнопку «Добавить», чтобы открыть диалоговое окно «Адресное пространство SMTP». В поле «Адрес» этого диалогового окна введите «–». Этот символ является заполнителем, представляющим все внутренние уполномоченные домены ретрансляции в конфигурации обслуживаемых доменов. Также можно перечислить домены в качестве отдельных записей. Сохраните для оставшихся полей значения по умолчанию и нажмите кнопку «ОК».

  • Страница параметров сети   В поле Выполнять маршрутизацию почты через следующие промежуточные узлы введите IP-адрес или имя FQDN сервера-плацдарма Exchange 2003, который будет получать сообщения с пограничного транспортного сервера. Если несколько серверов-плацдармов настроены в качестве промежуточных узлов, нагрузка для подключений от пограничного транспортного сервера будет балансироваться между ними.

  • Страница настройки параметров проверки подлинности промежуточных узлов   Выберите Обычная проверка подлинности и Обычная проверка подлинности с использованием TLS. В полях Имя пользователя и Пароль введите данные учетной записи пользователя, созданной с помощью процедуры, описанной в подразделе «Настройка учетных данных для потока почты с проверкой подлинности» выше в этом разделе.

    Дополнительные сведения см. в разделе Создание соединителя отправки SMTP.

Также можно использовать командлет New-SendConnector для создания соединителя в командной консоли Exchange. В этом примере показано, как создать соединитель отправки в организацию Exchange с обязательными параметрами и назначить серверы 10.10.1.10 и 10.10.1.11 в качестве серверов-плацдармов Exchange 2003, которые будут получать почту с пограничного транспортного сервера.

$mycred = get-credential

В открывшемся диалоговом окне введите данные учетной записи пользователя, созданной с помощью процедуры, описанной в разделе «Настройка учетных данных для потока почты с проверкой подлинности». Введите имена пользователя в формате домен\пользователь или формате имени участника-пользователя (UPN), а затем укажите пароль пользователя. Нажмите кнопку ОК.

New-SendConnector -Name "To Exchange Organization" -Usage Internal -AddressSpaces "--" -DNSRoutingEnabled $false -SmartHosts "10.10.1.10","10.10.1.11" -SmartHostAuthMechanism BasicAuthRequireTLS -AuthenticationCredential $mycred

Дополнительные сведения о синтаксисе и параметрах см. в разделе New-SendConnector.

После создания соединителя отправки нужно предоставить разрешения, необходимые для включения передачи данных XExch50 с пограничного транспортного сервера на сервер Exchange 2003. Для этого в командной консоли Exchange запустите следующую команду.

Add-AdPermission -Identity "To Exchange Organization" -User "NT Authority\Anonymous Logon" -ExtendedRights ms-Exch-SMTP-Send-Exch50

Создание соединителя получения на пограничном транспортном сервере для приема сообщений из организации Exchange 2003

Использование мастера создания соединителя получения в консоли управления Exchange для создания соединителя получения на пограничном транспортном сервере со следующими параметрами.

  • Вводнаястраница   В поле Выберите назначение для этого соединителя получения выберите Внутренний.

  • Страница параметров удаленной сети   Удалите все диапазоны номеров сети и добавьте IP-адреса серверов-плацдармов Exchange 2003, которые будут передавать сообщения на пограничный транспортный сервер.

После создания соединителя измените метод проверки подлинности. Для этого на странице свойств соединителя на вкладке Проверка подлинности выберите Обычная проверка подлинности и Предлагать использовать обычную проверку подлинности только после запуска TLS. Дополнительные инструкции см. в разделах Создание соединителя получения SMTP и Настройка свойств соединителя получения.

Также можно использовать командлет New-ReceiveConnector для создания соединителя в командной консоли Exchange. В этом примере показано, как создать соединитель получения из организации Exchange с обязательными параметрами и назначить серверы 10.10.1.10 в 10.10.1.11 в качестве единственных серверов, с которых соединитель получения будет принимать сообщения.

New-ReceiveConnector -Name "From Exchange Organization" -Usage Internal -RemoteIPRanges 10.10.1.10,10.10.1.11 -AuthMechanism TLS,BasicAuth,BasicAuthRequireTLS -Bindings 0.0.0.0:25

На пограничном транспортом сервере запустите команду в командной консоли, чтобы предоставить разрешения на новом соединителе получения для учетной записи локального пользователя, созданной с помощью процедуры, описанной в разделе «Настройка учетных данных для потока почты с проверкой подлинности».

Add-AdPermission -Identity "Receive Connector Name" -User Edge\Contoso -ExtendedRights ms-Exch-SMTP-Submit,ms-Exch-Accept-Headers-Routing,ms-Exch-SMTP-Accept-Any-Recipient,ms-Exch-SMTP-Accept-Authoritative-Domain-Sender
ВажноВажно!
Этой учетной записи предоставляются разрешения для ретрансляции сообщений через пограничный транспортный сервер. Защитите учетные данные этой учетной записи, чтобы предотвратить ее несанкционированное использование.

Настройка Exchange 2003 для отправки сообщений на пограничный транспортный сервер

На сервере Exchange 2003 выполните следующие шаги, чтобы создать соединитель SMTP, настроенный для передачи всей электронной почты Интернета через пограничный транспортный сервер, и включить обычную проверку подлинности с использованием TLS для обеспечения безопасного подключения.

  1. Откройте диспетчер Exchange. Щелкните правой кнопкой мыши контейнер Соединители, расположенный в группе маршрутизации, в которой находится сервер, на котором будет размещен этот контейнер, затем нажмите кнопку Создать и выберите Соединитель SMTP.

    ПримечаниеПримечание.
    Если в диспетчере Exchange не указаны группы маршрутизации, щелкните правой кнопкой мыши контейнер организации Exchange, выберите команду Properties (Свойства), а затем установите флажок Display routing groups (Отображать группы маршрутизации).

  2. Откройте вкладку General (Общие). В поле Name (Имя) введите уникальное имя соединителя.

  3. Выберите параметр Forward all mail through this connector to the following smart hosts (Направлять всю почту через этот соединитель на следующие промежуточные узлы) и введите IP-адрес или полное доменное имя пограничного транспортного сервера. При вводе IP-адрес необходимо заключать в скобки, например: [192.168.1.1].

  4. Нажмите кнопку Add (Добавить), чтобы добавить локальный сервер-плацдарм. В окне Add Bridgehead (Добавление сервера-плацдарма) выберите один или несколько серверов Exchange 2003.

  5. Откройте вкладку Address Space (Адресное пространство) и нажмите кнопку Add (Добавить), чтобы создать адресное пространство. В диалоговом окне Add Address Space (Добавление адресного пространства) выберите параметр SMTP, а затем нажмите кнопку OK.

  6. На странице Свойства адресного пространства Интернета введите * и нажмите кнопку ОК.

  7. Откройте вкладку Advanced (Дополнительно) и выберите пункт Outbound Security (Безопасность исходящей почты). В диалоговом окне Outbound Security (Безопасность исходящей почты) выберите параметр Basic Authentication (Обычная проверка подлинности), а затем нажмите кнопку Modify (Изменить).

  8. В диалоговом окне Outbound ConnectionCredentials (Исходящее подключение — учетные данные) введите имя пользователя для учетной записи локального пользователя, созданной на пограничном транспортном сервере, укажите пароль для этой учетной записи, а затем нажмите кнопку OK.

  9. В диалоговом окне Outbound Security (Безопасность исходящей почты) выберите пункт TLS encryption (Шифрование TLS). Чтобы закрыть диалоговое окно Outbound Security (Безопасность исходящей почты), нажмите кнопку OK. Нажмите кнопку OK.

Настройка потока почты между пограничным транспортным сервером и организацией Exchange 2003 с помощью анонимного доступа

Процедуры, описанные в этом разделе, позволяют настроить поток почты без проверки подлинности между пограничным транспортным сервером и организацией Exchange 2003 с помощью анонимного доступа.

Для выполнения этой процедуры необходимы соответствующие разрешения. Сведения о необходимых разрешениях см. в разделе Запись «Пограничный транспортный сервер» в разделе Разрешения транспорта.

Настройка Exchange 2003 для приема сообщений с пограничного транспортного сервера

  1. Убедитесь, что на сервере или серверах Exchange 2003, которые будут принимать сообщения с пограничного транспортного сервера, для виртуального сервера SMTP включен анонимный доступ.

    1. Откройте диспетчер Exchange. Разверните узел Servers (Серверы). Разверните нужный сервер. Разверните узел Protocols (Протоколы). Разверните узел SMTP. Щелкните правой кнопкой мыши Виртуальный сервер SMTP по умолчанию и выберите пункт Свойства.

    2. Выберите вкладку Доступ и нажмите кнопку Проверка подлинности.

    3. В диалоговом окне Проверка подлинности выберите Анонимный доступ. Нажмите кнопку ОК.

  2. Настройте ограничение ретрансляции для сервера Exchange 2003, чтобы только пограничный транспортный сервер мог выполнять ретрансляцию через этот виртуальный сервер.

    1. На вкладке Access (Доступ) окна Default SMTP Virtual Server Properties (Свойства виртуального SMTP-сервера по умолчанию) нажмите кнопку Relay (Ретрансляция).

    2. В диалоговом окне Ограничения ретрансляции выберите пункт Только в списке ниже и нажмите кнопку Добавить.

    3. В диалоговом окне Компьютер выберите пункт Один компьютер, чтобы указать один IP-адрес, или выберите Группа компьютеров, чтобы указать диапазон IP-адресов. Нажмите кнопку ОК.

    4. В диалоговом окне Ограничения ретрансляции проверьте, что установлен флажок Разрешить ретрансляцию для всех компьютеров, успешно прошедших проверку подлинности (вне зависимости от списка выше). Нажмите кнопку ОК.

    5. Нажмите кнопку ОК, чтобы закрыть окно Свойства виртуального сервера SMTP по умолчанию.

  3. Чтобы изменить параметры реестра сервера-плацдарма Exchange 2003 и разрешить серверу Exchange 2003 анонимно отправлять и принимать свойства XExch50, выполните указанные ниже действия.

    ВниманиеВнимание!
    Неправильное изменение реестра может привести к серьезным неполадкам, требующим переустановки операционной системы. Проблемы, возникшие в результате неправильного изменения реестра, могут оказаться неустранимыми. Перед внесением изменений в реестр выполните резервное копирование всех важных данных.

    1. Откройте редактор реестра.

    2. Найдите раздел HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SMTPSVC\XEXCH50.

    3. Щелкните правой кнопкой мыши пункт XEXCH50 и выберите команды Создать | Параметр DWORD. Введите SuppressExternal для имени значения. По умолчанию для этого параметра установлено значение 0. Это означает, что свойства XEXCH50 передаются удаленным серверам анонимно.

    4. Щелкните правой кнопкой мыши пункт XEXCH50 и выберите команды Создать | Раздел. В качестве значения раздела введите номер экземпляра виртуального SMTP-сервера. Например, номер экземпляра виртуального сервера по умолчанию — 1, номер второго виртуального SMTP-сервера, созданного на сервере, — 2.

    5. Щелкните правой кнопкой мыши созданный раздел и выберите пункты Создать и Параметр DWORD.

    6. В области сведений введите Exch50AuthCheckEnabled для имени значения. По умолчанию для этого параметра установлено значение 0. Это означает, что свойства XEXCH50 передаются при анонимной отправке электронной почты.

Создание соединителя отправки с пограничного транспортного сервера в организацию Exchange 2003

Использование мастера создания соединителя отправки в консоли управления Exchange для создания соединителя отправки на пограничном транспортном сервере со следующими параметрами.

  • Вводная страница   В поле Выберите назначение для этого соединителя отправки выберите Внутренний.

  • Страница адресного пространства   Введите символ --, который является заменителем, представляющим все уполномоченные и внутренние домены ретрансляции в конфигурации обслуживаемых доменов. Кроме того, можно перечислить каждый домен в виде отдельной записи.

  • Страница параметров сети   В поле Выполнять маршрутизацию почты через следующие промежуточные узлы введите IP-адрес или имя FQDN сервера-плацдарма Exchange 2003, который будет получать сообщения с пограничного транспортного сервера. Если несколько серверов-плацдармов настроены в качестве промежуточных узлов, нагрузка для подключений от пограничного транспортного сервера будет распределяться между ними.

  • Страница настройки параметров проверки подлинности промежуточных узлов   Выберите параметр Внешняя защита (например, с помощью IPsec).

Создание соединителя получения на пограничном транспортном сервере для приема сообщений из организации Exchange 2003

Использование мастера создания соединителя получения в консоли управления Exchange для создания соединителя получения на пограничном транспортном сервере со следующими параметрами.

  • Вводная страница   В поле Выберите назначение для этого соединителя получения выберите Внутренний.

  • Страница параметров удаленной сети   Удалите все диапазоны номеров сети и добавьте IP-адреса серверов-плацдармов Exchange 2003, которые будут передавать сообщения на пограничный транспортный сервер.

После создания соединителя измените метод проверки подлинности. Для этого на странице свойств соединителя на вкладке Проверка подлинности выберите параметр Внешняя защита (например, с помощью IPsec). Очистите все другие параметры проверки подлинности. Дополнительные инструкции см. в разделах Создание соединителя получения SMTP и Настройка свойств соединителя получения.

Также можно использовать командлет New-ReceiveConnector для создания соединителя в командной консоли Exchange. В этом примере показано, как создать соединитель получения из организации Exchange с обязательными параметрами и назначить серверы 10.10.1.10 в 10.10.1.11 в качестве единственных серверов, с которых соединитель получения будет принимать сообщения.

New-ReceiveConnector -Name "From Exchange Organization" -Usage Internal -RemoteIPRanges 10.10.1.10,10.10.1.11 -AuthMechanism ExternalAuthoritative -Bindings 0.0.0.0:25
ВажноВажно!
Если для этого соединителя получения указан диапазон IP-адресов вместо отдельных IP-адресов, соединитель будет принимать все подключения из указанного диапазона удаленных IP-адресов для передачи сообщений через пограничный транспортный сервер. В этом сценарии проверьте, что между пограничным транспортным сервером и организацией Exchange существует доверенное сетевое подключение.

Настройка Exchange 2003 для отправки сообщений на пограничный транспортный сервер

На сервере Exchange 2003 выполните следующие действия, чтобы создать соединитель SMTP, настроенный для ретрансляции всей электронной почты из Интернета через пограничный транспортный сервер.

  1. Откройте диспетчер Exchange. Щелкните правой кнопкой мыши контейнер Соединители, расположенный в группе маршрутизации, в которой находится сервер, на котором будет размещен этот контейнер, затем нажмите кнопку Создать и выберите Соединитель SMTP.

    ПримечаниеПримечание.
    Если в диспетчере Exchange не отображаются группы маршрутизации, щелкните правой кнопкой мыши контейнер организации Exchange, выберите пункт Свойства, а затем установите флажок Отображать группы маршрутизации.

  2. Откройте вкладку Общие. В поле Имя введите уникальное имя соединителя.

  3. Выберите параметр Направлять всю почту через этот соединитель на следующие промежуточные узлы и введите IP-адрес или имя FQDN пограничного транспортного сервера. При вводе IP-адрес необходимо заключать в скобки, например: [192.168.1.1].

  4. Нажмите кнопку Добавить, чтобы добавить локальный сервер-плацдарм. В диалоговом окне Добавить сервер-плацдарм выберите один или несколько серверов Exchange 2003.

  5. Откройте вкладку Адресное пространство и нажмите кнопку Добавить, чтобы создать адресное пространство. В диалоговом окне Добавить адресное пространство выберите параметр SMTP и нажмите кнопку ОК.

  6. На странице Свойства адресного пространства Интернета введите * и нажмите кнопку ОК.

  7. Нажмите кнопку OK, чтобы закрыть окно свойств соединителя SMTP.

 © Корпорация Майкрософт (Microsoft Corporation), 2010. Все права защищены.