Exchange Queue — очередь за ответамиРоли пограничного транспортного сервера и транспортного сервера-концентратора, виртуальные машины и многое другое
Кей Си Лемсон (KC Lemson) and Нино Билич (Nino Bilic)
В выпуске «Exchange Queue – очередь за ответами» в мае 2007 г. мы говорили о проблемах сохранения файлов PST на сетевых ресурсах. Группа производительности Windows Server недавно завела блог, в котором обсуждалась
эта тема во всей ее сложности и технические данные, поэтому мы хотим привести ссылку на него. Теперь давайте перейдем к вопросам.
В. Необходимо ли мне разворачивать роль пограничного транспортного сервера при развертывании Microsoft Exchange Server 2007?
О. Нет, для развертывания Exchange Server 2007 не требуется развертывание пограничного сервера. На одном компьютере могут быть развернуты базовые роли сервера (такие как почтовый ящик, клиентский доступ и транспортный сервер-концентратор), может приниматься электронная почта для домена и работать антивирусные программы и программы защиты от нежелательной почты.
В. В чем отличия роли пограничного транспортного сервера от роли транспортного сервера-концентратора? Каких возможностей я буду лишен, если не буду развертывать пограничный транспортный сервер?
О. Основное назначение роли сервера-концентратора заключается в маршрутизации почты внутри организации и применении к этим сообщениям бизнес-политик. При помощи роли транспортного сервера-концентратора правила транспорта основываются на объектах Active Directory® — пользователях, списках рассылки и т.д. Роль сервера-концентратора также позволяет добавлять заявления об отказе от ответственности к сообщениям или регистрировать сообщения, отправленные группам пользователей, поскольку вам, вероятно, будет необходимо, чтобы эти правила были основаны на членстве в Active Directory. Например, необходима регистрация всех сообщений, отправленных для DLOfUsersOnLitigationHold, или добавление заявлений от отказе от ответственности, отправленных для DLOfMembersOfLegalTeam. Хотя запуск агентов защиты от нежелательной почты на сервере-концентраторе возможен, они не включены по умолчанию, поэтому необходимо установить их вручную, запустив сценарий установки агентов защиты от нежелательной почты, доступный в папке \scripts на сервере.
Основная цель роли пограничного сервера заключается в маршрутизации почты, отправляемой и получаемой организацией, а также выполнение санации сообщений (защита от нежелательной почты, антивирусная защита, фильтрация содержания или вложений и т.д.). Функция защиты от нежелательной почты включается при установке пограничного сервера. Одной из уникальных функций роли пограничного сервера является отсутствие требования на присоединение к домену Windows®; он может быть запущен в отдельной установке Windows Server®, не являющейся частью домена Windows, но пограничный сервер может управляться как часть организации Exchange 2007 в корпоративном лесу.
Это особенно выгодно в демилитаризованной зоне, где может быть необходимо, чтобы сервер находился в рабочей группе, или может существовать отдельный лес для компьютеров в демилитаризованной зоне. Пограничные серверы, разворачиваемые в этой ситуации, могут выполнить всю санацию сообщений и маршрутизацию почты между корпоративной сетью и Интернетом, если управляются тем способом, способом, который удобен для остальных системных администраторов Exchange 2007.
Правила транспорта пограничного сервера основаны на адресах SMTP, а не на объектах Active Directory, но, конечно же, можно использовать адреса SMTP списков рассылки или пользователей Active Directory. В основном правила пограничного транспортного сервера являются подмножеством набора правил транспортного сервера-концентратора, за исключением действия карантина, которое доступно только на пограничных серверах.
Пограничные серверы также предоставляют некоторые дополнительные функции через агентов, которые недоступны на транспортном сервере-концентраторе: удаление вложений и переписывание адресов. Удаление вложений – это возможность выборочного удаления потенциально опасных вложений с такими расширениями, как .exe и .com. Агент перезаписи адреса позволяет переписывать заголовки электронной почты, например, хотя адреса домена и прокси SMTP по умолчанию для учетных записей пользователей могут быть @contoso.com, в отправляемых сообщениях будет указан адрес @northwindtraders.com. Кроме того, пограничные серверы выполняют маршрутизацию только на основе домена или адресного пространства, поэтому при использовании одного адресного пространства SMTP для Exchange и другой системы электронной почты необходимо выполнять маршрутизацию на сервере-концентраторе или осуществлять это вместе с агентом перезаписи адресов на пограничном сервере.
Другим существенным моментом является наличие непосредственного выхода сервера Exchange 2007 в Интернет (как для роли пограничного сервера, так и для сервера-концентратора). Другими словами, являются ли подключения к порту 25 записи MX домена в каком-либо смысле подключениями к Exchange 2007? Могут уже иметься шлюз SMTP, антивирусный экран или другое решение для получения почты для вашего домена и ее последующей пересылки серверу Exchange в корпоративной сети. При развертывании пограничного сервера или сервера-концентратора для выхода в Интернет можно воспользоваться преимуществом одной из самых привлекательных функций Exchange 2007: объединение списков надежных отправителей. С помощью объединения списков надежных отправителей можно безопасно распространить составляемый пользователями в Microsoft Outlook® список надежных отправителей (который обычно создается для рассылок новостей или писем от розничных продавцов) на роли пограничного сервера или сервера-концентратора, чтобы сообщения от этих отправителей обходили фильтрацию содержимого. Естественно, бюллетень новостей, который один пользователь считает нежелательной почтой, другой читает с удовольствием, поэтому объединение списков надежных пользователей выполняется для каждого пользователя индивидуально. Более подробно об этом можно прочитать в документации Exchange 2007.
После выполнения развертывания, в котором сервер, работающий в роли сервера-концентратора, принимает электронную почту Интернета для вашего домена, необходимо помнить о нескольких моментах. Конечно, прежде всего необходимо убедиться, что установлен надежный брандмауэр или решение для фильтрации портов, чтобы сервер принимал подключения только к необходимым портам, например 25. Также необходимо помнить, что следует установить агенты защиты от нежелательной почты, поскольку они не установлены или не включены по умолчанию. Поскольку наиболее распространенной ситуацией развертывания сервера-концентратора является развертывание в корпоративной сети, он не допускает анонимные подключения по умолчанию — необходимо проверить группу разрешений AnonymousUsers на соединителе приема порта 25. Также потребуется убедиться, что объединение списков надежных отправителей включено и установлено расписание регулярного запуска, чтобы при обновлении пользователями списков надежных отправителей для их почтовых ящиков почта для пользователей от отправителей, находящихся в списках надежных отправителей, обходила фильтрацию содержимого. Дополнительные сведения имеются в нашем блоге.
В следующем фрагменте кода показана команда AT, ежедневно обновляющая почтовые ящики на всех серверах в 23:00, используя пакетный файл SafeList.bat:
at 23:00 /every:M,T,W,Th,F,S,Su cmd /c
“D:\SafeList.bat”
В данном коде показано содержимое файла SafeList.bat:
“d:\Program Files\Microsoft Command Shell\v1.0\Powershell.exe”
-psconsolefile “d:\Program Files\Microsoft\Exchange Server\bin\exshell.psc1” -command
“get-mailbox | where {$_.RecipientType
-eq [Microsoft.Exchange.Data.Directory.Recipient.RecipientType]::UserMailbox } | update-safelist”
При необходимости проверки правильности работы параметров дополнительные сведения можно найти в документации по Exchange 2007.
В. После загрузки образа Virtual PC с сервером Exchange возникли проблемы, связанные с обращением к папке или серверу LDAP. Подключение к серверу по Telnet на порт 389 возможно, и все службы работают. Почему это происходит?
О. Эта проблема возникла у меня в прошлом году на конференции Tech•Ed. На моем переносном компьютере была копия Virtual PC, которую я скопировал с рабочего компьютера, и я планировал использовать ее для демонстрации участникам конференции, публикующим статьи, касающиеся выпуска Exchange 2007 бета-версии 2 в следующем месяце.
Я уже выполнил миллионы демонстраций этого продукта и знал о надежности сборки, поэтому я не стал тщательно готовиться. Вы можете представить, как я занервничал, когда в понедельник утром я загрузил Virtual PC, всего за несколько часов до встречи, и ни одна из частей моей сборки не могла обратиться к контроллеру домена. Благодаря высокой концентрации невероятно умных людей в одном здании мы смогли быстро об этом забыть.
Проблема моих бедствий на конференции Tech•Ed произошла из-за запуска Virtual PC на моем невероятно медленном переносном компьютере. Корень проблемы заключался в условии конкуренции DNS и Active Directory. Сервер DNS в образе был настроен на интеграцию с Active Directory, но из-за последовательности загрузки служб на образе (и, надо сказать, из-за неторопливости переносного компьютера) запуск необходимых служб каталогов не произошел на момент обращения сервера DNS к Active Directory.
Эта ситуация может произойти на любом сервере с установленными контроллером домена и Exchange (который не обязательно должен быть виртуализованным образом), но более вероятно ее возникновение в виртуализованной среде с дополнительной задержкой, в особенности на не слишком мощном переносном компьютере наподобие моего.
Я также встречал подобную проблему с образами Virtual PC, скопированными с одного компьютера на другой, особенно если компьютеры находятся в различных сетях. При возникновении подобной проблемы проверьте IP-адрес операционной системы образа; он может быть устаревшим IP-адресом из старой сети. Обновите его на IP-адрес из новой сети и просмотрите результаты.
Чтобы избежать возникновения подобных проблем в будущем, необходимо, чтобы сервер DNS на компьютере размещения не был интегрирован с Active Directory, или можно установить сервер DNS как на компьютере размещения, так и на гостевом компьютере. Гостевой компьютер должен обращаться к компьютеру размещения за неизвестными записями, а компьютер размещения должен в свою очередь обращаться к соответствующему серверу DNS за неизвестными записями. При загрузке образа и обновлении записей DNS он будет менее подвержен сбоям.
В. Складывается впечатление, что установка Exchange 2007 значительно отличается от установки более ранних версий Exchange. Как осуществляется эта установка?
О. Да, действительно, существует несколько этапов установки Exchange 2007. Ниже приведен общий обзор всего процесса.
При первом запуске файла setup.exe запускается процесс, который предоставляет ссылки на большинство необходимых компонентов, которые должны быть установлены до начала установки фактических ролей сервера. После установки всех необходимых компонентов становится доступной ссылка на установку Microsoft Exchange (см. рис. 1).
Рис. 1** Ссылка на установку, доступная после установки всех необходимых компонентов **
При запуске файла setup.exe из сети и переходе по ссылке на установку основные файлы установки будут скопированы в папку %TEMP%\ExchangeServerSetup\ на локальном компьютере. Затем будет запущен мастер установки.
Мастер установки проведет через все этапы установки, такие как лицензионное соглашение, отчеты об ошибках и тип установки (где необходимо выбрать роли сервера для установки). Страницы мастера будут изменяться в зависимости от наличия и состояния текущей организации Exchange (если таковая имеется).
После выполнения этих этапов программа установки запустит проверку готовности – специально настроенную версию анализатора соответствия рекомендациям для Microsoft Exchange Server, который по умолчанию выполнит подключение к Интернету для загрузки последнего необходимого компонента – XML-файла. Это предоставляет возможность регулярно обновлять необходимые компоненты или разрешать проблемы, ставшие известными группе Exchange после выпуска продукта. После выполнения проверки необходимых компонентов можно просмотреть результаты и продолжить; в противном случае появится список действий, которые необходимо выполнить для продолжения установки. При возникновении ошибки при проверке необходимых компонентов в большинстве случаев мастер позволит повторить проверку.
После выполнения проверки необходимых компонентов появится кнопка установки, которая позволяет начать установку ранее выбранных ролей. Будут скопированы и установлены только файлы для выбранных ролей.
В самом конце установки можно запустить консоль управления Exchange, а также установить доступные обновления Exchange 2007.
Кей Си Лемсон (KC Lemson) - менеджер по пользовательской среде для Exchange Server. Ее банковский счет в Интернете временно заблокирован.
Нино Билич (Nino Bilic) - руководитель программы поддержки Exchange Server. Недавно он добавил к своей кредитной карте дополнительный адрес электронной почты.
© 2008 Корпорация Майкрософт и компания CMP Media, LLC. Все права защищены; полное или частичное воспроизведение без разрешения запрещено.