Exchange 佇列問題與解答邊緣和集線器傳輸角色、虛擬機器等
KC Lemson and Nino Bilic
在 2007 年 5 月號的《Exchange 佇列問題與解答》中,我們討論了在網路共用位置上儲存 .pst 檔的問題。Windows Server 效能小組最近成立了部落格,討論
此主題的冗長技術性細節,因此,我們很樂意提供該部落格的連結。現在讓我們開始回答問題吧。
問:如果我想要部署 Microsoft Exchange Server 2007,我需要部署邊緣伺服器角色嗎?
答:不,您不需要部署邊緣伺服器角色就可以部署 Exchange Server 2007。您可以只有一部機器來執行所有核心伺服器角色 (例如信箱、用戶端存取和集線器傳輸)、接受您網域的網際網路電子郵件,以及執行反垃圾郵件和防毒程式。
問:邊緣和集線器傳輸伺服器角色之間有何差異?如果我沒有部署邊緣伺服器,會失去什麼?
答:集線器角色的主要用途是在組織內路由郵件,以及對那些郵件套用商業原則。使用集線器角色時,傳輸規則是根據 Active Directory® 物件:使用者、通訊群組清單等。集線器角色也可以讓您在傳送郵件時,在其中加入免責聲明,或在傳送郵件給使用者群組時,記錄所傳送的郵件訊息,因為您可能希望那些規則以 Active Directory 成員資格作為基礎。例如,您可以記錄傳送給 DLOfUsersOnLitigationHold 的所有訊息,或在 DLOfMembersOfLegalTeam 傳送的外寄郵件中加入免責聲明。雖然可以在集線器伺服器上執行反垃圾郵件代理程式,但根據預設並不會啟用,因此您需要執行伺服器上的 \scripts 目錄中可用的 install-antispamagents 指令碼,來手動安裝代理程式。
邊緣角色的主要用途是將郵件路由進入組織,以及從組織將郵件路由出去,以及對那些郵件執行訊息檢疫 (反垃圾郵件、防毒、內容或附件篩選等)。當您安裝邊緣伺服器時,預設會立即啟用反垃圾郵件功能。邊緣角色的特性之一,是它不需要加入 Windows® 網域,它可以在不屬於 Windows 網域的 Windows Server® 安裝中執行,但邊緣伺服器仍然可以當成公司樹系中的 Exchange 2007 組織的一部分加以管理。
這在周邊網路中特別有利,因為您會希望該伺服器位於工作群組中,或者,您可以對周邊網路中的機器明確提供個別的樹系。正好,在此情況下部署的邊緣伺服器可以執行所有訊息檢疫,以及在公司網路和網際網路之間路由郵件,而且仍然可以與其他的 Exchange 2007 系統管理工作一致的方式加以管理。
在邊緣伺服器上,傳輸規則是根據 SMTP 位址而不是 Active Directory 物件,不過,您當然可以使用 Active Directory 中,DL 或使用者的 SMTP 位址。大致上來說,邊緣傳輸規則是集線器傳輸規則的子集,唯一例外的是只有邊緣伺服器才有的隔離動作。
邊緣伺服器也有一些功能會透過代理程式公開,而在集線器傳輸伺服器上是沒有的:附件移除和位址重寫。附件移除是指可選擇性地移除具危險性 (例如副檔名為 .exe 和 .com) 之附件的功能。位址重寫代理程式可讓您重寫電子郵件標頭,例如,雖然使用者帳戶上的網域和預設 SMTP Proxy 位址可能是 @contoso.com,外寄至網際網路的郵件卻可以是 @northwindtraders.com。而且,邊緣伺服器只會根據網域或位址空間執行路由,因此,如果您在 Exchange 和另一個電子郵件系統之間共用相同的 SMTP 位址空間,就需要在集線器伺服器上執行路由,或是搭配邊緣伺服器上的位址重寫代理程式執行路由。
另一個重要考量是 Exchange 2007 伺服器是否直接為網際網路方向連線 (不論是集線器或邊緣伺服器角色)。換句話說,您網域的 MX 記錄上之連接埠 25 的連線,是否會連線到 Exchange 2007?您可能已經在網際網路上加設 SMTP 閘道、防毒機制或其他解決方案,來接受您網域的郵件,然後將它傳遞到公司網路內的 Exchange。如果您將邊緣伺服器或集線器伺服器部署為網際網路方向連線,則您可以利用 Exchange 2007 最炫的功能之一:安全清單彙總。有了安全清單彙總,使用者在 Microsoft Outlook® 的安全清單中加入寄件者 (他們通常會對網際網路電子報或來自零售商的電子郵件這麼做) 之後,就可安全地將那些清單傳播至邊緣伺服器或集線器角色,使來自那些寄件者的郵件略過內容篩選。當然,一位使用者的垃圾郵件有可能是另一位使用者重要的電子報,因此,安全清單彙總功能會針對個別使用者執行。若要進一步了解其運作方式,您可以參閱 Exchange 2007 文件。
如果您最後的部署,是使用以集線器角色執行的伺服器來接受您網域的網際網路電子郵件,則有幾件事請謹記在心:當然,首先要確定您已經設置了理想的防火牆或連接埠篩選解決方案,使伺服器只接受必要連接埠的連線,例如連接埠 25。並請記住,您需要安裝反垃圾郵件代理程式,因為依預設並不會安裝或啟用它們。因為集線器伺服器最常見的部署方式是在公司網路內,所以根據預設不會允許匿名連線,您需要檢查連接埠 25 接收連接器的 AnonymousUsers 使用權限群組。您也要確保已啟用安全清單彙總,並安排定期的執行,才能在使用者更新其信箱的安全清單時,來自安全寄件者清單上的郵件會略過內容篩選。如需詳細資訊,請參閱我們的部落格。
下列程式碼顯示的 AT 命令,會使用名稱為 SafeList.bat 的批次檔,在每天晚上 11 點更新所有伺服器上的所有信箱:
at 23:00 /every:M,T,W,Th,F,S,Su cmd /c
“D:\SafeList.bat”
此程式碼會顯示 SafeList.bat 檔案的內容:
“d:\Program Files\Microsoft Command Shell\v1.0\Powershell.exe”
-psconsolefile “d:\Program Files\Microsoft\Exchange Server\bin\exshell.psc1” -command
“get-mailbox | where {$_.RecipientType
-eq [Microsoft.Exchange.Data.Directory.Recipient.RecipientType]::UserMailbox } | update-safelist”
如果您需要確認設定是否可以正確運作,請參閱 Exchange 2007 文件中的詳細資訊。
問:在啟動我的 Virtual PC 影像檔 (內含 Exchange) 之後,我一直遇到連接目錄或 LDAP 伺服器的問題。以 Telnet 方式連接到 389 的運作正常,且所有伺服器都在執行。為什麼會這樣?
答:我自己去年在 Tech•Ed 也碰到這個問題。我的筆記型電腦上有一個 Virtual PC 版本,這是我從工作用的電腦上複製來的,我打算要用來為也經常在發佈文章的記者們做示範,因為下個月剛好要推出 Exchange 2007 Beta 2。
我做過無數次的產品示範,知道這一個建置很穩定,因此我並沒有在事先做很多準備。可想而知,當我在週一早上 (就在會議的前幾個小時) 啟動我的 Virtual PC,而我的建置卻完全無法連上網域控制器時,我額頭上一直在冒冷汗。多虧屋子裡匯集了一堆超級聰明的人,我們才能夠很快就找出答案。
我在 Tech•Ed 災難現場遇到的問題,就是因為我是在我的超慢速筆記型電腦上執行 Virtual PC 的結果。問題根源在於 DNS 與 Active Directory 的競賽條件。影像檔上的 DNS 伺服器是設定為與 Active Directory 整合,但由於影像檔上的服務的載入順序 (還有,我筆記型電腦的速度太慢),必要的目錄服務並未在 DNS 伺服器嘗試連上 Active Directory 時即時啟動。
此情況可能發生在同一部機器上有 DC 和 Exchange 的任何伺服器上 (它不必是虛擬化影像檔),但是它更可能發生在會導致速度變慢的虛擬化環境中,尤其是在像我這種力道不足的筆記型電腦上。
我也看過類似的問題發生在兩部機器之間複製的 Virtual PC 影像檔上,尤其是當其中一部機器位於不同的網路上。如果您遇到過這種情況,請檢查影像檔中的 OS 的 IP 位址;它可能含有來自舊網路的舊 IP 位址。請更新它,以取得新網路的 IP,看看這樣做能否解決問題。
為了避免未來又發生這類問題,一個替代方案是使虛擬環境中的 DNS 伺服器不要與 Active Directory 整合,並同時在主機環境與來賓環境中安裝 DNS。讓來賓系統將不明記錄轉寄至主機,並讓主機將不明記錄轉寄至適當的 DNS 伺服器。當影像檔啟動並嘗試更新 DNS 記錄時,就比較不容易失敗。
問:Exchange 2007 安裝似乎與舊版 Exchange 的安裝大不相同。它到底如何進行?
答:是的,Exchange 2007 的安裝會分為數個階段。以下概述整個過程。
當您第一次執行 setup.exe 時,在您開始安裝實際伺服器角色之前會啟動一項程序,其中會提供您需要先安裝之大部分必要條件的連結。當您安裝所有這些必要條件之後,[安裝 Microsoft Exchange] 連結就會變成可點選的連結 (請參閱 [圖 1])。
圖 1** 符合一般必要條件之後可用的安裝連結 **
如果您從網路執行 setup.exe,並按一下 [安裝] 連結,則核心安裝檔案會複製到本機電腦上的 %TEMP%\ExchangeServerSetup\ 資料夾。接著會啟動安裝精靈。
安裝精靈將逐步引導您完成各個選項,例如授權合約、錯誤報告和安裝類型 (您可以在此挑選要安裝的伺服器角色)。精靈頁面將視目前的 Exchange 組織 (如果有的話) 是否存在以及其狀態而異。
在完成此步驟之後,安裝程式會執行準備檢查 -- 其實就是 Microsoft Exchange Server Best Practices Analyzer (BPA) 的改良版,根據預設,它將連現到網際網路來下載包含最新必要條件的 XML 檔案。這可以讓您定期更新必要條件,或解決 Exchange 小組自從產品出貨以來所發現的任何問題。準備檢查完成之後,您可以檢閱結果並繼續進行;否則您會看到在繼續安裝之前需要解決的問題。如果伺服器沒有通過準備檢查,在大部分情況下,精靈會讓您重試檢查。
通過準備檢查之後,您才會看到 [安裝] 按鈕,讓您開始進行先前選擇之角色的安裝。安裝程式只會複製及安裝您所選取之角色的檔案。
在安裝程序的最後,您將有機會啟動 Exchange Management Console 以及套用任何可用的 Exchange 2007 更新項目。
KC Lemson 是 Exchange Server 使用者經驗的專案經理。她的線上銀行帳戶暫時遭到凍結。
Nino Bilic 是 Exchange Server 的技術支援專案經理。他最近在自己的信用卡資料上增加了第二個電子郵件地址。
© 2008 Microsoft Corporation and CMP Media, LLC. 保留所有權利;未經允許,嚴禁部分或全部複製.