Bereitstellungsoptionen für Edge-Transport-Server
Gilt für: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007
Letztes Änderungsdatum des Themas: 2007-09-24
In diesem Thema werden die Optionen für das Bereitstellen einer Microsoft Exchange Server 2007 Edge-Transport-Serverfunktion in Ihrer vorhandenen Exchange Server-Topologie beschrieben. Außerdem wird in diesem Thema erläutert, was Sie beim Konfigurieren eines Servers mit Microsoft ISA Server 2006 (Internet Security and Acceleration) als Firewall zwischen Ihrem Edge-Transport-Server und dem Hub-Transport-Server berücksichtigen sollten.
Der Edge-Transport-Server wurde dafür konzipiert, die Angriffsfläche so klein wie möglich zu halten und verarbeitet den gesamten Internetnachrichtenfluss, der SMTP-Relay- (Simple Mail Transfer Protocol) und Smarthost-Dienste für die Exchange-Organisation bereitstellt. Weitere Stufen von Nachrichtenschutz und Sicherheit werden von einer Reihen von Agents bereitgestellt, die auf dem Edge-Transport-Server ausgeführt werden und Aktionen für Nachrichten durchführen, während diese von den Nachrichtentransportkomponenten verarbeitet werden. Diese Agents unterstützen die Features, die Schutz vor Viren und Spam bereitstellen und Transportregeln zum Steuern des Nachrichtenflusses anwenden.
Unterstützte Bereitstellungen
Die folgenden Bereitstellungen werden unterstützt:
Bereitstellen eines Exchange 2007 Edge-Transport-Servers in einer vorhandenen Exchange Server 2003-Umgebung. Weitere Informationen finden Sie unter How to Deploy an Edge Transport Server in an Existing Exchange Server 2003 Organization.
Empfohlene Topologie: Bereitstellen eines Exchange 2007 Edge-Transport-Servers in einer Exchange 2007-Organisation in einem Umkreisnetzwerk, das auch als Begrenzungsnetzwerk oder überwachtes Subnetz bezeichnet wird, als Teil einer Arbeitsgruppe oder Domäne. Weitere Informationen finden Sie unter Ausführen einer benutzerdefinierten Installation mithilfe des Exchange Server 2007-Setups.
Bereitstellen eines Exchange 2007 Edge-Transport-Servers als Mitglied der Exchange 2007-Organisation mit dem Active Directory-Verzeichnisdienst.
Bereitstellen von mehr als einem Exchange 2007 Edge-Transport-Server in einer Exchange 2007-Organisation im Umkreisnetzwerk einer Domäne oder Arbeitsgruppe.
Die empfohlene Option besteht im Bereitstellen der Edge-Transport-Serverfunktion außerhalb der Exchange-Organisation im Umkreisnetzwerk einer Organisation. Der Edge-Transport-Server kann als eigenständiger Server oder als Mitglied einer Active Directory-Umkreisdomäne bereitgestellt werden.
Weitere Informationen über das Bereitstellen eines Edge-Transport-Servers in einer Exchange 2007-Organisation in einem Umkreisnetzwerk finden Sie in den folgenden Themen:
Abonnieren der Exchange-Organisation durch den Edge-Transport-Server
Vorbereiten der Ausführung des Microsoft Exchange EdgeSync-Diensts
Konfigurieren von Edge-Transport-Regeln zum Verwalten von Viren
In der folgenden Tabelle sind die Vorzüge der verschiedenen Bereitstellungsarten von Edge-Transport-Server aufgelistet.
| Edge-Transport-Server-Bereitstellung | Vorteil |
|---|---|
Als Teil einer Domäne |
Weniger sicher, einfach zu verwalten |
Als eigenständiger Server |
Sicherer, schwieriger zu verwalten |
Als Teil einer Arbeitsgruppe |
Sicherer, schwieriger zu verwalten |
Als spezielle Umkreisgesamtstruktur |
Sicherer und leicht zu verwalten, jedoch ist mehr Hardwareunterstützung erforderlich (für große Unternehmen empfohlen) |
Hinweis
Für eine Bereitstellung von Exchange 2007 ist keine Bereitstellung der Edge-Transport-Serverfunktion erforderlich. Die Kernserverfunktionen, wie etwa Mailbox, ClientAccess und Hub-Transport, können auf einem einzelnen Computer ausgeführt werden, der Internet-E-Mail für Ihre Domäne annimmt und die Antispam- und Antivirenprogramme ausführt.
Wenn Sie einen Edge-Transport-Server installieren, aktivieren Sie Antispam-Funktionalität auf diesem Server. Wenn Sie Ihrem Exchange 2007-Umkreisnetzwerk einen Edge-Transport-Server hinzufügen, muss der Edge-Transport-Server mithilfe des Edge-Abonnementprozesses ein Abonnement bei einem Active Directory-Standort einrichten, wenn eine der folgenden Bedingungen wahr ist:
Sie beabsichtigen, die Antispamfunktionen, die Empfängersuche oder die Aggregation von Listen sicherer Teilnehmer zu verwenden;
Sie beabsichtigen, Domänensicherheit mit einer Partnerorganisation bereitzustellen.
Wenn Sie mehr als einen Edge-Transport-Server im einer Exchange 2007-Organisation im Umkreisnetzwerk einer Domäne oder Arbeitsgruppe bereitstellen, können Sie Lastenausgleich für den SMTP-Verkehr unter allen Edge-Transport-Servern durchführen, indem Sie mehr als einen MX-Ressourcendatensatz (Mail Exchange) mit der gleichen Priorität in der DNS-Datenbank (Domain Name System) für die E-Mail-Domäne definieren. Das Bereitstellen von mehr als einem Edge-Transport-Server wird außerdem Fehlertoleranz erzielt.
In der folgenden Tabelle werden Features verglichen, die für die verschiedenen Bereitstellungsoptionen von Edge-Transport-Servern in einer Exchange 2007-Organisation verfügbar sind.
Bereitstellungsoptionen für Edge-Transport-Server
| Es ist kein Edge-Transport-Server bereitgestellt | Es ist ein Edge-Transport-Server in einer Active Directory-Gesamtstruktur bereitgestellt, von der die Exchange-Organisation bedient wird | Empfohlen: Die Edge-Transport-Serverfunktion ist in der Umkreisarbeitsgruppe oder Umkreisdomäne bereitgestellt | Kommentare oder Beschreibung | |
|---|---|---|---|---|
Minimale Serveranzahl |
1 |
2 |
2 |
Die Edge-Transport-Serverfunktion kann nicht auf dem gleichen Computer wie die anderen Serverfunktionen bereitgestellt werden. Im Szenario mit einem einzelnen Server werden Antispam-Agents manuell auf der Hub-Transport-Serverfunktion bereitgestellt. Die Edge-Transport-Serverfunktion ist nicht installiert. |
Netzwerkisolierung |
Nein |
Nein |
Ja |
Spam und Schadsoftware werden nur dann vor dem Eintreten in das Netzwerk zurückgewiesen, wenn die Edge-Transport-Serverfunktion im Umkreisnetzwerk bereitgestellt wird. |
Antispam-Agents sind standardmäßig installiert |
Nein |
Ja |
Ja |
Wenn die Edge-Transport-Serverfunktion nicht bereitgestellt ist, kann ein Administrator Antispam-Agents auf der Hub-Transport-Serverfunktion aktivieren, indem er einen Befehl in der Exchange-Verwaltungsshell ausführt. Weitere Informationen finden Sie unter Aktivieren der Antispamfunktionen auf einem Hub-Transport-Server. |
Antispam-Benutzeroberfläche |
Die Antispam-Benutzeroberfläche ist standardmäßig nicht sichtbar. Sie wird nach der manuellen Bereitstellung von Antispam-Agents aktiviert. |
Standardmäßig sichtbar |
Standardmäßig sichtbar |
Die Exchange-Verwaltungskonsole stellt eine Benutzeroberfläche bereit, auf der Folgendes konfiguriert werden kann:
|
Verarbeitung von Internet-E-Mail |
Die Verarbeitung von Internet-E-Mail wird erst aktiviert, nachdem Sie den Verwendungstyp Internet am Empfangsconnector festgelegt und einen neuen Sendeconnector mit dem Verwendungstyp Internet erstellt haben. |
Ja |
Ja |
Weitere Informationen finden Sie unter Konfigurieren von Connectors für die Internetnachrichtenübermittlung. |
Verbindungsfilterung |
Ja |
Ja |
Ja |
Verbindungsfilterung stellt IP-Sperrlisten und IP-Listen erlaubter Teilnehmer für den Schutz vor Spam zur Verfügung. Weitere Informationen finden Sie unter Verbindungsfilterung. |
Absenderfilterung |
Ja |
Ja |
Ja |
Die Absenderzuverlässigkeit wird im Lauf der Zeit dynamisch analysiert und aktualisiert. Weitere Informationen finden Sie unter Absenderfilterung. |
Empfängerfilterung |
Ja |
Ja |
Ja |
Empfänger werden anhand der globalen Adressliste (GAL) überprüft. Weitere Informationen finden Sie unter Empfängerfilterung. |
Microsoft Exchange EdgeSync-Dienst |
Nicht zutreffend |
Ja |
Ja |
Die Listen der sicheren Absender von Microsoft Office Outlook und die GAL werden im verschlüsselten Format als Push in den Netzwerkumkreis hochgeladen. |
Sender ID |
Ja |
Ja |
Ja |
Sender ID wird beim Empfang von E-Mail überprüft und in die Spambeurteilung einbezogen. Weitere Informationen finden Sie unter Sender ID. |
Inhaltsfilterung (Intelligente Nachrichtenfilterung) |
Ja |
Ja |
Ja |
Regelmäßige Aktualisierungen von Microsoft SmartScreen helfen bei der Bekämpfung von Spam und Phishingangriffen. Weitere Informationen finden Sie unter Konfigurieren automatischer Antispamaktualisierungen. |
SCL (Spam Confidence Level) |
Ja |
Ja |
Ja |
Eine SCL-Bewertung (Spam Confidence Level) wird basierend auf verschiedenen Faktoren einer Nachricht zugewiesen. Weitere Informationen finden Sie unter Anpassen des Schwellenwerts für die SCL-Bewertung (Spam Confidence Level). |
Antispamstempel |
Ja |
Ja |
Ja |
Nachrichten werden mit Details der Spambewertung gestempelt. Weitere Informationen finden Sie unter Antispamstempel. |
Rückstau und Teergrubenverzögerungen |
Ja |
Ja |
Ja |
Rückstau und Teergrubenverzögerung schützen vor Denial-of-Service- und Verzeichnisdiebstahl-Angriffen. Weitere Informationen finden Sie in Grundlagen der Rückstaufunktion und im Abschnitt "Teergrubenfunktion" von Empfängerfilterung. |
Zweischichtige Spamquarantäne |
Ja |
Ja |
Ja |
Ein Administrator kann auf den Spamquarantäneordner zugreifen und eine Nachricht an ihren Empfänger freigeben. Weitere Informationen finden Sie unter Quarantänepostfach für Spam. |
Anlagenfilterung |
Nein |
Ja |
Ja |
Anlagen werden basierend auf der Größe, dem Inhalt oder dem Dateityp entfernt. Weitere Informationen finden Sie unter Anlagenfilterung. |
Forefront Security für Exchange Server |
Ja |
Ja |
Ja |
Weitere Informationen finden Sie unter Schützen Ihrer Microsoft Exchange-Organisation mit Microsoft Forefront Security für Exchange Server. |
Konfiguration von Netzwerkadaptern im Umkreisnetzwerk
Abhängig von der Netzwerkadapter- (auch als NIC bezeichnet) oder Firewallkonfiguration in der Topologie des Umkreisnetzwerks kann ein Edge-Transport-Server in Form einer mehrfach vernetzten Bastionshostkonfiguration oder als einfach vernetzte oder überwachte Subnetzkonfiguration bereitgestellt werden, wie in der folgenden Abbildung dargestellt.
Netzwerkkonfigurationen für mehrfach vernetzte und einfach vernetzte Edge-Transport-Server
.gif "Mehrfach vernetzte, einfach vernetzte Edge-Konfiguration")
In einer mehrfach vernetzten Konfiguration ist ein Host mit zwei oder mehreren Netzwerken verbunden oder weist zwei oder mehr Netzwerkadressen auf. In einer einfach vernetzten Konfiguration wird eine einzelne Firewall mit drei Netzwerkadaptern oder NICs verwendet. Dies wird allgemein als dreifach vernetzte Firewall bezeichnet.
Sowohl in der mehrfach vernetzten Konfiugration als auch in der einfach vernetzten Konfiguration können eine oder mehrere IP-Adressen zum Konfigurieren von entsprechenden Sendeconnectors und Empfangsconnectors auf den Edge-Transport-Servern und den Hub-Transport-Servern verwendet werden. Weitere Informationen zum Konfigurieren von Connectors finden Sie unter Verwalten von Connectors.
Punkte, die beim Bereitstellen eines Edge-Transport-Servers in Verbindung mit ISA Server 2006 berücksichtigt werden müssen
Sie können einen Edge-Transport-Server oder einen Hub-Transport-Server zusammen mit Microsoft ISA Server 2006 (Internet Security and Acceleration) konfigurieren, um das Unternehmensnetzwerk und seine Anwendungen zu schützen. Weitere Informationen über das Konfigurieren einer ISA Server 2006-Firewall zwischen Hub-Transport-Servern und Edge-Transport-Servern finden Sie unter Verwenden von ISA Server 2006 mit Exchange 2007.
Wenn Sie ISA Server 2006 in der Exchange-Organisation mit Edge-Transport-Servern und Hub-Transport-Servern konfigurieren, müssen Sie diese Richtlinien befolgen, wenn Sie den Fluss von SMTP- oder SMTPS-Verkehr (sicheres SMTP) zwischen den Edge-Transport-Servern und Hub-Transport-Servern ermöglichen wollen:
Wenn SMTP-Verkehr vom Edge-Transport-Server zum Hub-Transport-Server durch den Server gefiltert wird, auf dem ISA Server 2006 ausgeführt wird, deaktivieren Sie den SMTP-Filter auf diesem Server.
Wenn SMTPS-Verkehr vom Edge-Transport-Server zum Hub-Transport-Server durch den Server gefiltert wird, auf dem ISA Server 2006 ausgeführt wird, deaktivieren Sie den SMTP-Filter auf diesem Server auch für diese Option.
Wenn Sie die SMTP- oder SMTPS-Filterung auf dem Server, der ISA Server 2006 ausführt, nicht deaktivieren möchten, können Sie alternativ dem SMTP-Filter-Add-In auf ISA Server 2006 SMTP-Aktionsartbefehle, wie etwa X-ANONYMOUSTLS und X-EXPS, verwenden, die exklusiv für Exchange 2007 verwendet werden.
Weitere Informationen über das Deaktivieren von SMTP- oder SMTPS-Filterung auf ISA Server 2006 oder das Hinzufügen von SMTP-Aktionsartbefehlen zu ISA Server 2006 finden Sie unter Nachrichtenwarteschlange auf einem Edge-Transport-Server mit dem Fehler 500 5.1.1 Unbekannter Befehl.
Weitere Informationen
Weitere Informationen hierzu finden Sie unter den folgenden Themen: