Exchange Queue & A边缘和集线器传输角色、虚拟机及其他
KC Lemson and Nino Bilic
在 2007 年 5 月份的 Exchange Queue & A 中,我们探讨了有关在网络共享中存储 .pst 文件的问题。Windows Server 性能团队最近开通了一个博客并全方位讨论了有关这一主题的
极度深入的技术细节。因此,我们希望将这个链接介绍给您。现在,我们来看看这些问题。
问:如果我想部署 Microsoft Exchange Server 2007,那么是否必须部署边缘服务器?
答:不需要为部署 Exchange Server 2007 而部署边缘服务器。您可以在一台承担各种核心服务器角色任务(如邮箱、客户端访问和集线器传输)的机器上为您的域接受 Internet 电子邮件并运行反垃圾邮件和防病毒程序。
问:边缘传输服务器角色与集线器传输服务器角色之间存在哪些差异?如果不部署边缘服务器会漏掉什么?
答:集线器角色的主要目的是在组织内路由邮件,并对这些邮件应用业务策略。使用集线器角色,传输规则将基于 Active Directory® 对象——用户、通讯组列表等。集线器角色还允许您在邮件或发送给用户组的日志消息中添加免责声明,因为您或许会希望基于 Active Directory 成员关系来建立这些规则。例如,您可以为发送给 DLOfUsersOnLitigationHold 的所有邮件建立日志,或者为由 DLOfMembersOfLegalTeam 发送的出站邮件添加免责声明。虽然在集线器服务器上运行反垃圾邮件代理是可能的,但默认情况下并未启用它们,因此您需要通过运行 install-antispamagents 脚本(位于服务器上的 \scripts 目录中)来手动安装它们。
边缘服务器角色的主要用途是传输组织的进入或发出邮件,并对这些邮件执行邮件清洁(反垃圾邮件、防病毒、内容或附件过滤等)。当您安装边缘服务器时,已经默认启用了反垃圾邮件功能。边缘服务器角色的一个独特的功能就是不要求它加入到 Windows® 域中,即它可以在不属于某个 Windows 域的独立 Windows Server® 安装中运行,但您仍可以将边缘服务器作为企业林结构中 Exchange 2007 组织的一部分进行管理。
这在外围网络中尤为有利,其中您可以将该服务器放在一个工作组中,或者外围网络中的机器可以有一个单独且明确的林。按这种情况部署的边缘服务器可以方便地为企业网络和 Internet 之间的邮件执行所有邮件清洁和传送操作,同时仍可以按照与其余 Exchange 2007 系统管理相一致的方式对这些边缘服务器进行管理。
在边缘服务器上,传输规则是基于 SMTP 地址,而不是 Active Directory 对象——不过当然,您可以使用 DL 的 SMTP 地址或 Active Directory 中的用户。边缘传输规则的大部分都是中心传输规则的一个子集,但隔离操作是个例外,它只存在于边缘服务器上。
边缘服务器还具有某些由中心传输服务器所没有的代理提供的功能:附件剥离和地址重写。附件剥离是指有选择地删除具有潜在危险的附件(带有 .exe 和 .com 等扩展名)的功能。地址重写代理允许您重写电子邮件的标头,这样,(比方说)虽然您的用户帐户的域和默认 SMTP 代理地址是 @contoso.com,但发送到 Internet 的出站邮件可显示为来自 @northwindtraders.com。此外,边缘服务器仅基于域或地址空间执行路由,因此,如果您在 Exchange 和另一个电子邮件系统之间共享相同的 SMTP 地址空间,则需要在集线器服务器上执行该路由,或者在边缘服务器上配合使用地址重写代理来执行路由。
另一个关注要点是 Exchange 2007 服务器是否直接面对 Internet(无论是集线器服务器角色还是边缘服务器角色)。换言之,对域 MX 记录的端口 25 的连接是否以某种方式连接到了 Exchange 2007?您可能已经在为您的域接受邮件并将其传递给企业网络内部的 Exchange 的 Internet 上,设置了 SMTP 网关、病毒防火墙或其他解决方案。如果您将边缘服务器或集线器服务器部署为面向 Internet,则可以利用 Exchange 2007 中最卓越的功能之一:安全列表聚合通过安全列表聚合,用户可以将发件人添加到其 Microsoft Outlook® 中的安全列表中(通常他们会为来自经销商的 Internet 新闻稿或电子邮件进行这样的处理),从而将这些列表安全传播给边缘服务器角色或集线器服务器角色,以使来自这些发件人的邮件能够绕过内容过滤。当然,对一个用户来说是垃圾邮件的信件,对另一个用户来说可能是有价值的新闻稿,因此安全列表聚合是因人而异的。您可以在 Exchange 2007 文档中找到有关其工作方式的更多信息。
如果您的最终部署是由一台承担集线器服务器角色的服务器为您的域接受 Internet 电子邮件,则需要注意一些事项。当然,首先要确保设置了强大的防火墙或端口过滤解决方案,以使您的服务器只接收必要端口(如端口 25)上的连接。此外还要注意,您需要安装反垃圾邮件代理,因为默认情况下并未安装或启用这些代理。由于集线器服务器的最常见部署方案是放在企业网络内,因此默认情况下并不允许匿名连接——您需要在端口 25 接收连接器上选中 AnonymousUsers 权限组。您还需要确保启用安全列表聚合并将其设置为定期运行,这样当用户更新其邮箱的安全列表后,从这些用户的安全发件人列表发送给他们的邮件才能绕过内容过滤。我们的博客提供了更多详细信息。
以下代码显示了一条 AT 命令,它使用一个名为 SafeList.bat 的批处理文件在每天晚上 11:00 点更新所有服务器上的所有邮箱:
at 23:00 /every:M,T,W,Th,F,S,Su cmd /c
“D:\SafeList.bat”
以下代码显示了 SafeList.bat 文件的内容:
“d:\Program Files\Microsoft Command Shell\v1.0\Powershell.exe”
-psconsolefile “d:\Program Files\Microsoft\Exchange Server\bin\exshell.psc1” -command
“get-mailbox | where {$_.RecipientType
-eq [Microsoft.Exchange.Data.Directory.Recipient.RecipientType]::UserMailbox } | update-safelist”
如果您需要验证自己的设置能够正确运行,请在 Exchange 2007 文档中查阅更多相关信息。
问:当我启动其中包含 Exchange 的 Virtual PC 镜像后,在与目录或 LDAP 服务器建立联系时总是会遇到问题。远程登录到 389 没有问题,并且所有服务也都在运行。这是为什么?
答:去年我在 Tech•Ed(微软技术大会)上也遇到过这种问题。我的便携式计算机中有一个 Virtual PC 副本,这是我从一台工作机器上复制的,本打算用它来为大会的成员做些演示,这些人为在随后一个月发布的 Exchange 2007 Beta 2 发表了许多专题文章。
我已经做过了上百万次产品演示,知道该产品是很可靠的,因此并未精心准备。但当我在星期一早晨启动我的 Virtual PC 时,就在首次会议前的一小时,发现它的每个部分都无法与域控制器建立联系,您可以想像得出我额头上的冷汗。幸亏有会务组的那些超级聪明的家伙,我们得以很快解决了问题。
我在 Tech•Ed 上遇到的这个问题是由于我在自己的超级缓慢的便携式计算机上运行 Virtual PC 造成的。问题的根源是 DNS 与 Active Directory 的争用问题。镜像中的 DNS 服务器被配置为与 Active Directory 相集成,但是由于镜像中加载的服务的序列(以及,或许我们应当说,由于我的便携式计算机的迟钝),当 DNS 服务器尝试与 Active Directory 联系时,尚未启动必要的目录服务。
在相同的机器(它并非一定是个虚拟的镜像)上安装了 DC 和 Exchange 的任何服务器都可能发生这种情况,但在速度奇慢的虚拟环境中发生这种情况的可能性非常大,尤其是使用一台像我这样的不够强劲的便携式计算机。
我还见过一个类似的问题,事关在两台机器之间复制的 Virtual PC 镜像,尤其是当其中一台机器位于不同的网络上时。如果您遇到这种问题,请检查镜像中的 OS 的 IP 地址,它可能使用了一个来自旧网络的过时的 IP 地址。将其刷新以获得来自新网络的 IP 地址,然后看看是否可以解决问题。
为避免将来出现这类问题,另一种方法是使来宾机器上的 DNS 服务器不与 Active Directory 相集成,并在主机和来宾机器上都安装 DNS。让来宾机器将未知记录转发给主机,同时让主机将未知记录转发给适当的 DNS 服务器。这样,当您的镜像启动并尝试更新 DNS 记录时,就不太可能失败了。
问:Exchange 2007 的安装过程似乎与早期版本的 Exchange 有很大差异。具体过程是怎样的呢?
答:的确如此。实际上,Exchange 2007 的安装过程分几个阶段。下面是整个过程的概要说明。
当您首次运行 setup.exe 时,将启动一个进程,其中提供了在开始实际安装服务器角色之前需要安装的多数前提项目的链接。安装了所有这些前提项目后,即可单击随之出现的“安装 Microsoft Exchange”链接(请参见图 1)。
图 1** 满足一般前提条件后出现的安装链接 **
如果您通过网络运行 setup.exe 并单击该安装链接,则核心安装文件将复制到本地机器上的 %TEMP%\ExchangeServerSetup\ 文件夹中。随后会启动安装向导。
安装向导将引导您完成各种选择,如许可协议、错误报告和安装类型(从中选择要安装的服务器角色)。根据当前存在的 Exchange 组织(如果有)及其状态,向导页会有所不同。
完成此步骤后,安装程序将执行就绪情况检查——它是一个非常好的 Microsoft Exchange Server 最佳实践分析工具 (BPA) 版本;默认情况下,它会连接到 Internet 以下载最新的必备 XML 文件。它提供了一个定期更新先决条件的机会,并可借此解决 Exchange 团队在产品发布后发现的任何问题。完成先决条件检查后,您有机会对结果进行检查并继续;否则,程序会显示任何相关问题,您必须解决后才能继续安装。如果您的服务器未能通过先决条件检查,多数情况下向导会让您再次尝试检查。
通过先决条件检查后,会显示“安装”按钮,这时便可以安装之前选定的任何角色。只有您选定的角色的文件才会得到复制和安装。
在安装过程的最后,您将有机会启动 Exchange 管理控制台并应用任何可能存在的 Exchange 2007 更新。
KC Lemson是 Exchange Server 的用户体验经理。她的网上银行帐户被暂时挂起了。
Nino Bilic是 Exchange Server 的可支持性项目经理。最近他为自己的信用卡增加了一个备用电子邮件地址。
© 2008 Microsoft Corporation 与 CMP Media, LLC.保留所有权利;不得对全文或部分内容进行复制.