Edge Transport Server 的部署選項

Exchange 2007
 

適用版本: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007

上次修改主題的時間: 2007-09-24

本主題說明在您現有的 Exchange Server 拓撲中部署 Microsoft Exchange Server 2007 Edge Transport server role 的選項。此外,本主題也會說明將執行 Microsoft Internet Security and Acceleration (ISA) Server 2006 的伺服器設定為 Edge Transport Server 與 Hub Transport Server 之間的防火牆時,所應考量的事項。

Edge Transport Server 的設計是要將攻擊面減到最小,因此會處理所有與網際網路相關的郵件流程,這為 Exchange 組織提供了簡易郵件傳送通訊協定 (SMTP) 轉送和智慧主機服務。在 Edge Transport Server 上執行的一系列代理程式提供了額外的郵件保護與安全層,它們也會在郵件傳輸元件處理郵件時對郵件採取動作。這些代理程式支援的功能會對病毒和垃圾郵件提供防護,並且套用傳輸規則以控制郵件流程。

支援的部署方式如下:

  • 將 Exchange 2007 Edge Transport Server 部署到現有的 Exchange Server 2003 環境中。如需相關資訊,請參閱How to Deploy an Edge Transport Server in an Existing Exchange Server 2003 Organization

  • 建議使用的拓撲:在 Exchange 2007 組織的周邊網路 (亦稱為界限網路或遮蔽式子網路) 中,將 Exchange 2007 Edge Transport Server 部署為工作群組或網域的一部分。如需相關資訊,請參閱如何使用 Exchange Server 2007 安裝程式執行自訂安裝

  • 將 Exchange 2007 Edge Transport Server 部署為具有 Active Directory 目錄服務之 Exchange 2007 組織的成員。

  • 在 Exchange 2007 組織中屬於網域或工作群組的周邊網路上,部署多部 Exchange 2007 Edge Transport Server。

建議的作法是將 Edge Transport server role 部署到 Exchange 組織以外的組織周邊網路中。Edge Transport Server 可以部署為獨立伺服器或是周邊 Active Directory 網域的成員。

如需如何在 Exchange 2007 組織的周邊網路中部署 Edge Transport Server 的相關資訊,請參閱下列主題:

下表列出不同 Edge Transport Server 部署類型的優點。

 

Edge Transport Server 部署 優點

作為網域成員

安全性較低,但易於管理

作為獨立伺服器

安全性較高,但較不易管理

作為工作群組成員

安全性較高,但較不易管理

作為特殊周邊樹系

安全性較高且易於管理,但需要更高的硬體支援 (建議大型企業使用)

note附註:
要部署 Exchange 2007 不一定要部署 Edge Transport server role。您可以使用執行 Mailbox、Client Access 與 Hub Transport server role 等核心伺服器角色的單一電腦來接收您網域中的網際網路電子郵件,並在該電腦上執行反垃圾郵件與防毒程式。

在您安裝 Edge Transport Server 的同時,該伺服器即啟用了反垃圾郵件功能。當您在 Exchange 2007 周邊網路中新增 Edge Transport Server 時,若下列其中一種情況屬實,您就必須使用 Edge 訂閱程序,讓 Edge Transport Server 訂閱 Active Directory 站台:

  • 您想要使用反垃圾郵件功能、收件者查閱或安全清單彙總。

  • 您想要對協力組織部署網域安全性。

當您在 Exchange 2007 組織中屬於網域或工作群組的周邊網路上部署多部 Edge Transport Server 時,您可以在郵件網域的網域名稱系統 (DNS) 資料庫中,以相同的優先順序定義多個 MX 資源記錄,將 SMTP 網路流量平衡負載到所有 Edge Transport Server。部署多部 Edge Transport Server 亦可提供容錯功能。

下表將針對 Exchange 2007 組織中不同 Edge Transport Server 部署選項的可用功能進行比較。

Edge Transport Server 的部署選項

  未部署 Edge Transport Server 在 Exchange 組織所使用的 Active Directory 樹系中部署 Edge Transport Server 建議使用:在周邊工作群組或周邊網域中部署 Edge Transport server role 註解或說明

伺服器數目下限

1

2

2

Edge Transport server role 不可與其他伺服器角色安裝於同一部電腦上。在單一伺服器的環境中,反垃圾郵件代理程式必須以手動方式部署到 Hub Transport server role 上。不會安裝 Edge Transport server role。

網路隔離

只有在周邊網路上部署 Edge Transport server role 後,才能在垃圾郵件與惡意程式碼進入網路前加以拒絕。

依預設會安裝反垃圾郵件代理程式

若未部署 Edge Transport server role,系統管理員可執行 Exchange 管理命令介面命令,以啟用 Hub Transport server role 的反垃圾郵件代理程式。如需相關資訊,請參閱如何在 Hub Transport server 上啟用反垃圾郵件功能

反垃圾郵件使用者介面

依預設不顯示反垃圾郵件使用者介面。此介面會在反垃圾郵件代理程式手動部署後啟用。

預設為顯示

預設為顯示

Exchange 管理主控台提供可設定下列項目的使用者介面:

  • 反垃圾郵件功能

  • 接收連接器

  • 傳送連接器

  • 傳輸規則

網際網路電子郵件處理

您必須設定接收連接器的網際網路用法類型,並以該網際網路用法類型建立新的傳送連接器,網際網路電子郵件處理才會啟用。

如需相關資訊,請參閱如何設定網際網路郵件流程的連接器

連線篩選

連線篩選提供可防止垃圾郵件入侵的 IP 封鎖清單與 IP 允許清單。如需相關資訊,請參閱連線篩選

寄件者篩選

隨時間動態分析及更新寄件者信譽。如需相關資訊,請參閱寄件者篩選

收件者篩選

使用全域通訊清單 (GAL) 驗證收件者。如需相關資訊,請參閱收件者篩選

Microsoft Exchange EdgeSync 服務

不適用

Microsoft Office Outlook 安全寄件者清單與 GAL 會以加密格式發送至網路周邊。

寄件者識別碼

在接收電子郵件並將其納入垃圾郵件分級時會檢查寄件者識別碼。如需相關資訊,請參閱寄件者識別碼

內容篩選 (智慧型郵件篩選)

定期進行 Microsoft SmartScreen 更新,有助於防止垃圾郵件與網路釣魚威脅。如需相關資訊,請參閱如何設定反垃圾郵件自動更新

垃圾郵件信賴等級

會根據數種因素,為郵件指派垃圾郵件信賴等級 (SCL) 分級。如需相關資訊,請參閱調整垃圾郵件信賴等級閾值

反垃圾郵件戳記

會以詳細的垃圾郵件評估為郵件加註戳記。如需相關資訊,請參閱反垃圾郵件戳記

背壓與垃圾郵件防堵

背壓與垃圾郵件防堵可防止阻斷服務與目錄搜集攻擊。如需相關資訊,請參閱了解背壓收件者篩選的<垃圾郵件防堵功能>一節。

兩層式垃圾郵件隔離

系統管理員可存取垃圾郵件隔離資料夾,並將郵件釋出給收件者。如需相關資訊,請參閱垃圾郵件隔離

附件篩選

會根據大小、內容或檔案類型移除附件。如需相關資訊,請參閱附件篩選

Forefront Security for Exchange Server

如需相關資訊,請參閱使用 Microsoft Forefront Security for Exchange Server 保護您的 Microsoft Exchange 組織 (英文)。

您可以根據周邊網路拓撲中的網路介面卡 (亦稱為 NIC) 組態或防火牆組態,將 Edge Transport Server 部署為多重主目錄的防禦主機組態或單一主目錄組態、或是遮蔽式子網路組態,如下圖所示。

多重主目錄與單一主目錄 Edge Transport Server 的網路組態

多重主目錄,單一主目錄的 Edge 組態

在多重主目錄組態中,主機會連接到兩個或更多網路,或具有兩個或更多網路位址。在單一主目錄組態中,則有一個具有三張網路介面卡或 NIC 的防火牆。一般稱之為三重主目錄防火牆。

在多重主目錄組態與單一主目錄組態中,您都可以使用一或多個 IP 位址在 Edge Transport Server 與 Hub Transport Server 上分別設定傳送連接器與接收連接器。如需如何設定連接器的相關資訊,請參閱管理連接器

您可以將 Edge Transport Server 或 Hub Transport Server 與 Microsoft Internet Security and Acceleration (ISA) Server 2006 搭配設定,以保護您的公司網路與應用程式。如需如何在 Hub Transport Server 與 Edge Transport Server 之間設定 ISA Server 2006 防火牆的相關資訊,請參閱搭配使用 ISA Server 2006 與 Exchange 2007

如果您在具有 Edge Transport Server 與 Hub Transport Server 的 Exchange 組織中設定 ISA Server 2006,而想要讓 SMTP 或 SMTPS (安全 SMTP) 流量在 Edge Transport Server 與 Hub Transport Server 之間傳送,請遵循下列指示:

  • 如果由 Edge Transport Server 至 Hub Transport Server 的 SMTP 流量是透過執行 ISA Server 2006 的伺服器進行篩選,請停用該伺服器的 SMTP 篩選。

  • 如果由 Edge Transport Server 至 Hub Transport Server 的 SMTPS 流量是透過執行 ISA Server 2006 的伺服器進行篩選,請同樣在該伺服器上停用此選項的 SMTP 篩選。

或者,如果不想在執行 ISA Server 2006 的伺服器上停用 SMTP 或 SMTPS 篩選,您也可以將 X-ANONYMOUSTLSX-EXPS 等 SMTP 動詞命令 (這些命令對 Exchange 2007 具有唯一性) 新增至 ISA Server 2006 上的 SMTP 篩選增益集。

如需如何停用 ISA Server 2006 的 SMTP 或 SMTPS 篩選,或是如何對 ISA Server 2006 新增 SMTP 動詞命令的相關資訊,請參閱郵件佇列在 Edge Transport Server (500 5.1.1 無法辨識的命令錯誤)

 
顯示: