Blog of Khlebalin Dmitriy

(Дорогу осилит идущий…)

Маршрутизация электронной почты сервера

В сервере Exchange 2007 используется совершенно новые возможности маршрутизации электронной почты. Каждый из сайтов Active Directory (и даже при наличии одного сайта), в котором расположены почтовые ящики Exchange-сервера, должен обладать серверов с ролью Центральный транспорт (Hub Transport) для контроля потока сообщений между сайтами. В данной статье детально рассмотрим эту новую технологию, и я объясню, как она работает. В первой части я расскажу об основных понятиях и архитектуре для облегчения понимания того, как устроен Exchange-сервер, и как он работает; во второй части будет показано, как настроить данную технологию для работы на сервере Exchange 2007 с помощью графических средств администрирования и оболочки Powershell.

Архитектура потока сообщений

Роль Центральный транспорт необходима для каждого сервера Exchange 2007 для маршрутизации внутренней и внешней электронной почты. Служба, работающая на таких серверах, называется Exchange Transport Service (MSExchangeTransport.exe) (Служба транспорта Exchange-сервера).

Входящая электронная почта

Входящей электронной почтой называется почта, доставляемая извне, например, из Интернета, на сервер Exchange 2007. Нам нужен сервер-шлюз, которым будет сервер с ролью Граничный транспорт (Edge Transport) или Центральный транспорт. Это зависит от соединения с Интернетом и настроек брандмауэра. Лучше всего установить сервер Exchange 2007 с ролью Граничный транспорт в демилитаризованной зоне (DMZ) без необходимости использования Active Directory. Это сервер будет маршрутизировать входящие сообщения в вашу организацию Exchange 2007.

Исходящая электронная почта

Исходящая электронная почта – это сообщения, отправленные с внутренних почтовых ящиков пользователей внешним получателям, находящимся в Интернете. После того, как Центральный транспорт обработает сообщение и определит, что оно является исходящим, он маршрутизирует его в Интернет либо напрямую, либо, опять же, через сервер-шлюз. Этим шлюзом может быть Граничный транспорт.

Локальная электронная почта

Локальная электронная почта – это сообщения, обрабатываемые Центральным транспортом организации Exchange 2007 и доставляемые им в почтовые ящики того же самого сайта Active Directory.

Удаленная электронная почта

Удаленная электронная почта – это сообщения, обрабатываемые Центральным транспортом организации Exchange 2007 и доставляемые им в почтовые ящики другого сайта Active Directory.

SMTP-коннекторы

SMTP-коннекторы – это компоненты сервера Exchange 2007, которые поддерживают односторонние SMTP-соединения. В связи с новыми ограничениями (основанными на старых версиях Exchange-сервера) нам нужно два типа коннекторов:

  • SMTP коннекторы-получатели
  • SMTP коннекторы-отправители

SMTP коннектор-получатель необходим серверу Exchange 2007 для приема любых SMTP-соединений. Он используется для разрешения Центральному транспорту или Граничному транспорту получать сообщения с любого другого SMTP-сервера Интернета, другого Центрального транспорта, другого Граничного транспорта или из других систем Exchange 2007. Можно настроить несколько SMTP коннекторов-получателей с различными параметрами на одном Exchange-сервера для повышения доступности. Вам не нужно создавать коннекторы-получатели для маршрутизации сообщений между Центральными транспортами из одного леса.

SMTP коннектор-отправитель необходим серверу Exchange 2007 для отсылки любых SMTP-сообщений. Он нужен для отправки сообщений на любой SMTP-сервер Интернета или на любой SMTP-сервер внутри организации Exchange-сервера.

Управлять всеми коннекторами можно из консоли Exchange Management Console или с помощью оболочки Exchange Management Shell. Для управления коннекторами из оболочки пользуйтесь командлетами Set-ReceiveConnector и Set-SendConnector.

Компоненты транспорта сообщений

Для работы с Exchange-сервером и устранения проблем транспорта сообщений вам необходимо знать внутреннюю работу маршрутизации сообщений Exchange-сервера.

Компонентами сообщений являются:

  • Очередь на отправку (Submission Queue)
  • Координатор хранилища (Store Driver)
  • Служба подтверждения отправки сообщений (Microsoft Exchange Mail Submission Service)
  • Каталог считывания (Pickup Directory)
  • Распределитель (Categorizer)

Сообщения внутри организации Exchange попадают в транспортный канал через SMTP коннектор-получатель. Входящие сообщения попадают в транспортный канал через Центральный транспорт.

Очередь на отправку

На каждом Центральном или Граничном транспорте есть одна очередь на отправку, создаваемая распределителем каждый раз при запуске службы транспорта Exchange Transport Service. Очередь хранит на локальном диске все сообщения до того, как они будут обработаны распределителем для отправки. После этого сообщения удаляются из очереди.

Координатор хранилища

Отосланные пользователями сообщения, после помещения их в папку Outbox (Исходящие), попадают в транспортный канал. Координатор хранилища на Центральном транспорте берет сообщения из папки Исходящие и переносит их в очередь на отправку. После успешного помещения сообщения в очередь на отправку, сообщение переносится в папку Sent Items (Отправленные) отправителя. Сообщения хранятся в формате MAPI, перед помещением в очередь на отправку должны быть переконвертированы в формат Summary Transport Neutral Encapsulation Format (S/TNEF) (Общий формат передачи нейтральных пакетов). Этой конвертацией тоже занимается координатор хранилища. Если конвертация заканчивается неудачей, создается отчет о недоставке (Non-delivery Report — NDR).

Служба подтверждения отправки сообщений

Служба подтверждения отправки сообщений – это служба оповещения, работающая на серверах с ролью Почтовый ящик (Mailbox). Она сообщается Центральному транспорту о том, что из папки Исходящие можно забирать сообщение. Если в вашем сайте Active Directory расположено несколько Центральных транспортов, служба равномерно распределяет оповещения между каждым транспортом, используя статическую балансировку нагрузки.

Каталог считывания

Каждое сообщение, перемещаемое в каталог считывания, было успешно передано в очередь на отправку через распределитель. Сообщения, помещенные в каталог считывания, должны быть в правильном формате и иметь настроенные разрешения на чтение/запись. Таким образом, вы получает правильно отформатированный текстовый файл, который обрабатывается и доставляется Центральным транспортом. Это крайне полезно, когда поток сообщений проверяется организацией, или ретранслируются определенные сообщения, или сообщения возвращаются в транспортный канал. Даже приложения сторонних производителей могут помещать сообщения в каталог считывания вместо того, чтобы напрямую соединяться с Exchange-сервером.

Распределитель

Распределитель всегда проверяет старейшие сообщения очереди на отправку на то, следует ли маршрутизировать сообщение внутри или снаружи организации Exchange.

На каждом Центральном транспорте распределитель выполняет следующие задачи:

  • Идентификация и подтверждение отправителя
  • Расширение списков рассылки
  • Определение путей маршрутизации
  • Конвертация форматов содержимого
  • Применение политик сообщения

Внедрение транспорта сообщений

Каждый раз при установке Центрального транспорта в окружение Exchange 2007, маршрутизация сообщений включается по умолчанию, однако, возможно, вам придется настроить дополнительные параметры на Центральном транспорте. Процесс может выглядеть так:

  • Настройка особых настроек сервера
  • Настройка полномочных доменов и политик адресов электронной почты
  • Настройка почтового ящика администратора (Postmaster)
  • Настройка потока Интернет-сообщений
  • Настройка политик сообщений
  • Настройка административных разрешений:
    • Администраторы организации Exchange
    • Администраторы Exchange-сервера
    • Администраторы Exchange-сервера с правом «Только просмотр»

Каждая их этих настроек уникальна и требует определения в документации по конфигурации до начала настройки.

Заключение

Как вы видите из наших теоретических выкладок, маршрутизация сообщений сервера Exchange 2007 немного отличается от того, что было в предыдущих версиях. Однако, новая версия дает простой и понятный способ настройки транспорта сообщений с помощью устанавливаемых и настраиваемых ролей.

В следующей части вы увидите, как описанные задачи настраиваются в сервер Exchange 2007 с помощью графических средств администрирования и оболочки Powershell.

В первой части статьи мы рассмотрели теоретические основы маршрутизации сообщений электронной почты сервера Exchange 2007. Теперь посмотрим, как настроить маршрутизацию в сервере Exchange 2007 и как создать топологию маршрутизации, отвечающую нашим требованиям.

Главные свойства топологии маршрутизации сервера Exchange 2007 таковы:

  • Нет групп маршрутизации
  • Нет коннекторов групп маршрутизации
  • Использование ссылок на сайты AD
  • Использование маршрутизации наименьшей стоимости на основе возможностей OSPF сетевого уровня
  • Очереди близки к точке возможного отказа
  • Улучшенный алгоритм бифуркации

Это означает, что алгоритм состояния канала, использовавшийся в сервере Exchange 2003, больше не используется.

Установка ролей

До начала установки окружения сервера Exchange 2007 вы должны убедиться, что ваша структура сайтов Active Directory чиста и не содержит никаких конфигурационных ошибок. Возможно, вам придется еще раз продумать всю конфигурацию и обновить ее, если необходимо.

При установке сервера Exchange 2007 вы должны выбрать роль сервера. Роль Hub Transport (Центральный транспорт) – основа структуры маршрутизации. Если вы используете инфраструктуру Active Directory с одним сайтом, схема будет достаточно проста, но если у вас несколько сайтов Active Directory, то связи сайтов Active Directory станут основой топологии маршрутизации Exchange-сервера. Т.е. стоимость связи между сайтами считается на основе наилучшего маршрута между сайтами.

Если вы устанавливаете сервер Exchange 2007 в уже существующем лесу, вы должны будете выбрать, с какой из существующих групп маршрутизации вы будете соединяться. Так происходит потому, что серверы Exchange 2007 будут существовать в отдельной группе маршрутизации, содержащей только серверы Exchange 2007. В идеале, ваш первый сервер Exchange 2007 будет ядром с одной из существующих центральных групп маршрутизации.

Объяснение маршрутизации почты внутри организации

Маршрутизация между двумя сайтами, в каждом из которых находится только один сервер Exchange 2007, достаточно проста.

1

В окружении с как минимум тремя сайтами в одной цепи при отправке почты с первого на третий сайт мы сталкиваемся с другим поведением. По сравнению с предыдущими версиями Exchange-сервера, сервер Exchange 2007 пытается отослать сообщение напрямую.

2

Теперь Exchange-сервер будет маршрутизировать сообщения на третий сайт напрямую, поскольку использование второго сайта дает дополнительную стоимость и не имеет никаких преимуществ. Количество WAN-каналов не уменьшилось бы, а сайт, находящийся на середине пути, должен бы был использовать свои ресурсы для получения и отправки сообщения. Помимо этого, на доставку затрачивается дополнительное время.

3

В случае неисправности Exchange-сервер ставит сообщение для сайта C в очередь на сервере, ближайшем к северу назначения.

4

В случае избыточности каналов связи между сайтами, топология всегда имеет наименьшую стоимость.

После объяснения настроек маршрутизации внутри организации, перейдем к соединению сервера Exchange 2007 с внешней сетью.

Настройка исходящего транспорта сообщений

Прежде всего, нам нужно настроить сервер Exchange 2007 на прием исходящих сообщений. Т.е. нам нужно создать новый SMTP коннектор-отправитель на вкладке настроек организации.

5

6

Здесь вы должны ввести адресное пространство (или SMTP-домены), с которых ваш сервер должен принимать сообщения для последующей маршрутизации.

7

Теперь вы должны настроить сервер назначения (сервер-ретранслятор) вашего сетевого окружения. Лучше всего настраивать Exchange-сервер на использование MX-записей DNS. Это значит, что при изменении IP-адресов ваших серверов вам нужно будет просто изменить настройки DNS.

8

Далее вам необходимо добавить все серверы-источники (в сервере Exchange 2003 они назывались серверами-плацдармами), которые смогут использовать этот коннектор для исходящей почты.

Для завершения настройки вам нужно нажать NEXT (Далее), NEW (Новый) и FINISH (Завершить), и новый коннектор будет создан.

Настройки входящего транспорта

В сервере Exchange 2007 коннектор-получатель является «приемником-получателем». Это означает, что коннектор-получатель прослушивает входящие соединения на соответствие их установками коннектора-получателя. Коннектор-получатель прослушивает соединения на определенном порту и с определенного IP-адреса или диапазона IP-адресов. Вы можете установить предел количества активных соединений, поддерживаемых коннектором-получателем. Коннектор-получатель – это функция сервера с ролью Граничный транспорт, он может быть настроен только на сервере с такой ролью.

Если вы хотите, чтобы ваш Exchange-сервер принимал почту с Граничного транспорта, вам нужно настроить подписку (с помощью XML-файла) и импортировать ее в вашу организацию сервера Exchange 2007.

Для настройки того, сообщения с каких почтовых доменов будут приниматься To Exchange-сервером, вам нужно создать политику «Accepted Domain» (Принимаемые домены) в консоли Exchange System Manager в разделе Organization Configuration (Настройки организации) в узле Hub Transport (Центральный транспорт).

9

Exchange-сервер предлагает три возможности:

  • Authoritative Domain (Уполномоченный домен)
  • Internal Relay Domain (Внутренний ретранслятор)
  • External Relay Domain (Внешний ретранслятор)

Заключение

Как вы видели, сервер Exchange 2007 дает возможность настройки большого количества параметров для маршрутизации сообщений. Если говорить о топологии маршрутизации внутри маршрутизации, то сервер Exchange 2007 полностью полагается на структуру сайта Active Directory. Это значит, что перед внедрением сервера Exchange 2007 вам нужно удостоверить, что ваша структура AD чиста и правильно настроена.

Если рассматривать варианты транспорта внешних сообщений, вам нужно настроить SMTP коннектор-отправитель с помощью средств администрирования для гарантии правильной работы исходящей почты. Для настройки входящей почты, лучше всего установить сервер Exchange 2007 с ролью Граничный транспорт. Настройка политики принимаемых доменов гарантирует, что Exchange-сервер будет принимать сообщения только для соответствующих доменов.

В первой и второй частях этой статьи обсуждалась схема маршрутизации сообщений сервера Exchange 2007 и то, как её сконфигурировать с помощью Graphical User Interface. Exchange Server 2007 также допускает другую возможность управления — Exchange Management Shell. В этой статье мы рассмотрим, как сконфигурировать маршрутизацию сообщений на сервере Exchange Server 2007, используя консоль Powershell.

08.06.2009 Posted by | ms exchange 2007 | Комментарии к записи Маршрутизация электронной почты сервера отключены

Работа Outlook Anywhere с Isa 2006.

Создание сертификатов

Следующим шагом является создание сертификатов веб сервера для приемника ISA Server Sharepoint Listener. Общее имя (Common Name – CN) сертификата должно совпадать с FQDN, которое вы используете в интернете для доступа к веб сайту. Обычно используются сертификаты с вашего внутреннего центра сертификации или коммерческие сертификаты. В этом примере мы будем использовать самоподписные сертификаты (self signed certificates) с помощью инструмента SELFSSL из ресурсного пакета IIS 6 Resource Kit. Вы можете бесплатно скачать пакет IIS 6 Resource Kit с веб сайта компании Microsoft. Ссылка представлена в конце статьи.

Установка пакета IIS 6 Resource Kit

9

SELF SSL – это инструмент командной строки, используемый для создания сертификата.

10

SELFSSL имеет несколько опций для создания сертификатов. Выполнение команды SELFSSL с параметром /? позволит отобразить все доступные опции.

Заметка: Обратите особое внимание на параметр /V:. Параметр /V: задает срок действия сертификата в днях!

После создания сертификата у вас есть два способа его переноса на другой узел сервера ISA Server, который уже принадлежит кластеру ISA NLB:

  1. Экспортировать сертификат с применением частного ключа с первого узла.
    1. Создать новый сертификат с теми же параметрами на втором узле.
11

Для примера в этой статье мы экспортируем сертификат с первого узла, переместим его на второй узел и импортируем его в хранилище сертификатов локального компьютера.

12

Заметка: Поскольку мы используем самоподписной сертификат, нам нужно импортировать самоподписной сертификат в хранилище доверенных корневых центров сертификации на обоих узлах сервера ISA.

Начиная с Exchange Server 2003 и Outlook 2003, пользователи могли использовать полнофункциональную версию Outlook при работе через Интернет. Outlook 2003 – это полноценный MAPI-клиент, который для связи с Exchange-сервером использует RPC. Понятно, что такой подход не является дружественным для брандмауэров, поэтому компания Microsoft разработала технологию, называемую RPC поверх HTTPS. При использовании RPC поверх HTTPS, пакеты RPC туннелируются через HTTPS, так что на брандмауэре необходимо открыть порт HTTPS.

В сервере Exchange 2007 имя RPC поверх HTTPS было заменена на Outlook Anywhere, но технология осталась прежней.

На стороне Exchange-сервера

Первым делом необходимо установить на Exchange-сервере компонент прокси RPC поверх HTTPS.

1

Откройте консоль управления Exchange-сервера и включите функцию Outlook Anywhere в разделе Client Access (Доступ клиента) в контейнере Server Configuration (Настройки сервера).

2

Выберите методы внешней аутентификации. В моем примере я выбрал Basic Authentication (Базовая аутентификация).

Обратите внимание: Если вы в качестве брандмауэра используете сервер ISA 2006, есть возможность выбрать аутентификацию NTLM, так что при работе с Outlook 2007 запрос пароля пропадет (также возможно и с Outlook 2003 и сервером Exchange 2003).

3

На стороне IIS

Установка компонентов прокси RPC поверх HTTPS создает в IIS новый виртуальный каталог с именем RPC. Вам необходимо включить SSL для данного каталога и активировать параметры Integrated Windows Authentication (Встроенная аутентификация Windows) или Basic Authentication (Базовая аутентификация). Выбор зависит от типа аутентификации, выбранной на сервере Exchange 2007.

4

Разделенная DNS или файл HOSTS?

Имя RPC.IT-TRAININGR-GROTE.DE на web-приемнике RPC должно разрешаться в IP-адрес внутреннего Exchange-сервера, поэтому у вас есть два варианта действия:

  • Использование разделенной системы DNS
  • Использование файла HOSTS

Если вы используете разделенную DNS, вам необходимо создать новую зону прямого просмотра с именем IT-TRAINING-GROTE.DE. Затем, вам нужно создать в этой новой зоне запись типа A с именем RPC и IP-адресом внутреннего Exchange-сервера.

Если вы используете файл HOSTS, вам необходимо добавить в него следующую запись:

IP-адрес Exchange-сервера RPC.IT-TRAINING-GROTE.DE

5

 

Запустите консоль управление ISA-сервера. Нажмите New (Новый)Exchange Webclient Access Publishing Rule (Правило публикации доступа web-клиента Exchange-сервера). Задайте имя правила, выберите версию Exchange-сервера и укажите, что хотите публиковать Outlook Anywhere.

7

Выберите Publish a Single Website or load balancer (Публиковать единственный web-сайт или балансировщик нагрузки).

В следующем окне мастера выберите Use SSL to connect to the published Web server or server farm (Использовать SSL-соединение для связи с опубликованным web-сервером или группой серверов).

Введите название внутреннего сайта. Вы можете указать NetBIOS-имя сервера или его имя DNS FQDN.

Далее вы должны ввести имя, которое пользователи RPC поверх HTTPS с Outlook 2007 должны использовать для доступа к Exchange-серверу с помощью Outlook 2007 из Интернета (см. Рисунок 8).

8

Новый Web-приемник

Теперь нам нужно создать web-приемник. ISA-сервер использует web-приемники для прослушивания входящих запросов, соответствующих настройкам приемника. Web-приемник – это комбинация IP-адреса, порта и, при использовании SSL, сертификата. Web-приемник должен обладать уникальным именем.

В следующем окне мастера выберите Require SSL secured connections with clients (Для связи с клиентами требуется SSL).

Вы должны указать IP-адрес web-приемника. Если запрос приходит из Интернета, вы должны выбрать External Network (Внешняя сеть). Если ISA-сервер обладает несколькими IP-адресами, привязанными к внешнему интерфейсу, вы должны выбрать тот адрес, который используется для Outlook Web Access.

91

Выберите сертификат, который вы запросили с внутреннего центра сертификации и нажмите Next (Далее).

101

Из выпадающего списка выберите HTTP Authentication (HTTP-аутентификация) и в качестве метода аутентификации выберите Basic (Базовая).

111

В диалоговом окне Authentication Delegation (Делегирование аутентификации) выберите Basic Authentication (Базовая аутентификация).

121

Последний шаг – необходимо указать группу пользователей, к которой будет применяться правило. Установка по умолчанию — “All Authenticated Users” (Все аутентифицированные пользователи).

Завершите работу мастера и нажмите Apply (Применить) для сохранения изменений.

После создания правила RPC необходимо изменить некоторые установки:

  • Измените на вкладке “To” (К) “Requests appears to come from the original Client” (Запросы приходят от оригинального клиента)
  • Включите на вкладке “Traffic” (Трафик) опцию “Require 128 Bit encryption for HTTPS Traffic” (Требуется 128-битное шифрование для трафика HTTPS)

Проверка соединения клиента

После успешной настройки сервера Exchange 2007 и правила публикации RPC вы можете проверить соединение клиента. В нашем случае клиентом будет компьютер под управлением Windows XP Service Pack 2 с установленным Office 2007 Beta 2.

Вы должны создать для пользователя новый профиль. После создания профиля вам необходимо настроить Outlook Anywhere, активировав Connect to my Exchange Mailbox using HTTP (Соединяться с моим почтовым ящиком Exchange с помощью HTTP) .

131

Именем будет rpc.it-training-grote.de, настройки аутентификации прокси — Basic Authentication (Базовая аутентификация).

141

После настройки почтового профиля вы сможете зарегистрироваться на Exchange-сервере.

151

Заключение

Outlook Anywhere в сервере Exchange 2007 – это превосходная функция, поддерживающая полную функциональность клиента Outlook 2007 в Интернете. Outlook Anywhere, опубликованный на сервере ISA 2006, — это идеальное решение для обеспечения защиты вашей сети.

08.06.2009 Posted by | ms isa 2006 | Комментарии к записи Работа Outlook Anywhere с Isa 2006. отключены

Публикация центра сертификации (или каких нибудь других серверов например SharePoint) с помощью ISA Server 2006.

Создание сертификатов

Следующим шагом является создание сертификатов веб сервера для приемника ISA Server Sharepoint Listener. Общее имя (Common Name – CN) сертификата должно совпадать с FQDN, которое вы используете в интернете для доступа к веб сайту. Обычно используются сертификаты с вашего внутреннего центра сертификации или коммерческие сертификаты. В этом примере мы будем использовать самоподписные сертификаты (self signed certificates) с помощью инструмента SELFSSL из ресурсного пакета IIS 6 Resource Kit. Вы можете бесплатно скачать пакет IIS 6 Resource Kit с веб сайта компании Microsoft. Ссылка представлена в конце статьи.

Установка пакета IIS 6 Resource Kit

9

SELF SSL – это инструмент командной строки, используемый для создания сертификата.

10

SELFSSL имеет несколько опций для создания сертификатов. Выполнение команды SELFSSL с параметром /? позволит отобразить все доступные опции.

Заметка: Обратите особое внимание на параметр /V:. Параметр /V: задает срок действия сертификата в днях!

После создания сертификата у вас есть два способа его переноса на другой узел сервера ISA Server, который уже принадлежит кластеру ISA NLB:

  1. Экспортировать сертификат с применением частного ключа с первого узла.
  2. Создать новый сертификат с теми же параметрами на втором узле.
11

Для примера в этой статье мы экспортируем сертификат с первого узла, переместим его на второй узел и импортируем его в хранилище сертификатов локального компьютера.

12

Заметка: Поскольку мы используем самоподписной сертификат, нам нужно импортировать самоподписной сертификат в хранилище доверенных корневых центров сертификации на обоих узлах сервера ISA.

Публикация на Иса сервере аналогично ОВА только правило надо использовать

Publish Web Sites а также использовать  второй сертификат и листенер.

13

14

08.06.2009 Posted by | ms isa 2006 | Комментарии к записи Публикация центра сертификации (или каких нибудь других серверов например SharePoint) с помощью ISA Server 2006. отключены