Blog of Khlebalin Dmitriy

(Записки из мира IT…)

Ваш первый Exchange сервер

Немного из истории: на своей предыдущей работе мы по началу использовали одноранговую сеть (а это примерно 200 компов), сответственно никакого домена ипрочих приблуд+ почтовый сервер Mdaemon (к тому же еще и триальный), забирали почту этим серваком по POP3 у провайдера. Ежемесячно по истечению триального срока сервер постоянно падал, мы его переставляли, руководство не хотело вкладывать в ИТ ни копейки, так шли годы. Постоянные проблемы приближали мой мозг к централизованному управлению, а так как я раньше юзал exchange2000, то конечно мой взор был обращен к exchange2003, а не ко всяким linux почтовикам типа send mail. Воообще какой операционкой пользоваться и какие приложения использовать, это достаточно спорный вопрос, по этому от себя скажу, что каждая операционка хороша по своему. А теперь ближе к делу прежде чем перейти к статье по установке эксченджа, хочется привести обобщенные данные, дабы получить хоть какоето понимание наших дальнейших действий.
Введение.
Продукты компании Microsoft иногда могут ввести в заблуждение: кажется, что для их установки нужно всего лишь запустить программу инсталляции и нажимать кнопку «Далее» до полного завершения. Однако, следует принять к сведению несколько советов, когда дело касается первой установки сервера Exchange. Это советы по IP-адресации, имени сервера, Active Directory; советы по аппаратному обеспечению, антивирусной защите и т.д. С помощью моих указаний Вы сможете установить Exchange-сервер и можете рассчитывать на поддержку по телефону в случаях серьезных проблем, которые могут и не случиться, если Вы все хорошо распланируете и реализуете.
Active Directory.
Наверное, Вы уже слышали, что Exchange-сервер зависит от Active Directory. Это значит, что пользователи, группы и даже сама конфигурация Exchange-сервера хранятся в Active Directory.
Сервер, на котором хранится Active Directory, называется контроллер домена. Exchange-сервер может быть установлен на контроллер домена, однако, для того чтобы иметь резервное оборудование, лучше установить два контроллера домена, и оба отдельно от сервера Exchange. Контроллеры домена время от времени должны перезагружаться, поэтому, если сервер Exchange стоит отдельно, Вы можете производить перезагрузку без прерывания работы пользователей.
Ну, а что же такое Active Directory? По существу, это база данных, похожая на Exchange, и построенная по той же технологии. Маленькие фирмы часто впервые знакомятся с Active Directory с началом использования Exchange. До этого они работают в «рабочих группах», где каждый компьютер имеет свой отдельный механизм безопасности. Но после ввода Active Directory для установки Exchange-сервера, все компьютеры используют единую централизованную систему аутентификации. Это значит, что при входе в Windows Вы вводите имя пользователя и пароль, которые хранятся в контроллере домена Active Directory. Также в Active Directory может храниться любая информация о вас, и Вы можете настраивать группы для установки разрешений на файлы, базы данных и другие объекты.
После установки сервера Exchange в Active Directory добавляются новые элементы, что называется «расширяемая схема». Это значит, что атрибуты Exchange, такие как адрес электронной почты, расположение почтового ящика пользователя и т.п., могут быть приписаны любому пользователю.
Администратор Exchange должен всегда помнить об Active Directory. Многие проблемы Exchange-сервера напрямую связаны с ошибками на контроллере домена. Exchange-сервер использует для некоторых функций только контроллеры домена, которые являются серверами глобального каталога. Следует убедиться, что все контроллеры домена являются серверами глобального каталога. Иначе может случиться, что проблемы с первым контроллером домена, который является сервером глобального каталога по умолчанию, не позволяют серверу Exchange обслуживать пользователей.
Сервер глобального каталога.
По умолчанию, первый контроллер домена становится сервером глобального каталога. Для того, чтобы установить больше серверов глобального каталога, выполните следующее:
Нажмите Start (Пуск), Administrative Tools (Администрирование), а затем Active Directory Sites and Services (Сайты и сервисы Active Directory).
Дважды щелкните на Sites (Сайты), раскройте узел Servers (Серверы) и выберите ваш контроллер домена.
Дважды щелкните на контроллер домена, для раскрытия его содержимого.
Под сервером расположен объект NTDS Settings (Установки NTDS). Дважды щелкните по нему, а затем нажмите Properties (Свойства).
Убедитесь, что на закладке General (Общие) отмечена опция Global Catalog (Глобальный каталог) (это установка по умолчанию).
Хотя перезагрузка необязательна для Windows 2003, я рекомендую все-таки перегрузить контроллер домена.
Помните, что иногда информация сервера Exchange копируется медленно с одного контроллера домена на другой. Поэтому при настройке почтового ящика пользователя или изменении члена группы нужно подождать некоторое время для завершения копирования или произвести копирование вручную.
DNS.
Компьютеры в сети Интернет (или узлы, как их называют) для определения местоположения серверов используют DNS-сервера. Если, к примеру, Вам нужно узнать место расположения сервера для просмотра содержимого его web-сайта, Вы заходите на DNS-сервер провайдера Интернета, и тот начинает поиск либо у себя в кэше, либо запрашивает корневой сервер для списка доменов «org», потом сервер, ответственный за домен «msexchange.org», который содержит сервер «www», или несколько серверов, имеющих имя «www».
Microsoft использует такую же технологию в Active Directory. В домене Active Directory клиенты обязаны использовать локальные DNS-сервера вместо серверов провайдера для разрешения имен локальных серверов. Active Directory также хранит специальную SRV-запись для поиска различных серверов, например серверов глобального каталога.
Лучшей конфигурацией является DNS, интегрированный в Active Directory, а в списке серверов DNS у клиентов первым идет первый контроллер домена, вторым — второй контроллер домена, а последним – DNS-сервер провайдера услуг Интернет. В этом случае при неисправности одного контроллера домена сервисы Exchange все равно будут работать, а при неисправности двух контроллеров домена будет работать доступ в Интернет.
На контроллере домена список DNS-серверов должен быть такой: сам контроллер домена, другой контроллер домена и DNS-сервер провайдера.
В более сложной системе Вы можете использовать отдельный домен Интернета (msexchage.org) и отдельный внутренний домен (msexchange.local). Именно такая конфигурация и рекомендуется, поскольку это облегчает разрешение имен при наличии, к примеру, web-сервера, который расположен вне Вашей внутренней сети. Убедитесь, что имя внутреннего домена не используется в Интернете. Каждые несколько лет добавляются новые суффиксы (например .biz), поэтому использование имени типа [имя домена].local лучше всего подходит для использования в качестве имени внутреннего домена в Active Directory.
IP-адресация.
Вы должны принять решение по схеме IP-адресации. Большинство предприятий в наше время используют отдельную внутреннюю и внешнюю IP-адресацию. Провайдер Интернет назначает Вам внешние, открытые IP-адреса Интернет, а внутри сети Вы используете частные схемы IP-адресации.
Самый распространенный диапазон адресов для небольших компаний — 192.168.0.0/16. Если Вам нужно меньше, чем 254 IP-адресов, используйте маску подсети 255.255.255.0; если больше – 255.255.0.0. Все эти IP-адреса будут преобразованы в один IP-адрес Интернет, тот который назначен Вашим Интернет-провайдером.
Для серверов и рабочих станций, настраиваемых вручную, следует выделить диапазон адресов (например, 192.168.0.0-192.168.0.10), который не будет использоваться DHCP при автоматическом назначении IP-адресов.
Вам может потребоваться еще один открытый IP-адрес Интернет для Exchange-сервера. Маршрутизатор или брандмауэр (см. рисунок ниже) будут преобразовывать внешний IP-адрес во внутренний и переводить соединения из Интернета на сервер Exchange.
В качестве альтернативы можете использовать маршрутизатор или брандмауэр для переадресации входящего почтового трафика (порт 25) и трафика клиентов web-доступа к Outlook (OWA — Outlook Web Access) (порт 443) на внутренний Exchange–сервер. При этом DNS-сервера Интернета будут направлять Вас на IP-адрес маршрутизатора, а тот, в свою очередь, будет перенаправлять все соответствующие запросы на внутренний сервер Exchange, которому внешний IP-адрес уже не будет нужен.
Типичный сервер Exchange без переадресации по порту будет доступен по внутреннему IP-адресу (типа 192.168.0.2), а из внешней сети — по IP-адресу Интернета (типа 69.20.55.133).
Некоторые организации используют «ретранслятор электронной почты», который принимает входящие сообщения и проверяет их на вирусы, спам и т.п. Такой сервер тоже подвержен различным интернет-атакам. Его хорошо использовать в средних или больших организациях, а для маленьких организаций я бы порекомендовал использование хорошего брандмауэра для защиты от Интернет-атак, вирусов и спама, а не ставить отдельный сервер.
Если Вы собираетесь публиковать OWA-сайт в Интернете, даже в случае использования ретранслятора электронной почты Exchange-сервер все равно должен иметь внешний IP-адрес, если только Вы не используете внешний Exchange-сервер для ответа на HTTP-запросы и перевод их на внутренний Exchange-сервер.
Но для маленьких организаций использование внешнего сервера будет лишней тратой денег и времени, которые могли бы быть вложены в разработку других решений для увеличения уровня безопасности, например в более надежный брандмауэр.
Имя сервера.
Внешнее имя Вашего почтового сервера может быть любым, самое популярное «mail». Внутреннее имя может совсем не походить на внешнее. Внешнее имя разрешается DNS-серверами Интернета, а внутреннее – внутренними DNS-серверами.
Некоторые «эксперты по безопасности» рекомендуют к качестве имени Exchange-сервера использовать отвлеченные понятия, типа цвет («Red»), название планеты («Venus») или же сложное имя («b2xxxrl3»). Предположительно это используется для маскировки истинных функций сервера, так что злоумышленники не сразу догадаются, что этот сервер является контроллером домена или сервером Exchange. Однако, большинство хакеров и даже вирусов, или «троянских коней», обычно не смотрят на имя, а сканируют открытые порты компьютера.
Я рекомендую называть сервера простыми и понятными именами. Помните, что Вам придется настраивать насколько серверов Outlook и вводить имя Вашего Exchange-сервера несколько сотен раз в течение Вашей администраторской карьеры. Кроме того, иногда пользователям нужны собственные настройки, поэтому — чем проще, тем лучше. Используйте имена типа «Exchange», «Mail», «DC1» и «DC2».
Аппаратное обеспечение.
Для базовой конфигурации Exchange 2003 требуется компьютер с объемом памяти как минимум 512МБ, хотя рекомендуется использовать 1ГБ или более.
Процессор – это всегда проблема, однако у большинства серверов и даже рабочих станций достаточно мощности для Exchange-сервера, правда, если не используется никакой другое приложение, которое интенсивно использует процессор. Exchange-сервер поддерживает технологию hyperthreading, которая используется в процессорах Pentium 4. Если Вам нужно больше мощности, используйте процессоры Intel Xeon с большим кэшем и возможностью использования нескольких процессоров.
Сегодня некоторые процессоры поддерживают 64-битную архитектуру, однако она не поддерживается в Exchange 2003 и будет доступна только в следующей версии Exchange-севера, E12.
Конфигурация диска – сложная задачаВ двух словах могу сказать, что сегодня можно выбрать либо SATA-диски для Exchange-серверов с низкой производительностью, либо, если Вы можете себе это позволить, SCSI-диски. SATA-диски предоставляют больший объем за меньшие деньги, оно обычно они работают медленнее, хотя и гораздо лучше, чем диски ATA (IDE). Чтобы не расстраиваться по поводу поломок диска, Вы можете создать избыточный массив дисков (RAID). В большинстве случаев рекомендуется аппаратный RAID.
При планировании объема диска лучше всего, чтобы свободного места было в два раза больше, чем ожидаемый объем баз данных Exchange-сервера. Для раздела под базу данных сервера Exchange Standard edition рекомендуется 32 ГБ и более.
Резервное копирование, вирусы, спам.
Для Exchange-сервера нужны дополнительные компоненты, которые покупаются отдельно. В Windows 2003 есть своя утилита резервного копирования, которая имеет возможность резервного копирования и сервера Exchange 2003, а программа IMF может быть бесплатно установлена на сервер Exchange 2003 для защиты от нежелательной почты (спама). Однако даже если у Вас есть антивирусная защита всей сети, обязательно стоить купить антивирусное программное обеспечение, специально разработанное для Exchange-серверов, поскольку некоторые вирусы могут появиться изнутри сети.
Убедитесь, что резервное копирование Exchange-сервера производится ежедневно, а носители с резервными копиями хранятся в несгораемом шкафу. Регулярно следует покупать новые носители, чтобы не использовать одни и те же до их прихода в непригодность.
Программа IMF не самый лучший фильтр нежелательной почты, хотя она и улучшается в новых пакетах обновлений и версиях Exchange-сервера. Вы можете купить любую программу, однако убедитесь, что она позволяет устанавливать собственные параметры фильтрации, чтобы пользователи не обращались к Вам всякий раз, когда их почта оказывалась в карантине из-за того, что фильтр принял ее на нежелательную почту.
Хороший антивирусный пакет не загружает процессор и дает возможность установки фильтрации файлов по их типу, что обычно меньше загружает процессор, чем просмотр всех без исключения вложенных файлов. Антивирусная программа должна обновляться ежедневно или чаще, поскольку иногда новые опасные вирусы появляются очень быстро. Некоторые антивирусные пакеты могут определить, содержит ли письмо неизвестный вирус.
Трудно заранее протестировать антивирусный пакет для Exchange-сервера, поэтому перед покупкой лучше всего поискать рекомендации в Интернете.
Заключение.
Проблемы, обсуждаемые в этой статье, — это только верхушка айсберга. Здесь показана общая картина, и на MSExchange.org постоянно появляются статьи, посвященные детальному изложению каждого аспекта Exchange-сервера.
Непосредственно установку предлогаю рассмотреть в следующей статье.

29.05.2009 Posted by | ms exchange 2003 | | Комментарии к записи Ваш первый Exchange сервер отключены