KAPITOLA 6 Správa serverové role Hub Transport V této kapitole:
K1525.indd 235
Přenos zpráv a architektura směrování v Exchange 2007
Správa serverové role Hub Transport
Správa velikosti zpráv a limitu počtu příjemců
Sledování zpráv v Exchange Serveru 2007
Prohlížeč Exchange 2007 Queue Viewer
Nástroj Exchange Mail Flow Troubleshooter
Nastavení Hub Transport Serveru jako transportního serveru do Internetu
27.3.2008 9:13:59
236
Kapitola 6: Správa serverové role Hub Transport
Úvod Serverovou roli Exchange 2007 Hub Transport je vhodné instalovat na server, jenž je členem domény, a vždy je nutné ji instalovat na vnitřní síti a nikoli v demilitarizované zóně, jak to možná někdo dělá. Hub Transport server nahrazuje předmostí (bridgehead server), které známe z Exchange 2000 a 2003, a stará se o veškerý vnitřní tok pošty v organizaci. Všechny vnitřní zprávy tečou přes Hub Transport server, i když jsou odesilatel a příjemce v tomtéž prostoru AD, a dokonce i tehdy, když se nacházejí na stejném poštovním serveru! Kromě zodpovědnosti za vnitřní tok pošty v organizaci má Hub Transport server množinu transportních agentů, které nám umožňují nakonfigurovat pravidla a nastavení, jež pak lze aplikovat na zprávy procházející serverem. Hub Transport server také umožňuje nastavit postupy a pravidla, jež vyhovují specifickým nařízením a prohlášením firmy. Jelikož Hub Transport server obvykle posílá a přijímá zprávy z Internetu skrze Edge Transport server v demilitarizované zóně, není nutné na něj instalovat žádné antispamové agenty a nepřijímá zprávy přicházející z neautentizovaných (nedůvěryhodných) e-mailových serverů v Internetu – alespoň ve výchozím nastavení. Protože ne všechny organizace mohou a ani nebudou moci nainstalovat do demilitarizované zóny Edge Transport server, ukážeme si, jak lze nastavit Hub Transport server, aby fungoval ve vaší organizaci jako transportní server vůči Internetu.
Architektura přenosu zpráv a směrování v Exchange 2007 V oblasti architektury a směrování došlo v Exchange Serveru 2007 k výrazným změnám. V první řadě už Exchange nepoužívá oproti dřívějším verzím produktu protokol SMTP integrovaný v Internetové informační službě (IIS). Namísto toho přepsala produktová skupina Exchange balík transportu přes SMTP do řízeného kódu a výsledkem je mnohem stabilnější a bezpečnější protokol. Transportní balík například běží pod účtem síťové služby a používá několik nových mechanismů, které snižují rizika spojená s útokem Denial-of-Service a s dalšími bezpečnostními problémy. Nový transportní balík SMTP je nyní znám jako služba Microsoft Exchange Transport (MSExchangeTransport.exe), a protože již nezávisí na IIS, není již také v IIS Manageru. Ve skutečnosti ani nemusíte na Hub Transport server IIS instalovat, pokud jej nekombinujete se serverovou rolí Mailbox či Client Access na tomtéž hardwaru. Vytváříte-li svou topologii Exchange, není už nutné mezi směrovacími skupinami v organizaci Exchange nastavovat konektory směrovacích skupin, protože nic takového již v Exchange 2007 není. Už slyším nářky, „Proč byl tento pohotový způsob směrování zpráv skrze organizaci Exchange odstraněn?“ Inu, směrovací skupiny měly také své nevýhody, včetně dlouhých prodlev v situaci, kdy se dva servery neshodly na stavu spojení, s případným vznikem směrovací smyčky. Další nevýhoda byla při sledování zprávy, kdy mohla vniknout velmi matoucí situace při zjišťování, proč daná zpráva šla v určitém okamžiku určitým směrem, protože tabulka stavu linek v topologii Exchange nebyla nikdy trvalá ani se neukládala. A poslední problém byl, že princip směrovacích skupin a konektorů
K1525.indd 236
27.3.2008 9:13:59
237
Architektura přenosu zpráv a směrování v Exchange 2007
směrovacích skupin nutil administrátory Exchange opětovně vytvářet a simulovat podkladovou síť, což může být časově velmi náročná a dokonce zbytečná práce. Jak se tedy nastavuje směrovací topologie v Exchange Serveru 2007? Prostě se nenastavuje! Exchange Server 2007 je aplikace, která zná svou pozici, což znamená, že dotazem do Active Directory umí najít své místo v síti Active Directory a také místa ostatních serverů. Namísto vlastní směrovací topologie používá Exchange topologii sítě služby Active Directory a s její pomocí určuje, jak zprávy prochází skrze organizaci. To znamená, že Hub Transport servery ve vaší organizaci Exchange načítají informace z Active Directory, aby stanovily, jak mají být zprávy směrovány mezi servery. Na každé místo, kde je Mailbox server, je třeba nainstalovat Hub Transport server, takže když uživatel A na jednom místě pošle zprávu uživateli B na jiném místě, poštovní server zkontaktuje Hub Transport server ve svém vlastním místě a pak nasměruje zprávy na Hub Transport server na místě uživatele B, které nakonec skončí na poštovním serveru se schránou uživatele B.
KAPITOLA 6
Na obrázku 6.1 jsem se pokusil načrtnout, jak probíhá směrování zpráv v základní organizaci Exchange 2007. Všimněte si, že servery Mailbox a Hub Transport používají pro základní komunikaci RPC, kdežto dva Hub Transport servery spolu hovoří při výměně zpráv skrze SMTP.
2. síť AD
1. síť AD šifrované RPC
šifrované RPC
zabezpečené SMTP
poštovní server
Hub Transport server
Hub Transport server
odesilatel
Správa serverové role Hub Transport
Poznámka: Všechny Hub Transport servery používají při výměně zpráv v organizaci bezpečný protokol SMTP. Používají běžný průmyslový standard SMTP Transport Layer Security (TLS), takže veškerá komunikace mezi Hub Transport servery je autentizována a šifrována. Tím je vyloučena možnost vnitřního odposlechu. Kromě toho je šifrována také veškerá komunikace RPC mezi Hub Transport servery a poštovními servery.
poštovní server
příjemce
Obrázek 6.1 Cesta zprávy od uživatele v jedné síti AD k uživateli v jiné síti AD
K1525.indd 237
27.3.2008 9:13:59
238
Kapitola 6: Správa serverové role Hub Transport Poznámka: Jestliže v konkrétní síti AD existuje více cest, Hub Transport server použije deterministický algoritmus a vybere jednu z nich. Protože bude vždy vybrána jedna z cest, je algoritmus deterministický. Více se o síti AD a algoritmu výběru spojení používaném pro směrování můžete dočíst v následujícím příspěvku v blogu týmu MSExchange: http://msexchangeteam.com/archive/ 2006/09/15/428920.aspx.
Když Hub Transport server ustanoví v síti AD spojení SMTP na Hub Transport server v jiné síti AD, aby mohl doručit zprávu, používá cyklický vyrovnávací mechanismus (round-robin load balancing). To znamená, že jestliže první zkontaktovaný Hub Transport server neodpoví na připojení, pokusí se přes SMTP založit spojení na další Hub Transport server v síti AD. Z uvedeného plyne, že Hub Transport servery jsou bez jakéhokoliv přičinění schopny vyrovnat se s chybou. Protože směrování vyplývá ze sítě Active Directory, funkce aktualizace stavu linek (Link State) v Exchange, která se používala v předchozích verzích Exchange, byla opuštěna. Funkce stavu linek ve starších verzích sloužila každé hlavní směrovací skupině k úpravám a udržování tabulek se stavy linek v aktuálním stavu a tato informace se šířila zpět na ostatní Exchange Servery v organizaci. Použití sítě AD v Exchange 2007 vytváří jednoznačnější směrovací topologii.
Správa Hub Transport Serveru Veškerá nastavení Hub Transport pro celou organizaci se ukládají v Active Directory. To znamená, že všechny změny nebo konfigurace, kromě specifických nastavení přijímacího konektoru, se odrazí na všech Hub Transport serverech v organizaci. V následujících pasážích si projdeme všechny záložky, které se nacházejí v podřízeném uzlu Hub Transport na obrázku 6.2. Protože by bylo nesmyslné věnovat přijímacím konektorům vlastní oddělenou část, zahrneme je do tohoto oddílu také.
Vzdálené domény První záložka se nazývá Remote Domain. Zde lze nastavit přenos zpráv mezi Exchange 2007 a externími doménami SMTP. Když nastavujete vzdálenou doménu, lze ovládat tok pošty přesněji, určovat formátování a pravidla pro poštu a zadat znakové sady, které mohou ve zprávách přijímaných a odesílaných ze vzdálené domény být. Jak je vidět na obrázku 6.2, je zde výchozí záznam vzdálené domény, nastavený po nainstalování serverové role Hub Transport. Adresní prostor domény je nakonfigurován jako *, což reprezentuje všechny externí domény. To znamená, že nastavení v tomto záznamu pro vzdálenou doménu se aplikuje na všechny odcházející zprávy. Máte-li specifické požadavky pro jedno či více externích SMTP doménových názvů, lze podle potřeby vložit další záznamy pro vzdálené domény. Jak se nový záznam pro vzdálenou doménu vytváří si ukážeme později, ale nyní se podívejme na nastavení výchozí vzdálené domény. Otevřete-li vlastnosti záznamu výchozí vzdálené domény, objeví se záložka General (viz obrázek 6.3). Zde můžete zadat, jak má Hub Transport server zpracovávat zprávy Mimo kancelář (OOF) přicházející do domén SMTP zadaných v tomto záznamu vzdálené domény. Máme na výběr ze čtyř možností:
K1525.indd 238
27.3.2008 9:14:17
Správa Hub Transport Serveru
239
KAPITOLA 6
Správa serverové role Hub Transport
Obrázek 6.2 Dostupné záložky v uzlu Hub Transport
Obrázek 6.3 Možnosti zprávy Mimo kancelář (Out-of-Office)
K1525.indd 239
Allow none Do této vzdálené domény nedojdou žádné zprávy Mimo kancelář. Allow external out-of-office messages only Pouze zprávy Mimo kancelář nastavené jako externí pomocí klientů Outlook 2007 a OWA 2007, a kde je odpovídající schránka uložena na poštovním serveru Exchange 2007, budou do této vzdálené domény doručeny.
27.3.2008 9:14:17
240
Kapitola 6: Správa serverové role Hub Transport Allow external out-of-office messages, and out-of-office messages set by Outlook 2003 or earlier clients or sent by Exchange Server 2003 or earlier servers Zprávy Mimo kancelář nastavené jako externí pomocí klientů Outlook 2007 a OWA 2007, a kde je odpovídající schránka uložena na poštovním serveru Exchange 2007, budou do této vzdálené domény doručeny. Kromě toho, zprávy Mimo kancelář nastavené v Outlooku 2003 a ve starších klientech, bez ohledu na serverovou verzi, kde je uložena schránka, budou do této vzdálené domény doručeny. Jinými slovy, zprávy Mimo kancelář odeslané prostřednictvím serveru Exchange 2003 či starší verze budou doručeny do této vzdálené domény, bez ohledu na verzi klienta, na němž byla zpráva Mimo kancelář nastavena. Allow internal out-of-office messages, and out-of-office messages set by Outlook 2003 or earlier clients or sent by Exchange Server 2003 or earlier servers Pouze zprávy Mimo kancelář nastavené jako externí pomocí klientů Outlook 2007 a OWA 2007, a kde je odpovídající schránka uložena na poštovním serveru Exchange 2007, budou do této vzdálené domény doručeny. Kromě toho, zprávy Mimo kancelář nastavené v Outlooku 2003 a ve starších klientech, bez ohledu na serverovou verzi, kde je uložena schránka, budou do této vzdálené domény doručeny. Zprávy Mimo kancelář odeslané prostřednictvím serveru Exchange 2003 či starší verze budou doručeny do této vzdálené domény, bez ohledu na verzi klienta, na němž byla zpráva Mimo kancelář nastavena.
Ve výchozím nastavení je zvolena možnost Allow external out-of-office messages. Pokročme na další záložku s názvem Message Format, kterou ukazuje obrázek 6.4. Vsadím se, že spoustě z vás je tato záložka povědomá, protože je velmi podobná té, kterou známe z Exchange 2003, nicméně Exchange 2007 nabízí několik nových možností.
Obrázek 6.4 Možnosti formátování zprávy
K1525.indd 240
27.3.2008 9:14:18
Správa Hub Transport Serveru
241
Zde máte krátký popis všech možností na záložce Message Format:
Allow automatic replies Tato volba umožňuje odesílání automatických odpovědí do vzdálené domény. Allow automatic forward Tato volba umožňuje automatické přeposílání do vzdálené domény. Allow delivery reports Tato volba umožňuje posílání zpráv o doručení všem příjemcům v libovolné vzdálené doméně. Allow non-delivery reports Tato volba umožňuje posílat zprávy o nedoručení (NDR) všem příjemcům v libovolné vzdálené doméně. Display sender’s name on messages Tato volba umožňuje zobrazovat uživatelovo jméno příjemci zprávy. Use message text line wrap at column Chcete-li v textech odchozích zpráv používat zalamování řádků, měli byste tuto volbu povolit. Při povolení můžete zadat velikost řádku (od 0 do 132 znaků). Nemá-li být hodnota omezena, ponechte pole prázdné.
Založení nového záznamu pro vzdálenou doménu
KAPITOLA 6
Správa serverové role Hub Transport
Nový záznam pro vzdálenou doménu vytvoříte klepnutím na New Remote Domain v podokně Action. Otevře se průvodce New Remote Domain, který vidíte na obrázku 6.5. Zde je potřeba zadat název záznamu a externí doménu SMTP, na niž chcete nastavení aplikovat. Jestliže doména obsahuje poddomény, lze také zaškrtnout volbu Include all subdomains. Po vložení potřebných informací klepněte na tlačítko New a pak na závěrečné stránce na Finish.
Obrázek 6.5 Založení nové vzdálené domény
K1525.indd 241
27.3.2008 9:14:18
242
Kapitola 6: Správa serverové role Hub Transport
Všimněte si, že nemusíte zadávat rozličná nastavení během zakládání záznamu vzdálené domény. K tomu slouží stránka vlastností vzdálené domény, kterou otevřete až po založení. Tip: Chcete-li vytvořit záznam pro vzdálenou doménu pomocí Exchange Management Shellu, musíte použít komandlet New-RemoteDomain. Například záznam vzdálené domény podobný nastavení na obrázku 6.5 vytvoříte tímto příkazem: New-RemoteDomain –Name “Syngress” –DomainName “*.syngress.com”
Akceptované domény Na záložce Accepted Domains zadáváme domény SMTP, pro které má být naše organizace Exchange 2007 autoritou, má přenášet zprávy (relay) na e-mailový server v jiné doménové struktuře Active Directory v organizaci nebo je přenášet na e-mailový server vně příslušné organizace Exchange. Rozdíl mezi vnitřními a vnějšími přenosovými doménami je, že vnitřní přenos zkrátka posílá e-mailové zprávy přímo na e-mailový server v organizaci. Zprávy odeslané na vnější přenosovou doménu nejprve dorazí na Edge Transport server v demilitarizované zóně a odtud se přesměrovávají na odpovídající externí e-mailový server v Internetu. Po nainstalování Hub Transport serveru do organizace Exchange 2007 se doménový název kořenové domény ve struktuře Active Directory nastaví automaticky jako autoritativní doména. Poněvadž Hub Transport server použitý jako příklad v této knize byl nainstalován do struktury Active Directory s názvem exchangedogfood.dk, je tento doménový název ve výchozím nastavení pro tuto organizaci Exchange 2007 autoritativní doménou (viz obr. 6.6). Protože používáme systém rozděleného DNS, kde si interní a externí doménové názvy odpovídají, nemusíme po instalaci Hub Transport serveru provádět žádné změny v nastavení. Mnoho organizací používá interní doménový název odlišný od externího názvu domény, který se mezi jinými používá také pro příchozí poštu. Běžně se například používá vnitřní doména domena.local. Je-li tomu tak i ve vaší organizaci, musíte ručně vytvořit akceptovanou doménu, která odpovídá externímu názvu vaší domény.
Založení nové akceptované domény Vytvořit novou akceptovanou doménu je snadné. Klepněte v podokně Action na odkaz New Accepted Domain. V průvodci New Accepted Domain vložte bázev nového záznamu akceptované domény a doménu, pro niž chcete přijímat e-maily.
Poznámka: Každou akceptovanou doménu, která je na záložce Accepted Domains, lze spojit s pravidlem E-mail Address Policy (EAP), přičemž dojde k vygenerování e-mailových adres příjemců pro akceptovanou doménu. Vlastně každé pravidlo EAP musí být spjato s nějakou akceptovanou doménou a e-mailové zprávy odeslané na e-mailové adesy zadané v EAP lze přesměrovat pomocí Hub Transport serverů v organizaci. Až za chvíli probereme pravidla pro e-mailové adresy, bude vám vše jasné.
K1525.indd 242
27.3.2008 9:14:19
Správa Hub Transport Serveru
243
Obrázek 6.6 Stránka vlastností akceptované domény
KAPITOLA 6
Správa serverové role Hub Transport
Jak jsme si již řekli, Hub Transport server umí zpracovat zprávy pro konkrétní doménu několika různými způsoby, což ukazuje obrázek 6.7. Zvolte požadovanou možnost, klepněte na tlačítko New a na další stránce na Finish.
Obrázek 6.7 Průvodce New Accepted Domain
Tip: Novou akceptovanou doménu můžete také vytvořit v Exchange Management Shellu pomocí komandletu New-AcceptedDomain. Například záznam akceptované domény podobný tomu, který jsme založili na obrázku 6.7, vytvoříte tímto příkazem: New-AcceptedDomain –Name “Exchange-faq” –DomainName “exchangefaq.dk” –DomainType “Authoritative”
K1525.indd 243
27.3.2008 9:14:19
244
Kapitola 6: Správa serverové role Hub Transport
Pravidla pro e-mailové adresy Pravidla pro e-mailové adresy byla v Exchange 2000 a 2003 známá jako pravidla pro příjemce. Pravidla pro adresy v Exchange definují adresy proxy vložené do objektů příjemců v organizaci Exchange. V Exchange 2007 se pravidla pro příjemce rozdělila na dva typy: akceptované domény (o nichž jsme právě mluvili) a pravidla pro e-mailové adresy. Ti z vás, kteří mají zkušenosti s Exchange 2000 či 2003, vědí, že pravidla pro příjemce také určovala, jaké jmenné prostory SMTP organizace Exchange akceptovala. Někteří z vás se patrně nad rozdělením těchto dvou vlastností pozastaví. Produktová skupina Exchange oddělila tyto vlastnosti ze tří hlavních důvodů. Nejprve proto, že když byla pro pravidlo pro e-mailovou adresu příjemce zadána doména, ale nebyla nastavena jako autoritativní doména, e-mail odeslaný příjemcům s e-mailovou adresou definovanou pravidlem nebyl přesměrován v organizaci Exchange pro tuto doménu. Ačkoliv je to neplatný scénář, System Manager v Exchange 2000 a 2003 tento typ nastavení umožňoval. Druhým faktem bylo, že autoritativní doména se skrývala v grafickém rozhraní pravidla pro e-mailovou adresu příjemce, které nebylo pro administrátory příliš intuitivní. A za třetí, přenosové domény měly správu v grafickém rozhraní konektorů SMTP, tedy v prostoru zcela odlišném od místa, v němž se ovládaly autoritativní domény (pravidla pro příjemce). Praktická rada: Toto oddělení akceptovaných domén a pravidel pro e-mailové adresy není jedinou změnou v oblasti pravidel pro e-mailové adresy. Nechvalně známá služba Recipient Update Service (RUS), kterou většina z nás zná z Exchange 2000 a 2003, již také není součástí produktu Exchange 2007. Služba RUS odpovídala za vkládání e-mailových adres, dále za členství v seznamech adres a za několik dalších věcí. Nefungovala však vždy podle očekávání a bylo velmi obtížné najít problém, když služba odpírala poslušnost. V Exchange 2007 byla služba RUS (a tedy asynchronní chování používané pro správu objektů) nahrazena novým synchronním procesem, komandletem EmailAddressPolicy, y který se používá na okamžité vložení e-mailové adresy do objektů! Ano, již nemusíte čekat několik minut, než se e-mailové adresy objeví na vašich objektech, což byla vlastnost zastaralé služby RUS. Podrobné vysvětlení zrušení služby RUS naleznete v blogu týmu MSExchange:http://msexchangeteam. MSExchange: http://msexchangeteam. com/archive/2006/10/02/429053.aspx.
Pamatujte si tedy dobře, že než začnete vytvářet nové pravidlo pro e-mailovou adresu, musíte nejprve přidat odpovídající doménový název na záložce Accepted Domains. Jak vidíte na obrázku 6.8, máme v naší organizaci Exchange 2007 několik pravidel pro e-mailové adresy, vypsaných podle priority (čím menší číslo, tím vyšší priorita), což je stejné jako v Exchange 2000 a 2003. Chcete-li posunout nějaké pravidlo v seznamu nahoru, označte jej a klepněte v podokně Action na Change Priority. Aby byl odkaz Change Priority viditelný, musíte mít kromě výchozího pravidla alespoň dvě další EAP.
Založení nového pravidla pro e-mailové adresy Založení nového pravidla pro e-mailové adresy je prosté, ale od Exchange 2000 a 2003 se velmi liší. Postupujte následovně: 1. V podokně Action klepněte na New E-mail Address Policy.
K1525.indd 244
27.3.2008 9:14:20
Správa Hub Transport Serveru
245
Obrázek 6.8 Seznam pravidel pro e-maily v organizaci seřazený podle priorit
KAPITOLA 6
Správa serverové role Hub Transport
2. Na úvodní stránce průvodce New E-mail Address Policy vložte název nového pravidla a zadejte, jaké typy příjemců se mají zahrnout (obrázek 6.9). Poté klepněte na tlačítko Next.
Obrázek 6.9 Okno nového pravidla pro e-mailové adresy
K1525.indd 245
27.3.2008 9:14:20
246
Kapitola 6: Správa serverové role Hub Transport
3. Nyní můžete selektivněji definovat cílovou skupinu pomocí filtru a volbou jedné či více podmínek (viz obr. 6.10). Máte-li potřebné podmínky, které chcete na pravidlo aplikovat, vybrané, klepněte na tlačítko Next.
Obrázek 6.10 Stránka podmínek v průvodci New E-mail Address
4. Klepněte na Add a zaškrtněte E-mail address local part, kde vytvoříte část e-mailové adresy se jménem uživatele. Pak zvolte e-mailovou doménu z rozevíracího seznamu E-mail address domain, což ukazuje obrázek 6.11. Pak klepněte na OK a Next. Jak vidíte na obrázku 6.11, můžete volit mezi sedmi typy lokální části e-mailové adresy. Lokální část e-mailové adresy je jméno, které se objevuje před znakem at (@). Jestliže žádný z těchto sedmi typů lokální části nevyhovuje potřebám vašeho pravidla pro e-mailové adresy, můžete využít proměnné vypsané v tabulce 6.1. Tabulka 6.1 Dostupné parametry pro e-mailové adresy
K1525.indd 246
Proměnná
Popis
%g
Používá se pro křestní jméno (první jméno).
%i
Používá se pro prostřední iniciálu.
%s
Používá se pro příjmení.
%d
Používá se pro zobrazované jméno.
%m
Používá se pro alias v Exchange.
%xs
Používá x písmen z příjmení. Je-li například x = 2, použijí se první dvě písmena z příjmení.
%xg
Používá x písmen z křestního jména. Je-li například x = 2, použijí se první dvě písmena z křestního jména.
27.3.2008 9:14:21
Správa Hub Transport Serveru
247
Obrázek 6.11 Zadání lokální části e-mailové adresy a domény e-mailové adresy
KAPITOLA 6
Správa serverové role Hub Transport
5. Na stránce Schedule zadejte, kdy se má pravidlo pro e-mailové adresy aplikovat, a maximální čas, po jaký může běžet (obrázek 6.12). Pak klepněte na Next.
Obrázek 6.12 Stránka časového rozvrhu v průvodci New E-mail Address
6. Na stránce Configuration Summary klepněte na New. Jestliže jste zvolili okamžitou aplikaci pravidla, aplikuje se nyní adresa proxy na všechny příjemce vyhovující filtru. Po dokončení tohoto úkolu klepněte na stránce Completion na tlačítko Finish.
K1525.indd 247
27.3.2008 9:14:21
248
Kapitola 6: Správa serverové role Hub Transport Tip: Nové pravidlo pro e-mailové adresy můžete také vytvořit v Exchange Management Shellu komandletem New-EmailAddressPolicy. Například pravidlo podobné tomu, které jsme vytvořili v průvodci, založíte tímto příkazem: New-EmailAddressPolicy -Name “Exchangedogfood.dk” - IncludedRecipients “MailboxUsers” -ConditionalCompany “Exchange Dogfood Corporation” -Priority “Lowest” EnabledEmailAddressTemplates “SMTP:%g.%
[email protected]”
Po vytvoření nového pravidla pro e-mailové adresy a po jeho aplikaci na příjemce můžete u objektu příjemce na stránce vlastností na záložce E-Mail Addresses ověřit, že na příslušný objekt uživatele byla vložena adresa proxy (viz obr. 6.13).
Obrázek 6.13 Záložka E-mail Addresses na stránce vlastností uživatelské schránky
Má-li uživatel povolenu možnost Automatically Update E-mail Addresses Based On Email AddressPolicy, všechny primární e-mailové adresy (výchozí adresy pro odpověď) typů e-mailových adres se vždy nastaví podle pravidla pro e-mailové adresy. To znamená, že když upravíte primární adresu na jinou e-mailovou adresu, vždy se vrátí zpět na adresu zadanou v příslušném pravidle pro e-mailové adresy.
Pravidla přenosu Se zvyšující se komplexností vládních a průmyslových regulací stále vzrůstá potřeba efektivní správy vnitřního směrování zpráv. Exchange 2007, či přesněji serverová role Hub Transport, nyní obsahuje nového agenta pro pravidla přenosu, který nabízí snadný a pružný způsob, jak nastavit pravidla pro vnitřní směrování zpráv a restrikci obsahu v organizaci Exchange. Můžeme nyní například přidat ke všem zprávám poslaným v organizaci firemní prohlášení nebo vytvořit etickou zeď mezi dvěma odděleními či skupinami, které si každodenně vyměňují důvěrná data. Etická zeď napomůže izolovat jedince či skupinu od informací, k nimž by neměli mít přístup.
K1525.indd 248
27.3.2008 9:14:22
Správa Hub Transport Serveru
249
Pravidla přenosu se skládají ze tří komponent: podmínky, výjimky a akce. Tato pravidla lze vytvořit na záložce Transport Rules. Podrobný výklad pravidel přenosu však není v této knize možný. Ukážeme si tedy například, jak je snadné přidat ke všem zprávám odesílaným v organizaci firemní prohlášení. Postupujte následovně: 1. Klepněte na záložku Transport Rules, kterou ukazuje obrázek 6.2. 2. V podokně Action klepněte na New Transport Rule.
KAPITOLA 6
Obrázek 6.14 Úvodní stránka průvodce New Transport Rule
4. Klepněte na tlačítko Next.
Správa serverové role Hub Transport
3. Na úvodní stránce průvodce New Transport Rule napište Corporate Disclaimer a vložte příslušný komentář, který ukazuje obrázek 6.14.
5. Na stránce Conditions zaškrtněte volbu from users inside or outside the organization (viz obr. 6.15) a klepněte na tlačítko Next. 6. Nyní zaškrtněte append disclaimer text using font, size, color, with separator and fallback to action if unable to apply. V sekci Step 2 klepněte na odkaz disclaimer text, což je vidět na obrázku 6.16. 7. V poli Disclaimer text napište prohlášení, které chcete připojit ke zprávám ve své organizaci. Poté klepněte na tlačítko OK (viz obrázek 6.17.) 8. Klepněte na tlačítko Next. 9. Na stránce Exceptions klepněte na tlačítko Next. 10. Na stránce Create Rule (Configuration Summary) klepněte na tlačítko New. 11. Na stránce Completion klepněte na tlačítko Finish.
K1525.indd 249
27.3.2008 9:14:22
250
Kapitola 6: Správa serverové role Hub Transport
Obrázek 6.15 Stránka podmínek v průvodci New Transport Rule
Obrázek 6.16 Stránka akcí v průvodci New Transport Rule
Obrázek 6.17 Textové pole Specify Disclaimer
K1525.indd 250
27.3.2008 9:14:23
Správa Hub Transport Serveru
251
Nyní budou všechny zprávy odeslané uživatelem v organizaci obsahovat připojené firemní prohlášení, jak vidíte na obrázku 6.18.
Obrázek 6.18 Testovací zpráva s připojeným firemním prohlášením
Po vytvoření pravidla přenosu je můžete podle potřeby kdykoli změnit. Označíte pravidlo a v podokně Action klepnete na odkaz Edit Rule.
KAPITOLA 6
New-TransportRule –Name “Corporate Disclaimer” –Comments “This corporate disclaimer is appended to all messages sent throughout the organization.” –Conditions “Microsoft.Exchange.MessagingPolicies.Rules.Tasks.FromScopePredicate” –Actions “Microsoft.Exchange.MessagingPolicies.Rules.Tasks.ApplyDisclaimerAction” –Exceptions –Enabled $true –Priority “0”
Správa serverové role Hub Transport
Tip: Chcete-li vytvořit nové pravidlo přenosu v Exchange Management Shellu, použijte komandlet New-TransportRule. Například pravidlo podobné tomu, které jsme vytvořili v grafickém průvodci (viz také obrázek 6.14), založíte následujícím příkazem:
Deník Exchange Server 2003 nativně podporoval deník na úrovni úložiště poštovních schránek. Tato funkce je v Exchange Serveru 2007 také a nazývá se standardní deník. Standardní deník vám jakožto administrátorům Exchange umožňuje povolit deník na úrovni databáze poštovních schránek. O tomto standardním deníku není moc co říci jiného, než že jej lze povolit na stránce vlastností databáze poštovních schránek. Pak již prostě funguje. I když standardní deník může někomu postačovat, pro většinu dnešních organizací je příliš jednoduchý. Udržet krok s nárůstem regulací a nařízení vyžaduje mnohem vybavenější řešení pro archivaci. Exchange 2007 proto také obsahuje prémiový deník, jenž je součástí Hub Transport serveru, fungující na základě nového agenta deníku, kterého lze nastavit, aby vyhovoval specifickým potřebám organizace. Prémiový deník umožňuje vytvořit pravidla deníku pro jednotlivé příjemce s poštovními schránkami či pro celé skupiny v organizaci. Poznámka: Prémiový deník, známý také jako deník pro jednotlivé příjemce, vyžaduje licenci Exchange Enterprise Client Access (CAL).
K1525.indd 251
27.3.2008 9:14:24
252
Kapitola 6: Správa serverové role Hub Transport
Pravidla lze aplikovat na příchozí či odchozí zprávy či pro oba směry. Kromě toho lze pravidla aplikovat na globální, externí či interní zprávy. Zprávy lze archivovat na libovolnou adresu SMTP, což znamená, že již nejste nuceni archivovat do schránky Exchange, ale můžete archivaci provádět do řešení s archivem na Exchange. Můžete dokonce archivovat do řešení od jiného dodavatele. Pravidlo deníku vytvoříte následujícím postupem: 1. Na záložce Journaling klepněte na New Journal Rule. 2. V průvodci New Journal Rule (viz obr. 6.19) vložte popisný název. 3. Klepněte na Browse a zvolte příjemce, jenž má dostávat protokoly pro deník. 4. Zvolte oblast (Scope), na niž chcete pravidlo deníku aplikovat. 5. Má-li se pravidlo aplikovat na jedinou schránku, označte volbu Journal message for recipient, klepněte na Browse a zvolte příjemce. Poznámka: Jestliže nezaškrtnete volbu Journal message for recipient, pravidlo deníku bude archivovat všechny zprávy odeslané všemi uživateli v organizaci Exchange.
6. Klepnutím na New pravidlo vytvořte. Na stránce Completion klepněte na Finish.
Obrázek 6.19 Průvodce New Journal Rule
Tip: Nové pravidlo deníku lze také vytvořit v Exchange Management Shellu komandletem NewJournalRule. Například vytvořit pravidlo podobné tomu, které jsme založili v grafickém průvodci, je možné následujícím příkazem: New-JournalRule –Name “Journal all messages to and from Benjamin’s mailbox” – JournalEmailAddress “exchangedogfood.dk/users/Archive” –Scope “Global” –Enabled $True –Recipient “
[email protected]”
K1525.indd 252
27.3.2008 9:14:24
Správa Hub Transport Serveru
253
Jestliže uživatel Benjamin pošle e-mailovou zprávu, odešle se protokol do deníku na konkrétní e-mailovou adresu pro protokoly, podobně jako na obrázku 6.20. Lze tu vidět, že protokol v deníku obsahuje v příloze zprávu, kterou poslal Benjamin, a také informace o odesilateli, předmětu a ID-zprávy.
Obrázek 6.20 Testovací zpráva v protokolu v deníku
KAPITOLA 6
Odesílací konektory (Send Connector) se používají k řízení odesílání zpráv Hub Transport servery pomocí protokolu SMTP. Tedy, jak se Hub Transport server spojuje s ostatními e-mailovými servery. To znamená, že má-li Hub Transport server úspěšně doručit zprávy do cílového místa, potřebuje odesílací konektor. Je nutno podotknout, že během instalace Hub Transport serveru se nevytváří explicitní odesílací konektor. Avšak interní Hub Transport servery používají při vzájemném posílání zpráv SMTP a ačkoliv se ve výchozí instalaci nevytvoří explicitní odesílací konektor, neznamená to, že interní Hub Transport servery nemohou doručovat zprávy do jiných Hub Transport serverů. Důvodem je, že na základě topologie sítě Active Directory se automaticky vypočítají implicitní, a tedy neviditelné, odesílací konektory, a na základě topologie jsou pak interní zprávy směrovány mezi Hub Transport servery v organizaci.
Správa serverové role Hub Transport
Odesílací konektory
Odesílací konektory se ukládají v Active Directory a jakmile takový konektor vznikne, je jeho platnost globální a nejen lokální, jako je tomu u přijímacích konektorů. Nemáte-li v demilitarizované zóně vaší organizace nainstalován Edge Transport server, nebo nebyl-li nastaven žádný proces Edge Subscription (který vytváří odesílací konektor automaticky), nelze odeslat zprávu na jiné poštovní servery mimo vaši organizaci. V takovém případě musíte vytvořit odesílací konektor ručně. K tomu je potřeba postupovat takto:
K1525.indd 253
27.3.2008 9:14:25
254
Kapitola 6: Správa serverové role Hub Transport
1. Klepněte na záložku Send Connectors, zobrazenou na obrázku 6.2. 2. V podokně Action zvolte příkaz New Send Connector. 3. Objeví se stránka New SMTP Send Connector. Na stránce Introduction vložte popisný název konektoru (například To ISP) a poté v rozevíracím seznamu zvolte typ odesílacího konektoru, který chcete vytvořit. Vidíte, že lze volit ze čtyř odlišných typů odesílacích konektorů.
Custom Tuto možnost zvolte, když chcete vytvořit vlastní konektor pro spojení s jinými servery než Exchange. Internal Interní odesílací konektory se používají na odesílání e-mailů na servery ve vaší organizaci Exchange. Zvolíte-li tento typ, konektor bude nastaven na směrování e-mailů na vaše interní Exchange servery jako servery smart host. Internet Internetové odesílací konektory slouží k posílání e-mailů do Internetu. Zvolíte-li tento typ, konektor bude nastaven tak, aby při směrování emailů používal záznamy MX v DNS. Partner Partnerské odesílací konektory se používají na odesílání e-mailů do partnerských domén. Zvolíte-li tento typ, konektor bude nastaven, aby povoloval spojení pouze na servery, které se autentizují certifikáty Transport Layer Security (TLS) pro domény SMTP, jež jsou na seznamu doménově bezpečných domén. Na tento seznam můžete domény přidávat příkazem Set-TransportConfig s parametrem TLSSendDomainSecureList.
Obrázek 6.21 Volba požadovaného typu odesílacího konektoru
4. Na stránce Address space, kterou vidíte na obrázku 6.22, vložte doménu či domény, do nichž má odesílací konektor směrovat poštu. Má-li konektor sloužit ke směrování odchozích zpráv do Internetu, vložte hvězdičku (*). Poté klepněte na tlačítko Next.
K1525.indd 254
27.3.2008 9:14:25
Správa Hub Transport Serveru
255
Obrázek 6.22 Zadání adresního prostoru
KAPITOLA 6
Správa serverové role Hub Transport
5. Na stránce Network Settings, kterou vidíte na obrázku 6.23, zadejte, jakým způsobem chcete poštu pomocí tohoto konektoru odesílat. Můžete zvolit používání záznamů MX v systému doménových názvů (DNS), aby se pošta směrovala automaticky, nebo lze zadat směrování veškeré pošty na zadaný server smart host.
Obrázek 6.23 Nastavení sítě
K1525.indd 255
27.3.2008 9:14:26
256
Kapitola 6: Správa serverové role Hub Transport Důležité: Jste-li malá společnost a používáte levného poskytovatele Internetu, který nepovoluje odchozí poštu z vaší digitální linky na portu 25, je obvykle potřeba směrovat odchozí poštu přes server smart host u vašeho poskytovatele Internetu.
6. Jestliže jste v předchozím kroku zvolili používání serveru smart host, musíte nastavit autentizační metodu pro správnou autentizaci na zadaném serveru smart host. Jestliže jde o server u vašeho poskytovatele připojení, nemusíte se obvykle autentizovat a můžete bez obav zvolit None, což ukazuje obrázek 6.24. Klepněte na tlačítko Next.
Obrázek 6.24 Nastavení autentizace pro server smart host
7. Nyní je čas na propojení konektoru s Hub Transport serverem v organizaci (viz obr. 6.25). Průvodce to zkusí udělat za vás sám, ale v případě potřeby můžete nastavení změnit. Pak klepněte na tlačítko Next. 8. Na stránce Configuration Summary ověřte, že jste nastavili konektor správně, a klepněte na tlačítko Next. 9. Na stránce Completion klepněte na tlačítko Finish. Tip: Když chcete založit odesílací konektor v Exchange Management Shellu, musíte použít komandlet New-SendConnector. Například konektor podobný tomu, který jsme vygenerovali v předchozím návodu, vytvoříte tímto příkazem: New-SendConnector -Name ‘To ISP (Smart host)’ -Usage ‘Internet’ -AddressSpaces ‘smtp:*. exchangehosting.dk;1’ -DNSRoutingEnabled $true -UseExternalDNSServersEnabled $false -SourceTransportServers ‘EDFS03’
K1525.indd 256
27.3.2008 9:14:26
Správa Hub Transport Serveru
257
Obrázek 6.25 Zadání zdrojového serveru
Po vytvoření odesílacího konektoru jej můžete zakázat, povolit, upravovat i odstranit. Označte příslušný odesílací konektor a v podokně Action zvolte požadovaný příkaz.
KAPITOLA 6
Hub Transport server lze nakonfigurovat na používání různých nastavení pro externí a interní vyhledávání v DNS. V pracovním centru Server Configuration Hub Transport pro svůj Hub Transport server klepněte na odkaz Properties. Na záložce External DNS Lookups, kterou ukazuje obrázek 6.26, zadejte, že na vyhledání adres IP serverů mimo vaši organizaci se má (mají) použít server(y) DNS. Je zde vidět, že máte možnost použít nastavení DNS vytvořené pro jednu ze síťových karet serveru či zadat adresu IP serveru DNS přímo. Na záložce Internal DNS Lookups jsou zcela identické možnosti. Jediným rozdílem je, že se zde zadává (zadávají) server(y) DNS, určený (určené) k vyhledání adres IP serverů uvnitř vaší organizace.
Správa serverové role Hub Transport
Nastavení vyhledávání v DNS
Nastavení limitů odchozích zpráv Je možné nakonfigurovat, jak má Hub Transport server zpracovávat odcházející zprávy. K tomu slouží stránka Properties pro příslušný objekt Hub Transport serveru v podokně Result. Zde klepněte na záložku Limits. Jak ukazuje obrázek 6.27, lze určit interval opakování – jinými slovy, jak často se má Hub Transport server pokoušet opakovaně odesílat zprávu na cílový server, protože některé servery SMTP nepřijmou zprávu při prvním odeslání. V sekci Message expiration lze zadat počet dní, po nichž má zprávě uchovávané lokálně ve frontě jako nedoručitelná vypršet platnost. Jak je vidět, výchozí nastavení jsou 2 dny, po nichž bude zpráva odstraněna z fronty zpráv a odesilateli zprávy přijde oznámení o nedoručení (NDR).
K1525.indd 257
27.3.2008 9:14:27
258
Kapitola 6: Správa serverové role Hub Transport
Obrázek 6.26 Nastavení externího vyhledávání v DNS
Obrázek 6.27 Nastavení limitů odchozích zpráv
Kromě uvedeného lze také určit, po kolika hodinách se má vygenerovat zpráva o nedoručení (NDR) a odeslat autorovi zprávy. Ve výchozím nastavení dostane odesilatel upozornění každé čtyři hodiny. Na závěr můžeme nastavit omezení počtu souběžných odchozích spojení a souběžných odchozích spojení pro jednu doménu. Nepracujete-li s mimořádně rozsáhlou organizací, měli byste ponechat omezení počtu spojení na výchozích hodnotách.
K1525.indd 258
27.3.2008 9:14:28
Správa Hub Transport Serveru
259
Výchozí nastavení by měla vyhovovat většině organizací, ale jste-li v situaci, kdy je potřebujete poupravit, proveďte to právě zde.
Přijímací konektory Přijímací konektor (Receive connector) reprezentuje příchozí přípojný bod pro SMTP a řídí, jakým způsobem Hub Transport server přijímá zprávy přes SMTP. Bez přijímacích konektorů nemohou zprávy přicházet. To znamená, že má-li Hub Transport server přijímat zprávy z Internetu (z e-mailových klientů i z ostatních poštovních serverů), musí existovat alespoň jeden přijímací konektor.
KAPITOLA 6
Správa serverové role Hub Transport
Když na nějaký server nainstalujete serverovou roli Hub Transport, vytvoří se automaticky dva přijímací konektory. Konektor Client
a Default (viz obr. 6.28). Tyto dva konektory jsou nutné, aby fungoval interní tok pošty.
Obrázek 6.28 Výchozí přijímací konektory
Poznámka: Ve výchozím nastavení přijímá Hub Transport server zprávy pouze z jiných transportních serverů (tedy z Hub Transport a Edge Transport serverů), které jsou součástí organizace Exchange, autentizovaní uživatelé Exchange a vnitřní starší Exchange servery (Exchange 2000 a 2003). To znamená, že poštovní servery vně organizace nemohou ve výchozím nastavení doručovat zprávy na Hub Transport server. Důvodem stojícím za tímto rozhodnutím je výchozí automatická bezpečnost Hub Transport serveru. Už vás slyším – „Ale není to trochu agresivní, nepovolit zprávy z Internetu?“ Inu, asi je, ale protože produktová skupina je přesvědčena, že všechny organizace na světě si nainstalují do svých demilitarizovaných zón Edge Transport server, nepřipadá to jejím členům vůbec jako problém. Povolit nedůvěryhodným poštovním serverům (tedy poštovním serverům, jež nejsou součástí organizace Exchange, s výjimkou Edge Transport serveru) doručovat zprávy přímo na Hub Transport server je naštěstí celkem bezbolestná procedura. Postup si ukážeme v pasáži nazvané „Nastavení Hub Transport serveru jako transportního serveru do Internetu“ později v této kapitole.
K1525.indd 259
27.3.2008 9:14:28
260
Kapitola 6: Správa serverové role Hub Transport
Přijímací konektor naslouchá pouze spojením, která vyhovují nastavení zadanému pro tento konektor. Tedy spojením, která přicházejí skrze konkrétní adresu IP a port a z konkrétního intervalu adres IP. Přijímací konektory jsou pro Hub Transport server, na němž byly založeny, lokální. To znamená, že přijímací konektor vytvořený na jednom Hub Transport serveru nelze použít na jiném Hub Transport serveru v organizaci. Vytvořením přijímacích konektorů je tedy možné řídit, který server má přijímat zprávy z určité adresy IP či intervalu adres IP. Kromě toho lze konektoru nastavit vlastní parametry pro zprávy přicházející z konkrétní adresy IP či intervalu adres IP. Je možné kupříkladu povolit větší velikosti zpráv, více příjemců na jednu zprávu (o obou možnostech si povíme dále) či třebas více příchozích spojení.
Založení přijímacího konektoru Přijímací konektor vytvoříte tímto postupem: 1. Otevřete Exchange Management Console a v pracovním centru Server Configuration zvolte Hub Transport (viz zpět obrázek 6.28). 2. V podokně Result označte Hub Transport server, na němž chcete založit přijímací konektor. 3. Nyní v podokně Action klepněte na New Receive Connector. 4. Otevře se průvodce New SMTP Receive Connector. Napište popisný název konektoru a zvolte vytvářený typ. Jak ukazuje obrázek 6.29, lze volit z pěti různých typů přijímacích konektorů: Custom Tato volba slouží k vytváření přijímacích konektorů, které se připojují do jiných systémů než Exchange serverů. Internet Tato volba vytvoří přijímací konektor, jenž bude přijímat e-maily ze serverů v Internetu. Konfigurace konektoru bude přijímat spojení od anonymních uživatelů. Internal Interní přijímací konektory se používají pro poštu ze serverů ve vaší organizaci Exchange. Pamatujte si, že tento typ konektoru bude podle nastavení přijímat spojení pouze z interních serverů Exchange. Client Konektory Client slouží k příjmu zpráv od autentizovaných uživatelů Exchange. To znamená, že tento konektor bude nakonfigurován tak, aby přijímal žádosti klientů pouze od autentizovaných uživatelů Exchange. Partner Partnerské přijímací konektory se používají na příjem e-mailů z partnerských domén. Konektor bude nastaven tak, aby přijímal spojení pouze ze serverů, které se autentizují certifikáty Transport Layer Security (TLS) pro domény SMTP, jež jsou na seznamu doménově bezpečných domén. Na tento seznam můžete domény přidávat příkazem Set-TransportConfig s parametrem TLSReceiveDomainSecureList. 5. Až zvolíte typ konektoru, jejž chcete založit, klepněte na tlačítko Next.
6. Jak ukazuje obrázek 6.30, máte možnost upravit adresu IP a port, které mají sloužit k příjmu pošty. U konektorů Custom, Internet a Partner lze také zadat plný doménový název (FQDN), který má tento konektor poskytnout v odpověď na příkazy HELO a EHLO. Poté klepněte na tlačítko Next.
K1525.indd 260
27.3.2008 9:14:29
Správa Hub Transport Serveru
261
KAPITOLA 6
Správa serverové role Hub Transport
Obrázek 6.29 Volba typu přijímacího konektoru
Obrázek 6.30 Vložení lokálních adres IP, které mají sloužit na příjem pošty
7. Na stránce Configuration Summary klepněte na tlačítko New a na stránce Completion na Finish. Tip: Chcete-li založit přijímací konektor v Exchange Management Shellu, poslouží vám komandlet New-ReceiveConnector. Například konektor, jejž jsme vygenerovali v předchozích krocích, lze vytvořit tímto příkazem: New-ReceiveConnector -Name ‘Special Receive Connector’ –Usage ‘Custom’ -Bindings ‘0.0.0.0:25’ -Fqdn ‘mail.exchangedogfood.dk’ - RemoteIPRanges ‘0.0.0.0-255.255.255.255’ -Server ‘EDFS03’
Ve kterémkoliv okamžiku můžete existující přijímací konektor podle potřeby upravovat. Označte příslušný konektor a v podokně Action klepněte na Properties. Jakýkoliv přijímací konektor lze dále zakázat, povolit či odstranit. K tomu je třeba příslušný konektor označit a v podokně Action zvolit příslušnou akci.
K1525.indd 261
27.3.2008 9:14:29
262
Kapitola 6: Správa serverové role Hub Transport
Správa velikosti zpráv a limitu počtu příjemců Podobně jako předchozí verze Exchange i Exchange 2007 umožňuje omezit velikost zpráv, které uživatelé smějí odesílat a přijímat. Limit velikosti zpráv může být nastaven globálně v celé organizaci nebo na úrovni jednotlivého serveru, konektoru či pro jednotlivé uživatele. Omezení velikosti a limit počtu příjemců lze nastavit pouze v Exchange Management Shellu. V následujících pasážích si toto nastavení limitů ukážeme.
Nastavení globálních limitů Ve výchozím nastavení neexistují žádná omezení, což dokládá obrázek 6.31.
Obrázek 6.31 Výpis globálních limitů
Nové limity pro všechny servery Exchange 2007 v organizaci je nutné nastavit tímto příkazem: Set-TransportConfig -MaxReceiveSize: -MaxSendSize: -MaxRecipientEnvelopeLimit:
Poznámka: Při nastavování hodnot MaxReceiveSize nebo MaxSendSize je důležité si uvědomit, že zadáte-li pouze číslo (např. 100), je chápáno v kilobajtech (kB). To znamená, že je obecně dobré zadávat číslo i s jednotkou – kB či MB.
Nastavení serverových limitů Vzhledem k tomu, že limity velikosti zpráv se ovládají skrze přijímací a odesílací konektory, nelze nastavovat limity pro jednotlivé servery. Můžete však nakonfigurovat maximální počet příjemců pro jednu zprávu. Tedy maximální počet příjemců, které lze zařadit do jedné zprávy a odeslat do adresáře Pickup. Ve výchozím nastavení může být příjemců nejvýše 100, což lze ověřit příkazem Get-TransportServer | FL v Exchange Management Shellu. Tuto hranici je možné změnit tímto příkazem: Set-TransportServer -PickupDirectoryMaxRecipientsPerMessage:
Nastavení limitů pro konektory Výchozí nejvyšší velikost zprávy v konektorech pro odesílání i příjem je 10 MB. Ověřit to lze příkazy Get-SendConnector | FL, resp. Get-ReceiveConnector | FL.
Odesílací konektory Maximální velikost zprávy v odesílacím konektoru je možné změnit tímto příkazem: Set-SendConnector -MaxMessageSize:
K1525.indd 262
27.3.2008 9:14:30
Správa velikosti zpráv a limitu počtu příjemců
263
Přijímací konektory Maximální velikost zprávy v přijímacím konektoru lze změnit tímto příkazem: Set-ReceiveConnector -MaxMessageSize:
Poznámka: Při nastavování hodnoty MaxMessageSize je důležité si uvědomit, že zadáte-li pouze číslo (např. 100), je chápáno v kilobajtech (kB). To znamená, že je obecně dobré zadávat číslo i s jednotkou – kB či MB.
Nastavení limitů pro jednotlivé uživatele V případě potřeby je také možné nakonfigurovat limity velikosti zpráv na úrovni uživatele. Limity velikosti zpráv nastavené pro uživatele přepisují globální limity i limity pro konektory. Ve výchozím nastavení není velikost příchozích i odchozích zpráv pro danou uživatelskou schránku omezena, jak lze zjistit příkazem Get-Mailbox | FL. Změnu nastavení provedete příkazem Set-Mailbox –MaxReceiveSize: -MaxSendSize:
Poznámka: Při nastavování hodnot MaxReceiveSize nebo MaxSendSize je důležité si uvědomit, že zadáte-li pouze číslo (např. 100), je chápáno v kilobajtech (kB). To znamená, že je obecně dobré zadávat číslo i s jednotkou – kB či MB.
KAPITOLA 6
Je-li povoleno sledování zpráv, zaznamenává se veškerá přenosová aktivita v protokolu Simple Mail Transfer (SMTP) pro všechny zprávy putující na počítač či z počítače, na němž je Exchange 2007 s nainstalovanou serverovou rolí Hub Transport, Mailbox či Edge Transport, do protokolu, jenž se ve výchozím nastavení nalézá v adresáři C:\Program Files\Microsoft\Exchange Server\TransportRoles\Logs\MessageTracking. Protokoly sledování zpráv lze použít v soudních sporech, v analýzách toku pošty, v sestavách a při řešení problémů.
Správa serverové role Hub Transport
Sledování zpráv v Exchange Serveru 2007
Je-li sledování zpráv povoleno (což je výchozí nastavení), nejstarší soubory protokolů sledování zpráv mají 30 dní. Po třiceti dnech se nejstarší protokoly sledování zpráv smažou metodou cirkulárního zápisu protokolů. Ke smazání dojde pouze v případě, že protokol sledování zpráv dosáhne stanovené maximální velikosti (ve výchozím nastavení 10 MB) nebo soubor s protokolem dosáhne maximálního stanoveného stáří. Poznámka: Adresář MessageTracking, jenž je úložištěm souborů s protokoly sledování zpráv, má výchozí limit velikosti 250 MB.
Nástroj Message Tracking otevřete následovně: 1. Otevřete Exchange Management Console. 2. Označte pracovní centrum Toolbox. 3. Klepněte na ikonu Message Tracking a v podokně Action zvolte příkaz Open Tool.
K1525.indd 263
27.3.2008 9:14:30
264
Kapitola 6: Správa serverové role Hub Transport
Nástroj se po několika sekundách otevře a vyhledá dostupné aktualizace. Jsou-li aktualizace hotovy, klepněte na Go to Welcome screen a uvidíte obrazovku Message Tracking Parameters, kterou ukazuje obrázek 6.32. Zde je možné zaškrtnout různé parametry, které chcete zahrnout do vyhledávacích kritérií. V tomto příkladě jsem zadal, že chci seznam všech zpráv odeslaných mně od 1. do 30. ledna 2007 z konkrétní e-mailové adresy. Po zaškrtnutí a specifikaci příslušných parametrů klepněte na tlačítko Next.
Obrázek 6.32 Stránka Message Tracking Parameters
Nástroj Message Tracking nyní vyhledá všechny zprávy odpovídající vyhledávacím kritériím zadaným na předchozí obrazovce – obrázek 6.33. Máme zde veškeré druhy informací o zprávách a chceme-li náš výběr dále filtrovat, můžeme klepnout na tlačítko Next a zvolit či upřesnit libovolné parametry. Tip: Pokud chcete využít funkci sledování zpráv a vyhledat konkrétní zprávy pomocí Exchange Management Shellu, máte k dispozici komandlet Get-MessageTrackingLog.
Prohlížeč Exchange 2007 Queue Viewer Obvykle tok zpráv v organizaci prostě funguje; avšak na bedrech vás, jakožto administrátorů Exchange, leží kromě jiného také povinnost sledovat fronty zpráv v organizaci Exchange. A v tuto chvíli přichází ke slovu Queue Viewer. Pomocí tohoto prohlížeče, jenž je nyní nástrojem v Exchange, a lze jej tedy nalézt v pracovním centru Toolbox v Exchange Management Console, můžete sledovat informace o frontách a zkoumat zprávy v nich. Exchange Server 2007 používá pět různých typů front a směrování zprávy určuje typ fronty, kam se konkrétní zpráva uloží. V následujících odstavcích si ukážeme všech pět typů zpráv:
K1525.indd 264
27.3.2008 9:14:31
Prohlížeč Exchange 2007 Queue Viewer
265
Obrázek 6.33 Výpis existujících zpráv podle vyhledávacích podmínek
KAPITOLA 6
Fronta Submission je trvalá fronta, kterou používá třídič (categorizer) ke shromáždění zpráv, u nichž je potřeba rozhodnout o dalším průběhu, nasměrovat je a zpracovat transportními agenty. Každá zpráva, kterou třídič obdrží, je součástí transportu Exchange. Třídič zpracovává všechny příchozí zprávy a podle informací o zamýšlených příjemcích také určuje, co se má se zprávami provést. Všechny zprávy, které přijdou na transportní server, vstupují do zpracování skrze frontu Submission. Vkládají se zprávy přijaté přes SMTP, načtené z adresáře Pickup nebo z komponenty Store driver. Třídič načítá zprávy z této fronty a mezi jinými také určuje místo příjemce a cestu k tomuto místu. Po roztřídění se zpráva přesouvá do doručovací fronty nebo do fronty nedoručitelných zpráv. Každý transportní server Exchange 2007 má jen jednu frontu Submission. Zprávy nacházející se ve frontě Submission nemohou být v tomtéž okamžiku v žádné jiné frontě.
Správa serverové role Hub Transport
Fronta Submission
Fronta Mailbox Delivery Fronty Mailbox Delivery obsahují zprávy, které jsou pomocí šifrovaného volání procedury Exchange aktuálně doručovány na poštovní server. Fronty Mailbox Delivery existují pouze na serverech Hub Transport. Ve frontě Mailbox Delivery jsou zprávy mířící do schránek příjemců, jejichž poštovní data jsou uložena na poštovním serveru, jenž není na téže síti. Na jednom Hub Transport serveru může existovat více než jedna fronta Mailbox Delivery. Dalším krokem pro zprávy ve frontě Mailbox Delivery je rozeznání názvu úložiště poštovních schránek.
K1525.indd 265
27.3.2008 9:14:32
266
Kapitola 6: Správa serverové role Hub Transport
Fronta Remote Delivery Fronty Remote Delivery obsahují zprávy doručované na vzdálený server skrze protokol SMTP. Fronty Remote Delivery mohou existovat na serverech Hub Transport i Edge Transport a na každém z nich může být více takových front. Každá fronta Remote Delivery obsahuje zprávy směrované na příjemce se stejnou cílovou destinací. Na Hub Transport serveru jde o místa mimo síť Active Directory, v němž se tento server nalézá. Fronty Remote Delivery se vytvářejí dynamicky podle potřeby a automaticky se ze serveru mažou, když už v nich nejsou zprávy a vyprší jim doba platnosti. Tuto dobu lze nastavit. Ve výchozím nastavení se fronta smaže tři minuty poté, co poslední zpráva opustí frontu. Další informací pro zprávy ve frontě Remote Delivery je doménový název SMTP, název serveru smart host, adresa IP nebo název sítě Active Directory.
Fronta Poison Message Fronta Poison Message je speciálním druhem fronty, která slouží k izolaci zpráv detekovaných po selhání serveru jako potenciálně nebezpečné pro systém Exchange 2007. Zprávy obsahující potenciálně fatální chyby pro systém Exchange Serveru jsou doručeny do fronty Poison Message. Tato fronta je obvykle prázdná a jestliže neexistuje žádná nebezpečná zpráva, fronta se neobjevuje v rozhraních prohlížečů front. Fronta Poisson Message je vždy v pohotovosti. Ve výchozím nastavení se všechny zprávy v této frontě odkládají. Ohodnotíte-li zprávy jako nebezpečné pro systém, lze je smazat. Zjistíte-li, že umístění zprávy ve frontě Poison Message nesouvisí se zprávou samotnou, lze zopakovat odeslání. V takovém případě přechází zpráva do fronty Submission.
Fronta Unreachable Fronta Unreachable obsahuje zprávy, které nelze přesměrovat do určeného cíle. Obvykle je nedosažitelný cíl zapříčiněn změnami v konfiguraci, které způsobily změny v cestě pro směrování do cíle. Bez ohledu na cíl se v této frontě nacházejí všechny zprávy s nedostupnými adresáty. Každý transportní server má pouze jednu frontu Unreachable. Jakmile se zpráva dostane do transportu, vznikne položka pošty a uloží se do databáze fronty. Tip: V Exchange Serveru 2007 se fronty zpráv ukládají do databáze ESE, což je odlišné od starších verzí Exchange, kde se zprávy (soubory .EML) ukládaly do složky fronty v systému NTFS.
Jakmile dojde k uložení položek pošty do databáze fronty, dostanou jedinečný identifikátor. Jestliže je určitá zpráva směrována či odesílána na více příjemců, může mít více než jeden cíl. Každá taková destinace představuje samostatné směrovací řešení této zprávy a každé takové řešení vyvolává založení směrované položky pošty. Zpráva, jež míří k příjemcům ve dvou různých doménách, se jeví jako dvě samostatné zprávy v doručovacích frontách, i když v databázi existuje pouze jediná transportní položka pošty. Prohlížeč Queue Viewer otevřete takto: 1. Otevřete Exchange Management Console. 2. Klepněte na pracovní centrum Toolbox.
K1525.indd 266
27.3.2008 9:14:32
Prohlížeč Exchange 2007 Queue Viewer
267
3. Klepněte na ikonu Queue Viewer a v podokně Action zvolte příkaz Open Tool. Jestliže jste otevřeli Queue Viewer na Hub Transport serveru, připojí se na začátku na lokální frontu. Chcete-li se připojit do fronty na jiném Hub Transport serveru, klepněte v podokně Action na odkaz Connect to Server (viz obr. 6.34).
KAPITOLA 6
V prohlížeči Queue Viewer lze prohlížet fronty a zprávy, a také zprávy pozastavit a znovu poslat dál. Kromě toho můžete zprávu či frontu znovu odeslat, odstranit úplně nebo frontu či zprávu exportovat, aby bylo možné ji přenést na jiný Hub Transport server k následnému doručení.
Správa serverové role Hub Transport
Obrázek 6.34 Nástroj Queue Viewer
Tip: Chcete-li prohlížet či pracovat s frontami zpráv či s jednotlivými zprávami v Exchange Management Shellu, použijte komandlety Get-Queue a Get-Message.
Nástroj Exchange Mail Flow Troubleshooter Máte-li ve své organizaci problémy s tokem pošty, můžete vyzkoušet novinku – Exchange Mail Flow Troubleshooter. Tento diagnostický nástroj nabízí následující funkce:
K1525.indd 267
Na základě příznaků z toku pošty provádí uživatele správnou cestou pro řešení problémů. Poskytuje snadný přístup k různým datovým zdrojům, potřebným pro řešení problémů s tokem pošty. Automaticky analyzuje získaná data a předkládá rozbor možných hlavních příčin. Navrhuje nápravné akce.
27.3.2008 9:14:33
268
Kapitola 6: Správa serverové role Hub Transport
Nabízí uživatelům pomoc při ručním zkoumání dat tam, kde automatizace není možná. Exchange Mail Flow Troubleshooter otevřete tímto způsobem:
1. Otevřete Exchange Management Console. 2. Klepněte na pracovní centrum Toolbox. 3. Klepněte na ikonu Exchange Mail Flow Troubleshooter a v podokně Action zvolte příkaz Open Tool. Nástroj po otevření ověří, zdali nejsou na webu Microsoft.com aktualizace, a pak otevře úvodní obrazovku. Pak musíte zadat identifikační název pro analýzu, kterou chcete provádět, a říci, jaké příznaky vidíte. Jak ukazuje obrázek 6.35, máte na výběr ze šesti různých symptomů, a v závislosti na tom, který vyberete, nástroj programově provede sadu průzkumných kroků a zkusí nalézt hlavní příčinu vašeho problému s tokem pošty. Nástroj automaticky určí, jakou množinu dat potřebuje na vyřešení nalezených problémů a shromáždí data konfigurace, indikátory výkonu, protokoly událostí a informace ze živého sledování z Exchange serveru i z dalších příslušných zdrojů. Nástroj zanalyzuje každý podsystém, snaží se nalézt jednotlivá úzká hrdla a chyby v komponentách a poté informace seskupí a nabídne analýzu hlavní příčiny.
Obrázek 6.35 Nástroj Exchange Mail Flow Troubleshooter
K1525.indd 268
27.3.2008 9:14:33
Nastavení Hub Transport Serveru jako transportního serveru do Internetu
269
Nastavení Hub Transport Serveru jako transportního serveru do Internetu Jedním z cílů návrhu Exchange 2007 byla ve výchozím stavu co nejvyšší bezpečnost, což odpovídá konfiguraci Hub Transport serveru, aby přijímal pouze zprávy od interních uživatelů Exchange, serverů Exchange a starších serverů Exchange. To znamená, že Hub Transport server nepřijímá zprávy přicházející od neautentizovaných (nedůvěryhodných) poštovních serverů, což jsou obvykle externí poštovní servery v Internetu. Namísto toho očekává příjem zpráv z Internetu skrze Edge Transport server v demilitarizované zóně. Jste-li administrátory Exchange v malé organizaci či primárně poskytujete konzultace malým obchodníkům, je možné, že vám jejich rozpočet na IT zabrání při přechodu na Exchange Server 2007 nainstalovat do demilitarizované zóny Edge Transport server (obzvláště když bude prostředí tvořeno jediným serverem Exchange 2007). Naštěstí je velmi snadné toto chování změnit, neboť musíte pouze povolit doručování zpráv od nedůvěryhodných serverů na Hub Transport server. K tomu je potřeba zaškrtnout volbu Anonymous users na záložce Permission Groups pro výchozí přijímací konektor. Na tuto stránku vlastností se dostanete tímto způsobem: 1. Otevřete Exchange Management Console. 2. Otevřete pracovní centrum Server Configuration a zvolte Hub Transport.
KAPITOLA 6
Správa serverové role Hub Transport
3. Označte v podokně Result odpovídající Hub Transport server, jak ukazuje obrázek 6.36.
Obrázek 6.36 Výchozí přijímací konektor v Exchange Management Console
K1525.indd 269
27.3.2008 9:14:34
270
Kapitola 6: Správa serverové role Hub Transport
4. V podokně Work otevřete stránku vlastností výchozího přijímacího konektoru s příslušným názvem serveru. 5. Klepněte na záložku Permission Groups, zaškrtněte volbu Anonymous users a klepněte na tlačítko OK (viz obr. 6.37).
Obrázek 6.37 Záložka Permission Groups na stránce vlastností výchozího přijímacího konektoru
Ačkoliv jsme zatím nemluvili o Edge Transport serveru, tato serverová role má také na starosti veškeré dostupné funkce pro hygienu zpráv v Exchange Serveru 2007. Rozhodnete-li se neinstalovat ve své demilitarizované zóně Edge Transport server, patrně vás bude zajímat, zdali je možné, aby se Hub Transport server vystavený do Internetu staral o filtrování spamu a další nevyžádané pošty, než dorazí na vaše poštovní servery. Odpověď zní ano; avšak vzhledem k tomu, že ve výchozím stavu nejsou na Hub Transport serveru nainstalováni žádní antispamoví filtrovací agenti (protože produktová skupina Exchange předpokládá, že nainstalujete v demilitarizované zóně Edge Transport server), musíte je nainstalovat ručně spuštěním skriptu install-AntispamAgents.ps1, umístěného ve složce skriptů Exchange 2007. Jde o složku C:\Program Files\Microsoft\Exchange Server. Skript spustíte následovně: 1. Otevřete Exchange Management Shell. 2. Napište CD “program files\microsoft\exchange server\\scripts“ a stiskněte klávesu Enter. 3. Příkazem .\install-AntispamAgents.ps1 a stiskem klávesy Enter spusťte skript install-AntispamAgents.ps1, což ilustruje obrázek 6.38. 4. Restartujte službu Microsoft Exchange Transport. 5. Zavřete a znovu otevřete Exchange Management Console, aby se změna projevila v uživatelském rozhraní.
K1525.indd 270
27.3.2008 9:14:34
Nastavení Hub Transport Serveru jako transportního serveru do Internetu
271
Obrázek 6.38 Instalace antispamových agentů na Hub Transport Server
KAPITOLA 6
Správa serverové role Hub Transport
Nyní máme v uzlu Hub Transport v pracovním centru Organization Configuration novou záložku Anti-spam, kterou ukazuje obrázek 6.39. Jak vidíte, je zde výpis veškerých antispamových filtrovacích agentů, které lze běžně nalézt na Edge Transport serveru. Podrobnější vysvětlení každého z nich obsahuje kapitola 7.
Obrázek 6.39 Seznam dostupných antispamových agentů
Je jasné, že toto řešení pouští veškeré spamy a ostatní nevyžádanou poštu do vaší interní sítě a teprve poté je odfiltruje, ale většina malých společností by měla být schopna s tím žít. Pokud ne, můžete zvážit využití služby pro hygienu pošty jako je Exchange Hosted Services (EHS), která nenabízí pouze efektivní filtr spamů, ale také ochranu před viry a další zajímavé služby. O EHS se dočtete více na stránce http://www.microsoft.com/ exchange/services.
K1525.indd 271
27.3.2008 9:14:35
272
Kapitola 6: Správa serverové role Hub Transport
Změna odezvy pro SMTP Další věc, kterou možná budete chtít provést v situaci, kdy příchozí zprávy putují přímo na Hub Transport server, je změna doménového názvu FQDN, odeslaného v odpověď na příkazy HELO/EHLO v protokolu SMTP. Lze to provést na záložce General na stránce vlastností přijímacího konektoru, jak dokládá obrázek 6.40.
Obrázek 6.40 Záložka General na stránce vlastností výchozího přijímacího konektoru
Zákaz služby EdgeSync Vzhledem k tomu, že v situaci, kdy nemáte ve své demilitarizované zóně nainstalován Edge Transport server, nepoužívá se Hub Transport serveru služba EdgeSync, je také dobré tuto službu vypnout (viz obr. 6.41) a ušetřit tak určité množství systémových zdrojů. Tato služba pouze běží, nereplikuje se na Edge Transport server a její skutečná spotřeba paměti je bezmála 30 MB.
Nasměrování záznamu MX na Hub Transport Server Poslední věcí, kterou musíte udělat, je nasměrovat záznam MX pro vaši doménu na Hub Transport server. Postup se liší podle vaší konkrétní situace, ale obvykle je nutné přesměrovat na firewallu port 25 na adresu IP Hub Transport serveru. Jestliže je vaše poštovní prostředí připojeno na Internet prostřednictvím Serveru ISA 2006, je k tomuto úkolu určena záložka To na stránce vlastností Inbound SMTP, jak je vidět na obrázku 6.42.
Ztracené funkce Budou-li vaše příchozí zprávy postupovat přímo na Hub Transport server namísto běžné praxe s Edge Transport serverem v demilitarizované zóně, má to několik nevýhod.
K1525.indd 272
27.3.2008 9:14:35
Nastavení Hub Transport Serveru jako transportního serveru do Internetu
273
KAPITOLA 6
Správa serverové role Hub Transport
Obrázek 6.41 Zákaz služby EdgeSync
Obrázek 6.42 Přesměrování příchozí pošty na ISA Serveru 2006
K1525.indd 273
27.3.2008 9:14:36
274
Kapitola 6: Správa serverové role Hub Transport
Filtr příloh Ačkoliv Hub Transport server obsahuje několik funkcí pro přílohy, nebudete mít možnost skenovat příchozí proud MIME na nebezpečené typy příloh a odmítnout je ve vrstvě protokolu. Tuto funkcionalitu však lze na Hub Transport Server přidat, když nainstalujete některý antivirový produkt, kupříkladu Microsoft Forefront for Exchange Server.
Agent pro přepis adres Dále nebudete mít možnost využít funkci přepisu adres, protože agenta Address Rewrite lze nainstalovat pouze na Edge Transport server. Vysvětlení této funkce je nad rámec této kapitoly. Podrobnosti naleznete v kapitole 7.
Shrnutí V této kapitole jsme začali krátkým pohledem na změny v oblasti směrování zpráv a architektury v Exchange Serveru 2007. Pak jsme prošli nastavení Hub Transport serveru. Poté jsme probrali, jak lze vytvořit pravidla pro deník a transport, aby vaše organizace mohla dostát narůstajícím požadavkům legislativy a průmyslu a být v souladu s příslušnými požadavky. Vysvětlili jsme si účel odesílacích a přijímacích konektorů a jak nastavovat limity velikosti zpráv ve vaší organizaci. Kromě toho jsme si ukázali různé nástroje pro transportní servery, jako je Message Tracking, Queue Viewer a Exchange Mail Flow Troubleshooter. Na závěr jsme prošli kroky nezbytné pro nastavení Hub Transport serveru jako transportního serveru pro Internet ve vaší organizaci.
Řešení ve zkratce Architektura přenosu zpráv a směrování v Exchange 2007 ; V oblasti architektury a směrování došlo v Exchange Serveru 2007 k výrazným změnám. V první řadě už Exchange nepoužívá oproti dřívějším verzím produktu protokol SMTP integrovaný v Internetové informační službě (IIS). Namísto toho přepsala produktová skupina Exchange balík transportu přes SMTP do řízeného kódu a výsledkem je mnohem stabilnější a bezpečnější protokol. ; Nový transportní balík SMTP je nyní znám jako služba Microsoft Exchange Transport (MSExchangeTransport.exe), a protože již nezávisí na IIS, není již také v IIS Manageru. ; V Exchange Serveru 2007 již směrovací topologie nevychází ze samostatných směrovacích skupin Exchange. Exchange 2007 namísto toho využívá existující topologie v Active Directory. Vzhledem k tomu, že Exchange 2007 nyní závisí na síti Active Directory – to znamená, že Hub Transport servery používají síť Active Directory i náročnost přiřazenou linkám v IP síti Active Directory, aby zjistily nejméně náročnou směrovací dráhu na ostatní Hub Transport servery v organizaci – veškeré sítě s jedním či více servery Mailbox musí také obsahovat alespoň jeden Hub Transport server.
K1525.indd 274
27.3.2008 9:14:36
Řešení ve zkratce
275
; Nezapomeňte, že servery Mailbox a Hub Transport používají pro vzájemnou komunikaci RPC, avšak dva Hub Transport servery při vzájemné výměně zpráv používají SMTP/TLS. ; Exchange Server 2007 již nezávisí na aktualizaci stavu linek (Link State).
K1525.indd 275
KAPITOLA 6
; Veškerá nastavení Hub Transport serverů pro celou organizaci se ukládají v Active Directory. To znamená, že všechny změny nebo konfigurace, kromě specifických nastavení přijímacího konektoru, se odrazí na všech Hub Transport serverech v organizaci. ; Nastavujete-li vzdálenou doménu, lze ovládat tok pošty přesněji, určovat formátování a pravidla pro poštu a zadat znakové sady, které mohou ve zprávách přijímaných a odesílaných ze vzdálené domény být. ; Na záložce Accepted Domains zadáváme domény SMTP, pro která má být naše organizace Exchange 2007 autoritou, má přenášet zprávy (relay) na e-mailový server v jiné doménové struktuře Active Directory v organizaci nebo je přenášet na e-mailový server vně příslušné organizace Exchange. ; Pravidla pro e-mailové adresy byla v Exchange 2000 a 2003 známá jako pravidla pro příjemce. Pravidla pro adresy v Exchange definují adresy proxy vložené do objektů příjemců v organizaci Exchange. ; Se zvyšující se komplexností vládních a průmyslových regulací stále vzrůstá potřeba efektivní správy vnitřního směrování zpráv. Exchange 2007, či přesněji serverová role Hub Transport, nyní obsahuje nového agenta pro pravidla přenosu, který nabízí snadný a pružný způsob, jak nastavit pravidla pro vnitřní směrování zpráv a restrikci obsahu v organizaci Exchange. ; Exchange Server 2007 nabízí deník ve verzi Standard a Premium (pro Premium je potřeba mít licence Exchange 2007 Enterprise CAL). Standardní deník se podobá funkcím deníku v Exchange 2003, neboť zapisuje údaje pro jednotlivé databáze poštovních schránek. Prémiový deník je součástí Hub Transport serveru fungující na základě nového agenta deníku, kterého lze nastavit, aby vyhovoval specifickým potřebám organizace. Prémiový deník umožňuje vytvořit pravidla deníku pro jednotlivé příjemce s poštovními schránkami či pro celé skupiny v organizaci. ; Odesílací konektory slouží k řízení odesílání zpráv Hub Transport servery pomocí protokolu SMTP a způsobu, jak se Hub Transport server spojuje s ostatními e-mailovými servery. To znamená, že má-li Hub Transport server úspěšně posunout zprávy na jejich cestě do cíle o další krok, potřebuje odesílací konektor. ; Přijímací konektor naslouchá pouze spojením, která vyhovují nastavení zadanému pro tento konektor. Tedy spojením, která přicházejí skrze konkrétní adresu IP a port a z konkrétního intervalu adres IP. Přijímací konektory jsou pro Hub Transport server, na němž byly založeny, lokální. To znamená, že přijímací konektor vytvořený na jednom Hub Transport serveru nelze použít na jiném Hub Transport serveru v organizaci.
Správa serverové role Hub Transport
Správa Hub Transport Serveru
27.3.2008 9:14:36
276
Kapitola 6: Správa serverové role Hub Transport
Správa velikosti zpráv a limitů pro příjemce ; Podobně jako předchozí verze Exchange i Exchange 2007 umožňuje omezit velikost zpráv, které uživatelé smějí odesílat a přijímat. Limit velikosti zpráv může být nastaven globálně v celé organizaci nebo na úrovni jednotlivého serveru, konektoru či pro jednotlivé uživatele. Omezení velikosti a limit počtu příjemců lze nastavit pouze v Exchange Management Shellu.
Sledování zpráv v Exchange Serveru 2007 ; Je-li povoleno sledování zpráv, zaznamenává se veškerá přenosová aktivita v protokolu Simple Mail Transfer (SMTP) pro všechny zprávy putující na počítač či z počítače, na němž je Exchange 2007 s nainstalovanou serverovou rolí Hub Transport, Mailbox či Edge Transport, do protokolu, jenž se ve výchozím nastavení nalézá v adresáři C:\Program Files\Microsoft\Exchange Server\TransportRoles\Logs\MessageTracking. Protokoly sledování zpráv lze použít v soudních sporech, v analýzách toku pošty, v sestavách a při řešení problémů. ; Je-li sledování zpráv povoleno (což je výchozí nastavení), nejstarší soubory protokolů sledování zpráv mají 30 dní. Po třiceti dnech se nejstarší protokoly sledování zpráv smažou metodou cirkulárního zápisu protokolů. ; Adresář MessageTracking, jenž je úložištěm souborů s protokoly sledování zpráv, má výchozí limit velikosti 250 MB. ; Nástroj Message Tracking naleznete v pracovním centru Toolbox.
Prohlížeč Exchange 2007 Queue Viewer ; Pomocí prohlížeče Queue Viewer, jenž je nyní nástrojem v Exchange, a lze jej tedy nalézt v pracovním centru Toolbox v Exchange Management Console, můžete sledovat informace o frontách a zkoumat zprávy v nich. ; Exchange Server 2007 používá pět různých typů front a směrování zprávy určuje typ fronty, kam se konkrétní zpráva uloží. ; V Exchange Serveru 2007 se fronty zpráv ukládají do databáze ESE, což je odlišné od starších verzí Exchange, kde se zprávy (soubory .EML) ukládaly do složky fronty v systému NTFS.
Nástroj Exchange Mail Flow Troubleshooter ; Máte-li ve své organizaci problémy s tokem pošty, můžete vyzkoušet novinku – Exchange Mail Flow Troubleshooter. Nejprve je potřeba do tohoto diagnostického nástroje zadat příznaky a poté nástroj provede uživatele správnou cestou pro řešení problémů a nabídne pohodlný přístup k různým datovým zdrojům, potřebným na vyřešení problémů s tokem pošty. V závislosti na získaných datech nástroj zanalyzuje možné hlavní příčiny a navrhne potřebné nápravné akce.
Nastavení Hub Transport Serveru jako transportního serveru do Internetu ; Jste-li administrátory Exchange v malé organizaci či primárně poskytujete konzultace malým obchodníkům, je možné, že vám jejich rozpočet na IT zabrání při přechodu na Exchange Server 2007 nainstalovat do demilitarizované zóny Edge Transport server (obzvláště když bude prostředí tvořeno jediným serverem
K1525.indd 276
27.3.2008 9:14:37
Řešení ve zkratce
277
Exchange 2007). V takovém případě lze nastavit Hub Transport server, aby pro vaši organizaci fungoval jako transportní server do Internetu. ; Ve výchozím stavu nejsou na Hub Transport serveru nainstalováni žádní antispamoví filtrovací agenti (protože produktová skupina Exchange předpokládá, že nainstalujete v demilitarizované zóně Edge Transport server, což je nejlepší postup). Chcete-li používat na Hub Transport serveru antispamové agenty, musíte je nainstalovat ručně spuštěním skriptu install-AntispamAgents.ps1, umístěného ve složce skriptů Exchange 2007, k níž vede ve výchozím nastavení cesta C:\Program Files\Microsoft\Exchange Server.
Časté dotazy Následující časté dotazy spolu s odpověďmi od autorů této knihy mají sloužit jednak k tomu, abyste si ověřili, že chápete principy popsané v této kapitole, a také vám pomoci při skutečné implementaci těchto postupů. Chcete-li položit autorovi této kapitoly otázku, přejděte na stránku www.syngress.com/solutions a klepněte na formulář „Ask the Author“. Otázka: Jaký protokol se používá při výměně zpráv mezi dvěma vnitřními Hub Transport servery?
Odpověď: Když Hub Transport server komunikuje s poštovním serverem, používá šifrované RPC. Opět tak není možné komunikaci odposlouchávat. Otázka: Neexistuje nějaká možnost, jak použít antispamové agenty Exchange 2007, když neinstaluji do demilitarizované zóny své organizace Edge Transport server?
KAPITOLA 6
Otázka: Jaký protokol se používá, když Hub Transport doručuje zprávu do poštovní schránky na nějakém poštovním serveru?
Správa serverové role Hub Transport
Odpověď: Hub Transport servery používají pro vnitřní výměnu zpráv bezpečný protokol SMTP. Používají průmyslový standard SMTP Transport Layer Security (TLS), takže veškerá komunikace mezi Hub Transport servery je autentizovaná a šifrovaná. Tím je vyloučena možnost vnitřního odposlechu.
Odpověď: Ano, antispamové agenty můžete nainstalovat na Hub Transport server spuštěním skriptu install-AntispamAgents.ps1, umístěného ve složce skriptů Exchange 2007, k níž vede ve výchozím nastavení cesta C:\Program Files\Microsoft\Exchange Server. Otázka: Nainstaloval jsem do své organizace Exchange 2007, ale nepřichází mi zprávy z Internetu. Proč? Odpověď: Jedním z cílů návrhu Exchange 2007 byla ve výchozím stavu co nejvyšší bezpečnost, což odpovídá kupříkladu konfiguraci Hub Transport serveru, aby přijímal pouze zprávy od interních uživatelů Exchange, serverů Exchange a starších serverů Exchange. To znamená, že Hub Transport server nepřijímá zprávy přicházející od neautentizovaných (nedůvěryhodných) poštovních serverů, což jsou obvykle externí poštovní servery v Internetu. Namísto toho očekává příjem zpráv z Internetu skrze Edge Transport server v demilitarizované zóně. Abyste mohli přijímat příchozí zprávy z poštovních serverů na Internetu, musíte povolit anonymní uživatele (Anonymous users) na záložce Permission Group na stránce vlastností výchozího přijímacího konektoru na příslušném serveru.
K1525.indd 277
27.3.2008 9:14:37
278
Kapitola 6: Správa serverové role Hub Transport
Otázka: V Exchange Server 2007 Management Console nevidím žádné směrovací skupiny (Routing Groups). Jak je to možné? Odpověď: Směrovací skupiny byly v Exchange 2007 zrušeny. Namísto toho využívá Exchange 2007 existující topologie sítě Active Directory. Otázka: S přihlédnutím k tomu, že Hub Transport server používá protokol SMTP na výměnu zpráv s interními transportními servery a s dalšími poštovními servery na Internetu, nechápu, proč nemám před instalací serverové role Exchange 2007 Hub Transport nainstalovat komponentu IIS SMTP. Odpověď: Oproti předchozím verzím produktu již Exchange 2007 nepoužívá balík protokolu SMTP integrovaný v Internetové informační službě (IIS). Produktová skupina Exchange namísto toho přepsala transportní balík SMTP do řízeného kódu, což vede k mnohem stabilnějšímu a bezpečnějšímu protokolu.
K1525.indd 278
27.3.2008 9:14:37