Tuesday, October 23rd, 2018

Путешествие Тома Шиндера по Small Business Server 2003 Service Pack 1 – Часть 3: CEICW от страницы Network Connection до страницы E-mail Retrieval Method Page

Published on Февраль 9, 2009 by   ·   Комментариев нет

В первых двух частях этой серии статей, посвященных установке и настройке ISA firewall на SBS SP1, я начал рассказ с обзора проблем безопасности при использовании ISA firewall на компьютере SBS, выбора подходящей топологии сети, а затем начал работу с CEICW. В данной статье мы начнем работу с CEICW со страницы Network Connection.

Если Вы еще не читали первые две статьи, то они находятся здесь:

Страница Network Connection

На странице Network Connection вы выбираете, какие из интерфейсов компьютера SBS будут использованы во внешней и внутренней сети. В моем примере я установил статический IP-адрес для внутреннего и внешнего интерфейсов перед запуском CEICW. Внешний интерфейс настроен с IP-адресом 192.168.1.70, а внутренний – с IP-адресом 10.0.0.1.

Выберите подходящие интерфейсы для ISP network connection (т.е. для внешнего интерфейса) и для Local network connection (т.е. внутреннего интерфейса). После того, как выбор сделан, IP-адрес и маска подсети каждого из интерфейсов будут присутствовать во фрейме Properties.

Нажмите Next на странице Network Connection.

Www faqman ru

Рисунок 1

Страница Firewall

Тут я допустил ошибку, или во всяком случае выбрал опцию, дающую результат, которого я не ожидал. На странице Firewall Вы выбираете, нужна ли Вам поддержка “брандмауэра” (firewall). Эта страница не поясняет, какой тип firewall. Даже при нажатии кнопки More Information, Вы не получите информацию о том, какой firewall будет использоваться.

В Getting Started Guide (Руководство для начинающих) говорится о “firewall”, но не сообщаются подробности. Не знаю, почему разработчики скрыли детали, касающиеся настроек firewall. Я предполагаю, что Вы будете использовать Windows Firewall, если не используется ISA firewall, а если ISA firewall установлен, то он будет использоваться. Но нужно ли вначале включать использование Windows firewall, если вы планируете впоследствии использовать ISA firewall? Не создаст ли это проблемы? И будете ли Вы спрошены о том, какой firewall нужно использовать?

Поскольку документация умалчивает обо всем этом, я решил поиграть в классическую игру с мастерами настройки Windows, угадывая действительное значение опций. Я догадывался, что если я сейчас включу поддержку Windows Firewall, это может отразиться на последующем ходе установки ISA firewall. Поскольку я не хотел нарушать ход установки ISA firewall, я выбрал опцию Disable firewall. Впоследствии мы увидим, как это скажется на окончательной установке ISA firewall.

Какой порт использует майл?

Рисунок 2

Появляется окно с предупредительной надписью о том, что если firewall выключен, могут возникнуть нежелательные последствия. Мы вернемся к этому позже, но здесь говорится нечто важное: Не производите инсталляцию сервера на компьютере, напрямую подключенном к Интернету.

Если у Вас есть устройство NAT или простой брандмауэр, анализирующий сетевые пакеты, стоящий впереди компьютера SBS, тогда все в порядке. Но если Вы используете прямое модемное соединение, убедитесь, что модем не подключен Интернету во время установки сервера.

Нажмите OK, чтобы убрать диалоговое окно.

Статьи шиндера isa

Рисунок 3

Страница Web Server Certificate

Страница Web ServerCertificate позволяет указать, какой сертификат использовать на Web-сервере. Это очень важно, поскольку название, указанное Вами в поле Web server name – это название компьютера, через которое пользователи получают доступ к Web-сайту, на котором используется ISA firewall Web Publishing Rules. Например, если название сертификата – www.msfirewall.org, тогда пользователи должны использовать это название в их запросах к Web, например http://www.msfirewall.org/exchange.

Главная причина использования SSL – предоставить Web-серверу возможность осуществлять через Интернет защищенные входящие и исходящие соединения. Злоумышленники или даже простые пользователи могут подключиться к Вашей внутренней сети и применить сетевой анализатор (например Microsoft Network Monitor), для “прослушивания” незащищенных соединений в сети. Имена пользователей и пароли проходят через небезопасное соединение, так что Вы должны обратить внимание на использование SSL при соединении с Web-сервером.

Название, которое Вы вводите в поле Web servername должно также иметь IP-адрес, принимающий соединения с Web-сайтом через Интернет. Это зависит от Вашей сетевой конфигурации. Если у Вас есть устройство NAT или простой брандмауэр, анализирующий сетевые пакеты, который осуществляет NAT впереди компьютера SBS, тогда общественный адрес, полученный внешним интерфейсом этого внешнего устройства — и есть IP-адрес, который преобразуется в требуемое название. Если Вы соединяете компьютер SBS напрямую с Интернетом, используя кабельный или DSL “модем”, тогда название должно будет преобразовываться в IP-адрес, предоставленный внешнему интерфейсу компьютера SBS.

Вы можете подумать, что Вам будет нужен постоянный IP-адрес, предоставленный или внешнему устройству, или компьютеру SBS как таковому, однако это не так. Пользователям “извне” нужно лишь преобразовывать это название в IP-адрес, принимающий входящие соединения от хостов Интернет. Если Ваш провайдер не предоставил Вам постоянный публичный адрес, тогда можно использовать динамический сервис DNS, который будет автоматически обновлять записи DNS, когда DHCP-сервер провайдера предоставит вам новый адрес. TZO является одним из поставщиков услуг динамического DNS. Лично я использую TZO уже несколько лет, они предоставляют отличный сервис по доступной цене. Их адрес — www.tzo.com.

Опция Use a Web server certificate from a trusted authority позволяет импортировать сертификат Web-сайта из файла. Этот файл содержит сам сертификат сайта и приватный ключ сайта. Файл должен содержать этот ключ, в ином случае сертификат не сможет работать с ISA firewall Web Publishing Rules (Правила Веб-публикации), или где либо еще. Я рекомендую Вам экспортировать сертификаты Web-сайтов (с их приватными ключами) в один файл и скопировать его на компакт-диск. В случае неисправности сервера, Вы сможете легко восстановить сертификаты. Эту опцию нужно использовать, если у Вас уже установлен SBS и сертификаты уже имеются у клиентов.

В нашем случае мы устанавливаем новый сервер SBS SPCreate a new Web server certificate и ввести название домена, через который пользователи будут получать доступ к сайту; в нашем примере это www.msfirewall.org

ВНИМАНИЕ:

В моих примерах я всегда использую домен msfirewall.org. В Вашей собственной сети Вы должны изменить это название.

Click Next on the Web Server Certificate page.

Www faqman ru

Рисунок 4

Страница Internet E-mail

Internet E-mail Вы сообщаете мастеру установки, хотите ли Вы разрешить удаленный доступ к почтовым сервисам Exchange Server. Это является одним из главных достоинств SBS, и было бы неразумно отключить поддержку этой функции, особенно если Вы используете ISA firewall исключительно для предоставления безопасного доступа к сервисам Exchange Server.

В этом примере мы выберем опцию Enable Internet E-mail и нажмем Next.

Какой порт использует майл?

Рисунок 5

Страница E-mail Delivery

E-mail Delivery вы указываете, каким образом сервер Exchange на компьютере SBS будет преобразовывать доменные имена MX в Интернете. Когда пользователь Вашей сети посылает сообщение кому-то в Интернете, используя Ваш сервер Exchange, сервис Exchange SMTP нуждается в преобразовании доменного имени адресата этого сообщения.

Например, если Вы посылаете сообщение адресату bob@smbnation.com, сообщение отсылается от Вашего почтового клиента к серверу Exchange. Затем сервер Exchange должен найти запись DNS MX для домена smbnation.com. Сервер Exchange посылает ряд запросов DNS к серверам DNS в Интернете, чтобы найти IP-адрес почтового сервера, ответственного за доставку почты smbnation.com. После этого сервер Exchange посылает сообщение на IP-адрес почтового сервера, указанного в MX-записи для smbnation.com, и далее этот почтовый сервер занимается доставкой сообщения в почтовый ящик пользователя bob. Вот что будет происходить, если Вы выберете опцию Use DNS to route e-mail.

Еще одна опция – это Forward all e-mail to e-mail server at your ISP. Она позволяет Вам использовать почтовый сервер Вашего провайдера как быстрый хост (smart host). Smart host – это сервер SMTP, получающий почту от Вашего почтового сервера и затем совершающий собственные запросы DNS, чтобы найти почтовый сервер, ответственный за доставку писем для домена адресата. Smart host совершает свой собственный опрос DNS для нахождения записей MX. Конечный результат – это снижение трафика DNS от Вашего сервера Exchange к почтовому серверу провайдера.

Еще одно преимущество использования smart host заключается в том, что провайдер, осуществляющий эту работу, вероятно имеет записи зон обратного просмотра для почтового сервера, так что хорошие провайдеры вроде AOL будут получать письма от почтового сервера smart host, когда они не смогут получить письма от Вашего почтового сервера (в случае, если Вы не зарегистрировали зоны обратного просмотра для Вашего сервера, а это Вы сможете сделать только при наличии выделенного/постоянного IP-адреса, назначенного для Вашего устройства NAT или сервера SBS).

Мое личное мнение таково, что обратный просмотр DNS – это пустая трата процессорного времени, и он не должен использоваться всеми разумными IT-организациями, но многие системные администраторы отчаянно пытаются сделать все, что возможно, для задержки флуда или спама, так что они просто включают обратный просмотр в качестве метода борьбы со спамом. Не попадитесь в эту ловушку. Не включайте обратный просмотр для борьбы со спамом. Как сказал бы великий американский философ Вильям Джеймс, “обратный просмотр DNS – это рай для глупца и простор для болвана”.

Нельзя категорически назвать подходящий именно Вам способ. Если Вы — клиент небольшого, профессионально управляемого провайдера с отличным персоналом, знающим, как обеспечить оптимальное функционирование серверов, тогда я рекомендую использовать smart host. Если же Вы – клиент одного из массовых провайдеров, в котором работают специалисты невысокого уровня, советую использовать DNS для доставки писем. В случае, если Вы не знаете, как оценить компетентность провайдера, спросите кого-либо из знакомых специалистов, или обратитесь к группам новостей (newsgroups).

В этом примере мы выберем опцию Use DNS to route e-mail, поскольку наш провайдер “Verizon J”. Нажмите Next на странице E-mail Delivery Method.

Faqman ru

Рисунок 6

Страница E-mail Retrieval Method

E-mail Retrieval Method Вы указываете, каким образом сервер Exchange на компьютере SBS получает письма от других пользователей в Интернете.

Опция Use theMicrosoft Connector for POP3 Mailboxes используется, когда вы не можете получить входящее письмо прямо на сервер Exchange. Это может быть в случае, если у Вас нет постоянного IP-адреса или же если Ваш провайдер запрещает входящие подключения SMTP, или если Ваш провайдер не поддерживает TURN или ETRN. В любом случае, даже если Ваш провайдер запрещает входящие соединения на стандартный порт SMTP (TCP-порт 25), то у Вас возможность принимать входящие соединения на другой порт. Если Ваш провайдер позволяет входящие соединения на альтернативные порты, использование которых не требуется другими сервисами Exchange Server, Вы можете прибегнуть к помощи сервиса динамического DNS, такого как TZO, который может принимать почту для Вашего доменного имени, а затем переадресовывать почту на Ваш сервер SMTP, используя альтернативный порт.

Стоит подыскать альтернативу коннектору (Connector) для POP3. В Интернете множество системных администраторов, которые пробовали использовать коннектор для POP3 при управлении почтовыми сервисами. Но коннектор для POP3 должен быть использован в качестве временной меры на очень ограниченный период времени — до того момента, как сделаны необходимые настройки, и можно включить прием почты на сервере Exchange.

Опция Use Exchange – это предпочтительная опция, и мы будем использовать ее в нашем примере. Когда Вы ставите галочку рядом с Use Exchange, Вы получаете две дополнительных опции: E-mail is delivered directly to my server и E-mail is held at my ISP until my server sends a signal

Опция E-mailis delivered directly to my server используется при получении входящих писем непосредственно от почтового (SMTP) сервера отправителя, или же от почтового сервера, получившего почту для Вашего домена и направившего письмо к Вашему серверу Exchange.

Например, у Вас может быть знакомый человек или провайдер, предоставляющий возможности Smart host для Вашего почтового домена. Вы можете создать несколько записей MX и назначить им приоритет, согласно которому они будут обращаться к серверу Exchange первыми, но если Ваш сервер Exchange будет недоступен, тогда серверы SMTP в Интернете пошлют почту на серверы с более низким приоритетом записи MX. Если же вся почта приходит на другой SMTP сервер, выступающий в качестве Smart host для Вашего почтового домена, он продолжит переадресовывать почту к Вашему серверу Exchange в течение определенного временного периода, который можно варьировать. Когда Ваш сервер Exchange снова станет доступен, Smart host переадресует ему почту. Конечный результат этих настроек таков, что Вы никогда не потеряете входящих писем, даже если сервер Exchange, базирующийся на SBS, будет отключен от сети в течение нескольких дней!

Опция E-mailis held at my ISP until my server sends a signal позволяет третьим лицам получать почту и сохранять ее для Вас, пока сервер Exchange не пошлет запрос TURN или ETRN к почтовому серверу провайдера. Эта опция удобна для тех компаний, которые не в состоянии принимать входящие соединения напрямую на их почтовый сервер Exchange. Ваш сервер Exchange будет посылать периодические запросы соединения (параметры которых настраиваемы) к почтовому серверу провайдера. После авторизации на сервере провайдера, этот сервер пошлет почту напрямую Вашему серверу Exchange. Это отличный выход в том случае, если Ваш хостинг-провайдер предоставляет такую услугу, а Вы не можете получать входящую почту напрямую к Вашему серверу Exchange от SMTP-серверов в Интернете.

Опция ETRN, являющаяся частью опции E-mailis delivered directly to my server, требует от Вас наличия выделенного / постоянного IP-адреса, назначенного Вашему устройству NAT, либо компьютеру SBS, в зависимости от Ваших настроек. Причина этого такова, что использование TURN требует IP-адрес источника в качестве идентификатора. Если Ваш провайдер назначил Вам адрес через DHCP, тогда Вы не можете использовать опцию ETRN.

Если у Вас адрес, назначенный через DHCP, можете использовать опцию Turn after authentication. В таком случае, Ваш сервер Exchange посылает данные для произведения авторизации к SMTP серверу провайдера, так что не имеет значения, какой IP-адрес Вы имеете на внешнем интерфейсе. Если сервер Exchange может послать верные имя пользователя и пароль, он имеет возможность получить Вашу почту от сервера Exchange, принадлежащего провайдеру. Если Вы выберете эту опцию, на следующей странице мастера настройки у Вас будет спрошено имя пользователя и пароль.

В этом примере я выберу опции Use Exchange и E-mailis delivered directly to my server, поскольку я могу принимать входящие соединения на 25 порт TCP (порт SMTP) через устройство FiOS NAT. Нажмите Next.

Www faqman ru

Рисунок 7

Резюме

В этой статье, посвященной установке и настройке ISA firewall на SBS, мы продолжили работу с CEICW. В следующей статье мы завершим настройку CEICW. До новых встреч!

Источник www.isaserver.org


Смотрите также:

Tags: , , , ,

Readers Comments (Комментариев нет)




Да человек я, человек! =)

Exchange 2007

Проведение мониторинга Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 3)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Проведение мониторинга Exchange 2007 с помощью диспетчера System ... [+]

Практическое рассмотрение перехода с Exchange 2003 на Exchange 2007 (часть 1)

Введение В этой статье из нескольких частей я хочу показать вам процесс, который недавно использовал для перехода с существующей среды Exchange 2003 ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 2)

Если вы пропустили первую часть этой серии, пожалуйста, прочтите ее по ссылке Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (Часть ... [+]

Мониторинг Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 2)

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Мониторинг Exchange 2007 с помощью диспетчера System Center Operations ... [+]

Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 5)

Если вы пропустили предыдущие части этой серии статей, перейдите по ссылкам: Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 1) ... [+]

Установка и настройка Exchange 2007 из командной строки (Часть 3)

If you missed the previous parts in this article series please read: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 1)

Инструмент ExRCA Текущий выпуск инструмента предоставляется только в целях тестирования и оснащен 5 опциями: Тест подключения Outlook 2007 Autodiscover Тест подключения Outlook 2003 RPC ... [+]

Развертывание сервера Exchange 2007 Edge Transport (часть 5)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Развертывание сервера Exchange 2007 Edge Transport (часть 1) Развертывание ... [+]

Установка и настройка Exchange 2007 из командной строки (часть 2)

Если вы пропустили первую статью данного цикла, пожалуйста, перейдите по ссылке: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование интегрированных сценариев Using Exchange Server 2007 – часть 2: генерирование отчетов агента Transport AntiSpam Agent

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Использование интегрированных сценариев Using Exchange Server 2007 – часть ... [+]