Tuesday, January 23rd, 2018

Публикация Exchange 2007 OWA, Exchange ActiveSync и RPC/HTTP с помощью 2006 ISA Firewall (Часть 3)

Published on Февраль 17, 2009 by   ·   Комментариев нет

В первых двух частях этой серии, посвященной публикации веб-служб Exchange 2007 с помощью ISA Firewall, мы обсудили инфраструктуру сети и топологию, необходимую для создания безопасного решения, и отметили некоторые ограничения, накладываемые в настоящее время Exchange 2007. Затем мы прошли через испытания и невзгоды, связанные с установкой Еxchange 2007 на почтовый сервер и транспортный сервер-концентратор..

В третьей части, мы вернемся к почтовому серверу и серверу-концентратору и настроим «службу» SMTP для сервера-концентратора. Я поставил «службу» в кавычки, поскольку тут нет ничего похожего на SMTP службу в Exchange 2003.

Настройка транспортного сервера-концентратора для приема и отсылки SMTP почты в Интернет и из него.

В последней статье мы использовали справку, предоставленную в консоли Exchange Management для того, чтобы помочь нам в начале работы. Это все, что оставила команда разработчиков Exchange Server в качестве руководства. Теперь мы предоставлены сами себе. Первым, что пришло мне на ум, было то, что нам нужно каким-либо способом отправить исходящие SMTP сообщения в Интернет. Это было довольно легко сделать, используя Exchange 2003 и службу SMTP, потому что служба SMTP интуитивно настраивалась на прием и получение почты. В конце концов, это то, что она и должна делать.

Изучив справочный файл для Exchange Server, я довольно скоро понял, что в Exchange 2007 нет такой вещи как SMTP «служба». Я не знаю, что они теперь называют службами SMTP, но это не то. Я полагаю, назвать ее службой SMTP было бы слишком просто, и команда разработчиков Exchange поняла, что настоящее счастье в этой жизни заключается не в обладании, а в стремлении. Другими словами, настоящее счастье в преследовании, а не добыче.

Из моих изысканий стало понятно, что нам нужно создать Send Connector. Без этих «коннекторов» вы не сможете отправлять почту в Интернет, так что лучше создадим его. Раскройте список Organization Configuration\Hub Transport, располагающийся на левой панели консоли. Выберите вкладку Send Connectors на средней панели. Щелкните правой кнопкой на пустом месте на средней панели и нажмите New Send Connector.

Как настроить external dns lookups?

Рисунок 1

На странице New SMTP Send Connector введите в поле Name имя соединителя. В этом примере мы назовем его Internet bound Mail. Из выпадающего списка Select the intended use for this Send connector выберите Internet. Нажмите Next.

Как настроить external dns lookups?

Рисунок 2

На странице Address Space нажмите на кнопку Add. В диалоговом окне Add Address Space поставьте звездочку в поле Domain. Я отметил поле Include all subdomains, хоть я и не знаю, необходимо ли это, ведь специальный символ приказывает Exchange Server слать всю почту в любой домен через этот соединитель SMTP (кроме тех доменов, для которых Exchange Server не является авторитетным). В диалоговом окне Add Address Space нажмите OK.

Теперь вы видите, что домен с указанным нами названием занесен в список, и его типом является smtp. Нажмите Next.

На странице Network settings у нас есть несколько опций для выбора. По умолчанию установлено Use domain name system (DNS) “MX” records to route mail automatically. При включении данной опции Exchange Server ответственен за поиск почтовых записей для необходимого домена и их разрешение в IP адрес.

Другая опция – перенести эту ответственность на другой SMTP сервер. Когда вы переносите разрешение имен домена для обмена почтой на другой SMTP сервер, сервер, получивший данную функцию, действует в качестве Smart Host. Нередко так используется ISP SMTP сервер. Одним из преимуществ этого является то, что скорее всего для сервера ISP SMTP будет запись с раздельным DNS, так что вам не придется беспокоиться об обратных запросах в сторону нужного DNS сервера. Это происходит из-за того, что DNS сервер разрешает имя лишь для последнего транзитного участка, а не для каждого участка, который SMTP сообщение могло пройти во время своего пути до места назначения.

Еще одной опцией на этой странице является Use the External DNS Lookup settings on the transport server. По умолчанию Exchange Server будет использовать для разрешения имен доменов для почтовых записей тот DNS сервер, что указан в его сетевом интерфейсе. Однако у вас может быть запущено такое окружение, в котором разрешение имен Интернет доменов с помощью внутренних компьютеров будет нежелательно (например, вы хотите, чтобы разрешение внешних имен выполнял ISA Firewall, для чего клиентам необходимо быть клиентами Web proxy и/или клиентами брандмауэра). Это значительно более защищенная конфигурация, рекомендуемая такими экспертами по безопасности мирового класса, как Tim Mullen (Thor).

Когда вы выбираете опцию Use the External DNS Lookup settings on the transport server, у вас есть возможность настроить «службу» SMTP так, чтобы она использовала альтернативный DNS сервер, способный разрешать имена хостов в Интернет. В этом случае вы позволяете «службе» SMTP разрешать имена Интернет доменов для почты, запрещая всем остальным приложениям и службам на этом компьютере разрешение любых имен Интернет хостов.

В этом примере мы воспользуемся установками, данными по умолчанию — Use domain name system (DNS) “MX” records to route mail automatically. Нажмите Next.

На странице Source Server вы увидите, что наш транспортный сервер уже добавлен в список. Поскольку он у нас только один, нам не нужно добавлять что-либо еще. Нажмите Next.

Проверьте настройки на странице New Connector и нажмите кнопку New.

На странице Completion нажмите Finish.

Дважды щелкните на Internet Bound Mail Send Connector, что вы создали. Это откроет диалоговое окно Internet Bound Mail Properties. На вкладке General вам нужно будет сделать запись в поле Specify the FQDN this connector will provide in response to HELO or EHLO. Это важный параметр, если вы не используете Smart Host, потому что IP адрес, по которому исходящая почта покидает вашу организацию, должен разрешаться обратным образом в имя, которое вы введете в это поле. Если вы используете Smart Host, это наверно не будет иметь значения.

Send connector exchange 2007

Рисунок 3

Раскройте список Server Configuration\Hub Transport, расположенный на левой панели консоли Exchange. Дважды щелкните на записи EXCH2007MB в средней части консоли.

В диалоговом окне EXHC2007 Properties выберите вкладку External DNS Lookups. Здесь у вас есть две возможности:

  • Use network card DNS settings — Эта опция позволяет вам использовать настройки DNS сетевого интерфейса, установленного на Exchange Server. Если у вас несколько сетевых интерфейсов на Exchange Server, тогда вы можете выбрать нужный из раскрывающегося списка. После этого вы увидите адрес DNS сервера в списке This adapter contains the following DNS server entries.
  • Use these DNS servers – Выберите эту опцию, если вы хотите использовать DNS сервер, не занесенный в список на сетевых интерфейсах, установленных на Exchange Server.

В этом примере мы будем использовать адрес DNS сервера, привязанный к сетевому интерфейсу, являющийся IP адресом DNS сервера, установленного на контроллере домена для этой сети.

Send connector exchange 2007

Рисунок 4

Есть еще одна вещь, которую нам нужно сделать для того, чтобы позволить анонимные подключения к получающему коннектору, данному по умолчанию, расположенном на этом транспортном сервере-концентраторе. Вообще вам не стоит делать этого, поскольку вы допускаете анонимные входящие соединения к хосту, связанному с Интернет, расположенному в той же самой зоне безопасности, что и контроллер домена и почтовый сервер (в этом примере почтовый сервер связан с транспортным сервером-концентратором). В защищенном окружении вы бы использовали входящий SMTP ретранслятор, находящийся в зоне DMZ с анонимным доступом. Это может быть сервер IIS SMTP или Exchange Edge Server.

Дважды щелкните по строчке Default EXCH2007MB Receive Connector в средней части консоли Exchange Management. В диалоговом окне Default EXCH2007MB Properties выберите вкладку Permission Groups. Отметьте поле Anonymous users и нажмите OK.

Теперь, когда наши отсылающие и принимающие коннекторы настроены, было бы неплохо посмотреть, работают ли они. Мы еще не можем проверить наш принимающий коннектор, поскольку у нас не установлено клиентов для того, чтобы послать почту через транспортный сервер-концентратор, но мы можем протестировать его, установив telnet соединение к TCP порту 25 транспортного сервера-концентратора. Когда я попытался сделать это, я увидел то, что показано на рисунке ниже.

Owa несколько smtp

Рисунок 5

Отключение системы «back pressure»

Недостаточно системных ресурсов? Что же с ними? Может быть, «служба» SMTP или что-то вроде нее не запустилась. Поскольку в Exchange 2007 нет SMTP «службы», было неясно, какую именно службу я должен искать. Поскольку «служба» SMTP — это что-то, что должно запускаться автоматически, я постарался определить, какая служба Exchange управлялась автоматически, но не смогла запуститься. К несчастью, я не нашел таких служб.

Следующим местом для проверки был Event Viewer. Событие, показанное на этом рисунке, указывает, что параметр «resource pressure» был установлен в значение «high». Может быть, проблема была в этом, но у меня все еще не было доказательств.

Owa несколько smtp

Рисунок 6

Я написал в своем блоге об этом, и Marc Grote пришел ко мне на помощь. Он показал мне страницу на microsoft.com, где объяснялось, что это, скорее всего, проблема системы «back pressure».

«Back pressure» — это функция контроля системных ресурсов службы Microsoft Exchange Transport, существующая на компьютерах под управлением Microsoft Exchange Server 2007 с установленными ролями транспортного сервера или сервера-концентратора. Контролируются важные системные ресурсы, такие как свободное место на жестком диске и доступная память. Если использование системных ресурсов превышает определенный лимит, сервер Exchange прекращает прием новых подключений и сообщений. Это предотвращает полное поглощение системных ресурсов и позволяет серверу Exchange доставить существующие сообщения. Когда использование системных ресурсов возвращается к нормальному уровню, сервер Exchange вновь начинает принимать новые подключения и сообщения.

Следующие системные ресурсы контролируются функцией «back pressure»:

  • Свободное место на жестком диске, хранящем базу данных очереди сообщений.
  • Свободное место на жестком диске, хранящем журналы транзакций базы данных очереди сообщений.
  • Число невыполненных транзакций базы данных очереди сообщений, существующих в памяти.
  • Количество памяти, используемое процессом EdgeTransport.exe.
  • Количество памяти, используемое всеми процессами.

Для каждого контролируемого параметра на транспортном сервере или сервере-концентраторе есть следующие три уровня использования:

  • Нормальный Ресурс не перегружен. Сервер принимает новые подключения и сообщения.
  • Средний Ресурс несколько перегружен. Система «back pressure» применяется к серверу не на полную мощность. Почта от отправителей в авторитетном домене может приниматься и отправляться. Однако сервер отклоняет новые подключения и сообщения из других источников.
  • Высокий Ресурс серьезно перегружен. Система «back pressure» включена в полную силу. Весь поток сообщений останавливается, и сервер отклоняет новые подключения и сообщения.

Вы можете найти все, что вам надо знать об этой системе, тут: Understanding Back Pressure. Что наиболее важно, там рассказано, как ее отключить. Это полезно в окружении на базе виртуальной среды, но отключать ее в продуктивном окружении – вряд ли хорошая идея.

Чтобы отключить систему слежения «back pressure», зайдите в директорию C:\Program Files\Microsoft\Exchange Server\Bin, найдите файл EdgeTransport.exe.config и дважды щелкните на нем.

Owa IP домена и почтового сервера

Рисунок 7

Откройте файл с помощью программы Notepad (Блокнот). Найдите запись EnableResourceMonitoring и поменяйте значение с true на false. Закройте файл и перезапустите сервер. Вы больше не увидите сообщений, связанных с этой системой, и сможете подключиться с помощью telnet к вашему принимающему коннектору.

Заключение

В этой статье мы настраивали «службу» SMTP транспортного сервера-концентратора Exchange 2007. Мы настроили Exchange Server так, чтобы он принимал входящие сообщения SMTP и посылал исходящие. Мы закончили статью инструкцией, как отключить систему слежения «back pressure», предназначенную для отключения службы SMTP в определенных обстоятельствах. В следующей части мы продолжим, установив и настроив Exchange Client Access Server. Увидимся!

www.isaserver.org



Смотрите также:

Tags: , , , ,

Readers Comments (Комментариев нет)




Да человек я, человек! =)

Exchange 2007

Проведение мониторинга Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 3)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Проведение мониторинга Exchange 2007 с помощью диспетчера System ... [+]

Практическое рассмотрение перехода с Exchange 2003 на Exchange 2007 (часть 1)

Введение В этой статье из нескольких частей я хочу показать вам процесс, который недавно использовал для перехода с существующей среды Exchange 2003 ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 2)

Если вы пропустили первую часть этой серии, пожалуйста, прочтите ее по ссылке Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (Часть ... [+]

Мониторинг Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 2)

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Мониторинг Exchange 2007 с помощью диспетчера System Center Operations ... [+]

Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 5)

Если вы пропустили предыдущие части этой серии статей, перейдите по ссылкам: Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 1) ... [+]

Установка и настройка Exchange 2007 из командной строки (Часть 3)

If you missed the previous parts in this article series please read: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 1)

Инструмент ExRCA Текущий выпуск инструмента предоставляется только в целях тестирования и оснащен 5 опциями: Тест подключения Outlook 2007 Autodiscover Тест подключения Outlook 2003 RPC ... [+]

Развертывание сервера Exchange 2007 Edge Transport (часть 5)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Развертывание сервера Exchange 2007 Edge Transport (часть 1) Развертывание ... [+]

Установка и настройка Exchange 2007 из командной строки (часть 2)

Если вы пропустили первую статью данного цикла, пожалуйста, перейдите по ссылке: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование интегрированных сценариев Using Exchange Server 2007 – часть 2: генерирование отчетов агента Transport AntiSpam Agent

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Использование интегрированных сценариев Using Exchange Server 2007 – часть ... [+]