В первых двух частях этой серии, посвященной публикации веб-служб Exchange 2007 с помощью ISA Firewall, мы обсудили инфраструктуру сети и топологию, необходимую для создания безопасного решения, и отметили некоторые ограничения, накладываемые в настоящее время Exchange 2007. Затем мы прошли через испытания и невзгоды, связанные с установкой Еxchange 2007 на почтовый сервер и транспортный сервер-концентратор..
В третьей части, мы вернемся к почтовому серверу и серверу-концентратору и настроим «службу» SMTP для сервера-концентратора. Я поставил «службу» в кавычки, поскольку тут нет ничего похожего на SMTP службу в Exchange 2003.
В последней статье мы использовали справку, предоставленную в консоли Exchange Management для того, чтобы помочь нам в начале работы. Это все, что оставила команда разработчиков Exchange Server в качестве руководства. Теперь мы предоставлены сами себе. Первым, что пришло мне на ум, было то, что нам нужно каким-либо способом отправить исходящие SMTP сообщения в Интернет. Это было довольно легко сделать, используя Exchange 2003 и службу SMTP, потому что служба SMTP интуитивно настраивалась на прием и получение почты. В конце концов, это то, что она и должна делать.
Изучив справочный файл для Exchange Server, я довольно скоро понял, что в Exchange 2007 нет такой вещи как SMTP «служба». Я не знаю, что они теперь называют службами SMTP, но это не то. Я полагаю, назвать ее службой SMTP было бы слишком просто, и команда разработчиков Exchange поняла, что настоящее счастье в этой жизни заключается не в обладании, а в стремлении. Другими словами, настоящее счастье в преследовании, а не добыче.
Из моих изысканий стало понятно, что нам нужно создать Send Connector. Без этих «коннекторов» вы не сможете отправлять почту в Интернет, так что лучше создадим его. Раскройте список Organization Configuration\Hub Transport, располагающийся на левой панели консоли. Выберите вкладку Send Connectors на средней панели. Щелкните правой кнопкой на пустом месте на средней панели и нажмите New Send Connector.
Рисунок 1
На странице New SMTP Send Connector введите в поле Name имя соединителя. В этом примере мы назовем его Internet bound Mail. Из выпадающего списка Select the intended use for this Send connector выберите Internet. Нажмите Next.
Рисунок 2
На странице Address Space нажмите на кнопку Add. В диалоговом окне Add Address Space поставьте звездочку в поле Domain. Я отметил поле Include all subdomains, хоть я и не знаю, необходимо ли это, ведь специальный символ приказывает Exchange Server слать всю почту в любой домен через этот соединитель SMTP (кроме тех доменов, для которых Exchange Server не является авторитетным). В диалоговом окне Add Address Space нажмите OK.
Теперь вы видите, что домен с указанным нами названием занесен в список, и его типом является smtp. Нажмите Next.
На странице Network settings у нас есть несколько опций для выбора. По умолчанию установлено Use domain name system (DNS) “MX” records to route mail automatically. При включении данной опции Exchange Server ответственен за поиск почтовых записей для необходимого домена и их разрешение в IP адрес.
Другая опция – перенести эту ответственность на другой SMTP сервер. Когда вы переносите разрешение имен домена для обмена почтой на другой SMTP сервер, сервер, получивший данную функцию, действует в качестве Smart Host. Нередко так используется ISP SMTP сервер. Одним из преимуществ этого является то, что скорее всего для сервера ISP SMTP будет запись с раздельным DNS, так что вам не придется беспокоиться об обратных запросах в сторону нужного DNS сервера. Это происходит из-за того, что DNS сервер разрешает имя лишь для последнего транзитного участка, а не для каждого участка, который SMTP сообщение могло пройти во время своего пути до места назначения.
Еще одной опцией на этой странице является Use the External DNS Lookup settings on the transport server. По умолчанию Exchange Server будет использовать для разрешения имен доменов для почтовых записей тот DNS сервер, что указан в его сетевом интерфейсе. Однако у вас может быть запущено такое окружение, в котором разрешение имен Интернет доменов с помощью внутренних компьютеров будет нежелательно (например, вы хотите, чтобы разрешение внешних имен выполнял ISA Firewall, для чего клиентам необходимо быть клиентами Web proxy и/или клиентами брандмауэра). Это значительно более защищенная конфигурация, рекомендуемая такими экспертами по безопасности мирового класса, как Tim Mullen (Thor).
Когда вы выбираете опцию Use the External DNS Lookup settings on the transport server, у вас есть возможность настроить «службу» SMTP так, чтобы она использовала альтернативный DNS сервер, способный разрешать имена хостов в Интернет. В этом случае вы позволяете «службе» SMTP разрешать имена Интернет доменов для почты, запрещая всем остальным приложениям и службам на этом компьютере разрешение любых имен Интернет хостов.
В этом примере мы воспользуемся установками, данными по умолчанию — Use domain name system (DNS) “MX” records to route mail automatically. Нажмите Next.
Проверьте настройки на странице New Connector и нажмите кнопку New.
На странице Completion нажмите Finish.
Дважды щелкните на Internet Bound Mail Send Connector, что вы создали. Это откроет диалоговое окно Internet Bound Mail Properties. На вкладке General вам нужно будет сделать запись в поле Specify the FQDN this connector will provide in response to HELO or EHLO. Это важный параметр, если вы не используете Smart Host, потому что IP адрес, по которому исходящая почта покидает вашу организацию, должен разрешаться обратным образом в имя, которое вы введете в это поле. Если вы используете Smart Host, это наверно не будет иметь значения.
Рисунок 3
Раскройте список Server Configuration\Hub Transport, расположенный на левой панели консоли Exchange. Дважды щелкните на записи EXCH2007MB в средней части консоли.
В диалоговом окне EXHC2007 Properties выберите вкладку External DNS Lookups. Здесь у вас есть две возможности:
В этом примере мы будем использовать адрес DNS сервера, привязанный к сетевому интерфейсу, являющийся IP адресом DNS сервера, установленного на контроллере домена для этой сети.
Рисунок 4
Есть еще одна вещь, которую нам нужно сделать для того, чтобы позволить анонимные подключения к получающему коннектору, данному по умолчанию, расположенном на этом транспортном сервере-концентраторе. Вообще вам не стоит делать этого, поскольку вы допускаете анонимные входящие соединения к хосту, связанному с Интернет, расположенному в той же самой зоне безопасности, что и контроллер домена и почтовый сервер (в этом примере почтовый сервер связан с транспортным сервером-концентратором). В защищенном окружении вы бы использовали входящий SMTP ретранслятор, находящийся в зоне DMZ с анонимным доступом. Это может быть сервер IIS SMTP или Exchange Edge Server.
Дважды щелкните по строчке Default EXCH2007MB Receive Connector в средней части консоли Exchange Management. В диалоговом окне Default EXCH2007MB Properties выберите вкладку Permission Groups. Отметьте поле Anonymous users и нажмите OK.
Теперь, когда наши отсылающие и принимающие коннекторы настроены, было бы неплохо посмотреть, работают ли они. Мы еще не можем проверить наш принимающий коннектор, поскольку у нас не установлено клиентов для того, чтобы послать почту через транспортный сервер-концентратор, но мы можем протестировать его, установив telnet соединение к TCP порту 25 транспортного сервера-концентратора. Когда я попытался сделать это, я увидел то, что показано на рисунке ниже.
Рисунок 5
Недостаточно системных ресурсов? Что же с ними? Может быть, «служба» SMTP или что-то вроде нее не запустилась. Поскольку в Exchange 2007 нет SMTP «службы», было неясно, какую именно службу я должен искать. Поскольку «служба» SMTP — это что-то, что должно запускаться автоматически, я постарался определить, какая служба Exchange управлялась автоматически, но не смогла запуститься. К несчастью, я не нашел таких служб.
Следующим местом для проверки был Event Viewer. Событие, показанное на этом рисунке, указывает, что параметр «resource pressure» был установлен в значение «high». Может быть, проблема была в этом, но у меня все еще не было доказательств.
Рисунок 6
Я написал в своем блоге об этом, и Marc Grote пришел ко мне на помощь. Он показал мне страницу на microsoft.com, где объяснялось, что это, скорее всего, проблема системы «back pressure».
«Back pressure» — это функция контроля системных ресурсов службы Microsoft Exchange Transport, существующая на компьютерах под управлением Microsoft Exchange Server 2007 с установленными ролями транспортного сервера или сервера-концентратора. Контролируются важные системные ресурсы, такие как свободное место на жестком диске и доступная память. Если использование системных ресурсов превышает определенный лимит, сервер Exchange прекращает прием новых подключений и сообщений. Это предотвращает полное поглощение системных ресурсов и позволяет серверу Exchange доставить существующие сообщения. Когда использование системных ресурсов возвращается к нормальному уровню, сервер Exchange вновь начинает принимать новые подключения и сообщения.
Следующие системные ресурсы контролируются функцией «back pressure»:
Для каждого контролируемого параметра на транспортном сервере или сервере-концентраторе есть следующие три уровня использования:
Вы можете найти все, что вам надо знать об этой системе, тут: Understanding Back Pressure. Что наиболее важно, там рассказано, как ее отключить. Это полезно в окружении на базе виртуальной среды, но отключать ее в продуктивном окружении – вряд ли хорошая идея.
Чтобы отключить систему слежения «back pressure», зайдите в директорию C:\Program Files\Microsoft\Exchange Server\Bin, найдите файл EdgeTransport.exe.config и дважды щелкните на нем.
Рисунок 7
Откройте файл с помощью программы Notepad (Блокнот). Найдите запись EnableResourceMonitoring и поменяйте значение с true на false. Закройте файл и перезапустите сервер. Вы больше не увидите сообщений, связанных с этой системой, и сможете подключиться с помощью telnet к вашему принимающему коннектору.
В этой статье мы настраивали «службу» SMTP транспортного сервера-концентратора Exchange 2007. Мы настроили Exchange Server так, чтобы он принимал входящие сообщения SMTP и посылал исходящие. Мы закончили статью инструкцией, как отключить систему слежения «back pressure», предназначенную для отключения службы SMTP в определенных обстоятельствах. В следующей части мы продолжим, установив и настроив Exchange Client Access Server. Увидимся!
www.isaserver.org
Tags: dns, domain, Exchange, monitoring, proxy