Роль пограничного транспортного сервера Microsoft Exchange Server 2007 предназначена для обеспечения улучшенной защиты от вирусов и нежелательной почты в организации Exchange. Компьютеры, имеющие роль пограничного транспортного сервера, применяют также политики к сообщениям в транспорте между организациями. Роль пограничного транспортного сервера развертывается в демилитаризованной зоне организации, которую также называют пограничной сетью или промежуточной подсетью. Пограничный транспортный сервер может быть развернут как изолированный сервер или как член домена Active Directory в демилитаризованной зоне. В данном разделе приведен обзор действий, которые рекомендуется выполнить при планировании развертывания роли пограничного трнаспортного сервера.
Планирование развертывания пограничного транспортного сервера
Роль пограничного транспортного сервера имеет несколько важных отличий от других ролей сервера Exchange 2007, и эти отличия необходимо учитывать при планировании развертывания. У пограничного транспортного сервера Exchange 2007, в отличие от других ролей сервера Exchange 2007, нет доступа к Active Directory для хранения сведений о конфигурации и получателе. Для хранения конфигурации и сведений о получателях пограничный транспортный сервер использует службу каталогов Active Directory Application Mode (ADAM). Пограничный транспортный сервер развертывается вне организации Exchange в периметре сети и обеспечивает ретрансляцию SMTP и функции интеллектуального узла. В организации Exchange пограничный транспортный сервер также выполняет важную роль в предоставлении средств защиты от нежелательной почты и вирусов.
Примечание. |
---|
Сервер Exchange 2007 с пакетом обновления 1 (SP1) поддерживает развертывание ролей сервера на компьютере с операционной системой Windows Server 2008. При установке роли пограничного транспортного сервера на компьютер с операционной системой Windows Server 2008, ADAM заменяется службами Active Directory облегченного доступа к каталогам. В операционной системе Windows Server 2008 некоторые возможности были усовершенствованы или переименованы. Дополнительные сведения о различиях между Windows Server 2003 и Windows Server 2008 см. в разделе Изменения в терминологии. |
При планировании развертывания роли пограничного транспортного сервера необходимо изучить все следующие разделы.
- Варианты топологии Планирование следует
начинать с выбора места для пограничного транспортного сервера в
физической топологии Exchange. Определив местоположение
пограничного транспортного сервера в сети по отношению к другим
серверам Exchange, можно перейти к рассмотрению необходимых
соединителей и способа их настройки. Для получения дополнительных
сведений о планировании расположения пограничного транспортного
сервера см. раздел Планирование
развертывания.
- Производительность сервера Планирование
производительности сервера включает в себя планирование проведения
контроля производительности пограничного транспортного сервера.
Контроль производительности дает возможность оценить величину
рабочей нагрузки сервера. Эта информация определяет
производительность используемой конфигурации оборудования. Для
получения дополнительных сведений см. раздел Планирование
конфигураций процессора и памяти.
- Транспортные функции Пограничный
транспортный обеспечивает защиту от вирусов и нежелательной почты
на границе сети. В процессе планирования необходимо определить
транспортные функции, которые будут включены на пограничном
транспортном сервере, и вариант их настройки. Для получения
дополнительных сведений о планировании использования транспортных
функций Exchange 2007 см. раздел Планирование
возможностей пограничного транспортного сервера.
- Безопасность Роль пограничного
транспортного сервера разработана с целью минимизации площади
атаки. Поэтому важно надлежащим образом защищать физический и
сетевой доступ к серверу и управлять им. Планирование средств
защиты помогает гарантировать активирование подключений IP только с
авторизованных серверов и авторизованными пользователями. Для
получения дополнительных сведений см. раздел Контрольный список по
безопасности развертывания.
Пограничный транспортный сервер рекомендуется размещать в демилитаризованной зоне. Чтобы сервер мог отправлять и принимать сообщения электронной почты и получать обновления сведений о получателях и данных конфигурации от службы Microsoft Exchange EdgeSync, необходимо разрешить обмен данными через порты, перечисленные в приведеной ниже таблице.
Настройка коммуникационных портов для пограничных транспортных серверов
Сетевой интерфейс Открытый порт Протокол Заметка Входящий трафик из Интернета и исходящий трафик в Интернет
25/TCP
SMTP
Этот порт должен быть открыт для передачи почты в Интернет и получения почты из Интернета.
Входящий трафик из внутренней сети и исходящий трафик во внутреннюю сеть
25/TCP
SMTP
Этот порт должен быть открыт для передачи почты в организацию Exchange и получения почты из организации Exchange.
Только локальный трафик
50389/TCP
LDAP
Этот порт используется для локального подключения к службе ADAM.
Входящий трафик из внутренней сети
50636/TCP
Защищенный LDAP
Этот порт должен быть открыт для синхронизации EdgeSync.
Входящий трафик из внутренней сети
3389/TCP
RDP
Открывать этот порт не обязательно. Он обеспечивает более высокую гибкость управления пограничными транспортными серверами из внутренней сети, позволяя использовать для этого удаленное подключение к рабочему столу.
Примечание. |
---|
Роль пограничного транспортного сервера использует нестандартные порты LDAP. Порты, указанные в данном разделе — это порты связи LDAP, настраиваемые при установке роли пограничного транспортного сервера. Для получения дополнительных сведений см. раздел Инструкции по изменению настройки ADAM. |
- EdgeSync Чтобы подписать пограничный
транспортный сервер на организацию Exchange, создается пограничная
подписка. При создании пограничной подписки сведения о получателе и
конфигурации реплицируются из Active Directory в ADAM.
Пограничный транспортный сервер подписывается на сайт
Active Directory. Впоследствии служба EdgeSync
сервера Microsoft Exchange, работающая на транспортных
серверах-концентраторах данного сайта, периодически обновляет ADAM
посредством синхронизации данных из Active Directory.
Процедура пограничной подписки автоматически готовит отправляющие
соединители, необходимые для обеспечения почтового потока из
организации Exchange в Интернет через пограничный транспортный
сервер. Если на пограничном транспортном сервере используется поиск
получателей или функции объединения списков надежных получателей,
необходимо подписать пограничный транспортный сервер на
организацию. Для получения дополнительных сведений см. раздел
Использование
граничной подписки для занесения в ADAM данных Active
Directory.
Дополнительные сведения
Для получения дополнительных сведений см. следующие разделы: