В этом разделе представлен обзор служб обработки сообщений, которые предоставляются ролью пограничного транспортного сервера, и процедуры, необходимые для добавления роли пограничного транспортного сервера в существующую организацию Microsoft Exchange Server 2003. В Microsoft Exchange Server 2007 пограничный транспортный сервер — это сервер с выходом в Интернет, который выполняет задачи защиты от нежелательной почты и вирусов, в также применяет правила транспорта к сообщениям, которые передаются между Интернетом и организацией Exchange. Эта роль сервера развертывается в демилитаризованной зоне за пределами леса службы каталогов Active Directory.

Пограничный транспортный сервер не зависит от какой-либо конкретной конфигурации каталогов или системы обмена сообщениями. Пограничный транспортный сервер можно добавить в существующую организацию Exchange 2003 без обновления внутренних серверов Exchange. При установке пограничного транспортного сервера не требуется выполнять никаких подготовительных действий для Active Directory. Пограничный транспортный сервер не имеет доступа к службе каталогов Active Directory для хранения сведений о конфигурации. Для хранения сведений конфигурации он использует службу каталогов Active Directory Application Mode (ADAM). Схема ADAM содержит все классы и атрибуты объектов, которые требуются для настройки пограничного транспортного сервера.

Важно!
Для использования защиты от нежелательной почты, поиска получателей и объединения списков надежных отправителей функции «Безопасность домена» требуется, чтобы пограничный транспортный сервер был подписан на организацию Exchange с помощью процесса пограничной подписки и синхронизации EdgeSync. В не создать пограничную подписку, использовать эти возможности будет нельзя. Чтобы создать пограничную подписку, необходимо развернуть по крайней мере один компьютер с транспортным сервером-концентратором Exchange 2007 в организации Exchange, а также настроить сосуществование серверов Exchange. Дополнительные сведения о сосуществовании Exchange 2007 с предыдущими версиями Exchange Server см. в разделе Планирование сосуществования.

Службы обмена сообщениями пограничного транспортного сервера

Пограничный транспортный сервер предоставляет описанные ниже обмена сообщениями для организации Exchange.

  • Пограничный транспортный сервер может выступать в качестве промежуточного узла для организации. Промежуточный сервер — это назначенный сервер, через который сервер электронной почты маршрутизирует все исходящие сообщения. Промежуточный сервер выполняет поиск в службе доменных имен (DNS) и устанавливает подключение от имени сервера электронной почты. Дополнительные сведения об использовании промежуточного узла для маршрутизации электронной почты Интернета в организации Microsoft Exchange Server 2003 см. в статье Настройка соединителя SMTP (на английском языке).

  • Пограничный транспортный сервер может выступать в качестве сервера ретрансляции SMTP для организации Exchange. Сервер ретрансляции SMTP принимает входящие сообщения от лица организации и передает их на внутренние серверы электронной почты. Дополнительные сведения об использовании пограничного транспортного сервера в качестве сервера ретрансляции SMTP для сервера с Exchange 2003 см. в статье Использование сервера ретрансляции Windows SMTP в демилитаризованной зоне (на английском языке).

  • При получении сообщений пограничный транспортный сервер может выполнять задачи для защиты от нежелательной почты и вирусов перед отправкой почты внутренним серверам Exchange. Для выполнения задач для защиты от нежелательной почты и вирусов должны быть включены и настроены соответствующие агенты. Дополнительные сведения см. в разделе Планирование функций защиты от нежелательной почты и вирусов.

  • Пограничный транспортный сервер может выполнять переопределение адресов, чтобы все исходящие сообщения считались отправленными из одного домена SMTP. Пограничный транспортный сервер использует сопоставление SMTP-адресов для переопределения адресов для исходящей почты. При получении входящей почты таблица сопоставления используется для нахождения подходящего ящика для доставки сообщений. Дополнительные сведения о настройке переопределения адресов см. в разделе Планирование переопределения адресов.

  • Пограничный транспортный сервер может применять правила транспорта к сообщениям, отправляемые в Интернет или получаемым из него. Правила транспорта настраиваются для проверки таких условий, как наличие определенных слов или текстовых шаблонов в полях и заголовках сообщения. При выполнении условий над сообщениями могут производиться такие действия, как перенаправление или отправка на карантин Дополнительные сведения о правилах транспорта см. в разделе Управление правилами транспорта.

Планирование развертывания пограничного транспортного сервера

Перед развертыванием пограничного транспортного сервера необходимо рассмотреть следующие вопросы, связанные с планированием:

  • В какой части демилитаризованной зоны будет находиться пограничный транспортный сервер?

  • Как будет выполняться администрирование пограничного транспортного сервера?

  • Как будет настроен поток почты?

  • Как будут настроены параметры агента транспорта?

В последующих разделах объясняются факторы, которые влияют на решения при планировании.

На приведенном ниже рисунке показаны задачи, которые необходимо выполнить для настройки пограничного транспортного сервера для поддержки существующей организации Exchange 2003 или Exchange 2000 Server. Каждая из этих задач описывается в приведенных ниже подразделах.


Сводный список задач настройки сценария

Добавление пограничного транспортного сервера в демилитаризованную зону

Обычно пограничный транспортный сервер устанавливается как отдельный сервер и не принадлежит ни к какому домену. Конфигурация отдельного сервера обеспечивает превосходную изоляцию и максимальную безопасность. Хотя пограничный транспортный сервер можно установить на компьютер, подключенный к домену, он в любом случает будет использовать службу ADAM для хранения сведений о конфигурации и получателях и никогда не будет обращаться к Active Directory напрямую.

При добавлении пограничного транспортного сервера в демилитаризованную зону необходимо определить, как он будет взаимодействовать с другими серверами в этой зоне. Ниже предложены вопросы, которые следует рассмотреть при выборе топологии.

  • Развернут ли в демилитаризованной зоне Microsoft Internet Acceleration and Security (ISA) Server 2006 для обработки сетевого трафика из Интернета? В этом случае ISA не использует прокси-сервер для протокола SMTP и не изменяет его. ISA можно настроить на перенаправление (туннелирование) протокола SMTP на пограничный транспортный сервер. Дополнительные сведения см. в разделе Использование сервера ISA Server 2006 совместно с Exchange 2007.

  • Есть ли в демилитаризованной зоне промежуточный узел или сервер ретрансляции SMTP? После развертывания пограничного транспортного сервера можно настроить балансировку трафика между пограничным транспортным сервером и существующим сервером на период тестирования. Кроме того, можно списать существующий промежуточный узел или сервер ретрансляции SMTP.

  • Развернут ли демилитаризованной зоне шлюз для защиты от нежелательной почты? После развертывания пограничного транспортного сервера можно списать существующий шлюз. Если требуется сохранить обе системы на определенный период, можно настроить соединитель отправки на пограничном транспортном сервере так, чтобы он передавал электронную почту в существующую систему перед ее доставкой в организацию Exchange.

Для предоставления служб промежуточного узла и ретрансляции SMTP необходимо разрешить доступ через TCP-порт 25 на внутреннем и внешнем брандмауэре (для передачи данных как на пограничный транспортный сервер, так и с него).

Администрирование пограничного транспортного сервера

На пограничном транспортном сервере не настраиваются административные группы, относящиеся к Exchange. Так как пограничный транспортный сервер рассчитан на развертывание в качестве отдельного сервера, учетной записи локального администратора предоставляется полный доступ к роли пограничного транспортного сервера. Чтобы создать административные учетные записи для отдельных пользователей, можно создать учетные записи локальных пользователей на пограничном транспортном сервере, а затем добавить их в группу локальных администраторов на этом компьютере.

Для удаленного администрирования пограничного транспортного сервера необходимо включить удаленные подключения к пограничному транспортному серверу с помощью удаленного рабочего стола Microsoft Windows. Кроме того, необходимо разрешить на внутреннем брандмауэре доступ к TCP-порту 3389. Этот порт используется протоколом удаленного рабочего стола.

Настройка потока почты

После развертывания пограничного транспортного сервера необходимо выполнить настройку потока почты между пограничным транспортным сервером и Интернетом, а также между пограничным транспортным сервером и организацией Exchange 2003. Необходимо выполнить указанные ниже задачи.

  • Проверьте конфигурацию записей MX DNS для доменов SMTP, для которых пограничный транспортный сервер будет принимать электронную почту.

  • Настройте обслуживаемые домены на пограничном транспортном сервере. Обслуживаемые домены определяют домены SMTP, для которых сервер принимает электронную почту Обслуживаемый домен можно настроить в качестве уполномоченного домена, а также домена внутренней или внешней ретрансляции. Дополнительные сведения см. в разделе Управление принятыми доменами .

  • Настройте соединители на пограничном транспортном сервере для приема почты из Интернета и отправки ее в Интернет. Требуются указанные ниже соединители.

    • Соединитель отправки для Интернета.   Необходимо настроить соединитель отправки на маршрутизацию сообщений электронной почты в Интернет. Настройте для этого соединителя адресное пространство «все домены», используя звездочку ( * ). Можно использовать разрешение DNS-имен для маршрутизации электронной почты либо маршрутизировать всю почту через промежуточный узел, например сервер поставщика услуг Интернета. Этот соединитель используется для отправки почты во все домены SMTP Интернета, если для отдельных доменов не настроены дополнительные соединители.

    • Соединитель приема для Интернета.   Требуется соединитель приема, привязанный к внешнему IP-адресу пограничного транспортного сервера, который настроен на прием трафика с порта 25. Этот соединитель используется для приема почты от всех доменов SMTP Интернета и должен принимать анонимные подключения. Соединитель приема по умолчанию на пограничном транспортном сервере настроен для приема сообщений из Интернета и из организации Exchange. Нет необходимости настраивать второй соединитель приема, если не требуется разделять входящий трафик SMTP или настраивать различные способы проверки подлинности для электронной почты из Интернета и организации Exchange.

  • Настройте соединители на пограничном транспортном сервере для приема почты из организации для передачи в Интернет и для отправки в организацию почты, переданной из Интернета. Требуются указанные ниже соединители.

    • Соединитель отправки, настроенный на отправку электронной почты в организацию Exchange.   Адресное пространство для этого соединителя задает уполномоченные домены и домены внутренней ретрансляции, для которых сервер получает почту. Можно настроить адресное пространство « -- ». Прототип -- обозначает список обслуживаемых уполномоченных доменов и доменов внутренней ретрансляции. Кроме того, можно настроить список доменов SMTP. Настройте этот соединитель отправки на использование промежуточного узла для маршрутизации электронной почты. Укажите один или несколько серверов-плацдармов Exchange 2003 или Exchange 2000 в качестве промежуточных узлов. Если для соединителя отправки настроено несколько промежуточных узлов, нагрузка между ними будет балансироваться. 

    Примечание.
    Exchange 2003 и Exchange 2000 передают некоторые сведения, такие как вероятность нежелательной почты для сообщения, в виде данных Exch50. Чтобы сохранить эти данные при передаче сообщений от пограничного транспортного сервера в организацию Exchange, необходимо изменить список управления доступом на уровне пользователей для соединителя отправки, предоставив учетной записи NT Authority\ANONYMOUS LOGON разрешение ms-Exch-SMTP-Send-Exch50.
    Важно!
    Рекомендуется настроить этот соединитель отправки на использования обычной проверки подлинности и TLS для проверки подлинности на сервере Exchange прежней версии. Если выбран альтернативный способ проверки подлинности, такой как «Внешняя защита (например, с помощью IPsec)», необходимо изменить реестр сервера Exchange 2003, чтобы разрешить прием данных Exch50, отправляемых анонимно.
    • Соединитель приема, привязанный к внутреннему IP-адресу пограничного транспортного сервера, который настроен на прием трафика с порта 25.   В качестве диапазона удаленных IP-адресов, с которых этот соединитель принимает почту, задаются IP-адреса или диапазон адресов серверов-плацдармов Exchange Server 2003 или Exchange 2000 Server в организации. Соединитель приема по умолчанию на пограничном транспортном сервере настроен для приема сообщений из Интернета и из организации Exchange. Нет необходимости настраивать второй соединитель приема, если не требуется разделять входящий трафик SMTP или настраивать различные способы проверки подлинности для электронной почты из Интернета и организации Exchange.

  • Настройте пограничный транспортный сервер на прием всех или некоторых входящих SMTP-соединений в организацию. Чтобы настроить пограничный транспортный сервер на прием всего или части входящего трафика SMTP для организации, можно изменить записи MX DNS так, чтобы почта для доменов SMTP перенаправлялась на пограничный транспортный сервер. Если для записей MX указан IP-адрес брандмауэра, настройте правила брандмауэра для перенаправления трафика SMTP на пограничный транспортный сервер.

  • Для обработки на пограничном транспортном сервере почты, которая отправляется из организации Exchange в Интернет, создайте соединитель SMTP на сервере-плацдарме Exchange 2003. Этот соединитель SMTP настраивается для маршрутизации всей почты через промежуточный узел, а полное доменное имя или IP-адрес  пограничного транспортного сервера задается в качестве промежуточного узла. Если уже существует соединитель SMTP, настроенный для отправки электронной почты в Интернет, можно изменить его с учетом промежуточного узла.

Дополнительные сведения о настройке потока почты см. в разделе How to Deploy an Edge Transport Server in an Existing Exchange Server 2003 Organization.

Настройка параметров агентов транспорта

По умолчанию на пограничном транспортном сервере установлены и включены все агенты транспорта. Можно отключить агент фильтрации получателей, так как он используется в этом сценарии. Дополнительные сведения о настройке параметров защиты от нежелательной почты и вирусов см. в разделе Управление средствами защиты от нежелательной почты и вирусов.

Если в Exchange 2003 настроены параметры защиты от нежелательной почты, можно использовать средство миграции защиты от нежелательной почты в Exchange 2007 для переноса параметров защиты от нежелательной почты с Exchange 2003 на пограничный транспортный сервер. Средство миграции защиты от нежелательной почты в Exchange 2007 считывает параметры защиты от нежелательной почты Exchange 2003 из Active Directory и преобразует из в эквивалентный сценарий Windows, состоящий из задач Exchange 2007. Этот сценарий затем можно выполнить на пограничном транспортном сервере. Дополнительные сведения о этом средстве см. в статье Средство миграции защиты от нежелательной почты Exchange Server 2007 (на английском языке). На этой же странице можно загрузить данное средство.

Дополнительные сведения



Сводка задач настройки