Exchange 2007 - Транспорт

Exchange Транспорт "внутри" и "снаружи" организации

Довольно долгая пауза была вызвана проходящей на прошлой неделе в Бостоне конференцией TechEd, где Exchange 2007 был достойно представлен в различных презентациях, технических дискуссиях и т.д. Интерес к продукту был очень большой, и мы ("технические эксперты") без устали отвечали на различные вопросы пользователей.

Итак, как и было обещано, посмотрим на две транспортные роли и в чем между ними разница. Если вы уже устанавливали Exchange 2007, то вы видели, что после установки Edge Transport роли также как и Hub Transport роли на сервере появляется "Exchange Transport" сервис - основной сервис, в котором реализованы транспортные функции Exchange 2007. Структура директорий и большинство динамических библиотек для двух ролей также почти идентичны, и обе роли содержат SMTP стэк. Но несмотря на внешнее сходство, цели и сценарии для этих ролей сильно отличаются.

Hub Transport Server роль отвечает за Messaging Policies (журнализацию и любые другие правила), маршрутизацию и пересылку сообщений между Exchange серверами внутри корпоративной сети ("внутри организации"). Находясь внутри организации, серверы, на которых установлена Hub Transport роль, имеют доступ к Active Directory, и поэтому "знают", на каких серверах размещены какие почтовые ящики, какова топология сети с точки зрения Active Directory Sites и Site Links, где находятся коннекторы для связи с другими системами, DL Expansion серверы и т.д. Обладая всей этой информацией, Hub Transport серверы способны доставить сообщения в почтовый ящик любого сотрудника организации по оптимальному маршруту. Важно отметить, что благодаря автоматической репликации содержимого Active Directory между разными сайтами и Domain Controllers, изменения конфигурации могут быть сделаны администратором с любого сервера в сети, и об этих изменениях достаточно быстро "узнают" все Hub Transport серверы в организации.

Edge Transport Server роль устанавливается на серверах на периметре корпоративной сети (DMZ или "снаружи организации") и используется для контроля сообщений, приходящих в организацию из Internet и уходящих из организации в Internet. Основная цель Edge Transport - не пропустить спам и вирусы в корпоративную сеть, и Edge серверы используют целый набор спам-фильтров включая Recipient Filtering и Content Filtering. Статистика показывает, что доля спама в потоке сообщений, направляющихся в крупную организацию из Internet, достигает 90%. Без эффективной фильтрации сообщений на периметре сети, корпоративная сеть и e-mail серверы могут быть перегружены потоком ненужных сообщений, что экономически невыгодно и небезопасно, и Edge Transport роль специально разработана для решения этих проблем. Находясь на периметре сети и принимая "неаутентифицированные" соединения из Internet, Edge серверы могут часто подвергаться атакам, и поэтому минимизация Surface Area была одним из основных требований при разработке. Основное отличие Edge Transport роли - это что она не использует Active Directory и поэтому может быть установлена на сервер, не принадлежащий домену. Вместо Active Directory для хранения конфигурации в Edge роли используется ADAM (Active Directory Application Mode). Каждый Edge сервер использует свою собственную локальную ADAM Instance, в которой хранятся коннекторы для маршрутизации сообщений в корпоративную сеть и в Internet, хэшированная информация о всех пользователях, контактах, списках рассылки и прочих потенциальных получателях сообщений в организации (для Recipient Filtering) и другая конфигурационная информация.

Так как Edge роль не использует Active Directory, то изменения в конфигурации не попадают на Edge серверы через AD репликацию. Чтобы администраторам не приходилось конфигурировать каждый Edge сервер отдельно, в Exchange 2007 существует специальный механизм, который называется EdgeSync. EdgeSync достоин отдельной публикации, но вкратце скажу, что конфигурация для Edge серверов может быть создана в Active Directory внутри организации и с помощью EdgeSync доставлена на разные Edge серверы.

Published Saturday, June 24, 2006 4:49 AM by gregour

Comments

 

msexpert said:

Спасибо за информацию,

Сразу возникают два вопроса (возможно, они уже задавались, тогду буду благодарен за ссылку на ответы или FAQ):

1. Как насчет защиты от спама и вирусов ВНУТРИ корпоративной сети? (С вирусами в принципе понятно, основной вопрос о спаме). Конечно, снаружи спама приходит намного больше, но сценарий типа "Вася скачал себе с Интернета трояна, который внедрился у нему на десктоп и теперь шлет спам по всем адресам из GAL" вполне себе вероятен. В Exchange 2003 можно было куда угодно поставить IMF, а теперь?

2. Я так понял, что EdgeSync приводит к тому, что в ADAM на незащищенном сервере (в DMZ) хранится куча важной информации из AD. А если его хакнут? Выглядит как security hole, хэширование - всего лишь отговорка...

Заранее спасибо.
June 26, 2006 3:08 PM
 

gregour said:

Как всегда, спасибо за интерес к теме.

1. Никаких проблем. Все анти-спам (и анти-вирусные) функции реализованы с помощью Агентов (Extensibility Agents). Анти-спам агенты (Recipient Filtering, Content Filtering, SenderId и т.д.) по-умолчанию активизированы в Edge Transport роли и отключены в Hub Transport, но администратор может эти настройки поменять используя команды Register-TransportAgent и Enable-TransportAgent.

2. Для этого у Edge роли нет доступа к AD, где хранится реальная информация. Насколько я понимаю, в ADAM попадает только односторонний хэш прокси-адресов получателей, так что восстановить реальные адреса или еще какую информацию о пользователях по этому хэшу невозможно. Конечно в ADAM еще хранится конфигурационная информация о коннекторах (только используемых локальным сервером), доступных Hub серверах и т.д., так как без этого невозможна маршрутизация, но эта информация не так критична, и ее объем значительно меньше, чем все то, что хранится в AD.
June 26, 2006 11:01 PM
 

VladislavA said:

Internet_SMTP_Server <-> Firewall <-> Edge_Transport_Server <-> Firewall <-> HTS

Все внутрикорпоративные разборки делает HTS. Основное занятие Edge Transport Server - высосать по трубке почту, почистить ее и затем по другой трубке выплюнуть внутрь организации. Вот так (было бы) логично.

Но зачем тогда вытаскивать на Edge Transport Server какую-то информацию из AD? Смысл-то какой надувать surface shpere?

Только из-за Recipient Filtering? - Ну, это глупо.

И вообще, это полное резание сообщений мне не нравится. Пользователю доставлять надо ВСЕ. Другое дело, что "хорошие" сообщения должны приходить целиком, а "плохие" должны валится только в виде заголовков в папку "Spam". Захочет пользователь посмотреть тело письма - посмотрит. В конце-концов, почта предназначена Пользователю и не надо принимать за него решения.


September 14, 2006 1:40 AM
 

gregour said:

Владислав, как Вы правильно отметили, информация из AD нужна (восновном) для Recipient Filtering на периметре. Recipient Filtering можно отключить, и тогда 90% информации из AD на Edge передавать не нужно. Оставшиеся 10% - это коннекторы, используемые для принятия сообщений на Edge сервере и их маршрутизации в корпоративную сеть. Эти коннекторы можно создавать вручную, и никакая репликация данных из AD не требуется. Таким образом все описанные Вами сценарии (включая папку "Спам" которую мы называем "Junk Mail") вполне осуществимы в Exchange 2007. Другое дело, что большинство крупных (да и не очень) корпоративных клиентов не хотят забивать свои сети и базы данных спамом (и тратить деньги на его backup и т.д.). Для них и предназначены Recipient Filtering и EdgeSync.
September 14, 2006 10:41 PM
 

ShokarevVV said:

По этой статье я понял, для того чтобы организовать почтовый сервер, с возможностью отправки в Интернет, требуется как минимум 2 физических сервера, причем оба должны быть на 64 битной платформе, что же делать елси организация не сильно большая, имеет в своем парке сервера, но они на 32-битной платформе. Нельзя ли организовать хотя бы Edge на 32-битной платформе? Или из-за одного программного комплекса придется менять парк серверов?

June 18, 2008 2:40 AM
 

gregour said:

К сожалению, насколько я знаю, ни одна из ролей не поддерживается официально на 32-битной платформе (хотя для тестирования 32-битную версию можно загрузить). С другой стороны, иногда можно обойтись и одним физическим сервером (Hub Transport), так как на Hub можно вручную активизировать те же anti-SPAM агенты, которые по-умолчанию активизированы на Edge (с помощью register/enable-TransportAgent cmdlets). Это конечно означает, что порт 25 должен быть "виден" из интернета и прочие проблемы с безопасностью, и разные компании относятся к этому по-разному.

June 18, 2008 5:02 PM
Anonymous comments are disabled

This Blog

Syndication

Tags

No tags have been created or used yet.

News

Информация на данном сайте предоставляется "КАК ЕСТЬ" без каких-либо гарантий и передачи прав. Мнения, высказанные здесь, являются отражением моего личного взгляда, а не позиции работодателя.

© 2009 Microsoft Corporation. All rights reserved. Terms of Use  |  Trademarks  |  Privacy Statement
 Microsoft
Page view tracker