четверг, 15 апреля 2010 г.

Exchange 2010 Edge Server и Microsoft Threat Management Gateway

Шаги, необходимые для установки Exchange 2010 и TMG на один сервер.

Введение

Для повышения уровня безопасности в среде Exchange Server 2010 вы можете использовать Edge Transport Server, установленный в демилитаризованной зоне (DMZ) либо в сети периметра. По умолчанию в Edge Transport Server включена функция фильтрации спама, а после установки Forefront Protection for Exchange на Edge Transport Server вы также включаете и антивирусную защиту.

Письма из Интернета принимаются серверами Edge Transport, на них отсеиваются письма, содержащие вирусы и спам, а затем результаты пересылаются серверам Hub Transport, расположенным во внутренней сети предприятия.
Сервера с ролью Client Access располагаются во внутренней сети предприятия и предоставляют пользователям доступ к их почтовым ящикам. Локализация Client Access серверов не поддерживается. Более подробную информацию, касающуюся CAS серверов и DMZ можно получить на сайте Exchange Team - http://msexchangeteam.com/archive/2009/10/21/452929.aspx
Вы можете использовать Microsoft ISA Server 2006 в DMZ и ISA сервер может «публиковать» службы Exchange, такие как OWA, Outlook Anywhere или ActiveSync, но невозможно объединить ISA сервер и Edge Transport на одном физическом сервере, не говоря уже о Forefront Protection for Exchange.

Threat Management Gateway (TMG)

Forefront Threat Management Gateway (TMG) 2010 это приемник ISA 2006, он содержит много компонентов, которые будут интересны администраторам Exchange. Одно из таких улучшений состоит в том, что теперь вы можете устанавливать Edge Server, TMG и Forefront Protection for Exchange на одни (физический) сервер.
Рис.1: Edge Server, TMG и Forefront Protection for Exchange на одном сервере.
Очевидно, что преимущество этого решения состоит в том, что вам нужен только один физический сервер. Таким образом, вы сохраните дополнительные лицензии на Windows, но не нужно забывать, что вам потребует более мощный сервер с дополнительным питанием и охлаждением.
Чтобы установить комбинацию Edge Server, Forefront Protection for Exchange и Threat Management Gateway, необходимо сделать следующие шаги:
1. Установить Windows Server 2008 R2
2. Установить Active Directory Lightweight Directory Services (LDS)
3. Установить Exchange 2010 Edge Transport Server
4. Установить Forefront Protection for Exchange
5. Установить Forefront Threat Management Gateway

Windows Server 2008 R2

Первый шаг состоит в том, чтобы установить Windows Server 2008 R2. Это сервер на базе платформы x64, который, естественно, необходим для Exchange Server 2010. Но, кстати, TMG тоже 64-битное приложение, в то время как ISA сервер устанавливался на 32-х битную систему.
После установки Windows Server 2008 R2 убедитесь, что сервер подключен как к внешней сети Интернет, так  и к внутренней сети предприятия. После установки сервера необходимо настроить его внутренние и внешние сетевые параметры. Не забудьте установить последние обновления.

Установка Edge Transport Server

Чтобы установить компоненты, необходимые для Exchange Server 2010 Edge Transport Server откройте консоль командной строки и перейдете в папку \Scripts установочного диска. Выполните следующую команду:
ServerManagerCmd.exeInputPath Exchange-Edge.XML
Появится сообщение об ошибке, касающееся ServerManagerCmd. Хоть это и действительно так, но на этом шаге не стоит обращать на него внимание. Перезагрузите сервер, когда необходимое программное обеспечение будет установлено.
Установка Edge Transport Server может быть выполнена при помощи графической консоли. Management Tools (средства управления) будут установлены автоматически.
После установки Edge Transport сервер, пришло время установить службу EdgeSync. EdgeSync Service отвечает за синхронизацию информации между Hub Transport Server и Edge Transport Server. Для настройки Edge Synchronization на сервере Edge Transport, откройте консоль управления Exchange (Exchange Management Shell) и выполните следующую команду:
New-EdgeSubscription –FileName C:\Edge-TMG.XML
Далее скопируйте полученный Edge-TMG.XML файл на внутренний Hub Transport сервер и импортируйте его. После импорта может быть запущенна синхронизация. Чтобы выполнить эти действия, зайдите на Hub Transport сервер, откройте консоль управления Exchange и выполните следующую команду:
$Temp = Get-Content -Path "C:\Edge-TMG.xml" -Encoding Byte -ReadCount 0
New-EdgeSubscription -FileData $Temp -Site "Default-First-Site"
Start-EdgeSynchronization
Убедитесь что результат выполнения команды Start-EdgeSynchronization успешен. Результат будет выведен в консоли:
Рис 2: Edge Synchronization успешно запущена.
После успешной настройки Edge Synchronization можно приступить к тестированию функционала SMTP и посмотреть, можете ли вы получать/отправлять письма со своего почтового ящика Exchange Server 2010 в/из Интернета. Если все хорошо, то перейдем к следующему шагу.

Установка Forefront Protection for Exchange (FPE)

Когда вы запускаете графическую установку Exchange 2010, то на заставке, самая последняя опция – это “Install Microsoft Forefront Protection 2010 for Exchange Server”.
Рис 3: Заставка установки Exchange.
Если вы выберете эту опцию, то будете перенаправлены на сайт Microsoft, где сможете скачать FPE. После закачки запустите ForefrontExchangeSetup.exe. Пройдите по шагам мастера и установите Forefront Protection for Exchange. На странице настройки анти-спама (Anti spam Configuration) выберите “Enable anti-spam” later.
После установки не выбирайте “Launch the Forefront Online Protection for Exchange Gateway installation program”. Нажмите Finish для выхода из программы установки.
В консоли администрирования вы увидите, что модули сканирования сразу не обновились.
Рис 4: Сразу модули сканирования не обновлены.
По истечении некоторого времени (около 15 минут), вы получите сообщение, что модули обновлены, и желтый знак восклицания сменится на зеленую галочку.

Устанавливаем Forefront Threat Management Gateway

Последний и наиболее интересный шаг – это установка Threat Management Gateway (TMG) на только что установленный Edge Transport Server. Вставьте установочный диск и запустите инсталляцию. Вы увидите графическую заставку:

Рис.5: окно установки TMG (standard edition)
Выберите “Run Preparation Tool”, чтобы установить необходимое программное обеспечение. Следуйте по шагам Forefront TMG Preparation Tool визарда. Выберите опцию “Forefront TMG Services and Management”, чтобы установить утилиты управления и службы TMG.
Рис 6: Выбор "Forefront TMG services and Management"
Необходимое программное обеспечение будет автоматически установлено и после завершения инсталляции можно будет сразу запустить визард установки TMG.
Рис 7: Запуск установки Forefront TMG
Нажмите Finish и установка начнется автоматически. Следуйте шагам мастера, примите лицензионное соглашение и введите имя пользователя, название организации и серийный номер. Продолжайте установку, пока не дойдете до настройки параметров внутренней сети. На моем тестовом оборудовании есть 2 сети. Публичная сеть, которая соединена с интернетом и частная (внутренняя) сеть. Exchange сервер подключен к этой сети.
Рис 8: Выберите внутреннюю (частную) сеть
Нажмите Next, чтобы продолжить установку TMG на сервер. Инсталляция займет некоторое время.
Рис 9: Нужно приблизительно 19 минут, чтобы установить TMG на Edge Server.
После окончания установки нажмите Finish. Также, вы можете поставить галочку напротив “Launch Forefront TMG Management when the wizard closes” и консоль управления будет открыта автоматически.
Рис. 10
Теперь TMG сервер установлен поверх сервера Edge Transport. В результате этого, Hub Transport сервер, который раньше работал с данным Edge Transport сервером прекратит свою работу. Все потому, что TMG – это firewall и соответственно он должен быть настроен, прежде чем работать дальше.
В следующих статьях мы поговорим о различных комбинациях Edge Server, Forefront Protection for Exchange и Threat Management Gateway.
Автор: Jaap Wesselius
Оригинал статьи: http://www.msexchange.org/articles_tutorials/exchange-server-2010/migration-deployment/exchange-server-2010-edge-server-microsoft-threat-management-gateway.html?printversion

10 комментариев:

WtPooh комментирует...

Подскажите, пожалуйста: если TMG уже установлен, то перед установкой FPE достаточно остановить службы TMG? Или данная последовательность не имеет значения?

Алексей Богомолов (Alexx) комментирует...

Я думаю, что данная последовательность не принципиальна.

Анонимный комментирует...

Глупый вопрос. На какой сервер ставить FPE, если у меня Edge и TMG на разных серверах?

Сергей комментирует...

Автор (Jaap Wesselius) забил похоже на публикацию и продолжения нет. Между тем "TMG сервер установлен поверх сервера Edge Transport и Hub Transport сервер, который раньше работал с данным Edge Transport сервером прекратит свою работу. " - действительно так. И что дальше делать неизвестно.

Алексей Богомолов (Alexx) комментирует...

Попробуйте пересоздать подписку. Убедитесь, что на TMG открыты нужные порты.

Анонимный комментирует...

Forefront Threat Management Gateway (TMG) 2010 это приемник ISA 2006, он содержит много компонентов, которые будут интересны администраторам Exchange - опечатка, не приемник, а преемник

Анонимный комментирует...

Добрый день.
У меня такая проблема.
Отправить могу почту а вот получить не как не могу .
скапливается на edge а на сам сервак не скидывает почту
SmartHostConnectorDelivery 451 4.4.0
Где может быть затор?

Алексей Богомолов (Alexx) комментирует...

Попробуйте прописать в файле hosts IP адрес локального hub transport сревера

Анонимный комментирует...

1. Smtp протокол разблокирован у интернт провайдера?
2. На днс серверах провайдера есть ptr запись, указывающаЯ на ваш почтовый сервер?

гоша комментирует...

Приветствую, а продолжение будет?

Отправить комментарий