понедельник, 31 января 2011 г.

Edge Transport - Введение

clip_image002Продолжим разговор про сервер Exchange 2010 Edge, специально для тех, кто ответил положительно на вопрос, озвученный в прошлой статье – «Кому и зачем нужен Microsoft Exchange 2010 Edge сервер?».

Особенности

Роль Edge Transport почтового сервера Microsoft Exchange разработана специально для установки в сети периметра. Её задачей является защита основной почтовой системы предприятия от внешних атак и фильтрация потока почты от спама и вирусов.

Отличительно особенностью роли Edge Transport является то, что она не может быть установлена совместно ни с какими другими ролями сервера Exchange, при этом, настоятельно рекомендуется сервер с этой ролью размещать в демилитаризованной зоне (DMZ) не включая его в домен Active Directory. Кроме того, на сервере с ролью Edge Transport отсутствуют многие механизмы, работающие на других серверах Microsoft Exchange 2010, например, модель управления доступом на основе ролей (RBAC), удаленный доступ к PowerShell (Remote PowerShell), агенты расширения командлетов и т.д.

Хранимая информация

В целях безопасности, количество информации, хранимое на Edge сервере, сведено к минимуму. Здесь хранится только база данных с очередью сообщений и максимально урезанная реплика базы данных Active Directory. Информация из Active Directory необходима для обеспечения функции фильтрации получателей. С этой целью на Edge сервер, не включенный в домен, устанавливается служба облегченного доступа к каталогу (AD LDS).

Примечание: Для изменения портов и каталогов, используемых службами AD LDS, можно воспользоваться поставляемым с Exchange 2010 сценарием ConfigureAdam.ps1

Сетевое взаимодействие

Что касается сетевой безопасности, то Edge сервер должен быть изолирован как от внешней сети, так и от внутренней, брандмауэрами (firewall`ми). При этом на них достаточно открыть только следующие порты:

· Внешние:

  • 25 (в обе стороны) – Получение и отправка SMTP-почты;
  • 53 – разрешение имен при помощи внешнего DNS сервера.

· Внутренние:

  • 25 – Получение и отправка SMTP-почты через HUB сервер;
  • 50636 – Безопасные LDAP соединения с HUB сервером для обновления информации в AD LDS;
  • 3389 – RDP-подключения для удаленного управления сервером.

Управление

После установки роли Edge Transport устанавливается облегченная версия графической консоли управления (EMC), через которую доступен только минимально необходимый набор действий. При этом командная консоль (EMS) также содержит лишь малую часть существующих командлетов. Например, отсутствуют такие командлеты как Get-Mailbox и Set-MailboxDatabase просто потому, что нет необходимости выполнять подобные действия на пограничном сервере.

На только что установленном сервере Edge Transport вы сможете найти уже созданный соединитель получения. Он конфигурируется во время установки таким образом, что позволяет принимать весь SMTP траффик со всех серверов, при этом анонимные подключения также доступны. В результате, у вас нет необходимости создавать дополнительные соединители получения для того, чтобы принимать почту с внешних серверов. В будущем, при настройке процесса синхронизации с организацией Exchange (с сервером HUB Transport) вы сможете изменить настройки этого соединителя.

Заключение

В следующей статье мы поговорим непосредственно о самом процессе синхронизации сервера Edge Transport с основной организацией Exchange.

Комментариев нет:

Отправить комментарий