Ukázková kapitola 6

Transkript

Ukázková kapitola 6

KAPITOLA 6
Správa serverové role
Hub Transport
V této kapitole:
K1525.indd 235

Přenos zpráv a architektura směrování v Exchange 2007

Správa serverové role Hub Transport

Správa velikosti zpráv a limitu počtu příjemců

Sledování zpráv v Exchange Serveru 2007

Prohlížeč Exchange 2007 Queue Viewer

Nástroj Exchange Mail Flow Troubleshooter

Nastavení Hub Transport Serveru jako transportního serveru do Internetu
27.3.2008 9:13:59
236
Kapitola 6: Správa serverové role Hub Transport
Úvod
Serverovou roli Exchange 2007 Hub Transport je vhodné instalovat na server, jenž je
členem domény, a vždy je nutné ji instalovat na vnitřní síti a nikoli v demilitarizované
zóně, jak to možná někdo dělá. Hub Transport server nahrazuje předmostí (bridgehead server), které známe z Exchange 2000 a 2003, a stará se o veškerý vnitřní tok pošty
v organizaci. Všechny vnitřní zprávy tečou přes Hub Transport server, i když jsou odesilatel a příjemce v tomtéž prostoru AD, a dokonce i tehdy, když se nacházejí na stejném poštovním serveru!
Kromě zodpovědnosti za vnitřní tok pošty v organizaci má Hub Transport server množinu transportních agentů, které nám umožňují nakonfigurovat pravidla a nastavení, jež
pak lze aplikovat na zprávy procházející serverem. Hub Transport server také umožňuje
nastavit postupy a pravidla, jež vyhovují specifickým nařízením a prohlášením firmy.
Jelikož Hub Transport server obvykle posílá a přijímá zprávy z Internetu skrze Edge
Transport server v demilitarizované zóně, není nutné na něj instalovat žádné antispamové agenty a nepřijímá zprávy přicházející z neautentizovaných (nedůvěryhodných)
e-mailových serverů v Internetu – alespoň ve výchozím nastavení. Protože ne všechny
organizace mohou a ani nebudou moci nainstalovat do demilitarizované zóny Edge
Transport server, ukážeme si, jak lze nastavit Hub Transport server, aby fungoval ve vaší
organizaci jako transportní server vůči Internetu.
Architektura přenosu zpráv a směrování
v Exchange 2007
V oblasti architektury a směrování došlo v Exchange Serveru 2007 k výrazným změnám.
V první řadě už Exchange nepoužívá oproti dřívějším verzím produktu protokol SMTP
integrovaný v Internetové informační službě (IIS). Namísto toho přepsala produktová
skupina Exchange balík transportu přes SMTP do řízeného kódu a výsledkem je mnohem stabilnější a bezpečnější protokol. Transportní balík například běží pod účtem síťové služby a používá několik nových mechanismů, které snižují rizika spojená s útokem
Denial-of-Service a s dalšími bezpečnostními problémy. Nový transportní balík SMTP
je nyní znám jako služba Microsoft Exchange Transport (MSExchangeTransport.exe),
a protože již nezávisí na IIS, není již také v IIS Manageru. Ve skutečnosti ani nemusíte na Hub Transport server IIS instalovat, pokud jej nekombinujete se serverovou rolí
Mailbox či Client Access na tomtéž hardwaru.
Vytváříte-li svou topologii Exchange, není už nutné mezi směrovacími skupinami v organizaci Exchange nastavovat konektory směrovacích skupin, protože nic takového již
v Exchange 2007 není. Už slyším nářky, „Proč byl tento pohotový způsob směrování zpráv
skrze organizaci Exchange odstraněn?“ Inu, směrovací skupiny měly také své nevýhody,
včetně dlouhých prodlev v situaci, kdy se dva servery neshodly na stavu spojení, s případným vznikem směrovací smyčky. Další nevýhoda byla při sledování zprávy, kdy mohla
vniknout velmi matoucí situace při zjišťování, proč daná zpráva šla v určitém okamžiku
určitým směrem, protože tabulka stavu linek v topologii Exchange nebyla nikdy trvalá
ani se neukládala. A poslední problém byl, že princip směrovacích skupin a konektorů
K1525.indd 236
27.3.2008 9:13:59
237
Architektura přenosu zpráv a směrování v Exchange 2007
směrovacích skupin nutil administrátory Exchange opětovně vytvářet a simulovat podkladovou síť, což může být časově velmi náročná a dokonce zbytečná práce.
Jak se tedy nastavuje směrovací topologie v Exchange Serveru 2007? Prostě se nenastavuje! Exchange Server 2007 je aplikace, která zná svou pozici, což znamená, že dotazem do Active Directory umí najít své místo v síti Active Directory a také místa ostatních
serverů. Namísto vlastní směrovací topologie používá Exchange topologii sítě služby
Active Directory a s její pomocí určuje, jak zprávy prochází skrze organizaci. To znamená, že Hub Transport servery ve vaší organizaci Exchange načítají informace z Active
Directory, aby stanovily, jak mají být zprávy směrovány mezi servery. Na každé místo,
kde je Mailbox server, je třeba nainstalovat Hub Transport server, takže když uživatel
A na jednom místě pošle zprávu uživateli B na jiném místě, poštovní server zkontaktuje Hub Transport server ve svém vlastním místě a pak nasměruje zprávy na Hub Transport server na místě uživatele B, které nakonec skončí na poštovním serveru se schránou uživatele B.
KAPITOLA 6
Na obrázku 6.1 jsem se pokusil načrtnout, jak probíhá směrování zpráv v základní organizaci Exchange 2007. Všimněte si, že servery Mailbox a Hub Transport používají pro
základní komunikaci RPC, kdežto dva Hub Transport servery spolu hovoří při výměně
zpráv skrze SMTP.
2. síť AD
1. síť AD
šifrované RPC
šifrované RPC
zabezpečené SMTP
poštovní
server
Hub Transport
server
Hub Transport
server
odesilatel
Hub Transport
Poznámka: Všechny Hub Transport servery používají při výměně zpráv v organizaci bezpečný
protokol SMTP. Používají běžný průmyslový standard SMTP Transport Layer Security (TLS), takže
veškerá komunikace mezi Hub Transport servery je autentizována a šifrována. Tím je vyloučena
možnost vnitřního odposlechu. Kromě toho je šifrována také veškerá komunikace RPC mezi Hub
Transport servery a poštovními servery.
poštovní
server
příjemce
Obrázek 6.1 Cesta zprávy od uživatele v jedné síti AD k uživateli v jiné síti AD
K1525.indd 237
27.3.2008 9:13:59
238
Poznámka: Jestliže v konkrétní síti AD existuje více cest, Hub Transport server použije deterministický algoritmus a vybere jednu z nich. Protože bude vždy vybrána jedna z cest, je algoritmus
deterministický. Více se o síti AD a algoritmu výběru spojení používaném pro směrování můžete
dočíst v následujícím příspěvku v blogu týmu MSExchange: http://msexchangeteam.com/archive/
2006/09/15/428920.aspx.
Když Hub Transport server ustanoví v síti AD spojení SMTP na Hub Transport server
v jiné síti AD, aby mohl doručit zprávu, používá cyklický vyrovnávací mechanismus
(round-robin load balancing). To znamená, že jestliže první zkontaktovaný Hub Transport server neodpoví na připojení, pokusí se přes SMTP založit spojení na další Hub
Transport server v síti AD. Z uvedeného plyne, že Hub Transport servery jsou bez jakéhokoliv přičinění schopny vyrovnat se s chybou.
Protože směrování vyplývá ze sítě Active Directory, funkce aktualizace stavu linek (Link
State) v Exchange, která se používala v předchozích verzích Exchange, byla opuštěna.
Funkce stavu linek ve starších verzích sloužila každé hlavní směrovací skupině k úpravám a udržování tabulek se stavy linek v aktuálním stavu a tato informace se šířila zpět
na ostatní Exchange Servery v organizaci. Použití sítě AD v Exchange 2007 vytváří jednoznačnější směrovací topologii.
Správa Hub Transport Serveru
Veškerá nastavení Hub Transport pro celou organizaci se ukládají v Active Directory. To
znamená, že všechny změny nebo konfigurace, kromě specifických nastavení přijímacího konektoru, se odrazí na všech Hub Transport serverech v organizaci. V následujících pasážích si projdeme všechny záložky, které se nacházejí v podřízeném uzlu Hub
Transport na obrázku 6.2. Protože by bylo nesmyslné věnovat přijímacím konektorům
vlastní oddělenou část, zahrneme je do tohoto oddílu také.
Vzdálené domény
První záložka se nazývá Remote Domain. Zde lze nastavit přenos zpráv mezi Exchange 2007 a externími doménami SMTP. Když nastavujete vzdálenou doménu, lze ovládat tok pošty přesněji, určovat formátování a pravidla pro poštu a zadat znakové sady,
které mohou ve zprávách přijímaných a odesílaných ze vzdálené domény být. Jak je
vidět na obrázku 6.2, je zde výchozí záznam vzdálené domény, nastavený po nainstalování serverové role Hub Transport. Adresní prostor domény je nakonfigurován jako
*, což reprezentuje všechny externí domény. To znamená, že nastavení v tomto záznamu pro vzdálenou doménu se aplikuje na všechny odcházející zprávy. Máte-li specifické požadavky pro jedno či více externích SMTP doménových názvů, lze podle potřeby
vložit další záznamy pro vzdálené domény. Jak se nový záznam pro vzdálenou doménu vytváří si ukážeme později, ale nyní se podívejme na nastavení výchozí vzdálené
domény. Otevřete-li vlastnosti záznamu výchozí vzdálené domény, objeví se záložka
General (viz obrázek 6.3).
Zde můžete zadat, jak má Hub Transport server zpracovávat zprávy Mimo kancelář
(OOF) přicházející do domén SMTP zadaných v tomto záznamu vzdálené domény.
Máme na výběr ze čtyř možností:
K1525.indd 238
27.3.2008 9:14:17
239
KAPITOLA 6
Hub Transport
Obrázek 6.2 Dostupné záložky v uzlu Hub Transport
Obrázek 6.3 Možnosti zprávy Mimo kancelář (Out-of-Office)

K1525.indd 239
Allow none Do této vzdálené domény nedojdou žádné zprávy Mimo kancelář.
Allow external out-of-office messages only Pouze zprávy Mimo kancelář
nastavené jako externí pomocí klientů Outlook 2007 a OWA 2007, a kde je odpovídající schránka uložena na poštovním serveru Exchange 2007, budou do této
vzdálené domény doručeny.
27.3.2008 9:14:17
240

Allow external out-of-office messages, and out-of-office messages set by
Outlook 2003 or earlier clients or sent by Exchange Server 2003 or earlier
servers Zprávy Mimo kancelář nastavené jako externí pomocí klientů Outlook
2007 a OWA 2007, a kde je odpovídající schránka uložena na poštovním serveru
Exchange 2007, budou do této vzdálené domény doručeny. Kromě toho, zprávy
Mimo kancelář nastavené v Outlooku 2003 a ve starších klientech, bez ohledu
na serverovou verzi, kde je uložena schránka, budou do této vzdálené domény
doručeny. Jinými slovy, zprávy Mimo kancelář odeslané prostřednictvím serveru Exchange 2003 či starší verze budou doručeny do této vzdálené domény, bez
ohledu na verzi klienta, na němž byla zpráva Mimo kancelář nastavena.
Allow internal out-of-office messages, and out-of-office messages set by
Outlook 2003 or earlier clients or sent by Exchange Server 2003 or earlier servers Pouze zprávy Mimo kancelář nastavené jako externí pomocí klientů Outlook 2007 a OWA 2007, a kde je odpovídající schránka uložena na poštovním serveru Exchange 2007, budou do této vzdálené domény doručeny. Kromě
toho, zprávy Mimo kancelář nastavené v Outlooku 2003 a ve starších klientech,
bez ohledu na serverovou verzi, kde je uložena schránka, budou do této vzdálené domény doručeny. Zprávy Mimo kancelář odeslané prostřednictvím serveru
Exchange 2003 či starší verze budou doručeny do této vzdálené domény, bez
ohledu na verzi klienta, na němž byla zpráva Mimo kancelář nastavena.
Ve výchozím nastavení je zvolena možnost Allow external out-of-office messages.
Pokročme na další záložku s názvem Message Format, kterou ukazuje obrázek 6.4. Vsadím se, že spoustě z vás je tato záložka povědomá, protože je velmi podobná té, kterou
známe z Exchange 2003, nicméně Exchange 2007 nabízí několik nových možností.
Obrázek 6.4 Možnosti formátování zprávy
K1525.indd 240
27.3.2008 9:14:18
241
Zde máte krátký popis všech možností na záložce Message Format:

Allow automatic replies Tato volba umožňuje odesílání automatických odpovědí do vzdálené domény.
Allow automatic forward Tato volba umožňuje automatické přeposílání do
vzdálené domény.
Allow delivery reports Tato volba umožňuje posílání zpráv o doručení všem
příjemcům v libovolné vzdálené doméně.
Allow non-delivery reports Tato volba umožňuje posílat zprávy o nedoručení (NDR) všem příjemcům v libovolné vzdálené doméně.
Display sender’s name on messages Tato volba umožňuje zobrazovat uživatelovo jméno příjemci zprávy.
Use message text line wrap at column Chcete-li v textech odchozích zpráv
používat zalamování řádků, měli byste tuto volbu povolit. Při povolení můžete
zadat velikost řádku (od 0 do 132 znaků). Nemá-li být hodnota omezena, ponechte pole prázdné.
Založení nového záznamu pro vzdálenou doménu
KAPITOLA 6
Hub Transport
Nový záznam pro vzdálenou doménu vytvoříte klepnutím na New Remote Domain
v podokně Action. Otevře se průvodce New Remote Domain, který vidíte na obrázku
6.5. Zde je potřeba zadat název záznamu a externí doménu SMTP, na niž chcete nastavení aplikovat. Jestliže doména obsahuje poddomény, lze také zaškrtnout volbu Include all subdomains. Po vložení potřebných informací klepněte na tlačítko New a pak
na závěrečné stránce na Finish.
Obrázek 6.5 Založení nové vzdálené domény
K1525.indd 241
27.3.2008 9:14:18
242
Všimněte si, že nemusíte zadávat rozličná nastavení během zakládání záznamu vzdálené domény. K tomu slouží stránka vlastností vzdálené domény, kterou otevřete až po
založení.
Tip: Chcete-li vytvořit záznam pro vzdálenou doménu pomocí Exchange Management Shellu,
musíte použít komandlet New-RemoteDomain. Například záznam vzdálené domény podobný
nastavení na obrázku 6.5 vytvoříte tímto příkazem:
New-RemoteDomain –Name “Syngress” –DomainName “*.syngress.com”
Akceptované domény
Na záložce Accepted Domains zadáváme domény SMTP, pro které má být naše organizace Exchange 2007 autoritou, má přenášet zprávy (relay) na e-mailový server v jiné
doménové struktuře Active Directory v organizaci nebo je přenášet na e-mailový server vně příslušné organizace Exchange. Rozdíl mezi vnitřními a vnějšími přenosovými
doménami je, že vnitřní přenos zkrátka posílá e-mailové zprávy přímo na e-mailový
server v organizaci. Zprávy odeslané na vnější přenosovou doménu nejprve dorazí na
Edge Transport server v demilitarizované zóně a odtud se přesměrovávají na odpovídající externí e-mailový server v Internetu.
Po nainstalování Hub Transport serveru do organizace Exchange 2007 se doménový
název kořenové domény ve struktuře Active Directory nastaví automaticky jako autoritativní doména. Poněvadž Hub Transport server použitý jako příklad v této knize byl
nainstalován do struktury Active Directory s názvem exchangedogfood.dk, je tento
doménový název ve výchozím nastavení pro tuto organizaci Exchange 2007 autoritativní doménou (viz obr. 6.6). Protože používáme systém rozděleného DNS, kde si interní
a externí doménové názvy odpovídají, nemusíme po instalaci Hub Transport serveru
provádět žádné změny v nastavení. Mnoho organizací používá interní doménový název
odlišný od externího názvu domény, který se mezi jinými používá také pro příchozí
poštu. Běžně se například používá vnitřní doména domena.local. Je-li tomu tak i ve
vaší organizaci, musíte ručně vytvořit akceptovanou doménu, která odpovídá externímu názvu vaší domény.
Založení nové akceptované domény
Vytvořit novou akceptovanou doménu je snadné. Klepněte v podokně Action na odkaz
New Accepted Domain. V průvodci New Accepted Domain vložte bázev nového záznamu akceptované domény a doménu, pro niž chcete přijímat e-maily.
Poznámka: Každou akceptovanou doménu, která je na záložce Accepted Domains, lze spojit
s pravidlem E-mail Address Policy (EAP), přičemž dojde k vygenerování e-mailových adres příjemců pro akceptovanou doménu. Vlastně každé pravidlo EAP musí být spjato s nějakou akceptovanou doménou a e-mailové zprávy odeslané na e-mailové adesy zadané v EAP lze přesměrovat pomocí Hub Transport serverů v organizaci. Až za chvíli probereme pravidla pro e-mailové
adresy, bude vám vše jasné.
K1525.indd 242
27.3.2008 9:14:19
243
Obrázek 6.6 Stránka vlastností akceptované domény
KAPITOLA 6
Hub Transport
Jak jsme si již řekli, Hub Transport server umí zpracovat zprávy pro konkrétní doménu několika různými způsoby, což ukazuje obrázek 6.7. Zvolte požadovanou možnost,
klepněte na tlačítko New a na další stránce na Finish.
Obrázek 6.7 Průvodce New Accepted Domain
Tip: Novou akceptovanou doménu můžete také vytvořit v Exchange Management Shellu pomocí komandletu New-AcceptedDomain. Například záznam akceptované domény podobný tomu,
který jsme založili na obrázku 6.7, vytvoříte tímto příkazem:
New-AcceptedDomain –Name “Exchange-faq” –DomainName “exchangefaq.dk” –DomainType “Authoritative”
K1525.indd 243
27.3.2008 9:14:19
244
Pravidla pro e-mailové adresy
Pravidla pro e-mailové adresy byla v Exchange 2000 a 2003 známá jako pravidla pro
příjemce. Pravidla pro adresy v Exchange definují adresy proxy vložené do objektů
příjemců v organizaci Exchange. V Exchange 2007 se pravidla pro příjemce rozdělila
na dva typy: akceptované domény (o nichž jsme právě mluvili) a pravidla pro e-mailové adresy. Ti z vás, kteří mají zkušenosti s Exchange 2000 či 2003, vědí, že pravidla pro
příjemce také určovala, jaké jmenné prostory SMTP organizace Exchange akceptovala. Někteří z vás se patrně nad rozdělením těchto dvou vlastností pozastaví. Produktová skupina Exchange oddělila tyto vlastnosti ze tří hlavních důvodů. Nejprve proto,
že když byla pro pravidlo pro e-mailovou adresu příjemce zadána doména, ale nebyla
nastavena jako autoritativní doména, e-mail odeslaný příjemcům s e-mailovou adresou
definovanou pravidlem nebyl přesměrován v organizaci Exchange pro tuto doménu.
Ačkoliv je to neplatný scénář, System Manager v Exchange 2000 a 2003 tento typ nastavení umožňoval. Druhým faktem bylo, že autoritativní doména se skrývala v grafickém
rozhraní pravidla pro e-mailovou adresu příjemce, které nebylo pro administrátory příliš intuitivní. A za třetí, přenosové domény měly správu v grafickém rozhraní konektorů
SMTP, tedy v prostoru zcela odlišném od místa, v němž se ovládaly autoritativní domény (pravidla pro příjemce).
Praktická rada: Toto oddělení akceptovaných domén a pravidel pro e-mailové adresy není jedinou změnou v oblasti pravidel pro e-mailové adresy. Nechvalně známá služba Recipient Update
Service (RUS), kterou většina z nás zná z Exchange 2000 a 2003, již také není součástí produktu
Exchange 2007. Služba RUS odpovídala za vkládání e-mailových adres, dále za členství v seznamech
adres a za několik dalších věcí. Nefungovala však vždy podle očekávání a bylo velmi obtížné najít
problém, když služba odpírala poslušnost. V Exchange 2007 byla služba RUS (a tedy asynchronní
chování používané pro správu objektů) nahrazena novým synchronním procesem, komandletem EmailAddressPolicy,
y který se používá na okamžité vložení e-mailové adresy do objektů! Ano,
již nemusíte čekat několik minut, než se e-mailové adresy objeví na vašich objektech, což byla
vlastnost zastaralé služby RUS.
Podrobné vysvětlení zrušení služby RUS naleznete v blogu týmu MSExchange:http://msexchangeteam.
MSExchange: http://msexchangeteam.
com/archive/2006/10/02/429053.aspx.
Pamatujte si tedy dobře, že než začnete vytvářet nové pravidlo pro e-mailovou adresu,
musíte nejprve přidat odpovídající doménový název na záložce Accepted Domains.
Jak vidíte na obrázku 6.8, máme v naší organizaci Exchange 2007 několik pravidel pro
e-mailové adresy, vypsaných podle priority (čím menší číslo, tím vyšší priorita), což je
stejné jako v Exchange 2000 a 2003. Chcete-li posunout nějaké pravidlo v seznamu nahoru, označte jej a klepněte v podokně Action na Change Priority. Aby byl odkaz Change
Priority viditelný, musíte mít kromě výchozího pravidla alespoň dvě další EAP.
Založení nového pravidla pro e-mailové adresy
Založení nového pravidla pro e-mailové adresy je prosté, ale od Exchange 2000 a 2003
se velmi liší. Postupujte následovně:
1. V podokně Action klepněte na New E-mail Address Policy.
K1525.indd 244
27.3.2008 9:14:20
245
Obrázek 6.8 Seznam pravidel pro e-maily v organizaci seřazený podle priorit
KAPITOLA 6
Hub Transport
2. Na úvodní stránce průvodce New E-mail Address Policy vložte název nového pravidla a zadejte, jaké typy příjemců se mají zahrnout (obrázek 6.9). Poté klepněte
na tlačítko Next.
Obrázek 6.9 Okno nového pravidla pro e-mailové adresy
K1525.indd 245
27.3.2008 9:14:20
246
3. Nyní můžete selektivněji definovat cílovou skupinu pomocí filtru a volbou jedné
či více podmínek (viz obr. 6.10). Máte-li potřebné podmínky, které chcete na pravidlo aplikovat, vybrané, klepněte na tlačítko Next.
Obrázek 6.10 Stránka podmínek v průvodci New E-mail Address
4. Klepněte na Add a zaškrtněte E-mail address local part, kde vytvoříte část
e-mailové adresy se jménem uživatele. Pak zvolte e-mailovou doménu z rozevíracího seznamu E-mail address domain, což ukazuje obrázek 6.11. Pak klepněte na OK a Next.
Jak vidíte na obrázku 6.11, můžete volit mezi sedmi typy lokální části e-mailové
adresy. Lokální část e-mailové adresy je jméno, které se objevuje před znakem at
(@). Jestliže žádný z těchto sedmi typů lokální části nevyhovuje potřebám vašeho
pravidla pro e-mailové adresy, můžete využít proměnné vypsané v tabulce 6.1.
Tabulka 6.1 Dostupné parametry pro e-mailové adresy
K1525.indd 246
Proměnná
Popis
%g
Používá se pro křestní jméno (první jméno).
%i
Používá se pro prostřední iniciálu.
%s
Používá se pro příjmení.
%d
Používá se pro zobrazované jméno.
%m
Používá se pro alias v Exchange.
%xs
Používá x písmen z příjmení. Je-li například x = 2, použijí se první dvě písmena
z příjmení.
%xg
Používá x písmen z křestního jména. Je-li například x = 2, použijí se první dvě písmena z křestního jména.
27.3.2008 9:14:21
247
Obrázek 6.11 Zadání lokální části e-mailové adresy a domény e-mailové adresy
KAPITOLA 6
Hub Transport
5. Na stránce Schedule zadejte, kdy se má pravidlo pro e-mailové adresy aplikovat,
a maximální čas, po jaký může běžet (obrázek 6.12). Pak klepněte na Next.
Obrázek 6.12 Stránka časového rozvrhu v průvodci New E-mail Address
6. Na stránce Configuration Summary klepněte na New. Jestliže jste zvolili okamžitou aplikaci pravidla, aplikuje se nyní adresa proxy na všechny příjemce vyhovující filtru. Po dokončení tohoto úkolu klepněte na stránce Completion na tlačítko Finish.
K1525.indd 247
27.3.2008 9:14:21
248
Tip: Nové pravidlo pro e-mailové adresy můžete také vytvořit v Exchange Management Shellu
komandletem New-EmailAddressPolicy. Například pravidlo podobné tomu, které jsme vytvořili
v průvodci, založíte tímto příkazem:
New-EmailAddressPolicy -Name “Exchangedogfood.dk” - IncludedRecipients “MailboxUsers”
-ConditionalCompany “Exchange Dogfood Corporation” -Priority “Lowest” EnabledEmailAddressTemplates “SMTP:%g.%[email protected]”
Po vytvoření nového pravidla pro e-mailové adresy a po jeho aplikaci na příjemce můžete
u objektu příjemce na stránce vlastností na záložce E-Mail Addresses ověřit, že na příslušný objekt uživatele byla vložena adresa proxy (viz obr. 6.13).
Obrázek 6.13 Záložka E-mail Addresses na stránce vlastností uživatelské schránky
Má-li uživatel povolenu možnost Automatically Update E-mail Addresses Based On Email
AddressPolicy, všechny primární e-mailové adresy (výchozí adresy pro odpověď) typů
e-mailových adres se vždy nastaví podle pravidla pro e-mailové adresy. To znamená, že
když upravíte primární adresu na jinou e-mailovou adresu, vždy se vrátí zpět na adresu
zadanou v příslušném pravidle pro e-mailové adresy.
Pravidla přenosu
Se zvyšující se komplexností vládních a průmyslových regulací stále vzrůstá potřeba
efektivní správy vnitřního směrování zpráv. Exchange 2007, či přesněji serverová role
Hub Transport, nyní obsahuje nového agenta pro pravidla přenosu, který nabízí snadný a pružný způsob, jak nastavit pravidla pro vnitřní směrování zpráv a restrikci obsahu v organizaci Exchange. Můžeme nyní například přidat ke všem zprávám poslaným
v organizaci firemní prohlášení nebo vytvořit etickou zeď mezi dvěma odděleními či
skupinami, které si každodenně vyměňují důvěrná data. Etická zeď napomůže izolovat
jedince či skupinu od informací, k nimž by neměli mít přístup.
K1525.indd 248
27.3.2008 9:14:22
249
Pravidla přenosu se skládají ze tří komponent: podmínky, výjimky a akce. Tato pravidla
lze vytvořit na záložce Transport Rules. Podrobný výklad pravidel přenosu však není
v této knize možný. Ukážeme si tedy například, jak je snadné přidat ke všem zprávám
odesílaným v organizaci firemní prohlášení. Postupujte následovně:
1. Klepněte na záložku Transport Rules, kterou ukazuje obrázek 6.2.
2. V podokně Action klepněte na New Transport Rule.
KAPITOLA 6
Obrázek 6.14 Úvodní stránka průvodce New Transport Rule
4. Klepněte na tlačítko Next.
Hub Transport
3. Na úvodní stránce průvodce New Transport Rule napište Corporate Disclaimer a vložte příslušný komentář, který ukazuje obrázek 6.14.
5. Na stránce Conditions zaškrtněte volbu from users inside or outside the
organization (viz obr. 6.15) a klepněte na tlačítko Next.
6. Nyní zaškrtněte append disclaimer text using font, size, color, with separator and fallback to action if unable to apply. V sekci Step 2 klepněte na
odkaz disclaimer text, což je vidět na obrázku 6.16.
7. V poli Disclaimer text napište prohlášení, které chcete připojit ke zprávám ve
své organizaci. Poté klepněte na tlačítko OK (viz obrázek 6.17.)
8. Klepněte na tlačítko Next.
9. Na stránce Exceptions klepněte na tlačítko Next.
10. Na stránce Create Rule (Configuration Summary) klepněte na tlačítko New.
11. Na stránce Completion klepněte na tlačítko Finish.
K1525.indd 249
27.3.2008 9:14:22
250
Obrázek 6.15 Stránka podmínek v průvodci New Transport Rule
Obrázek 6.16 Stránka akcí v průvodci New Transport Rule
Obrázek 6.17 Textové pole Specify Disclaimer
K1525.indd 250
27.3.2008 9:14:23
251
Nyní budou všechny zprávy odeslané uživatelem v organizaci obsahovat připojené
firemní prohlášení, jak vidíte na obrázku 6.18.
Obrázek 6.18 Testovací zpráva s připojeným firemním prohlášením
Po vytvoření pravidla přenosu je můžete podle potřeby kdykoli změnit. Označíte pravidlo a v podokně Action klepnete na odkaz Edit Rule.
KAPITOLA 6
New-TransportRule –Name “Corporate Disclaimer” –Comments “This corporate disclaimer is
appended to all messages sent throughout the organization.” –Conditions “Microsoft.Exchange.MessagingPolicies.Rules.Tasks.FromScopePredicate” –Actions “Microsoft.Exchange.MessagingPolicies.Rules.Tasks.ApplyDisclaimerAction” –Exceptions –Enabled $true –Priority “0”
Hub Transport
Tip: Chcete-li vytvořit nové pravidlo přenosu v Exchange Management Shellu, použijte komandlet New-TransportRule. Například pravidlo podobné tomu, které jsme vytvořili v grafickém průvodci (viz také obrázek 6.14), založíte následujícím příkazem:
Deník
Exchange Server 2003 nativně podporoval deník na úrovni úložiště poštovních schránek.
Tato funkce je v Exchange Serveru 2007 také a nazývá se standardní deník. Standardní
deník vám jakožto administrátorům Exchange umožňuje povolit deník na úrovni databáze poštovních schránek. O tomto standardním deníku není moc co říci jiného, než že jej
lze povolit na stránce vlastností databáze poštovních schránek. Pak již prostě funguje.
I když standardní deník může někomu postačovat, pro většinu dnešních organizací je příliš
jednoduchý. Udržet krok s nárůstem regulací a nařízení vyžaduje mnohem vybavenější řešení pro archivaci. Exchange 2007 proto také obsahuje prémiový deník, jenž je součástí Hub
Transport serveru, fungující na základě nového agenta deníku, kterého lze nastavit, aby vyhovoval specifickým potřebám organizace. Prémiový deník umožňuje vytvořit pravidla deníku
pro jednotlivé příjemce s poštovními schránkami či pro celé skupiny v organizaci.
Poznámka: Prémiový deník, známý také jako deník pro jednotlivé příjemce, vyžaduje licenci
Exchange Enterprise Client Access (CAL).
K1525.indd 251
27.3.2008 9:14:24
252
Pravidla lze aplikovat na příchozí či odchozí zprávy či pro oba směry. Kromě toho lze
pravidla aplikovat na globální, externí či interní zprávy. Zprávy lze archivovat na libovolnou adresu SMTP, což znamená, že již nejste nuceni archivovat do schránky Exchange,
ale můžete archivaci provádět do řešení s archivem na Exchange. Můžete dokonce archivovat do řešení od jiného dodavatele.
Pravidlo deníku vytvoříte následujícím postupem:
1. Na záložce Journaling klepněte na New Journal Rule.
2. V průvodci New Journal Rule (viz obr. 6.19) vložte popisný název.
3. Klepněte na Browse a zvolte příjemce, jenž má dostávat protokoly pro deník.
4. Zvolte oblast (Scope), na niž chcete pravidlo deníku aplikovat.
5. Má-li se pravidlo aplikovat na jedinou schránku, označte volbu Journal message
for recipient, klepněte na Browse a zvolte příjemce.
Poznámka: Jestliže nezaškrtnete volbu Journal message for recipient, pravidlo deníku bude
archivovat všechny zprávy odeslané všemi uživateli v organizaci Exchange.
6. Klepnutím na New pravidlo vytvořte. Na stránce Completion klepněte na Finish.
Obrázek 6.19 Průvodce New Journal Rule
Tip: Nové pravidlo deníku lze také vytvořit v Exchange Management Shellu komandletem NewJournalRule. Například vytvořit pravidlo podobné tomu, které jsme založili v grafickém průvodci,
je možné následujícím příkazem:
New-JournalRule –Name “Journal all messages to and from Benjamin’s mailbox” –
JournalEmailAddress “exchangedogfood.dk/users/Archive” –Scope “Global” –Enabled $True
–Recipient “[email protected]”
K1525.indd 252
27.3.2008 9:14:24
253
Jestliže uživatel Benjamin pošle e-mailovou zprávu, odešle se protokol do deníku na
konkrétní e-mailovou adresu pro protokoly, podobně jako na obrázku 6.20. Lze tu vidět,
že protokol v deníku obsahuje v příloze zprávu, kterou poslal Benjamin, a také informace o odesilateli, předmětu a ID-zprávy.
Obrázek 6.20 Testovací zpráva v protokolu v deníku
KAPITOLA 6
Odesílací konektory (Send Connector) se používají k řízení odesílání zpráv Hub
Transport servery pomocí protokolu SMTP. Tedy, jak se Hub Transport server spojuje s ostatními e-mailovými servery. To znamená, že má-li Hub Transport server
úspěšně doručit zprávy do cílového místa, potřebuje odesílací konektor. Je nutno
podotknout, že během instalace Hub Transport serveru se nevytváří explicitní
odesílací konektor. Avšak interní Hub Transport servery používají při vzájemném
posílání zpráv SMTP a ačkoliv se ve výchozí instalaci nevytvoří explicitní odesílací konektor, neznamená to, že interní Hub Transport servery nemohou doručovat
zprávy do jiných Hub Transport serverů. Důvodem je, že na základě topologie sítě
Active Directory se automaticky vypočítají implicitní, a tedy neviditelné, odesílací konektory, a na základě topologie jsou pak interní zprávy směrovány mezi Hub
Transport servery v organizaci.
Hub Transport
Odesílací konektory
Odesílací konektory se ukládají v Active Directory a jakmile takový konektor vznikne,
je jeho platnost globální a nejen lokální, jako je tomu u přijímacích konektorů.
Nemáte-li v demilitarizované zóně vaší organizace nainstalován Edge Transport server,
nebo nebyl-li nastaven žádný proces Edge Subscription (který vytváří odesílací konektor automaticky), nelze odeslat zprávu na jiné poštovní servery mimo vaši organizaci.
V takovém případě musíte vytvořit odesílací konektor ručně. K tomu je potřeba postupovat takto:
K1525.indd 253
27.3.2008 9:14:25
254
1. Klepněte na záložku Send Connectors, zobrazenou na obrázku 6.2.
2. V podokně Action zvolte příkaz New Send Connector.
3. Objeví se stránka New SMTP Send Connector. Na stránce Introduction vložte popisný název konektoru (například To ISP) a poté v rozevíracím seznamu
zvolte typ odesílacího konektoru, který chcete vytvořit. Vidíte, že lze volit ze čtyř
odlišných typů odesílacích konektorů.

Custom Tuto možnost zvolte, když chcete vytvořit vlastní konektor pro spojení s jinými servery než Exchange.
Internal Interní odesílací konektory se používají na odesílání e-mailů na servery ve vaší organizaci Exchange. Zvolíte-li tento typ, konektor bude nastaven na
směrování e-mailů na vaše interní Exchange servery jako servery smart host.
Internet Internetové odesílací konektory slouží k posílání e-mailů do Internetu. Zvolíte-li tento typ, konektor bude nastaven tak, aby při směrování emailů používal záznamy MX v DNS.
Partner Partnerské odesílací konektory se používají na odesílání e-mailů do
partnerských domén. Zvolíte-li tento typ, konektor bude nastaven, aby povoloval spojení pouze na servery, které se autentizují certifikáty Transport Layer
Security (TLS) pro domény SMTP, jež jsou na seznamu doménově bezpečných
domén. Na tento seznam můžete domény přidávat příkazem Set-TransportConfig s parametrem TLSSendDomainSecureList.
Obrázek 6.21 Volba požadovaného typu odesílacího konektoru
4. Na stránce Address space, kterou vidíte na obrázku 6.22, vložte doménu či
domény, do nichž má odesílací konektor směrovat poštu. Má-li konektor sloužit
ke směrování odchozích zpráv do Internetu, vložte hvězdičku (*). Poté klepněte
na tlačítko Next.
K1525.indd 254
27.3.2008 9:14:25
255
Obrázek 6.22 Zadání adresního prostoru
KAPITOLA 6
Hub Transport
5. Na stránce Network Settings, kterou vidíte na obrázku 6.23, zadejte, jakým způsobem chcete poštu pomocí tohoto konektoru odesílat. Můžete zvolit používání
záznamů MX v systému doménových názvů (DNS), aby se pošta směrovala automaticky, nebo lze zadat směrování veškeré pošty na zadaný server smart host.
Obrázek 6.23 Nastavení sítě
K1525.indd 255
27.3.2008 9:14:26
256
Důležité: Jste-li malá společnost a používáte levného poskytovatele Internetu, který nepovoluje
odchozí poštu z vaší digitální linky na portu 25, je obvykle potřeba směrovat odchozí poštu přes
server smart host u vašeho poskytovatele Internetu.
6. Jestliže jste v předchozím kroku zvolili používání serveru smart host, musíte
nastavit autentizační metodu pro správnou autentizaci na zadaném serveru smart
host. Jestliže jde o server u vašeho poskytovatele připojení, nemusíte se obvykle
autentizovat a můžete bez obav zvolit None, což ukazuje obrázek 6.24. Klepněte na tlačítko Next.
Obrázek 6.24 Nastavení autentizace pro server smart host
7. Nyní je čas na propojení konektoru s Hub Transport serverem v organizaci (viz
obr. 6.25). Průvodce to zkusí udělat za vás sám, ale v případě potřeby můžete
nastavení změnit. Pak klepněte na tlačítko Next.
8. Na stránce Configuration Summary ověřte, že jste nastavili konektor správně,
a klepněte na tlačítko Next.
9. Na stránce Completion klepněte na tlačítko Finish.
Tip: Když chcete založit odesílací konektor v Exchange Management Shellu, musíte použít komandlet New-SendConnector. Například konektor podobný tomu, který jsme vygenerovali v předchozím návodu, vytvoříte tímto příkazem:
New-SendConnector -Name ‘To ISP (Smart host)’ -Usage ‘Internet’ -AddressSpaces ‘smtp:*.
exchangehosting.dk;1’ -DNSRoutingEnabled $true -UseExternalDNSServersEnabled $false
-SourceTransportServers ‘EDFS03’
K1525.indd 256
27.3.2008 9:14:26
257
Obrázek 6.25 Zadání zdrojového serveru
Po vytvoření odesílacího konektoru jej můžete zakázat, povolit, upravovat i odstranit.
Označte příslušný odesílací konektor a v podokně Action zvolte požadovaný příkaz.
KAPITOLA 6
Hub Transport server lze nakonfigurovat na používání různých nastavení pro externí a interní vyhledávání v DNS. V pracovním centru Server Configuration Hub
Transport pro svůj Hub Transport server klepněte na odkaz Properties. Na záložce
External DNS Lookups, kterou ukazuje obrázek 6.26, zadejte, že na vyhledání adres
IP serverů mimo vaši organizaci se má (mají) použít server(y) DNS. Je zde vidět, že máte
možnost použít nastavení DNS vytvořené pro jednu ze síťových karet serveru či zadat
adresu IP serveru DNS přímo. Na záložce Internal DNS Lookups jsou zcela identické
možnosti. Jediným rozdílem je, že se zde zadává (zadávají) server(y) DNS, určený (určené) k vyhledání adres IP serverů uvnitř vaší organizace.
Hub Transport
Nastavení vyhledávání v DNS
Nastavení limitů odchozích zpráv
Je možné nakonfigurovat, jak má Hub Transport server zpracovávat odcházející zprávy.
K tomu slouží stránka Properties pro příslušný objekt Hub Transport serveru v podokně Result. Zde klepněte na záložku Limits. Jak ukazuje obrázek 6.27, lze určit interval
opakování – jinými slovy, jak často se má Hub Transport server pokoušet opakovaně
odesílat zprávu na cílový server, protože některé servery SMTP nepřijmou zprávu při
prvním odeslání.
V sekci Message expiration lze zadat počet dní, po nichž má zprávě uchovávané lokálně
ve frontě jako nedoručitelná vypršet platnost. Jak je vidět, výchozí nastavení jsou 2 dny,
po nichž bude zpráva odstraněna z fronty zpráv a odesilateli zprávy přijde oznámení
o nedoručení (NDR).
K1525.indd 257
27.3.2008 9:14:27
258
Obrázek 6.26 Nastavení externího vyhledávání v DNS
Obrázek 6.27 Nastavení limitů odchozích zpráv
Kromě uvedeného lze také určit, po kolika hodinách se má vygenerovat zpráva o nedoručení (NDR) a odeslat autorovi zprávy. Ve výchozím nastavení dostane odesilatel upozornění každé čtyři hodiny.
Na závěr můžeme nastavit omezení počtu souběžných odchozích spojení a souběžných
odchozích spojení pro jednu doménu. Nepracujete-li s mimořádně rozsáhlou organizací, měli byste ponechat omezení počtu spojení na výchozích hodnotách.
K1525.indd 258
27.3.2008 9:14:28
259
Výchozí nastavení by měla vyhovovat většině organizací, ale jste-li v situaci, kdy je potřebujete poupravit, proveďte to právě zde.
Přijímací konektory
Přijímací konektor (Receive connector) reprezentuje příchozí přípojný bod pro SMTP
a řídí, jakým způsobem Hub Transport server přijímá zprávy přes SMTP. Bez přijímacích
konektorů nemohou zprávy přicházet. To znamená, že má-li Hub Transport server přijímat zprávy z Internetu (z e-mailových klientů i z ostatních poštovních serverů), musí
existovat alespoň jeden přijímací konektor.
KAPITOLA 6
Hub Transport
Když na nějaký server nainstalujete serverovou roli Hub Transport, vytvoří se automaticky dva přijímací konektory. Konektor Client <název serveru> a Default <název serveru>
(viz obr. 6.28). Tyto dva konektory jsou nutné, aby fungoval interní tok pošty.
Obrázek 6.28 Výchozí přijímací konektory
Poznámka: Ve výchozím nastavení přijímá Hub Transport server zprávy pouze z jiných transportních serverů (tedy z Hub Transport a Edge Transport serverů), které jsou součástí organizace
Exchange, autentizovaní uživatelé Exchange a vnitřní starší Exchange servery (Exchange 2000
a 2003). To znamená, že poštovní servery vně organizace nemohou ve výchozím nastavení doručovat zprávy na Hub Transport server. Důvodem stojícím za tímto rozhodnutím je výchozí automatická bezpečnost Hub Transport serveru. Už vás slyším – „Ale není to trochu agresivní, nepovolit zprávy z Internetu?“ Inu, asi je, ale protože produktová skupina je přesvědčena, že všechny
organizace na světě si nainstalují do svých demilitarizovaných zón Edge Transport server, nepřipadá to jejím členům vůbec jako problém. Povolit nedůvěryhodným poštovním serverům (tedy
poštovním serverům, jež nejsou součástí organizace Exchange, s výjimkou Edge Transport serveru) doručovat zprávy přímo na Hub Transport server je naštěstí celkem bezbolestná procedura.
Postup si ukážeme v pasáži nazvané „Nastavení Hub Transport serveru jako transportního serveru
do Internetu“ později v této kapitole.
K1525.indd 259
27.3.2008 9:14:28
260
Přijímací konektor naslouchá pouze spojením, která vyhovují nastavení zadanému pro
tento konektor. Tedy spojením, která přicházejí skrze konkrétní adresu IP a port a z konkrétního intervalu adres IP. Přijímací konektory jsou pro Hub Transport server, na němž
byly založeny, lokální. To znamená, že přijímací konektor vytvořený na jednom Hub
Transport serveru nelze použít na jiném Hub Transport serveru v organizaci. Vytvořením přijímacích konektorů je tedy možné řídit, který server má přijímat zprávy z určité adresy IP či intervalu adres IP. Kromě toho lze konektoru nastavit vlastní parametry
pro zprávy přicházející z konkrétní adresy IP či intervalu adres IP. Je možné kupříkladu povolit větší velikosti zpráv, více příjemců na jednu zprávu (o obou možnostech si
povíme dále) či třebas více příchozích spojení.
Založení přijímacího konektoru
Přijímací konektor vytvoříte tímto postupem:
1. Otevřete Exchange Management Console a v pracovním centru Server Configuration zvolte Hub Transport (viz zpět obrázek 6.28).
2. V podokně Result označte Hub Transport server, na němž chcete založit přijímací konektor.
3. Nyní v podokně Action klepněte na New Receive Connector.
4. Otevře se průvodce New SMTP Receive Connector. Napište popisný název
konektoru a zvolte vytvářený typ. Jak ukazuje obrázek 6.29, lze volit z pěti různých typů přijímacích konektorů:
Custom Tato volba slouží k vytváření přijímacích konektorů, které se připojují do jiných systémů než Exchange serverů.
Internet Tato volba vytvoří přijímací konektor, jenž bude přijímat e-maily
ze serverů v Internetu. Konfigurace konektoru bude přijímat spojení od anonymních uživatelů.
Internal Interní přijímací konektory se používají pro poštu ze serverů ve
vaší organizaci Exchange. Pamatujte si, že tento typ konektoru bude podle
nastavení přijímat spojení pouze z interních serverů Exchange.
Client Konektory Client slouží k příjmu zpráv od autentizovaných uživatelů
Exchange. To znamená, že tento konektor bude nakonfigurován tak, aby přijímal žádosti klientů pouze od autentizovaných uživatelů Exchange.
Partner Partnerské přijímací konektory se používají na příjem e-mailů z partnerských domén. Konektor bude nastaven tak, aby přijímal spojení pouze
ze serverů, které se autentizují certifikáty Transport Layer Security (TLS) pro
domény SMTP, jež jsou na seznamu doménově bezpečných domén. Na tento
seznam můžete domény přidávat příkazem Set-TransportConfig s parametrem
TLSReceiveDomainSecureList.
5. Až zvolíte typ konektoru, jejž chcete založit, klepněte na tlačítko Next.

6. Jak ukazuje obrázek 6.30, máte možnost upravit adresu IP a port, které mají sloužit
k příjmu pošty. U konektorů Custom, Internet a Partner lze také zadat plný doménový název (FQDN), který má tento konektor poskytnout v odpověď na příkazy
HELO a EHLO. Poté klepněte na tlačítko Next.
K1525.indd 260
27.3.2008 9:14:29
261
KAPITOLA 6
Hub Transport
Obrázek 6.29 Volba typu přijímacího konektoru
Obrázek 6.30 Vložení lokálních adres IP, které mají sloužit na příjem pošty
7. Na stránce Configuration Summary klepněte na tlačítko New a na stránce
Completion na Finish.
Tip: Chcete-li založit přijímací konektor v Exchange Management Shellu, poslouží vám komandlet New-ReceiveConnector. Například konektor, jejž jsme vygenerovali v předchozích krocích, lze
vytvořit tímto příkazem:
New-ReceiveConnector -Name ‘Special Receive Connector’ –Usage ‘Custom’ -Bindings ‘0.0.0.0:25’
-Fqdn ‘mail.exchangedogfood.dk’ - RemoteIPRanges ‘0.0.0.0-255.255.255.255’ -Server ‘EDFS03’
Ve kterémkoliv okamžiku můžete existující přijímací konektor podle potřeby upravovat. Označte příslušný konektor a v podokně Action klepněte na Properties. Jakýkoliv přijímací konektor lze dále zakázat, povolit či odstranit. K tomu je třeba příslušný
konektor označit a v podokně Action zvolit příslušnou akci.
K1525.indd 261
27.3.2008 9:14:29
262
Podobně jako předchozí verze Exchange i Exchange 2007 umožňuje omezit velikost
zpráv, které uživatelé smějí odesílat a přijímat. Limit velikosti zpráv může být nastaven
globálně v celé organizaci nebo na úrovni jednotlivého serveru, konektoru či pro jednotlivé uživatele. Omezení velikosti a limit počtu příjemců lze nastavit pouze v Exchange Management Shellu. V následujících pasážích si toto nastavení limitů ukážeme.
Nastavení globálních limitů
Ve výchozím nastavení neexistují žádná omezení, což dokládá obrázek 6.31.
Obrázek 6.31 Výpis globálních limitů
Nové limity pro všechny servery Exchange 2007 v organizaci je nutné nastavit tímto
příkazem:
Set-TransportConfig -MaxReceiveSize:<hodnota> -MaxSendSize:<hodnota>
-MaxRecipientEnvelopeLimit:<hodnota>
Poznámka: Při nastavování hodnot MaxReceiveSize nebo MaxSendSize je důležité si uvědomit,
že zadáte-li pouze číslo (např. 100), je chápáno v kilobajtech (kB). To znamená, že je obecně dobré
zadávat číslo i s jednotkou – kB či MB.
Nastavení serverových limitů
Vzhledem k tomu, že limity velikosti zpráv se ovládají skrze přijímací a odesílací konektory, nelze nastavovat limity pro jednotlivé servery. Můžete však nakonfigurovat maximální
počet příjemců pro jednu zprávu. Tedy maximální počet příjemců, které lze zařadit do
jedné zprávy a odeslat do adresáře Pickup. Ve výchozím nastavení může být příjemců
nejvýše 100, což lze ověřit příkazem Get-TransportServer | FL v Exchange Management Shellu. Tuto hranici je možné změnit tímto příkazem:
Set-TransportServer -PickupDirectoryMaxRecipientsPerMessage:<hodnota>
Nastavení limitů pro konektory
Výchozí nejvyšší velikost zprávy v konektorech pro odesílání i příjem je 10 MB. Ověřit
to lze příkazy Get-SendConnector | FL, resp. Get-ReceiveConnector | FL.
Odesílací konektory
Maximální velikost zprávy v odesílacím konektoru je možné změnit tímto příkazem:
Set-SendConnector <název konektoru> -MaxMessageSize:<hodnota>
K1525.indd 262
27.3.2008 9:14:30
263
Přijímací konektory
Maximální velikost zprávy v přijímacím konektoru lze změnit tímto příkazem:
Set-ReceiveConnector <název konektoru> -MaxMessageSize:<hodnota>
Poznámka: Při nastavování hodnoty MaxMessageSize je důležité si uvědomit, že zadáte-li pouze
číslo (např. 100), je chápáno v kilobajtech (kB). To znamená, že je obecně dobré zadávat číslo
i s jednotkou – kB či MB.
Nastavení limitů pro jednotlivé uživatele
V případě potřeby je také možné nakonfigurovat limity velikosti zpráv na úrovni uživatele. Limity velikosti zpráv nastavené pro uživatele přepisují globální limity i limity pro
konektory. Ve výchozím nastavení není velikost příchozích i odchozích zpráv pro danou
uživatelskou schránku omezena, jak lze zjistit příkazem Get-Mailbox | FL. Změnu nastavení provedete příkazem
Set-Mailbox –MaxReceiveSize:<hodnota> -MaxSendSize:<hodnota>
Poznámka: Při nastavování hodnot MaxReceiveSize nebo MaxSendSize je důležité si uvědomit,
že zadáte-li pouze číslo (např. 100), je chápáno v kilobajtech (kB). To znamená, že je obecně dobré
zadávat číslo i s jednotkou – kB či MB.
KAPITOLA 6
Je-li povoleno sledování zpráv, zaznamenává se veškerá přenosová aktivita v protokolu Simple Mail Transfer (SMTP) pro všechny zprávy putující na počítač či z počítače,
na němž je Exchange 2007 s nainstalovanou serverovou rolí Hub Transport, Mailbox či
Edge Transport, do protokolu, jenž se ve výchozím nastavení nalézá v adresáři C:\Program Files\Microsoft\Exchange Server\TransportRoles\Logs\MessageTracking. Protokoly sledování zpráv lze použít v soudních sporech, v analýzách toku pošty, v sestavách
a při řešení problémů.
Hub Transport
Je-li sledování zpráv povoleno (což je výchozí nastavení), nejstarší soubory protokolů sledování zpráv mají 30 dní. Po třiceti dnech se nejstarší protokoly sledování zpráv
smažou metodou cirkulárního zápisu protokolů. Ke smazání dojde pouze v případě, že
protokol sledování zpráv dosáhne stanovené maximální velikosti (ve výchozím nastavení 10 MB) nebo soubor s protokolem dosáhne maximálního stanoveného stáří.
Poznámka: Adresář MessageTracking, jenž je úložištěm souborů s protokoly sledování zpráv, má
výchozí limit velikosti 250 MB.
Nástroj Message Tracking otevřete následovně:
1. Otevřete Exchange Management Console.
2. Označte pracovní centrum Toolbox.
3. Klepněte na ikonu Message Tracking a v podokně Action zvolte příkaz Open
Tool.
K1525.indd 263
27.3.2008 9:14:30
264
Nástroj se po několika sekundách otevře a vyhledá dostupné aktualizace. Jsou-li aktualizace hotovy, klepněte na Go to Welcome screen a uvidíte obrazovku Message Tracking Parameters, kterou ukazuje obrázek 6.32. Zde je možné zaškrtnout různé parametry, které chcete zahrnout do vyhledávacích kritérií. V tomto příkladě jsem zadal, že chci
seznam všech zpráv odeslaných mně od 1. do 30. ledna 2007 z konkrétní e-mailové adresy. Po zaškrtnutí a specifikaci příslušných parametrů klepněte na tlačítko Next.
Obrázek 6.32 Stránka Message Tracking Parameters
Nástroj Message Tracking nyní vyhledá všechny zprávy odpovídající vyhledávacím kritériím zadaným na předchozí obrazovce – obrázek 6.33. Máme zde veškeré druhy informací o zprávách a chceme-li náš výběr dále filtrovat, můžeme klepnout na tlačítko Next
a zvolit či upřesnit libovolné parametry.
Tip: Pokud chcete využít funkci sledování zpráv a vyhledat konkrétní zprávy pomocí Exchange
Management Shellu, máte k dispozici komandlet Get-MessageTrackingLog.
Obvykle tok zpráv v organizaci prostě funguje; avšak na bedrech vás, jakožto administrátorů Exchange, leží kromě jiného také povinnost sledovat fronty zpráv v organizaci Exchange. A v tuto chvíli přichází ke slovu Queue Viewer. Pomocí tohoto prohlížeče, jenž je nyní
nástrojem v Exchange, a lze jej tedy nalézt v pracovním centru Toolbox v Exchange Management Console, můžete sledovat informace o frontách a zkoumat zprávy v nich.
Exchange Server 2007 používá pět různých typů front a směrování zprávy určuje typ
fronty, kam se konkrétní zpráva uloží. V následujících odstavcích si ukážeme všech pět
typů zpráv:
K1525.indd 264
27.3.2008 9:14:31
265
Obrázek 6.33 Výpis existujících zpráv podle vyhledávacích podmínek
KAPITOLA 6
Fronta Submission je trvalá fronta, kterou používá třídič (categorizer) ke shromáždění
zpráv, u nichž je potřeba rozhodnout o dalším průběhu, nasměrovat je a zpracovat transportními agenty. Každá zpráva, kterou třídič obdrží, je součástí transportu Exchange.
Třídič zpracovává všechny příchozí zprávy a podle informací o zamýšlených příjemcích
také určuje, co se má se zprávami provést. Všechny zprávy, které přijdou na transportní
server, vstupují do zpracování skrze frontu Submission. Vkládají se zprávy přijaté přes
SMTP, načtené z adresáře Pickup nebo z komponenty Store driver. Třídič načítá zprávy
z této fronty a mezi jinými také určuje místo příjemce a cestu k tomuto místu. Po roztřídění se zpráva přesouvá do doručovací fronty nebo do fronty nedoručitelných zpráv.
Každý transportní server Exchange 2007 má jen jednu frontu Submission. Zprávy nacházející se ve frontě Submission nemohou být v tomtéž okamžiku v žádné jiné frontě.
Hub Transport
Fronta Submission
Fronta Mailbox Delivery
Fronty Mailbox Delivery obsahují zprávy, které jsou pomocí šifrovaného volání procedury Exchange aktuálně doručovány na poštovní server. Fronty Mailbox Delivery existují pouze na serverech Hub Transport. Ve frontě Mailbox Delivery jsou zprávy mířící
do schránek příjemců, jejichž poštovní data jsou uložena na poštovním serveru, jenž
není na téže síti. Na jednom Hub Transport serveru může existovat více než jedna fronta Mailbox Delivery. Dalším krokem pro zprávy ve frontě Mailbox Delivery je rozeznání
názvu úložiště poštovních schránek.
K1525.indd 265
27.3.2008 9:14:32
266
Fronta Remote Delivery
Fronty Remote Delivery obsahují zprávy doručované na vzdálený server skrze protokol SMTP. Fronty Remote Delivery mohou existovat na serverech Hub Transport i Edge
Transport a na každém z nich může být více takových front. Každá fronta Remote Delivery obsahuje zprávy směrované na příjemce se stejnou cílovou destinací. Na Hub Transport serveru jde o místa mimo síť Active Directory, v němž se tento server nalézá. Fronty Remote Delivery se vytvářejí dynamicky podle potřeby a automaticky se ze serveru
mažou, když už v nich nejsou zprávy a vyprší jim doba platnosti. Tuto dobu lze nastavit. Ve výchozím nastavení se fronta smaže tři minuty poté, co poslední zpráva opustí
frontu. Další informací pro zprávy ve frontě Remote Delivery je doménový název SMTP,
název serveru smart host, adresa IP nebo název sítě Active Directory.
Fronta Poison Message
Fronta Poison Message je speciálním druhem fronty, která slouží k izolaci zpráv detekovaných po selhání serveru jako potenciálně nebezpečné pro systém Exchange 2007.
Zprávy obsahující potenciálně fatální chyby pro systém Exchange Serveru jsou doručeny do fronty Poison Message. Tato fronta je obvykle prázdná a jestliže neexistuje žádná
nebezpečná zpráva, fronta se neobjevuje v rozhraních prohlížečů front. Fronta Poisson
Message je vždy v pohotovosti. Ve výchozím nastavení se všechny zprávy v této frontě
odkládají. Ohodnotíte-li zprávy jako nebezpečné pro systém, lze je smazat. Zjistíte-li, že
umístění zprávy ve frontě Poison Message nesouvisí se zprávou samotnou, lze zopakovat odeslání. V takovém případě přechází zpráva do fronty Submission.
Fronta Unreachable
Fronta Unreachable obsahuje zprávy, které nelze přesměrovat do určeného cíle. Obvykle
je nedosažitelný cíl zapříčiněn změnami v konfiguraci, které způsobily změny v cestě pro
směrování do cíle. Bez ohledu na cíl se v této frontě nacházejí všechny zprávy s nedostupnými adresáty. Každý transportní server má pouze jednu frontu Unreachable.
Jakmile se zpráva dostane do transportu, vznikne položka pošty a uloží se do databáze fronty.
Tip: V Exchange Serveru 2007 se fronty zpráv ukládají do databáze ESE, což je odlišné od starších
verzí Exchange, kde se zprávy (soubory .EML) ukládaly do složky fronty v systému NTFS.
Jakmile dojde k uložení položek pošty do databáze fronty, dostanou jedinečný identifikátor. Jestliže je určitá zpráva směrována či odesílána na více příjemců, může mít více
než jeden cíl. Každá taková destinace představuje samostatné směrovací řešení této zprávy a každé takové řešení vyvolává založení směrované položky pošty. Zpráva, jež míří
k příjemcům ve dvou různých doménách, se jeví jako dvě samostatné zprávy v doručovacích frontách, i když v databázi existuje pouze jediná transportní položka pošty.
Prohlížeč Queue Viewer otevřete takto:
2. Klepněte na pracovní centrum Toolbox.
K1525.indd 266
27.3.2008 9:14:32
267
3. Klepněte na ikonu Queue Viewer a v podokně Action zvolte příkaz Open
Tool.
Jestliže jste otevřeli Queue Viewer na Hub Transport serveru, připojí se na začátku na
lokální frontu. Chcete-li se připojit do fronty na jiném Hub Transport serveru, klepněte
v podokně Action na odkaz Connect to Server (viz obr. 6.34).
KAPITOLA 6
V prohlížeči Queue Viewer lze prohlížet fronty a zprávy, a také zprávy pozastavit a znovu poslat dál. Kromě toho můžete zprávu či frontu znovu odeslat, odstranit úplně nebo
frontu či zprávu exportovat, aby bylo možné ji přenést na jiný Hub Transport server
k následnému doručení.
Hub Transport
Obrázek 6.34 Nástroj Queue Viewer
Tip: Chcete-li prohlížet či pracovat s frontami zpráv či s jednotlivými zprávami v Exchange Management Shellu, použijte komandlety Get-Queue a Get-Message.
Máte-li ve své organizaci problémy s tokem pošty, můžete vyzkoušet novinku – Exchange Mail Flow Troubleshooter. Tento diagnostický nástroj nabízí následující funkce:

K1525.indd 267
Na základě příznaků z toku pošty provádí uživatele správnou cestou pro řešení
problémů.
Poskytuje snadný přístup k různým datovým zdrojům, potřebným pro řešení
problémů s tokem pošty.
Automaticky analyzuje získaná data a předkládá rozbor možných hlavních příčin.
Navrhuje nápravné akce.
27.3.2008 9:14:33
268
Nabízí uživatelům pomoc při ručním zkoumání dat tam, kde automatizace není
možná.
Exchange Mail Flow Troubleshooter otevřete tímto způsobem:

2. Klepněte na pracovní centrum Toolbox.
3. Klepněte na ikonu Exchange Mail Flow Troubleshooter a v podokně Action
zvolte příkaz Open Tool.
Nástroj po otevření ověří, zdali nejsou na webu Microsoft.com aktualizace, a pak otevře úvodní obrazovku. Pak musíte zadat identifikační název pro analýzu, kterou chcete
provádět, a říci, jaké příznaky vidíte. Jak ukazuje obrázek 6.35, máte na výběr ze šesti
různých symptomů, a v závislosti na tom, který vyberete, nástroj programově provede
sadu průzkumných kroků a zkusí nalézt hlavní příčinu vašeho problému s tokem pošty.
Nástroj automaticky určí, jakou množinu dat potřebuje na vyřešení nalezených problémů a shromáždí data konfigurace, indikátory výkonu, protokoly událostí a informace ze
živého sledování z Exchange serveru i z dalších příslušných zdrojů. Nástroj zanalyzuje
každý podsystém, snaží se nalézt jednotlivá úzká hrdla a chyby v komponentách a poté
informace seskupí a nabídne analýzu hlavní příčiny.
Obrázek 6.35 Nástroj Exchange Mail Flow Troubleshooter
K1525.indd 268
27.3.2008 9:14:33
269
Nastavení Hub Transport Serveru jako
transportního serveru do Internetu
Jedním z cílů návrhu Exchange 2007 byla ve výchozím stavu co nejvyšší bezpečnost, což
odpovídá konfiguraci Hub Transport serveru, aby přijímal pouze zprávy od interních
uživatelů Exchange, serverů Exchange a starších serverů Exchange. To znamená, že Hub
Transport server nepřijímá zprávy přicházející od neautentizovaných (nedůvěryhodných)
poštovních serverů, což jsou obvykle externí poštovní servery v Internetu. Namísto toho
očekává příjem zpráv z Internetu skrze Edge Transport server v demilitarizované zóně.
Jste-li administrátory Exchange v malé organizaci či primárně poskytujete konzultace malým
obchodníkům, je možné, že vám jejich rozpočet na IT zabrání při přechodu na Exchange
Server 2007 nainstalovat do demilitarizované zóny Edge Transport server (obzvláště když
bude prostředí tvořeno jediným serverem Exchange 2007). Naštěstí je velmi snadné toto
chování změnit, neboť musíte pouze povolit doručování zpráv od nedůvěryhodných serverů na Hub Transport server. K tomu je potřeba zaškrtnout volbu Anonymous users
na záložce Permission Groups pro výchozí přijímací konektor.
Na tuto stránku vlastností se dostanete tímto způsobem:
2. Otevřete pracovní centrum Server Configuration a zvolte Hub Transport.
KAPITOLA 6
Hub Transport
3. Označte v podokně Result odpovídající Hub Transport server, jak ukazuje obrázek 6.36.
Obrázek 6.36 Výchozí přijímací konektor v Exchange Management Console
K1525.indd 269
27.3.2008 9:14:34
270
4. V podokně Work otevřete stránku vlastností výchozího přijímacího konektoru s příslušným názvem serveru.
5. Klepněte na záložku Permission Groups, zaškrtněte volbu Anonymous users
a klepněte na tlačítko OK (viz obr. 6.37).
Obrázek 6.37 Záložka Permission Groups na stránce vlastností výchozího přijímacího konektoru
Ačkoliv jsme zatím nemluvili o Edge Transport serveru, tato serverová role má také na
starosti veškeré dostupné funkce pro hygienu zpráv v Exchange Serveru 2007. Rozhodnete-li se neinstalovat ve své demilitarizované zóně Edge Transport server, patrně vás
bude zajímat, zdali je možné, aby se Hub Transport server vystavený do Internetu staral
o filtrování spamu a další nevyžádané pošty, než dorazí na vaše poštovní servery. Odpověď zní ano; avšak vzhledem k tomu, že ve výchozím stavu nejsou na Hub Transport
serveru nainstalováni žádní antispamoví filtrovací agenti (protože produktová skupina
Exchange předpokládá, že nainstalujete v demilitarizované zóně Edge Transport server),
musíte je nainstalovat ručně spuštěním skriptu install-AntispamAgents.ps1, umístěného ve složce skriptů Exchange 2007. Jde o složku C:\Program Files\Microsoft\Exchange
Server. Skript spustíte následovně:
1. Otevřete Exchange Management Shell.
2. Napište CD “program files\microsoft\exchange server\\scripts“ a stiskněte klávesu Enter.
3. Příkazem .\install-AntispamAgents.ps1 a stiskem klávesy Enter spusťte skript
install-AntispamAgents.ps1, což ilustruje obrázek 6.38.
4. Restartujte službu Microsoft Exchange Transport.
5. Zavřete a znovu otevřete Exchange Management Console, aby se změna projevila v uživatelském rozhraní.
K1525.indd 270
27.3.2008 9:14:34
271
Obrázek 6.38 Instalace antispamových agentů na Hub Transport Server
KAPITOLA 6
Hub Transport
Nyní máme v uzlu Hub Transport v pracovním centru Organization Configuration
novou záložku Anti-spam, kterou ukazuje obrázek 6.39. Jak vidíte, je zde výpis veškerých antispamových filtrovacích agentů, které lze běžně nalézt na Edge Transport serveru. Podrobnější vysvětlení každého z nich obsahuje kapitola 7.
Obrázek 6.39 Seznam dostupných antispamových agentů
Je jasné, že toto řešení pouští veškeré spamy a ostatní nevyžádanou poštu do vaší interní sítě a teprve poté je odfiltruje, ale většina malých společností by měla být schopna
s tím žít. Pokud ne, můžete zvážit využití služby pro hygienu pošty jako je Exchange
Hosted Services (EHS), která nenabízí pouze efektivní filtr spamů, ale také ochranu
před viry a další zajímavé služby. O EHS se dočtete více na stránce http://www.microsoft.com/
exchange/services.
K1525.indd 271
27.3.2008 9:14:35
272
Změna odezvy pro SMTP
Další věc, kterou možná budete chtít provést v situaci, kdy příchozí zprávy putují přímo
na Hub Transport server, je změna doménového názvu FQDN, odeslaného v odpověď
na příkazy HELO/EHLO v protokolu SMTP. Lze to provést na záložce General na stránce vlastností přijímacího konektoru, jak dokládá obrázek 6.40.
Obrázek 6.40 Záložka General na stránce vlastností výchozího přijímacího konektoru
Zákaz služby EdgeSync
Vzhledem k tomu, že v situaci, kdy nemáte ve své demilitarizované zóně nainstalován
Edge Transport server, nepoužívá se Hub Transport serveru služba EdgeSync, je také
dobré tuto službu vypnout (viz obr. 6.41) a ušetřit tak určité množství systémových zdrojů. Tato služba pouze běží, nereplikuje se na Edge Transport server a její skutečná spotřeba paměti je bezmála 30 MB.
Nasměrování záznamu MX na Hub Transport Server
Poslední věcí, kterou musíte udělat, je nasměrovat záznam MX pro vaši doménu na Hub
Transport server. Postup se liší podle vaší konkrétní situace, ale obvykle je nutné přesměrovat na firewallu port 25 na adresu IP Hub Transport serveru. Jestliže je vaše poštovní
prostředí připojeno na Internet prostřednictvím Serveru ISA 2006, je k tomuto úkolu
určena záložka To na stránce vlastností Inbound SMTP, jak je vidět na obrázku 6.42.
Ztracené funkce
Budou-li vaše příchozí zprávy postupovat přímo na Hub Transport server namísto běžné
praxe s Edge Transport serverem v demilitarizované zóně, má to několik nevýhod.
K1525.indd 272
27.3.2008 9:14:35
273
KAPITOLA 6
Hub Transport
Obrázek 6.41 Zákaz služby EdgeSync
Obrázek 6.42 Přesměrování příchozí pošty na ISA Serveru 2006
K1525.indd 273
27.3.2008 9:14:36
274
Filtr příloh
Ačkoliv Hub Transport server obsahuje několik funkcí pro přílohy, nebudete mít možnost skenovat příchozí proud MIME na nebezpečené typy příloh a odmítnout je ve vrstvě protokolu. Tuto funkcionalitu však lze na Hub Transport Server přidat, když nainstalujete některý antivirový produkt, kupříkladu Microsoft Forefront for Exchange
Server.
Agent pro přepis adres
Dále nebudete mít možnost využít funkci přepisu adres, protože agenta Address Rewrite lze nainstalovat pouze na Edge Transport server. Vysvětlení této funkce je nad rámec
této kapitoly. Podrobnosti naleznete v kapitole 7.
Shrnutí
V této kapitole jsme začali krátkým pohledem na změny v oblasti směrování zpráv a architektury v Exchange Serveru 2007. Pak jsme prošli nastavení Hub Transport serveru. Poté
jsme probrali, jak lze vytvořit pravidla pro deník a transport, aby vaše organizace mohla
dostát narůstajícím požadavkům legislativy a průmyslu a být v souladu s příslušnými
požadavky. Vysvětlili jsme si účel odesílacích a přijímacích konektorů a jak nastavovat
limity velikosti zpráv ve vaší organizaci. Kromě toho jsme si ukázali různé nástroje pro
transportní servery, jako je Message Tracking, Queue Viewer a Exchange Mail Flow Troubleshooter. Na závěr jsme prošli kroky nezbytné pro nastavení Hub Transport serveru
jako transportního serveru pro Internet ve vaší organizaci.
Řešení ve zkratce
Architektura přenosu zpráv a směrování v Exchange 2007
; V oblasti architektury a směrování došlo v Exchange Serveru 2007 k výrazným
změnám. V první řadě už Exchange nepoužívá oproti dřívějším verzím produktu
protokol SMTP integrovaný v Internetové informační službě (IIS). Namísto toho
přepsala produktová skupina Exchange balík transportu přes SMTP do řízeného
kódu a výsledkem je mnohem stabilnější a bezpečnější protokol.
; Nový transportní balík SMTP je nyní znám jako služba Microsoft Exchange Transport (MSExchangeTransport.exe), a protože již nezávisí na IIS, není již také v IIS
Manageru.
; V Exchange Serveru 2007 již směrovací topologie nevychází ze samostatných
směrovacích skupin Exchange. Exchange 2007 namísto toho využívá existující
topologie v Active Directory. Vzhledem k tomu, že Exchange 2007 nyní závisí na
síti Active Directory – to znamená, že Hub Transport servery používají síť Active Directory i náročnost přiřazenou linkám v IP síti Active Directory, aby zjistily
nejméně náročnou směrovací dráhu na ostatní Hub Transport servery v organizaci – veškeré sítě s jedním či více servery Mailbox musí také obsahovat alespoň
jeden Hub Transport server.
K1525.indd 274
27.3.2008 9:14:36
275
; Nezapomeňte, že servery Mailbox a Hub Transport používají pro vzájemnou
komunikaci RPC, avšak dva Hub Transport servery při vzájemné výměně zpráv
používají SMTP/TLS.
; Exchange Server 2007 již nezávisí na aktualizaci stavu linek (Link State).
K1525.indd 275
KAPITOLA 6
; Veškerá nastavení Hub Transport serverů pro celou organizaci se ukládají v Active Directory. To znamená, že všechny změny nebo konfigurace, kromě specifických nastavení přijímacího konektoru, se odrazí na všech Hub Transport serverech v organizaci.
; Nastavujete-li vzdálenou doménu, lze ovládat tok pošty přesněji, určovat formátování a pravidla pro poštu a zadat znakové sady, které mohou ve zprávách přijímaných a odesílaných ze vzdálené domény být.
; Na záložce Accepted Domains zadáváme domény SMTP, pro která má být naše
organizace Exchange 2007 autoritou, má přenášet zprávy (relay) na e-mailový
server v jiné doménové struktuře Active Directory v organizaci nebo je přenášet
na e-mailový server vně příslušné organizace Exchange.
; Pravidla pro e-mailové adresy byla v Exchange 2000 a 2003 známá jako pravidla
pro příjemce. Pravidla pro adresy v Exchange definují adresy proxy vložené do
objektů příjemců v organizaci Exchange.
; Se zvyšující se komplexností vládních a průmyslových regulací stále vzrůstá potřeba efektivní správy vnitřního směrování zpráv. Exchange 2007, či přesněji serverová role Hub Transport, nyní obsahuje nového agenta pro pravidla přenosu,
který nabízí snadný a pružný způsob, jak nastavit pravidla pro vnitřní směrování
zpráv a restrikci obsahu v organizaci Exchange.
; Exchange Server 2007 nabízí deník ve verzi Standard a Premium (pro Premium je
potřeba mít licence Exchange 2007 Enterprise CAL). Standardní deník se podobá
funkcím deníku v Exchange 2003, neboť zapisuje údaje pro jednotlivé databáze
poštovních schránek. Prémiový deník je součástí Hub Transport serveru fungující
na základě nového agenta deníku, kterého lze nastavit, aby vyhovoval specifickým
potřebám organizace. Prémiový deník umožňuje vytvořit pravidla deníku pro jednotlivé příjemce s poštovními schránkami či pro celé skupiny v organizaci.
; Odesílací konektory slouží k řízení odesílání zpráv Hub Transport servery pomocí protokolu SMTP a způsobu, jak se Hub Transport server spojuje s ostatními
e-mailovými servery. To znamená, že má-li Hub Transport server úspěšně posunout zprávy na jejich cestě do cíle o další krok, potřebuje odesílací konektor.
; Přijímací konektor naslouchá pouze spojením, která vyhovují nastavení zadanému pro tento konektor. Tedy spojením, která přicházejí skrze konkrétní adresu IP
a port a z konkrétního intervalu adres IP. Přijímací konektory jsou pro Hub Transport server, na němž byly založeny, lokální. To znamená, že přijímací konektor
vytvořený na jednom Hub Transport serveru nelze použít na jiném Hub Transport serveru v organizaci.
Hub Transport
27.3.2008 9:14:36
276
Správa velikosti zpráv a limitů pro příjemce
; Podobně jako předchozí verze Exchange i Exchange 2007 umožňuje omezit velikost zpráv, které uživatelé smějí odesílat a přijímat. Limit velikosti zpráv může
být nastaven globálně v celé organizaci nebo na úrovni jednotlivého serveru,
konektoru či pro jednotlivé uživatele. Omezení velikosti a limit počtu příjemců
lze nastavit pouze v Exchange Management Shellu.
; Je-li povoleno sledování zpráv, zaznamenává se veškerá přenosová aktivita v protokolu Simple Mail Transfer (SMTP) pro všechny zprávy putující na počítač či
z počítače, na němž je Exchange 2007 s nainstalovanou serverovou rolí Hub
Transport, Mailbox či Edge Transport, do protokolu, jenž se ve výchozím nastavení nalézá v adresáři C:\Program Files\Microsoft\Exchange Server\TransportRoles\Logs\MessageTracking. Protokoly sledování zpráv lze použít v soudních
sporech, v analýzách toku pošty, v sestavách a při řešení problémů.
; Je-li sledování zpráv povoleno (což je výchozí nastavení), nejstarší soubory protokolů sledování zpráv mají 30 dní. Po třiceti dnech se nejstarší protokoly sledování zpráv smažou metodou cirkulárního zápisu protokolů.
; Adresář MessageTracking, jenž je úložištěm souborů s protokoly sledování zpráv,
má výchozí limit velikosti 250 MB.
; Nástroj Message Tracking naleznete v pracovním centru Toolbox.
; Pomocí prohlížeče Queue Viewer, jenž je nyní nástrojem v Exchange, a lze jej tedy
nalézt v pracovním centru Toolbox v Exchange Management Console, můžete
sledovat informace o frontách a zkoumat zprávy v nich.
; Exchange Server 2007 používá pět různých typů front a směrování zprávy určuje
typ fronty, kam se konkrétní zpráva uloží.
; V Exchange Serveru 2007 se fronty zpráv ukládají do databáze ESE, což je odlišné od starších verzí Exchange, kde se zprávy (soubory .EML) ukládaly do složky
fronty v systému NTFS.
; Máte-li ve své organizaci problémy s tokem pošty, můžete vyzkoušet novinku
– Exchange Mail Flow Troubleshooter. Nejprve je potřeba do tohoto diagnostického nástroje zadat příznaky a poté nástroj provede uživatele správnou cestou
pro řešení problémů a nabídne pohodlný přístup k různým datovým zdrojům,
potřebným na vyřešení problémů s tokem pošty. V závislosti na získaných datech
nástroj zanalyzuje možné hlavní příčiny a navrhne potřebné nápravné akce.
; Jste-li administrátory Exchange v malé organizaci či primárně poskytujete konzultace malým obchodníkům, je možné, že vám jejich rozpočet na IT zabrání
při přechodu na Exchange Server 2007 nainstalovat do demilitarizované zóny
Edge Transport server (obzvláště když bude prostředí tvořeno jediným serverem
K1525.indd 276
27.3.2008 9:14:37
277
Exchange 2007). V takovém případě lze nastavit Hub Transport server, aby pro
vaši organizaci fungoval jako transportní server do Internetu.
; Ve výchozím stavu nejsou na Hub Transport serveru nainstalováni žádní antispamoví filtrovací agenti (protože produktová skupina Exchange předpokládá,
že nainstalujete v demilitarizované zóně Edge Transport server, což je nejlepší
postup). Chcete-li používat na Hub Transport serveru antispamové agenty, musíte
je nainstalovat ručně spuštěním skriptu install-AntispamAgents.ps1, umístěného
ve složce skriptů Exchange 2007, k níž vede ve výchozím nastavení cesta C:\Program Files\Microsoft\Exchange Server.
Časté dotazy
Následující časté dotazy spolu s odpověďmi od autorů této knihy mají sloužit jednak k tomu,
abyste si ověřili, že chápete principy popsané v této kapitole, a také vám pomoci při skutečné implementaci těchto postupů. Chcete-li položit autorovi této kapitoly otázku, přejděte na
stránku www.syngress.com/solutions a klepněte na formulář „Ask the Author“.
Otázka: Jaký protokol se používá při výměně zpráv mezi dvěma vnitřními Hub Transport servery?
Odpověď: Když Hub Transport server komunikuje s poštovním serverem, používá šifrované RPC. Opět tak není možné komunikaci odposlouchávat.
Otázka: Neexistuje nějaká možnost, jak použít antispamové agenty Exchange 2007, když
neinstaluji do demilitarizované zóny své organizace Edge Transport server?
KAPITOLA 6
Otázka: Jaký protokol se používá, když Hub Transport doručuje zprávu do poštovní
schránky na nějakém poštovním serveru?
Hub Transport
Odpověď: Hub Transport servery používají pro vnitřní výměnu zpráv bezpečný protokol SMTP. Používají průmyslový standard SMTP Transport Layer Security (TLS), takže
veškerá komunikace mezi Hub Transport servery je autentizovaná a šifrovaná. Tím
je vyloučena možnost vnitřního odposlechu.
Odpověď: Ano, antispamové agenty můžete nainstalovat na Hub Transport server spuštěním skriptu install-AntispamAgents.ps1, umístěného ve složce skriptů Exchange 2007,
k níž vede ve výchozím nastavení cesta C:\Program Files\Microsoft\Exchange Server.
Otázka: Nainstaloval jsem do své organizace Exchange 2007, ale nepřichází mi zprávy
z Internetu. Proč?
Odpověď: Jedním z cílů návrhu Exchange 2007 byla ve výchozím stavu co nejvyšší bezpečnost, což odpovídá kupříkladu konfiguraci Hub Transport serveru, aby přijímal
pouze zprávy od interních uživatelů Exchange, serverů Exchange a starších serverů Exchange. To znamená, že Hub Transport server nepřijímá zprávy přicházející
od neautentizovaných (nedůvěryhodných) poštovních serverů, což jsou obvykle
externí poštovní servery v Internetu. Namísto toho očekává příjem zpráv z Internetu skrze Edge Transport server v demilitarizované zóně. Abyste mohli přijímat příchozí zprávy z poštovních serverů na Internetu, musíte povolit anonymní uživatele
(Anonymous users) na záložce Permission Group na stránce vlastností výchozího
přijímacího konektoru na příslušném serveru.
K1525.indd 277
27.3.2008 9:14:37
278
Otázka: V Exchange Server 2007 Management Console nevidím žádné směrovací skupiny (Routing Groups). Jak je to možné?
Odpověď: Směrovací skupiny byly v Exchange 2007 zrušeny. Namísto toho využívá
Exchange 2007 existující topologie sítě Active Directory.
Otázka: S přihlédnutím k tomu, že Hub Transport server používá protokol SMTP na
výměnu zpráv s interními transportními servery a s dalšími poštovními servery na
Internetu, nechápu, proč nemám před instalací serverové role Exchange 2007 Hub
Transport nainstalovat komponentu IIS SMTP.
Odpověď: Oproti předchozím verzím produktu již Exchange 2007 nepoužívá balík protokolu SMTP integrovaný v Internetové informační službě (IIS). Produktová skupina
Exchange namísto toho přepsala transportní balík SMTP do řízeného kódu, což vede
k mnohem stabilnějšímu a bezpečnějšímu protokolu.
K1525.indd 278
27.3.2008 9:14:37

Ukázková kapitola 6

Transkript

Podobné dokumenty

Newsletter

Seznámení se systémem GP webpay

Stáhnout - Renault

NetEnforcer

Začínáme s IGss

Pay MUZO - forum.privet.cz

Bayesovské síte: pravdepodobnostní inference a aplikace