12.08.2010

Exchange Server 2010 Edge Server и Microsoft Threat Management Gateway

image

Для повышения уровня безопасности в среде Exchange Server 2010 вы можете использовать Edge Transport Server, установленный в демилитаризованной зоне (DMZ) либо в сети периметра.

Автор: Алексей Богомолов

Для повышения уровня безопасности в среде Exchange Server 2010 вы можете использовать Edge Transport Server, установленный в демилитаризованной зоне (DMZ) либо в сети периметра. По умолчанию в Edge Transport Server включена функция фильтрации спама, а после установки Forefront Protection for Exchange на Edge Transport Server вы также включаете и антивирусную защиту.

Письма из Интернета принимаются серверами Edge Transport, на них отсеиваются письма, содержащие вирусы и спам, а затем результаты пересылаются серверам Hub Transport, расположенным во внутренней сети предприятия.

Сервера с ролью Client Access располагаются во внутренней сети предприятия и предоставляют пользователям доступ к их почтовым ящикам. Локализация Client Access серверов не поддерживается. Более подробную информацию, касающуюся CAS серверов и DMZ можно получить на сайте Exchange Team — http://msexchangeteam.com/archive/2009/10/21/452929.aspx

Вы можете использовать Microsoft ISA Server 2006 в DMZ и ISA сервер может «публиковать» службы Exchange, такие как OWA, Outlook Anywhere или ActiveSync, но невозможно объединить ISA сервер и Edge Transport на одном физическом сервере, не говоря уже о Forefront Protection for Exchange.

Threat Management Gateway (TMG)

Forefront Threat Management Gateway (TMG) 2010 это приемник ISA 2006, он содержит много компонентов, которые будут интересны администраторам Exchange. Одно из таких улучшений состоит в том, что теперь вы можете устанавливать Edge Server, TMG и Forefront Protection for Exchange на один (физический) сервер.

Рис.1: Edge Server, TMG и Forefront Protection for Exchange на одном сервере.

Очевидно, что преимущество этого решения состоит в том, что вам нужен только один физический сервер. Таким образом, вы сохраните дополнительные лицензии на Windows, но не нужно забывать, что вам потребует более мощный сервер с дополнительным питанием и охлаждением.

Чтобы установить комбинацию Edge Server, Forefront Protection for Exchange и Threat Management Gateway, необходимо сделать следующие шаги:

  1. Установить Windows Server 2008 R2
  2. Установить Active Directory Lightweight Directory Services (LDS)
  3. Установить Exchange 2010 Edge Transport Server
  4. Установить Forefront Protection for Exchange
  5. Установить Forefront Threat Management Gateway

Windows Server 2008 R2

Первый шаг состоит в том, чтобы установить Windows Server 2008 R2. Это сервер на базе платформы x64, который, естественно, необходим для Exchange Server 2010. Но, кстати, TMG тоже 64-битное приложение, в то время как ISA сервер устанавливался на 32-х битную систему.

После установки Windows Server 2008 R2 убедитесь, что сервер подключен как к внешней сети Интернет, так и к внутренней сети предприятия. После установки сервера необходимо настроить его внутренние и внешние сетевые параметры. Не забудьте установить последние обновления.

Установка Edge Transport Server

Чтобы установить компоненты, необходимые для Exchange Server 2010 Edge Transport Server откройте консоль командной строки и перейдете в папку \Scripts установочного диска. Выполните следующую команду:

ServerManagerCmd.exe –InputPath Exchange-Edge.XML

Появится сообщение об ошибке, касающееся ServerManagerCmd. Хоть это и действительно так, но на этом шаге не стоит обращать на него внимание. Перезагрузите сервер, когда необходимое программное обеспечение будет установлено.

Установка Edge Transport Server может быть выполнена при помощи графической консоли. Management Tools (средства управления) будут установлены автоматически.

После установки Edge Transport сервер, пришло время установить службу EdgeSync. EdgeSync Service отвечает за синхронизацию информации между Hub Transport Server и Edge Transport Server. Для настройки Edge Synchronization на сервере Edge Transport, откройте консоль управления Exchange (Exchange Management Shell) и выполните следующую команду:

New-EdgeSubscription –FileName C:\Edge-TMG.XML

Далее скопируйте полученный Edge-TMG.XML файл на внутренний Hub Transport сервер и импортируйте его. После импорта может быть запущенна синхронизация. Чтобы выполнить эти действия, зайдите на Hub Transport сервер, откройте консоль управления Exchange и выполните следующую команду:

$Temp = Get-Content -Path «C:\Edge-TMG.xml» -Encoding Byte -ReadCount 0

New-EdgeSubscription -FileData $Temp -Site «Default-First-Site»

Start-EdgeSynchronization

Убедитесь что результат выполнения команды Start-EdgeSynchronization успешен. Результат будет выведен в консоли:


Рис 2: Edge Synchronization успешно запущена.

После успешной настройки Edge Synchronization можно приступить к тестированию функционала SMTP и посмотреть, можете ли вы получать/отправлять письма со своего почтового ящика Exchange Server 2010 в/из Интернета. Если все хорошо, то перейдем к следующему шагу.

Установка Forefront Protection for Exchange (FPE)

Когда вы запускаете графическую установку Exchange 2010, то на заставке, самая последняя опция – это «Install Microsoft Forefront Protection 2010 for Exchange Server».


Рис 3: Заставка установки Exchange.

Если вы выберете эту опцию, то будете перенаправлены на сайт Microsoft, где сможете скачать FPE. После закачки запустите ForefrontExchangeSetup.exe. Пройдите по шагам мастера и установите Forefront Protection for Exchange. На странице настройки анти-спама (Anti spam Configuration) выберите «Enable anti-spam» later.

Примечание: Если мы сейчас включим функцию анти-спама, то позже, она не будет включена автоматически при установке TMG.

После установки не выбирайте «Launch the Forefront Online Protection for Exchange Gateway installation program». Нажмите Finish для выхода из программы установки.

Примечание: Опция Launch the Forefront Online Protection for Exchange Gateway installation program — это опция относится к FOPE продукту. FOPE — это решение на основе компьютерного облака по обеспечению защиты от спама, вредоносного ПО и соответствия требованиям политики электронной почты.

В консоли администрирования вы увидите, что модули сканирования сразу не обновились.


Figure 4: Сразу модули сканирования не обновлены.

По истечении некоторого времени (около 15 минут), вы получите сообщение, что модули обновлены, и желтый знак восклицания сменится на зеленую галочку.

Устанавливаем Forefront Threat Management Gateway

Последний и наиболее интересный шаг – это установка Threat Management Gateway (TMG) на только что установленный Edge Transport Server. Вставьте установочный диск и запустите инсталляцию. Вы увидите графическую заставку:

Figure 5: окно установки TMG (standard edition)

Выберите «Run Preparation Tool», чтобы установить необходимое программное обеспечение. Следуйте по шагам Forefront TMG Preparation Tool визарда. Выберите опцию «Forefront TMG Services and Management», чтобы установить утилиты управления и службы TMG.


Рис 6: Выбор «Forefront TMG services and Management»

Необходимое программное обеспечение будет автоматически установлено и после завершения инсталляции можно будет сразу запустить визард установки TMG.


Рис 7: Запуск установки Forefront TMG

Нажмите Finish и установка начнется автоматически. Следуйте шагам мастера, примите лицензионное соглашение и введите имя пользователя, название организации и серийный номер. Продолжайте установку, пока не дойдете до настройки параметров внутренней сети. На моем тестовом оборудовании есть 2 сети. Публичная сеть, которая соединена с интернетом и частная (внутренняя) сеть. Exchange сервер подключен к этой сети.


Рис 8: Выберите внутреннюю (частную) сеть

Нажмите Next, чтобы продолжить установку TMG на сервер. Инсталляция займет некоторое время.


Рис 9: Нужно приблизительно 19 минут, чтобы установить TMG на Edge Server.

После окончания установки нажмите Finish. Также, вы можете поставить галочку напротив «Launch Forefront TMG Management when the wizard closes» и консоль управления будет открыта автоматически.


Рис. 10

Теперь TMG сервер установлен поверх сервера Edge Transport. В результате этого, Hub Transport сервер, который раньше работал с данным Edge Transport сервером прекратит свою работу. Все потому, что TMG – это firewall и соответственно он должен быть настроен, прежде чем работать дальше.

В следующих статьях мы поговорим о различных комбинациях Edge Server, Forefront Protection for Exchange и Threat Management Gateway.

или введите имя

CAPTCHA
123
14-08-2010 18:59:24
гуй инсталятора убог и монструозен... впрочем как и все остальное от мс
0 |
41205
16-08-2010 09:13:56
Не нравится, не пользуйся, не пользуешься, сиди молчи, если нечего по теме сказать...
0 |
Гость
16-08-2010 19:31:50
Как жестко. Не нравится, что написал первый комментатор - "сиди и молчи, если нечего по теме сказать".
0 |
Алекс
11-06-2011 15:49:00
не хорошо чужой перевод за свой выдавать
0 |
lexx
22-12-2011 10:54:08
вы все говно, а статья гуд
0 |
Ельдар
23-11-2012 06:21:53
гуд! спасибо!
0 |
Euvgen
21-08-2014 19:28:47
Спасибо за вашу статью. Некоторые полезные команды. Кому то может очень круто облегчить жизнь http://so4net.com/index.php/ru/blog/111-antispam-edge-exchange
0 |