Вопрос: Я хочу использовать безопасный протокол SMTP. Как мне настроить Exchange Server на прослушивание порта 465 по протоколу SMTP?
Ответ: К сожалению, это невозможно. Любой виртуальный SMTP-сервер или соединитель получения можно настроить на прослушивание порта 465, однако это не приблизит вас к достижению конечной цели — использованию безопасного протокола SMTP (SMTPS).
Почему? Давайте немного подумаем. Существует два типа протоколов SSL: явные и неявные. Изначально в большинстве случаев связь по SSL-протоколов была неявной. Это означает, что для SSL использовался выделенный порт. Например, для протокола HTTP по умолчанию используется порт 80, а для HTTPS (HTTP с SSL) — порт 443. Так было до тех пор, пока несколько лет назад Интернет-сообщество не решило, что теперь для SSL не требуется выделенный порт. Так на свет появился явный SSL.
В качестве порта SMTPS для Netscape уже выбран порт 465, а Exchange Server не имел функциональных возможностей SSL в протоколе SMTP. Однако группа Exchange обратила внимание на преимущество явного протокола SSL (его могут использовать в равной мере и клиенты, и серверы) и приняла решение о поддержке явного SSL для SMTP.
В случае SMTP явный протокол SSL с помощью команды STARTTLS ESMTP сообщает о том, что существующий сокет становится безопасным. Подавляющее большинство других SMTP-серверов и производителей клиентов также используют команду STARTTLS, поэтому острой необходимости в поддержке порта 465, который к тому же не является официальным Интернет-стандартом, никогда не было.
До настоящего времени ни одна версия Exchange Server не поддерживала неявный протокол SSL для SMTP. И настройка соединителя получения Exchange или виртуального SMTP-сервера на прослушивание порта 465 нисколько не меняет эту ситуацию. В связи с этим возникает необходимость использования клиента, поддерживающего команду STARTTLS для порта 25. Если этот порт недоступен для использования, логика подсказывает, что следующим выбором должен стать порт 587 — стандартный порт для отправки сообщений клиентами по протоколу SMTP. В настоящее время осталось не так уж много клиентов, которые не поддерживают команду STARTTLS для порта 25, поэтому включать поддержку неявных SSL было необязательно.
Кстати, протоколы Exchange POP3 и IMAP4 всегда поддерживали неявный SSL. Но в Exchange Server 2007 для них добавлена еще и поддержка явного SSL. Однако в связи с тем, что этот новый стандарт поддерживают пока лишь немногие клиенты, неявный протокол SSL, скорее всего, не оставит своего лидирующего положения в обозримом будущем.
Вопрос: В моей очереди накопилось очень много сообщений для отправки в различные домены, но мои пользователи не отправили ни единого сообщения. Что происходит и каков выход из этой ситуации?
Ответ: Вы не первый, кто сталкивается с такой проблемой. Она может возникнуть у любого владельца Интернет-сервера. В общем случае ее появление может быть обусловлено двумя причинами. Во-первых, вы могли каким-либо образом открыть доступ к своему серверу для ретранслятора (см. support.microsoft.com/kb/304897). Но вы ведь не делали этого, не правда ли? (Открытые ретрансляторы отключаются по умолчанию, начиная еще с версии Exchange Server 2000.) Поэтому, скорее всего, вы имеете дело с так называемой нежелательной почтой, содержащей отчеты о недоставке. Отправители нежелательной почты часто отправляют нежелательные сообщения на несуществующие адреса вашего домена. Сервер предпринимает попытку уведомить отправителя, что данный пользователь не существует, однако указанный обратный адрес отправителя, конечно же, не является настоящим. Отправитель нежелательной почты может указать несуществующий обратный адрес (в этом случае отчет о недоставке может «зависнуть» на некоторое время, пока не истечет период ожидания) либо попытаться заставить ваш сервер отправить нежелательное сообщение в другой домен от своего имени в качестве вложения в сообщение о недоставке, созданное вашим сервером.
Вы можете отключить отчеты о недоставке, однако в этом случае, если существующий пользователь совершит опечатку и ошибочно отправит сообщение на ваш адрес, он не получит никакого уведомления об этом, и все его важные сообщения могут быть потеряны. Но не спешите огорчаться, есть более удачное решение.
Во-первых, убедитесь, что ваш сервер закрыт для ретрансляторов. (Я просто обязан напомнить вам об этом.) Затем активируйте доступную функцию защиты от нежелательной почты, например интеллектуальный фильтр сообщений (IMF) или фильтр содержимого Exchange Server 2007, а также несколько списков заблокированных адресов реального времени (RBL). Это можно сделать либо в роли пограничного транспортного сервера, либо в роли транспортного сервера-концентратора, но в любом случае как можно раньше, поскольку свыше 90 процентов всех сообщений электронной почты несут в себе нежелательную информацию, а загружать свой сервер всеми этими «непрошенными гостями» вам вряд ли захочется.
И последнее: активируйте фильтр получателей на первом сервере Exchange, который принимает сообщения, поступающие в вашу среду. Это позволит серверу отклонять сообщения до того, как они попадут в вашу сеть. При этом существующий отправитель, по ошибке отправивший сообщение не по тому адресу, получит отчет о недоставке; единственное отличие будет в том, что этот отчет генерируется сервером отправителя.
Вопрос: На одном моем сервере был установлен Exchange Server 2000, а на другом — Exchange Server 2003, и оба они отлично справлялись с отправкой почты в Интернет. Затем я установил Exchange Server 2007, и теперь почтовые ящики обоих серверов не могут отправлять сообщения.
Ответ: Если в прошлом вы имели дело только с одним Exchange Server, вы можете не знать всю специфику работы соединителей. Соединители Exchange — это объекты настройки логической маршрутизации, сообщающие серверу, куда следует направлять электронную почту. При внедрении Exchange Server 2007 в действующую организацию маршрутизация почты будет невозможна без соединителей групп маршрутизации и соединителя SMTP.
Вам понадобятся два соединителя групп маршрутизации: один для направления из группы маршрутизации Exchange Server 2007 в группу маршрутизации Exchange Server 2003 и наоборот. Эти соединители можно настроить в процессе установки, но если вы не уверены, что не пропустили соответствующий шаг, проверьте это с помощью командной консоли Exchange и при необходимости исправьте свое упущение. Если этого не сделать, обмен сообщениями между вашими серверами будет невозможен. Сообщения будут заканчивать свое существование в очередях с недопустимым адресатом.
Для маршрутизации Интернет-почты необходим всего один соединитель SMTP, также известный в Exchange Server 2007 как соединитель отправки. В Exchange Server 2000 и Exchange Server 2003 тоже использовался один соединитель, однако можно было обойтись и без него. Адресное пространство должно иметь вид SMTP:* для всех доменов, а для доставки почты можно указать использование либо промежуточных узлов, либо DNS. Вам нужно решить, хотите ли вы, чтобы сервер с Exchange Server 2007 или с одной из предыдущих версий обрабатывал всю исходящую Интернет-почту, или необходима установка Exchange Server 2007 для обеих групп маршрутизации, чтобы каждый сервер обрабатывал свою почту. Эти действия можно выполнить в ходе процесса Edgesync, если вы установили роль пограничного транспортного сервера.
Если вы уже успели поместить на виртуальный SMTP-сервер промежуточный узел, сейчас самое время удалить его. Промежуточный узел должен находиться на соединителе SMTP, но никак не на виртуальном сервере, поскольку это повредит соединитель группы маршрутизации.
Не следует также забывать о том, что входящие сообщения управляются вашей MX-записью либо IP-адресом, используемым для переадресации брандмауэром. Хотя Exchange и не требует сложной настройки, в следующем документе вы найдете всю необходимую информацию, если у вас вдруг возникнут какие-либо вопросы: msexchangeteam.com/archive/2006/11/17/431555.aspx.
Вопрос: Почему в Exchange Server 2007 я получаю несколько отчетов журнала для одного сообщения?
Ответ: Транспортный агент ведения журнала в Exchange Server 2007 заносит сообщения в журнал после их классификации. Существует множество причин, по которым классификатор может разветвлять сообщения (то есть копировать тело сообщения и каждой копии присваивать различные адреса получателей). Приведем пример. Поскольку функция ведения журнала теперь может сообщать вам принадлежность группы рассылки на момент отправки сообщения, одна из возможных причин получения множественных отчетов — это вложенные группы рассылки.
Такой избыток отчетов означает, что вы можете получить несколько копий одного сообщения, каждое с индивидуальным отчетом. Никакого надежного способа узнать, доставлены ли все отчеты для сообщения, нет, однако, если вы выполняете архивирование, вы можете обратиться к поставщику архива, чтобы убедиться, что в нем отражены все изменения.
Вопрос: Куда пропала функция переадресации неразрешенных сообщений на узел в Exchange Server 2007? И как мне без нее быть?
Ответ: Ее съела злая собака.
А если серьезно, эта функция никогда не отличалась надежностью в тех случаях, когда установлено более одного сервера Exchange Server. Но в Exchange всегда был альтернативный способ выполнения той же задачи, причем гораздо более эффективный. В частности, это возможность совместного использования индивидуальных доменов SMTP с другими системами. Таким образом, функция переадресации неразрешимых сообщений была упразднена, а идея совместного использования доменов выведена на первое место и упрощена. Просто зайдите в раздел Организация | Транспортный сервер-концентратор | Обслуживаемые домены в Exchange Server 2007 и измените тип домена с «Доверенный» на «Внутренний ретранслятор». Эта операция немного сложнее, чем в некоторых других средах, и в настоящее время мы работаем над усовершенствованием документации. Но она работает.
Вопрос: Я пытаюсь подготовить свой корневой домен к установке Exchange Server 2007. На сервере, с которого я хочу установить Exchange Server 2007, установлен диспетчер Exchange Server 2003, и при установке происходит сбой. В чем тут дело?
Ответ: Все очень просто. Выполнение любых шагов установки Exchange Server 2007 на машине, где установлены какие-либо компоненты Exchange Server 2000 или 2003, не поддерживается. Процесс установки Exchange Server 2007 обнаружит, что на компьютере установлен диспетчер Exchange Server 2003, и проверка предварительных условий не будет пройдена. Вы увидите сообщение «На этом компьютере уже установлена предыдущая версия Exchange Server. Запустите установку Exchange Server 2007 с другого компьютера или удалите предыдущую версию Exchange Server».
Наверное, самый простой способ решить эту проблему — это выполнить установку Exchange Server 2007 с другого сервера в корневом домене и таким образом подготовить свой домен. Если это трудноосуществимо, компонент Exchange Server 2003 придется удалить, в противном случае установка Exchange Server 2007 будет невозможна.
Помните, что для подготовки домена можно использовать 32-битную версию Exchange Server 2007, поэтому подойдет любой 32-битный сервер в корневом домене. Дополнительные сведения по этой теме см. в статье по адресу: technet.microsoft.com/library/bb232170.aspx.
Это также означает, что вы не можете установить диспетчер Exchange Server 2003 и консоль управления Exchange Server 2007 Exchange на одном компьютере, поскольку совместное существование средств управления Exchange Server 2003 и Exchange Server 2007 на одной машине не поддерживается. Установка Exchange Server 2007 будет прервана, если на машине, на которую вы пытаетесь установить эту версию, уже установлены какие-либо компоненты Exchange Server 2000 или 2003.
И, наконец, обратите внимание, что не следует пытаться установить на одной и той же машине средства управления Exchange Server 2007, а затем средства Exchange Server 2003. Это может привести к возникновению ситуации, которая не тестировалась, и, как следствие, получению неожиданных результатов при попытке управления серверами. Если вам приходится управлять двумя версиями сервера с одного компьютера, можно подключиться к одному из них с помощью удаленного рабочего стола либо использовать виртуальную машину для размещения другой версии средств управления в изолированной среде.
Вопрос: Когда уже наконец я смогу запустить средства управления Exchange Server 2007 на своей рабочей станции Windows Vista®?
Ответ: Официальная поддержка средств управления Exchange Server 2007 операционной системой Windows Vista имеется в выпуске Exchange Server 2007 с пакетом обновления 1 (SP1). Пакет, содержащий средства управления Exchange Server 2007 SP1, будет доступен для загрузки сразу после выхода данного выпуска.
Вопрос: А как насчет диспетчера Exchange Server 2003 на Windows Vista или Windows Server 2008? Смогу ли я использовать их?
Ответ: Нет, к сожалению, это невозможно. Средства управления для любой версии Exchange Server до Exchange Server 2007 SP1 не поддерживаются операционной системой Windows Vista или Windows Server 2008. Это означает, что даже после выхода Windows Server 2008 установка диспетчера Exchange Server 2003 на нем поддерживаться не будет. Управление серверами Exchange Server 2003 возможно только с Windows Server 2003 или рабочих станций Windows XP; альтернативный вариант — использовать подключение к удаленному рабочему столу с любой ОС.
Вопрос: В моем домене установлено несколько серверов Exchange Server 2003. Могу ли я обновить контроллеры домена до версии Windows Server 2008?
Ответ: Да, безусловно. Работа Exchange Server 2003 с пакетом обновления 2 (SP2) в домене с контроллерами Windows Server 2008 поддерживается. Пожалуйста, обратите внимание, что Exchange Server не может использовать контроллеры домена Windows Server 2008 с доступом только для чтения или серверы глобального каталога Windows Server 2008 с доступом только для чтения. Программирование вручную сервера Exchange Server на использование контроллеров домена или серверов глобального каталога Windows Server 2008 с доступом только для чтения может привести к непредвиденным последствиям.
Авторы: Нино Билич (Nino Bilic) и Скотт Лэндри (Scott Landry)
Взято с ноябрьского выпуска TechNet Magazine.