Смекни!
smekni.com

Комплексная защита типовой локальной вычислительной сети (стр. 9 из 12)

- управление службой каталога Microsoft Exchange Server;

- управление доступом к информации;

- предоставление структурированного архива документов и электронных сообщений;

- передачу и маршрутизацию сообщений - внутри и за пределы организации;

- контроль за состоянием серверов и соединений;

- синхронизацию каталогов на всех серверах во всех отделениях;

- управление репликацией и разрешение конфликтов репликации.

Административная программа

Программа Microsoft Exchange Administrator позволяет администраторам с одного места конфигурировать и управлять всей корпоративной системой - почтовыми ящиками пользователей, шлюзами и серверами, находящимися в любом филиале корпорации. Эта программа дает графическое представление всех компонентов системы в виде иерархической структуры, упрощая выполнение основных операций над группой ресурсов на каждом уровне структуры.

Каталог

Каталог, или адресная книга, Microsoft Exchange Server хранит всю доступную информацию о пользователях и ресурсах организации, включая почтовые ящики, списки рассылки, общие папки, серверы и т.д. Каталог автоматически распространяется на все серверы внутри отделения (Site) и может быть специально настроен для автоматической синхронизации с почтовыми отделениями на других серверах.

Каталог Microsoft Exchange гораздо больше, чем просто адресная книга. В нем может храниться полная информация о пользователях - адрес, телефон, должность и т.д., то есть каталог может использоваться как, например, телефонный справочник организации.

Хранилище информации

Хранилище информации Microsoft Exchange представляет собой структурированный архив для хранения информации, созданной пользователями. Это нереляционная база данных, разработанная для хранения разнородной информации (такой, как электронная почта, файлы вложений, графика, звук, видео), которая предоставляет быстрый доступ к этим данным. Администраторы имеют возможность:

- устанавливать ограничения на размер хранимых общих и личных папок;

- устанавливать временной лимит и автоматически удалять из хранилища устаревшую информацию;

- определять права доступа к общим папкам;

- тиражировать общие папки по заданному расписанию.

Хранилище информации состоит из двух баз данных: одна используется для хранения личных папок пользователя, другая - для общих папок. Механизм репликаций позволяет автоматически распространять информацию, хранимую в общих папках, на любые серверы Microsoft Exchange.

Личные папки хранят информацию, принадлежащую отдельным пользователям. Только владельцы этих папок могут делегировать права доступа к информации, хранимой в этих папках. Личные папки хранятся в компьютере, на котором установлен Microsoft Exchange Server, и управляются владельцем этой папки.

Общие папки являются ключевым компонентом Microsoft Exchange Server. Благодаря возможности тиражирования этих папок, пользователи имеют доступ к одной и той же информации, независимо от их местонахождения.

Администратор имеет множество средств управления процессом тиражирования. Он может, например, установить различные параметры: время, когда начинается тиражирование, какая информация должна распространяться по организации и т.д.

Агент передачи сообщений

Агент передачи сообщений (Message Transfer Agent - MTA) служит для маршрутизации и передачи данных на другие серверы и почтовые системы. Это - основа коммуникационной инфраструктуры Microsoft Exchange Server.

Агент передачи сообщений использует четыре компонента для передачи данных:

1. Site коннектор;

2. RAS (Remote Access Service) коннектор;

3. X.400 коннектор;

4. Internet Mail Connector;

5. Newsfeed.

Site коннектор -наиболее эффективный путь для соединения двух отделений (Sites, а точнее - двух MS Exchange серверов), легко настраиваемый и использующий любые сетевые протоколы. Однако для его применения требуется постоянное соединение с высокой скоростью, то есть соединение по сети или выделенный канал. RAS (Remote Access Service) коннектор - частный случай Site коннектора. Но вместо постоянного соединения для его настройки используется сервис удаленного доступа, то есть связь по асинхронным (телефонным) линиям. Такая связь может устанавливается по заданному расписанию.

X.400 коннектор соответствует стандартам X.400 Международного комитета по телефонии и телеграфии (МКТТ), опубликованным в 1984 и 1988 году. Обычно используется, когда необходима передача сообщений в общественные X.400 системы.

Internet Mail Connector позволяет пользователям обмениваться сообщениями с пользователями Internet. Internet Mail Connector поддерживает протоколы SMTP, POP3, IMAP4. Newsfeed – служба, поддерживающая протокол обмена новостями с сетью USENET по протоколу NNTP.

Internet Mail Connector также поддерживает стандарт Internet, известный как MIME (Multipurpose Internet Mail Extension), для передачи мультимедийных объектов, включая текстовые документы, PostScript* и бинарные файлы, графику, видео, голосовые сообщения и др. Кроме того, Internet Mail Connector поддерживает стандарты для передачи бинарных файлов вложений (Аttachments), использующих UUENCODE.

Internet Mail Connector можно настроить как SMTP клиент, как SMTP сервер или как и клиент, и сервер одновременно. Как сервер, он ожидает соединения с хостом SMTP для принятия сообщений. А как клиент, он инициирует связь с хостом SMTP для отправки исходящих сообщений.

Internet Mail Connector может функционировать как SMTP хост, выполняя маршрутизацию передачи сообщений. Он обращается к серверу имен домена (Domain Name Server) или локальному хосту для того, чтобы определить, куда сообщение должно быть доставлено. Если получатель находится в другой SMTP системе, то Internet Mail Connector или доставит сообщение на искомый SMTP хост, или перешлет на другой SMTP хост для дальнейшей маршрутизации.

Настройка MS Exchange Server 5.5

Установка MS Exchange Server 5.5

Инсталляция MS Exchange Server 5.5 достаточно проста и понятна.

В рассматриваемой нами организации в качестве Web-сервера и Mail-сервера физически используется один и тот же компьютер, поскольку при небольшом количестве пользователей (менее 300) ресурсов одного компьютера (Celeron 300, 128 Мб ОЗУ) вполне хватит.

Следует заметить, что службы MS Exchange Server запускаются под одним определенным аккаунтом. Рекомендуется создать специальную учетную запись (например, “ExchAdmin”), которую следует включить в группу “Users of Email”, а из остальных групп исключить. Обязательно нужно убрать у данной учетной записи право Log on locally и установить галочки в полях User cannot change password и Password never expired. Кроме того, этому пользователю следует дать право (Permission) Change на директорию, куда был проинсталлирован Exchange Server. Инсталлировать нужно MS Exchange Server под администраторским аккаунтом, а в качестве аккаунта, под которым будут запускаться службы MS Exchange Server, следует указать вновь созданный (“ExchAdmin”).

Конфигурирование MS Exchange Server для работы с MS Proxy Server

Как видно из рисунка 1, MS Exchange Server находится в локальной сети и взаимодействует с сетью Интернет через прокси-сервер. Такая схема рекомендуется для повышения уровня защищенности, так как злоумышленнику в данном случае непосредственно почтовый сервер недоступен.

Для работы MS Exchange Server через MS Proxy Server, необходимо, чтобы на компьютере, на котором инсталлирован MS Exchange Server, был также инсталлирован WinSock Proxy Client.

Чтобы привязать порты почтового сервера к внешнему интерфейсу прокси-сервера, необходимо в директории, где расположен файл Msexcimc.exe (это служба, обслуживающая протокол SMTP), создать текстовый файл Wspcfg.ini, содержимое которого приведено ниже:

[Msexcimc]

ServerBindTcpPorts=25

Persistent=1

KillOldSession=1

Также в директории, где расположен файл Store.exe (служба, обслуживающая протоколы POP3, NNTP, IMAP4), необходимо создать второй файл Wspcfg.ini:

[Store]

ServerBindTcpPorts=110,119,143

Persistent=1

KillOldSession=1

В сетевых настройках компьютера, на котором работает Exchange Server, должны быть обязательно прописаны DNS-сервер и домен.

Обычно компании такого масштаба не содержат DNS-сервера для своей зоны. Поэтому в дальнейшем мы учитываем, что за зону компании отвечает провайдер.

Следует обратить особое внимание, что в DNS-сервере, который отвечает за зону нашей типовой организации, в качестве почтового сервера домена должны быть указаны имя и IP-адрес внешнего интерфейса прокси-сервера. Ниже приведены примеры для двух записей, которые обязательно должны быть в DNS-сервере зоны mycompany.com, чтобы можно было использовать почтовые Интернет-адреса типа user@mycompany.com:

@ IN MX 10 proxy

proxy IN A 195.195.195.195

Общие настройки Exchange Server’а

Предполагается, что организация использует только один Exchange Server и нет необходимости организовывать обмен информацией между несколькими почтовыми серверами. Также предполагается, что в сети используются только протоколы Интернет (SMTP, POP3, IMAP4, NNTP).

Так как при первоначальной установке Internet Mail Connector и Newsfeed не устанавливаются, их необходимо установить вручную. Делается это пунктами меню File -> New Other -> Internet Mail Service… и File -> New Other -> Newsfeed…

Рекомендуется удалить все неиспользуемые коннекторы, оставив только Internet Mail Connector и Newsfeed (если предполагается предоставлять клиентам возможность работы с новостями USENET).

Крайне рекомендуется установить Service Pack 3 для MS Exchange Server 5.5 (http://www.microsoft.com/exchange/DeployAdmin/sp3.htm). К сожалению, он не распространяется свободно (во всяком случае, на 10.04.2000), поэтому следует установить хотя бы Service Pack 2 (ftp://ftp.microsoft.com/bussys/exchange/exchange-public/fixes/Eng/Exchg5.5/SP2).

Для редактирования списка администраторов почтового сервера организации, необходимо установить выделить самый старший элемент дерева (это и есть организация) и нажать кнопку «Properties» (см. рис).

В появившемся окне следует выбрать вкладку Permissions: