Exchange: надежная система обмена сообщениями на базе Windows

Сергей «grinder» Яремчук (grinder@ua.fm, tux.in.ua)

На раннем этапе развития Интернет возможности систем обмена информацией были ограничены, а пользователи крайне неприхотливы. Но времена изменились, и сегодня администратору требуется обеспечить простую и безопасную работу с различными видами сообщений (электронными письмами, голосовыми мессаджами, факсами) вне зависимости от местонахождения клиента. Стандартом де-факто построения единой системы обмена сообщениями является Exchange. В этой статье мы разберем особенности последней версии сервера Exchange 2007.

Содержание:

1. Подготовительные мероприятия
2. Установка Exchange 2007
3. Процедуры, выполняемые после установки
4. Добавление администраторов и пользователей
5. Врезка: Роли сервера Exchange 2007

Подготовительные мероприятия

За последний десяток лет было выпущено несколько версий Exchange Server (4.0, 5.0, 5.5, 2000 и 2003), каждая из которых получила обновленные функции. Выход Exchange 2007 (ранее известен как Exchange 12) то же не стал исключением. При его разработке, которая началась еще до появления версии 2003, были проанализированы и учтены тенденции последних лет и пожелания пользователей и администраторов.

Установка Exchange никогда не была сложной задачей, если заранее проанализирована сеть, и выполнены все условия. Для проверки готовности следует использовать инструмент Exchange Server Best Practices Analyzer – ExBPA (technet.microsoft.com/en-us/exchange/bb288481.aspx), хотя он больше полезен при обновлении и последующей доводке системы, чем при первичной установке. Далее следует убедиться, что используемая среда отвечает всем требованиям. Одни требования касаются аппаратной и программной части, другие – настроек Active Directory и сервисов, участвующих в работе Exchange.

При установке Exchange 2007 будут созданы универсальные группы безопасности, которые могут существовать только в доменах, находящихся в основном режиме Windows 2000 Server или в более совершенном режиме. Если контроллер домена находится в смешанном режиме, установка будет прервана. Чтобы изменить функциональный уровень домена, открываем оснастку «Active Directory — домены и доверие», в дереве консоли выбираем свой домен и в контекстном меню пункт «Повысить функциональный уровень домена». Теперь выбираем «Основной режим Windows 2000» или «Windows Server 2003» и нажимаем кнопку Повысить. Для всех доменов в лесу Active Directory, где будет установлен Exchange 2007, между лесами должны быть установлены доверительные отношения.

Контроллер домена, являющийся хозяином схемы (Schema master) и глобальным каталогом (Global Catalog), должен работать под управлением Windows Server 2003 с установленным пакетом обновлений SP1 или SP2. Естественно, необходима уже работающая DNS инфраструктура. Но в отличие от предыдущих версий, администратору не нужно вручную подготавливать Active Directory, все необходимое сделает мастер во время установки. И даже если какие-либо требования не будут выполнены, мастер выдаст все надлежащие рекомендации по их устранению. Запустив на Schema Master файл setup.exe с ключом «/PrepareAD», можно подготовить домен вручную, но если организация уже использует ранние версии Exchange, следует использовать ключи «/PrepareLegacyExchangePermissions» и «/PrepareSchema». Стоит также отметить, что не все роли, в которых может выступать Exchange, требуют обязательного наличия AD.

В конце 2005 года было объявлено, что для увеличения масштабируемости и производительности Exchange 2007 будет работать только на 64-разрядных процессорах. Ведь при использовании 64-разрядной адресации сервер можно оснастить большим объемом оперативной памяти, которая может быть использована, например, для кэширования страниц базы данных, да и о других параметрах, вроде максимального размера файла, заботиться уже не нужно. Такой шаг вызвал множество споров, и хотя сегодня в списке присутствуют 32 битные системы, следует учесть, что 32-разрядная версия Exchange 2007 предоставляется только для тестирования и обучения, для производственных сред она не предназначена. Для работы следует устанавливать и использовать только 64-разрядную версию.

Итак, для установки нам потребуется компьютер с процессором класса x64, поддерживающий Intel EM64T, или AMD64. Процессоры Intel Itanium IA64 не поддерживаются. Рекомендуемым объемом ОЗУ является 2 Гб плюс 5 Мб на каждый почтовый ящик. Раздел, в который устанавливается Exchange, должен быть отформатирован под файловую систему NTFS и иметь не менее 1,2 Гб свободного места. В отличие от предыдущих версий, Exchange 2007 имеет встроенные службы SMTP (Simple Mail Transfer Protocol), а для передачи сообщений между серверами внутри организации используется MAPI, поэтому службы NNTP (Network News Transfer Protocol) и SMTP не должны быть установлены. Для некоторых ролей понадобится включить или установить сетевой доступ к COM+, настроить службу IIS. Кроме этого, в системе должны быть установлены три обязательные продукта: Microsoft .NET Framework 2.0 (go.microsoft.com/fwlink/?linkid=63033), MMC 3.0 (support.microsoft.com/?kbid=907265) и Windows PowerShell 1.0 (support.microsoft.com/kb/926139). Если мастер установки Exchange не обнаружит наличие этих компонентов, ссылки для их установки будут приведены в сводном экране. Установленные компоненты будут неактивны и подсвечены серым цветом.

Установка Exchange 2007

Установочный файл размером почти 700 Мб можно скачать на сайте Microsoft после регистрации. Для установки понадобятся права администратора домена. Распаковываем архив и запускаем находящийся внутри файл setup.exe. Мастер установки, который запускается после выбора «Установить Microsoft Exchange», имеет интуитивный интерфейс, поэтому сам процесс достаточно понятен даже новичку.

Рис. 1. Сводный экран установки Exchange

Установка Exchange стоит четвертой по списку, первые три пункта должны быть выполнены (отмечены серым). Далее принимаем условия лицензионного соглашения, решаем, следует ли отправлять отчеты об ошибках в Microsoft, и выбираем вариант установки.

Рис. 2. Выбор типа установки

Доступны обычная и выборочная установки. Первый вариант подходит для большинства случаев, будут установлены все роли, за исключением «Edge Transport». Если нужно настроить работу Exchange в кластере, выбрать конкретные роли сервера или установить только консоль управления, следует использовать второй вариант. Хотя большинство параметров можно перестроить после установки. В следующем окне вводим имя организации Exchange, при установке первого сервера организации этот параметр обязателен. В имени организации не должно быть специальных символов, а также начальных и конечных пробелов. На странице «Параметры клиента» указываем, используется ли на клиентских компьютерах Outlook 2003 или ранний. Если выбран ответ Да, на сервере почтовых ящиков будет создана база данных общих папок (Public Folders). При использовании Outlook 2007 общие папки не являются обязательными, при необходимости этот параметр можно будет изменить в уже рабочей системе. И переходим к ответственному этапу «Проверка готовности», в ходе которого система и сервер будут проверены на готовность к установке Exchange.

Рис. 3. Этап проверки готовности сервера

Здесь уже потребуется подключение к Интернет. Всего будет проверено 4 элемента, если тест не пройден, можно пройти по ссылке «Рекомендуемое действие». После устранения ошибок следует нажать кнопку «Повторить попытку». Если все тесты на готовность пройдены, появится кнопка «Установка», нажатие на которую, собственно, и начнет установку Exchange. В зависимости от выбранных ролей этот процесс займет некоторое время, по окончании можно нажать кнопку Готово. Пятым шагом меню установки является загрузка обновлений Exchange. После чего запускается консоль управления Exchange и можно приступать к настройке его работы.

Процедуры, выполняемые после установки

Для управления Exchange 2007 администратор может задействовать несколько инструментов: консоль управления Exchange (ранее Exchange System Manager), среду управления Exchange (командная консоль Exchange, ранее Monad), оснастку «Active Directory — пользователи и компьютеры» и ExBPA. Консоль управления является основным инструментом, хотя для автоматизации повторяющихся задач лучше использовать командную консоль. Все операции рассмотреть не получится, тем более что в зависимости от используемой схемы они могут отличаться, поэтому разберем наиболее типичные настройки, чтобы можно было легче ориентироваться и сразу приступить к работе.

Рис. 4. Инструменты консоли управления Exchange

После установки Exchange 2007 рекомендуется проверить правильность инсталляции. Это можно сделать, запустив командлет «Get-ExchangeServer» в среде управления. Он должен показать список всех ролей сервера. Если во время установки возникли ошибки, источник проблемы можно выявить, заглянув в отчеты, которые находятся в каталоге ExchangeSetupLogs раздела, куда устанавливался Exchange. Просто ищем строки, содержащие слово «Ошибка», как вариант, все подобные сообщения можно отобрать командой «Get-SetupLog c:exchangesetuplogsexchangesetup.log -error». Кроме этого, следует использовать и ExBPA, который можно вызвать как через меню Пуск, так и выбрав пункт «Анализатор соответствия рекомендациям» в консоли управления Exchange. После первого запуска консоли следует внимательно ознакомиться с заданиями во вкладке «Завершение развертывания», они помогут в настройке различных параметров для установленных ролей сервера.

Рис. 5. Создание обслуживаемого домена

Все роли сервера можно найти, открыв вкладку «Конфигурация организации». Выбрав «Почтовые ящики», настраиваем параметры почтового ящика, которые будут применяться ко всей организации. Каждая вкладка представляет собой одну из функций почтового ящика. Так в «Список адресов» представлены получатели, сгруппированные по некоторым признакам, выбрав в правой колонке ссылку «Создать список адресов», можно создать новые списки. В этой же роли настраиваются управляемые папки и политики, которые помогают их сгруппировать. Управляемые папки бывают двух видов: по умолчанию (например, Входящие) и настраиваемые, каждый вид настраивается в своей вкладке. По умолчанию создается автономная адресная книга (OAB), в которую включены все клиенты. Такая книга позволяет клиентам электронной почты просматривать списки адресов без подключения к серверу Exchange. Выбрав «Создать параметры управляемого содержимого», можно задать настройки, которые будут контролировать обработку содержимого для указанных управляемых папок, например, срок хранения сообщений, их пересылка на другой адрес. Изменить настройки ОАВ (обновление, поддержка клиентов, списки адресов) можно в одноименной вкладке. В пункте «Клиентский доступ» можно настроить политики почтовых ящиков Exchange ActiveSync, определяющие, как пользователи могут использовать мобильные устройства для подключения к серверу Exchange.

После установки Exchange будет принимать и отправлять почту только для одного домена, если организация использует несколько доменов, их необходимо авторизовать. Для этого следует настроить роль «Транспортный сервер-концентратор». Здесь несколько вкладок. Так в «Обслуживаемые домены» можно просмотреть список текущих доменов и при необходимости, выбрав «Создать обслуживаемый домен», добавить остальные доверенные домены. После принятия почты с таких доменов Exchange может доставить ее получателю, передать на сервер электронной почты, расположенный в другом лесу, или отправить на пограничный сервер, который адресует ее по назначению. Во вкладке «Правила транспорта» задаем условия на соответствие, по которым будут проверяться все сообщения (отправитель, получатель, тема и прочее). В «Политики адресов электронной почты» определяется формат по умолчанию для псевдонимов пользователей. В Exchange 2007 для подключения к удаленным системам электронной почты используются отправляющие соединители SMTP, которые создаются во вкладке «Соединители отправки». Запустив соответствующий мастер, необходимо указать удаленный SMTP узел и маршрут к нему.

Добавление администраторов и пользователей

После установки будут созданы три группы администраторов Exchange со своими ролями, предназначенными для выполнения определенных операций. Это Администратор организации, Администратор получателей и Администратор Exchange с правами на просмотр. Чтобы добавить новую роль или изменить разрешение, следует выбрать «Конфигурация организации», затем в правом окне «Действия» нажать «Добавить администратора». В появившемся окне выбираем пользователя (или группу), который будет добавлен в качестве администратора, его роль и подчиненный сервер. Удалить любую группу можно в этой же вкладке.

Во время установки Exchange будет создан почтовый ящик администратора, для остальных пользователей его необходимо создать самостоятельно. Для этого переходим в «Настройка получателей», появится мастер создания почтового ящика. На первом шаге необходимо выбрать тип почтового ящика, в нашем случае – это «Почтовый ящик пользователя». Затем выбираем тип пользователя. Здесь возможны два варианта. Если пользователь уже зарегистрирован в AD, то выбираем «Существующий пользователь» и указываем его в следующем окне. Иначе отмечаем «Новый пользователь» и в окне «Сведения о пользователе» вводим всю необходимую информацию – подразделение, имя для входа, пароль и прочее. Опционально можно указать, чтобы при первой регистрации пользователь сменил пароль. Указанный пароль должен удовлетворять требованиям политик, иначе создание почтового ящика завершится с ошибкой. Просмотреть политики можно в «Политика безопасности домена – Параметры безопасности – Политики учетных записей – Политика паролей». Теперь переходим к шагу «Параметры почтового ящика», где вводим псевдоним, выбираем сервер Exchange, группу хранения по умолчанию, базу данных и политики почтовых ящиков. Далее читаем сводку параметров, если все устраивает, нажимаем Создать. В сводке также можно просмотреть команду среды управления Exchange, которая была использована при создании почтового ящика. Удалить почтовый ящик еще проще: отмечаем его в окне «Настройка получателей» и нажимаем кнопку Удалить в окне «Действия».

Дважды щелкнув по любой учетной записи, можно просмотреть и отредактировать ее свойства. Большинство вкладок повторяют параметры, введенные при создании почтового ящика, но есть и другие. Например, во вкладке «Функции почтового ящика» можно активировать или отключить – Outlook Web Access, Exchange ActiveSync, Единую систему обмена сообщениями (требует корпоративную лицензию), MAPI. Во вкладке «Параметры потока почты» указываются параметры доставки (пересылка и делегирование разрешений), ограничения размера сообщений, ограничения доставки сообщений. Последнее свойство позволяет указать, кому разрешено, а кому запрещено отправлять сообщения данному получателю. Если пользователь имеет несколько адресов, их указывают в «Адреса электронной почты», основной адрес будет выделен жирным шрифтом. Выбрав пункт «Квоты хранилища» во вкладке «Параметры почтового ящика», для текущего пользователя можно установить персональные настройки для разных состояний почтового ящика (предупреждение и запрет на отправку/получение) и время хранения удаленных элементов.

Рис. 6. Создание почтового ящика

Мы затронули лишь часть настроек Exchange, к сожалению, все возможности пределах статьи описать невозможно. Но на сайте Microsoft имеется достаточно документации по любому вопросу, кроме того, в комплекте идет подробная справка, переведенная на русский язык. Из русскоязычных ресурсов я бы порекомендовал сайт www.msexchange.ru. Успехов.

Врезка: Роли сервера Exchange 2007

В ранних версиях Exchange включал две серверные роли: внешние серверы обслуживали соединения с клиентами, а на внутренних серверах располагались почтовые ящики. В Exchange 2007 администратору для выбора доступно уже 5 ролей:

1. Клиентский доступ (Client Access Server, CAS) – аналог внешнего сервера Exchange 2003, сервер выступает посредником для клиентских соединений и предоставляет службу OWA.
2. Сервер-концентратор (Hub Transport) – выполняет обработку всего внутреннего потока почты, применяет политику маршрутизации сообщений и обеспечивает их доставку в почтовые ящики.
3. Сервер почтовых ящиков – главный узел, на котором размещены базы данных общих папок и почтовых ящиков, здесь также создается автономная адресная книга. Часто роли сервера почтовых ящиков и CAS объединяют.
4. Сервер единой системы обмена сообщений (Unified Messaging) – распределяет обмен голосовыми сообщениями, передачу факсов и электронной почты.
5. Пограничный транспортный сервер (Edge Transport) – размещается в демилитаризованной зоне (DMZ) в качестве промежуточного узла и SMTP-ретранслятора, его задача – обработка всего потока почты и защита от спама/вирусов. Такие серверы не обязательно должны быть частью AD.

На одном компьютере можно развернуть несколько серверных ролей (кроме Edge Transport). Администрирование ролей выполняется отдельно, смену ролей можно производить динамически без переустановки Exchange. Если серверные роли будут развернуты на нескольких компьютерах, устанавливать их нужно в порядке, указанном выше.

Статья опубликована в октябрьском номере журнала «Xakep» за 2007 год.